JP2003122724A - クライアントのコンテンツ提供サーバへのアクセスをリソース・ロケータ・サーバの制御下で提供する方法 - Google Patents

クライアントのコンテンツ提供サーバへのアクセスをリソース・ロケータ・サーバの制御下で提供する方法

Info

Publication number
JP2003122724A
JP2003122724A JP2002204448A JP2002204448A JP2003122724A JP 2003122724 A JP2003122724 A JP 2003122724A JP 2002204448 A JP2002204448 A JP 2002204448A JP 2002204448 A JP2002204448 A JP 2002204448A JP 2003122724 A JP2003122724 A JP 2003122724A
Authority
JP
Japan
Prior art keywords
server
client
resource locator
digital signature
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002204448A
Other languages
English (en)
Inventor
Arnaud Legout
ルグー アルノー
Jakob Hummes
ユム ジャコブ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aspera France SAS
Original Assignee
Castify Networks SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Castify Networks SA filed Critical Castify Networks SA
Publication of JP2003122724A publication Critical patent/JP2003122724A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Abstract

(57)【要約】 【課題】 リソース・ロケータ・サーバの制御下で、ク
ライアントをコンテンツ提供サーバにアクセスさせる方
法を提供する。 【解決手段】 クライアントはコンピュータでネットワ
ークに接続し、リソース・ロケータ・サーバにアクセス
する。このサーバは、コンピュータにリソース・ロケー
タを提供する。このリソース・ロケータは、ロケータ・
サーバがクライアントに認めた権利を示すデジタル署名
を含んでいる。デジタル署名は、コンピュータのユニー
クな特徴またはコンピュータのネットワークへの接続に
基づいて算出される。クライアント・コンピュータは、
リソース・ロケータを用いてコンテンツ提供サーバにア
クセスする。このサーバは、クライアントのネットワー
クへの接続のためにデジタル署名を検査し、検査結果に
応じてクライアントがコンテンツにアクセスできるよう
にする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークを介
した通信の分野、特に、ワールド・ワイド・ウェブ(W
orld Wide Web)のようなネットワーク上
で、ユーザまたはクライアントのコンテンツ提供サーバ
へのアクセスを認証し、許可することに関する。
【0002】
【従来の技術】ワールド・ワイド・ウェブ(ウェブ)
は、国境のないハイパーテキスト・トランスファ・プロ
トコル(HTTP:Hyper Text Trans
ferProtocol)を利用して、クライアント
が、ネットワークを介してサーバにコンテンツを要求す
ることを可能にしている。HTTPプロトコルにより、
ハイパーテキスト・リンクを介して、ウェブサーバから
ウェブサーバへとトランスペアレントに移行することが
可能になる。ハイパーテキスト・リンクは、テキストの
一部とURL(Uniform Resource L
ocator)とを関連づけている。クライアントのマ
シン上で実行されるウェブブラウザは、HTTP GE
T メッセージを、サーバのマシン上で実行されるウェ
ブサーバへ送信する。サーバのアドレスは、“<pro
tocol>://<server−address>
/<path>/<content>”の形式のユニフ
ォーム・リソース・ロケータ(URL)により特定され
る。 HTTPプロトコルは、クライアント−サーバ・
プロトコルであり、TCPネットワーク接続を利用して
いる。データがブラウザによりどのように解釈されるか
は、返却されたデータのMIMEタイプによる。図1
は、クライアント−サーバ・プロトコルに必要な基本的
な環境を示している。ここで、クライアント100とサ
ーバ104とが、ネットワーク102を介して接続され
ている。このネットワークは、相互に接続された複数の
ネットワーク、例えばインターネットであってもよい。
図1において、クライアントマシン100はウェブブラ
ウザを、サーバマシンはウェブサーバを、実行可能であ
る。
【0003】図1に示された単純なケースでは、全ての
コンテンツが同一のサーバから配信されており、このよ
うなケースでは、クライアントは、例えば、安全な接続
(例としてSSLやhttps)による単純なログイン
とパスワードの方式で、認証されてもよい。一旦、クラ
イアントが認証されると、サーバは、そのコンテンツへ
のクライアントのアクセスを許可するかどうか判断す
る。しかしながら、クライアントが要求するコンテンツ
が、このクライアントを認証したサーバとは別のサーバ
にあるという事例もある。このような構成が図2に示さ
れており、この図では、2つの別々のサーバ204,2
06が、クライアント・コンピュータ・システム200
に加えて図示されている。クライアントは、ネットワー
クを介して両サーバのどちらにアクセスしてもよい。ク
ライアントが、両サーバの一方(例えばサーバB)に、
他方のサーバ(例えばサーバA)の制御下でアクセスす
る場合に、問題が生じる。この場合、上記の認証方式は
適用できない。
【0004】US−A−5870546号公報は、ネッ
トワークを介してクライアントに表示される広告の効率
を求める課題についてのものである。効率は、サーバに
より表示されるURLへクライアントが移行する回数と
して測定される。広告を表示するウェブサーバシステム
は、クライアントシステムに、広告される側のサーバへ
のURLリファレンスを提供する。URLリファレンス
は、所定のリダイレクトおよび会計データとともに暗号
化されている。URLリファレンスは、広告される側の
サーバに受信されると復号され、会計データ(アカウン
トデータ)が保存される。これにより、広告される側の
サーバは、広告を表示するウェブサーバ・システムによ
り表示されたURLへクライアントが有効に移行した回
数を特定することができるようになる。この文献では、
広告の効率を求めること以外の用途は考察されておら
ず、特に、クライアントが、広告を表示するウェブサー
バ・システムに最初にアクセスせずに、広告される側の
サーバにアクセスするために、リンクをコピーすること
が防止されていない。以降、このようなリンクのコピー
のことを、「リンク・ハイジャック(link hij
acking)」と記す。
【0005】US−A−5963915号公報では、イ
ンターネットを通じた購入取引を実行する方法が考察さ
れている。この文献では、「第三者のなりすましの仮定
(third party assumption o
f identity attack)」の問題が考察
されている。この問題は、機密保護対象となるセッショ
ンの開始時にのみクライアントの認証がなされるのであ
れば、第三者は、他のクライアント・ブラウザが開始し
た機密保護対象のセッションを継続することができるか
もしれない、というものである。この文献では、購入取
引の安全性のみが考察されている。
【0006】US−A−5708780号公報のシステ
ムでは、ユーザは、ネットワークを通じてコンテンツ・
サーバにアクセスする。そのリクエストが制限されたペ
ージを指定していれば、コンテンツ・サーバは、URL
がセッション識別子(SID)を含んでいるかどうか判
別する。例えば、URLが、“report”なる名称
の“http://content.com/repo
rt”というような、SIDが必要な制限されたページ
を指定しているとする。この例では、SIDがなけれ
ば、コンテンツ・サーバは、“REDIRECT”レス
ポンスをユーザのブラウザに送信して、有効なSIDを
受信させるためにユーザの当初のリクエストを認証サー
バへリダイレクトする。上記の例では、SIDが付加さ
れた修正後のURLは、“http://conten
t.com/>SID!/report”であってもよ
い。好適なSIDには、現行のSIDがアクセスを認証
している情報ファイルの組を備えた8ビットのドメイン
と、22ビットのユーザ識別子とが、含まれている。さ
らに、このSIDには、当該SID中の残りの項目の暗
号ハッシュであるデジタル署名と、許可されたIPアド
レスが認証サーバおよびコンテンツ・サーバに共有され
る秘密キーで暗号化されたもの、とが含まれている。
【0007】このように、認証サーバは、クライアント
に対して、コンテンツ提供サーバのコンテンツへのリソ
ース・ロケータを表示せず、リダイレクトされたリクエ
ストのみを受信する。8ビットのドメインで参照される
「情報ファイルの組」を暗号化することにすると、コン
テンツ・サーバおよび認証サーバは、常にファイル保護
方式を更新しなければならなくなる。すなわち、コンテ
ンツ提供者がコンテンツの変更を申し出ると、「情報フ
ァイルの組」を(同じ権限のシステムが適用されない限
り)更新しなければならない。
【0008】WO−A−0073876号公報では、対
象となるサーバに向けての全てのトラフィックをインタ
ーセプトしてプロファイル情報を追加するプロキシサー
バについて、考察している。
【0009】多くの暗号化アルゴリズムが、従来技術に
おいて開示されている。特に、以下のものを挙げること
ができる。
【0010】・Bellare,Mihir;Cane
tti,Ran;Kawczyk,Hugo:Keyi
ng Hash Functions for Mes
sage Authentication;in Ad
vances in Cryptology−Cryp
to 96 Proceedings,Lecture
Notes in Computer Scienc
e Vol.1109,N.Koblitz ed.,
Springer−Verlag,1996; ・Rivest R.,The MD5 Messag
e−Digest Algorithm,RFC−13
21,MIT LCS and RSA Data S
ecurity,Inc.,April 1992; ・Touch,J.:Performance Ana
lysis of MD5,in Proceedin
gs Sigcomm’95,Boston,pp.7
7−86; ・SECURE HASH STANDARD,Nat
ional Institute of Standa
rds and Technology,FIPS P
UB 180−1,April 17,1995;およ
び ・P. Gutmann,Software Gene
ration ofRandom Numbers f
or Cryptographic Purpose
s,in Proceedings of the 1
998 Usenix Security Sympo
sium,USENIX Association,1
998,pp.243−257.
【0011】
【発明が解決しようとする課題】このように、クライア
ントのコンテンツ提供サーバへのアクセスをリソース・
ロケータ・サーバの制御下で提供する方法が、必要とさ
れている。この方法は、リンク・ハイジャックを不可能
とするか、あるいは、少なくともこのようなリンク・ハ
イジャックをクライアントが実行することを非常に困難
にするものである。
【0012】
【課題を解決するための手段】クライアントのコンテン
ツ提供サーバへのアクセスをリソース・ロケータ・サー
バの制御下で提供する方法は、その一態様として、前記
リソース・ロケータ・サーバが、前記コンテンツ提供サ
ーバのコンテンツへのリソース・ロケータを、クライア
ントに表示するステップと、前記クライアントが、コン
ピュータ・システムを介してネットワークに接続して、
前記リソース・ロケータ・サーバにアクセスするステッ
プと、前記リソース・ロケータ・サーバが、前記コンピ
ュータ・システムに対して、前記コンテンツ提供サーバ
にアクセスするためのリソース・ロケータを提供するス
テップであって、前記リソース・ロケータは、前記リソ
ース・ロケータ・サーバが前記クライアントに対して認
めた前記コンテンツ提供サーバにアクセスするための権
利を示すデジタル署名を含み、該デジタル署名は、前記
コンピュータ・システムまたは該コンピュータ・システ
ムのネットワークへの接続に関する少なくとも1つのユ
ニークな特徴に基づくとともに、アクセスすべきコンテ
ンツの識別子に基づいて、算出されるものであるステッ
プと、前記クライアントのコンピュータ・システムが、
前記リソース・ロケータを用いて、前記コンテンツ提供
サーバにアクセスするステップと、前記コンテンツ提供
サーバが、前記クライアントのネットワークへの接続の
ために、前記リソース・ロケータに含まれた前記デジタ
ル署名を検査し、この検査の結果に応じて、前記クライ
アントにコンテンツへの接続を許可するステップとを、
備えている。
【0013】このデジタル署名は、以下に示す1つまた
はそれ以上のパラメータに基づいて算出されてもよい。
そのパラメータとしては、クライアントのコンピュータ
・システムのネットワークにおけるアドレス、クライア
ントのコンピュータ・システムのユニークな識別子、ク
ライアントによってアクセスすべきコンテンツ、クライ
アントの識別情報、時間、が挙げられる。
【0014】前記リソース・ロケータ・サーバおよび前
記コンテンツ提供サーバに、秘密キーが提供されてもよ
く、前記デジタル署名が、前記秘密キーの関数として算
出されてもよい。前記秘密キーは、暗号化番号ジェネレ
ータを用いて生成されてもよい。
【0015】この場合、前記コンテンツ提供サーバが前
記デジタル署名を検査する前記ステップは、好ましく
は、前記秘密キーを用いて他のデジタル署名を算出し、
当該他のデジタル署名を前記リソース・ロケータに含ま
れた前記デジタル署名と比較することを備えているとよ
い。
【0016】演算処理にとっては、暗号化ハッシュ関数
を用いること、特に、MD5、SHA−1、MD2、M
D4、RIPEMD−128、およびRIPEMD−1
60から選択される暗号化ハッシュ関数を用いることが
よい。前記クライアントのコンピュータ・システムのネ
ットワークにおける少なくとも1つのアドレス、前記ク
ライアントのコンピュータ・システムのユニークな識別
子、前記クライアントによりアクセスされるべきコンテ
ンツの関数、前記クライアントの識別情報、および時間
を含んだデータ列についての暗号化ハッシュ関数が用い
られてもよい。前記リソース・ロケータ・サーバおよび
コンテンツ提供サーバに秘密キーが提供されているので
あれば、前記データ列には、この秘密キーが含まれてい
るとよい。
【0017】本発明の一態様では、前記コンテンツ提供
サーバが、少なくとも2つのサーバを備えたコンテンツ
配信ネットワークとなっている。そして、前記リソース
・ロケータ・サーバおよび少なくとも2つの前記サーバ
の一方に、秘密キーが提供されるとともに、前記リソー
ス・ロケータ・サーバおよび少なくとも2つの前記サー
バの他方に、他の秘密キーが提供されてもよい。少なく
とも2つの前記サーバの一方のための秘密キーは、主秘
密キーおよび前記一方のサーバのネットワークにおける
アドレスについての暗号化ハッシュ関数を用いて算出さ
れるとよい。
【0018】さらに、本発明は、ネットワークに接続し
たリソース・ロケータ・サーバにて、リソース・ロケー
タをクライアントに提供する方法において、クライアン
トに、リソース・ロケータを表示するステップと、前記
クライアントをネットワークへ接続させているコンピュ
ータ・システムからのアクセスのリクエストであって、
表示された前記リソース・ロケータのうちの1つにアク
セスするためのリクエストを、ネットワークから受信す
るステップと、前記コンピュータ・システムへ向けて、
ネットワークへリソース・ロケータを提供するステップ
であって、前記リソース・ロケータは、前記クライアン
トが当該リソース・ロケータによる位置にあるリソース
にアクセスすることを、前記リソース・ロケータ・サー
バが認めた権利を示すデジタル署名を含み、前記デジタ
ル署名は、前記コンピュータ・システムまたは該コンピ
ュータ・システムのネットワークへの接続に関する少な
くとも1つのユニークな特徴に基づくとともに、アクセ
スすべきコンテンツの識別子に基づいて、算出されるも
のであるステップ、とを備えた方法を提供する。
【0019】また、上述した通りの演算処理が、実行さ
れてもよい。
【0020】さらに、本発明は、ネットワークに接続し
たコンテンツ提供サーバにて、クライアントのコンテン
ツへのアクセスを提供する方法において、前記クライア
ントをネットワークへ接続させているコンピュータ・シ
ステムからのアクセスのリクエストであって、デジタル
署名を含んだリクエストを、ネットワークから受信する
ステップと、前記リクエストにより受信された前記コン
ピュータ・システムまたは該コンピュータ・システムの
ネットワークへの接続に関する少なくとも1つのユニー
クな特徴に基づくとともに、前記クライアントにリクエ
ストされたコンテンツの識別子に基づいて、前記リソー
ス・ロケータに含まれた前記デジタル署名を検査する検
査ステップと、前記検査ステップの結果に応じて、前記
クライアントにコンテンツへの接続を許可するステップ
とを、備えた方法を、提供する。
【0021】前記デジタル署名を検査するステップは、
他のデジタル署名を算出し、当該他のデジタル署名を前
記リソース・ロケータに含まれた前記デジタル署名と比
較することを備えていてもよい。
【0022】前記アクセスのリクエストに、前記クライ
アントのネットワークにおけるアドレスが含まれている
のであれば、前記他のデジタル署名は、このアドレスの
関数として算出されてもよい。前記アクセスのリクエス
トは、前記クライアントのコンピュータ・システムのユ
ニークな識別子を含み、前記他のデジタル署名は、この
ユニークな識別子の関数として算出されてもよい。前記
他のデジタル署名は、クライアントによりアクセスされ
るコンテンツの関数として、クライアントの識別情報の
関数として、時間の関数として、または前記サーバに提
供された秘密キーの関数として、算出されてもよい。
【0023】前記他のデジタル署名を算出するために、
上述のような処理がなされてもよい。
【0024】さらに、本発明は、ネットワークへの接続
と、上記の方法を実行するプログラムを含むリソース・
ロケータ・サーバを提供する。
【0025】また、本発明は、ネットワークへの接続
と、上記の方法を実行するプログラムを含むコンテンツ
提供サーバを提供する。
【0026】この場合、前記コンテンツ提供サーバは、
少なくとも2つのサーバを備えたコンテンツ配信ネット
ワークであってもよく、リダイレクト・ユニットを備え
ていてもよい。リダイレクト・ユニットが設けられた場
合には、このリダイレクト・ユニットは、当該コンテン
ツ配信ネットワークのサーバのうちの1つを選択すると
ともにこの方法を実行するプログラムを有していてもよ
い。
【0027】また、本発明は、ネットワークに接続した
リソース・ロケータ・サーバにて、リソース・ロケータ
をクライアントに提供するための、コンピュータ可読媒
体中に含まれるコンピュータ・プログラム製品におい
て、前記クライアントをネットワークへ接続させている
コンピュータ・システムからのアクセスのリクエスト
を、ネットワークから受信するためのコンピュータ可読
プログラムコード手段と、前記コンピュータ・システム
へ向けて、ネットワークへリソース・ロケータを提供す
るためのコンピュータ可読プログラムコード手段であっ
て、前記リソース・ロケータは、前記クライアントが当
該リソース・ロケータによって位置決めされたリソース
にアクセスすることを、前記リソース・ロケータ・サー
バが認めた権利を示すデジタル署名を含み、前記デジタ
ル署名は、前記コンピュータ・システムまたは該コンピ
ュータ・システムのネットワークへの接続に関する少な
くとも1つのユニークな特徴に基づくとともに、前記リ
ソースの識別子に基づいて、算出されるものであるコン
ピュータ可読プログラムコード手段、とを備えたコンピ
ュータ可読媒体中に含まれるコンピュータ・プログラム
製品、を提供する。
【0028】最後に、本発明は、ネットワークに接続し
たコンテンツ提供サーバにて、クライアントのコンテン
ツへのアクセスを提供する、コンピュータ可読媒体中に
含まれるコンピュータ・プログラム製品であって、前記
クライアントをネットワークへ接続させているコンピュ
ータ・システムからのアクセスのリクエストであって、
デジタル署名を含んだリクエストを、ネットワークから
受信するコンピュータ可読プログラムコード手段と、前
記リクエストにおいて受信された前記コンピュータ・シ
ステムまたは該コンピュータ・システムのネットワーク
への接続に関する少なくとも1つのユニークな特徴に従
って、さらに、アクセスがリクエストされるコンテンツ
の識別子に従って、前記リソース・ロケータに含まれた
前記デジタル署名を検査するコンピュータ可読プログラ
ムコード手段と、さらに、前記検査の結果に応じて、前
記クライアントにコンテンツへのアクセスを可能とする
コンピュータ可読プログラムコード手段、とを備えたコ
ンピュータ可読媒体中に含まれるコンピュータ・プログ
ラム製品、を提供する。
【0029】
【発明の実施の形態】以下、図面を参照して本発明の他
の特徴を説明する。図2は、2つのサーバを含んでネッ
トワークを介して接続されたクライアント−サーバ・シ
ステムを示している。両サーバのうちの一方(以降この
例ではサーバB)は、コンテンツ提供サーバである。他
方のサーバ(以降この例ではサーバA)は、サーバBに
アクセスするためのリソース・ロケータをクライアント
に提供するリソース・ロケータ・サーバである。
【0030】例えば、Aを、コンテンツ提供者であるB
と契約関係にあるコンテンツの集合体(例としてウェブ
・ポータル)とする。Aは、自身のウェブサイトを通じ
て、Bが運営するサーバ(例えばウェブサーバ、ftp
サーバ、またはストリーミング・メディア・サーバ[s
treaming media server])が供
給しているコンテンツの項目へのリンクを提供する。A
とBとは契約関係にあるので、彼等は、許可のないあら
ゆる第3者Cが、Bが供給しているコンテンツへのリン
クを提供できるようになることを、防ぎたい。現在のイ
ンターネットでは、Cは、Aのウェブページからリンク
をコピーして、自身のウェブページで使用することがで
き、これが「リンク・ハイジャック」の一形態である。
また、リンクは、クライアントによって、Bが提供して
いるコンテンツに将来アクセスするためにコピーされ得
る。これが、リンク・ハイジャックの他の形態である。
【0031】本発明では、コンテンツ提供サーバBにア
クセスする為に、リソース・ロケータ・サーバAによっ
てクライアントに対して提供されるリソース・ロケータ
中に、デジタル署名を導入することにより、このリンク
・ハイジャックの問題を解決している。デジタル署名
は、コンテンツ提供サーバBへのアクセスのために、リ
ソース・ロケータ・サーバAがクライアントに与えた権
利を表している。このデジタル署名は、少なくとも、コ
ンピュータ・システムまたはコンピュータ・システムの
ネットワークへの接続に係るユニークな特徴に基づい
て、算出される。さらに、デジタル署名は、アクセスが
リクエストされたコンテンツの識別子に基づいて、算出
される。この識別子は、どのような形式であってもよ
い。この識別子は、URI(URLのパス情報)、また
はアクセスされる情報を示すその他の情報であってもよ
い。
【0032】その後、クライアント・コンピュータ・シ
ステムは、リソース・ロケータを利用してコンテンツ提
供サーバにアクセスする。そして、コンテンツ提供サー
バBは、クライアントが利用したリソース・ロケータに
含まれたデジタル署名を検査してもよく、この検査の結
果に応じて、クライアントがコンテンツにアクセスでき
るようにしてもよい。
【0033】これにより、あらゆる形式のリンク・ハイ
ジャックが防止される。リソース・ロケータがクライア
ントにコピーされ、第3者に提供されたと仮定しよう。
デジタル署名は、少なくとも、コンピュータ・システム
またはコンピュータ・システムのネットワークへの接続
に係るユニークな特徴に基づいて、算出される。そのた
め、コンテンツ提供サーバBは、第3者からリソース・
ロケータを受信すると、このリソース・ロケータが要求
されたユニークな特徴を持つものから送信されたこと
を、識別することができる。従って、コンテンツ提供サ
ーバは、第3者のリクエストに係るサービスを拒絶する
ことができる。
【0034】このように、周知のウェブサーバの機密保
護設定(SSL、https、またはクライアントを認
識するその他の方式)とともに、Aは、Bが端末相互の
機密保護を使用する必要なく、Bのコンテンツへの定期
購読型のアクセスや従量料金制の方式を、提供すること
ができる。このことは、Bが提供するコンテンツが大規
模なファイルであったり、無接続のプロトコルで送出さ
れるもの(例えば、マイクロソフトのウインドウズ・メ
ディアサーバ[Windows MediaServe
r]やリアルネットワークのリアルサーバ[RealS
erver]のようなメディアサーバによりストリーミ
ング転送される音声/映像コンテンツ)である場合に、
特に有用である。さらに、後述する好適な実施形態にお
いて、本発明では、AおよびBで秘密キーを交換するこ
とのみが必要とされる。その後、AとBとは直接通信す
る必要がない。
【0035】デジタル署名は、アクセスが要求された情
報の識別子に基づいて算出されるので、コンテンツ・サ
ーバおよび認証サーバ間で情報保護方式を常に更新する
必要はない。最も単純な実施形態では、識別子は、アク
セスされるべきリソースの名称である。これにより、コ
ンテンツ・サーバおよび認証サーバに共通の保護方式を
実施することなく、リソースをユニークに識別できる。
【0036】これに反して、US−A−5708780
号公報で提案されているSIDシステムでは、保護ドメ
インが変更される度に、サーバ間で少なくともある程度
の通信がなされる必要がある。認証サーバは、コンテン
ツ・サーバがアクセスを認めるかまたは拒絶できる保護
ドメインを知っていなければならない。このように、常
に、認証サーバおよびコンテンツ・サーバは、保護ドメ
インについて同一の概念を有していなければならない。
【0037】本発明では、このような通信が必要でない
ため、実施および拡張がより容易である。本発明は、当
初知られていないコンテンツ(または保護ドメイン)に
対してさえ機能する。
【0038】さらに、US−A−5708780号公報
では、保護ドメインという概念が必要とされ、保護ドメ
インは規定の個数(その例では、8ビット=256ドメ
イン)に限られる。どのような符号化方式であっても、
保護ドメイン数には制限がある。この結果、コンテンツ
・サーバと認証サーバ間の通信が必要であると共に、規
模の拡張がきかない(ノン・スケーラブル)システムで
あるということになる。ドメインが度々変更される場合
には、特にそうである。
【0039】本発明では、デジタル署名で保護された識
別子が任意の長さおよび形式を取り得るので、そのよう
な制限がない。本発明は、サーバ間での通信が全く必要
でないため、スケーラブルである。すなわち、何の問題
もなく、かつ認証サーバに提供した情報を更新する必要
なく、コンテンツ・サーバをいくらでも追加することが
できる。
【0040】本発明では、その好適な実施形態におい
て、暗号化ハッシュ関数および秘密キーの利用に基づく
方式(スキーム)が用いられている。この方式の強さ
は、以下のことに依拠している。それは、秘密キーKお
よび暗号化ハッシュ関数Hを想定した場合に、コンピュ
ータによる方法で、Kを知ることなくH(K+m+K)
=H(m’)となるm’を見つけることは、実際には不
可能であり、また、コンピュータによる方法で、mおよ
びH(K+m+K)に基づいてKを見つけることは、実
際には不可能ということである。このことは、Bell
are et al.において考察されている。従来の
方式を打ち破る数学的方法が知られることとなったな
ら、本発明では、いつでも、暗号化ハッシュ関数中のパ
ラメータを変更して、攻撃に対する抵抗力を強くするこ
とができる。例えば、Bellareet al. に
おいて記述されているHMACを利用してもよい。より
強い特性を持ったその他のより新しいハッシュ関数を、
利用することもできる。新しい安全な暗号化ハッシュ関
数が、常時発表されている。
【0041】
【実施例】以下、本発明の好適な実施例について説明す
る。
【0042】1.初期化 まず、秘密キーKWebが生成される。好ましくは、この
秘密キーは、暗号学的に強いキー・ジェネレータ(ke
y generator)で生成されるとよい。このこ
とは、キーが規則性なく生成されるので、その生成順か
ら次のキーを見つけることができないことを意味してい
る。暗号として強いキー・ジェネレータは、実際に商用
入手可能であり、その実現については文献に記載されて
いる。例えば、上記のP.Gutmanを参照のこと。
Webは、AおよびBに配信される。
【0043】2.認証処理 Hを、例えばMD5(Rivest参照)、SHA−1
(Secure Hash Standard参照)、
およびその他の暗号化ハッシュ関数とする。好適な実施
形態において、MD5がハッシュ関数として選択され
る。これは、現時点においてMD5が、安全性およびコ
ンピュータ処理速度の双方を最もよく満足させる妥協策
であるためである(Touch参照)。そのうえ、MD
5は、公開されている。このMD5ハッシュ関数の出力
は、入力が何であれ、128ビットのデータ列(str
ing)である。
【0044】KWebは、Aのウェブサーバ204とBの
サーバ206とに共有されている秘密キーである。ま
ず、閲覧者(viewer)は、Aのウェブサーバに接
続する。本発明からは独立した所定の処理により、ウェ
ブサーバは、この閲覧者が、このウェブサーバへの接続
を許可されたものかを識別できる。この所定の処理を実
施する事例は、例えば、SSL、https、またはそ
れ自体で周知である他の機密保護(セキュリティ)設定
を利用している。
【0045】Bのサーバが供給するコンテンツへのリン
ク(URL)を含むウェブページは、全て、動的ウェブ
ページ(Dynamic Web Pages)として
展開されている。これは、閲覧者がアクセスした時点
で、そのウェブページが計算されている、ということを
意味している。少なくとも、リソース・ロケータは動的
に計算され、その結果デジタル署名が、クライアント・
コンピュータ・システムまたはクライアントの接続のユ
ニークな特徴に基づいて計算される。他のページは静的
なものであってもよい。閲覧者がこのようなウェブペー
ジにアクセスした時点で、本発明の方法では、その認証
処理を開始する。
【0046】ウェブページが閲覧者に配信される前に、
Aのウェブサーバ(例えばASP、JSP、または動的
ウェブページを生成する他の技術を使用して)に一体化
された認証方法により、Bのコンテンツへの各リンク
は、当初のリンクにオプションの追加データ(例えばユ
ニークなユーザ識別子、およびタイムスタンプ)とデジ
タル署名とを加えたものを含んだ新しいリンクに、置き
換えられる。デジタル署名は、暗号化ハッシュ関数によ
り算出される。この暗号化ハッシュ関数は、入力とし
て、リンクおよび追加データおよびクライアント・シス
テムまたはそのネットワークへの接続のユニークな識別
子および秘密キーKWebを、受け入れる。本明細書で
は、ネットワークへのクライアント・システムの接続の
IPアドレスが、ユニークな識別子として利用されてい
る。閲覧者のIPアドレスは、ウェブサーバとのTCP
接続により受信されるものであり、認証方法を実行する
ことにより利用可能となる。簡単のため、ここでの以降
の説明において、本方法では、追加データが全く含まれ
ないものとする。そして、追加データの有用性について
は、他の利用例の説明において後述する。
【0047】例えば、認証は、Java Bean(”
urlAuthenticator”)として実施さ
れ、Java Server Pages(JSP)に
より使用されて、新しく認証されたリンクを生成するも
のとする。
【0048】閲覧者は、Bのコンテンツへのリンクを含
んだウェブページを閲覧するために、HTTP GET
リクエストをAのウェブサーバに送信する(400)。
そして、以下に示すJSP部分がウェブサーバに実行さ
れて、認証されるべき各リンクに対して新たなリンクが
生成される。
【0049】<a href=”<%= urlAut
henticator.generateLink(
request.getRemoteHost(), “http://www.b.com/1.asx”)
%>”>Click here</a> これは、例えば、以下のHTMLコードを生成する。
【0050】<a href=” http://www.b.com/1.asx?89
78a19bc1c3a98d6467c603e1b
e299c”>Click here</a> ここで、“?”の後の部分は、このコンテンツおよびリ
クエストを発行した閲覧者のIPアドレスに対応するデ
ジタル署名である。
【0051】Aのウェブサーバに実施された方法のコン
ピュータ処理ステップは、図4のフローチャートに示さ
れている。各リンクは、ページが要求されるとすぐに演
算処理される(400)。この方法は、まず、Bのコン
テンツへのURLを抽出する(402)。上記のJSP
の例では、メソッドの実行(generateLink
())のためのパラメータとして与えられる。そして、
閲覧者のコンピュータのIPアドレスが抽出され(40
4)、これはメソッド(request.getRem
oteHost())へ渡される。この例では、どのよ
うな追加データもメソッドに渡されないが、そのための
ステップ(406)があってもよい。
【0052】そして、メソッドは、以下のようにデジタ
ル署名を算出する(408)。
【0053】 S1=H(KWeb+IPV+contentid+KWeb) ここで、H()は、データ列に作用する暗号化ハッシュ
関数であり、KWebは、AのウェブサーバおよびBのウ
ェブサーバに共有される秘密キーであり、IP Vは、閲
覧者のIPアドレスであり、contentidは、要
求されたコンテンツの識別子(この例では“1”)であ
り、“+”は、文字列の連結を意味している。S1は、
URL内の有効なデータ列として符号化される必要があ
る。この例では、S1は、データ列において16進数表
現で符号化される。このことにより、文字“0〜9”お
よび“a〜e”のみが使用されることと、MD5がハッ
シュ関数として使用された場合に合計のデータ長が厳密
に32文字となることとが、保証される。
【0054】最後のステップにおいて、当初のURLお
よびデジタル署名が連結され、要求されたコンテンツへ
の有効なURLが新たに形成される(410)。そし
て、このURLは、実行されたメソッドの出力となり
(412)、閲覧者のブラウザへ返却されるウェブペー
ジに、挿入される。
【0055】ここでは、本発明の当該実施形態の安全性
が、信用できない第3者に秘密キーKWebが決して渡ら
ないことに依拠している旨を、理解することが重要であ
る。
【0056】閲覧者が生成されたリンクを選択した場
合、閲覧者のアプリケーション(例えば、ウェブブラウ
ザ、または、URLがHTTPプロトコル以外の他のプ
ロトコルを示している場合には、指定されたメディアタ
イプのプラグイン)は、Bのサーバに接続して、デジタ
ル署名とともにURLをリクエストする(500)。
【0057】Bのサーバは、受信したURL(これは、
上記の例にならえば、http://www.b.co
m/1.asx?8978a19bc1c3a98d6
467c603e1be299c)をIPアドレスIP
V’とともに、閲覧者との接続によりBに実施された認
証メソッドへ渡す(504)。認証メソッドは、URL
からcontentid’を抽出し(502)、S1
抽出する(510)。
【0058】最後に、認証メソッドは、S2=H(KWeb
+IPV’+contentid’+KWeb)を算出し
(508)、S2がS1に等しいかどうか検査する(51
2)。
【0059】S2がS1に等しい場合には、要求されたコ
ンテンツは、Bのサーバにより供給され(516)、そ
れ以外の場合には、権限のないユーザに対して適切とみ
なされる処理が実行される(514)。例えば、“No
t authorized”なるHTTPエラーが返却
される。
【0060】S2がS1に等しい場合には、Aのウェブペ
ージの閲覧者が、Bのサーバにアクセスする閲覧者と同
一のIPアドレスを有していることが、保証される。こ
れは、IPV=IPV’を意味する。従って、閲覧者が同
一であるとみなされる。さらに、contentidと
contentid’とが同一であるため、この閲覧者
が、リクエストされたコンテンツを閲覧することが、A
のウェブサーバにより認証された旨が保証される。Aの
サーバおよびBのサーバが秘密キーKWebを共有してい
るので、閲覧者が、Aのウェブページに事前にアクセス
することによりURLを受信したにちがいないこと、権
限のない出所からこのリンクを受信し得ないことが、保
証される。
【0061】この処理は、以下の利点を有している。2
つのプロバイダAおよびBは、Bが供給しているコンテ
ンツが、Aにより認証されたクライアントにのみ利用可
能であることを、保証することができる。AおよびB間
で最初に秘密キーが交換される必要があるが、Aにより
認証されるはずの全てのユーザを事前に知っておく必要
はない。すなわち、Aはその後に、Bのコンテンツにア
クセスしようとする他のユーザを追加して許可すること
ができる。
【0062】しかも、上述のように、Aは、Bで供給さ
れるコンテンツを知っておく必要が全くない。
【0063】本方法によると、最初にユーザを認証する
サーバ(A)と、認証されたユーザにコンテンツを供給
するサーバ(B)との間で、リアルタイムの通信がなさ
れる必要がない。
【0064】さらに、ユーザとコンテンツを供給するサ
ーバとの間でなされる通信は、機密保護されている必要
がない。このことは、UDPパケットで供給されるスト
リーミング・コンテンツ(streaming con
tent)にとって、特に重要である。
【0065】本方法によると、最初のサーバが、リアル
タイムで1つまたはいくつかのコンテンツ・サーバと通
信する必要がない。このことにより、本方法による認証
処理の性能が高くなる。本方法は、実施しやすく、最初
のサーバおよびコンテンツ・サーバ間のネットワークの
状態に依存しない。
【0066】いくつかのサーバが同じコンテンツを供給
し得る場合に、秘密キーを各レプリカ・サーバ(rep
lica server)に導入してもよいので、本方
法は、このような場合に特に有用である。例えば、より
高い利用可能性またはより高速のダウンロードを確保す
るために、コンテンツが複製される場合等に、有用であ
る。
【0067】本方法は、リンク・ハイジャックの全ての
形態に対して機能する。これは、第3者がAからリンク
をコピーした場合や、正当なAのユーザが故意にBのコ
ンテンツへのリンクを開示した場合にも、機能する。
【0068】本方法は、多くのコンテンツ・サーバに対
応できる。また、本方法は、関連する様々な種類の製品
に使用されてもよい。例えば、 ・定期購読方式または従量料金制の視聴方式(pay−
per−view model)をサポートするコンテ
ンツ配信ネットワーク、 ・コンテンツ・プロバイダが、ネットワーク上でコンテ
ンツを公開すること、およびパートナーに対してその顧
客(他の者を除く)を当該コンテンツにアクセスさせる
ようにすることを、認めること。
【0069】本発明は、上記のように例示された好適な
実施形態に、限定されるものではない。例えば、上記で
は、動的ウェブページのためのプロセスが議論されてい
る。しかし、クライアント・コンピュータ・システムま
たは接続のユニークな特徴に基づいてデジタル署名が算
出されるならば、本発明は、静的ウェブページにも適用
される。また、この例では、暗号化ハッシュ関数が使用
されているが、デジタル署名を算出する他の手段が使用
されてもよい。この手段は、基本的には、クライアント
がリバースすることが充分に困難ではあるけれども、リ
ソース・ロケータ・サーバおよびコンテンツ提供サーバ
の両者にとって、容易に演算処理できる全ての関数であ
る。暗号化関数以外の関数では、リソース・ロケータ・
サーバおよびコンテンツ提供サーバに秘密キーを提供す
ることが、必須とならないこともあり得る。
【0070】この例では、ユニークな(独特な)特徴と
してIPアドレスが用いられているが、後述のように、
他のユニークな(独特な)特徴が用いられてもよい。一
般に、この特徴は、リンク・ハイジャックを防止するた
めにユニーク(独特)であればよく、好ましくは、クラ
イアントにより改変されにくいものであるとよい。
【0071】本発明の他の実施形態では、Aのウェブサ
ーバからBのサーバへ追加データが渡され、閲覧者がこ
の追加データを改変できないことが保証されていてもよ
い。例えば、以下の内容は、音声/映像をストリーミン
グ転送する従量料金制の視聴システム(pay−per
−view system)に役立ち得る。
【0072】Aは、Bのサーバが供給するストリーミン
グ転送(streaming transmissio
n)へのアクセスを提供する。但し、Aは、そのウェブ
ページから閲覧者が入手したリンクが複数回使用されな
いことを、確実にしておきたい。また、AはBとの間
で、ある閲覧者がストリーミング転送を受けた時間を示
すデータをBがAに提供する旨、契約している。そのよ
うにするために、Aは、機密保護された(セキュアな)
ウェブサーバを採用し、そこでは、最初に各閲覧者が、
ログインおよびパスワードの方式で、認証される。閲覧
者が認証されて、ウェブページへのアクセスを許可され
た後、ユニークなユーザ識別子useridが、この閲
覧者に割り当てられる。そして、閲覧者がストリーミン
グ転送のためのリンクを選択すると、その時間が受信さ
れる。
【0073】本方法で作成されるURLは、元々のUR
Lに、時間(time)を加え、useridを加え、
上述のデジタル署名を付加し、上記算出の追加データを
も含んだものからなる。従って、このURLは、以下の
ような形式をとる。
【0074】href=”http://www.b.
com/1.asx?userid_time_S” ここで、S=H(KWeb+IPV+userid+con
tentid+time+KWeb)である。
【0075】Bのサーバは、URLからtimeおよび
useridを抽出し、URL中の時間と実際の時間と
に、所定の閾値(例えば10分)を超えた違いがあれ
ば、ストリームへのアクセスを拒絶する。そのために
は、AのサーバおよびBのサーバ間で、時計がある程度
同期(10分の差が出ないように)している必要があ
り、URL中の時間が、合意により規定された標準時間
帯の形式で符号化されている必要がある。標準時間帯の
形式は、両サーバに了解されているもの(例えば、世界
時[UTC])とする。Bは、受信したuseridを
用いて、閲覧者がストリームにアクセスした時間を、A
に申告する。この認証方法により、閲覧者がtimeま
たはuseridを改変してBによるコンテンツにアク
セスすることが不可能である旨、保証されている。
【0076】図3では、同様の方式で、Bはコンテンツ
配信ネットワーク(CDN:content deli
very network)を運営している。CDNで
は、コンテンツは、複数のサーバに複製されている。本
方法は、上述のように機能する。但し、CDN内の全て
のサーバに、秘密キーKWebが渡されている。
【0077】CDNがアプリケーション・レベルでのリ
ダイレクトを用いている場合には、本方法が組み合わせ
られてもよい。秘密キーKWebは、Aのウェブサーバ3
04およびCDNのリダイレクト・ユニット(redi
rection unit)306間で共有されてい
る。CDNのリダイレクト・ユニットは、閲覧者に返却
する新たなURLを算出するのに、別のキーKCDNを用
いる。この秘密キーKCDNは、CDNのリダイレクト・
ユニットおよび全てのコンテンツ・サーバ308間で共
有されている。閲覧者が、リダイレクト・ユニットによ
り選択されたサーバからのみ、ストリームミにアクセス
すべく制限されるならば、ユニークな識別子(例えば、
選択されたコンテンツ・サーバのIPアドレス)が、作
成されたURLおよびデジタル署名内に符号化されてい
てもよい。CDN内のコンテンツ・サーバが、閲覧者に
コンテンツを配信する前に、サーバは、リダイレクト・
ユニットにより、URL内のユニークな識別子とその位
置として認識されるユニークな識別子とが比較されるこ
とにより選択されたのかどうかを、テストする。
【0078】暗号化関数の例では、処理の安全性は、権
限のない者は秘密キーについて知らないという事実に依
存している。従って、権限のない者がアクセスしないよ
うに、秘密キーを各サーバに保存することが好ましい。
数百または数千のサーバによる大規模な分散システム
(例えば、大規模CDN)では、各サーバに別々の秘密
キーが割り当てられてもよい。但し、このことにより、
初期化段階が複雑になり、リダイレクト・ユニットは、
あるリクエストに対してどのサーバが当該リクエストに
係るコンテンツを供給することになるのか、認識してお
く必要がある。しかし、暗号として強力な秘密キーを演
算処理するには、多くのCPUサイクルが必要とされ、
その秘密キーは、リダイレクト・ユニットにテーブルと
して保存される必要がある。この処理を容易にするため
に、以下の方法が採用されてもよい。
【0079】最初にリダイレクト・ユニットは、暗号学
的に強いキー・ジェネレータにより生成された主秘密キ
ーKRUを有している。
【0080】そして、各CDNサーバCSi(IPアド
レス:IPCS i)に対して、秘密キーKCS i=H(KRU
IPCS i+KRU)が生成され、各CDNサーバCSiに秘
密キーKCS iが格納される。リダイレクト・ユニット
は、CDNサーバCSiを選択する度に、KCDNではなく
算出されたキーKCS iで、デジタル署名S2を算出する。
【0081】キーKCS iが盗まれた場合、犯人は、当該
CDNのどのサーバCSiにもアクセスすることができ
るが、他のCDNのサーバにはアクセス不能である。さ
らに、盗まれたキーに基づいて、主キーKRUを見出すこ
とは、コンピュータ処理として実行不能である。
【0082】本発明では、その好適な実施形態におい
て、リクエスト発行者のIPアドレスが用いられてい
る。これは、自身のIPアドレスを隠蔽して、インター
ネット上の供給源からIPパケットを受信できるように
することは、技術的に非常に困難であるためである。し
かしながら、IPアドレスが最良の認証方法とならない
場合もある。ファイアウォール、ウェブ・プロキシ、お
よびキャッシュは、リクエストをインターセプトして、
インターセプトした側からの新しいリクエストを作成す
る。本発明では、メソッドの記述に、IPアドレスに代
わる別のユニークな識別子が、採用されてもよい。この
ようなユニークな識別子の候補として、ある種のブラウ
ザおよびメディア・プレイヤ(media playe
rs)で提供されているグローバル・ユニークID(G
UID:global uniqueidentifi
er)や、リクエスト発行側の装置におけるCPUのシ
リアル番号が挙げられる。このようなユニークな識別子
に伴う主要な問題として、これら識別子は、IPアドレ
スに比べて隠蔽や偽装が理論的には容易であるというこ
とがある。提案されているその他のユニークな識別子
を、IPアドレスに加えて採用してもよい。ユニークな
識別子は2つ以上用いられてもよい。
【0083】CDNによる他の実施形態についての記述
により、中心となるリダイレクト・ユニットが、新たな
デジタル署名で新たなURLをどのように生成するのか
ということが、説明されている。本発明において、リダ
イレクト・ユニットが、リソース・ロケータ・サーバに
ついて説明された如く算出されたリンクのある文書(H
TML、XML、ASX、SMILE、またはその他の
形式)を、生成することも可能である。一般に、本発明
は、組み合わせられてもよい。
【0084】CDNによる他の実施例についての記述に
より、中心となるリダイレクト・ユニットが、新たなデ
ジタル署名で新たなURLをどのように生成するのかと
いうことが、説明されている。本発明において、CDN
のための中心となるリダイレクト・ユニットが、存在し
ないこともありうる。この場合、ネットワーク・パス上
で(例えば、ルータまたはレイヤ4〜7のスイッチを介
して)、トランスペアレントにリダイレクトがなされ
る。例えば、このようなケースでは、レイヤ4のスイッ
チにより、全てのHTTPリクエストが、ネットワーク
・パス上の全てのエンドユーザへのHTTPキャッシュ
へ、リダイレクトされ得る。リソース・ロケータ・サー
バにより生成されたリンク付きのページは、キャッシュ
禁止とされている。閲覧者がコンテンツ・サーバにコン
テンツを要求した場合、キャッシュは、コンテンツ・サ
ーバと同じ方法で、コンテンツ・サーバに代わってデジ
タル署名を確認し、コンテンツへのアクセスを認める。
このことは、当然、キャッシュにも本発明が実施される
ことを意味している。しかしながら、リダイレクト・ユ
ニット(この例ではレイヤ4のスイッチ)では、本方法
は採用されない。
【0085】上記説明では、処理は全体的な観点から示
されている。当然、この処理は、リソース・ロケータ・
サーバとコンテンツ提供サーバとにおいて、その形態が
どのようであれ、独立に実行されてもよい。また、リソ
ース・ロケータ・サーバで実行される処理を符号化した
コンピュータ・プログラムが提供されるとともに、コン
テンツ提供サーバで実行される処理を符号化した別のコ
ンピュータ・プログラムが提供されてもよい。
【図面の簡単な説明】
【図1】ネットワークを介して接続されたクライアント
−サーバ・システムを示す図。
【図2】2つのサーバによる同様のシステムを示す図。
【図3】図2の両サーバの一方をリダイレクト・ユニッ
ト付きのコンテンツ配信ネットワークに置き換えたシス
テムを示す図。
【図4】ユーザまたはクライアントがリソース・ロケー
タを受信するサーバで実行される本発明による処理のフ
ローチャート。
【図5】リソース・ロケータにリクエストがなされた時
にリクエストされたコンテンツをクライアントに供給す
るサーバによって実行される処理の、本発明によるフロ
ーチャート。
【符号の説明】
100…クライアント 102…ネットワーク 104…サーバ 200…クライアント 202…ネットワーク 204…サーバ 206…サーバ 300…クライアント 302…ネットワーク 304…サーバ 306…CDNリダイレクト・ユニット 308…CDNサーバ
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/00 675D (72)発明者 ジャコブ ユム フランス国,06160 ジュアン レ パン, アブニュ ドゥ ラ ロスターニュ 24 Fターム(参考) 5B082 EA11 HA05 HA08 5B085 AE02 AE10 AE23 AE29 BC01 BE04 BG02 BG07 5J104 KA02 KA04 MA01

Claims (47)

    【特許請求の範囲】
  1. 【請求項1】 クライアントのコンテンツ提供サーバへ
    のアクセスをリソース・ロケータ・サーバの制御下で提
    供する方法において、 前記リソース・ロケータ・サーバが、前記コンテンツ提
    供サーバのコンテンツへのリソース・ロケータを、クラ
    イアントに表示するステップと、 前記クライアントが、コンピュータ・システムを介して
    ネットワークに接続して、前記リソース・ロケータ・サ
    ーバにアクセスするステップと、 前記リソース・ロケータ・サーバが、前記コンピュータ
    ・システムに対して、前記コンテンツ提供サーバにアク
    セスするためのリソース・ロケータを提供するステップ
    であって、前記リソース・ロケータは、前記リソース・
    ロケータ・サーバが前記クライアントに対して認めた前
    記コンテンツ提供サーバにアクセスするための権利を示
    すデジタル署名を含み、該デジタル署名は、前記コンピ
    ュータ・システムまたは該コンピュータ・システムのネ
    ットワークへの接続に関する少なくとも1つのユニーク
    な特徴に基づくとともに、アクセスすべきコンテンツの
    識別子に基づいて、算出されるものであるステップと、 前記クライアントのコンピュータ・システムが、前記リ
    ソース・ロケータを用いて、前記コンテンツ提供サーバ
    にアクセスするステップと、 前記コンテンツ提供サーバが、前記クライアントのネッ
    トワークへの接続のために、前記リソース・ロケータに
    含まれた前記デジタル署名を検査し、この検査の結果に
    応じて、前記クライアントにコンテンツへの接続を許可
    するステップ、 を備えた方法。
  2. 【請求項2】 前記提供するステップは、前記リソース
    ・ロケータ・サーバに対し、前記デジタル署名を、前記
    クライアントのコンピュータ・システムのネットワーク
    におけるアドレスの関数として算出することを含む、請
    求項1記載の方法。
  3. 【請求項3】 前記提供するステップは、前記リソース
    ・ロケータ・サーバに対し、前記デジタル署名を、前記
    クライアントのコンピュータ・システムのユニークな識
    別子の関数として算出することを含む、請求項1記載の
    方法。
  4. 【請求項4】 前記提供するステップは、前記リソース
    ・ロケータ・サーバに対し、前記デジタル署名を、前記
    クライアントの識別情報の関数として算出することを含
    む、請求項1記載の方法。
  5. 【請求項5】 前記提供するステップは、前記リソース
    ・ロケータ・サーバに対し、前記デジタル署名を、時間
    の関数として算出することを含む、請求項1記載の方
    法。
  6. 【請求項6】 秘密キーを、前記リソース・ロケータ・
    サーバおよび前記コンテンツ提供サーバに提供するステ
    ップを、さらに備え、 前記提供するステップは、前記リソース・ロケータ・サ
    ーバに対し、前記デジタル署名を、前記秘密キーの関数
    として算出する、請求項1記載の方法。
  7. 【請求項7】 前記秘密キーを提供するステップは、暗
    号化番号ジェネレータを用いて前記秘密キーを生成する
    ことを含む、請求項6記載の方法。
  8. 【請求項8】 前記コンテンツ提供サーバが前記デジタ
    ル署名を検査する前記検査ステップは、前記秘密キーを
    用いて他のデジタル署名を算出し、当該他のデジタル署
    名を前記リソース・ロケータに含まれた前記デジタル署
    名と比較することを備えた、請求項6記載の方法。
  9. 【請求項9】 前記の算出のステップは、暗号化ハッシ
    ュ関数を算出することを含む、請求項1記載の方法。
  10. 【請求項10】 前記の算出のステップは、前記クライ
    アントのコンピュータ・システムのネットワークにおけ
    る少なくとも1つのアドレス、前記クライアントのコン
    ピュータ・システムのユニークな識別子、前記クライア
    ントによりアクセスすべきコンテンツの関数、前記クラ
    イアントの識別情報、および時間の内の少なくとも1個
    を含んだデータ列の暗号化ハッシュ関数を算出すること
    を備えた、請求項2記載の方法。
  11. 【請求項11】 秘密キーを、前記リソース・ロケータ
    ・サーバおよび前記コンテンツ提供サーバに提供する秘
    密キー提供ステップをさらに備え、 前記データ列は、前記秘密キーを含む、請求項10記載
    の方法。
  12. 【請求項12】 前記暗号化ハッシュ関数は、キー付き
    の暗号化ハッシュ関数である、請求項11記載の方法。
  13. 【請求項13】 前記暗号化ハッシュ関数は、MD5、
    SHA−1、MD2、MD4、RIPEMD−128、
    およびRIPEMD−160から選択される、請求項9
    記載の方法。
  14. 【請求項14】 前記コンテンツ提供サーバは、少なく
    とも2つのサーバを備えたコンテンツ配信ネットワーク
    である、請求項1記載の方法。
  15. 【請求項15】 秘密キーを、前記リソース・ロケータ
    ・サーバおよび少なくとも2つの前記サーバの一方に提
    供するとともに、他の秘密キーを、前記リソース・ロケ
    ータ・サーバおよび前記少なくとも2個のサーバの他方
    に提供する秘密キー提供ステップを、さらに備えた、請
    求項14記載の方法。
  16. 【請求項16】 前記少なくとも2個のサーバの一方の
    ための秘密キーは、主秘密キーおよび前記一方のサーバ
    のネットワークにおけるアドレスについての暗号化ハッ
    シュ関数を用いて算出される、請求項15記載の方法。
  17. 【請求項17】 ネットワークに接続したリソース・ロ
    ケータ・サーバにて、リソース・ロケータをクライアン
    トに提供する方法において、 クライアントに、リソース・ロケータを表示するステッ
    プと、 前記クライアントをネットワークへ接続させるコンピュ
    ータ・システムからのアクセスのリクエストであって、
    表示された前記リソース・ロケータのうちの1つにアク
    セスするためのアクセスリクエストを、ネットワークか
    ら受信するステップと、 前記コンピュータ・システムへ向けて、ネットワークへ
    リソース・ロケータを提供するステップであって、前記
    リソース・ロケータは、前記クライアントが当該リソー
    ス・ロケータによる位置にあるリソースにアクセスする
    ことを、前記リソース・ロケータ・サーバが認めた権利
    を示すデジタル署名を含み、前記デジタル署名は、前記
    コンピュータ・システムまたは該コンピュータ・システ
    ムのネットワークへの接続に関する少なくとも1つのユ
    ニークな特徴に基づくとともに、アクセスされるべきコ
    ンテンツの識別子に基づいて、算出されるものであるス
    テップ、とを備えた方法。
  18. 【請求項18】 前記提供するステップは、前記デジタ
    ル署名を、前記クライアントのコンピュータ・システム
    のネットワークにおけるアドレスの関数として算出する
    ことを含む、請求項17記載の方法。
  19. 【請求項19】 前記提供するステップは、前記デジタ
    ル署名を、前記クライアントのコンピュータ・システム
    のユニークな識別子の関数として算出することを含む、
    請求項17記載の方法。
  20. 【請求項20】 前記提供するステップは、前記デジタ
    ル署名を、前記クライアントの識別情報の関数として算
    出することを含む、請求項17記載の方法。
  21. 【請求項21】 前記提供するステップは、前記デジタ
    ル署名を、時間の関数として算出することを含む、請求
    項17記載の方法。
  22. 【請求項22】 前記提供するステップは、前記デジタ
    ル署名を、秘密キーの関数として算出する、請求項17
    記載の方法。
  23. 【請求項23】 前記の算出のステップは、暗号化ハッ
    シュ関数を算出することを含む、請求項17記載の方
    法。
  24. 【請求項24】 前記の算出のステップは、前記クライ
    アントのコンピュータ・システムのネットワークにおけ
    る少なくとも1つのアドレス、前記クライアントのコン
    ピュータ・システムのユニークな識別子、前記リソース
    の関数、前記クライアントの識別情報、および時間を含
    んだデータ列についての暗号化ハッシュ関数を算出する
    ことを備えた、請求項17記載の方法。
  25. 【請求項25】 前記データ列は、秘密キーをさらに含
    む、請求項24記載の方法。
  26. 【請求項26】 暗号化番号ジェネレータを用いて、前
    記秘密キーを生成するステップをさらに備えた、請求項
    25記載の方法。
  27. 【請求項27】 前記暗号化ハッシュ関数は、キー付き
    の暗号化ハッシュ関数である、請求項246記載の方
    法。
  28. 【請求項28】 前記暗号化ハッシュ関数は、MD5、
    SHA−1、MD2、MD4、RIPEMD−128、
    およびRIPEMD−160から選択される請求項27
    記載の方法。
  29. 【請求項29】 前記秘密キーは、前記リソース・ロケ
    ータに含まれたサーバのアドレスの関数である請求項2
    2記載の方法。
  30. 【請求項30】 前記秘密キーは、前記リソース・ロケ
    ータに含まれたサーバのアドレスの暗号化ハッシュ関数
    である、請求項29記載の方法。
  31. 【請求項31】 ネットワークに接続したコンテンツ提
    供サーバにて、クライアントのコンテンツへのアクセス
    を提供する方法において、 前記クライアントをネットワークへ接続させているコン
    ピュータ・システムからのアクセスのリクエストであっ
    て、デジタル署名を含んだリクエストを、ネットワーク
    から受信するステップと、 前記リクエストにより受信された前記コンピュータ・シ
    ステムまたは該コンピュータ・システムのネットワーク
    への接続に関する少なくとも1つのユニークな特徴に基
    づくとともに、前記クライアントにリクエストされたコ
    ンテンツの識別子に基づいて、前記リソース・ロケータ
    に含まれた前記デジタル署名を検査する検査ステップ
    と、 前記検査ステップの結果に応じて、前記クライアントに
    コンテンツへの接続を許可するステップ、とを備えた方
    法。
  32. 【請求項32】 前記デジタル署名を検査する前記検査
    ステップは、他のデジタル署名を算出し、当該他のデジ
    タル署名を前記リソース・ロケータに含まれた前記デジ
    タル署名と比較することを備えた、請求項31記載の方
    法。
  33. 【請求項33】 前記アクセスのリクエストは、前記ク
    ライアントのネットワークにおけるアドレスを含み、前
    記他のデジタル署名は、該アドレスの関数として算出さ
    れる、請求項32記載の方法。
  34. 【請求項34】 前記アクセスのリクエストは、前記ク
    ライアントのコンピュータ・システムのユニークな識別
    子を含み、前記他のデジタル署名は、このユニークな識
    別子の関数として算出される、請求項32記載の方法。
  35. 【請求項35】 前記アクセスのリクエストは、クライ
    アントの識別情報を含み、前記他のデジタル署名は、こ
    のクライアントの識別情報の関数として算出される、請
    求項32記載の方法。
  36. 【請求項36】 前記他のデジタル署名は、時間の関数
    として算出される、請求項32記載の方法。
  37. 【請求項37】 前記サーバには秘密キーが提供され、
    前記他のデジタル署名は、この秘密キーの関数として算
    出される、請求項32記載の方法。
  38. 【請求項38】 前記他のデジタル署名を算出するステ
    ップは、暗号化ハッシュ関数を算出することを含む、請
    求項32記載の方法。
  39. 【請求項39】 前記他のキーを算出するステップは、
    前記リクエストに含まれた前記クライアントのコンピュ
    ータ・システムのネットワークにおける少なくとも1つ
    のアドレス、前記リクエストに含まれた前記クライアン
    トのコンピュータ・システムのユニークな識別子、前記
    クライアントによりアクセスされるべきコンテンツの関
    数、前記リクエストに含まれた前記クライアントの識別
    情報、および時間を含んだデータ列についての暗号化ハ
    ッシュ関数を算出することを含む、請求項32記載の方
    法。
  40. 【請求項40】 前記暗号化ハッシュ関数は、MD5、
    SHA−1、MD2、MD4、RIPEMD−128、
    およびRIPEMD−160から選択される、請求項3
    8記載の方法。
  41. 【請求項41】 ネットワークへの接続と、 請求項17記載の方法を実行するプログラム、を含むリ
    ソース・ロケータ・サーバ。
  42. 【請求項42】 ネットワークへの接続と、 請求項31記載の方法を実行するプログラム、を含むコ
    ンテンツ提供サーバ。
  43. 【請求項43】 前記コンテンツ提供サーバは、少なく
    とも2つのサーバを備えたコンテンツ配信ネットワーク
    である、請求項42記載のコンテンツ提供サーバ。
  44. 【請求項44】 前記コンテンツ配信ネットワークは、
    リダイレクト・ユニットを備え、該リダイレクト・ユニ
    ットは、前記請求項17記載の一方法を実行するプログ
    ラムを有する、請求項43記載のコンテンツ提供サー
    バ。
  45. 【請求項45】 前記コンテンツ配信ネットワークは、
    リダイレクト・ユニットを備え、このリダイレクト・ユ
    ニットは、当該コンテンツ配信ネットワークのサーバの
    うちの1つを選択するとともに前記請求項17記載の一
    方法を実行するプログラムを有する、請求項43記載の
    コンテンツ提供サーバ。
  46. 【請求項46】 ネットワークに接続したリソース・ロ
    ケータ・サーバにて、リソース・ロケータをクライアン
    トに提供するための、コンピュータ可読媒体中に含まれ
    るコンピュータ・プログラム製品において、 前記クライアントをネットワークへ接続させているコン
    ピュータ・システムからのアクセスのリクエストを、ネ
    ットワークから受信するためのコンピュータ可読プログ
    ラムコード手段と、 前記コンピュータ・システムへ向けて、ネットワークへ
    リソース・ロケータを提供するためのコンピュータ可読
    プログラムコード手段であって、前記リソース・ロケー
    タは、前記クライアントが当該リソース・ロケータによ
    って位置決めされたリソースにアクセスすることを、前
    記リソース・ロケータ・サーバが認めた権利を示すデジ
    タル署名を含み、前記デジタル署名は、前記コンピュー
    タ・システムまたは該コンピュータ・システムのネット
    ワークへの接続に関する少なくとも1つのユニークな特
    徴に基づくとともに、前記リソースの識別子に基づい
    て、算出されるものである、コンピュータ可読プログラ
    ムコード手段、とを備えたコンピュータ可読媒体中に含
    まれるコンピュータ・プログラム製品。
  47. 【請求項47】 ネットワークに接続したコンテンツ提
    供サーバにて、クライアントのコンテンツへのアクセス
    を提供する、コンピュータ可読媒体中に含まれるコンピ
    ュータ・プログラム製品であって、 前記クライアントをネットワークへ接続させているコン
    ピュータ・システムからのアクセスのリクエストであっ
    て、デジタル署名を含んだリクエストを、ネットワーク
    から受信するコンピュータ可読プログラムコード手段
    と、 前記リクエストにおいて受信された前記コンピュータ・
    システムまたは該コンピュータ・システムのネットワー
    クへの接続に関する少なくとも1つのユニークな特徴に
    従って、さらに、アクセスがリクエストされるコンテン
    ツの識別子に従って、前記リソース・ロケータに含まれ
    た前記デジタル署名を検査するコンピュータ可読プログ
    ラムコード手段と、さらに、 前記検査の結果に応じて、前記クライアントにコンテン
    ツへのアクセスを可能とするコンピュータ可読プログラ
    ムコード手段、とを備えたコンピュータ可読媒体中に含
    まれるコンピュータ・プログラム製品。
JP2002204448A 2001-07-12 2002-07-12 クライアントのコンテンツ提供サーバへのアクセスをリソース・ロケータ・サーバの制御下で提供する方法 Pending JP2003122724A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP01401870.9 2001-07-12
EP01401870A EP1278112B1 (en) 2001-07-12 2001-07-12 A process for providing access of a client to a content provider server under control of a resource locator server

Publications (1)

Publication Number Publication Date
JP2003122724A true JP2003122724A (ja) 2003-04-25

Family

ID=8182803

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002204448A Pending JP2003122724A (ja) 2001-07-12 2002-07-12 クライアントのコンテンツ提供サーバへのアクセスをリソース・ロケータ・サーバの制御下で提供する方法

Country Status (5)

Country Link
US (1) US20030014503A1 (ja)
EP (1) EP1278112B1 (ja)
JP (1) JP2003122724A (ja)
AT (1) ATE241820T1 (ja)
DE (1) DE60100317T2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006073008A1 (ja) * 2005-01-07 2006-07-13 Systemk Corporation ネットワークカメラへのログイン認証システム
US7627905B2 (en) 2004-04-07 2009-12-01 Sony Corporation Content transfer system, content transfer method, content transmitting apparatus, content transmission method, content receiving apparatus, content reception method, and computer program
US8065526B2 (en) 2005-02-07 2011-11-22 Sony Computer Entertainment Inc. Methods and apparatus for content control using processor resource management
JP2022528639A (ja) * 2019-03-26 2022-06-15 グーグル エルエルシー 複数の暗号学的デジタル署名を使用したコンテンツアクセスおよびコンテンツ配信の認可の分離

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7836295B2 (en) * 2002-07-29 2010-11-16 International Business Machines Corporation Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks
KR20050061545A (ko) * 2002-10-18 2005-06-22 코닌클리케 필립스 일렉트로닉스 엔.브이. Tv-애니타임의 메타데이터 보호를 위한 방법 및 시스템
US20040158606A1 (en) * 2003-02-10 2004-08-12 Mingtar Tsai Transmission method of multimedia data over a network
US7562215B2 (en) * 2003-05-21 2009-07-14 Hewlett-Packard Development Company, L.P. System and method for electronic document security
US6973654B1 (en) * 2003-05-27 2005-12-06 Microsoft Corporation Systems and methods for the repartitioning of data
US7676551B1 (en) * 2003-06-25 2010-03-09 Microsoft Corporation Lookup partitioning storage system and method
US8782654B2 (en) 2004-03-13 2014-07-15 Adaptive Computing Enterprises, Inc. Co-allocating a reservation spanning different compute resources types
US7490325B2 (en) 2004-03-13 2009-02-10 Cluster Resources, Inc. System and method for providing intelligent pre-staging of data in a compute environment
US20070266388A1 (en) 2004-06-18 2007-11-15 Cluster Resources, Inc. System and method for providing advanced reservations in a compute environment
US8176490B1 (en) 2004-08-20 2012-05-08 Adaptive Computing Enterprises, Inc. System and method of interfacing a workload manager and scheduler with an identity manager
US8271980B2 (en) 2004-11-08 2012-09-18 Adaptive Computing Enterprises, Inc. System and method of providing system jobs within a compute environment
US8010685B2 (en) * 2004-11-09 2011-08-30 Cisco Technology, Inc. Method and apparatus for content classification
US20060200664A1 (en) * 2005-03-07 2006-09-07 Dave Whitehead System and method for securing information accessible using a plurality of software applications
US8863143B2 (en) 2006-03-16 2014-10-14 Adaptive Computing Enterprises, Inc. System and method for managing a hybrid compute environment
US9075657B2 (en) 2005-04-07 2015-07-07 Adaptive Computing Enterprises, Inc. On-demand access to compute resources
US8930536B2 (en) 2005-03-16 2015-01-06 Adaptive Computing Enterprises, Inc. Virtual private cluster
US9015324B2 (en) 2005-03-16 2015-04-21 Adaptive Computing Enterprises, Inc. System and method of brokering cloud computing resources
US9231886B2 (en) 2005-03-16 2016-01-05 Adaptive Computing Enterprises, Inc. Simple integration of an on-demand compute environment
US8782120B2 (en) 2005-04-07 2014-07-15 Adaptive Computing Enterprises, Inc. Elastic management of compute resources between a web server and an on-demand compute environment
FR2887097A1 (fr) * 2005-06-14 2006-12-15 France Telecom Procede de protection d'un code-source en langage semi-interprete
US8024290B2 (en) * 2005-11-14 2011-09-20 Yahoo! Inc. Data synchronization and device handling
US20070260572A1 (en) * 2006-05-03 2007-11-08 Boucard John C Interactive data management system
US20080034008A1 (en) * 2006-08-03 2008-02-07 Yahoo! Inc. User side database
US20080172545A1 (en) * 2007-01-12 2008-07-17 John Christian Boucard System and method for accessing and displaying interactive content and advertising
US20080172498A1 (en) * 2007-01-12 2008-07-17 John Christian Boucard System and Apparatus for Managing Interactive Content, Advertising, and Devices
US8041773B2 (en) 2007-09-24 2011-10-18 The Research Foundation Of State University Of New York Automatic clustering for self-organizing grids
US8489731B2 (en) 2007-12-13 2013-07-16 Highwinds Holdings, Inc. Content delivery network with customized tracking of delivery data
EP2235642A4 (en) 2007-12-13 2016-08-03 Highwinds Holdings Inc CONTENT DELIVERY NETWORK
US8707442B1 (en) * 2008-01-18 2014-04-22 Google Inc. Dynamic universal resource locator (URL) construction for accessing media content
US20090271493A1 (en) * 2008-04-29 2009-10-29 Boucard John C System and Apparatus for Managing Social Networking and Loyalty Program Data
US20100198674A1 (en) * 2009-02-03 2010-08-05 John Boucard Brand Experience System
US20100199162A1 (en) * 2009-02-03 2010-08-05 John Boucard Form Management System
US20100193587A1 (en) * 2009-02-03 2010-08-05 John Boucard Interactive Printed Document System
US20130103785A1 (en) * 2009-06-25 2013-04-25 3Crowd Technologies, Inc. Redirecting content requests
US8560597B2 (en) 2009-07-30 2013-10-15 At&T Intellectual Property I, L.P. Anycast transport protocol for content distribution networks
US10877695B2 (en) 2009-10-30 2020-12-29 Iii Holdings 2, Llc Memcached server functionality in a cluster of data processing nodes
US11720290B2 (en) 2009-10-30 2023-08-08 Iii Holdings 2, Llc Memcached server functionality in a cluster of data processing nodes
US8429616B2 (en) * 2010-03-19 2013-04-23 Ebay Inc. Orthogonal experimentation in a computing environment
US20130103853A1 (en) 2011-07-29 2013-04-25 3Crowd Technologies, Inc. Directing clients based on communication format
US9680791B2 (en) 2011-07-29 2017-06-13 Fortinet, Inc. Facilitating content accessibility via different communication formats
US8984605B2 (en) * 2011-08-23 2015-03-17 Zixcorp Systems, Inc. Multi-factor authentication
US20140344908A1 (en) 2011-12-16 2014-11-20 British Telecommunications Public Limited Company Data retrieval redirection
EP2605479A1 (en) * 2011-12-16 2013-06-19 British Telecommunications public limited company Network terminal validation
EP2605478A1 (en) * 2011-12-16 2013-06-19 British Telecommunications public limited company Data retrieval redirection
US9438610B2 (en) * 2013-09-03 2016-09-06 Pagefair Limited Anti-tampering server
US20160337318A1 (en) * 2013-09-03 2016-11-17 Pagefair Limited Anti-tampering system
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US9237019B2 (en) * 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US10089307B2 (en) 2014-12-31 2018-10-02 International Business Machines Corporation Scalable distributed data store
DE102015214740A1 (de) * 2015-08-03 2017-02-09 Siemens Aktiengesellschaft Verfahren und System zum Bereitstellen von Informationsdaten
US9973340B2 (en) * 2015-11-13 2018-05-15 Verizon Patent And Licensing Inc. Mobile content delivery via toll-free uniform resource locators
FR3062013A1 (fr) * 2017-01-16 2018-07-20 Orange Procedes et dispositifs de verification de la validite d'une delegation de diffusion de contenus chiffres
US10374948B2 (en) * 2017-07-20 2019-08-06 Huawei Technologies Co., Ltd. Supporting mobility and multi-homing in the transport layer inside end-hosts
US11086963B2 (en) 2018-12-05 2021-08-10 Ebay Inc. Adaptive data platforms

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5708780A (en) * 1995-06-07 1998-01-13 Open Market, Inc. Internet server access control and monitoring systems
US5751956A (en) * 1996-02-21 1998-05-12 Infoseek Corporation Method and apparatus for redirection of server external hyper-link references
US5963915A (en) * 1996-02-21 1999-10-05 Infoseek Corporation Secure, convenient and efficient system and method of performing trans-internet purchase transactions
US6032260A (en) * 1997-11-13 2000-02-29 Ncr Corporation Method for issuing a new authenticated electronic ticket based on an expired authenticated ticket and distributed server architecture for using same
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US6356935B1 (en) * 1998-08-14 2002-03-12 Xircom Wireless, Inc. Apparatus and method for an authenticated electronic userid
US6085321A (en) * 1998-08-14 2000-07-04 Omnipoint Corporation Unique digital signature
US6463534B1 (en) * 1999-03-26 2002-10-08 Motorola, Inc. Secure wireless electronic-commerce system with wireless network domain
US6775782B1 (en) * 1999-03-31 2004-08-10 International Business Machines Corporation System and method for suspending and resuming digital certificates in a certificate-based user authentication application system
US7146505B1 (en) * 1999-06-01 2006-12-05 America Online, Inc. Secure data exchange between date processing systems
US6324648B1 (en) * 1999-12-14 2001-11-27 Gte Service Corporation Secure gateway having user identification and password authentication
US6510464B1 (en) * 1999-12-14 2003-01-21 Verizon Corporate Services Group Inc. Secure gateway having routing feature

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7627905B2 (en) 2004-04-07 2009-12-01 Sony Corporation Content transfer system, content transfer method, content transmitting apparatus, content transmission method, content receiving apparatus, content reception method, and computer program
WO2006073008A1 (ja) * 2005-01-07 2006-07-13 Systemk Corporation ネットワークカメラへのログイン認証システム
JPWO2006073008A1 (ja) * 2005-01-07 2008-10-23 株式会社システム・ケイ ネットワークカメラへのログイン認証システム
US8065526B2 (en) 2005-02-07 2011-11-22 Sony Computer Entertainment Inc. Methods and apparatus for content control using processor resource management
JP2022528639A (ja) * 2019-03-26 2022-06-15 グーグル エルエルシー 複数の暗号学的デジタル署名を使用したコンテンツアクセスおよびコンテンツ配信の認可の分離
JP7210769B2 (ja) 2019-03-26 2023-01-23 グーグル エルエルシー 複数の暗号学的デジタル署名を使用したコンテンツアクセスおよびコンテンツ配信の認可の分離

Also Published As

Publication number Publication date
DE60100317T2 (de) 2004-04-29
EP1278112A1 (en) 2003-01-22
EP1278112B1 (en) 2003-05-28
DE60100317D1 (de) 2003-07-03
US20030014503A1 (en) 2003-01-16
ATE241820T1 (de) 2003-06-15

Similar Documents

Publication Publication Date Title
JP2003122724A (ja) クライアントのコンテンツ提供サーバへのアクセスをリソース・ロケータ・サーバの制御下で提供する方法
US8005965B2 (en) Method and system for secure server-based session management using single-use HTTP cookies
CA2327078C (en) Secure session management and authentication for web sites
KR100856674B1 (ko) 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법
US8631481B2 (en) Access to a network for distributing digital content
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
US7552338B1 (en) Dynamic multimedia fingerprinting system
US6421768B1 (en) Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
US6957334B1 (en) Method and system for secure guaranteed transactions over a computer network
US6128738A (en) Certificate based security in SNA data flows
US7908649B1 (en) Method and apparatus for providing efficient authorization services in a web cache
US20030065956A1 (en) Challenge-response data communication protocol
EP0940960A1 (en) Authentication between servers
US20030163691A1 (en) System and method for authenticating sessions and other transactions
US20060106802A1 (en) Stateless methods for resource hiding and access control support based on URI encryption
KR20040037155A (ko) 사용자 인증을 허용하는 사용자 단말의 고유 온라인프라비젼
MXPA04007546A (es) Metodo y sistema para proporcionar una tercera autenticacion de autorizacion.
JP2004304304A (ja) 電子署名生成方法,電子署名検証方法,電子署名生成依頼プログラム,及び電子署名検証依頼プログラム
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
KR20040045486A (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
JP2007293760A (ja) 個別認証を用いたシングルサインオン連携方法およびシステム
CN110213321B (zh) 互联网应用中提供第三方服务的方法、装置及电子设备
KR20080085846A (ko) 콘텐츠 배포 제어 방법, 콘텐츠 수신 방법, 콘텐츠 발행방법 및 컴퓨터 프로그램
JP2006157399A (ja) 電子署名付き電子文書交換支援方法及び情報処理装置
US20040243802A1 (en) System and method employed to enable a user to securely validate that an internet retail site satisfied pre-determined conditions

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060725

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061219