DE69838262T2 - Allgemeine benutzer-authentifizierung für netz-rechner - Google Patents
Allgemeine benutzer-authentifizierung für netz-rechner Download PDFInfo
- Publication number
- DE69838262T2 DE69838262T2 DE69838262T DE69838262T DE69838262T2 DE 69838262 T2 DE69838262 T2 DE 69838262T2 DE 69838262 T DE69838262 T DE 69838262T DE 69838262 T DE69838262 T DE 69838262T DE 69838262 T2 DE69838262 T2 DE 69838262T2
- Authority
- DE
- Germany
- Prior art keywords
- user
- user data
- program
- web
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Description
- GEBIET DER ERFINDUNG
- Die vorliegende Erfindung bezieht sich auf Netzwerksysteme, die Internet-Technologie nutzen. Insbesondere bezieht sie sich auf die Identitätsprüfung von Benutzern, die Anforderungen für einen Auftrag von Web-Clients aus einsenden.
- HINTERGRUND DER ERFINDUNG
- Eine derzeitige Entwicklung bei der Netzwerk-Datenverarbeitung geht dahin, kostengünstigere Arbeitsplatzrechner bereitzustellen, ohne Einbußen bei den Funktionen für die Endbenutzer in Kauf nehmen zu müssen. Derartige Arbeitsplatzrechner werden durch die Nutzung der neuen Internet-Technologien verfügbar, die in einem ständigen Entwicklungsprozess begriffen sind. Insbesondere machen sich neue Netzwerklösungen wie beispielsweise die IBM Network Station eine World-Wide-Web-Umgebung zunutze, in der sich jeder Client-Arbeitsplatzrechner wie ein Web-Client verhält (d.h. einen Web-Browser verwendet), der mit einem HTTP-Server (Hypertext Transfer Protocol) verbunden ist. Obwohl diese neuen Arbeitsplatzrechner in der Regel weniger Rechenleistung als herkömmliche Personalcomputer oder UNIX-Arbeitsplatzrechner aufweisen (und damit geringere Kosten verursachen), erlauben sie eine bessere Nutzung der verschiedenen Anwendungen auf Dateiservern wie z.B. dem IBM AS/400, PC-Servern, RS/6000, System/390 usw.
- Web-basierte Anwendungen auf Web-Servern werden über CGI-Programme (Common Gateway Interface, Allgemeine Verbindungsrechner-Schnittstelle), Skripts oder eine andere Art von Anwendungsprogrammschnittstelle (Application Program Interface, API) wie beispielsweise NetscapeTM NSAP, MicrosoftTM ISAPI oder die Java Servlet API realisiert. Vergleichbar dem Abrufen von HTML-Dokumenten (Hypertext Markup Language, Hypertext-Übertragungsprotokoll) auf Web-Servern von Web-Clients aus, stellen CGI-Programme die Mittel bereit, mit denen Web-Clients Anwendungen in Echtzeit auf Web-Servern ausführen und dynamisch erzeugte Ausgabedaten empfangen können. CGI-Programme werden immer dann ausgeführt, wenn ein Client eine URL (Uniform Resource Locator, Verweisadresse) anfordert, die dem CGI-Programm entspricht. Dabei unterliegt die Ausführung von CGI-Programmen der Einschränkung, dass ein Web-basierter Server üblicherweise nicht verfolgt bzw. weiß, welcher Benutzer ein gegebenes CGI-Programm ausführt. Dies kann insbesondere dann zu Sicherheitsproblemen führen, wenn sich Programme abhängig vom Berechtigungsniveau des Benutzers unterschiedlich verhalten sollen.
- Somit ist es bei derartigen Systemen, die Internet-Technologien nutzen, besonders wichtig, ein Mittel für die Überprüfung der Benutzeridentität bereitzustellen. Im Gegensatz zu bestehenden Netzwerktechnologie zur Emulation von Datenstationen ist es Web-basierten Systemen nicht notwendigerweise bekannt bzw. ist es für sie nicht unbedingt von Belang, wer der Benutzer ist, der ein bestimmtes CGI-Programm ausführen möchte, oder wie das Berechtigungsniveau des Benutzers lautet. Wie bereits erwähnt, kann dies eine ernsthafte Einschränkung darstellen, wenn es sich bei einem Endbenutzer um einen Systemadministrator handelt und wenn der Endbenutzer Systemkonfigurierungsfunktionen von einem entfernten Arbeitsplatzrechner aus durchführen muss. So sollte ein Systemadministrator beispielsweise in der Lage sein, nicht standardmäßige Bildschirmanzeigen aufzurufen und geschützte Programme auszuführen, die allgemeinen Benutzern nicht zugänglich sind. (So sollten z.B. bestimmte Menüoptionen wie die Option für die Bearbeitung einer Kennwortdatei nicht jedem Benutzer zur Verfügung stehen.)
- Obwohl CGI-Programme je nach Benutzerprofil oder -kennung, das bzw. die dem Betriebssystem zur Verfügung gestellt wurde, bekanntermaßen verschieden ausgeführt werden können, lässt sich dies offensichtlich nur dann realisieren, wenn das Betriebssystem die Identität (und womöglich das Kennwort) des Endbenutzers kennt. Wie weiter oben bereits erwähnt, stellen die meisten Web-basierten Dateiserver kein integriertes System für die Erkennung von Web-Benutzern bereit. Obwohl es prinzipiell möglich ist, bei jeder Ausführung eines Teilsatzes von CGI-Programmen eine Benutzerkennung und ein Benutzerkennwort abzufragen, würde ein derartiges System einen viel zu großen Mehraufwand verursachen, da die Anzahl der Programme, die eine Überprüfung von Benutzerkennung oder -profil benötigen, extrem groß sein kann. Daher ist einem System der Vorzug zu geben, das bei jeder Ausführung eines CGI-Programms erfasst, wer der Benutzer ist, und das dann entsprechend handelt.
- Bekanntermaßen beinhalten einige HTTP-Server Prozesse für die Durchführung sehr beschränkter Formen der grundlegenden Überprüfung der Benutzeridentität. Bei diesen Servern muss der Web-Benutzer bei jeder Weiterleitung des Client an einen neuen Server ein Kennwort eingeben. Angesichts der Anzahl von Servern, die zu einem Web-basierten Netzwerk gehören können, stellt dies eine ernsthafte Einschränkung dar. Somit wird ein System benötigt, das eine Überprüfung der Benutzeridentität in einem vollständigen Web-basierten Netzwerk bereitstellen kann.
-
WO 96/30846 - T. Berners-Lee und D. Connolly beschreiben in „HyperText Markup Language- 2.0", IETF, Seiten 1 bis 77, November 1995, XP015007650, The Network Working Group's Request for Comments 1866, den IETF-Standard für die Erzeugung von plattformunabhängigen Hypertext-Dokumenten.
- ZUSAMMENFASSUNG DER ERFINDUNG
- Es ist eine Aufgabe der Erfindung, eine Methode bereitzustellen, mit der sich die obigen Nachteile vermeiden lassen.
- Gemäß der vorliegenden Erfindung wird ein Netzwerk nach Anspruch 1 bereitgestellt.
- Weiterhin wird gemäß der Erfindung ein System nach Nebenanspruch 16 bereitgestellt.
- Des Weiteren wird gemäß der Erfindung ein Verfahren nach Nebenanspruch 22 bereitgestellt.
- Gemäß einem ersten Aspekt beinhaltet die Erfindung ein Netzwerksystem mit einem Web-Server wie beispielsweise einem HTTP-Server, mindestens einem Web-Client, der einen Mechanismus für das Senden von Benutzerdaten zusammen mit CGI-Ausführungsanforderungen an den Web-Server sowie mindestens ein sich selbst ausweisendes CGI-Programm beinhaltet, das ursprünglich in einem Standard-Benutzermodus oder mit einer Standard-Benutzerkennung ausführbar ist. Das CGI-Programm beinhaltet ein Mittel für die Überprüfung der Benutzerdaten, ein Mittel für die Ermittlung des Berechtigungsniveaus des Benutzers, ein Mittel, mit dem veranlasst wird, dass das Programm in einem nicht standardmäßigen Modus ausgeführt wird, ein Mittel für das Speichern und Zurückgeben von Benutzerdaten an den Web-Client sowie ein Mittel für das Zurücksetzen des CGI-Programms in einen Standard-Benutzermodus.
- Gemäß einem zweiten Aspekt stellt die vorliegende Erfindung ein Verfahren für die Überprüfung der Benutzeridentität bereit, das die Schritte des Bereitstellens eines Web-Servers beinhaltet, der während einer einmaligen Anmeldeprozedur zunächst Benutzerdaten von dem Endbenutzer erhält. Danach speichert der Web-Server Kennwortdaten für den Benutzer in einem Sicherheitsobjekt auf dem Web-Server sowie andere Benutzerdaten in versteckten Variablen und sendet die Benutzerdaten in einem HTML-Formular zurück an den Web-Client. Alle darauffolgenden CGI-Ausführungsanforderungen von dem Web-Client beinhalten die folgenden Schritte: Zunächst werden die Benutzerdaten mit der Ausführungsanforderung in den versteckten HTML-Variablen an den Web-Server zurückgegeben.
- Danach wird in einem Standard-Benutzermodus bzw. mit einer Standard-Benutzerkennung mit der Ausführung des CGI-Programms auf dem Web-Server begonnen. Daraufhin werden die mit der Ausführungsanforderung empfangenen Benutzerdaten überprüft, und das Berechtigungsniveau des Benutzers wird ermittelt. Dabei kann das Berechtigungsniveau des Benutzers ermittelt werden, indem Kennwortdaten aus dem Sicherheitsobjekt erhalten werden. Als Nächstes gibt das CGI-Programm die notwendigen Systemaufrufe aus, um zu veranlassen, dass es in einem nicht standardmäßigen Benutzermodus bzw. mit einer nicht standardmäßigen Benutzerkennung ausgeführt wird. Danach werden die Benutzerdaten wiederum in versteckten HTML-Variablen gespeichert und zusammen mit den Ergebnissen der Ausführung des CGI-Programms an den Web-Client zurückgegeben. Schließlich gibt das CGI-Programm die notwendigen Systemaufrufe aus, um zu veranlassen, dass es wieder in seinem Standard-Benutzermodus ausgeführt wird.
- Ergänzend sollte klar sein, dass eine bevorzugte Ausführungsform der vorliegenden Erfindung ein Netzwerksystem mit vielen HTTP-Servern beinhaltet, von denen jeder ein generisches oder allgemeines Protokoll für die Realisierung des hier beschriebenen Systems und Verfahrens für die Überprüfung der Benutzeridentität umfasst.
- Obwohl sich diese Beschreibung auf eine Realisierung unter Verwendung von CGI-Programmen konzentriert, sollte schließlich ersichtlich sein, dass die hier beschriebenen Systeme und Verfahren auch beliebige andere Programmtypen beinhalten könnten, die von einem Web-Server aufgerufen werden. So könnte das hier beschriebene CGI-Programm durch eine beliebige Web-Server-API wie z.B. NetscapeTM NSAP, MicrosoftTM ISAPI oder die Java Servlet API bzw. durch eine beliebige andere Art von Web-Programmschnittstelle ersetzt werden.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 zeigt ein Blockschaubild eines Web-basierten Client-Server-Netzwerks gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung. -
2 zeigt Pseudocode eines CGI-Programms und zugehöriger Teilroutinen gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung. -
3 zeigt ein Ablaufdiagramm eines Verfahrens für die Realisierung der Benutzeridentitätsprüfung gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung. - AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM
- Mit Blick auf die Figuren zeigt
1 ein Web-basiertes Client-Server-Netzwerk10 . Es beinhaltet einen Dateiserver16 , der einen HTTP-Server18 , eine Vielzahl von CGI-Programmen20 , ein Sicherheitsobjekt22 und eine Speichereinheit21 beinhaltet. Ebenfalls abgebildet ist ein Web-Client12 , der einen Web-Browser14 ausführt, welcher mit dem Dateiserver16 Daten austauscht. Die Datenübertragungsleitung zwischen dem Web-Client12 und dem Dateiserver16 kann mit einer beliebigen Art von Übertragungsleitung, z.B. einer Ethernet-Verbindung, einer Leitung mit verdrilltem Aderpaar, einer Token-Ring-Leitung, Telefonleitungen, Lichtwellenleiter, einem Koaxialkabel und/oder einem Funk-Übertragungssystem, realisiert werden. - Das Netzwerksystem
10 arbeitet wie folgt: Wenn ein Web-Client12 ein CGI-Programm auf dem Dateiserver16 ausführen möchte, sendet er eine CGI-Ausführungsanforderung24 an den HTTP-Server18 . Gemäß dieser Erfindung und in Übereinstimmung mit der Ausführungsanforderung wird auch ein Satz von Benutzerdaten29 gesendet, der eine Benutzerkennung13 , eine IP-Adresse (Internetprotokoll-Adresse)15 und eine (unten beschriebene) Administrator-Benutzer-Markierung17 beinhaltet. Dabei sollte klar sein, dass zusätzliche Benutzerdaten wie ein verschlüsseltes Kennwort, eine Teilenummer, Zeit- und Datumsangaben usw. ebenfalls enthalten sein können. - Wenn der HTTP-Server die Anforderung empfängt, startet er die Ausführung eines bestimmten CGI-Programms
20 mit einem Standard-Ausführungsprofil oder -modus25 . Das CGI-Programm, mit dessen Ausführung im Standardmodus dann begonnen wird, startet eine Reihe von neuartigen Prozeduraufrufen, welche die Überprüfung der Benutzeridentität durchführen. Die Prozeduren beinhalten einen Mechanismus für die Überprüfung der Benutzerdaten, einen Mechanismus für die Ermittlung des Berechtigungsniveaus des Benutzers, einen Mechanismus, mit dem veranlasst wird, dass das CGI-Programm mit einem nicht standardmäßigen Benutzerprofil23 ausgeführt wird, einen Mechanismen für die Rückgabe der Benutzerdaten an den Web-Client (üblicherweise mit den Ergebnissen der CGI-Ausführung) sowie einen Mechanismus, mit dem der CGI-Auftrag wieder in seinen Standardmodus bzw. auf sein Standardprofil25 zurückgesetzt wird. Der Code für die Ausführung dieser Aufgaben kann in den eigentlichen CGI-Programmen20 enthalten oder an anderer Stelle innerhalb bzw. in der Nähe des Dateiservers16 gespeichert sein. - Die Überprüfung der Benutzeridentität und/oder der Benutzerberechtigung erfolgt somit 1) durch das Bereitstellen eines transparenten Mittels, mit dem Benutzerdaten immer dann, wenn ein CGI-Programm ausgeführt wird, fortlaufend von dem Web-Browser
14 erhalten und an ihn zurückgegeben werden können; und 2) durch das Bereitstellen eines Mittels, mit dem CGI-Programme ihr eigenes Ausführungsprofil innerhalb des Server-Betriebssystems dynamisch andern können. - Bei dieser bevorzugten Ausführungsform werden die Benutzerdaten
29 zwischen dem Client12 und dem Server16 übertragen, wobei bei jeder CGI-Ausführung verborgene Codes oder versteckte HTML-Variablen zum Einsatz kommen. Es folgt ein Beispiel für einen HTML-Codeabschnitt, der versteckte Variablen innerhalb eines HTML-Formulars verwendet. - Versteckte Variablen bilden einen definierten Mechanismus der HTML-Programmiersprache, der als Teil eines Formulars
19 in einem HTML-Dokument enthalten sein kann. Versteckte Variablen innerhalb eines Formulars sind Variablen, die für den Benutzer unter normalen Anzeigebedingungen transparent sind. Formulare werden in Web-basierten HTML-Anwendungen als Verfahren für die Übertragung von Daten zwischen einem Client12 und einem Server16 verwendet. (Auf diese Weise können Formulare verwendet werden, um Daten von einem Benutzer zu erhalten und an einen Server zurückzugeben, z.B. wenn ein Benutzer zur Eingabe von Daten aufgefordert wird oder um Daten an einen Benutzer zurückzugeben, z.B. wenn ein HTML-Dokument von einem CGI-Programm an den Browser zurückgegeben wird.) In diesem Fall dienen versteckte Variablen dazu, eine (in NSM_TAG_NSMUSER gespeicherte) Benutzerkennung „DEVON", eine (in NSM_TAG_NSMAPADDR gespeicherte) IP-Adresse 9.5.100.109, einen (in NSM_TAG_NSMADMIN gespeicherten) Administrator-Benutzer-Wert „YES" und eine Vielzahl von zusätzlichen Daten zu speichern. - Wie weiter oben bereits erwähnt, werden die Benutzerdaten
29 während jeder CGI-Ausführungsanforderung24 auf den Server24 hochgeladen und mit den Ergebnissen eines jeden CGI-Programms26 an den Client zurückgegeben. Da der Server die Benutzerdaten empfängt und sofort zurückgibt, entfällt in der Regel die mit der langfristigen Speicherung und Verwaltung von Benutzerdaten29 auf dem Server verbundene Problematik. Auf der Client-Seite kann der Web-Browser14 jedoch ein Mittel für das Speichern und Verwalten der Benutzerdaten29 beinhalten, bis die nächste CGI-Anforderung durch den Browser14 erfolgt. - Dabei versteht sich, dass ein beliebiges alternatives Mittel ebenfalls im Geltungsumfang dieser Erfindung liegt, obwohl die bevorzugte Ausführungsform die Übertragung der Benutzerdaten
29 mit versteckten HTML-Variablen verarbeitet. So kann die Übertragung von Benutzerdaten beispielsweise auch mit Cookies11 erfolgen. Cookies sind kleine Dateneinheiten, die von einem Web-Server16 an den Browser14 gesendet werden. Ein Cookie11 kann beliebige Datentypen enthalten. Cookies11 werden an den Server16 zurückgegeben, wenn sich die betreffende Sprungmarke (oder URL) in der Cookie-Datenbank befindet. - Obwohl bei der bevorzugten Ausführungsform kein Kennwort im eigentlichen Sinne zwischen dem Client und dem Server übertragen wird, stellt dies eine mögliche alternative Ausführungsform dieser Erfindung dar und wird weiter unten beschrieben. Bei der bevorzugten Ausführungsform wird zunächst ein Benutzerkennwort
27 erhalten und in einem Sicherheitsobjekt22 gespeichert. (Dies findet üblicherweise im Rahmen einer anfänglichen Anmeldeprozedur statt.) Auf der Grundlage der Benutzerdaten29 kann ein Server16 das Kennwort27 dann später problemlos von dem Sicherheitsobjekt22 zurückerhalten. Diese Ausführung sorgt für eine erhöhte Sicherheit, da die Kennwortdaten nie zurück an den Browser14 übertragen werden. - Wie bereits erwähnt, beinhaltet eine alternative Ausführungsform ein verschlüsseltes Kennwort in den Benutzerdaten
29 , das von dem Client12 an den Server16 übertragen werden kann. Auf diese Weise kann auf das Sicherheitsobjekt22 auf dem Server16 verzichtet werden, da jedes Kennwort während jeder CGI-Ausführungsanforderung24 direkt an den Server16 übertragen wird. Obwohl dieses System unter Umständen weniger sicher ist, lässt es sich in einem Netzwerk mit einer großen Anzahl von Servern (z.B. dem World Wide Web) leichter realisieren. - Der Mechanismus, mit dem die Berechtigung des Endbenutzers ermittelt wird, wird realisiert, indem zunächst anhand der Benutzerkennung
13 das Kennwort27 des Benutzers von dem Sicherheitsobjekt22 abgerufen wird. Dieser Abrufprozess kann durch einen Systemaufruf aus dem CGI-Programm20 heraus veranlasst werden. Mit dem Kennwort27 kann das CGI-Programm veranlassen, dass das Betriebssystem das Programm mit einem nicht standardmäßigen Benutzerprofil23 ausführt. Auf diese Weise kann sich das CGI-Programm je nach Berechtigung des Endbenutzers unterschiedlich verhalten und somit die Berechtigungsprüfung für das System bereitstellen. Das Besondere an dieser Ausführungsform ist der Einschluss eines Mechanismus oder Systemaufrufs aus dem CGI-Programm20 heraus, wodurch das CGI-Programm20 veranlasst wird, den Modus bzw. das Profil von einem Standardprofil25 auf ein spezifisches Benutzerprofil23 umzustellen. - Die CGI-Programme
20 und das Sicherheitsobjekt22 werden üblicherweise auf oder in der Nähe des Servers in der Speichereinheit21 gespeichert. Dabei kann die Speichereinheit eine beliebige bekannte Einheit sein, die in der Lag ist, computerlesbare Daten zu speichern. Zu Beispielen für Speichereinheiten zählen CD-ROMS, magnetische Disketten, Bänder, Übertragungsmedien usw. - Weiter verbessert wird dieses System und Verfahren durch die Übertragung einer Administrator-Benutzer-Markierung
17 , die festlegt, welche Bildschirmanzeigen dem Endbenutzer bereitgestellt werden. Wenn der Benutzer beispielsweise ein Systemadministrator ist, können Bildschirmanzeigen auf den Client-Arbeitsplatzrechner heruntergeladen werden, die Menüoptionen enthalten, welche anderen Benutzern nicht zur Verfügung stehen. Wenn der Endbenutzer ein Systemadministrator ist, können mit seinem spezifischen, nicht standardmäßigen Benutzerprofil23 im Anschluss daran relevante CGI-Programme20 ausgeführt werden (wodurch z.B. die Fernkonfiguration ermöglicht wird). Nachdem die Programmfunktionen ausgeführt wurden, wird der CGI-Auftrag wieder auf die Ausführung mit dem Standardprofil25 zurückgesetzt. - Mit Blick auf
2 wird ein Beispiel für ein CGI-Programm28 (bei dem es sich um eine Instanz der CGI-Programme20 auf dem Dateiserver16 aus1 handeln kann) in Pseudocode mit den zugehörigen Prozeduren SWAP_PROFILE30 und SWAP_BACK32 gezeigt. Dabei ist ersichtlich, dass jedes CGI-Programm28 zunächst aus den versteckten Variablen eines HTML-Formulars19 Benutzerdaten29 erhält, die in der Regel eine Benutzerkennung13 und IP-Adresse15 beinhalten. Danach ruft das Programm28 die Prozedur SWAP_PROFILE30 auf, die das Benutzerkennwort27 aus dem Sicherheitsobjekt22 abruft und anschließend veranlasst, dass das CGI-Programm28 mit einem nicht standardmäßigen Benutzerprofil23 ausgeführt wird. Nachdem der Hauptteil des CGI-Programms28 abgeschlossen wurde, werden die Benutzerkennung und die IP-Adresse gemeinsam mit einer Administrator-Benutzer-Kennung17 in den nächsten versteckten HTML-Variablen in einem HTML-Formular gespeichert und mit den Ergebnissen der Ausführung an den Benutzer zurückgegeben. Auf diese Weise wird ein fortlaufendes Mittel für die Übertragung von Benutzerdaten zwischen dem Client12 und dem Server16 bereitgestellt. Schließlich wird die Teilroutine SWAP_BACK32 aufgerufen, die den Auftrag wieder auf einen Standard-Benutzermodus25 zurücksetzt. Dabei sollte klar sein, dass diese Prozeduren problemlos verallgemeinert werden können, um eine allgemeine Identitätsprüfung von Benutzern für ein beliebiges Dateiserversystem bereitzustellen. - Mit Blick auf
3 zeigt ein Ablaufdiagramm ein typisches Realisierungsverfahren. Zunächst werden Benutzerdaten29 (z.B. Benutzerkennung, Kennwort, IP-Adresse) während einer Anmeldeprozedur an einem Client-Standort12 von einem Endbenutzer erhalten. Diese Daten29 werden anschließend an den Web-Server16 weitergeleitet. Dabei ist festzuhalten, dass dieser Vorgang nur ein einziges Mal notwendig ist. Als Nächstes wird das Kennwort27 in einem Sicherheitsobjekt22 gespeichert, und die übrigen Benutzerdaten werden in versteckte Variablen in ein Formular aufgenommen und zur künftigen Verwendung an den Web-Client12 zurückgeschickt. Ab diesem Punkt beinhalten sämtliche darauffolgenden CGI-Ausführungsanforderungen durch einen Web-Client12 die folgenden Schritte: Zunächst veranlasst der Web-Client12 , dass die Benutzerdaten29 mit etwaigen CGI-Ausführungsanforderungen24 an den Web-Server zurückgegeben werden. Nachdem eine Ausführungsanforderung empfangen wurde, veranlasst der HTTP-Server18 , dass das CGI-Programm in einem Standard-Benutzermodus25 auf dem Web-Server25 gestartet wird. Das CGI-Programm20 gibt daraufhin die notwendigen Systemaufrufe aus, um die mit der Ausführungsanforderung24 empfangenen Benutzerdaten zu überprüfen. Aus diesen Daten29 ermittelt das CGI-Programm20 das Berechtigungsniveau des Benutzers. Danach gibt das CGI-Programm20 zusätzliche Systemaufrufe aus, um zu veranlassen, dass der HTTP-Server18 das CGI-Programm gegebenenfalls in einem nicht standardmäßigen Benutzermodus23 ausführt (d.h., das Programm wird mit einer aktuellen Benutzerkennung oder einem aktuellen Benutzerprofil ausgeführt). Im Anschluss daran veranlasst das CGI-Programm20 , dass die Benutzerdaten29 wieder in versteckten HTML-Variablen gespeichert und mit den Ergebnissen der Ausführung26 an den Web-Client zurückgegeben werden. Schließlich gibt das CGI-Programm die entsprechenden Systemaufrufe aus, um zu veranlassen, dass der HTTP-Server das CGI-Programm wieder in den Standardmodus25 zurücksetzt. Wie erwähnt, wird diese Abfolge von Schritten danach für jede weitere folgende CGI-Ausführungsanforderung24 wiederholt. - Obwohl sich die oben erläuterten Ausführungsformen in erster Linie auf ein herkömmliches Web-basiertes Netzwerk beziehen, sollte klar sein, dass diese Erfindung über sehr viel umfangreichere Anwendungen verfügt. So kann diese Erfindung beispielsweise ein Gebäudesicherheitssystem abdecken, bei dem jeder Client (z.B. eine Gebäudealarmvorrichtung) mit einem Server (z.B. einer Sicherheitsfirma) vernetzt sein kann. Sie kann Web-TV-Anwendungen, Verbraucherelektronik und Fahrzeugsysteme abdecken. So können elektronische Einheiten z.B. so konfiguriert werden, dass sie automatisch Web-Seiten auf Garantie-Informationen durchsuchen. Fahrzeuge können ein Netzwerk anwählen, um Navigationsdaten zu erhalten. Auf diese Weise kann eine beliebige Client-Server-Umgebung, für die eine Berechtigungsprüfung benötigt wird, in den Geltungsumfang dieser Erfindung fallen.
- Darüber hinaus sollte deutlich sein, dass – obwohl HTML die branchenweit anerkannte Standard-Skriptsprache für Web-Systeme ist – hier auch jede andere bekannte oder künftige Skriptsprache verwendet werden könnte. Schließlich wurden die hier beschriebenen Ausführungsformen und Beispiele dargelegt, um die vorliegende Erfindung und ihre praktische Anwendung optimal erläutern zu können und um dem Fachmann die Herstellung und Verwendung der Erfindung zu ermöglichen. Dabei dürfte der Fachmann jedoch auch erkennen, dass die obige Beschreibung und die obigen Beispiele lediglich zu Darstellungs- und Beispielzwecken gedacht sind. Die hier enthaltene Beschreibung ist nicht als vollständig bzw. als Beschränkung der Erfindung auf die hier beschriebene Form zu verstehen. Vielmehr sind mit Blick auf die obigen Lehren eine Vielzahl von Abänderungen und Varianten möglich, ohne dass dadurch vom Sinn und Geltungsumfang der folgenden Ansprüche abgewichen würde.
- VORZÜGE
- Ein Vorzug der vorliegenden Erfindung besteht somit darin, eine Identitätsprüfung von Benutzern in einer Web-basierten Netzwerkumgebung bereitzustellen.
- Ein weiterer Vorzug der vorliegenden Erfindung besteht in der Verwendung eines HTML-Formulars, um Benutzerdaten zwischen dem Client und dem Server zu übertragen, wodurch die Aufforderung zur Eingabe von Benutzerdaten überflüssig ist.
- Ein weiterer Vorzug der vorliegenden Erfindung besteht in der Bereitstellung eines Mittels, mit dem CGI-Programme ausgehend von einem Berechtigungsniveau eines Endbenutzers Ausführungsarten in einer HTTP-Server-Umgebung ändern können.
- Ein weiterer Vorzug der vorliegenden Erfindung besteht in der Bereitstellung eines Sicherheitsobjekts auf einem Web-Server für die vorübergehende Speicherung von Kennwortdaten für Benutzer, die in dem Netzwerk angemeldet sind.
Claims (29)
- Netzwerk (
10 ) mit einem System für die Identitätsprüfung von Benutzern, wobei das Netzwerk Folgendes umfasst: einen Web-Server (16 ) mit einem Betriebssystem, das für die Ausführung von Programmen in einer Vielzahl von Benutzermodi geeignet ist, und dadurch gekennzeichnet, dass das Netzwerk weiter Folgendes umfasst: einen Web-Client (12 ) mit einem Mechanismus, der für das Senden von Benutzerdaten (29 ) und Programmausführungsanforderungen (24 ) an den Web-Server geeignet ist; und wobei der Web-Server (16 ) über ein Programmmittel verfügt, das so gestaltet ist, dass es anfänglich in einem Standard-Benutzermodus ausführbar ist, wobei das Programmmittel über einen ersten Mechanismus, der für die Überprüfung der Benutzerdaten geeignet ist, um so ein Berechtigungsniveau des Web-Client-Benutzers zu ermitteln, sowie über einen zweiten Mechanismus verfügt, der so gestaltet ist, dass das Berechtigungsniveau des Web-Client-Benutzers verwendet wird, um das Betriebssystem auf dem Web-Server dynamisch dazu zu veranlassen, das Programm in einem nicht standardmäßigen Benutzermodus auszuführen. - Netzwerk nach Anspruch 1, wobei die Benutzerdaten eine Benutzerkennung (
13 ) beinhalten. - Netzwerk nach Anspruch 1, wobei die Benutzerdaten eine IP-Adresse (
15 ) beinhalten. - Netzwerk nach Anspruch 1, wobei das Programm eine Allgemeine Verbindungsrechner-Schnittstelle umfasst.
- Netzwerk nach Anspruch 1, wobei das Programm weiter einen dritten Mechanismus beinhaltet, der das Betriebssystem auf dem Web-Server dynamisch dazu veranlasst, das Programm wieder in dem Standard-Benutzermodus auszuführen.
- Netzwerk nach Anspruch 1, das weiter ein System umfasst, das die Benutzerdaten während einer Anmeldeprozedur von einem Benutzer erhält.
- Netzwerk nach Anspruch 1, wobei das Programm weiter ein System beinhaltet, das einen neuen Satz von Benutzerdaten an den Web-Client zurückgibt.
- Netzwerk nach Anspruch 1, wobei das Programm eine Web-Server-Anwendungsprogrammschnittstelle beinhaltet.
- Netzwerk nach Anspruch 1, wobei die Benutzerdaten in versteckten html-Variablen gespeichert werden.
- Netzwerk nach Anspruch 1, wobei die Benutzerdaten in einem Cookie gespeichert werden.
- Netzwerk nach Anspruch 1, wobei die Benutzerdaten für den Benutzer transparent sind.
- Programmprodukt, das Folgendes umfasst: ein aufzeichnungsfähiges Medium; und ein Programm, das auf dem aufzeichnungsfähigen Medium aufgezeichnet wurde und das anfänglich von einem Betriebssystem, das auf einem Web-basierten Server (
16 ) ausgeführt wird, in einem Standard-Benutzermodus ausgeführt werden kann, das dadurch gekennzeichnet ist, dass das Programm einen ersten Mechanismus, der die von einem Web-Client (12 ) gesendeten Benutzerdaten (29 ) überprüft, um ein Berechtigungsniveau des Web-Client-Benutzers zu ermitteln, sowie einen zweiten Mechanismus umfasst, der das Berechtigungsniveau des Web-Client-Benutzers verwendet, um das Betriebssystem dazu zu veranlassen, das Programm in einem nicht standardmäßigen Benutzermodus auszuführen. - Programmprodukt nach Anspruch 12, das weiter einen Mechanismus umfasst, der Benutzerdaten in versteckten Variablen in einem zweiten html-Formular speichert und der die Benutzerdaten an den Web-Client zurückgibt.
- Programmprodukt nach Anspruch 12, das weiter einen Mechanismus umfasst, der ausgehend von den Benutzerdaten ein Benutzerkennwort von dem Server abruft.
- Programmprodukt nach Anspruch 12, wobei die Benutzerdaten eine Benutzerkennung und eine IP-Adresse beinhalten.
- System (
16 ) für die Erkennung und Reaktion auf ein Berechtigungsniveau eines Benutzers in einem Web-basierten Netzwerk (10 ), wobei das System Folgendes umfasst: einen Mechanismus (18 ), der für das Senden und Empfangen von Benutzerdaten (29 ) zwischen einem Web-Client (12 ) und einem Web-Server (18 ) geeignet ist; einen Web-Server (16 ), der über ein Programmmittel verfügt, das so gestaltet ist, dass es anfänglich in einem Standard-Benutzermodus ausführbar ist; dadurch gekennzeichnet, dass der Web-Server (16 ) weiter Folgendes umfasst: ein erstes Teilroutinen-Mittel, das so gestaltet ist, dass es von jedem der Programmmittel aufgerufen werden kann, wobei das erste Teilroutinen-Mittel für die Überprüfung der Benutzerdaten geeignet ist, die von dem Web-Client gesendet wurden; ein zweites Teilroutinen-Mittel, das so gestaltet ist, dass es von jedem der Programmmittel aufgerufen werden kann, wobei das zweite Teilroutinen-Mittel so gestaltet ist, dass es die Benutzerdaten dazu verwendet, um das Berechtigungsniveau des Benutzers auf dem Web-Client zu ermitteln; und ein drittes Teilroutinen-Mittel, das so gestaltet ist, dass es von jedem der Programmmittel aufgerufen werden kann, wobei das dritte Teilroutinen-Mittel so gestaltet ist, dass es das Berechtigungsniveau des Benutzers verwendet, um zu veranlassen, dass jedes der Programme in einem nicht standardmäßigen Benutzermodus ausgeführt wird. - System nach Anspruch 16, das weiter eine vierte Teilroutine umfasst, die von jedem der Programme aufgerufen werden kann, wobei die vierte Teilroutine veranlasst, dass jedes der Programme wieder in einem Standard-Benutzermodus auf dem Web-Server ausgeführt wird.
- System nach Anspruch 16, wobei die zweite Teilroutine einen Mechanismus beinhaltet, der ein Kennwort für den Benutzer von dem Web-Server abruft, um so das Berechtigungsniveau des Benutzers zu ermitteln.
- System nach Anspruch 16, wobei das Kennwort während einer Anmeldeprozedur in einem Sicherheitsobjekt auf dem Web-Server gespeichert wird.
- System nach Anspruch 16, wobei die Benutzerdaten in versteckten html-Variablen gespeichert werden.
- System nach Anspruch 16, wobei die Benutzerdaten in einem Cookie gespeichert werden.
- Verfahren für die automatische Identitätsprüfung eines Benutzers in einem Web-basierten Netzwerk während der Ausführung von Programmen auf einem Web-Server beim Senden von einem Web-Client, das die folgenden Schritte umfasst: Senden von Benutzerdaten an den Web-Client, sobald ein Programm nicht mehr auf dem Web-Server ausgeführt wird; Zurückgeben der Benutzerdaten von dem Web-Client an den Web-Server während einer neuen Ausführungsanforderung durch den Web-Client; Starten eines neuen Programms in einem Standard-Benutzermodus auf dem Web-Server; Überprüfen der mit der Ausführungsanforderung empfangenen Benutzerdaten; Ermitteln eines Berechtigungsniveaus des Benutzers auf Grundlage der Benutzerdaten; und Verwenden des Berechtigungsniveaus, um zu veranlassen, dass das neue Programm in einem nicht standardmäßigen Benutzermodus ausgeführt wird.
- Verfahren nach Anspruch 22, das weiter den einmaligen Anfangsschritt des Erfassens von Benutzerdaten während einer Anmeldeprozedur umfasst.
- Verfahren nach Anspruch 22, das weiter den Schritt des Speicherns eines Benutzerkennworts in einem Sicherheitsobjekt auf dem Web-Server während der Anmelde-Prozedur umfasst.
- Verfahren nach Anspruch 22, das weiter die Schritte des Zurückgebens eines neuen Satzes von Benutzerdaten an den Web-Client umfasst.
- Verfahren nach Anspruch 22, das weiter den Schritt umfasst, mit dem veranlasst wird, dass das neue Programm wieder in dem Standard-Benutzermodus ausgeführt wird.
- Verfahren nach Anspruch 24, wobei der Schritt des Ermittelns des Berechtigungsniveaus des Benutzers auf Grundlage der Benutzerdaten den Schritt des Verwendens der Benutzerdaten beinhaltet, um das in dem Sicherheitsobjekt gespeicherte Kennwort abzurufen.
- Verfahren nach Anspruch 24, wobei die Benutzerdaten in versteckten html-Variablen gespeichert werden.
- Verfahren nach Anspruch 24, wobei die Benutzerdaten in einem Cookie gespeichert werden.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US800485 | 1997-02-14 | ||
US08/800,485 US5908469A (en) | 1997-02-14 | 1997-02-14 | Generic user authentication for network computers |
PCT/US1998/000450 WO1998038759A2 (en) | 1997-02-14 | 1998-01-06 | Generic user authentication for network computers |
Publications (2)
Publication Number | Publication Date |
---|---|
DE69838262D1 DE69838262D1 (de) | 2007-09-27 |
DE69838262T2 true DE69838262T2 (de) | 2008-05-15 |
Family
ID=25178518
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE69838262T Expired - Lifetime DE69838262T2 (de) | 1997-02-14 | 1998-01-06 | Allgemeine benutzer-authentifizierung für netz-rechner |
Country Status (7)
Country | Link |
---|---|
US (1) | US5908469A (de) |
EP (1) | EP1055164B1 (de) |
JP (1) | JP2000508153A (de) |
KR (1) | KR100331525B1 (de) |
DE (1) | DE69838262T2 (de) |
TW (1) | TW498278B (de) |
WO (1) | WO1998038759A2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE202016001794U1 (de) | 2016-03-21 | 2016-04-07 | KC Management AG | 2-Faktor-Authentifizierung mittels Mutual Factor |
Families Citing this family (141)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5774670A (en) * | 1995-10-06 | 1998-06-30 | Netscape Communications Corporation | Persistent client state in a hypertext transfer protocol based client-server system |
US6070185A (en) * | 1997-05-02 | 2000-05-30 | Lucent Technologies Inc. | Technique for obtaining information and services over a communication network |
US7290288B2 (en) | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
US8516132B2 (en) | 1997-06-19 | 2013-08-20 | Mymail, Ltd. | Method of accessing a selected network |
US6571290B2 (en) * | 1997-06-19 | 2003-05-27 | Mymail, Inc. | Method and apparatus for providing fungible intercourse over a network |
US6049877A (en) * | 1997-07-16 | 2000-04-11 | International Business Machines Corporation | Systems, methods and computer program products for authorizing common gateway interface application requests |
JP3922482B2 (ja) * | 1997-10-14 | 2007-05-30 | ソニー株式会社 | 情報処理装置および方法 |
US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
US6012098A (en) * | 1998-02-23 | 2000-01-04 | International Business Machines Corp. | Servlet pairing for isolation of the retrieval and rendering of data |
JP3645085B2 (ja) * | 1998-03-12 | 2005-05-11 | 富士通株式会社 | 端末操作システム及び記録媒体 |
US6098093A (en) * | 1998-03-19 | 2000-08-01 | International Business Machines Corp. | Maintaining sessions in a clustered server environment |
US6154751A (en) * | 1998-05-14 | 2000-11-28 | International Business Machines Corporation | Method for executing a user-requested CGI program in a new authentication context while protecting operation of a default web server program |
US6211874B1 (en) | 1998-05-15 | 2001-04-03 | International Business Machines Corporation | Method for parallel selection of URL's |
US6314572B1 (en) * | 1998-05-29 | 2001-11-06 | Diva Systems Corporation | Method and apparatus for providing subscription-on-demand services, dependent services and contingent services for an interactive information distribution system |
US6314573B1 (en) * | 1998-05-29 | 2001-11-06 | Diva Systems Corporation | Method and apparatus for providing subscription-on-demand services for an interactive information distribution system |
EP1086560A1 (de) | 1998-06-19 | 2001-03-28 | Netsafe, Inc. | Verfahren und einrichtung zur herstellung von verbindungen über ein netz |
US6237030B1 (en) * | 1998-06-30 | 2001-05-22 | International Business Machines Corporation | Method for extracting hyperlinks from a display document and automatically retrieving and displaying multiple subordinate documents of the display document |
US6212564B1 (en) * | 1998-07-01 | 2001-04-03 | International Business Machines Corporation | Distributed application launcher for optimizing desktops based on client characteristics information |
US6308275B1 (en) * | 1998-07-10 | 2001-10-23 | At Home Corporation | Web host providing for secure execution of CGI programs and method of doing the same |
US6389543B1 (en) * | 1998-08-31 | 2002-05-14 | International Business Machines Corporation | System and method for command routing and execution in a multiprocessing system |
US6311278B1 (en) | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
US6470453B1 (en) * | 1998-09-17 | 2002-10-22 | Cisco Technology, Inc. | Validating connections to a network system |
US6289378B1 (en) * | 1998-10-20 | 2001-09-11 | Triactive Technologies, L.L.C. | Web browser remote computer management system |
EP1198765B1 (de) | 1998-10-28 | 2004-08-11 | Verticalone Corporation | Gerät und verfahren für automatische aggregation und abgabe von elektronischer persönlicher information oder daten |
US20070255810A1 (en) * | 1998-10-30 | 2007-11-01 | Shuster Brian M | Modifying apparent browser operation |
US6389458B2 (en) * | 1998-10-30 | 2002-05-14 | Ideaflood, Inc. | Method, apparatus and system for directing access to content on a computer network |
US7672879B1 (en) | 1998-12-08 | 2010-03-02 | Yodlee.Com, Inc. | Interactive activity interface for managing personal data and performing transactions over a data packet network |
US8069407B1 (en) | 1998-12-08 | 2011-11-29 | Yodlee.Com, Inc. | Method and apparatus for detecting changes in websites and reporting results to web developers for navigation template repair purposes |
US7085997B1 (en) | 1998-12-08 | 2006-08-01 | Yodlee.Com | Network-based bookmark management and web-summary system |
US6654814B1 (en) | 1999-01-26 | 2003-11-25 | International Business Machines Corporation | Systems, methods and computer program products for dynamic placement of web content tailoring |
ES2258002T3 (es) * | 1999-04-09 | 2006-08-16 | Henry B. Steen Iii | Acceso a distancia de datos y sistema de control. |
US7752535B2 (en) | 1999-06-01 | 2010-07-06 | Yodlec.com, Inc. | Categorization of summarized information |
US7146505B1 (en) * | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
US8065155B1 (en) | 1999-06-10 | 2011-11-22 | Gazdzinski Robert F | Adaptive advertising apparatus and methods |
GB2355905B (en) * | 1999-10-05 | 2002-03-20 | Authoriszor Ltd | System and method for providing security for a network site |
US6442696B1 (en) * | 1999-10-05 | 2002-08-27 | Authoriszor, Inc. | System and method for extensible positive client identification |
GB2355904B (en) * | 1999-10-05 | 2002-03-20 | Authoriszor Ltd | System and method for managing pseudo uniform resource locators in a security system |
US6763379B1 (en) * | 1999-10-14 | 2004-07-13 | Ideaflood, Inc. | System, apparatus and method for presenting and displaying content on a wide area network |
US7401115B1 (en) | 2000-10-23 | 2008-07-15 | Aol Llc | Processing selected browser requests |
US7293281B1 (en) * | 1999-10-25 | 2007-11-06 | Watchfire Corporation | Method and system for verifying a client request |
ATE398798T1 (de) * | 1999-10-25 | 2008-07-15 | Ibm | Verfahren und system zur prüfung der anforderung eines klienten |
GB2357226B (en) | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Security protocol |
GB2357227B (en) | 1999-12-08 | 2003-12-17 | Hewlett Packard Co | Security protocol |
GB2357228B (en) | 1999-12-08 | 2003-07-09 | Hewlett Packard Co | Method and apparatus for discovering a trust chain imparting a required attribute to a subject |
GB2357229B (en) * | 1999-12-08 | 2004-03-17 | Hewlett Packard Co | Security protocol |
GB2357225B (en) | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Electronic certificate |
US7099956B2 (en) * | 2000-01-31 | 2006-08-29 | Ideaflood, Inc. | Method and apparatus for conducting domain name service |
US20010029484A1 (en) * | 2000-02-03 | 2001-10-11 | Schultz R. Steven | Electronic transaction receipt system and method |
US7742989B2 (en) | 2000-02-03 | 2010-06-22 | Afterbot, Inc. | Digital receipt generation from information electronically read from product |
US7552087B2 (en) * | 2000-02-03 | 2009-06-23 | Afterbot, Inc. | Electronic transaction receipt system and method |
US20030018578A1 (en) * | 2000-02-03 | 2003-01-23 | Schultz Roger Stephen | Product registration using an electronically read serial number |
AU2001237696A1 (en) | 2000-03-03 | 2001-09-12 | Sanctum Ltd. | System for determining web application vulnerabilities |
IL135571A0 (en) * | 2000-04-10 | 2001-05-20 | Doron Adler | Minimal invasive surgery imaging system |
US20020019800A1 (en) * | 2000-05-16 | 2002-02-14 | Ideaflood, Inc. | Method and apparatus for transacting divisible property |
US6823463B1 (en) * | 2000-05-16 | 2004-11-23 | International Business Machines Corporation | Method for providing security to a computer on a computer network |
US7478434B1 (en) | 2000-05-31 | 2009-01-13 | International Business Machines Corporation | Authentication and authorization protocol for secure web-based access to a protected resource |
US7249369B2 (en) * | 2000-07-10 | 2007-07-24 | Oracle International Corporation | Post data processing |
US7124203B2 (en) | 2000-07-10 | 2006-10-17 | Oracle International Corporation | Selective cache flushing in identity and access management systems |
US7464162B2 (en) * | 2000-07-10 | 2008-12-09 | Oracle International Corporation | Systems and methods for testing whether access to a resource is authorized based on access information |
US7194764B2 (en) | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
WO2002029599A1 (en) * | 2000-10-05 | 2002-04-11 | Redline Networks, Inc. | Connection management system and method |
US7263550B1 (en) | 2000-10-10 | 2007-08-28 | Juniper Networks, Inc. | Agent-based event-driven web server architecture |
US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
KR100422327B1 (ko) * | 2001-03-09 | 2004-03-10 | 문지환 | 사용자 브라우저의 실시간 제어 시스템 및 방법 |
US7882555B2 (en) * | 2001-03-16 | 2011-02-01 | Kavado, Inc. | Application layer security method and system |
US7313822B2 (en) * | 2001-03-16 | 2007-12-25 | Protegrity Corporation | Application-layer security method and system |
US7110858B2 (en) * | 2001-04-09 | 2006-09-19 | Koninklijke Philips Electronics N.V. | Object identification uses prediction of data in distributed network |
ATE539322T1 (de) * | 2001-05-30 | 2012-01-15 | Endress & Hauser Wetzer Gmbh | Verfälschungsgeschütztes papierloses aufzeichnungsgerät |
US7231661B1 (en) * | 2001-06-21 | 2007-06-12 | Oracle International Corporation | Authorization services with external authentication |
US6973625B1 (en) | 2001-07-06 | 2005-12-06 | Convergys Cmg Utah | Method for creating browser-based user interface applications using a framework |
US8346848B2 (en) * | 2001-08-16 | 2013-01-01 | Juniper Networks, Inc. | System and method for maintaining statefulness during client-server interactions |
US7472091B2 (en) * | 2001-10-03 | 2008-12-30 | Accenture Global Services Gmbh | Virtual customer database |
US7441016B2 (en) * | 2001-10-03 | 2008-10-21 | Accenture Global Services Gmbh | Service authorizer |
US7225256B2 (en) * | 2001-11-30 | 2007-05-29 | Oracle International Corporation | Impersonation in an access system |
US6993596B2 (en) * | 2001-12-19 | 2006-01-31 | International Business Machines Corporation | System and method for user enrollment in an e-community |
JP3931710B2 (ja) * | 2002-03-22 | 2007-06-20 | ヤマハ株式会社 | サーバ装置、通信端末装置、配信システム及び配信プログラム |
US7430590B1 (en) | 2002-04-17 | 2008-09-30 | Everdream Corporation | Method and system to manage services for multiple managed computer systems |
IL149583A0 (en) * | 2002-05-09 | 2003-07-06 | Kavado Israel Ltd | Method for automatic setting and updating of a security policy |
US7356711B1 (en) | 2002-05-30 | 2008-04-08 | Microsoft Corporation | Secure registration |
US7360210B1 (en) | 2002-07-03 | 2008-04-15 | Sprint Spectrum L.P. | Method and system for dynamically varying intermediation functions in a communication path between a content server and a client station |
US7801945B1 (en) | 2002-07-03 | 2010-09-21 | Sprint Spectrum L.P. | Method and system for inserting web content through intermediation between a content server and a client station |
US7568002B1 (en) | 2002-07-03 | 2009-07-28 | Sprint Spectrum L.P. | Method and system for embellishing web content during transmission between a content server and a client station |
US7448066B2 (en) * | 2002-09-19 | 2008-11-04 | International Business Machines Corporation | Application server object-level security for distributed computing domains |
US7793342B1 (en) | 2002-10-15 | 2010-09-07 | Novell, Inc. | Single sign-on with basic authentication for a transparent proxy |
US20040123112A1 (en) * | 2002-12-19 | 2004-06-24 | International Business Machines Corporation | Security object providing encryption scheme and key |
US7114006B2 (en) * | 2003-01-06 | 2006-09-26 | International Business Machines Corporation | Apparatus and method to remotely change IP address of server |
US20040148372A1 (en) * | 2003-01-27 | 2004-07-29 | Campbell David N | Web-browser based heterogeneous systems management tool |
US7627902B1 (en) | 2003-02-20 | 2009-12-01 | Dell Marketing Usa, L.P. | Method of managing a software item on a managed computer system |
US7275259B2 (en) | 2003-06-18 | 2007-09-25 | Microsoft Corporation | System and method for unified sign-on |
US7251732B2 (en) * | 2003-06-18 | 2007-07-31 | Microsoft Corporation | Password synchronization in a sign-on management system |
US7392536B2 (en) * | 2003-06-18 | 2008-06-24 | Microsoft Corporation | System and method for unified sign-on |
US7356697B2 (en) * | 2003-06-20 | 2008-04-08 | International Business Machines Corporation | System and method for authentication to an application |
TWI237484B (en) * | 2003-07-25 | 2005-08-01 | Hon Hai Prec Ind Co Ltd | Systems and method of authentication network |
US7370195B2 (en) * | 2003-09-22 | 2008-05-06 | Microsoft Corporation | Moving principals across security boundaries without service interruption |
US7882132B2 (en) | 2003-10-09 | 2011-02-01 | Oracle International Corporation | Support for RDBMS in LDAP system |
US7904487B2 (en) | 2003-10-09 | 2011-03-08 | Oracle International Corporation | Translating data access requests |
US8234373B1 (en) | 2003-10-27 | 2012-07-31 | Sprint Spectrum L.P. | Method and system for managing payment for web content based on size of the web content |
US7427024B1 (en) | 2003-12-17 | 2008-09-23 | Gazdzinski Mark J | Chattel management apparatus and methods |
KR100830725B1 (ko) * | 2004-01-07 | 2008-05-20 | 노키아 코포레이션 | 인증 방법 |
US7752322B2 (en) * | 2004-03-19 | 2010-07-06 | Sony Corporation | System for ubiquitous network presence and access without cookies |
US7853782B1 (en) | 2004-04-14 | 2010-12-14 | Sprint Spectrum L.P. | Secure intermediation system and method |
US9172679B1 (en) | 2004-04-14 | 2015-10-27 | Sprint Spectrum L.P. | Secure intermediation system and method |
US20060005234A1 (en) * | 2004-06-30 | 2006-01-05 | International Business Machines Corporation | Method and apparatus for handling custom token propagation without Java serialization |
US7634803B2 (en) * | 2004-06-30 | 2009-12-15 | International Business Machines Corporation | Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework |
US20060181026A1 (en) * | 2005-02-14 | 2006-08-17 | Wong Jacob Y | Chinese poker deck |
AU2005279878A1 (en) * | 2004-08-30 | 2006-03-09 | Theregen, Inc. | Conditioned medium comprising Wnt proteins to promote repair of damaged tissue |
US7512973B1 (en) | 2004-09-08 | 2009-03-31 | Sprint Spectrum L.P. | Wireless-access-provider intermediation to facilliate digital rights management for third party hosted content |
US7630974B2 (en) | 2004-09-28 | 2009-12-08 | Oracle International Corporation | Multi-language support for enterprise identity and access management |
US7600011B1 (en) | 2004-11-04 | 2009-10-06 | Sprint Spectrum L.P. | Use of a domain name server to direct web communications to an intermediation platform |
US8051484B2 (en) | 2005-06-14 | 2011-11-01 | Imperva, Inc. | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters |
US8688813B2 (en) | 2006-01-11 | 2014-04-01 | Oracle International Corporation | Using identity/resource profile and directory enablers to support identity management |
US7606752B2 (en) | 2006-09-07 | 2009-10-20 | Yodlee Inc. | Host exchange in bill paying services |
US8127235B2 (en) | 2007-11-30 | 2012-02-28 | International Business Machines Corporation | Automatic increasing of capacity of a virtual space in a virtual world |
US20090164919A1 (en) | 2007-12-24 | 2009-06-25 | Cary Lee Bates | Generating data for managing encounters in a virtual world environment |
US8726358B2 (en) * | 2008-04-14 | 2014-05-13 | Microsoft Corporation | Identity ownership migration |
US8261334B2 (en) | 2008-04-25 | 2012-09-04 | Yodlee Inc. | System for performing web authentication of a user by proxy |
ATE522074T1 (de) * | 2008-11-28 | 2011-09-15 | Alcatel Lucent | Verfahren zur bereitstellung von zugriff auf einen webserver, webserver und computer |
US8555359B2 (en) | 2009-02-26 | 2013-10-08 | Yodlee, Inc. | System and methods for automatically accessing a web site on behalf of a client |
CN102013991B (zh) | 2009-09-08 | 2012-10-17 | 华为技术有限公司 | 自动扩容的方法、管理设备及系统 |
JP2014042095A (ja) * | 2012-08-21 | 2014-03-06 | Yokogawa Electric Corp | 認証システム及び方法 |
US10137376B2 (en) | 2012-12-31 | 2018-11-27 | Activision Publishing, Inc. | System and method for creating and streaming augmented game sessions |
KR101439928B1 (ko) * | 2013-03-27 | 2014-09-12 | 주식회사 다음커뮤니케이션 | 사용자 단말의 식별 정보와 웹 브라우저의 식별 정보의 매칭 방법 및 서비스 제공 서버 |
US9449346B1 (en) | 2014-05-21 | 2016-09-20 | Plaid Technologies, Inc. | System and method for programmatically accessing financial data |
US9595023B1 (en) | 2014-05-21 | 2017-03-14 | Plaid Technologies, Inc. | System and method for facilitating programmatic verification of transactions |
US9892249B2 (en) | 2014-09-29 | 2018-02-13 | Xiaomi Inc. | Methods and devices for authorizing operation |
CN104283876A (zh) * | 2014-09-29 | 2015-01-14 | 小米科技有限责任公司 | 操作授权方法及装置 |
US11351466B2 (en) | 2014-12-05 | 2022-06-07 | Activision Publishing, Ing. | System and method for customizing a replay of one or more game events in a video game |
KR102465572B1 (ko) * | 2015-06-02 | 2022-11-11 | 주식회사 콤피아 | 앱 표시 방법 |
EP4006755B1 (de) | 2015-09-08 | 2024-05-15 | Plaid Inc. | Sichere gestattung des zugangs zu benutzerkonten, einschliesslich der sicheren deautorisierung des zugangs zu benutzerkonten |
US10376781B2 (en) | 2015-10-21 | 2019-08-13 | Activision Publishing, Inc. | System and method of generating and distributing video game streams |
US10245509B2 (en) | 2015-10-21 | 2019-04-02 | Activision Publishing, Inc. | System and method of inferring user interest in different aspects of video game streams |
US10232272B2 (en) | 2015-10-21 | 2019-03-19 | Activision Publishing, Inc. | System and method for replaying video game streams |
US10726491B1 (en) | 2015-12-28 | 2020-07-28 | Plaid Inc. | Parameter-based computer evaluation of user accounts based on user account data stored in one or more databases |
US10984468B1 (en) | 2016-01-06 | 2021-04-20 | Plaid Inc. | Systems and methods for estimating past and prospective attribute values associated with a user account |
US10226703B2 (en) | 2016-04-01 | 2019-03-12 | Activision Publishing, Inc. | System and method of generating and providing interactive annotation items based on triggering events in a video game |
US11468085B2 (en) | 2017-07-22 | 2022-10-11 | Plaid Inc. | Browser-based aggregation |
US10878421B2 (en) | 2017-07-22 | 2020-12-29 | Plaid Inc. | Data verified deposits |
CN108650300A (zh) * | 2018-04-13 | 2018-10-12 | 三维通信股份有限公司 | 基于https嵌入式通信设备的安全性实现方法 |
US11316862B1 (en) | 2018-09-14 | 2022-04-26 | Plaid Inc. | Secure authorization of access to user accounts by one or more authorization mechanisms |
US11887069B2 (en) | 2020-05-05 | 2024-01-30 | Plaid Inc. | Secure updating of allocations to user accounts |
US11327960B1 (en) | 2020-10-16 | 2022-05-10 | Plaid Inc. | Systems and methods for data parsing |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0398492B1 (de) * | 1989-05-15 | 1997-01-22 | International Business Machines Corporation | Flexible Schnittstelle für Beglaubigungsdienste in einem verteilten Datenverarbeitungssystem |
US5560008A (en) * | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
EP0451384B1 (de) * | 1990-04-10 | 1997-09-24 | International Business Machines Corporation | Hypertextdatenverarbeitungssystem und Verfahren |
JP2519390B2 (ja) * | 1992-09-11 | 1996-07-31 | インターナショナル・ビジネス・マシーンズ・コーポレイション | デ―タ通信方法及び装置 |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5655077A (en) * | 1994-12-13 | 1997-08-05 | Microsoft Corporation | Method and system for authenticating access to heterogeneous computing services |
US5530852A (en) * | 1994-12-20 | 1996-06-25 | Sun Microsystems, Inc. | Method for extracting profiles and topics from a first file written in a first markup language and generating files in different markup languages containing the profiles and topics for use in accessing data described by the profiles and topics |
US5870552A (en) * | 1995-03-28 | 1999-02-09 | America Online, Inc. | Method and apparatus for publishing hypermedia documents over wide area networks |
US5572643A (en) * | 1995-10-19 | 1996-11-05 | Judson; David H. | Web browser with dynamic display of information objects during linking |
US5737523A (en) * | 1996-03-04 | 1998-04-07 | Sun Microsystems, Inc. | Methods and apparatus for providing dynamic network file system client authentication |
-
1997
- 1997-02-14 US US08/800,485 patent/US5908469A/en not_active Expired - Lifetime
-
1998
- 1998-01-06 JP JP10537635A patent/JP2000508153A/ja active Pending
- 1998-01-06 WO PCT/US1998/000450 patent/WO1998038759A2/en active IP Right Grant
- 1998-01-06 KR KR1019997006160A patent/KR100331525B1/ko active IP Right Grant
- 1998-01-06 DE DE69838262T patent/DE69838262T2/de not_active Expired - Lifetime
- 1998-01-06 EP EP98902469A patent/EP1055164B1/de not_active Expired - Lifetime
- 1998-02-07 TW TW087101641A patent/TW498278B/zh not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE202016001794U1 (de) | 2016-03-21 | 2016-04-07 | KC Management AG | 2-Faktor-Authentifizierung mittels Mutual Factor |
Also Published As
Publication number | Publication date |
---|---|
EP1055164A2 (de) | 2000-11-29 |
DE69838262D1 (de) | 2007-09-27 |
KR20000069947A (ko) | 2000-11-25 |
WO1998038759A3 (en) | 1999-02-25 |
US5908469A (en) | 1999-06-01 |
KR100331525B1 (ko) | 2002-04-06 |
EP1055164A4 (de) | 2005-07-06 |
JP2000508153A (ja) | 2000-06-27 |
WO1998038759A2 (en) | 1998-09-03 |
TW498278B (en) | 2002-08-11 |
EP1055164B1 (de) | 2007-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69838262T2 (de) | Allgemeine benutzer-authentifizierung für netz-rechner | |
DE69832786T2 (de) | Vorrichtung und verfahren zur identifizierung von klienten die an netzwer-sites zugreifen | |
DE69912317T2 (de) | Vorrichtung und verfahren zur bestimmung einer programmnachbarschaft für einen kundenknoten in einem kundenbedienernetzwerk | |
DE69818008T2 (de) | Datenzugriffssteuerung | |
DE60029321T2 (de) | Verfahren und vorrichtung zur fernbedienung eines hausnetzwerks von einem externen kommunikationsnetz | |
DE60308700T2 (de) | Dynamische fernkonfiguration eines webservers zur bereitstellung von kapazität auf anfrage | |
DE60218069T2 (de) | Bereitstellung von gekoppelten diensten in einer verteilten rechnerumgebung | |
EP2340485A1 (de) | Verfahren zur konfiguration einer applikation | |
DE60118487T2 (de) | Kommunikationsystem auf Basis von WDSL Sprache | |
DE60009309T2 (de) | System und verfahren zum presentieren von kanalisierten daten | |
DE69728182T2 (de) | Verfahren und gerät zum entfernten netzwerkzugriffseintrag und netzwerkzugriffsbericht | |
DE60125913T2 (de) | Datenübertragungsverfahren und vorrichtung | |
DE69803369T2 (de) | Verfahren und Vorrichtung zur Bereitstellung eines dritten Internet-Datenkanals | |
DE60027971T2 (de) | Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält | |
DE60308489T2 (de) | Anwendungsfensterschließung als Reaktion auf ein Ereignis in einem Parent-Fenster | |
WO2003105434A1 (de) | Verfahren und vorrichtung zum senden und/oder zum empfang von informationen in verbindung mit einem fahrzeug | |
DE10320615A1 (de) | Verwendung erweiterbarer Markup-Sprache in einem System und Verfahren zum Beeinflussen einer Position auf einer Suchergebnisliste, die von einer Computernetzwerksuchmaschine erzeugt wird | |
DE10295699T5 (de) | Eine Anordnung und ein Verfahren in Bezug auf Sitzungsverwaltung in einer Portalstruktur | |
EP1241603A1 (de) | Internet-Banner | |
DE602004001283T2 (de) | Apparat und Verfahren um separate Netzwerke zu verbinden | |
DE60105994T2 (de) | Verfahren und system zum schieben von informationen | |
DE60218185T2 (de) | Verfahren und Vorrichtung zum Wiederauffinden von Informationen in einem Netzwerk | |
DE10118064B4 (de) | Erweiterung Browser-bezogener Internetseiteninhaltskennzeichen und Kennwortüberprüfung auf Kommunikationsprotokolle | |
DE112006001427T5 (de) | Sicherheitssystem für ein persönliches Internetkommunikationsgerät | |
DE60118327T2 (de) | Verfahren und Gerät zum Bereitstellen eines Fernhilfsdienstes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8320 | Willingness to grant licences declared (paragraph 23) | ||
R082 | Change of representative |
Ref document number: 1055164 Country of ref document: EP Representative=s name: PFENNING MEINIG & PARTNER GBR, 10719 BERLIN, DE |