CN102422278A - 交互式认证质询 - Google Patents
交互式认证质询 Download PDFInfo
- Publication number
- CN102422278A CN102422278A CN2010800214867A CN201080021486A CN102422278A CN 102422278 A CN102422278 A CN 102422278A CN 2010800214867 A CN2010800214867 A CN 2010800214867A CN 201080021486 A CN201080021486 A CN 201080021486A CN 102422278 A CN102422278 A CN 102422278A
- Authority
- CN
- China
- Prior art keywords
- message
- inquiry
- interactive
- request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Information Transfer Between Computers (AREA)
- Communication Control (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
用于认证对资源的请求的系统和方法。请求方用第一协议向服务器发送对资源的请求。服务器可以向请求方发送质询消息。作为响应,请求方使用质询处理程序,该质询处理程序用第二协议与质询服务器执行交互式质询。在成功地结束交互式质询之后,质询处理程序与请求处理程序同步,该请求处理程序向服务器发送质询响应消息。然后,服务器可以允许对被请求的资源的访问。
Description
技术领域
本发明一般涉及网络技术,更具体而言,涉及对于联网环境中的请求的交互式认证。
背景技术
计算机网络遭受各种安全违背。当用户或计算机系统为了访问它不被授权访问的资源,或以别的方式避免被正确地与请求相关联而虚假地标识其本身时,产生一种这样的类型的违背。为有助于请求认证,发往依赖方的对服务的请求以这样的一种方式来包括请求方的身份以使得依赖方可以验证该身份的真实性。请求认证是验证请求的发送者的身份的过程。认证提供每一方的标识都是准确的某种级别的安全性。请求方的身份形成由依赖方作出的访问控制决策的基础。它还允许依赖方准确地将请求归结于请求者。
一种类型的请求认证包括使用用户名和口令。一种更强的类型的认证涉及使用安全令牌。某些类型的安全令牌是由受信任的身份提供方所提供的。拥有安全令牌用于提供对于拥有方的身份证明。某些安全令牌嵌入了加密密钥,以便实现更强的安全性。承载密钥的安全令牌的示例包括带有会话密钥的Kerberos v5权证和带有密钥持有人对象确认的SAML v1.1或v2.0令牌。
在一种类型的交互中,请求方从身份提供方获取安全令牌。然后,请求方将安全令牌与请求一起呈现给可以提供资源的依赖方。依赖方与身份提供方具有信任关系,该身份提供方充当安全密钥的真实性的保证。
当从身份提供方获取安全令牌时,请求方可以提供诸如用户名和口令之类的某些标识信息。存在许多这样的场景:身份提供方可以要求与请求方进行实时交互以补充在原始请求中提交的认证凭证。身份提供方可以这样做的一种方式是通过质询请求方提供额外的认证数据。例如,身份提供方可以用一个问题提示用户,应正确地回答该问题以提供真实性的进一步的证据。
WS-Security(WS-安全)和WS-Trust(WS-信任)是由OASIS所定义的用于向Web服务施加安全性的通信协议。它们被设计成与简单对象访问协议(SOAP)协议一起工作。由WS-Trust所定义的安全令牌服务(STS)框架允许用于请求安全令牌的简单请求/响应模式,以及实现协商和质询交换的扩展机制。
发明内容
提供本发明内容以便以简化形式介绍将在以下的具体实施方式中进一步描述的一些概念。本发明内容并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
简单来说,系统、方法,以及组件操作以对从请求方发送到质询方的资源的请求进行认证。在一示例实施例中,请求是用第一协议发送的。质询方可以接收请求,并生成质询消息,并用第一协议向请求方发送质询消息。质询消息可包括指示质询服务器的地址的URI。响应于接收到质询消息,请求方可以实例化质询处理程序,并向质询处理程序传达URI。质询处理程序可以使用URI来连接到质询服务器,并用第二协议开始交互式质询。如果交互式质询成功,则质询服务器可以向质询处理程序发送包括指示成功的交互式质询的Web令牌的消息。质询处理程序可以向请求客户端传达Web令牌。请求客户端可以发送带有指示成功的交互式质询的Web令牌的质询响应消息。作为响应,质询方可以基于质询方响应消息是否包括指示成功的交互式质询的Web令牌,选择性地提供对所请求的资源的访问。
在一个示例实施例中,第二协议使用HTML,而第一协议不使用HTML。交互式质询可包括从质询方向质询处理程序发送一个或多个HTML页面。质询处理程序可以发送HTTP GET(获得)消息、HTTP POST(传递)消息,或另一消息以发起通信或对HTML页面作出响应。在一个实施例中,第一协议根据WS-Trust协议。
为了实现前述及相关目的,在这里结合以下描述及附图来描述系统的某些说明性方面。然而,这些方面仅指示了可采用本发明的原理的各种方法中的少数几种,且本发明旨在包括所有这样的方面及其等效方面。通过结合附图考虑本发明的以下详细描述,本发明的其它优点以及新颖的特征将变得显而易见。
附图说明
参考以下附图来描述本发明的非限制性且非穷尽性实施方式。在各附图中,除非另外指明,否则在全部附图中相同的附图标记指代相同的部分。
为了帮助理解本发明,将参考以下与附图相关联地阅读的具体实施方式,附图中:
图1A-B是其中可以实施各实施例的环境的框图;
图2是示出了可以用于实现请求方的计算系统的示例实施例的框图;
图3是示出了可以用于实现质询方的计算系统的示例实施例的框图;
图4示出了其中可以实施交互式质询的示例环境;以及
图5A-B是示出了在第二通信信道中使用质询来认证第一通信信道中的请求的过程的示例实施例的流程图。
具体实施方式
下文中将参考附图来更全面地描述本发明的各示例实施方式,附图构成实施方式的一部分且在其中作为示例示出了可在其中实践本发明的各特定示例实施方式。然而,本发明可被实现为许多不同的形式并且不应被解释为被限于此处描述的各实施方式;相反,提供这些实施方式以使得本公开变得透彻和完整,并且将本发明的范围完全传达给本领域技术人员。特别地,本发明可被实现为方法或设备。因此,本发明可采用完全硬件实施方式、完全软件实施方式或者结合软件和硬件方面实施方式的形式。因此,以下详细描述并非是局限性的。
贯穿说明书和权利要求书,下列术语采用此处显式相关联的含义,除非该上下文在其他地方另有清楚指示。如此处所使用的,短语“在一个实施方式中”尽管它可以但不一定指前一实施方式。此外,如此处所使用的,短语“在另一个实施方式中”尽管它可以但不一定指一不同的实施方式。因此,可以容易地组合本发明的各实施方式而不背离本发明的范围或精神。类似地,如此处所使用的,短语“在一个实现中”尽管它可以但不一定指相同的实现,并且可以组合各种实现的技术。
另外,如此处所使用的,术语“或”是包括性“或”运算符,并且等价于术语“和/或”,除非上下文清楚地另外指明。术语“基于”并非穷尽性的并且允许基于未描述的其他因素,除非上下文清楚地另外指明。另外,在本说明书全文中,“一”、“一种”和“所述”的含义包括复数引用。“在......中”的含义包括“在......中”和“在......上”。
如此处所使用的,术语“认证”指的是确认事实或声明在可以接受的肯定度内是真实的。认证用户或用户的身份适用于确认所声明的用户的身份足够并准确。认证来自用户的请求可包括确认与请求一起包括的身份信息是准确的,请求是所标识的用户始发的或其授权的,或者请求中的其他信息是准确的。认证具有相关联的肯定度,从而允许存在信息已经被认证但可能不准确的情况。
此处所描述的组件可以从其上具有数据结构的各种计算机可读介质来执行。组件可通过本地或远程过程诸如按照具有一或多个数据分组(例如,来自一个通过信号与本地系统、分布式系统中的另一组件交互或跨诸如因特网的网络与其它系统交互的组件的数据)的信号来通信。例如,根据本发明的各实施方式,软件组件可被存储在计算机可读存储介质上,包括但不限于:专用集成电路(ASIC)、紧致盘(CD)、数字多功能盘(DVD)、随机存取存储器(RAM)、只读存储器(ROM)、软盘、硬盘、电可擦除可编程只读存储器(EEPROM)、闪存或记忆棒。
图1A是其中可以实施各实施例的示例环境100的框图。图1A提供了对示例环境的基本理解,尽管可以使用许多配置,且许多细节没有在图1A中示出。如图1A所示,示例环境100包括请求方102。请求方102可以是向另一实体请求资源或服务的客户机计算设备、进程或任何组件。如此处所使用的,服务被视为资源,由此,被包括在对资源的引用中。
示例环境100包括质询方104。质询方104可以是计算设备、服务器或包括多个服务器的服务器场。在一个实施例中,质询方104是在计算设备上执行的进程。质询方104可以,响应于来自请求方102的请求,提供资源。
如图1A所示,请求方102和质询方104可以通过网络120相互进行通信。网络120可包括局域网、广域网或其组合。在一个实施例中,网络120包括因特网,因特网是网络的网络。网络120可包括有线通信机制、无线通信机制或其组合。请求方102和质询方104彼此之间或与其他计算设备之间的通信可以使用各种有线或无线通信协议中的一个或多个,如IP、TCP/IP、UDP、HTTP、SSL、TLS、FTP、SMTP、WAP、蓝牙或WLAN。
在一个实施例中,请求方102和质询方104使用两个通信信道来相互进行通信。如箭头所示,请求信道106可以允许请求方102和质询方104传递与请求和响应有关的消息;质询信道108可以允许请求方102和质询方104传递与质询有关的消息。此处更详细地讨论了这些信道和消息。
在一个实施例中,请求方102使用请求信道106来向质询方104发送一个或多个请求。请求可包括某一类型的标识信息。质询方104可以处理该请求,并确定该请求是否包括充分地认证请求方102的请求或用户的信息。在某些情况下,质询方104可以确定要求比所提供的标识信息更强的认证。质询方104可以将质询通知给请求方102。在一个实施例中,请求方102和质询方104使用质询信道108来执行交互式质询。在一个实施例中,交互式质询使用超文本标记语言(HTML)协议来通过HTTP进行通信。此处更详细地讨论了质询的机制和内容。
图1B是其中可以实施各实施例的环境150的框图。环境150是环境100的更具体的示例,而对环境100的讨论适用于环境150。如图1B所示,示例环境150包括请求方152,该请求方152可以是请求方102。
示例环境150包括依赖方156。依赖方156可以是计算设备、服务器或包括多个服务器的服务器场。
在一个实施例中,请求方152向依赖方156发送一个或多个请求。请求可包括某一类型的标识信息。依赖方156可以处理请求,并确定请求是否包括充分地标识请求方152的信息。此信息可以被称为安全凭证。如果安全凭证没有被包括在请求中或者是不充分的,则依赖方156可以拒绝该请求并指示请求方152提供充分的安全凭证。
示例环境100包括身份提供方150。身份提供方160是向诸如请求方152之类的提出请求的实体提供安全凭证的网络实体。安全凭证可以表示关于可以被依赖方156信任的请求方152的声明。由此,身份提供方160被视为是被依赖方156信任的一方。在一个实施例中,安全凭证包括安全令牌,而身份提供方160包括提供安全令牌的安全令牌服务。在一个实施例中,质询方104是身份提供方160。
安全令牌包括表示关于诸如请求方152的用户之类的实体的一个或多个声明的集合的数据。声明可以被视为与声明方相关联的信息是准确的断言。这可包括,例如,名称、标识符、键、组成员、特权、能力等等。在某些实施例中,安全令牌包括一个或多个加密密钥。
请求方152可以通过网络120与依赖方156或身份提供方160进行通信。在一个实施例中,如参考图1A所讨论的,请求方152通过第一通信信道与身份提供方160进行通信,还通过第二通信信道与身份提供方160进行通信。如箭头所示,请求方152和身份提供方160通过请求信道162传递与请求和响应有关的消息;请求方152和身份提供方160通过质询信道164传递与交互式质询有关的消息。
图1A-B只是合适的环境的示例,并不旨在就本发明的使用范围或功能提出任何限制。由此,在不偏离本发明的范围或精神的情况下,可以使用各种系统配置。例如,质询方104、身份提供方160、请求方102或152,或依赖方156的功能中的任何一个功能可以被合并到一个或多个计算设备中,以各种方式在多个计算设备之间分布或复制。
图2是示出了可以被用来实现请求方102或152或其一些部分的计算系统200的示例实施例的框图。
如图所示,计算系统200包括执行动作以执行各种计算机程序的指令的一个或多个处理器202。在一种配置中,处理器202可包括一个或多个中央处理单元、一个或多个处理器核、ASIC,或其他硬件处理组件和相关的程序逻辑。在所示出的实施例中,计算系统200包括可以包括易失性或非易失性存储器的存储器220。在一个实施例中,HTTP栈204、RCC处理器206、CCC处理器208、请求客户端210,以及质询处理程序212驻留在存储器220中。
在所示出的实施例中,计算系统200包括HTTP栈204。HTTP栈是包括被配置成根据HTTP标准和此处所描述的至少一些机制来执行接收、处理以及发送超文本协议(HTTP)消息的动作的程序指令的组件。
在一个实施例中,计算系统200包括请求通信信道(RCC)处理器206和质询通信信道(CCC)处理器208。RCC处理器206和CCC处理器208中的每一个都执行实现相应的通信信道的动作。如此处所使用的,通信信道是由它用来与另一实体传递消息的协议以及消息携带的净荷的协议所定义的。例如,在一个实施例中,RCC处理器206发送、接收以及处理携带XML内容的HTTP消息。在一个实施例中,CCC处理器208发送、接收以及处理携带HTML内容的HTTP消息。包括携带可扩展标记语言(XML)内容的HTTP消息的信道是与包括携带HTML内容的HTTP消息的信道有区别的,因此,被视为是与HTML信道不同的信道。
在一个示例实施例中,RCC处理器206以分层次地结构化的格式(至少在应用层),如使用XML结构化的简单对象访问协议(SOAP)封装,来发送、接收以及处理消息,虽然不必是这种情况。一个示例是其中头部信息常常是根据WS-Security提供而正文中的大部分根据WS-Trust结构化的SOAP消息。
RCC处理器206和CCC处理器208中的每一个都可包括硬件、软件或其组合,并可以包括程序、库或一组指令。
在一个实施例中,计算系统200包括请求客户端210。请求客户端210可以执行向质询方104传递请求、接收响应的动作以及其他动作,这些动作中的某些在此处描述。在一个实施例中,请求客户端210,响应于接收到质询消息,实例化质询处理程序212。
在一个实施例中,计算系统200包括可以执行允许用户与质询方104进行交互的动作的质询处理程序212。在一个实施例中,质询处理程序212是接收并呈现HTML,接收来自用户的输入,并将HTTP消息传递到质询方104的HTML客户端。HTML客户端呈现HTML页面,并接受用户输入作为与一个或多个网页的交互的一部分。Web浏览器是HTML客户端的一个示例,尽管HTML客户端可以用除作为Web浏览器以外的各种方式来实现。在一个示例实施例中,质询处理程序212是市场上销售的Web浏览器,如华盛顿州雷德蒙市的微软公司的Internet
在一个实施例中,质询处理程序212可以有助于在用户和质询方104之间传输音频消息。
在一个实施例中,请求客户端210可以使用RCC处理器206来向质询方104发送消息和从质询方104接收消息。RCC处理器206又可以使用HTTP栈204来向质询方104发送消息和从质询方104接收消息。在一个实施例中,质询处理程序212可以使用CCC处理器208来向质询方104发送消息和从质询方104接收消息。质询处理器208可以使用HTTP栈204来向质询方104发送消息和从质询方104接收消息。由此,如在图2的所示出的实施例中可以看出,请求客户端210和质询处理程序212各自使用通信信道以及与其他协议有区别的对应的协议。
在一个实施例中,计算系统200包括同步组件214。具体而言,质询处理程序212可包括同步组件214的服务,与这些服务集成或使用这些服务。同步组件214可以执行促进质询处理程序212和请求客户端210之间的动作的同步的动作。在一个实施例中,同步组件214或其一部分,可以是诸如ActiveX控件之类的软件控件,或在HTTP消息中接收到的java小程序。
在一个实施例中,计算系统200包括集结机制216。集结机制216可以是允许质询处理程序212将其动作中的一个或多个与请求客户端210同步,或将数据传递到请求客户端210的任何机制。集结机制216的一些示例是共享的文件、共享的存储器块、进程间信号,或允许进程间通信的系统服务。如此处所讨论的,质询处理程序212可以使用集结机制216来通知请求客户端210,交互式质询已完成,或将令牌信息传递到请求客户端210。集结机制216用于桥接请求进程与质询进程,每一个进程都使用不同的通信信道。
在一个实施例中,计算系统200包括允许用户与计算系统(具体而言,与质询处理程序212)进行交互的输入/输出机制218。在各实施例中,输入/输出机制218可包括显示器、触摸屏、键盘、鼠标或其他定点设备、音频扬声器、麦克风、照相机,或其他机制,或其组合。
可以被用来实现计算系统200的示例计算设备包括大型机、服务器、刀片式服务器、个人计算机、便携式计算机、通信设备、消费电子产品等等。计算设备可包括向请求客户端210和质询处理程序212以及其他组件提供系统服务的通用或专用的操作系统。由华盛顿州雷德蒙市微软公司出品的
操作系统系列是可以在计算机系统200的计算设备上执行的操作系统的示例。
图3是示出了可以被用来实现质询方104、身份提供方160或其一些部分的计算系统300的示例实施例的框图。
如图所示,计算系统300包括一个或多个处理器302、HTTP栈304、RCC处理器306,以及CCC处理器308。这些组件中的每一个都类似于图2的对应的处理器302、HTTP栈204、RCC处理器206以及CCC处理器208,而参考图2的描述适用于图3的对应的组件,尽管每一个组件的实现可以不同。计算系统300包括可以包括易失性或非易失性存储器的存储器320。在一个实施例中,HTTP栈304、RCC处理器306、CCC处理器308、认证组件310以及质询服务器312驻留在存储器320中。
在一个实施例中,计算系统300包括认证组件310。认证组件310可以执行接收来自请求方的请求、认证提出请求的用户、确定认证要求、将认证要求或质询通知给请求方的动作以及其他动作,这些动作中的某些在此处描述。
在一个实施例中,计算系统300包括可以执行实现对请求方的质询的动作的质询服务器312。在一个实施例中,质询服务器312是生成并发送HTML内容、接收来自提出请求的设备的输入以及将HTTP消息传递到请求方的HTML服务器。质询服务器312可以将脚本或诸如activeX对象之类的程序对象发送到请求方。在一个实施例中,质询服务器312可以促进将音频消息传输到请求方或从请求方接收音频消息。
在一个实施例中,认证组件310可以使用RCC处理器306来向请求方102或152发送消息和从请求方102或152接收消息。RCC处理器306又可以使用HTTP栈304来向请求方102或152发送消息和从请求方102或152接收消息。在一个实施例中,质询服务器312可以使用CCC处理器308来向请求方102或152发送消息和从请求方102或152接收消息。质询服务器312可以使用HTTP栈304来向请求方102或152发送消息和从请求方102或152接收消息。由此,如在图3的所示出的实施例中可以看出,认证组件310和质询服务器312各自使用通信信道以及与其他协议有区别的对应的协议。
可以被用来实现计算系统300的示例计算设备包括大型机、服务器、刀片式服务器、个人计算机、便携式计算机、通信设备、消费电子产品等等。在一个实施例中,认证组件310和RCC处理器306可以驻留在与质询服务器312和CCC处理器308不同的计算设备上。在各种配置中,计算机系统300的元件可以在一个或多个计算设备之间复制或分布。计算设备可包括向认证组件310和质询服务器312提供系统服务的通用或专用的操作系统。由华盛顿州雷德蒙市微软公司出品的
操作系统系列是可以在计算系统300上执行的操作系统的示例。
图4示出了其中可以实施交互式质询的示例环境400。环境400可以结合图1A的环境100、图1B的环境150,或其变体一起存在。如图所示,环境400包括请求方102和质询方104。请求方102包括请求客户端210和质询处理程序212。质询方104包括认证组件310和质询服务器312。请求方102与质询方104进行直接或间接通信。通信可以是直接的或通过诸如网络120之类的网络。
图4中的箭头表示从所示出的组件中的一个发送或接收到的消息。此外,在一个实施例中,消息的参考编号对应于附图中从顶部到底部的方向的时间顺序,尽管在各实施例中,顺序不同。在一个实施例中,所示出的消息中的每一个都是HTTP消息,在下文中更详细地描述其内容。
结合图5A-B来讨论图4的消息。图5A-B呈现示出了在第二通信信道中使用质询来认证第一通信信道中的请求的过程500的示例实施例的流程图。过程500的一些动作由请求方102(图1A-B)执行,并在图5A-B的左列中在标题“请求方”下被表示。这些动作中的某些动作可以由请求客户端210来执行,并在图5A-B的左子列中在标题“请求客户端”下被表示。其他请求方动作可以由质询处理程序212来执行,并在图5A-B的右子列中在标题“质询处理程序”下被表示。过程500的其他动作由质询方104来执行,并在图5A-B的右列中在标题“质询方”下被表示。过程500的一些动作涉及发送或接收图4中所示出的消息。下面的讨论参考图4的消息和组件。
过程500的所示出的部分可以在框502被发起,在这里,请求客户端210向质询方104发送请求消息(请求消息402)。在一个实施例中,请求消息402是对资源的请求,通过认证过程保护了对该资源的访问。在一个示例实施例中,被请求的资源是安全令牌。请求可包括各种信息,如与安全令牌相关联的资源的身份,要被包括在安全令牌中的与请求方102有关的一个或多个声明,或其他信息。在一个实施例中,请求消息402包括由WS-Trust所定义的RequestSecurityToken(请求安全令牌)元素。
过程可以从框502流向框504,在这里,质询方104可以接收请求消息402。过程500可以从框504流向框506,在这里,基于若干个因素,作出为了正确地认证从请求方102发送的请求而要被执行的交互式质询的确定。在一个实施例中,在框504,质询方104可以基于与请求消息402一起接收到的身份信息来执行初步认证。例如,请求消息402可包括被质询方104认证的用户名和口令。
对于要使用什么交互式质询的确定可以基于若干个因素中的一个或多个。因素的一个示例包括由请求方102所请求的资源的价值。在示例环境150中,依赖方156可以指定请求方152提供带有关于请求方152的一个或多个声明的安全令牌。声明可以被视为与声明方相关联的信息是准确的断言。这可包括,例如,名称、标识符、键、组成员、特权、能力等等。在一个实施例中,诸如身份提供方160之类的质询方包括被配置成管理对应于所请求的令牌的类型和声明的类型的交互式质询的策略存储。在没有单独的依赖方的环境中,质询方104可以考虑这些因素中的任何一个或多个。可以被考虑的其他因素包括请求方或用户的特征,如组成员、请求方的位置、实现请求方102的计算设备的类型,一天中的时间、请求方或用户作出的请求的历史,或与请求方或用户一起使用的质询的历史。
质询方104可以基于要发出的质询的级别或类型,确定质询的实现。质询方104可能具有可以满足要发出的质询的级别的若干个质询可用。一个示例包括询问一个或多个问题的一个或多个HTML页面。另一示例包括向用户呈现诸如一个或多个HTML页面中的图像、图形、视频或动画之类的内容,并指示用户针对内容执行动作或回答问题。例如,用户可能被要求通过输入名称或其他标识符来标识图像中的人,在图像中的位置上点击,标识与图像相关联的位置,在显示的棋盘或其他游戏上操纵棋子,或其他这样的动作。HTML页面可以指示用户操纵图像,玩游戏,对音频或视频呈现作出响应等等。在一个实施例中,质询可包括可以与Web浏览器或呈现HTML页面并允许用户输入的其他类型的质询处理程序一起执行的几乎任何类型的交互。交互可以使用从质询方104发送的脚本或控件。由此,质询的各类型可包括复杂的用户界面。具体而言,质询处理程序不需要被配置有可被使用的用户界面或交互式质询的范围。
在一个实施例中,在框508,质询方104生成质询消息404并将其发送到请求方102,该质询消息404用于将质询以及用于发起质询的机制通知给请求方102。在一个实施例中,该机制包括通信信道的连接点,更具体而言,质询服务器312的地址。在一个实施例中,该机制包括可以被用来访问质询服务器的统一资源标识符(URI)或统一资源定位符(URL)。消息可包括标识质询的上下文的数据,如用户标识、要执行的质询的标识、被请求的安全令牌、时间戳、或其他上下文信息,或其任何组合。在一个实施例中,至少一些上下文信息被编码在发送到请求方的URI中。
过程500可以从框508流向框510,在这里,请求客户端210接收质询消息404。过程可以流向框512,在这里,响应于接收到质询消息404,请求客户端210可以实例化质询处理程序212。在一个实施例中,实例化质询处理程序212可包括创建包括质询处理程序212的进程。在一个实施例中,质询处理程序进程可能正在执行,而实例化质询处理程序可包括向该进程发送创建新窗口、新选项卡或可以向用户显示页面的另一查看器组件的信号。
在一个实施例中,框512的动作包括向质询处理程序212传达质询消息404的内容的至少一部分,该一部分包括用于发起质询的机制。该机制可包括,例如,URI。如此处所描述的,请求客户端210可以传达与质询消息404一起接收到的上下文信息。箭头405表示向质询处理程序212传达上下文信息。
过程500可以从框512流向514,在这里,质询处理程序212通过连接到质询连接点来发起与质询方104的交互式质询。可以在质询消息404中,从质询方104接收连接点的标识,例如,以URI的形式。框514的动作可包括与连接点建立TCP连接。在一个实施例中,连接点对应于质询服务器312的地址。交互式质询的发起可包括将质询连接消息406从质询处理程序212发送到质询服务器312。交互式质询可以结合质询信道108(图1A)一起使用CCC处理器208(图2)和CCC处理器308(图3)。
在一个实施例中,质询消息404中的URI可以包含促进质询方104或质询服务器312建立交互式质询的附加信息,包括确定质询的内容和机制。在一种实现中,URI可以包含由请求客户端210在质询消息404中接收到的上下文信息的至少一部分。在一个实施例中,质询连接消息406基于URI可包括HTTP请求,如HTTP“GET”方法。可以用除URI以外的形式接收上下文信息。在一个实施例中,基于URI以及将接收到的上下文信息的至少一部分包括在带有“POST”消息的消息正文中发送的数据中,质询连接消息406包括带有HTTP“POST”方法的HTTP请求。
尽管在图4或5中未示出,但是在一些实现中,可以发送多个质询连接消息406以便初始化交互式质询。例如,质询方104可以通过发送HTTP“redirect(重定向)”消息,指示质询处理程序212发送具有不同的URL的另一HTTP消息,来对初始质询连接消息406作出响应。在一个实施例中,交互式质询可以在安全套接字层(SSL)或传输层安全(TLS)通信内执行,这可以在框514设置。
过程500可以从框514流向516a和516b,在这里,执行交互式质询,如交互式质询消息408所示。交互式质询可包括在请求方102和质询方104之间(更具体而言,在质询处理程序212和质询服务器312之间)交换的任意数量的交互式质询消息408。如此处所讨论的,交互式质询可包括从质询服务器312发送到质询处理程序212的一个或多个HTML页面和作为响应而发送的对应的交互式质询消息,并可包括几乎任何类型的基于HTML的交互。具体而言,请求方102和质询处理程序212不需要被配置有交互格式的有限数量的选择的信息。在一个实施例中,在从质询处理程序212接收到响应之后,质询服务器312可以基于响应来确定要发送的下一HTML页面。在一个实施例中,交互式质询可以采用具有除HTML以外的协议但与请求客户端210所使用的请求通信信道不同的通信信道。
在一个实施例中,交换的每一个交互式质询消息408包括上下文数据。质询服务器312可以与每一个消息一起发送新上下文数据,上下文数据指出交互的当前状态。质询处理程序212可以将接收到的上下文数据在其下一消息中返回到质询服务器。如此处所讨论的,上下文数据可以在URL内、在HTTP POST消息的正文内返回,或通过另一种机制被返回。
通过向质询处理程序212发送上下文数据并在随后的消息中接收回该消息,质询服务器312可以被实现为无状态机器,其中,基于它接收到的上下文数据,处理每一个交互请求,且质询服务器312不需要维护以前的与质询处理程序212的交互的记录。在一个实施例中,质询服务器312或认证组件310可以分布到多个计算设备中。每一个请求方消息中的上下文数据促进这一配置,以使得每一个计算设备都不需要交换与请求方有关的信息。
过程500可以从框516B流向框518(图5B)。在一个实施例中,在框518,响应于与请求方102的交互,质询服务器312基于从质询处理程序212接收到的响应,来确定交互式质询的结果。这可包括基于接收到的一个或多个响应是否是可以接受的,来确定成功或失败的状态。基于质询服务器312的配置,与请求方102或提出请求的用户相关联的数据,或基于交互式质询的逻辑,响应可以被视为可以接受的。
在一个实施例中,质询服务器312将包含交互式质询的结果的质询结果消息410发送到质询处理程序212。结果可包括诸如成功或失败之类的状态,或者它可包括更细化的状态值。质询结果消息可以结束交互式质询。消息可包括Web令牌412。Web令牌包括表示上下文数据的数据,包括标识或引用由请求方102在请求消息402中发送的请求的数据。Web令牌412可包括指示交互式质询是否成功地结束的状态数据。在一个实施例中,Web令牌412是只响应于成功的交互式质询而发送的。由请求方102对“成功”Web令牌的拥有充当对应的交互式质询已经成功地完成的指示。在一个实施例中,Web令牌包括加密安全数据。它可以是各种格式中的任何一种。
在一个实施例中,质询服务器312向请求方102发送同步组件214的至少一部分。这可以出现在交互式质询消息408,在质询响应消息416,或在单独的消息中的一个中的正文内。质询处理程序212可以在接收到同步组件之后安装它。在一个实施例中,同步组件以另一种方式安装在质询处理程序212中,如跟随质询处理程序的分布一起安装。同步组件214可以是诸如activeX控件之类的脚本或程序对象。
在一种实现中,质询响应消息416包括带有对象标记的HTML页面,对象标记指示标记包括Web令牌。HTML的示例部分如下:
在一个实施例中,响应于接收到此标记,质询处理程序212调用与指定的mime类型相关联的诸如程序对象之类的同步组件。
如此处所讨论的,在一个实施例中,由质询处理程序212收到Web令牌指示交互式质询已完成,还指示交互式质询的结果。
尽管未示出,但是,交互式质询基于请求方102的响应,可能得到失败状态。质询方104可以向请求方102发送消息作为失败的通知。在一种实现中,此消息可以是HTTP错误消息。
过程500可以从框518流向框520,在这里,质询处理程序212可以从质询方104接收质询结果消息410。此消息可以用于通知质询处理程序212,交互式质询已经成功地结束。过程可以流向框522,在这里,质询处理程序212可以向请求客户端210传达Web令牌412。这由图4的箭头414表示。
在一个实施例中,集结机制216可以被用来将包括Web令牌412的信息从质询处理程序212传达到请求客户端210。同步组件214可以执行框522的动作中的至少一些动作。如图5B所示,在一个实施例中,由请求客户端210和质询处理程序212来执行框522的动作,其中,请求客户端210执行接收通知或Web令牌的动作。
过程可以从框522流向框524,在这里,在一种实现中,质询处理程序212终止。这可以由质询处理程序212来执行。在一种实现中,请求客户端210响应于接收到通知来发起质询处理程序212的终止。在一种实现中,框524的动作中的至少一些动作可以被延迟,直到稍晚的时间。在一个实施例中,终止质询处理程序包括结束包括质询处理程序的进程。在某些实施例中,终止质询处理程序包括关闭窗口、选项卡或另一查看器组件。
过程500可以从框524流向框526,在这里,请求方102可以在请求通信信道中向质询方104发送消息。此消息被称为质询响应消息416。质询响应消息416可包括从质询方104接收到的上下文信息。它还可包括由质询处理程序212接收到的并向请求客户端210传达的Web令牌412。
过程500可以从框526流向框528,在这里,质询方104可以接收带有Web令牌412的质询响应消息416。在一个实施例中,此消息通知质询方104,交互式质询是否已经成功地完成。通过在质询响应消息416中包括上下文信息,质询方104可以被实现为无状态机器。过程可以流向框530,在这里,质询方104可以向请求方102发送请求响应消息418。此消息可包括对由请求方102向质询方104发送的原始请求消息402的响应。例如,在一个实施例中,如此处所描述的,此消息包括安全令牌。在某些实施例中,请求响应消息418可包括另一种类型的资源,或用于获取资源的机制。
在一个实施例中,Web令牌没有作为过程500的一部分被包括。例如,质询方104可以保留其与请求方102的交互的上下文,包括指示交互式质询是否成功的状态信息。质询响应消息416可包括由质询方104用来标识请求方和请求交互的标识符。它可以使用此信息来确定交互式质询是否成功,以及是否要相应地进行响应。
过程可以流向框532,在这里,请求方102可以接收请求响应消息418。在一个实施例中,如图1B的环境150,请求方102可以向依赖方发送请求,请求包括在请求响应消息418中接收到的安全令牌。
在一个实施例中,请求消息402、质询消息404、质询响应消息416以及请求响应消息418中的每一个都在请求客户端210和认证组件310之间交换。这些消息中的每一个都可以用第一协议,在请求方一侧使用RCC处理器206,在质询方一侧使用RCC处理器306来发送。
在一个实施例中,在质询处理程序212和质询方服务器312之间交换质询连接消息406、交互式质询消息408和质询结果消息410中的每一个。这些消息中的每一个都可以用第二协议,在请求方一侧使用CCC处理器208,在质询方一侧使用CCC处理器308来发送。
在一个实施例中,请求消息402、质询消息404、质询响应消息416以及请求响应消息418中的每一个都是分层次地结构化的消息(至少在应用层),如使用XML结构化的简单对象访问协议(SOAP)封装,而每一个质询连接消息406、交互式质询消息408以及质询结果消息410都包括HTML页面或表单。由此,在一个实施例中,请求客户端210和质询处理程序212中的每一个都以与彼此不同的协议发送和接收消息。此处所讨论的机制提供了结合WS-Trust请求框架执行基于HTML的交互式质询的方式,交互式质询的结果被嵌入在WS-Trust交换的框架内。
示例消息
本节描述了可以被用来实现环境400中所描述的消息或其他消息的消息内容的示例。这些描述将被理解为一组示例。在各实施例中,可以整体地或以其子集的形式使用这些示例来形成认证方案或协议。在各种实施例中,关键字或参数可以不同,并仍被用来执行此处所描述的至少一些机制。在一个实施例中,不使用这些示例中的任何一个。
下面是可以使用的示例质询消息404的一部分。在此示例中,“WebTokenChallenge(Web令牌质询)”元素指示质询以及用于发起该质询的机制。“WebURL”字段包括充当通信信道的连接点的URL,或更具体而言,质询服务器312的地址。“RelayContext(中继上下文)”字段包括标识质询的上下文的数据,如此处所描述的。
下面是可以使用的示例质询连接消息406的一部分。在此示例中,使用HTTP POST。在此示例中,RelayContext元素包括来自质询消息404的数据。
下面是可以使用的示例质询结果消息410的一部分。在此示例中,使用所定义的对象标记,Web令牌被包括。
下面是可以使用的示例质询响应消息416的一部分。在此示例中,来自质询结果消息410的Web令牌被包括在WebToken元素中。
将理解图5A-B的流程图的每个框以及流程图中的框的组合可由软件指令来实现。这些程序指令可被提供给处理器以生成机器,使得在处理器上执行的指令创建用于实现某一流程框或多个框中指定的动作的手段。这些软件指令可由处理器执行来提供用于实现某一流程框或多个框中指定的动作的步骤。此外,流程图中的一个或多个框或框的组合也可与其他框或框的组合同时执行,或甚至以与所示不同的顺序执行,而不背离本发明的范围和精神。
以上说明、示例和数据提供了对本发明的组成部分的制造和使用的全面描述。因为可以在不背离本发明的精神和范围的情况下做出本发明的许多实施例,所以本发明落在所附权利要求的范围内。
Claims (15)
1.一种用于认证来自提出请求的设备的请求的计算机实现的方法,包括:
a)从所述提出请求的设备接收请求消息,所述请求消息是在使用XML协议的第一通信信道中接收的,所述请求消息请求资源;
b)响应于接收到所述请求消息,确定要执行的交互式质询;
c)生成包括标识所述交互式质询的上下文数据的质询消息和指示质询服务器的地址的质询服务器URL;
d)在所述第一通信信道中向所述请求方发送所述质询消息;
e)在使用HTML协议的第二通信信道中与所述请求方执行所述交互式质询,所述交互式质询包括被发送到所述请求方的至少一个HTML页面和从所述请求方接收到的至少一个响应;
f)基于所述至少一个响应,在所述第二通信信道中有选择地给所述请求方发送指示成功的交互式质询的消息;
g)在所述第一通信信道中从所述请求方接收质询响应消息;
h)响应于接收到所述质询响应消息,基于所述质询响应消息是否指示所述成功的交互式质询,有选择地向所述请求方提供所述资源。
2.如权利要求1所述的计算机实现的方法,其特征在于,所述请求消息、所述质询消息以及所述质询响应消息根据WS-Trust协议。
3.如权利要求1所述的计算机实现的方法,其特征在于,所述指示成功的交互式质询的请求消息包括指示所述成功的交互式质询并表示上下文数据的Web令牌。
4.如权利要求1所述的计算机实现的方法,其特征在于,所述质询消息还包括代表确定的交互式质询的上下文数据,所述方法还包括从所述请求方接收包括所述上下文数据的HTTP POST消息或包括URL中的上下文数据的HTTPGET消息中的至少一种。
5.如权利要求1所述的计算机实现的方法,其特征在于,还包括向所述请求方发送同步组件,所述同步组件包括有助于将在所述第一通信信道中进行通信的第一请求方组件与在所述第二通信信道中进行通信的第二请求方组件同步的指令。
6.如权利要求1所述的计算机实现的方法,其特征在于,还包括允许管理员提供所述交互式质询,所述交互式质询不限于在所述交互式质询之前被配置在所述请求方上的一组交互式质询。
7.一种用于认证来自提出请求的设备的请求的计算机实现的方法,包括作为无状态机器执行如权利要求1所述的方法,无需在有选择地提供所述资源之前存储表示所述交互式质询的状态的数据。
8.一种计算机可读介质,包括被配置成执行如权利要求1所述的方法的处理器可执行指令。
9.一种用于获取资源的基于计算机的系统,包括:
a)向请求服务器发送表示对所述资源的请求的请求消息的请求客户端,所述请求消息根据第一协议;
b)与质询服务器交换多个交互式质询消息的质询处理程序,所述交互式质询消息根据与所述第一协议不同的第二协议;
其中,所述请求客户端执行额外的动作,包括:
i)响应于从所述请求服务器接收到包括URL的质询消息,向所述质询处理程序传达所述URL;
ii)从所述质询处理程序接收表示成功的交互式质询的数据;
iii)向所述请求服务器发送表示所述成功的交互式质询的数据;
以及其中,所述质询处理程序执行额外的动作,包括:
i)使用所述URL来与所述质询服务器执行交互式质询,所述交互式质询包括接收所述多个交互式质询消息中的至少一个交互式质询消息,以及发送至少一个响应;
ii)从所述质询服务器接收表示所述成功的交互式质询的数据;以及
iii)向所述请求客户端传达带有表示所述成功的交互式质询的数据的请求响应消息。
10.如权利要求14所述的系统,其特征在于,所述第一协议是根据WS-Trust协议的基于XML的协议,而所述第二协议是HTML。
11.如权利要求14所述的系统,其特征在于,所述质询处理程序是HTML客户端,所述至少一个交互式质询消息包括至少一个HTML页面,所述请求消息、所述质询消息和所述请求响应消息不包括HTML数据。
12.如权利要求14所述的系统,其特征在于,所述质询方服务器的额外的动作还包括从所述质询方服务器接收同步组件,以及使用所述同步组件以向所述请求客户端传达表示所述成功的交互式质询的数据。
13.如权利要求14所述的系统,其特征在于,所述质询方服务器的额外的动作还包括呈现所述至少一个HTML页面,接收用户输入,以及在对所述HTML的至少一个响应中发送所述用户输入。
14.如权利要求14所述的系统,其特征在于,所述质询处理程序的额外的动作还包括呈现HTML用户界面,无需对于所述HTML用户界面类型的预先配置。
15.如权利要求14所述的系统,其特征在于,所述质询处理程序的额外的动作还包括与所述质询服务器交换音频数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/465,701 | 2009-05-14 | ||
| US12/465,701 US20100293604A1 (en) | 2009-05-14 | 2009-05-14 | Interactive authentication challenge |
| PCT/US2010/034397 WO2010132458A2 (en) | 2009-05-14 | 2010-05-11 | Interactive authentication challenge |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102422278A true CN102422278A (zh) | 2012-04-18 |
Family
ID=43069577
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010800214867A Pending CN102422278A (zh) | 2009-05-14 | 2010-05-11 | 交互式认证质询 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100293604A1 (zh) |
| EP (1) | EP2430562A4 (zh) |
| JP (1) | JP2012527049A (zh) |
| CN (1) | CN102422278A (zh) |
| WO (1) | WO2010132458A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639730A (zh) * | 2019-01-21 | 2019-04-16 | 北京工业大学 | 基于令牌的http无状态协议下信息系统数据接口认证方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8447857B2 (en) * | 2011-03-25 | 2013-05-21 | International Business Machines Corporation | Transforming HTTP requests into web services trust messages for security processing |
| US20130254553A1 (en) * | 2012-03-24 | 2013-09-26 | Paul L. Greene | Digital data authentication and security system |
| US9942213B2 (en) * | 2013-03-15 | 2018-04-10 | Comcast Cable Communications, Llc | Systems and methods for providing secure services |
| US9722984B2 (en) * | 2014-01-30 | 2017-08-01 | Netiq Corporation | Proximity-based authentication |
| EP3206357A1 (de) | 2016-02-09 | 2017-08-16 | Secunet Security Networks Aktiengesellschaft | Einsatz eines nicht lokalen kryptographie-verfahrens nach authentifizierung |
| GB201816809D0 (en) | 2018-10-16 | 2018-11-28 | Palantir Technologies Inc | Establishing access systems |
| CN111813990A (zh) * | 2020-07-13 | 2020-10-23 | 腾讯音乐娱乐科技(深圳)有限公司 | 一种音频对战的处理方法及相关装置 |
| US11500976B2 (en) | 2020-11-03 | 2022-11-15 | Nxp B.V. | Challenge-response method for biometric authentication |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101418A1 (en) * | 1999-08-05 | 2007-05-03 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US20070226785A1 (en) * | 2006-03-23 | 2007-09-27 | Microsoft Corporation | Multiple Security Token Transactions |
| CN101366234A (zh) * | 2006-02-03 | 2009-02-11 | 米德耶公司 | 用于终端用户的身份验证的系统、装备和方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7100049B2 (en) * | 2002-05-10 | 2006-08-29 | Rsa Security Inc. | Method and apparatus for authentication of users and web sites |
| US8108920B2 (en) * | 2003-05-12 | 2012-01-31 | Microsoft Corporation | Passive client single sign-on for web applications |
| US8452881B2 (en) * | 2004-09-28 | 2013-05-28 | Toufic Boubez | System and method for bridging identities in a service oriented architecture |
| US7559087B2 (en) * | 2004-12-10 | 2009-07-07 | Microsoft Corporation | Token generation method and apparatus |
| US7900247B2 (en) * | 2005-03-14 | 2011-03-01 | Microsoft Corporation | Trusted third party authentication for web services |
| US20070101010A1 (en) * | 2005-11-01 | 2007-05-03 | Microsoft Corporation | Human interactive proof with authentication |
| US7853995B2 (en) * | 2005-11-18 | 2010-12-14 | Microsoft Corporation | Short-lived certificate authority service |
| US8418234B2 (en) * | 2005-12-15 | 2013-04-09 | International Business Machines Corporation | Authentication of a principal in a federation |
| US7747540B2 (en) * | 2006-02-24 | 2010-06-29 | Microsoft Corporation | Account linking with privacy keys |
| US20080066181A1 (en) * | 2006-09-07 | 2008-03-13 | Microsoft Corporation | DRM aspects of peer-to-peer digital content distribution |
| US20080072295A1 (en) * | 2006-09-20 | 2008-03-20 | Nathaniel Solomon Borenstein | Method and System for Authentication |
| US8656472B2 (en) * | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
| JP2009032070A (ja) * | 2007-07-27 | 2009-02-12 | Hitachi Software Eng Co Ltd | 認証システム及び認証方法 |
| US20090210924A1 (en) * | 2008-02-19 | 2009-08-20 | Motorola, Inc. | Method and apparatus for adapting a challenge for system access |
-
2009
- 2009-05-14 US US12/465,701 patent/US20100293604A1/en not_active Abandoned
-
2010
- 2010-05-11 EP EP10775408.7A patent/EP2430562A4/en not_active Withdrawn
- 2010-05-11 CN CN2010800214867A patent/CN102422278A/zh active Pending
- 2010-05-11 WO PCT/US2010/034397 patent/WO2010132458A2/en active Application Filing
- 2010-05-11 JP JP2012510940A patent/JP2012527049A/ja not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101418A1 (en) * | 1999-08-05 | 2007-05-03 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| CN101366234A (zh) * | 2006-02-03 | 2009-02-11 | 米德耶公司 | 用于终端用户的身份验证的系统、装备和方法 |
| US20070226785A1 (en) * | 2006-03-23 | 2007-09-27 | Microsoft Corporation | Multiple Security Token Transactions |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639730A (zh) * | 2019-01-21 | 2019-04-16 | 北京工业大学 | 基于令牌的http无状态协议下信息系统数据接口认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010132458A3 (en) | 2011-02-17 |
| EP2430562A4 (en) | 2015-05-13 |
| JP2012527049A (ja) | 2012-11-01 |
| EP2430562A2 (en) | 2012-03-21 |
| US20100293604A1 (en) | 2010-11-18 |
| WO2010132458A2 (en) | 2010-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102422278A (zh) | 交互式认证质询 | |
| EP2307982B1 (en) | Method and service integration platform system for providing internet services | |
| US7631346B2 (en) | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment | |
| TWI400922B (zh) | 在聯盟中主用者之認證 | |
| CN100388278C (zh) | 在异构联合环境中统一注销的方法和系统 | |
| US8151317B2 (en) | Method and system for policy-based initiation of federation management | |
| US8578465B2 (en) | Token-based control of permitted sub-sessions for online collaborative computing sessions | |
| CN100571129C (zh) | 联合用户生命周期管理的信任基础结构支持的方法和系统 | |
| CN1514569B (zh) | 在不同类联合环境中用于验证的方法和系统 | |
| US8042162B2 (en) | Method and system for native authentication protocols in a heterogeneous federated environment | |
| JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
| CN101110824B (zh) | 在联盟计算环境中处理事务的方法和设备 | |
| US9143502B2 (en) | Method and system for secure binding register name identifier profile | |
| US7587491B2 (en) | Method and system for enroll-thru operations and reprioritization operations in a federated environment | |
| US20060218628A1 (en) | Method and system for enhanced federated single logout | |
| US20060021017A1 (en) | Method and system for establishing federation relationships through imported configuration files | |
| US20040128541A1 (en) | Local architecture for federated heterogeneous system | |
| EP3909221A1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和系统 | |
| JP2011145754A (ja) | シングルサインオンシステムと方法、認証サーバ、ユーザ端末、サービスサーバ、プログラム | |
| EP3900289B1 (en) | Method to monitor sensitive web embedded code authenticity | |
| JONES et al. | Linking Authenticating and Authorising Infrastructures in the UK NGI (SARoNGS) | |
| Gorilas et al. | European Cities Platform for Online Transaction Services: The EURO-CITI Project |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120418 |