JP2009514050A - クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 - Google Patents

クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 Download PDF

Info

Publication number
JP2009514050A
JP2009514050A JP2006518190A JP2006518190A JP2009514050A JP 2009514050 A JP2009514050 A JP 2009514050A JP 2006518190 A JP2006518190 A JP 2006518190A JP 2006518190 A JP2006518190 A JP 2006518190A JP 2009514050 A JP2009514050 A JP 2009514050A
Authority
JP
Japan
Prior art keywords
client
server
authentication information
authentication
header
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006518190A
Other languages
English (en)
Inventor
ハグマイヤー、ヨアヒム
ブルッフロス、ヨアヒム
クスマウル、ティモ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009514050A publication Critical patent/JP2009514050A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

【課題】 HTTPプロトコルを変更することも不必要なネットワーク・トラヒックを生じることもない認証プロセスを提供する。
【解決手段】 本発明の考えは、既存のパスワード/ユーザIDに基づく認証プロセスの代わりに、新しいデジタル署名認証プロセスを用いることである。この新しいプロセスでは、好ましくは、宛先サーバが用いる認証プロセスとは独立して、クライアント認証情報によって第1のHTTP要求ヘッダを拡張し、サーバは認証情報を要求しない。認証情報は、好ましくは、クライアントの公開鍵を含み認証機関が署名したクライアント証明書、および、好ましくは、要求内で送信されるHTTP要求ヘッダ・データに対して計算され、クライアントの秘密鍵によって暗号化されたハッシュ値を含む。証明書およびデジタル署名は、クライアント・システム自体におけるHTTP要求ヘッダの作成中に追加することができ、または、ゲートウェイ、プロキシ、もしくはトンネルとして機能するサーバにおいて、後に追加することができる。新しいデジタル署名認証プロセスに対応しない宛先サーバは、単に、HTTP要求ヘッダにおける証明書およびデジタル署名を無視し、自動的に、それ自身の認証プロセスを開始する。本発明は、既存のデジタル署名認証プロセスを簡略化し、同時に、HTTPプロトコルを変更することも不必要なネットワーク・トラヒックを生じることもなく、異なる認証プロセスの共存を可能とする。
【選択図】 図5

Description

本発明は、一般に認証に関し、具体的には、クライアント−サーバ環境における認証に関し、更に特定すれば、インターネットにおけるクライアントの認証に関する。
認証は、ある人またはある物が、本当に申告したとおりの人または物であるか否かを判定する手順である。私有または公共のコンピュータ・ネットワークにおいて、認証は通常、ログオン・パスワードを用いて行われる。典型的に、全てのサーバは、認証データを保存するために、それ自身のデータ持続性を維持する。従って、あるサーバ上でクライアントに利用可能なパスワードは、別のサーバ上の別のクライアントによってすでに阻止されている場合がある。このため、クライアントが記憶し維持しなければならない異なる認証セットの数が増えてしまう。異なるユーザ認証システムを有するいくつかのサーバ上に分散したアプリケーション(例えば、ポータル・サーバを介してアプリケーションにアクセスし、ポータル・サーバがそれ自身のユーザ・データベースを有する)では、クライアントは2回以上ログオンしなければならない。
シングル・サインオン(single signon)を可能とするための対策には、ポータル・サーバ上でアプリケーション・サーバのためにログオン・データを保存すること、または、Microsoft(登録商標)の.NETPassport(http://www.pasport.com)もしくはLiberty AllianceからのLiberty(http://www.projectliberty.org)のような集中ユーザ・データベースを用いること等の手法が含まれる。このためには、クライアントが個人データをサード・パーティ(third party)のサイト上に保存することを嫌がらないことが必要であり、この手法にはあらゆるデータ・セキュリティの問題が伴う。また、Passportサービスをダウンしなければならない場合、使用したいサイトが利用可能であるとしても、所望のサービスにログオンすることができない。
また、認証のためにユーザID/パスワード・セットを用いることは、結果として余分なネットワーク・トラフィックを生じるという欠点がある。クライアントの要求があると、サーバはそれに答えてログイン・データを求めなければならない。これが与えられてから初めて、最初に要求された情報がクライアントに返信される(以下の図11も参照)。
最後に、パスワードは、盗まれたり、誤って漏れてしまったり、または単に忘れてしまったりすることが多く起こり得る。
このため、インターネット・ビジネスおよび他の多くのトランザクションでは、もっと厳重な認証プロセスが必要とされている。公開鍵インフラの一部として認証機関(CA:Certificate Authority)によって発行され検証されたデジタル証明書(digital certificate)を用いることは、インターネット上で認証を行うための標準的な方法になると考えられている。
デジタル署名によって、受信側(サーバ)は、送信側(クライアント)のアイデンティティおよび発信元ならびにドキュメントの完全性を検証することができる。
デジタル署名は、非対称暗号アルゴリズムに基づいている。送信側の秘密鍵によって、ドキュメントに署名する。受信側は、信頼できるサード・パーティ(Trusted Third Party)によって与えられる送信側の公開鍵を取得し、受信したドキュメントの完全性を確認することができる。
デジタル署名手順を、すでに存在しているパスワード・ログオン・インフラに組み込むことは、例えば特定のセキュリティ・アプリケーションを有する追加のカード読み取り装置等、サーバ側およびクライアント側での大きな変更を必要とする。従って、かかる実施は、コストおよび時間において多くの労力を要し、結果として、新しいクライアント−サーバ・インフラのみがデジタル署名手順を用いることが好ましい。クライアント−サーバ環境において2つの認証手順が存在すると、宛先サーバがパスワード・ログオンまたはデジタル署名手順のどちらに対応しているのかをクライアントが最初に調べなければならないという欠点が生じる。その結果に応じて、クライアントは、サーバが対応している必要な認証プロセスを用いる。これによって、クライアントとサーバとの間で多くの不必要なネットワーク・トラフィックが生じる。なぜなら、サーバ・アプリケーション自体が最終的に認証のタイプを決定するからである。更に、現在のデジタル署名認証手順には、クライアントがその認証情報を提供可能となるまで、クライアントとサーバとの間で、クライアントとサーバとの間のいくつかの画面を交換しなければならないという欠点がある。これによって、多くの不必要なネットワーク・トラフィックが生じる。
これを発端として、本発明の目的は、上述の従来技術の欠点を回避して、クライアント−サーバ環境においてクライアントを認証するための方法およびシステムを提供することである。
本発明の考えは、既存のパスワード/ユーザIDに基づく認証プロセスの代わりに、新しいデジタル署名認証プロセスを用いることである。この新しいプロセスでは、好ましくは、宛先サーバが用いる認証プロセスとは独立して、クライアント認証情報によって第1のHTTP要求ヘッダを拡張し、サーバは認証情報を要求しない。認証情報は、好ましくは、クライアントの公開鍵を含み認証機関が署名したクライアント証明書、および、好ましくは、要求内で送信されるHTTP要求ヘッダ・データに対して計算され、クライアントの秘密鍵によって暗号化されたハッシュ値を含む。証明書およびデジタル署名は、クライアント・システム自体におけるHTTP要求ヘッダの作成中に追加することができ、または、ゲートウェイ、プロキシ、もしくはトンネルとして機能するサーバにおいて、後に追加することができる。
新しいデジタル署名認証プロセスに対応しない宛先サーバは、単に、HTTP要求ヘッダにおける証明書およびデジタル署名を無視し、自動的に、それ自身の認証プロセスを開始する。本発明は、既存のデジタル署名認証プロセスを簡略化し、同時に、HTTPプロトコルを変更することも不必要なネットワーク・トラフィックを生じることもなく、異なる認証プロセスの共存を可能とする。
本発明の上述および追加の目的、特徴、および利点は、以下の詳細な記載において明らかとなろう。
本発明の新規の特徴は、特許請求の範囲に述べる。しかしながら、本発明自体、ならびにその好適な使用形態、更に別の目的および利点は、例示的な実施形態の以下の詳細な説明を参照し、添付図面と関連付けて読むことによって、最も適切に理解されよう。
図1および2を参照すると、本発明が好適に用いられるクライアント−サーバ環境が図示されている。しかしながら、本発明は、通常のプロトコル使用に違反することなくヘッダ拡張を可能とする通信プロトコルを用いて、各クライアント−サーバ環境上で使用可能であることに留意すべきである。従って、本発明は、その好適な実施形態と共に、現在最も知られているHTTPプロトコルに関して記載し説明する。
HTTPプロトコル(HypertextTransfer Protocol)は、分散型システムのためのアプリケーション・レベルのプロトコルである。これは、ファイル(テキスト、グラフィック、画像、音声、映像、および他のマルチメディ・ファイル)を交換するための1組のルールである。いずれのウェブ・サーバ装置3も、HTTPデーモン(HTTP-daemon)、すなわち、いわゆるHTTPサーバ4を含む。これは、HTTP要求を待ち、それらが到着すると処理するように設計されたプログラムである。更に、各クライアント装置1は、ウェブ・ブラウザ、すなわち、いわゆるHTTPクライアント2を含む。これは、ウェブ・サーバ装置3に要求を送信する。ブラウザのユーザが、ウェブ・ファイルを開く(URLをタイプ入力する)か、またはハイパーテキスト・リンク上でクリックすることによって要求を入力すると、ブラウザはHTTP要求を構築し、それを、URLに指示されたインターネット・プロトコル・アドレスに送信する。宛先サーバ装置3におけるHTTPサーバ4は、この要求を受信し、処理した後に、要求されたファイルを戻す。別のクライアント・サーバ環境では、クライアント1は、ゲートウェイ、トンネル、またはプロキシ・サーバ5(図2を参照)を介して、サーバ3と通信を行う。
通常、HTTPは、TCP/IP(TransmissionControl Protocol/Internet Protocol)上で実行されるが、HTTPはTCP/IPに依存しない。
TCPは、情報パッケージ・レベルで他のインターネット・ポイントとメッセージを交換するための1組のルールを規定し、IPは、インターネット・アドレス・レベルでメッセージを送受信するための1組のルールを規定する。
HTTP要求ヘッダは、HTTP方法(GET、HEAD、POST等)、URI(Universal Resource Identifier)、プロトコル・バージョン、および任意の補足情報から成る。
HTTP応答は、要求の成功または失敗を示すステータス・ライン、応答における情報の記述(メタ情報)、および実際の情報要求から成る。
図3を参照すると、従来技術のHTTP要求ヘッダの基本構造が図示されている。各HTTP要求は、少なくとも1つのヘッダを含まなければならない。HTTP−Post要求のみが、ヘッダおよびボディ・データ(body data)を含む。以下の情報は、HTTP要求ヘッダに含まれると好ましいものである。
HTTP要求によってアクセスされるリソース(例えばファイル、サーブレット(servlet))
サーバのホストの名前(例えばwww.ibm.com)
ブラウザの名前およびバージョン(例えばNetscapeVersion 7.1)
クライアントのオペレーティング・システム(例えばWindows XP)
ブラウザが理解することができる文字セット(例えばiso−8859−1)
各HTTPヘッダは、HTTPプロトコルによって規定されずHTTPプロトコルを用いた既存のアプリケーションと競合しない補足情報を含む場合がある。これが意味することは、HTTPプロトコルを用い、補足情報を処理するように構成されていないアプリケーションは、その実行に割り込みをかけることなく、その補足情報を単に無視するということである。
図4を参照すると、本発明によるHTTP要求ヘッダの本発明の構造が図示されている。HTTP要求ヘッダには、本発明による以下の追加情報を含まなければならない。すなわち、公開鍵を含み、認証機関が署名したクライアント証明書と、HTTP要求ヘッダ、および利用可能な場合はHTTPボディ(Post)に対して計算されたデジタル署名と、である。
証明書およびデジタル署名は、サーバ上の特定のツールによって処理することができる。クライアント証明書は、公開鍵を特定の個人に結び付ける信頼できるサード・パーティによって分配されたドキュメントである。信頼できるパーティは、証明書に含まれる情報が有効であり正しいことを保証する。証明書は、509によって標準化されている。それらは、信頼できるサード・パーティのデジタル署名、公開鍵を所有する個人の名前、および公開鍵自体を含まなければならない。
図5から8を参照すると、クライアント証明書およびデジタル署名をHTTP要求ヘッダに挿入するための好適な実施形態が図示されている。
図5を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第1の実施形態が図示されている。クライアント・システム1は、署名機能を有するブラウザ2を含む。ブラウザ2は、HTTP要求ヘッダ12を発生し、ローカル・ファイル・システム上に安全に(セキュアに)保存されているクライアントの秘密鍵にアクセスし、HTTP要求ヘッダ12および利用可能な場合はボディに対して発生したハッシュ値を秘密鍵によって暗号化し、この結果デジタル署名18を得る。そのデジタル署名18は、公開鍵を含むクライアント証明書16と共に、HTTP要求ヘッダ12に挿入される。拡張したHTTP要求ヘッダ14はHTTPサーバ4に送信され、これが認証プロセスを開始する。認証コンポーネント6は、HTTPサーバの一部とするか、または別個のコンポーネントとすることができ、HTTP要求ヘッダからのクライアント証明書情報16を検証する。検証は、認証機関の証明書署名をチェックすることによって、またはこれをその認証データベース9に含まれる既知の証明書と比較することによって実行可能である。クライアント証明書16に含まれる公開鍵を用いて、HTTP要求ヘッダ12に含まれるデジタル署名18を復号し、この結果、クライアント1が計算したハッシュ値が得られる。同一のハッシュ・アルゴリズムを用いて、HTTP要求ヘッダ12、および、利用可能であればボディ上で、ハッシュ値を計算する。ハッシュ値が一致すれば、検証は完了し、認証は成功であり、アプリケーション8に対するアクセスが与えられる。
図6を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第2の実施形態が図示されている。ここで、ブラウザ2は、スマート・カード読み取り装置10を介してスマート・カード10と通信を行う機能を有する。ブラウザ2は、HTTP要求ヘッダを発生し、スマート・カード10との通信を確立し、そのセキュリティ・モジュール内に秘密鍵およびクライアント証明書を含むスマート・カード10は、HTTPヘッダ12および利用可能な場合はボディに対して発生したハッシュ値を秘密鍵によって暗号化し(デジタル署名)、デジタル署名18をクライアント証明書16と共にブラウザ2に戻す。そのデジタル署名18は、公開鍵を含むクライアント証明書16と共に、HTTP要求ヘッダ12に挿入される。拡張したHTTP要求ヘッダ14はHTTPサーバ4に送信され、これが、認証コンポーネントを用いることによって認証プロセスを開始する(図5の説明を参照)。
図7を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第3の実施形態が図示されている。第3の実施形態では、クライアント・システムは、独自の署名コンポーネント20を含む。このコンポーネントは、ブラウザ2と同じクライアント1上で動作するプロキシ・サーバとして機能する。ブラウザ2は、このプロキシ・サーバ20を用いるように構成されている。このため、ブラウザ2は、HTTP要求ヘッダ12を定期的に署名コンポーネント20に送信し、次いでコンポーネント20が、上述の実施形態と同様に、証明書16およびデジタル署名18を挿入する。拡張したHTTP要求ヘッダはHTTPサーバ4に送信され、これが、認証コンポーネントを用いることによって認証プロセスを開始する(図5の説明を参照)。
図8を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第4の実施形態が図示されている。この実施形態では、クライアント要求(1a/2a、1b/2b)は、挿入コンポーネント20を有するプロキシ・サーバ22を介してルーティングされる。挿入コンポーネント20は、秘密鍵およびそれらに関連する証明書を含む暗号化ハードウェア24と通信を行っており、このハードウェア24が、HTTP要求ヘッダ12および利用可能な場合はボディ上で発生したハッシュ値を秘密鍵によって暗号化し(デジタル署名)、デジタル署名18をクライアント証明書16と共に挿入コンポーネント20に戻し、このコンポーネント20がそれらをHTTP要求ヘッダ12に挿入する。拡張したHTTP要求ヘッダ14をHTTPサーバ4に送信し、これが、認証コンポーネントを用いることによって認証プロセスを開始する(図5の説明を参照)。
いずれにせよ、本発明はHTTPプロトコルにおいて追加のヘッダ・データを記述するので、ヘッダ内の追加データを処理することができる既存のクライアントおよびサーバのあらゆる組み合わせが、共に機能することができる。システムの1つが追加データを扱うことができない場合、全ては現在既知であるように機能する。
すでにインストールされている莫大な数のクライアント・ブラウザの既存のベースを維持するために、追加の署名ソフトウェアが、ローカル・クライアント装置上でプロキシ・コンポーネントとして機能することによって、HTTP拡張に対応することができる(図7を参照)。企業ネットワーク(例えばイントラネット)内では、これを中央プロキシ・サーバによって対応することも可能である(図7)。そして、ウェブ・ブラウザの将来のバージョンでは、その機能を内蔵することもあり得る(図5)。このように、徐々に新しいパラダイムへの移行が行われる可能性がある。
デジタル署名は、署名スマート・カードまたは他のいずれかの署名ハードウェアを用いて作成することができる。また、クライアント・コンピュータ上での暗号化鍵の保存を用いた純粋なソフトウェアによる解決策も、実施可能なものであろう。
図9は、本発明を用いたサーバ−クライアント通信環境の一例を示す。
この例では、ポータル・サーバ3を介してアプリケーション5にアクセスすることを仮定している。最新技術では、この状況に対応するために、ポータル・サーバ3およびアプリケーション・サーバ5によってアクセス可能なサーバ上にクライアントのアイデンティティ・データを保存する(例えばMicrosoft(登録商標)の.NETPassport)か、または、アプリケーション・サーバのためのアイデンティティ・データをポータル・サーバ3上に保存する必要がある。これらの手法は双方とも、ユーザがサード・パーティ・システム上に彼/彼女のデータを保存することを必要とし、これは多くのセキュリティ上の問題の影響を受けやすい。
図5〜8において説明したように、要求にデジタル署名を行うことによって、どのサーバもユーザ・データを保存する必要がなくなる。ポータル・サーバ3は、そのユーザ・データベース4に対して要求側のアイデンティティを調べ、要求をアプリケーション・サーバ5に渡し、このサーバ5がそのユーザ・データベース6を用いて同じことを実行可能である。クライアント1aは、ポータル・サーバ3を介してアプリケーション・サーバ5にアクセスし、クライアント1bは、直接アプリケーション・サーバ5にアクセスすることができる。アプリケーション・サーバ5は、それ自身のユーザ・データベース6を用いて、ユーザのためのプロファイル情報を検索することができる。
この手法は、もっと高度なセキュリティを提供する。なぜなら、アプリケーション・サーバ5は、ポータル・サーバ3を通過した要求のみを処理することを望んでも良いからである。この場合、ポータル・サーバ3は、要求を転送し、更にそれに署名する。これによって、アプリケーション・サーバ5は、そのサービスに対するアクセスを与えるまたは拒否するために、双方の署名を検証することができる。クライアント1aは、アプリケーション・サーバ5に対するアクセスを得るが、クライアント1bは対応されない。なぜなら、その要求はポータル・サーバ3を介していないからである。
図10を参照すると、本発明によるデータ認証フローが図示されている。
クライアントのブラウザは、サーバに対する要求を準備する(10)。本発明の好適な実施形態では、HTTP要求ヘッダの署名がオンに切り換わったか否かが調べられる(20)。切り替わっていない場合、クライアントのブラウザは、非署名の要求をサーバに送信し(40)、サーバは、署名が必要であるか否かを調べる(50)。署名が必要である場合、サーバは、エラー・メッセージをクライアントに送信する。署名が必要でない場合、サーバは所望の情報に対するアクセスを与える(60)。
署名がオンに切り換わった場合、クライアントのブラウザは、証明書およびデジタル署名をHTTP要求ヘッダに挿入し、そのHTTP要求ヘッダをサーバに送信する(30)。
HTTP要求ヘッダに余分なフィールドを追加することによって、サーバは、証明書から要求側のアイデンティティを検索することができる(認証)(35)。クライアント証明書は、要求側の名前および公開鍵を含む。
これは信頼できる機関によって署名されているので、サーバは、これが信頼できる機関によって発行された有効な証明書であると検証することができる。メッセージが本当に証明書の所有者によって送信されたことを、検証することができる。なぜなら、HTTP要求ヘッダ・データ上で計算され、証明書内に含まれる公開鍵を用いて検証可能なHTTP要求ヘッダ内のデジタル署名値を発生することができるのは、証明書に属する秘密鍵の所有者のみだからである。認証が成功した場合、サーバは、要求されたデータに対するアクセスを与える(60)。
図11、12を参照すると、本発明の認証プロセスとの比較と共に、従来技術の認証プロセスを用いて、ウェブ・ブラウザ(クライアント)とウェブ・サーバ(サーバ)との間で情報を交換する典型的な状況が図示されている。
例えば、買い物プロセスにおいて、特定のデータ転送動作によって注文を確認するまで(例えばHTTP Post)、クライアントは、オンライン・ショッピング・システムを表すサーバとの間で、データ(例えば一連のテキストもしくはhtmlページ、またはXMLのようなフォーマットしたデータのブロック)を送受信する。現在のアプリケーションにおいて、サーバは、このプロセスの間に、クライアントからユーザIDおよびパスワードを得るための要求を発行する。ユーザは、クライアント・アプリケーションによってそれらをサーバに送信する前に、手動でこれらのデータを供給しなければならない(図11を参照)。
本発明に対応するアプリケーション(図12を参照)では、クライアントは、デジタル署名によって、サーバに送信されるHTTP要求ヘッダ・データに署名する。サーバは、署名を調べることによって、容易にクライアントを識別する。従って、ユーザIDおよびパスワードを要求し供給する必要はない。なぜなら、送信される全てのデータ・アイテムは、ユーザのアイデンティティに関連付けられているからである。サーバは、このクライアントのための保存情報を検索し、この情報を、クライアントに送信するデータを準備する際に用いることができる(「パーソナライゼーション(personalization)」、プロファイル生成ページ)。パーソナライゼーションのために用いられるデータの例は、ユーザの住所(注文されたアイテムをどこに送るか)、ユーザの購入履歴、ユーザのショッピング・カート、過去のセッションの間に訪れたウェブ・ページ等である。
ユーザのアイデンティティを調べること(これはフロー中のいつでも実行可能である)によって、サーバは、ユーザが以前にこのサイトを訪れていないことを発見する場合がある。次いで、サーバは、好みおよび詳細なユーザ・データを指定するための要求を含むデータ(プロファイル生成ページ)を送信することができる。ユーザは、これらのデータを供給し、クライアント・アプリケーションは、これをサーバに送信し、サーバは、パーソナライゼーションに用いるこれらのデータをそのデータベースに保存する。
各データ転送が署名されているので、クライアントが最初のページを訪れるとすぐに、クライアントのユーザIDはサーバに知られる。従って、このプロセスの初期にパーソナライゼーションを行うことができる。
ユーザが、署名をオフに切り換えることを選択すると、サーバはこのことを認識し、署名をオフに切り換えることの指示を含むページを送信するか、または、その代わりに、従来のユーザID/パスワードの状況を用いることができる(図示せず)。
本発明が好適に用いられる従来技術のHTTP−クライアント−サーバ環境を示す。 本発明が好適に用いられる従来技術のHTTP−クライアント−サーバ環境を示す。 典型的な従来技術のHTTPヘッダの基本構造を示す。 証明書およびデジタル署名を有するHTTPヘッダの本発明の構造を示す。 証明書をデジタル署名と共にHTTP要求ヘッダに挿入し、結果として本発明の構造のHTTP要求ヘッダを得るための好適な実施形態を示す。 証明書をデジタル署名と共にHTTP要求ヘッダに挿入し、結果として本発明の構造のHTTP要求ヘッダを得るための好適な実施形態を示す。 証明書をデジタル署名と共にHTTP要求ヘッダに挿入し、結果として本発明の構造のHTTP要求ヘッダを得るための好適な実施形態を示す。 証明書をデジタル署名と共にHTTP要求ヘッダに挿入し、結果として本発明の構造のHTTP要求ヘッダを得るための好適な実施形態を示す。 本発明を用いたサーバ−クライアント通信環境の一例を示す。 本発明の構造のHTTP要求を用いた図1によるクライアント−サーバ環境における認証データ・フローの好適な実施形態を示す。 図12と共に、オンライン買い物トランザクション・プロセスの例に基づいて、本発明の認証プロセスの従来技術の認証プロセスとの比較を示す。 図11と共に、オンライン買い物トランザクション・プロセスの例に基づいて、本発明の認証プロセスの従来技術の認証プロセスとの比較を示す。

Claims (20)

  1. クライアント−サーバ環境においてクライアントを認証するための方法であって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアント側において、前記方法が、
    ヘッダ要求を発生するステップと、
    クライアント認証情報を前記ヘッダ要求に挿入し、前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、拡張ヘッダ要求を得るステップと、
    前記拡張ヘッダ要求をサーバに送信するステップと、
    認証が成功すると、前記サーバから情報を受信するステップと、
    を含む、方法。
  2. 前記通信プロトコルがHTTPプロトコルである、請求項1に記載の方法。
  3. 前記認証情報が、前記サーバとのセッションを確立するための最初のヘッダ要求に含まれている、請求項1に記載の方法。
  4. 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いてクライアント証明書を含む前記ヘッダ要求のハッシュ値に対して生成されたデジタル署名と、を含む、請求項1に記載の方法。
  5. 前記認証情報が、クライアントのブラウザによって前記ヘッダ要求に自動的に挿入される、請求項1に記載の方法。
  6. 前記クライアントのブラウザが、スマート・カード読み取り装置を介してスマート・カードから前記認証情報を受信する、請求項5に記載の方法。
  7. スマート・カード読み取り装置を介してスマート・カードから前記認証情報を受信するクライアントの署名コンポーネントによって、前記認証情報が前記ヘッダ要求に自動的に挿入される、請求項1に記載の方法。
  8. クライアント−サーバ環境においてクライアントを認証するための方法であって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアントと前記サーバとの間でシステムが通信を確立し、前記システムが、
    前記クライアントからヘッダ要求を受信するステップと、
    認証情報を前記ヘッダ要求に挿入し、前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、拡張ヘッダ要求(20)を得るステップと、
    前記拡張ヘッダ要求をサーバに送信するステップと、
    認証が成功すると、前記サーバから情報を受信するステップと、
    を含む、方法。
  9. 前記システムは、プロキシ・サーバ、ゲートウェイ、またはトンネルのいずれかである、請求項8に記載の方法。
  10. 前記通信プロトコルがHTTPプロトコルであり、前記認証情報が、署名コンポーネントから前記認証情報を受信する挿入コンポーネントによって前記HTTP要求ヘッダに自動的に挿入される、請求項8に記載の方法。
  11. 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いてクライアント証明書を含む前記ヘッダ要求全体に対して生成されたデジタル署名と、を含む、請求項8に記載の方法。
  12. クライアント−サーバ環境においてクライアントを認証するための方法であって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記サーバ側において、前記方法が、
    認証情報を含むクライアント・ヘッダ要求を受信するステップと、
    サーバ認証コンポーネントによって前記ヘッダ要求に含まれる前記認証情報の妥当性を確認するステップと、
    認証が成功すると、前記クライアントに情報を提供するステップと、
    を含む、方法。
  13. 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いて前記ヘッダ要求内容全体に対して生成されたデジタル署名と、を含む、請求項12に記載の方法。
  14. 前記通信プロトコルがHTTPプロトコルであり、前記サーバ認証コンポーネントが、
    前記クライアント証明書に含まれる前記公開鍵にアクセスするステップと、
    前記公開鍵によって前記HTTP要求ヘッダに含まれる前記デジタル署名を復号し、ハッシュ値を得るステップと、
    前記クライアントが用いたものと同じハッシュ・アルゴリズムを前記HTTP要求ヘッダに適用するステップと、
    双方のハッシュ値が一致すると、認証を成功と見なすステップと、
    を実行する、請求項12に記載の方法。
  15. クライアント−サーバ環境においてクライアントを認証するためのサーバ・システムであって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアントが前記ヘッダ要求における認証情報を前記サーバ・システムに提供し、前記サーバ・システムが、
    入来するクライアント・ヘッダ要求に含まれる前記認証情報を読み取り、前記クライアントから前記認証情報を要求することなく、前記認証情報の妥当性を確認する機能を有する認証コンポーネントを含む、サーバ・システム。
  16. クライアント−サーバ環境においてサーバ・システムによって認証されるクライアント・システムであって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアント・システムが、
    ブラウザと、
    前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、クライアント認証情報を前記ヘッダ要求に挿入するためのコンポーネントと、
    を含む、クライアント・システム。
  17. 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いて前記ヘッダ要求内容のハッシュ値に対して生成されたデジタル署名と、を含む、請求項16に記載のクライアント・システム。
  18. スマート・カード読み取り装置と、
    クライアントの秘密鍵、ならびにクライアントの名前および秘密鍵を含むクライアント証明書を含むセキュリティ・モジュールを有するスマート・カードと、
    を更に含み、前記スマート・カードが、前記証明書をデジタル署名と共に前記挿入コンポーネントに供給し、前記デジタル署名が、前記秘密鍵によって前記証明書情報を含む前記ヘッダ要求のハッシュ値を暗号化した結果として得られる、請求項16に記載のクライアント・システム。
  19. クライアント認証情報をサーバ・システムに供給するためのプロキシ・サーバ・システムであって、前記プロキシ・サーバ・システムが、クライアント・システムおよびサーバ・システムとの通信接続を有し、前記システム間で用いられる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記プロキシ・サーバ・システムが、
    前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、前記クライアントから受信した前記ヘッダ要求にクライアント証明書およびデジタル署名を挿入するためのプロキシ挿入コンポーネントと、
    デジタル署名を作成し、それを前記クライアント証明書と共に前記プロキシ挿入コンポーネントに供給するための署名コンポーネントと、
    を含む、プロキシ・サーバ・システム。
  20. デジタル・コンピュータの内部メモリに保存されるコンピュータ・プログラムであって、前記プログラムが前記コンピュータ上で実行された場合に、請求項1から14のいずれかに記載の方法を実行するためのソフトウエア・コード部分を含む、コンピュータ・プログラム。
JP2006518190A 2003-07-11 2004-05-19 クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 Pending JP2009514050A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03102111 2003-07-11
PCT/EP2004/050864 WO2005006703A2 (en) 2003-07-11 2004-05-19 System and method for authenticating clients in a client-server environment

Publications (1)

Publication Number Publication Date
JP2009514050A true JP2009514050A (ja) 2009-04-02

Family

ID=34042939

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006518190A Pending JP2009514050A (ja) 2003-07-11 2004-05-19 クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法

Country Status (9)

Country Link
US (1) US20060264202A1 (ja)
EP (1) EP1654852B1 (ja)
JP (1) JP2009514050A (ja)
KR (1) KR100856674B1 (ja)
CN (1) CN1820481B (ja)
AT (1) ATE391385T1 (ja)
DE (1) DE602004012870T2 (ja)
TW (1) TWI322609B (ja)
WO (1) WO2005006703A2 (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010515954A (ja) * 2007-01-16 2010-05-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 制御デバイス、再生デバイス、許可サーバ、制御デバイスの制御方法、再生デバイスの制御方法、及び許可サーバの制御方法
JP2012053871A (ja) * 2010-08-14 2012-03-15 Nielsen Co (Us) Llc モバイルインターネットアクティビティを監視するためのシステム、方法、及び装置
US8594617B2 (en) 2011-06-30 2013-11-26 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
JP2014506349A (ja) * 2010-12-08 2014-03-13 エリクソン テレビジョン インコーポレイテッド ビデオサービスの分散認証のためのシステム及び方法
US8886773B2 (en) 2010-08-14 2014-11-11 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
JP2015026391A (ja) * 2009-05-14 2015-02-05 マイクロソフト コーポレーション Httpベースの認証
US9124920B2 (en) 2011-06-29 2015-09-01 The Nielson Company (Us), Llc Methods, apparatus, and articles of manufacture to identify media presentation devices
JP5838248B1 (ja) * 2014-09-24 2016-01-06 株式会社 ディー・エヌ・エー ユーザに所定のサービスを提供するシステム及び方法
US9301173B2 (en) 2013-03-15 2016-03-29 The Nielsen Company (Us), Llc Methods and apparatus to credit internet usage
US9762688B2 (en) 2014-10-31 2017-09-12 The Nielsen Company (Us), Llc Methods and apparatus to improve usage crediting in mobile devices
JP2018518854A (ja) * 2015-03-16 2018-07-12 コンヴィーダ ワイヤレス, エルエルシー 公開キー機構を用いたサービス層におけるエンドツーエンド認証
US10356579B2 (en) 2013-03-15 2019-07-16 The Nielsen Company (Us), Llc Methods and apparatus to credit usage of mobile devices
US10601594B2 (en) 2014-10-31 2020-03-24 Convida Wireless, Llc End-to-end service layer authentication
US11423420B2 (en) 2015-02-06 2022-08-23 The Nielsen Company (Us), Llc Methods and apparatus to credit media presentations for online media distributions

Families Citing this family (111)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8372112B2 (en) * 2003-04-11 2013-02-12 St. Jude Medical, Cardiology Division, Inc. Closure devices, related delivery methods, and related methods of use
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US7853533B2 (en) * 2004-03-02 2010-12-14 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US20060010072A1 (en) * 2004-03-02 2006-01-12 Ori Eisen Method and system for identifying users and detecting fraud by use of the Internet
US10999298B2 (en) * 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US7877608B2 (en) * 2004-08-27 2011-01-25 At&T Intellectual Property I, L.P. Secure inter-process communications
GB0419479D0 (en) * 2004-09-02 2004-10-06 Cryptomathic Ltd Data certification methods and apparatus
US7526801B2 (en) * 2005-01-07 2009-04-28 Microsoft Corporation Bulk transmission of messages using a single HTTP request
US20060200566A1 (en) * 2005-03-07 2006-09-07 Ziebarth Wayne W Software proxy for securing web application business logic
JP2007011805A (ja) * 2005-06-30 2007-01-18 Toshiba Corp 通信装置及び通信方法
US20070072661A1 (en) * 2005-09-27 2007-03-29 Alexander Lototski Windows message protection
US7814538B2 (en) 2005-12-13 2010-10-12 Microsoft Corporation Two-way authentication using a combined code
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US7257291B1 (en) 2006-07-29 2007-08-14 Lucent Technologies Inc. Ultra-narrow bandpass filter
US8181227B2 (en) * 2006-08-29 2012-05-15 Akamai Technologies, Inc. System and method for client-side authenticaton for secure internet communications
DE102006044750A1 (de) * 2006-09-20 2008-04-10 Vodafone Holding Gmbh Übermittlung von authentifizierbaren Inhalten von einem Anbieterserver an ein mobiles Endgerät
US9055107B2 (en) * 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
US20080215998A1 (en) * 2006-12-07 2008-09-04 Moore Dennis B Widget launcher and briefcase
US8424058B2 (en) * 2006-12-07 2013-04-16 Sap Ag Security proxying for end-user applications
EP2115657A2 (fr) 2006-12-28 2009-11-11 France Telecom Procede et systeme d'autorisation d'acces a un serveur
JP5007564B2 (ja) * 2006-12-28 2012-08-22 株式会社ニコン 画像転送システム
US20080201338A1 (en) * 2007-02-16 2008-08-21 Microsoft Corporation Rest for entities
KR101434569B1 (ko) * 2007-04-06 2014-08-27 삼성전자 주식회사 홈 네트워크에서 보안 서비스를 제공하는 장치 및 방법
EP2184698A4 (en) * 2007-08-29 2014-02-26 Mitsubishi Electric Corp AUTHENTICATION TERMINAL AND NETWORK TERMINAL
US8353052B2 (en) * 2007-09-03 2013-01-08 Sony Mobile Communications Ab Providing services to a guest device in a personal network
US9060012B2 (en) * 2007-09-26 2015-06-16 The 41St Parameter, Inc. Methods and apparatus for detecting fraud with time based computer tags
US20090131089A1 (en) * 2007-11-16 2009-05-21 Anthony Micali Personal text trainer system for sound diets and fitness regimens
US20090210400A1 (en) * 2008-02-15 2009-08-20 Microsoft Corporation Translating Identifier in Request into Data Structure
CN101291299B (zh) * 2008-06-06 2011-04-06 腾讯科技(深圳)有限公司 即时通讯方法、系统及终端及生成发起其会话链接的方法
US9390384B2 (en) * 2008-07-01 2016-07-12 The 41 St Parameter, Inc. Systems and methods of sharing information through a tagless device consortium
KR101541911B1 (ko) * 2008-07-16 2015-08-06 삼성전자주식회사 사용자 인터페이스에서 보안 서비스를 제공하는 장치 및 방법
US8533675B2 (en) * 2009-02-02 2013-09-10 Enterpriseweb Llc Resource processing using an intermediary for context-based customization of interaction deliverables
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
KR101047994B1 (ko) * 2009-04-24 2011-07-13 플러스기술주식회사 네트워크 기반 단말인증 및 보안방법
US8751628B2 (en) 2009-05-05 2014-06-10 Suboti, Llc System and method for processing user interface events
US8832257B2 (en) * 2009-05-05 2014-09-09 Suboti, Llc System, method and computer readable medium for determining an event generator type
EP2273748A1 (en) * 2009-07-09 2011-01-12 Gemalto SA Method of managing an application embedded in a secured electronic token
JP5473471B2 (ja) * 2009-08-11 2014-04-16 キヤノン株式会社 通信システム、通信装置およびその制御方法
JP5326974B2 (ja) * 2009-09-30 2013-10-30 富士通株式会社 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム
KR100970786B1 (ko) * 2009-12-14 2010-07-16 제이콥스하우스 주식회사 서명암호화에 따른 보안서명 계약시스템 및 계약방법
JP5424940B2 (ja) * 2010-03-03 2014-02-26 キヤノン株式会社 ネットワーク装置、情報処理装置及びこれらの制御方法、並びにネットワークシステム、代理応答方法及びコンピュータプログラム
US8825745B2 (en) 2010-07-11 2014-09-02 Microsoft Corporation URL-facilitated access to spreadsheet elements
US9235843B2 (en) * 2010-09-27 2016-01-12 T-Mobile Usa, Inc. Insertion of user information into headers to enable targeted responses
KR101020470B1 (ko) 2010-09-29 2011-03-08 주식회사 엔피코어 네트워크 침입차단 방법 및 장치
US9361597B2 (en) 2010-10-19 2016-06-07 The 41St Parameter, Inc. Variable risk engine
US20120290833A1 (en) * 2011-05-12 2012-11-15 Sybase, Inc. Certificate Blobs for Single Sign On
CN103650452B (zh) * 2011-07-01 2016-11-02 瑞典爱立信有限公司 认证网络中的警报消息的方法和设备
KR101792885B1 (ko) * 2011-09-05 2017-11-02 주식회사 케이티 eUICC의 키정보 관리방법 및 그를 이용한 eUICC, MNO시스템, 프로비저닝 방법 및 MNO 변경 방법
EP2587715B1 (en) 2011-09-20 2017-01-04 BlackBerry Limited Assisted certificate enrollment
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
CN103166931A (zh) * 2011-12-15 2013-06-19 华为技术有限公司 一种安全传输数据方法,装置和系统
TWI468977B (zh) * 2012-02-17 2015-01-11 Qsan Technology Inc 認證系統、認證方法與網路儲存裝置
EP2629488B1 (en) 2012-02-17 2015-12-16 OSAN Technology Inc. Authentication system, authentication method, and network storage appliance
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9380038B2 (en) * 2012-03-09 2016-06-28 T-Mobile Usa, Inc. Bootstrap authentication framework
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US9137235B2 (en) * 2012-03-23 2015-09-15 Cloudpath Networks, Inc. System and method for providing a certificate based on list membeship
US20130275492A1 (en) * 2012-04-13 2013-10-17 Microsoft Corporation Enabling Web Clients to Provide Web Services
US20130282890A1 (en) * 2012-04-18 2013-10-24 Azuki Systems, Inc. In-stream collection of analytics information in a content delivery system
DE102012209445A1 (de) * 2012-06-05 2013-12-05 Robert Bosch Gmbh Verfahren und Kommunikationssystem zur sicheren Datenübertragung
WO2014022813A1 (en) 2012-08-02 2014-02-06 The 41St Parameter, Inc. Systems and methods for accessing records via derivative locators
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9853964B2 (en) 2012-11-27 2017-12-26 Robojar Pty Ltd System and method for authenticating the legitimacy of a request for a resource by a user
US20140165170A1 (en) * 2012-12-10 2014-06-12 Rawllin International Inc. Client side mobile authentication
JP6044323B2 (ja) * 2012-12-20 2016-12-14 富士通株式会社 不正メールの検知方法,その検知プログラム及びその検知装置
CN103051628B (zh) * 2012-12-21 2016-05-11 微梦创科网络科技(中国)有限公司 基于服务器获取认证令牌的方法及系统
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
GB2519516B (en) * 2013-10-21 2017-05-10 Openwave Mobility Inc A method, apparatus and computer program for modifying messages in a communications network
CN104717647B (zh) * 2013-12-13 2019-03-22 中国电信股份有限公司 业务能力鉴权方法、设备及系统
WO2016018383A1 (en) 2014-07-31 2016-02-04 Hewlett-Packard Development Company Live migration of data
WO2016036347A1 (en) 2014-09-02 2016-03-10 Hewlett Packard Enterprise Development Lp Serializing access to fault tolerant memory
CN104253813A (zh) * 2014-09-05 2014-12-31 国电南瑞科技股份有限公司 一种基于调变一体化系统远程维护的安全防护方法
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
WO2016064397A1 (en) 2014-10-23 2016-04-28 Hewlett Packard Enterprise Development Lp Admissions control of a device
US10594442B2 (en) 2014-10-24 2020-03-17 Hewlett Packard Enterprise Development Lp End-to-end negative acknowledgment
US10699031B2 (en) 2014-10-30 2020-06-30 Hewlett Packard Enterprise Development Lp Secure transactions in a memory fabric
WO2016068942A1 (en) 2014-10-30 2016-05-06 Hewlett Packard Enterprise Development Lp Encryption for transactions in a memory fabric
CN104394147B (zh) * 2014-11-26 2017-06-16 西安电子科技大学 在安卓系统的http协议中添加身份认证信息的方法
EP3251324B1 (en) 2015-01-26 2020-09-23 Mobile Iron, Inc. Secure access to cloud-based services
US10409681B2 (en) 2015-01-30 2019-09-10 Hewlett Packard Enterprise Development Lp Non-idempotent primitives in fault-tolerant memory
WO2016122642A1 (en) 2015-01-30 2016-08-04 Hewlett Packard Enterprise Development Lp Determine failed components in fault-tolerant memory
WO2016122610A1 (en) 2015-01-30 2016-08-04 Hewlett Packard Enterprise Development Lp Preventing data corruption and single point of failure in a fault-tolerant memory
WO2016159996A1 (en) 2015-03-31 2016-10-06 Hewlett Packard Enterprise Development Lp Preventing data corruption and single point of failure in fault-tolerant memory fabrics
US10574459B2 (en) * 2015-09-30 2020-02-25 Microsoft Technology Licensing, Llc Code signing service
US10432403B2 (en) * 2015-11-25 2019-10-01 Fenwal, Inc. Secure communication between infusion pump and server
CN111526152B (zh) * 2016-08-12 2022-02-11 创新先进技术有限公司 一种认证方法、设备以及认证客户端
US10193634B2 (en) 2016-09-19 2019-01-29 Hewlett Packard Enterprise Development Lp Optical driver circuits
TWI632799B (zh) * 2016-11-16 2018-08-11 黃冠寰 An accountable handshake data transfer protocol
US10966091B1 (en) * 2017-05-24 2021-03-30 Jonathan Grier Agile node isolation using packet level non-repudiation for mobile networks
US10389342B2 (en) 2017-06-28 2019-08-20 Hewlett Packard Enterprise Development Lp Comparator
US10587409B2 (en) 2017-11-30 2020-03-10 T-Mobile Usa, Inc. Authorization token including fine grain entitlements
US11438168B2 (en) * 2018-04-05 2022-09-06 T-Mobile Usa, Inc. Authentication token request with referred application instance public key
KR102303273B1 (ko) * 2018-05-16 2021-09-16 주식회사 케이티 개인 도메인 네임 서비스 방법 및 개인 도메인 네임을 이용한 접속 제어 방법과 시스템
CN109150821A (zh) * 2018-06-01 2019-01-04 成都通甲优博科技有限责任公司 基于超文本传输协议http的数据交互方法及系统
CN109388917B (zh) * 2018-10-12 2022-03-18 彩讯科技股份有限公司 硬件设备的鉴权方法、装置、设备及存储介质
US11164206B2 (en) * 2018-11-16 2021-11-02 Comenity Llc Automatically aggregating, evaluating, and providing a contextually relevant offer
TWI746920B (zh) * 2019-01-04 2021-11-21 臺灣網路認證股份有限公司 透過入口伺服器跨網域使用憑證進行認證之系統及方法
US20200274859A1 (en) 2019-02-22 2020-08-27 Beyond Identity Inc. User authentication system with self-signed certificate and identity verification with offline root certificate storage
CN109788002A (zh) * 2019-03-12 2019-05-21 北京首汽智行科技有限公司 一种Http请求加密、解密方法及系统
WO2021060855A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
CN110971506B (zh) * 2019-11-06 2021-12-28 厦门亿联网络技术股份有限公司 一种去中心化实时集群通讯方法、装置、设备及系统
CN113098824A (zh) * 2019-12-23 2021-07-09 中国移动通信集团山西有限公司 Cxf框架的请求报文传输方法、装置、系统、设备和介质
US11757635B2 (en) 2020-03-13 2023-09-12 Mavenir Networks, Inc. Client authentication and access token ownership validation
US11876778B2 (en) * 2020-04-05 2024-01-16 Raja Srinivasan Methods and systems of a secure and private customer service automation platform
EP4009602B1 (en) * 2020-12-07 2022-11-09 Siemens Healthcare GmbH Providing a first digital certificate and a dns response
CN112699374A (zh) * 2020-12-28 2021-04-23 山东鲁能软件技术有限公司 一种完整性校验漏洞安全防护的方法及系统
CN113179323B (zh) * 2021-04-29 2023-07-04 杭州迪普科技股份有限公司 用于负载均衡设备的https请求处理方法、装置及系统
CN113672957A (zh) * 2021-08-23 2021-11-19 平安国际智慧城市科技股份有限公司 埋点数据的处理方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000057112A (ja) * 1998-08-11 2000-02-25 Fuji Xerox Co Ltd ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム
JP2001350677A (ja) * 2000-06-06 2001-12-21 Hitachi Ltd メタ情報を利用した通信の監視,検査システムおよび通信の監視,検査方法、ならびにこれらの方法を記録した記録媒体
US20020133700A1 (en) * 2001-01-24 2002-09-19 Joel Maurin Method and system for communicating a certificate between a security module and a server
JP2003132030A (ja) * 2001-10-24 2003-05-09 Sony Corp 情報処理装置および方法、記録媒体、並びにプログラム
JP2004240596A (ja) * 2003-02-05 2004-08-26 Mitsubishi Electric Corp Webシステム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000049755A2 (en) * 1999-02-19 2000-08-24 Nokia Networks Oy Network arrangement for communication
US7343351B1 (en) * 1999-08-31 2008-03-11 American Express Travel Related Services Company, Inc. Methods and apparatus for conducting electronic transactions
US7231526B2 (en) * 2001-10-26 2007-06-12 Authenex, Inc. System and method for validating a network session
US7240366B2 (en) * 2002-05-17 2007-07-03 Microsoft Corporation End-to-end authentication of session initiation protocol messages using certificates
FI113924B (fi) * 2002-09-06 2004-06-30 Tellabs Oy Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000057112A (ja) * 1998-08-11 2000-02-25 Fuji Xerox Co Ltd ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム
JP2001350677A (ja) * 2000-06-06 2001-12-21 Hitachi Ltd メタ情報を利用した通信の監視,検査システムおよび通信の監視,検査方法、ならびにこれらの方法を記録した記録媒体
US20020133700A1 (en) * 2001-01-24 2002-09-19 Joel Maurin Method and system for communicating a certificate between a security module and a server
JP2003132030A (ja) * 2001-10-24 2003-05-09 Sony Corp 情報処理装置および方法、記録媒体、並びにプログラム
JP2004240596A (ja) * 2003-02-05 2004-08-26 Mitsubishi Electric Corp Webシステム

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010515954A (ja) * 2007-01-16 2010-05-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 制御デバイス、再生デバイス、許可サーバ、制御デバイスの制御方法、再生デバイスの制御方法、及び許可サーバの制御方法
JP2015026391A (ja) * 2009-05-14 2015-02-05 マイクロソフト コーポレーション Httpベースの認証
US11849001B2 (en) 2010-08-14 2023-12-19 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US9736136B2 (en) 2010-08-14 2017-08-15 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US8886773B2 (en) 2010-08-14 2014-11-11 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US8910259B2 (en) 2010-08-14 2014-12-09 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US11438429B2 (en) 2010-08-14 2022-09-06 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US10320925B2 (en) 2010-08-14 2019-06-11 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US10965765B2 (en) 2010-08-14 2021-03-30 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
JP2012053871A (ja) * 2010-08-14 2012-03-15 Nielsen Co (Us) Llc モバイルインターネットアクティビティを監視するためのシステム、方法、及び装置
JP2014506349A (ja) * 2010-12-08 2014-03-13 エリクソン テレビジョン インコーポレイテッド ビデオサービスの分散認証のためのシステム及び方法
US9124920B2 (en) 2011-06-29 2015-09-01 The Nielson Company (Us), Llc Methods, apparatus, and articles of manufacture to identify media presentation devices
US9712626B2 (en) 2011-06-29 2017-07-18 The Nielsen Company (Us), Llc Methods, apparatus, and articles of manufacture to identify media presentation devices
US9307418B2 (en) 2011-06-30 2016-04-05 The Nielson Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US8594617B2 (en) 2011-06-30 2013-11-26 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US9301173B2 (en) 2013-03-15 2016-03-29 The Nielsen Company (Us), Llc Methods and apparatus to credit internet usage
US11510037B2 (en) 2013-03-15 2022-11-22 The Nielsen Company (Us), Llc Methods and apparatus to credit usage of mobile devices
US10356579B2 (en) 2013-03-15 2019-07-16 The Nielsen Company (Us), Llc Methods and apparatus to credit usage of mobile devices
JP2016066845A (ja) * 2014-09-24 2016-04-28 株式会社 ディー・エヌ・エー ユーザに所定のサービスを提供するシステム及び方法
JP5838248B1 (ja) * 2014-09-24 2016-01-06 株式会社 ディー・エヌ・エー ユーザに所定のサービスを提供するシステム及び方法
US9762688B2 (en) 2014-10-31 2017-09-12 The Nielsen Company (Us), Llc Methods and apparatus to improve usage crediting in mobile devices
US10798192B2 (en) 2014-10-31 2020-10-06 The Nielsen Company (Us), Llc Methods and apparatus to improve usage crediting in mobile devices
US11418610B2 (en) 2014-10-31 2022-08-16 The Nielsen Company (Us), Llc Methods and apparatus to improve usage crediting in mobile devices
US10601594B2 (en) 2014-10-31 2020-03-24 Convida Wireless, Llc End-to-end service layer authentication
US10257297B2 (en) 2014-10-31 2019-04-09 The Nielsen Company (Us), Llc Methods and apparatus to improve usage crediting in mobile devices
US11671511B2 (en) 2014-10-31 2023-06-06 The Nielsen Company (Us), Llc Methods and apparatus to improve usage crediting in mobile devices
US11423420B2 (en) 2015-02-06 2022-08-23 The Nielsen Company (Us), Llc Methods and apparatus to credit media presentations for online media distributions
US10880294B2 (en) 2015-03-16 2020-12-29 Convida Wireless, Llc End-to-end authentication at the service layer using public keying mechanisms
JP2018518854A (ja) * 2015-03-16 2018-07-12 コンヴィーダ ワイヤレス, エルエルシー 公開キー機構を用いたサービス層におけるエンドツーエンド認証

Also Published As

Publication number Publication date
DE602004012870D1 (de) 2008-05-15
KR100856674B1 (ko) 2008-09-04
CN1820481A (zh) 2006-08-16
EP1654852B1 (en) 2008-04-02
WO2005006703A3 (en) 2005-03-24
US20060264202A1 (en) 2006-11-23
EP1654852A2 (en) 2006-05-10
TW200509641A (en) 2005-03-01
TWI322609B (en) 2010-03-21
ATE391385T1 (de) 2008-04-15
CN1820481B (zh) 2010-05-05
WO2005006703A2 (en) 2005-01-20
KR20060040661A (ko) 2006-05-10
DE602004012870T2 (de) 2009-05-14

Similar Documents

Publication Publication Date Title
KR100856674B1 (ko) 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법
US6895501B1 (en) Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure
US8340283B2 (en) Method and system for a PKI-based delegation process
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
US6766454B1 (en) System and method for using an authentication applet to identify and authenticate a user in a computer network
US7287271B1 (en) System and method for enabling secure access to services in a computer network
US7581244B2 (en) IMX session control and authentication
US7032110B1 (en) PKI-based client/server authentication
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
JP4886508B2 (ja) 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US20030065956A1 (en) Challenge-response data communication protocol
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
US20040139319A1 (en) Session ticket authentication scheme
JP2002523973A (ja) コンピュータ・ネットワークにおけるサービスへの安全なアクセスを可能にするシステムおよび方法
JP2005538434A (ja) 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム
US8566581B2 (en) Secure inter-process communications
WO2005069531A1 (en) Establishing a secure context for communicating messages between computer systems
EP2768178A1 (en) Method of privacy-preserving proof of reliability between three communicating parties
JP2005157845A (ja) サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100824

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110201