CN1842993A - 提供证书 - Google Patents
提供证书 Download PDFInfo
- Publication number
- CN1842993A CN1842993A CNA2004800245376A CN200480024537A CN1842993A CN 1842993 A CN1842993 A CN 1842993A CN A2004800245376 A CNA2004800245376 A CN A2004800245376A CN 200480024537 A CN200480024537 A CN 200480024537A CN 1842993 A CN1842993 A CN 1842993A
- Authority
- CN
- China
- Prior art keywords
- gateway
- certificate
- service
- user
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及为了在第一数据网络(1)使用服务(2)而提供证书的方法和系统。用户利用用户识别符登录第二数据网络(6),所述识别符是通过该网关(7)从第二网络(6)发送给认证服务器(4),在此验证用户识别符,并且将成功登录的信息发送给该网关(7)。连接该证书的信息是与认证服务器(4)有关地进行存储的,在所述情况下,在登录阶段将连接该证书的信息从该认证服务器(4)发送给网关(7)。从该网关(7)将证书发送给第一数据网络(1)中的所述服务。本发明也涉及在该系统中使用的认证服务器(4),和网关(7)。
Description
技术领域
本发明涉及为了在第一数据网络使用服务而从第二数据网络提供证书的方法和系统,在此存在一条通过网关到第一数据网络的数据传输连接,在方法中,用户通过用户识别符登录该网关,所述用户识别符通过网关被从第二数据网络发送给认证服务器,其中验证用户识别符,并将成功登录的信息发送给该网关。另外,本发明涉及一种系统,其包括至少第一数据网络和第二数据网络,这两个网络通过网关互相连接,为了在第一数据网络中使用服务而用于提供证书的装置,用于用户通过使用用户标识符利用终端登录网关的装置,用于从第二数据网络通过网关向认证服务器发送所述用户标识符的装置,其中存在用于验证用户标识符的装置,和用于在成功登录时向网关发送信息的装置。另外,本发明涉及在系统中使用的认证服务器,所述系统包括至少第一数据网络和第二数据网络,这两个网络通过网关互相连接,为了在第一数据网络中使用服务而提供证书的装置,用于用户通过使用用户标识符利用终端登录网关的装置,用于从第二数据网络通过网关向认证服务器发送所述用户标识符的装置,其中存在用于验证用户标识符的装置,和用于向网关发送成功登录的信息的装置。而且,本发明涉及在系统中使用的网关,所述系统包括至少第一数据网络和第二数据网络,这两个网络通过所述网关互相连接,为了在第一数据网络中使用服务而提供证书的装置,用于用户通过使用用户标识符利用终端登录网关的装置,用于从第二数据网络通过网关向认证服务器发送所述用户标识符的装置,其中存在用于验证用户标识符的装置,和用于向网关发送成功登录的信息的装置。
背景技术
用户能例如通过因特网连接到一些局域网,以便使用在该局域网中的服务。例如,该局域网是公司和其他社团的数据网络,在一些情况下也被称为内部网(intranet)。图1显示了该系统类型的范例,其包括至少一个局域网1,其包括在远程服务器3上配备的一个和多个服务2。在该局域网1中存在认证服务器4,其执行用户认证。该用户利用他/她的终端5通过第二数据网络6,如因特网登录局域网。该局域网1通过网关7连接第二数据网络6。在该网关的两端有利的存在防火墙8.1,8.2,通过该防火墙,防止外部对该局域网的访问。在不同的应用中可以变化网关7的实施。根据本发明,网关7的目的是操作在该局域网1和系统中的第二数据网6之间的数据传输中,以及当用户登录到系统时用作登录装置以便使用一些服务2。
当用户希望使用局域网中的一些服务2时,例如进行如下操作。该用户利用终端5连接到第二数据网络6,并且指定该局域网的认证服务器4的地址为目的地址。在此之后,为了用户认证,该终端5和该认证服务器4相互通信。在该认证阶段,通常用户必需输入用户标识符和口令,基于这些标识符合口令在认证服务器4中识别用户,和这确保了用户有权登录来使用该局域网1。
例如,该认证协议可以是RADIUS(远程拨入用户认证服务),LDAP(轻量级目录访问协议)和一些适合认证的其他协议。
在用户已经被认证并且已经确认用户有权使用该局域网1之后,用户能开始使用期待的服务2。然而,使用服务通常预示着用户输入所述服务的证书,安装该服务的服务器能基于所述证书来识别用户并验证他/她有权使用该服务。这些证书通常与用户用于登录该局域网的任何证书不相同。因此,典型的用户必需分别为每个服务指定他/她的证书,这很不方便。另外,记住多个证书、如用户标识符和口令,是困难的并且可能需要用文件记录这些证书。
证书以非加密形式存储在数据网络6和网关7中是不安全的,因为外来者通常能访问第二数据网络6和网关7,在该情况下,没有权限使用该局域网1或它的服务的一些人能知道这些证书。
发明内容
本发明的目的是提供一种用于存储证书的安全方法,并提供它们以便用户使用该局域网的服务。本发明基于以下的思想,即当用户已经被认证时,将连接到证书的信息发送给用户终端,在该情况下,当用户移动以使用该局域网的服务时,所发送的信息被用于确定该证书。在该信息的基础上,确定用于所述服务的用户的证书,并将证书发送给该服务,基于此,其能验证用户使用该服务的权力。发送的用于确定证书的信息可包括证书、或者一个或多个加密密钥,通过该密钥有可能对加密形式的证书解密。为了更精确的表达,根据本发明的该方法主要特征在于,与该证书相连的信息是与认证服务器有关地进行存储的,在该情况下,在登录期间将连接该证书的信息从该认证服务器发送给网关,并且从该网关将该证书发送给第一数据网络中的所述服务。根据本发明的系统的主要特征在于,与该证书相连的信息是与认证服务器有关地进行存储的,在该情况下,该系统包括用于将连接到那些和登录有关的证书的信息从该认证服务器发送给网关的装置,并且该系统包括将证书从该网关发送给第一数据网络中的所述服务的装置。根据本发明的认证服务器主要特征在于连接该证书的信息的存储与认证服务器有关,在该情况下,该认证服务器包括将连接到那些和登录有关的证书的信息发送给网关的装置。根据本发明的网关的主要特征在于与证书相连的信息是与认证服务器有关地进行存储的,在该情况下,该网关包括从认证服务器接收连接到那些和登录有关的证书的信息的装置,和用于将连接到那些与登录有关的证书的信息发送给第一数据网络中的所述服务的装置。
本发明具有优于现有技术的方案的显著优点。在根据本发明的系统中,在该局域网中通过一个用户标识符有可能将用户的证书用于不同服务。因此,用户不必分开输入服务专用证书,而输入一个用户标识符就足够了。这减少了记忆不同证书的需要,并且加速和有助于开始使用局域网的服务。而且,降低了证书展示给外来者的风险,因为用户不必存储或用文件记录多个证书。
附图说明
下面,将参考附图详细描述本发明,其中
图1显示了数据系统,其中在局域网中实施用户可以使用的服务,
图2a以简化的图表显示了根据本发明第一优选实施例的系统,
图2b以简化的图表显示了在根据本发明第一优选实施例的方法中执行的消息处理,
图3a以简化的图表显示了根据本发明第二优选实施例的系统,和
图3b以简化的图表显示了在根据本发明第二优选实施例的方法中执行的消息处理。
具体实施方式
下面,根据本发明的第一优选实施例,根据图2a的系统9将用作描述方法和系统的非限制范例。它包括局域网1,对该局域网设置至少一个服务2,例如通过数据网络6从该局域网的外部可使用该服务。有利的,通过网关7,该局域网1连接在一个到数据网络6的数据传输连接中。有利的,该网关至少具有数据处理装置7.1、数据传输装置7.2(I/O,输入/输出),和存储器7.3。在该网关7的两端,以公知的方式有利的存在防火墙8.1、8.2等。另外,该数据网络7连接无线数据传输网络10,如移动通信网络。因此,也可通过无线终端11形成到该局域网1的连接。在该局域网1中存在认证服务器4,通过该认证服务器可以认证登录该局域网1的终端5,11的用户。有利的,该认证服务器至少具有数据处理装置4.1、数据传输装置4.2(I/O、输入/输出)和存储器4.3,例如用于存储包括用户数据的数据库。例如,在该局域网1中实施的服务被配置为与远程服务器3有关。然而,显然该认证服务器4和该远程服务器3不必是分开的设备,它们也可以实施在一个服务器设备中。
该服务2的一些非限制范例是电子邮件、在局域网1中安装的应用程序、付费应用、该局域网的远程控制应用、日历等,根据本发明的登录可以被应用于这些服务。
下面,让我们假设用户试图通过无线终端11使用该局域网1的服务2。因此,必要时,该无线终端11登录该无线数据传输网络10,以便激活该无线数据传输网络10和该无线终端11之间的数据传输连接。该数据传输连接有利地是所谓的无连接连接,如分组连接,其中在该连接的整个有效期间该数据传输连接不预留该无线数据传输网络的资源,而主要是在通过数据传输连接发送数据时。该无连接连接的一个范例是分组连接,其中仅当必要时以分组的形式发送数据。例如,在实施GPRS服务(通用分组无线服务)的GSM移动通信系统中,其中应用分组形式的数据传输。然而,该连接也可以是所谓面向连接的连接,如语音连接,其中在该数据传输的整个有效时间中对于连接预留资源。
在该移动电话和网关服务器之间形成安全隧道,借助于所述隧道来加密在移动电话和该网关服务器之间的所有业务。该用户通过登录该网关服务器来开启隧道会话。本发明有可能在该隧道开启后,由用户利用一次登录来设置通过隧道而被使用的所有服务。因此,通过一个登录,有可能开始一个会话,在此会话期间该网关服务器发送在到远程服务器的会话期间使用的服务所需要的所有证书。
在对于该无线终端已经激活数据传输连接之后,例如,该用户可以通过为此设计的网络浏览器开始浏览该数据网络。通过该过程,用户向该系统通知它的局域网的地址,或者该局域网的一些其他标识符,系统基于这些标识符来执行到局域网1的登录。图2b显示了开始使用与该方法有关的服务的消息处理的简化图表。在这一点,通过网关7,在认证服务器4或局域网1和该无线终端11之间传输数据。对于无线终端11的用户来说,有利地给出登录窗口等,在此窗口中要求用户声明他/她的用户标识符。该用户标识符典型地包括用户ID和口令。当用户向该无线终端输入所述数据时,通过数据传输连接发送该用户标识符到网关7(图2b的图表中的箭头201)。从该网关7,将数据进一步发送给认证服务器4,作为认证消息等(箭头202)。在该网关7和该认证服务器4之间的数据传输中,使用一些适于此目的的协议,如RADIUS或LDAP,在该情况下,根据所使用的协议将用户标识符作为一个或者多个消息来发送。在该认证服务器4中,接收消息并且检查在它们中包含的信息(框203)。该认证服务器4根据它的用户数据库4.3检查,例如是否存在对应所述用户标识符的数据记录。如果发现这种记录,检查为用户标识符所预留的存取权,诸如检查所述用户有权使用的服务2,如果必要的话。在该优选实施例中,该用户有权使用的这些服务2的用户证书已经存储在该认证服务器的数据库4.3中。因此,该认证服务器4向网关7发送有关用户认证的信息以及所述证书(箭头204),其中为了使用该服务,它们存储在存储器7.1(图2a)中,对于数据传输连接的激活期间是有利的(框205)。在该用户的认证数据的基础上,该网关7推断该认证服务器4是否已经认证了所述用户。
如果合适的执行该认证,网关7向该无线终端11发送有关的消息(箭头206)。此后,在无线终端11中可以开始服务的使用,在该情况下,从该无线终端11向网关7发送服务登录消息等(箭头207)。该消息包括关于希望使用的服务的信息。该网关7检查该服务并且从它存储的证书中对于要启动的服务搜索所述用户的证书(块208)。该证书包括,例如特定服务用户标识符和用户的口令。当所述用户的证书位于该网关的存储器7.3中时,该网关向该远程服务器发送服务登录消息(箭头209),要被使用的服务位于该远程服务器中。在该登录消息中发送该用户的证书。该远程服务器3的服务2接收该登录消息并且验证该证书是正确的(块210)。此后,该远程服务器3根据该服务向网关7发送信息(箭头211),网关7将信息进一步发送给无线终端11,以便呈现给用户(箭头212)。现在使用该服务是可能的。关于使用该服务,通过网关7执行在该无线终端11和该远程服务器3之间的数据传输。用户不需要执行证书的输入。本发明尤其适合用于以下的系统,其中不是由终端而是由该系统的其他一些部分执行认证数据的发送,在上述范例中其是与该认证服务器4通信的网关。
应当注意,该认证服务器4的数据库4.3优选的以如下方式实施,即除了与用户执行的登录有关的证书之外,不存取数据库中用户专用的证书。因此,该证书至少以加密的形式存储,并且只有在输入正确的用户标识符,如用户ID和口令之后解密才是可能的。然而,用户专用的用户标识符是与认证服务器4有关地进行存储的,以便该认证服务器验证试图登录的用户是有资格使用该系统的用户,和验证已经正确输入该用户标识符。
图3a用简化图表显示了根据本发明第二优选实施例的系统,并且图3b以简化的方式显示了在根据本发明第二优选实施例的方法中执行的消息处理。根据本发明第二优选实施例的该系统和方法主要依照本发明的第一优选实施例。实质上最不同的是在该第二实施例中,该证书不是与认证服务器4有关地进行存储,而是与网关7有关地进行存储。以加密的形式存储该证书,并且在解密中使用的密钥存储是与认证服务器4有关地进行存储的。
另外,让我们简短的描述该方法的各个阶段。用户通知该系统它的局域网地址或该局域网的一些其他标识符,基于此,系统执行到该局域网的登录。对于无线终端11的用户,有利地给出登录窗口等,在此要求用户声明他的/她的标识符。该用户标识符典型地包括用户ID和口令。当该用户已经向该无线终端输入该数据时,通过数据传输连接将用户标识符发送给网关7(图3b图表中的箭头301)。从该网关7,还将数据进一步发送给认证服务器4作为认证消息等(箭头302)。在该网关7和该认证服务器4之间的数据传输中使用了适用于该目的的一些协议,诸如RADIUS或LDAP,在该情况下,根据所使用的协议作为一个或多个消息来发送用户标识符。在该认证服务器4中接收消息,并且检查包含在其中的信息(块303)。该认证服务器4从它的用户数据库4.3中检查,例如是否存在对应于所述用户标识符的数据记录。如果发现该记录,检查为该用户标识符所预留的存取权,如检查所述用户有权使用的服务2,如果必要的话。在该优选实施例中,用于解密用于用户有权使用的这些服务2的用户证书的加密密钥已经存储在该认证服务器的数据库4.3中。优选地对于不同服务使用相同的加密密钥,但是本发明也能以如下的方式应用,即存在单独的密钥用于每个服务,在该情况下,适合用于解密所述服务的证书的加密密钥被用于解密该证书。因此,该认证服务器4向网关7发送有关用户认证的信息,以及所述加密密钥(箭头304),其中(这些)密钥存储在存储器7.3中(图3a)用于使用该服务,优选的用于数据传输连接的有效期间(块305)。基于该用户认证数据,网关7推断该认证服务器4是否已经认证了所述用户。
如果合适地执行该认证,该网关7向该无线终端11发送有关的消息(箭头306)。此后,在无线终端11中启动该服务的使用,在该情况下,从该无线终端11向网关7发送服务登录消息等(箭头307)。该消息包括有关希望使用的服务的信息。该网关7检查该服务并从它存储的证书中为要启动的服务搜索所述用户的证书,以及对应于该服务的加密密钥,之后,该网关执行该证书的解密(块308)。当所述用户的证书位于该网关7的存储器7.3中,并且证书被解密时,该网关向远程服务器3发送服务登录消息(箭头309),要被使用的服务位于该远程服务器中。在登录消息中发送用户的证书。该远程服务器3的服务2接收该登录消息,并且校验该证书是否正确(块310)。此后,该远程服务器3根据该服务向网关7发送信息(箭头311),网关7将信息进一步发送给无线终端11,以便呈现给用户(箭头312)。现在使用该服务是可能的。
本发明的上述第二优选实施例有可能将证书存储到一些不安全的地方,如相关网关7中。然而,实际上,如果没有适于解密的密钥,则该证书不能容易地适配于非加密形式。由于应用本发明,在关于本发明中使用的加密方法的类型是不重要的。然而,所使用的加密方法对于在没有解密密钥的情况下进行解密的难度有着重要影响。公知的加密方法基于对称加密,其中相同的加密密钥用于加密和解密,或基于非对称加密(例如PKI,公钥基础结构),其中用于加密的加密密钥不同于用于解密的密钥。
本发明可用于现有系统而对系统的装置没有重大改变。根据本发明的方法的各个阶段能以现有装置中的软件实施,主要在网关7和认证服务器4中。
该认证服务器4没必要位于该局域网1中,但是有可能使用一些其他服务器作为该认证服务器4,从该服务器,数据传输连接可被设置到网关7,以便发送在网关7和该认证服务器4之间的用户登录所需的数据。
本发明不限于上述实施例,而且它在附加的权利要求的范围内能进行修改。
Claims (15)
1.一种为了在第一数据网络(1)使用服务(2)而从第二数据网络(6)提供证书的方法,在此存在通过网关(7)到第一数据网络(1)的数据传输连接,在所述方法中,用户利用用户识别符登录到该网关(7),所述用户识别符通过网关(7)从第二数据网络(6)发送给认证服务器(4),在认证服务器中验证用户识别符,并将成功登录的信息发送给该网关(7),
其特征在于与证书相连的信息是与认证服务器(4)有关地进行存储的,在该情况下,在登录期间将与证书相连的信息从该认证服务器(4)发送给网关(7),并且从该网关(7)将证书发送给第一数据网络(1)中的所述服务。
2.根据权利要求1的方法,其特征在于用户的服务专用证书是与认证服务器(4)有关地进行存储的,在该情况下,在认证阶段,将所述证书从该认证服务器(4)发送给该网关(7),并且与所述服务(2)相连的证书被从该网关(7)发送给第一数据网络(1)中的所述服务(2)。
3.根据权利要求1的方法,其特征在于利用加密密钥对用户的服务专用证书进行加密,利用所述加密密钥存储的该服务专用证书被存储在该网关(7)中,服务专用信息的至少一个加密密钥的存储与认证服务器(4)有关,在该情况下,在该登录阶段,将该加密密钥从该认证服务器(4)发送给网关(7),在该网关(7)中,通过所述解密密钥解密与所述服务(2)相连的证书,并且将与所述服务(2)相连的证书从该网关(7)发送给第一数据网络(1)的所述服务(2)。
4.根据权利要求3的方法,其特征在于相同的加密密钥用于加密相同用户的所有服务的证书。
5.根据权利要求1至4之一的方法,其特征在于在网关(7)中执行登录,其中在从该认证服务器(4)获得与证书相连的信息之前,检查所述用户标识符。
6.根据权利要求1至5之一的方法,其特征在于与该证书连接的信息是与认证服务器(4)有关地进行存储的,通过用户标识符保护,在该情况下,用户标识符用于建立证书。
7.根据权利要求1至6之一的方法,其特征在于在该网关(7)和该认证服务器(4)之间的数据传输中,使用下面至少一个协议:
-RADIUS,
-LDAP。
8.一种系统,其包括至少第一数据网络(1)和第二数据网络(6),其通过网关(7)互相连接,用于提供证书的装置(4,7),以便在第一数据网络中使用服务(2),用于用户通过使用用户标识符利用终端(5,11)登录网关(7)的装置,用于从第二数据网络(6)通过网关(7)向认证服务器(4)发送所述用户标识符的装置,其中存在用于验证用户标识符的装置,和用于向网关(7)发送成功登录的信息的装置(4.2),其特征在于与该证书相连的信息是与认证服务器(4)有关地进行存储的,在该情况下,该系统包括装置(4.2,7.2),用于从该认证服务器(4)向网关(7)发送与证书相连的信息,所述证书与登录有关,以及该系统包括用于将该证书从该网关(7)发送给第一数据网络(7)中的所述服务的装置(7.2)。
9.根据权利要求8的系统,其特征在于用户的服务专用证书是与认证服务器(4)有关地进行存储的,在该情况下,该系统包括装置(4.2,7.2),用于将和登录有关的所述证书从该认证服务器(4)发送给该网关(7),和用于将和所述服务(2)相连的证书从该网关(7)发送给第一数据网络(1)中的所述服务(2)的装置(7.2)。
10.根据权利要求8的系统,其特征在于已经利用加密密钥对用户的服务专用证书进行加密,利用所述加密密钥进行存储的该服务专用证书已经存储在该网关(7)中,服务专用信息的至少一个解密密钥是与认证服务器(4)有关地进行存储的,在该情况下,该系统包括装置(4.2,7.2),用于将与登录有关的解密密钥从该认证服务器(4)发送给网关(7),装置(7.1),用于在该网关(7)中利用所述解密密钥对连接所述服务(2)的证书进行解密,和用于将与所述服务(2)相连的证书从该网关(7)发送给第一数据网络(1)的所述服务(2)的装置(7.2)。
11.一种在系统中使用的认证服务器(4),所述系统包括至少第一数据网络(1)和第二数据网络(6),这两个网络通过网关(7)互相连接,用于提供证书的装置(4,7),以便在第一数据网络中使用服务(2),用于用户通过使用用户标识符利用终端(5,11)登录网关(7)的装置,用于从第二数据网络(6)通过网关(7)向认证服务器(4)发送所述用户标识符的装置,其中存在用于验证用户标识符的装置,和用于向网关(7)发送成功登录的信息的装置,其特征在于与证书相连的信息是与认证服务器(4)有关地进行存储的,在该情况下,该认证服务器(4)包括装置(4.2),用于向网关(7)发送连接该证书的信息,该证书与登录有关。
12.根据权利要求11的该认证服务器(4),其特征在于用户的服务专用证书是与认证服务器(4)有关地进行存储的,在与登录有关的情况下,安排所述证书从该认证服务器(4)发送给网关(7)。
13.根据权利要求11的该认证服务器(4),其特征在于利用加密密钥对用户的服务专用证书进行加密,并且与网关(7)有关地进行存储,在该情况下,与认证服务器(4)有关地存储用于解密该用户的服务专用证书的解密密钥,在该情况下,安排将所述解密密钥从该认证服务器(4)发送给与登录有关的网关(7)。
14.一种在系统中使用的网关(1),所述系统包括至少第一数据网络(1)和第二数据网络(6),这两个网络通过所述网关(7)互相连接,用于提供证书的装置(4,7),以便在第一数据网络中使用服务(2),用于用户通过使用用户标识符利用终端(5,11)登录网关(7)的装置,用于从第二数据网络(6)通过网关(7)向认证服务器(4)发送所述用户标识符的装置,其中存在用于验证用户标识符的装置,和用于向网关发送成功登录的信息的装置(4.2),其特征在于与认证服务器(4)有关地存储与证书相连的信息,在该情况下,该网关(7)包括用于从认证服务器(4)接收连接和登录有关的证书的信息的装置(7.2),和用于将连接与登录有关的证书的信息发送给第一数据网络(1)中的所述服务(2)的装置(7.2)。
15.根据权利要求14的网关(7),其特征在于利用加密密钥对用户的服务专用证书进行加密,并且与网关(7)有关地进行存储,该网关(7)包括用于接收解密密钥的装置(7.2),所述解密密钥用于解密与认证服务器(4)有关地进行存储的该用户的服务专用证书,和用于通过所述解密密钥解密该用户的服务专用证书的装置(7.1)。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20035139A FI120021B (fi) | 2003-08-27 | 2003-08-27 | Valtuustiedon hankkiminen |
FI20035139 | 2003-08-27 | ||
PCT/FI2004/050119 WO2005022821A1 (en) | 2003-08-27 | 2004-08-26 | Providing credentials |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1842993A true CN1842993A (zh) | 2006-10-04 |
CN1842993B CN1842993B (zh) | 2010-04-28 |
Family
ID=27839082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004800245376A Expired - Fee Related CN1842993B (zh) | 2003-08-27 | 2004-08-26 | 提供证书 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20050081066A1 (zh) |
EP (1) | EP1661299A1 (zh) |
JP (1) | JP2007503637A (zh) |
CN (1) | CN1842993B (zh) |
FI (1) | FI120021B (zh) |
WO (1) | WO2005022821A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104782099A (zh) * | 2012-11-21 | 2015-07-15 | 三菱电机株式会社 | 认证请求访问至少一个资源的至少一个终端的方法和系统 |
WO2016180152A1 (zh) * | 2015-08-06 | 2016-11-17 | 中兴通讯股份有限公司 | 一种接入特殊业务网络的鉴权方法和装置 |
CN110995759A (zh) * | 2019-12-23 | 2020-04-10 | 中国联合网络通信集团有限公司 | 物联网的接入方法以及装置 |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7590685B2 (en) * | 2004-04-07 | 2009-09-15 | Salesforce.Com Inc. | Techniques for providing interoperability as a service |
US9645712B2 (en) | 2004-10-01 | 2017-05-09 | Grand Central Communications, Inc. | Multiple stakeholders for a single business process |
US7721328B2 (en) * | 2004-10-01 | 2010-05-18 | Salesforce.Com Inc. | Application identity design |
JP2006148661A (ja) * | 2004-11-22 | 2006-06-08 | Toshiba Corp | 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法 |
US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
US20060235804A1 (en) * | 2005-04-18 | 2006-10-19 | Sharp Kabushiki Kaisha | Service providing system, service using device, service proving device, service relaying device, method for performing authentication, authentication program, and recording medium thereof |
JP4709583B2 (ja) * | 2005-05-31 | 2011-06-22 | 株式会社東芝 | データ送信装置およびデータ送信方法 |
ATE410722T1 (de) * | 2005-07-09 | 2008-10-15 | Ads Tec Gmbh | Schutzsystem für eine datenverarbeitungsanlage |
GB0610113D0 (en) * | 2006-05-20 | 2006-06-28 | Ibm | Method and system for the storage of authentication credentials |
US8468359B2 (en) * | 2006-06-30 | 2013-06-18 | Novell, Inc. | Credentials for blinded intended audiences |
ITTO20070853A1 (it) * | 2007-11-26 | 2009-05-27 | Csp Innovazione Nelle Ict Scar | Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali |
US8813200B2 (en) * | 2007-12-21 | 2014-08-19 | Oracle International Corporation | Online password management |
CA2677113A1 (en) * | 2009-08-25 | 2011-02-25 | 01 Communique Laboratory Inc. | System and method for remotely accessing and controlling a networked computer |
US8452957B2 (en) * | 2010-04-27 | 2013-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for providing secure access to cloud computing for mobile users |
US8601600B1 (en) | 2010-05-18 | 2013-12-03 | Google Inc. | Storing encrypted objects |
US20120317184A1 (en) * | 2011-06-07 | 2012-12-13 | Syed Mohammad Amir Husain | Zero Client Device With Integrated Global Position System Capability |
CN103916849B (zh) * | 2012-12-31 | 2018-08-24 | 上海诺基亚贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
US9098687B2 (en) | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
US10104084B2 (en) * | 2015-07-30 | 2018-10-16 | Cisco Technology, Inc. | Token scope reduction |
CN110995418B (zh) * | 2019-11-27 | 2022-07-22 | 中国联合网络通信集团有限公司 | 云存储认证方法及系统、边缘计算服务器、用户路由器 |
US11611540B2 (en) * | 2020-07-01 | 2023-03-21 | Vmware, Inc. | Protection of authentication data of a server cluster |
US20220082284A1 (en) * | 2020-07-14 | 2022-03-17 | Venthalpy, Llc | Systems and methods for measuring efficiencies of hvacr systems |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
US5898780A (en) * | 1996-05-21 | 1999-04-27 | Gric Communications, Inc. | Method and apparatus for authorizing remote internet access |
US6301661B1 (en) * | 1997-02-12 | 2001-10-09 | Verizon Labortories Inc. | Enhanced security for applications employing downloadable executable content |
US7366900B2 (en) * | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
US7290288B2 (en) * | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
US6065120A (en) * | 1997-12-09 | 2000-05-16 | Phone.Com, Inc. | Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices |
ATE407503T1 (de) * | 1999-07-02 | 2008-09-15 | Nokia Corp | Authentifizierungsverfahren und system |
US6697824B1 (en) * | 1999-08-31 | 2004-02-24 | Accenture Llp | Relationship management in an E-commerce application framework |
US6563800B1 (en) * | 1999-11-10 | 2003-05-13 | Qualcomm, Inc. | Data center for providing subscriber access to data maintained on an enterprise network |
US7047560B2 (en) * | 2001-06-28 | 2006-05-16 | Microsoft Corporation | Credential authentication for mobile users |
US8005965B2 (en) * | 2001-06-30 | 2011-08-23 | International Business Machines Corporation | Method and system for secure server-based session management using single-use HTTP cookies |
AU2002343424A1 (en) * | 2001-09-28 | 2003-04-14 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
US7206934B2 (en) * | 2002-09-26 | 2007-04-17 | Sun Microsystems, Inc. | Distributed indexing of identity information in a peer-to-peer network |
US7571472B2 (en) * | 2002-12-30 | 2009-08-04 | American Express Travel Related Services Company, Inc. | Methods and apparatus for credential validation |
-
2003
- 2003-08-27 FI FI20035139A patent/FI120021B/fi active IP Right Grant
-
2004
- 2004-08-20 US US10/923,608 patent/US20050081066A1/en not_active Abandoned
- 2004-08-26 EP EP04767139A patent/EP1661299A1/en not_active Withdrawn
- 2004-08-26 JP JP2006524380A patent/JP2007503637A/ja active Pending
- 2004-08-26 WO PCT/FI2004/050119 patent/WO2005022821A1/en active Search and Examination
- 2004-08-26 CN CN2004800245376A patent/CN1842993B/zh not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104782099A (zh) * | 2012-11-21 | 2015-07-15 | 三菱电机株式会社 | 认证请求访问至少一个资源的至少一个终端的方法和系统 |
WO2016180152A1 (zh) * | 2015-08-06 | 2016-11-17 | 中兴通讯股份有限公司 | 一种接入特殊业务网络的鉴权方法和装置 |
CN110995759A (zh) * | 2019-12-23 | 2020-04-10 | 中国联合网络通信集团有限公司 | 物联网的接入方法以及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN1842993B (zh) | 2010-04-28 |
US20050081066A1 (en) | 2005-04-14 |
FI20035139A0 (fi) | 2003-08-27 |
FI20035139A (fi) | 2005-02-28 |
WO2005022821A1 (en) | 2005-03-10 |
FI120021B (fi) | 2009-05-29 |
JP2007503637A (ja) | 2007-02-22 |
EP1661299A1 (en) | 2006-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1842993B (zh) | 提供证书 | |
KR101202671B1 (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
FI117181B (fi) | Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi | |
EP2622786B1 (en) | Mobile handset identification and communication authentication | |
CN101009561B (zh) | 用于imx会话控制和认证的系统和方法 | |
US6772331B1 (en) | Method and apparatus for exclusively pairing wireless devices | |
WO2019079356A1 (en) | AUTHENTICATION TOKEN WITH CUSTOMER KEY | |
US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
US20090025080A1 (en) | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access | |
US20080077791A1 (en) | System and method for secured network access | |
EP1179244A1 (en) | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices | |
WO2004075031A2 (en) | Secure instant messaging system | |
CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
JP2003503901A (ja) | インターネット環境の移動通信システムにおける使用者情報セキュリティ装置及びその方法 | |
EP2404427B1 (en) | Method and apparatus for securing network communications | |
WO2006002649A1 (en) | Method and system for protecting information exchanged during communication between users | |
FI116654B (fi) | Menetelmä käyttäjän autentikoimiseksi | |
JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
KR20060094453A (ko) | Eap 를 이용한 시간제 서비스에 대한 인증 방법 및 그시스템 | |
US7480801B2 (en) | Method for securing data traffic in a mobile network environment | |
JP4025734B2 (ja) | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム | |
CN114401100A (zh) | 一种区块链账号的跨应用平台登录方法和系统 | |
Nurmi | Analyzing practical communication security of Android vendor applications | |
WO2000069115A1 (en) | A method and apparatus for accessing a computer using a browser |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100428 Termination date: 20110826 |