CN1835437B - 用于web服务的可信第三方认证的方法 - Google Patents

用于web服务的可信第三方认证的方法 Download PDF

Info

Publication number
CN1835437B
CN1835437B CN2006100044912A CN200610004491A CN1835437B CN 1835437 B CN1835437 B CN 1835437B CN 2006100044912 A CN2006100044912 A CN 2006100044912A CN 200610004491 A CN200610004491 A CN 200610004491A CN 1835437 B CN1835437 B CN 1835437B
Authority
CN
China
Prior art keywords
web service
token
service
action
client computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006100044912A
Other languages
English (en)
Other versions
CN1835437A (zh
Inventor
F·C·崇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of CN1835437A publication Critical patent/CN1835437A/zh
Application granted granted Critical
Publication of CN1835437B publication Critical patent/CN1835437B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B09DISPOSAL OF SOLID WASTE; RECLAMATION OF CONTAMINATED SOIL
    • B09BDISPOSAL OF SOLID WASTE NOT OTHERWISE PROVIDED FOR
    • B09B3/00Destroying solid waste or transforming solid waste into something useful or harmless
    • B09B3/40Destroying solid waste or transforming solid waste into something useful or harmless involving thermal treatment, e.g. evaporation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • AHUMAN NECESSITIES
    • A23FOODS OR FOODSTUFFS; TREATMENT THEREOF, NOT COVERED BY OTHER CLASSES
    • A23KFODDER
    • A23K10/00Animal feeding-stuffs
    • A23K10/10Animal feeding-stuffs obtained by microbiological or biochemical processes
    • A23K10/12Animal feeding-stuffs obtained by microbiological or biochemical processes by fermentation of natural products, e.g. of vegetable material, animal waste material or biomass
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D88/00Large containers
    • B65D88/26Hoppers, i.e. containers having funnel-shaped discharge sections
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F26DRYING
    • F26BDRYING SOLID MATERIALS OR OBJECTS BY REMOVING LIQUID THEREFROM
    • F26B21/00Arrangements or duct systems, e.g. in combination with pallet boxes, for supplying and controlling air or gases for drying solid materials or objects
    • F26B21/001Drying-air generating units, e.g. movable, independent of drying enclosure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F26DRYING
    • F26BDRYING SOLID MATERIALS OR OBJECTS BY REMOVING LIQUID THEREFROM
    • F26B2200/00Drying processes and machines for solid materials characterised by the specific requirements of the drying good
    • F26B2200/04Garbage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Chemical & Material Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Polymers & Plastics (AREA)
  • Mechanical Engineering (AREA)
  • Biotechnology (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Sustainable Development (AREA)
  • Animal Husbandry (AREA)
  • Zoology (AREA)
  • Molecular Biology (AREA)
  • Food Science & Technology (AREA)
  • Microbiology (AREA)
  • Biomedical Technology (AREA)
  • Biochemistry (AREA)
  • Physiology (AREA)
  • Physics & Mathematics (AREA)
  • Thermal Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Storage Device Security (AREA)
  • Multi Processors (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及Web服务的可信第三方认证。Web服务信任并将用户认证责任委托给为信任的Web服务担任身份提供者的可信第三方。可信第三方通过诸如用户名/密码和X.509证书等公共认证机制认证用户,并使用初始的用户认证来引导与Web服务的后续安全会话。Web服务使用由可信第三方发放的服务会话令牌来构造用户身份上下文,并在无须使用服务器方分布式高速缓存的情况下重新构造安全状态。

Description

用于WEB服务的可信第三方认证的方法
技术领域
本发明涉及计算机化认证,尤其涉及用于Web服务的可信第三方认证。
背景技术
计算机系统和相关技术影响社会的许多方面。实际上,计算机系统处理信息的能力已经改变了我们生活和工作的方式。例如,计算机系统通常包括用于执行许多任务(例如,文字处理、调度及数据库管理)的软件应用程序,而这些任务在计算机系统出现以前是手动执行的。计算机系统还可包括维护、诊断和安全应用程序(例如,备份应用程序、健全检查程序、防病毒应用程序、防火墙等),它们帮助确保计算机系统保持,或可被返回到适当的操作状态。例如,防病毒应用程序可在计算机病毒对计算机系统造成任何损害以前检测并消除计算机病毒。
许多计算机系统通常还被相互耦合并被耦合到其它电子设备以构成有线和无线计算机网络,以使这些计算机及其它电子设备可通过这些网络传输电子数据。结果是,许多在一计算机系统上被执行的任务(例如,语音通信、存取电子邮件、控制家用电子设备、Web浏览以及打印文档)都包括若干计算机系统和/或其它电子设备之间经由有线和/或无线计算机网络的电子消息的交换。
网络实际上已经丰富到单个启用网络的计算机系统可通过通常称为“因特网”的网络聚合体与遍布全球的数百万其它计算系统中的任意一个通信的程度。此类计算系统可包括台式、膝上、或平板式个人计算机;个人数字助理(PDA);电话;或任何其它能够通过数字网络通信的计算机或设备。
此外,应用程序功能可被分散或“分布”在若干不同的联网计算机系统上。即,一应用程序的第一部分可驻留在第一计算机系统处,该应用程序的第二部分可驻留在第二计算机系统处,等等,它们全部被连接到一公共网络。这些类型的应用程序通常被称为“分布式应用程序”。分布式应用程序在万维网(“Web”)上特别盛行。
为跨越不同平台上的可相互操作性,Web上的分布式应用程序常常是根据一个或多个行业规范来开发的。特别地,Web服务描述基于Web的应用程序的标准化方式,该方式使用在因特网上的可扩展标记语言(“XML”),简单对象访问协议(“SOAP”),Web服务描述语言(“WSDL”),和通用描述、发现和集成(“UDDI”)开放式协议集成。XML被用来标记数据,SOAP被用来传输数据,WSDL被用于描述可用的服务,而UDDI被用于列出哪些服务可用。
Web服务常常被公司用作相互通信和与客户机通信的手段,Web服务允许组织在并不熟知彼此IT系统的情况下通信数据。Web服务通过程序接口在网络上共享商务逻辑、数据和过程。Web服务允许来自不同源的应用程序相互通信而无需耗费时间的自定义编码,并且因为通信是以XML进行的,所以Web服务不依赖于任一操作系统或编程语言。
但是,因为Web服务常常在公共网络上相互通信,所以就有与在Web服务之间传输数据相关联的安全风险。例如,恶意的用户可能会试图在Web服务数据在网络上被传输时截取该数据,并可能假扮一Web服务的身份以试图让其它Web服务向该假扮的程序发送Web服务数据。由此,诸如WS-安全、WS安全对话及WS信任等许多Web服务规范提供用于解决其中一些安全问题的构件块,诸如签署和加密SOAP消息以及请求和接收安全令牌等。
但是,Web服务规范不包括Web服务可依靠其来满足其所有安全要求的端对端安全协议。即,没有任何描述怎样能够将不同的Web服务规范合起来使用以实现普通应用程序安全要求的规定方式。例如,如果有的话也只有很有限的机制允许一组Web服务将用户认证责任托付和委派给为该信任的Web服务担当身份提供者的可信第三方。此外,如果有的话也只有很有限的机制允许可信第三方通过诸如用户名/口令和X.509证书等普通认证机制认证用户及使用初始的用户认证来引导后续的与Web服务的安全会话。此外,如果有的话也只有很有限的机制允许Web服务使用由可信第三方发放的服务会话令牌来构造用户身份上下文以及在无须使用服务方分布式高速缓存的情况下重新构造安全状态。
因此,便于实现Web服务的可信第三方认证的系统、方法和计算机程序产品将是有益的。
发明内容
现有技术的前述问题为本发明的原理所克服,本发明针对Web服务的可信第三方认证的方法、系统和计算机程序产品。Web服务组件向认证服务发送认证请求。认证服务接收请求并确认认证请求中所包含的认证数据。
认证服务向Web服务组件发送认证响应。认证响应包括用于保护Web服务组件和访问准许服务之间的通信的第一对称会话密钥的两个实例。该会话密钥的第一实例被包括在第一校验令牌中,并被保护以便递送到Web服务客户机。该会话密钥的第二实例被包括在令牌准许令牌中,并被用安全令牌服务的安全对称密钥加密。
Web服务组件接收认证响应。Web服务组件向访问准许服务发送包括该令牌准许令牌的请求访问Web服务的访问请求。访问准许服务接收访问请求,并基于令牌准许令牌的内容向安全令牌服务证明该Web服务组件具有经认证的会话。
访问准许服务向Web服务组件发送访问准许响应。访问准许响应包括用于保护Web服务组件和Web服务之间的通信的第二对称会话密钥的两个实例。第二对称会话密钥的第一实例被用第一对称会话密钥加密,并被包括在第二校验令牌中。第二对称会话密钥的第二实例被用来自对应于该Web服务的公钥/私钥对的公钥加密,并被包括在服务令牌中。
Web服务组件接收访问准许响应。Web服务组件向Web服务发送包括该Web服务组件的身份信息以及服务令牌的安全令牌请求。Web服务接收安全令牌请求,并使用对应的该公钥/私钥的私钥将服务令牌中所包括的第二对称会话密钥的第二实例解密。Web服务基于服务令牌的内容授权Web服务组件访问Web服务。
Web服务生成主对称会话密钥,用于保护Web服务客户机和Web服务之间的通信。Web服务使用第二对称会话密钥将主对称会话密钥加密,以生成经加密的主对称会话密钥。Web服务将经加密的主对称会话密钥以及安全上下文令牌包括在安全令牌响应中。Web服务将安全令牌响应发送到Web服务组件,从而可使用从主对称会话密钥派生的派生对称会话密钥来保护Web服务组件和Web服务之间的通信。Web服务组件接收安全令牌响应,并使用第二对称会话密钥来将主对称会话密钥解密。
本发明的这些及其它特征将从以下描述和所附权利要求书来更加充分地明确,或可通过如下述的本发明的实施来学会。
附图说明
为进一步明确本发明以上的及其它的优点和特征,将参考附图中所示的特定实施例呈现对本发明更加具体的描述。应认识到,这些附图仅示出本发明的典型实施例,因此不应被视为限制了本发明的范围。以下将通过使用附图来更加具体和详细地描述和解释本发明,其中:
图1A示出便于实现Web服务的可信第三方认证的计算机体系结构的示例。
图1B示出图1A中的示例性计算机体系结构的第一部分的替换描述。
图1C示出图1A中的示例性计算机体系结构的第二部分的替换描述。
图2示出一种获得用于访问Web服务的服务令牌的方法的示例性流程图。
图3示出一种保护Web服务组件和Web服务之间的通信的方法的示例性流程图。
图4示出适用于本发明原理的操作环境。
具体实施方式
现有技术的前述问题为本发明的原理所克服,本发明针对Web服务的可信第三方认证的方法、系统和计算机程序产品。Web服务组件向认证服务发送认证请求。认证服务接收请求并确认认证请求中所包含的认证数据。
认证服务向Web服务组件发送认证响应。认证响应包括用于保护Web服务组件和访问准许服务之间的通信的第一对称会话密钥的两个实例。该会话密钥的第一实例被包括在第一校验令牌中,并被保护以便递送到Web服务客户机。该会话密钥的第二实例被包括在令牌准许令牌中,并被用安全令牌服务的安全对称密钥加密。
Web服务组件接收认证响应。Web服务组件向访问准许服务发送包括该令牌准许令牌的请求访问Web服务的访问请求。访问准许服务接收访问请求,并基于令牌准许令牌的内容向安全令牌服务证明该Web服务组件具有经认证的会话。
访问准许服务向Web服务组件发送访问准许响应。访问准许响应包括用于保护Web服务组件和Web服务之间的通信的第二对称会话密钥的两个实例。第二对称会话密钥的第一实例被用第一对称会话密钥加密,并被包括在第二校验令牌中。第二对称会话密钥的第二实例被用来自对应于该Web服务的公钥/私钥对的公钥加密,并被包括在服务令牌中。
Web服务组件接收访问准许响应。Web服务组件向Web服务发送包括该Web服务组件的身份信息以及服务令牌的安全令牌请求。Web服务接收安全令牌请求,并使用对应的该公钥/私钥的私钥将服务令牌中所包括的第二对称会话密钥的第二实例解密。Web服务基于服务令牌的内容授权Web服务组件访问Web服务。
Web服务生成主对称会话密钥,用于保护Web服务客户机和Web服务之间的通信。Web服务使用第二对称会话密钥将主对称会话密钥加密,以生成经加密的主对称会话密钥。Web服务将经加密的主对称会话密钥以及安全上下文令牌包括在安全令牌响应中。Web服务将安全令牌响应发送到Web服务组件,从而可使用从主对称会话密钥派生的派生对称会话密钥来保护Web服务组件和Web服务之间的通信。Web服务组件接收安全令牌响应,并使用第二对称会话密钥来将主对称会话密钥解密。
本发明范围之内的实施例包括用于载带或其上存储了计算机可执行指令或数据结构的计算机可读介质。此类计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。作为示例,而非限制,此类计算机可读介质可包括物理存储介质,诸如RAM、ROM、EPROM、CD-ROM或其它光盘存储,磁盘存储或其它磁存储设备,或任何其它可被用来载带或存储计算机可执行指令、计算机可读指令、或数据结构形式的所需程序代码手段、并可由通用或专用计算机系统访问的介质。
在此具体实施方式及所附权利要求书中,“网络”被定义为在计算机系统和/或模块之间实现电子数据传送的一个或多个数据链路。当通过网络或其它通信连接(无论是有线的、无线的、还是有线或无线的结合)向计算机系统传输或提供信息时,该连接被恰当地视为计算机可读介质。因此,任何此类连接都被恰当地称为计算机可读介质。上述的组合也应被包括在计算机可读介质的范畴之内。计算机可执行指令包括例如使通用计算机系统或专用计算机系统执行一个或一组功能的指令和数据。计算机可执行指令可以是例如二进制码、诸如汇编语言等中间格式指令、或甚至是源代码。
在此具体实施方式及所附权利要求书中,“计算机系统”被定义为协同工作以对电子数据执行操作的一个或多个软件模块、一个或多个硬件模块、或其组合。例如,计算机系统的定义包括个人计算机的硬件组件、以及诸如个人计算机的操作系统等软件模块。各模块的物理布局无关紧要。计算机系统可包括经由网络耦合的一台或多台计算机。类似地,计算机系统可包括单个物理设备(诸如移动电话或个人数字助理“PDA”),其中内部模块(诸如存储器和处理器)协同工作以对电子数据执行操作。
本领域技术人员将会认识到,可用许多类型的计算机系统配置在网络计算环境中实施本发明,这些配置包括,个人计算机、膝上计算机、手持式设备、多处理器系统、基于微处理器的或可编程消费者电子设备、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、等等。本发明还可在分布式系统环境中实施,其中通过网络链接(无论是由有线数据链路、无线数据链路、还是有线和无线数据链路的组合)的本地和远程计算机系统都执行任务。在分布式系统环境中,程序模块可位于本地和远程记忆存储设备中。
图1A示出便于Web服务的可信第三方认证的计算机体系结构100的示例。如计算机体系结构100中所示,Web服务客户机101、安全令牌服务102和Web服务108被连接到网络105。网络105可以是局域网(“LAN”)、广域网(“WAN”)或甚至是因特网。连接到网络105的计算机系统和模块可从其它连接到网络105的计算机系统和模块接收数据并向它们发送数据。由此,Web服务客户机101、安全令牌服务102和Web服务108、以及其它被连接的计算机系统和模块(未示出)可创建消息相关的数据并通过网络105交换消息相关的数据(例如,因特网协议(“IP”)数据报及使用IP数据报的其它较高层的协议,诸如传输控制协议(“TCP”)、超文本传输协议(“HTTP”)、简单邮件传输协议(“SMTP”)等)。例如,Web服务客户机101和Web服务108可创建SOAP包封并通过网络105交换SOAP包封(包括可扩展标记语言(“XML”)数据)。
在计算机体系结构100内,应当理解,包括标记部分“Pu”的附图标记被用来指公钥/私钥对的公钥,而包括标记部分“Pr”的附图标记被用来指公钥/私钥对的私钥。此外,包括标记部分Pu或Pr的编号相同的附图标记分别是指同一公钥/私钥对的公钥或对应的私钥。因此,在计算机体系结构100中示出了两个不同的公钥/私钥对。一个公钥/私钥对被示为公钥163Pu/私钥163Pr,而另一个公钥/私钥对被示为公钥164Pu/私钥164Pr。公钥/私钥对可以是公钥基础结构(“PKI”)的一个部分。
私钥163Pr可以是对应于安全令牌102服务的私钥。因此,可给予Web服务客户机101和Web服务108对对应公钥,即公钥163Pu的访问。类似地,私钥164Pr可以是对应于Web服务108的私钥。因此,可给予Web服务客户机101和安全令牌服务102对对应公钥,即公钥164Pu的访问。由此,安全令牌服务102、Web服务客户机101、Web服务108可使用公钥/私钥对公钥163Pu/私钥163Pr和公钥164Pu/私钥164Pr来正确地签署数据、确认签名、加密数据和解密数据。
在计算机体系结构100内,应当理解,包括标记部分“Dr”的附图标记被用来指从其它对称密钥派生的派生对称密钥。例如,简单地参考图1B,派生的客户机/STS会话密钥114Dr是从客户机/STS会话密钥114派生而来。由此,安全令牌服务102、Web服务客户机101、Web服务108也可使用(可能是派生的)对称密钥(例如,会话密钥)来签署数据、确认签名、加密数据和解密数据。对称密钥可在计算机体系结构100的组件之间被共享,或可对特定组件保持保密。例如,安全令牌服务102可维护保密对称密钥161。
安全令牌服务102包括认证服务103和访问准许服务106。认证服务103被配置成接收来自Web服务组件(例如,Web服务客户机101)的认证请求,认证这些Web服务组件,并向请求的Web服务组件返回认证响应。认证模块103可参考诸如凭证数据库或证书确认数据等认证数据104来认证Web服务组件。访问准许服务106被配置成接收来自Web服务组件的访问准许请求,确定是否要准许Web服务访问,并向请求的Web服务组件返回访问准许响应。访问准许服务106可参考诸如Web服务管理员所定的策略集等策略数据107来确定是否要准许访问。
Web服务客户机101可以是分布式应用程序的客户机部分。信任191表示Web服务客户机101已与安全令牌服务102建立起信任关系。即,Web服务客户机101信任安全令牌服务102。信任191可被预先建立和/或可从波段外通信产生。例如,信任191可以是对称密钥信任或X.509证书信任。
Web服务108可以是分布式应用程序的服务器部分。在一些实施例中,Web服务108是包括诸如实例108A、108B和108C等多个Web服务实例的Web服务场。连接到每个实例108A、108B和108C的Web服务客户机的状态信息可任选地在分布式高速缓存109中维护,以使Web服务客户机可在实例108A、108B和108C之间更高效地转换。
信任192表示Web服务108已与安全令牌服务102建立起信任关系。即,Web服务108信任安全令牌服务102。信任192可被预先建立和/或可从波段外通信产生。例如,信任192可以是对称密钥信任或X.509证书信任。
图1B示出来自计算机体系结构100的Web服务客户机101和安全令牌服务102的替换示意。图1B还示出在Web服务客户机101和安全令牌服务102之间被交换(例如,经由网络105)的若干电子消息。如图所示,图1B中的一些数据元素包括带括号描述。例如,签名119包括带括号描述“(保密对称密钥161)”。这些带括号描述被用来指示使用了什么密钥来加密被加密的数据或签署被签署的数据,或是如何保护数据。
因此,回到签名119,带括号描述“(保密对称密钥161)”指示保密对称密钥161被用来生成签名119。类似地,现在参考加密的客户机-服务会话密钥131B,带括号描述“(公钥164Pu)”指示公钥164Pu被用来加密客户机服务会话密钥131B。现在参考受保护的客户机/STS会话密钥114A,带括号描述“(安全通道或X.509)”指示受保护的客户机/STS密钥114A是在安全通道上受到保护,或是使用X.509证书中的公钥来保护的。
图2示出一种用于获得访问Web服务的服务令牌的方法200的示例性流程图。将参考图1B中的组件和数据来描述方法200。
方法200包括发送认证请求的动作(动作201)。例如,Web服务客户机101可向认证服务103发送认证请求111。认证请求111可包括使用诸如HTTPS等安全通道来保护的用户名和口令。或者,认证请求111可包括用对应于Web服务客户机101的私钥(未示出)签署的X.509证书。
方法200包括接收认证请求的动作(动作205)。例如,认证服务103可接收认证请求111。方法200包括确认认证数据的动作(动作206)。例如,认证服务103可将认证请求111中所包含的用户名和口令与认证数据104(例如,凭证数据库)相比较。或者,认证服务103可参考认证数据104(例如,PKI)来定位Web服务客户机101的公钥,并使用该公钥来确认认证请求111上的签名。
方法200包括发送包括对称会话密钥的认证响应的动作(动作207)。例如,安全令牌服务102可向Web服务客户机101发送认证响应112。认证响应112包括校验令牌113和令牌准许令牌116。校验令牌113和令牌准许令牌116都包括客户机/STS会话密钥114(对称密钥)的实例,它可被用来保护Web服务客户机101和访问准许服务106之间的通信。校验令牌113包括受保护的客户机/STS会话密钥114A,该密钥在安全通道上被加密,或通过X.509证书中的公钥加密。
令牌准许令牌116包括加密的客户机/STS会话密钥114B,它是使用保密对称密钥161加密的。令牌准许令牌116还包括指示令牌准许令牌118何时被发放的时间戳118。为防止篡改,令牌准许令牌116还包括用保密对称密钥161生成的签名119。或者,可使用不同的对称密钥来生成签名119。
认证响应112包括使用私钥163Pr(安全令牌服务102的私钥)生成的签名121。签名121向接收组件指示是安全令牌服务102创建了认证响应112。
方法200包括接收包括对称会话密钥的认证响应的动作(动作202)。例如,Web服务客户机101可接收认证响应112。Web服务101使用公钥163Pu确认签名121(从而确认了认证响应112)。Web服务客户机101可从校验令牌113提取受保护的客户机/STS会话密钥114A,并维护客户机/STS会话密钥114的副本。
Web服务客户机101可派生出其它会话密钥,诸如从客户机/STS会话密钥114派生出派生的客户机/STS会话密钥114Dr。因此,当例如Web服务客户机101要与Web服务通信时,Web服务客户机101可使用(可能是派生的)会话密钥来保护与访问准许服务106的通信。也可能是安全令牌服务102从客户机/STS会话密钥114派生出其它会话密钥。
Web服务客户机101和安全令牌服务102可使用相同的密钥派生算法,以使Web服务客户机101和安全令牌服务102处派生的密钥在派生以后继续保持对称。因此,安全令牌服务102也可从客户机/STS会话密钥114派生出派生的客户机/STS会话密钥114Dr。
方法200包括发送对Web服务的访问的访问请求的动作(动作203)。例如,Web服务客户机101可向访问准许服务106发送访问准许请求122。访问准许请求122包括令牌准许令牌116。访问准许请求112包括使用派生的客户机/STS会话密钥114Dr生成的签名127。签名122指示访问准许请求122被包括在Web服务客户机101和安全令牌服务102之间的认证会话中。
方法200包括接收访问Web服务的访问请求的动作(动作208)。例如,访问准许服务106可接收来自Web服务客户机101的访问准许请求122。方法200包括验证认证会话的动作(动作209)。例如,访问准许服务106可验证Web服务客户机101有到安全令牌服务102的经认证的会话。在接收访问准许请求122以后,访问准许服务106可使用派生的客户机/STS会话密钥114Dr来确认签名127(从而确认了访问准许请求122)。
访问准许服务106随即可使用保密对称密钥161来确认签名119(从而确认了令牌准许令牌116)。访问准许服务106还可使用保密对称密钥161来将加密的客户机/STS会话密钥114B解密以揭示客户机/STS会话密钥114。基于包含客户机/STS会话密钥114的实例的令牌准许令牌116,访问准许服务确定Web服务101具有到安全令牌服务102的经认证的会话。
方法200包括发送访问响应的动作(动作210)。例如,访问准许服务106可向Web服务客户机101发送访问准许响应128。访问准许响应128包括校验令牌129和服务令牌132。校验令牌129和服务令牌132都包括客户机-服务会话密钥131(对称密钥)的实例,它可被用来保护Web服务客户机101和Web服务108之间的通信。校验令牌129包括加密的客户机-服务会话密钥131A,它是使用客户机/STS会话密钥114(或其派生密钥)来加密的。因此,Web服务客户机101可将加密的客户机-服务会话密钥131A解密(使用客户机/STS会话密钥114或其派生密钥)来揭示客户机-服务会话密钥131。
服务令牌132包括加密的客户机-服务会话密钥131B,它是使用公钥164Pu(Web服务108的公钥)加密的。为指示服务令牌132是来自安全令牌服务102,服务令牌132包括使用私钥163Pr(安全令牌服务102的私钥)生成的签名134。因此,Web服务108可使用公钥163Pu(安全令牌服务102的对应的公钥)来验证签名134以验证服务令牌132是从安全令牌服务102发来的。Web服务108还可使用私钥164Pr(Web服务108的对应的私钥)将加密的客户机-服务会话密钥131B解密。
由此,能以安全的方式将客户机-服务会话密钥传送到客户机和服务。
方法200包括接收访问响应的动作(动作204)。例如,Web服务客户机101可接收访问准许响应128。从校验令牌129,Web服务客户机可将加密的客户机-服务会话密钥131A解密(使用客户机/STS会话密钥114或其派生密钥)来揭示客户机-服务会话密钥131。Web服务客户机101可存储客户机-服务会话密钥131以便于与Web服务108的后续通信。Web服务客户机101还可存储服务令牌132用于后续向Web服务108传送。
图1C示出来自计算机体系结构100的Web服务客户机101、安全令牌服务102和Web服务108的替换示意。图1B还示出在Web服务客户机101和Web服务108之间被交换(例如,经由网络105)的若干电子消息。图3示出一种用于保护Web服务组件和Web服务之间的通信的方法300的示例性流程图。将参考图1C中的组件和数据来描述方法300。
方法300包括发送安全令牌请求的动作(动作301)。例如,Web服务客户机101可向Web服务108的实例108A发送安全令牌请求136。安全令牌请求136包括服务令牌132(从安全令牌服务102发放)。安全令牌请求136包括使用客户机-服务会话密钥131生成的签名141。安全令牌请求136还可包括对应于Web服务客户机101的身份信息。
方法300包括接收安全令牌请求的动作(动作304)。例如,实例108A可接收来自Web服务客户机101的安全令牌请求136。方法300包括使用私钥将加密的会话密钥解密的动作(动作305)。例如,实例108A可使用私钥164Pr将加密的客户机-服务会话密钥131B解密以揭示客户机-服务会话密钥131。实例108A还可使用公钥163Pu确认签名134以验证服务令牌132是从安全令牌服务102发来的。接着,实例108A可使用客户机-服务会话密钥131(先前所揭示的)确认签名141。
方法300包括授权Web服务组件访问Web服务的动作(动作306)。例如,Web服务108(基于指定的策略)可授权Web服务客户机101访问Web服务108。方法300包括生成主对称会话密钥的动作(动作307)。例如,Web服务108可生成用于保护Web服务客户机101和Web服务108的实例之间的通信的主客户机-服务会话密钥193。
方法300包括将主对称会话密钥加密的动作(动作308)。例如,实例108A可使用客户机-服务会话密钥131将主客户机-服务会话密钥193加密以生成加密的主客户机-服务会话密钥193A。实例108A可在安全令牌响应142中和安全上下文令牌146一起包括加密的主客户机-服务会话密钥193A。安全令牌上下文包含用于保护Web服务客户机101和Web服务108的实例之间的通信的安全上下文数据。
在一些实施例中,安全上下文令牌146包括可选的二进制扩展147。接收二进制扩展147的Web服务实例可使用二进制扩展147中所包含的数据来重新构建安全状态而无需参考服务器方的分布式高速缓存。由此,在使用二进制扩展147的实施例中,Web服务就无须维护服务器方的分布式高速缓存。此外,以二进制格式表示安全上下文信息便于安全上下文令牌处理而无需执行可能是资源密集型的XML规范化。
方法300包括发送安全令牌响应的动作(动作309)。例如,实例108A可向Web服务客户机101发送安全令牌响应142。方法300包括接收安全令牌响应的动作。例如,Web服务客户机101可接收来自实例108A的安全令牌响应142。Web服务客户机101可使用客户机-服务会话密钥131将加密的主客户机-服务会话密钥193A解密以揭示主客户机-服务会话密钥193。由此,可使用主客户机-服务会话密钥或其派生密钥来保护Web服务客户机101和Web服务108的实例之间的后续通信。
根据公共密钥派生算法,Web服务客户机101和Web服务108都可从主客户机-服务会话密钥193派生其它对称会话密钥,诸如主客户机-服务会话密钥193Dr1、193Dr2、193Dr3和193Dr4等。Web服务客户机101和Web服务108随即可使用这些派生的密钥来保护彼此之间的通信。
方法300包括使用派生密钥交换数据的动作(动作303和动作310)。例如,Web服务客户机101可使用派生密钥193Dr1来生成加密的服务请求148。加密的服务请求148包括安全上下文令牌146和请求数据194。加密的服务请求148还包括使用派生密钥193Dr3生成的签名152。
实例108C可接收加密的服务请求148。实例108C可使用派生密钥193Dr1来将加密的服务请求148解密以揭示安全上下文令牌146和请求数据194。实例108C还可使用派生密钥193Dr3来确认签名152以验证加密的服务请求148是Web服务客户机101和Web服务108之间的安全通信的一部分。实例108C可处理安全上下文令牌146和请求数据104以确定如何响应于Web服务客户机101。
实例108C可使用派生密钥193Dr2来生成加密的服务响应153。加密的服务响应153包括响应于请求数据194的响应数据196。加密的服务响应153还包括使用派生密钥193Dr4生成的签名154。
Web服务客户机101可接收加密的服务响应153。Web服务客户机101可使用派生密钥193Dr2将加密的服务响应153解密以揭示响应数据196。Web服务客户机101还可使用派生密钥193Dr4来确认签名154以验证加密的服务响应153是Web服务客户机101和Web服务108之间的安全通信的一部分。
因此,本发明的实施例可利用诸如PKI等现有密钥基础结构,先使用公钥/私钥对(例如,公钥163Pu/私钥163Pr和公钥164Pu/私钥164Pr)来保护通信。然后可过渡为使用对称会话密钥(例如,主客户机-服务会话密钥193及其派生密钥)来保护通信。由此,本发明的实施例可利用现有公钥基础结构的密钥管理特征,然后后续过渡到对称密钥以提高效率。
令牌准许令牌(例如,令牌准许令牌116)和服务令牌(例如,服务令牌132)可被表达为自定义的XML令牌。以下XML指令是根据本发明的原理的自定义XML令牌的示例性描述:
1.    <contoso:IdentityTokenEx contoso:TokenId=...contoso:MajorVersion=...
contoso:MinorVersion=...contoso:Issuer=...contoso:IssueTime=...contoso:Purpose=...>
2.    <contoso:Conditions NotBefore=””...”NotOnOrAfter=””...”/>
3.     <wsp:AppliesTo>
4.        <wsa:EndpointReference>
5.         <wsa:Address>...</wsa:Address>
6.        </wsa:EndpointReference>
7.      </wsp:AppliesTo>
8.       <contoso:TokenStatement contoso:AuthenticationMechanism=...
       contoso:AuthenticationTime=.../>
9.        <contoso:SubjectName>...</contoso:SubjectName>
10.      <ds:KeyInfo>
11.       <xenc:EncryptedKey Id=..>
12.         <xenc:EncryptionMethod Algorithm=.../>
13.         <ds:KeyInfo>
14.     <wsse:SecurityTokenReference>
15.      <wsse:KeyIdentifier ValueType=...EncodingType=...>
16.        ...
17.      </wsse:KeyIdentifier>
18.     </wsse:SecurityTokenReference>
19.               </ds:KeyInfo>
20.    <xenc:CipherData>
21.     <xenc:CipherValue>
22.     ...
23.             </xenc:CipherValue>
24.     </xenc:CipherData>
25.            </xenc:EncryptedKey>
26.         </ds:KeyInfo>
27.        </contoso:TokenStatement>
28.        <ds:Signature>
29.         <ds:SignedInfo>
30.     <ds:CanonicalizationMethod
                              Algorithm=′http://www.w3.org/2001/10/xml-exc-c14n#′/>
31.          <ds:SignatureMethod Algorithm=.../>
32.         <ds:Reference URI=...>
33.           <ds:Transforms>
34.            <ds:Transform
Algorithm=’http://www.w3.org/2000/09/xmldsig#enveloped_signature′/>
35.           <ds:Transform Algorithm=’http://www.w3.org/2001/10/xml-exc-c14n#′/>
36.     </ds:Transforms>
37.     <ds:DigestMethod Algorithm=.../>
38.     <ds:DigestValue>...</ds:DigestValue>
39.    </ds:Reference>
40.        </ds:SignedInfo>
41.        <ds:SignatureValue>...</ds:SignatureValue>
42.        <ds:KeyInfo>
43.    <wsse:SecurityTokenReference>
44.     <wsse:KeyIdentifier ValueType=...EncodingType=...>...
45.     </wsse:KeyIdentifier>
46.    </wsse:SecurityTokenReference>
47.        </ds:KeyInfo>
48.       </ds:Signature>
49.</contoso:IdentityTokenEx>
在第1行,IdentityTokenEx\@TokenId属性标识使用URI的安全令牌。数据类型是xsd:ID。每个安全令牌URI对发送者和接收者都可是唯一的。URI值在时间和空间上可以是全局唯一的。同样在第1行,IdentityTokenEx\@MajorVersion属性标识此自定义令牌的主版本,而IdentityTokenEx\@MinorVersion属性标识此自定义令牌的辅版本。同样在第1行,IdentityTokenEx\@Issuer属性使用URI标识此令牌的发放者。同样在第1行,IdentityTokenEx\@IssueTime属性表示该令牌被发放的时间(例如,UTC格式)。对应于此值的XML模式是xsd:dateTime。
同样在第1行,IdentityTokenEx\@Purpose属性使用QName标识此自定义令牌的目的。值可包括:
  QName   描述
  contoso:TokenGrantingToken   访问准许服务用来准许其它服务令牌的令牌。
  contoso:ServiceToken   用来访问应用程序Web服务的令牌
在第2行,IdentityTokenEx\contoso:Conditions元素指定此令牌有效的条件。同样在第2行,IdentityTokenEx\Conditions\@NotBefore属性指示此令牌变为有效的最早时间(例如,UTC格式)。此值的模式是xsd:dateTime。同样在第2行,IdentityTokenEx\Conditions\@NotOnOrAfter属性指定此令牌变为无效的最早时间(例如,UTC格式)。对应于此值的模式是xsd:dateTime。
在第3-7行,IdentityTokenEx\wsp:AppliesTo元素指定此令牌对其有效的端点。在第4-6行,IdentityTokenEx\AppliesTo\wsa:EndpointReference元素包含此令牌对其有效的端点的引用。在第5行,IdentityTokenEx\AppliesTo\EndpointReference\wsa:Address元素指定该端点的URI。
在第8-27行,IdentityTokenEx\TokenStatement元素包含相关于经认证会话的认证和身份信息。同样在第8行,IdentityTokenEx\TokenStatement\@AuthenticationMechanism属性使用QName标识用来认证主体的认证机制。值可包括:
  QName   描述
  contoso:password   用户名和口令被用来认证主体。
  contoso:x509certificate   X509证书被用来认证主体。
同样在第8行,IdentityTokenEx\TokenStatement\@AuthenticationTime元素标识认证发生的时间(例如,UTC格式)。对应于此值的XML模式是xsd:dateTime。
在第9行,IdentityTokenEx\TokenStatement\SubjectName元素标识已被认证的一方。在第10-26行,IdentityTokenEx\TokenStatement\ds:KeyInf元素包含通过此令牌交换的会话密钥。在第11-25行,IdentityTokenEx\TokenStatement\KeyInfo\xenc:EncryptedKey元素包含加密的会话密钥。在第28-48行,IdentityTokenEx\ds:Signature元素包含自定义XML令牌上的包封的签名。
在一些实施例中,Web服务组件和Web服务可交换扩展的安全上下文令牌(例如,安全上下文令牌146)。以下XML指令是根据本发明原理的扩展的安全上下文令牌的示例性描述。
60.    <wst:SecurityContextToken wsu:Id=...>
61.      <wsu:Identifier>...</wsu:Identifier>
62.       <contoso:SctExtension>
63.       MIIEZzCCA9CgAwIBAgIQEmtJZc0...
64.       </contoso:SctExtension>
65.    </wst:SecurityContextToken>
在第62-64行,SecurityContextToken\contoso:SctExtension元素包含以base64二进制格式编码的SCT自定义扩展。
描述令牌准许令牌、服务令牌和扩展安全上下文令牌的XML指令可被包括在SOAP消息中,诸如在计算机体系结构100各组件之间交换的认证响应112、访问准许响应128和安全令牌响应142等。
图4示出适用于本发明原理的操作环境。图4和以下讨论旨在提供对可在其中实现本发明的合适的计算环境的简单、一般的描述。尽管并非必须,但是将在由计算机系统执行的诸如程序模块等计算机可执行指令的通用上下文中描述本发明。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。计算机可执行指令、相关联的数据结构以及程序模块表示用于执行本文中所揭示的方法的动作的程序代码手段的示例。
参考图4,一种用于实现本发明的示例性系统包括计算机系统420形式的通用计算设备,它包括处理单元421、系统存储器422、以及将包括系统存储器422在内的各系统组件耦合到处理单元421的系统总线423。处理单元421可执行被设计成实现包括本发明的特征在内的计算机系统420的特征的计算机可执行指令。系统总线423可以是数种类型的总线结构中的任何一种,包括存储器总线或存储器控制器、外围总线、以及使用各种总线体系结构中任何一种的局部总线。系统存储器包括只读存储器(“ROM”)424和随机存取存储器(“RAM”)425。包含诸如在启动时帮助在计算机系统420内部各元件之间传送信息的基本例程的基本输入/输出系统(“BIOS”)426可被存储在ROM 424中。
计算机系统420还可包括用于读或写硬磁盘439的硬磁盘驱动器427、用于读或写可移动磁盘429的磁盘驱动器428、以及用于读或写诸如CD-ROM或其它光介质等可移动光盘431的光盘驱动器430。硬磁盘驱动器427、磁盘驱动器428和光盘驱动器430分别由硬磁盘驱动器接口432、磁盘驱动器接口433和光盘驱动器接口434连接到系统总线423。各驱动器及其相关联的计算机可读介质为计算机系统420提供计算机可执行指令、数据结构、程序模块及其它数据的非易失性存储。尽管本文中所描述的示例性环境使用硬磁盘439、可移动磁盘429和可移动光盘431但是也可使用其它类型的用于存储数据的计算机可读介质,包括磁带盒、闪存卡、数字多功能盘、贝努利盒式磁带、RAM、ROM等等。
包括一个或多个程序模块的程序代码手段可被存储在硬盘439、磁盘429、光盘431、ROM 424或RAM 425上,这些程序代码手段包括操作系统435、一个或多个应用程序436、其它程序模块437、以及程序数据438。用户可通过键盘440、定位设备442或诸如话筒、操纵杆、游戏垫、扫描仪等其它输入设备(未示出)将命令和信息输入到计算机系统420中。这些及其它输入设备可通过耦合到系统总线423的输入/输出接口446被连接到处理单元421。输入/输出接口446逻辑地表示各种不同接口中的任何一种,诸如串行端口接口、PS/2接口、并行端口接口、通用串行总线(“USB”)接口、或电气电子工程师学会(“IEEE”)1394接口(即,火线接口)等,或甚至可逻辑地表示不同接口的组合。
监视器447或其它显示设备也经由视频接口448被连接到系统总线423。诸如扬声器和打印机等其它外围输出设备也可被连接到计算机系统420。
计算机系统420可被连接到诸如办公室范围或企业范围的计算机网络、家庭网络、内联网和/或因特网等网络。计算机系统420可通过这些网络与诸如远程计算机系统、远程应用程序和/或远程数据库等外部源交换数据。
计算机系统420包括网络接口453,计算机系统420通过该接口接收来自外部源的数据和/或向外部源发送数据。如图4中所示,网络接口453便于经由链路451与远程计算机系统483交换数据。网络接口453可逻辑地表示诸如网络接口卡和对应的网络驱动程序接口规范(“NDIS”)栈等一个或多个软件和/或硬件模块。链路451表示网络的一个部分(例如,以太网段),而远程计算机系统483表示网络的一个节点。
类似地,计算机系统420包括输入/输出接口446,计算机系统420通过该接口接收来自外部源的数据和/或向外部源发送数据。输入/输出接口446经由链路459被耦合到调制解调器454(例如,标准调制解调器、电缆调制解调器或数字用户线(“DSL”)调制解调器),计算机系统420通过调制解调器接收来自外部源的数据和/或向外部源发送数据。如图4中所示,输入/输出接口446和调制解调器454便于经由链路452与远程计算机系统493交换数据。链路452表示网络的一个部分,而远程计算机系统493表示网络的一个节点。
尽管图4表示适用于本发明的操作环境,但是本发明的原理可在进行了适当修改(若必须)后能够实现本发明的原理的任何系统中使用。图4中所示的环境只是示意性的,而绝对不是表示可在其中实现本发明的原理的各种环境中的哪怕一小部分。
根据本发明,包括安全令牌服务、认证服务、访问准许服务、Web服务客户机、Web服务和Web服务实例的模块,以及包括认证数据、策略数据、校验令牌、令牌准许令牌、服务令牌、安全上下文令牌、二进制扩展、对称密钥、公钥、私钥和派生密钥的相关联的数据可被存储并可从与计算机系统420相关联的任何计算机可读介质访问。例如,这些模块的一部分以及相关联的程序数据的一部分可被包括在操作系统435、应用程序436、程序模块437和/或程序数据438中,以便于存储在系统存储器422中。
当诸如硬磁盘439等大容量存储设备被耦合到计算机系统420时,这些模块和相关联程序数据也可被存储在大容量存储设备中。在联网环境中,相对于计算机系统420描述的程序模块或其部分可被存储在诸如与远程计算机系统483和/或远程计算机系统493相关联的系统存储器和/或大容量存储设备等远程记忆存储设备中。可在如前所述的分布式环境中进行对这些模块的执行。
本发明可被具体化为其它特定形式而不会偏离其精神或本质特性。在任何意义上,所描述的实施例都应仅被示为示意性而非限制性的。因此本发明的范围由所附权利要求书而不是以上的具体实施方式指示。所有落入所附权利要求书的等效含义和范围之内的改变将被包括在所附权利要求书的范围之内。

Claims (18)

1.一种在计算机系统上的用于认证Web服务客户机的方法,所述方法包括:
向认证服务发送认证请求的动作;
接收来自所述认证服务的认证响应的动作,所述认证响应包括用于保护所述Web服务客户机和访问准许服务之间的通信的第一对称会话密钥的两个实例,所述第一对称会话密钥的第一实例被保护以便递送到所述Web服务客户机并被包括在第一校验令牌中,所述第一对称会话密钥的第二实例用安全令牌服务的保密对称密钥加密并被包括在令牌准许令牌中;
向所述访问准许服务发送用于访问Web服务的访问请求的动作,所述访问请求包括所述令牌准许令牌;
接收来自所述访问准许服务的访问准许响应的动作,所述访问准许响应包括用于保护所述Web服务客户机和所述Web服务之间的通信的第二对称会话密钥的两个实例,所述第二对称会话密钥的第一实例用所述第一对称会话密钥加密并被包括在第二校验令牌中,所述第二对称会话密钥的第二实例用来自对应于所述Web服务的公钥/私钥对的公钥加密并被包括在服务令牌中;
向所述Web服务发送安全令牌请求的动作,所述安全令牌请求包括Web服务客户机的身份信息以及所述服务令牌;以及
接收来自所述Web服务的安全令牌响应的动作,所述安全令牌响应包括安全上下文令牌和主对称会话密钥,用于保护所述Web服务客户机和所述Web服务之间的通信,所述安全上下文令牌包含二进制扩展,以使所述Web服务能从所述二进制扩展中重新创建所述Web服务的安全会话状态而无须参考分布式的服务方的高速缓存。
2.如权利要求1所述的方法,其特征在于,所述向认证服务发送认证请求的动作包括向所述认证服务发送用户名和口令的动作。
3.如权利要求1所述的方法,其特征在于,所述向认证服务发送认证请求的动作包括向所述认证服务发送被数字地签署的X.509证书的动作。
4.如权利要求1所述的方法,其特征在于,所述接收来自认证服务的认证响应的动作包括接收包括自定义XML令牌准许令牌的SOAP消息的动作。
5.如权利要求1所述的方法,其特征在于,所述接收来自访问准许服务的访问准许响应的动作包括接收包括自定义XML服务令牌的SOAP消息的动作。
6.如权利要求1所述的方法,其特征在于,还包括:
从所述主对称会话密钥派生多个派生对称会话密钥的动作;以及
向所述Web服务发送服务请求的动作,所述服务请求用来自所述多个派生对称会话密钥中的第一派生对称会话密钥加密,并用来自所述多个派生对称会话密钥中的第二派生对称会话密钥签署。
7.如权利要求6所述的方法,其特征在于,还包括:
接收来自所述Web服务的服务响应的动作,所述服务响应用来自所述多个派生对称会话密钥中的第三派生对称会话密钥加密,并用来自所述多个派生对称会话密钥中的第四派生对称会话密钥以数字签名签署;
使用所述第三派生对称会话密钥对所述服务响应解密的动作;以及
使用所述第四派生对称会话密钥确认所述数字签名的动作。
8.一种在包括安全令牌服务和Web服务的计算环境中用于认证Web服务客户机以访问所述Web服务的方法,所述方法包括:
接收来自Web服务客户机的认证请求的动作;
确认包含在所述认证请求中的认证数据的动作;
向所述Web服务客户机发送认证响应的动作,所述认证响应包括用于保护所述Web服务客户机和访问准许服务之间的通信的第一对称会话密钥的两个实例,所述第一对称会话密钥的第一实例被保护以便递送到所述Web服务客户机并被包括在第一校验令牌中,所述第一对称会话密钥的第二实例用所述安全令牌服务的保密对称密钥加密并被包括在令牌准许令牌中;
接收来自所述Web服务客户机的访问Web服务的访问请求的动作,所述访问请求包括所述令牌准许令牌;
基于所述令牌准许令牌的内容,验证所述Web服务客户机具有到所述安全令牌服务的经认证的会话的动作;
向所述Web服务客户机发送访问准许响应的动作,所述访问准许响应包括用于保护所述Web服务客户机和所述Web服务之间的通信的第二对称会话密钥的两个实例,所述第二对称会话密钥的第一实例用所述第一对称会话密钥加密并被包括在第二校验令牌中,所述第二对称会话密钥的第二实例用来自对应于所述Web服务的公钥/私钥对的公钥加密并被包括在服务令牌中;
接收来自所述Web服务客户机对所述Web服务的安全令牌请求的动作,所述安全令牌请求包括Web服务客户机的身份信息以及所述服务令牌;以及
从所述Web服务发送安全令牌响应的动作,所述安全令牌响应包括安全上下文令牌和主对称会话密钥,用于保护所述Web服务客户机和所述Web服务之间的通信,所述安全上下文令牌包含二进制扩展,以使所述Web服务能从所述二进制扩展中重新创建所述Web服务的安全会话状态而无须参考分布式的服务方的高速缓存。
9.如权利要求8所述的方法,其特征在于,所述接收来自Web服务客户机的认证请求的动作包括接收来自所述Web服务客户机的用户名和口令的动作。
10.如权利要求8所述的方法,其特征在于,所述接收来自Web服务客户机的认证请求的动作包括接收来自所述Web服务客户机的经签署的X.509证书的动作。
11.如权利要求8所述的方法,其特征在于,所述向Web服务客户机发送认证响应的动作包括发送包括自定义XML令牌准许令牌的SOAP消息的动作。
12.如权利要求8所述的方法,其特征在于,所述向Web服务客户机发送访问准许响应的动作包括发送包括自定义XML服务令牌的SOAP消息的动作。
13.一种在包括Web服务的计算机系统上的用于准许访问所述Web服务的方法,所述方法包括:
接收来自Web服务客户机的安全令牌请求的动作,所述请求包括从安全令牌服务发放的服务令牌,所述服务令牌包括所述Web服务客户机的身份信息以及用于保护所述Web服务客户机和所述Web服务之间的通信的加密的对称会话密钥,所述加密的对称会话密钥是用来自对应于所述Web服务的公钥/私钥对的公钥加密的;
用来自所述公钥/私钥对的私钥对所述加密的对称会话密钥解密的动作;
基于所述服务令牌的内容授权所述Web服务客户机访问所述Web服务的动作;
生成用于保护所述Web服务客户机和所述Web服务之间的通信的主对称会话密钥的动作;
使用所述对称会话密钥对所述主对称会话密钥加密以生成加密的主对称会话密钥的动作;
将所述加密的主对称会话密钥随安全上下文令牌包括在安全令牌响应中的动作,所述安全上下文令牌包含二进制扩展,以使所述Web服务能从所述二进制扩展中重新创建所述Web服务的安全会话状态而无须参考分布式的服务方的高速缓存;以及
向所述Web服务客户机发送所述安全令牌响应以便能使用从所述主对称会话密钥派生的派生对称会话密钥保护所述Web服务客户机和所述Web服务之间的通信的动作。
14.如权利要求13所述的方法,其特征在于,所述接收安全令牌请求的动作包括接收包括从可信的第三方发放的自定义XML服务令牌的SOAP消息的动作。
15.如权利要求13所述的方法,其特征在于,还包括:
所述Web服务的一个实例接收来自所述Web服务客户机的Web服务请求的动作,所述Web服务请求包括所述安全上下文令牌;以及
所述实例使用所述安全上下文令牌,在无须参考分布式的服务方的高速缓存的情况下重新创建所述Web服务客户机的安全会话状态的动作。
16.如权利要求13所述的方法,其特征在于,向Web服务客户机发送安全令牌响应的动作包括发送包括扩展的安全上下文令牌的SOAP消息的动作。
17.如权利要求13所述的方法,其特征在于,还包括:
接收来自所述Web服务客户机的服务请求的动作,所述服务请求用从所述主对称会话密钥派生的第一派生对称会话密钥加密,并用从所述主对称会话密钥派生的第二派生对称会话密钥以数字签名来签署。
18.如权利要求17所述的方法,其特征在于,还包括:
使用所述第一派生对称会话密钥对所述服务请求解密的动作;
使用所述第二派生对称会话密钥确认所述数字签名的动作;
将要返回给所述Web服务客户机的响应数据包括在服务响应中的动作;以及
向所述Web服务客户机发送服务响应的动作,所述服务响应使用从所述主对称会话密钥派生的第三派生对称会话密钥加密,并用从所述主对称会话密钥派生的第四派生对称会话密钥以数字签名来签署。
CN2006100044912A 2005-03-14 2006-02-14 用于web服务的可信第三方认证的方法 Expired - Fee Related CN1835437B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/079,050 2005-03-14
US11/079,050 US7900247B2 (en) 2005-03-14 2005-03-14 Trusted third party authentication for web services

Publications (2)

Publication Number Publication Date
CN1835437A CN1835437A (zh) 2006-09-20
CN1835437B true CN1835437B (zh) 2011-01-26

Family

ID=36579744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006100044912A Expired - Fee Related CN1835437B (zh) 2005-03-14 2006-02-14 用于web服务的可信第三方认证的方法

Country Status (7)

Country Link
US (1) US7900247B2 (zh)
EP (2) EP1703694B1 (zh)
JP (1) JP5021215B2 (zh)
KR (1) KR20060100920A (zh)
CN (1) CN1835437B (zh)
AT (1) ATE401730T1 (zh)
DE (1) DE602006001767D1 (zh)

Families Citing this family (147)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040107345A1 (en) * 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US9009084B2 (en) 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US7324976B2 (en) 2004-07-19 2008-01-29 Amazon Technologies, Inc. Automatic authorization of programmatic transactions
US7502760B1 (en) 2004-07-19 2009-03-10 Amazon Technologies, Inc. Providing payments automatically in accordance with predefined instructions
US7383231B2 (en) 2004-07-19 2008-06-03 Amazon Technologies, Inc. Performing automatically authorized programmatic transactions
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US20060271514A1 (en) * 2005-04-27 2006-11-30 Inventec Corporation Structure of customized web services
US7739724B2 (en) * 2005-06-30 2010-06-15 Intel Corporation Techniques for authenticated posture reporting and associated enforcement of network access
US8682795B2 (en) * 2005-09-16 2014-03-25 Oracle International Corporation Trusted information exchange based on trust agreements
US20070101145A1 (en) * 2005-10-31 2007-05-03 Axalto Inc. Framework for obtaining cryptographically signed consent
WO2007105104A2 (en) * 2006-03-15 2007-09-20 Actividentity Inc. Method and system for storing a key in a remote security module
US7992203B2 (en) 2006-05-24 2011-08-02 Red Hat, Inc. Methods and systems for secure shared smartcard access
US8495380B2 (en) * 2006-06-06 2013-07-23 Red Hat, Inc. Methods and systems for server-side key generation
US8098829B2 (en) 2006-06-06 2012-01-17 Red Hat, Inc. Methods and systems for secure key delivery
US7822209B2 (en) 2006-06-06 2010-10-26 Red Hat, Inc. Methods and systems for key recovery for a token
US8180741B2 (en) 2006-06-06 2012-05-15 Red Hat, Inc. Methods and systems for providing data objects on a token
US8332637B2 (en) 2006-06-06 2012-12-11 Red Hat, Inc. Methods and systems for nonce generation in a token
US8364952B2 (en) 2006-06-06 2013-01-29 Red Hat, Inc. Methods and system for a key recovery plan
US8412927B2 (en) 2006-06-07 2013-04-02 Red Hat, Inc. Profile framework for token processing system
US9769158B2 (en) 2006-06-07 2017-09-19 Red Hat, Inc. Guided enrollment and login for token users
US8707024B2 (en) 2006-06-07 2014-04-22 Red Hat, Inc. Methods and systems for managing identity management security domains
US8099765B2 (en) 2006-06-07 2012-01-17 Red Hat, Inc. Methods and systems for remote password reset using an authentication credential managed by a third party
US8589695B2 (en) 2006-06-07 2013-11-19 Red Hat, Inc. Methods and systems for entropy collection for server-side key generation
US8787566B2 (en) 2006-08-23 2014-07-22 Red Hat, Inc. Strong encryption
US8806219B2 (en) 2006-08-23 2014-08-12 Red Hat, Inc. Time-based function back-off
US8074265B2 (en) 2006-08-31 2011-12-06 Red Hat, Inc. Methods and systems for verifying a location factor associated with a token
US8356342B2 (en) 2006-08-31 2013-01-15 Red Hat, Inc. Method and system for issuing a kill sequence for a token
US9038154B2 (en) 2006-08-31 2015-05-19 Red Hat, Inc. Token Registration
US8977844B2 (en) 2006-08-31 2015-03-10 Red Hat, Inc. Smartcard formation with authentication keys
US20080072032A1 (en) * 2006-09-19 2008-03-20 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Configuring software agent security remotely
US8627402B2 (en) 2006-09-19 2014-01-07 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US20080077976A1 (en) * 2006-09-27 2008-03-27 Rockwell Automation Technologies, Inc. Cryptographic authentication protocol
US7694131B2 (en) * 2006-09-29 2010-04-06 Microsoft Corporation Using rich pointers to reference tokens
US20080086766A1 (en) * 2006-10-06 2008-04-10 Microsoft Corporation Client-based pseudonyms
US8225096B2 (en) * 2006-10-27 2012-07-17 International Business Machines Corporation System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information
US8693690B2 (en) 2006-12-04 2014-04-08 Red Hat, Inc. Organizing an extensible table for storing cryptographic objects
US20080178010A1 (en) * 2007-01-18 2008-07-24 Vaterlaus Robert K Cryptographic web service
US8813243B2 (en) 2007-02-02 2014-08-19 Red Hat, Inc. Reducing a size of a security-related data object stored on a token
KR101434577B1 (ko) * 2007-02-13 2014-08-29 삼성전자주식회사 VoIP 시스템에서 SRTCP 채널을 이용하여 키 위탁및 키 복구를 위한 방법 및 이를 이용한 장치
US8832453B2 (en) 2007-02-28 2014-09-09 Red Hat, Inc. Token recycling
US8639940B2 (en) 2007-02-28 2014-01-28 Red Hat, Inc. Methods and systems for assigning roles on a token
US9081948B2 (en) 2007-03-13 2015-07-14 Red Hat, Inc. Configurable smartcard
CN101277512B (zh) * 2007-03-27 2011-07-20 厦门致晟科技有限公司 一种无线移动终端通讯加密的方法
US8881253B2 (en) * 2007-03-28 2014-11-04 Symantec Corporation Method and apparatus for accepting a digital identity of a user based on transitive trust among parties
US7881984B2 (en) * 2007-03-30 2011-02-01 Amazon Technologies, Inc. Service for providing item recommendations
US7974888B2 (en) 2007-03-30 2011-07-05 Amazon Technologies, Inc. Services for providing item association data
US7992198B2 (en) * 2007-04-13 2011-08-02 Microsoft Corporation Unified authentication for web method platforms
US8327456B2 (en) * 2007-04-13 2012-12-04 Microsoft Corporation Multiple entity authorization model
US8656472B2 (en) * 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
US7979896B2 (en) * 2007-04-20 2011-07-12 Microsoft Corporation Authorization for access to web service resources
US8528058B2 (en) 2007-05-31 2013-09-03 Microsoft Corporation Native use of web service protocols and claims in server authentication
US8290152B2 (en) 2007-08-30 2012-10-16 Microsoft Corporation Management system for web service developer keys
US8332922B2 (en) * 2007-08-31 2012-12-11 Microsoft Corporation Transferable restricted security tokens
ITTO20070853A1 (it) * 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
US8539551B2 (en) * 2007-12-20 2013-09-17 Fujitsu Limited Trusted virtual machine as a client
US8544066B2 (en) 2007-12-27 2013-09-24 Nec Corporation Access right management system, access right management method, and access right management program
US8281151B2 (en) * 2008-04-09 2012-10-02 Hewlett-Packard Development Company L. P. Auditor assisted extraction and verification of client data returned from a storage provided while hiding client data from the auditor
US8438622B2 (en) * 2008-07-10 2013-05-07 Honesty Online, Llc Methods and apparatus for authorizing access to data
WO2010017828A1 (en) * 2008-08-14 2010-02-18 Nec Europe Ltd. Secure browser-based access to web services
US9443084B2 (en) * 2008-11-03 2016-09-13 Microsoft Technology Licensing, Llc Authentication in a network using client health enforcement framework
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
US8275991B2 (en) * 2009-07-10 2012-09-25 Cahn Robert S On-line membership verification
CN101667913B (zh) * 2009-09-18 2011-12-21 重庆邮电大学 基于对称加密的认证加密方法及加密系统
EP2483791B1 (en) * 2009-09-30 2018-01-17 Amazon Technologies, Inc. Modular device authentication framework
US9129086B2 (en) * 2010-03-04 2015-09-08 International Business Machines Corporation Providing security services within a cloud computing environment
JP5491932B2 (ja) * 2010-03-30 2014-05-14 株式会社インテック ネットワーク・ストレージ・システム、方法、クライアント装置、キャッシュ装置、管理サーバ、及びプログラム
JP5552870B2 (ja) * 2010-04-01 2014-07-16 ソニー株式会社 メモリ装置、ホスト装置、およびメモリシステム
CN101977194B (zh) * 2010-10-29 2013-01-30 深圳市宇初网络技术有限公司 一种第三方验证码系统及第三方验证码提供方法
JP5682237B2 (ja) * 2010-11-05 2015-03-11 富士ゼロックス株式会社 情報処理装置及びプログラム
US9497184B2 (en) * 2011-03-28 2016-11-15 International Business Machines Corporation User impersonation/delegation in a token-based authentication system
KR101273285B1 (ko) 2011-06-03 2013-06-11 (주)네오위즈게임즈 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템
US9244709B2 (en) 2011-06-13 2016-01-26 Microsoft Technology Licensing, Llc Automatic recognition of web application
US9258344B2 (en) 2011-08-01 2016-02-09 Intel Corporation Multi-hop single sign-on (SSO) for identity provider (IdP) roaming/proxy
US8966572B2 (en) 2011-09-30 2015-02-24 Oracle International Corporation Dynamic identity context propagation
US9519777B2 (en) 2011-10-31 2016-12-13 Novell, Inc. Techniques for controlling authentication
US8924723B2 (en) * 2011-11-04 2014-12-30 International Business Machines Corporation Managing security for computer services
US9117062B1 (en) * 2011-12-06 2015-08-25 Amazon Technologies, Inc. Stateless and secure authentication
US8881256B1 (en) 2011-12-21 2014-11-04 Amazon Technologies, Inc. Portable access to auditing information
CN103209158A (zh) * 2012-01-12 2013-07-17 深圳市宇初网络技术有限公司 一种第三方验证方法以及系统
US8914842B2 (en) * 2012-01-23 2014-12-16 Microsoft Corporation Accessing enterprise resource planning data from a handheld mobile device
US9026784B2 (en) * 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
CN102752276A (zh) * 2012-02-02 2012-10-24 青岛印象派信息技术有限公司 一种基于云计算的验证码服务方法和系统
US8874909B2 (en) 2012-02-03 2014-10-28 Daniel Joseph Lutz System and method of storing data
US9191394B2 (en) * 2012-02-08 2015-11-17 Microsoft Technology Licensing, Llc Protecting user credentials from a computing device
US20130219387A1 (en) * 2012-02-22 2013-08-22 Vmware, Inc. Establishing secure two-way communications in a virtualization platform
KR101701277B1 (ko) * 2012-04-16 2017-02-01 인텔 코포레이션 확장성 보안 실행
US8898764B2 (en) * 2012-04-19 2014-11-25 Microsoft Corporation Authenticating user through web extension using token based authentication scheme
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9047442B2 (en) * 2012-06-18 2015-06-02 Microsoft Technology Licensing, Llc Provisioning managed devices with states of arbitrary type
US8839376B2 (en) * 2012-06-29 2014-09-16 Cable Television Laboratories, Inc. Application authorization for video services
US8949596B2 (en) * 2012-07-10 2015-02-03 Verizon Patent And Licensing Inc. Encryption-based session establishment
CN103716283B (zh) 2012-09-29 2017-03-08 国际商业机器公司 用于在流程中处理调用的Web服务的OAuth认证的方法和系统
US8990907B2 (en) * 2012-11-09 2015-03-24 Microsoft Corporation Managing security credentials for scaled-out services
US20140181939A1 (en) * 2012-12-14 2014-06-26 United States Postal Service Cloud computing exchange for identity proofing and validation
US9608813B1 (en) 2013-06-13 2017-03-28 Amazon Technologies, Inc. Key rotation techniques
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US9547771B2 (en) 2013-02-12 2017-01-17 Amazon Technologies, Inc. Policy enforcement with associated data
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US9009480B1 (en) 2013-03-07 2015-04-14 Facebook, Inc. Techniques for handshake-free encrypted communication using public key bootstrapping
US9032505B1 (en) 2013-03-15 2015-05-12 Wells Fargo Bank, N.A. Creating secure connections between distributed computing devices
US9363256B2 (en) 2013-04-11 2016-06-07 Mx Technologies, Inc. User authentication in separate authentication channels
US9940614B2 (en) 2013-04-11 2018-04-10 Mx Technologies, Inc. Syncing two separate authentication channels to the same account or data using a token or the like
US9300639B1 (en) 2013-06-13 2016-03-29 Amazon Technologies, Inc. Device coordination
US9276928B2 (en) * 2013-06-15 2016-03-01 Microsoft Corporation Sending session tokens through passive clients
US20150007269A1 (en) * 2013-06-27 2015-01-01 International Business Machines Corporation Delegating authentication for a web service
US9948726B2 (en) * 2013-07-01 2018-04-17 Avaya Inc. Reconstruction of states on controller failover
US9456003B2 (en) 2013-07-24 2016-09-27 At&T Intellectual Property I, L.P. Decoupling hardware and software components of network security devices to provide security software as a service in a distributed computing environment
TWI506474B (zh) * 2013-11-08 2015-11-01 Chunghwa Telecom Co Ltd Heterogeneous information device integration method
US9426156B2 (en) * 2013-11-19 2016-08-23 Care Innovations, Llc System and method for facilitating federated user provisioning through a cloud-based system
CN103607284B (zh) * 2013-12-05 2017-04-19 李笑来 身份认证方法及设备、服务器
US9231940B2 (en) * 2013-12-16 2016-01-05 Verizon Patent And Licensing Inc. Credential linking across multiple services
US9426136B2 (en) 2014-03-31 2016-08-23 EXILANT Technologies Private Limited Increased communication security
US9602486B2 (en) * 2014-03-31 2017-03-21 EXILANT Technologies Private Limited Increased communication security
US9426148B2 (en) * 2014-03-31 2016-08-23 EXILANT Technologies Private Limited Increased communication security
US9419949B2 (en) * 2014-03-31 2016-08-16 EXILANT Technologies Private Limited Increased communication security
US9419979B2 (en) * 2014-03-31 2016-08-16 EXILANT Technologies Private Limited Increased communication security
US9426135B2 (en) 2014-03-31 2016-08-23 EXILANT Technologies Private Limited Increased communication security
US10389714B2 (en) 2014-03-31 2019-08-20 Idaax Technologies Private Limited Increased communication security
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
EP2991308B1 (en) * 2014-08-27 2021-08-25 Idaax Technologies Private Limited Increased communication security
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
EP3787226B1 (en) * 2014-10-31 2023-06-07 OneSpan International GmbH A multi-user strong authentication token
US9544311B2 (en) * 2014-11-14 2017-01-10 Sap Se Secure identity propagation in a cloud-based computing environment
CN110086768B (zh) * 2014-12-31 2022-02-01 创新先进技术有限公司 一种业务处理方法及装置
US10469477B2 (en) 2015-03-31 2019-11-05 Amazon Technologies, Inc. Key export techniques
US11252190B1 (en) 2015-04-23 2022-02-15 Amazon Technologies, Inc. Limited access policy bypass
CN106302312B (zh) * 2015-05-13 2019-09-17 阿里巴巴集团控股有限公司 获取电子文件的方法及装置
EP3318002A4 (en) * 2015-07-03 2018-05-09 Telefonaktiebolaget LM Ericsson (publ) Method performed by a cache server for managing content requests
KR101981203B1 (ko) * 2015-09-23 2019-05-22 주식회사 엔터플 사용자 계정 동기화를 이용한 디지털 상품 제공 방법 및 장치
CN107317787A (zh) * 2016-04-26 2017-11-03 北京京东尚科信息技术有限公司 服务授信方法、设备及系统
WO2018011762A2 (en) * 2016-07-14 2018-01-18 Kumar Srijan A client-server based system for collusion resistant, verifiable and provably fair token based games and methods employed thereof
US20180103032A1 (en) * 2016-10-06 2018-04-12 Fmr Llc Authorization of Computing Devices Using Cryptographic Action Tokens
US10356079B2 (en) * 2016-12-05 2019-07-16 Keeper Security, Inc. System and method for a single sign on connection in a zero-knowledge vault architecture
ES2880012T3 (es) * 2017-06-14 2021-11-23 Thales Dis France Sa Método para la autenticación simétrica mutua entre una primera aplicación y una segunda aplicación
US10880087B2 (en) * 2018-08-20 2020-12-29 Jpmorgan Chase Bank, N.A. System and method for service-to-service authentication
CN110611661A (zh) * 2019-08-23 2019-12-24 国网浙江省电力有限公司电力科学研究院 基于双重认证多重防护措施的采集信息共享方法及系统
US11689924B2 (en) * 2021-04-02 2023-06-27 Vmware, Inc. System and method for establishing trust between multiple management entities with different authentication mechanisms
US20230171257A1 (en) * 2021-11-29 2023-06-01 Verizon Patent And Licensing Inc. System and method for system access credential delegation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1456993A (zh) * 2003-05-30 2003-11-19 武汉理工大学 一种用户计算机之间交换密钥的方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7386513B2 (en) 2001-01-17 2008-06-10 Contentguard Holdings, Inc. Networked services licensing system and method
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US7818792B2 (en) * 2002-02-04 2010-10-19 General Instrument Corporation Method and system for providing third party authentication of authorization
US7231663B2 (en) * 2002-02-04 2007-06-12 General Instrument Corporation System and method for providing key management protocol with client verification of authorization
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
US7356694B2 (en) * 2004-03-10 2008-04-08 American Express Travel Related Services Company, Inc. Security session authentication system and method
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1456993A (zh) * 2003-05-30 2003-11-19 武汉理工大学 一种用户计算机之间交换密钥的方法

Also Published As

Publication number Publication date
EP1703694A3 (en) 2006-10-18
US7900247B2 (en) 2011-03-01
US20060206932A1 (en) 2006-09-14
JP5021215B2 (ja) 2012-09-05
DE602006001767D1 (de) 2008-08-28
ATE401730T1 (de) 2008-08-15
JP2006260538A (ja) 2006-09-28
CN1835437A (zh) 2006-09-20
EP1703694B1 (en) 2008-07-16
KR20060100920A (ko) 2006-09-21
EP1931107A1 (en) 2008-06-11
EP1703694A2 (en) 2006-09-20

Similar Documents

Publication Publication Date Title
CN1835437B (zh) 用于web服务的可信第三方认证的方法
US8707031B2 (en) Identity-based certificate management
EP3764616B1 (en) Authentication for licensing in an embedded system
CN100478975C (zh) 将光盘用作智能密钥装置的方法和系统
CA2357792C (en) Method and device for performing secure transactions
US20060095769A1 (en) System and method for initializing operation for an information security operation
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
KR100850506B1 (ko) 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법
JP2005502269A (ja) デジタル証明書を作成するための方法及び装置
CN113329003B (zh) 一种物联网的访问控制方法、用户设备以及系统
Reddy et al. Trust anchor management requirements
Arnedo-Moreno et al. Secure communication setup for a P2P-based JXTA-overlay platform
Kyrillidis et al. Distributed e-voting using the smart card web server
Dumas et al. LocalPKI: An interoperable and IoT friendly PKI
Hirsch et al. Security and Privacy Considerations for the OASIS Security Assertion Markup Language (SAML) V2. 0
KR100970552B1 (ko) 비인증서 공개키를 사용하는 보안키 생성 방법
JP6045018B2 (ja) 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法
Kumar et al. Realization of threats and countermeasure in Semantic Web services
Hazari Challenges of implementing public key infrastructure in Netcentric enterprises
Ellison DeviceSecurity: 1 service template
Hashizume et al. Digital Signature with Hashing and XML Signature patterns.
JP2004118455A (ja) データ交換システム、データ交換方法、データ交換プログラム、及びデータ交換プログラムが記録された記録媒体
Meduri Webservice security
Chousiadis et al. An authentication architecture for healthcare information systems
Takahashi et al. An approach of trusted program generation for user-responsible privacy

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110126

Termination date: 20130214