ES2280553T3 - Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. - Google Patents

Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. Download PDF

Info

Publication number
ES2280553T3
ES2280553T3 ES02747453T ES02747453T ES2280553T3 ES 2280553 T3 ES2280553 T3 ES 2280553T3 ES 02747453 T ES02747453 T ES 02747453T ES 02747453 T ES02747453 T ES 02747453T ES 2280553 T3 ES2280553 T3 ES 2280553T3
Authority
ES
Spain
Prior art keywords
service
server
cap
authentication
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02747453T
Other languages
English (en)
Inventor
Hendrikus Johannes Maria Joosten
Derk Hiddo Hut
Geert Kleinhuis
Rene Van Buuren
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO
Original Assignee
Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO filed Critical Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO
Application granted granted Critical
Publication of ES2280553T3 publication Critical patent/ES2280553T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • General Factory Administration (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)

Abstract

Método para un proceso de servicios, para proporcionar un servicio a un cliente, que comprende las etapas siguientes: a. el cliente (C) establece una sesión segura con un proceso de autentificación (CAP) y envía un identificador del cliente y una petición de servicio, indicando qué servicio requiere; b. el proceso de autentificación (CAP) verifica el identificador del cliente y envía a un proceso de autorización (DAP) el identificador del cliente verificado y la petición de servicio; c. el proceso de autorización (DAP) comprueba si el servicio indicado en la petición de servicio puede, y es posible, que sea facilitado al cliente (C), y envía el resultado de la comprobación al proceso de autentificación (CAP) en forma de una petición de servicio autorizada, que incluye un periodo de validez; d. el proceso de autentificación (CAP) genera un distintivo que está asociado a la petición de servicio autorizada; e. a través de la sesión segura, el proceso de autentificación envía al cliente (C) ladirección del proceso de servicio afectado y el distintivo; f. el cliente contacta con el proceso de servicios (DP) y envía al proceso de servicios (DP) el distintivo recibido del proceso de autentificación (CAP); g. el proceso de servicios envía al proceso de autentificación (CAP) el distintivo recibido del cliente (C); h. el proceso de autentificación (CAP) recoge la petición de servicio autorizado asociada al distintivo, comprueba si el periodo de validez es correcto, y a continuación envía la petición de servicio autorizado al proceso de servicios (DP); i. a continuación, el proceso de servicios (DP) proporciona el servicio requerido por el cliente (C).

Description

Método y sistema para que un proceso de servicios proporcione un servicio a un cliente.
Antecedentes de la invención
La presente invención se refiere a un método o sistema para un proceso de servicios, para proporcionar un servicio a un cliente. El sector técnico al que pertenece la invención es la prestación de servicios a través de redes informáticas. La autentificación y la autorización de los clientes por parte de los servidores plantea un problema que en teoría ha sido "resuelto", pero que en la práctica es un problema persistente lleno de dificultades. El resultado práctico es que proporcionar un servicio seguro (es decir, autentificado y autorizado) ocurre raras veces en toda la red de Internet, y los usuarios tienen poca confianza en los servicios existentes.
Pueden identificarse numerosas causas de esta situación, incluyendo:
-
cuando un servicio utiliza el protocolo SSL para autentificar el cliente y para hacer que la prestación del servicio sea segura, SSL debe ser capaz de transportar ("tunelizar" o canalizar) el protocolo de prestación del servicio. Esto no es posible con protocolos basados en UDP. Los protocolos simples basados en UDP son DNS (Domain Name Service, ["Servicio de dominio de nombres"]), TFTP (Trivial File Transfer protocol, [Protocolo de transferencia de archivos trivial]), SNMP (Simple Network Management Protocol [Protocolo simple de gestión de red]), protocolo Syslog, etc. Unos ejemplos más complejos incluyen "streaming" ("transferencia de datos") de video y de audio (tales como RealAudio y RealVideo), protocolos de juegos para usuarios múltiples y similares.
-
cuando un servicio utiliza IPSEC, surge el problema siguiente. IPSEC establece una conexión segura ("canal de transporte") entre dos máquinas (ordenadores, "routers", (enrutadores), o combinaciones de los mismos), una de las cuales está separada de los servicios (clientes, servidores) que la utilizan. Diversos servicios pueden utilizar el mismo canal IPSEC. La utilización de la autentificación IPSEC como una autentificación del servicio es similar a una persona que acepta la autenticidad del remitente de una tarjeta postal porque el cartero es capaz de identificarse a sí mismo con medios de identificación. Aparte de esto, IPSEC es un protocolo mucho más difícil de trabajar con él que el SSL, tanto técnicamente como desde el punto de vista de la seguridad;
-
cuando se utiliza una combinación de IPSEC y SSL para los objetivos mencionados anteriormente, los datos transmitidos son criptografiados dos veces (una vez por IPSEC, una vez por SSL), lo cual reduce drásticamente la velocidad de transporte y hace más difícil poner en funcionamiento la conexión. Esto resulta inaceptable muy pronto, en particular para el transporte de datos en tiempo real (servicios multimedia);
-
cuando tienen lugar la autentificación y la autorización, éstas están entrelazadas hasta cierto punto con un servicio existente que causa mayores problemas, ya que el propio servicio resulta más amplio y más complejo.
Características de la invención
La invención se propone hacer posible:
1)
modificar de una forma sencilla los servicios existentes que realizan una pequeña autentificación/autoriza- ción, o que no realizan ninguna, de tal manera que entonces disponen de una poderosa autentificación/auto- rización;
2)
desarrollar nuevos servicios por medio de los cuales la parte de autentificación/autorización está separada de la parte de prestación del servicio actual.
La invención comprende componentes reutilizables para poner en práctica la autentificación y la autorización. La invención resuelve los problemas mencionados anteriormente mediante la separación de responsabilidades de los procesos. Se definirá un protocolo que indica como estas partes se comunican entre sí de una manera tal que un proveedor de servicios puede proporcionar su servicio a un cliente autentificado y autorizado.
En una realización preferente de la invención, pueden distinguirse cuatro procesos, es decir:
-
un cliente de un proceso, por ejemplo, un navegador estándar tal como Microsoft Internet Explorer, también denominado en adelante como "cliente". Este proceso está situado en el dominio de seguridad del usuario del servicio;
-
un proceso de autentificación, situado en el dominio de seguridad, tanto del proveedor del servicio como de una tercera parte fiable;
-
un proceso de autorización de servicios (DAP). Este proceso (el proceso actual de autorización donde se determina si un cierto servicio puede o no ser facilitado a un cierto cliente) está situado en el dominio de seguridad del proveedor de servicios;
-
un proceso de servicios (DP) situado en el dominio de seguridad del proveedor de servicios. De acuerdo con la invención, también puede ser utilizado un subconjunto (por lo menos, uno) de los procesos. El método según la reivindicación 1 consta de las siguientes etapas:
a.
el cliente establece una sesión segura, por ejemplo, una sesión SSL, para un proceso de autentificación y envía un identificador de cliente, por ejemplo, un certificado público en clave, X.509, y una petición de servicio indicando qué servicio se requiere;
b.
el proceso de autentificación verifica el identificador del cliente y envía a un proceso de autorización el identificador del cliente una vez verificado, preferentemente con una indicación del "grado de certeza" referente a la autenticidad del identificador del cliente y de la petición de servicio; esto permite que el proceso de autorización conozca: (1) qué servicio se está solicitando, (2) por quién, y (3) que tiene (preferentemente) un cierto grado de certeza (indicado, por ejemplo, mediante certificados de Clase I, II ó III) referentes a la identidad del cliente;
c.
el proceso de autorización comprueba si el servicio indicado en la petición de servicio puede ser suministrado al cliente, y si es posible, y devuelve el resultado de la comprobación al proceso de autentificación en forma de una petición de servicio autorizado, junto con un cierto periodo de validez; la petición de servicio autorizado representa la autorización para empezar a proporcionar el servicio al cliente, dentro del periodo de validez;
d.
el proceso de autentificación genera un distintivo y lo asocia a la autorización emitida en la etapa anterior (la petición de servicio autorizado);
e.
a continuación, el proceso de autentificación envía al cliente la dirección del proceso de servicio afectado y el distintivo, por ejemplo, por medio de una página HTML que contiene dicha dirección y el distintivo como un "hyperlink" (hiperenlace), por medio del cual el navegador del cliente es redirigido a la dirección (hiperenlace) del proceso de servicio;
f.
El cliente contacta con el proceso de servicio (por medio de la hiperenlace) y envía el distintivo recibido del proceso de autentificación (la sesión entre el cliente y el proceso de verificación puede ser finalizada);
g.
el proceso de servicio envía el distintivo recibido desde el cliente al proceso de autentificación;
h.
el proceso de autentificación recoge la petición de servicio autorizado ("autorización") asociada al distintivo, comprueba si el periodo de validez es correcto y envía la petición de servicio autorizado al proceso de servicios. Hay que tener en cuenta que esta situación es exactamente la misma que si no se hubiera producido la autentificación y la autorización, y el cliente del proceso hubiera enviado la petición de servicio directamente al proceso de servicios. Esto es debido a que el proceso del cliente inició la sesión entre el cliente y el proceso de servicios, y el protocolo utilizado es el mismo protocolo que el proceso de servicios hubiera utilizado en otros casos para este objeto;
i.
a continuación, el proceso de servicios proporciona el servicio requerido por el cliente.
El sistema, según la reivindicación 3, comprende los medios para ejecutar las etapas mencionadas anteriormente en el método. La invención descrita tiene las ventajas siguientes:
1)
la invención utiliza protocolos estándar;
2)
la invención únicamente necesita ser puesta en práctica en el lado del servidor (es decir, donde se han activado el proceso de autentificación, el proceso de autorización y el proceso de servicio). Los navegadores corrientes (tales como Microsoft Internet Explorer, Netscape Navigator y similares) pueden ser utilizados sin ninguna modificación en el lado del cliente;
3)
no se precisa un apoyo extra (tal como una oficina de ayuda) para los usuarios finales;
4)
cualquier servicio electrónico que (todavía) no realice una autentificación/autorización, puede utilizar la invención con modificaciones mínimas, sin tener en cuenta el protocolo que utiliza el servicio;
5)
la invención no utiliza sesiones establecidas mediante un servidor y, en consecuencia, (a) no requiere modificaciones especiales en los "firewalls" (protecciones), y (b) es utilizable asimismo si el cliente está situado en una red conectada a Internet a través de Network Address Translation (NAT), (Traducción de direcciones de red);
6)
la invención permite una separación sencilla de los procesos de trabajo y de los procesos operativos, mientras que las interconexiones entre los diferentes procesos son también muy simples. Esto hace que sea fácil evitar una situación en la que un servicio está creado como una entidad monolítica inflexible.
\vskip1.000000\baselineskip
Referencias
-
SSL (ftp://ds.internic.net/internet-drafts/draft-freler-ssl-version3-02.txt). Ésta es una versión de Internet de fecha 18 de Noviembre de 1996. El protocolo SSLv3 no ha sido normalizado formalmente, pero es el estándar de "facto". El protocolo ofrece privacidad y fiabilidad entre dos aplicaciones de comunicación (procesos). Permite que las aplicaciones cliente/servidor se comuniquen de una manera diseñada para impedir que terceras partes sean capaces de captar ilegalmente las comunicaciones, alterar mensajes o añadir mensajes. En el paquete de protocolos, SSL espera un protocolo de transporte fiable (por ejemplo, como TCP, pero no como UDP) por debajo de él.
-
IPSEC (http://www.ietf.org/rfc/rfc2401.txt). El objetivo de IPSEC es ofrecer diversos servicios de seguridad para el tráfico en la capa IP, tanto en el entorno IPv4 como en el IPv6. Aunque IPSEC puede formar parte de la seguridad del servicio, no es capaz de hacer seguro un servicio completo, debido a que IPSEC opera a nivel IP y debe ser posible garantizar la seguridad de los servicios incluso a niveles superiores;
-
existen asimismo sistemas cerrados para la autentificación/autorización. Ver, por ejemplo, RABO Bank para la banca electrónica, el sistema EasyPay de Shell, los Sellos postales digitales de PTT Post (Correos y Telégrafos) y similares. Los sistemas de este tipo tienen la desventaja que de que el cliente necesita equipos adicionales antes de poder utilizar los servicios.
La solicitud de patente WO/0069110 muestra un método en el cual el proceso de autentificación es realizado exteriormente a la prestación del servicio.
Puesta en práctica
La figura 1 muestra una puesta en práctica de la invención, en la que se representa un sistema con cuatro procesos, es decir cuatro módulos de hardware/software ("equipos/programas") (ordenadores, servidores, terminales. etc.) sobre los cuales funcionan los procesos y pueden ponerse en contacto entre sí a través de una red (tal como
Internet).
La figura 1 muestra un proceso de un cliente (C), puesto en práctica por medio de un navegador de la red tal como Microsoft Internet Explorer en el ordenador personal de un usuario, un proceso de autentificación del cliente (CAP), puesto en práctica mediante procedimientos de bibliotecas estándar, un proceso de autorización de servicio (DAP) y un Proceso de Servicio (DP) que puede proporcionar un servicio solicitado por el usuario por medio de su cliente (C). Cada proceso está incluido en un dominio de seguridad, es decir, una persona o un organismo gestionan el proceso y soportan las consecuencias de lo que el proceso realiza o no realiza. Por ejemplo, el proceso C está incluido en el dominio de seguridad del usuario, mientras que el CAP está incluido en el dominio de seguridad del proveedor de servicios (SP) afectado, o de una tercera parte fiable, mientras que DAP y DP están incluidos en el dominio de seguridad del proveedor de servicios.
En este contexto, debe entenderse que un "protocolo" es un método para permitir que dos procesos (ordenadores) se comuniquen entre sí. Estos pueden ser, por ejemplo, protocolos de Internet, pero asimismo pueden ser procedimientos de llamada (si los procesos funcionan en la misma máquina) u otros protocolos.
La puesta en práctica mostrada de la invención utiliza los siguientes protocolos de comunicación:
-
SSL (Secure Sockets Layer Protocol), ("Protocolo de capas o niveles de conectores seguros"), o TLS (Transport Layer Security Protocol) ("Protocolo de seguridad de capas de transporte"). Estos protocolos son bien conocidos y están bien documentados (ver referencias);
-
DSP (Domain Secure Protocol) ("Protocolo de dominio seguro"). Este no es un protocolo existente, sino un nombre para el "titular de un sitio" para cualquier protocolo que (1) o bien facilita la comunicación entre dos procesos dentro de un único dominio de seguridad, y (2) ha sido denominado por el administrador de dicho dominio de seguridad como "seguro" para ser utilizado dentro de este dominio de seguridad, o (1) proporciona comunicación entre un proceso en el dominio de seguridad de un TTP y un proceso en el dominio de seguridad del proveedor de servicios afectado, y (2) ha sido denominado por los administradores de estos dominios de seguridad como "seguro" para ser utilizado dentro de estos dominios de seguridad;
-
DSP1, un protocolo DSP utilizado entre los procesos CAP y DAP;
-
DSP2, un protocolo DSP utilizado entre los procesos CAP y DP;
-
AP (Application Protocol) ("Protocolo de aplicación"). Este no es un protocolo existente, sino un nombre para el "titular de un sitio" para el protocolo entre el proceso del cliente (C) y el proceso de servicio (DP). Este protocolo debe satisfacer los requisitos de seguridad (y otros requisitos) establecidos por el proveedor de servicios para el protocolo.
\global\parskip0.930000\baselineskip
El procedimiento es el siguiente:
-
se establece una conexión entre los procesos C y CAP. Esta conexión utiliza el protocolo SSL o el TLS. El protocolo está establecido de tal modo que durante el establecimiento de esta conexión:
(a)
C autentifica el CAP en base a un certificado del servidor que debe ser enviado mediante el CAP, que ha sido emitido por una parte conocida de C ("Tercera parte de confianza");
(b)
El CAP envía a C una lista de emisores de certificados de cliente aceptados por CAP. Para cada tipo de certificado y de emisor, el CAP dispone además del grado de certeza aplicado por el proveedor de servicios para la autentificación de certificados de dicho tipo y emisor.
-
CAP inicia una conexión entre CAP y DAP, utilizando el protocolo DSP1 (ver anteriormente).
-
C inicia una conexión entre C y DP, utilizando el protocolo AP (ver anteriormente).
-
se establece una conexión entre el proceso de servicio DP y el CAP. Este proceso utiliza el protocolo DSP2 (ver anteriormente). DP o CAP pueden establecer esta conexión. La invención da por supuesta la existencia de un "contrato" (electrónico) entre usuarios y proveedores de servicios, que especifica qué servicios puede facilitar el DP al usuario y en qué condiciones. Estas condiciones pueden imponer posiblemente requisitos referentes al tipo de certificado que un cliente puede presentar para su autentificación, parámetros que pueden influir en el servicio, el importe que el proveedor del servicio exige de C para proporcionar el servicio requerido, etc. Las peticiones de servicio mencionadas anteriormente consisten en un conjunto de parámetros de servicio y adoptan la forma de una lista de parámetros que puede ser añadida a una URL. Cuando se hace referencia a una "autorización", esta expresión comprende (1) la identidad del usuario (a través del cliente C) para el cual se pretende la autorización, (2) una petición de servicio para la cual se emitió la autorización, (3) un intervalo de validez (es decir, un intervalo de tiempo dentro del cual la autorización es válida), y (4) una dirección IP desde la cual se solicitó la autorización. La petición de servicio adopta la forma de una lista de parámetros añadida a una URL. La autorización posee además la característica de que el proveedor del servicio (SP) tiene un grado de certeza suficiente de que el cliente para el cual se creó la autorización es capaz de obtener acceso al servicio dentro del intervalo de validez.
El "distintivo" al cual se ha hecho referencia anteriormente, consiste en una serie de bits que el CAP crea en base a una autorización, de tal manera que el distintivo posee las características siguientes:
(a)
el CAP puede reproducir la autorización (que tiene como resultado la creación del distintivo) en base al distintivo, por lo menos durante el intervalo de tiempo dentro del cual la autorización es válida;
(b)
el distintivo es válido para dicho tiempo durante el cual la autorización es válida;
(c)
el riesgo de que una tercera parte sea capaz de acertar un distintivo válido es tan pequeño que es despreciable (por ejemplo, inferior a 2-50);
(d)
dos o más autorizaciones diferentes (válidas) están asociadas de manera no simultánea con el único y el mismo distintivo. A medida que el CAP crea y también interpreta el distintivo, el CAP es capaz de decidir los datos incluidos en el distintivo. El tamaño del distintivo está limitado (no en teoría, pero probablemente si en la práctica) por medio de:
-
el tamaño del URL del DP;
-
el conjunto de caracteres (ASCII) permisible para el distintivo, y
-
la longitud máxima de la URL permitida por el navegador del cliente.
La información segura no válida (o parte de la misma) de una autorización convertida a ASCII, podría ser un buen distintivo. El diagrama de la figura 2 ilustra como funciona el sistema presentado:
[1]
el usuario navega hasta el servicio requerido entrando en la dirección (URL) (por ejemplo, www.service.com) en el navegador (cliente), lo que hace que el navegador C establezca una conexión SSL con el servidor CAP afectado, por medio del cual el cliente C y el servidor CAP se autentifican uno al otro (ver anteriormente en "establecimiento de una conexión SSL/TLS"). Como resultado de esta acción, el CAP tiene a su disposición la identidad del usuario C (ID), el certificado de clave pública de C contra el cual se comprobó la ID, "Alvl" (que es un parámetro que indica hasta que punto el proveedor del servicio confía en esta comprobación), y la dirección IP (IP) desde la cual C estableció la conexión.
\global\parskip0.990000\baselineskip
[2]
C envía una petición de servicio "sreq" al CAP (a través de la conexión SSL acabada de establecer).
[3]
CAP envía la "sreq", ID, Alvl e IP al proceso DAP (utilizando el protocolo DSP1).
[4]
si DAP determina que el usuario C no está autorizado para el servicio requerido por C (por ejemplo, porque la prestación del servicio requerido no está definida mediante un contrato), el protocolo finalizará. Si DAP determina que existe un derecho al servicio, DAP establecerá una petición alternativa de servicio que (a) está amparada mediante un contrato y (b) se parece a la "sreq" tan estrechamente como sea posible. El DAP determina además un intervalo de tiempo TI (intervalo de validez) dentro del cual debe empezar la prestación del servicio.
[5]
El DAP envía una autorización (que comprende "sreq'", TI, ID e IP) al CAP (utilizando el protocolo DSP1).
[5]
El DAP envía una autorización A (que consiste en "sreq'", TI, Id e IP) al CAP (utilizando el protocolo DSP1).
[6]
El CAP crea un distintivo basado en la autorización (A) facilitada mediante DAP, con todas las propiedades de un distintivo (ver anteriormente).
[7]
El CAP envía al cliente (en la sesión SSL ya establecida), una página HTML que contiene una hiperenlace con el servidor DP, incluyendo dicha hiperenlace el distintivo como un parámetro, ocurriendo todo ello de una forma tal que el navegador cambia a esta hiperenlace después de un tiempo de espera de cero segundos. Esta acción finaliza la sesión SSL entre C y CAP (el protocolo inventado todavía no termina).
[8]
mediante la interpretación de esta página HTML, el navegador del cliente establece una sesión con el servidor DP, de acuerdo con el protocolo CAP especificado en la hiperenlace. Asimismo, el distintivo es enviado al DP por medio de este protocolo.
[9]
DP envía el distintivo a CAP, así como la dirección IP del cliente (IP) que inició la sesión (utilizando el protocolo DSP 2).
[10]
CAP comprueba si una autorización válida acompaña al distintivo. Si este no es el caso, el protocolo finalizará. Asimismo, CAP averiguará si:
-
IP es la misma que la dirección IP (IP) indicada en la autorización;
-
el tiempo actual está comprendido dentro del intervalo de tiempo TI indicado en la autorización.
\vskip1.000000\baselineskip
Si cualquiera de estos puntos es incorrecto, el protocolo finaliza.
[11]
CAP envía al DP la petición de servicio (sreq) indicada en la autorización (utilizando el protocolo DSP2).
[12]
DP empieza a proporcionar a continuación el servicio a C, de acuerdo con la petición de servicio, utilizando el protocolo AP, y de manera simultánea finaliza el protocolo inventado.
\vskip1.000000\baselineskip
Es necesario realizar los comentarios siguientes:
1.
Si un proceso está situado en el dominio de seguridad de una persona legal, significa que la persona legal es responsable de los aspectos de seguridad del proceso (es decir, gestiona la seguridad de este proceso y soporta las consecuencias de lo que el proceso realiza o no realiza, involuntariamente o de otro modo, en lo que se refiere a la seguridad).
2.
El "grado de certeza" "Alvl" indica cuánta confianza tiene el negocio en la declaración de que "el cliente es llamado ID". Después de todo, esta confianza puede depender del grado hasta el cual el emisor del certificado comprobó la identidad, y esta circunstancia es diferente en el caso, por ejemplo, de los certificados de Clase I, II y III.
3.
Aunque el estándar se refiere a los emisores de certificados, la situación en la práctica es que un emisor de certificado puede emitir varios tipos de certificados (por ejemplo, certificados de Clase I, II y III), con lo cual las condiciones en las cuales se emite un tipo de certificado difieren de las adjuntas a un tipo de certificado diferente. En consecuencia, la confianza que un proveedor de servicios tiene en los diferentes tipos de certificados puede diferir, y cada tipo de certificado debe tener un "grado de certeza" "Alvl". Sin embargo, el "nombre distinguido" del emisor, tal como sucede en el certificado, es utilizado asimismo para indicar estos tipos de certificados. Por consiguiente, es posible que en este caso sea suficiente enviar una lista de emisores de certificados.

Claims (4)

1. Método para un proceso de servicios, para proporcionar un servicio a un cliente, que comprende las etapas siguientes:
a.
el cliente (C) establece una sesión segura con un proceso de autentificación (CAP) y envía un identificador del cliente y una petición de servicio, indicando qué servicio requiere;
b.
el proceso de autentificación (CAP) verifica el identificador del cliente y envía a un proceso de autorización (DAP) el identificador del cliente verificado y la petición de servicio;
c.
el proceso de autorización (DAP) comprueba si el servicio indicado en la petición de servicio puede, y es posible, que sea facilitado al cliente (C), y envía el resultado de la comprobación al proceso de autentificación (CAP) en forma de una petición de servicio autorizada, que incluye un periodo de validez;
d.
el proceso de autentificación (CAP) genera un distintivo que está asociado a la petición de servicio autorizada;
e.
a través de la sesión segura, el proceso de autentificación envía al cliente (C) la dirección del proceso de servicio afectado y el distintivo;
f.
el cliente contacta con el proceso de servicios (DP) y envía al proceso de servicios (DP) el distintivo recibido del proceso de autentificación (CAP);
g.
el proceso de servicios envía al proceso de autentificación (CAP) el distintivo recibido del cliente (C);
h.
el proceso de autentificación (CAP) recoge la petición de servicio autorizado asociada al distintivo, comprueba si el periodo de validez es correcto, y a continuación envía la petición de servicio autorizado al proceso de servicios (DP);
i.
a continuación, el proceso de servicios (DP) proporciona el servicio requerido por el cliente (C).
2. Método, según la reivindicación 1, con la característica de que el proceso de autentificación (CAP) en la etapa descrita anteriormente en b., envía al proceso de autorización (DAP), además del identificador del cliente verificado, una indicación del "grado de certeza" con referencia a la autenticidad del identificador del cliente.
3. Sistema, para un servidor de servicios, para proporcionar un servicio a un cliente, comprendiendo el sistema un cliente (C), un servidor de autentificación (CAP), un servidor de autorización (DAP) y un servidor de servicios (DP), por medio del cual:
a.
el cliente (C) incluye medios para establecer una sesión segura con un servidor de autentificación (CAP) y para enviar a dicho servidor de autentificación (CAP) un identificador del cliente y una petición de servicio indicando qué servicio se requiere;
b.
el servidor de autentificación (CAP) incluye medios para verificar el identificador del cliente, recibido del cliente (C), y para enviar el identificador verificado del cliente y la petición de servicio a un servidor de autorización (DAP);
c.
el servidor de autorización (DAP) incluye medios para comprobar si el servicio indicado en la petición de servicio puede, y es posible, que sea facilitada al cliente (C), y medios para devolver al servidor de autentificación (CAP) el resultado de la comprobación en forma de una petición de servicio autorizada, provista de un periodo de validez determinado por el servidor de la autorización (DAP);
d.
el servidor de autentificación (CAP) incluye medios para generar un distintivo asociado a la petición de servicio autorizada;
e.
el servidor de autentificación (CAP) incluye medios para enviar al cliente (C), a través de la sesión segura, la dirección del servidor del servicio pertinente (DP) y el distintivo;
f.
el cliente (C) incluye medios para enviar al servidor de servicios (DP) el distintivo recibido;
g.
el servidor de servicios (DP) incluye medios para enviar al servidor de autentificación (CAP) el distintivo recibido del cliente;
h.
el servidor de autentificación (CAP) incluye medios para recoger la petición de servicio autorizada, asociada al distintivo, comprobando si el periodo de validez es correcto, y enviando a continuación la petición de servicio autorizado al servidor de servicios (DP);
i.
el servidor de servicios (DP) incluye medios para suministrar posteriormente el servicio requerido al cliente (C).
4. Sistema según la reivindicación 3, con la característica de que el servidor de autentificación (CAP), además de incluir los medios mencionados anteriormente en b. para verificar el identificador del cliente, recibido del cliente (C), y enviar el identificador del cliente una vez verificado y la petición de servicio a un servidor de autorización (DAP), incluye además medios para calcular una indicación del "grado de certeza" referente a la autenticidad del identificador del cliente y para enviar dicha indicación al servidor de autorización (DAP).
ES02747453T 2001-07-09 2002-06-27 Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. Expired - Lifetime ES2280553T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1018494A NL1018494C2 (nl) 2001-07-09 2001-07-09 Methode en systeem voor het door een dienstproces aan een client leveren van een dienst.
NL1018494 2001-07-09

Publications (1)

Publication Number Publication Date
ES2280553T3 true ES2280553T3 (es) 2007-09-16

Family

ID=19773693

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02747453T Expired - Lifetime ES2280553T3 (es) 2001-07-09 2002-06-27 Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente.

Country Status (7)

Country Link
US (1) US7565554B2 (es)
EP (1) EP1405490B1 (es)
AT (1) ATE353515T1 (es)
DE (1) DE60218042T2 (es)
ES (1) ES2280553T3 (es)
NL (1) NL1018494C2 (es)
WO (1) WO2003007571A1 (es)

Families Citing this family (114)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2826811B1 (fr) * 2001-06-27 2003-11-07 France Telecom Procede d'authentification cryptographique
US7707066B2 (en) * 2002-05-15 2010-04-27 Navio Systems, Inc. Methods of facilitating merchant transactions using a computerized system including a set of titles
US7814025B2 (en) * 2002-05-15 2010-10-12 Navio Systems, Inc. Methods and apparatus for title protocol, authentication, and sharing
US7707121B1 (en) 2002-05-15 2010-04-27 Navio Systems, Inc. Methods and apparatus for title structure and management
CN1701561B (zh) * 2003-07-11 2010-05-05 日本电信电话株式会社 基于地址的验证系统及其装置和程序
WO2005015870A1 (en) * 2003-08-01 2005-02-17 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for routing a service request
CN100499536C (zh) * 2003-10-22 2009-06-10 华为技术有限公司 无线局域网中选定业务的解析接入处理方法
US7783891B2 (en) * 2004-02-25 2010-08-24 Microsoft Corporation System and method facilitating secure credential management
US7721340B2 (en) 2004-06-12 2010-05-18 Microsoft Corporation Registry protection
US7584509B2 (en) 2004-06-12 2009-09-01 Microsoft Corporation Inhibiting software tampering
KR101203245B1 (ko) 2004-06-12 2012-11-20 마이크로소프트 코포레이션 소프트웨어 보안
US8296562B2 (en) 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
EP1766839B1 (en) 2004-07-15 2013-03-06 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
US7676834B2 (en) 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US8528078B2 (en) 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
JP2006054656A (ja) * 2004-08-11 2006-02-23 Nec Corp Ptt通信システム、ptt通信方法、ptt通信サーバ
JP2006086907A (ja) * 2004-09-17 2006-03-30 Fujitsu Ltd 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
US8213034B2 (en) 2004-10-08 2012-07-03 Sharp Laboratories Of America, Inc. Methods and systems for providing remote file structure access on an imaging device
US8001586B2 (en) 2004-10-08 2011-08-16 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential management and authentication
US8024792B2 (en) 2004-10-08 2011-09-20 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential submission
US8060930B2 (en) 2004-10-08 2011-11-15 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential receipt and authentication
US8006293B2 (en) * 2004-10-08 2011-08-23 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential acceptance
US8120799B2 (en) 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for accessing remote, descriptor-related data at an imaging device
US8032579B2 (en) 2004-10-08 2011-10-04 Sharp Laboratories Of America, Inc. Methods and systems for obtaining imaging device notification access control
US8018610B2 (en) 2004-10-08 2011-09-13 Sharp Laboratories Of America, Inc. Methods and systems for imaging device remote application interaction
US8060921B2 (en) * 2004-10-08 2011-11-15 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential authentication and communication
US8049677B2 (en) 2004-10-08 2011-11-01 Sharp Laboratories Of America, Inc. Methods and systems for imaging device display element localization
US7920101B2 (en) 2004-10-08 2011-04-05 Sharp Laboratories Of America, Inc. Methods and systems for imaging device display standardization
US8384925B2 (en) 2004-10-08 2013-02-26 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting data management
US7870185B2 (en) * 2004-10-08 2011-01-11 Sharp Laboratories Of America, Inc. Methods and systems for imaging device event notification administration
US8171404B2 (en) 2004-10-08 2012-05-01 Sharp Laboratories Of America, Inc. Methods and systems for disassembly and reassembly of examination documents
US8006292B2 (en) * 2004-10-08 2011-08-23 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential submission and consolidation
US8115946B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and sytems for imaging device job definition
US8051125B2 (en) 2004-10-08 2011-11-01 Sharp Laboratories Of America, Inc. Methods and systems for obtaining imaging device event notification subscription
US8006176B2 (en) * 2004-10-08 2011-08-23 Sharp Laboratories Of America, Inc. Methods and systems for imaging-device-based form field management
US8115944B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for local configuration-based imaging device accounting
US7978618B2 (en) 2004-10-08 2011-07-12 Sharp Laboratories Of America, Inc. Methods and systems for user interface customization
US8065384B2 (en) 2004-10-08 2011-11-22 Sharp Laboratories Of America, Inc. Methods and systems for imaging device event notification subscription
US8125666B2 (en) 2004-10-08 2012-02-28 Sharp Laboratories Of America, Inc. Methods and systems for imaging device document management
US8115945B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for imaging device job configuration management
US8051140B2 (en) 2004-10-08 2011-11-01 Sharp Laboratories Of America, Inc. Methods and systems for imaging device control
US8001183B2 (en) 2004-10-08 2011-08-16 Sharp Laboratories Of America, Inc. Methods and systems for imaging device related event notification
US8156424B2 (en) 2004-10-08 2012-04-10 Sharp Laboratories Of America, Inc. Methods and systems for imaging device dynamic document creation and organization
US8120793B2 (en) * 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for displaying content on an imaging device
US7970813B2 (en) 2004-10-08 2011-06-28 Sharp Laboratories Of America, Inc. Methods and systems for imaging device event notification administration and subscription
US8115947B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for providing remote, descriptor-related data to an imaging device
US8230328B2 (en) 2004-10-08 2012-07-24 Sharp Laboratories Of America, Inc. Methods and systems for distributing localized display elements to an imaging device
US7934217B2 (en) 2004-10-08 2011-04-26 Sharp Laboratories Of America, Inc. Methods and systems for providing remote file structure access to an imaging device
US7873718B2 (en) 2004-10-08 2011-01-18 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting server recovery
US8237946B2 (en) 2004-10-08 2012-08-07 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting server redundancy
US8001587B2 (en) * 2004-10-08 2011-08-16 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential management
US8015234B2 (en) 2004-10-08 2011-09-06 Sharp Laboratories Of America, Inc. Methods and systems for administering imaging device notification access control
US8023130B2 (en) 2004-10-08 2011-09-20 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting data maintenance
US8032608B2 (en) 2004-10-08 2011-10-04 Sharp Laboratories Of America, Inc. Methods and systems for imaging device notification access control
US8120797B2 (en) * 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for transmitting content to an imaging device
US8035831B2 (en) 2004-10-08 2011-10-11 Sharp Laboratories Of America, Inc. Methods and systems for imaging device remote form management
US7873553B2 (en) 2004-10-08 2011-01-18 Sharp Laboratories Of America, Inc. Methods and systems for authorizing imaging device concurrent account use
US7969596B2 (en) 2004-10-08 2011-06-28 Sharp Laboratories Of America, Inc. Methods and systems for imaging device document translation
US7624433B1 (en) * 2005-02-24 2009-11-24 Intuit Inc. Keyfob for use with multiple authentication entities
US8428484B2 (en) 2005-03-04 2013-04-23 Sharp Laboratories Of America, Inc. Methods and systems for peripheral accounting
CN100583761C (zh) * 2005-05-16 2010-01-20 联想(北京)有限公司 一种统一认证的实现方法
US8213412B2 (en) * 2005-09-29 2012-07-03 Comcast Cable Holdings, Llc System and method for providing multimedia services utilizing a local proxy
US7996682B2 (en) * 2005-10-17 2011-08-09 Microsoft Corporation Secure prompting
EP1788773A1 (en) * 2005-11-18 2007-05-23 Alcatel Lucent Method and apparatuses to request delivery of a media asset and to establish a token in advance
US8099508B2 (en) * 2005-12-16 2012-01-17 Comcast Cable Holdings, Llc Method of using tokens and policy descriptors for dynamic on demand session management
FR2895632A1 (fr) * 2005-12-22 2007-06-29 Gemplus Sa Controle d'acces a des services en mode multidiffusion dans un dispositif terminal
US9177338B2 (en) 2005-12-29 2015-11-03 Oncircle, Inc. Software, systems, and methods for processing digital bearer instruments
EP1977381A4 (en) 2005-12-29 2014-01-01 Oncircle Inc SOFTWARE, SYSTEMS AND METHOD FOR PROCESSING DIGITAL CARRIER INSTRUMENTS
US20070250711A1 (en) * 2006-04-25 2007-10-25 Phonified Llc System and method for presenting and inputting information on a mobile device
WO2007130416A2 (en) 2006-04-29 2007-11-15 Navio Systems, Inc. Title-enabled networking
DE102006022710A1 (de) * 2006-05-12 2007-11-15 Heidelberger Druckmaschinen Ag Serviceplattform zur Wartung von Maschinen
JP4882546B2 (ja) * 2006-06-28 2012-02-22 富士ゼロックス株式会社 情報処理システムおよび制御プログラム
US20080072053A1 (en) * 2006-09-15 2008-03-20 Halim Budi S Web-based authentication system and method
US8345272B2 (en) 2006-09-28 2013-01-01 Sharp Laboratories Of America, Inc. Methods and systems for third-party control of remote imaging jobs
US20080082626A1 (en) * 2006-09-29 2008-04-03 Microsoft Corporation Typed authorization data
US10380621B2 (en) 2006-11-15 2019-08-13 Api Market, Inc. Title-acceptance and processing architecture
JP5579073B2 (ja) * 2007-11-16 2014-08-27 トムソン ライセンシング ストリーミング・メディアのセッション管理を行なうシステムおよび方法
US9137018B2 (en) * 2007-12-19 2015-09-15 The Directv Group, Inc. Method and system for providing a generic program guide data from a primary content provider to a user network device through a partner service provider
US8453251B2 (en) * 2007-12-19 2013-05-28 The Directv Group, Inc. Method and system for securely communicating between a user network device, a primary service provider and a partner service provider
US8621646B2 (en) * 2007-12-19 2013-12-31 The Directv Group, Inc. Method and system for authenticating a user receiving device into a primary service provider system to communicate with a partner service provider
US8533852B2 (en) * 2007-12-19 2013-09-10 The Directv Group, Inc. Method and system for securely communicating between a primary service provider and a partner service provider
US20090183246A1 (en) * 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
US8132238B2 (en) 2008-05-13 2012-03-06 Ebay Inc. System and method for identity authentication for service access without use of stored credentials
DE102008024783A1 (de) * 2008-05-23 2009-12-10 RUHR-UNIVERSITäT BOCHUM Sichere, browser-basierte Einmalanmeldung mit Clientzertifikaten
US9258286B1 (en) 2008-07-30 2016-02-09 United Services Automobile Association (Usaa) Systems and methods for communications channel authentication
US9479509B2 (en) 2009-11-06 2016-10-25 Red Hat, Inc. Unified system for authentication and authorization
US8972346B2 (en) * 2009-12-11 2015-03-03 International Business Machines Corporation Method and system for minimizing synchronization efforts of parallel database systems
US8474009B2 (en) 2010-05-26 2013-06-25 Novell, Inc. Dynamic service access
US9111079B2 (en) 2010-09-30 2015-08-18 Microsoft Technology Licensing, Llc Trustworthy device claims as a service
US9794239B1 (en) * 2011-02-18 2017-10-17 The Directv Group, Inc. Method and system for authenticating service providers to communicate with a primary service provider
US9854308B1 (en) 2011-02-18 2017-12-26 The Directv Group, Inc. Method and system for authorizing user devices to communicate with a primary service provider using a limited number of streams
US9838727B1 (en) 2011-02-18 2017-12-05 The Directv Group, Inc. Method and system for discovering an identity provider
WO2013019519A1 (en) 2011-08-02 2013-02-07 Rights Over Ip, Llc Rights-based system
US9131370B2 (en) 2011-12-29 2015-09-08 Mcafee, Inc. Simplified mobile communication device
US8819445B2 (en) * 2012-04-09 2014-08-26 Mcafee, Inc. Wireless token authentication
US9262592B2 (en) 2012-04-09 2016-02-16 Mcafee, Inc. Wireless storage device
US20130268687A1 (en) 2012-04-09 2013-10-10 Mcafee, Inc. Wireless token device
US9547761B2 (en) 2012-04-09 2017-01-17 Mcafee, Inc. Wireless token device
US8904528B2 (en) 2013-03-15 2014-12-02 Elemica, Inc. Method and apparatus for translation of business messages
US9224135B2 (en) 2013-03-15 2015-12-29 Elemica, Inc. Method and apparatus for adaptive configuration for translation of business messages
US9443229B2 (en) 2013-03-15 2016-09-13 Elemica, Inc. Supply chain message management and shipment constraint optimization
US9760501B2 (en) 2014-11-05 2017-09-12 Google Inc. In-field smart device updates
US20160128104A1 (en) * 2014-11-05 2016-05-05 Google Inc. In-field smart device updates
FR3032847A1 (fr) * 2015-02-13 2016-08-19 Orange Technique de connexion a un service
US10511587B2 (en) * 2015-06-11 2019-12-17 Siemens Aktiengesellschaft Authorization apparatus and method for an authorized issuing of an authentication token for a device
US9621355B1 (en) * 2015-10-01 2017-04-11 Cisco Technology, Inc. Securely authorizing client applications on devices to hosted services
CN106790331B (zh) * 2015-11-23 2020-07-03 腾讯科技(深圳)有限公司 一种业务接入方法、系统及相关装置
JP2017228145A (ja) * 2016-06-23 2017-12-28 株式会社リコー 認証システム、通信システム、認証認可方法、及びプログラム
US10686886B2 (en) * 2016-10-19 2020-06-16 Mirosoft Technology Licensing, LLC Establishing secure sessions for stateful cloud services
EP3334115B1 (en) 2016-12-07 2019-10-09 Swisscom AG User authentication based on token
US10616211B2 (en) * 2017-04-12 2020-04-07 Cisco Technology, Inc. System and method for authenticating clients
US11171958B1 (en) 2018-07-10 2021-11-09 United Services Automobile Association (Usaa) Secure session sharing between computing devices
US11032270B1 (en) * 2020-04-07 2021-06-08 Cyberark Software Ltd. Secure provisioning and validation of access tokens in network environments

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) * 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
JPH10327147A (ja) * 1997-05-21 1998-12-08 Hitachi Ltd 電子認証公証方法およびシステム
CA2295150A1 (en) * 1997-06-26 1999-01-07 Michael John Kenning Data communications
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6370139B2 (en) * 1997-10-24 2002-04-09 Tranz-Send Broadcasting Network, Inc. System and method for providing information dispersal in a networked computing environment
US6393411B1 (en) * 1998-07-21 2002-05-21 Amdahl Corporation Device and method for authorized funds transfer
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
US6691232B1 (en) * 1999-08-05 2004-02-10 Sun Microsystems, Inc. Security architecture with environment sensitive credential sufficiency evaluation
FI108184B (fi) * 1999-10-12 2001-11-30 Sonera Oyj Palvelun pääsynvalvonta
AU2001251701A1 (en) * 2000-02-25 2001-09-03 Identix Incorporated Secure transaction system
US20010045451A1 (en) * 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
US20020031230A1 (en) * 2000-08-15 2002-03-14 Sweet William B. Method and apparatus for a web-based application service model for security management
US20020078352A1 (en) * 2000-12-15 2002-06-20 International Business Machines Corporation Secure communication by modification of security codes
US20020129261A1 (en) * 2001-03-08 2002-09-12 Cromer Daryl Carvis Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens
US7657639B2 (en) * 2006-07-21 2010-02-02 International Business Machines Corporation Method and system for identity provider migration using federated single-sign-on operation

Also Published As

Publication number Publication date
NL1018494C2 (nl) 2003-01-10
DE60218042T2 (de) 2007-11-08
WO2003007571A1 (en) 2003-01-23
US7565554B2 (en) 2009-07-21
DE60218042D1 (de) 2007-03-22
EP1405490A1 (en) 2004-04-07
US20040221045A1 (en) 2004-11-04
ATE353515T1 (de) 2007-02-15
EP1405490B1 (en) 2007-02-07

Similar Documents

Publication Publication Date Title
ES2280553T3 (es) Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente.
US8621033B2 (en) Method for identifying internet users
JP5047291B2 (ja) インターネットユーザに対して認証サービスを提供するための方法およびシステム
ES2308048T3 (es) Cortafuegos personal remoto.
FI115098B (fi) Todentaminen dataviestinnässä
ES2397063T3 (es) Autenticación para protocolos de aplicación IP basados en procedimientos IMS del 3GPP
JP2008511232A (ja) 制御認証のためのパーソナルトークンおよび方法
US20090210712A1 (en) Method for server-side detection of man-in-the-middle attacks
US20040236965A1 (en) System for cryptographical authentication
BRPI0408069B1 (pt) métodos para uma autenticação mútua entre um usuário e uma rede de comunicações e para permitir a um usuário verificar a confiabilidade de uma rede de comunicações
US10277586B1 (en) Mobile authentication with URL-redirect
KR20080047503A (ko) 통신 시스템에 인증서를 배분하는 방법
JP2009514256A (ja) 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法
Hartman et al. A GSS-API mechanism for the extensible authentication protocol
ES2631578T3 (es) Métodos y aparatos para evitar daños en ataques de red
CN101304318A (zh) 安全的网络认证系统和方法
JP2007181123A (ja) デジタル証明書交換方法、端末装置、及びプログラム
ES2300792T3 (es) Metodo para distribuir claves de acceso (passwords).
US20040133499A1 (en) Method for paying paid offers made on a network
GB2378104A (en) Authentification for computer networks using a hybrid protocol and digital certificate
JP4608246B2 (ja) 匿名通信方法
Reid Plugging the holes in host-based authentication
Lear et al. A simple authentication and security layer (SASL) and generic security service application program interface (GSS-API) mechanism for OpenID
Jeelani An insight of ssl security attacks
KR20030065100A (ko) 무선 인터넷에서의 티켓 기반 인증 및 지불 방법