CN101919221A - 用于属于不同机构的用户的无需证书复制的认证方法 - Google Patents
用于属于不同机构的用户的无需证书复制的认证方法 Download PDFInfo
- Publication number
- CN101919221A CN101919221A CN2008801176403A CN200880117640A CN101919221A CN 101919221 A CN101919221 A CN 101919221A CN 2008801176403 A CN2008801176403 A CN 2008801176403A CN 200880117640 A CN200880117640 A CN 200880117640A CN 101919221 A CN101919221 A CN 101919221A
- Authority
- CN
- China
- Prior art keywords
- user
- gateway
- certificate
- internet
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000007246 mechanism Effects 0.000 claims description 96
- 230000008676 import Effects 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims 1
- 230000008520 organization Effects 0.000 abstract description 11
- 238000013475 authorization Methods 0.000 abstract description 5
- 238000007726 management method Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013070 change management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明涉及一种用于允许用户接入因特网的方法。用户通过第一机构的网关发送因特网接入请求并向后者提供用于通过第二机构对他/她进行认证的某些证书。所提供的证书包含关于第二机构的至少一条信息。第一机构出于认证用户并许可他/她接入因特网的目的联系第二机构。第二机构随后对该用户提供接入因特网的授权。根据本发明,应所述接入请求,网关将用户重新引导至第二机构的网页,在那里,用户通过网页向第二机构提供他/她的识别所需的另外的认证证书。
Description
技术领域
本发明涉及根据权利要求1的前序部分的用于允许用户接入因特网的方法。
背景技术
特别地,本发明旨在提高用户接入因特网的可能性。
现在,因特网对于许多人来说已变成不可缺少的工作工具,并且由于无线网络(例如WLAN),用户甚至可以从办公室外面接入因特网。
例如,机场、铁路车站和图书馆具有热点区(Hot Spots),即用户可以通过网关连接到因特网的接入点。
在给定机构(Organization)的热点区内,通常仅对具有向该机构注册的有效帐户的用户许可对此服务的访问。
因此,给定机构的用户不能在由于兴趣缺乏或基础设施故障而未被所述机构覆盖的区域中接入因特网。
为了克服这些问题,已构思多种解决方案,其允许第一机构的用户通过第二机构的接入点接入因特网。
相对于使用中的平台,这些解决方案中的某些有时甚至要求用户的客户端的复杂配置。
在容易使用和客户端配置方面优选的其它解决方案仅仅通过将未被包括在授权用户列表中的那些用户重新引导至不同机构的认证服务器而在网关层级操作。
从专利US 5,898,780可已知后面的解决方案之一,该专利公开了一种方法和装置,其允许用户通过使用他/她不具有帐户的本地因特网服务提供商(ISP)从远程位置接入因特网。用户通过使用关于该远程ISP的他/她的帐户的证书(用户名和口令)向本地ISP的系统进行签署(signs with the local ISP′s system)。
本地ISP的服务器认识到用户所输入的证书包含允许识别本地ISP的服务器的一条信息,并向后者发送询问以便授权用户通过本地ISP接入因特网。
然而,这种解决方案遇到用户的可察觉(sensible)数据(用户名和口令)被提供给本地ISP的服务器、因此所述数据可能受到嗅探攻击的缺点。
使用与从专利US 5,898.780已知的原理相反的原理的解决方案已被特伦托大学(University of Trento)使用并以Uni-fy的名义公诸于众。
根据这种解决方案,假设用户客户端向大学的网关发送DHCP请求,该网关随后对其分配IP地址。
网关具有某些防火墙规则,每个根据发送数据分组的用户是否被包括在授权用户列表中而具有两种可能动作。
如果用户未被包括在授权用户列表中,则该数据分组将被路由到将处理授权的关守(gatekeeper)。根据“强制网络门户(captive portal)”型的方法,将未授权用户引导到本地网页,在那里,他/她可以选择他/她希望从其获得授权的机构。
在这里,使用户客户端与所选机构通信,并根据该机构所要求的协议来执行认证程序。
用这种解决方案,特伦托大学的网络设备无论如何不能且不可获悉用户的可察觉数据,所有可察觉数据被直接发送到所选机构。
如何认证成功,则所选机构将向大学的关守发送授权请求,该授权请求将使用户的状态从未授权变为已授权,由此允许他/她接入因特网。
这种解决方案具有以下缺点:不容易识别连接用户(例如,由于安全或开发票(invoicing)原因)并且要求使用户的假名与向远程认证机构注册的用户身份相关联。
此外,这种解决方案具有显著的系统可缩放性限制,因为用户想要被其认证的机构的手动选择假设大学的网关知道所有现有的认证机构,并且其随着对每一个单个认证机构的认证程序的任何修改而被不断地更新。
随着认证机构数目的增加,大学的系统管理的复杂性也显著增加。
发明内容
本发明的主要目的是通过提供一种替换方法来克服现有技术的缺点,该替换方法用于允许通过他/她最初未被认可(accredit)的机构的网关来接入因特网。通过结合了在所附权利要求中阐述的特征的方法来达到此目的,所附权利要求意图作为本说明书的不可缺少的部分。本发明是基于将提供认证证书的时刻(和接收者)分开的思想。
更具体而言,该思想是当该用户连接到第一机构的网关并发送因特网接入请求时,所述网关为第二机构提供对用户进行许可所需的证书的一部分。例如,用户可以提供第二机构的用户名和标识符。
如果接收到此类请求的网关未将用户识别为授权用户,则其将使用户重新引导至第二机构的网页以供他/她的认证。
在这里,通过所述网页,用户还为第二机构提供他/她的识别所需的证书,以便第二机构可以验证用户的身份并允许他/她浏览因特网。
这种解决方案提供多个优点。
首先,可以由第一机构通过在因特网接入请求中提供的证书来识别用户,由此简化出于公共安全或开发票原因进行的用户识别;然而,并不将用户的所有证书提供给第一机构,这使得这种解决方案针对嗅探攻击而言相当稳健。
其次,这种解决方案可容易地缩放,因为可以通过简单地添加能够执行根据本发明的方法的功能的计算机系统(特别是网络节点和服务器)来向联盟(federation)添加新的机构。
有利的是,由用户提供给第一机构的证书是通过欢迎网页输入的且以name@realm(名称@域)格式包括用户名,其中,realm表示第二机构的域名。
基于指定的域,每个网关可以通过发送到DNS的请求或通过与存储在网关层级处并包含属于该联盟的机构的所有认证服务器的列表的比较找到用户所属的机构的认证服务器。
为了保证对网关与不同机构的认证服务器之间的通信进行认证,有利地签署信令消息并优选地通过使用不对称加密算法对该信令消息进行编码,该不对称加密算法诸如(Pretty Good Privacy)所使用的不对称加密算法,其使用公钥和私钥两者。
以简化添加(或去除)新机构时的密钥交换管理为目标,该架构有利地包括密钥管理服务器。
每当添加新机构时,相关联的认证服务器的公钥被公布在此服务器上;各种机构的网关将通过安全的通信协议(例如,HTTPS)周期性地与之联系以便更新各自的密钥列表。
将密钥列表存储在网关层级保证密钥管理服务器的任何故障不会危及服务;在最坏的情况下,新的认证服务器将以几小时的延迟被添加到系统。密钥管理服务器被各种机构的所有网关通过存在于所有所述网关上的其自己的公钥认证,并且不允许外部用户未经许可就进入他/她自己的机构。
附图说明
通过以非限制性示例的方式提供的以下说明和附图,将更清楚本发明的其它目的和优点,在附图中:
-图1示出允许属于任何所述机构的用户接入因特网的机构联盟;
-图2是允许属于第一机构的用户通过第二机构的接入点接入因特网的过程的图形表示;
具体实施方式
现在参照图1,示出了连接到因特网1的机构(E1、E2、E3)的联盟。
为了本说明的目的,术语‘机构’指的是可以许可用户接入因特网或操纵结构化用户管理系统的任何实体。
在图1的示例中,机构E1和E2装配有计算机系统,特别是网络节点,其包括网关GW、认证服务器AS、和包含认证机构的用户所需的信息的数据库DB。
网关GW执行所有防火墙功能并过滤任何未授权业务,而认证服务器AS在数据库DB(MySQL或LDAP数据库,或口令文件)中或通过诸如RADIUS的标准协议验证用户的证书。
在图1的示例中,机构E2装配有接入点3,其通过接入点3为用户提供无线接入。
机构E1装配有连接到网关GW的用于为用户提供有线接入的交换机4。
机构E3是没有其自己的接入网络、但具有其自己的用户的因特网服务提供商ISP。
此机构装配有认证服务器AS和数据库DB,如同机构E1和E2一样;认证服务器AS通过路由器RT连接到因特网,路由器RT与机构E1和E2的网关GW不同,其不能执行下述用户重新引导功能。
当然,可以用网关GW替换路由器RT,虽然在这种情况下,其某些功能将保持不用。
仍参照图1和2的示例,用户2是机构E1的授权用户(即,属于该域),并向他/她未得到认证的机构E2发送网页请求。
这种情况可能例如在机构E1的用户(例如,公司ALFA的员工)在机场或在另一机构(例如,公司BETA)附近并希望通过使用机场的基础设施或公司BETA的那些来接入因特网时发生。
用户2验证机构E2的热点区的存在时,他/她发送DHCP请求,应该请求,他/她被分配IP地址。
这时,用户2可以发送因特网接入请求。
网关GW截取此请求并将客户端重新引导至欢迎页面,在该欢迎页面上,用户输入通过机构E1进行他/她的认证所需的他/她的证书的一部分。
根据本发明,提供给机构E2的证书包含关于用户想要得到其认证的机构、即本文所述的示例中的机构E1的至少一条信息。
优选地,这些证书由用户2的用户名和机构E1的域名组成,其将必须对用户2进行认证。
可以在单独的字段中输入用户名和域名,否则,如果用户2被要求以name@realm格式输入帐户,则可以由网关自动地获得该用户名和域名,其中,‘name’是用户2的用户名且realm表示机构E1的域名。
通过使用所述用户所提供的证书、机构e2可以因此联络机构E1以便使用户2被认证。
借助于规则的以下分级结构来确定机构E1的认证服务器的IP地址。
首先,机构E2的网关GW将预定义名称放在域(例如:authserv)前面并向DN发送请求以便知道用户来源(即,机构E1之一)认证服务器AS的IP地址。
例如,对于用户mario.rossi@organizationl.it而言,网关GW将在DNS中搜索authserv.organizationl.it的IP地址。
被放在域前面的名称对属于同一联盟的机构的所有认证服务器而言是相同的,以便可以以简单的方式表达将由网关发送到DNS的询问(query)。
当从DNS接收到肯定答复时,网关GW将使用户2重新引导至机构E2的认证服务器;如果搜索不成功,则该过程将进入下一个规则。
根据此下一个规则,在机构E2的本地数据库中搜索机构E1的认证服务器AS的IP地址。
根据本发明,各种机构的所有网关GW将相应认证服务器的IP地址和域列表存储在本地数据库中。
所述列表被预定义中央服务器周期性地更新,该预定义中央服务器优选地为所有联盟机构所共用。
如果在所述数据库中的搜索也未成功,则接收到网页请求(webrequest)的网关将切换到最后规则,根据该规则,将使用户重新引导至先前在安装网关时设置的默认认证服务器。
此最后规则基本上允许将因特网接入请求中的由用户明确指定的任何信息的不存在识别为关于预定义机构的信息。
换言之,如果用户2仅将他/她的名称提供给网关GW,而不指定他/她想要得到认证的机构1的域,则网关将把此信息解释为期望将通过默认机构进行认证。
一旦已找到认证服务器,网关将使客户端重新引导至认证服务器,并且用户将通过输入他/她自己的口令而得到认证,由此返回到标准认证程序,诸如由类似NoCat系统的‘强制网络门户’系统所提供的标准认证程序。
如果用户名和口令验证成功,则认证服务器将向用户2的客户端发送授权消息,该消息随后将被重新引导至网关GW。
后者将输入必要的防火墙规则,以便提供包括在用户简档中的服务,并且随后将使用户重新引导至最初请求的网页。
上述过程在图2中举例说明,图2示出用户2的客户端、机构E2的网关、机构E1的认证服务器、和机构E1的数据库之间的通信,该数据库存储经机构E1授权的所有用户的身份。
参照图2:
-客户端发送网页请求,例如http://www.google.it(序列c1),
-网关截取该请求并将客户端重新引导至认证门户(序列c2),
-客户端发送其证书,例如用户名(序列c3),
-网关将客户端重新引导至认证服务器的门户(序列c4),
-用户输入口令(序列c5),
-认证服务器例如经由RADIUS协议通过将用户的证书(用户名和口令)与包含在数据库中的那些相比较来对用户的证书进行验证(序列c6),
-对用户进行授权(序列c7),
-认证服务器向客户端发送防火墙打开消息作为认证确认(序列c8),
-客户端将接收到的消息转送到网关以便打开防火墙(序列c9),
-网关将客户端重新引导至所请求的站点http://www.google.it(序列c10),
-客户端在所请求的站点http://www.google.it上接入因特网(序列c11)。
这种架构提供绝对系统可缩放性。
事实上,可以通过在新机构EX处安装网关GW并通过把将管理属于新域(例如organizationX.it)的用户的认证服务器注册在DNS中来容易地扩展该系统;由于上述原因,必须以例如authserv.organizationX.it的前述格式进行DNS中的注册。
有利的是,为了避免任何其它系统取代认证服务器并尝试认证未注册用户,签署(sign)认证服务器与网关之间的通信;特别地,签署该通信并优选地通过使用公钥/私钥型的不对称加密方法来将其编码。
优选地,当仅签署了消息时,使消息处于明文状态(clear),但是将用私钥计算的哈希值(hash)与之附着,其一旦经公钥验证,则保证消息是由私钥的所有者创建的原始消息。
随后签署这样交换的消息并优选地通过例如经由PGP软件获得的密钥(专用于签名、公用于编码)进行编码。
每个网关GW包含联盟的机构的认证服务器AS的公钥列表,因此其可以验证不存在视图嗅探(sniff)该认证的错误认证服务器。
为了在没有可缩放性限制的情况下保持系统更新,使用密钥管理服务器(图1中的KS),其包含属于系统所识别的认证服务器的公钥的仓库(repository)(例如PGP)。
因此,添加新机构包括在此列表中输入管理新域的认证服务器AS的密钥。
每个网关包含密钥列表的副本;为了保持系统更新,根据本发明的方法,网关周期性地查询密钥管理服务器KS并下载密钥列表。
当向系统添加新认证服务器时,将存在第一短暂时间段,其中,新机构的用户在漫游模式下不能通过系统的其它域来使用其证书;所述时间段将持续直到本地密钥副本已在所有网关中被更新。
因此,此服务中止条件仅仅涉及并限于新机构的安装,而不是网络维护。
由于每个网关包含所有机构的认证服务器的公钥列表的副本,所以即使在密钥管理服务器KS出现故障或失败的情况下,系统也将继续工作。
这样构思的系统允许管理不同机构的用户的业务的开发票,因为用来进行网络接入的每个网关在特殊的日志中包含且必须保持关于每个用户的连接时间的信息;此类信息包括用户的名称和各个机构两者,因此允许正确地为业务开发票。
上述机制假设在各种机构之间存在信任策略(trust policy);如果需要控制机制,则优选的是采用从所有其它服务器接收关于用户连接的信息的中央服务器以便可以验证存储在每个网关中的连接。
很明显,应将上述实施例理解为本发明的非限制性示例,并且在不脱离随附权利要求所述的本发明的保护范围的情况下可以对系统进行许多修改。
例如,可以用单机来实现网关、认证服务器和认证数据库(例如SQL数据库)或将其分布在许多机器上。
此外,用于对认证服务器与网关之间或认证服务器与客户端之间的通信进行编码的方法可以是本领域中已知的任何类型。
Claims (15)
1.一种用于允许用户接入因特网的方法,其中用户通过第一机构的网关发送因特网接入请求,所述请求要求所述用户向所述第一机构提供用于通过第二机构进行他/她的认证的第一认证证书,所述证书包含关于所述第二机构的至少一条信息,并且其中,所述第一机构出于认证所述用户并允许他/她接入因特网的目的联系所述第二机构,并且其中,所述第二机构向所述用户给予接入因特网的授权,其特征在于:应所述接入请求,所述网关将所述用户重新引导至所述第二机构的网页,并且所述用户通过所述网页向所述第二机构提供通过所述第二机构识别所述用户所需的第二认证证书。
2.如权利要求1所述的方法,其中,所述第一认证证书包括以name@realm格式表示的用户名,其中,‘name’识别用户且‘realm’识别第二机构。
3.如权利要求1或2所述的方法,其中,所述第二证书包括口令。
4.如前述权利要求中的任一项所述的方法,其中,所述因特网接入请求包括其中对所述用户分配IP地址的第一步骤和其中所述网关将所述用户重新引导至本地欢迎网页的第二步骤,所述用户必须在本地欢迎网页上输入所述第一证书。
5.如权利要求1至4中的任一项所述的方法,其中,如果所述网关不能找到所述第二机构的认证服务器,则所述网关将向默认认证服务器发送所述第一证书。
6.如权利要求1至4中的任一项所述的方法,其中,所述网关将所述第一证书发送到所述第二机构的认证服务器。
7.如权利要求6所述的方法,其中,所述网关通过发送到DNS的询问来确定所述认证服务器的地址。
8.如权利要求6或7所述的方法,其中,所述网关可访问机构的列表并通过将所述列表与所述第一证书相比较来确定所述认证服务器的地址。
9.如权利要求5至8中的任一项所述的方法,其中,所述网关与所述认证服务器之间的通信被签署。
10.如权利要求5至9中的任一项所述的方法,其中,所述网关与所述认证服务器之间的通信被编码。
11.如权利要求10所述的方法,其中,通过公钥/私钥编码对所述网关与所述认证服务器之间的通信进行编码。
12.如权利要求11所述的方法,其中,密钥管理服务器保持相应的多个机构的多个认证服务器的公钥列表。
13.如权利要求12所述的方法,其中,所述多个机构的网关周期性地连接到所述密钥管理服务器并本地地存储所述公钥列表。
14.一种适合于实现如权利要求1至13中的任一项所述的方法的计算机系统。
15.一种适合于被存储在所述计算机的存储区中并包含适合于在被所述计算机执行时实现如权利要求1至13中的任一项所述的方法的代码部分的计算机程序。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IT000853A ITTO20070853A1 (it) | 2007-11-26 | 2007-11-26 | Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali |
ITTO2007A000853 | 2007-11-26 | ||
PCT/IB2008/003194 WO2009068956A2 (en) | 2007-11-26 | 2008-11-24 | Authentication method without credential duplication for users belonging to different organizations |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101919221A true CN101919221A (zh) | 2010-12-15 |
CN101919221B CN101919221B (zh) | 2015-09-30 |
Family
ID=40315040
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880117640.3A Expired - Fee Related CN101919221B (zh) | 2007-11-26 | 2008-11-24 | 用于属于不同机构的用户的无需证书复制的认证方法 |
Country Status (10)
Country | Link |
---|---|
US (1) | US8386770B2 (zh) |
EP (1) | EP2215802A2 (zh) |
JP (1) | JP5507462B2 (zh) |
KR (1) | KR101518526B1 (zh) |
CN (1) | CN101919221B (zh) |
BR (1) | BRPI0820065A2 (zh) |
CA (1) | CA2706827C (zh) |
IT (1) | ITTO20070853A1 (zh) |
RU (1) | RU2507702C2 (zh) |
WO (1) | WO2009068956A2 (zh) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8776214B1 (en) | 2009-08-12 | 2014-07-08 | Amazon Technologies, Inc. | Authentication manager |
US11444936B2 (en) | 2011-07-29 | 2022-09-13 | Amazon Technologies, Inc. | Managing security credentials |
US10362019B2 (en) | 2011-07-29 | 2019-07-23 | Amazon Technologies, Inc. | Managing security credentials |
US9767262B1 (en) | 2011-07-29 | 2017-09-19 | Amazon Technologies, Inc. | Managing security credentials |
US9420459B2 (en) * | 2011-11-16 | 2016-08-16 | Cellco Partnership | Method and system for redirecting a request for IP session from a mobile device |
US8955065B2 (en) | 2012-02-01 | 2015-02-10 | Amazon Technologies, Inc. | Recovery of managed security credentials |
US8863250B2 (en) | 2012-02-01 | 2014-10-14 | Amazon Technologies, Inc. | Logout from multiple network sites |
CA2861384C (en) * | 2012-02-01 | 2017-10-31 | Amazon Technologies, Inc. | Account management for multiple network sites |
JP6111713B2 (ja) * | 2013-02-06 | 2017-04-12 | 株式会社リコー | 情報処理システム、情報処理装置、認証情報管理方法及びプログラム |
US10475018B1 (en) | 2013-11-29 | 2019-11-12 | Amazon Technologies, Inc. | Updating account data for multiple account providers |
JP6287401B2 (ja) * | 2014-03-18 | 2018-03-07 | 富士ゼロックス株式会社 | 中継装置、システム及びプログラム |
US9866592B2 (en) * | 2015-09-28 | 2018-01-09 | BlueTalon, Inc. | Policy enforcement system |
US9871825B2 (en) | 2015-12-10 | 2018-01-16 | BlueTalon, Inc. | Policy enforcement for compute nodes |
US10091212B2 (en) | 2016-03-04 | 2018-10-02 | BlueTalon, Inc. | Policy management, enforcement, and audit for data security |
US11157641B2 (en) | 2016-07-01 | 2021-10-26 | Microsoft Technology Licensing, Llc | Short-circuit data access |
GB201612038D0 (en) * | 2016-07-11 | 2016-08-24 | Lookiimedia (Uk) Ltd | Providing access to structured stored data |
EP3324664A1 (en) | 2016-11-22 | 2018-05-23 | Thomson Licensing | Method, apparatus, and system for controlling acess to a local network |
US10803190B2 (en) | 2017-02-10 | 2020-10-13 | BlueTalon, Inc. | Authentication based on client access limitation |
US10291602B1 (en) | 2017-04-12 | 2019-05-14 | BlueTalon, Inc. | Yarn rest API protection |
US10250723B2 (en) | 2017-04-13 | 2019-04-02 | BlueTalon, Inc. | Protocol-level identity mapping |
US10491635B2 (en) | 2017-06-30 | 2019-11-26 | BlueTalon, Inc. | Access policies based on HDFS extended attributes |
US11146563B1 (en) | 2018-01-31 | 2021-10-12 | Microsoft Technology Licensing, Llc | Policy enforcement for search engines |
US11005889B1 (en) | 2018-02-02 | 2021-05-11 | Microsoft Technology Licensing, Llc | Consensus-based policy management |
US11790099B1 (en) | 2018-02-09 | 2023-10-17 | Microsoft Technology Licensing, Llc | Policy enforcement for dataset access in distributed computing environment |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030041240A1 (en) * | 2001-08-22 | 2003-02-27 | Jim Roskind | Single universal authentication system for internet services |
CN1433622A (zh) * | 1999-10-22 | 2003-07-30 | 諾玛迪克斯公司 | 对试图访问网络站点的用户改向的系统和方法 |
CN1588853A (zh) * | 2004-07-13 | 2005-03-02 | 中国工商银行 | 一种基于网络的统一认证方法及系统 |
CN1640175A (zh) * | 2002-02-28 | 2005-07-13 | 艾利森电话股份有限公司 | 用于联合单点登录服务的系统、方法和设备 |
US20060206932A1 (en) * | 2005-03-14 | 2006-09-14 | Microsoft Corporation | Trusted third party authentication for web services |
US20060239254A1 (en) * | 1998-12-08 | 2006-10-26 | Nomadix, Inc. | Systems and Methods for Providing Dynamic Network Authorization, Authentication and Accounting |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5898780A (en) * | 1996-05-21 | 1999-04-27 | Gric Communications, Inc. | Method and apparatus for authorizing remote internet access |
JPH10336172A (ja) * | 1997-06-04 | 1998-12-18 | Kyushu Syst Joho Gijutsu Kenkyusho | 電子認証用公開鍵の管理方法 |
JP3538527B2 (ja) * | 1997-08-05 | 2004-06-14 | 株式会社東芝 | 無線通信システムおよび無線通信方法 |
JP2002202934A (ja) * | 2000-12-28 | 2002-07-19 | Daiwa Securities Group Inc | ウェブページのレイアウト変更方法 |
US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
JP2003016295A (ja) * | 2001-06-28 | 2003-01-17 | Nec Corp | オンラインショッピング方法及びそのシステム並びにプログラム |
US7363354B2 (en) * | 2001-11-29 | 2008-04-22 | Nokia Corporation | System and method for identifying and accessing network services |
US7191467B1 (en) | 2002-03-15 | 2007-03-13 | Microsoft Corporation | Method and system of integrating third party authentication into internet browser code |
US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
JP2004355073A (ja) * | 2003-05-27 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク認証とシングルサインオンの一括認証方法及びシステム |
AU2003304261A1 (en) * | 2003-06-30 | 2005-01-13 | Telecom Italia S.P.A. | A method for network selection in communication networks, related network and computer program product therefor |
US20070113269A1 (en) * | 2003-07-29 | 2007-05-17 | Junbiao Zhang | Controlling access to a network using redirection |
FI120021B (fi) * | 2003-08-27 | 2009-05-29 | Nokia Corp | Valtuustiedon hankkiminen |
JP4579592B2 (ja) * | 2004-06-25 | 2010-11-10 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報提供サービスシステムおよび方法 |
ATE484143T1 (de) * | 2005-09-30 | 2010-10-15 | Alcyone Holding S A | Verfahren und vorrichtung zum aufbau einer verbindung zwischen einer mobilen vorrichtung und einem netzwerk |
US7886343B2 (en) * | 2006-04-07 | 2011-02-08 | Dell Products L.P. | Authentication service for facilitating access to services |
JP5464794B2 (ja) * | 2006-07-24 | 2014-04-09 | コニカミノルタ株式会社 | ネットワーク管理方法およびネットワーク管理システム |
-
2007
- 2007-11-26 IT IT000853A patent/ITTO20070853A1/it unknown
-
2008
- 2008-11-24 US US12/742,761 patent/US8386770B2/en active Active
- 2008-11-24 RU RU2010126178/08A patent/RU2507702C2/ru not_active IP Right Cessation
- 2008-11-24 CA CA2706827A patent/CA2706827C/en not_active Expired - Fee Related
- 2008-11-24 BR BRPI0820065A patent/BRPI0820065A2/pt not_active IP Right Cessation
- 2008-11-24 EP EP08853846A patent/EP2215802A2/en not_active Ceased
- 2008-11-24 JP JP2010535465A patent/JP5507462B2/ja not_active Expired - Fee Related
- 2008-11-24 CN CN200880117640.3A patent/CN101919221B/zh not_active Expired - Fee Related
- 2008-11-24 KR KR1020107013948A patent/KR101518526B1/ko active IP Right Grant
- 2008-11-24 WO PCT/IB2008/003194 patent/WO2009068956A2/en active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060239254A1 (en) * | 1998-12-08 | 2006-10-26 | Nomadix, Inc. | Systems and Methods for Providing Dynamic Network Authorization, Authentication and Accounting |
CN1433622A (zh) * | 1999-10-22 | 2003-07-30 | 諾玛迪克斯公司 | 对试图访问网络站点的用户改向的系统和方法 |
US20030041240A1 (en) * | 2001-08-22 | 2003-02-27 | Jim Roskind | Single universal authentication system for internet services |
CN1640175A (zh) * | 2002-02-28 | 2005-07-13 | 艾利森电话股份有限公司 | 用于联合单点登录服务的系统、方法和设备 |
CN1588853A (zh) * | 2004-07-13 | 2005-03-02 | 中国工商银行 | 一种基于网络的统一认证方法及系统 |
US20060206932A1 (en) * | 2005-03-14 | 2006-09-14 | Microsoft Corporation | Trusted third party authentication for web services |
Also Published As
Publication number | Publication date |
---|---|
JP2011505735A (ja) | 2011-02-24 |
CA2706827A1 (en) | 2009-06-04 |
CA2706827C (en) | 2017-05-09 |
KR20100106990A (ko) | 2010-10-04 |
JP5507462B2 (ja) | 2014-05-28 |
US8386770B2 (en) | 2013-02-26 |
RU2507702C2 (ru) | 2014-02-20 |
CN101919221B (zh) | 2015-09-30 |
US20100281524A1 (en) | 2010-11-04 |
EP2215802A2 (en) | 2010-08-11 |
WO2009068956A3 (en) | 2009-09-03 |
RU2010126178A (ru) | 2012-01-10 |
ITTO20070853A1 (it) | 2009-05-27 |
KR101518526B1 (ko) | 2015-05-07 |
WO2009068956A2 (en) | 2009-06-04 |
BRPI0820065A2 (pt) | 2015-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101919221B (zh) | 用于属于不同机构的用户的无需证书复制的认证方法 | |
JP4742903B2 (ja) | 分散認証システム及び分散認証方法 | |
CN1881879B (zh) | 用于验证用户的公钥框架和方法 | |
US7493651B2 (en) | Remotely granting access to a smart environment | |
US8971537B2 (en) | Access control protocol for embedded devices | |
CN102594823B (zh) | 一种远程安全访问智能家居的可信系统 | |
US8272036B2 (en) | Dynamic authentication in secured wireless networks | |
CA2578186C (en) | System and method for access control | |
AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
EP2604021B1 (en) | Certificate revocation | |
US20090199009A1 (en) | Systems, methods and computer program products for authorising ad-hoc access | |
JP4620755B2 (ja) | ワイヤレスホームエリアネットワークを動作させる方法及び装置 | |
EP2604022B1 (en) | Certificate revocation | |
CN101764742A (zh) | 一种网络资源访问控制系统及方法 | |
US20110030042A1 (en) | Ldapi communication across os instances | |
CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
JP2007525125A (ja) | 移動端末による公開鍵の送信 | |
JP4607602B2 (ja) | アクセス提供方法 | |
KR100559958B1 (ko) | 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법 | |
CN104052829A (zh) | 自适应名字解析 | |
JP6783527B2 (ja) | 電子鍵再登録システム、電子鍵再登録方法およびプログラム | |
Hämäläinen et al. | Applying Wireless Technology to an Access control system | |
Kurian | Ensuring security in ad hoc networks | |
JP2005318399A (ja) | データ通信制御システム及び通信管理サーバ並びに通信制御サーバ | |
DRAMÉ-MAIGNÉ et al. | A survey of access control solutions for the Internet of Things |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20170915 Address after: Italy Knowles Patentee after: S.I.SV.EL SOCIETA' ITALIANA PER LO SVILUPPO DELL'ELETTRONICA S.P.A. Address before: Torino Co-patentee before: S.I.SV.EL. S.P.A. SOCIETA'ITALIANA PER LO SVILUPPO DELL'ELETTRONICA Patentee before: CSP Innovazione Nelle Ict Scar |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150930 |