ES2279871T3 - Autenticacion de un usuario a traves de sesiones de comunicacion. - Google Patents
Autenticacion de un usuario a traves de sesiones de comunicacion. Download PDFInfo
- Publication number
- ES2279871T3 ES2279871T3 ES02741946T ES02741946T ES2279871T3 ES 2279871 T3 ES2279871 T3 ES 2279871T3 ES 02741946 T ES02741946 T ES 02741946T ES 02741946 T ES02741946 T ES 02741946T ES 2279871 T3 ES2279871 T3 ES 2279871T3
- Authority
- ES
- Spain
- Prior art keywords
- key
- computer
- server
- identifier
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Nitrogen And Oxygen Or Sulfur-Condensed Heterocyclic Ring Systems (AREA)
- External Artificial Organs (AREA)
- Prostheses (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Measuring Pulse, Heart Rate, Blood Pressure Or Blood Flow (AREA)
Abstract
Un método para facilitar la reautenticación de un usuario que utiliza un ordenador cliente, frente un ordenador servidor, que comprende las etapas de: a) establecer una primera sesión de comunicación entre el ordenador cliente y el ordenador servidor, y generar una clave (110); b) recibir información confidencial desde el ordenador cliente; estando el método caracterizado por c) generar un identificador que identifica la primera sesión de comunicación (120) d) cifrar la información confidencial con la clave, para crear la información confidencial cifrada (115), y asociar el identificador con la información confidencial cifrada (125); e) almacenar la información confidencial cifrada, en el ordenador servidor; f) transmitir la clave y el identificador al ordenador cliente (135); y g) suprimir la clave en el ordenador servidor (145); h) establecer una segunda sesión de comunicación después de suprimir la clave en el ordenador servidor; i) recibir la clave asociada con la información confidencial cifrada y el identificador, desde el ordenador cliente, durante la segunda sesión de comunicación; j) utilizar el identificador para localizar la información confidencial cifrada antes de utilizar la clave para descifrar la información confidencial cifrada; y k) utilizar la clave en el ordenador servidor, para descifrar la información confidencial cifrada.
Description
Autenticación de un usuario a través de sesiones
de comunicación.
La invención se refiere al campo de las
comunicaciones cliente-servidor, y más en concreto a
un método y aparato para facilitar la reautenticación de un usuario
que utiliza un ordenador cliente, contra un ordenador servidor.
Un usuario típicamente proporciona credenciales
de autenticación, como una contraseña de inicio de sesión, a un
ordenador servidor al inicio de, o durante, una sesión de
comunicación. El ordenador servidor mantiene típicamente un área
centralizada de almacenamiento, en la memoria del ordenador
servidor, para el almacenamiento de las credenciales de
autenticación, que típicamente están cifradas de algún modo. El
ordenador servidor puede después verificar las credenciales de
autenticación recibidas, procedentes del usuario, contra las
credenciales de autenticación cifradas almacenadas en la memoria
del servidor, para autorizar el acceso del usuario el ordenador
servidor.
Si una sesión de comunicación establecida entre
el usuario y el servidor termina de forma anormal, el usuario
generalmente tiene que restablecer la conexión mediante iniciar una
nueva sesión de comunicación. Para comenzar una nueva sesión de
comunicación, el usuario tiene típicamente que retransmitir las
credenciales de autenticación (por ejemplo, contraseña de inicio de
sesión) al ordenador servidor, de forma que el ordenador servidor
puede autorizar al usuario para una nueva sesión de comunicación.
Esta retransmisión de las credenciales de autenticación de un
usuario, a través de múltiples sesiones de comunicación, expone
repetidamente las credenciales de autenticación del tal usuario, a
potenciales atacantes, mediante lo que disminuye el nivel de
seguridad de las credenciales de autenticación. Así, es deseable
proporcionar una técnica para restablecer una sesión de comunicación
entre un ordenador cliente y un ordenador servidor, sin transmitir
repetidamente las credenciales de autenticación.
El documento
US-A-5 058 480 se refiere a un
sistema y a un método para autenticar usuarios y servicios
comunicando sobre una red insegura, y revela características de la
parte de pre-caracterizadora de la reivindicación
independiente.
La invención está enunciada en la parte
caracterizadora de las reivindicaciones independientes 1 y 13.
Además, se enuncia características opcionales en las
reivindicaciones dependientes.
La invención se refiere a un aparato y a un
método para eliminar la retransmisión de las credenciales de
autenticación de un solo usuario, después de la terminación de una
sesión de comunicación previa. Para eliminar la retransmisión, un
ordenador servidor cifra las credenciales de autenticación con una
clave, y asocia las credenciales de autenticación cifradas con un
identificador de sesión (SID). El SID identifica la sesión de
comunicación actual. Después el ordenador servidor transmite la
clave de cifrado y el SID al cliente, y después borra la clave de
la memoria del servidor. Así, el ordenador servidor web solo puede
descifrar las credenciales de autenticación cifradas, cuando el
ordenador servidor recibe el SID y la clave desde el cliente. El
ordenador servidor utiliza el SID para localizar la clave correcta,
y después utiliza la clave para descifrar las credenciales de
autenticación cifradas.
En una realización, la invención se refiere a un
método para facilitar la reautenticación de un cliente en un
ordenador servidor. En una realización, el método incluye las etapas
de recibir, por parte del ordenador servidor, credenciales de
autenticación al inicio de, o durante, una primera sesión de
comunicación entre el servidor y el cliente, y cifrar las
credenciales de autenticación con una clave para crear credenciales
de autenticación cifradas. Después el ordenador servidor crea un
identificador de sesión (SID) para identificar la sesión de
comunicación, y almacena las credenciales de autenticación cifradas
y el SID en la memoria del ordenador servidor. El método incluye
además las etapas de transmitir la clave y el SID al cliente, y
después borrar la clave de la memoria del servidor. Cuando el
ordenador servidor recibe la clave y el SID procedentes del cliente
durante una sesión de comunicación, el ordenador servidor utiliza el
SID para localizar las credenciales correctas de autenticación
cifradas, y después utiliza la clave para descifrar las credenciales
de la autenticación cifrada.
La invención también se refiere a un sistema
para facilitar la reautenticación de un cliente en un ordenador
servidor. El ordenador servidor incluye una memoria, un generador de
clave, un generador SID, un destructor de clave, y un dispositivo
de cifrado. El ordenador servidor recibe credenciales de
autenticación desde el ordenador cliente. Entonces el generador de
clave genera una clave y el generador de SID genera un SID, para la
sesión de comunicación. Después el dispositivo de cifrado cifra las
credenciales de autenticación con la clave, para crear las
credenciales de autenticación cifradas. El dispositivo de cifrado
almacena entonces las credenciales de autenticación cifradas y el
SID, en la memoria del servidor. Después, el ordenador servidor
transmite la clave y el SID al ordenador cliente. Después el
destructor de clave borra la clave de la memoria del ordenador
servidor, después de la transmisión de la clave al cliente.
El ordenador servidor también incluye un
dispositivo de descifre. Cuando el ordenador servidor recibe una
clave y el SID procedentes del cliente, al inicio de, o durante, una
segunda sesión de comunicación, el ordenador servidor utiliza el
SID para localizar las credenciales de autenticación cifradas,
asociadas con el usuario. Entonces el dispositivo de descifre
descifra las credenciales de autenticación cifradas, utilizando la
clave recibida procedente del cliente, y vuelve a autenticar al
usuario.
La invención se muestra con particularidad en
las reivindicaciones anexas. Los dibujos no están necesariamente a
escala, poniéndose en cambio el énfasis generalmente en la
ilustración de los principios de la invención. Los mismos
caracteres de referencia en las respectivas figuras de los dibujos,
indican partes correspondientes. Las ventajas de la invención
pueden comprenderse mejor con referencia a la siguiente descripción,
tomada junto con los dibujos anexos, en los cuales:
la figura 1 es un diagrama de bloques, de una
realización de un sistema informático para mantener credenciales de
autenticación, de acuerdo con la invención;
la figura 2A es un diagrama de las etapas
seguidas en una realización del sistema informático de la figura 1,
para mantener credenciales de autenticación durante una primera
sesión de comunicación, de acuerdo con la invención; y
la figura 2B es un diagrama de flujo de las
etapas seguidas en una realización del sistema informático de la
figura 1, para mantener las credenciales de autenticación durante
una segunda sesión de comunicación, seguida a la terminación de la
primera sesión de comunicación de la figura 2A, de acuerdo con la
invención.
En referencia a la figura 1, y en una breve
perspectiva general, un sistema informático 5 en una realización,
incluye un ordenador cliente, también aludido como cliente, en
comunicación con un ordenador servidor 15, también aludido como
servidor, sobre un canal de comunicación 18. El canal de
comunicación 18 puede incluir una red 20. Por ejemplo, el canal de
comunicación 18 puede ir sobre una red de área local (LAN) tal como
una intranet de la compañía, o una red de área amplia (WAN) tal
como la red Internet, o la red WWW.
En otra realización, el sistema informático 5
incluye múltiples clientes (por ejemplo 10') que están en
comunicación con la red 20, sobre canales de comunicación
adicionales (por ejemplo 18'). Aunque se ilustra con dos clientes
10, 10' (generalmente 10) y los canales de comunicación 18, 18'
(generalmente 18), puede utilizarse cualquier número de clientes 10
y cualquier número de canales de comunicación 18, como parte del
sistema informático 5.
En una realización el servidor 15 incluye un
procesador 25, y memoria 30 que comunica sobre un bus 32 del
sistema. La memoria 30 puede incluir memoria de acceso aleatorio
(RAM) y/o memoria de solo lectura (ROM). En otra realización, el
servidor 15 accede la memoria 30 desde un punto remoto (por ejemplo
otro ordenador, o un dispositivo de almacenamiento externo).
El cliente 10 y el servidor 15 establecen una
primera sesión de comunicación sobre el canal de comunicación 18.
En una realización, el cliente 10 transmite credenciales de
autenticación al servidor 15, de forma que el servidor 15 puede
autenticar al usuario. Las credenciales de autenticación pueden ser
cualquier información que considere confidencial el usuario que
solicita acceso al servidor 15. Ejemplos de credenciales de
autenticación incluyen una contraseña de inicio de sesión, una
información de tarjeta de crédito, un número de la seguridad
social, un número de teléfono, una dirección, información de
biometría, un código de acceso variable en el tiempo, y un
certificado digital.
Después de recibir las credenciales de
autenticación, el servidor 15 genera una clave de cifrado. En una
realización, la clave de cifrado es un número aleatorio. Después el
servidor 15 cifra las credenciales de autenticación con la clave,
de forma que un atacante que obtenga acceso al servidor 15 no puede
acceder a las credenciales de autenticación sin la clave. El
servidor 15 también genera un identificador de sesión (SID), para
identificar la sesión de comunicación que se establece entre el
cliente 10 y el servidor 15. Después el servidor 15 almacena las
credenciales de autenticación cifradas, con el SID y la memoria 30,
y transmite el SID y la clave al cliente 10 sobre la red 20. Tras
la recepción por parte del cliente del SID y la clave, el servidor
15 procede a la destrucción (es decir, borrado) de la clave en su
memoria 30.
Si la primera sesión de comunicación entre el
cliente 10 y el servidor 15 finaliza, por ejemplo de forma anormal,
la nueva sesión puede restablecerse sin solicitar al usuario que
reintroduzca sus credenciales de autenticación. Cuando el cliente
10 y el servidor 15 restablecen una segunda sesión de comunicación,
el cliente 10 retransmite la clave y el SID al servidor 15. El
servidor 15 utiliza el SID para localizar las credenciales de
autenticación cifradas en la memoria del servidor 30, y utiliza la
clave para descifrar las credenciales cifradas de autenticación.
Después, el servidor 15 auténtica al usuario, verificando las
credenciales de autenticación del usuario.
A efectos ilustrativos, tras un término anormal
de una primera sesión de comunicación, en el que la contraseña de
inicio de sesión del usuario era la credencial de autenticación, el
cliente 10 intenta establecer una segunda sesión de comunicación
con el servidor 15. Como parte de la solicitud al servidor 15 para
establecer la segunda sesión de comunicación, el cliente 10
transmite la clave y el SID de la primera sesión de comunicación
terminada, al servidor 15. En lugar de requerir al usuario que
introduzca de nuevo la contraseña de inicio de sesión del usuario,
el servidor 15 utiliza el SID para localizar la contraseña cifrada
de inicio de sesión, asociada con el usuario, y utiliza la clave
para obtener la contraseña de inicio de sesión del usuario, desde la
memoria del servidor 30.
Con más detalle, y aún en referencia la figura
1, el cliente 10 puede ser cualquier dispositivo informático (por
ejemplo un ordenador personal, un decodificador, un teléfono, un
dispositivo manual, una cabina telefónica, etcétera) que pueda
comunicar con el servidor 15 y pueda proporcionar un interfaz de
usuario 33. El cliente 10 puede ser conectado al canal de
comunicación 18, a través de una variedad de conexiones que incluyen
líneas de teléfono estándar, conexiones LAN o WAN (por ejemplo T1,
T3, 56kb, X.25), conexiones de banda ancha (ISDN, Red de
Retransmisión de Tramas, ATM), y conexiones inalámbricas. Un ejemplo
de un interfaz de usuario 33 es un navegador web (por ejemplo le
navegador Microsoft® Internet Explorer, y/o el navegador
Netscape®).
Similar al cliente 10, el servidor 15 puede ser
cualquiera de los dispositivos informáticos descritos arriba (por
ejemplo un ordenador personal) que pueda acceder a la memoria 30 y
pueda comunicar con el cliente 10. El servidor 15 puede establecer
comunicación sobre el canal de comunicación 18 utilizando una
variedad de protocolos de comunicación (por ejemplo IC, HTTP
TCP/IP, IPX, SPX, NetBIOS, Ethernet, RS232, y conexiones asíncronas
directas).
El servidor 15 incluye un generador de clave 35,
un generador de SID 38, un dispositivo de cifrado 40, un destructor
de clave 45 y un dispositivo de descifre 48. El generador de clave
35 genera una clave cuando el servidor 15 recibe las credenciales
de autenticación procedentes del cliente 10. En una realización, el
generador de clave 35 genera un número aleatorio. En otra
realización, el generador de clave 35 deriva la clave a partir de
una característica del servidor 15. Ejemplos concretos incluyen el
generador de clave 35 derivando la clave a partir de la temperatura
del procesador 25, del momento en que el servidor 15 recibió las
credenciales de autenticación, y del número de claves almacenadas
en la memoria 30. En otra realización, la clave y las credenciales
de autenticación son del mismo tamaño (por ejemplo de ocho bits). En
otra realización, el generador de clave 35 es un módulo de soporte
lógico. En otra realización, el generador de clave 35 es un
generador de número aleatorio.
El generador SID 38 genera el SID único que
capacita al usuario 15 para identificar una sesión de comunicación
concreta. En una realización, el generador SID 38 es un módulo de
soporte lógico. En otra realización, el generador SID 38 es un
generador de números aleatorios.
El dispositivo de cifrado 40 cifra la clave con
las credenciales de autenticación, para crear credenciales de
autenticación cifradas. En otra realización, el dispositivo de
cifrado 40 cifra la clave con las credenciales de autenticación,
mediante llevar a cabo una operación OR exclusivo (es decir XOR),
sobre la clave y las credenciales de autenticación. En otra
realización, el dispositivo de cifrado 40 añade las credenciales de
autenticación a la clave, para cifrar las credenciales de
autenticación; es decir, el dispositivo de cifrado 40 lleva a cabo
un "cifrado César" sobre las credenciales de autenticación,
utilizando la clave como valor de desplazamiento. Debe quedar claro
que el dispositivo de cifrado 40 puede llevar a cabo cualquier tipo
de manipulación sobre las credenciales de autenticación, en la
medida en que el servidor 15 pueda descifrar las credenciales
cifradas de autenticación, con la clave.
En una realización, el dispositivo de cifrado 40
es un módulo de soporte lógico que ejecuta algoritmos matemáticos
sobre la clave y las credenciales de autenticación, para crear las
credenciales cifradas de autenticación. En otra realización, el
dispositivo de cifrado 40 es una puerta lógica del servidor 15, tal
como una puerta OR exclusiva (XOR). En otra realización, el
dispositivo de cifrado 40 lleva a cabo una función de resumen tal
como MP4, MP5, y SHA-1, y sobre las credenciales de
autenticación.
En una realización, el dispositivo de cifrado 40
almacena las credenciales cifradas de autenticación y el SID, en
una tabla 55 en la memoria 30. En otra realización, el dispositivo
de cifrado 40 almacena las credenciales cifradas de autenticación
en la tabla 55, y el generador SID 38 almacena el SID en la tabla
55. En una realización, la tabla 55 está en el área de la memoria
30 asignada por el procesador 25 para ser utilizada por el
dispositivo de cifrado 40. En otra realización, el dispositivo de
cifrado 40 almacena las credenciales cifradas de autenticación en
una base de datos (no mostrada).
En una realización, el servidor 15 utiliza el
SID como un vector para la localización de las credenciales
cifradas de autenticación, en la tabla 55. Así, el servidor 15 puede
localizar las credenciales cifradas de autenticación, mediante
utilizar un SID concreto (puesto que cada credencial cifrada de
autenticación creada por el dispositivo de cifrado 40, está
asociada con un solo SID).
El destructor de claves 45 borra la clave, una
vez que el servidor 15 determina que la clave deja de ser necesaria.
En una realización, el destructor de claves 45 es una función
borrar, de un programa de soporte lógico, tal como el sistema
operativo del servidor 15.
El dispositivo de descifre 48 descifra las
credenciales cifradas de autenticación, una vez que el servidor 15
recibe la clave y el SID desde el cliente 10. En una realización, el
dispositivo de descifre 48 es un módulo de soporte lógico que lleva
a cabo la función inversa del algoritmo que lleva a cabo el
dispositivo de cifrado 40 para crear las credenciales cifradas de
autenticación. En otra realización, el dispositivo de descifre 48
es un componente de equipamiento físico (por ejemplo, una puerta
lógica), para llevar a cabo la operación inversa del dispositivo de
cifrado 40.
En una realización, uno o más entre el generador
de clave 35, el generador de SID 38, el dispositivo de cifrado 40,
el destructor de claves 45 y el dispositivo de descifre 48, están
unidos en un módulo de soporte lógico. En otra realización, estos
componentes 35, 38, 40, 45, 48 pueden ser componentes de
equipamiento físico, tales como puertas lógicas. En una realización
más, estos componentes 35, 38, 40, 45, 48 están incluidos en un solo
circuito integrado.
En referencia también a la figura 2A, el cliente
10 establece una primera sesión de comunicación con el servidor 15,
sobre el canal de comunicación 18. El cliente 10 obtiene (etapa 100)
credenciales de autenticación procedentes de un usuario del cliente
10. En un sistema informático 5 que no utiliza un protocolo de
Interconexión de Sistema Abierto (OSI, Open System Interconnection)
como protocolo de transmisión para la comunicación entre el cliente
10 y el servidor 15, las credenciales de autenticación pueden ser
una contraseña de inicio de sesión, que se requiere para establecer
la primera sesión de comunicación. En esta realización, la obtención
de las credenciales de autentificación procedentes del usuario,
precede al establecimiento de la sesión de comunicación. En otra
realización, la credencial de autenticación es información personal
del usuario (por ejemplo información de la tarjeta de crédito, o
del número de seguridad social) que el cliente 10 obtiene después de
que se ha establecido la primera sesión de comunicación. Después,
el cliente 10 transmite (etapa 105) las credenciales de
autenticación al servidor 15, sobre el canal de comunicación 18.
Después de que el servidor 15 recibe las
credenciales de autenticación, el generador de clave 35 crea (etapa
110) una primera clave de cifrado, para su uso con las credenciales
de autenticación. El dispositivo de cifrado 40 cifra después (etapa
115) las credenciales de autenticación, con la primera clave para
generar credenciales cifradas de autenticación. Después el
generador SID 38 crea (etapa 120) un primer SID para identificar la
primera sesión de comunicación. El dispositivo de cifrado 40
almacena entonces (etapa 125) las credenciales cifradas de
autenticación con el primer SID, en la tabla 55 descrita arriba.
En una realización, el dispositivo de cifrado 40
almacena las credenciales cifradas de autenticación y el primer
SID, en cierta localización, para una recuperación más eficiente en
un momento posterior. Por ejemplo, el dispositivo de cifrado 40
almacena todas las credenciales cifradas de autenticación y los SIDs
que han sido creados, dentro de un período de tiempo
predeterminado, en la RAM 30. El servidor 15 transfiere todas las
credenciales cifradas de autenticación y los SIDs creados, antes de
un periodo predeterminado, a una segunda memoria, externa (no
mostrada). En otra realización, el dispositivo de cifrado 40
almacena las credenciales cifradas de autenticación y el SID, en
una base de datos.
Las credenciales de autenticación cifradas y el
SID almacenados en la memoria 30, pueden disponerse en cualquier
formato y/u orden concretos. Por ejemplo, el SID y las credenciales
cifradas de autenticación pueden ser almacenados en orden
cronológico, con respecto al momento de creación de las credenciales
cifradas de autenticación.
Después, el servidor 15 transmite (etapa 135) la
primera clave y el primer SID asociado, al cliente 10. El cliente
10 almacena (etapa 140) la primera clave y el primer SID en la
memoria del cliente (no mostrada). Después, el destructor de claves
45 borra (etapa 145) la clave almacenada en la memoria 30.
En otra realización, el servidor 15 no borra la
primera clave de la memoria 30, hasta que el cliente 10 notifica al
servidor 15 que el cliente 10 ha recibido la clave. Por ejemplo, el
cliente 10 transmite un mensaje de acuse al servidor 15, después de
que el cliente 10 recibe satisfactoriamente la clave. Una vez que el
servidor 15 tiene la notificación (por ejemplo el mensaje de
acuse), el destructor de claves 45 borra entonces (etapa 145) la
clave de la memoria 30. Esto impide que el servidor 15 borre la
clave antes de que el cliente 10 reciba la clave
satisfactoriamente. Al no borrar la clave hasta la recepción del
mensaje de acuse, el servidor 15 puede retransmitir la clave y el
SID al cliente 10, tras producirse un fallo en la transmisión.
Al borrar la clave en la etapa 145, el servidor
15 no tiene el mecanismo necesario para descifrar las credenciales
cifradas de autenticación, almacenadas en la lista 55. Así, si un
atacante accede a la memoria 30 del servidor 15, el atacante puede
recibir las credenciales cifradas de autenticación, pero no puede
descifrar las credenciales cifradas de autenticación (y por lo
tanto, no puede leer las credenciales de autenticación). Brevemente,
las credenciales cifradas de autenticación almacenadas en el
servidor 15 no proporcionan información que el atacante puede
interpretar ni comprender, y el servidor 15 no posee información
para descifrar las credenciales cifradas de autenticación.
Además, el cliente 10 es el único dispositivo
que puede proporcionar la clave para las credenciales cifradas de
autenticación. Con la posibilidad de muchos clientes 10 como parte
de la red 20, un atacante puede necesitar intentar obtener acceso a
cada cliente (por ejemplo 10, 10') individualmente, para encontrar
al cliente 10 que posee la clave correcta. Esto puede ser tedioso y
consumir tiempo y, como resultado, puede disuadir a un atacante de
intentar descifrar las credenciales cifradas de autenticación.
Además, y también con referencia a la figura 2B,
si la primera sesión de comunicación finaliza de forma anormal
(etapa 150), el cliente 10 puede transmitir (etapa 155) el primer
SID y la primera clave al servidor 15, durante una segunda sesión
de comunicación, sin retransmitir las credenciales de
autenticación.
En otra realización, el servidor 15 tiene una
característica de tiempo muerto respecto al acceso a las
credenciales cifradas de autenticación. Por ejemplo, el servidor 15
arranca un cronómetro después de que ha terminado anormalmente la
primera comunicación. Si el cronómetro alcanza un valor
predeterminado antes de que el cliente 10 restablezca la segunda
sesión de comunicación y transmite la clave al servidor 15 para su
descifre, el servidor 15 borra las credenciales de autenticación
cifradas de la lista 55. Si no se utiliza cronómetro, la clave actúa
como una contraseña de hecho, para futuras sesiones.
Una vez que el servidor 15 recibe la primera
clave y el primer SID desde el cliente 10 al inicio de, durante, la
segunda sesión de comunicación, el servidor 15 utiliza (etapa 160)
el primer SID para localizar las credenciales cifradas de
autenticación, y después el dispositivo de descifre 48 utiliza la
primera clave para descifrar las credenciales cifradas de
autenticación.
En una realización, durante la segunda sesión de
comunicación, el generador de clave 35 crea (etapa 170) una segunda
clave para las credenciales de autenticación, y el dispositivo de
cifrado de clave 40 cifra después (etapa 175) las credenciales de
autenticación con la segunda clave, para generar las segundas
credenciales cifradas de autenticación. El generador SID 38 también
crea (etapa 180) un segundo SID, para identificar la segunda sesión
de comunicación. El dispositivo de cifrado 40 almacena las segundas
credenciales cifradas de autenticación con el segundo SID, en la
tabla 55.
El servidor 15 transmite después (etapa 185) la
segunda clave y el segundo SID, al cliente 10. El cliente 10
almacena después (etapa 190) la segunda clave y el segundo SID en la
memoria (no mostrada) para la futura recuperación. Después, el
destructor de claves 45 borra (etapa 195) la segunda clave de la
memoria 30. Así, el servidor 15 solo puede descifrar las segundas
credenciales cifradas de autenticación, tras la recepción de la
segunda clave y el segundo SID desde el cliente 10. El servidor 15
ha creado una nueva clave y un nuevo SID para la segunda sesión de
comunicación, que son utilizados con las mismas credenciales de
autenticación que el usuario había transmitido durante la primera
sesión de comunicación. Por lo tanto, las credenciales de
autenticación de un usuario no tienen que ser retransmitidas sobre
un segundo canal de comunicación, después de una terminación
anormal de la primera sesión de comunicación.
Aunque la invención se discute en términos de
credenciales de autenticación, puede utilizarse cualquier
información confidencial que pueda mantenerse a través de sesiones
si hay un fallo de comunicación. Así, si se requiere información de
la tarjeta de crédito por parte de una aplicación, y la información
de la tarjeta de crédito es enviada al servidor, la subsiguiente
desconexión entre el cliente y el servidor no necesita que sea
reintroducida la información de la tarjeta de crédito, si se
utiliza esta invención. Además, aunque se discute un identificador
de sesión o SID, que proporciona un puntero a las credenciales de
autenticación almacenadas, cualquier número que sea adecuado como
puntero puede ser utilizado.
La invención puede realizarse de otras formas
concretas. Por lo tanto, las realizaciones anteriores han de ser
consideradas, en todos los aspectos, ilustrativas y no limitativas
de la invención aquí descrita. Así, al alcance de la invención se
indica en las reivindicaciones anexas.
Claims (13)
1. Un método para facilitar la reautenticación
de un usuario que utiliza un ordenador cliente, frente un ordenador
servidor, que comprende las etapas de:
- a)
- establecer una primera sesión de comunicación entre el ordenador cliente y el ordenador servidor, y generar una clave (110);
- b)
- recibir información confidencial desde el ordenador cliente;
estando el método caracterizado por
- c)
- generar un identificador que identifica la primera sesión de comunicación (120)
- d)
- cifrar la información confidencial con la clave, para crear la información confidencial cifrada (115), y asociar el identificador con la información confidencial cifrada (125);
- e)
- almacenar la información confidencial cifrada, en el ordenador servidor;
- f)
- transmitir la clave y el identificador al ordenador cliente (135); y
- g)
- suprimir la clave en el ordenador servidor (145);
- h)
- establecer una segunda sesión de comunicación después de suprimir la clave en el ordenador servidor;
- i)
- recibir la clave asociada con la información confidencial cifrada y el identificador, desde el ordenador cliente, durante la segunda sesión de comunicación;
- j)
- utilizar el identificador para localizar la información confidencial cifrada antes de utilizar la clave para descifrar la información confidencial cifrada; y
- k)
- utilizar la clave en el ordenador servidor, para descifrar la información confidencial cifrada.
2. El método de la reivindicación 1, en el que
la etapa e) incluye además la etapa de almacenar el identificador
en el ordenador servidor.
3. El método de la reivindicación 1, en el que
se establece una segunda sesión de comunicación entre el ordenador
cliente y el ordenador servidor, tras la terminación de la primera
sesión de comunicación.
4. El método de la reivindicación 1, que
comprende además las etapas de:
- k1)
- crear una segunda clave durante la segunda sesión de comunicación;
- l)
- crear un segundo identificador durante la segunda sesión de comunicación;
- m)
- cifrar la información confidencial con la segunda clave, para crear una segunda información confidencial cifrada;
- n)
- almacenar la información confidencial cifrada y el segundo identificador, en el ordenador servidor;
- o)
- transmitir la segunda clave y el segundo identificador, al ordenador cliente; y
- p)
- suprimir la segunda clave en el ordenador servidor.
5. El método de la reivindicación 1, en el que
cifrar la información confidencial y la clave, comprende además
llevar a cabo una operación OR exclusivo, sobre la información
confidencial y la clave.
6. El método de la reivindicación 1, que
comprende además habilitar el acceso a la información confidencial
cifrada, durante un período de tiempo predeterminado.
7. El método de la reivindicación 2, en el que
el identificador comprende además un puntero a la información
confidencial cifrada.
8. El método de la reivindicación 1, en el que
la información confidencial cifrada es almacenada en una base de
datos.
9. El método de la reivindicación 1, en el que
la información confidencial es una contraseña.
10. El método de la reivindicación 2, en el que
el identificador es un identificador de sesión.
11. El método de la reivindicación 1, que
comprende
- c-a)
- crear un identificador mediante el ordenador servidor, para identificar la primera sesión de comunicación después de recibir la información confidencial.
12. Un sistema para facilitar la
reautenticación de un usuario que utiliza un ordenador cliente,
contra un ordenador servidor, comprendiendo el sistema:
- un ordenador cliente (10) y un ordenador servidor (15) que comprende una memoria (30);
- estando el sistema caracterizado porque el ordenador servidor comprende
- un generador de identificador (38), un generador de clave (35), un destructor de clave (45), un dispositivo de cifrado (40), y un dispositivo de descifre (48), estando el ordenador servidor en comunicación eléctrica con el ordenador cliente;
- donde el ordenador servidor está configurado para recibir información confidencial procedente del ordenador cliente, durante una primera sesión de comunicación entre el ordenador servidor y el ordenador cliente,
- donde el generador de clave está configurado para generar una clave,
- donde el generador de identificador está configurado para generar un identificador asociado con la primera sesión de comunicación,
- donde el dispositivo de cifrado está configurado para cifrar la información confidencial recibida desde el cliente, con la clave, para crear información confidencial cifrada,
- donde el dispositivo de cifrado está además dispuesto para almacenar la información confidencial cifrada, en la memoria del ordenador servidor,
- donde el identificador está asociado con la información confidencial cifrada,
- donde el servidor está configurado para transmitir la clave y el identificador, al cliente,
- donde el destructor de clave está configurado para destruir la clave después de la transmisión de la clave al ordenador cliente,
- donde el servidor está configurado para recibir la clave y el identificador durante una segunda sesión de comunicación, y utilizar el identificador recibido para localizar la información confidencial cifrada, antes de utilizar la clave recibida para descifrar la información confidencial cifrada; y donde el dispositivo de descifre está configurado para descifrar la información confidencial cifrada en la memoria, utilizando la clave recibida.
13. El sistema de la reivindicación 12, en el
que la información confidencial es información personal asociada
con un usuario del ordenador cliente.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US880268 | 2001-06-13 | ||
| US09/880,268 US7100200B2 (en) | 2001-06-13 | 2001-06-13 | Method and apparatus for transmitting authentication credentials of a user across communication sessions |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2279871T3 true ES2279871T3 (es) | 2007-09-01 |
Family
ID=25375900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES02741946T Expired - Lifetime ES2279871T3 (es) | 2001-06-13 | 2002-06-11 | Autenticacion de un usuario a traves de sesiones de comunicacion. |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US7100200B2 (es) |
| EP (1) | EP1400089B1 (es) |
| JP (1) | JP2004535004A (es) |
| KR (1) | KR100898843B1 (es) |
| AT (1) | ATE353181T1 (es) |
| AU (1) | AU2002315013B2 (es) |
| CA (1) | CA2450154A1 (es) |
| DE (1) | DE60217962T2 (es) |
| ES (1) | ES2279871T3 (es) |
| HK (1) | HK1065193A1 (es) |
| IL (2) | IL159295A0 (es) |
| WO (1) | WO2002102023A1 (es) |
Families Citing this family (136)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7117239B1 (en) | 2000-07-28 | 2006-10-03 | Axeda Corporation | Reporting the state of an apparatus to a remote computer |
| US7185014B1 (en) | 2000-09-22 | 2007-02-27 | Axeda Corporation | Retrieving data from a server |
| US8108543B2 (en) | 2000-09-22 | 2012-01-31 | Axeda Corporation | Retrieving data from a server |
| JP3859450B2 (ja) * | 2001-02-07 | 2006-12-20 | 富士通株式会社 | 秘密情報管理システムおよび情報端末 |
| US20050198379A1 (en) | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
| JP2003085084A (ja) * | 2001-09-12 | 2003-03-20 | Sony Corp | コンテンツ配信システム及びコンテンツ配信方法、携帯端末、配信サーバ、並びに記憶媒体 |
| US20030084165A1 (en) * | 2001-10-12 | 2003-05-01 | Openwave Systems Inc. | User-centric session management for client-server interaction using multiple applications and devices |
| US7333616B1 (en) | 2001-11-14 | 2008-02-19 | Omniva Corp. | Approach for managing access to messages using encryption key management policies |
| US7783901B2 (en) * | 2001-12-05 | 2010-08-24 | At&T Intellectual Property Ii, L.P. | Network security device and method |
| US7254601B2 (en) | 2001-12-20 | 2007-08-07 | Questra Corporation | Method and apparatus for managing intelligent assets in a distributed environment |
| US7661129B2 (en) | 2002-02-26 | 2010-02-09 | Citrix Systems, Inc. | Secure traversal of network components |
| US7984157B2 (en) | 2002-02-26 | 2011-07-19 | Citrix Systems, Inc. | Persistent and reliable session securely traversing network components using an encapsulating protocol |
| WO2003079607A1 (en) * | 2002-03-18 | 2003-09-25 | Colin Martin Schmidt | Session key distribution methods using a hierarchy of key servers |
| US7080404B2 (en) * | 2002-04-01 | 2006-07-18 | Microsoft Corporation | Automatic re-authentication |
| US20030194999A1 (en) * | 2002-04-16 | 2003-10-16 | Quick Roy Franklin | Method and apparatus for reestablishing crypto-sync synchronization in a communication system |
| US7178149B2 (en) | 2002-04-17 | 2007-02-13 | Axeda Corporation | XML scripting of soap commands |
| US20040003081A1 (en) * | 2002-06-26 | 2004-01-01 | Microsoft Corporation | System and method for providing program credentials |
| US20040024867A1 (en) * | 2002-06-28 | 2004-02-05 | Openwave Systems Inc. | Method and apparatus for determination of device capabilities on a network |
| US7299033B2 (en) | 2002-06-28 | 2007-11-20 | Openwave Systems Inc. | Domain-based management of distribution of digital content from multiple suppliers to multiple wireless services subscribers |
| US7233790B2 (en) * | 2002-06-28 | 2007-06-19 | Openwave Systems, Inc. | Device capability based discovery, packaging and provisioning of content for wireless mobile devices |
| US7885896B2 (en) | 2002-07-09 | 2011-02-08 | Avaya Inc. | Method for authorizing a substitute software license server |
| US8041642B2 (en) | 2002-07-10 | 2011-10-18 | Avaya Inc. | Predictive software license balancing |
| US7228567B2 (en) * | 2002-08-30 | 2007-06-05 | Avaya Technology Corp. | License file serial number tracking |
| US7681245B2 (en) | 2002-08-30 | 2010-03-16 | Avaya Inc. | Remote feature activator feature extraction |
| US7216363B2 (en) * | 2002-08-30 | 2007-05-08 | Avaya Technology Corp. | Licensing duplicated systems |
| US7698225B2 (en) | 2002-08-30 | 2010-04-13 | Avaya Inc. | License modes in call processing |
| US7707116B2 (en) | 2002-08-30 | 2010-04-27 | Avaya Inc. | Flexible license file feature controls |
| US7966520B2 (en) | 2002-08-30 | 2011-06-21 | Avaya Inc. | Software licensing for spare processors |
| US20040078339A1 (en) * | 2002-10-22 | 2004-04-22 | Goringe Christopher M. | Priority based licensing |
| US7890997B2 (en) | 2002-12-26 | 2011-02-15 | Avaya Inc. | Remote feature activation authentication file system |
| US7966418B2 (en) | 2003-02-21 | 2011-06-21 | Axeda Corporation | Establishing a virtual tunnel between two computer programs |
| US7260557B2 (en) * | 2003-02-27 | 2007-08-21 | Avaya Technology Corp. | Method and apparatus for license distribution |
| US7190948B2 (en) * | 2003-03-10 | 2007-03-13 | Avaya Technology Corp. | Authentication mechanism for telephony devices |
| US7373657B2 (en) * | 2003-03-10 | 2008-05-13 | Avaya Technology Corp. | Method and apparatus for controlling data and software access |
| US20040181696A1 (en) * | 2003-03-11 | 2004-09-16 | Walker William T. | Temporary password login |
| US7266685B1 (en) * | 2003-06-24 | 2007-09-04 | Arraycomm, Llc | Time certification in a wireless communications network |
| US8571222B1 (en) * | 2003-08-13 | 2013-10-29 | Verizon Corporate Services Group Inc. | System and method for wide area wireless connectivity to the internet |
| US9100814B2 (en) * | 2003-09-17 | 2015-08-04 | Unwired Plant, Llc | Federated download of digital content to wireless devices |
| US8094804B2 (en) | 2003-09-26 | 2012-01-10 | Avaya Inc. | Method and apparatus for assessing the status of work waiting for service |
| US8190893B2 (en) * | 2003-10-27 | 2012-05-29 | Jp Morgan Chase Bank | Portable security transaction protocol |
| US7460861B2 (en) * | 2003-12-17 | 2008-12-02 | Redknee Inc. | Real-time mobile conferencing solution |
| KR101042745B1 (ko) * | 2004-01-30 | 2011-06-20 | 삼성전자주식회사 | 클라이언트 단말장치와 서버 사이의 세션 재설정을 위한시스템 및 방법 |
| US7353388B1 (en) | 2004-02-09 | 2008-04-01 | Avaya Technology Corp. | Key server for securing IP telephony registration, control, and maintenance |
| US7272500B1 (en) | 2004-03-25 | 2007-09-18 | Avaya Technology Corp. | Global positioning system hardware key for software licenses |
| US8000989B1 (en) | 2004-03-31 | 2011-08-16 | Avaya Inc. | Using true value in routing work items to resources |
| US7953859B1 (en) | 2004-03-31 | 2011-05-31 | Avaya Inc. | Data model of participation in multi-channel and multi-party contacts |
| US7734032B1 (en) | 2004-03-31 | 2010-06-08 | Avaya Inc. | Contact center and method for tracking and acting on one and done customer contacts |
| US8954590B2 (en) * | 2004-04-27 | 2015-02-10 | Sap Ag | Tunneling apparatus and method for client-server communication |
| US8738412B2 (en) | 2004-07-13 | 2014-05-27 | Avaya Inc. | Method and apparatus for supporting individualized selection rules for resource allocation |
| KR100621570B1 (ko) * | 2004-07-16 | 2006-09-14 | 삼성전자주식회사 | 메인 서버와 홈네트워크 상의 클라이언트 간에 보안통신하는 방법 및 시스템 |
| US7707405B1 (en) | 2004-09-21 | 2010-04-27 | Avaya Inc. | Secure installation activation |
| US7949121B1 (en) | 2004-09-27 | 2011-05-24 | Avaya Inc. | Method and apparatus for the simultaneous delivery of multiple contacts to an agent |
| US8234141B1 (en) | 2004-09-27 | 2012-07-31 | Avaya Inc. | Dynamic work assignment strategies based on multiple aspects of agent proficiency |
| US7747851B1 (en) | 2004-09-30 | 2010-06-29 | Avaya Inc. | Certificate distribution via license files |
| US7965701B1 (en) | 2004-09-30 | 2011-06-21 | Avaya Inc. | Method and system for secure communications with IP telephony appliance |
| US8229858B1 (en) | 2004-09-30 | 2012-07-24 | Avaya Inc. | Generation of enterprise-wide licenses in a customer environment |
| US8364807B1 (en) | 2004-11-18 | 2013-01-29 | Rockstar Consortium Us Lp | Identifying and controlling network sessions via an access concentration point |
| US8806020B1 (en) * | 2004-12-20 | 2014-08-12 | Avaya Inc. | Peer-to-peer communication session monitoring |
| US20060143477A1 (en) * | 2004-12-27 | 2006-06-29 | Stevens Harden E Iii | User identification and data fingerprinting/authentication |
| US20060218636A1 (en) * | 2005-03-24 | 2006-09-28 | David Chaum | Distributed communication security systems |
| US7831833B2 (en) * | 2005-04-22 | 2010-11-09 | Citrix Systems, Inc. | System and method for key recovery |
| JP4577776B2 (ja) * | 2005-05-25 | 2010-11-10 | フェリカネットワークス株式会社 | 非接触icチップおよび携帯端末 |
| US7809127B2 (en) | 2005-05-26 | 2010-10-05 | Avaya Inc. | Method for discovering problem agent behaviors |
| US7779042B1 (en) | 2005-08-08 | 2010-08-17 | Avaya Inc. | Deferred control of surrogate key generation in a distributed processing architecture |
| US7814023B1 (en) | 2005-09-08 | 2010-10-12 | Avaya Inc. | Secure download manager |
| JP2007079857A (ja) * | 2005-09-13 | 2007-03-29 | Canon Inc | サーバー装置、クライアント装置及びそれらの制御方法、コンピュータプログラム、記憶媒体 |
| US7822587B1 (en) | 2005-10-03 | 2010-10-26 | Avaya Inc. | Hybrid database architecture for both maintaining and relaxing type 2 data entity behavior |
| US7787609B1 (en) | 2005-10-06 | 2010-08-31 | Avaya Inc. | Prioritized service delivery based on presence and availability of interruptible enterprise resources with skills |
| US7752230B2 (en) | 2005-10-06 | 2010-07-06 | Avaya Inc. | Data extensibility using external database tables |
| US7895450B2 (en) * | 2006-01-09 | 2011-02-22 | Fuji Xerox Co., Ltd. | Data management system, data management method and storage medium storing program for data management |
| EP1987627B1 (en) * | 2006-02-03 | 2016-11-16 | Mideye AB | A system, an arrangement and a method for end user authentication |
| US8737173B2 (en) | 2006-02-24 | 2014-05-27 | Avaya Inc. | Date and time dimensions for contact center reporting in arbitrary international time zones |
| US7936867B1 (en) | 2006-08-15 | 2011-05-03 | Avaya Inc. | Multi-service request within a contact center |
| US8341708B1 (en) | 2006-08-29 | 2012-12-25 | Crimson Corporation | Systems and methods for authenticating credentials for management of a client |
| US8391463B1 (en) | 2006-09-01 | 2013-03-05 | Avaya Inc. | Method and apparatus for identifying related contacts |
| US8938063B1 (en) | 2006-09-07 | 2015-01-20 | Avaya Inc. | Contact center service monitoring and correcting |
| US8811597B1 (en) | 2006-09-07 | 2014-08-19 | Avaya Inc. | Contact center performance prediction |
| US8370479B2 (en) | 2006-10-03 | 2013-02-05 | Axeda Acquisition Corporation | System and method for dynamically grouping devices based on present device conditions |
| US20080091814A1 (en) * | 2006-10-16 | 2008-04-17 | Tao Xie | Network Connection Fast Recovery |
| US9125144B1 (en) | 2006-10-20 | 2015-09-01 | Avaya Inc. | Proximity-based feature activation based on programmable profile |
| US8050665B1 (en) | 2006-10-20 | 2011-11-01 | Avaya Inc. | Alert reminder trigger by motion-detector |
| US8065397B2 (en) | 2006-12-26 | 2011-11-22 | Axeda Acquisition Corporation | Managing configurations of distributed devices |
| US8295306B2 (en) | 2007-08-28 | 2012-10-23 | Cisco Technologies, Inc. | Layer-4 transparent secure transport protocol for end-to-end application protection |
| US8504534B1 (en) | 2007-09-26 | 2013-08-06 | Avaya Inc. | Database structures and administration techniques for generalized localization of database items |
| US8856182B2 (en) | 2008-01-25 | 2014-10-07 | Avaya Inc. | Report database dependency tracing through business intelligence metadata |
| US8621641B2 (en) * | 2008-02-29 | 2013-12-31 | Vicki L. James | Systems and methods for authorization of information access |
| US20090288104A1 (en) * | 2008-05-19 | 2009-11-19 | Rohati Systems, Inc. | Extensibility framework of a network element |
| US8667556B2 (en) * | 2008-05-19 | 2014-03-04 | Cisco Technology, Inc. | Method and apparatus for building and managing policies |
| US8094560B2 (en) * | 2008-05-19 | 2012-01-10 | Cisco Technology, Inc. | Multi-stage multi-core processing of network packets |
| US8677453B2 (en) * | 2008-05-19 | 2014-03-18 | Cisco Technology, Inc. | Highly parallel evaluation of XACML policies |
| US9276909B2 (en) | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| US20100070471A1 (en) * | 2008-09-17 | 2010-03-18 | Rohati Systems, Inc. | Transactional application events |
| US9077542B2 (en) * | 2008-09-23 | 2015-07-07 | GM Global Technology Operations LLC | System and method for confirming that a user of an electronic device is an authorized user of a vehicle |
| US8555351B2 (en) * | 2008-09-29 | 2013-10-08 | International Business Machines Corporation | Trusted database authentication through an untrusted intermediary |
| US20100179984A1 (en) | 2009-01-13 | 2010-07-15 | Viasat, Inc. | Return-link optimization for file-sharing traffic |
| US9955352B2 (en) | 2009-02-17 | 2018-04-24 | Lookout, Inc. | Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such |
| US8855601B2 (en) | 2009-02-17 | 2014-10-07 | Lookout, Inc. | System and method for remotely-initiated audio communication |
| WO2010104927A2 (en) | 2009-03-10 | 2010-09-16 | Viasat, Inc. | Internet protocol broadcasting |
| US8565386B2 (en) | 2009-09-29 | 2013-10-22 | Avaya Inc. | Automatic configuration of soft phones that are usable in conjunction with special-purpose endpoints |
| US9516069B2 (en) | 2009-11-17 | 2016-12-06 | Avaya Inc. | Packet headers as a trigger for automatic activation of special-purpose softphone applications |
| US8966112B1 (en) | 2009-11-30 | 2015-02-24 | Dell Software Inc. | Network protocol proxy |
| US8516253B1 (en) * | 2010-01-18 | 2013-08-20 | Viasat, Inc. | Self-keyed protection of anticipatory content |
| WO2011096307A1 (ja) | 2010-02-03 | 2011-08-11 | 日本電気株式会社 | プロキシ装置とその動作方法 |
| US9043385B1 (en) | 2010-04-18 | 2015-05-26 | Viasat, Inc. | Static tracker |
| US8412836B2 (en) | 2010-07-07 | 2013-04-02 | Microsoft Corporation | User authentication across multiple network stacks |
| US20120185386A1 (en) * | 2011-01-18 | 2012-07-19 | Bank Of America | Authentication tool |
| US9544396B2 (en) | 2011-02-23 | 2017-01-10 | Lookout, Inc. | Remote application installation and control for a mobile device |
| US9912718B1 (en) | 2011-04-11 | 2018-03-06 | Viasat, Inc. | Progressive prefetching |
| US11983233B2 (en) | 2011-04-11 | 2024-05-14 | Viasat, Inc. | Browser based feedback for optimized web browsing |
| US9037638B1 (en) | 2011-04-11 | 2015-05-19 | Viasat, Inc. | Assisted browsing using hinting functionality |
| US9106607B1 (en) | 2011-04-11 | 2015-08-11 | Viasat, Inc. | Browser based feedback for optimized web browsing |
| US9456050B1 (en) | 2011-04-11 | 2016-09-27 | Viasat, Inc. | Browser optimization through user history analysis |
| US8806192B2 (en) | 2011-05-04 | 2014-08-12 | Microsoft Corporation | Protected authorization for untrusted clients |
| PT3633918T (pt) | 2011-06-14 | 2022-03-18 | Viasat Inc | Protocolo de transporte para conteúdo de antecipação |
| US9407355B1 (en) | 2011-10-25 | 2016-08-02 | Viasat Inc. | Opportunistic content delivery using delta coding |
| CN103368901A (zh) * | 2012-03-27 | 2013-10-23 | 复旦大学 | 基于大规模离散数据的云计算系统 |
| US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
| US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
| US9672519B2 (en) | 2012-06-08 | 2017-06-06 | Fmr Llc | Mobile device software radio for securely passing financial information between a customer and a financial services firm |
| US8432808B1 (en) | 2012-06-15 | 2013-04-30 | Viasat Inc. | Opportunistically delayed delivery in a satellite network |
| US9984250B2 (en) * | 2012-06-22 | 2018-05-29 | Microsoft Technology Licensing, Llc | Rollback protection for login security policy |
| US9106652B2 (en) * | 2012-12-18 | 2015-08-11 | International Business Machines Corporation | Web conference overstay protection |
| US9098687B2 (en) | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
| US10084603B2 (en) * | 2013-06-12 | 2018-09-25 | Lookout, Inc. | Method and system for rendering a stolen mobile communications device inoperative |
| US9519934B2 (en) | 2013-07-19 | 2016-12-13 | Bank Of America Corporation | Restricted access to online banking |
| US9646342B2 (en) | 2013-07-19 | 2017-05-09 | Bank Of America Corporation | Remote control for online banking |
| US9215064B2 (en) * | 2013-10-21 | 2015-12-15 | Adobe Systems Incorporated | Distributing keys for decrypting client data |
| US10122747B2 (en) | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
| US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
| US10855797B2 (en) | 2014-06-03 | 2020-12-01 | Viasat, Inc. | Server-machine-driven hint generation for improved web page loading using client-machine-driven feedback |
| CA2982463C (en) | 2015-05-01 | 2019-03-05 | Lookout, Inc. | Determining source of side-loaded software |
| CN108701130B (zh) | 2015-10-20 | 2023-06-20 | 维尔塞特公司 | 使用自动浏览群集更新提示模型 |
| US10097544B2 (en) * | 2016-06-01 | 2018-10-09 | International Business Machines Corporation | Protection and verification of user authentication credentials against server compromise |
| US11546310B2 (en) | 2018-01-26 | 2023-01-03 | Sensus Spectrum, Llc | Apparatus, methods and articles of manufacture for messaging using message level security |
| US10708261B2 (en) * | 2018-05-07 | 2020-07-07 | Vmware, Inc. | Secure gateway onboarding via mobile devices for internet of things device management |
| US20230254342A1 (en) * | 2022-02-09 | 2023-08-10 | Nbcuniversal Media, Llc | Cryptographic binding of data to network transport |
Family Cites Families (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2168831B (en) | 1984-11-13 | 1988-04-27 | Dowty Information Services Lim | Password-protected data link |
| US5390297A (en) * | 1987-11-10 | 1995-02-14 | Auto-Trol Technology Corporation | System for controlling the number of concurrent copies of a program in a network based on the number of available licenses |
| US4924378A (en) * | 1988-06-13 | 1990-05-08 | Prime Computer, Inc. | License mangagement system and license storage key |
| US5204897A (en) * | 1991-06-28 | 1993-04-20 | Digital Equipment Corporation | Management interface for license management system |
| US5504814A (en) * | 1991-07-10 | 1996-04-02 | Hughes Aircraft Company | Efficient security kernel for the 80960 extended architecture |
| US5359721A (en) * | 1991-12-18 | 1994-10-25 | Sun Microsystems, Inc. | Non-supervisor mode cross address space dynamic linking |
| US5412717A (en) * | 1992-05-15 | 1995-05-02 | Fischer; Addison M. | Computer system security method and apparatus having program authorization information data structures |
| US5265159A (en) | 1992-06-23 | 1993-11-23 | Hughes Aircraft Company | Secure file erasure |
| US5550976A (en) * | 1992-12-08 | 1996-08-27 | Sun Hydraulics Corporation | Decentralized distributed asynchronous object oriented system and method for electronic data management, storage, and communication |
| US5509070A (en) * | 1992-12-15 | 1996-04-16 | Softlock Services Inc. | Method for encouraging purchase of executable and non-executable software |
| US5794207A (en) * | 1996-09-04 | 1998-08-11 | Walker Asset Management Limited Partnership | Method and apparatus for a cryptographically assisted commercial network system designed to facilitate buyer-driven conditional purchase offers |
| US5544246A (en) * | 1993-09-17 | 1996-08-06 | At&T Corp. | Smartcard adapted for a plurality of service providers and for remote installation of same |
| US5455953A (en) * | 1993-11-03 | 1995-10-03 | Wang Laboratories, Inc. | Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket |
| US5564016A (en) * | 1993-12-17 | 1996-10-08 | International Business Machines Corporation | Method for controlling access to a computer resource based on a timing policy |
| US5495411A (en) * | 1993-12-22 | 1996-02-27 | Ananda; Mohan | Secure software rental system using continuous asynchronous password verification |
| US5491750A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
| US5524238A (en) * | 1994-03-23 | 1996-06-04 | Breakout I/O Corporation | User specific intelligent interface which intercepts and either replaces or passes commands to a data identity and the field accessed |
| US5553139A (en) * | 1994-04-04 | 1996-09-03 | Novell, Inc. | Method and apparatus for electronic license distribution |
| CA2143874C (en) * | 1994-04-25 | 2000-06-20 | Thomas Edward Cooper | Method and apparatus for enabling trial period use of software products: method and apparatus for utilizing a decryption stub |
| US5757907A (en) | 1994-04-25 | 1998-05-26 | International Business Machines Corporation | Method and apparatus for enabling trial period use of software products: method and apparatus for generating a machine-dependent identification |
| US5550981A (en) * | 1994-06-21 | 1996-08-27 | At&T Global Information Solutions Company | Dynamic binding of network identities to locally-meaningful identities in computer networks |
| US5557732A (en) * | 1994-08-11 | 1996-09-17 | International Business Machines Corporation | Method and apparatus for protecting software executing on a demonstration computer |
| US5604490A (en) * | 1994-09-09 | 1997-02-18 | International Business Machines Corporation | Method and system for providing a user access to multiple secured subsystems |
| US5668999A (en) * | 1994-12-20 | 1997-09-16 | Sun Microsystems, Inc. | System and method for pre-verification of stack usage in bytecode program loops |
| US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
| US5666501A (en) | 1995-03-30 | 1997-09-09 | International Business Machines Corporation | Method and apparatus for installing software |
| US5689708A (en) * | 1995-03-31 | 1997-11-18 | Showcase Corporation | Client/server computer systems having control of client-based application programs, and application-program control means therefor |
| US5592549A (en) * | 1995-06-15 | 1997-01-07 | Infosafe Systems, Inc. | Method and apparatus for retrieving selected information from a secure information source |
| US5774551A (en) * | 1995-08-07 | 1998-06-30 | Sun Microsystems, Inc. | Pluggable account management interface with unified login and logout and multiple user authentication services |
| US5657390A (en) * | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
| US5729734A (en) * | 1995-11-03 | 1998-03-17 | Apple Computer, Inc. | File privilege administration apparatus and methods |
| KR100307016B1 (ko) | 1995-11-14 | 2001-11-02 | 포만 제프리 엘 | 정보운용시스템및정보운용시스템용프로그램요소 |
| US5742757A (en) * | 1996-05-30 | 1998-04-21 | Mitsubishi Semiconductor America, Inc. | Automatic software license manager |
| EP0851628A1 (en) | 1996-12-23 | 1998-07-01 | ICO Services Ltd. | Key distribution for mobile network |
| US5740361A (en) * | 1996-06-03 | 1998-04-14 | Compuserve Incorporated | System for remote pass-phrase authentication |
| US5944791A (en) * | 1996-10-04 | 1999-08-31 | Contigo Software Llc | Collaborative web browser |
| GB2318486B (en) * | 1996-10-16 | 2001-03-28 | Ibm | Data communications system |
| US5974151A (en) * | 1996-11-01 | 1999-10-26 | Slavin; Keith R. | Public key cryptographic system having differential security levels |
| US6192473B1 (en) * | 1996-12-24 | 2001-02-20 | Pitney Bowes Inc. | System and method for mutual authentication and secure communications between a postage security device and a meter server |
| US6185685B1 (en) | 1997-12-11 | 2001-02-06 | International Business Machines Corporation | Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same |
| WO1999035783A1 (en) * | 1998-01-09 | 1999-07-15 | Cybersafe Corporation | Client side public key authentication method and apparatus with short-lived certificates |
| US6199113B1 (en) * | 1998-04-15 | 2001-03-06 | Sun Microsystems, Inc. | Apparatus and method for providing trusted network security |
| AU4089199A (en) | 1998-05-21 | 1999-12-06 | Equifax, Inc. | System and method for authentication of network users with preprocessing |
| MXPA01011969A (es) | 1999-05-21 | 2005-02-17 | Ibm | Metodo y aparato para iniciar comunicaciones seguras entre y exclusivamente para dispositivos inalambricos en pares. |
| US6289450B1 (en) | 1999-05-28 | 2001-09-11 | Authentica, Inc. | Information security architecture for encrypting documents for remote access while maintaining access control |
| US6760752B1 (en) * | 1999-06-28 | 2004-07-06 | Zix Corporation | Secure transmission system |
-
2001
- 2001-06-13 US US09/880,268 patent/US7100200B2/en not_active Expired - Lifetime
-
2002
- 2002-06-11 DE DE60217962T patent/DE60217962T2/de not_active Expired - Lifetime
- 2002-06-11 KR KR1020037016216A patent/KR100898843B1/ko active IP Right Grant
- 2002-06-11 JP JP2003504633A patent/JP2004535004A/ja active Pending
- 2002-06-11 AT AT02741946T patent/ATE353181T1/de not_active IP Right Cessation
- 2002-06-11 EP EP02741946A patent/EP1400089B1/en not_active Expired - Lifetime
- 2002-06-11 IL IL15929502A patent/IL159295A0/xx active IP Right Grant
- 2002-06-11 ES ES02741946T patent/ES2279871T3/es not_active Expired - Lifetime
- 2002-06-11 AU AU2002315013A patent/AU2002315013B2/en not_active Expired
- 2002-06-11 CA CA002450154A patent/CA2450154A1/en not_active Abandoned
- 2002-06-11 WO PCT/US2002/018295 patent/WO2002102023A1/en active IP Right Grant
-
2003
- 2003-12-10 IL IL159295A patent/IL159295A/en unknown
-
2004
- 2004-09-17 HK HK04107213A patent/HK1065193A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| AU2002315013B2 (en) | 2007-05-10 |
| AU2002315013B8 (en) | 2002-12-23 |
| JP2004535004A (ja) | 2004-11-18 |
| ATE353181T1 (de) | 2007-02-15 |
| IL159295A (en) | 2008-08-07 |
| DE60217962T2 (de) | 2007-10-25 |
| KR20040017230A (ko) | 2004-02-26 |
| CA2450154A1 (en) | 2002-12-19 |
| EP1400089B1 (en) | 2007-01-31 |
| IL159295A0 (en) | 2004-06-01 |
| US20020194473A1 (en) | 2002-12-19 |
| DE60217962D1 (de) | 2007-03-22 |
| AU2002315013B9 (en) | 2002-12-23 |
| HK1065193A1 (en) | 2005-02-08 |
| EP1400089A1 (en) | 2004-03-24 |
| US7100200B2 (en) | 2006-08-29 |
| KR100898843B1 (ko) | 2009-05-21 |
| WO2002102023A1 (en) | 2002-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2279871T3 (es) | Autenticacion de un usuario a traves de sesiones de comunicacion. | |
| JP4689830B2 (ja) | 無線システムのための申し込み登録方法、装置、無線装置及びホームシステム | |
| JP4222834B2 (ja) | 格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置 | |
| US9148420B2 (en) | Single sign-on process | |
| USRE45532E1 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| AU2002315013A1 (en) | Authentication of a user across communication sessions | |
| ES2706540T3 (es) | Sistema de credenciales de equipos de usuario | |
| ES2584862T3 (es) | Autenticación en comunicación de datos | |
| JP3863852B2 (ja) | 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 | |
| EP1724964A1 (en) | Encryption method for SIP message and encrypted SIP communication system | |
| EP2060051A2 (en) | Method and system for providing authentication service for internet users | |
| JPH088895A (ja) | インターネット手順のキー管理のための方法ならびにその装置 | |
| US8788821B2 (en) | Method and apparatus for securing communication between a mobile node and a network | |
| Peyravian et al. | Secure remote user access over insecure networks | |
| WO2007028328A1 (fr) | Procede, systeme et dispositif de negociation a propos d'une cle de chiffrement partagee par equipement utilisateur et equipement externe | |
| JP2003338814A (ja) | 通信システム、管理サーバおよびその制御方法ならびにプログラム | |
| JPH10340255A (ja) | ネットワーク利用者認証方式 | |
| WO2001011817A2 (en) | Network user authentication protocol | |
| KR20070062394A (ko) | 생체정보를 이용한 사용자 인증 방법 | |
| JPH10285155A (ja) | ユーザ認証方法 | |
| Lee | Secure authentication and accounting mechanism on WLAN with interaction of mobile message service |