ES2280553T3 - Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. - Google Patents
Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. Download PDFInfo
- Publication number
- ES2280553T3 ES2280553T3 ES02747453T ES02747453T ES2280553T3 ES 2280553 T3 ES2280553 T3 ES 2280553T3 ES 02747453 T ES02747453 T ES 02747453T ES 02747453 T ES02747453 T ES 02747453T ES 2280553 T3 ES2280553 T3 ES 2280553T3
- Authority
- ES
- Spain
- Prior art keywords
- service
- server
- cap
- authentication
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- General Factory Administration (AREA)
- Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
Abstract
Método para un proceso de servicios, para proporcionar un servicio a un cliente, que comprende las etapas siguientes: a. el cliente (C) establece una sesión segura con un proceso de autentificación (CAP) y envía un identificador del cliente y una petición de servicio, indicando qué servicio requiere; b. el proceso de autentificación (CAP) verifica el identificador del cliente y envía a un proceso de autorización (DAP) el identificador del cliente verificado y la petición de servicio; c. el proceso de autorización (DAP) comprueba si el servicio indicado en la petición de servicio puede, y es posible, que sea facilitado al cliente (C), y envía el resultado de la comprobación al proceso de autentificación (CAP) en forma de una petición de servicio autorizada, que incluye un periodo de validez; d. el proceso de autentificación (CAP) genera un distintivo que está asociado a la petición de servicio autorizada; e. a través de la sesión segura, el proceso de autentificación envía al cliente (C) ladirección del proceso de servicio afectado y el distintivo; f. el cliente contacta con el proceso de servicios (DP) y envía al proceso de servicios (DP) el distintivo recibido del proceso de autentificación (CAP); g. el proceso de servicios envía al proceso de autentificación (CAP) el distintivo recibido del cliente (C); h. el proceso de autentificación (CAP) recoge la petición de servicio autorizado asociada al distintivo, comprueba si el periodo de validez es correcto, y a continuación envía la petición de servicio autorizado al proceso de servicios (DP); i. a continuación, el proceso de servicios (DP) proporciona el servicio requerido por el cliente (C).
Description
Método y sistema para que un proceso de
servicios proporcione un servicio a un cliente.
La presente invención se refiere a un método o
sistema para un proceso de servicios, para proporcionar un servicio
a un cliente. El sector técnico al que pertenece la invención es la
prestación de servicios a través de redes informáticas. La
autentificación y la autorización de los clientes por parte de los
servidores plantea un problema que en teoría ha sido
"resuelto", pero que en la práctica es un problema persistente
lleno de dificultades. El resultado práctico es que proporcionar un
servicio seguro (es decir, autentificado y autorizado) ocurre raras
veces en toda la red de Internet, y los usuarios tienen poca
confianza en los servicios existentes.
Pueden identificarse numerosas causas de esta
situación, incluyendo:
- -
- cuando un servicio utiliza el protocolo SSL para autentificar el cliente y para hacer que la prestación del servicio sea segura, SSL debe ser capaz de transportar ("tunelizar" o canalizar) el protocolo de prestación del servicio. Esto no es posible con protocolos basados en UDP. Los protocolos simples basados en UDP son DNS (Domain Name Service, ["Servicio de dominio de nombres"]), TFTP (Trivial File Transfer protocol, [Protocolo de transferencia de archivos trivial]), SNMP (Simple Network Management Protocol [Protocolo simple de gestión de red]), protocolo Syslog, etc. Unos ejemplos más complejos incluyen "streaming" ("transferencia de datos") de video y de audio (tales como RealAudio y RealVideo), protocolos de juegos para usuarios múltiples y similares.
- -
- cuando un servicio utiliza IPSEC, surge el problema siguiente. IPSEC establece una conexión segura ("canal de transporte") entre dos máquinas (ordenadores, "routers", (enrutadores), o combinaciones de los mismos), una de las cuales está separada de los servicios (clientes, servidores) que la utilizan. Diversos servicios pueden utilizar el mismo canal IPSEC. La utilización de la autentificación IPSEC como una autentificación del servicio es similar a una persona que acepta la autenticidad del remitente de una tarjeta postal porque el cartero es capaz de identificarse a sí mismo con medios de identificación. Aparte de esto, IPSEC es un protocolo mucho más difícil de trabajar con él que el SSL, tanto técnicamente como desde el punto de vista de la seguridad;
- -
- cuando se utiliza una combinación de IPSEC y SSL para los objetivos mencionados anteriormente, los datos transmitidos son criptografiados dos veces (una vez por IPSEC, una vez por SSL), lo cual reduce drásticamente la velocidad de transporte y hace más difícil poner en funcionamiento la conexión. Esto resulta inaceptable muy pronto, en particular para el transporte de datos en tiempo real (servicios multimedia);
- -
- cuando tienen lugar la autentificación y la autorización, éstas están entrelazadas hasta cierto punto con un servicio existente que causa mayores problemas, ya que el propio servicio resulta más amplio y más complejo.
La invención se propone hacer posible:
- 1)
- modificar de una forma sencilla los servicios existentes que realizan una pequeña autentificación/autoriza- ción, o que no realizan ninguna, de tal manera que entonces disponen de una poderosa autentificación/auto- rización;
- 2)
- desarrollar nuevos servicios por medio de los cuales la parte de autentificación/autorización está separada de la parte de prestación del servicio actual.
La invención comprende componentes reutilizables
para poner en práctica la autentificación y la autorización. La
invención resuelve los problemas mencionados anteriormente mediante
la separación de responsabilidades de los procesos. Se definirá un
protocolo que indica como estas partes se comunican entre sí de una
manera tal que un proveedor de servicios puede proporcionar su
servicio a un cliente autentificado y autorizado.
En una realización preferente de la invención,
pueden distinguirse cuatro procesos, es decir:
- -
- un cliente de un proceso, por ejemplo, un navegador estándar tal como Microsoft Internet Explorer, también denominado en adelante como "cliente". Este proceso está situado en el dominio de seguridad del usuario del servicio;
- -
- un proceso de autentificación, situado en el dominio de seguridad, tanto del proveedor del servicio como de una tercera parte fiable;
- -
- un proceso de autorización de servicios (DAP). Este proceso (el proceso actual de autorización donde se determina si un cierto servicio puede o no ser facilitado a un cierto cliente) está situado en el dominio de seguridad del proveedor de servicios;
- -
- un proceso de servicios (DP) situado en el dominio de seguridad del proveedor de servicios. De acuerdo con la invención, también puede ser utilizado un subconjunto (por lo menos, uno) de los procesos. El método según la reivindicación 1 consta de las siguientes etapas:
- a.
- el cliente establece una sesión segura, por ejemplo, una sesión SSL, para un proceso de autentificación y envía un identificador de cliente, por ejemplo, un certificado público en clave, X.509, y una petición de servicio indicando qué servicio se requiere;
- b.
- el proceso de autentificación verifica el identificador del cliente y envía a un proceso de autorización el identificador del cliente una vez verificado, preferentemente con una indicación del "grado de certeza" referente a la autenticidad del identificador del cliente y de la petición de servicio; esto permite que el proceso de autorización conozca: (1) qué servicio se está solicitando, (2) por quién, y (3) que tiene (preferentemente) un cierto grado de certeza (indicado, por ejemplo, mediante certificados de Clase I, II ó III) referentes a la identidad del cliente;
- c.
- el proceso de autorización comprueba si el servicio indicado en la petición de servicio puede ser suministrado al cliente, y si es posible, y devuelve el resultado de la comprobación al proceso de autentificación en forma de una petición de servicio autorizado, junto con un cierto periodo de validez; la petición de servicio autorizado representa la autorización para empezar a proporcionar el servicio al cliente, dentro del periodo de validez;
- d.
- el proceso de autentificación genera un distintivo y lo asocia a la autorización emitida en la etapa anterior (la petición de servicio autorizado);
- e.
- a continuación, el proceso de autentificación envía al cliente la dirección del proceso de servicio afectado y el distintivo, por ejemplo, por medio de una página HTML que contiene dicha dirección y el distintivo como un "hyperlink" (hiperenlace), por medio del cual el navegador del cliente es redirigido a la dirección (hiperenlace) del proceso de servicio;
- f.
- El cliente contacta con el proceso de servicio (por medio de la hiperenlace) y envía el distintivo recibido del proceso de autentificación (la sesión entre el cliente y el proceso de verificación puede ser finalizada);
- g.
- el proceso de servicio envía el distintivo recibido desde el cliente al proceso de autentificación;
- h.
- el proceso de autentificación recoge la petición de servicio autorizado ("autorización") asociada al distintivo, comprueba si el periodo de validez es correcto y envía la petición de servicio autorizado al proceso de servicios. Hay que tener en cuenta que esta situación es exactamente la misma que si no se hubiera producido la autentificación y la autorización, y el cliente del proceso hubiera enviado la petición de servicio directamente al proceso de servicios. Esto es debido a que el proceso del cliente inició la sesión entre el cliente y el proceso de servicios, y el protocolo utilizado es el mismo protocolo que el proceso de servicios hubiera utilizado en otros casos para este objeto;
- i.
- a continuación, el proceso de servicios proporciona el servicio requerido por el cliente.
El sistema, según la reivindicación 3, comprende
los medios para ejecutar las etapas mencionadas anteriormente en el
método. La invención descrita tiene las ventajas siguientes:
- 1)
- la invención utiliza protocolos estándar;
- 2)
- la invención únicamente necesita ser puesta en práctica en el lado del servidor (es decir, donde se han activado el proceso de autentificación, el proceso de autorización y el proceso de servicio). Los navegadores corrientes (tales como Microsoft Internet Explorer, Netscape Navigator y similares) pueden ser utilizados sin ninguna modificación en el lado del cliente;
- 3)
- no se precisa un apoyo extra (tal como una oficina de ayuda) para los usuarios finales;
- 4)
- cualquier servicio electrónico que (todavía) no realice una autentificación/autorización, puede utilizar la invención con modificaciones mínimas, sin tener en cuenta el protocolo que utiliza el servicio;
- 5)
- la invención no utiliza sesiones establecidas mediante un servidor y, en consecuencia, (a) no requiere modificaciones especiales en los "firewalls" (protecciones), y (b) es utilizable asimismo si el cliente está situado en una red conectada a Internet a través de Network Address Translation (NAT), (Traducción de direcciones de red);
- 6)
- la invención permite una separación sencilla de los procesos de trabajo y de los procesos operativos, mientras que las interconexiones entre los diferentes procesos son también muy simples. Esto hace que sea fácil evitar una situación en la que un servicio está creado como una entidad monolítica inflexible.
\vskip1.000000\baselineskip
- -
- SSL (ftp://ds.internic.net/internet-drafts/draft-freler-ssl-version3-02.txt). Ésta es una versión de Internet de fecha 18 de Noviembre de 1996. El protocolo SSLv3 no ha sido normalizado formalmente, pero es el estándar de "facto". El protocolo ofrece privacidad y fiabilidad entre dos aplicaciones de comunicación (procesos). Permite que las aplicaciones cliente/servidor se comuniquen de una manera diseñada para impedir que terceras partes sean capaces de captar ilegalmente las comunicaciones, alterar mensajes o añadir mensajes. En el paquete de protocolos, SSL espera un protocolo de transporte fiable (por ejemplo, como TCP, pero no como UDP) por debajo de él.
- -
- IPSEC (http://www.ietf.org/rfc/rfc2401.txt). El objetivo de IPSEC es ofrecer diversos servicios de seguridad para el tráfico en la capa IP, tanto en el entorno IPv4 como en el IPv6. Aunque IPSEC puede formar parte de la seguridad del servicio, no es capaz de hacer seguro un servicio completo, debido a que IPSEC opera a nivel IP y debe ser posible garantizar la seguridad de los servicios incluso a niveles superiores;
- -
- existen asimismo sistemas cerrados para la autentificación/autorización. Ver, por ejemplo, RABO Bank para la banca electrónica, el sistema EasyPay de Shell, los Sellos postales digitales de PTT Post (Correos y Telégrafos) y similares. Los sistemas de este tipo tienen la desventaja que de que el cliente necesita equipos adicionales antes de poder utilizar los servicios.
La solicitud de patente WO/0069110 muestra un
método en el cual el proceso de autentificación es realizado
exteriormente a la prestación del servicio.
La figura 1 muestra una puesta en práctica de la
invención, en la que se representa un sistema con cuatro procesos,
es decir cuatro módulos de hardware/software
("equipos/programas") (ordenadores, servidores, terminales.
etc.) sobre los cuales funcionan los procesos y pueden ponerse en
contacto entre sí a través de una red (tal como
Internet).
Internet).
La figura 1 muestra un proceso de un cliente
(C), puesto en práctica por medio de un navegador de la red tal
como Microsoft Internet Explorer en el ordenador personal de un
usuario, un proceso de autentificación del cliente (CAP), puesto en
práctica mediante procedimientos de bibliotecas estándar, un proceso
de autorización de servicio (DAP) y un Proceso de Servicio (DP) que
puede proporcionar un servicio solicitado por el usuario por medio
de su cliente (C). Cada proceso está incluido en un dominio de
seguridad, es decir, una persona o un organismo gestionan el
proceso y soportan las consecuencias de lo que el proceso realiza o
no realiza. Por ejemplo, el proceso C está incluido en el dominio
de seguridad del usuario, mientras que el CAP está incluido en el
dominio de seguridad del proveedor de servicios (SP) afectado, o de
una tercera parte fiable, mientras que DAP y DP están incluidos en
el dominio de seguridad del proveedor de servicios.
En este contexto, debe entenderse que un
"protocolo" es un método para permitir que dos procesos
(ordenadores) se comuniquen entre sí. Estos pueden ser, por
ejemplo, protocolos de Internet, pero asimismo pueden ser
procedimientos de llamada (si los procesos funcionan en la misma
máquina) u otros protocolos.
La puesta en práctica mostrada de la invención
utiliza los siguientes protocolos de comunicación:
- -
- SSL (Secure Sockets Layer Protocol), ("Protocolo de capas o niveles de conectores seguros"), o TLS (Transport Layer Security Protocol) ("Protocolo de seguridad de capas de transporte"). Estos protocolos son bien conocidos y están bien documentados (ver referencias);
- -
- DSP (Domain Secure Protocol) ("Protocolo de dominio seguro"). Este no es un protocolo existente, sino un nombre para el "titular de un sitio" para cualquier protocolo que (1) o bien facilita la comunicación entre dos procesos dentro de un único dominio de seguridad, y (2) ha sido denominado por el administrador de dicho dominio de seguridad como "seguro" para ser utilizado dentro de este dominio de seguridad, o (1) proporciona comunicación entre un proceso en el dominio de seguridad de un TTP y un proceso en el dominio de seguridad del proveedor de servicios afectado, y (2) ha sido denominado por los administradores de estos dominios de seguridad como "seguro" para ser utilizado dentro de estos dominios de seguridad;
- -
- DSP1, un protocolo DSP utilizado entre los procesos CAP y DAP;
- -
- DSP2, un protocolo DSP utilizado entre los procesos CAP y DP;
- -
- AP (Application Protocol) ("Protocolo de aplicación"). Este no es un protocolo existente, sino un nombre para el "titular de un sitio" para el protocolo entre el proceso del cliente (C) y el proceso de servicio (DP). Este protocolo debe satisfacer los requisitos de seguridad (y otros requisitos) establecidos por el proveedor de servicios para el protocolo.
\global\parskip0.930000\baselineskip
El procedimiento es el siguiente:
- -
- se establece una conexión entre los procesos C y CAP. Esta conexión utiliza el protocolo SSL o el TLS. El protocolo está establecido de tal modo que durante el establecimiento de esta conexión:
- (a)
- C autentifica el CAP en base a un certificado del servidor que debe ser enviado mediante el CAP, que ha sido emitido por una parte conocida de C ("Tercera parte de confianza");
- (b)
- El CAP envía a C una lista de emisores de certificados de cliente aceptados por CAP. Para cada tipo de certificado y de emisor, el CAP dispone además del grado de certeza aplicado por el proveedor de servicios para la autentificación de certificados de dicho tipo y emisor.
- -
- CAP inicia una conexión entre CAP y DAP, utilizando el protocolo DSP1 (ver anteriormente).
- -
- C inicia una conexión entre C y DP, utilizando el protocolo AP (ver anteriormente).
- -
- se establece una conexión entre el proceso de servicio DP y el CAP. Este proceso utiliza el protocolo DSP2 (ver anteriormente). DP o CAP pueden establecer esta conexión. La invención da por supuesta la existencia de un "contrato" (electrónico) entre usuarios y proveedores de servicios, que especifica qué servicios puede facilitar el DP al usuario y en qué condiciones. Estas condiciones pueden imponer posiblemente requisitos referentes al tipo de certificado que un cliente puede presentar para su autentificación, parámetros que pueden influir en el servicio, el importe que el proveedor del servicio exige de C para proporcionar el servicio requerido, etc. Las peticiones de servicio mencionadas anteriormente consisten en un conjunto de parámetros de servicio y adoptan la forma de una lista de parámetros que puede ser añadida a una URL. Cuando se hace referencia a una "autorización", esta expresión comprende (1) la identidad del usuario (a través del cliente C) para el cual se pretende la autorización, (2) una petición de servicio para la cual se emitió la autorización, (3) un intervalo de validez (es decir, un intervalo de tiempo dentro del cual la autorización es válida), y (4) una dirección IP desde la cual se solicitó la autorización. La petición de servicio adopta la forma de una lista de parámetros añadida a una URL. La autorización posee además la característica de que el proveedor del servicio (SP) tiene un grado de certeza suficiente de que el cliente para el cual se creó la autorización es capaz de obtener acceso al servicio dentro del intervalo de validez.
El "distintivo" al cual se ha hecho
referencia anteriormente, consiste en una serie de bits que el CAP
crea en base a una autorización, de tal manera que el distintivo
posee las características siguientes:
- (a)
- el CAP puede reproducir la autorización (que tiene como resultado la creación del distintivo) en base al distintivo, por lo menos durante el intervalo de tiempo dentro del cual la autorización es válida;
- (b)
- el distintivo es válido para dicho tiempo durante el cual la autorización es válida;
- (c)
- el riesgo de que una tercera parte sea capaz de acertar un distintivo válido es tan pequeño que es despreciable (por ejemplo, inferior a 2-50);
- (d)
- dos o más autorizaciones diferentes (válidas) están asociadas de manera no simultánea con el único y el mismo distintivo. A medida que el CAP crea y también interpreta el distintivo, el CAP es capaz de decidir los datos incluidos en el distintivo. El tamaño del distintivo está limitado (no en teoría, pero probablemente si en la práctica) por medio de:
- -
- el tamaño del URL del DP;
- -
- el conjunto de caracteres (ASCII) permisible para el distintivo, y
- -
- la longitud máxima de la URL permitida por el navegador del cliente.
La información segura no válida (o parte de la
misma) de una autorización convertida a ASCII, podría ser un buen
distintivo. El diagrama de la figura 2 ilustra como funciona el
sistema presentado:
- [1]
- el usuario navega hasta el servicio requerido entrando en la dirección (URL) (por ejemplo, www.service.com) en el navegador (cliente), lo que hace que el navegador C establezca una conexión SSL con el servidor CAP afectado, por medio del cual el cliente C y el servidor CAP se autentifican uno al otro (ver anteriormente en "establecimiento de una conexión SSL/TLS"). Como resultado de esta acción, el CAP tiene a su disposición la identidad del usuario C (ID), el certificado de clave pública de C contra el cual se comprobó la ID, "Alvl" (que es un parámetro que indica hasta que punto el proveedor del servicio confía en esta comprobación), y la dirección IP (IP) desde la cual C estableció la conexión.
\global\parskip0.990000\baselineskip
- [2]
- C envía una petición de servicio "sreq" al CAP (a través de la conexión SSL acabada de establecer).
- [3]
- CAP envía la "sreq", ID, Alvl e IP al proceso DAP (utilizando el protocolo DSP1).
- [4]
- si DAP determina que el usuario C no está autorizado para el servicio requerido por C (por ejemplo, porque la prestación del servicio requerido no está definida mediante un contrato), el protocolo finalizará. Si DAP determina que existe un derecho al servicio, DAP establecerá una petición alternativa de servicio que (a) está amparada mediante un contrato y (b) se parece a la "sreq" tan estrechamente como sea posible. El DAP determina además un intervalo de tiempo TI (intervalo de validez) dentro del cual debe empezar la prestación del servicio.
- [5]
- El DAP envía una autorización (que comprende "sreq'", TI, ID e IP) al CAP (utilizando el protocolo DSP1).
- [5]
- El DAP envía una autorización A (que consiste en "sreq'", TI, Id e IP) al CAP (utilizando el protocolo DSP1).
- [6]
- El CAP crea un distintivo basado en la autorización (A) facilitada mediante DAP, con todas las propiedades de un distintivo (ver anteriormente).
- [7]
- El CAP envía al cliente (en la sesión SSL ya establecida), una página HTML que contiene una hiperenlace con el servidor DP, incluyendo dicha hiperenlace el distintivo como un parámetro, ocurriendo todo ello de una forma tal que el navegador cambia a esta hiperenlace después de un tiempo de espera de cero segundos. Esta acción finaliza la sesión SSL entre C y CAP (el protocolo inventado todavía no termina).
- [8]
- mediante la interpretación de esta página HTML, el navegador del cliente establece una sesión con el servidor DP, de acuerdo con el protocolo CAP especificado en la hiperenlace. Asimismo, el distintivo es enviado al DP por medio de este protocolo.
- [9]
- DP envía el distintivo a CAP, así como la dirección IP del cliente (IP) que inició la sesión (utilizando el protocolo DSP 2).
- [10]
- CAP comprueba si una autorización válida acompaña al distintivo. Si este no es el caso, el protocolo finalizará. Asimismo, CAP averiguará si:
- -
- IP es la misma que la dirección IP (IP) indicada en la autorización;
- -
- el tiempo actual está comprendido dentro del intervalo de tiempo TI indicado en la autorización.
\vskip1.000000\baselineskip
Si cualquiera de estos puntos es incorrecto, el
protocolo finaliza.
- [11]
- CAP envía al DP la petición de servicio (sreq) indicada en la autorización (utilizando el protocolo DSP2).
- [12]
- DP empieza a proporcionar a continuación el servicio a C, de acuerdo con la petición de servicio, utilizando el protocolo AP, y de manera simultánea finaliza el protocolo inventado.
\vskip1.000000\baselineskip
Es necesario realizar los comentarios
siguientes:
- 1.
- Si un proceso está situado en el dominio de seguridad de una persona legal, significa que la persona legal es responsable de los aspectos de seguridad del proceso (es decir, gestiona la seguridad de este proceso y soporta las consecuencias de lo que el proceso realiza o no realiza, involuntariamente o de otro modo, en lo que se refiere a la seguridad).
- 2.
- El "grado de certeza" "Alvl" indica cuánta confianza tiene el negocio en la declaración de que "el cliente es llamado ID". Después de todo, esta confianza puede depender del grado hasta el cual el emisor del certificado comprobó la identidad, y esta circunstancia es diferente en el caso, por ejemplo, de los certificados de Clase I, II y III.
- 3.
- Aunque el estándar se refiere a los emisores de certificados, la situación en la práctica es que un emisor de certificado puede emitir varios tipos de certificados (por ejemplo, certificados de Clase I, II y III), con lo cual las condiciones en las cuales se emite un tipo de certificado difieren de las adjuntas a un tipo de certificado diferente. En consecuencia, la confianza que un proveedor de servicios tiene en los diferentes tipos de certificados puede diferir, y cada tipo de certificado debe tener un "grado de certeza" "Alvl". Sin embargo, el "nombre distinguido" del emisor, tal como sucede en el certificado, es utilizado asimismo para indicar estos tipos de certificados. Por consiguiente, es posible que en este caso sea suficiente enviar una lista de emisores de certificados.
Claims (4)
1. Método para un proceso de servicios, para
proporcionar un servicio a un cliente, que comprende las etapas
siguientes:
- a.
- el cliente (C) establece una sesión segura con un proceso de autentificación (CAP) y envía un identificador del cliente y una petición de servicio, indicando qué servicio requiere;
- b.
- el proceso de autentificación (CAP) verifica el identificador del cliente y envía a un proceso de autorización (DAP) el identificador del cliente verificado y la petición de servicio;
- c.
- el proceso de autorización (DAP) comprueba si el servicio indicado en la petición de servicio puede, y es posible, que sea facilitado al cliente (C), y envía el resultado de la comprobación al proceso de autentificación (CAP) en forma de una petición de servicio autorizada, que incluye un periodo de validez;
- d.
- el proceso de autentificación (CAP) genera un distintivo que está asociado a la petición de servicio autorizada;
- e.
- a través de la sesión segura, el proceso de autentificación envía al cliente (C) la dirección del proceso de servicio afectado y el distintivo;
- f.
- el cliente contacta con el proceso de servicios (DP) y envía al proceso de servicios (DP) el distintivo recibido del proceso de autentificación (CAP);
- g.
- el proceso de servicios envía al proceso de autentificación (CAP) el distintivo recibido del cliente (C);
- h.
- el proceso de autentificación (CAP) recoge la petición de servicio autorizado asociada al distintivo, comprueba si el periodo de validez es correcto, y a continuación envía la petición de servicio autorizado al proceso de servicios (DP);
- i.
- a continuación, el proceso de servicios (DP) proporciona el servicio requerido por el cliente (C).
2. Método, según la reivindicación 1, con la
característica de que el proceso de autentificación (CAP) en
la etapa descrita anteriormente en b., envía al proceso de
autorización (DAP), además del identificador del cliente
verificado, una indicación del "grado de certeza" con
referencia a la autenticidad del identificador del cliente.
3. Sistema, para un servidor de servicios, para
proporcionar un servicio a un cliente, comprendiendo el sistema un
cliente (C), un servidor de autentificación (CAP), un servidor de
autorización (DAP) y un servidor de servicios (DP), por medio del
cual:
- a.
- el cliente (C) incluye medios para establecer una sesión segura con un servidor de autentificación (CAP) y para enviar a dicho servidor de autentificación (CAP) un identificador del cliente y una petición de servicio indicando qué servicio se requiere;
- b.
- el servidor de autentificación (CAP) incluye medios para verificar el identificador del cliente, recibido del cliente (C), y para enviar el identificador verificado del cliente y la petición de servicio a un servidor de autorización (DAP);
- c.
- el servidor de autorización (DAP) incluye medios para comprobar si el servicio indicado en la petición de servicio puede, y es posible, que sea facilitada al cliente (C), y medios para devolver al servidor de autentificación (CAP) el resultado de la comprobación en forma de una petición de servicio autorizada, provista de un periodo de validez determinado por el servidor de la autorización (DAP);
- d.
- el servidor de autentificación (CAP) incluye medios para generar un distintivo asociado a la petición de servicio autorizada;
- e.
- el servidor de autentificación (CAP) incluye medios para enviar al cliente (C), a través de la sesión segura, la dirección del servidor del servicio pertinente (DP) y el distintivo;
- f.
- el cliente (C) incluye medios para enviar al servidor de servicios (DP) el distintivo recibido;
- g.
- el servidor de servicios (DP) incluye medios para enviar al servidor de autentificación (CAP) el distintivo recibido del cliente;
- h.
- el servidor de autentificación (CAP) incluye medios para recoger la petición de servicio autorizada, asociada al distintivo, comprobando si el periodo de validez es correcto, y enviando a continuación la petición de servicio autorizado al servidor de servicios (DP);
- i.
- el servidor de servicios (DP) incluye medios para suministrar posteriormente el servicio requerido al cliente (C).
4. Sistema según la reivindicación 3, con la
característica de que el servidor de autentificación (CAP),
además de incluir los medios mencionados anteriormente en b. para
verificar el identificador del cliente, recibido del cliente (C), y
enviar el identificador del cliente una vez verificado y la petición
de servicio a un servidor de autorización (DAP), incluye además
medios para calcular una indicación del "grado de certeza"
referente a la autenticidad del identificador del cliente y para
enviar dicha indicación al servidor de autorización (DAP).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
NL1018494A NL1018494C2 (nl) | 2001-07-09 | 2001-07-09 | Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. |
NL1018494 | 2001-07-09 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2280553T3 true ES2280553T3 (es) | 2007-09-16 |
Family
ID=19773693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES02747453T Expired - Lifetime ES2280553T3 (es) | 2001-07-09 | 2002-06-27 | Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. |
Country Status (7)
Country | Link |
---|---|
US (1) | US7565554B2 (es) |
EP (1) | EP1405490B1 (es) |
AT (1) | ATE353515T1 (es) |
DE (1) | DE60218042T2 (es) |
ES (1) | ES2280553T3 (es) |
NL (1) | NL1018494C2 (es) |
WO (1) | WO2003007571A1 (es) |
Families Citing this family (114)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2826811B1 (fr) * | 2001-06-27 | 2003-11-07 | France Telecom | Procede d'authentification cryptographique |
US7707066B2 (en) * | 2002-05-15 | 2010-04-27 | Navio Systems, Inc. | Methods of facilitating merchant transactions using a computerized system including a set of titles |
US7814025B2 (en) * | 2002-05-15 | 2010-10-12 | Navio Systems, Inc. | Methods and apparatus for title protocol, authentication, and sharing |
US7707121B1 (en) | 2002-05-15 | 2010-04-27 | Navio Systems, Inc. | Methods and apparatus for title structure and management |
CN1701561B (zh) * | 2003-07-11 | 2010-05-05 | 日本电信电话株式会社 | 基于地址的验证系统及其装置和程序 |
WO2005015870A1 (en) * | 2003-08-01 | 2005-02-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for routing a service request |
CN100499536C (zh) * | 2003-10-22 | 2009-06-10 | 华为技术有限公司 | 无线局域网中选定业务的解析接入处理方法 |
US7783891B2 (en) * | 2004-02-25 | 2010-08-24 | Microsoft Corporation | System and method facilitating secure credential management |
US7721340B2 (en) | 2004-06-12 | 2010-05-18 | Microsoft Corporation | Registry protection |
US7584509B2 (en) | 2004-06-12 | 2009-09-01 | Microsoft Corporation | Inhibiting software tampering |
KR101203245B1 (ko) | 2004-06-12 | 2012-11-20 | 마이크로소프트 코포레이션 | 소프트웨어 보안 |
US8296562B2 (en) | 2004-07-15 | 2012-10-23 | Anakam, Inc. | Out of band system and method for authentication |
EP1766839B1 (en) | 2004-07-15 | 2013-03-06 | Anakam, Inc. | System and method for blocking unauthorized network log in using stolen password |
US8533791B2 (en) | 2004-07-15 | 2013-09-10 | Anakam, Inc. | System and method for second factor authentication services |
US7676834B2 (en) | 2004-07-15 | 2010-03-09 | Anakam L.L.C. | System and method for blocking unauthorized network log in using stolen password |
US8528078B2 (en) | 2004-07-15 | 2013-09-03 | Anakam, Inc. | System and method for blocking unauthorized network log in using stolen password |
JP2006054656A (ja) * | 2004-08-11 | 2006-02-23 | Nec Corp | Ptt通信システム、ptt通信方法、ptt通信サーバ |
JP2006086907A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム |
US8213034B2 (en) | 2004-10-08 | 2012-07-03 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote file structure access on an imaging device |
US8001586B2 (en) | 2004-10-08 | 2011-08-16 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential management and authentication |
US8024792B2 (en) | 2004-10-08 | 2011-09-20 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential submission |
US8060930B2 (en) | 2004-10-08 | 2011-11-15 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential receipt and authentication |
US8006293B2 (en) * | 2004-10-08 | 2011-08-23 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential acceptance |
US8120799B2 (en) | 2004-10-08 | 2012-02-21 | Sharp Laboratories Of America, Inc. | Methods and systems for accessing remote, descriptor-related data at an imaging device |
US8032579B2 (en) | 2004-10-08 | 2011-10-04 | Sharp Laboratories Of America, Inc. | Methods and systems for obtaining imaging device notification access control |
US8018610B2 (en) | 2004-10-08 | 2011-09-13 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device remote application interaction |
US8060921B2 (en) * | 2004-10-08 | 2011-11-15 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential authentication and communication |
US8049677B2 (en) | 2004-10-08 | 2011-11-01 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device display element localization |
US7920101B2 (en) | 2004-10-08 | 2011-04-05 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device display standardization |
US8384925B2 (en) | 2004-10-08 | 2013-02-26 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting data management |
US7870185B2 (en) * | 2004-10-08 | 2011-01-11 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device event notification administration |
US8171404B2 (en) | 2004-10-08 | 2012-05-01 | Sharp Laboratories Of America, Inc. | Methods and systems for disassembly and reassembly of examination documents |
US8006292B2 (en) * | 2004-10-08 | 2011-08-23 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential submission and consolidation |
US8115946B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and sytems for imaging device job definition |
US8051125B2 (en) | 2004-10-08 | 2011-11-01 | Sharp Laboratories Of America, Inc. | Methods and systems for obtaining imaging device event notification subscription |
US8006176B2 (en) * | 2004-10-08 | 2011-08-23 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging-device-based form field management |
US8115944B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and systems for local configuration-based imaging device accounting |
US7978618B2 (en) | 2004-10-08 | 2011-07-12 | Sharp Laboratories Of America, Inc. | Methods and systems for user interface customization |
US8065384B2 (en) | 2004-10-08 | 2011-11-22 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device event notification subscription |
US8125666B2 (en) | 2004-10-08 | 2012-02-28 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device document management |
US8115945B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device job configuration management |
US8051140B2 (en) | 2004-10-08 | 2011-11-01 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device control |
US8001183B2 (en) | 2004-10-08 | 2011-08-16 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device related event notification |
US8156424B2 (en) | 2004-10-08 | 2012-04-10 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device dynamic document creation and organization |
US8120793B2 (en) * | 2004-10-08 | 2012-02-21 | Sharp Laboratories Of America, Inc. | Methods and systems for displaying content on an imaging device |
US7970813B2 (en) | 2004-10-08 | 2011-06-28 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device event notification administration and subscription |
US8115947B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote, descriptor-related data to an imaging device |
US8230328B2 (en) | 2004-10-08 | 2012-07-24 | Sharp Laboratories Of America, Inc. | Methods and systems for distributing localized display elements to an imaging device |
US7934217B2 (en) | 2004-10-08 | 2011-04-26 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote file structure access to an imaging device |
US7873718B2 (en) | 2004-10-08 | 2011-01-18 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting server recovery |
US8237946B2 (en) | 2004-10-08 | 2012-08-07 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting server redundancy |
US8001587B2 (en) * | 2004-10-08 | 2011-08-16 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential management |
US8015234B2 (en) | 2004-10-08 | 2011-09-06 | Sharp Laboratories Of America, Inc. | Methods and systems for administering imaging device notification access control |
US8023130B2 (en) | 2004-10-08 | 2011-09-20 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting data maintenance |
US8032608B2 (en) | 2004-10-08 | 2011-10-04 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device notification access control |
US8120797B2 (en) * | 2004-10-08 | 2012-02-21 | Sharp Laboratories Of America, Inc. | Methods and systems for transmitting content to an imaging device |
US8035831B2 (en) | 2004-10-08 | 2011-10-11 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device remote form management |
US7873553B2 (en) | 2004-10-08 | 2011-01-18 | Sharp Laboratories Of America, Inc. | Methods and systems for authorizing imaging device concurrent account use |
US7969596B2 (en) | 2004-10-08 | 2011-06-28 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device document translation |
US7624433B1 (en) * | 2005-02-24 | 2009-11-24 | Intuit Inc. | Keyfob for use with multiple authentication entities |
US8428484B2 (en) | 2005-03-04 | 2013-04-23 | Sharp Laboratories Of America, Inc. | Methods and systems for peripheral accounting |
CN100583761C (zh) * | 2005-05-16 | 2010-01-20 | 联想(北京)有限公司 | 一种统一认证的实现方法 |
US8213412B2 (en) * | 2005-09-29 | 2012-07-03 | Comcast Cable Holdings, Llc | System and method for providing multimedia services utilizing a local proxy |
US7996682B2 (en) * | 2005-10-17 | 2011-08-09 | Microsoft Corporation | Secure prompting |
EP1788773A1 (en) * | 2005-11-18 | 2007-05-23 | Alcatel Lucent | Method and apparatuses to request delivery of a media asset and to establish a token in advance |
US8099508B2 (en) * | 2005-12-16 | 2012-01-17 | Comcast Cable Holdings, Llc | Method of using tokens and policy descriptors for dynamic on demand session management |
FR2895632A1 (fr) * | 2005-12-22 | 2007-06-29 | Gemplus Sa | Controle d'acces a des services en mode multidiffusion dans un dispositif terminal |
US9177338B2 (en) | 2005-12-29 | 2015-11-03 | Oncircle, Inc. | Software, systems, and methods for processing digital bearer instruments |
EP1977381A4 (en) | 2005-12-29 | 2014-01-01 | Oncircle Inc | SOFTWARE, SYSTEMS AND METHOD FOR PROCESSING DIGITAL CARRIER INSTRUMENTS |
US20070250711A1 (en) * | 2006-04-25 | 2007-10-25 | Phonified Llc | System and method for presenting and inputting information on a mobile device |
WO2007130416A2 (en) | 2006-04-29 | 2007-11-15 | Navio Systems, Inc. | Title-enabled networking |
DE102006022710A1 (de) * | 2006-05-12 | 2007-11-15 | Heidelberger Druckmaschinen Ag | Serviceplattform zur Wartung von Maschinen |
JP4882546B2 (ja) * | 2006-06-28 | 2012-02-22 | 富士ゼロックス株式会社 | 情報処理システムおよび制御プログラム |
US20080072053A1 (en) * | 2006-09-15 | 2008-03-20 | Halim Budi S | Web-based authentication system and method |
US8345272B2 (en) | 2006-09-28 | 2013-01-01 | Sharp Laboratories Of America, Inc. | Methods and systems for third-party control of remote imaging jobs |
US20080082626A1 (en) * | 2006-09-29 | 2008-04-03 | Microsoft Corporation | Typed authorization data |
US10380621B2 (en) | 2006-11-15 | 2019-08-13 | Api Market, Inc. | Title-acceptance and processing architecture |
JP5579073B2 (ja) * | 2007-11-16 | 2014-08-27 | トムソン ライセンシング | ストリーミング・メディアのセッション管理を行なうシステムおよび方法 |
US9137018B2 (en) * | 2007-12-19 | 2015-09-15 | The Directv Group, Inc. | Method and system for providing a generic program guide data from a primary content provider to a user network device through a partner service provider |
US8453251B2 (en) * | 2007-12-19 | 2013-05-28 | The Directv Group, Inc. | Method and system for securely communicating between a user network device, a primary service provider and a partner service provider |
US8621646B2 (en) * | 2007-12-19 | 2013-12-31 | The Directv Group, Inc. | Method and system for authenticating a user receiving device into a primary service provider system to communicate with a partner service provider |
US8533852B2 (en) * | 2007-12-19 | 2013-09-10 | The Directv Group, Inc. | Method and system for securely communicating between a primary service provider and a partner service provider |
US20090183246A1 (en) * | 2008-01-15 | 2009-07-16 | Authlogic Inc. | Universal multi-factor authentication |
US8132238B2 (en) | 2008-05-13 | 2012-03-06 | Ebay Inc. | System and method for identity authentication for service access without use of stored credentials |
DE102008024783A1 (de) * | 2008-05-23 | 2009-12-10 | RUHR-UNIVERSITäT BOCHUM | Sichere, browser-basierte Einmalanmeldung mit Clientzertifikaten |
US9258286B1 (en) | 2008-07-30 | 2016-02-09 | United Services Automobile Association (Usaa) | Systems and methods for communications channel authentication |
US9479509B2 (en) | 2009-11-06 | 2016-10-25 | Red Hat, Inc. | Unified system for authentication and authorization |
US8972346B2 (en) * | 2009-12-11 | 2015-03-03 | International Business Machines Corporation | Method and system for minimizing synchronization efforts of parallel database systems |
US8474009B2 (en) | 2010-05-26 | 2013-06-25 | Novell, Inc. | Dynamic service access |
US9111079B2 (en) | 2010-09-30 | 2015-08-18 | Microsoft Technology Licensing, Llc | Trustworthy device claims as a service |
US9794239B1 (en) * | 2011-02-18 | 2017-10-17 | The Directv Group, Inc. | Method and system for authenticating service providers to communicate with a primary service provider |
US9854308B1 (en) | 2011-02-18 | 2017-12-26 | The Directv Group, Inc. | Method and system for authorizing user devices to communicate with a primary service provider using a limited number of streams |
US9838727B1 (en) | 2011-02-18 | 2017-12-05 | The Directv Group, Inc. | Method and system for discovering an identity provider |
WO2013019519A1 (en) | 2011-08-02 | 2013-02-07 | Rights Over Ip, Llc | Rights-based system |
US9131370B2 (en) | 2011-12-29 | 2015-09-08 | Mcafee, Inc. | Simplified mobile communication device |
US8819445B2 (en) * | 2012-04-09 | 2014-08-26 | Mcafee, Inc. | Wireless token authentication |
US9262592B2 (en) | 2012-04-09 | 2016-02-16 | Mcafee, Inc. | Wireless storage device |
US20130268687A1 (en) | 2012-04-09 | 2013-10-10 | Mcafee, Inc. | Wireless token device |
US9547761B2 (en) | 2012-04-09 | 2017-01-17 | Mcafee, Inc. | Wireless token device |
US8904528B2 (en) | 2013-03-15 | 2014-12-02 | Elemica, Inc. | Method and apparatus for translation of business messages |
US9224135B2 (en) | 2013-03-15 | 2015-12-29 | Elemica, Inc. | Method and apparatus for adaptive configuration for translation of business messages |
US9443229B2 (en) | 2013-03-15 | 2016-09-13 | Elemica, Inc. | Supply chain message management and shipment constraint optimization |
US9760501B2 (en) | 2014-11-05 | 2017-09-12 | Google Inc. | In-field smart device updates |
US20160128104A1 (en) * | 2014-11-05 | 2016-05-05 | Google Inc. | In-field smart device updates |
FR3032847A1 (fr) * | 2015-02-13 | 2016-08-19 | Orange | Technique de connexion a un service |
US10511587B2 (en) * | 2015-06-11 | 2019-12-17 | Siemens Aktiengesellschaft | Authorization apparatus and method for an authorized issuing of an authentication token for a device |
US9621355B1 (en) * | 2015-10-01 | 2017-04-11 | Cisco Technology, Inc. | Securely authorizing client applications on devices to hosted services |
CN106790331B (zh) * | 2015-11-23 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种业务接入方法、系统及相关装置 |
JP2017228145A (ja) * | 2016-06-23 | 2017-12-28 | 株式会社リコー | 認証システム、通信システム、認証認可方法、及びプログラム |
US10686886B2 (en) * | 2016-10-19 | 2020-06-16 | Mirosoft Technology Licensing, LLC | Establishing secure sessions for stateful cloud services |
EP3334115B1 (en) | 2016-12-07 | 2019-10-09 | Swisscom AG | User authentication based on token |
US10616211B2 (en) * | 2017-04-12 | 2020-04-07 | Cisco Technology, Inc. | System and method for authenticating clients |
US11171958B1 (en) | 2018-07-10 | 2021-11-09 | United Services Automobile Association (Usaa) | Secure session sharing between computing devices |
US11032270B1 (en) * | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5280527A (en) * | 1992-04-14 | 1994-01-18 | Kamahira Safe Co., Inc. | Biometric token for authorizing access to a host system |
JPH10327147A (ja) * | 1997-05-21 | 1998-12-08 | Hitachi Ltd | 電子認証公証方法およびシステム |
CA2295150A1 (en) * | 1997-06-26 | 1999-01-07 | Michael John Kenning | Data communications |
US6212635B1 (en) * | 1997-07-18 | 2001-04-03 | David C. Reardon | Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place |
US6370139B2 (en) * | 1997-10-24 | 2002-04-09 | Tranz-Send Broadcasting Network, Inc. | System and method for providing information dispersal in a networked computing environment |
US6393411B1 (en) * | 1998-07-21 | 2002-05-21 | Amdahl Corporation | Device and method for authorized funds transfer |
US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
US6691232B1 (en) * | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
FI108184B (fi) * | 1999-10-12 | 2001-11-30 | Sonera Oyj | Palvelun pääsynvalvonta |
AU2001251701A1 (en) * | 2000-02-25 | 2001-09-03 | Identix Incorporated | Secure transaction system |
US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
US20020031230A1 (en) * | 2000-08-15 | 2002-03-14 | Sweet William B. | Method and apparatus for a web-based application service model for security management |
US20020078352A1 (en) * | 2000-12-15 | 2002-06-20 | International Business Machines Corporation | Secure communication by modification of security codes |
US20020129261A1 (en) * | 2001-03-08 | 2002-09-12 | Cromer Daryl Carvis | Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens |
US7657639B2 (en) * | 2006-07-21 | 2010-02-02 | International Business Machines Corporation | Method and system for identity provider migration using federated single-sign-on operation |
-
2001
- 2001-07-09 NL NL1018494A patent/NL1018494C2/nl not_active IP Right Cessation
-
2002
- 2002-06-27 ES ES02747453T patent/ES2280553T3/es not_active Expired - Lifetime
- 2002-06-27 AT AT02747453T patent/ATE353515T1/de not_active IP Right Cessation
- 2002-06-27 DE DE60218042T patent/DE60218042T2/de not_active Expired - Lifetime
- 2002-06-27 US US10/483,374 patent/US7565554B2/en not_active Expired - Fee Related
- 2002-06-27 EP EP02747453A patent/EP1405490B1/en not_active Expired - Lifetime
- 2002-06-27 WO PCT/EP2002/007261 patent/WO2003007571A1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
NL1018494C2 (nl) | 2003-01-10 |
DE60218042T2 (de) | 2007-11-08 |
WO2003007571A1 (en) | 2003-01-23 |
US7565554B2 (en) | 2009-07-21 |
DE60218042D1 (de) | 2007-03-22 |
EP1405490A1 (en) | 2004-04-07 |
US20040221045A1 (en) | 2004-11-04 |
ATE353515T1 (de) | 2007-02-15 |
EP1405490B1 (en) | 2007-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2280553T3 (es) | Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. | |
US8621033B2 (en) | Method for identifying internet users | |
JP5047291B2 (ja) | インターネットユーザに対して認証サービスを提供するための方法およびシステム | |
ES2308048T3 (es) | Cortafuegos personal remoto. | |
FI115098B (fi) | Todentaminen dataviestinnässä | |
ES2397063T3 (es) | Autenticación para protocolos de aplicación IP basados en procedimientos IMS del 3GPP | |
JP2008511232A (ja) | 制御認証のためのパーソナルトークンおよび方法 | |
US20090210712A1 (en) | Method for server-side detection of man-in-the-middle attacks | |
US20040236965A1 (en) | System for cryptographical authentication | |
BRPI0408069B1 (pt) | métodos para uma autenticação mútua entre um usuário e uma rede de comunicações e para permitir a um usuário verificar a confiabilidade de uma rede de comunicações | |
US10277586B1 (en) | Mobile authentication with URL-redirect | |
KR20080047503A (ko) | 통신 시스템에 인증서를 배분하는 방법 | |
JP2009514256A (ja) | 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 | |
Hartman et al. | A GSS-API mechanism for the extensible authentication protocol | |
ES2631578T3 (es) | Métodos y aparatos para evitar daños en ataques de red | |
CN101304318A (zh) | 安全的网络认证系统和方法 | |
JP2007181123A (ja) | デジタル証明書交換方法、端末装置、及びプログラム | |
ES2300792T3 (es) | Metodo para distribuir claves de acceso (passwords). | |
US20040133499A1 (en) | Method for paying paid offers made on a network | |
GB2378104A (en) | Authentification for computer networks using a hybrid protocol and digital certificate | |
JP4608246B2 (ja) | 匿名通信方法 | |
Reid | Plugging the holes in host-based authentication | |
Lear et al. | A simple authentication and security layer (SASL) and generic security service application program interface (GSS-API) mechanism for OpenID | |
Jeelani | An insight of ssl security attacks | |
KR20030065100A (ko) | 무선 인터넷에서의 티켓 기반 인증 및 지불 방법 |