JP4733706B2 - セキュアセッション転送の方法および対応するターミナルデバイス - Google Patents
セキュアセッション転送の方法および対応するターミナルデバイス Download PDFInfo
- Publication number
- JP4733706B2 JP4733706B2 JP2007537120A JP2007537120A JP4733706B2 JP 4733706 B2 JP4733706 B2 JP 4733706B2 JP 2007537120 A JP2007537120 A JP 2007537120A JP 2007537120 A JP2007537120 A JP 2007537120A JP 4733706 B2 JP4733706 B2 JP 4733706B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- application
- session
- security
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ユビキタスコンピューティング環境においてソースターミナルデバイスからターゲットターミナルデバイスへセッションを転送する方法と、上記方法を実施するターミナルデバイスとに関する。
本発明は、ターミナルデバイスを利用するユーザに対し、ユーザが現実の世界の中で移動するときに、「時間、場所、プラットフォームを選ばない」コンピューティングサービスへのアクセスを提供するために設計されたユビキタスコンピューティング環境に関する。達成すべき1つの具体的な目標は、アプリケーションが複数のターミナルデバイス、特にモバイルデバイスの周囲のユーザをシームレスに追跡できるようにすることである。アプリケーションレベルでの移行、すなわち、アプリケーションおよびその状態をあるターミナルデバイスから別のターミナルデバイスへ移動させる機能を提供する複数のソリューションについて検討する。
より具体的には、本発明は、無線通信チャネル、例えばWLANもしくはブルートゥースといった通信チャネルによりネットワークまたはサーバに接続することができるターミナルデバイス、例えばパーソナルコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、携帯情報端末(PDA)、携帯電話機などに関する。ユーザは、例えばビジネス環境において、タスクを実行するためにターミナルデバイスを利用する。所望のビジネスタスクを実行するため、ユーザはターミナルデバイス上でビジネスアプリケーションを動かすことにより企業情報資源にアクセスする。一般的にビジネスアプリケーションは、付加的なソフトウェア、例えば、オペレーティングシステム、通信ミドルウェアおよび特定のソフトウェアライブラリ、特にセキュリティ関連ライブラリとともにターミナルデバイスへ導入されている。付加的なソフトウェアは、企業ネットワークおよびサーバへの接続を確立し、ビジネスアプリケーションを動かすために必要なものである。特定のタスクを実行することを望むユーザによって起動されると、アプリケーションは付加的なソフトウェア、特に通信ミドルウェアに加えてプロセスとしてターミナルデバイス上で動く。
ターミナルデバイス上でアプリケーションを起動することにより、ターミナルデバイスのユーザによって実行されたタスクに関連した特定のデータおよび変数に基づいてアプリケーションは動くので、ユーザは実行されたアプリケーションまたはアプリケーションプロセスの重要なコンテキストとして解釈できるセッションを開始する。いかなる時でも、アプリケーションプロセスの状態は、割り当てられた値のみならず、データ構造および変数に基づいて決定される。
例えば、ユーザがPDAを使用して自分のタスクに取り組み始めると、ラップトップコンピュータ上でタスクを継続したいと考え、ユーザが使用しているターミナルデバイスを変更することを望むならば、上記のユビキタスコンピューティング環境において、セッションを所望のターミナルデバイスへ転送できなければならない。ソースターミナルデバイスからターゲットターミナルデバイスへセッションを転送する種々の方法が、従来技術として例えば非特許文献1および非特許文献2に記載されている。これらのソリューションは当分野において一般的に知られているので、本明細書ではこれ以上詳細に説明しない。基本的には、セッション転送を実行するために、ソースターミナルデバイス上で実行されているアプリケーションの状態が取得され、ターゲットデバイスへ転送される。
さらに非特許文献3は、エンドツーエンドのセキュリティを提供するために、アクセス制御を実現し、公開鍵インフラストラクチャに基づくアプローチを採用して、Bell−LaPadulaモデルおよび機能モデルを利用したアプリケーションセッションハンドオフに特有の問題を扱っている。
さらに非特許文献3は、エンドツーエンドのセキュリティを提供するために、アクセス制御を実現し、公開鍵インフラストラクチャに基づくアプローチを採用して、Bell−LaPadulaモデルおよび機能モデルを利用したアプリケーションセッションハンドオフに特有の問題を扱っている。
一般的に、企業ネットワークおよびサーバへのアクセスは、高度のフレキシビリティを提供するセキュリティポリシーにおいて定義された特定のセキュリティ要件に基づく限り許可される。最近のソリューションは、特定のアプリケーションの具体的なセキュリティ要件に応じてセキュリティポリシーを定義することを提案している。ポリシーは正確に指定され、支援ソフトウェアフレームワークによって強制されるので、このポリシーは、特定のユーザによって使用される特定のアプリケーションのためのセキュリティコンテキストを生成する。
Erik Skow, Jiejun Kong, Thomas Phan, Fred Cheng, Richard Guy, Rajive Bagrodia, Mario Gerla, and Songwu Lu: "A Security Architecture for Application Session Handoff", International Conference on Communications (ICC 2002), April 28 − May 2, 2002
K. Kaneko, H. Morikawa, and T. Aoyama: "Session Layer Mobility Support for 3C Everywhere Environments", Proceeding of the Sixth International Symposium on Wireless Personal Multimedia Communications (WPMC 2003), vol.2, pp.347−351, Yokosuka, Japan, October 2003
Skow et al: "A security architecture for application session handoff", 2002 IEEE International Conference on Communication, pp. 2058−2063
上記事情に鑑みて、本発明の目的は、ユビキタスコンピューティング環境において、セキュリティコンテキストを有するセッションをソースターミナルデバイスからターゲットターミナルデバイスへ転送する方法と、上記方法を実施するターミナルデバイスとを提供することである。
本発明のさらなる目的は、セキュリティコンテキストを有するユビキタスコンピューティング環境において、ターミナルデバイスのユーザがソースターミナルデバイス上でそれまでに実行されているタスクをターゲットターミナルデバイスへ継続させることを可能にする方法を提供することである。
上記目的およびその他の目的は、請求項1に記載の方法と請求項2に記載のプロセスとによって達成できる。さらに、本目的は請求項9および10に記載のターミナルデバイスによって達成できる。
本発明の有利な実施形態は、従属項に記載されている。
本発明のソリューションによれば、ソースターミナルデバイスからターゲットターミナルデバイスへセッションを転送するプロセスにおいてセキュリティを実現することができる。ターミナルデバイスにおけるアプリケーションの実行中だけでなく、一方のターミナルデバイスから他方のターミナルデバイスへのセッションの転送中にも、セキュリティコンテキストを遵守することができる。
以下、ユビキタスコンピューティング環境においてソースターミナルデバイスからターゲットターミナルデバイスへセッションを転送するプロセスの実施例について、図1および図2を参照して説明する。プロセスの実施例は本発明に係る方法を利用するものである。
図1に示されているように、ユーザはネットワーク環境においてアプリケーション2を実行するために第1のターミナルデバイス1aを利用する。第1のターミナルデバイス1aは、通信チャネル4aによってネットワーク3へリンクされている。セキュリティコンテキストをアプリケーションごとに生成するセキュリティポリシー5が遵守されているときに限りアプリケーション2を使用できるようにするために、それぞれのアプリケーション2のために指定されたセキュリティポリシー5を用いて、セッションのセキュリティを実現できる。通信チャネル4bによってネットワーク3へリンクされた第2のターミナルデバイス1b上で現在のタスクを継続することをユーザが望むならば、そのユーザは、第1のターミナルデバイス1a、すなわちソースターミナルデバイスにそれまで存在しているセッションを、第2のターミナルデバイス1b、すなわちターゲットターミナルデバイスへ転送するセッション転送を開始する。セッション転送が終わると、転送開始時点でそれぞれの状態、すなわち現在のセッションにあり、かつ、要求されたセキュリティコンテキストにあるそれぞれのアプリケーション2が、第2のターミナルデバイス1b上で確立されているので、ユーザは第2のターミナルデバイス1b上で現在のタスクを継続することができる。本発明によれば、セキュリティ要件は、図2を参照して後述するようにセッション転送中に考慮される。
セッション転送プロセスのステップ1によれば、セッション転送が許可されているかどうかを決定するために、転送されるべきセッションのアプリケーションに関係するセキュリティポリシーがソースターミナルデバイス上で評価される。アプリケーションのセキュリティポリシーによってセッションの転送が許可されているということが確認されると、セッション転送プロセスは続いてステップ2を実行する。そうでなければ、セッション転送プロセスは停止する。セッション転送プロセスのステップ2において、転送されるべきセッションのセキュリティ制約を決定するために上記ソースターミナルデバイス上でセキュリティポリシーが評価される。セッション転送プロセスのステップ3において、好ましくはターゲットターミナルデバイスへのセキュア通信チャネルを確立した後に、ソースターミナルデバイスはターゲットデバイスとセキュリティ制約をネゴシエートする。ネゴシエートするステップは、少なくとも同じ厳密性(strictness)を有するセキュリティコンテキストがターゲットターミナルデバイス上に設けられることを保証するという目的に役立つ。要求されたセキュリティコンテキストがターゲットターミナルデバイス上に設けられると、セッション転送プロセスは続いてステップ4を実行する。そうでなければ、セッション転送プロセスは停止する。プロセスのステップ4において、好ましくは、セキュリティ制約をネゴシエートするステップ内でソースターミナルデバイスと交換したセキュリティ関連の情報に基づいて、それぞれのセキュリティコンテキストがターゲットターミナルデバイス上に確立される。セッション転送プロセスのステップ5において、セッションはソースデバイスからターゲットデバイスへと転送される。基本的に、実際にセッションを転送するために実行されるべきステップは、ソースターミナルデバイス上のセッションの現在の状態を取得するステップと、ターゲットデバイス上のセッションを確立するために、情報を使用するターゲットターミナルデバイスへ状態を転送するステップとを含む。
アプリケーション指向セキュリティポリシーは、特定のアプリケーションの具体的な要件に合わせることができるので、高度のフレキシビリティを提供するということに注意する必要がある。形式的なシンタックスが与えられると、ポリシーは正確に指定され、支援ソフトウェアフレームワークによって強制される。本発明によれば、セッション転送に関連したこの強制は、(セキュリティポリシーによって定義された)セキュリティ制約が、ターミナルデバイス間でネゴシエートされるということと、ソースデバイス上で適用きるセキュリティサービスとメカニズムとに関して合致した一連のセキュリティサービスとメカニズムとが、ターゲットデバイス上で確立されるということとを意味する。
以下、ユビキタスコンピューティング環境においてソースターミナルデバイスからターゲットターミナルデバイスへセッションを転送するプロセスのより具体的な実施例であって、本発明の方法を利用したプロセス実施例について図3〜図6を参照して説明する。
図3の実施例では、ソースターミナルデバイス1aは、ユーザがネットワーク環境において所望のタスクを実行できるようにするソフトウェアを搭載している。このソフトウェアは、オペレーティングシステムと、通信ミドルウェアと、特定のライブラリ、例えばセキュリティライブラリと、少なくとも1つのアプリケーションとを含んでいる。オペレーティングシステムは、ターミナルデバイスが基本動作を実行し、ユーザに基本機能を提供するために必要なソフトウェアコンポーネントを備えている。通信ミドルウェアは、アプリケーションおよびその他の同じ場所にあるターミナルデバイスを管理するソフトウェアコンポーネントを備えている。同じ場所にあるターミナルデバイスは、同様にネットワークに接続され、したがって、ターゲットターミナルデバイスとして利用可能なターミナルデバイスを含むと考えられる。アプリケーションは、例えば、ターミナルデバイスのユーザが企業環境においてビジネスタスクを実行できるようにするビジネスアプリケーションのような所望のタスクを実行するためのソフトウェアを備えている。ビジネスアプリケーションは、ビジネスロジック、すなわちビジネストランザクションと、セキュリティロジック、すなわち企業資産を保護する手段とに分けられる。セキュリティロジックは、セキュリティポリシーに関して定義されるものである。例えば、セキュリティポリシーは、アプリケーションの開発および統合中に、またはその後に定義されるとともに、企業ネットワークまたはターミナルデバイスへアプリケーションを導入するときにアプリケーションとバンドルされる。
本実施例において、セキュリティポリシーは、4つのタイプのセキュリティポリシー、すなわちオーソリゼーションポリシーと、コンフィギュレーションポリシーと、デリゲーションポリシーと、フェデレーションポリシーとを含んでいる。それぞれのドメイン、すなわち企業ネットワークおよびターミナルデバイスとポリシー間の論理的関係とが、図4に示されている。
オーソリゼーションポリシーは、一般的に、企業ネットワーク内に存在し、ネットワーク内の情報資源へのアクセスを制御する。コンフィギュレーションポリシーは、ターミナルデバイスユーザのドメインの範囲内にある企業ネットワークのオーソリゼーションポリシーを反映し、企業ネットワークへのオーソリゼーションの前に要求されるセキュリティサービスおよび機能を表現する。コンフィギュレーションポリシーとデリゲーションポリシーとフェデレーションポリシーとを含んだポリシーセットは、アプリケーションとともに導入されている。セキュリティコンテキストは、アプリケーションが実行されているとセットアップされる。デリゲーションポリシーは、あるユーザ(例えば、セールスマネージャ)に割り当てられたアプリケーションの機能性が別のユーザ(例えば、別のセールス部門マネージャ)へデリゲートされる際に基礎となるルールを定義する。後でさらに説明するが、好ましくは、オーソリゼーション証明書がこの状況において使用される。異なる装置上の別のアプリケーションによるサブタスクの実行をあるアプリケーションが要求することができるので、フェデレーションポリシーは、このような割り当てに含まれるべきデバイスの妥当性に関するアサーションを提供する。後述するように、トラスト証明書は、フェデレーションポリシーに基づいてアサートされた、デバイスに関する属性情報を保存し認証する好ましいコンテナである。本実施例では、コンフィギュレーションポリシーと、デリゲーションポリシーと、フェデレーションポリシーとは、ポリシーセットと呼ばれる。
一般に、証明書は署名付きのデータ項目である。本発明に基づく本実施例は、公開鍵証明書の他にオーソリゼーション証明書およびトラスト証明書を用いる。
本実施例では、オーソリゼーション証明書はデリゲーションポリシーの強制のために使用され、トラスト証明書はフェデレーションポリシーの強制のために用いられる。オーソリゼーション証明書はユーザへリンクされ、企業環境におけるユーザの役割および権利を反映する。すなわち、オーソリゼーション証明書は役割に基づいている。例えば、販売員としての役割を持つ従業員は、顧客アドレスデータベースと自分の個人予定表とに対するアクセス権を有する。セールス部門マネージャとしての役割を持つユーザは、オーダーの承認を実行し、バジェットの数字を修正するため、オーダーデータベースへのアクセス権を有する。セールスマネージャには、あるタスク、例えばオーダーを承認するタスクをデリゲートする権利も与えることができる。
本実施例では、トラスト証明書はターミナルデバイスへ割り当てられる。トラスト証明書がそのターミナルデバイスは信頼できるということを証明するものであれば、アプリケーションおよびデータは上記ターミナルデバイスへとデリゲートされ転送される。
図3にさらに示されているように、ソースターミナルデバイス1aは通信チャネル4aによりネットワーク3へと接続されている。本実施例では、ネットワーク3へのアクセスはファイアウォール6を介して許可される。所望のタスクを実行している間に、ソースターミナルデバイス1aのユーザは、例えば、企業ネットワーク3の一部であるデータベースAおよびBに対してアクセスを制御できるようにするために、セキュリティポリシーのフレームワークにおいてソースターミナルデバイス1a上で実行されているアプリケーション2を利用する。ユーザが、通信チャネル4bによってネットワーク3へリンクされているターゲットターミナルデバイス1b上で現在のタスクを継続して実行することを望む場合、ソースターミナルデバイスからターゲットターミナルデバイス1bへ現在のセッションを転送するプロセスが開始される。
図5に示されているように、本発明の実施例によれば、ステップ1.1において、現在のタスクのアプリケーションに関係するポリシーセットにおいて表現されているセキュリティ要件が評価される。本実施例では、デリゲーションポリシーおよびフェデレーションポリシーは、アプリケーション、したがって現在のセッションを転送できるかどうかと、どのコンテキストにおいて転送できるかとを定義する。セッション転送がユーザとターミナルデバイスとの両方に関して、一般的に許可されているかどうかを決定するためにポリシーが評価される。セッション転送が許可されていなければプロセスは終了する。ステップ1.2において、セキュリティポリシーは、アプリケーションのセキュリティポリシーによって定義されたセキュリティ制約を決定するために評価される。ステップ1.3において、ソースターミナルデバイスとターゲットターミナルデバイスとを接続するために通信チャネルが確立される。確立された通信チャネルは、ターミナルデバイス間で直接的にセットアップされるか、またはネットワークを介して確立される。ステップ1.4において、同じかまたはそれ以上の高い厳密性を有するセキュリティコンテキストがターゲットターミナルデバイス上で確立できるかどうかを決定するために、ソースターミナルデバイスとターゲットターミナルデバイスとの間でセキュリティ制約がネゴシエートされる。これが可能である場合に限り、好ましくはターゲットターミナルデバイス上で実行されるべきアプリケーションに基づき、ステップ1.5においてそれぞれのセキュリティコンテキストがターゲットターミナルデバイス上で確立される。代替的または付加的に、セキュリティ制約をネゴシエートするステップの間に交換された情報が含まれる。さらに、セキュリティ制約をネゴシエートするステップにおいてソースターミナルデバイスからターゲットターミナルデバイスへ送信されたセキュリティポリシーを考慮することもできる。ステップ1.6において、セッションはソースターミナルデバイスからターゲットターミナルデバイスへと転送される。詳細については上述したとおりであり、そちらを参照されたい。
本実施例では、ポリシーセットの評価は精密な通信ミドルウェアによって実行される。図6に示されているように、通信ミドルウェアは(ビジネス)アプリケーションを支援し、好ましくは、アプリケーション管理コンポーネントと、フェデレーション管理コンポーネントと、セキュリティライブラリと、ネットワーク制御コンポーネントとを備えている。
本実施例では、アプリケーション管理コンポーネントは、通信ミドルウェアに対する(ビジネス)アプリケーションのインターフェースである。このコンポーネントは、アプリケーションの現在の状態を少なくとも部分的に表現し、ネットワーク制御によってネットワーク環境へアクセスできるようにする状態情報を有している。ネットワーク環境は、ターミナルデバイスが接続されているか、または接続できる企業サーバだけでなく、同じ場所にある(co−located)ターミナルデバイスも含む。アプリケーション管理は、セキュリティポリシーの管理および強制にも関係している。
本実施例では、フェデレーション管理コンポーネントは、アプリケーション管理コンポーネントの制御の下でタスクを実行する。アプリケーションがサーバまたは同じ場所にあるターミナルデバイスへのアクセスを要求する場合、フェデレーション管理は要求を処理するために関与する。このようにするために、フェデレーション管理は、他のターミナルデバイスおよびサーバについてネットワーク環境をクエリし、それらの機能をチェックし、ターミナルデバイスおよびサーバ上で利用可能なセキュリティサービスをネゴシエートする。
本実施例のセキュリティライブラリコンポーネントは、セキュリティサービスへのインターフェースを提供する。セキュリティサービスとは、暗号化および復号化のアルゴリズムやメッセージ認証コードなどといった暗号に関するオペレーションの実装であるとともに、鍵や証明書などといった暗号化データ構造の実装である。
本実施例では、ネットワーク制御コンポーネントは、基礎となるトランスポート層およびネットワーク層にハンドルを提供する。これらハンドルは、ソケットもしくはリモートプロシージャ呼び出し、またはターミナルデバイスの各プラットフォームまたはネットワーク環境で利用されているその他の通信サポートに類似した入力チャネルおよび出力チャネルを実装する。
上記の実施例において、特定のアプリケーションにリンクされたセキュリティポリシーは、有利にはセキュリティライブラリを利用して、アプリケーション管理コンポーネントにより適用されるときにセキュリティコンテキストを生成する。セキュリティコンテキストは、好ましくは、ネットワーク制御コンポーネントによって強制される。ターミナルデバイス上でのアプリケーションの実行は全て、特定のアプリケーションのセキュリティポリシーの考慮および遵守を意味するということを理解することが不可欠である。好ましくは、形式的なシンタックスで与えられたセキュリティポリシーは、上記のアプリケーション管理コンポーネントのポリシー管理サブコンポーネントにより解析される。本実施例では、サブコンポーネントは、ポリシーのインテグリティが例えばポリシーと関連付けられたシグネチャをチェックすることによりチェックされることと、セキュリティコンテキストが実装されることとをさらに保証する。
本実施例では、セキュリティコンテキストは、セキュリティサービス呼び出しについての順序付きリストを含んでいる。セキュリティサービスは、ターミナルデバイス上に配置されたセキュリティライブラリに保持されている。ポリシー管理サブコンポーネントは、ポリシーの仕様により必要なセキュリティサービスを特定し、セキュリティサービスに対する可能なバインディングをチェックし、バインディングが確立されていればセキュリティサービスの呼び出しをセキュリティコンテキストへ組み込む。
さらに、セキュリティポリシーの強制は、アプリケーション管理コンポーネントおよびフェデレーション管理コンポーネントによって実行される。ポリシーの強制は、アプリケーションを動かすターミナルデバイスの挙動がセキュリティポリシーにより定義された要件に従うということを保証する。基本的にポリシー強制は、ネットワーク制御コンポーネントがデータを送信または受信するときに生じる。その上、ポリシー強制は、フェデレーション管理が同じ場所にあるターミナルデバイスへの通信をセットアップするときに生じる。
以下、ユビキタスコンピューティング環境においてソースターミナルデバイスからターゲットターミナルデバイスへセッションを転送するプロセスについてのさらなる具体的な実施例であって、本発明の方法を利用する実施例を図7〜図11を参照して説明する。
図7に示されているように、本実施例はモバイルターミナルデバイス1aおよび1bがアプリケーション2に基づくタスクを実行するために使用される環境に関連する。アプリケーション2はビジネスアプリケーションを備えており、企業ネットワークであるネットワーク3へのアクセス権を提供する。
ユーザが図7に示されているコンピューティング環境において特定のタスクを実行することを望む場合、このユーザは、第1のモバイルターミナルデバイス1a上で実行されるアプリケーション2を利用する。本実施例では、その後、ユーザは第2のモバイルターミナルデバイス1b上で現在のタスクを継続することを決めるということが想定されている。ソースモバイルターミナルデバイス1aからターゲットモバイルターミナルデバイス1bへそれぞれのセッションを転送するプロセスは後でさらに説明する。
上述のように、本実施例においても、ターミナルデバイスは、ユーザがネットワーク型コンピューティング環境において所望のタスクを実行できるようにするために必要なすべてのソフトウェアを搭載している。好ましくは、モバイルターミナルデバイスのソフトウェアは、オペレーティングシステムと、通信ミドルウェアと、特定のライブラリ、特にセキュリティライブラリと、少なくとも1つのアプリケーションとを備えている。さらに、特定のアプリケーション2にそれぞれ関係するセキュリティポリシー5が、ユーザが特定のタスクを実行するためにモバイルターミナルデバイスを利用するときにいつでもセキュリティコンテキストを確立するために定義される。ターミナルデバイス上でアプリケーションのセキュリティコンテキストを実装するさらなる詳細については、上記実施例を参照されたい。
図7に示されている実施例において、モバイルターミナルデバイス1aおよび1bとネットワーク3との間の通信チャネル4aおよび4bは、例えば、WLANまたはブルートゥースのような無線通信チャネルである。本実施例では、モバイルターミナルデバイス1aと1bが、さらなる無線通信チャネル4cにより直接通信することもできる。
本実施例によりソースモバイルターミナルデバイスからターゲットモバイルターミナルデバイスへセッションを転送するプロセスは、図8に概略的に示されている。このプロセスは、以下の説明からも明らかとなるように、一方または両方のターミナルデバイスがワイヤーバウンド通信チャネルによってネットワークへリンクされている環境にも適用できる。
ステップ10.1において、転送すべき現在のセッションのアプリケーションに関係したセキュリティポリシーを評価することにより、セッション転送の条件が決定される。特に、セッションの転送が一般的に許可されているかどうかに関してセキュリティコンテキストが評価される。上述したように、セキュリティポリシーがデリゲーションポリシーおよびフェデレーションポリシーを含むならば、ステップ10.1において、関連したアプリケーションに対してセッション転送が許可されているかどうかを決定するためにフェデレーションポリシーだけでなくデリゲーションポリシーも評価されることが好ましい。セッション転送が許可されていない場合、プロセスは図8に示されているように終了する。
セッション転送が許可されている場合、プロセスは、図8に示されているように続いてステップ10.2を実行する。本実施例の本ステップにおいて、ソースモバイルターミナルデバイス1aは、好ましくは無線通信チャネル4cを使用して、同じ場所にあるモバイルターミナルデバイスを特定する。それにより、ネットワーク3を回避して、ソースモバイルターミナルデバイス1aと他のモバイルターミナルデバイスとの間に直接的な通信が確立される。オプションとして、通信チャネル4aおよび4bはネットワーク3を経由した通信のため使用される。有利には、ターミナルデバイスの通信ミドルウェアの一部を構成する上記フェデレーション管理コンポーネントが、他のターミナルデバイスとの通信を発見し、続いてその通信を提供するために配置されている。ターミナルデバイスが見つからない場合は、図8に示されているようにプロセスが終了する。
ステップ10.3において、セキュア通信チャネルが確立される。その後、2つのターミナルデバイスは、例えばSSLのような標準的な暗号化プロトコルを使用して、保護された環境で通信するために接続される。セキュア接続は、ターゲットモバイルターミナルデバイス上で確立できるセキュリティコンテキストおよび確立すべきセキュリティコンテキストをネゴシエートするために必要である。ステップ10.4において、ターゲットモバイルターミナルデバイスの信頼性が、例えば、上述した証明書に基づいて承認される。信頼性がチェックできない場合、プロセスは図8に示されているように終了する。
図8に示されているように、所望のターゲットモバイルターミナルデバイスが信頼できるデバイスであれば、プロセスは引き続きステップ10.5を実行し、それにより2つのモバイルデバイスがセキュリティコンテキストをネゴシエートする。ネゴシエートするステップの詳細は図9以降を参照して説明する。
一般に、4つのネゴシエーション容認モードが本発明の本実施例において定義される。
a)セキュリティコンテキスト容認
本モードでは、ターゲットターミナルデバイス上でセキュリティコンテキストが完全に再構成される。
本モードでは、ターゲットターミナルデバイス上でセキュリティコンテキストが完全に再構成される。
b)セキュリティコンテキスト通知
セキュリティコンテキストは、ユーザが容認するためにいくつかの変更を行うことを要求する。
セキュリティコンテキストは、ユーザが容認するためにいくつかの変更を行うことを要求する。
c)セキュリティコンテキスト適応
セキュリティコンテキストは、自動的に、すなわちユーザの干渉無く、容認レベルに達するように調整される。ユーザは、調整について通知される場合とされない場合とがある。
セキュリティコンテキストは、自動的に、すなわちユーザの干渉無く、容認レベルに達するように調整される。ユーザは、調整について通知される場合とされない場合とがある。
d)セキュリティコンテキスト終了
セキュリティコンテキストは容認できないと決定する。
セキュリティコンテキストは容認できないと決定する。
ここで図9をもう一度参照すると、セキュリティコンテキストをネゴシエートするプロセスステップは、本実施例では以下の通り実行される。ソースデバイスは、メッセージSESSION_OBLIGATIONをターゲットデバイスへ送信する。メッセージSESSION_OBLIGATIONは、ソースデバイスの実際のセキュリティコンテキストに関する情報、例えばソースデバイス上で使用されるポリシーセットを含んでいる。ターゲットデバイスは、セキュリティ要件をチェックし、セキュリティ要件を満たしていれば、メッセージSESSION_CONFIRMを送信する。この場合、ソースデバイスはメッセージSESSION_CONFIRMをターゲットデバイスへ返却する。その後、セッション転送が可能であることを確立した後に、ネゴシエートステップが終了し、プロセスは図8に示されているように継続する。しかし、図9に示されているように、セキュリティ要件を満たすことができない場合、ターゲットデバイスはメッセージSESSION_SECURITY_NEGOTIATIONをソースデバイスへ送信する。ソースデバイスは、その後、メッセージSESSION_SECURITY_POSSIBILITIESを送信する。メッセージSESSION_SECURITY_POSSIBILITIESは、ネゴシエートできないセキュリティ項目のリストと、それに加えて、ある種の代案が好ましいコンテキストに与えられたネゴシエート可能なセキュリティ項目のリストとを含んでいる。ターゲットデバイスは受信したオプションをチェックし、一致するものがなければ、ターゲットデバイスはメッセージSESSION_DISABLEを送信し、ネゴシエートステップは図10に示されるように継続する。すなわちネゴシエートステップは不成功で終了する。その他の場合、図9に示されているように、ターゲットデバイスは受信したオプションをチェックし、一致するものがあれば、ターゲットデバイスは、ネゴシエートできないセキュリティ項目およびネゴシエート可能なセキュリティ項目の適切な組み合わせとともに、メッセージSESSION_SECURITY_POSSIBILITIESをソースデバイスへ送信する。ソースデバイスはこの提案をチェックし、チェック結果が肯定的であれば、メッセージSESSION_CONFIRMを送信する。その後、ネゴシエートステップは、セッション転送が可能であることを確立した後に終了する。これに反し、ソースデバイス側のチェック結果が否定的であれば、ソースデバイスはメッセージSESSION_DISABLEをターゲットデバイスへ送信し、ネゴシエートステップは図11に示されているように継続する。すなわちネゴシエートステップは不成功で終了する。
ネゴシエートステップが成功で終了する場合、セキュリティコンテキストが確立され、再び図8を参照して後述するようにセッション転送を行うことができる。
ステップ10.6において、ソースデバイス側のセッションの現在の状態が取得され、すなわち、ターゲットデバイス側でセッションを確立するために必要な全情報が決定される。現在のセッション状態に関する情報は、ステップ10.7に示されているようにターゲットデバイスへ転送され、セッションは、ステップ10.8に示されているようにターゲットデバイス側で確立される。これらプロセスステップのさらなる詳細については、ソースターミナルデバイスからターゲットターミナルデバイスへセッションを転送する実際のステップに関係するこれまでの説明を参照されたい。
本発明の実施例の上述の説明は様々な利点が得られるということを示している。例えば、セキュリティ要件は、セッションの全ライフタイム、すなわち確立、フェデレーションセットアップ、セキュリティコンテキストのネゴシエーションおよびセッション転送の間に扱われるが、従来技術による既知の解決策においてはそうではない。さらに、適用されたセキュリティサービスおよびメカニズムに関して、セキュリティコンテキストのネゴシエーションおよびセッション状態転送の基礎を形成する高度のフレキシビリティが適用されることに注意すべきである。従来技術では、ハードコード化されたセキュリティメカニズムが提供されている。その上さらに、本発明によるセッション転送方法は、ソースデバイスとターゲットデバイスとの間を仲介するサーバを必ずしも必要としない。
ソースターミナルデバイスまたはターゲットターミナルデバイスのいずれかとして本発明を実施するために使用できるようにするため、ターミナルデバイスは、セッション転送が許可されているかどうかを決定する手段と、転送すべきセッションのセキュリティ制約を決定する手段と、上記セキュリティ制約をネゴシエートする手段と、それぞれのセキュリティコンテキストを確立する手段と、セッションを転送する手段とを備えて成ることを本発明の実施例に関する上述の説明は明らかにしている。好ましくは、上記の手段は、上記ターミナルデバイス上で実行されるソフトウェアとして実装される。ターミナルデバイスがモバイルターミナルデバイスであるならば、無線通信チャネルが有利である。セッションを転送するプロセスを保護するため、ターミナルデバイスは好ましくはセキュア通信チャネルを確立する機能を備えている。
Claims (10)
- ユビキタスコンピューティング環境においてソースターミナルデバイス(1a)からターゲットターミナルデバイス(1b)へセッションを転送する方法であって、
前記セッションは、前記ソースターミナルデバイス(1a)上でアプリケーションを起動することにより開始されるものであり、
前記セッションのセキュリティは、セキュリティコンテキストを前記アプリケーションごとに生成するために、実行されている前記アプリケーションに対して指定されているアプリケーション別セキュリティポリシー(2)により実現されるものであって、
前記ソースターミナルデバイス(1a)が、アプリケーション別セキュリティポリシー(2)に基づいて、セッション転送が許可されているかどうかを決定するステップと、
前記ソースターミナルデバイス(1a)と前記ターゲットターミナルデバイス(1b)との間に確立されている直接的な通信チャネル(4c)を介して、前記ソースターミナルデバイス(1a)が前記ターゲットターミナルデバイス(1b)と前記アプリケーション別セキュリティポリシー(2)をネゴシエートするステップと、
セッション転送が許可されている場合に、前記直接的な通信チャネル(4c)を介してネゴシエートされたアプリケーション別セキュリティポリシー(2)に基づいて、前記ソースターミナルデバイス(1a)が前記ターゲットターミナルデバイス(1b)へ前記セッションの状態に関する情報を転送するステップと、
前記ターゲットターミナルデバイス(1b)が、セキュリティコンテキストを前記アプリケーションごとに生成するために、前記アプリケーション別セキュリティポリシーを確立し、そのアプリケーション別セキュリティポリシーに基づいて当該アプリケーションの使用可否を判断するステップと
を含む方法。 - 前記セキュリティコンテキストは前記アプリケーション別セキュリティポリシーを用いて表現できるものであり、
セッション転送が許可されているかどうかを決定する前記ステップが、前記ソースターミナルデバイス(1a)にある前記アプリケーション別セキュリティポリシーの少なくとも1つを評価するステップを含むものであり、および/または、転送されるべき前記セッションのセキュリティ制約を決定する前記ステップが、前記アプリケーション別セキュリティポリシーの少なくとも1つを評価するステップを含むものである、
請求項1に記載の方法。 - 前記セキュリティ制約または前記セキュリティポリシーをネゴシエートするステップが、前記ソースターミナルデバイス(1a)と前記ターゲットターミナルデバイス(1b)との間でアプリケーション別セキュリティポリシーまたはアプリケーション別セキュリティポリシーに関係する情報を交換するステップを含むものである、請求項1または2に記載の方法。
- 前記ターゲットターミナルデバイス(1b)上でそれぞれのセキュリティコンテキストを確立する前記ステップが、前記セキュリティ制約または前記セキュリティポリシーをネゴシエートする前記ステップ内で前記ソースターミナルデバイス(1a)と前記ターゲットターミナルデバイス(1b)との間で交換された情報に基づいて実行されるものである、請求項1〜3のいずれか一項に記載の方法。
- 前記ソースターミナルデバイス(1a)と前記ターゲットターミナルデバイス(1b)との間の直接的な通信が、セキュア通信チャネルを介して行われるものである、請求項1〜4のいずれか一項に記載の方法。
- 前記ソースターミナルデバイス(1a)と前記ターゲットターミナルデバイス(1b)との間の前記直接的な通信が、無線通信チャネルである、請求項1〜5のいずれか一項に記載の方法。
- 前記ソースターミナルデバイス(1a)と前記ターゲットターミナルデバイス(1b)とがモバイルターミナルデバイスである、請求項1〜6のいずれか一項に記載の方法。
- 前記アプリケーション別セキュリティポリシーが少なくともオーソリゼーションポリシーと、コンフィギュレーションポリシーと、デリゲーションポリシーと、フェデレーションポリシーとから成るものである、請求項1〜7のいずれか一項に記載の方法。
- 前記アプリケーション別セキュリティポリシーは、前記ソースターミナルデバイス(1a)上および前記ターゲットターミナルデバイス(1b)上で実行可能な少なくとも1つのアプリケーションへ対応しているものであり、
前記アプリケーションは、転送されるべき前記セッションに対応するものである、
請求項1〜8のいずれか一項に記載の方法。 - ユビキタスコンピューティング環境においてターゲットターミナルデバイス(1b)へセッションを転送するソースターミナルデバイス(1a)であって、
前記セッションは、前記ソースターミナルデバイス(1a)上でアプリケーションを起動することにより開始されるものであり、
前記セッションのセキュリティは、セキュリティコンテキストを前記アプリケーションごとに生成するために、実行されている前記アプリケーションに対して指定されているアプリケーション別セキュリティポリシー(2)により実現されるものであって、
アプリケーション別セキュリティポリシー(2)に基づいてセッション転送が許可されているかどうかを決定するために、前記ソースターミナルデバイス(1a)上で前記アプリケーション別セキュリティポリシー(2)を評価する手段と、
前記ソースターミナルデバイス(1a)と前記ターゲットターミナルデバイス(1b)との間に確立されている直接的な通信チャネル(4c)を介して、前記ターゲットターミナルデバイス(1b)と前記アプリケーション別セキュリティポリシー(2)をネゴシエートする手段と、
セッション転送が許可されている場合に、前記直接的な通信チャネル(4c)を介してネゴシエートされたアプリケーション別セキュリティポリシー(2)に基づいて前記ソースターミナルデバイス(1a)から前記ターゲットターミナルデバイス(1b)へ前記セッションの状態に関する情報を転送する手段と
を備えたソースターミナルデバイス。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2004/011929 WO2006045323A1 (en) | 2004-10-21 | 2004-10-21 | Method and adapted terminal device for secure session transfer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008517388A JP2008517388A (ja) | 2008-05-22 |
| JP4733706B2 true JP4733706B2 (ja) | 2011-07-27 |
Family
ID=34959200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007537120A Expired - Fee Related JP4733706B2 (ja) | 2004-10-21 | 2004-10-21 | セキュアセッション転送の方法および対応するターミナルデバイス |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1810472A1 (ja) |
| JP (1) | JP4733706B2 (ja) |
| WO (1) | WO2006045323A1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8386766B2 (en) * | 2007-10-17 | 2013-02-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for deciding a security setting |
| KR101457217B1 (ko) | 2008-05-02 | 2014-10-31 | 삼성전자주식회사 | 멀티클라이언트 간 세션 이동을 위한 시스템 및 방법 |
| US8769257B2 (en) * | 2008-12-23 | 2014-07-01 | Intel Corporation | Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing |
| KR101596955B1 (ko) | 2009-02-20 | 2016-02-23 | 삼성전자주식회사 | 통합 인터넷 프로토콜 메시징 시스템에서 세션 트랜스퍼 방법 |
| EP2330789B1 (en) * | 2009-12-04 | 2015-10-14 | Alcatel Lucent | System and method for accessing private digital content |
| WO2015103338A1 (en) * | 2013-12-31 | 2015-07-09 | Lookout, Inc. | Cloud-based network security |
| US10015162B2 (en) | 2015-05-11 | 2018-07-03 | Huawei Technologies Co., Ltd. | Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests |
| US10749970B1 (en) | 2016-12-28 | 2020-08-18 | Wells Fargo Bank, N.A. | Continuous task-based communication sessions |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5812865A (en) * | 1993-12-03 | 1998-09-22 | Xerox Corporation | Specifying and establishing communication data paths between particular media devices in multiple media device computing systems based on context of a user or users |
-
2004
- 2004-10-21 WO PCT/EP2004/011929 patent/WO2006045323A1/en active Application Filing
- 2004-10-21 JP JP2007537120A patent/JP4733706B2/ja not_active Expired - Fee Related
- 2004-10-21 EP EP04790729A patent/EP1810472A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| EP1810472A1 (en) | 2007-07-25 |
| WO2006045323A1 (en) | 2006-05-04 |
| JP2008517388A (ja) | 2008-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7457173B2 (ja) | モノのインターネット(iot)デバイスの管理 | |
| RU2390828C2 (ru) | Способ и система для осуществления защищенного обеспечения клиентского устройства | |
| CN107637011B (zh) | 用于物联网网络的自配置密钥管理*** | |
| CN111523108B (zh) | 用于加密密钥管理、联合和分配的***和方法 | |
| EP1942629B1 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
| US10140435B2 (en) | Method for distribution of licenses based on geographical location | |
| US10834133B2 (en) | Mobile device security policy based on authorized scopes | |
| CN102047262B (zh) | 用于分布式安全内容管理***的认证 | |
| US20070143408A1 (en) | Enterprise to enterprise instant messaging | |
| EP2724284A1 (en) | Access control architecture | |
| JP4733706B2 (ja) | セキュアセッション転送の方法および対応するターミナルデバイス | |
| KR20040102333A (ko) | 프로토콜 기반의 트러스트 영역 외부의 소정의 외부접속이 복수의 소스로부터 통신들을 전달할 수 있는프로토콜 기반의 트러스트 영역 안에서의 분산 인증 | |
| EP2741465B1 (en) | Method and device for managing secure communications in dynamic network environments | |
| KR100895925B1 (ko) | 기저 데이터 링크 및 물리적 레이어 프로토콜과 무관한 의뢰자 및 인증자 상호통신 메커니즘 | |
| WO2007090866A1 (en) | Collaborative access control in a computer network | |
| Liu et al. | Agent-based automated trust negotiation for pervasive computing | |
| Arunkumar et al. | Policy extension for data access control | |
| Kandil et al. | Mobile agents' authentication using a proposed light Kerberos system | |
| Lanzieri et al. | Third Party Authorization of LwM2M Clients | |
| Zhu et al. | Secure Grid Computing | |
| US20230109647A1 (en) | Context aware cipher solutions in secure communications | |
| Kipp et al. | Supporting dynamism and security in ad-hoc collaborative working environments | |
| Mukkamala et al. | Policy-Based Security Management for Enterprise Systems | |
| Chandrasiri et al. | Personal security domains | |
| Bordel et al. | A framework for enhancing mobile workflow execution through injection of flexible security controls |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100514 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100713 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110315 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110401 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110422 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140428 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |