FI120021B - Valtuustiedon hankkiminen - Google Patents
Valtuustiedon hankkiminen Download PDFInfo
- Publication number
- FI120021B FI120021B FI20035139A FI20035139A FI120021B FI 120021 B FI120021 B FI 120021B FI 20035139 A FI20035139 A FI 20035139A FI 20035139 A FI20035139 A FI 20035139A FI 120021 B FI120021 B FI 120021B
- Authority
- FI
- Finland
- Prior art keywords
- service
- user
- information
- network port
- authority
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
Valtuustiedon hankkiminen
Nyt esillä oleva keksintö kohdistuu menetelmään valtuustiedon hank-5 kimiseksi ensimmäisessä tietoverkossa olevan palvelun käyttämiseksi toisesta tietoverkosta, josta on tiedonsiirtoyhteys ensimmäiseen tietoverkkoon yhdyskäytävän kautta, jossa menetelmässä käyttäjä suorittaa kirjautumisen yhdyskäytävään käyttäjätunnuksella, mainittu käyttäjätunnus välitetään toisesta tietoverkosta yhdyskäytävän kautta 10 tunnistuspalvelimeen, jossa käyttäjätunnus tarkistetaan ja tieto onnistuneesta kirjautumisesta lähetetään yhdyskäytävään. Keksintö kohdistuu lisäksi järjestelmään, joka käsittää ainakin ensimmäisen tietoverkon ja toisen tietoverkon, jotka on yhdistetty toisiinsa yhdyskäytävällä, välineet valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan 15 palvelun käyttämiseksi, välineet käyttäjän kirjautumiseksi yhdyskäytävään päätelaitteella käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta yhdyskäytävän kautta tunnistuspalvelimeen, jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet tiedon onnistuneesta kirjautumisesta lähettä-20 miseksi yhdyskäytävään. Keksintö kohdistuu lisäksi tunnistuspalvelimeen käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon ja toisen tietoverkon, jotka on yhdistetty toisiinsa yhdyskäytävällä, välineet valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan palvelun käyttämiseksi, välineet käyttäjän kirjautumi-25 seksi yhdyskäytävään päätelaitteella käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta yhdyskäytävän kautta tunnistuspalvelimeen, jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään. Keksintö kohdistuu vielä yh-30 dyskäytävään käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon ja toisen tietoverkon, jotka on yhdistetty toisiinsa mainitulla yhdyskäytävällä, välineet valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan palvelun käyttämiseksi, välineet käyttäjän kirjautumiseksi yhdyskäytävään päätelaitteella käyttämällä 35 käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta yhdyskäytävän kautta tunnistuspalvelimeen, 2 jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään.
Käyttäjä voi ottaa yhteyden johonkin lähiverkkoon esim. Intern et-tieto-5 verkon välityksellä lähiverkossa olevan palvelun käyttämiseksi. Lähiverkkona on esimerkiksi yrityksen tai muun yhteisön oma tietoverkko, josta joissakin yhteyksissä käytetään myös nimitystä Intranet. Kuvassa 1 on esitetty eräs esimerkki tällaisesti järjestelmästä, joka käsittää ainakin yhden lähiverkon 1, jossa on yksi tai useampi palvelu 2 asen-10 nettuna etäpalvelimeen 3. Lähiverkossa 1 on tunnistuspalvelin 4, joka suorittaa käyttäjän tunnistamisen. Käyttäjä kirjautuu päätelaitteellaan 5 lähiverkkoon toisen tietoverkon 6, kuten Internet, välityksellä. Lähiverkko 1 on yhdistetty toiseen tietoverkkoon 6 yhdyskäytävän 7 avulla. Tämän yhdyskäytävän molemmissa päissä on edullisesti palomuuri 8.1, 15 8.2, joiden avulla pyritään estämään ulkopuolisten pääsy lähiverkkoon 1. Yhdyskäytävän 7 käytännön toteutus voi vaihdella eri sovelluksissa. Yhdyskäytävän 7 tarkoituksena on tämän keksinnön mukaisessa järjestelmässä toimia tietojen välittämisessä lähiverkon 1 ja toisen tietoverkon 6 välillä sekä toimia kirjautumisvälineenä käyttäjän kirjautuessa 20 järjestelmään jonkin palvelun 2 käyttämiseksi.
Siinä vaiheessa kun käyttäjä haluaa käyttää jotakin lähiverkon palvelua 2, toimitaan esim. seuraavasti. Käyttäjä ottaa päätelaitteella 5 yhteyden toiseen tietoverkkoon 6 ja määrittää kohdeosoitteeksi lähiverkon 1 tun- 25 nistuspalvelimen 4 osoitteen. Tämän jälkeen päätelaite 5 ja tunnistus-palvelin 4 kommunikoivat keskenään käyttäjän tunnistusta varten. Tun-nistusvaiheessa käyttäjän on tavallisesti kirjoitettava käyttäjätunnus ja salasana, jonka perusteella käyttäjä identifioidaan tunnistuspalvelimes-sa 4 ja varmistetaan, että käyttäjällä on oikeus kirjautua käyttämään 30 lähiverkkoa 1.
Tunnistusprotokollana voi olla esimerkiksi RADIUS (Remote Authentication Dial In User Service), LDAP (Lightweight Directory Access Protocol) tai jokin muu tunnistukseen soveltuva protokolla.
35 3
Sen jälkeen kun tunnistus on suoritettu ja käyttäjän oikeus lähiverkon 1 käyttöön on varmennettu, käyttäjä voi aloittaa haluamansa palvelun 2 käyttämisen. Kuitenkin palvelun käyttö yleensä edellyttää vielä sitä, että käyttäjä syöttää kyseisen palvelun valtuustiedot, joiden perusteella 5 palvelin, johon palvelu on asennettu, pystyy tunnistamaan käyttäjän ja varmentamaan hänen oikeutensa palvelun käyttämiseen. Nämä valtuustiedot eivät yleensä ole samat, joita käyttäjä käyttää lähiverkkoon kirjautumisessa. Tällöin käyttäjä joutuu antamaan valtuustietonsa tavallisesti jokaiseen palveluun erikseen, mikä on hankalaa. Lisäksi usei-10 den valtuustietojen, kuten käyttäjätunnuksen ja salasanan, muistaminen voi olla vaikeaa ja saattaa edellyttää valtuustietojen kirjaamista muistiin.
Valtuustietojen tallentaminen salaamattomassa muodossa tietoverk-15 koon 6 tai yhdyskäytävään 7 ei ole turvallista, koska ulkopuolisten on yleensä mahdollista päästä toiseen tietoverkkoon 6 sekä yhdyskäytävään 7, jolloin valtuustiedot saattavat päätyä sellaisten tietoon, joilla ei ole oikeutta käyttää lähiverkkoa 1 tai sen palveluita 2.
20 Nyt esillä olevan keksinnön eräänä tarkoituksena on tarjota turvallinen menetelmä valtuustietojen säilyttämiseksi ja välittämiseksi käyttäjälle lähiverkon palveluiden käyttämistä varten. Keksintö perustuu siihen ajatukseen, että siinä vaiheessa kun käyttäjä on tunnistettu, välitetään käyttäjän päätelaitteeseen valtuustietoihin liittyvää tietoa, jolloin käyt-25 täjän siirtyessä käyttämään lähiverkon palvelua, käytetään välitettyä tietoa valtuustietojen selvittämiseksi. Tämän tiedon perusteella selvitetään käyttäjän valtuustiedot kyseistä palvelua varten ja välitetään valtuustiedot palveluun, joka voi tämän perusteella varmentaa käyttäjän oikeudet palvelun käyttämiseen. Valtuustietojen selvittämiseksi vä-30 litettävä tieto voi käsittää valtuustiedot, tai yhden tai useamman salausavaimen, jolla mahdollisesti salatussa muodossa olevien valtuus-tietojen salaus voidaan purkaa. Täsmällisemmin ilmaistuna nyt esillä olevan keksinnön mukaiselle menetelmälle on pääasiassa tunnusomaista se, että tunnistuspalvelimen yhteyteen tallennetaan 35 palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin kirjautumisvaiheessa palvelukohtaisiin valtuustietoihin liittyvää infor- 4 maatiota välitetään tunnistuspalvelimelta yhdyskäytävään, ja että yhdyskäytävästä välitetään palvelukohtaisia valtuustietoja mainittuun palveluun ensimmäisessä tietoverkossa, jolloin mainitussa palvelussa tarkistetaan mainittujen valtuustietojen perusteella käyttäjän oikeudet 5 palvelun käyttämiseen. Nyt esillä olevan keksinnön mukaiselle järjestelmälle on pääasiassa tunnusomaista se, että tunnistuspalve-limen yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin järjestelmä käsittää välineet palvelukohtaisiin valtuustietoihin liittyvän informaation välittämiseksi kirjautumisen 10 yhteydessä tunnistuspalvelimelta yhdyskäytävään, ja että järjestelmässä on välineet palvelukohtaisten valtuustietojen välittämiseksi yhdyskäytävästä mainittuun palveluun ensimmäisessä tietoverkossa käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi. Nyt esillä olevan keksinnön mukaiselle tunnistus-15 palvelimelle on pääasiassa tunnusomaista se, että tunnistuspalvelimen yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin tunnistuspalvelin käsittää välineet palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä yhdyskäytävään käytettäväksi mainitussa palve-20 lussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi. Nyt esillä olevan keksinnön mukaiselle yhdyskäytävälle on pääasiassa tunnusomaista se, että tunnistuspalvelimen yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin yhdyskäytävä käsittää välineet palvelukohtaisiin valtuustietoihin liittyvän informaation 25 vastaanottamiseksi kirjautumisen yhteydessä tunnistuspalvelimelta, ja välineet palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä mainittuun palveluun ensimmäisessä tietoverkossa käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi.
30
Nyt esillä olevalla keksinnöllä saavutetaan merkittäviä etuja tunnetun tekniikan mukaisiin ratkaisuihin verrattuna. Keksinnön mukaisessa järjestelmässä voidaan yhden käyttäjätunnuksen avulla saada käyttöön käyttäjän valtuustiedot lähiverkon eri palveluihin. Tällöin käyttäjän ei 35 tarvitse erikseen syöttää palvelukohtaisesti valtuustietoja, vaan yhden käyttäjätunnisteen syöttäminen riittää. Tämä vähentää erilaisten vai- 5 tuustietojen muistamistarvetta sekä nopeuttaa ja helpottaa lähiverkon palveluiden käyttämisen aloittamista. Myös riski valtuustietojen joutumisesta ulkopuolisten haltuun pienenee, koska käyttäjän ei tarvitse tallentaa tai kirjoittaa muistiin useita valtuustietoja.
5
Keksintöä selostetaan seuraavassa tarkemmin viitaten samalla oheisiin piirustuksiin, joissa kuva 1 esittää erästä tietojärjestelmää, jossa käyttäjien käytettävis-10 sä olevia palveluita on toteutettu lähiverkkoon, kuva 2a esittää keksinnön ensimmäisen edullisen suoritusmuodon mukaista järjestelmää pelkistettynä kaaviona, 15 kuva 2b esittää keksinnön ensimmäisen edullisen suoritusmuodon mukaisessa menetelmässä suoritettavaa sanomanvälitystä pelkistettynä kaaviona, kuva 3a esittää keksinnön toisen edullisen suoritusmuodon mukaista 20 järjestelmää pelkistettynä kaaviona, ja kuva 3b esittää keksinnön toisen edullisen suoritusmuodon mukaisessa menetelmässä suoritettavaa sanomanvälitystä pelkistettynä kaaviona.
25
Seuraavassa keksinnön ensimmäisen edullisen suoritusmuodon mukaisen menetelmän ja järjestelmän kuvauksessa käytetään ei-rajoitta-vana esimerkkinä kuvan 2a mukaista järjestelmää 9. Se käsittää lähiverkon 1, johon on järjestetty ainakin yksi palvelu 2, jota voidaan käyt-30 tää lähiverkon 1 ulkopuolelta, esimerkiksi tietoverkon 6 välityksellä. Lähiverkko 1 on kytketty tiedonsiirtoyhteyteen tietoverkkoon 6 edullisesti yhdyskäytävän 7 avulla. Yhdyskäytävässä on edullisesti ainakin tietojenkäsittelyvälineet 7.1, tiedonsiirtovälineet 7.2 (I/O, Input/Output) sekä muistia 7.3. Tämän yhdyskäytävän 7 molemmissa päissä on sinänsä 35 tunnetusti edullisesti palomuuri 8.1,8.2 tai vastaava. Lisäksi tietoverkko 7 on yhteydessä langattomaan tiedonsiirtoverkkoon 10, kuten mat- 6 kaviestinverkkoon. Tällöin yhteys lähiverkkoon 1 voidaan muodostaa myös langattoman päätelaitteen 11 avulla. Lähiverkossa 1 on tunnis-tuspalvelin 4, jonka avulla lähiverkkoon 1 kirjautumassa olevan päätelaitteen 5, 11 käyttäjä voidaan tunnistaa. Tunnistuspalvelimessa on 5 edullisesti ainakin tietojenkäsittelyvälineet 4.1, tiedonsiirtovälineet 4.2 (I/O, Input/Output) sekä muistia 4.3 esim. käyttäjätietoja sisältävän tietokannan tallentamiseksi. Lähiverkkoon 1 toteutettu palvelu 2 on järjestetty esimerkiksi etäpalvelimen 3 yhteyteen. On kuitenkin selvää, että tunnistuspalvelimen 4 ja etäpalvelimen 3 ei tarvitse olla erillisiä 10 laitteita, vaan ne voidaan toteuttaa myös yhdessä palvelinlaitteistossa.
Eräitä ei-rajoittavia esimerkkejä palveluista 2, joiden yhteydessä keksinnön mukaista kirjautumista voidaan soveltaa, ovat sähköposti, lähiverkkoon 1 asennettu sovellusohjelma, maksusovellus, lähiverkon etä-15 hallintasovellus, kalenteri tms.
Oletetaan seuraavassa, että käyttäjä aikoo käyttää langattomalla päätelaitteella 11 lähiverkon 1 palvelua 2. Tällöin langaton päätelaite 11 tarvittaessa kirjautuu langattomaan tiedonsiirtoverkkoon 10 tiedonsiir-20 toyhteyden aktivoimiseksi langattoman tiedonsiirtoverkon 10 ja langattoman päätelaitteen 11 välillä. Tiedonsiirtoyhteys on edullisesti ns. yhteydetön yhteys, kuten pakettiyhteys, jossa tiedonsiirtoyhteys ei varaa langattoman tiedonsiirtoverkon 10 resursseja koko yhteyden aktiivisena oloajaksi vaan pääasiassa ainoastaan silloin, kun tietoa siirretään tie-25 donsiirtoyhteyden yli. Eräs esimerkki tällaisesta yhteydettömästä yhteydestä on pakettiyhteys, jossa tieto välitetään pakettimuodossa vain tarvittaessa. Esimerkiksi GSM-matkaviestinjärjestelmässä on toteutettu GPRS-palvelu (General Packet Radio Service), jossa sovelletaan pakettimuotoista tiedonsiirtoa. Yhteys voi kuitenkin olla myös ns. yhtey-30 dellinen yhteys, kuten puheyhteys, jossa yhteydelle on varattu resursseja koko tiedonsiirtoyhteyden aktiivisena oloajan.
Matkapuhelimen ja yhdyspalvelimen välille muodostetaan suojattu tunneli, jonka avulla kaikki matkapuhelimen ja yhdyspalvelimen välinen 35 liikenne salataan. Käyttäjä avaa tunneli-istunnon (sessio) kirjautumalla yhdyspalvelimelle. Nyt esillä oleva keksintö mahdollistaa sen, että tun- 7 nelin avaamisen jälkeen kaikki palvelut, joita käytetään tunnelin läpi, ovat käyttäjän käytössä yhdellä kirjautumisella. Yhdellä kirjautumisella voidaan siis aloittaa istunto, jonka aikana yhdyspalvelin välittää kaikki istunnon aikana käytettävien palvelujen vaatimat valtuustiedot etäpal-5 velimille.
Sen jälkeen kun langattomalle päätelaitteelle on aktivoitu tiedonsiirtoyhteys, voi käyttäjä aloittaa tietoverkon selaamisen esim. tähän tarkoitukseen tarkoitetulla selainohjelmalla (browser, web browser). Tämän 10 ohjelman avulla käyttäjä ilmoittaa järjestelmälle sen lähiverkon osoitteen tai muun lähiverkon yksilöivän tunnisteen, jonka perusteella järjestelmä suorittaa kirjautumisen lähiverkkoon 1. Kuvassa 2b on pelkistettynä kaaviona esitetty menetelmän yhteydessä käytettävää sano-mienvälitystä palvelun käyttämisen aloittamiseksi. Tässä vaiheessa 15 tietoa siirretään lähiverkon 1 tunnistuspalvelimen 4 ja langattoman päätelaitteen 11 välillä yhdyskäytävän 7 kautta. Langattoman päätelaitteen 11 käyttäjälle esitetään edullisesti kirjautumisikkuna tai vastaava, jossa käyttäjää pyydetään ilmoittamaan käyttäjätunnisteensa. Käyttäjätunniste käsittää tyypillisesti käyttäjätunnuksen (user id) sekä 20 salasanan (password). Kun käyttäjä on syöttänyt nämä tiedot langattomaan päätelaitteeseen, lähetetään käyttäjätunniste tiedonsiirtoyhteyden välityksellä yhdyskäytävälle 7 (nuoli 201 kuvan 2b kaaviossa). Yhdyskäytävästä 7 tiedot välitetään edelleen tunnistuspalvelimelle 4 tun-nistussanomana tai vastaavana (nuoli 202). Yhdyskäytävän 7 ja tun-25 nistuspalvelimen 4 välisessä tiedonsiirrossa käytetään jotakin tarkoitukseen soveltuvaa protokollaa, kuten RADIUS tai LDAP, jolloin käyttäjätunniste välitetään käytettävän protokollan mukaisena yhtenä tai useampana sanomana. Tunnistuspalvelimessa 4 vastaanotetaan sanoma tai sanomat ja tutkitaan niiden sisältämä informaatio (lohko 203). 30 Tunnistuspalvelin 4 tutkii käyttäjätietokannastaan 4.3 mm. sen, onko siellä kyseistä käyttäjätunnistetta vastaavaa tietuetta. Mikäli sellainen löytyy, tutkitaan tarvittaessa käyttäjätunnukselle varatut käyttöoikeudet, kuten sen, mitä palveluita 2 kyseinen käyttäjä on oikeutettu käyttämään. Tunnistuspalvelimen tietokantaan 4.3 on tässä edullisessa suo-35 ritusmuodossa tallennettu myös käyttäjän valtuustiedot niiden palveluiden 2 osalta, joiden käyttämiseen käyttäjällä on oikeus. Tällöin tunnis- 8 tuspalvelin 4 lähettää tiedon käyttäjän tunnistamisesta sekä mainitut valtuustiedot yhdyskäytävälle 7 (nuoli 204), jossa ne tallennetaan palveluiden käyttämistä varten muistiin 7.3 (kuva 2a) sopivimmin tiedonsiirtoyhteyden aktiivisena oloajaksi (lohko 205). Yhdyskäytävä 7 päät-5 telee käyttäjän tunnistamistiedon perusteella sen, onko tunnistuspalve-lin 4 tunnistanut kyseisen käyttäjän.
Mikäli tunnistus on asianmukaisesti suoritettu, yhdyskäytävä 7 lähettää tästä sanoman langattomaan päätelaitteeseen 11 (nuoli 206). Tämän 10 jälkeen langattomassa päätelaitteessa 11 voidaan aloittaa palvelun käyttö, jolloin langattomasta päätelaitteesta 11 lähetetään palveluun kirjautumissanoma tai vastaava yhdyskäytävään 7 (nuoli 207). Sanomassa on tietoa palvelusta, jonka käyttäminen on tarkoitus aloittaa. Yhdyskäytävä 7 tutkii palvelun ja etsii tallennetuista valtuustiedoistaan 15 kyseisen käyttäjän valtuustiedot käynnistettävään palveluun (lohko 208). Nämä valtuustiedot käsittävät esimerkiksi käyttäjän palvelukohtaisen käyttäjätunnuksen ja salasanan. Kun kyseisen käyttäjän valtuustiedot on paikannettu yhdyskäytävän muistista 7.3, lähettää yhdyskäytävä palveluun kirjautumissanoman (nuoli 209) sille etäpalvelimelle 20 3, jossa käytettävä palvelu sijaitsee. Kirjautumissanomassa välitetään käyttäjän valtuustiedot. Etäpalvelimen 3 palvelu 2 vastaanottaa kirjautumissanoman sekä varmentaa, että valtuustiedot ovat oikein (lohko 210). Tämän jälkeen etäpalvelin 3 lähettää palvelun mukaista informaatiota yhdyskäytävälle 7 (nuoli 211), joka välittää informaation edel-25 leen langattomalle päätelaitteelle 11 esitettäväksi käyttäjälle (nuoli 212). Palvelun käyttäminen on nyt mahdollista. Palvelun käytön yhteydessä suoritetaan sanomien välitystä langattoman päätelaitteen 11 ja etäpalvelimen 3 välillä yhdyskäytävän 7 kautta. Käyttäjän ei tarvitse suorittaa valtuustietojen syöttämistä. Keksintö soveltuu erityisesti sel-30 laisiin järjestelmiin, joissa tunnistustietojen lähettämistä ei suorita päätelaite vaan jokin toinen järjestelmän osa, mikä tässä edellä esitetyssä esimerkissä on tunnistuspalvelimen 4 kanssa kommunikoiva yhdyskäytävä 7.
35 Mainittakoon tässä yhteydessä se, että tunnistuspalvelimen 4 tietokanta 4.3 on toteutettu sopivimmin siten, että tietokannassa oleviin 9 käyttäjäkohtaisiin valtuustietoihin ei ole pääsyä muutoin kuin käyttäjän suorittaman kirjautumisen yhteydessä. Tällöin ainakin valtuustiedot on tallennettu salatussa muodossa ja että salauksen purkaminen on mahdollista vain oikean käyttäjätunnisteen, kuten käyttäjätunnuksen ja sa-5 lasanan syöttämisen jälkeen. Tunnistuspalvelimen 4 yhteyteen on kuitenkin tallennettu käyttäjäkohtaiset käyttäjätunnukset, jotta tunnistus-palvelin pystyy varmentamaan sen, että kirjautumista yrittävä käyttäjä on järjestelmän käyttöön oikeutettu käyttäjä ja että käyttäjätunnus on syötetty oikein.
10
Kuvassa 3a on esitetty keksinnön erään toisen edullisen suoritusmuodon mukainen järjestelmä pelkistettynä kaaviona ja kuvassa 3b on esitetty keksinnön toisen edullisen suoritusmuodon mukaisessa menetelmässä suoritettavaa sanomienvälitystä pelkistetysti. Tämä keksin-15 nön toisen edullisen suoritusmuodon mukainen järjestelmä ja menetelmä ovat pääosin keksinnön ensimmäisen edullisen suoritusmuodon mukaisia. Olennaisimpana erona on se, että tässä toisessa suoritusmuodossa valtuustietoja ei tallenneta tunnistuspalvelimen 4 yhteyteen, vaan yhdyskäytävän 7 yhteyteen. Valtuustiedot tallennetaan salatussa 20 muodossa ja salauksen purkamisessa käytettävä avain tallennetaan tunnistuspalvelimen 4 yhteyteen.
Kuvataan vielä lyhyesti menetelmän vaiheita. Käyttäjä ilmoittaa järjestelmälle sen lähiverkon osoitteen tai muun lähiverkon yksilöivän tun-25 nisteen, jonka perusteella järjestelmä suorittaa kirjautumisen lähiverkkoon 1. Langattoman päätelaitteen 11 käyttäjälle esitetään edullisesti kirjautumisikkuna tai vastaava, jossa käyttäjää pyydetään ilmoittamaan käyttäjätunnisteensa. Käyttäjätunniste käsittää tyypillisesti käyttäjätunnuksen (user id) sekä salasanan (password). Kun käyttäjä on syöttänyt 30 nämä tiedot langattomaan päätelaitteeseen, lähetetään käyttäjätunniste tiedonsiirtoyhteyden välityksellä yhdyskäytävälle 7 (nuoli 301 kuvan 3b kaaviossa). Yhdyskäytävästä 7 tiedot välitetään edelleen tun-nistuspalvelimelle 4 tunnistussanomana tai vastaavana (nuoli 302). Yhdyskäytävän 7 ja tunnistuspalvelimen 4 välisessä tiedonsiirrossa 35 käytetään jotakin tarkoitukseen soveltuvaa protokollaa, kuten RADIUS tai LDAP, jolloin käyttäjätunniste välitetään käytettävän protokollan mu- 10 kaisena yhtenä tai useampana sanomana. Tunnistuspalvelimessa 4 vastaanotetaan sanoma tai sanomat ja tutkitaan niiden sisältämä informaatio (lohko 303). Tunnistuspalvelin 4 tutkii käyttäjätietokannas-taan 4.3 mm. sen, onko siellä kyseistä käyttäjätunnistetta vastaavaa 5 tietuetta. Mikäli sellainen löytyy, tutkitaan tarvittaessa käyttäjätunnukselle varatut käyttöoikeudet, kuten sen, mitä palveluita 2 kyseinen käyttäjä on oikeutettu käyttämään. Tunnistuspalvelimen tietokantaan 4.3 on tässä edullisessa suoritusmuodossa tallennettu myös käyttäjän valtuustietojen salauksen purkamisessa käytettävä salausavain niiden 10 palveluiden 2 osalta, joiden käyttämiseen käyttäjällä on oikeus. Salausavain on sopivimmin sama eri palveluille, mutta keksintöä voidaan soveltaa myös siten että kullekin palvelulle on oma salausavain, jolloin valtuustietojen salauksen purkamisessa käytetään kyseisen palvelun valtuustietojen purkamiseen soveltuvaa salausavainta. Tällöin tunnis-15 tuspalvelin 4 lähettää tiedon käyttäjän tunnistamisesta sekä mainitun salausavaimen tai salausavaimet yhdyskäytävälle 7 (nuoli 304), jossa se/ne tallennetaan palveluiden käyttämistä varten muistiin 7.3 (kuva 3a) sopivimmin tiedonsiirtoyhteyden aktiivisena oloajaksi (lohko 305). Yhdyskäytävä 7 päättelee käyttäjän tunnistamistiedon perusteella sen, 20 onko tunnistuspalvelin 4 tunnistanut kyseisen käyttäjän.
Mikäli tunnistus on asianmukaisesti suoritettu, yhdyskäytävä 7 lähettää tästä sanoman langattomaan päätelaitteeseen 11 (nuoli 306). Tämän jälkeen langattomassa päätelaitteessa 11 voidaan aloittaa palvelun 25 käyttö, jolloin langattomasta päätelaitteesta 11 lähetetään palveluun kirjautumissanoma tai vastaava yhdyskäytävään 7 (nuoli 307). Sanomassa on tietoa palvelusta, jonka käyttäminen on tarkoitus aloittaa. Yhdyskäytävä 7 tutkii palvelun ja etsii tallennetuista valtuustiedoistaan kyseisen käyttäjän valtuustiedot käynnistettävään palveluun sekä pal-30 velua vastaavan salausavaimen, minkä jälkeen yhdyskäytävä 7 suorittaa valtuustietojen salauksen purkamisen (lohko 308). Kun kyseisen käyttäjän valtuustiedot on paikannettu yhdyskäytävän muistista 7.3 ja valtuustietojen salaus on purettu, lähettää yhdyskäytävä palveluun kir-jautumissanoman (nuoli 309) sille etäpalvelimelle 3, jossa käytettävä 35 palvelu sijaitsee. Kirjautumissanomassa välitetään käyttäjän valtuustiedot. Etäpalvelimen 3 palvelu 2 vastaanottaa kirjautumissanoman sekä 11 varmentaa, että valtuustiedot ovat oikein (lohko 310). Tämän jälkeen etäpalvelin 3 lähettää palvelun mukaista informaatiota yhdyskäytävälle 7 (nuoli 311), joka välittää informaation edelleen langattomalle päätelaitteelle 11 esitettäväksi käyttäjälle (nuoli 312). Palvelun käyttäminen 5 on nyt mahdollista.
Keksinnön edellä esitetty toinen edullinen suoritusmuoto mahdollistaa sen, että valtuustiedot voidaan tallentaa johonkin sinänsä turvattomaan paikkaan, kuten yhdyskäytävän 7 yhteyteen. Valtuustietoja ei kuiten-10 kaan voi käytännössä helposti muuntaa salaamattomaan muotoon ilman salauksen purkamiseen soveltuvaa avainta. Sillä, minkälaista salausmenetelmää keksinnön yhteydessä käytetään, ei sinänsä ole merkitystä keksinnön kannalta. Käytettävä salausmenetelmä voi kuitenkin vaikuttaa lähinnä siihen, kuinka vaikea salaus on purkaa ilman salauk-15 sen purkamiseen tarkoitettua avainta. Tunnetut salausmenetelmät perustuvat joko symmetriseen salaukseen, jossa samaa salausavainta käytetään sekä salaukseen että salauksen purkamiseen, tai epäsymmetriseen salaukseen (esim. PKI, Public Key Infrastructure), jossa salaukseen käytettävä salausavain ei ole sama kuin salauksen purkami-20 sessa käytettävä avain.
Nyt esillä olevaa keksintöä voidaan soveltaa olemassa olevissa järjestelmissä ilman, että järjestelmän laitteistoon tarvitaan merkittäviä muutoksia. Keksinnön mukaisen menetelmän vaiheet voidaan toteuttaa 25 olemassa olevan laitteiston ohjelmistossa, pääasiassa yhdyskäytävässä 7 sekä tunnistuspalvelimessa 4.
Tunnistuspalvelimen 4 ei välttämättä tarvitse sijaita lähiverkossa 1, vaan tunnistuspalvelimena 4 voidaan käyttää jotakin muuta palvelinta, 30 josta on järjestettävissä tiedonsiirtoyhteys yhdyskäytävään 7 käyttäjän kirjautumisessa tarvittavien tietojen välittämiseksi yhdyskäytävän 7 ja tunnistuspalvelimen 4 välillä.
Nyt esillä olevaa keksintöä ei ole rajoitettu ainoastaan edellä esitettyi-35 hin suoritusmuotoihin, vaan sitä voidaan muunnella oheisten patenttivaatimusten puitteissa.
Claims (13)
1. Menetelmä valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa (1) olevan palvelun (2) käyttämiseksi toisesta tietoverkosta (6), josta 5 on tiedonsiirtoyhteys ensimmäiseen tietoverkkoon (1) yhdyskäytävän (7) kautta, jossa menetelmässä käyttäjä suorittaa kirjautumisen yhdyskäytävään (7) käyttäjätunnuksella, mainittu käyttäjätunnus välitetään toisesta tietoverkosta (6) yhdyskäytävän (7) kautta tunnistus-palvelimeen (4), jossa käyttäjätunnus tarkistetaan ja tieto onnistu-10 neesta kirjautumisesta lähetetään yhdyskäytävään (7), tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen tallennetaan palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin kirjautumisvaiheessa palvelukohtaisiin valtuustietoihin liittyvää informaatiota välitetään tun-nistuspalvelimelta (4) yhdyskäytävään (7), ja että yhdyskäytävästä (7) 15 välitetään palvelukohtaisia valtuustietoja mainittuun palveluun ensimmäisessä tietoverkossa (1), jolloin mainitussa palvelussa tarkistetaan mainittujen valtuustietojen perusteella käyttäjän oikeudet palvelun käyttämiseen.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja salataan salausavaimella, mainitulla salausavaimella salattuja palvelukohtaisia valtuustietoja tallennetaan yhdyskäytävään (7), tunnistuspalvelimen (4) yhteyteen tallennetaan ainakin yksi palvelukohtaisten tietojen salauksen purka-25 misavain, jolloin kirjautumisvaiheessa välitetään salauksen purkamis-avain tunnistuspalvelimelta (4) yhdyskäytävään (7), yhdyskäytävässä (7) suoritetaan mainittuun palveluun (2) liittyvän valtuustiedon salauksen purkaminen mainitulla salauksen purkamisavaimella, ja mainittuun palveluun (2) liittyvä valtuustieto välitetään yhdyskäytävästä (7) 30 mainittuun palveluun (2) ensimmäisessä tietoverkossa (1).
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että samaa salausavainta käytetään saman käyttäjän kaikkien palveluiden valtuustietojen salaamisessa. 35 13
4. Jonkin patenttivaatimuksen 1—3 mukainen menetelmä, tunnettu siitä, että kirjautuminen suoritetaan yhdyskäytävässä (7), jossa tutkitaan mainittu käyttäjätunnus ennen valtuustietoon liittyvän informaation hakemista tunnistuspalvelimelta (4). 5
5. Jonkin patenttivaatimuksen 1—4 mukainen menetelmä, tunnettu siitä, että valtuustietoihin liittyvä informaatio tallennetaan tunnistuspal-velimen (4) yhteyteen käyttäjätunnuksella suojattuna, jolloin valtuus-tietojen selvittämisessä käytetään käyttäjätunnusta. 10
6. Jonkin patenttivaatimuksen 1—5 mukainen menetelmä, tunnettu siitä, että yhdyskäytävän (7) ja tunnistuspalvelimen (4) välisessä tiedonsiirrossa käytetään ainakin yhtä seuraavista protokollista: RADIUS,
15. LDAP.
7. Järjestelmä, joka käsittää ainakin ensimmäisen tietoverkon (1) ja toisen tietoverkon (6), jotka on yhdistetty toisiinsa yhdyskäytävällä (7), välineet (4.1,4.3) valtuustiedon hankkimiseksi ensimmäisessä 20 tietoverkossa olevan palvelun (2) käyttämiseksi, välineet (7.1) käyttäjän kirjautumiseksi yhdyskäytävään (7) päätelaitteella (5, 11) käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tiet overkosta (6) yhdyskäytävän^) kautta tunnistuspalvelimeen (4), jossa on välineet käyttäjätunnuksen 25 tarkistamiseksi, ja välineet (4.2) tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään (7) , tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin järjestelmä käsittää välineet (4.2, 7.2) palvelukohtaisiin valtuustietoihin liittyvän informaation 30 välittämiseksi kirjautumisen yhteydessä tunnistuspalvelimelta (4) yhdyskäytävään (7 ), ja että j ä rjestelmässä on välineet (7.2) palvelukohtaisten valtuustietojen välittämiseksi yhdyskäytävästä (7) mainittuun palveluun ensimmäisessä tietoverkossa (1) käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistami-35 seksi. 14
8. Patenttivaatimuksen 7 mukainen järjestelmä, tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja on salattu salausavaimella, että mainitulla salausavaimella salattuja palvelukohtaisia valtuustietoja on tallennettu yhdyskäytävään (7), että tunnistuspalvelimen (4) yhtey-5 teen on tallennettu ainakin yksi palvelukohtaisten tietojen salauksen purkamisavain, jolloin järjestelmä käsittää välineet (4.2, 7.2) salauksen purkamisavaimen välittämiseksi kirjautumisen yhteydessä tunnistus-palvelimelta (4) yhdyskäytävään (7), välineet (7.1) mainittuun palveluun (2) liittyvän valtuustiedon salauksen purkamiseksi mainitulla 10 salauksen purkamisavaimella yhdyskäytävässä (7), ja välineet (7.2) mainittuun palveluun (2) liittyvän valtuustiedon välittämiseksi yhdyskäytävästä (7) mainittuun palveluun (2) ensimmäisessä tietoverkossa (1).
9. Tunnistuspalvelin (4) käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon (1) ja toisen tietoverkon (6), jotka on yhdistetty toisiinsa yhdyskäytävällä (7), välineet (4.1,4.3) valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan palvelun (2) käyttämiseksi, välineet (7.1) käyttäjän kirjautumiseksi yhdyskäytävään (7) 20 päätelaitteella (5, 11) käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta (6) yhdyskäytävän (7) kautta tunnistuspalvelimeen (4), jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet (4.2) tiedon onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään (7), tunnettu siitä, että tun-25 nistuspalvelimen (4) yhteyteen on tallennettu palvelukohtaisiin valtuus-tietoihin liittyvää informaatiota, jolloin tunnistuspalvelin (4) käsittää välineet (4.2) palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä yhdyskäytävään (7) käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistami-30 seksi.
10. Patenttivaatimuksen 9 mukainen tunnistuspalvelin (4), tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen on tallennettu käyttäjän palvelukohtaisia valtuustietoja, jolloin kirjautumisen yhteydessä mai-35 nittuja valtuustietoja on järjestetty välitettäväksi tunnistuspalvelimel-ta (4) yhdyskäytävään (7). 15
11. Patenttivaatimuksen 9 mukainen tunnistuspalvelin (4), tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja on salattu salausavaimella ja tallennettu yhdyskäytävän (7) yhteyteen, jolloin tunnistus- 5 palvelimen (4) yhteyteen on tallennettu käyttäjän palvelukohtaisten valtuustietojen salauksen purkamisessa käytettävä salauksen purka-misavain, jolloin kirjautumisen yhteydessä mainittu salauksen purka-misavain on järjestetty välitettäväksi tunnistuspalvelimelta (4) yhdyskäytävään (7). 10
12. Yhdyskäytävä (7) käytettäväksi järjestelmässä, joka käsittää ainakin ensimmäisen tietoverkon (1) ja toisen tietoverkon (6), jotka on yhdistetty toisiinsa mainitulla yhdyskäytävällä (7), välineet (4.1,4.3) valtuustiedon hankkimiseksi ensimmäisessä tietoverkossa olevan 15 palvelun (2) käyttämiseksi, välineet (7.1) käyttäjän kirjautumiseksi yhdyskäytävään (7) päätelaitteella (5, 11) käyttämällä käyttäjätunnusta, välineet mainitun käyttäjätunnuksen välittämiseksi toisesta tietoverkosta (6) yhdyskäytävän (7) kautta tunnistuspalvelimeen (4), jossa on välineet käyttäjätunnuksen tarkistamiseksi, ja välineet (4.2) tiedon 20 onnistuneesta kirjautumisesta lähettämiseksi yhdyskäytävään (7), tunnettu siitä, että tunnistuspalvelimen (4) yhteyteen on tallennettu palvelukohtaisiin valtuustietoihin liittyvää informaatiota, jolloin yhdyskäytävä (7) käsittää välineet (7.2) palvelukohtaisiin valtuustietoihin liittyvän informaation vastaanottamiseksi kirjautumisen yhteydessä tunnis- 25 tuspalvelimelta (4), ja välineet (7.2) palvelukohtaisiin valtuustietoihin liittyvän informaation lähettämiseksi kirjautumisen yhteydessä mainittuun palveluun (2) ensimmäisessä tietoverkossa (1) käytettäväksi mainitussa palvelussa käyttäjän palvelunkäyttöoikeuksien tarkistamiseksi. 30
13. Patenttivaatimuksen 12 mukainen yhdyskäytävä (7), tunnettu siitä, että käyttäjän palvelukohtaisia valtuustietoja on salattu salausavaimella ja tallennettu yhdyskäytävän (7) yhteyteen, että yhdyskäytävä (7) käsittää välineet (7.2) tunnistuspalvelimen (4) yhteyteen tallen- 35 nettujen käyttäjän palvelukohtaisten valtuustietojen salauksen purkamisessa käytettävän salauksen purkamisavaimen vastaanottamiseksi, 16 ja välineet (7.1) käyttäjän palvelukohtaisten valtuustietojen salauksen purkamiseksi mainitulla salauksen purkamisavaimella. 17
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20035139A FI120021B (fi) | 2003-08-27 | 2003-08-27 | Valtuustiedon hankkiminen |
US10/923,608 US20050081066A1 (en) | 2003-08-27 | 2004-08-20 | Providing credentials |
EP04767139A EP1661299A1 (en) | 2003-08-27 | 2004-08-26 | Providing credentials |
CN2004800245376A CN1842993B (zh) | 2003-08-27 | 2004-08-26 | 提供证书 |
PCT/FI2004/050119 WO2005022821A1 (en) | 2003-08-27 | 2004-08-26 | Providing credentials |
JP2006524380A JP2007503637A (ja) | 2003-08-27 | 2004-08-26 | クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20035139A FI120021B (fi) | 2003-08-27 | 2003-08-27 | Valtuustiedon hankkiminen |
FI20035139 | 2003-08-27 |
Publications (3)
Publication Number | Publication Date |
---|---|
FI20035139A0 FI20035139A0 (fi) | 2003-08-27 |
FI20035139A FI20035139A (fi) | 2005-02-28 |
FI120021B true FI120021B (fi) | 2009-05-29 |
Family
ID=27839082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI20035139A FI120021B (fi) | 2003-08-27 | 2003-08-27 | Valtuustiedon hankkiminen |
Country Status (6)
Country | Link |
---|---|
US (1) | US20050081066A1 (fi) |
EP (1) | EP1661299A1 (fi) |
JP (1) | JP2007503637A (fi) |
CN (1) | CN1842993B (fi) |
FI (1) | FI120021B (fi) |
WO (1) | WO2005022821A1 (fi) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7590685B2 (en) * | 2004-04-07 | 2009-09-15 | Salesforce.Com Inc. | Techniques for providing interoperability as a service |
US9645712B2 (en) | 2004-10-01 | 2017-05-09 | Grand Central Communications, Inc. | Multiple stakeholders for a single business process |
US7721328B2 (en) * | 2004-10-01 | 2010-05-18 | Salesforce.Com Inc. | Application identity design |
JP2006148661A (ja) * | 2004-11-22 | 2006-06-08 | Toshiba Corp | 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法 |
US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
US20060235804A1 (en) * | 2005-04-18 | 2006-10-19 | Sharp Kabushiki Kaisha | Service providing system, service using device, service proving device, service relaying device, method for performing authentication, authentication program, and recording medium thereof |
JP4709583B2 (ja) * | 2005-05-31 | 2011-06-22 | 株式会社東芝 | データ送信装置およびデータ送信方法 |
EP1742135B1 (de) * | 2005-07-09 | 2008-10-08 | ads-tec GmbH | Schutzsystem für eine Datenverarbeitungsanlage |
GB0610113D0 (en) * | 2006-05-20 | 2006-06-28 | Ibm | Method and system for the storage of authentication credentials |
US8468359B2 (en) * | 2006-06-30 | 2013-06-18 | Novell, Inc. | Credentials for blinded intended audiences |
ITTO20070853A1 (it) * | 2007-11-26 | 2009-05-27 | Csp Innovazione Nelle Ict Scar | Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali |
US8813200B2 (en) * | 2007-12-21 | 2014-08-19 | Oracle International Corporation | Online password management |
CA2677113A1 (en) * | 2009-08-25 | 2011-02-25 | 01 Communique Laboratory Inc. | System and method for remotely accessing and controlling a networked computer |
US8452957B2 (en) * | 2010-04-27 | 2013-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for providing secure access to cloud computing for mobile users |
US8607358B1 (en) | 2010-05-18 | 2013-12-10 | Google Inc. | Storing encrypted objects |
US20120317184A1 (en) * | 2011-06-07 | 2012-12-13 | Syed Mohammad Amir Husain | Zero Client Device With Integrated Global Position System Capability |
EP2736213B1 (en) * | 2012-11-21 | 2015-10-21 | Mitsubishi Electric R&D Centre Europe B.V. | Method and system for authenticating at least one terminal requesting access to at least one resource |
CN103916849B (zh) * | 2012-12-31 | 2018-08-24 | 上海诺基亚贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
US9098687B2 (en) * | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
US10104084B2 (en) * | 2015-07-30 | 2018-10-16 | Cisco Technology, Inc. | Token scope reduction |
CN106714127A (zh) * | 2015-08-06 | 2017-05-24 | 中兴通讯股份有限公司 | 一种接入特殊业务网络的鉴权方法和装置 |
CN110995418B (zh) * | 2019-11-27 | 2022-07-22 | 中国联合网络通信集团有限公司 | 云存储认证方法及系统、边缘计算服务器、用户路由器 |
CN110995759A (zh) * | 2019-12-23 | 2020-04-10 | 中国联合网络通信集团有限公司 | 物联网的接入方法以及装置 |
US11611540B2 (en) * | 2020-07-01 | 2023-03-21 | Vmware, Inc. | Protection of authentication data of a server cluster |
US20220082284A1 (en) * | 2020-07-14 | 2022-03-17 | Venthalpy, Llc | Systems and methods for measuring efficiencies of hvacr systems |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
US5898780A (en) * | 1996-05-21 | 1999-04-27 | Gric Communications, Inc. | Method and apparatus for authorizing remote internet access |
US6301661B1 (en) * | 1997-02-12 | 2001-10-09 | Verizon Labortories Inc. | Enhanced security for applications employing downloadable executable content |
US7366900B2 (en) * | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
US7290288B2 (en) * | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
US6065120A (en) * | 1997-12-09 | 2000-05-16 | Phone.Com, Inc. | Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices |
WO2001003402A1 (en) * | 1999-07-02 | 2001-01-11 | Nokia Corporation | Authentication method and system |
US6697824B1 (en) * | 1999-08-31 | 2004-02-24 | Accenture Llp | Relationship management in an E-commerce application framework |
US6563800B1 (en) * | 1999-11-10 | 2003-05-13 | Qualcomm, Inc. | Data center for providing subscriber access to data maintained on an enterprise network |
US7047560B2 (en) * | 2001-06-28 | 2006-05-16 | Microsoft Corporation | Credential authentication for mobile users |
US8005965B2 (en) * | 2001-06-30 | 2011-08-23 | International Business Machines Corporation | Method and system for secure server-based session management using single-use HTTP cookies |
WO2003029916A2 (en) * | 2001-09-28 | 2003-04-10 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
US7206934B2 (en) * | 2002-09-26 | 2007-04-17 | Sun Microsystems, Inc. | Distributed indexing of identity information in a peer-to-peer network |
US7571472B2 (en) * | 2002-12-30 | 2009-08-04 | American Express Travel Related Services Company, Inc. | Methods and apparatus for credential validation |
-
2003
- 2003-08-27 FI FI20035139A patent/FI120021B/fi active IP Right Grant
-
2004
- 2004-08-20 US US10/923,608 patent/US20050081066A1/en not_active Abandoned
- 2004-08-26 JP JP2006524380A patent/JP2007503637A/ja active Pending
- 2004-08-26 CN CN2004800245376A patent/CN1842993B/zh not_active Expired - Fee Related
- 2004-08-26 EP EP04767139A patent/EP1661299A1/en not_active Withdrawn
- 2004-08-26 WO PCT/FI2004/050119 patent/WO2005022821A1/en active Search and Examination
Also Published As
Publication number | Publication date |
---|---|
JP2007503637A (ja) | 2007-02-22 |
FI20035139A (fi) | 2005-02-28 |
EP1661299A1 (en) | 2006-05-31 |
US20050081066A1 (en) | 2005-04-14 |
CN1842993A (zh) | 2006-10-04 |
CN1842993B (zh) | 2010-04-28 |
WO2005022821A1 (en) | 2005-03-10 |
FI20035139A0 (fi) | 2003-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FI120021B (fi) | Valtuustiedon hankkiminen | |
US7231203B2 (en) | Method and software program product for mutual authentication in a communications network | |
KR101202671B1 (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
US7082535B1 (en) | System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol | |
US6772331B1 (en) | Method and apparatus for exclusively pairing wireless devices | |
KR102134302B1 (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
EP1841260B1 (en) | Authentication system comprising a wireless terminal and an authentication device | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
CA2463286C (en) | Multi-factor authentication system | |
US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
US6980660B1 (en) | Method and apparatus for efficiently initializing mobile wireless devices | |
FI115098B (fi) | Todentaminen dataviestinnässä | |
US20060288407A1 (en) | Security and privacy enhancements for security devices | |
US20020169966A1 (en) | Authentication in data communication | |
US20080072301A1 (en) | System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces | |
EP1179244A1 (en) | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices | |
US20150249639A1 (en) | Method and devices for registering a client to a server | |
US20050246531A1 (en) | System and method for secured access for visitor terminals to an IP type network | |
JP2003338814A (ja) | 通信システム、管理サーバおよびその制御方法ならびにプログラム | |
CN117354032A (zh) | 一种基于代码服务器的多重认证方法 | |
JP4793024B2 (ja) | ユーザ認証方法、認証サーバ及びシステム | |
KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 | |
FI115097B (fi) | Todentaminen dataviestinnässä | |
Asokan et al. | Man-in-the-middle in tunnelled authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FG | Patent granted |
Ref document number: 120021 Country of ref document: FI |