CN1506873A - 在全异的网域之间验证和传送可核实授权的方法和系统 - Google Patents
在全异的网域之间验证和传送可核实授权的方法和系统 Download PDFInfo
- Publication number
- CN1506873A CN1506873A CNA031559778A CN03155977A CN1506873A CN 1506873 A CN1506873 A CN 1506873A CN A031559778 A CNA031559778 A CN A031559778A CN 03155977 A CN03155977 A CN 03155977A CN 1506873 A CN1506873 A CN 1506873A
- Authority
- CN
- China
- Prior art keywords
- user
- digital signature
- program code
- readable program
- computer readable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/68—Special signature format, e.g. XML format
Abstract
本发明提出了一种将可核实的验证证件提供给外部系统而不需要将ID和口令传送给受保护的资源的技术。一个希望接入一个安全远程站点的用户受到提示给出证件,在本地对证件进行验证,从而产生一个经数字签名的令牌。这个令牌由用户的浏览器用HTTP改向改变方向,发给安全远程站点。数字签名由安全远程站点最好是由一个数字签名Web服务核实。如果数字签名有效,远程站点就建立与用户的通信。
Description
技术领域
本发明涉及用于安全计算机数据共享的系统、程序产品和方法,具体地说涉及授权与因特网内安全实体进行通信。
背景技术
图1示出了一些构成一个可用于本申请的典型计算机的单元。计算机100包括一个基本计算机101,它包括处理器106、诸如磁盘107和高速易失主存储器105之类的存储媒体。操作系统和应用程序111驻留在存储媒体107内,按处理器106执行计算的需要按页调入主存储器105。基本计算机可以包括一些可按需要选择的外围设备,如视频显示器102、打印机或扫描仪110、键盘104、指点器(鼠标)103和与网络109的连接108。在客户机环境中,用户可以用键盘104和鼠标103在应用程序(应用1)112的控制下配合显示器102上的信息显示与GUI(图形用户接口)交互作用。客户机应用程序112于是通过网络109与远程用户交互作用。
图2示出了一个典型的因特网系统。客户机1(201)的用户210在他的系统上使用一些应用。客户机1(201)的用户1(210)可以通过客户机服务器计算机206与客户机2-4(202-204)交互作用。通过网络207可以由每个客户机201-205和/或客户机服务器206或一些远程服务器208提供应用112。客户机1(201)的用户可以通过因特网207与客户机5(205)的远程用户5(211)交互作用。
计算机通过诸如因特网之类的网络进行交互的一种方式是使用万维网协会(W3C)设计的标准化为因特网工程工作组(IETF)RFC2616的超文本传输协议(HTTP)开放标准。它是一种特别简单的开放性协议,在许多异构计算机系统中得到实现。
“HTTP改向(HTTP Redirect)”是一种HTTP服务器可以向用户代理指出实现请求需要进一步动作的机制。一个简单的例子是一个移动到另一个位置的资源。原来的服务器可以提供一个指向这个资源的新位置的指针,而且还指出这个指针定为永久性的还是暂时性的。
“编码”是按照一种标准格式对数据格式化。Base64编码(见IETF RFC1521)是一种将一个任意的二元流表示为ASCII字母表中较低的65个字符的方式。“URL编码”是一种字符串意味着表示任意字符的方式,在ASCII字母表的所允许的URL安全子集的范围内一个给定的统一资源定位器(URL)可以映射成的这些任意字符。
“加密”是对一个文件编码以防预定接收方之外的任何人读取这个文件的操作。“散列”是应用一个单向函数以从一个任意大小的输入产生一个固定长度值的操作。散列函数的输出可用来确定内容是否已被改变。“MD5”和“SHA”是一些流行的典型散列算法。“签名”(也称为“数字签名”)将加密与散列相结合,产生一个对象表示,可以证明一个对象只能由这个发送方产生。数字签名标准(DSS)在联邦信息处理标准出版物186上公布(1994年5月19日),可在www.itl.nist.gov/fipspubs/fip186.htm上找到。
“可扩展置标语言”(XML)是W3C的一个开放标准。XML是呈现信息的标准方式,使得内容本身自明。它是人、机都可读的。XML文档的格式可以外部规定,而文档可以相对于这些外部规定进行核实。
“远地过程调用”是一种一个计算机可以请求另一个计算机为它对某个给定的输入执行操作、返回操作结果的方式。万维网(Web)服务是一种远程过程调用,以XML编码,可以通过HTTP和其他媒体传送。流行的Web服务协议是SOAP和XML-RPC。
就计算机安全性来说,“验证(authentication)”和“授权(authorization)”是两个不同的过程。验证是确定客户机的身份的过程。授权是就经证实的一个客户机的身份确定是否允许这个客户机执行所请求的操作的过程。
用户验证和授权是企业计算的一些基本安全措施。用户访问企业内资源的管理随着资源的增长越来越困难,特别是如果在各个资源处对用户的访问必须予以管理的话。如果用户为了访问许多资源必须记住一个很长的列有不同的用户标识与口令组合的表,他的负担就越来越重。显然,这个表越长,用户开始不安全地存储这样一些口令和无意中引起安全性遭到破坏的可能性就越大。
集中管理用户的ID和口令对一个即使是小型的企业也有很大的好处。例如,在一个员工脱离企业时,可以在中心立刻撤消以前授予这个用户的访问。一个给定的用户可以用相同的ID和口令在每个允许他访问的站点登录。在一个这样的系统内,在用户试图使用一个给定的资源时,用户得到提示,输入用户ID和口令,由资源转给一个中央用户ID和口令库,它将证实输入的用户标识与口令组合的有效性。这种系统的例子有LDAP和Microsoft Windows Networking。
具有一个中央ID和口令库是一个大的飞跃,但是系统内仍然有易损坏的缺点。在处理敏感的口令上信任网络上的计算机。一个恶意的计算机可以配置成记录或者不适当地传播向这个系统登录的每个用户的口令。另一个解决方案是有一个受信任的中央管理机构,它是唯一的处理与口令有关的信息的系统。这个受信任的系统于是需要一种将经证实的一个给定资源的标志通知各个资源的方式。这种中央验证系统的例子有MicrosoftPassport和DCE/kerberos那样的系统。
上面对各种企业安全方案的说明简化成仅围绕着验证。安全系统通常除了验证信息还提取授权信息。
发明内容
本发明(IIPX)提出了一种验证用户而不需向受保护的服务器传递ID和口令的系统。客户机浏览器给用户一个验证提示。用户提供他们的证件。服务器处理验证请求,产生一个经数字签名的令牌。这个令牌于是发送给目标服务器。目标服务器接收到令牌后请求核实来自发起的客户机的签名。
因此,本发明的目的是提供用户对一个远程安全服务器的访问,其中在第一服务器检验用户的证件,而一个经数字签名的令牌发送给远程安全服务器,远程安全服务器对这个经数字签名的令牌进行解码以确认有效性。
本发明的另一个目的是提供一种通过HTTP 301 URL改向透明地向用户发送一个经验证的可核实的标识令牌的方法。
本发明的又一个目的是提供一种用HTTP 301 URL改向在全异网络上进行通信的装置。
本发明的又一个目的是提供一种在联网环境内用数字签名维护URL完整性的方法。
本发明的又一个目的是提供一种通过唯一“资源标识”码产生和映射验证询问的方法。
本发明的又一个目的是提供一种终止经数字签名的令牌(XML/文档消息)的装置。
本发明的以上这些和其他一些目的、特征和优点从下面的说明中可以清楚地看出。
附图说明
图1为示出一个计算机系统的典型组成部分的方框图;
图2为示出一个客户机-服务器网络的典型组成部分的方框图;
图3为示出本发明的的典型组成部分的示意图;
图4示出了按照本发明产生一个经数字签名的令牌的典型流程图;
图5为示出在安全服务器上核实经数字签名的令牌的典型流程图;
图6为表示本发明的主要事件的流程图;
图7为表示证件验证的流程图;
图8为表示产生数字签名的流程图;
图9为表示核实经数字签名的令牌的流程图;以及
图10为访问一个远程安全服务器的登录显示。
优选实施例说明
本发明提供了一种安全地访问一个安全远程服务器(最好是一个Web服务器)而不需要向这个远程服务器传递验证证件的方法。采用本发明的典型系统在这里称为“IIPX”或IBM内网口令外界(IBM Intranet PasswordExternal)。
在这个优选实施例(参见图3)中,IIPX包括LDAP目录303、验证/改向应用302、客户机浏览器301、全异网站304和数字签名核实服务305。
LDAP目录303提供一个存储与一个机构内的一些实体有关的信息的装置。它是一数字网络名-地址簿。LDAP目录303提供:
1.以高效率方式存储、检索、编辑、组织实体信息的能力;以及
2.提供一个诸如用户ID/口令或数字证书之类的验证的中央存储的能力。
验证/改向应用302由一个Web应用(动态HTML)组成。验证/改向应用在一个与图1所示类似的计算机系统上运行,应用驻留在存储器105内,由处理器106执行。这个应用提供;
1.按LDAP目录验证核对;
2.XML文档生成;以及
3.数字签名和动态URL改向。
客户机Web浏览器301也在如图1所示的一个用户计算机内运行,它是一个浏览Web技术的应用,诸如HTML、DHTML、JavaScript、VBScript和Java应用小程序之类。客户机Web浏览器还提供通过网络(最好是因特网207)向远程服务器提交内容的能力。客户机浏览器应用301提供:
1.提交验证证件;
2.用SSL安全地接到服务器上;以及
3.遵循如由Web服务器提供的改向提示。
全异网站304是任何需要验证但是没有访问用户的验证服务器的网站。全异网站304是一组在一个与图1所示类似的计算机上运行的应用,提供:
1.受保护的内容或服务;
2.从验证/改向应用接收经签名的令牌;以及
3.对数字签名核实服务进行必要的调用以核实令牌。
在这个优选实施例中,签名核实服务305是提供对远程系统的一个安全接口以请求令牌核实的发起实体的一部分。安全连接最好采用SSL加密在两个机器之间建立受信任的连接。
在一个优选实施例中,客户机Web浏览器301通过一个指定一个所需供应商的安全URL与验证/改向服务器302通信。安全的网站采用SSL加密在两个机器之间建立受信任的连接。大多数Web浏览器为最终用户308透明地提供这种技术。通常,一个挂锁图标(图10中的1005)指出什么时候HTTP通信是安全的。
诸如数据库、平面文件或存储器之类的数据存储器303保存有供应商ID和供应商(远程安全服务器)登录的具体要求。在这种情况下,供应商ID指出通过浏览器301呈现给用户308的HTML表格。在一个实施例中,每个远程安全网站304都有一个唯一的HTML提示表格,动态地在用户308选择一个远程安全服务时向他显示。在另一个实施例中,供应商ID提示一个HTTP 401的询问(见图4)。数据可以用许多不同的方式输入,然而最好是通过一个基于Web的接口。这个接口提供一个允许生成和关联供应商码的HTML表格和验证方法。
根据供应商ID,验证/改向服务器302提供一个HTML网页,向客户机301提示登录信息。在一个优选实施例中,这个验证提示是按供应商ID用户化的。Web浏览器301的用户308输入他们的验证证件。用户308(或者按需要也可以是用户的机构)在一个实施例中还提供需加入到验证令牌中的其他信息。接收到登录请求,验证/改向服务器302检查器对证件进行检验。如果证件没问题,授权器授权用户访问,验证/改向服务器302于是产生一个基于XML的令牌(参见表1的例子),它可以包括诸如姓名、地址或员工号码之类的个人信息。
表1:XML令牌范例
<SignonRequest vendor=″ABC123″>
<Name>
<LastName>Smith</LastName>
<FirstName>John Q.</FirstName>
</Name>
<EmployeelD>
<Countrycode>us</countrycode>
<SerialNumber>123456</Serial Number>
</EmployeelD>
<EmailAddress>chao@us.ibm.com</EmailAddress>
<TimeStamp>2002.07.17 15:38:46 GMT</TimeStamp>
<Expiration>2002.09.11 15:38:46 GMT</Expiration>
</SignonRequest>
这个XML令牌按需要可以包括一个表示令牌有效期的有效期字段。验证/授权应用302于是用一个签名产生器对XML令牌进行数字签名。令牌(参见表1所示的令牌例子)是经BASE64编码和URL编码的。结果示于表2。然后,服务器用HTTP URL改向使客户机Web浏览器的发送装置改变方向,将产生的请求发送给远程供应商服务器304。供应商服务器304接收作为CGI变量的令牌和数字签名。CGI变量是一个将成对的姓名、值传给在一个Web服务器内运行的应用。供应商应用与核实服务305通信,检验令牌的有效性。核实服务305将原来的数字签名与远程服务器304提供的签名和XML令牌进行核对。核实服务305进一步核实这个令牌以前还没有检验过而且没有过时。核实服务305将令牌的有效性“真/假/出错”返回给远程供应商服务器304。
表2:用户“John Q.Smith”的HTTP301示例
http://ww.remote-server.com/remote-login?SiteID=IBM&msg=PFNpZ25vb1J1cXV1c3QgdmVuZG9yPSJBQkMxMjMiPjxOYW11PjxMYXNOTmFtZT5ZZWFnZXI8L0xh%0D%0Ac3ROYW11PjxGaxJzdE5hbwu%2BS3Jpc3R1bjwvRm1yc3ROYW11PjwvTmFtZT48RW1wbG95ZVNJRD48%0D%OAQ291bnRyeUNvzGu%2BdXM8LONvdW50cn1Db2R1PJxTZXJpYWxOdW1iZXI%2BQzAwMzk3Mzwvu2vyaWFS%0D%0ATnVtYmVyPjwvRW1wbG95ZWVJRD48RW1haWxBZGRyZXNzPmtyaXNOZW4ueWvhZ2VyQGdhbG1sZW8u%0D%OAY29tPC9FbWFpbEFkZHJ1c3M%2BPFRpbWVTdGFtcD4yMDAyLjA1LjE3IDEz0jA50jU1IEdNwvVG1t%0D%0AZVN0YW1wPjxFeHBpcmF0aW9uPjIwMDIuMDUuMzEgMTM6MDk6NTUgR01UPC9FeHBpcmF0aW9uPjwv%0D%0AU21nbm9uUmVxdWvzdD4%3D&
sig=
ANTy5kFaT0073uAF9LD%2FvKH13mWbgtiTMWDu%2B7mGLcbEXhN1yT%2F9zsRHZ2mZ5ANAtSXcE90vOFHL%0D%0A%2B1J1aNwTQyIIILdefvmifYsQCEnaRnncZCBPt61FOieh%2FnNqEiQOC7YDniGZrMQ4L%2FEJ3j6SQNr9%0D%0AXQyGNvnCq%2FoHpRhNouk%3D
在一个优选实施例中,数字签名和XML令牌用Base-64和URL编码表示,如表2所例示的那样。
在下面这个例子中,James试图从他的公司的内网访问一个旅行网站。James308用他的HTML浏览器301开始他的Web旅行。起始URL提供在企业安全网站304上。
参见图6,James的浏览器301请求安全站点的一个登录网页(图10)。在601,登录请求呈送给验证服务器302,它最好动态地构造一个对于所请求的站点用户化的HTML表格。在602,验证服务器将HTML表格返回给James的浏览器。这个网页以有关外部供应商网站的一些信息开始,而且提示他输入他的用户名和口令。登录表是按外部旅行网站的风格用户化的。用户化由James的公司保存的供应商码确定。它提供了旅行网站的独特设计,同时清楚地指出James可以用他的内网口令登录。James将使用存储在企业LDAP目录内的他的公共验证口令。
在603,James输入他的ID1002和口令1003,再点击“提交”按钮1004。在James按下HTML表上的提交按钮时,他的用户名和口令就在604发送给验证/授权302以核实他的证件。
在验证服务器302接收到他的证件时(图7的701),验证服务器302在702与企业LDAP目录连接。企业LDAP目录就象一电话簿。它存储有关一个机构内的个人的信息。它存储的其中两个字段是用户的用户名和口令。Web服务器请求将James输入的适当用户名和口令与他的LDAP条目进行核对。如果有差错,James就会得到提示。在James提供了正确证件的这种情况下,在703,LDAP检验成功。
如同许多有用的网站那样,外部旅行网站304需要James的个人信息。在是他的公司的情况下,他们在605选择了代James提供。Web服务器向LDAP服务器704询问James的姓名、员工ID和电子邮件地址。参见图8,在606中的801,Web服务器建立一个含有该个人信息的XML文档。它增添了供应商的ID、分组创建时间时戳和期满时间三个部分。期满时间标明这个XML文档要被处理为无效的时间。
创建了XML文档,在802,Web服务器对XML分组数字签名。这个过程通过在该技术领域内众所周知的技术应用和代码执行。
在803,Web服务器现在建立带有数字签名和XML分组的HTTP 301 URL改向。XML分组是BASE64编码和URL编码的,以便保存内容,同时使它遵从URL(表2)。在804,Web服务器将改向URL发回给James的HTTP浏览器。
大多数公共的浏览器自动遵从来自Web服务器607的URL改向。其他浏览器只是表明所请求的资源已经移动,请向下面的URL进行查找。在这种情况下,James的Web浏览器接收到URL改向,自动遵从新的URL607。由于James已经正确地配置了他的浏览器,因此URL改向无缝地使他指向外部旅行网站304。
外部旅行网站304具有一个对于James的公司的雇员的专用URL。参见图9,在901,改向URL指向旅行网站。在902,旅行网站接收到James的HTTP请求。成对的姓名和值通过URL格式传送。如表2所示,Web服务器能识别数字签名和XML令牌。旅行网站现在具有这两个部分,但是仍然需要核实令牌。
旅行Web服务器首先对XML分组(表2)进行BASE64解码,检查供应商ID,以保证它是他们所想要的。旅行Web服务器按需要可以通过终止时戳检验这个XML分组是否已经期满。如果这个分组仍然未期满,网站就建立对James的公司的连接。
James的公司运行一个签名核对服务305。在另一个实施例中,核实服务由任何受信任方提供。这个服务将数字签名与先前签名的数据进行核对。在这种情况下,它将核实XML文档的数字签名。在903,旅行网站请求核实。
在904,核实服务接收到来自旅行网站的请求。这个请求含有数字签名和XML文档。在906,核实服务核对XML文件,了解这个XML文件是否期满。如果XML文件已经期满,核实服务就将这个情况返回旅行网站。否则,核实服务将它接收的每个XML令牌的一个记录保持在诸如存储器、数据库或硬盘之类的的存储装置内。XML令牌在终止时间到达后就从存储装置中删去。通过将前面的令牌存储一段时间,核实系统可以在905确定一个所请求的令牌是否已经得到处理。进一步保护系统安全的方式之一是根据每个令牌的终止期确定存储每个令牌的时间。将令牌一直保留到期满才使这个XML文档在将来的请求中成为无效的。
假设XML令牌在对XML文档签名时仍然是及时的。在907,核实服务就将所产生的签名与旅行网站作为核实请求的一部分给出的签名进行比较。如果它们不匹配,就将这结果返回给旅行网站。如果它们匹配,就在908将肯定结果返回给旅行网站。
如在609所示,外部旅行网站接收核实服务所得到的结果。如果结果是否定的,它将一个HTML页面呈现给James的HTTP浏览器,将情况通知用户。如果结果是肯定的,旅行网站利用在XML令牌内的个人数据提供一个用户化的网页,发回给James的HTTP浏览器301。虽然这个过程有许多步骤,但James经历的是一个迅速、无缝的端到端响应。至于James,他从他的公司内部登录,就一个增强的用户经历而言被透明地传送给一个具有有关James个人信息的外部网站。
所有的网络连接在这个优选实施例中都用SSL对事务加密。虽然外部网站通过数字签名服务核实验证和授权,但是网络通信仍有可能需予以折衷。一种方式是获取改向URL,用它重演一系列事件。如果不采取特别安全保障措施,窃听者将可能获得一个不是他们的URL,作为其他人访问网站。
参见图3,防火墙306、307起着对一个网络的屏障作用。它们通常勾划出内部的“内网”和外部的“因特网”的界线。它们通常用来将有害的通信业务排除在外。有害的通信业务认为是未经请求的网络连接。然而,防火墙306、307还使内网中的网络通信业务通常可以接入因特网,但是通常防止因特网接入内网。通常,这些有害的通信是由黑客干的。防火墙306、307还调整可以离开网络的网络活动的类型。防火墙306、307提供规定和执行所允许的连接类型的网络层管理。在这个优选实施例中,连接用HTTP URL改向越过防火墙。HTTP/HTTPS是一个允许通过大多数防火墙的公共协议。URL改向是一种间接通过全异网络的可取方法。
为了回顾这个优选实施例的功能,可以参看图4。用户308观看在他的客户机301上运行的他的浏览器上的一个HTML页面。在用户308希望去安全远程站点(客户站点)304时,他得到一个HTML页面(图10的1000),向他提示输入他的口令和ID(他的证件)。浏览器指向一个内部服务器402,它最好是验证/改向服务器302。用户输入信息,提交请求,如步骤1所示。验证服务器302运行用户检查器的内网口令服务程序401,将用户的证件与LDAP目录303(验证程序提取LDAP用户证件)进行核对(步骤2)。验证服务器302生成一个XML文档(令牌产生器产生一个令牌消息),并加上数字签名(步骤3)。然后,验证服务器302用一个改向产生器产生一个“HTTP302”改向消息,通过一个改向通信例行程序将含有所产生的改向URL查询串返回给浏览器301(步骤4)。在402,浏览器改向到客户站点304。在步骤5,经签名的XML通过安全套接层发送给客户站点304。
参见图5,安全远程服务器“客户站点”304的接收器接收到经签名的请求令牌后,安全站点服务器的签名发送器通过网络分配器505将一个包括经签名的令牌的SSL请求发送给一个数字签名核实Web服务305(步骤6)。Web服务签名有效性接收器接收到令牌后,数字签名核实器对令牌进行核实(步骤7),将一个有效性指示符(真/假/错误)返回给安全客户站点。如果令牌核实成功,安全站点304的会话建立器建立与用户的会话(步骤8)。
虽然所说明的这个优选实施例包括一个为许多用户服务的企业业务站点,但对于熟悉该技术领域的人员来说存在其他一些变形是显然的。例如,在另一个实施例中,数字签名核实服务305是一个与验证/改向服务器302分开的独立实体。在这样一个环境中,一些团体或个人在独立的数字签名核实服务305内获取所例示的数字签名部分。例如,一个希望访问一个远程网站304的用户打开一个用安全措施产生的网页。这个网页包括与数字签名核实服务305通信的HTML码,用来提供识别信息和按需要还可以支付费用。核实服务305为用户提供一个专用密钥,由用户的验证改向服务器用来产生用户令牌的数字签名。数字核实服务305将用户令牌与一个用来产生和核实数字签名的唯一专用密钥关联。
在另一个实施例中,数字签名核实服务305支持多个专用密钥,一个或多个专用密钥分别与各个远程网站304关联(最好用查找表关联)。在另一个实施例中,多个专用密钥与一些诸如用户ID、小组ID(企业部门)、项目ID(将一个专用密钥与一个由一些具有同样权限的用户共享的ID关联)之类的多种粒度单元关联。
虽然上面例示和说明了本发明的这个优选实施例,但可以理解,本发明并不局限于在这里所揭示的具体结构,对于所有在如所附权利要求书给出的本发明的专利保护范围内的变动和修改都应保留为本发明的专利权。
Claims (30)
1.一种用户访问一个安全因特网站点的方法,所述方法应用用户证件数据和其他用户数据,所述方法包括下列步骤:
按照第一预定规划核对用户证件数据;
如果所述用户证件合格,授权所述用户访问一个安全因特网站点;
按照第二预定规划生成一个包括所述授权用户的所述其他用户数据的经数字签名的请求;以及
将所述经数字签名的请求发送给所述安全因特网站点。
2.按照权利要求1所述的方法,其中所述因特网站点包括万维网页面。
3.按照权利要求1所述的方法,所述方法还包括下列步骤:
为一个客户机浏览器提供一个网页,所述网页向所述用户提示输入识别信息;以及
用所述识别信息检索用户证件。
4.按照权利要求3所述的方法,其中所述提供步骤还包括根据与所述安全站点关联的识别信息动态地产生所述网页的步骤。
5.按照权利要求4所述的方法,其中所述动态地产生网页的步骤还包括一个验证提示。
6.按照权利要求1所述的方法,所述方法还包括下列步骤:
在所述安全因特网站点接收所述经数字签名的请求;
核实所述经数字签名的请求的有效性;以及
如果所述经数字签名的请求有效,建立一个与所述第一用户的通信会话。
7.按照权利要求6所述的方法,其中所述核实步骤包括下列步骤:
将所述数字签名发送给在一个核实因特网站点处的一个数字签名核实服务;以及
从所述核实因特网站点接收一个所述数字签名的有效性的指示。
8.按照权利要求1所述的方法,其中所述检验用户证件的步骤还包括下列步骤:
将所述用户证件与一个公共目录内的数据进行核对;
生成令牌消息;
产生一个指向安全因特网站点的改向URL;以及
将改向URL传送给一个用户浏览器。
9. 按照权利要求8所述的方法,其中所述令牌消息包括XML数据、期满字段或唯一用户信息。
10.按照权利要求8所述的方法,其中所述改向URL是经数字签名的。
11.一种用户访问一个安全因特网站点的系统,所述系统应用用户证件数据和其他用户数据,所述系统包括:
检查器,用来按照第一预定规划核对用户证件数据;
授权器,用来在所述用户证件合格的情况下,授权所述用户访问一个安全因特网站点;
签名产生器,用来按照第二预定规划产生一个包括所述授权用户的所述其他用户数据的经数字签名的请求;以及
发送装置,用来将所述经数字签名的请求发送给所述安全因特网站点。
12.按照权利要求11所述的系统,其中所述因特网站点包括万维网页面。
13.按照权利要求11所述的系统,所述系统还包括:
网页提供器,用来为一个客户机浏览器提供一个网页,所述网页向所述用户提示输入识别信息;以及
验证器,用所述识别信息检索用户证件。
14.按照权利要求13所述的系统,其中所述网页提供器还根据与所述安全站点关联的识别信息动态地产生所述网页。
15.按照权利要求14所述的系统,其中所述网页提供器动态地产生验证提示。
16.按照权利要求11所述的系统,所述系统还包括:
接收器,用来在所述安全因特网站点接收所述经数字签名的请求;
数字签名核实器,用来核实所述经数字签名的请求的有效性;以及
会话建立器,用来在所述经数字签名的请求有效的情况下建立与所述第一用户的通信会话。
17.按照权利要求16所述的系统,其中所述数字签名核实器还包括:
签名发送器,用来将所述数字签名发送给在核实因特网站点处的数字签名核实服务;以及
签名有效性接收器,用来从所述核实因特网站点接收所述数字签名的有效性的指示。
18.按照权利要求11所述的系统,其中所述检查器还包括:
用户检查器,用来将所述用户证件与一个公共目录内的数据进行核对;
令牌产生器,用来产生令牌消息;
改向产生器,用来产生一个指向安全因特网站点的改向URL;以及
改向通信器,用来将改向URL传送给一个用户浏览器。
19.按照权利要求18所述的系统,其中所述令牌消息包括XML数据、期满字段或唯一用户信息。
20.按照权利要求18所述的系统,其中所述改向URL是经数字签名的。
21.一种使用户访问安全因特网站点的计算机程序产品,所述计算机程序产品应用用户证件数据和其他用户数据,所述计算机程序产品包括具有计算机可读程序代码的计算机可读媒体,所述计算机程序产品包括:
按照第一预定规划核对用户证件数据的计算机可读程序代码;
在所述用户证件合格的情况下授权所述用户访问一个安全因特网站点的计算机可读程序代码;
按照第二预定规划产生一个包括所述授权用户的所述其他用户数据的经数字签名的请求的计算机可读程序代码;以及
将所述经数字签名的请求发送给所述安全因特网站点的计算机可读程序代码。
22.按照权利要求21所述的计算机程序产品,其中所述因特网站点包括万维网页面。
23.按照权利要求21所述的计算机程序产品,所述计算机程序产品还包括:
为客户机浏览器提供一个提示所述用户输入识别信息的网页的计算机可读程序代码;以及
用所述识别信息检索用户证件的计算机可读程序代码。
24.按照权利要求23所述的计算机程序产品,其中用于提供所述网页的计算机可读程序代码还根据与所述安全站点关联的识别信息动态地产生所述网页。
25.按照权利要求24所述的计算机程序产品,其中用于提供所述网页的计算机可读程序代码动态地产生一个验证提示。
26.按照权利要求21所述的计算机程序产品,所述计算机程序产品还包括:
在所述安全因特网站点接收所述经数字签名的请求的计算机可读程序代码;
用来核实所述经数字签名的请求的有效性的计算机可读程序代码;以及
在所述经数字签名的请求有效的情况下建立与所述第一用户的通信会话的计算机可读程序代码。
27.按照权利要求26所述的计算机程序产品,其中用于核实所述数字签名的计算机可读程序代码还包括:
将所述数字签名发送给在一个核实因特网站点处的一个数字签名核实服务的计算机可读程序代码;以及
从所述核实因特网站点接收一个所述数字签名的有效性的指示的计算机可读程序代码。
28.按照权利要求21所述的计算机程序产品,其中所述用于核对的计算机可读程序代码还包括:
将所述用户证件与一个公共目录内的数据进行核对的计算机可读程序代码;
产生令牌消息的计算机可读程序代码;
用来产生一个指向安全因特网站点的改向URL的计算机可读程序代码;以及
将所述改向URL传送给一个用户浏览器的计算机可读程序代码。
29.按照权利要求28所述的计算机程序产品,其中所述令牌消息包括XML数据、期满字段或唯一用户信息。
30.按照权利要求28所述的计算机程序产品,其中所述改向URL是经数字签名的。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/229,693 | 2002-08-28 | ||
US10/229,693 US20040054898A1 (en) | 2002-08-28 | 2002-08-28 | Authenticating and communicating verifiable authorization between disparate network domains |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1506873A true CN1506873A (zh) | 2004-06-23 |
CN100369030C CN100369030C (zh) | 2008-02-13 |
Family
ID=31990371
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031559778A Expired - Fee Related CN100369030C (zh) | 2002-08-28 | 2003-08-27 | 在全异的网域之间验证和传送可核实授权的方法和系统 |
Country Status (2)
Country | Link |
---|---|
US (2) | US20040054898A1 (zh) |
CN (1) | CN100369030C (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100417066C (zh) * | 2004-12-29 | 2008-09-03 | 国际商业机器公司 | 用于处理基于浏览器的应用中的安全问题的多域访问代理 |
CN102546579A (zh) * | 2010-12-31 | 2012-07-04 | 北大方正集团有限公司 | 一种提供系统资源的方法、装置及系统 |
CN104106052A (zh) * | 2012-02-16 | 2014-10-15 | 西里克斯系统公司 | 用于主控的服务的连接租赁 |
Families Citing this family (109)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6391005B1 (en) | 1998-03-30 | 2002-05-21 | Agilent Technologies, Inc. | Apparatus and method for penetration with shaft having a sensor for sensing penetration depth |
US7981056B2 (en) * | 2002-04-19 | 2011-07-19 | Pelikan Technologies, Inc. | Methods and apparatus for lancet actuation |
WO2002100254A2 (en) | 2001-06-12 | 2002-12-19 | Pelikan Technologies, Inc. | Method and apparatus for lancet launching device integrated onto a blood-sampling cartridge |
US9795747B2 (en) | 2010-06-02 | 2017-10-24 | Sanofi-Aventis Deutschland Gmbh | Methods and apparatus for lancet actuation |
US7041068B2 (en) | 2001-06-12 | 2006-05-09 | Pelikan Technologies, Inc. | Sampling module device and method |
US7344507B2 (en) | 2002-04-19 | 2008-03-18 | Pelikan Technologies, Inc. | Method and apparatus for lancet actuation |
US9795334B2 (en) | 2002-04-19 | 2017-10-24 | Sanofi-Aventis Deutschland Gmbh | Method and apparatus for penetrating tissue |
US7901362B2 (en) | 2002-04-19 | 2011-03-08 | Pelikan Technologies, Inc. | Method and apparatus for penetrating tissue |
US8579831B2 (en) | 2002-04-19 | 2013-11-12 | Sanofi-Aventis Deutschland Gmbh | Method and apparatus for penetrating tissue |
US7547287B2 (en) | 2002-04-19 | 2009-06-16 | Pelikan Technologies, Inc. | Method and apparatus for penetrating tissue |
US7226461B2 (en) | 2002-04-19 | 2007-06-05 | Pelikan Technologies, Inc. | Method and apparatus for a multi-use body fluid sampling device with sterility barrier release |
US7371247B2 (en) | 2002-04-19 | 2008-05-13 | Pelikan Technologies, Inc | Method and apparatus for penetrating tissue |
US7909778B2 (en) * | 2002-04-19 | 2011-03-22 | Pelikan Technologies, Inc. | Method and apparatus for penetrating tissue |
US7562222B2 (en) * | 2002-05-10 | 2009-07-14 | Rsa Security Inc. | System and method for authenticating entities to users |
US7265881B2 (en) * | 2002-12-20 | 2007-09-04 | Hewlett-Packard Development Company, L.P. | Method and apparatus for measuring assembly and alignment errors in sensor assemblies |
US8574895B2 (en) | 2002-12-30 | 2013-11-05 | Sanofi-Aventis Deutschland Gmbh | Method and apparatus using optical techniques to measure analyte levels |
US7676546B2 (en) * | 2003-03-25 | 2010-03-09 | Verisign, Inc. | Control and management of electronic messaging |
DK1633235T3 (da) | 2003-06-06 | 2014-08-18 | Sanofi Aventis Deutschland | Apparat til udtagelse af legemsvæskeprøver og detektering af analyt |
US7299492B2 (en) * | 2003-06-12 | 2007-11-20 | International Business Machines Corporation | Multi-level multi-user web services security system and method |
US8364957B2 (en) * | 2004-03-02 | 2013-01-29 | International Business Machines Corporation | System and method of providing credentials in a network |
US7716352B2 (en) * | 2004-04-23 | 2010-05-11 | The Board Of Trustees Of The University Of Illinois | Method and system for retrieving information using an authentication web page |
US20050240869A1 (en) * | 2004-04-23 | 2005-10-27 | Kalev Leetaru | Method and system for editable web browsing |
WO2005120365A1 (en) | 2004-06-03 | 2005-12-22 | Pelikan Technologies, Inc. | Method and apparatus for a fluid sampling device |
US9775553B2 (en) * | 2004-06-03 | 2017-10-03 | Sanofi-Aventis Deutschland Gmbh | Method and apparatus for a fluid sampling device |
KR100644616B1 (ko) * | 2004-06-10 | 2006-11-10 | 세종대학교산학협력단 | 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 |
US20060005234A1 (en) * | 2004-06-30 | 2006-01-05 | International Business Machines Corporation | Method and apparatus for handling custom token propagation without Java serialization |
US20060068799A1 (en) * | 2004-09-27 | 2006-03-30 | T-Mobile, Usa, Inc. | Open-host wireless access system |
US8230224B2 (en) | 2005-03-08 | 2012-07-24 | International Business Machines Corporation | Transmitting security data in multipart communications over a network |
US7743254B2 (en) | 2005-03-23 | 2010-06-22 | Microsoft Corporation | Visualization of trust in an address bar |
US7506163B2 (en) * | 2005-04-01 | 2009-03-17 | Ve Networks | Methods and apparatuses for security visualization |
US7730215B1 (en) * | 2005-04-08 | 2010-06-01 | Symantec Corporation | Detecting entry-portal-only network connections |
US20060259767A1 (en) * | 2005-05-16 | 2006-11-16 | Mansz Robert P | Methods and apparatuses for information authentication and user interface feedback |
US20060291700A1 (en) * | 2005-06-08 | 2006-12-28 | Ogram Mark E | Internet signature verification system |
US20070030965A1 (en) * | 2005-07-19 | 2007-02-08 | Mansz Robert P | Methods and apparatuses for management of entitlement to digital security operations |
JP2009510570A (ja) * | 2005-09-26 | 2009-03-12 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | ブラウザ・ウィンドウの制御方法 |
KR100875919B1 (ko) | 2005-12-07 | 2008-12-26 | 한국전자통신연구원 | 서명된 콜백 유알엘 메시지를 이용한 개인정보 공유 서비스제공 장치 및 방법 |
EP2005698B1 (en) * | 2006-04-13 | 2012-01-04 | Art of Defence GmbH | Method for providing web application security |
US8590027B2 (en) * | 2007-02-05 | 2013-11-19 | Red Hat, Inc. | Secure authentication in browser redirection authentication schemes |
US8443187B1 (en) * | 2007-04-12 | 2013-05-14 | Marvell International Ltd. | Authentication of computing devices in server based on mapping between port identifier and MAC address that allows actions-per-group instead of just actions-per-single device |
US8341104B2 (en) * | 2007-08-16 | 2012-12-25 | Verizon Patent And Licensing Inc. | Method and apparatus for rule-based masking of data |
US11843594B2 (en) * | 2007-09-04 | 2023-12-12 | Live Nation Entertainment, Inc. | Controlled token distribution to protect against malicious data and resource access |
US8156228B1 (en) * | 2007-09-28 | 2012-04-10 | Symantec Corporation | Method and apparatus to enable confidential browser referrals |
US8516366B2 (en) * | 2008-06-20 | 2013-08-20 | Wetpaint.Com, Inc. | Extensible content service for attributing user-generated content to authored content providers |
US8510560B1 (en) | 2008-08-20 | 2013-08-13 | Marvell International Ltd. | Efficient key establishment for wireless networks |
JP5489182B2 (ja) | 2008-09-18 | 2014-05-14 | マーベル ワールド トレード リミテッド | プリロードする方法及びコントローラ |
US8271536B2 (en) * | 2008-11-14 | 2012-09-18 | Microsoft Corporation | Multi-tenancy using suite of authorization manager components |
CA2751554C (en) | 2009-02-05 | 2015-07-21 | Wwpass Corporation | Centralized authentication system with safe private data storage and method |
US9059979B2 (en) * | 2009-02-27 | 2015-06-16 | Blackberry Limited | Cookie verification methods and apparatus for use in providing application services to communication devices |
US8819848B2 (en) * | 2009-11-24 | 2014-08-26 | Comcast Interactive Media, Llc | Method for scalable access control decisions |
US9544143B2 (en) | 2010-03-03 | 2017-01-10 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions |
US9532222B2 (en) | 2010-03-03 | 2016-12-27 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions after additional agent verification |
US8510820B2 (en) | 2010-12-02 | 2013-08-13 | Duo Security, Inc. | System and method for embedded authentication |
US9282085B2 (en) | 2010-12-20 | 2016-03-08 | Duo Security, Inc. | System and method for digital user authentication |
US8689099B1 (en) * | 2010-12-23 | 2014-04-01 | Amazon Technologies, Inc. | Cross-domain communication |
US8769655B2 (en) * | 2010-12-30 | 2014-07-01 | Verisign, Inc. | Shared registration multi-factor authentication tokens |
US8863248B2 (en) * | 2011-04-07 | 2014-10-14 | International Business Machines Corporation | Method and apparatus to auto-login to a browser application launched from an authenticated client application |
US9037963B1 (en) | 2011-04-22 | 2015-05-19 | Amazon Technologies, Inc. | Secure cross-domain web browser communications |
US8892885B2 (en) | 2011-08-31 | 2014-11-18 | Duo Security, Inc. | System and method for delivering a challenge response in an authentication protocol |
US9467463B2 (en) | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
US9830435B2 (en) * | 2011-10-04 | 2017-11-28 | Salesforce.Com, Inc. | Method and system for providing login as a service |
US8763077B2 (en) | 2011-10-07 | 2014-06-24 | Duo Security, Inc. | System and method for enforcing a policy for an authenticator device |
US9436629B2 (en) | 2011-11-15 | 2016-09-06 | Marvell World Trade Ltd. | Dynamic boot image streaming |
US8752203B2 (en) * | 2012-06-18 | 2014-06-10 | Lars Reinertsen | System for managing computer data security through portable data access security tokens |
US8819803B1 (en) * | 2012-06-29 | 2014-08-26 | Emc Corporation | Validating association of client devices with authenticated clients |
US9887992B1 (en) | 2012-07-11 | 2018-02-06 | Microstrategy Incorporated | Sight codes for website authentication |
US9269358B1 (en) | 2012-07-11 | 2016-02-23 | Microstrategy Incorporated | User credentials |
US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
CN102882675A (zh) * | 2012-10-18 | 2013-01-16 | 杭州也要买电子商务有限公司 | 社交网站用的密码加密方法 |
US8775807B1 (en) | 2012-10-26 | 2014-07-08 | Microstrategy Incorporated | Credential tracking |
US9640001B1 (en) | 2012-11-30 | 2017-05-02 | Microstrategy Incorporated | Time-varying representations of user credentials |
CN102984161B (zh) * | 2012-12-05 | 2016-06-15 | 北京奇虎科技有限公司 | 一种可信网站的识别方法和装置 |
US9575768B1 (en) | 2013-01-08 | 2017-02-21 | Marvell International Ltd. | Loading boot code from multiple memories |
US9338156B2 (en) | 2013-02-22 | 2016-05-10 | Duo Security, Inc. | System and method for integrating two-factor authentication in a device |
US9607156B2 (en) * | 2013-02-22 | 2017-03-28 | Duo Security, Inc. | System and method for patching a device through exploitation |
US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
US9443073B2 (en) | 2013-08-08 | 2016-09-13 | Duo Security, Inc. | System and method for verifying status of an authentication device |
US9154303B1 (en) | 2013-03-14 | 2015-10-06 | Microstrategy Incorporated | Third-party authorization of user credentials |
US20140280883A1 (en) * | 2013-03-15 | 2014-09-18 | International Business Machines Corporation | Secure URL update for HTTP redirects |
US9736801B1 (en) | 2013-05-20 | 2017-08-15 | Marvell International Ltd. | Methods and apparatus for synchronizing devices in a wireless data communication system |
US9521635B1 (en) | 2013-05-21 | 2016-12-13 | Marvell International Ltd. | Methods and apparatus for selecting a device to perform shared functionality in a deterministic and fair manner in a wireless data communication system |
US9836306B2 (en) | 2013-07-31 | 2017-12-05 | Marvell World Trade Ltd. | Parallelizing boot operations |
US9053310B2 (en) | 2013-08-08 | 2015-06-09 | Duo Security, Inc. | System and method for verifying status of an authentication device through a biometric profile |
US9608814B2 (en) | 2013-09-10 | 2017-03-28 | Duo Security, Inc. | System and method for centralized key distribution |
US9092302B2 (en) | 2013-09-10 | 2015-07-28 | Duo Security, Inc. | System and method for determining component version compatibility across a device ecosystem |
US9774448B2 (en) | 2013-10-30 | 2017-09-26 | Duo Security, Inc. | System and methods for opportunistic cryptographic key management on an electronic device |
CN103607284B (zh) * | 2013-12-05 | 2017-04-19 | 李笑来 | 身份认证方法及设备、服务器 |
US9762590B2 (en) | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
US9426152B2 (en) | 2014-07-08 | 2016-08-23 | International Business Machines Corporation | Secure transfer of web application client persistent state information into a new domain |
CN104123380B (zh) * | 2014-07-31 | 2018-03-30 | 珠海市君天电子科技有限公司 | 网页访问方法和装置 |
US11399019B2 (en) * | 2014-10-24 | 2022-07-26 | Netflix, Inc. | Failure recovery mechanism to re-establish secured communications |
US10050955B2 (en) | 2014-10-24 | 2018-08-14 | Netflix, Inc. | Efficient start-up for secured connections and related services |
US11533297B2 (en) | 2014-10-24 | 2022-12-20 | Netflix, Inc. | Secure communication channel with token renewal mechanism |
CN107636663A (zh) * | 2014-12-31 | 2018-01-26 | 威斯科数据安全国际有限公司 | 使用环境的位置相关物理属性的测量来保护应用的方法和装置 |
US9979719B2 (en) | 2015-01-06 | 2018-05-22 | Duo Security, Inc. | System and method for converting one-time passcodes to app-based authentication |
US9641341B2 (en) | 2015-03-31 | 2017-05-02 | Duo Security, Inc. | Method for distributed trust authentication |
CN104965852A (zh) * | 2015-04-30 | 2015-10-07 | 百度在线网络技术(北京)有限公司 | 一种账号访问的方法、网络设备及用户设备 |
WO2016195847A1 (en) | 2015-06-01 | 2016-12-08 | Duo Security, Inc. | Method for enforcing endpoint health standards |
US9774579B2 (en) | 2015-07-27 | 2017-09-26 | Duo Security, Inc. | Method for key rotation |
US9992163B2 (en) | 2015-12-14 | 2018-06-05 | Bank Of America Corporation | Multi-tiered protection platform |
US9832229B2 (en) | 2015-12-14 | 2017-11-28 | Bank Of America Corporation | Multi-tiered protection platform |
US9832200B2 (en) | 2015-12-14 | 2017-11-28 | Bank Of America Corporation | Multi-tiered protection platform |
CN109075968A (zh) | 2016-03-08 | 2018-12-21 | 马维尔国际贸易有限公司 | 用于安全设备认证的方法和装置 |
CN105764056B (zh) * | 2016-04-13 | 2020-04-24 | 趣增信息科技(上海)有限公司 | 一种用于公共wifi接入的web认证系统及方法 |
GB201617620D0 (en) * | 2016-10-18 | 2016-11-30 | Cybernetica As | Composite digital signatures |
US10412113B2 (en) | 2017-12-08 | 2019-09-10 | Duo Security, Inc. | Systems and methods for intelligently configuring computer security |
CN108712492A (zh) * | 2018-05-17 | 2018-10-26 | 中兴通讯股份有限公司 | 一种http重定向方法、装置、路由设备及计算机存储介质 |
US11120107B2 (en) | 2018-12-06 | 2021-09-14 | International Business Machines Corporation | Managing content delivery to client devices |
US11658962B2 (en) | 2018-12-07 | 2023-05-23 | Cisco Technology, Inc. | Systems and methods of push-based verification of a transaction |
CN115037545A (zh) * | 2022-06-14 | 2022-09-09 | 江苏银承网络科技股份有限公司 | 一种免密授权登陆网站的方法、装置及存储介质 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5418854A (en) * | 1992-04-28 | 1995-05-23 | Digital Equipment Corporation | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system |
US5403974A (en) * | 1993-01-08 | 1995-04-04 | Square D Company | Interlocking wireway assembly for electrical distribution devices |
US5999711A (en) * | 1994-07-18 | 1999-12-07 | Microsoft Corporation | Method and system for providing certificates holding authentication and authorization information for users/machines |
CA2194475A1 (en) * | 1994-07-19 | 1996-02-01 | Frank W. Sudia | Method for securely using digital signatures in a commercial cryptographic system |
US5715314A (en) * | 1994-10-24 | 1998-02-03 | Open Market, Inc. | Network sales system |
US5655077A (en) * | 1994-12-13 | 1997-08-05 | Microsoft Corporation | Method and system for authenticating access to heterogeneous computing services |
CA2138302C (en) * | 1994-12-15 | 1999-05-25 | Michael S. Fortinsky | Provision of secure access to external resources from a distributed computing environment |
US5815665A (en) * | 1996-04-03 | 1998-09-29 | Microsoft Corporation | System and method for providing trusted brokering services over a distributed network |
US6055637A (en) * | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
US5875296A (en) * | 1997-01-28 | 1999-02-23 | International Business Machines Corporation | Distributed file system web server user authentication with cookies |
US6725376B1 (en) * | 1997-11-13 | 2004-04-20 | Ncr Corporation | Method of using an electronic ticket and distributed server computer architecture for the same |
US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
US6131164A (en) * | 1998-02-27 | 2000-10-10 | Sprint Communications Company, L.P. | Reverse internet protocol lookup |
US6128738A (en) * | 1998-04-22 | 2000-10-03 | International Business Machines Corporation | Certificate based security in SNA data flows |
US6275944B1 (en) * | 1998-04-30 | 2001-08-14 | International Business Machines Corporation | Method and system for single sign on using configuration directives with respect to target types |
JP3493141B2 (ja) * | 1998-06-12 | 2004-02-03 | 富士通株式会社 | ゲートウェイシステムおよび記録媒体 |
US6647532B1 (en) * | 1998-10-29 | 2003-11-11 | Dell Usa L.P. | Built-in automatic customer identifier when connecting to a vendor website |
US6304974B1 (en) | 1998-11-06 | 2001-10-16 | Oracle Corporation | Method and apparatus for managing trusted certificates |
US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
US6957334B1 (en) * | 1999-06-23 | 2005-10-18 | Mastercard International Incorporated | Method and system for secure guaranteed transactions over a computer network |
WO2001046788A1 (en) * | 1999-12-21 | 2001-06-28 | Netscape Communications Corporation | Hardware token self enrollment process |
US6403974B1 (en) * | 2000-11-13 | 2002-06-11 | Behavior Tech Computer Corporation | Test device for horizontal position of an optical disc drive motor |
US7356711B1 (en) * | 2002-05-30 | 2008-04-08 | Microsoft Corporation | Secure registration |
-
2002
- 2002-08-28 US US10/229,693 patent/US20040054898A1/en not_active Abandoned
-
2003
- 2003-08-27 CN CNB031559778A patent/CN100369030C/zh not_active Expired - Fee Related
-
2007
- 2007-08-17 US US11/840,684 patent/US8499339B2/en not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100417066C (zh) * | 2004-12-29 | 2008-09-03 | 国际商业机器公司 | 用于处理基于浏览器的应用中的安全问题的多域访问代理 |
CN102546579A (zh) * | 2010-12-31 | 2012-07-04 | 北大方正集团有限公司 | 一种提供系统资源的方法、装置及系统 |
CN104106052A (zh) * | 2012-02-16 | 2014-10-15 | 西里克斯系统公司 | 用于主控的服务的连接租赁 |
CN104106052B (zh) * | 2012-02-16 | 2018-07-06 | 西里克斯系统公司 | 用于主控的服务的连接租赁 |
Also Published As
Publication number | Publication date |
---|---|
CN100369030C (zh) | 2008-02-13 |
US20040054898A1 (en) | 2004-03-18 |
US20070289004A1 (en) | 2007-12-13 |
US8499339B2 (en) | 2013-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100369030C (zh) | 在全异的网域之间验证和传送可核实授权的方法和系统 | |
US7500099B1 (en) | Method for mitigating web-based “one-click” attacks | |
US9537861B2 (en) | Method of mutual verification between a client and a server | |
US8381276B2 (en) | Safe URL shortening | |
US6629246B1 (en) | Single sign-on for a network system that includes multiple separately-controlled restricted access resources | |
US9026788B2 (en) | Managing credentials | |
US8819416B2 (en) | Method and system for modular authentication and session management | |
KR100946110B1 (ko) | 기존 ssl 세션을 브레이킹하지 않고 인증서-기반 인증으로 스텝 업하는 방법 및 시스템 | |
US8751794B2 (en) | System and method for secure nework login | |
US7774612B1 (en) | Method and system for single signon for multiple remote sites of a computer network | |
JP4864289B2 (ja) | ネットワークユーザ認証システムおよび方法 | |
KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
CN1308870C (zh) | 单次注册用户访问多个环球网服务器的方法和系统 | |
CN111355726B (zh) | 一种身份授权登录方法、装置及电子设备和存储介质 | |
US20040139319A1 (en) | Session ticket authentication scheme | |
CN1820481A (zh) | 在客户机-服务器环境中认证客户机的系统和方法 | |
CN1503932A (zh) | 获得数字签字的方法和系统 | |
US11627135B2 (en) | Method and system for delivering restricted-access resources using a content delivery network | |
CN107343028B (zh) | 一种基于http协议的通信方法及系统 | |
WO2004099949A1 (en) | Web site security model | |
KR100406292B1 (ko) | 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법 | |
TWI506474B (zh) | Heterogeneous information device integration method | |
CN1652507A (zh) | 自助服务的提供方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080213 Termination date: 20200827 |