[go: up one dir, main page]

FR2877521A1 - Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ... - Google Patents

Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ... Download PDF

Info

Publication number
FR2877521A1
FR2877521A1 FR0509458A FR0509458A FR2877521A1 FR 2877521 A1 FR2877521 A1 FR 2877521A1 FR 0509458 A FR0509458 A FR 0509458A FR 0509458 A FR0509458 A FR 0509458A FR 2877521 A1 FR2877521 A1 FR 2877521A1
Authority
FR
France
Prior art keywords
authentication
network
initialization
user terminal
procedure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0509458A
Other languages
English (en)
Other versions
FR2877521B1 (fr
Inventor
Hiroyuki Taniguchi
Izuru Sato
Takeshi Ohnishi
Markus Schneider
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of FR2877521A1 publication Critical patent/FR2877521A1/fr
Application granted granted Critical
Publication of FR2877521B1 publication Critical patent/FR2877521B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un dispositif de distribution d'informations d'initialisation appartenant à un premier réseau (2) comprend :une unité d'authentification qui reçoit et authentifie une demande d'authentification d'un terminal d'utilisateur (4) qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, une unité de transmission qui transmet une demande de coopération d'authentification qui demande des données d'initialisation devant être établies pour le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une unité de distribution qui distribue un premier message de réponse complété par des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses dans un second message de réponse correspondant à la demande de coopération d'authentification.

Description

2877521 1
L'invention se rapporte à un dispositif, un procédé, un programme et un support de distribution d'informations d'initialisation, à un dispositif, un procédé, un programme et un support de transfert d'initialisation d'authentification, et à un programme de réception d'informations d'initialisation.
Ces dernières années, avec l'augmentation des divers réseaux qui sont représentés par un système IMT-2000 et un réseau local sans fil et la diffusion des terminaux informatiques d'utilisateurs tels qu'un ordinateur personnel (appelé ci-après "ordinateur PC") ayant une fonction de communication radio ou un assistant numérique personnel (appelé ci- après "assistant PDA"), les environnements où divers services peuvent être utilisés par une connexion avec un réseau à tout moment et à tout endroit sont en cours d'amélioration.
Les réseaux et les services sont mis en oeuvre par une pluralité de domaines et de systèmes de fournisseur, et un utilisateur établit un contrat avec chaque fournisseur et utilise divers services. Il est courant d'accéder à distance à un réseau privé tel qu'un réseau d'entreprise depuis le réseau ayant un réseau local sans fil public en utilisant de tels environnements.
Une augmentation des délits utilisant les réseaux tels que les mystifications ou l'espionnage est appréhendé simultanément à l'extension des utilisateurs utilisant un service sur un réseau, le résultat étant que les utilisateurs eux-mêmes doivent prendre des mesures de sécurité. En tant que mesures de sécurité, en général une application de détection (programme ou produit de programme) telle qu'une mesure contre les virus/vers est installée dans un terminal d'utilisateur qui est connecté au réseau. Il est également courant qu'un pare-feu en tant que mesure contre les intrusions, une application de cryptage en tant que mesure contre les écoutes, et une fonction d'authentification soient installés dans le terminal d'utilisateur. En outre, le côté réseau crypte à son tour les signaux radio en prenant en considération la sécurité entre les utilisateurs dans un réseau local sans fil public, etc. Cependant, dans les mesures de sécurité, comme l'utilisateur lui-même doit exécuter l'initialisation de divers outils, la mise à jour des définitions de virus ou analogue, une erreur de fonctionnement est susceptible d'avoir lieu. En particulier, dans les environnements mobiles, il 2877521 2 est également nécessaire que la clé de cryptage d'un réseau local sans fil soit changée ou que les adresses de protocole IP d'un serveur de nom de domaine DNS, d'une passerelle, d'un serveur mandataire et analogue soient changées par le terminal lui-même, et au cours du changement, une erreur de fonctionnement est également susceptible d'avoir lieu. Dans la situation actuelle, le problème de sécurité affecte de façon néfaste les environnements mobiles en ce que non seulement la sécurité de l'utilisateur lui-même ne peut pas être conservée, mais également un endommagement induit à partir d'un virus ou d'un ver s'étend du côté réseau qui propose un service. Dans le futur, la technologie et la technique de mise en oeuvre pour conserver une haute sécurité avec l'amélioration des commodités pour l'utilisateur sont demandées dans les environnements mobiles qui continuent à se développer largement.
(1) Dans un réseau local sans fil qui s'est développé comme l'un d'un réseau d'accès, en tant que technique dans laquelle l'initialisation d'une clé de cryptage est automatisée et la commande d'accès de l'utilisateur est exécutée, il existe un système utilisant le standard IEEE 802.1x (authentification de port de réseau) qui constitue une disposition standard. Il s'agit d'une technologie de commande d'accès qui est réalisée dans un point d'accès de réseau local sans fil ou un commutateur grâce à laquelle le réseau authentifie l'utilisateur qui a accédé au réseau grâce à l'authentificateur de l'utilisateur constitué d'un identificateur ou d'un certificat électronique, et seul l'utilisateur autorisé peut utiliser le service du réseau local sans fil. En outre, un fonctionnement à haute sécurité peut être exécuté en distribuant et en mettant à jour la clé de cryptage (WEP) d'un réseau local sans fil simultanément. Cependant, du fait qu'un algorithme de cryptage de clé WEP est vulnérable, et qu'un outil qui décrypte l'algorithme de cryptage peut être aisément obtenu, il est très dangereux d'utiliser une clé WEP. Bien que la fonction de sécurité contenant le standard IEEE 802.1x soit standardisée par le standard IEEE 802.1 ii et qu'un algorithme de cryptage robuste soit maintenant adopté, il faut du temps pour diffuser l'algorithme de cryptage.
(2) En outre, pour pouvoir utiliser le réseau local sans fil, l'utilisateur doit lui-même/elle-même établir l'identificateur d'accès (SSID) pour distinguer un réseau local sans fil qui est différent des unités d'organisations telles que les fournisseurs. D'une manière similaire, les 2877521 3 identificateurs de l'utilisateur diffèrent à leur tour pour chaque organisation. Comme divers types d'initialisation par l'utilisateur sont nécessaires, ce qui diminue la commodité, il y a une tendance à ce qu'un utilisateur initialise le même identificateur d'utilisateur et le même mot de passe facilement. Donc, de nombreuses initialisations du terminal d'utilisateur qui ne sont pas souhaitables du point de vue sécurité, existent potentiellement. En outre, un identificateur SSID peut être librement établi par le possesseur d'un point d'accès de réseau local sans fil, et il est possible d'exécuter facilement une mystification, le résultat étant qu'il est très dangereux d'utiliser un identificateur SSID.
Pour pouvoir éliminer le bas niveau de commodité en ce que l'utilisateur établit lui-même/elle-même un identificateur SSID dans un terminal d'utilisateur pour chaque fournisseur, il existe un service dans lequel tous les identificateurs d'accès (identificateurs SSID) des services de réseaux locaux sans fil publics affiliés sont fusionnés, et une liste d'initialisation est distribuée à un terminal d'utilisateur mobile à l'avance. Dans les systèmes iPass et GRIC qui exécutent un service d'itinérance dans le monde entier, la liste d'initialisation est conservée dans un outil de connexion, et pendant une connexion avec le réseau, la liste d'initialisation peut être mise à jour automatiquement. Cependant, davantage de charges sont imposées à un support de mémorisation du terminal d'utilisateur mobile, qui mémorise les informations du terminal d'utilisateur, à mesure que le nombre des services affiliés augmente. En outre, comme les charges sont à leur tour imposées à un serveur qui exécute une gestion centralisée des listes d'initialisation pour une mise à jour automatique, des coûts de gestion considérables sont nécessaires.
(3) En outre, pour pouvoir utiliser le service par une connexion avec un réseau, il est nécessaire d'acquérir l'adresse de protocole IP, l'adresse du serveur DNS, l'adresse de la passerelle, etc. du terminal d'utilisateur. En tant que technique qui automatise l'initialisation et distribue dynamiquement l'initialisation, il existe un protocole DHCP (protocole de configuration dynamique d'hôte) spécifié par le standard RFC2131 qui constitue une disposition standard. Cependant, il n'existe pas de mesures de sécurité dans le protocole DHCP, et un utilisateur mal intentionné connecté au même sous-réseau peut simuler un serveur à protocole DHCP et distribuer une initialisation incorrecte à l'utilisateur.
2877521 4 En outre, pour qu'un navigateur de réseau Web accède à un serveur de réseau Web, un serveur de courrier, un serveur à protocole FTP, etc. sur le système Internet ou un réseau Intranet, le navigateur de réseau Web peut devoir passer par un serveur mandataire. Un serveur mandataire est utilisé pour mettre en antémémoire une demande pour accéder à un serveur de réseau Web et sa réponse, transférer efficacement la demande depuis un grand nombre de clients et commander l'accès au système Internet. Du fait qu'un serveur mandataire est utilisé avec diverses structures conformément à une initialisation d'un réseau, un procédé de répartition de la charge, ou analogue, il n'est pas facile d'initialiser le réseau complètement conformément à la situation de chaque organisation. Il existe un protocole WPAD (protocole de découverte automatique de serveur mandataire de réseau Web) en tant que technique qui automatise l'initialisation et distribue dynamiquement l'initialisation. Cependant, du fait qu'il n'y a pas de mesures de sécurité dans le protocole WPAD et qu'un accès par le protocole DHCP ou un serveur DNS est inclus dans l'initialisation automatique, une initialisation incorrecte peut être distribuée à l'utilisateur par l'intermédiaire d'un serveur de configuration DHC effectuant une mystification.
Si le serveur de courrier ou le serveur de réseau Web auquel accède l'utilisateur a choisi la sécurité de la couche SSL, la possibilité d'un relais inexact ou d'une écoute par un réseau local sans fil devient faible, en permettant l'utilisation sécurisée d'un service. Cependant, à la fois tous les serveurs et les clients ont besoin d'être conformes à ces mesures, et du temps est nécessaire pour les diffuser de manière parfaite en raison des coûts impliqués.
(4) Habituellement, le serveur de courrier ou le serveur de réseau Web auquel accède l'utilisateur est agencé dans des réseaux d'une entreprise ou d'un fournisseur avec lequel l'utilisateur possède un contrat.
Dans le cas où le réseau entier ou une zone où le serveur de courrier ou le serveur de réseau Web est situé, est sécurisé, il existe un système utilisant (i) un réseau privé virtuel spécifié par le document RFC2764 (un environnement pour des réseaux privés virtuels à base de protocole IP) qui constitue une disposition standard qui représente une technique qui accède de façon sécurisée à une zone sécurisée du réseau à partir d'un réseau différent du réseau, et (ii) le protocole IPsec spécifié par le 2877521 5 document RFC2401 (architecture de sécurité pour le protocole Internet) en tant que technique qui exécute le cryptage et l'authentification afin de garantir la confidentialité et la sécurité d'un paquet du protocole IP, ou bien (iii) le système IKE spécifié par le document RFC2409 (l'échange de clé du système Internet) en tant que technologie d'échange de clé pour un cryptage. L'application qui combine ces techniques ensemble est placée dans un serveur de passerelle, laquelle est placée à l'entrée d'une zone sécurisée du réseau, et le terminal d'utilisateur réalise ainsi la commande d'accès grâce à l'authentification de l'utilisateur et l'accès sûr à la zone sécurisée du réseau depuis le réseau par un cryptage des informations de communication. Cependant, comme l'utilisateur doit lui-même/elle-même établir les adresses de protocole IP du serveur de passerelle et du serveur mandataire associé, on ne peut obtenir une grande commodité.
(5) En outre, avant d'établir la communication sécurisée par le protocole IPsec, l'échange de clé de cryptage est exécuté selon le système IKE. Bien que le serveur de passerelle du réseau authentifie l'utilisateur demandant l'échange de clé, comme les agences de gestion diffèrent les unes des autres, l'identificateur d'utilisateur utilisé pour l'authentification de l'utilisateur au moment d'accéder au réseau diffère généralement de l'identificateur d'utilisateur utilisé pour l'authentification de l'utilisateur au moment d'une connexion avec le réseau. Donc, un utilisateur doit gérer au moins deux identificateurs de l'utilisateur ou plus, et la commodité devient faible. En outre, tous les utilisateurs peu conscients des problèmes de sécurité établissent le même identificateur d'utilisateur et le même mot de passe et réduisent la sécurité du réseau.
Dans cet exemple, lorsque l'authentification de l'utilisateur est exécutée en utilisant une infrastructure PKI (infrastructure à clé publique) qui est une technologie d'authentification d'utilisateur robuste, un dommage provenant de la fuite d'un mot de passe peut être éliminé.
Cependant, même si le même authentificateur d'utilisateur est utilisé pour l'authentification d'accès d'un réseau externe et l'authentification d'accès à un réseau, comme le même traitement d'authentification est répété, il faut du temps pour établir la communication sécurisée, et la commodité devient mauvaise.
(6) En revanche, dans le système iPass qui exécute le service d'itinérance, on accède à un certain réseau affilié en utilisant un 2877521 6 authentificateur d'utilisateur (par exemple, un identificateur/mot de passe du réseau) entre les réseaux qui contiennent le réseau avec lequel un contrat a été établi, l'authentificateur d'utilisateur est utilisé en itinérance, le serveur d'authentification du réseau qui gère l'authentificateur d'utilisateur réalise l'autorisation d'authentification, et il est possible d'exécuter en outre le traitement d'autorisation d'une authentification collective et une distribution de clé de cryptage en coopération avec le serveur de passerelle du réseau. Cependant, un protocole spécifique pour les serveurs de passerelle est utilisé pour une coopération entre le serveur d'authentification du réseau et le serveur de passerelle. En outre, la coopération est limitée au domaine et au système du même fournisseur. Il n'y a aucune souplesse qui permette d'exécuter une initialisation automatique de façon sûre en ce qui concerne les services qui sont exécutés par divers fournisseurs et systèmes.
La figure 22 est un schéma destiné à expliquer un procédé qui exécute un accès à distance à un réseau d'une entreprise qui diffère par l'unité de gestion du réseau tel que le réseau local sans fil public depuis le réseau du réseau local sans fil public conformément à une technique classique.
Le réseau 102 représenté sur la figure 22 est un réseau 102 qui est représenté par un réseau local sans fil public, et un service de connexion de réseau est proposé par le fournisseur. Le réseau 102 est connecté au système Internet ou analogue. En outre, le réseau local sans fil public est un réseau de communication à limitation de domaine qui est construit par un réseau local sans fil ou analogue et qui est par exemple le réseau 102 construit par le réseau local sans fil ou analogue dans l'immeuble de bureaux d'un magasin ou d'une entreprise. Donc, bien que le réseau local sans fil public relève du service d'un fournisseur de communication mobile, un magasin ou une entreprise établit un contrat avec le fournisseur de communication mobile, et le réseau local sans fil public est limité à l'immeuble de bureaux du magasin ou de l'entreprise.
Jusqu'à présent, comme indiqué sur la figure 22, les fournisseurs de communication tels qu'un fournisseur de service Internet (ISP) gèrent le service de réseau local sans fil public et proposent le service de connexion de réseau au système Internet ou analogue. Un serveur à protocole DHCP 104 qui distribue les adresses de protocole IP 2877521 7 de divers serveurs, etc., est installé dans le fournisseur ISP. En outre, une passerelle comme un serveur de passerelle à protocole IPsec 108 destinée à accéder à un réseau depuis le système Internet, etc., est installée dans le réseau d'une entreprise ou analogue lequel constitue le réseau privé 106. En outre, un serveur d'authentification d'itinérance 112 destiné à permettre une itinérance avec une pluralité de fournisseurs ISP et exécuter une authentification d'accès au réseau pour le service de réseau local sans fil public grâce à un identificateur/mot de passe qui est géré par exemple par une entreprise, est installé dans le fournisseur de réseau d'itinérance (RSP) qui représente le réseau d'itinérance 110 tel que le système iPass. Ci-après, on donnera une description d'une séquence représentée sur la figure 23, dans une procédure dans laquelle le terminal d'utilisateur 114 effectue de façon sûre une connexion d'accès au réseau d'une entreprise ou analogue, en sécurité par l'intermédiaire du système Internet depuis le réseau local sans fil public en faisant référence à la figure 22.
<Connexion d'une liaison de réseau (couche 2, liaison de données) : vulnérabilité d'un algorithme de cryptage> Tout d'abord, un utilisateur établit un identificateur SSID qui constitue l'identificateur du service du réseau local sans fil public qui a été enregistré à l'avance dans le terminal d'utilisateur 114 ((2) de la figure 22), l'identificateur SSID contenu dans une balise, qui est émis depuis un point d'accès de réseau local sans fil est détecté et sélectionné, et l'authentification d'accès au réseau est lancée ((3) de la figure 22). Le point d'accès au réseau local sans fil 116 intercepte la communication provenant du terminal d'utilisateur 114 temporairement, reçoit les informations d'authentification du terminal d'utilisateur 114, et valide une utilisation de service du terminal d'utilisateur 114 pour le serveur d'authentification de fournisseur ISP 118 à l'intérieur du fournisseur ISP ((4) et (5) de la figure 22). Si le terminal d'utilisateur 114 est un utilisateur itinérant à ce moment, une demande d'authentification d'itinérance est délivrée à un réseau d'entreprise par l'intermédiaire d'un fournisseur RSP, et une authentification est exécutée par le serveur d'authentification d'entreprise 120 d'une entreprise ((6) à (9) de la figure 22). Si le résultat de l'authentification est bon, le point d'accès au réseau local sans fil 116 libère une liaison de réseau pour l'utilisateur qui a réalisé l'interception 2877521 8 ((10) à (13) de la figure 22). Bien que les données qui circulent dans la liaison du réseau local sans fil soient cryptées par la clé WEP, comme l'algorithme de cryptage est vulnérable, une écoute est possible et l'authentification n'est pas sûre sur le plan de la sécurité.
<Connexion du réseau à protocole IP: mystification> Ensuite, lorsque le terminal d'utilisateur 114 s'est complètement connecté à la liaison de réseau, le terminal d'utilisateur 114 délivre une demande pour acquérir une initialisation de réseau local contenant les adresses de protocole IP du terminal d'utilisateur 114, un serveur de nom de domaine DNS, une passerelle qui effectue une connexion avec le système Internet, et analogue vers le serveur à protocole DHCP 104, et reçoit une initialisation de réseau local LAN ((14) de la figure 22). L'utilisateur n'a pas besoin de désigner l'adresse de protocole IP du serveur à protocole DHCP 104 lui-même à l'avance, et ainsi de suite.
Donc, lorsqu'un dispositif qui simule un serveur de configuration DHC 104 existe à l'intérieur du même réseau local sans fil public, une écoute, une perturbation de service, etc. par un relais frauduleux sont obtenues, et la sécurité ne peut pas être assurée.
<Commodité pour l'utilisateur> En outre, pour pouvoir débuter la communication sécurisée par le système IPsec vers l'adresse de protocole IP du serveur de passerelle d'un réseau établi dans le terminal d'utilisateur 114 à l'avance, une procédure du système IKE qui est un échange de clé est lancée. L'authentification de l'utilisateur pour l'échange de clé peut être exécutée dans la procédure du système IKE. Bien que le système IKE lui-même soit un protocole sécurisé, il existe un certain nombre de procédures pour lancer un service en sécurité depuis l'accès au réseau, et la commodité pour l'utilisateur jusqu'au lancement réel d'un service de façon sécurisée est compromise. En outre, dans le service proposé par le système iPass et analogue, il est possible qu'un serveur d'authentification et un serveur de passerelle coopèrent simultanément avec une authentification de l'accès au réseau, et pour exécuter une distribution de clé. Cependant, il n'est pas assuré que l'authentification en continu et une initialisation automatique d'un service par deux ou plusieurs fournisseurs soient exécutées avant de lancer une communication sécurisée avec le réseau. Par exemple, lorsqu'un autre réseau indépendant 102 possède le serveur d'agent de 2877521 9 rattachement d'un service de protocole IP mobile et le serveur de protocole SIP pour un service VoIP, il n'est pas assuré de faire en sorte que toutes les authentifications coopèrent. Au vu de cela, la souplesse de la technique classique est faible.
En outre, ce qui suit représente une technique pour initialiser automatiquement un terminal connu, mais une telle technique ne résout pas les problèmes.
Le document de brevet 1 se rapporte à un procédé et un dispositif d'initialisation d'adresse. Le document du brevet décrit un système d'initialisation automatique d'adresse de protocole IP pour le terminal d'une adresse de commande MAC quelconque.
[Document de brevet 1] JP 11-234 342 A Dans le système classique qui est mentionné ci-dessus, comme les procédures de lancement de service des réseaux, qui diffèrent par l'unité de gestion des fournisseurs, ne peuvent pas coopérer mutuellement, la commodité pour l'utilisateur qui souhaite utiliser un service de façon sûre et rapide est loin d'être grande. En particulier, pour pouvoir distribuer de façon sûre l'initialisation de divers services à un terminal d'utilisateur, une mesure consistant à établir un itinéraire sécurisé entre le terminal d'utilisateur et les fournisseurs respectifs est nécessaire. La procédure devient complexe également dans ce cas, et donc la commodité pour l'utilisateur est compromise.
L'invention a été réalisée pour résoudre les problèmes, et donc a pour but de procurer un dispositif, un procédé, un programme et un support destinés à initialiser une distribution d'informations, un dispositif, un procédé, un programme et un support destinés à transférer une initialisation d'authentification, et un programme de réception d'informations d'initialisation, qui réalisent en coopération diverses demandes de service et la distribution d'une initialisation qui sont exécutées indépendamment dans une pluralité de domaines, et améliorent la commodité pour l'utilisateur, et garantissent l'exactitude des informations de distribution dans chaque domaine.
Conformément à un premier aspect de l'invention, il est fourni un dispositif de distribution d'informations d'initialisation appartenant à un premier réseau, caractérisé en ce qu'il comprend: une unité d'authentification qui reçoit et authentifie une demande d'authentification 2877521 10 d'un terminal d'utilisateur qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, une unité de transmission qui transmet une demande de coopération d'authentification qui demande que des données d'initialisation soient établies dans le terminal d'utilisateur vers un autre réseau en utilisant la procédure d'authentification d'accès du réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une unité de distribution qui distribue un premier message de réponse auquel sont ajoutées les données d'initialisation du terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses dans un second message de réponse correspondant à la demande de coopération d'authentification.
Conformément au dispositif de distribution d'informations d'initialisation de l'invention, les données d'initialisation des terminaux d'utilisateurs qui ont été générées par une pluralité de réseaux (une pluralité de domaines), respectivement, peuvent être finalement collectivement incluses dans un message d'un protocole d'authentification entre les terminaux d'utilisateurs et les réseaux. Il en résulte que les données d'initialisation du terminal d'utilisateur pour la pluralité de réseaux peuvent être distribuées de façon sûre au terminal d'utilisateur pendant un traitement d'authentification avant que l'utilisateur se connecte au réseau. C'est-à-dire que le dispositif de distribution d'informations d'initialisation de l'invention peut réaliser en coopération la distribution des diverses demandes de service et la distribution d'initialisation, qui sont exécutées dans la pluralité de domaines, indépendamment les uns des autres.
En outre, comme la procédure de coopération d'authentification entre la pluralité de réseaux est utilisée, le cryptage effectué par la clé publique d'un client ou la signature effectuée par chaque serveur est inclus dans le message envoyé mutuellement entre les réseaux, en rendant ainsi impossible une écoute et une modification. Chaque domaine de réseau utilise l'extension de message qui peut mémoriser les données d'initialisation de façon à distribuer de manière sûre les données d'initialisation qui devraient être établies dans un terminal d'utilisateur.
2877521 11 Le dispositif de distribution d'informations d'initialisation peut comprendre en outre une unité de réception qui reçoit le second message de réponse à la demande de coopération d'authentification d'un autre réseau. Un protocole SAML spécifié par le système OASIS peut être utilisé en tant que protocole de coopération d'authentification qui est protégé par une signature du réseau, et l'unité de réception peut recevoir le message de protocole SAML servant de second message de réponse dans lequel les données d'initialisation du terminal d'utilisateur générées par un autre réseau sont incorporées dans la procédure de coopération d'authentification qui est protégée sur la base du protocole SAML. Le premier réseau du dispositif peut comporter un système permettant d'utiliser une authentification à clé publique. Le dispositif peut comprendre une unité de délivrance qui délivre un certificat de serveur signé pour protéger le terminal d'utilisateur. Le second message de réponse peut être un protocole de coopération d'authentification comprenant les données d'initialisation du terminal d'utilisateur générées par un autre réseau. Le certificat électronique peut inclure les informations liées à une pluralité de réseaux qui doivent coopérer les uns avec les autres lorsque la pluralité de réseaux qui doivent coopérer les uns avec les autres sont prévus dans la procédure de coopération d'authentification. Dans ce cas, les informations liées à la pluralité de réseaux qui doivent coopérer les uns avec les autres peuvent comprendre des données indicatives du classement selon lequel la pluralité de réseaux doivent coopérer pour sélectionner séquentiellement la pluralité de réseaux qui doivent coopérer fonctionnellement.
Dans le dispositif, les données d'initialisation peuvent comprendre toutes les données qui peuvent être distribuées par un protocole d'échange IKE spécifié par le document RFC2409 de l'organisation IETF. Les données d'initialisation peuvent aussi comprendre toutes les données d'un protocole TLS spécifié par le document RFC2246 de l'organisation IETF et un protocole TLS étendu spécifié par le document RFC3546.
Le dispositif peut comprendre en outre une unité de détermination qui détermine le dispositif de coopération d'authentification 35 qui doit coopérer en faisant référence au certificat électronique utilisé pour 2877521 12 l'authentification d'accès du terminal d'utilisateur. Dans ce cas, le dispositif de coopération d'authentification peut appartenir à un autre réseau.
Dans le dispositif, l'autre réseau peut être un réseau d'entreprise, et la demande de coopération d'authentification qui est transmise au réseaud'entreprise peut inclure une demande de connexion de réseau VPN. Dans ce cas, il peut comprendre une unité de réception qui reçoit la clé de réseau VPN qui a été générée en réponse à la demande de connexion de réseau VPN dans la procédure de coopération d'authentification, sans mettre en oeuvre le protocole d'échange de clé.
L'unité de transmission peut transmettre des informations indéfinies pour générer la clé de réseau VPN au réseau d'entreprise dans la procédure de coopération d'authentification. Dans ce dernier cas, les informations indéfinies peuvent être des informations qui sont générées au moment de l'authentification d'accès au réseau ou peuvent être utilisées par le terminal d'utilisateur pour générer la clé de réseau VPN ou bien un protocole TLS spécifié par le document RFC2246 de l'organisation IETF peut être utilisé comme procédure d'authentification d'accès au réseau, et un nombre aléatoire ainsi qu'une initialisation d'heure constituent des informations indéfinies pour générer la clé de réseau VPN.
Sous un autre aspect, l'invention fournit un procédé de distribution d'informations d'initialisation, comprenant une étape d'authentification consistant à recevoir et authentifier une demande d'authentification provenant d'un terminal d'utilisateur qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et un premier réseau, une étape de transmission consistant à transmettre une demande de coopération d'authentification qui demande des données d'initialisation devant être établies dans le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une étape de distribution consistant à distribuer un premier message de réponse complété avec des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses dans un second message de réponse correspondant à la demande de coopération d'authentification.
2877521 13 Le procédé peut comprendre en outre une étape de réception consistant à recevoir le second message de réponse à la demande de coopération d'authentification d'un autre réseau. Dans ce cas, un protocole SAML spécifié par le système OASIS peut être utilisé comme protocole de coopération d'authentification qui est protégé par une signature du réseau, et l'étape de réception peut comprendre la réception du message du protocole SAML servant de second message de réponse, dans lequel les données d'initialisation du terminal d'utilisateur générées par un autre réseau sont incorporées dans la procédure de coopération d'authentification qui est protégée sur la base du protocole SAML.
Le premier réseau peut comporter un système pouvant utiliser une authentification à clé publique.
Le procédé peut comprendre en outre une étape de délivrance consistant à délivrer un certificat de serveur signé pour protéger le terminal d'utilisateur. Le second message de réponse peut être un protocole de coopération d'authentification comprenant les données d'initialisation du terminal d'utilisateur générées par un autre réseau. Le certificat électronique peut inclure les informations associées à une pluralité de réseaux qui doivent coopérer les uns avec les autres lorsque la pluralité de réseaux qui doivent coopérer les uns avec les autres sont prévus dans la procédure de coopération d'authentification. Dans ce cas, les informations liées à la pluralité de réseaux qui doivent coopérer les uns avec les autres peuvent comprendre des données indicatives du classement selon lequel la pluralité de réseaux doivent coopérer pour sélectionner séquentiellement la pluralité de réseaux qui doivent coopérer fonctionnellement.
Les données d'initialisation peuvent comprendre toutes les données qui peuvent être distribuées par un protocole du système IKE spécifié par le document RFC2409 de l'organisation IETF.
Dans le procédé, les données d'initialisation peuvent comprendre toutes les données d'un protocole TLS spécifié par le document RFC2246 de l'organisation IETF et un protocole TLS étendu spécifié par le document RFC3546. Le procédé peut comprendre en outre une étape de détermination consistant à déterminer le dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique utilisé pour l'authentification d'accès du terminal 2877521 14 d'utilisateur. Dans ce cas, le dispositif de coopération d'authentification peut appartenir à un autre réseau.
Dans le procédé, l'autre réseau peut être un réseau d'entreprise, et la demande de coopération d'authentification qui est transmise au réseau d'entreprise peut comprendre une demande de connexion de réseau VPN. Dans ce cas, le procédé peut comprendre une étape de réception consistant à recevoir une clé de réseau VPN qui a été générée en réponse à la demande de connexion de réseau VPN dans la procédure de coopération d'authentification, sans mettre en oeuvre le protocole d'échange de clé. L'étape de transmission peut comprendre la transmission d'informations indéfinies destinées à générer la clé de réseau VPN, au réseau d'entreprise, dans la procédure de coopération d'authentification. Dans ce cas, les informations indéfinies peuvent être des informations qui sont générées au moment de l'authentification d'accès au réseau, ou les informations indéfinies sont utilisées par le terminal d'utilisateur pour générer la clé de réseau VPN.
Dans le procédé, un protocole TLS spécifié par le document RFC2246 de l'organisation IETF peut être utilisé en tant que procédure d'authentification d'accès au réseau, et un nombre aléatoire ainsi qu'une initialisation d'heure peuvent constituer des informations indéfinies pour générer la clé de réseau VPN.
Sous un autre aspect de l'invention, un programme de distribution d'informations d'initialisation est destiné à amener un ordinateur à fonctionner comme: une unité d'authentification qui reçoit et authentifie une demande d'authentification d'un terminal d'utilisateur qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, une unité de transmission qui transmet une demande de coopération d'authentification qui demande que des données d'initialisation soient établies pour le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une unité de distribution qui distribue un premier message de réponse complété avec des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses 2877521 15 dans un second message de réponse correspondant à la demande de coopération d'authentification.
Le programme peut comprendre en outre une unité de réception qui reçoit le second message de réponse à la demande de coopération d'authentification provenant d'un autre réseau. Dans ce cas, un protocole SAML spécifié par le système OASIS peut être utilisé comme protocole de coopération d'authentification qui est protégé par une signature du réseau, et l'unité de réception reçoit le message de protocole SAML servant de second message de réponse dans lequel les données d'initialisation du terminal d'utilisateur générées par un autre réseau sont incorporées dans la procédure de coopération d'authentification qui est protégée sur la base du protocole SAML.
Dans le programme, le premier réseau peut comporter un système pouvant utiliser une authentification à clé publique. Le programme peut comprendre en outre une unité de délivrance qui délivre un certificat de serveur signé pour protéger le terminal d'utilisateur. Le second message de réponse peut être un protocole de coopération d'authentification comprenant les données d'initialisation du terminal d'utilisateur, générées par un autre réseau. Le certificat électronique peut comprendre les informations liées à une pluralité de réseaux qui doivent coopérer les uns avec les autres lorsque la pluralité de réseaux qui doivent coopérer les uns avec les autres sont prévus dans la procédure de coopération d'authentification. Dans ce cas, les informations liées à la pluralité de réseaux qui doivent coopérer les uns avec les autres peuvent comprendre des données indicatives du classement selon lequel la pluralité de réseaux doivent coopérer pour sélectionner séquentiellement la pluralité de réseaux qui doivent coopérer fonctionnellement.
Dans le programme, les données d'initialisation peuvent comprendre toutes les données qui peuvent être distribuées par un protocole de système IKE spécifié par le document RFC2409 de l'organisation IETF. Les données d'initialisation peuvent inclure toutes les données du protocole TLS spécifié par le document RFC2246 de l'organisation IETF et d'un protocole TLS étendu spécifié par le document RFC3546.
Le programme peut comprendre en outre une unité de détermination qui détermine les dispositifs de coopération 2877521 16 d'authentification qui doivent coopérer en faisant référence au certificat électronique utilisé pour l'authentification d'accès du terminal d'utilisateur. Dans ce cas, le dispositif de coopération d'authentification peut appartenir à un autre réseau, l'autre réseau peut être un réseau d'entreprise, et la demande de coopération d'authentification qui est transmise au réseau d'entreprise peut inclure une demande de connexion de réseau VPN.
Dans ce cas, le programme peut comprendre en outre une unité de réception qui reçoit une clé de réseau VPN qui a été générée en réponse à la demande de connexion de réseau VPN dans la procédure de coopération d'authentification, sans mettre en oeuvre le protocole d'échange de clé. Dans ce cas, l'unité de transmission peut transmettre des informations indéfinies pour générer la clé de réseau VPN au réseau d'entreprise dans la procédure de coopération d'authentification.
Les informations indéfinies peuvent être des informations qui sont générées au moment d'une authentification d'accès au réseau. Elles peuvent être utilisées par le terminal d'utilisateur pour générer la clé de réseau VPN. Un protocole TLS spécifié par le document RFC2246 de l'organisation IETF peut être utilisé comme procédure d'authentification d'accès au réseau, et un nombre aléatoire ainsi qu'une initialisation d'heure peuvent constituer des informations indéfinies pour générer la clé de réseau VPN.
Sous un autre aspect, l'invention comprend un support de mémorisation qui est lisible par un ordinateur et mémorise un programme destiné à amener l'ordinateur à fonctionner comme: une unité d'authentification qui reçoit et authentifie une demande d'authentification d'un terminal d'utilisateur qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, une unité de transmission qui transmet une demande de coopération d'authentification qui demande des données d'initialisation à établir pour le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une unité de distribution qui distribue un premier message de réponse complété avec des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses 2877521 17 dans un second message de réponse correspondant à la demande de coopération d'authentification.
Sous un autre aspect, l'invention comprend un dispositif de transfert d'authentification, comprenant: une unité de réception qui reçoit un certificat électronique de client utilisé pour une authentification d'accès depuis un premier réseau qui exécute une authentification lors de la réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une unité de détermination qui détermine un dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique de client qui est reçu par l'unité de réception.
Conformément au dispositif de transfert d'authentification de l'invention, comme les données de coopération telles qu'une adresse protocole IP du serveur (dispositif de coopération d'authentification) qui sont gérées par des serveurs tels qu'un serveur de délivrance qui délivre un certificat électronique de client et qui devrait exécuter une coopération d'authentification, servent de référence, un dispositif de coopération d'authentification peut être efficacement déterminé dans la procédure d'authentification d'accès au réseau. En outre, les données de coopération telles que l'adresse de protocole IP sont gérées dans la base de données du serveur d'authentification qui coopère, alors que l'adresse de protocole IP, le localisateur URL ou analogue est décrite directement dans le certificat électronique de client, ou bien un indicateur qui permet au serveur d'être spécifié est décrit indirectement dans le certificat électronique de client.
Sous encore un autre aspect, l'invention comprend un procédé de transfert d'authentification, comprenant: une étape de réception consistant à recevoir un certificat électronique de client utilisé pour une authentification d'accès d'un premier réseau qui exécute une authentification lors de la réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une étape de détermination consistant à déterminer un dispositif de coopération d'authentification qui doit 2877521 18 coopérer en faisant référence au certificat électronique de client qui est reçu dans l'étape de réception.
L'invention comprend sous un autre aspect un programme de transfert d'authentification destiné à amener un ordinateur à fonctionner comme: une unité de réception qui reçoit un certificat électronique de client utilisé pour une authentification d'accès depuis un premier réseau qui exécute une authentification lors de la réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une unité de détermination qui détermine un dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique de client qui est reçu par l'unité de réception.
Sous un autre aspect, l'invention comprend un support de mémorisation qui est lisible par un ordinateur et mémorise un programme destiné à amener l'ordinateur à fonctionner comme: une unité de réception qui reçoit un certificat électronique de client utilisé pour une authentification d'accès à partir d'un premier réseau qui exécute une authentification lors d'une réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une unité de détermination qui détermine un dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique de client qui est reçu par l'unité de réception.
Sous encore un autre aspect, l'invention comprend un programme de réception d'informations d'initialisation destiné à amener un ordinateur à fonctionner comme: une unité de demande d'authentification qui demande une authentification d'accès à un premier réseau en utilisant une procédure d'authentification d'accès au réseau entre un terminal d'utilisateur et le premier réseau, une unité de réception qui reçoit des données d'initialisation qui sont établies pour le terminal d'utilisateur en ce qui concerne un autre réseau, lesquelles sont acquises à partir d'un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux qui coopèrent les uns avec les autres, et une unité 2877521 19 d'initialisation qui initialise séquentiellement les données d'initialisation reçues de l'unité de réception sur la base des données indicatives d'un classement de coopération d'autres réseaux inclus dans le certificat électronique de client.
Conformément au programme de réception d'informations d'initialisation de l'invention, dans le cas où il existe une pluralité de réseaux devant coopérer dans une authentification mutuelle, l'initialisation est faite séquentiellement sur la base des informations de réseau devant faire l'objet d'une coopération mutuelle qui sont indiquées par un certificat électronique (des données indicatives d'un classement des réseaux devant coopérer les uns avec les autres). Il en résulte que la commodité pour l'utilisateur est améliorée et que l'exactitude des informations de distribution peut être garantie dans chaque domaine.
Comme cela est décrit ci-dessus, comme la validité de chaque message de coopération d'authentification peut être vérifiée en vérifiant la signature faite par chacun des réseaux, les informations d'initialisation de l'utilisateur pertinentes pour une demande de service sont disponibles de façon sûre auprès de chacun des serveurs de coopération. En outre, chacun des serveurs de coopération peut être établi de façon à exécuter une initialisation pour un serveur propre fournissant au terminal d'utilisateur un service dans la procédure de coopération d'authentification entre la pluralité de réseaux.
L'invention sera bien comprise et ses avantages seront mieux compris à la lecture de la description détaillée qui suit. La description se rapporte aux dessins indiqués ci-après et qui sont donnés à titre
d'exemples.
La figure 1 est un schéma explicatif représentant un service d'initialisation automatique de terminal d'utilisateur conforme à l'invention.
La figure 2 est un schéma explicatif représentant un exemple de séquence du service d'initialisation automatique de terminal d'utilisateur conforme à l'invention.
La figure 3 est un schéma explicatif représentant un schéma synoptique et un système conformes à l'invention.
La figure 4 est un schéma explicatif représentant les détails 35 d'un protocole TLS (procédure Hello de client).
2877521 20 La figure 5 est un schéma explicatif représentant les détails du protocole TLS (arrêt du serveur).
La figure 6 est un schéma explicatif représentant un exemple détaillé (fournisseurs ISP -4 RSP) d'un protocole SAML (demande).
La figure 7 est un schéma explicatif représentant l'exemple détaillé (fournisseur RSP -a réseau d'entreprise) du protocole SAML (demande).
La figure 8 est un schéma explicatif représentant l'exemple détaillé (réseau d'entreprise -4 fournisseur RSP) du protocole SAML (réponse).
La figure 9 est un schéma explicatif représentant l'exemple détaillé (fournisseurs RSP - ISP) du protocole SAML (réponse).
La figure 10 est un schéma explicatif représentant l'exemple détaillé d'un certificat électronique.
La figure 11 est un organigramme représentant un exemple d'un déroulement de traitement entier d'un serveur de sécurité SS (SS1).
La figure 12 est un organigramme représentant un exemple du déroulement du traitement entier du serveur de sécurité SS (SS2).
La figure 13 est un organigramme représentant un exemple du déroulement du traitement entier du serveur de sécurité SS (SS3).
La figure 14 est un organigramme représentant un exemple d'un déroulement de traitement entier d'un serveur d'itinérance de sécurité SRS (SRS1).
La figure 15 est un organigramme représentant un exemple du 25 déroulement du traitement entier du serveur d'itinérance de sécurité SRS (SRS2).
La figure 16 est un organigramme représentant un exemple du déroulement du traitement entier d'un serveur de passerelle de réseau VPN (VPN).
La figure 17 est un organigramme représentant un exemple d'un déroulement du traitement entier d'un terminal d'utilisateur EE (EEO).
La figure 18 est un organigramme représentant un exemple du déroulement du traitement entier du terminal d'utilisateur EE (EE1).
La figure 19 est un organigramme représentant un exemple du déroulement du traitement entier du terminal d'utilisateur EE (EE2).
2877521 21 La figure 20 est un schéma explicatif représentant un exemple d'une séquence de génération de clé de réseau VPN utilisant une coopération d'authentification.
La figure 21 est un tableau représentant une adresse de 5 protocole IP du serveur de passerelle de réseau VPN d'une entreprise dans une base de données de services.
La figure 22 est un schéma explicatif destiné à expliquer un service d'initialisation automatique de terminal d'utilisateur de la technique classique.
La figure 23 est un schéma explicatif représentant un exemple d'une séquence du service d'initialisation automatique de terminal d'utilisateur dans la technique classique.
Ci-après, le meilleur mode de réalisation de l'invention sera décrit en faisant référence aux dessins.
<Généralités sur le fonctionnement du système> Les figures 1 et 2 sont des schémas représentant chacun un exemple de service d'accès à distance et un exemple d'une séquence de services de celui-ci conforme à l'invention.
La figure 3 est un schéma synoptique fonctionnel conforme à 20 l'invention.
Ci-après, les généralités sur le fonctionnement du système conforme à l'invention seront décrites en faisant référence à la figure 3. <1. Réseau externe 2> Un réseau externe 2 est un fournisseur de service Internet (ISP) qui fournit à tous les terminaux d'utilisateurs 4 des services de réseau à protocole IP, et propose un point d'accès de réseau local sans fil 6 (point d'accès WLAN AP), etc. En outre, le réseau externe 2 affecte une adresse de protocole IP à chacun des terminaux d'utilisateurs 4 de manière à fournir un service d'accès au système Internet. En général, un serveur à protocole DHCP 8 a pour fonction d'affecter dynamiquement l'adresse de protocole IP, et pour fonction de distribuer un localisateur URL de destination de mémorisation d'une séquence type d'initialisation automatique par exemple pour un serveur mandataire 10. En plus des éléments fonctionnels, le réseau externe 2 conforme au mode de réalisation comprend un serveur de sécurité 12 (SS) qui possède une fonction d'authentification pour exécuter un traitement d'autorisation 2877521 22 d'authentification du terminal d'utilisateur 4 nécessaire dans le cas où l'utilisateur utilise le service et une fonction d'initialisation automatique du terminal d'utilisateur 4.
<2. Réseau privé 14> Un réseau privé 14 concerne un réseau d'organisation destiné à une entreprise, une université, ou un bureau ministériel, qui procure à un nombre limité d'utilisateurs un service de réseau à protocole IP, et comporte généralement un serveur de passerelle de réseau VPN (VPNGW) 16 destiné à séparer le réseau d'un réseau public comme le système Internet. En outre, pour pouvoir limiter le terminal d'utilisateur 4 qui peut utiliser le réseau privé 14, le réseau privé 14 comporte un serveur ayant une fonction d'authentification. Dans le mode de réalisation, l'infrastructure PKI qui est une infrastructure à clé publique est utilisée pour l'authentification, et l'authentification est exécutée en utilisant un certificat électronique qui est délivré à l'utilisateur. Un serveur d'infrastructure PKI 18 (PKI) que l'on décrira plus loin est installé dans le réseau privé 14 en tant que serveur de gestion de l'infrastructure PKI, et un serveur de passerelle de réseau VPN 22 (VPN-GW) qui sera décrit plus loin est installé comme passerelle pour le terminal d'utilisateur 4 se connectant au réseau privé 14 de l'extérieur en utilisant un protocole de réseau VPN 20. Le serveur de passerelle de réseau VPN 22 a pour fonction d'authentifier l'utilisateur avec le certificat électronique ou analogue. La figure 3 représente un système dans lequel le serveur de passerelle de réseau VPN 22 et connecté à un réseau d'itinérance de sécurité qui sera décrit ci-dessous, de sorte qu'un utilisateur mobile peut accéder indirectement au réseau privé 14. Ci-dessous, en vue d'une description d'un mode de réalisation de l'invention, un réseau d'entreprise sera décrit comme exemple représentatif du réseau privé 14.
<3. Réseau d'itinérance de sécurité 24> Un réseau d'itinérance de sécurité 24 est un fournisseur de service d'itinérance (RSP) qui coopère pour la sécurité, y compris l'autorisation d'authentification des plusieurs réseaux externes 2 ou des réseaux privés 14. Le fournisseur RSP fournit un service pour exécuter la fonction de vérification du certificat électronique dans l'authentification par le serveur mandataire pour garantir la relation confidentielle entre deux réseaux 102 ou plus permettant une itinérance. Le réseau externe 2 peut 2877521 23 servir de fournisseur RSP et le mode du service fourni n'est pas limité. Dans le mode de réalisation, le réseau d'itinérance de sécurité 24 est un réseau 102 qui comporte le serveur d'itinérance de sécurité 26 (SRS) qui sera décrit plus loin en tant que serveur qui gère la sécurité en itinérance.
<4. Terminal d'utilisateur 4> Le terminal d'utilisateur 4 est constitué de quatre unités de commande décrites ci-dessous.
Tout d'abord, (1) une unité de commande de protocole d'authentification EE28 est appelée à partir d'une application d'accès au réseau utilisée dans le cas où l'utilisateur utilise un service, et exécute la procédure d'authentification d'utilisateur grâce au certificat électronique. Ensuite, (2), une unité de commande de protocole d'initialisation automatique EE30 est appelée depuis l'unité de commande de protocole d'authentification EE28 et exécute l'initialisation dans diverses unités de commande sur la base des informations d'initialisation automatique (données d'initialisation) mémorisées dans un message de réponse. Alors, (3) une unité de commande de réseau local EE32 établit diverses adresses de protocole IP du terminal d'utilisateur 4, un serveur de passerelle, un serveur de nom de domaine DNS, et un serveur mandataire 10. En outre, (4) une unité de commande de sécurité EE34 exécute une communication sécurisée avec le serveur de passerelle de réseau VPN 22 sur la base d'une clé de cryptage ou d'une clé d'authentification comme avec un client du système IPsec général.
<5. Serveur de sécurité 12> Le serveur de sécurité 12 est constitué de quatre unités de commande décrites ci-dessous. Tout d'abord, (1), une unité de commande de protocole d'authentification SS36 possède une fonction d'authentification d'utilisateur grâce au certificatélectronique, une fonction de vérification pour valider le certificat électronique, et une fonction d'autorisation d'un service. Ensuite, (2) une unité de commande de protocole d'initialisation automatique SS38 est appelée depuis l'unité de commande de protocole d'authentification SS36, et ajoute les informations d'initialisation (données d'initialisation) recueillies par l'intermédiaire de l'unité de commande d'initialisation afin d'exécuter les diverses initialisations automatiques, et le réseau coopérant 102, au message de réponse d'autorisation qui a été complété en vue d'une distribution à 2877521 24 l'utilisateur. La partie complétée du message de réponse d'autorisation est une partie originale complétée conformément à l'invention comme indiqué sur la figure 5. Alors (3), une unité de commande d'initialisation de réseau local SS40 gère le point d'accès au réseau local sans fil 6 dans le réseau externe 2, et le serveur à protocole DHCP 8, et recueille une initialisation de réseau local appropriée conformément à la situation (par exemple l'adresse de protocole IP du terminal d'utilisateur 4, l'adresse de protocole IP de la passerelle et du serveur DNS, un localisateur URL de destination de mémorisation d'un fichier de séquence type d'initialisation automatique du serveur mandataire 10, etc.) en utilisant un protocole DHCP, etc. En outre, (4) une unité de commande de protocole de coopération d'authentification SS42 notifie au réseau 102 qui devrait exécuter une coopération d'authentification, les informations d'autorisation d'authentification d'utilisateur sur un réseau propre, et l'initialisation générée, et reçoit un seul résultat d'authentification de signature et des informations d'initialisation (données d'initialisation) de chacun des réseaux de coopération d'authentification.
<6. Serveur à protocole DHCP 8> Le serveur à protocole DHCP 8 possède des fonctions d'initialisation de réseau local (l'affectation d'une adresse de protocole IP de terminal d'utilisateur, la distribution des adresses de protocole IP du serveur DNS et du serveur de passerelle, la notification d'un localisateur URL de destination de mémorisation de la séquence type d'initialisation automatique du serveur mandataire 10) nécessaires au terminal d'utilisateur 4 pour accéder au réseau 102. Dans le mode de réalisation, le serveur à protocole DHCP 8 est un serveur à protocole DHCP normal 8 qui est en accord avec le document RFC2131 qui constitue une disposition standard, et accepte en outre une fonction WPAD (une option qui accède à un localisateur URL de destination de mémorisation de la séquence type d'initialisation automatique du serveur mandataire 10) qui est normalement soutenue par le serveur à protocole DHCP 8 de Microsoft Corporation. Le protocole DHCP 44 est utilisé entre le serveur de sécurité 12 et le serveur à protocole DHCP 8.
<7. Serveur d'itinérance de sécurité 26> Le serveur d'itinérance de sécurité 26 est constitué de deux unités de commande et d'une base de données qui sont décrites ci- 2877521 25 dessous. Tout d'abord, (1) une base de données de services 46 (base de données de serveur) détermine l'adresse de protocole IP du serveur (dispositif de coopération d'authentification) qui devrait exécuter une coopération d'authentification en utilisant les informations sur un certificat électronique de client en tant que clé de recherche. La figure 3 donne un exemple du serveur de sécurité 12, du serveur d'itinérance de sécurité 26, et du serveur de passerelle de réseau VPN 22 en tant que dispositif de coopération d'authentification.(2) Une unité de commande de protocole de coopération d'authentification SRS48 (i) reçoit une seule demande d'authentification de signature et une réponse comprenant le résultat de l'autorisation de l'authentification de l'utilisateur et les informations d'initialisation qui ont été transmis depuis l'unité de commande de protocole de coopération d'authentification SS42 du serveur de sécurité 12 ou l'unité de commande de protocole de coopération d'authentification VPN 50 du serveur de passerelle de réseau VPN 22, (ii) détermine un serveur qui devrait être soumis à la coopération d'authentification sur la base des informations d'adresse de serveur à l'intérieur du certificat électronique de client ou de la base de données de services 46 (base de données de service), et (iii) propage le résultat de l'autorisation d'authentification de l'utilisateur et les informations d'initialisation vers le serveur qui a été déterminé comme étant soumis à la coopération d'authentification. Alors, (3) une unité de commande de protocole d'authentification SRS52 possède une fonction d'authentification d'utilisateur fondée sur le certificat électronique, une fonction de vérification pour valider le certificat électronique, et une fonction d'autorisation du service.
<8. Serveur de passerelle de réseau VPN 22> Le serveur de passerelle de réseau VPN 22 est constitué de deux unités de commande décrites cidessous. Tout d'abord, (1) une unité de commande de protocole de coopération d'authentification VPN 50 reçoit la seule demande d'authentification de signature comprenant le résultat d'autorisation d'authentification et les informations d'initialisation de chacun des réseaux de coopération d'authentification tels que le serveur d'itinérance de sécurité 26, et transmet une seule réponse d'authentification de signature comprenant le résultat de l'authentification et les informations d'initialisation dans le serveur de passerelle de réseau 2877521 26 VPN 22 au serveur d'itinérance de sécurité 26. Ensuite, (2) une unité de commande de réseau VPN 54 est appelée à partir de l'unité de commande de protocole d'authentification VPN, exécute l'authentification de l'utilisateur, génère et distribue la clé de réseau VPN qui exécute l'authentification et le cryptage, et exécute une commande d'accès et une communication de cryptage avec la clé de réseau VPN comme dans le serveur de passerelle de réseau VPN général 22. Dans le mode de réalisation, le serveur de passerelle de réseau VPN 22 est le serveur de passerelle de réseau VPN 16 qui est en accord avec le système IPsec spécifié par le document RFC2401 (architecture de sécurité pour le protocole Internet) qui est une disposition standard.
<9. Serveur d'infrastructure PKI 18> Un serveur d'infrastructure PKI 18 est constitué d'une fonction de gestion qui délivre et invalide le certificat électronique d'infrastructure PKI, et d'une base de données d'infrastructure PKI 56 (PKI-DB) qui sauvegarde le certificat électronique d'infrastructure PKI. La forme du certificat électronique est complétée pour mémoriser les informations indicatives du réseau 102 qui devrait coopérer dans le cas d'une authentification du terminal d'utilisateur 4 sous la forme spécifiée par le document RFC3280 de l'organisation IETF. Dans le mode de réalisation, la forme d'un certificat électronique mémorise un indicateur d'identification indicatif de l'adresse de protocole IP du serveur de passerelle de réseau VPN 22 et les informations d'autorisation de service indicatives des conditions de validation d'accès (heure, jour de la semaine, etc.).
<10. Protocole unique de signature 58> Un protocole unique de signature 58 est un protocole de coopération d'autorisation d'authentification utilisé entre le serveur de sécurité 12, le serveur d'itinérance de sécurité 26, et le serveur de passerelle de réseau VPN 22. Le protocole unique de signature 58 est utilisé pour transmettre le résultat de l'autorisation d'authentification et l'initialisation de sécurité lorsque le terminal d'utilisateur 4 de l'utilisateur mobile utilise le service de réseau local sans fil public. Dans le mode de réalisation de l'invention, l'utilisation du protocole SAML qui est le protocole unique de signature caractéristique 58, est supposée. Un élément d'informations est décrit dans le message de réponse du protocole SAML défini par le protocole SAML lors de la transmission des 2877521 27 informations d'initialisation de sécurité qui sont nécessaires dans le mode de réalisation de l'invention. L'élément d'informations décrit représente des informations se rapportant à l'initialisation d'un réseau VPN.
<11. Protocole TLS 60> Un protocole TLS 60 est un protocole d'authentification qui est utilisé entre le terminal d'utilisateur 4, le point d'accès au réseau local sans fil 6, et le serveur de sécurité 12. Lorsque le terminal d'utilisateur 4 utilise le service de réseau local sans fil public, le protocole TLS 60 transmet au terminal d'utilisateur 4, (i) le certificat électronique de client pour le serveur de sécurité 12 authentifiant un utilisateur, (ii) le certificat de serveur pour le terminal d'utilisateur 4 authentifiant le serveur de sécurité 12 ou le point d'accès au réseau local sans fil 6, et (iii) les informations d'initialisation automatique (données d'initialisation). Dans le mode de réalisation, (i) un protocole EAP-TLS, un protocole EAP-TTLS, et un protocole PEAP qui sont acceptés entre le terminal d'utilisateur 4 et le point d'accès au réseau local sans fil 6 par le standard IEEE 802.1x sont supposés, et (ii) un protocole RADIUS (protocole d'authentification 62) qui comprend le protocole EAP entre le point d'accès au réseau local sans fil 6 et le serveur de sécurité 12, est supposé. La transmission des informations d'initialisation automatique qui sont nécessaires dans le mode de réalisation de l'invention est réalisée en utilisant l'extension de protocole TLS spécifiée par le document RFC3546 de l'organisation IETF qui est une organisation de standardisation et en séparant et en décrivant l'élément d'informations pour une nouvelle initialisation automatique dans le message d'extension pour chacun des réseaux qui coopèrent. L'élément d'informations décrit représente les informations (données d'initialisation) liées à l'initialisation d'un réseau local de l'adresse de protocole IP, etc., et à l'initialisation de sécurité telle qu'une clé de cryptage qui est réalisée par le système IPsec.
<Modèle de service d'accès à distance> La figure 1 représente un modèle de service d'accès à distance conforme au mode de réalisation. Il s'agit d'un modèle de service grâce auquel un utilisateur mobile appartenant à une entreprise utilisant une infrastructure à clé publique (PKI) accède de façon sécurisée à un réseau d'entreprise à partir d'une pluralité de services de réseaux locaux sans fil publics externes. Au préalable, pour que le fournisseur ISP qui gère une 2877521 28 pluralité de services de réseaux sans fil publics puisse être affilié au fournisseur RSP qui est un fournisseur d'itinérance en vue d'une authentification en itinérance et puisse garantir une identité mutuelle, le fournisseur ISP délivre mutuellement le certificat croisé qui est utilisé par l'infrastructure PKI. De manière à ce que l'entreprise puisse à son tour utiliser une pluralité de services de réseaux locaux sans fil publics par l'intermédiaire du fournisseur RSP, l'entreprise est affiliée au fournisseur RSP et délivre mutuellement le certificat croisé. L'entreprise n'a pas besoin d'être affiliée au fournisseur ISP à l'avance. Le modèle d'une telle infrastructure PKI est généralement appelé "modèle en pont". La séquence de services conforme à l'invention est représentée sur la figure 2. Ci-après, les détails du mode de réalisation seront décrits en faisant référence à la figure 1.
L'entreprise comporte une base d'authentification par l'infrastructure PKI. Le serveur d'infrastructure PKI 18 a délivré le certificat électronique de client afin de garantir une identité aux utilisateurs qui sont des employés et divers types de serveurs ((1) de la figure 1). En outre, un certificat de routage d'entreprise destiné à vérifier la validité du certificat électronique dans l'entreprise est installé dans le terminal d'utilisateur 4 au préalable. L'entreprise a délivré à l'avance le certificat électronique en vue d'une authentification d'accès à distance à l'utilisateur qui exécute des activités externes telles que du commerce. Les informations d'autorisation de service telles que des informations de service d'accès à distance (un identificateur de serveur de service, une date et une heure de validation d'accès) et un identificateur SSID du service de réseau local sans fil public qui s'est relié sont remplis dans le certificat électronique. Comme le certificat électronique a été signé par un élément de délivrance, et que la modification est impossible, un utilisateur de mobile non prévu par l'entreprise peut être empêché d'utiliser un service d'accès à distance. En outre, le certificat électronique est mémorisé directement dans le terminal d'utilisateur 4 de l'utilisateur mobile, ou bien est mémorisé dans le terminal d'utilisateur 4 par un dispositif externe tel qu'une carte à circuit intégré.
Dans ce cas, l'identificateur SSID du service de réseau local sans fil public à l'intérieur du certificat électronique est extrait par l'unité de commande de protocole d'initialisation automatique EE30, et est 2877521 29 automatiquement établi pour l'unité de commande de réseau local EE32 qui commande un accès au réseau local sans fil, par défaut. Donc, l'utilisateur n'a pas besoin d'être conscient de l'initialisation antérieure.
<Traitement de l'unité EEO> Le déroulement du traitement du terminal d'utilisateur 4 est représenté sur la figure 17 (EEO). L'identificateur SSID (initialisation de réseau local sans fil) du certificat du client est détecté (S60), et l'on évalue si l'initialisation de réseau local sans fil d'un système d'exploitation (OS) du terminal d'utilisateur 4 contient un identificateur SSID qui a été détecté à partir du certificat du client (S61). Lorsque l'initialisation de réseau local sans fil contient un identificateur SSID, le traitement d'initialisation de l'identificateur SSID est terminé. Lorsque l'initialisation de réseau local sans fil ne contient pas d'identificateur SSID, l'identificateur SSID est établi pour l'initialisation de réseau local sans fil du système d'exploitation du terminal d'utilisateur 4 (S62, (2) de la figure 1).
<Traitement de l'unité EE1> Le déroulement du traitement du terminal d'utilisateur 4 est représenté sur la figure 18 (EE1). Le terminal d'utilisateur 4 détecte l'identificateur SSID dans la balise qu'envoie le point d'accès au réseau local sans fil 6 (S63). On évalue si une initialisation de réseau local sans fil du système d'exploitation du terminal d'utilisateur 4 contient un identificateur SSID détecté (S64). Lorsque l'initialisation de réseau local sans fil contient un identificateur SSID détecté, le terminal d'utilisateur 4 lance une procédure d'authentification d'accès au réseau (authentification de protocole EAP) (S66, (3) à (5) de la figure 1). Ce traitement est inclus dans un système d'exploitation d'usage général, tel que Windows XP. Lorsque l'identificateur SSID détecté diffère d'une initialisation de réseau local sans fil du terminal d'utilisateur 4, le terminal d'utilisateur 4 établit l'identificateur SSID d'une balise comme initialisation de réseau local sans fil du système d'exploitation d'un terminal client (S65).
Ensuite, lorsque le terminal d'utilisateur 4 reçoit le début de protocole TLS (TLS_start), le service d'itinérance d'initialisation automatique du certificat du client est détecté (S67), "7" est établi dans le type d'extension (extension_type) de la partie complétée du protocole TLS (procédure Hello du client) (S68, figure 4) et un message du protocole TLS (procédure Hello du client) est transmis au réseau externe 2 (dans le 2877521 30 mode de réalisation, le serveur de sécurité 12 par l'intermédiaire du point d'accès au réseau local sans fil 6) ((S69), (3) à (5) sur la figure 1). <Traitement de serveur SS1> Le déroulement du traitement du serveur de sécurité 12 est représenté sur la figure 11 (SS1) . Ensuite, le serveur de sécurité 12 reçoit un message du protocole TLS (procédure Hello de client) du terminal d'utilisateur 4 (Si, (5) de la figure 1). Comme le certificat électronique qui a été reçu par le serveur de sécurité 12 n'est pas un certificat électronique délivré par le fournisseur ISP, la validité du certificat électronique est vérifiée en utilisant le protocole de vérification de certificat 64 (SCVP) et en se renseignant auprès de l'unité de commande de protocole d'authentification SRS52 du fournisseur SRP de ce qui concerne la validité (S2). Ensuite, le serveur de sécurité 12 détecte une demande de service d'itinérance d'initialisation automatique (type d'extension = 7) à partir de la partie complétée d'un message de protocole TLS (procédure Hello de client) (S3), et évalue s'il existe une fonction d'itinérance d'initialisation automatique de terminal, ou non (S4). Lorsqu'il existe une fonction d'itinérance d'initialisation automatique de terminal (type d'extension = 7), les données de vérification de certificat de serveur sont mémorisées dans la zone complétée dans le message de procédure Hello de serveur dans le protocole TLS 60, et le message du protocole TLS (procédure Hello de serveur) est renvoyé en sécurité au terminal d'utilisateur 4 en utilisant la fonction de protection du protocole TLS (S6, S7). Lorsque l'initialisation automatique du côté du réseau 102 ne peut pas être exécutée (lorsque la fonction d'itinérance d'initialisation automatique de terminal est inactive), le traitement est exécuté sur la base d'une procédure d'authentification NG (S5).
L'authentification d'accès au réseau est exécutée sur la base du standard IEEE 802.1x et de la procédure d'authentification du protocole TLS. Le point d'accès au réseau local sans fil 6 intercepte temporairement les accès autres que la demande d'authentification provenant du terminal d'utilisateur 4 sur la base de la procédure d'authentification du protocole TLS. L'unité de commande de réseau local EE32 du terminal d'utilisateur 4 demande l'authentification de serveur auprès du point d'accès au réseau local sans fil 6, de manière à valider le point d'accès au réseau local sans fil connecté 6. Dans les présentes circonstances, le point d'accès au 2877521 31 réseau local sans fil 6 remplace la demande provenant d'un utilisateur par le protocole RADIUS, et transfère le protocole RADIUS remplacé vers le serveur de sécurité 12 comportant la relation confidentielle grâce à une clé de partage ou autre, à l'avance. L'unité de commande de protocole d'authentification SS36 du serveur de sécurité 12 transmet le certificat de serveur au terminal d'utilisateur 4 conformément à la demande d'authentification du serveur.
De manière à vérifier le certificat du serveur, il est nécessaire que le certificat propre (certificat d'itinéraire) d'un bureau de délivrance (CA) qui a délivré le certificat de serveur soit mémorisé dans le terminal d'utilisateur 4. Habituellement, du fait que le certificat d'itinéraire d'une organisation de délivrance de certificat électronique caractéristique telle que VeriSign est établi pour le système d'exploitation du terminal d'utilisateur 4, ou analogue, à l'avance, la vérification peut être faite par le terminal d'utilisateur 4. Dans le mode de réalisation de l'invention, l'unité de commande de protocole d'authentification SS36 du serveur de sécurité 12 représenté sur la figure 3 accepte l'extension de protocole TLS spécifiée par le document RFC3546 de l'organisation IETF qui est une organisation de standardisation, vérifie un certificat de serveur du côté du réseau externe 2, inclut le résultat de la vérification dans l'extension du protocole TLS, et transmet le message au terminal d'utilisateur 4. Le résultat de la vérification est confirmé par l'unité de commande de protocole d'authentification EE28 après que l'unité de commande de réseau local EE32 du côté du terminal d'utilisateur 4 a reçu le message, en permettant ainsi l'authentification du serveur. Après cela, pour pouvoir exécuter l'authentification du client qui demande l'autorisation d'authentification au fournisseur ISP qui propose le service de réseau local sans fil, l'unité de commande de protocole d'authentification EE28 du terminal d'utilisateur 4 transmet le certificat de client qui a été délivré depuis le serveur d'infrastructure PKI de l'entreprise au fournisseur ISP ((4) de la figure 1).
<Traitement de serveur SS2> Le déroulement du traitement du serveur de sécurité 12 est représenté sur la figure 12 (SS2). Le serveur de sécurité 12 qui a reçu le 35 certificat du client est authentifié en vérifiant le certificat du client par l'intermédiaire de l'unité de commande de protocole d'authentification 2877521 32 SS36, et approuve le service ((S8) (5) de la figure 1). Dans ce cas, comme le certificat électronique reçu du terminal d'utilisateur 4 n'est pas un certificat électronique délivré par le fournisseur ISP, sa validité est vérifiée en s'enquérant auprès du serveur d'infrastructure PKI 18 d'une entreprise, de ce qui concerne la validité par l'intermédiaire de l'unité de commande de protocole d'authentification SRS52 du fournisseur RSP avec la fonction de pont-CA de l'infrastructure PKI spécifiée pour le document RFC3280 de l'organisation IETF qui est une organisation de standardisation en utilisant le protocole de vérification de certificat 64 (protocole SCVP) comme un certificat de serveur (S9). L'unité de commande de protocole d'authentification SRS52 du fournisseur RSP fonctionne en tant que serveur de relais ou serveur de remplacement pour vérifier le certificat. Lorsque le fournisseur RSP contient les informations de péremption sur le certificat électronique géré par le serveur d'infrastructure PKI 18 de l'entreprise, la vérification du certificat à partir du serveur de sécurité 12 est terminée uniquement par une demande au fournisseur RSP. Après vérification, l'authentification d'accès au réseau du côté du fournisseur ISP est terminée.
L'unité de commande de protocole d'authentification SS36 du serveur de sécurité 12 fournit en sortie le résultat de l'autorisation d'authentification à l'unité de commande de protocole d'initialisation automatique SS38 (S10). L'unité de commande de protocole d'authentification SS36 ordonne à la partie de gestion d'initialisation de réseau local SS de l'unité de commande de protocole d'initialisation automatique SS38 d'obtenir une initialisation de réseau local contenant des adresses de protocole IP du terminal d'utilisateur 4, du fournisseur DNS, de la passerelle, et ainsi de suite, à partir du serveur à protocole DHCP 8, etc., avant de renvoyer le résultat de l'authentification à l'utilisateur (S11). Alors, l'unité de commande de protocole d'initialisation automatique SS38 évalue s'il existe une demande de service d'itinérance d'initialisation automatique (type d'extension = 7) comportant le fait que le terminal d'utilisateur 4 demande un service d'itinérance de sécurité, le fait étant ajouté à l'extension du protocole TLS, ou non (S12). L'unité de commande de protocole d'initialisation automatique SS38 demande à l'unité de commande de protocole de coopération d'authentification SS42 de recueillir les informations d'initialisation sur le réseau 102 qui coopère 2877521 33 ou bien sur le service en utilisant le protocole de coopération de l'authentification. Lorsque la demande de service de sécurité/service d'itinérance de sécurité n'a pas été exécutée (c'est-à-dire que le type d'extension n'est pas "6" ni "7"), les informations d'initialisation de réseau local sont mémorisées dans une zone qui est complétée à l'intérieur du message de serveur arrêté dans le protocole TLS 60, et ensuite renvoyées en sécurité à l'utilisateur en utilisant une fonction de protection du protocole TLS (de S13 à S15).
L'unité de commande de protocole de coopération d'authentification SS42 du serveur de sécurité 12 évalue le réseau 102 qui coopère ou le service en faisant référence aux informations d'autorisation de service décrites dans le certificat électronique de client. Pour pouvoir recueillir les informations d'initialisation les concernant, la demande de service d'itinérance de sécurité comprenant le résultat de l'autorisation d'authentification du terminal d'utilisateur 4 et l'initialisation de réseau local qui représente les informations d'initialisation sur le fournisseur ISP est donnée au serveur de coopération d'authentification dans les informations d'autorisation de service ((8) de la figure 1). Dans cet exemple, une demande de service d'itinérance est donnée au serveur d'itinérance de sécurité 26 du fournisseur RSP qui exécute ces traitements d'itinérance ensemble, conformément à la demande de service d'initialisation automatique (type d'extension = 7, figure 4) représentée dans la partie d'extension du protocole TLS. En particulier, en utilisant le protocole SAML qui est un message unique de signature standard, l'itinérance est décrite pour la requête de décision d'autorisation dans le message de demande du protocole SAML afin de procurer une demande de service (S16, figure 6). (i) les informations d'autorisation d'authentification d'utilisateur, tous les messages d'authentification du protocole TLS, et (ii) les informations d'initialisation de réseau local sont ajoutées à une assertion qui indique le résultat de l'authentification d'accès au réseau dans le fournisseur ISP, et ces éléments d'informations sont transmis (de S17 à S19). En outre, le message du protocole SAML contient le certificat électronique de client. Le message du protocole SAML est protégé par la signature électronique du fournisseur ISP, et un cryptage.
2877521 34 <Traitement de serveur SRS1> Le déroulement du traitement du serveur d'itinérance de sécurité 26 est représenté sur la figure 14 (SRS1). Le serveur d'itinérance de sécurité 26 du fournisseur RSP reçoit le message de protocole SAML qui est une demande de service d'itinérance de sécurité dans l'unité de commande de protocole de coopération d'authentification SRS48, et confirme la validité du message par une signature électronique (S30). Dans l'unité de commande de protocole de coopération d'authentification SRS48, la coopération du réseau spécifié 102 et du service est lancée en faisant référence aux informations d'autorisation de service décrites par le certificat électronique de client contenu dans le message du protocole SAML (S31, (9) et (10) de la figure 1). En particulier, comme indiqué sur la figure 7, le réseau VPN d'exécution pour accéder au réseau d'entreprise est décrit dans le certificat électronique du client. L'unité de commande de protocole de coopération d'authentification SRS48 (i) extrait l'adresse de protocole IP du serveur de passerelle de réseau VPN 22 de l'entreprise gérée à l'avance dans la base de données de services 46 dans le fournisseur RSP à partir de l'indicateur de serveur de réseau VPN des informations du certificat électronique, et (ii) transmet le message du protocole SAML comprenant le résultat de l'autorisation d'authentification d'accès au réseau et les informations d'initialisation de réseau local sur le terminal d'utilisateur 4 au serveur de passerelle de réseau VPN 22, et (iii) délivre une demande de connexion de réseau VPN (échange de clé) (S32 à S34, (10) de la figure 1). La figure 21 est un tableau représentant l'adresse de protocole IP du serveur de passerelle de réseau VPN 22 de l'entreprise dans la base de données de services 46. Le message du protocole SAML est protégé par la signature électronique du fournisseur RSP et un cryptage. Bien que le réseau 102 qui coopère ne soit qu'un seul des serveurs de passerelle de réseau VPN 22 de l'entreprise dans le mode de réalisation, dans le cas où une pluralité de serveurs de passerelle deréseau VPN est prévue, le serveur d'itinérance de sécurité 26 sert de serveur central, et il coopère avec les autres un par un en utilisant un protocole de coopération d'authentification, en permettant ainsi une coopération avec une pluralité de serveurs. Dans cette situation, l'ordre de la coopération devient important et il est également décrit dans le certificat électronique de client, et les directives peuvent être suivies. En 2877521 35 outre, lorsque le serveur est un serveur (dispositif de coopération d'authentification) avec l'unité de commande de protocole de coopération d'authentification, la coopération est également possible en utilisant des relais.
<Traitement de réseau VPN> Le déroulement du traitement du serveur de passerelle de réseau VPN 22 est représenté sur la figure 16 (VPN). Le serveur de passerelle de réseau VPN 22 de l'entreprise reçoit le message de protocole SAML qui représente la demande de connexion de réseau VPN représentée sur la figure 7 l'unité de commande de protocole de coopération d'authentification VPN 50, et confirme la validité d'un message par une signature électronique (S50). Dans l'unité de commande de protocole de coopération d'authentification VPN 50, l'authentification d'utilisateur est tout d'abord exécutée en faisant référence au résultat (l'assertion) de l'autorisation d'authentification d'accès au réseau de l'utilisateur en réponse à la demande de connexion de réseau VPN indiquée par le message du protocole SAML (S51, (11) de la figure 1). Ensuite, la génération de clé et une initialisation pour la communication de réseau VPN correspondant au terminal d'utilisateur 4 sont demandées à l'unité de commande de réseau VPN 54 en faisant référence aux informations d'initialisation de réseau local (adresse de protocole IP) sur le terminal d'utilisateur 4 contenues dans l'assertion (S52). L'unité de commande de réseau VPN 54 exécute une initialisation de communication sécurisée du système IPsec, etc., et transmet l'initialisation de la sécurité (l'adresse de protocole IP du serveur de réseau VPN, la clé de cryptage, et une adresse de protocole IP interne du client de réseau VPN, etc.) qui est transmise au terminal d'utilisateur 4 qui représente le côté client du réseau VPN, à l'unité de commande de protocole de coopération d'authentification VPN 50 (S53). L'unité de commande de protocole de coopération d'authentification VPN 50 transmet le message de réponse du protocole SAML qui comprend l'initialisation de sécurité et le résultat de l'autorisation de l'authentification de l'utilisateur par le serveur de passerelle de réseau VPN 22 dans le message de réponse du protocole SAML, au serveur d'itinérance de sécurité 26 du fournisseur RSP (S54 à S57, figure 8 et (13) de la figure 1). Dans cette situation, la sécurité est protégée par un cryptage de l'initialisation de sécurité à l'intérieur des informations du 2877521 36 résultat de l'autorisation d'authentification (assertion) avec une clé publique de l'utilisateur (S55, (12) de la figure 1). En outre, le message du protocole SAML est protégé par la signature électronique de l'entreprise et un cryptage. Une priorité de traitement des informations à établir dans le terminal d'utilisateur 4 est déterminée conformément à la politique d'établissement de priorité de traitement qui a été classée à l'avance. L'initialisation de réseau VPN obtenue à partir du serveur de passerelle de réseau VPN 22 reçoit une priorité "A" de sorte que le traitement d'initialisation puisse être exécuté en premier. Lorsqu'il existe des informations d'initialisation concernant une pluralité de services, la priorité de traitement d'initialisation de chacune des informations est recherchée et un classement du traitement est déterminé pour les informations ayant la même priorité sur la base d'une politique d'établissement du classement de traitement prédéterminée. Les valeurs de priorité de traitement et de classement de traitement sont décrites dans le message de réponse du protocole SAML.
<Traitement de serveur SRS2> Le déroulement du traitement du serveur d'itinérance de sécurité 26 est représenté sur la figure 15 (SRS2). Le serveur d'itinérance de sécurité 26 du fournisseur RSP reçoit le message de réponse du protocole SAML dans l'unité de commande de protocole de coopération d'authentification SRS48, et conforme la validité d'un message par une signature électronique (S35). Dans l'unité de commande de protocole de coopération d'authentification SRS48, en tant que réponse à la demande de service d'itinérance de sécurité provenant du fournisseur ISP, les informations sur le message de réponse du protocole SAML sont mises à la suite et sont transmises au serveur de sécurité 12 du fournisseur ISP (S36 à S40, figure 9 et (14) de la figure 1). Le message du protocole SAML est protégé par la signature électronique faite par le fournisseur RSP et le cryptage. Lorsque le serveur coopère avec une pluralité de réseaux 102 et qu'il existe une pluralité d'informations d'initialisation, le résultat (l'assertion) de l'autorisation d'authentification comprenant chacune des informations d'initialisation est agencé dans un message de protocole SAML, un par un, et une réponse est faite.
2877521 37 <Traitement du serveur SS3> Le déroulement du traitement du serveur de sécurité 12 est représenté sur la figure 13 (SS3). Le serveur de sécurité 12 du fournisseur ISP reçoit le message de réponse du protocole SAML dans l'unité de commande de protocole de coopération d'authentification SS42, et confirme la validité du message par une signature électronique (S20). Dans l'unité de commande de protocole de coopération d'authentification SS42, l'initialisation de sécurité et l'initialisation de réseau local qui ont été reçues et cryptées sont envoyées à l'unité de commande de protocole d'initialisation automatique SS38 de manière à transmettre ces initialisations au terminal d'utilisateur 4. L'unité de commande de protocole d'initialisation automatique SS38 extrait les informations d'initialisation pour chaque ressource à l'intérieur du protocole SAML (réponse) (S24). Ensuite, l'unité de commande de protocole d'initialisation automatique SS38 mémorise les informations d'initialisation séquentiellement dans la zone complétée dans le message de serveur arrêté dans le protocole TLS 60 pour chaque réseau 102 ou service, et répond au terminal d'utilisateur 4 en sécurité par l'intermédiaire de l'unité de commande de protocole d'authentification SS36 en utilisant la fonction de protection du protocole TLS sous forme d'une réponse d'authentification d'accès au réseau (S24 à S26, (15) de la figure 1). Lorsque la réponse du service de sécurité NG est contenue dans le message de réponse du protocole SAML, l'utilisateur reçoit une réponse en tant qu'authentification de l'utilisateur NG sur la base de la procédure du protocole TLS (S22, S23). En outre, dans le cas d'une authentification NG, une demande qui ouvre l'adresse de protocole IP du terminal d'utilisateur acquis 4 est donnée depuis l'unité de commande de protocole d'initialisation automatique SS38 à l'unité de commande d'initialisation de réseau local SS40. Le message du protocole TLS est mémorisé dans le protocole RADIUS et est transmis au point d'accès au réseau local sans fil 6, et la communication qui a été interrompue sur la base du résultat de l'authentification de l'utilisateur est ouverte dans le point d'accès au réseau local sans fil 6. En outre, des informations sont transférées vers le terminal d'utilisateur 4 en utilisant une unité spécifiée par le standard IEEE 802.1x. Une priorité de traitement des informations d'initialisation de réseau local à établir dans le terminal d'utilisateur 4 par le fournisseur ISP 2877521 38 est déterminée conformément à la politique d'établissement de priorité de traitement qui a été classée à l'avance. Dans cette situation, lorsque la priorité de traitement d'initialisation de chacune des informations est recherchée et qu'il existe des informations ayant la même priorité, un classement du traitement est déterminé sur la base de la politique d'établissement de classement de traitement prédéterminée. En outre, les informations d'initialisation reçues par le protocole SAML suivent la priorité de traitement et le classement de traitement décrit dans le message de protocole SAML reçu. Les valeurs d'une priorité de traitement et d'un classement de traitement sont décrites dans l'initialisation de priorité de chaque zone d'extension du protocole TLS.
<Traitement de terminal EE2> Le déroulement du traitement du terminal d'utilisateur 4 est représenté sur la figure 19 (EE2). Le terminal d'utilisateur 4 reçoit le message du protocole TLS par l'unité de commande de protocole d'authentification EE28, et exécute une procédure d'authentification d'accès au réseau (authentification de protocole EAP) jusqu'à la fin (S71). L'unité de commande de protocole d'authentification EE28 détecte le service d'itinérance d'initialisation automatique (type d'extension = 7) à partir d'une partie d'extension de protocole TLS (serveur arrêté). Ensuite, l'unité de commande de protocole d'authentification EE28 transmet les informations sur une initialisation de sécurité incluse dans l'extension du protocole TLS et une initialisation de réseau local à l'unité de commande de protocole d'initialisation automatique EE30. L'unité de commande de protocole d'initialisation automatique EE30 traite les informations d'initialisation qui sont proposées pour chaque réseau conformément à la priorité décrite par le certificat électronique de client (S73 à S75). Dans cet exemple, la priorité est attribuée au traitement d'initialisation à partir du réseau d'entreprise, une initialisation de sécurité cryptée est décryptée avec une clé privée de l'utilisateur, et transmise à l'unité de commande de sécurité EE34 pour exécuter automatiquement l'initialisation de communication sécurisée du système IPsec, etc. (S81). Ensuite, le traitement d'initialisation à partir du fournisseur ISP est exécuté, l'initialisation du réseau local de l'adresse de protocole IP du terminal d'utilisateur 4, etc. est transmise à l'unité de commande de réseau local, 2877521 39 et l'initialisation de la communication est exécutée automatiquement (S81).
Avec la procédure, l'initialisation pour communiquer de façon sécurisée sur le réseau d'entreprise depuis le terminal d'utilisateur 4 est terminée, et une communication sécurisée peut être exécutée immédiatement après la réponse d'authentification de l'accès au réseau.
Les exemples représentent le procédé de distribution de l'initialisation de sécurité au terminal d'utilisateur 4 depuis le serveur de passerelle de réseau VPN 22 de l'entreprise. Cependant, la distribution des informations de clé de réseau VPN par l'intermédiaire du réseau 102 présente un risque de fuite, et en tant que contre-mesure, une charge de traitement élevée sur le serveur est nécessaire dans le traitement de cryptage/décryptage.
<Génération de la clé de réseau VPN en utilisant des 15 informations indéfinies> Une séquence de génération de clé est représentée sur la figure 19. Au lieu de distribuer une clé de réseau VPN, des informations indéfinies telles que des informations d'un nombre aléatoire et d'une heure qui sont générées au moment de l'authentification d'accès au réseau, sont transmises au réseau d'entreprise dans la procédure de coopération d'authentification, et le procédé de génération de clé qui génère la même clé de réseau VPN peut être utilisé. La même clé de réseau VPN peut être générée par le serveur du réseau d'entreprise et le terminal d'utilisateur 4, respectivement, en combinant les informations indéfinies, le réseau d'entreprise pré-initialisé, et une clé de partage de l'utilisateur (procédé de génération de clé). En particulier, des informations indéfinies sont incluses dans le message de procédure Hello du client et le message de procédure Hello du serveur du protocole TLS parmi les messages de la procédure d'authentification de protocole TLS qui constitue une procédure d'authentification d'accès au réseau dans le fournisseur ISP. Ces messages sont inclus dans le message qui notifie au serveur de réseau VPN de l'entreprise le résultat de l'autorisation d'authentification dans le fournisseur ISP par le protocole de coopération d'authentification de façon à ce qu'il soit distribué dans le réseau d'entreprise. Le serveur du réseau d'entreprise et le terminal d'utilisateur 4 peuvent générer respectivement la même clé de réseau VPN grâce à une 2877521 40 fonction de hachage de même que la clé de partage qui a été cryptée dans le certificat électronique.
Un message de protocole TLS (procédures Hello de client, Hello de serveur) comprenant les informations indéfinies constitue également les informations destinées à vérifier un résultat d'autorisation d'authentification, et le message de protocole TLS représente les informations dominantes lorsqu'une entreprise souhaite vérifier le résultat de l'authentification dans le fournisseur ISP. Dans cet exemple, bien qu'une partie du message du protocole TLS soit distribuée sous forme d'informations indéfinies, lorsqu'un haut niveau de vérification est nécessaire, le message de toutes les séquences d'authentification de protocole TLS de l'authentification d'accès au réseau dans le fournisseur ISP peut être inclus en tant qu'informations indéfinies.
Dans le service de réseau VPN mentionné ci-dessus, bien que l'adresse de protocole IP du serveur de réseau VPN, la clé de cryptage, et l'adresse de protocole IP interne du client de réseau VPN soient distribuées au terminal d'utilisateur 4 en tant qu'initialisation de sécurité, il est possible de proposer un service de réseau VPN qui est plus sûr et dont la charge de traitement du serveur ou du terminal d'utilisateur est plus petite en incluant l'unité de génération de clé de réseau VPN.
Dans le mode de réalisation de l'invention, dans le service de connexion de réseau à partir du réseau local sans fil public, une initialisation automatique de service au-dessus de la couche de protocole IP qui est fournie par la pluralité de réseaux 102 peut être exécutée au moment de l'achèvement de l'authentification de réseau d'une couche de liaison qui est plus basse que la couche du protocole IP.
Conformément à l'invention, il est possible de distribuer les éléments respectifs des informations d'initialisation collectivement au terminal d'utilisateur 4 dans la procédure d'authentification protégée qui est exécutée lorsque le terminal d'utilisateur 4 accède au réseau 102, et l'initialisation peut être exécutée efficacement et de façon sûre entre la pluralité de réseaux 102 qui procurent des services qui étaient proposés de façon classique indépendamment. Comme la gestion de chacune des informations d'initialisation est exécutée dans la distribution par chaque serveur, on réalise un système qui présente de grandes possibilités de changement d'échelle par comparaison au cas où chaque initialisation est 2877521 41 gérée de façon concentrée. En outre, la garantie de validité par la signature électronique, etc. et les mesures contre une fuite d'informations par un cryptage peuvent être exécutées sur les messages entre le serveur de chaque réseau 102 et un serveur, et entre le serveur et un client.
Donc, une haute sécurité peut être proposée dans le mode de réalisation. Avec le système sûr et efficace qui initialise automatiquement le terminal d'utilisateur 4, diverses données d'initialisation peuvent être établies de façon fiable pour le terminal d'utilisateur 4 avant que l'utilisateur commence les communications de données. En outre, non seulement la commodité est améliorée pour l'utilisateur, mais également du côté du réseau 102, on peut empêcher un dommage à la sécurité pouvant être attribué à une erreur d'initialisation dans le terminal d'utilisateur 4.
Un dispositif, un procédé, un programme et un support destinés à une distribution d'informations d'initialisation, un dispositif, un procédé, un programme et un support destinés à un transfert d'initialisation d'authentification, et un programme de réception d'informations d'initialisation conformes à l'invention réalisent en coopération diverses demandes de service et la distribution d'une initialisation qui sont exécutées indépendamment dans une pluralité de domaines, et ils améliorent la commodité pour l'utilisateur et garantissent l'exactitude des informations de la distribution dans chaque domaine.

Claims (5)

  1. 42 REVENDICATIONS
    1. Dispositif de distribution d'informations d'initialisation appartenant à un premier réseau (2) comprenant: une unité d'authentification qui reçoit et authentifie une demande d'authentification d'un terminal d'utilisateur (4) qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur (4) et le premier réseau (2), une unité de transmission qui transmet une demande de coopération d'authentification qui demande que des données d'initialisation soient établies dans le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une unité de distribution qui distribue un premier message de réponse complété avec des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses dans un second message de réponse correspondant à la demande de coopération d'authentification.
    2. Dispositif de distribution d'informations d'initialisation selon la revendication 1, comprenant en outre une unité de réception qui reçoit le second message de réponse à la demande de coopération d'authentification d'un autre réseau.
    3. Dispositif de distribution d'informations d'initialisation selon la revendication 1, dans lequel le premier réseau comporte un système permettant d'utiliser une authentification à clé publique.
    4. Dispositif de distribution d'informations d'initialisation selon la 30 revendication 1, comprenant en outre une unité de délivrance qui délivre un certificat de serveur signé pour protéger le terminal d'utilisateur.
    5. Dispositif de distribution d'informations d'initialisation selon la revendication 1, dans lequel le second message de réponse est un protocole de coopération d'authentification comprenant les données 35 d'initialisation du terminal d'utilisateur générées par un autre réseau.
  2. 2877521 43 6. Dispositif de distribution d'informations d'initialisation selon la revendication 1, dans lequel le certificat électronique comprend les informations liées à une pluralité de réseaux qui doivent coopérer les uns avec les autres lorsque la pluralité de réseaux qui doivent coopérer les uns avec les autres sont prévus dans la procédure de coopération d'authentification.
    7. Dispositif de distribution d'informations d'initialisation selon la revendication 6, dans lequel les informations liées à la pluralité de réseaux qui doivent coopérer les uns avec les autres comprennent des données 10 indicatives du classement selon lequel la pluralité de réseaux doivent coopérer pour sélectionner séquentiellement la pluralité de réseaux qui doivent coopérer fonctionnellement.
    8. Dispositif de distribution d'informations d'initialisation selon la revendication 2, dans lequel un protocole SAML spécifié par le système OASIS est utilisé en tant que protocole de coopération d'authentification qui est protégé par une signature du réseau, et l'unité de réception reçoit le message de protocole SAML servant de second message de réponse dans lequel les données d'initialisation du terminal d'utilisateur générées par un autre réseau sont incorporées dans la procédure de coopération d'authentification qui est protégée sur la base du protocole SAML.
    9. Dispositif de distribution d'informations d'initialisation selon la revendication 1, dans lequel les données d'initialisation comprennent toutes les données qui peuvent être distribuées par un protocole d'échange IKE spécifié par le document RFC2409 de l'organisation IETF.
    10. Dispositif de distribution d'informations d'initialisation selon la revendication 1, dans lequel les données d'initialisation comprennent toutes les données d'un protocole TLS spécifié par le document RFC2246 de l'organisation IETF et un protocole TLS étendu spécifié par le document RFC3546.
    11. Dispositif de distribution d'informations d'initialisation selon la revendication 1, comprenant en outre une unité de détermination qui détermine le dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique utilisé pour l'authentification d'accès du terminal d'utilisateur.
  3. 2877521 44 12. Dispositif de distribution d'informations d'initialisation selon la revendication 11, dans lequel le dispositif de coopération d'authentification appartient à un autre réseau.
    13. Dispositif de distribution d'informations d'initialisation selon la revendication 1, dans lequel l'autre réseau est un réseau d'entreprise, et la demande de coopération d'authentification qui est transmise au réseau d'entreprise comprend une demande de connexion de réseau VPN.
    14. Dispositif de distribution d'informations d'initialisation selon la revendication 13, comprenant en outre une unité de réception qui reçoit la clé de réseau VPN qui a été générée en réponse à la demande de connexion de réseau VPN dans la procédure de coopération d'authentification, sans mettre en oeuvre le protocole d'échange de clé.
    15. Dispositif de distribution d'informations d'initialisation selon la revendication 13, dans lequel l'unité de transmission transmet des informations indéfinies pour générer la clé de réseau VPN au réseau d'entreprise dans la procédure de coopération d'authentification.
    16. Dispositif de distribution d'informations d'initialisation selon la revendication 15, dans lequel les informations indéfinies sont des informations qui sont générées au moment de l'authentification d'accès au réseau.
    17. Dispositif de distribution d'informations d'initialisation selon la revendication 15, dans lequel les informations indéfinies sont utilisées par le terminal d'utilisateur pour générer la clé de réseau VPN.
    18. Dispositif de distribution d'informations d'initialisation selon la revendication 15, dans lequel un protocole TLS spécifié par le document RFC2246 de l'organisation IETF est utilisé comme procédure d'authentification d'accès au réseau, et un nombre aléatoire ainsi qu'une initialisation d'heure sont des informations indéfinies pour générer la clé de réseau VPN.
    19. Procédé de distribution d'informations d'initialisation, comprenant: une étape d'authentification consistant à recevoir et authentifier une demande d'authentification provenant d'un terminal d'utilisateur qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et un premier réseau, 2877521 45 une étape de transmission consistant à transmettre une demande de coopération d'authentification qui demande des données d'initialisation devant être établies dans le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une étape de distribution consistant à distribuer un premier message de réponse complété avec des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses dans un second message de réponse correspondant à la demande de coopération d'authentification.
    20. Procédé de distribution d'informations d'initialisation selon la revendication 19, comprenant en outre une étape de réception consistant à recevoir le second message de réponse à la demande de coopération d'authentification d'un autre réseau.
    21. Procédé de distribution d'informations d'initialisation selon la revendication 19, dans lequel le premier réseau comporte un système pouvant utiliser une authentification à clé publique.
    22. Procédé de distribution d'informations d'initialisation selon la revendication 19, comprenant en outre une étape de délivrance consistant à délivrer un certificat de serveur signé pour protéger le terminal d'utilisateur.
    23. Procédé de distribution d'informations d'initialisation selon la revendication 19, dans lequel le second message de réponse est un protocole de coopération d'authentification comprenant les données d'initialisation du terminal d'utilisateur générées par un autre réseau.
    24. Procédé de distribution d'informations d'initialisation selon la revendication 19, dans lequel le certificat électronique comprend les informations associées à une pluralité de réseaux qui doivent coopérer les uns avec les autres lorsque la pluralité de réseaux qui doivent coopérer les uns avec les autres sont prévus dans la procédure de coopération d'authentification.
    25. Procédé de distribution d'informations d'initialisation selon 35 la revendication 24, dans lequel les informations liées à la pluralité de réseaux qui doivent coopérer les uns avec les autres comprennent des 2877521 46 données indicatives du classement selon lequel la pluralité de réseaux doivent coopérer pour sélectionner séquentiellement la pluralité de réseaux qui doivent coopérer fonctionnellement.
    26. Procédé de distribution d'informations d'initialisation selon la revendication 20, dans lequel un protocole SAML spécifié par le système OASIS est utilisé comme protocole de coopération d'authentification qui est protégé par une signature du réseau, et l'étape de réception comprend la réception du message du protocole SAML servant de second message de réponse, dans lequel les données d'initialisation du terminal d'utilisateur générées par un autre réseau sont incorporées dans la procédure de coopération d'authentification qui est protégée sur la base du protocole SAML.
    27. Procédé de distribution d'informations d'initialisation selon la revendication 19, dans lequel les données d'initialisation comprennent toutes les données qui peuvent être distribuées par un protocole du système IKE spécifié par le document RFC2409 de l'organisation IETF.
    28. Procédé de distribution d'informations selon la revendication 19, dans lequel les données d'initialisation comprennent toutes les données d'un protocole TLS spécifié par le document RFC2246 de l'organisation IETF et un protocole TLS étendu spécifié par le document RFC3546.
    29. Procédé de distribution d'informations d'initialisation selon la revendication 19, comprenant en outre une étape de détermination consistant à déterminer le dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique utilisé pour l'authentification d'accès du terminal d'utilisateur.
    30. Procédé de distribution d'informations d'initialisation selon la revendication 29, dans lequel le dispositif de coopération 30 d'authentification appartient à un autre réseau.
    31. Procédé de distribution d'informations d'initialisation selon la revendication 19, dans lequel l'autre réseau est un réseau d'entreprise, et la demande de coopération d'authentification qui est transmise au réseau d'entreprise comprend une demande de connexion de réseau VPN.
    32. Procédé de distribution d'informations d'initialisation selon la revendication 31, comprenant en outre une étape de réception 2877521 47 consistant à recevoir une clé de réseau VPN qui a été générée en réponse à la demande de connexion de réseau VPN dans la procédure de coopération d'authentification, sans mettre en oeuvre le protocole d'échange de clé.
    33. Procédé de distribution d'informations d'initialisation selon la revendication 31, dans lequel l'étape de transmission comprend la transmission d'informations indéfinies destinées à générer la clé de réseau VPN, au réseau d'entreprise dans la procédure de coopération d'authentification.
    34. Procédé de distribution d'informations d'initialisation selon la revendication 33, dans lequel les informations indéfinies sont des informations qui sont générées au moment de l'authentification d'accès au réseau.
    35. Procédé de distribution d'informations d'initialisation selon la revendication 33, dans lequel les informations indéfinies sont utilisées par le terminal d'utilisateur pour générer la clé de réseau VPN.
    36. Procédé de distribution d'informations d'initialisation selon la revendication 33, dans lequel un protocole TLS spécifié par le document RFC2246 de l'organisation IETF est utilisé en tant que procédure d'authentification d'accès au réseau, et un nombre aléatoire ainsi qu'une initialisation d'heure constituent des informations indéfinies pour générer la clé de réseau VPN.
    37. Programme de distribution d'informations d'initialisation 25 destiné à amener un ordinateur à fonctionner comme: une unité d'authentification qui reçoit et authentifie une demande d'authentification d'un terminal d'utilisateur qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, une unité de transmission qui transmet une demande de coopération d'authentification qui demande que des données d'initialisation soient établies pour le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et 2877521 48 une unité de distribution qui distribue un premier message de réponse complété avec des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses dans un second message de réponse correspondant à la demande de coopération d'authentification.
    38. Programme de distribution d'informations d'initialisation selon la revendication 37, comprenant en outre une unité de réception qui reçoit le second message de réponse à la demande de coopération d'authentification depuis un autre réseau.
    39. Programme de distribution d'informations d'initialisation selon la revendication 37, dans lequel le premier réseau comporte un système pouvant utiliser une authentification à clé publique.
    40. Programme de distribution d'informations d'initialisation selon la revendication 37, comprenant en outre une unité de délivrance qui délivre un certificat de serveur signé pour protéger le terminal d'utilisateur.
    41. Programme de distribution d'informations d'initialisation selon la revendication 37, dans lequel le second message de réponse est un protocole de coopération d'authentification comprenant les données d'initialisation du terminal d'utilisateur, générées par un autre réseau.
    42. Programme de distribution d'informations d'initialisation selon la revendication 37, dans lequel le certificat électronique comprend les informations liées à une pluralité de réseaux qui doivent coopérer les uns avec les autres lorsque la pluralité de réseaux qui doivent coopérer les uns avec les autres sont prévus dans la procédure de coopération d'authentification.
    43. Programme de distribution d'informations d'initialisation selon la revendication 42, dans lequel les informations liées à la pluralité de réseaux qui doivent coopérer les uns avec les autres comprennent des données indicatives du classement selon lequel la pluralité de réseaux doivent coopérer pour sélectionner séquentiellement la pluralité de réseaux qui doivent coopérer fonctionnellement.
    44. Programme de distribution d'informations d'initialisation 35 selon la revendication 38, dans lequel un protocole SAML spécifié par le système OASIS est utilisé comme protocole de coopération 2877521 49 d'authentification qui est protégé par une signature du réseau, et l'unité de réception reçoit le message de protocole SAML servant de second message de réponse dans lequel les données d'initialisation du terminal d'utilisateur générées par un autre réseau sont incorporées dans la procédure de coopération d'authentification qui est protégée sur la base du protocole SAML.
    45. Programme de distribution d'informations d'initialisation selon la revendication 37, dans lequel les données d'initialisation comprennent toutes les données qui peuvent être distribuées par un protocole de système IKE spécifié par le document RFC2409 de l'organisation IETF.
    46. Programme de distribution d'informations d'initialisation selon la revendication 37, dans lequel les données d'initialisation comprennent toutes les données d'un protocole TLS spécifié par le document RFC2246 de l'organisation IETF et d'un protocole TLS étendu spécifié par le document RFC3546.
    47. Programme de distribution d'informations d'initialisation selon la revendication 37, comprenant en outre une unité de détermination qui détermine les dispositifs de coopération d'authentification qui doivent coopérer en faisant référence au certificat électronique utilisé pour l'authentification d'accès du terminal d'utilisateur.
    48. Programme de distribution d'informations d'initialisation selon la revendication 47, dans lequel le dispositif de coopération d'authentification appartient à un autre réseau.
    49. Programme de distribution d'informations d'initialisation selon la revendication 37, dans lequel l'autre réseau est un réseau d'entreprise, et la demande de coopération d'authentification qui est transmise au réseau d'entreprise comprend une demande de connexion de réseau VPN.
    50. Programme de distribution d'informations d'initialisation selon la revendication 49, comprenant en outre une unité de réception qui reçoit une clé de réseau VPN qui a été générée en réponse à la demande de connexion de réseau VPN dans la procédure de coopération d'authentification, sans mettre en oeuvre le protocole d'échange de clé.
  4. 2877521 50 51. Programme de distribution d'informations d'initialisation selon la revendication 49, dans lequel l'unité de transmission transmet des informations indéfinies pour générer la clé de réseau VPN au réseau d'entreprise dans la procédure de coopération d'authentification.
    52. Programme de distribution d'informations d'initialisation selon la revendication 51, dans lequel les informations indéfinies sont des informations qui sont générées au moment d'une authentification d'accès au réseau.
    53. Programme de distribution d'informations d'initialisation selon la revendication 51, dans lequel les informations indéfinies sont utilisées par le terminal d'utilisateur pour générer la clé de réseau VPN.
    54. Programme de distribution d'informations d'initialisation selon la revendication 51, dans lequel un protocole TLS spécifié par le document RFC2246 de l'organisation IETF est utilisé comme procédure d'authentification d'accès au réseau, et un nombre aléatoire ainsi qu'une initialisation d'heure constituent des informations indéfinies pour générer la clé de réseau VPN.
    55. Support de mémorisation qui est lisible par un ordinateur et mémorise un programme destiné à amener l'ordinateur à fonctionner 20 comme: une unité d'authentification qui reçoit et authentifie une demande d'authentification d'un terminal d'utilisateur qui demande une authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, une unité de transmission qui transmet une demande de coopération d'authentification qui demande des données d'initialisation à établir pour le terminal d'utilisateur à un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux, et une unité de distribution qui distribue un premier message de réponse complété avec des données d'initialisation au terminal d'utilisateur en produisant le premier message de réponse correspondant à la demande d'authentification en ajoutant les données d'initialisation incluses dans un second message de réponse correspondant à la demande de coopération d'authentification.
  5. 2877521 51 56. Dispositif de transfert d'authentification, comprenant: une unité de réception qui reçoit un certificat électronique de client utilisé pour une authentification d'accès depuis un premier réseau qui exécute une authentification lors de la réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une unité de détermination qui détermine un dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique de client qui est reçu par l'unité de réception.
    57. Procédé de transfert d'authentification, comprenant: une étape de réception consistant à recevoir un certificat électronique de client utilisé pour une authentification d'accès d'un premier réseau qui exécute une authentification lors de la réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une étape de détermination consistant à déterminer un dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique de client qui est reçu dans l'étape de réception.
    58. Programme de transfert d'authentification destiné à amener un ordinateur à fonctionner comme: une unité de réception qui reçoit un certificat électronique de client utilisé pour une authentification d'accès depuis un premier réseau qui exécute une authentification lors de la réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une unité de détermination qui détermine un dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique de client qui est reçu par l'unité de réception.
    59. Support de mémorisation qui est lisible par un ordinateur et mémorise un programme destiné à amener l'ordinateur à fonctionner 35 comme: 2877521 52 une unité de réception qui reçoit un certificat électronique de client utilisé pour une authentification d'accès à partir d'un premier réseau qui exécute une authentification lors d'une réception d'une demande d'authentification d'un terminal d'utilisateur qui demande l'authentification d'accès en utilisant une procédure d'authentification d'accès au réseau entre le terminal d'utilisateur et le premier réseau, et une unité de détermination qui détermine un dispositif de coopération d'authentification qui doit coopérer en faisant référence au certificat électronique de client qui est reçu par l'unité de réception.
    60. Programme de réception d'informations d'initialisation destiné à amener un ordinateur à fonctionner comme: une unité de demande d'authentification qui demande une authentification d'accès à un premier réseau en utilisant une procédure d'authentification d'accès au réseau entre un terminal d'utilisateur et le premier réseau, une unité de réception qui reçoit des données d'initialisation qui sont établies pour le terminal d'utilisateur en ce qui concerne un autre réseau, lesquelles sont acquises à partir d'un autre réseau en utilisant la procédure d'authentification d'accès au réseau et une procédure de coopération d'authentification entre une pluralité de réseaux qui coopèrent les uns avec les autres, et une unité d'initialisation qui initialise séquentiellement les données d'initialisation reçues de l'unité de réception sur la base des données indicatives d'un classement de coopération d'autres réseaux inclus dans le certificat électronique de client.
FR0509458A 2004-09-17 2005-09-15 Distribution d'informations d'initialisation et transfert d'authentification pour l'acces a des services par reseau Active FR2877521B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004045147A DE102004045147A1 (de) 2004-09-17 2004-09-17 Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm

Publications (2)

Publication Number Publication Date
FR2877521A1 true FR2877521A1 (fr) 2006-05-05
FR2877521B1 FR2877521B1 (fr) 2017-01-27

Family

ID=35221233

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0509458A Active FR2877521B1 (fr) 2004-09-17 2005-09-15 Distribution d'informations d'initialisation et transfert d'authentification pour l'acces a des services par reseau

Country Status (5)

Country Link
US (1) US7913080B2 (fr)
JP (1) JP4777729B2 (fr)
DE (1) DE102004045147A1 (fr)
FR (1) FR2877521B1 (fr)
GB (1) GB2418819B (fr)

Families Citing this family (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9167053B2 (en) * 2005-09-29 2015-10-20 Ipass Inc. Advanced network characterization
JP4854338B2 (ja) * 2006-03-07 2012-01-18 ソフトバンクBb株式会社 移動体通信における認証システム及び認証方法
EP2005706B1 (fr) * 2006-04-11 2018-12-12 QUALCOMM Incorporated Procédé et appareil pour lier des authentications multiples
AU2007267898B2 (en) * 2006-05-25 2012-06-14 Celltrust Corporation Secure mobile information management system and method
US8260274B2 (en) * 2006-05-25 2012-09-04 Celltrust Corporation Extraction of information from e-mails and delivery to mobile phones, system and method
US8225380B2 (en) 2006-05-25 2012-07-17 Celltrust Corporation Methods to authenticate access and alarm as to proximity to location
US8280359B2 (en) * 2006-05-25 2012-10-02 Celltrust Corporation Methods of authorizing actions
US9572033B2 (en) 2006-05-25 2017-02-14 Celltrust Corporation Systems and methods for encrypted mobile voice communications
JP4895190B2 (ja) * 2006-09-07 2012-03-14 パナソニック株式会社 電子機器の認証に関する識別管理のためのシステム
US20090298514A1 (en) 2006-09-14 2009-12-03 Shah Ullah Real world behavior measurement using identifiers specific to mobile devices
US9445353B2 (en) 2006-09-14 2016-09-13 Omnitrail Technologies Inc. Presence platform for passive radio access network-to-radio access network device transition
US8316430B2 (en) * 2006-10-06 2012-11-20 Ricoh Company, Ltd. Preventing network traffic blocking during port-based authentication
US20080096507A1 (en) * 2006-10-24 2008-04-24 Esa Erola System, apparatus and method for creating service accounts and configuring devices for use therewith
JP2010533405A (ja) * 2007-07-09 2010-10-21 グレガー ガルバジェス, システムと閉められたネットワークから専用の装置への安全に通信on−需要内容のための、そして、専用の装置に内容を安全に伝えている閉められたネットワークにおいて、内容使用データを編集するための方法
WO2009041006A1 (fr) * 2007-09-27 2009-04-02 Panasonic Corporation Nœud réseau et terminal mobile
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
JP5273770B2 (ja) * 2008-03-04 2013-08-28 日本電信電話株式会社 Vpn多重帰属システムおよび認証制御方法
KR20100126850A (ko) * 2008-03-28 2010-12-02 셀트러스트 코포레이션 보안형 단문 메시징 서비스 및 멀티미디어 메시징 서비스를 위한 시스템 및 방법
JP4336766B1 (ja) * 2008-04-18 2009-09-30 日本電気株式会社 無線通信システム、認証処理部選択方法
EP2134122A1 (fr) * 2008-06-13 2009-12-16 Hewlett-Packard Development Company, L.P. Contrôle d'accès à un réseau de communication en utilisant une base de données de dispositif locale et une base de données de dispositif commune
JP5302665B2 (ja) * 2008-12-25 2013-10-02 日本電信電話株式会社 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム
US20120020343A1 (en) * 2009-02-13 2012-01-26 Panasonic Corporation Gateway connection method, gateway connection control system, and user equipment
US8533784B2 (en) * 2009-04-30 2013-09-10 Centurylink Intellectual Property Llc System and method for separating control of a network interface device
CN101674268A (zh) * 2009-09-25 2010-03-17 中兴通讯股份有限公司 接入因特网控制装置及其方法、网关
EP2405678A1 (fr) * 2010-03-30 2012-01-11 British Telecommunications public limited company Système et procédé d'authentification wilan itinérante
US9560036B2 (en) * 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
CN102075904B (zh) * 2010-12-24 2015-02-11 杭州华三通信技术有限公司 一种防止漫游用户再次认证的方法和装置
US9270471B2 (en) * 2011-08-10 2016-02-23 Microsoft Technology Licensing, Llc Client-client-server authentication
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US20140040979A1 (en) 2011-10-11 2014-02-06 Citrix Systems, Inc. Policy-Based Application Management
US9215225B2 (en) 2013-03-29 2015-12-15 Citrix Systems, Inc. Mobile device locking with context
US9143529B2 (en) 2011-10-11 2015-09-22 Citrix Systems, Inc. Modifying pre-existing mobile applications to implement enterprise security policies
US8799994B2 (en) 2011-10-11 2014-08-05 Citrix Systems, Inc. Policy-based application management
CN104255059A (zh) * 2011-10-12 2014-12-31 欧姆尼特雷尔有限责任公司 用于被动无线电接入网到无线电接入网设备的转变的呈现平台
US8776209B1 (en) * 2012-03-09 2014-07-08 Juniper Networks, Inc. Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway
JP5942503B2 (ja) * 2012-03-15 2016-06-29 富士通株式会社 サービス要求装置、サービス要求方法およびサービス要求プログラム
EP2866392B1 (fr) * 2012-06-21 2017-08-23 Fujitsu Limited Système de traitement d'informations, procédé de traitement d'informations et dispositif de communication
US8726343B1 (en) 2012-10-12 2014-05-13 Citrix Systems, Inc. Managing dynamic policies and settings in an orchestration framework for connected devices
US9516022B2 (en) 2012-10-14 2016-12-06 Getgo, Inc. Automated meeting room
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US20140109171A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US9606774B2 (en) 2012-10-16 2017-03-28 Citrix Systems, Inc. Wrapping an application with field-programmable business logic
WO2014062804A1 (fr) 2012-10-16 2014-04-24 Citrix Systems, Inc. Enveloppement d'application pour infrastructure de gestion d'application
US9191874B2 (en) 2012-12-31 2015-11-17 Ipass Inc. Advanced network characterization and migration
US10789594B2 (en) 2013-01-31 2020-09-29 Moshir Vantures, Limited, LLC Method and system to intelligently assess and mitigate security risks on a mobile device
US10511448B1 (en) * 2013-03-15 2019-12-17 Jeffrey E. Brinskelle Secure communications improvements
US8910264B2 (en) 2013-03-29 2014-12-09 Citrix Systems, Inc. Providing mobile device management functionalities
US9413736B2 (en) 2013-03-29 2016-08-09 Citrix Systems, Inc. Providing an enterprise application store
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US8850049B1 (en) 2013-03-29 2014-09-30 Citrix Systems, Inc. Providing mobile device management functionalities for a managed browser
US8813179B1 (en) 2013-03-29 2014-08-19 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9246689B2 (en) * 2013-07-30 2016-01-26 Empire Technology Development Llc Component management via secure communications
JP6305005B2 (ja) * 2013-10-17 2018-04-04 キヤノン株式会社 認証サーバーシステム、制御方法、そのプログラム
US9729539B1 (en) 2014-03-28 2017-08-08 Pulse Secure, Llc Network access session detection to provide single-sign on (SSO) functionality for a network access control device
JP6037460B2 (ja) 2014-04-14 2016-12-07 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation サービス提供装置、プログラム、及び、方法
CN104092599B (zh) * 2014-07-24 2018-03-06 广东欧珀移动通信有限公司 一种移动终端检测邮件发件服务器端口的方法及移动终端
JP6290044B2 (ja) * 2014-08-29 2018-03-07 株式会社Nttドコモ 認証システム、認証サーバ、クライアント装置及び認証方法
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US9942200B1 (en) * 2014-12-02 2018-04-10 Trend Micro Inc. End user authentication using a virtual private network
JP6740618B2 (ja) * 2015-02-25 2020-08-19 株式会社リコー 情報処理装置、通信システム、通信方法
CN106341233A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
WO2019221738A1 (fr) * 2018-05-17 2019-11-21 Nokia Technologies Oy Facilitation d'itinérance sans fil résidentielle par l'intermédiaire d'une connectivité vpn sur des réseaux de fournisseur de services publics

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1162807A2 (fr) * 2000-06-09 2001-12-12 TRW Inc. Procédé et système pour des enclaves sécurisées légales dans une infrastructure à clé publique
EP1280317A1 (fr) * 2001-07-27 2003-01-29 Hewlett-Packard Company Autorisation et authentification multi-domaine

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US6275941B1 (en) * 1997-03-28 2001-08-14 Hiatchi, Ltd. Security management method for network system
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US6799270B1 (en) * 1998-10-30 2004-09-28 Citrix Systems, Inc. System and method for secure distribution of digital information to a chain of computer system nodes in a network
GB2348778A (en) * 1999-04-08 2000-10-11 Ericsson Telefon Ab L M Authentication in mobile internet access
US6275859B1 (en) * 1999-10-28 2001-08-14 Sun Microsystems, Inc. Tree-based reliable multicast system where sessions are established by repair nodes that authenticate receiver nodes presenting participation certificates granted by a central authority
JP3585411B2 (ja) * 2000-01-05 2004-11-04 日本電信電話株式会社 端末−保守サーバ間認証鍵共有方法及び端末リモートメンテナンス実施方法
US6978364B1 (en) * 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
GB2369530A (en) * 2000-11-24 2002-05-29 Ericsson Telefon Ab L M IP security connections for wireless authentication
GB2385955A (en) * 2002-02-28 2003-09-03 Ibm Key certification using certificate chains
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
CN1659558B (zh) * 2002-06-06 2010-09-22 汤姆森特许公司 使用分层证书的基于中介器的交互工作
JP4056849B2 (ja) * 2002-08-09 2008-03-05 富士通株式会社 仮想閉域網システム
US7882346B2 (en) * 2002-10-15 2011-02-01 Qualcomm Incorporated Method and apparatus for providing authentication, authorization and accounting to roaming nodes
US7565529B2 (en) * 2004-03-04 2009-07-21 Directpointe, Inc. Secure authentication and network management system for wireless LAN applications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1162807A2 (fr) * 2000-06-09 2001-12-12 TRW Inc. Procédé et système pour des enclaves sécurisées légales dans une infrastructure à clé publique
EP1280317A1 (fr) * 2001-07-27 2003-01-29 Hewlett-Packard Company Autorisation et authentification multi-domaine

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HALLAM-BAKER P: "Security Assertions Markup Language. Core Assertion Architecture - Examples and Explanations", INTERNET CITATION, 14 May 2001 (2001-05-14), XP002215730, Retrieved from the Internet <URL:http://www.oasis-open.org/committees/security/docs/draft-sstc-core-phill-07.pdf> [retrieved on 20021001] *

Also Published As

Publication number Publication date
GB0518459D0 (en) 2005-10-19
US20060117104A1 (en) 2006-06-01
GB2418819B (en) 2007-11-07
JP4777729B2 (ja) 2011-09-21
FR2877521B1 (fr) 2017-01-27
US7913080B2 (en) 2011-03-22
GB2418819A (en) 2006-04-05
JP2006085719A (ja) 2006-03-30
DE102004045147A1 (de) 2006-03-23

Similar Documents

Publication Publication Date Title
FR2877521A1 (fr) Dispositif, procede, programme et support de distribution d&#39;informations, d&#39;initialisation, dispositif, procede, programme et support de transfert d&#39;initialisation d&#39;authentification et programme de reception ...
AU2007267836B2 (en) Policy driven, credential delegation for single sign on and secure access to network resources
US8893240B2 (en) Mobile host using a virtual single account client and server system for network access and management
EP2820795B1 (fr) Procede de verification d&#39;identite d&#39;un utilisateur d&#39;un terminal communiquant et systeme associe
EP3032799B1 (fr) Procédé d&#39;authentification d&#39;un utilisateur, serveur, terminal de communication et programmes correspondants
EP2871876B1 (fr) Technique de configuration d&#39;accès sécurisé d&#39;un terminal invité à un réseau hôte
CN105871777A (zh) 无线路由器的接入处理、接入方法及装置
EP1753173A1 (fr) Contrôle d&#39;accès d&#39;un équipement mobile à un réseau de communication IP par modification dynamique des politiques d&#39;accès
FR3081654A1 (fr) Procede, dispositif et serveur de distribution securisee d&#39;une configuration a un terminal
EP2920912B1 (fr) Commande d&#39;accès électronique à deux étages orientée rendez-vous de réseaux privés
KR20170070379A (ko) 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템
WO2009056374A1 (fr) Procede d&#39;authentification d&#39;un utilisateur accedant a un serveur distant a partir d&#39;un ordinateur
FR3103987A1 (fr) Procede de securisation de flux de donnees entre un equipement de communication et un terminal distant, equipement mettant en oeuvre le procede
EP3041192B1 (fr) Infrastructure d&#39;authentification de téléphones ip d&#39;un système toip propriétaire par un système eap-tls ouvert
EP1762037A2 (fr) Procede et systeme de certification de l&#39;identite d&#39;un utilisateur
EP3679499B1 (fr) Enrôlement perfectionné d&#39;un équipement dans un réseau sécurisé
EP2710779A1 (fr) Procede de securisation d&#39;une platforme d&#39;authentification, dispositifs materiels et logiciels correspondants
WO2005079038A1 (fr) Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile
EP2146534B1 (fr) Authentification d&#39;un terminal
EP2079214A1 (fr) Procédé et système de communication et terminal et serveur de confiance
Ekström Securing a wireless local area network: using standard security techniques
FR2955727A1 (fr) Procede securise d&#39;acces a un reseau et reseau ainsi protege
FR2954883A1 (fr) Procede d&#39;authentification securisee d&#39;un terminal itinerant sur un reseau de telecommunications sans fil

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13