FI120021B - Valtuustiedon hankkiminen - Google Patents

Valtuustiedon hankkiminen Download PDF

Info

Publication number
FI120021B
FI120021B FI20035139A FI20035139A FI120021B FI 120021 B FI120021 B FI 120021B FI 20035139 A FI20035139 A FI 20035139A FI 20035139 A FI20035139 A FI 20035139A FI 120021 B FI120021 B FI 120021B
Authority
FI
Finland
Prior art keywords
service
user
information
network port
authority
Prior art date
Application number
FI20035139A
Other languages
English (en)
Swedish (sv)
Other versions
FI20035139A (fi
FI20035139A0 (fi
Inventor
Kimmo Lahdensivu
Kimmo Eklund
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corp filed Critical Nokia Corp
Priority to FI20035139A priority Critical patent/FI120021B/fi
Publication of FI20035139A0 publication Critical patent/FI20035139A0/fi
Priority to US10/923,608 priority patent/US20050081066A1/en
Priority to EP04767139A priority patent/EP1661299A1/en
Priority to CN2004800245376A priority patent/CN1842993B/zh
Priority to PCT/FI2004/050119 priority patent/WO2005022821A1/en
Priority to JP2006524380A priority patent/JP2007503637A/ja
Publication of FI20035139A publication Critical patent/FI20035139A/fi
Application granted granted Critical
Publication of FI120021B publication Critical patent/FI120021B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

Valtuustiedon hankkiminen
Nyt esillä oleva keksintö kohdistuu menetelmään valtuustiedon hank-5 kimiseksi ensimmäisessä tietoverkossa olevan palvelun käyttämiseksi toisesta tietoverkosta, josta on tiedonsiirtoyhteys ensimmäiseen tietoverkkoon yhdyskäytävän kautta, jossa menetelmässä käyttäjä suorittaa kirjautumisen yhdyskäytävään käyttäjätunnuksella, mainittu käyttäjätunnus välitetään toisesta tietoverkosta yhdyskäytävän kautta 10 tunnistuspalvelimeen, jossa käyttäjätunnus tarkistetaan ja tieto onnistuneesta kirjautumisesta lähetetään yhdyskäytävään. Keksintö kohdistuu lisäksi järjestelmään, joka käsittää ainakin ensimmäisen tietoverkon ja toisen tietoverkon, jotka on yhdistetty toisiinsa yhdyskäytävällä, välineet valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan 15 palvelun käyttämiseksi, välineet käyttäjän kirjautumiseksi yhdyskäytävään päätelaitteella käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta yhdyskäytävän kautta tunnistuspalvelimeen, jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet tiedon onnistuneesta kirjautumisesta lähettä-20 miseksi yhdyskäytävään. Keksintö kohdistuu lisäksi tunnistuspalvelimeen käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon ja toisen tietoverkon, jotka on yhdistetty toisiinsa yhdyskäytävällä, välineet valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan palvelun käyttämiseksi, välineet käyttäjän kirjautumi-25 seksi yhdyskäytävään päätelaitteella käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta yhdyskäytävän kautta tunnistuspalvelimeen, jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään. Keksintö kohdistuu vielä yh-30 dyskäytävään käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon ja toisen tietoverkon, jotka on yhdistetty toisiinsa mainitulla yhdyskäytävällä, välineet valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan palvelun käyttämiseksi, välineet käyttäjän kirjautumiseksi yhdyskäytävään päätelaitteella käyttämällä 35 käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta yhdyskäytävän kautta tunnistuspalvelimeen, 2 jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään.
Käyttäjä voi ottaa yhteyden johonkin lähiverkkoon esim. Intern et-tieto-5 verkon välityksellä lähiverkossa olevan palvelun käyttämiseksi. Lähiverkkona on esimerkiksi yrityksen tai muun yhteisön oma tietoverkko, josta joissakin yhteyksissä käytetään myös nimitystä Intranet. Kuvassa 1 on esitetty eräs esimerkki tällaisesti järjestelmästä, joka käsittää ainakin yhden lähiverkon 1, jossa on yksi tai useampi palvelu 2 asen-10 nettuna etäpalvelimeen 3. Lähiverkossa 1 on tunnistuspalvelin 4, joka suorittaa käyttäjän tunnistamisen. Käyttäjä kirjautuu päätelaitteellaan 5 lähiverkkoon toisen tietoverkon 6, kuten Internet, välityksellä. Lähiverkko 1 on yhdistetty toiseen tietoverkkoon 6 yhdyskäytävän 7 avulla. Tämän yhdyskäytävän molemmissa päissä on edullisesti palomuuri 8.1, 15 8.2, joiden avulla pyritään estämään ulkopuolisten pääsy lähiverkkoon 1. Yhdyskäytävän 7 käytännön toteutus voi vaihdella eri sovelluksissa. Yhdyskäytävän 7 tarkoituksena on tämän keksinnön mukaisessa järjestelmässä toimia tietojen välittämisessä lähiverkon 1 ja toisen tietoverkon 6 välillä sekä toimia kirjautumisvälineenä käyttäjän kirjautuessa 20 järjestelmään jonkin palvelun 2 käyttämiseksi.
Siinä vaiheessa kun käyttäjä haluaa käyttää jotakin lähiverkon palvelua 2, toimitaan esim. seuraavasti. Käyttäjä ottaa päätelaitteella 5 yhteyden toiseen tietoverkkoon 6 ja määrittää kohdeosoitteeksi lähiverkon 1 tun- 25 nistuspalvelimen 4 osoitteen. Tämän jälkeen päätelaite 5 ja tunnistus-palvelin 4 kommunikoivat keskenään käyttäjän tunnistusta varten. Tun-nistusvaiheessa käyttäjän on tavallisesti kirjoitettava käyttäjätunnus ja salasana, jonka perusteella käyttäjä identifioidaan tunnistuspalvelimes-sa 4 ja varmistetaan, että käyttäjällä on oikeus kirjautua käyttämään 30 lähiverkkoa 1.
Tunnistusprotokollana voi olla esimerkiksi RADIUS (Remote Authentication Dial In User Service), LDAP (Lightweight Directory Access Protocol) tai jokin muu tunnistukseen soveltuva protokolla.
35 3
Sen jälkeen kun tunnistus on suoritettu ja käyttäjän oikeus lähiverkon 1 käyttöön on varmennettu, käyttäjä voi aloittaa haluamansa palvelun 2 käyttämisen. Kuitenkin palvelun käyttö yleensä edellyttää vielä sitä, että käyttäjä syöttää kyseisen palvelun valtuustiedot, joiden perusteella 5 palvelin, johon palvelu on asennettu, pystyy tunnistamaan käyttäjän ja varmentamaan hänen oikeutensa palvelun käyttämiseen. Nämä valtuustiedot eivät yleensä ole samat, joita käyttäjä käyttää lähiverkkoon kirjautumisessa. Tällöin käyttäjä joutuu antamaan valtuustietonsa tavallisesti jokaiseen palveluun erikseen, mikä on hankalaa. Lisäksi usei-10 den valtuustietojen, kuten käyttäjätunnuksen ja salasanan, muistaminen voi olla vaikeaa ja saattaa edellyttää valtuustietojen kirjaamista muistiin.
Valtuustietojen tallentaminen salaamattomassa muodossa tietoverk-15 koon 6 tai yhdyskäytävään 7 ei ole turvallista, koska ulkopuolisten on yleensä mahdollista päästä toiseen tietoverkkoon 6 sekä yhdyskäytävään 7, jolloin valtuustiedot saattavat päätyä sellaisten tietoon, joilla ei ole oikeutta käyttää lähiverkkoa 1 tai sen palveluita 2.
20 Nyt esillä olevan keksinnön eräänä tarkoituksena on tarjota turvallinen menetelmä valtuustietojen säilyttämiseksi ja välittämiseksi käyttäjälle lähiverkon palveluiden käyttämistä varten. Keksintö perustuu siihen ajatukseen, että siinä vaiheessa kun käyttäjä on tunnistettu, välitetään käyttäjän päätelaitteeseen valtuustietoihin liittyvää tietoa, jolloin käyt-25 täjän siirtyessä käyttämään lähiverkon palvelua, käytetään välitettyä tietoa valtuustietojen selvittämiseksi. Tämän tiedon perusteella selvitetään käyttäjän valtuustiedot kyseistä palvelua varten ja välitetään valtuustiedot palveluun, joka voi tämän perusteella varmentaa käyttäjän oikeudet palvelun käyttämiseen. Valtuustietojen selvittämiseksi vä-30 litettävä tieto voi käsittää valtuustiedot, tai yhden tai useamman salausavaimen, jolla mahdollisesti salatussa muodossa olevien valtuus-tietojen salaus voidaan purkaa. Täsmällisemmin ilmaistuna nyt esillä olevan keksinnön mukaiselle menetelmälle on pääasiassa tunnusomaista se, että tunnistuspalvelimen yhteyteen tallennetaan 35 palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin kirjautumisvaiheessa palvelukohtaisiin valtuustietoihin liittyvää infor- 4 maatiota välitetään tunnistuspalvelimelta yhdyskäytävään, ja että yhdyskäytävästä välitetään palvelukohtaisia valtuustietoja mainittuun palveluun ensimmäisessä tietoverkossa, jolloin mainitussa palvelussa tarkistetaan mainittujen valtuustietojen perusteella käyttäjän oikeudet 5 palvelun käyttämiseen. Nyt esillä olevan keksinnön mukaiselle järjestelmälle on pääasiassa tunnusomaista se, että tunnistuspalve-limen yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin järjestelmä käsittää välineet palvelukohtaisiin valtuustietoihin liittyvän informaation välittämiseksi kirjautumisen 10 yhteydessä tunnistuspalvelimelta yhdyskäytävään, ja että järjestelmässä on välineet palvelukohtaisten valtuustietojen välittämiseksi yhdyskäytävästä mainittuun palveluun ensimmäisessä tietoverkossa käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi. Nyt esillä olevan keksinnön mukaiselle tunnistus-15 palvelimelle on pääasiassa tunnusomaista se, että tunnistuspalvelimen yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin tunnistuspalvelin käsittää välineet palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä yhdyskäytävään käytettäväksi mainitussa palve-20 lussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi. Nyt esillä olevan keksinnön mukaiselle yhdyskäytävälle on pääasiassa tunnusomaista se, että tunnistuspalvelimen yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin yhdyskäytävä käsittää välineet palvelukohtaisiin valtuustietoihin liittyvän informaation 25 vastaanottamiseksi kirjautumisen yhteydessä tunnistuspalvelimelta, ja välineet palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä mainittuun palveluun ensimmäisessä tietoverkossa käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi.
30
Nyt esillä olevalla keksinnöllä saavutetaan merkittäviä etuja tunnetun tekniikan mukaisiin ratkaisuihin verrattuna. Keksinnön mukaisessa järjestelmässä voidaan yhden käyttäjätunnuksen avulla saada käyttöön käyttäjän valtuustiedot lähiverkon eri palveluihin. Tällöin käyttäjän ei 35 tarvitse erikseen syöttää palvelukohtaisesti valtuustietoja, vaan yhden käyttäjätunnisteen syöttäminen riittää. Tämä vähentää erilaisten vai- 5 tuustietojen muistamistarvetta sekä nopeuttaa ja helpottaa lähiverkon palveluiden käyttämisen aloittamista. Myös riski valtuustietojen joutumisesta ulkopuolisten haltuun pienenee, koska käyttäjän ei tarvitse tallentaa tai kirjoittaa muistiin useita valtuustietoja.
5
Keksintöä selostetaan seuraavassa tarkemmin viitaten samalla oheisiin piirustuksiin, joissa kuva 1 esittää erästä tietojärjestelmää, jossa käyttäjien käytettävis-10 sä olevia palveluita on toteutettu lähiverkkoon, kuva 2a esittää keksinnön ensimmäisen edullisen suoritusmuodon mukaista järjestelmää pelkistettynä kaaviona, 15 kuva 2b esittää keksinnön ensimmäisen edullisen suoritusmuodon mukaisessa menetelmässä suoritettavaa sanomanvälitystä pelkistettynä kaaviona, kuva 3a esittää keksinnön toisen edullisen suoritusmuodon mukaista 20 järjestelmää pelkistettynä kaaviona, ja kuva 3b esittää keksinnön toisen edullisen suoritusmuodon mukaisessa menetelmässä suoritettavaa sanomanvälitystä pelkistettynä kaaviona.
25
Seuraavassa keksinnön ensimmäisen edullisen suoritusmuodon mukaisen menetelmän ja järjestelmän kuvauksessa käytetään ei-rajoitta-vana esimerkkinä kuvan 2a mukaista järjestelmää 9. Se käsittää lähiverkon 1, johon on järjestetty ainakin yksi palvelu 2, jota voidaan käyt-30 tää lähiverkon 1 ulkopuolelta, esimerkiksi tietoverkon 6 välityksellä. Lähiverkko 1 on kytketty tiedonsiirtoyhteyteen tietoverkkoon 6 edullisesti yhdyskäytävän 7 avulla. Yhdyskäytävässä on edullisesti ainakin tietojenkäsittelyvälineet 7.1, tiedonsiirtovälineet 7.2 (I/O, Input/Output) sekä muistia 7.3. Tämän yhdyskäytävän 7 molemmissa päissä on sinänsä 35 tunnetusti edullisesti palomuuri 8.1,8.2 tai vastaava. Lisäksi tietoverkko 7 on yhteydessä langattomaan tiedonsiirtoverkkoon 10, kuten mat- 6 kaviestinverkkoon. Tällöin yhteys lähiverkkoon 1 voidaan muodostaa myös langattoman päätelaitteen 11 avulla. Lähiverkossa 1 on tunnis-tuspalvelin 4, jonka avulla lähiverkkoon 1 kirjautumassa olevan päätelaitteen 5, 11 käyttäjä voidaan tunnistaa. Tunnistuspalvelimessa on 5 edullisesti ainakin tietojenkäsittelyvälineet 4.1, tiedonsiirtovälineet 4.2 (I/O, Input/Output) sekä muistia 4.3 esim. käyttäjätietoja sisältävän tietokannan tallentamiseksi. Lähiverkkoon 1 toteutettu palvelu 2 on järjestetty esimerkiksi etäpalvelimen 3 yhteyteen. On kuitenkin selvää, että tunnistuspalvelimen 4 ja etäpalvelimen 3 ei tarvitse olla erillisiä 10 laitteita, vaan ne voidaan toteuttaa myös yhdessä palvelinlaitteistossa.
Eräitä ei-rajoittavia esimerkkejä palveluista 2, joiden yhteydessä keksinnön mukaista kirjautumista voidaan soveltaa, ovat sähköposti, lähiverkkoon 1 asennettu sovellusohjelma, maksusovellus, lähiverkon etä-15 hallintasovellus, kalenteri tms.
Oletetaan seuraavassa, että käyttäjä aikoo käyttää langattomalla päätelaitteella 11 lähiverkon 1 palvelua 2. Tällöin langaton päätelaite 11 tarvittaessa kirjautuu langattomaan tiedonsiirtoverkkoon 10 tiedonsiir-20 toyhteyden aktivoimiseksi langattoman tiedonsiirtoverkon 10 ja langattoman päätelaitteen 11 välillä. Tiedonsiirtoyhteys on edullisesti ns. yhteydetön yhteys, kuten pakettiyhteys, jossa tiedonsiirtoyhteys ei varaa langattoman tiedonsiirtoverkon 10 resursseja koko yhteyden aktiivisena oloajaksi vaan pääasiassa ainoastaan silloin, kun tietoa siirretään tie-25 donsiirtoyhteyden yli. Eräs esimerkki tällaisesta yhteydettömästä yhteydestä on pakettiyhteys, jossa tieto välitetään pakettimuodossa vain tarvittaessa. Esimerkiksi GSM-matkaviestinjärjestelmässä on toteutettu GPRS-palvelu (General Packet Radio Service), jossa sovelletaan pakettimuotoista tiedonsiirtoa. Yhteys voi kuitenkin olla myös ns. yhtey-30 dellinen yhteys, kuten puheyhteys, jossa yhteydelle on varattu resursseja koko tiedonsiirtoyhteyden aktiivisena oloajan.
Matkapuhelimen ja yhdyspalvelimen välille muodostetaan suojattu tunneli, jonka avulla kaikki matkapuhelimen ja yhdyspalvelimen välinen 35 liikenne salataan. Käyttäjä avaa tunneli-istunnon (sessio) kirjautumalla yhdyspalvelimelle. Nyt esillä oleva keksintö mahdollistaa sen, että tun- 7 nelin avaamisen jälkeen kaikki palvelut, joita käytetään tunnelin läpi, ovat käyttäjän käytössä yhdellä kirjautumisella. Yhdellä kirjautumisella voidaan siis aloittaa istunto, jonka aikana yhdyspalvelin välittää kaikki istunnon aikana käytettävien palvelujen vaatimat valtuustiedot etäpal-5 velimille.
Sen jälkeen kun langattomalle päätelaitteelle on aktivoitu tiedonsiirtoyhteys, voi käyttäjä aloittaa tietoverkon selaamisen esim. tähän tarkoitukseen tarkoitetulla selainohjelmalla (browser, web browser). Tämän 10 ohjelman avulla käyttäjä ilmoittaa järjestelmälle sen lähiverkon osoitteen tai muun lähiverkon yksilöivän tunnisteen, jonka perusteella järjestelmä suorittaa kirjautumisen lähiverkkoon 1. Kuvassa 2b on pelkistettynä kaaviona esitetty menetelmän yhteydessä käytettävää sano-mienvälitystä palvelun käyttämisen aloittamiseksi. Tässä vaiheessa 15 tietoa siirretään lähiverkon 1 tunnistuspalvelimen 4 ja langattoman päätelaitteen 11 välillä yhdyskäytävän 7 kautta. Langattoman päätelaitteen 11 käyttäjälle esitetään edullisesti kirjautumisikkuna tai vastaava, jossa käyttäjää pyydetään ilmoittamaan käyttäjätunnisteensa. Käyttäjätunniste käsittää tyypillisesti käyttäjätunnuksen (user id) sekä 20 salasanan (password). Kun käyttäjä on syöttänyt nämä tiedot langattomaan päätelaitteeseen, lähetetään käyttäjätunniste tiedonsiirtoyhteyden välityksellä yhdyskäytävälle 7 (nuoli 201 kuvan 2b kaaviossa). Yhdyskäytävästä 7 tiedot välitetään edelleen tunnistuspalvelimelle 4 tun-nistussanomana tai vastaavana (nuoli 202). Yhdyskäytävän 7 ja tun-25 nistuspalvelimen 4 välisessä tiedonsiirrossa käytetään jotakin tarkoitukseen soveltuvaa protokollaa, kuten RADIUS tai LDAP, jolloin käyttäjätunniste välitetään käytettävän protokollan mukaisena yhtenä tai useampana sanomana. Tunnistuspalvelimessa 4 vastaanotetaan sanoma tai sanomat ja tutkitaan niiden sisältämä informaatio (lohko 203). 30 Tunnistuspalvelin 4 tutkii käyttäjätietokannastaan 4.3 mm. sen, onko siellä kyseistä käyttäjätunnistetta vastaavaa tietuetta. Mikäli sellainen löytyy, tutkitaan tarvittaessa käyttäjätunnukselle varatut käyttöoikeudet, kuten sen, mitä palveluita 2 kyseinen käyttäjä on oikeutettu käyttämään. Tunnistuspalvelimen tietokantaan 4.3 on tässä edullisessa suo-35 ritusmuodossa tallennettu myös käyttäjän valtuustiedot niiden palveluiden 2 osalta, joiden käyttämiseen käyttäjällä on oikeus. Tällöin tunnis- 8 tuspalvelin 4 lähettää tiedon käyttäjän tunnistamisesta sekä mainitut valtuustiedot yhdyskäytävälle 7 (nuoli 204), jossa ne tallennetaan palveluiden käyttämistä varten muistiin 7.3 (kuva 2a) sopivimmin tiedonsiirtoyhteyden aktiivisena oloajaksi (lohko 205). Yhdyskäytävä 7 päät-5 telee käyttäjän tunnistamistiedon perusteella sen, onko tunnistuspalve-lin 4 tunnistanut kyseisen käyttäjän.
Mikäli tunnistus on asianmukaisesti suoritettu, yhdyskäytävä 7 lähettää tästä sanoman langattomaan päätelaitteeseen 11 (nuoli 206). Tämän 10 jälkeen langattomassa päätelaitteessa 11 voidaan aloittaa palvelun käyttö, jolloin langattomasta päätelaitteesta 11 lähetetään palveluun kirjautumissanoma tai vastaava yhdyskäytävään 7 (nuoli 207). Sanomassa on tietoa palvelusta, jonka käyttäminen on tarkoitus aloittaa. Yhdyskäytävä 7 tutkii palvelun ja etsii tallennetuista valtuustiedoistaan 15 kyseisen käyttäjän valtuustiedot käynnistettävään palveluun (lohko 208). Nämä valtuustiedot käsittävät esimerkiksi käyttäjän palvelukohtaisen käyttäjätunnuksen ja salasanan. Kun kyseisen käyttäjän valtuustiedot on paikannettu yhdyskäytävän muistista 7.3, lähettää yhdyskäytävä palveluun kirjautumissanoman (nuoli 209) sille etäpalvelimelle 20 3, jossa käytettävä palvelu sijaitsee. Kirjautumissanomassa välitetään käyttäjän valtuustiedot. Etäpalvelimen 3 palvelu 2 vastaanottaa kirjautumissanoman sekä varmentaa, että valtuustiedot ovat oikein (lohko 210). Tämän jälkeen etäpalvelin 3 lähettää palvelun mukaista informaatiota yhdyskäytävälle 7 (nuoli 211), joka välittää informaation edel-25 leen langattomalle päätelaitteelle 11 esitettäväksi käyttäjälle (nuoli 212). Palvelun käyttäminen on nyt mahdollista. Palvelun käytön yhteydessä suoritetaan sanomien välitystä langattoman päätelaitteen 11 ja etäpalvelimen 3 välillä yhdyskäytävän 7 kautta. Käyttäjän ei tarvitse suorittaa valtuustietojen syöttämistä. Keksintö soveltuu erityisesti sel-30 laisiin järjestelmiin, joissa tunnistustietojen lähettämistä ei suorita päätelaite vaan jokin toinen järjestelmän osa, mikä tässä edellä esitetyssä esimerkissä on tunnistuspalvelimen 4 kanssa kommunikoiva yhdyskäytävä 7.
35 Mainittakoon tässä yhteydessä se, että tunnistuspalvelimen 4 tietokanta 4.3 on toteutettu sopivimmin siten, että tietokannassa oleviin 9 käyttäjäkohtaisiin valtuustietoihin ei ole pääsyä muutoin kuin käyttäjän suorittaman kirjautumisen yhteydessä. Tällöin ainakin valtuustiedot on tallennettu salatussa muodossa ja että salauksen purkaminen on mahdollista vain oikean käyttäjätunnisteen, kuten käyttäjätunnuksen ja sa-5 lasanan syöttämisen jälkeen. Tunnistuspalvelimen 4 yhteyteen on kuitenkin tallennettu käyttäjäkohtaiset käyttäjätunnukset, jotta tunnistus-palvelin pystyy varmentamaan sen, että kirjautumista yrittävä käyttäjä on järjestelmän käyttöön oikeutettu käyttäjä ja että käyttäjätunnus on syötetty oikein.
10
Kuvassa 3a on esitetty keksinnön erään toisen edullisen suoritusmuodon mukainen järjestelmä pelkistettynä kaaviona ja kuvassa 3b on esitetty keksinnön toisen edullisen suoritusmuodon mukaisessa menetelmässä suoritettavaa sanomienvälitystä pelkistetysti. Tämä keksin-15 nön toisen edullisen suoritusmuodon mukainen järjestelmä ja menetelmä ovat pääosin keksinnön ensimmäisen edullisen suoritusmuodon mukaisia. Olennaisimpana erona on se, että tässä toisessa suoritusmuodossa valtuustietoja ei tallenneta tunnistuspalvelimen 4 yhteyteen, vaan yhdyskäytävän 7 yhteyteen. Valtuustiedot tallennetaan salatussa 20 muodossa ja salauksen purkamisessa käytettävä avain tallennetaan tunnistuspalvelimen 4 yhteyteen.
Kuvataan vielä lyhyesti menetelmän vaiheita. Käyttäjä ilmoittaa järjestelmälle sen lähiverkon osoitteen tai muun lähiverkon yksilöivän tun-25 nisteen, jonka perusteella järjestelmä suorittaa kirjautumisen lähiverkkoon 1. Langattoman päätelaitteen 11 käyttäjälle esitetään edullisesti kirjautumisikkuna tai vastaava, jossa käyttäjää pyydetään ilmoittamaan käyttäjätunnisteensa. Käyttäjätunniste käsittää tyypillisesti käyttäjätunnuksen (user id) sekä salasanan (password). Kun käyttäjä on syöttänyt 30 nämä tiedot langattomaan päätelaitteeseen, lähetetään käyttäjätunniste tiedonsiirtoyhteyden välityksellä yhdyskäytävälle 7 (nuoli 301 kuvan 3b kaaviossa). Yhdyskäytävästä 7 tiedot välitetään edelleen tun-nistuspalvelimelle 4 tunnistussanomana tai vastaavana (nuoli 302). Yhdyskäytävän 7 ja tunnistuspalvelimen 4 välisessä tiedonsiirrossa 35 käytetään jotakin tarkoitukseen soveltuvaa protokollaa, kuten RADIUS tai LDAP, jolloin käyttäjätunniste välitetään käytettävän protokollan mu- 10 kaisena yhtenä tai useampana sanomana. Tunnistuspalvelimessa 4 vastaanotetaan sanoma tai sanomat ja tutkitaan niiden sisältämä informaatio (lohko 303). Tunnistuspalvelin 4 tutkii käyttäjätietokannas-taan 4.3 mm. sen, onko siellä kyseistä käyttäjätunnistetta vastaavaa 5 tietuetta. Mikäli sellainen löytyy, tutkitaan tarvittaessa käyttäjätunnukselle varatut käyttöoikeudet, kuten sen, mitä palveluita 2 kyseinen käyttäjä on oikeutettu käyttämään. Tunnistuspalvelimen tietokantaan 4.3 on tässä edullisessa suoritusmuodossa tallennettu myös käyttäjän valtuustietojen salauksen purkamisessa käytettävä salausavain niiden 10 palveluiden 2 osalta, joiden käyttämiseen käyttäjällä on oikeus. Salausavain on sopivimmin sama eri palveluille, mutta keksintöä voidaan soveltaa myös siten että kullekin palvelulle on oma salausavain, jolloin valtuustietojen salauksen purkamisessa käytetään kyseisen palvelun valtuustietojen purkamiseen soveltuvaa salausavainta. Tällöin tunnis-15 tuspalvelin 4 lähettää tiedon käyttäjän tunnistamisesta sekä mainitun salausavaimen tai salausavaimet yhdyskäytävälle 7 (nuoli 304), jossa se/ne tallennetaan palveluiden käyttämistä varten muistiin 7.3 (kuva 3a) sopivimmin tiedonsiirtoyhteyden aktiivisena oloajaksi (lohko 305). Yhdyskäytävä 7 päättelee käyttäjän tunnistamistiedon perusteella sen, 20 onko tunnistuspalvelin 4 tunnistanut kyseisen käyttäjän.
Mikäli tunnistus on asianmukaisesti suoritettu, yhdyskäytävä 7 lähettää tästä sanoman langattomaan päätelaitteeseen 11 (nuoli 306). Tämän jälkeen langattomassa päätelaitteessa 11 voidaan aloittaa palvelun 25 käyttö, jolloin langattomasta päätelaitteesta 11 lähetetään palveluun kirjautumissanoma tai vastaava yhdyskäytävään 7 (nuoli 307). Sanomassa on tietoa palvelusta, jonka käyttäminen on tarkoitus aloittaa. Yhdyskäytävä 7 tutkii palvelun ja etsii tallennetuista valtuustiedoistaan kyseisen käyttäjän valtuustiedot käynnistettävään palveluun sekä pal-30 velua vastaavan salausavaimen, minkä jälkeen yhdyskäytävä 7 suorittaa valtuustietojen salauksen purkamisen (lohko 308). Kun kyseisen käyttäjän valtuustiedot on paikannettu yhdyskäytävän muistista 7.3 ja valtuustietojen salaus on purettu, lähettää yhdyskäytävä palveluun kir-jautumissanoman (nuoli 309) sille etäpalvelimelle 3, jossa käytettävä 35 palvelu sijaitsee. Kirjautumissanomassa välitetään käyttäjän valtuustiedot. Etäpalvelimen 3 palvelu 2 vastaanottaa kirjautumissanoman sekä 11 varmentaa, että valtuustiedot ovat oikein (lohko 310). Tämän jälkeen etäpalvelin 3 lähettää palvelun mukaista informaatiota yhdyskäytävälle 7 (nuoli 311), joka välittää informaation edelleen langattomalle päätelaitteelle 11 esitettäväksi käyttäjälle (nuoli 312). Palvelun käyttäminen 5 on nyt mahdollista.
Keksinnön edellä esitetty toinen edullinen suoritusmuoto mahdollistaa sen, että valtuustiedot voidaan tallentaa johonkin sinänsä turvattomaan paikkaan, kuten yhdyskäytävän 7 yhteyteen. Valtuustietoja ei kuiten-10 kaan voi käytännössä helposti muuntaa salaamattomaan muotoon ilman salauksen purkamiseen soveltuvaa avainta. Sillä, minkälaista salausmenetelmää keksinnön yhteydessä käytetään, ei sinänsä ole merkitystä keksinnön kannalta. Käytettävä salausmenetelmä voi kuitenkin vaikuttaa lähinnä siihen, kuinka vaikea salaus on purkaa ilman salauk-15 sen purkamiseen tarkoitettua avainta. Tunnetut salausmenetelmät perustuvat joko symmetriseen salaukseen, jossa samaa salausavainta käytetään sekä salaukseen että salauksen purkamiseen, tai epäsymmetriseen salaukseen (esim. PKI, Public Key Infrastructure), jossa salaukseen käytettävä salausavain ei ole sama kuin salauksen purkami-20 sessa käytettävä avain.
Nyt esillä olevaa keksintöä voidaan soveltaa olemassa olevissa järjestelmissä ilman, että järjestelmän laitteistoon tarvitaan merkittäviä muutoksia. Keksinnön mukaisen menetelmän vaiheet voidaan toteuttaa 25 olemassa olevan laitteiston ohjelmistossa, pääasiassa yhdyskäytävässä 7 sekä tunnistuspalvelimessa 4.
Tunnistuspalvelimen 4 ei välttämättä tarvitse sijaita lähiverkossa 1, vaan tunnistuspalvelimena 4 voidaan käyttää jotakin muuta palvelinta, 30 josta on järjestettävissä tiedonsiirtoyhteys yhdyskäytävään 7 käyttäjän kirjautumisessa tarvittavien tietojen välittämiseksi yhdyskäytävän 7 ja tunnistuspalvelimen 4 välillä.
Nyt esillä olevaa keksintöä ei ole rajoitettu ainoastaan edellä esitettyi-35 hin suoritusmuotoihin, vaan sitä voidaan muunnella oheisten patenttivaatimusten puitteissa.

Claims (13)

12
1. Menetelmä valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa (1) olevan palvelun (2) käyttämiseksi toisesta tietoverkosta (6), josta 5 on tiedonsiirtoyhteys ensimmäiseen tietoverkkoon (1) yhdyskäytävän (7) kautta, jossa menetelmässä käyttäjä suorittaa kirjautumisen yhdyskäytävään (7) käyttäjätunnuksella, mainittu käyttäjätunnus välitetään toisesta tietoverkosta (6) yhdyskäytävän (7) kautta tunnistus-palvelimeen (4), jossa käyttäjätunnus tarkistetaan ja tieto onnistu-10 neesta kirjautumisesta lähetetään yhdyskäytävään (7), tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen tallennetaan palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin kirjautumisvaiheessa palvelukohtaisiin valtuustietoihin liittyvää informaatiota välitetään tun-nistuspalvelimelta (4) yhdyskäytävään (7), ja että yhdyskäytävästä (7) 15 välitetään palvelukohtaisia valtuustietoja mainittuun palveluun ensimmäisessä tietoverkossa (1), jolloin mainitussa palvelussa tarkistetaan mainittujen valtuustietojen perusteella käyttäjän oikeudet palvelun käyttämiseen.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja salataan salausavaimella, mainitulla salausavaimella salattuja palvelukohtaisia valtuustietoja tallennetaan yhdyskäytävään (7), tunnistuspalvelimen (4) yhteyteen tallennetaan ainakin yksi palvelukohtaisten tietojen salauksen purka-25 misavain, jolloin kirjautumisvaiheessa välitetään salauksen purkamis-avain tunnistuspalvelimelta (4) yhdyskäytävään (7), yhdyskäytävässä (7) suoritetaan mainittuun palveluun (2) liittyvän valtuustiedon salauksen purkaminen mainitulla salauksen purkamisavaimella, ja mainittuun palveluun (2) liittyvä valtuustieto välitetään yhdyskäytävästä (7) 30 mainittuun palveluun (2) ensimmäisessä tietoverkossa (1).
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että samaa salausavainta käytetään saman käyttäjän kaikkien palveluiden valtuustietojen salaamisessa. 35 13
4. Jonkin patenttivaatimuksen 1—3 mukainen menetelmä, tunnettu siitä, että kirjautuminen suoritetaan yhdyskäytävässä (7), jossa tutkitaan mainittu käyttäjätunnus ennen valtuustietoon liittyvän informaation hakemista tunnistuspalvelimelta (4). 5
5. Jonkin patenttivaatimuksen 1—4 mukainen menetelmä, tunnettu siitä, että valtuustietoihin liittyvä informaatio tallennetaan tunnistuspal-velimen (4) yhteyteen käyttäjätunnuksella suojattuna, jolloin valtuus-tietojen selvittämisessä käytetään käyttäjätunnusta. 10
6. Jonkin patenttivaatimuksen 1—5 mukainen menetelmä, tunnettu siitä, että yhdyskäytävän (7) ja tunnistuspalvelimen (4) välisessä tiedonsiirrossa käytetään ainakin yhtä seuraavista protokollista: RADIUS,
15. LDAP.
7. Järjestelmä, joka käsittää ainakin ensimmäisen tietoverkon (1) ja toisen tietoverkon (6), jotka on yhdistetty toisiinsa yhdyskäytävällä (7), välineet (4.1,4.3) valtuustiedon hankkimiseksi ensimmäisessä 20 tietoverkossa olevan palvelun (2) käyttämiseksi, välineet (7.1) käyttäjän kirjautumiseksi yhdyskäytävään (7) päätelaitteella (5, 11) käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tiet overkosta (6) yhdyskäytävän^) kautta tunnistuspalvelimeen (4), jossa on välineet käyttäjätunnuksen 25 tarkistamiseksi, ja välineet (4.2) tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään (7) , tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin järjestelmä käsittää välineet (4.2, 7.2) palvelukohtaisiin valtuustietoihin liittyvän informaation 30 välittämiseksi kirjautumisen yhteydessä tunnistuspalvelimelta (4) yhdyskäytävään (7 ), ja että j ä rjestelmässä on välineet (7.2) palvelukohtaisten valtuustietojen välittämiseksi yhdyskäytävästä (7) mainittuun palveluun ensimmäisessä tietoverkossa (1) käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistami-35 seksi. 14
8. Patenttivaatimuksen 7 mukainen järjestelmä, tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja on salattu salausavaimella, että mainitulla salausavaimella salattuja palvelukohtaisia valtuustietoja on tallennettu yhdyskäytävään (7), että tunnistuspalvelimen (4) yhtey-5 teen on tallennettu ainakin yksi palvelukohtaisten tietojen salauksen purkamisavain, jolloin järjestelmä käsittää välineet (4.2, 7.2) salauksen purkamisavaimen välittämiseksi kirjautumisen yhteydessä tunnistus-palvelimelta (4) yhdyskäytävään (7), välineet (7.1) mainittuun palveluun (2) liittyvän valtuustiedon salauksen purkamiseksi mainitulla 10 salauksen purkamisavaimella yhdyskäytävässä (7), ja välineet (7.2) mainittuun palveluun (2) liittyvän valtuustiedon välittämiseksi yhdyskäytävästä (7) mainittuun palveluun (2) ensimmäisessä tietoverkossa (1).
9. Tunnistuspalvelin (4) käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon (1) ja toisen tietoverkon (6), jotka on yhdistetty toisiinsa yhdyskäytävällä (7), välineet (4.1,4.3) valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan palvelun (2) käyttämiseksi, välineet (7.1) käyttäjän kirjautumiseksi yhdyskäytävään (7) 20 päätelaitteella (5, 11) käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta (6) yhdyskäytävän (7) kautta tunnistuspalvelimeen (4), jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet (4.2) tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään (7), tunnettu siitä, että tun-25 nistuspalvelimen (4) yhteyteen on tallennettu palvelukohtaisiin valtuus-tietoihin liittyvää informaatiota, jolloin tunnistuspalvelin (4) käsittää välineet (4.2) palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä yhdyskäytävään (7) käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistami-30 seksi.
10. Patenttivaatimuksen 9 mukainen tunnistuspalvelin (4), tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen on tallennettu käyttäjän palvelukohtaisia valtuustietoja, jolloin kirjautumisen yhteydessä mai-35 nittuja valtuustietoja on järjestetty välitettäväksi tunnistuspalvelimel-ta (4) yhdyskäytävään (7). 15
11. Patenttivaatimuksen 9 mukainen tunnistuspalvelin (4), tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja on salattu salausavaimella ja tallennettu yhdyskäytävän (7) yhteyteen, jolloin tunnistus- 5 palvelimen (4) yhteyteen on tallennettu käyttäjän palvelukohtaisten valtuustietojen salauksen purkamisessa käytettävä salauksen purka-misavain, jolloin kirjautumisen yhteydessä mainittu salauksen purka-misavain on järjestetty välitettäväksi tunnistuspalvelimelta (4) yhdyskäytävään (7). 10
12. Yhdyskäytävä (7) käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon (1) ja toisen tietoverkon (6), jotka on yhdistetty toisiinsa mainitulla yhdyskäytävällä (7), välineet (4.1,4.3) valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan 15 palvelun (2) käyttämiseksi, välineet (7.1) käyttäjän kirjautumiseksi yhdyskäytävään (7) päätelaitteella (5, 11) käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta (6) yhdyskäytävän (7) kautta tunnistuspalvelimeen (4), jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet (4.2) tiedon 20 onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään (7), tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin yhdyskäytävä (7) käsittää välineet (7.2) palvelukohtaisiin valtuustietoihin liittyvän informaation vastaanottamiseksi kirjautumisen yhteydessä tunnis- 25 tuspalvelimelta (4), ja välineet (7.2) palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä mainittuun palveluun (2) ensimmäisessä tietoverkossa (1) käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi. 30
13. Patenttivaatimuksen 12 mukainen yhdyskäytävä (7), tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja on salattu salausavaimella ja tallennettu yhdyskäytävän (7) yhteyteen, että yhdyskäytävä (7) käsittää välineet (7.2) tunnistuspalvelimen (4) yhteyteen tallen- 35 nettujen käyttäjän palvelukohtaisten valtuustietojen salauksen purkamisessa käytettävän salauksen purkamisavaimen vastaanottamiseksi, 16 ja välineet (7.1) käyttäjän palvelukohtaisten valtuustietojen salauksen purkamiseksi mainitulla salauksen purkamisavaimella. 17
FI20035139A 2003-08-27 2003-08-27 Valtuustiedon hankkiminen FI120021B (fi)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FI20035139A FI120021B (fi) 2003-08-27 2003-08-27 Valtuustiedon hankkiminen
US10/923,608 US20050081066A1 (en) 2003-08-27 2004-08-20 Providing credentials
EP04767139A EP1661299A1 (en) 2003-08-27 2004-08-26 Providing credentials
CN2004800245376A CN1842993B (zh) 2003-08-27 2004-08-26 提供证书
PCT/FI2004/050119 WO2005022821A1 (en) 2003-08-27 2004-08-26 Providing credentials
JP2006524380A JP2007503637A (ja) 2003-08-27 2004-08-26 クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20035139A FI120021B (fi) 2003-08-27 2003-08-27 Valtuustiedon hankkiminen
FI20035139 2003-08-27

Publications (3)

Publication Number Publication Date
FI20035139A0 FI20035139A0 (fi) 2003-08-27
FI20035139A FI20035139A (fi) 2005-02-28
FI120021B true FI120021B (fi) 2009-05-29

Family

ID=27839082

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20035139A FI120021B (fi) 2003-08-27 2003-08-27 Valtuustiedon hankkiminen

Country Status (6)

Country Link
US (1) US20050081066A1 (fi)
EP (1) EP1661299A1 (fi)
JP (1) JP2007503637A (fi)
CN (1) CN1842993B (fi)
FI (1) FI120021B (fi)
WO (1) WO2005022821A1 (fi)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590685B2 (en) * 2004-04-07 2009-09-15 Salesforce.Com Inc. Techniques for providing interoperability as a service
US9645712B2 (en) 2004-10-01 2017-05-09 Grand Central Communications, Inc. Multiple stakeholders for a single business process
US7721328B2 (en) * 2004-10-01 2010-05-18 Salesforce.Com Inc. Application identity design
JP2006148661A (ja) * 2004-11-22 2006-06-08 Toshiba Corp 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法
US8543814B2 (en) * 2005-01-12 2013-09-24 Rpx Corporation Method and apparatus for using generic authentication architecture procedures in personal computers
US20060235804A1 (en) * 2005-04-18 2006-10-19 Sharp Kabushiki Kaisha Service providing system, service using device, service proving device, service relaying device, method for performing authentication, authentication program, and recording medium thereof
JP4709583B2 (ja) * 2005-05-31 2011-06-22 株式会社東芝 データ送信装置およびデータ送信方法
EP1742135B1 (de) * 2005-07-09 2008-10-08 ads-tec GmbH Schutzsystem für eine Datenverarbeitungsanlage
GB0610113D0 (en) * 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
US8468359B2 (en) * 2006-06-30 2013-06-18 Novell, Inc. Credentials for blinded intended audiences
ITTO20070853A1 (it) * 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
US8813200B2 (en) * 2007-12-21 2014-08-19 Oracle International Corporation Online password management
CA2677113A1 (en) * 2009-08-25 2011-02-25 01 Communique Laboratory Inc. System and method for remotely accessing and controlling a networked computer
US8452957B2 (en) * 2010-04-27 2013-05-28 Telefonaktiebolaget L M Ericsson (Publ) Method and nodes for providing secure access to cloud computing for mobile users
US8607358B1 (en) 2010-05-18 2013-12-10 Google Inc. Storing encrypted objects
US20120317184A1 (en) * 2011-06-07 2012-12-13 Syed Mohammad Amir Husain Zero Client Device With Integrated Global Position System Capability
EP2736213B1 (en) * 2012-11-21 2015-10-21 Mitsubishi Electric R&D Centre Europe B.V. Method and system for authenticating at least one terminal requesting access to at least one resource
CN103916849B (zh) * 2012-12-31 2018-08-24 上海诺基亚贝尔股份有限公司 用于无线局域网通信的方法和设备
US9098687B2 (en) * 2013-05-03 2015-08-04 Citrix Systems, Inc. User and device authentication in enterprise systems
US10104084B2 (en) * 2015-07-30 2018-10-16 Cisco Technology, Inc. Token scope reduction
CN106714127A (zh) * 2015-08-06 2017-05-24 中兴通讯股份有限公司 一种接入特殊业务网络的鉴权方法和装置
CN110995418B (zh) * 2019-11-27 2022-07-22 中国联合网络通信集团有限公司 云存储认证方法及系统、边缘计算服务器、用户路由器
CN110995759A (zh) * 2019-12-23 2020-04-10 中国联合网络通信集团有限公司 物联网的接入方法以及装置
US11611540B2 (en) * 2020-07-01 2023-03-21 Vmware, Inc. Protection of authentication data of a server cluster
US20220082284A1 (en) * 2020-07-14 2022-03-17 Venthalpy, Llc Systems and methods for measuring efficiencies of hvacr systems

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5898780A (en) * 1996-05-21 1999-04-27 Gric Communications, Inc. Method and apparatus for authorizing remote internet access
US6301661B1 (en) * 1997-02-12 2001-10-09 Verizon Labortories Inc. Enhanced security for applications employing downloadable executable content
US7366900B2 (en) * 1997-02-12 2008-04-29 Verizon Laboratories, Inc. Platform-neutral system and method for providing secure remote operations over an insecure computer network
US7290288B2 (en) * 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6065120A (en) * 1997-12-09 2000-05-16 Phone.Com, Inc. Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices
WO2001003402A1 (en) * 1999-07-02 2001-01-11 Nokia Corporation Authentication method and system
US6697824B1 (en) * 1999-08-31 2004-02-24 Accenture Llp Relationship management in an E-commerce application framework
US6563800B1 (en) * 1999-11-10 2003-05-13 Qualcomm, Inc. Data center for providing subscriber access to data maintained on an enterprise network
US7047560B2 (en) * 2001-06-28 2006-05-16 Microsoft Corporation Credential authentication for mobile users
US8005965B2 (en) * 2001-06-30 2011-08-23 International Business Machines Corporation Method and system for secure server-based session management using single-use HTTP cookies
WO2003029916A2 (en) * 2001-09-28 2003-04-10 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
US7206934B2 (en) * 2002-09-26 2007-04-17 Sun Microsystems, Inc. Distributed indexing of identity information in a peer-to-peer network
US7571472B2 (en) * 2002-12-30 2009-08-04 American Express Travel Related Services Company, Inc. Methods and apparatus for credential validation

Also Published As

Publication number Publication date
JP2007503637A (ja) 2007-02-22
FI20035139A (fi) 2005-02-28
EP1661299A1 (en) 2006-05-31
US20050081066A1 (en) 2005-04-14
CN1842993A (zh) 2006-10-04
CN1842993B (zh) 2010-04-28
WO2005022821A1 (en) 2005-03-10
FI20035139A0 (fi) 2003-08-27

Similar Documents

Publication Publication Date Title
FI120021B (fi) Valtuustiedon hankkiminen
US7231203B2 (en) Method and software program product for mutual authentication in a communications network
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
US7082535B1 (en) System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol
US6772331B1 (en) Method and apparatus for exclusively pairing wireless devices
KR102134302B1 (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
EP1841260B1 (en) Authentication system comprising a wireless terminal and an authentication device
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
CA2463286C (en) Multi-factor authentication system
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US6980660B1 (en) Method and apparatus for efficiently initializing mobile wireless devices
FI115098B (fi) Todentaminen dataviestinnässä
US20060288407A1 (en) Security and privacy enhancements for security devices
US20020169966A1 (en) Authentication in data communication
US20080072301A1 (en) System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces
EP1179244A1 (en) Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices
US20150249639A1 (en) Method and devices for registering a client to a server
US20050246531A1 (en) System and method for secured access for visitor terminals to an IP type network
JP2003338814A (ja) 通信システム、管理サーバおよびその制御方法ならびにプログラム
CN117354032A (zh) 一种基于代码服务器的多重认证方法
JP4793024B2 (ja) ユーザ認証方法、認証サーバ及びシステム
KR100463751B1 (ko) 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치
FI115097B (fi) Todentaminen dataviestinnässä
Asokan et al. Man-in-the-middle in tunnelled authentication

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 120021

Country of ref document: FI