BRPI0615053A2 - serviço de autenticação única distribuìdo - Google Patents

serviço de autenticação única distribuìdo Download PDF

Info

Publication number
BRPI0615053A2
BRPI0615053A2 BRPI0615053-5A BRPI0615053A BRPI0615053A2 BR PI0615053 A2 BRPI0615053 A2 BR PI0615053A2 BR PI0615053 A BRPI0615053 A BR PI0615053A BR PI0615053 A2 BRPI0615053 A2 BR PI0615053A2
Authority
BR
Brazil
Prior art keywords
authentication
service provider
key
client
computing device
Prior art date
Application number
BRPI0615053-5A
Other languages
English (en)
Inventor
Bin Zhu
Tierui Chen
Shipeng Li
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of BRPI0615053A2 publication Critical patent/BRPI0615053A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

SERVIçO DE AUTENTICAçAO úNICA DISTRIBUIDO As implementações descritas dizem respeito a estabelecer comunicação autenticada entre um dispositivo de computação de cliente e um provedor de serviço. Em uma imple mentação, uma vez que um procedimento de registro está completo, múltiplos servidores de autenticação são usados por um dispositivo de computação de cliente e por um provedor de serviço para facilitar o estabelecimento de uma sessão de comunicação autenticada. Entretanto, os servidores de autenticação não são necessariamente autoridades de confiança. Ou seja, os segredos dos vários dispositivos descritos não são revelados de um para o outro.

Description

"SERVIÇO DE AUTENTICAÇAO UNICA DISTRIBUÍDO"
ANTECEDENTES
Usuários em linha direta tipicamente têm que man-ter um conjunto de credenciais de autenticação (por exemplo,um nome de usuário e senha) para cada provedor de serviço emque eles estão habilitados para acesso. Estes usuários fre-qüentemente se defrontam com o dilema de usar diferentescredenciais de autenticação para cada provedor de serviçoindividual a fim de manter um alto nível de segurança, ouusar as mesmas credenciais de autenticação para os váriosprovedores de serviço resultando em um nível de segurançareduzido. Freqüentemente, a última é escolhida e não a pri-meira, já que é difícil memorizar e manter inúmeras creden-ciais de autenticação. Além do mais, com exceção das impli-cações de segurança, exigir dos usuários que é necessárioentrar com credenciais de autenticação a cada vez que aces-sarem um provedor de serviço é um procedimento de uma manei-ra geral inadequado e demorado.
Várias tecnologias convencionais têm sido propos-tas para aliviar ou eliminar a necessidade de manter múlti-plos conjuntos de credenciais de autenticação que forneçamacesso a vários serviços em linha direta. Uma tecnologia co-mo esta utiliza um gerenciamento de credencial centralizadoque fornece serviços de autenticação para provedores de ser-viço participantes. Depois que um usuário estabelece inici-almente uma relação e autentica com o gerenciamento de cre-dencial centralizado, o gerenciamento de credencial centra-lizado administra o processo de autenticação quando o usuá-rio subseqüentemente solicita acesso a qualquer um dos pro-vedores de serviço participantes. Esta tecnologia reduz deforma significativa a complexidade de ter que solicitar a-cesso a inúmeros provedores de serviço. 0 gerenciamento decredencial centralizado manuseia de forma transparente ospormenores de autenticação com vários provedores de serviçoparticipantes, ao mesmo tempo que um alto nível de segurançade usuário é mantido.
As tecnologias de gerenciamento de credencial cen-tralizado convencionais atuais não são adequadas para todosos ambientes em linha direta. Uma tecnologia de gerenciamen-to de credencial centralizado convencional exige que um usu-ário autentique com um servidor de autenticação. Depois daautenticação, o servidor de autenticação emite um ticket deautenticação para o usuário. 0 ticket de autenticação é usa-do pelo usuário para obter acesso a um servidor que emitetíquetes de acesso de serviço. 0 servidor emitirá um ticketde acesso de serviço para o usuário se o ticket de autenti-cação for válido. 0 usuário pode então usar o ticket de a-cesso a serviço para ganhar acesso a um provedor de serviço.
A tecnologia de gerenciamento de credencial cen-tralizado convencional descrita fornece funcionalidade deacesso seguro se os provedores de serviço forem mantidoscentralmente. Entretanto, acesso seguro aos provedores deserviço é comprometido se os provedores de serviço foremparte de uma rede tendo inúmeros usuários/entidades diferen-tes, tal como a Internet.
Uma outra tecnologia de autenticação convencionalusa uma base de dados centralizada que contém usuários e su-as credenciais de autenticação associadas registrados. Cadaum dos usuários registrados tem um exclusivo número ID de 64bits. Esta tecnologia de autenticação convencional tambématribui a cada provedor de serviço participante um ID exclu-sivo. Estes IDs exclusivos também são mantidos em uma basede dados centralizada. Os provedores de serviço participan-tes concordam em implementar um componente de servidor quefacilita comunicação segura com uma entidade administrandoas bases de dados centralizadas. Quando um usuário registra-do tenta autenticar com um provedor de serviço participante,o usuário é redirecionado de forma transparente para a enti-dade administradora para facilitar a autenticação. 0 caminhode comunicação seguro implementado entre o provedor de ser-viço participante e a entidade administradora ajuda a garan-tir a solicitação de autenticação consentida.
A tecnologia de autenticação discutida anterior-mente fornece autenticação baseada em rede segura. Entretan-to, a tecnologia não tem sido amplamente adotada pela comu-nidade Internet. Isto é principalmente por causa do recursode projeto de base de dados centralizada da tecnologia. Al-guns provedores de serviço não aprovam a tecnologia por cau-sa de bases de dados centrais serem usadas. Particularmente,um provedor de serviço deve contar com uma entidade adminis-trando as bases de dados centralizadas para assegurar auten-ticação de usuário bem-sucedida. Se a entidade experimentardificuldades técnicas, a autenticação de usuário pode serinterrompida. Esta possibilidade de interrupção, que não écontrolável pelo provedor de serviço, pode ser um risco queo provedor de serviço não está disposto a correr. Além dis-so, o uso de bases de dados centralizadas torna a tecnologiade autenticação especialmente propensa a ataques por hackerse programas mal intencionados.
SUMÁRIO
Implementações descritas neste documento dizemrespeito a estabelecer comunicação autenticada entre um dis-positivo de computação de cliente e um provedor de serviço.A comunicação torna-se possível sem o uso de uma autoridadeconfiável que retenha segredos de um dispositivo de computa-ção de cliente e de um provedor de serviço.
Depois de um processo de registro, um dispositivode computação de cliente usa servidores de autenticação parasolicitar comunicação autenticada com um provedor de servi-ço. O dispositivo de computação de cliente pode usar qual-quer conjunto de uma pluralidade de servidores de autentica-ção em que ele é registrado, onde o número de servidores noconjunto é maior ou igual a um valor limiar, para solicitarcomunicação autenticada com um provedor de serviço. 0 prove-dor de serviço também deve ser registrado com os servidoresde autenticação que o dispositivo de computação de clientepode usar para estabelecer comunicação autenticada.
Um dispositivo de computação de cliente pode envi-ar a um provedor de serviço uma solicitação de autenticaçãoque inclua seu ID identificador exclusivo e um sinal de au-tenticação criptografado que inclua o ID identificador ex-clusivo, um endereço de rede tal como endereço IP do dispo-sitivo e um identificador único. 0 sinal de autenticaçãocriptografado foi recebido em uma comunicação anterior comservidores de autenticação. Cada servidor de autenticaçãousou uma chave dividida, obtida do provedor de serviço com oqual o dispositivo de computação de cliente está desejandocomunicação autenticada, para criptografar e gerar um sinalde autenticação parcial. 0 provedor de serviço usa uma chavesecreta não revelada para descriptografar o sinal de auten-ticação, expondo assim a informação de autenticação cripto-grafada. Esta informação, juntamente com o ID identificadorexclusivo enviado, é usada pelo provedor de serviço para de-cidir se comunicação autenticada será autorizada.
Este Sumário é fornecido para introduzir uma sele-ção de conceitos em uma forma simplificada, os quais serãodescritos adicionalmente a seguir na Descrição Detalhada.Este Sumário não pretende identificar recursos chaves ou re-cursos essenciais da matéria em questão reivindicada, nem épretendido para ser usado como uma ajuda na determinação doescopo da matéria em questão reivindicada.
DESCRIÇÃO RESUMIDA DOS DESENHOS
Modalidades não limitativas e não exaustivas estãodescritas com referência às figuras seguintes, em que núme-ros de referência iguais se referem às partes iguais por to-das as várias vistas a não ser que especificado de outro mo-do.
A figura 1 ilustra uma implementação exemplar deum ambiente de rede de computador que inclui diversos dispo-sitivos de computação de cliente que podem se comunicar comum ou mais provedores de serviço.
A figura 2 ilustra uma implementação exemplar ondeum dispositivo de cliente solicita comunicação autenticadacom um provedor de serviço usando um procedimento de acessode provedor de serviço de dispositivo de cliente.
A figura 3 ilustra uma implementação exemplar ondeum provedor de serviço registra com um servidor de autenti-cação usando um procedimento de registro de provedor de ser-viço .
A figura 4 ilustra uma implementação exemplar ondeum dispositivo de computação de cliente registra com um ser-vidor de autenticação usando um procedimento de registro dedispositivo de cliente.
A figura 5 ilustra uma implementação exemplar ondeum dispositivo de computação de cliente autentica com servi-dor de autenticação usando um procedimento de registro dedispositivo de computação de cliente.
A figura 6 é um dispositivo de computação ilustra-tivo que pode ser usado para implementar um provedor de ser-viço.
A figura 7 é um dispositivo de computação ilustra-tivo que pode ser usado para implementar um dispositivo decomputação de cliente.
A figura 8 é um dispositivo de computação ilustra-tivo que pode ser usado para implementar um servidor de au-tenticação.
DESCRIÇÃO DETALHADAVista Geral
Estão descritos sistemas e métodos para autenticarcom um provedor de serviço. Na descrição seguinte, é forne-cida uma ampla discussão dos procedimentos utilizados entrecliente, provedor de serviço e dispositivos de autenticaçãopara estabelecer comunicação autenticada entre um dispositi-vo de computação de cliente e dispositivo de provedor deserviço. Esta discussão fará uso de um ambiente exemplar i-lustrado na figura 1. Implementações exemplares de váriosprocedimentos usados entre vários dispositivos estão entãodescritas com detalhes adicionais. Particularmente, uma dis-cussão detalhada de um procedimento usado por um dispositivode computação de cliente para obter acesso autenticado a umprovedor de serviço é fornecida em conjunto com a figura 2;uma discussão detalhada de um procedimento de registro deprovedor de serviço com um servidor de autenticação é forne-cida em conjunto com a figura 3; uma discussão detalhada deum procedimento de registro de dispositivo de computação decliente com um servidor de autenticação é fornecida em con-junto com a figura 4; e uma discussão detalhada de um proce-dimento de autenticação de dispositivo de computação de cli-ente com um servidor de autenticação é fornecida em conjuntocom a figura 5. Finalmente, implementações exemplares de umprovedor de serviço, dispositivo de computação de cliente eservidor de autenticação são discutidas em conjunto com asfiguras 6-8, respectivamente.
Ambiente Exemplar
A figura 1 ilustra uma implementação exemplar deum ambiente de rede de computador 100 que inclui diversosdispositivos de computação de cliente 102 (1)-102 (n) que po-dem se comunicar com um ou mais provedores de serviço104(1)-104(n). Comunicação bidirecional entre os dispositi-vos de computação de cliente 102(1)-102(n) e os provedoresde serviço 104 (1)-104 (n) é facilitada com uma rede 120 (porexemplo, a Internet). Os servidores de autenticação 106(1)-106 (n) também têm interface com a rede 120. Um ou mais ser-vidores de autenticação 106 trabalham conjuntamente parafornecer serviços de autenticação para os dispositivos decomputação de cliente 102(1)-102(n) e para os provedores deserviço 104(1)-104(n). Cada servidor de autenticação tem deuma maneira geral a mesma funcionalidade tal como um outroservidor de autenticação.
A qualquer hora, um dos diversos dispositivos decomputação de cliente 102(1)-102(η), tal como o dispositivode computação de cliente 102(1), pode exigir serviços forne-cidos por um dos provedores de serviço 104(1)-104(η), talcomo o provedor de serviço 104 (1) . Um subconjunto dos servi-dores de autenticação 106(1)-106(n) fornece tecnologia quepermite que o dispositivo de computação de cliente 102(1)autentique de forma apropriada com o provedor de serviço104(1). 0 provedor de serviço 104(1) não fornecerá de umamaneira geral serviços para qualquer um dos dispositivos decomputação de cliente 102(1)-102(n) até que autenticação a-propriada seja alcançada.
Cada um de o provedor de serviço 104(1) e o dispo-sitivo de computação de cliente 102(1) estabelece uma rela-ção com os servidores de autenticação 106 (1)-106 (n) antes desolicitar serviços de autenticação dos servidores 106(1)-106(n). Depois de o provedor de serviço 104(1) estabelecercontato inicial com os servidores de autenticação 106(1)-106(η) , um módulo de servidor 130 é fornecido para o prove-dor de serviço 104(1). Este módulo de servidor 130 forneceos parâmetros operacionais que o provedor de serviço 104(1)necessitará durante uma fase de registro de relação. 0 módu-lo de servidor 13 0 pode ser armazenado diretamente em umamemória, volátil ou não volátil, do provedor de serviço104(1). Se o provedor de serviço 104(1) compreender múlti-plos servidores (por exemplo, um conjunto de servidores), omódulo de servidor 13 0 pode ser armazenado em um servidorapropriado desses múltiplos servidores.
Depois de obter o módulo de servidor 130, o prove-dor de serviço 104(1) cria uma chave de encriptação secretae uma chave de decriptação secreta correspondente. A chavede encriptação secreta é dividida para criar chaves adicio-nais. Em uma implementação, a chave secreta é dividida usan-do-se um esquema limiar. Entretanto, outros esquemas de di-visão podem ser igualmente usados. Uma chave dividida é en-viada de forma segura para cada servidor de autenticação,tal como o 106(1), com um ID exclusivo que identifica o pro-vedor de serviço 104(1). 0 servidor de autenticação 106(1)envia uma resposta de sucesso para o provedor de serviço104(1) depois de a chave dividida e o ID exclusivo de prove-dor de serviço serem recebidos. A chave de decriptação se-creta permanece no provedor de serviço 104(1) e nunca é tor-nada pública para qualquer outra entidade tal como o servi-dor de autenticação 106(1). O módulo de servidor 130 forneceas rotinas para criar as chaves secretas e dividir a chavede encriptação secreta.
O dispositivo de computação de cliente 102(1) re-cebe um módulo de cliente 140. O módulo de cliente 140 podeser um módulo de conexão de navegador da Rede que integracom um navegador da Rede do dispositivo de computação decliente 102(1). O módulo de cliente 140 fornece os parâme-tros operacionais exigidos durante um procedimento de regis-tro de relação executado entre o dispositivo de computaçãode cliente 102(1) e cada servidor de autenticação 106 (i) . Omódulo de cliente 14 0 pode ser armazenado diretamente em umamemória, volátil ou não volátil, do dispositivo de computa-ção de cliente 102(1).
Depois de obter o módulo de cliente 140, o dispo-sitivo de computação de cliente 102(1) pode seguir para re-gistrar com cada servidor de autenticação 106(i). Isto deveser feito antes de o módulo de cliente 140 solicitar servi-ços de um ou mais dos provedores de serviço 104 (1)-104 (n) . 0processo de registro entre o módulo de cliente 14 0 e um ser-vidor de autenticação 106 (i) envolve usar o módulo de clien-te 140. Um usuário do dispositivo de computação de cliente102(1) utiliza o módulo de cliente 140, por meio de uma in-terface de usuário tal como um navegador da Rede associado,para entrar com um nome de usuário e uma senha exclusiva. 0módulo de cliente 140 gera um identificador de cliente ex-clusivo a partir do nome de usuário exclusivo. 0 módulo decliente 14 0 também gera uma chave de autenticação de clien-te, para o cliente autenticar para um servidor de autentica-ção 106 (i), a partir do nome de usuário exclusivo, senha ede um ID de servidor de autenticação que foi recebido com omódulo de cliente 140. Uma função de dispersão pode ser usa-da para criar a chave de autenticação de cliente. 0 módulode cliente 140 envia a chave de autenticação de cliente e oidentificador de cliente de forma segura para um servidor deautenticação 106 (i). Depois de receber e reter o identifica-dor de cliente e a chave de autenticação de cliente, o ser-vidor 106 (i) enviará uma mensagem de sucesso para o disposi-tivo de computação de cliente 102(1).
Depois de registrar com cada servidor de autenti-cação 106 (i), o dispositivo de computação de cliente 102(1)pode usar um subconjunto dos servidores de autenticação106(1)-106(n) para estabelecer comunicação autenticada comum dos provedores de serviço 104 (1)-104(n) que já tenha es-tabelecido uma relação com os servidores de autenticação106 (1)-106 (n) .
Antes de solicitar comunicação autenticada com umdos provedores de serviço 104(1)-104(η), o dispositivo decomputação de cliente 102 (1) autenticará com um subconjuntodos servidores de autenticação 106(1)-106(η), o qual forne-cerá serviços de autenticação para o dispositivo de computa-ção de cliente. Este procedimento de autenticação estabelecechaves de sessão usadas pelo dispositivo de computação decliente 102(1) e pelo subconjunto de servidor de autentica-ção 106(1)-106(n) para comunicações confidenciais subseqüen-tes.
Para autenticar, um usuário do dispositivo de com-putação de cliente 102(1) envia para cada servidor de auten-ticação 106 (i) no subconjunto uma solicitação de autentica-çã'o. A construção da solicitação de autenticação e o estabe-lecimento de uma chave de sessão são facilitados usando-se omódulo de cliente 140. Cada servidor de autenticação 106 (i)responde a uma solicitação de autenticação ao enviar para odispositivo de computação dè cliente 102(1) um identificadorúnico. O dispositivo de computação de cliente 102(1), emresposta, envia para o servidor de autenticação 106(i) o i-dentificador de cliente e o identificador único recebidocriptografado usando a chave de autenticação de cliente parao servidor de autenticação 106 (i) . A encriptação também in-clui um número aleatório de dispositivo de cliente e um i-dentificador único de dispositivo de cliente. 0 número alea-tório de dispositivo de cliente e o dispositivo de clientesão gerados pelo módulo de cliente 140. 0 identificador decliente e a chave de autenticação de cliente foram criadosdurante o processo de registro discutido anteriormente.
0 servidor de autenticação 106 (i) usa o identifi-cador de cliente para recuperar a chave de autenticação decliente que foi criada durante o processo de registro. Achave de autenticação de cliente recuperada é usada paradescriptografar o identificador único de servidor de auten-ticação criptografado, o número aleatório de dispositivo decliente e o identificador único de dispositivo de cliente.Se a decriptação for bem-sucedida e o identificador único deservidor de autenticação descriptografado casar com o iden-tificador único enviado para o cliente pelo servidor de au-tenticação em um processo precedente, o servidor de autenti-cação 106 (i) envia para o cliente 102(1) uma encriptação queinclui um número aleatório de servidor de autenticação gera-do no servidor 106, o identificador único e o identificadorúnico de dispositivo de cliente. Neste ponto, tanto o servi-dor 106 quanto o cliente 102(1) possuem os dois números ale-atórios. Uma função de dispersão é usada nos dois númerosaleatórios pelo servidor 106 (i) e pelo cliente 102(1) paracriar uma chave de sessão em ambas as extremidades. Estachave de sessão é usada para estabelecer um vínculo seguroentre o dispositivo de computação de cliente 102(1) e o ser-vidor de autenticação 106 (i), quando o dispositivo de compu-tação de cliente 102(1) usa o servidor de autenticação106 (i) no subconjunto de servidores de autenticação escolhi-dos para estabelecer comunicação autenticada com um dos pro-vedores de serviço 104(1)-104(n).
Depois de obter uma chave de sessão do servidor deautenticação 106 (i), o dispositivo de cliente 102(1) estápronto para solicitar comunicação autenticada com um prove-dor de serviço já registrado com os servidores de autentica-ção 106(1)-106(n) (por exemplo, o provedor de serviço104(1)). Esta solicitação começa no ponto em que o disposi-tivo de computação de cliente 102(1) envia uma solicitaçãode acesso para o provedor de serviço 104(1). 0 provedor deserviço 104(1) responde pelo envio de seu ID exclusivo e umdesafio (por exemplo, um identificador único de provedor deserviço) para o dispositivo de computação de cliente 102(1).Opcionalmente, o provedor de serviço 104(1) pode enviar umalista de servidores de autenticação com os quais ele já temregistrado para o dispositivo de computação de cliente102(1), de maneira que o cliente pode solicitar serviços deautenticação daqueles servidores. Se o cliente não tiver au-tenticado com os servidores de autenticação na lista, o cli-ente autentica com os servidores de autenticação na lista eestabelece uma chave de sessão para comunicação confidencialsubseqüente com cada um desses servidores de autenticação.
0 dispositivo de computação de cliente 102(1) estáagora pronto para entrar em contato com cada um dos servido-res de autenticação no subconjunto de servidores de autenti-cação, por exemplo, o servidor de autenticação 106 (i), paraestabelecer comunicação autenticada com o provedor de servi-ço 104(1). 0 dispositivo de computação de cliente 102(1) en-via para cada servidor de autenticação 106 (i) o ID exclusivode provedor de serviço e o identificador único de provedorde serviço. Opcionalmente, o dispositivo de computação decliente 102(1) também pode enviar o seu identificador decliente para o provedor de serviço de autenticação 104(1). 0servidor de autenticação 106 (i) também deve ter o identifi-cador de cliente do dispositivo de computação de cliente102 (1) e a chave de sessão retida na memória de comunicaçõesanteriores entre os dois dispositivos.
0 servidor de autenticação 106 (i) criptografa oidentificador de cliente, um endereço de rede tal como umendereço IP do dispositivo de computação de cliente 102(1),e o identificador único de provedor de serviço usando a cha-ve dividida recebida anteriormente do provedor de serviço104 (1) . Este processo cria um sinal de autenticação parcialque é transmitido para o dispositivo de computação de clien-te 102(1). 0 dispositivo de computação de cliente 102(1)cria um sinal de autenticação a partir dos sinais de auten-ticação parciais recebidos e empacota o sinal de autentica-ção com o seu identificador de cliente e envia o pacote parao provedor de serviço 104(1). 0 provedor de serviço 104(1)tentará descriptografar o sinal de autenticação criptografa-do usando a sua chave de decriptação secreta. Se a decripta-ção for bem-sucedida e o identificador único descriptografa-do casar com o identificador único enviado para o cliente emuma comunicação autenticada precedente, a comunicação auten-tiçada é bem-sucedida e acesso ao serviço do provedor deserviço é consentido. 0 provedor de serviço 104(1) notificao dispositivo de computação de cliente 102(1) se a comunica-ção autenticada está consentida.
As vantagens do procedimento de autenticação dis-cutido são pelo menos a seguinte. As chaves secretas do pro-vedor de serviço são conhecidas somente pelo provedor. Cer-tamente, servidores de autenticação não conhecem as chavessecretas e obter uma chave secreta do provedor de serviço éde uma maneira geral somente possível se conluio significa-tivo entre vários servidores de autenticação estiver paraocorrer. Em um lado de dispositivo de computação de cliente,uma senha do usuário nunca é usada diretamente durante oprocesso de autenticação. De fato, cada entidade no processode autenticação, dispositivos de computação de cliente eprovedores de serviço controlam seus próprios segredos. Istotorna o procedimento de autenticação descrito neste documen-to muito atrativo, já que a existência de uma autoridadeconfiável não é exigida. Autoridades confiáveis são usadascom muitas outras tecnologias de encriptação/autenticação(por exemplo, PKI) .
Acesso de Dispositivo de Cliente a Procedimento deProvedor de Serviço
A figura 2 ilustra uma implementação exemplar ondeo dispositivo de cliente 102 (1) solicita comunicação auten-ticada com o provedor de serviço 104(1) usando um procedi-mento de acesso de provedor de serviço de dispositivo decliente 200. A comunicação autenticada é facilitada usando-se subconjunto dos servidores de autenticação 106(1)-106(n).Uma tabela I fornece detalhes relacionados com as notaçõesusadas no texto que se segue.
Tabela I
SUm provedor de serviço participante.
UUm dispositivo de cliente participante.
AiO servidor de autenticação de número i.
UIDUm ID de cliente exclusivo para um participanteU.
SIDUm ID de provedor de serviço exclusivo para umprovedor de serviço participante S.
AIDiUm ID exclusivo para o servidor de autentica-ção de número i Ai.
KsUma chave de encriptação secreta gerada por Sconhecida somente por ele.
Ks'1 Uma chave de decriptação secreta correspondenteà Ks e conhecida somente por S.
K1s0 compartilhamento parcial de número i de Ks ge-rado por um esquema limiar.
KyUma chave de cliente secreta para U para auten-ticar para o servidor de autenticação de número i Ai.
P1, P2D01S números inteiros primos selecionados deforma apropriada, p2 > Pi.
GUm gerador em Ζ* , 2 < g ^ p± -2.
SKUr AiUma chave de sessão entre um usuário Ue oservidor de autenticação de nomeou i Ai.
* m sJcUma mensagem m criptografada por uma cifra si-métrica com uma chave k.
<m>;c'PSignifica mk mod ρ onde m DZp.
nxIdentificador único gerado pela entidade X.rxUm número aleatório gerado pela entidade X.[χ]χ é opcional na descrição de um protocolo. Col-chetes indicam parâmetros opcionais por toda a descrição.
0 procedimento começa quando o dispositivo de com-putação de cliente 102(1) envia para o provedor de serviço104(1) uma solicitação de acesso em uma comunicação 201. 0provedor de serviço 104(1) responde em uma comunicação 202com SID1 ns, [< g >rs,pi] , [uma lista de t servidores de auten-ticação {Adf , 1 < f < t}] , onde t é o limiar para o númerode servidores de autenticação necessário para fornecer ser-viços de autenticação. Uma vez que a comunicação 202 é rece-bida, o dispositivo de computação de cliente 102(1) enviaSID1 η3, [< g >r°'Pl], [UJD] para o servidor de autenticação106 em uma comunicação 204. 0 servidor de autenticação 106responde pelo envio de < UID1 U, ns, [< g >r<"Pl]> s ,p2 em umacomunicação 2 06, onde U é o identificador de rede do dispo-sitivo de computação de cliente 102(1) tal como o endereçoIP do cliente (Endereço IP). Os conteúdos da comunicação 206definem um sinal de autenticação parcial. 0 dispositivo decomputação de cliente 102 (1) usa os sinais de autenticaçãoparciais recebidos na comunicação 206 com os servidores deautenticação para criar um sinal de autenticação < UID, U,ns, [< g >r"'Pl] >Ks'p* que é empacotado juntamente com UID e [<ns >k] e enviado para o provedor de serviço 104(1), onde k= < g >rs'rf'pi. o provedor de serviço 104(1) usa a sua chave dedecriptação secreta Ks'1 para descriptografar o sinal de au-tenticação criptografado, onde
((UID, U1 ns, [<g>r°'pi])KnK;1=(UID,U,ns,[<g>ra-Pl])mod p2.
Baseado na decriptação acima e na informação adi-cional recebida com o sinal de autenticação, o provedor deserviço 104(1) enviará uma resposta de acesso de volta parao dispositivo de computação de cliente 102(1) em uma comuni-cação 210 indicando se acesso autenticado está consentido. 0uso opcional de um gerador (g) em Z* durante a comunicaçãoautenticada fornece um modo para gerar uma chave de sessãoque é usada para comunicação segura subseqüente entre o dis-positivo de computação de cliente 102(1) e o provedor deserviço 104(1) depois de a sessão autenticada ser estabelecida.As comunicações 2 04 e 2 06 são seguras usando umachave de sessão estabelecida entre o dispositivo de computa-ção de cliente 102(1) e um servidor de autenticação 106 (i).
Cada um de o dispositivo de computação de cliente 102(1) e oservidor de autenticação 106 (i) está de posse da chave desessão. As condições específicas de criar uma chave de ses-são como esta serão descritas mais tarde.
As várias comunicações discutidas são facilitadasusando-se os módulos de cliente e de servidor 140 e 130. En-tretanto, as várias comunicações e instruções podem ser exe-cutadas por qualquer dispositivo capacitado para executartais comunicações e instruções, fornecendo assim o acesso dedispositivo de cliente descrito a procedimento/método deprovedor de serviço.
Procedimento de Registro de Provedor de Serviço
A figura 3 ilustra uma implementação exemplar ondeo provedor de serviço 104(1) registra com o servidor de au-tenticação 106 (i) usando um procedimento de registro de pro-vedor de serviço 300. 0 procedimento de registro de provedorde serviço 300 é executado antes de um provedor de serviçopoder se beneficiar dos serviços de autenticação oferecidospor um servidor de autenticação. A tabela I anterior fornecedetalhes relacionados com as notações usadas no texto que sesegue.
Antes de o procedimento iniciar, o provedor deserviço 104(1) transfere e instala um módulo de servidor130. O módulo de servidor 130 nesta implementação fornece afuncionalidade que permite ao provedor de serviço 104(1)processar autenticação relacionada às solicitações e comuni-cações para o servidor de autenticação 106 (i) e a provenien-tes dele. O procedimento começa quando o provedor de serviço104(1) envia para o servidor de autenticação 106(i) uma co-municação 302 solicitando registro de provedor de serviço. 0servidor de autenticação 106 (i) responde com uma comunicação304 que informa o provedor de serviço 104(1) de que ele estápronto para aceitar registro.
O provedor de serviço 104(1) usa o módulo de ser-vidor 130 para completar o procedimento de registro de pro-vedor de serviço ilustrado na figura 3. O provedor de servi-ço 104(1) gera uma chave secreta Ks, 1 ^ Ks - P2 _ 2, e cal-cula Ks'1 de maneira tal que KS'1KS = KSKS'1> = 1 mod (p2 - 1) .A seguir, o provedor de serviço 104 (1) usa um esquema limiar(t, n) para dividir K3 em η compartilhamentos de chave divi-dida, Ki. 1 ^ i ^ n. Uma destas chaves divididas {K1s} e o
SID são enviados em uma comunicação segura 3 06 para cadaservidor de autenticação 106 (i). 0 servidor de autenticação106 (i) armazena a chave dividida K^ e o SID para usar duran-te o procedimento de acesso de provedor de serviço de dispo-sitivo de cliente 200 discutido em conexão com a figura 2.
Tendo recebido e armazenado a chave dividida K1s e o SID1 oservidor de autenticação 106 (i) envia para o provedor deserviço 104(1) uma resposta de sucesso em uma comunicação 308.
Várias comunicações discutidas são facilitadas u-sando-se o módulo de servidor 130. Entretanto, as várias co-municações e instruções podem ser executadas por qualquerdispositivo capacitado para executar tais comunicações einstruções, fornecendo assim o procedimento/método de regis-tro de provedor de serviço descrito.
Procedimento de Registro de Dispositivo de Cliente
A figura 4 ilustra uma implementação exemplar ondeo dispositivo de computação de cliente 102(1) registra comcada servidor de autenticação 106(i) usando um procedimentode registro de dispositivo de cliente 400. 0 procedimento deregistro de dispositivo de cliente 400 é executado antes deum dispositivo de computação de cliente poder se beneficiardos serviços de autenticação oferecidos por um servidor deautenticação. A tabela I anterior fornece detalhes relacio-nados com as notações usadas no texto que se segue.
Antes de o procedimento iniciar, o dispositivo decomputação de cliente 102 (1) transfere e instala um módulode cliente 140. O módulo de cliente 140 nesta implementaçãofornece a funcionalidade que permite ao dispositivo de com-putação de cliente 102(1) processar comunicações para cadaservidor de autenticação 106 (i) e proveniente deles. 0 pro-cedimento começa quando o dispositivo de computação de cli-ente 102(1) envia para o servidor de autenticação 106 (i) umacomunicação 402 solicitando registro de dispositivo de com-putação de cliente. 0 servidor de autenticação 106(i) res-ponde com uma comunicação 4 04 que informa o dispositivo decomputação de cliente 102 (1) de que ele está pronto para a-ceitar registro.
0 dispositivo de computação de cliente 102(1) usao módulo de cliente 140 para criar um ID de cliente exclusi-νο UID a partir de um nome de usuário fornecido como entradapor um usuário do dispositivo de computação de cliente102 (1) . 0 UID pode ser criado pela dispersão do nome de usu-ário, ou de partes de dispersão do nome de usuário. Um outroprocesso que cria um ID de cliente exclusivo UID a partir donome de usuário pode ser igualmente usado. 0 dispositivo decomputação de cliente 102(1) usa então o módulo de cliente14 0 para criar uma chave de cliente K1 = dispersão (Nome deUsuário, Senha, AIDi) , 1< i < η que será usada no procedimen-to de autenticação de dispositivo de computação de cliente500 com o servidor de autenticação 106 (i) mostrado na figura5. A chave de cliente pode ser criada igualmente usando so-mente o nome de usuário. 0 AID± identifica um servidor deautenticação de número i, neste caso o servidor de autenti-cação 106(i).
0 dispositivo de computação de cliente 102(1) en-via o UID, K1o, Ai, 1 < i < n, para o servidor de autentica-ção 106 (i) por meio de uma comunicação segura 406. 0 servi-dor de autenticação 106 retém o ID de cliente exclusivo UIDe a chave de cliente K1 para uso posterior. Particularmente,o servidor de autenticação usa o ID de cliente exclusivo UIDe a chave de cliente K1 quando o dispositivo de computaçãode cliente 102(1) faz uma solicitação para comunicação deautenticação com um provedor de serviço. 0 processo de au-tenticação com um provedor de serviço exigirá de uma maneirageral uma comunicação segura entre o dispositivo de computa-ção de cliente 102(1) e um servidor de autenticação 106 (i);o ID de cliente exclusivo UID e a chave de cliente Kf1 faci-litam a geração de uma chave de sessão usada com este propó-sito .
Várias comunicações discutidas são facilitadas u-sando-se o módulo de cliente 140. Entretanto, as várias co-municações e instruções podem ser executadas por qualquerdispositivo capacitado para executar tais comunicações einstruções, fornecendo assim o procedimento/método de regis-tro de dispositivo de computação de cliente descrito.
Procedimento de Autenticação de Dispositivo deCliente
A figura 5 ilustra uma implementação exemplar ondeo dispositivo de computação de cliente 102(1) autentica comum servidor de autenticação 106 (i) usando um procedimento deautenticação de dispositivo de computação de cliente 500. 0procedimento de autenticação de dispositivo de computação decliente 500 é executado para autenticar um dispositivo decomputação de cliente 102(1) com um servidor de autenticação106 (i) e para estabelecer uma chave de sessão que é usadapelo dispositivo de computação de cliente e pelo servidor deautenticação enquanto o dispositivo de cliente está tentandoestabelecer comunicações autenticadas com um provedor deserviço. A tabela I anterior fornece detalhes relacionadoscom as notações usadas no texto que se segue.
0 procedimento começa quando o dispositivo de com-putação de cliente 102 (1) envia para um servidor de autenti-cação 106 (i) uma comunicação 502 solicitando autenticação. 0servidor de autenticação 106 (i) responde com uma comunicação504 que inclui um identificador único nA . 0 dispositivo decomputação de cliente 102(1) responde, ajudado pelo módulode cliente 140, com uma comunicação 506 que inclui o ID decliente exclusivo UID e uma encriptação < ru, nU, nAi > Kiu . 0servidor de autenticação 106 (i) usará a chave de cliente K1urecebida em uma comunicação anterior para tentar descripto-grafar a encriptação < rUt ηυ, η, >. . Se a decriptação forbem-sucedida e o identificador único descriptografado casarcom o identificador único nA enviado para o cliente em umprocesso precedente, o servidor de autenticação 106 (i) enviapara o dispositivo de computação de cliente 102(1) uma comu-nicação 508 que inclui < rAi, , ηA, ηU > kiu, ou uma mensagem de fa-lha.
Neste ponto, tanto o dispositivo de computação decliente 102 (1) quanto o servidor de autenticação 106 têm osvalores de número aleatório ru, r, . Usando estes valores denúmero aleatório, tanto o dispositivo de computação de cli-ente 102(1) quanto o servidor de autenticação 106(i) compu-tam uma chave de sessão SKUA -dispersão(ru,rA ). Esta chave desessão ê usada quando o dispositivo de computação de cliente102 (1) faz contato com o servidor de autenticação 106 (i) pa-ra solicitar comunicação autenticada com um provedor de ser-viço. 0 uso da chave de sessão em conjunto com estabeleci-mento de comunicação autenticada com um provedor de serviçofoi discutido anteriormente neste documento de forma deta-lhada.
Várias comunicações discutidas são facilitadas u-sando-se o módulo de cliente 140. Entretanto, as várias co-municações e instruções podem ser executadas por qualquerdispositivo capacitado para executar tais comunicações einstruções, fornecendo assim o procedimento/método de auten-ticação de computação de cliente descrito.
Dispositivos de Computação Exemplares
As figuras 6-8 ilustram dispositivos de computaçãoexemplares que podem ser usados para implementar os procedi-mentos e métodos descritos. A figura 6 ilustra uma implemen-tação exemplar de um provedor de serviço 104(1); a figura 7ilustra uma implementação exemplar de um dispositivo de com-putação de cliente 102(1); e a figura 8 ilustra uma imple-mentação exemplar de um dispositivo de computação 800. Umservidor de autenticação, tal como o servidor de autentica-ção 106 (i), pode empregar os elementos operacionais descri-tos em conexão com o dispositivo de computação 800. Istotambém é verdadeiro para os dispositivos de computação decliente e provedores de serviço discutidos neste documento.
A figura 6 é um dispositivo de computação ilustra-tivo que pode ser usado para implementar um provedor de ser-viço 104(1). Em uma configuração muito básica, o dispositivode computação inclui pelo menos uma unidade de processamento604 e uma memória de sistema 606. Dependendo da configuraçãoexata e do tipo do dispositivo de computação 600, a memóriade sistema 606 pode ser volátil (tal como RAM), não volátil(tal como ROM, memória relâmpago, etc.) ou alguma combinaçãodas duas. A memória de sistema 606 tipicamente inclui umsistema de operação 608, um ou mais módulos de programa 610,e pode incluir os dados de programa 612. Pelo menos um dosmódulos de programa 610 inclui um módulo de servidor 130.O dispositivo de computação pode ter recursos oufuncionalidade adicionais. Por exemplo, o dispositivo decomputação também pode incluir dispositivos de armazenamentode dados adicionais (removíveis e/ou não removíveis) taiscomo, por exemplo, discos magnéticos, discos óticos, ou fi-ta. Mídias de armazenamento de computador podem incluir mí-dias voláteis e não voláteis, removíveis e não removíveisimplementadas em qualquer método ou tecnologia para armaze-namento de informação, tal como instruções legíveis por com-putador, estruturas de dados, módulos de programa, ou outrosdados. A memória de sistema 606 é um exemplo de mídia de ar-mazenamento de computador. Assim, mídias de armazenamento decomputador incluem, mas não se limitando a estas, RAM, ROM,EEPROM, memória relâmpago ou outra tecnologia de memória,CD-ROM, discos versáteis digitais (DVD) ou outro armazena-mento ótico, cassetes magnéticos, fita magnética, armazena-mento de disco magnético ou outros dispositivos de armazena-mento magnético, ou qualquer outra mídia que possa ser usadapara armazenar a informação desejada e que possa ser acessa-da pelo dispositivo de computação. Quaisquer tais mídias dearmazenamento de computador podem ser parte do dispositivo.
0 dispositivo de computação também pode ter dispositivo(s)de entrada tal(s) como teclado, mouse, caneta, dispositivode entrada por voz, dispositivo de entrada por toque, etc.
Dispositivo (s) de saída tal (s) como um mostrador, alto-falantes, impressora, etc. também pode(m) ser incluído(s).
Estes dispositivos são bem conhecidos na técnica e não ne-cessitam ser discutidos/ilustrados detalhadamente.O dispositivo de computação também pode conter umaconexão de comunicação que permita ao dispositivo se comuni-car com outros dispositivos de computação, tal como atravésde uma rede. Uma rede como esta é mostrada como a rede 120da figura 1. A(s) conexão (s) de comunicação é (são) um exem-plo de mídia de comunicação. Mídias de comunicação tipica-mente podem ser incorporadas pelas instruções legíveis porcomputador, estruturas de dados, módulos de programa, ou ou-tros dados em um sinal de dados modulado, tal como uma ondaportadora ou outro mecanismo de transporte, e incluem quais-quer mídias de entrega de informação. A expressão "sinal dedados modulado" significa um sinal que tenha uma ou mais dassuas características estabelecidas ou mudadas de uma tal ma-neira como para codificar informação no sinal. A título deexemplo, e não de limitação, mídias de comunicação incluemmídias a fio tais como uma rede com fio ou conexão diretacom fio, e mídias sem fio tais como acústica, RF, infraver-melho e outras mídias sem fio. Mídia legível por computadorpode ser qualquer mídia disponível que pode ser acessada porum computador. A título de exemplo, e não de limitação, mí-dias legíveis por computador podem compreender "mídias dearmazenamento de computador" e "mídias de comunicações".
Vários módulos e técnicas podem ser descritos nes-te documento no contexto geral de instruções executáveis porcomputador, tais como módulos de programa, executadas por umou mais computadores ou outros dispositivos. De uma maneirageral, módulos de programa incluem rotinas, programas, obje-tos, componentes, estruturas de dados, etc. para executartarefas particulares ou implementar tipos de dados abstratosparticulares. Estes módulos de programa e outros mais podemser executados como código nativo ou podem ser transferidose executados, tal como em uma máquina virtual ou outro ambi-ente de execução de compilação em tempo certo. Tipicamente,a funcionalidade dos módulos de programa pode ser combinadaou distribuída tal como desejado em várias modalidades. Umaimplementação destes módulos e técnicas pode ser armazenadaem mídias legíveis por computador ou transmitida através dealguma forma delas.
A figura 7 é um dispositivo de computação ilustra-tivo que pode ser usado para implementar um dispositivo decomputação de cliente 102(1). Em uma configuração muito bá-sica, o dispositivo de computação inclui pelo menos uma uni-dade de processamento 704 e uma memória de sistema 706. De-pendendo da configuração exata e do tipo do dispositivo decomputação 700, a memória de sistema 706 pode ser volátil(tal como RAM) , não volátil (tal como ROM7 memória relâmpa-go, etc.) ou alguma combinação das duas. A memória de siste-ma 706 tipicamente inclui um sistema de operação 708, um oumais módulos de programa 710, e pode incluir os dados deprograma 712. Pelo menos um dos módulos de programa 710 in-clui um módulo de cliente 140.
0 dispositivo de computação pode ter recursos oufuncionalidade adicionais. Por exemplo, o dispositivo decomputação também pode incluir dispositivos de armazenamentode dados adicionais (removíveis e/ou não removíveis) taiscomo, por exemplo, discos magnéticos, discos óticos, ou fi-ta. Mídias de armazenamento de computador podem incluir mí-dias voláteis e não voláteis, removíveis e não removíveisimplementadas em qualquer método ou tecnologia para armaze-namento de informação, tal como instruções legíveis por com-putador, estruturas de dados, módulos de programa, ou outrosdados. A memória de sistema 706 é um exemplo de mídia de ar-mazenamento de computador. Assim, mídias de armazenamento decomputador incluem, mas não se limitando a estas, RAM, ROMEEPROM, memória relâmpago ou outra tecnologia de memória,CD-ROM, discos versáteis digitais (DVD) ou outro armazena-mento ótico, cassetes magnéticos, fita magnética, armazena-mento de disco magnético ou outros dispositivos de armazena-mento magnético, ou qualquer outra mídia que possa ser usadapara armazenar a informação desejada e que possa ser acessa-da pelo dispositivo de computação. Quaisquer tais mídias dearmazenamento de computador podem ser parte do dispositivo.0 dispositivo de computação também pode ter dispositivo(s)de entrada tal(s) como teclado, mouse, caneta, dispositivode entrada por voz, dispositivo de entrada por toque, etc.Dispositivo (s) de saída tal(s) como um mostrador, alto-falantes, impressora, etc. também pode(m) ser incluído(s).Estes dispositivos são bem conhecidos na técnica e não ne-cessitam ser discutidos/ilustrados detalhadamente.
0 dispositivo de computação também pode conter umaconexão de comunicação que permita ao dispositivo se comuni-car com outros dispositivos de computação, tal como atravésde uma rede. Uma rede como esta é mostrada como a rede 120da figura 1. A(s) conexão(s) de comunicação é (são) um exem-pio de mídia de comunicação. Mídias de comunicação tipica-mente podem ser incorporadas pelas instruções legíveis porcomputador, estruturas de dados, módulos de programa, ou ou-tros dados em um sinal de dados modulado, tal como uma ondaportadora ou outro mecanismo de transporte, e incluem quais-quer mídias de entrega de informação. A expressão "sinal dedados modulado" significa um sinal que tenha uma ou mais dassuas características estabelecidas ou mudadas de uma tal ma-neira como para codificar informação no sinal. A título deexemplo, e não de limitação, mídias de comunicação incluemmídias a fio tais como uma rede com fio ou conexão diretacom fio, e mídias sem fio tais como acústica, RF, infraver-melho e outras mídias sem fio. Mídia legível por computadorpode ser qualquer mídia disponível que pode ser acessada porum computador. A título de exemplo, e não de limitação, mí-dias legíveis por computador podem compreender "mídias dearmazenamento de computador" e "mídias de comunicações".
Vários módulos e técnicas podem ser descritos nes-te documento no contexto geral de instruções executáveis porcomputador, tais como módulos de programa, executadas por umou mais computadores ou outros dispositivos. De uma maneirageral, módulos de programa incluem rotinas, programas, obje-tos, componentes, estruturas de dados, etc. para executartarefas particulares ou implementar tipos de dados abstratosparticulares. Estes módulos de programa e outros mais podemser executados como código nativo ou podem ser transferidose executados, tal como em uma máquina virtual ou outro ambi-ente de execução de compilação em tempo certo. Tipicamente,a funcionalidade dos módulos de programa pode ser combinadaou distribuída tal como desejado em várias modalidades. Umaimplementação destes módulos e técnicas pode ser armazenadaem alguma forma de mídia legível por computador ou transmi-tida através dela.
A figura 8 é um dispositivo de computação ilustra-tivo 800 que pode ser usado para implementar um servidor deautenticação, ou qualquer outro dispositivo de computaçãodescrito neste documento. Em uma configuração muito básica,o dispositivo de computação 800 inclui pelo menos uma unida-de de processamento 804 e uma memória de sistema 806. Depen-dendo da configuração exata e do tipo do dispositivo de com-putação 800, a memória de sistema 806 pode ser volátil (talcomo RAM) , não volátil (tal como ROM, memória relâmpago,etc.) ou alguma combinação das duas. A memória de sistema806 tipicamente inclui um sistema de operação 808, um oumais módulos de programa 810, e pode incluir os dados deprograma 812.
0 dispositivo de computação 800 pode ter recursosou funcionalidade adicionais. Por exemplo, o dispositivo decomputação 800 também pode incluir dispositivos de armazena-mento de dados adicionais (removíveis e/ou não removíveis)tais como, por exemplo, discos magnéticos, discos óticos, oufita. Tal armazenamento adicional está ilustrado na figura 8por um armazenamento removível 820 e por um armazenamentonão removível 822. Mídias de armazenamento de computador po-dem incluir mídias voláteis e não voláteis, removíveis e nãoremovíveis implementadas em qualquer método ou tecnologiapara armazenamento de informação, tal como instruções legí-veis por computador, estruturas de dados, módulos de progra-ma, ou outros dados. A memória de sistema 806, o armazena-mento removível 820 e o armazenamento não removível 822 sãotodos exemplos de mídias de armazenamento de computador. As-sim, mídias de armazenamento de computador incluem, mas nãose limitando a estas, RAM, ROM, EEPROM, memória relâmpago ououtra tecnologia de memória, CD-ROM, discos versáteis digi-tais (DVD) ou outro armazenamento ótico, cassetes magnéti-cos, fita magnética, armazenamento de disco magnético ou ou-tros dispositivos de armazenamento magnético, ou qualqueroutra mídia que possa ser usada para armazenar a informaçãodesejada e que possa ser acessada pelo dispositivo de compu-tação 800. Quaisquer tais mídias de armazenamento de compu-tador podem ser parte do dispositivo 800. 0 dispositivo decomputação 800 também pode ter um(s) dispositivo(s) de en-trada 824, tal(s) como teclado, mouse, caneta, dispositivode entrada por voz, dispositivo de entrada por toque, etc.Um (s) dispositivo(s) de saída 826 tal(s) como um mostrador,alto-falantes, impressora, etc. também pode(m) ser incluí-do (s). Estes dispositivos são bem conhecidos na técnica enão necessitam ser discutidos detalhadamente.
0 dispositivo de computação 800 também pode conteruma conexão de comunicação 828 que permita ao dispositivo secomunicar com outros dispositivos de computação 830, tal co-mo através de uma rede. Uma rede como esta é mostrada como arede 120 da figura 1. A(s) conexão (s) de comunicação 828é(são) um exemplo de mídia de comunicação. Mídias de comuni-cação tipicamente podem ser incorporadas pelas instruçõeslegíveis por computador, estruturas de dados, módulos deprograma, ou outros dados em um sinal de dados modulado, talcomo uma onda portadora ou outro mecanismo de transporte, eincluem quaisquer mídias de entrega de informação. A expres-são "sinal de dados modulado" significa um sinal que tenhauma ou mais das suas características estabelecidas ou muda-das de uma tal maneira como para codificar informação no si-nal. A título de exemplo, e não de limitação, mídias de co-municação incluem mídias a fio tais como uma rede com fio ouconexão direta com fio, e mídias sem fio tais como acústica,RF, infravermelho e outras mídias sem fio. Mídia legível porcomputador pode ser qualquer mídia disponível que pode seracessada por um computador. A título de exemplo, e não delimitação, mídias legíveis por computador podem compreender"mídias de armazenamento de computador" e "mídias de comuni-cações" .
Vários módulos e técnicas podem ser descritos nes-te documento no contexto geral de instruções executáveis porcomputador, tais como módulos de programa, executadas por umou mais computadores ou outros dispositivos. De uma maneirageral, módulos de programa incluem rotinas, programas, obje-tos, componentes, estruturas de dados, etc. para executartarefas particulares ou implementar tipos de dados abstratosparticulares. Estes módulos de programa e outros mais podemser executados como código nativo ou podem ser transferidose executados, tal como em uma máquina virtual ou outro ambi-ente de execução de compilação em tempo certo. Tipicamente,a funcionalidade dos módulos de programa pode ser combinadaou distribuída tal como desejado em várias modalidades. Umaimplementação destes módulos e técnicas pode ser armazenadaem alguma forma de mídia legível por computador ou transmi-tida através dela.
Embora modalidades de exemplo tenham sido ilustra-das e descritas, deve ser entendido que a invenção não estálimitada à configuração e recursos precisos descritos ante-riormente. Várias modificações, alterações e variações apa-rentes para os versados na técnica podem ser feitas no ar-ranjo, operação e detalhes das modalidades reveladas nestedocumento sem fugir do escopo da invenção reivindicada.

Claims (20)

1. Método, CARACTERIZADO pelo fato de que compre-ende :receber uma solicitação de autenticação (208) queinclui pelo menos um identificador de cliente e um sinal deautenticação criptografado derivado de uma pluralidade desinais de autenticação parciais;tentar descriptografar o sinal de autenticaçãocriptografado usando uma chave secreta; econsentir comunicação autenticada se decriptaçãofor possível com a chave secreta e um conteúdo descriptogra-fado do sinal de autenticação criptografado for aceitável.
2. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que o sinal de autenticação crip-tografado inclui um identificador de cliente e um desafio.
3. Método, de acordo com a reivindicação 2,CARACTERIZADO pelo fato de que o identificador de clienteidentifica um dispositivo de cliente (102(n)) desejando co-municação autenticada com um provedor de serviço (104(n)).
4. Método, de acordo com a reivindicação 2,CARACTERIZADO pelo fato de que o desafio é fornecido por umprovedor de serviço (104(n)) tentando descriptografar o si-nal de autenticação criptografado.
5. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que o sinal de autenticação crip-tografado inclui adicionalmente um endereço de rede de umdispositivo de cliente (102(n)).
6. Artigo de fabricação para uso na programação deum processador (604), CARACTERIZADO pelo fato de que compre-ende pelo menos um dispositivo de armazenamento legível porcomputador (606) incluindo pelo menos um programa de compu-tador (13 0) embutido no mesmo que faz o processador (604)executar o método da reivindicação 1.
7. Dispositivo de computação, CARACTERIZADO pelofato de que compreende:um processador (604); euma memória (606) tendo pelo menos um componenteexecutável por computador (13 0) capaz de executar o métododa reivindicação 1.
8. Método, CARACTERIZADO pelo fato de que compre-ende :estabelecer uma sessão segura (508) com uma chavede sessão se uma sessão segura como esta (508) não foi esta-belecida em um procedimento anterior;receber um ID de provedor de serviço e um desafiofornecido por um provedor de serviço (104(n));criptografar um ID exclusivo de uma entidade, umendereço de rede da entidade e o desafio fornecido por umprovedor de serviço (104(n)) usando uma chave de encriptaçãoderivada de uma chave secreta desconhecida por um detentor(106 (i)) da chave de encriptação; eoferecer a encriptação para a entidade (102(n)), aencriptação utilizável quando tentar ganhar acesso ao prove-dor de serviço (104(n)).
9. Método, de acordo com a reivindicação 8,CARACTERIZADO pelo fato de que a chave de sessão é gerada deuma chave de autenticação, a chave de autenticação derivadade credenciais de entrada no sistema da entidade (102(n))desejando autenticação e de um ID de um servidor de autenti-cação (106(i)).
10. Método, de acordo com a reivindicação 9,CARACTERIZADO pelo fato de que as credenciais de entrada nosistema incluem uma senha e um nome de usuário.
11. Método, de acordo com a reivindicação 8,CARACTERIZADO pelo fato de que o ID exclusivo de uma entida-de (102(n)) desejando autenticação é derivado pelo menos donome de entrada no sistema da entidade.
12. Método, de acordo com a reivindicação 9,CARACTERIZADO pelo fato de que a chave de autenticação e oID exclusivo da entidade (102(n)) desejando autenticação sãogerados por um módulo (140) na entidade (102(n)) desejandoautenticação durante um procedimento de autenticação estabe-lecendo uma sessão segura, a chave de autenticação e o IDexclusivo tornados conhecidos para uma autenticação e arma-zenados por ela em um procedimento anterior.
13. Método, de acordo com a reivindicação 8,CARACTERIZADO pelo fato de que criptografar inclui adicio-nalmente criptografar um item ou uma assinatura de um item,o item sendo usado para gerar uma outra chave de sessão paracomunicações seguras subseqüentes.
14. Método, de acordo com a reivindicação 8,CARACTERIZADO pelo fato de que receber inclui adicionalmentereceber um item, o item a ser usado para gerar uma outrachave de sessão para comunicações seguras subseqüentes.
15. Artigo de fabricação para uso na programaçãode um processador (604, 704, 804), CARACTERIZADO pelo fatode que compreende pelo menos um dispositivo de armazenamentolegível por computador (606, 706, 806) incluindo pelo menosum programa de computador (610, 710, 810) embutido no mesmoque faz o processador (604, 704, 804) executar o método dareivindicação 8.
16. Método, CARACTERIZADO pelo fato de que compreende:receber uma solicitação de autenticação em umapluralidade de servidores de autenticação (106(i)), a soli-citação de autenticação solicitando comunicação autenticadacom um provedor de serviço (104(n)); ecada servidor de autenticação (106(i)) fornecendoum sinal de autenticação parcial, a pluralidade de sinais deautenticação parciais sendo utilizável conjuntamente paragerar um sinal de autenticação usado para conseguir comuni-cação autenticada com o provedor de serviço (104(n)).
17. Método, de acordo com a reivindicação 16,CARACTERIZADO pelo fato de que cada servidor de autenticação(106(i)) criptografa um sinal de autenticação parcial usandouma chave dividida derivada de uma chave secreta gerada peloprovedor de serviço (104(n)).
18. Método, de acordo com a reivindicação 17,CARACTERIZADO pelo fato de que um esquema limiar é usado pa-ra gerar chaves divididas de uma chave secreta.
19. Método, de acordo com a reivindicação 16,CARACTERIZADO pelo fato de que a solicitação de autenticaçãoinclui um ID de provedor de serviço e um desafio fornecidopelo provedor de serviço (104 (η) ) , o ID de provedor de ser-viço sendo associado com o provedor de serviço (104(n)).
20. Método, de acordo com a reivindicação 16,CARACTERIZADO pelo fato de que cada sinal de autenticaçãoparcial inclui um ID de uma entidade solicitando comunicaçãoautenticada com o provedor de serviço (104(n)), um endereçode rede da entidade (102 (n) ) e um desafio fornecidos peloprovedor de serviço (104(n)).
BRPI0615053-5A 2005-08-22 2006-08-16 serviço de autenticação única distribuìdo BRPI0615053A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/208.509 2005-08-22
US11/208,509 US7690026B2 (en) 2005-08-22 2005-08-22 Distributed single sign-on service
PCT/US2006/032156 WO2007024626A1 (en) 2005-08-22 2006-08-16 Distributed single sign-on service

Publications (1)

Publication Number Publication Date
BRPI0615053A2 true BRPI0615053A2 (pt) 2011-04-26

Family

ID=37768631

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0615053-5A BRPI0615053A2 (pt) 2005-08-22 2006-08-16 serviço de autenticação única distribuìdo

Country Status (15)

Country Link
US (1) US7690026B2 (pt)
EP (1) EP1917603B1 (pt)
JP (1) JP5009294B2 (pt)
KR (1) KR101265873B1 (pt)
CN (1) CN100580657C (pt)
AU (1) AU2006283634A1 (pt)
BR (1) BRPI0615053A2 (pt)
CA (1) CA2619420C (pt)
ES (1) ES2701873T3 (pt)
IL (1) IL189131A (pt)
MX (1) MX2008002504A (pt)
NO (1) NO20080532L (pt)
RU (1) RU2417422C2 (pt)
WO (1) WO2007024626A1 (pt)
ZA (1) ZA200801179B (pt)

Families Citing this family (101)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PL1625716T3 (pl) 2003-05-06 2008-05-30 Apple Inc System i usługa przesyłania wiadomości
GB0321337D0 (en) * 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
JP4372030B2 (ja) * 2005-03-02 2009-11-25 キヤノン株式会社 印刷装置、印刷装置の制御方法及びコンピュータプログラム
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
NO324315B1 (no) * 2005-10-03 2007-09-24 Encap As Metode og system for sikker brukerautentisering ved personlig dataterminal
US20070245152A1 (en) * 2006-04-13 2007-10-18 Erix Pizano Biometric authentication system for enhancing network security
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
US8200967B2 (en) * 2006-10-18 2012-06-12 Rockstar Bidco Lp Method of configuring a node, related node and configuration server
US20080096507A1 (en) * 2006-10-24 2008-04-24 Esa Erola System, apparatus and method for creating service accounts and configuring devices for use therewith
US20080141352A1 (en) * 2006-12-11 2008-06-12 Motorola, Inc. Secure password distribution to a client device of a network
US8424077B2 (en) * 2006-12-18 2013-04-16 Irdeto Canada Corporation Simplified management of authentication credentials for unattended applications
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
EP2130322B1 (en) * 2007-03-21 2014-06-25 Intel Corporation Protection against impersonation attacks
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
GB2441399B (en) * 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
CN101431413B (zh) * 2007-11-08 2012-04-25 华为技术有限公司 进行认证的方法、系统、服务器及终端
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US8474037B2 (en) 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
US20090183246A1 (en) * 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
CN101227275A (zh) * 2008-02-13 2008-07-23 刘海云 随机加密和穷举法解密相结合的加密方法
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
WO2009147631A1 (en) * 2008-06-05 2009-12-10 Neocleus Israel Ltd Secure multi-purpose computing client
US7600253B1 (en) * 2008-08-21 2009-10-06 International Business Machines Corporation Entity correlation service
US20100067035A1 (en) * 2008-09-16 2010-03-18 Kawakubo Satoru Image forming apparatus, information processing apparatus, information processing system, information processing method, and program
WO2010031142A1 (en) * 2008-09-22 2010-03-25 Joseph Elie Tefaye Method and system for user authentication
KR101510473B1 (ko) * 2008-10-06 2015-04-08 에스케이커뮤니케이션즈 주식회사 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템
US8151333B2 (en) 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
US8751829B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Dispersed secure data storage and retrieval
US8839391B2 (en) 2009-02-05 2014-09-16 Wwpass Corporation Single token authentication
WO2010090664A1 (en) 2009-02-05 2010-08-12 Wwpass Corporation Centralized authentication system with safe private data storage and method
US8752153B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
US8713661B2 (en) 2009-02-05 2014-04-29 Wwpass Corporation Authentication service
IT1393199B1 (it) * 2009-02-25 2012-04-11 Asselle Sistema di controllo per la gestione degli accessi ad aree riservate
US8520855B1 (en) * 2009-03-05 2013-08-27 University Of Washington Encapsulation and decapsulation for data disintegration
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8887250B2 (en) * 2009-12-18 2014-11-11 Microsoft Corporation Techniques for accessing desktop applications using federated identity
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
KR101770297B1 (ko) * 2010-09-07 2017-09-05 삼성전자주식회사 온라인 서비스 접속 방법 및 그 장치
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
US8590017B2 (en) * 2011-02-28 2013-11-19 International Business Machines Corporation Partial authentication for access to incremental data
US9536074B2 (en) 2011-02-28 2017-01-03 Nokia Technologies Oy Method and apparatus for providing single sign-on for computation closures
US20120291096A1 (en) 2011-05-12 2012-11-15 Nokia Corporation Method and apparatus for secure signing and utilization of distributed computations
US8600061B2 (en) * 2011-06-24 2013-12-03 Broadcom Corporation Generating secure device secret key
WO2013012531A2 (en) * 2011-07-18 2013-01-24 Wwpass Corporation Authentication service
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US20140310527A1 (en) * 2011-10-24 2014-10-16 Koninklijke Kpn N.V. Secure Distribution of Content
WO2013071087A1 (en) * 2011-11-09 2013-05-16 Unisys Corporation Single sign on for cloud
KR101306442B1 (ko) * 2011-11-30 2013-09-09 에스케이씨앤씨 주식회사 휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템
FR2984555A1 (fr) * 2011-12-19 2013-06-21 Sagemcom Documents Sas Procede d'appairage d'un appareil electronique et d'un compte utilisateur au sein d'un service en ligne
US9356924B1 (en) 2011-12-27 2016-05-31 Majid Shahbazi Systems, methods, and computer readable media for single sign-on (SSO) using optical codes
US8819444B2 (en) 2011-12-27 2014-08-26 Majid Shahbazi Methods for single signon (SSO) using decentralized password and credential management
KR101378520B1 (ko) * 2011-12-28 2014-03-28 경북대학교 산학협력단 위치 기반 의료 정보 제공 시스템 및 방법
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
GB2504457A (en) * 2012-06-06 2014-02-05 Univ Bruxelles Message authentication via distributed secret keys
US9088450B2 (en) 2012-10-31 2015-07-21 Elwha Llc Methods and systems for data services
US10216957B2 (en) 2012-11-26 2019-02-26 Elwha Llc Methods and systems for managing data and/or services for devices
US9749206B2 (en) 2012-10-30 2017-08-29 Elwha Llc Methods and systems for monitoring and/or managing device data
US20140123300A1 (en) 2012-11-26 2014-05-01 Elwha Llc Methods and systems for managing services and device data
US9619497B2 (en) * 2012-10-30 2017-04-11 Elwah LLC Methods and systems for managing one or more services and/or device data
US10091325B2 (en) 2012-10-30 2018-10-02 Elwha Llc Methods and systems for data services
WO2014137063A1 (ko) * 2013-03-08 2014-09-12 에스케이플래닛 주식회사 어플리케이션을 이용한 인증 방법, 이를 위한 시스템 및 장치
US9282098B1 (en) 2013-03-11 2016-03-08 Amazon Technologies, Inc. Proxy server-based network site account management
US9203832B2 (en) * 2013-03-12 2015-12-01 Cable Television Laboratories, Inc. DTCP certificate authentication over TLS protocol
US9037858B1 (en) * 2013-03-12 2015-05-19 Emc Corporation Distributed cryptography using distinct value sets each comprising at least one obscured secret value
US20140281502A1 (en) * 2013-03-15 2014-09-18 General Instrument Corporation Method and apparatus for embedding secret information in digital certificates
US9628467B2 (en) * 2013-03-15 2017-04-18 Aerohive Networks, Inc. Wireless device authentication and service access
US9032212B1 (en) * 2013-03-15 2015-05-12 Emc Corporation Self-refreshing distributed cryptography
AU2014283692B2 (en) * 2013-06-20 2017-04-27 Pharmathen S.A. Preparation of polylactide-polyglycolide microparticles having a sigmoidal release profile
US9521146B2 (en) * 2013-08-21 2016-12-13 Microsoft Technology Licensing, Llc Proof of possession for web browser cookie based security tokens
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP6398308B2 (ja) * 2014-05-15 2018-10-03 株式会社リコー 情報処理システム、情報処理方法、及びプログラム
US9350545B1 (en) 2014-06-30 2016-05-24 Emc Corporation Recovery mechanism for fault-tolerant split-server passcode verification of one-time authentication tokens
GB2530726B (en) 2014-09-25 2016-11-02 Ibm Distributed single sign-on
US9674158B2 (en) * 2015-07-28 2017-06-06 International Business Machines Corporation User authentication over networks
US10509900B1 (en) 2015-08-06 2019-12-17 Majid Shahbazi Computer program products for user account management
KR102368614B1 (ko) * 2015-08-12 2022-02-25 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
US9882901B2 (en) * 2015-12-14 2018-01-30 International Business Machines Corporation End-to-end protection for shrouded virtual servers
CN106341413A (zh) * 2016-09-29 2017-01-18 上海斐讯数据通信技术有限公司 一种portal认证方法及装置
KR101962349B1 (ko) * 2017-02-28 2019-03-27 고려대학교 산학협력단 인증서 기반 통합 인증 방법
EP3376421A1 (en) 2017-03-17 2018-09-19 Gemalto Sa Method for authenticating a user and corresponding device, first and second servers and system
US10116635B1 (en) * 2017-04-27 2018-10-30 Otis Elevator Company Mobile-based equipment service system using encrypted code offloading
US10891372B1 (en) 2017-12-01 2021-01-12 Majid Shahbazi Systems, methods, and products for user account authentication and protection
SG11202010960YA (en) * 2018-05-08 2020-12-30 Visa Int Service Ass Password based threshold token generation
EP3579595B1 (en) * 2018-06-05 2021-08-04 R2J Limited Improved system and method for internet access age-verification
SG11202100410YA (en) * 2018-08-10 2021-02-25 Tzero Group Inc Splittable security token
CN109922042B (zh) * 2019-01-21 2020-07-03 北京邮电大学 遗失设备的子密钥管理方法和系统
CN109698746B (zh) * 2019-01-21 2021-03-23 北京邮电大学 基于主密钥协商生成绑定设备的子密钥的方法和系统
US10862689B1 (en) * 2019-07-23 2020-12-08 Cyberark Software Ltd. Verification of client identities based on non-distributed data
CN111065097B (zh) * 2019-10-11 2021-08-10 上海交通大学 移动互联网中基于共享密钥的通道保护方法及系统
US11314876B2 (en) 2020-05-28 2022-04-26 Bank Of America Corporation System and method for managing built-in security for content distribution
US11652613B2 (en) * 2020-09-04 2023-05-16 Citrix Systems, Inc. Secure information exchange in federated authentication
US11343085B2 (en) * 2020-09-19 2022-05-24 International Business Machines Corporation Threshold encryption for broadcast content
US11792021B2 (en) 2021-06-11 2023-10-17 Humana Inc. Resiliency architecture for identity provisioning and verification
US11941266B2 (en) 2021-10-20 2024-03-26 Samsung Electronics Co., Ltd. Resource isolation in computational storage devices
CN113923056B (zh) * 2021-12-15 2022-03-15 天津联想协同科技有限公司 多网段网盘的匹配认证方法、装置、网盘及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5706349A (en) * 1995-03-06 1998-01-06 International Business Machines Corporation Authenticating remote users in a distributed environment
JP3620138B2 (ja) * 1996-02-05 2005-02-16 松下電器産業株式会社 鍵共有システム
US5839119A (en) * 1996-09-27 1998-11-17 Xerox Corporation Method of electronic payments that prevents double-spending
US6185685B1 (en) * 1997-12-11 2001-02-06 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
US6421768B1 (en) 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
WO2001072009A2 (en) 2000-03-17 2001-09-27 At & T Corp. Web-based single-sign-on authentication mechanism
US20030115452A1 (en) * 2000-12-19 2003-06-19 Ravi Sandhu One time password entry to access multiple network sites
KR20020095815A (ko) 2001-06-15 2002-12-28 (주) 비씨큐어 인증서 기반의 전자 신분증 발급 시스템 및 방법
JP2003099403A (ja) * 2001-09-25 2003-04-04 Sony Corp 個人認証システム、個人認証方法、および個人情報収集装置、情報処理装置、並びにコンピュータ・プログラム
JP4148461B2 (ja) * 2003-01-15 2008-09-10 日本電信電話株式会社 匿名サービス提供方法とこの方法を実現するサーバ装置及びプログラム
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
KR100626341B1 (ko) 2003-05-12 2006-09-20 학교법인 호서학원 토큰을 이용한 무선 인증시스템과 그 인증방법
JP2005167412A (ja) * 2003-11-28 2005-06-23 Toshiba Corp 通信システム、通信システムで使用される通信端末及びサーバ装置、及び通信システムで使用される接続認証方法

Also Published As

Publication number Publication date
ZA200801179B (en) 2009-06-24
EP1917603A1 (en) 2008-05-07
IL189131A (en) 2011-10-31
AU2006283634A1 (en) 2007-03-01
US20070044143A1 (en) 2007-02-22
KR101265873B1 (ko) 2013-05-20
KR20080041220A (ko) 2008-05-09
JP5009294B2 (ja) 2012-08-22
WO2007024626A1 (en) 2007-03-01
CA2619420C (en) 2014-09-30
CN101243438A (zh) 2008-08-13
JP2009505308A (ja) 2009-02-05
CN100580657C (zh) 2010-01-13
EP1917603B1 (en) 2018-09-19
IL189131A0 (en) 2008-08-07
US7690026B2 (en) 2010-03-30
CA2619420A1 (en) 2007-03-01
RU2008106779A (ru) 2009-08-27
NO20080532L (no) 2008-05-21
EP1917603A4 (en) 2015-01-21
MX2008002504A (es) 2008-04-07
ES2701873T3 (es) 2019-02-26
RU2417422C2 (ru) 2011-04-27

Similar Documents

Publication Publication Date Title
BRPI0615053A2 (pt) serviço de autenticação única distribuìdo
CN111416807B (zh) 数据获取方法、装置及存储介质
US9215218B2 (en) Systems and methods for secure workgroup management and communication
US20030070068A1 (en) Method and system for providing client privacy when requesting content from a public server
Chattaraj et al. HEAP: an efficient and fault-tolerant authentication and key exchange protocol for Hadoop-assisted big data platform
AU2014201692B2 (en) Systems and Methods for Secure Workgroup Management and Communication
Hesse et al. Password-authenticated tls via opaque and post-handshake authentication
Fongen et al. The integration of trusted platform modules into a tactical identity management system
CN114915494B (zh) 一种匿名认证的方法、系统、设备和存储介质
Kozlovičs et al. Quantum Key Distribution as a Service and Its Injection into TLS
Jacob et al. Security Enhancement of Single Sign on Mechanism for Distributed Computer Networks
Bhandari et al. Analysis of Windows Authentication Protocols: NTLM and Kerberos
Malichevskyy Resilient authentication service
Thorat et al. Comparative study of various PKINIT methods used in Advanced Kerberos
Magyari et al. Certificate-Based Single Sign-on Mechanism for Multi-Platform Distributed Systems
Attila et al. Certificate-based Single Sign-On Mechanism for Multi-Platform Distributed Systems

Legal Events

Date Code Title Description
B11A Dismissal acc. art.33 of ipl - examination not requested within 36 months of filing
B11Y Definitive dismissal - extension of time limit for request of examination expired [chapter 11.1.1 patent gazette]