JP2009514050A - クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 - Google Patents
クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2009514050A JP2009514050A JP2006518190A JP2006518190A JP2009514050A JP 2009514050 A JP2009514050 A JP 2009514050A JP 2006518190 A JP2006518190 A JP 2006518190A JP 2006518190 A JP2006518190 A JP 2006518190A JP 2009514050 A JP2009514050 A JP 2009514050A
- Authority
- JP
- Japan
- Prior art keywords
- client
- server
- authentication information
- authentication
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
【課題】 HTTPプロトコルを変更することも不必要なネットワーク・トラヒックを生じることもない認証プロセスを提供する。
【解決手段】 本発明の考えは、既存のパスワード/ユーザIDに基づく認証プロセスの代わりに、新しいデジタル署名認証プロセスを用いることである。この新しいプロセスでは、好ましくは、宛先サーバが用いる認証プロセスとは独立して、クライアント認証情報によって第1のHTTP要求ヘッダを拡張し、サーバは認証情報を要求しない。認証情報は、好ましくは、クライアントの公開鍵を含み認証機関が署名したクライアント証明書、および、好ましくは、要求内で送信されるHTTP要求ヘッダ・データに対して計算され、クライアントの秘密鍵によって暗号化されたハッシュ値を含む。証明書およびデジタル署名は、クライアント・システム自体におけるHTTP要求ヘッダの作成中に追加することができ、または、ゲートウェイ、プロキシ、もしくはトンネルとして機能するサーバにおいて、後に追加することができる。新しいデジタル署名認証プロセスに対応しない宛先サーバは、単に、HTTP要求ヘッダにおける証明書およびデジタル署名を無視し、自動的に、それ自身の認証プロセスを開始する。本発明は、既存のデジタル署名認証プロセスを簡略化し、同時に、HTTPプロトコルを変更することも不必要なネットワーク・トラヒックを生じることもなく、異なる認証プロセスの共存を可能とする。
【選択図】 図5
【解決手段】 本発明の考えは、既存のパスワード/ユーザIDに基づく認証プロセスの代わりに、新しいデジタル署名認証プロセスを用いることである。この新しいプロセスでは、好ましくは、宛先サーバが用いる認証プロセスとは独立して、クライアント認証情報によって第1のHTTP要求ヘッダを拡張し、サーバは認証情報を要求しない。認証情報は、好ましくは、クライアントの公開鍵を含み認証機関が署名したクライアント証明書、および、好ましくは、要求内で送信されるHTTP要求ヘッダ・データに対して計算され、クライアントの秘密鍵によって暗号化されたハッシュ値を含む。証明書およびデジタル署名は、クライアント・システム自体におけるHTTP要求ヘッダの作成中に追加することができ、または、ゲートウェイ、プロキシ、もしくはトンネルとして機能するサーバにおいて、後に追加することができる。新しいデジタル署名認証プロセスに対応しない宛先サーバは、単に、HTTP要求ヘッダにおける証明書およびデジタル署名を無視し、自動的に、それ自身の認証プロセスを開始する。本発明は、既存のデジタル署名認証プロセスを簡略化し、同時に、HTTPプロトコルを変更することも不必要なネットワーク・トラヒックを生じることもなく、異なる認証プロセスの共存を可能とする。
【選択図】 図5
Description
本発明は、一般に認証に関し、具体的には、クライアント−サーバ環境における認証に関し、更に特定すれば、インターネットにおけるクライアントの認証に関する。
認証は、ある人またはある物が、本当に申告したとおりの人または物であるか否かを判定する手順である。私有または公共のコンピュータ・ネットワークにおいて、認証は通常、ログオン・パスワードを用いて行われる。典型的に、全てのサーバは、認証データを保存するために、それ自身のデータ持続性を維持する。従って、あるサーバ上でクライアントに利用可能なパスワードは、別のサーバ上の別のクライアントによってすでに阻止されている場合がある。このため、クライアントが記憶し維持しなければならない異なる認証セットの数が増えてしまう。異なるユーザ認証システムを有するいくつかのサーバ上に分散したアプリケーション(例えば、ポータル・サーバを介してアプリケーションにアクセスし、ポータル・サーバがそれ自身のユーザ・データベースを有する)では、クライアントは2回以上ログオンしなければならない。
シングル・サインオン(single signon)を可能とするための対策には、ポータル・サーバ上でアプリケーション・サーバのためにログオン・データを保存すること、または、Microsoft(登録商標)の.NETPassport(http://www.pasport.com)もしくはLiberty AllianceからのLiberty(http://www.projectliberty.org)のような集中ユーザ・データベースを用いること等の手法が含まれる。このためには、クライアントが個人データをサード・パーティ(third party)のサイト上に保存することを嫌がらないことが必要であり、この手法にはあらゆるデータ・セキュリティの問題が伴う。また、Passportサービスをダウンしなければならない場合、使用したいサイトが利用可能であるとしても、所望のサービスにログオンすることができない。
また、認証のためにユーザID/パスワード・セットを用いることは、結果として余分なネットワーク・トラフィックを生じるという欠点がある。クライアントの要求があると、サーバはそれに答えてログイン・データを求めなければならない。これが与えられてから初めて、最初に要求された情報がクライアントに返信される(以下の図11も参照)。
最後に、パスワードは、盗まれたり、誤って漏れてしまったり、または単に忘れてしまったりすることが多く起こり得る。
このため、インターネット・ビジネスおよび他の多くのトランザクションでは、もっと厳重な認証プロセスが必要とされている。公開鍵インフラの一部として認証機関(CA:Certificate Authority)によって発行され検証されたデジタル証明書(digital certificate)を用いることは、インターネット上で認証を行うための標準的な方法になると考えられている。
デジタル署名によって、受信側(サーバ)は、送信側(クライアント)のアイデンティティおよび発信元ならびにドキュメントの完全性を検証することができる。
デジタル署名は、非対称暗号アルゴリズムに基づいている。送信側の秘密鍵によって、ドキュメントに署名する。受信側は、信頼できるサード・パーティ(Trusted Third Party)によって与えられる送信側の公開鍵を取得し、受信したドキュメントの完全性を確認することができる。
デジタル署名手順を、すでに存在しているパスワード・ログオン・インフラに組み込むことは、例えば特定のセキュリティ・アプリケーションを有する追加のカード読み取り装置等、サーバ側およびクライアント側での大きな変更を必要とする。従って、かかる実施は、コストおよび時間において多くの労力を要し、結果として、新しいクライアント−サーバ・インフラのみがデジタル署名手順を用いることが好ましい。クライアント−サーバ環境において2つの認証手順が存在すると、宛先サーバがパスワード・ログオンまたはデジタル署名手順のどちらに対応しているのかをクライアントが最初に調べなければならないという欠点が生じる。その結果に応じて、クライアントは、サーバが対応している必要な認証プロセスを用いる。これによって、クライアントとサーバとの間で多くの不必要なネットワーク・トラフィックが生じる。なぜなら、サーバ・アプリケーション自体が最終的に認証のタイプを決定するからである。更に、現在のデジタル署名認証手順には、クライアントがその認証情報を提供可能となるまで、クライアントとサーバとの間で、クライアントとサーバとの間のいくつかの画面を交換しなければならないという欠点がある。これによって、多くの不必要なネットワーク・トラフィックが生じる。
これを発端として、本発明の目的は、上述の従来技術の欠点を回避して、クライアント−サーバ環境においてクライアントを認証するための方法およびシステムを提供することである。
本発明の考えは、既存のパスワード/ユーザIDに基づく認証プロセスの代わりに、新しいデジタル署名認証プロセスを用いることである。この新しいプロセスでは、好ましくは、宛先サーバが用いる認証プロセスとは独立して、クライアント認証情報によって第1のHTTP要求ヘッダを拡張し、サーバは認証情報を要求しない。認証情報は、好ましくは、クライアントの公開鍵を含み認証機関が署名したクライアント証明書、および、好ましくは、要求内で送信されるHTTP要求ヘッダ・データに対して計算され、クライアントの秘密鍵によって暗号化されたハッシュ値を含む。証明書およびデジタル署名は、クライアント・システム自体におけるHTTP要求ヘッダの作成中に追加することができ、または、ゲートウェイ、プロキシ、もしくはトンネルとして機能するサーバにおいて、後に追加することができる。
新しいデジタル署名認証プロセスに対応しない宛先サーバは、単に、HTTP要求ヘッダにおける証明書およびデジタル署名を無視し、自動的に、それ自身の認証プロセスを開始する。本発明は、既存のデジタル署名認証プロセスを簡略化し、同時に、HTTPプロトコルを変更することも不必要なネットワーク・トラフィックを生じることもなく、異なる認証プロセスの共存を可能とする。
本発明の上述および追加の目的、特徴、および利点は、以下の詳細な記載において明らかとなろう。
本発明の新規の特徴は、特許請求の範囲に述べる。しかしながら、本発明自体、ならびにその好適な使用形態、更に別の目的および利点は、例示的な実施形態の以下の詳細な説明を参照し、添付図面と関連付けて読むことによって、最も適切に理解されよう。
図1および2を参照すると、本発明が好適に用いられるクライアント−サーバ環境が図示されている。しかしながら、本発明は、通常のプロトコル使用に違反することなくヘッダ拡張を可能とする通信プロトコルを用いて、各クライアント−サーバ環境上で使用可能であることに留意すべきである。従って、本発明は、その好適な実施形態と共に、現在最も知られているHTTPプロトコルに関して記載し説明する。
HTTPプロトコル(HypertextTransfer Protocol)は、分散型システムのためのアプリケーション・レベルのプロトコルである。これは、ファイル(テキスト、グラフィック、画像、音声、映像、および他のマルチメディ・ファイル)を交換するための1組のルールである。いずれのウェブ・サーバ装置3も、HTTPデーモン(HTTP-daemon)、すなわち、いわゆるHTTPサーバ4を含む。これは、HTTP要求を待ち、それらが到着すると処理するように設計されたプログラムである。更に、各クライアント装置1は、ウェブ・ブラウザ、すなわち、いわゆるHTTPクライアント2を含む。これは、ウェブ・サーバ装置3に要求を送信する。ブラウザのユーザが、ウェブ・ファイルを開く(URLをタイプ入力する)か、またはハイパーテキスト・リンク上でクリックすることによって要求を入力すると、ブラウザはHTTP要求を構築し、それを、URLに指示されたインターネット・プロトコル・アドレスに送信する。宛先サーバ装置3におけるHTTPサーバ4は、この要求を受信し、処理した後に、要求されたファイルを戻す。別のクライアント・サーバ環境では、クライアント1は、ゲートウェイ、トンネル、またはプロキシ・サーバ5(図2を参照)を介して、サーバ3と通信を行う。
通常、HTTPは、TCP/IP(TransmissionControl Protocol/Internet Protocol)上で実行されるが、HTTPはTCP/IPに依存しない。
TCPは、情報パッケージ・レベルで他のインターネット・ポイントとメッセージを交換するための1組のルールを規定し、IPは、インターネット・アドレス・レベルでメッセージを送受信するための1組のルールを規定する。
HTTP要求ヘッダは、HTTP方法(GET、HEAD、POST等)、URI(Universal Resource Identifier)、プロトコル・バージョン、および任意の補足情報から成る。
HTTP応答は、要求の成功または失敗を示すステータス・ライン、応答における情報の記述(メタ情報)、および実際の情報要求から成る。
図3を参照すると、従来技術のHTTP要求ヘッダの基本構造が図示されている。各HTTP要求は、少なくとも1つのヘッダを含まなければならない。HTTP−Post要求のみが、ヘッダおよびボディ・データ(body data)を含む。以下の情報は、HTTP要求ヘッダに含まれると好ましいものである。
HTTP要求によってアクセスされるリソース(例えばファイル、サーブレット(servlet))
サーバのホストの名前(例えばwww.ibm.com)
ブラウザの名前およびバージョン(例えばNetscapeVersion 7.1)
クライアントのオペレーティング・システム(例えばWindows XP)
ブラウザが理解することができる文字セット(例えばiso−8859−1)
サーバのホストの名前(例えばwww.ibm.com)
ブラウザの名前およびバージョン(例えばNetscapeVersion 7.1)
クライアントのオペレーティング・システム(例えばWindows XP)
ブラウザが理解することができる文字セット(例えばiso−8859−1)
各HTTPヘッダは、HTTPプロトコルによって規定されずHTTPプロトコルを用いた既存のアプリケーションと競合しない補足情報を含む場合がある。これが意味することは、HTTPプロトコルを用い、補足情報を処理するように構成されていないアプリケーションは、その実行に割り込みをかけることなく、その補足情報を単に無視するということである。
図4を参照すると、本発明によるHTTP要求ヘッダの本発明の構造が図示されている。HTTP要求ヘッダには、本発明による以下の追加情報を含まなければならない。すなわち、公開鍵を含み、認証機関が署名したクライアント証明書と、HTTP要求ヘッダ、および利用可能な場合はHTTPボディ(Post)に対して計算されたデジタル署名と、である。
証明書およびデジタル署名は、サーバ上の特定のツールによって処理することができる。クライアント証明書は、公開鍵を特定の個人に結び付ける信頼できるサード・パーティによって分配されたドキュメントである。信頼できるパーティは、証明書に含まれる情報が有効であり正しいことを保証する。証明書は、509によって標準化されている。それらは、信頼できるサード・パーティのデジタル署名、公開鍵を所有する個人の名前、および公開鍵自体を含まなければならない。
図5から8を参照すると、クライアント証明書およびデジタル署名をHTTP要求ヘッダに挿入するための好適な実施形態が図示されている。
図5を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第1の実施形態が図示されている。クライアント・システム1は、署名機能を有するブラウザ2を含む。ブラウザ2は、HTTP要求ヘッダ12を発生し、ローカル・ファイル・システム上に安全に(セキュアに)保存されているクライアントの秘密鍵にアクセスし、HTTP要求ヘッダ12および利用可能な場合はボディに対して発生したハッシュ値を秘密鍵によって暗号化し、この結果デジタル署名18を得る。そのデジタル署名18は、公開鍵を含むクライアント証明書16と共に、HTTP要求ヘッダ12に挿入される。拡張したHTTP要求ヘッダ14はHTTPサーバ4に送信され、これが認証プロセスを開始する。認証コンポーネント6は、HTTPサーバの一部とするか、または別個のコンポーネントとすることができ、HTTP要求ヘッダからのクライアント証明書情報16を検証する。検証は、認証機関の証明書署名をチェックすることによって、またはこれをその認証データベース9に含まれる既知の証明書と比較することによって実行可能である。クライアント証明書16に含まれる公開鍵を用いて、HTTP要求ヘッダ12に含まれるデジタル署名18を復号し、この結果、クライアント1が計算したハッシュ値が得られる。同一のハッシュ・アルゴリズムを用いて、HTTP要求ヘッダ12、および、利用可能であればボディ上で、ハッシュ値を計算する。ハッシュ値が一致すれば、検証は完了し、認証は成功であり、アプリケーション8に対するアクセスが与えられる。
図6を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第2の実施形態が図示されている。ここで、ブラウザ2は、スマート・カード読み取り装置10を介してスマート・カード10と通信を行う機能を有する。ブラウザ2は、HTTP要求ヘッダを発生し、スマート・カード10との通信を確立し、そのセキュリティ・モジュール内に秘密鍵およびクライアント証明書を含むスマート・カード10は、HTTPヘッダ12および利用可能な場合はボディに対して発生したハッシュ値を秘密鍵によって暗号化し(デジタル署名)、デジタル署名18をクライアント証明書16と共にブラウザ2に戻す。そのデジタル署名18は、公開鍵を含むクライアント証明書16と共に、HTTP要求ヘッダ12に挿入される。拡張したHTTP要求ヘッダ14はHTTPサーバ4に送信され、これが、認証コンポーネントを用いることによって認証プロセスを開始する(図5の説明を参照)。
図7を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第3の実施形態が図示されている。第3の実施形態では、クライアント・システムは、独自の署名コンポーネント20を含む。このコンポーネントは、ブラウザ2と同じクライアント1上で動作するプロキシ・サーバとして機能する。ブラウザ2は、このプロキシ・サーバ20を用いるように構成されている。このため、ブラウザ2は、HTTP要求ヘッダ12を定期的に署名コンポーネント20に送信し、次いでコンポーネント20が、上述の実施形態と同様に、証明書16およびデジタル署名18を挿入する。拡張したHTTP要求ヘッダはHTTPサーバ4に送信され、これが、認証コンポーネントを用いることによって認証プロセスを開始する(図5の説明を参照)。
図8を参照すると、クライアント証明書16をデジタル署名18と共にHTTP要求ヘッダ12に挿入するための本発明の第4の実施形態が図示されている。この実施形態では、クライアント要求(1a/2a、1b/2b)は、挿入コンポーネント20を有するプロキシ・サーバ22を介してルーティングされる。挿入コンポーネント20は、秘密鍵およびそれらに関連する証明書を含む暗号化ハードウェア24と通信を行っており、このハードウェア24が、HTTP要求ヘッダ12および利用可能な場合はボディ上で発生したハッシュ値を秘密鍵によって暗号化し(デジタル署名)、デジタル署名18をクライアント証明書16と共に挿入コンポーネント20に戻し、このコンポーネント20がそれらをHTTP要求ヘッダ12に挿入する。拡張したHTTP要求ヘッダ14をHTTPサーバ4に送信し、これが、認証コンポーネントを用いることによって認証プロセスを開始する(図5の説明を参照)。
いずれにせよ、本発明はHTTPプロトコルにおいて追加のヘッダ・データを記述するので、ヘッダ内の追加データを処理することができる既存のクライアントおよびサーバのあらゆる組み合わせが、共に機能することができる。システムの1つが追加データを扱うことができない場合、全ては現在既知であるように機能する。
すでにインストールされている莫大な数のクライアント・ブラウザの既存のベースを維持するために、追加の署名ソフトウェアが、ローカル・クライアント装置上でプロキシ・コンポーネントとして機能することによって、HTTP拡張に対応することができる(図7を参照)。企業ネットワーク(例えばイントラネット)内では、これを中央プロキシ・サーバによって対応することも可能である(図7)。そして、ウェブ・ブラウザの将来のバージョンでは、その機能を内蔵することもあり得る(図5)。このように、徐々に新しいパラダイムへの移行が行われる可能性がある。
デジタル署名は、署名スマート・カードまたは他のいずれかの署名ハードウェアを用いて作成することができる。また、クライアント・コンピュータ上での暗号化鍵の保存を用いた純粋なソフトウェアによる解決策も、実施可能なものであろう。
図9は、本発明を用いたサーバ−クライアント通信環境の一例を示す。
この例では、ポータル・サーバ3を介してアプリケーション5にアクセスすることを仮定している。最新技術では、この状況に対応するために、ポータル・サーバ3およびアプリケーション・サーバ5によってアクセス可能なサーバ上にクライアントのアイデンティティ・データを保存する(例えばMicrosoft(登録商標)の.NETPassport)か、または、アプリケーション・サーバのためのアイデンティティ・データをポータル・サーバ3上に保存する必要がある。これらの手法は双方とも、ユーザがサード・パーティ・システム上に彼/彼女のデータを保存することを必要とし、これは多くのセキュリティ上の問題の影響を受けやすい。
図5〜8において説明したように、要求にデジタル署名を行うことによって、どのサーバもユーザ・データを保存する必要がなくなる。ポータル・サーバ3は、そのユーザ・データベース4に対して要求側のアイデンティティを調べ、要求をアプリケーション・サーバ5に渡し、このサーバ5がそのユーザ・データベース6を用いて同じことを実行可能である。クライアント1aは、ポータル・サーバ3を介してアプリケーション・サーバ5にアクセスし、クライアント1bは、直接アプリケーション・サーバ5にアクセスすることができる。アプリケーション・サーバ5は、それ自身のユーザ・データベース6を用いて、ユーザのためのプロファイル情報を検索することができる。
この手法は、もっと高度なセキュリティを提供する。なぜなら、アプリケーション・サーバ5は、ポータル・サーバ3を通過した要求のみを処理することを望んでも良いからである。この場合、ポータル・サーバ3は、要求を転送し、更にそれに署名する。これによって、アプリケーション・サーバ5は、そのサービスに対するアクセスを与えるまたは拒否するために、双方の署名を検証することができる。クライアント1aは、アプリケーション・サーバ5に対するアクセスを得るが、クライアント1bは対応されない。なぜなら、その要求はポータル・サーバ3を介していないからである。
図10を参照すると、本発明によるデータ認証フローが図示されている。
クライアントのブラウザは、サーバに対する要求を準備する(10)。本発明の好適な実施形態では、HTTP要求ヘッダの署名がオンに切り換わったか否かが調べられる(20)。切り替わっていない場合、クライアントのブラウザは、非署名の要求をサーバに送信し(40)、サーバは、署名が必要であるか否かを調べる(50)。署名が必要である場合、サーバは、エラー・メッセージをクライアントに送信する。署名が必要でない場合、サーバは所望の情報に対するアクセスを与える(60)。
署名がオンに切り換わった場合、クライアントのブラウザは、証明書およびデジタル署名をHTTP要求ヘッダに挿入し、そのHTTP要求ヘッダをサーバに送信する(30)。
HTTP要求ヘッダに余分なフィールドを追加することによって、サーバは、証明書から要求側のアイデンティティを検索することができる(認証)(35)。クライアント証明書は、要求側の名前および公開鍵を含む。
これは信頼できる機関によって署名されているので、サーバは、これが信頼できる機関によって発行された有効な証明書であると検証することができる。メッセージが本当に証明書の所有者によって送信されたことを、検証することができる。なぜなら、HTTP要求ヘッダ・データ上で計算され、証明書内に含まれる公開鍵を用いて検証可能なHTTP要求ヘッダ内のデジタル署名値を発生することができるのは、証明書に属する秘密鍵の所有者のみだからである。認証が成功した場合、サーバは、要求されたデータに対するアクセスを与える(60)。
図11、12を参照すると、本発明の認証プロセスとの比較と共に、従来技術の認証プロセスを用いて、ウェブ・ブラウザ(クライアント)とウェブ・サーバ(サーバ)との間で情報を交換する典型的な状況が図示されている。
例えば、買い物プロセスにおいて、特定のデータ転送動作によって注文を確認するまで(例えばHTTP Post)、クライアントは、オンライン・ショッピング・システムを表すサーバとの間で、データ(例えば一連のテキストもしくはhtmlページ、またはXMLのようなフォーマットしたデータのブロック)を送受信する。現在のアプリケーションにおいて、サーバは、このプロセスの間に、クライアントからユーザIDおよびパスワードを得るための要求を発行する。ユーザは、クライアント・アプリケーションによってそれらをサーバに送信する前に、手動でこれらのデータを供給しなければならない(図11を参照)。
本発明に対応するアプリケーション(図12を参照)では、クライアントは、デジタル署名によって、サーバに送信されるHTTP要求ヘッダ・データに署名する。サーバは、署名を調べることによって、容易にクライアントを識別する。従って、ユーザIDおよびパスワードを要求し供給する必要はない。なぜなら、送信される全てのデータ・アイテムは、ユーザのアイデンティティに関連付けられているからである。サーバは、このクライアントのための保存情報を検索し、この情報を、クライアントに送信するデータを準備する際に用いることができる(「パーソナライゼーション(personalization)」、プロファイル生成ページ)。パーソナライゼーションのために用いられるデータの例は、ユーザの住所(注文されたアイテムをどこに送るか)、ユーザの購入履歴、ユーザのショッピング・カート、過去のセッションの間に訪れたウェブ・ページ等である。
ユーザのアイデンティティを調べること(これはフロー中のいつでも実行可能である)によって、サーバは、ユーザが以前にこのサイトを訪れていないことを発見する場合がある。次いで、サーバは、好みおよび詳細なユーザ・データを指定するための要求を含むデータ(プロファイル生成ページ)を送信することができる。ユーザは、これらのデータを供給し、クライアント・アプリケーションは、これをサーバに送信し、サーバは、パーソナライゼーションに用いるこれらのデータをそのデータベースに保存する。
各データ転送が署名されているので、クライアントが最初のページを訪れるとすぐに、クライアントのユーザIDはサーバに知られる。従って、このプロセスの初期にパーソナライゼーションを行うことができる。
ユーザが、署名をオフに切り換えることを選択すると、サーバはこのことを認識し、署名をオフに切り換えることの指示を含むページを送信するか、または、その代わりに、従来のユーザID/パスワードの状況を用いることができる(図示せず)。
Claims (20)
- クライアント−サーバ環境においてクライアントを認証するための方法であって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアント側において、前記方法が、
ヘッダ要求を発生するステップと、
クライアント認証情報を前記ヘッダ要求に挿入し、前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、拡張ヘッダ要求を得るステップと、
前記拡張ヘッダ要求をサーバに送信するステップと、
認証が成功すると、前記サーバから情報を受信するステップと、
を含む、方法。 - 前記通信プロトコルがHTTPプロトコルである、請求項1に記載の方法。
- 前記認証情報が、前記サーバとのセッションを確立するための最初のヘッダ要求に含まれている、請求項1に記載の方法。
- 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いてクライアント証明書を含む前記ヘッダ要求のハッシュ値に対して生成されたデジタル署名と、を含む、請求項1に記載の方法。
- 前記認証情報が、クライアントのブラウザによって前記ヘッダ要求に自動的に挿入される、請求項1に記載の方法。
- 前記クライアントのブラウザが、スマート・カード読み取り装置を介してスマート・カードから前記認証情報を受信する、請求項5に記載の方法。
- スマート・カード読み取り装置を介してスマート・カードから前記認証情報を受信するクライアントの署名コンポーネントによって、前記認証情報が前記ヘッダ要求に自動的に挿入される、請求項1に記載の方法。
- クライアント−サーバ環境においてクライアントを認証するための方法であって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアントと前記サーバとの間でシステムが通信を確立し、前記システムが、
前記クライアントからヘッダ要求を受信するステップと、
認証情報を前記ヘッダ要求に挿入し、前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、拡張ヘッダ要求(20)を得るステップと、
前記拡張ヘッダ要求をサーバに送信するステップと、
認証が成功すると、前記サーバから情報を受信するステップと、
を含む、方法。 - 前記システムは、プロキシ・サーバ、ゲートウェイ、またはトンネルのいずれかである、請求項8に記載の方法。
- 前記通信プロトコルがHTTPプロトコルであり、前記認証情報が、署名コンポーネントから前記認証情報を受信する挿入コンポーネントによって前記HTTP要求ヘッダに自動的に挿入される、請求項8に記載の方法。
- 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いてクライアント証明書を含む前記ヘッダ要求全体に対して生成されたデジタル署名と、を含む、請求項8に記載の方法。
- クライアント−サーバ環境においてクライアントを認証するための方法であって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記サーバ側において、前記方法が、
認証情報を含むクライアント・ヘッダ要求を受信するステップと、
サーバ認証コンポーネントによって前記ヘッダ要求に含まれる前記認証情報の妥当性を確認するステップと、
認証が成功すると、前記クライアントに情報を提供するステップと、
を含む、方法。 - 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いて前記ヘッダ要求内容全体に対して生成されたデジタル署名と、を含む、請求項12に記載の方法。
- 前記通信プロトコルがHTTPプロトコルであり、前記サーバ認証コンポーネントが、
前記クライアント証明書に含まれる前記公開鍵にアクセスするステップと、
前記公開鍵によって前記HTTP要求ヘッダに含まれる前記デジタル署名を復号し、ハッシュ値を得るステップと、
前記クライアントが用いたものと同じハッシュ・アルゴリズムを前記HTTP要求ヘッダに適用するステップと、
双方のハッシュ値が一致すると、認証を成功と見なすステップと、
を実行する、請求項12に記載の方法。 - クライアント−サーバ環境においてクライアントを認証するためのサーバ・システムであって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアントが前記ヘッダ要求における認証情報を前記サーバ・システムに提供し、前記サーバ・システムが、
入来するクライアント・ヘッダ要求に含まれる前記認証情報を読み取り、前記クライアントから前記認証情報を要求することなく、前記認証情報の妥当性を確認する機能を有する認証コンポーネントを含む、サーバ・システム。 - クライアント−サーバ環境においてサーバ・システムによって認証されるクライアント・システムであって、前記クライアント−サーバ環境が用いる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記クライアント・システムが、
ブラウザと、
前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、クライアント認証情報を前記ヘッダ要求に挿入するためのコンポーネントと、
を含む、クライアント・システム。 - 前記認証情報が、クライアントの名前およびクライアントの公開鍵を含むクライアント証明書と、クライアントの秘密鍵を用いて前記ヘッダ要求内容のハッシュ値に対して生成されたデジタル署名と、を含む、請求項16に記載のクライアント・システム。
- スマート・カード読み取り装置と、
クライアントの秘密鍵、ならびにクライアントの名前および秘密鍵を含むクライアント証明書を含むセキュリティ・モジュールを有するスマート・カードと、
を更に含み、前記スマート・カードが、前記証明書をデジタル署名と共に前記挿入コンポーネントに供給し、前記デジタル署名が、前記秘密鍵によって前記証明書情報を含む前記ヘッダ要求のハッシュ値を暗号化した結果として得られる、請求項16に記載のクライアント・システム。 - クライアント認証情報をサーバ・システムに供給するためのプロキシ・サーバ・システムであって、前記プロキシ・サーバ・システムが、クライアント・システムおよびサーバ・システムとの通信接続を有し、前記システム間で用いられる通信プロトコルは、前記通信プロトコルに違反することなくヘッダ要求の拡張を可能とし、前記プロキシ・サーバ・システムが、
前記サーバが用いる認証プロセスとは独立して、サーバが認証情報を要求することなく、前記クライアントから受信した前記ヘッダ要求にクライアント証明書およびデジタル署名を挿入するためのプロキシ挿入コンポーネントと、
デジタル署名を作成し、それを前記クライアント証明書と共に前記プロキシ挿入コンポーネントに供給するための署名コンポーネントと、
を含む、プロキシ・サーバ・システム。 - デジタル・コンピュータの内部メモリに保存されるコンピュータ・プログラムであって、前記プログラムが前記コンピュータ上で実行された場合に、請求項1から14のいずれかに記載の方法を実行するためのソフトウエア・コード部分を含む、コンピュータ・プログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP03102111 | 2003-07-11 | ||
PCT/EP2004/050864 WO2005006703A2 (en) | 2003-07-11 | 2004-05-19 | System and method for authenticating clients in a client-server environment |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009514050A true JP2009514050A (ja) | 2009-04-02 |
Family
ID=34042939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006518190A Pending JP2009514050A (ja) | 2003-07-11 | 2004-05-19 | クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 |
Country Status (9)
Country | Link |
---|---|
US (1) | US20060264202A1 (ja) |
EP (1) | EP1654852B1 (ja) |
JP (1) | JP2009514050A (ja) |
KR (1) | KR100856674B1 (ja) |
CN (1) | CN1820481B (ja) |
AT (1) | ATE391385T1 (ja) |
DE (1) | DE602004012870T2 (ja) |
TW (1) | TWI322609B (ja) |
WO (1) | WO2005006703A2 (ja) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010515954A (ja) * | 2007-01-16 | 2010-05-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 制御デバイス、再生デバイス、許可サーバ、制御デバイスの制御方法、再生デバイスの制御方法、及び許可サーバの制御方法 |
JP2012053871A (ja) * | 2010-08-14 | 2012-03-15 | Nielsen Co (Us) Llc | モバイルインターネットアクティビティを監視するためのシステム、方法、及び装置 |
US8594617B2 (en) | 2011-06-30 | 2013-11-26 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
JP2014506349A (ja) * | 2010-12-08 | 2014-03-13 | エリクソン テレビジョン インコーポレイテッド | ビデオサービスの分散認証のためのシステム及び方法 |
US8886773B2 (en) | 2010-08-14 | 2014-11-11 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
JP2015026391A (ja) * | 2009-05-14 | 2015-02-05 | マイクロソフト コーポレーション | Httpベースの認証 |
US9124920B2 (en) | 2011-06-29 | 2015-09-01 | The Nielson Company (Us), Llc | Methods, apparatus, and articles of manufacture to identify media presentation devices |
JP5838248B1 (ja) * | 2014-09-24 | 2016-01-06 | 株式会社 ディー・エヌ・エー | ユーザに所定のサービスを提供するシステム及び方法 |
US9301173B2 (en) | 2013-03-15 | 2016-03-29 | The Nielsen Company (Us), Llc | Methods and apparatus to credit internet usage |
US9762688B2 (en) | 2014-10-31 | 2017-09-12 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
JP2018518854A (ja) * | 2015-03-16 | 2018-07-12 | コンヴィーダ ワイヤレス, エルエルシー | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
US10356579B2 (en) | 2013-03-15 | 2019-07-16 | The Nielsen Company (Us), Llc | Methods and apparatus to credit usage of mobile devices |
US10601594B2 (en) | 2014-10-31 | 2020-03-24 | Convida Wireless, Llc | End-to-end service layer authentication |
US11423420B2 (en) | 2015-02-06 | 2022-08-23 | The Nielsen Company (Us), Llc | Methods and apparatus to credit media presentations for online media distributions |
Families Citing this family (111)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8372112B2 (en) * | 2003-04-11 | 2013-02-12 | St. Jude Medical, Cardiology Division, Inc. | Closure devices, related delivery methods, and related methods of use |
US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
US7853533B2 (en) * | 2004-03-02 | 2010-12-14 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US20060010072A1 (en) * | 2004-03-02 | 2006-01-12 | Ori Eisen | Method and system for identifying users and detecting fraud by use of the Internet |
US10999298B2 (en) * | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US7877608B2 (en) * | 2004-08-27 | 2011-01-25 | At&T Intellectual Property I, L.P. | Secure inter-process communications |
GB0419479D0 (en) * | 2004-09-02 | 2004-10-06 | Cryptomathic Ltd | Data certification methods and apparatus |
US7526801B2 (en) * | 2005-01-07 | 2009-04-28 | Microsoft Corporation | Bulk transmission of messages using a single HTTP request |
US20060200566A1 (en) * | 2005-03-07 | 2006-09-07 | Ziebarth Wayne W | Software proxy for securing web application business logic |
JP2007011805A (ja) * | 2005-06-30 | 2007-01-18 | Toshiba Corp | 通信装置及び通信方法 |
US20070072661A1 (en) * | 2005-09-27 | 2007-03-29 | Alexander Lototski | Windows message protection |
US7814538B2 (en) | 2005-12-13 | 2010-10-12 | Microsoft Corporation | Two-way authentication using a combined code |
US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
US7257291B1 (en) | 2006-07-29 | 2007-08-14 | Lucent Technologies Inc. | Ultra-narrow bandpass filter |
US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
DE102006044750A1 (de) * | 2006-09-20 | 2008-04-10 | Vodafone Holding Gmbh | Übermittlung von authentifizierbaren Inhalten von einem Anbieterserver an ein mobiles Endgerät |
US9055107B2 (en) * | 2006-12-01 | 2015-06-09 | Microsoft Technology Licensing, Llc | Authentication delegation based on re-verification of cryptographic evidence |
US20080215998A1 (en) * | 2006-12-07 | 2008-09-04 | Moore Dennis B | Widget launcher and briefcase |
US8424058B2 (en) * | 2006-12-07 | 2013-04-16 | Sap Ag | Security proxying for end-user applications |
EP2115657A2 (fr) | 2006-12-28 | 2009-11-11 | France Telecom | Procede et systeme d'autorisation d'acces a un serveur |
JP5007564B2 (ja) * | 2006-12-28 | 2012-08-22 | 株式会社ニコン | 画像転送システム |
US20080201338A1 (en) * | 2007-02-16 | 2008-08-21 | Microsoft Corporation | Rest for entities |
KR101434569B1 (ko) * | 2007-04-06 | 2014-08-27 | 삼성전자 주식회사 | 홈 네트워크에서 보안 서비스를 제공하는 장치 및 방법 |
EP2184698A4 (en) * | 2007-08-29 | 2014-02-26 | Mitsubishi Electric Corp | AUTHENTICATION TERMINAL AND NETWORK TERMINAL |
US8353052B2 (en) * | 2007-09-03 | 2013-01-08 | Sony Mobile Communications Ab | Providing services to a guest device in a personal network |
US9060012B2 (en) * | 2007-09-26 | 2015-06-16 | The 41St Parameter, Inc. | Methods and apparatus for detecting fraud with time based computer tags |
US20090131089A1 (en) * | 2007-11-16 | 2009-05-21 | Anthony Micali | Personal text trainer system for sound diets and fitness regimens |
US20090210400A1 (en) * | 2008-02-15 | 2009-08-20 | Microsoft Corporation | Translating Identifier in Request into Data Structure |
CN101291299B (zh) * | 2008-06-06 | 2011-04-06 | 腾讯科技(深圳)有限公司 | 即时通讯方法、系统及终端及生成发起其会话链接的方法 |
US9390384B2 (en) * | 2008-07-01 | 2016-07-12 | The 41 St Parameter, Inc. | Systems and methods of sharing information through a tagless device consortium |
KR101541911B1 (ko) * | 2008-07-16 | 2015-08-06 | 삼성전자주식회사 | 사용자 인터페이스에서 보안 서비스를 제공하는 장치 및 방법 |
US8533675B2 (en) * | 2009-02-02 | 2013-09-10 | Enterpriseweb Llc | Resource processing using an intermediary for context-based customization of interaction deliverables |
US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
KR101047994B1 (ko) * | 2009-04-24 | 2011-07-13 | 플러스기술주식회사 | 네트워크 기반 단말인증 및 보안방법 |
US8751628B2 (en) | 2009-05-05 | 2014-06-10 | Suboti, Llc | System and method for processing user interface events |
US8832257B2 (en) * | 2009-05-05 | 2014-09-09 | Suboti, Llc | System, method and computer readable medium for determining an event generator type |
EP2273748A1 (en) * | 2009-07-09 | 2011-01-12 | Gemalto SA | Method of managing an application embedded in a secured electronic token |
JP5473471B2 (ja) * | 2009-08-11 | 2014-04-16 | キヤノン株式会社 | 通信システム、通信装置およびその制御方法 |
JP5326974B2 (ja) * | 2009-09-30 | 2013-10-30 | 富士通株式会社 | 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム |
KR100970786B1 (ko) * | 2009-12-14 | 2010-07-16 | 제이콥스하우스 주식회사 | 서명암호화에 따른 보안서명 계약시스템 및 계약방법 |
JP5424940B2 (ja) * | 2010-03-03 | 2014-02-26 | キヤノン株式会社 | ネットワーク装置、情報処理装置及びこれらの制御方法、並びにネットワークシステム、代理応答方法及びコンピュータプログラム |
US8825745B2 (en) | 2010-07-11 | 2014-09-02 | Microsoft Corporation | URL-facilitated access to spreadsheet elements |
US9235843B2 (en) * | 2010-09-27 | 2016-01-12 | T-Mobile Usa, Inc. | Insertion of user information into headers to enable targeted responses |
KR101020470B1 (ko) | 2010-09-29 | 2011-03-08 | 주식회사 엔피코어 | 네트워크 침입차단 방법 및 장치 |
US9361597B2 (en) | 2010-10-19 | 2016-06-07 | The 41St Parameter, Inc. | Variable risk engine |
US20120290833A1 (en) * | 2011-05-12 | 2012-11-15 | Sybase, Inc. | Certificate Blobs for Single Sign On |
CN103650452B (zh) * | 2011-07-01 | 2016-11-02 | 瑞典爱立信有限公司 | 认证网络中的警报消息的方法和设备 |
KR101792885B1 (ko) * | 2011-09-05 | 2017-11-02 | 주식회사 케이티 | eUICC의 키정보 관리방법 및 그를 이용한 eUICC, MNO시스템, 프로비저닝 방법 및 MNO 변경 방법 |
EP2587715B1 (en) | 2011-09-20 | 2017-01-04 | BlackBerry Limited | Assisted certificate enrollment |
US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
CN103166931A (zh) * | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
TWI468977B (zh) * | 2012-02-17 | 2015-01-11 | Qsan Technology Inc | 認證系統、認證方法與網路儲存裝置 |
EP2629488B1 (en) | 2012-02-17 | 2015-12-16 | OSAN Technology Inc. | Authentication system, authentication method, and network storage appliance |
US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
US9380038B2 (en) * | 2012-03-09 | 2016-06-28 | T-Mobile Usa, Inc. | Bootstrap authentication framework |
US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
US9137235B2 (en) * | 2012-03-23 | 2015-09-15 | Cloudpath Networks, Inc. | System and method for providing a certificate based on list membeship |
US20130275492A1 (en) * | 2012-04-13 | 2013-10-17 | Microsoft Corporation | Enabling Web Clients to Provide Web Services |
US20130282890A1 (en) * | 2012-04-18 | 2013-10-24 | Azuki Systems, Inc. | In-stream collection of analytics information in a content delivery system |
DE102012209445A1 (de) * | 2012-06-05 | 2013-12-05 | Robert Bosch Gmbh | Verfahren und Kommunikationssystem zur sicheren Datenübertragung |
WO2014022813A1 (en) | 2012-08-02 | 2014-02-06 | The 41St Parameter, Inc. | Systems and methods for accessing records via derivative locators |
WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
US9853964B2 (en) | 2012-11-27 | 2017-12-26 | Robojar Pty Ltd | System and method for authenticating the legitimacy of a request for a resource by a user |
US20140165170A1 (en) * | 2012-12-10 | 2014-06-12 | Rawllin International Inc. | Client side mobile authentication |
JP6044323B2 (ja) * | 2012-12-20 | 2016-12-14 | 富士通株式会社 | 不正メールの検知方法,その検知プログラム及びその検知装置 |
CN103051628B (zh) * | 2012-12-21 | 2016-05-11 | 微梦创科网络科技(中国)有限公司 | 基于服务器获取认证令牌的方法及系统 |
US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
GB2519516B (en) * | 2013-10-21 | 2017-05-10 | Openwave Mobility Inc | A method, apparatus and computer program for modifying messages in a communications network |
CN104717647B (zh) * | 2013-12-13 | 2019-03-22 | 中国电信股份有限公司 | 业务能力鉴权方法、设备及系统 |
WO2016018383A1 (en) | 2014-07-31 | 2016-02-04 | Hewlett-Packard Development Company | Live migration of data |
WO2016036347A1 (en) | 2014-09-02 | 2016-03-10 | Hewlett Packard Enterprise Development Lp | Serializing access to fault tolerant memory |
CN104253813A (zh) * | 2014-09-05 | 2014-12-31 | 国电南瑞科技股份有限公司 | 一种基于调变一体化系统远程维护的安全防护方法 |
US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
WO2016064397A1 (en) | 2014-10-23 | 2016-04-28 | Hewlett Packard Enterprise Development Lp | Admissions control of a device |
US10594442B2 (en) | 2014-10-24 | 2020-03-17 | Hewlett Packard Enterprise Development Lp | End-to-end negative acknowledgment |
US10699031B2 (en) | 2014-10-30 | 2020-06-30 | Hewlett Packard Enterprise Development Lp | Secure transactions in a memory fabric |
WO2016068942A1 (en) | 2014-10-30 | 2016-05-06 | Hewlett Packard Enterprise Development Lp | Encryption for transactions in a memory fabric |
CN104394147B (zh) * | 2014-11-26 | 2017-06-16 | 西安电子科技大学 | 在安卓系统的http协议中添加身份认证信息的方法 |
EP3251324B1 (en) | 2015-01-26 | 2020-09-23 | Mobile Iron, Inc. | Secure access to cloud-based services |
US10409681B2 (en) | 2015-01-30 | 2019-09-10 | Hewlett Packard Enterprise Development Lp | Non-idempotent primitives in fault-tolerant memory |
WO2016122642A1 (en) | 2015-01-30 | 2016-08-04 | Hewlett Packard Enterprise Development Lp | Determine failed components in fault-tolerant memory |
WO2016122610A1 (en) | 2015-01-30 | 2016-08-04 | Hewlett Packard Enterprise Development Lp | Preventing data corruption and single point of failure in a fault-tolerant memory |
WO2016159996A1 (en) | 2015-03-31 | 2016-10-06 | Hewlett Packard Enterprise Development Lp | Preventing data corruption and single point of failure in fault-tolerant memory fabrics |
US10574459B2 (en) * | 2015-09-30 | 2020-02-25 | Microsoft Technology Licensing, Llc | Code signing service |
US10432403B2 (en) * | 2015-11-25 | 2019-10-01 | Fenwal, Inc. | Secure communication between infusion pump and server |
CN111526152B (zh) * | 2016-08-12 | 2022-02-11 | 创新先进技术有限公司 | 一种认证方法、设备以及认证客户端 |
US10193634B2 (en) | 2016-09-19 | 2019-01-29 | Hewlett Packard Enterprise Development Lp | Optical driver circuits |
TWI632799B (zh) * | 2016-11-16 | 2018-08-11 | 黃冠寰 | An accountable handshake data transfer protocol |
US10966091B1 (en) * | 2017-05-24 | 2021-03-30 | Jonathan Grier | Agile node isolation using packet level non-repudiation for mobile networks |
US10389342B2 (en) | 2017-06-28 | 2019-08-20 | Hewlett Packard Enterprise Development Lp | Comparator |
US10587409B2 (en) | 2017-11-30 | 2020-03-10 | T-Mobile Usa, Inc. | Authorization token including fine grain entitlements |
US11438168B2 (en) * | 2018-04-05 | 2022-09-06 | T-Mobile Usa, Inc. | Authentication token request with referred application instance public key |
KR102303273B1 (ko) * | 2018-05-16 | 2021-09-16 | 주식회사 케이티 | 개인 도메인 네임 서비스 방법 및 개인 도메인 네임을 이용한 접속 제어 방법과 시스템 |
CN109150821A (zh) * | 2018-06-01 | 2019-01-04 | 成都通甲优博科技有限责任公司 | 基于超文本传输协议http的数据交互方法及系统 |
CN109388917B (zh) * | 2018-10-12 | 2022-03-18 | 彩讯科技股份有限公司 | 硬件设备的鉴权方法、装置、设备及存储介质 |
US11164206B2 (en) * | 2018-11-16 | 2021-11-02 | Comenity Llc | Automatically aggregating, evaluating, and providing a contextually relevant offer |
TWI746920B (zh) * | 2019-01-04 | 2021-11-21 | 臺灣網路認證股份有限公司 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
US20200274859A1 (en) | 2019-02-22 | 2020-08-27 | Beyond Identity Inc. | User authentication system with self-signed certificate and identity verification with offline root certificate storage |
CN109788002A (zh) * | 2019-03-12 | 2019-05-21 | 北京首汽智行科技有限公司 | 一种Http请求加密、解密方法及系统 |
WO2021060855A1 (ko) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법 |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
CN110971506B (zh) * | 2019-11-06 | 2021-12-28 | 厦门亿联网络技术股份有限公司 | 一种去中心化实时集群通讯方法、装置、设备及系统 |
CN113098824A (zh) * | 2019-12-23 | 2021-07-09 | 中国移动通信集团山西有限公司 | Cxf框架的请求报文传输方法、装置、系统、设备和介质 |
US11757635B2 (en) | 2020-03-13 | 2023-09-12 | Mavenir Networks, Inc. | Client authentication and access token ownership validation |
US11876778B2 (en) * | 2020-04-05 | 2024-01-16 | Raja Srinivasan | Methods and systems of a secure and private customer service automation platform |
EP4009602B1 (en) * | 2020-12-07 | 2022-11-09 | Siemens Healthcare GmbH | Providing a first digital certificate and a dns response |
CN112699374A (zh) * | 2020-12-28 | 2021-04-23 | 山东鲁能软件技术有限公司 | 一种完整性校验漏洞安全防护的方法及系统 |
CN113179323B (zh) * | 2021-04-29 | 2023-07-04 | 杭州迪普科技股份有限公司 | 用于负载均衡设备的https请求处理方法、装置及系统 |
CN113672957A (zh) * | 2021-08-23 | 2021-11-19 | 平安国际智慧城市科技股份有限公司 | 埋点数据的处理方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000057112A (ja) * | 1998-08-11 | 2000-02-25 | Fuji Xerox Co Ltd | ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム |
JP2001350677A (ja) * | 2000-06-06 | 2001-12-21 | Hitachi Ltd | メタ情報を利用した通信の監視,検査システムおよび通信の監視,検査方法、ならびにこれらの方法を記録した記録媒体 |
US20020133700A1 (en) * | 2001-01-24 | 2002-09-19 | Joel Maurin | Method and system for communicating a certificate between a security module and a server |
JP2003132030A (ja) * | 2001-10-24 | 2003-05-09 | Sony Corp | 情報処理装置および方法、記録媒体、並びにプログラム |
JP2004240596A (ja) * | 2003-02-05 | 2004-08-26 | Mitsubishi Electric Corp | Webシステム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000049755A2 (en) * | 1999-02-19 | 2000-08-24 | Nokia Networks Oy | Network arrangement for communication |
US7343351B1 (en) * | 1999-08-31 | 2008-03-11 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions |
US7231526B2 (en) * | 2001-10-26 | 2007-06-12 | Authenex, Inc. | System and method for validating a network session |
US7240366B2 (en) * | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
FI113924B (fi) * | 2002-09-06 | 2004-06-30 | Tellabs Oy | Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi |
-
2004
- 2004-05-19 EP EP04741609A patent/EP1654852B1/en not_active Not-in-force
- 2004-05-19 DE DE602004012870T patent/DE602004012870T2/de active Active
- 2004-05-19 WO PCT/EP2004/050864 patent/WO2005006703A2/en active IP Right Grant
- 2004-05-19 KR KR1020067000414A patent/KR100856674B1/ko not_active IP Right Cessation
- 2004-05-19 CN CN2004800197476A patent/CN1820481B/zh not_active Expired - Fee Related
- 2004-05-19 AT AT04741609T patent/ATE391385T1/de not_active IP Right Cessation
- 2004-05-19 US US10/564,177 patent/US20060264202A1/en not_active Abandoned
- 2004-05-19 JP JP2006518190A patent/JP2009514050A/ja active Pending
- 2004-06-28 TW TW093118837A patent/TWI322609B/zh not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000057112A (ja) * | 1998-08-11 | 2000-02-25 | Fuji Xerox Co Ltd | ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム |
JP2001350677A (ja) * | 2000-06-06 | 2001-12-21 | Hitachi Ltd | メタ情報を利用した通信の監視,検査システムおよび通信の監視,検査方法、ならびにこれらの方法を記録した記録媒体 |
US20020133700A1 (en) * | 2001-01-24 | 2002-09-19 | Joel Maurin | Method and system for communicating a certificate between a security module and a server |
JP2003132030A (ja) * | 2001-10-24 | 2003-05-09 | Sony Corp | 情報処理装置および方法、記録媒体、並びにプログラム |
JP2004240596A (ja) * | 2003-02-05 | 2004-08-26 | Mitsubishi Electric Corp | Webシステム |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010515954A (ja) * | 2007-01-16 | 2010-05-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 制御デバイス、再生デバイス、許可サーバ、制御デバイスの制御方法、再生デバイスの制御方法、及び許可サーバの制御方法 |
JP2015026391A (ja) * | 2009-05-14 | 2015-02-05 | マイクロソフト コーポレーション | Httpベースの認証 |
US11849001B2 (en) | 2010-08-14 | 2023-12-19 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US9736136B2 (en) | 2010-08-14 | 2017-08-15 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US8886773B2 (en) | 2010-08-14 | 2014-11-11 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US8910259B2 (en) | 2010-08-14 | 2014-12-09 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US11438429B2 (en) | 2010-08-14 | 2022-09-06 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US10320925B2 (en) | 2010-08-14 | 2019-06-11 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US10965765B2 (en) | 2010-08-14 | 2021-03-30 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
JP2012053871A (ja) * | 2010-08-14 | 2012-03-15 | Nielsen Co (Us) Llc | モバイルインターネットアクティビティを監視するためのシステム、方法、及び装置 |
JP2014506349A (ja) * | 2010-12-08 | 2014-03-13 | エリクソン テレビジョン インコーポレイテッド | ビデオサービスの分散認証のためのシステム及び方法 |
US9124920B2 (en) | 2011-06-29 | 2015-09-01 | The Nielson Company (Us), Llc | Methods, apparatus, and articles of manufacture to identify media presentation devices |
US9712626B2 (en) | 2011-06-29 | 2017-07-18 | The Nielsen Company (Us), Llc | Methods, apparatus, and articles of manufacture to identify media presentation devices |
US9307418B2 (en) | 2011-06-30 | 2016-04-05 | The Nielson Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US8594617B2 (en) | 2011-06-30 | 2013-11-26 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US9301173B2 (en) | 2013-03-15 | 2016-03-29 | The Nielsen Company (Us), Llc | Methods and apparatus to credit internet usage |
US11510037B2 (en) | 2013-03-15 | 2022-11-22 | The Nielsen Company (Us), Llc | Methods and apparatus to credit usage of mobile devices |
US10356579B2 (en) | 2013-03-15 | 2019-07-16 | The Nielsen Company (Us), Llc | Methods and apparatus to credit usage of mobile devices |
JP2016066845A (ja) * | 2014-09-24 | 2016-04-28 | 株式会社 ディー・エヌ・エー | ユーザに所定のサービスを提供するシステム及び方法 |
JP5838248B1 (ja) * | 2014-09-24 | 2016-01-06 | 株式会社 ディー・エヌ・エー | ユーザに所定のサービスを提供するシステム及び方法 |
US9762688B2 (en) | 2014-10-31 | 2017-09-12 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
US10798192B2 (en) | 2014-10-31 | 2020-10-06 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
US11418610B2 (en) | 2014-10-31 | 2022-08-16 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
US10601594B2 (en) | 2014-10-31 | 2020-03-24 | Convida Wireless, Llc | End-to-end service layer authentication |
US10257297B2 (en) | 2014-10-31 | 2019-04-09 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
US11671511B2 (en) | 2014-10-31 | 2023-06-06 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
US11423420B2 (en) | 2015-02-06 | 2022-08-23 | The Nielsen Company (Us), Llc | Methods and apparatus to credit media presentations for online media distributions |
US10880294B2 (en) | 2015-03-16 | 2020-12-29 | Convida Wireless, Llc | End-to-end authentication at the service layer using public keying mechanisms |
JP2018518854A (ja) * | 2015-03-16 | 2018-07-12 | コンヴィーダ ワイヤレス, エルエルシー | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
Also Published As
Publication number | Publication date |
---|---|
DE602004012870D1 (de) | 2008-05-15 |
KR100856674B1 (ko) | 2008-09-04 |
CN1820481A (zh) | 2006-08-16 |
EP1654852B1 (en) | 2008-04-02 |
WO2005006703A3 (en) | 2005-03-24 |
US20060264202A1 (en) | 2006-11-23 |
EP1654852A2 (en) | 2006-05-10 |
TW200509641A (en) | 2005-03-01 |
TWI322609B (en) | 2010-03-21 |
ATE391385T1 (de) | 2008-04-15 |
CN1820481B (zh) | 2010-05-05 |
WO2005006703A2 (en) | 2005-01-20 |
KR20060040661A (ko) | 2006-05-10 |
DE602004012870T2 (de) | 2009-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100856674B1 (ko) | 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법 | |
US6895501B1 (en) | Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure | |
US8340283B2 (en) | Method and system for a PKI-based delegation process | |
US7496755B2 (en) | Method and system for a single-sign-on operation providing grid access and network access | |
US8185938B2 (en) | Method and system for network single-sign-on using a public key certificate and an associated attribute certificate | |
US6766454B1 (en) | System and method for using an authentication applet to identify and authenticate a user in a computer network | |
US7287271B1 (en) | System and method for enabling secure access to services in a computer network | |
US7581244B2 (en) | IMX session control and authentication | |
US7032110B1 (en) | PKI-based client/server authentication | |
US7774612B1 (en) | Method and system for single signon for multiple remote sites of a computer network | |
JP4886508B2 (ja) | 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム | |
US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
US20030065956A1 (en) | Challenge-response data communication protocol | |
US20060294366A1 (en) | Method and system for establishing a secure connection based on an attribute certificate having user credentials | |
US20040139319A1 (en) | Session ticket authentication scheme | |
JP2002523973A (ja) | コンピュータ・ネットワークにおけるサービスへの安全なアクセスを可能にするシステムおよび方法 | |
JP2005538434A (ja) | 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム | |
US8566581B2 (en) | Secure inter-process communications | |
WO2005069531A1 (en) | Establishing a secure context for communicating messages between computer systems | |
EP2768178A1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
JP2005157845A (ja) | サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100824 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110201 |