JP2002064485A - 公開鍵インフラストラクチャにおける安全なレガシー・エンクレーヴのためのシステム及び方法 - Google Patents
公開鍵インフラストラクチャにおける安全なレガシー・エンクレーヴのためのシステム及び方法Info
- Publication number
- JP2002064485A JP2002064485A JP2001173348A JP2001173348A JP2002064485A JP 2002064485 A JP2002064485 A JP 2002064485A JP 2001173348 A JP2001173348 A JP 2001173348A JP 2001173348 A JP2001173348 A JP 2001173348A JP 2002064485 A JP2002064485 A JP 2002064485A
- Authority
- JP
- Japan
- Prior art keywords
- legacy
- user
- server
- access
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Abstract
(57)【要約】
【課題】 レガシー・ソフトウエアに対して高価な修正
を要求することなく、レガシー・システムを最近のPK
Iベースの認証システムの中に組み込む。 【解決手段】 サーバは、レガシー・アプリケーション
を含み、第1のネットワークに接続され、クライアント
・プラットフォームは、第2のネットワークに接続さ
れ、レガシー・アプリケーションにアクセスするためユ
ーザにより使用可能なレガシー・ソフトウエアを含む。
ゲートウエイは、サーバと第2のネットワークとの間に
接続され、レガシー・アプリケーションへのアクセスを
試みる各ユーザの署名証明書を要求し、ユーザを認証し
た後にサーバへのアクセスを許可されたユーザを確認す
るためディレクトリに問い合わせ、そしてユーザがサー
バへのアクセスを許可された場合レガシー・ソフトウエ
アとレガシー・アプリケーションとのコネクションを確
立する。
を要求することなく、レガシー・システムを最近のPK
Iベースの認証システムの中に組み込む。 【解決手段】 サーバは、レガシー・アプリケーション
を含み、第1のネットワークに接続され、クライアント
・プラットフォームは、第2のネットワークに接続さ
れ、レガシー・アプリケーションにアクセスするためユ
ーザにより使用可能なレガシー・ソフトウエアを含む。
ゲートウエイは、サーバと第2のネットワークとの間に
接続され、レガシー・アプリケーションへのアクセスを
試みる各ユーザの署名証明書を要求し、ユーザを認証し
た後にサーバへのアクセスを許可されたユーザを確認す
るためディレクトリに問い合わせ、そしてユーザがサー
バへのアクセスを許可された場合レガシー・ソフトウエ
アとレガシー・アプリケーションとのコネクションを確
立する。
Description
【0001】
【発明の属する技術分野】関連出願の相互参照 本発明は、2000年6月9日に出願された米国の仮出
願No.60/210,521及び2000年9月1日
に出願された米国の仮出願No.60/229,336
の便益を主張し、それらの内容は本明細書に援用され
る。
願No.60/210,521及び2000年9月1日
に出願された米国の仮出願No.60/229,336
の便益を主張し、それらの内容は本明細書に援用され
る。
【0002】本発明は、公開鍵インフラストラクチャ
(PKI)に関し、特にPKIにおける安全なレガシー
・エンクレーヴ(secure legacy enc
laves)に関する。
(PKI)に関し、特にPKIにおける安全なレガシー
・エンクレーヴ(secure legacy enc
laves)に関する。
【0003】
【従来の技術】公開鍵インフラストラクチャ(PKI)
は、ユーザが各公開/秘密鍵対の所有者の一致(同一
性)を信頼性良く決定するのを可能にする要領で、団
体、会社、又は企業体が、何千の独特の公開/秘密暗号
鍵を分配し且つ管理するのを可能にするサーバ及びソフ
トウエアの集合である。企業体の各メンバが独特の鍵を
持つとき、紙ベースのビジネス・プロセスは、オンライ
ンで電子的等価なものに移行され得る。公開/秘密鍵対
は、いずれの所与の公開鍵に対して、1つで且つ唯一の
秘密鍵が存在し、又はその逆が存在するという特性を有
する。公開鍵暗号法(即ち、暗号化鍵を公然と分配する
能力)を用いて、文書にディジタルに署名することがで
きる。特定のメッセージが鍵対の1つのメンバを用いて
暗号化されることができる場合、その前提は、メッセー
ジが他のメンバを用いて暗号化され済みでなければなら
ないことである。ただ一人の人が、第1の場所で文書の
暗号化を実行するため用いられる鍵を知っている場合、
その文書を解読することができる受信者は、文書の送信
者がその人に違いないことの確信を持つことができる。
は、ユーザが各公開/秘密鍵対の所有者の一致(同一
性)を信頼性良く決定するのを可能にする要領で、団
体、会社、又は企業体が、何千の独特の公開/秘密暗号
鍵を分配し且つ管理するのを可能にするサーバ及びソフ
トウエアの集合である。企業体の各メンバが独特の鍵を
持つとき、紙ベースのビジネス・プロセスは、オンライ
ンで電子的等価なものに移行され得る。公開/秘密鍵対
は、いずれの所与の公開鍵に対して、1つで且つ唯一の
秘密鍵が存在し、又はその逆が存在するという特性を有
する。公開鍵暗号法(即ち、暗号化鍵を公然と分配する
能力)を用いて、文書にディジタルに署名することがで
きる。特定のメッセージが鍵対の1つのメンバを用いて
暗号化されることができる場合、その前提は、メッセー
ジが他のメンバを用いて暗号化され済みでなければなら
ないことである。ただ一人の人が、第1の場所で文書の
暗号化を実行するため用いられる鍵を知っている場合、
その文書を解読することができる受信者は、文書の送信
者がその人に違いないことの確信を持つことができる。
【0004】しかしながら、ディジタル署名が意味のあ
るために、ディジタル署名を用いて署名された対象物の
受信者は、最初に、対象物に署名するため用いられた鍵
の所有者及び保全性を信頼性良く決定することができな
ければならない。公開インフラストラクチャは、このこ
とを、ディジタル証明書(certificate)と
呼ばれる電子的文書を用いて達成する。証明書は、鍵対
の所有者、当該対の公開要素、及び証明書が有効である
時間期間を識別する情報を含み得る。証明書はまた、鍵
を発生するため用いられるアルゴリズムのような鍵それ
自身、及びキー長についての技術的情報を識別し得る。
証明書は、それに対して証明書が発行される個人(又は
ある場合には団体)の一致を確認することに責任を負う
団体、会社、又は企業体により発生される。証明団体は
認証局として知られている。認証局は、認証局自身に対
してのみ知られている秘密鍵を用いて各証明書に署名す
る。これは、PKIのユーザが証明書の保全性と、それ
を発行した認証局の一致との両方を確認することを可能
にする。証明書を発行することにより、認証局は、その
証明書に現れる公開鍵(及び、拡張により、対応する秘
密鍵)が証明書にリストされた個人に属することを確認
したことを明言している。従って、それをもって登録プ
ロセスが動作する保全性は、極めて重要である。そのプ
ロセスは、個人を信頼性良く識別するための、且つ証明
書にリストされた公開鍵がその個人に属することを確認
するためのメカニズムを与えなければならない。
るために、ディジタル署名を用いて署名された対象物の
受信者は、最初に、対象物に署名するため用いられた鍵
の所有者及び保全性を信頼性良く決定することができな
ければならない。公開インフラストラクチャは、このこ
とを、ディジタル証明書(certificate)と
呼ばれる電子的文書を用いて達成する。証明書は、鍵対
の所有者、当該対の公開要素、及び証明書が有効である
時間期間を識別する情報を含み得る。証明書はまた、鍵
を発生するため用いられるアルゴリズムのような鍵それ
自身、及びキー長についての技術的情報を識別し得る。
証明書は、それに対して証明書が発行される個人(又は
ある場合には団体)の一致を確認することに責任を負う
団体、会社、又は企業体により発生される。証明団体は
認証局として知られている。認証局は、認証局自身に対
してのみ知られている秘密鍵を用いて各証明書に署名す
る。これは、PKIのユーザが証明書の保全性と、それ
を発行した認証局の一致との両方を確認することを可能
にする。証明書を発行することにより、認証局は、その
証明書に現れる公開鍵(及び、拡張により、対応する秘
密鍵)が証明書にリストされた個人に属することを確認
したことを明言している。従って、それをもって登録プ
ロセスが動作する保全性は、極めて重要である。そのプ
ロセスは、個人を信頼性良く識別するための、且つ証明
書にリストされた公開鍵がその個人に属することを確認
するためのメカニズムを与えなければならない。
【0005】図1は、PKIシステム・アーキテクチャ
の一例のブロック図である。ユーザ一致の強い認証を与
える現在のPKIは、ローカル登録局オフィサー(lo
cal registration authorit
y officer)(LRAO)の使用を介してこの
ことを達成する。LRAO 12は、ローカル登録局ソ
フトウエア・アプリケーション16を走らせるワークス
テーション又はサーバ・プラットフォーム14で動作す
る。サーバ・プラットフォーム14は、サーバ、例え
ば、コンピュータ、ワークステーション等として働き得
るいずれの既知のコンピューティング装置であり得る。
ローカル登録局ソフトウエア・アプリケーション16
は、認証局アプリケーション18、登録局アプリケーシ
ョン20及び/又は鍵回復局アプリケーション22のよ
うなアプリケーションを含み得る他のサーバ・プラット
フォームにインターフェースする。各アプリケーション
は、同じサーバ・プラットフォーム上に、又は別々で個
々のサーバ・プラットフォーム14上にあり得る。PK
Iシステム・アーキテクチャへのアクセスを用いている
又はそれを希望するユーザ10は、そのシステムに、ク
ライアント・プラットフォーム24上のウェブ・ブラウ
ザ22を介してシステムにアクセスする。スマート・カ
ードのようなハードウエア・トークン26はまた、クラ
イアント・プラットフォーム24に動作的に接続可能で
あり得る。現在のシステムにおいて典型的には、ユーザ
10は、ユーザの一致を認証するため、フォトID(p
hotoI.D.)をローカル登録局オフィサー12に
与える。次いで、ローカル登録局オフィサー12は、ワ
ークステーション14及びローカル登録局ソフトウエア
・アプリケーション16を用いて、登録局アプリケーシ
ョン20に信号を与え、新しいユーザ10をシステム内
に登録する。ローカル登録局ソフトウエア・アプリケー
ション16は、認証局アプリケーション18、登録局ア
プリケーション20及び鍵回復局22ソフトウエアを典
型的に束ねた在庫製品ソフトウエアであり得る。
の一例のブロック図である。ユーザ一致の強い認証を与
える現在のPKIは、ローカル登録局オフィサー(lo
cal registration authorit
y officer)(LRAO)の使用を介してこの
ことを達成する。LRAO 12は、ローカル登録局ソ
フトウエア・アプリケーション16を走らせるワークス
テーション又はサーバ・プラットフォーム14で動作す
る。サーバ・プラットフォーム14は、サーバ、例え
ば、コンピュータ、ワークステーション等として働き得
るいずれの既知のコンピューティング装置であり得る。
ローカル登録局ソフトウエア・アプリケーション16
は、認証局アプリケーション18、登録局アプリケーシ
ョン20及び/又は鍵回復局アプリケーション22のよ
うなアプリケーションを含み得る他のサーバ・プラット
フォームにインターフェースする。各アプリケーション
は、同じサーバ・プラットフォーム上に、又は別々で個
々のサーバ・プラットフォーム14上にあり得る。PK
Iシステム・アーキテクチャへのアクセスを用いている
又はそれを希望するユーザ10は、そのシステムに、ク
ライアント・プラットフォーム24上のウェブ・ブラウ
ザ22を介してシステムにアクセスする。スマート・カ
ードのようなハードウエア・トークン26はまた、クラ
イアント・プラットフォーム24に動作的に接続可能で
あり得る。現在のシステムにおいて典型的には、ユーザ
10は、ユーザの一致を認証するため、フォトID(p
hotoI.D.)をローカル登録局オフィサー12に
与える。次いで、ローカル登録局オフィサー12は、ワ
ークステーション14及びローカル登録局ソフトウエア
・アプリケーション16を用いて、登録局アプリケーシ
ョン20に信号を与え、新しいユーザ10をシステム内
に登録する。ローカル登録局ソフトウエア・アプリケー
ション16は、認証局アプリケーション18、登録局ア
プリケーション20及び鍵回復局22ソフトウエアを典
型的に束ねた在庫製品ソフトウエアであり得る。
【0006】公開/秘密鍵対は、ローカル登録局ソフト
ウエア・アプリケーション16か又は登録局アプリケー
ション20のいずれかにより(選定された製品に応じて
且つそれらが構成された仕方に応じて)発生される。公
開鍵は、署名されるべき認証局アプリケーション18に
送られ、それにより新しいユーザ10のための証明書を
発生する。秘密鍵のバックアップ・コピーは鍵回復局2
2に送られ得るが、しかしながら、通常、秘密鍵は、ト
ークン26上に、又はユーザ10によりクライアント・
プラットフォーム24に保持される。一旦公開鍵が認証
局アプリケーション18に送られて署名されると、ユー
ザ証明書が、ローカル登録局サーバに対して発生され且
つ与えられる。ローカル登録局オフィサー12は、(秘
密鍵を含む)証明書をフロッピー(登録商標)・ディス
ク、ハードウエア・トークン又は他の記憶媒体上にコピ
ーし、次いでユーザに対して証明書及び秘密鍵を与え
る。
ウエア・アプリケーション16か又は登録局アプリケー
ション20のいずれかにより(選定された製品に応じて
且つそれらが構成された仕方に応じて)発生される。公
開鍵は、署名されるべき認証局アプリケーション18に
送られ、それにより新しいユーザ10のための証明書を
発生する。秘密鍵のバックアップ・コピーは鍵回復局2
2に送られ得るが、しかしながら、通常、秘密鍵は、ト
ークン26上に、又はユーザ10によりクライアント・
プラットフォーム24に保持される。一旦公開鍵が認証
局アプリケーション18に送られて署名されると、ユー
ザ証明書が、ローカル登録局サーバに対して発生され且
つ与えられる。ローカル登録局オフィサー12は、(秘
密鍵を含む)証明書をフロッピー(登録商標)・ディス
ク、ハードウエア・トークン又は他の記憶媒体上にコピ
ーし、次いでユーザに対して証明書及び秘密鍵を与え
る。
【0007】レガシー・アプリケーションをシステムの
中に組み込む現在のPKIシステムは、レガシー・サー
バ32に常駐するレガシー・アプリケーション30の中
のソフトウエアを修正する。その修正はレガシー・デベ
ロッパー34により実行され、該レガシー・デベロッパ
ー34は、ソース・コードを修正し且つそのアプリケー
ションを再コンパイルすることにより、レガシー・アプ
リケーション内のソフトウエアを修正する。ソフトウエ
アの修正は、レガシー・アプリケーションが署名証明書
を処理するのを可能にする。レガシー・アプリケーショ
ン内のソフトウエアを修正することは、通常非常に費用
がかかる。
中に組み込む現在のPKIシステムは、レガシー・サー
バ32に常駐するレガシー・アプリケーション30の中
のソフトウエアを修正する。その修正はレガシー・デベ
ロッパー34により実行され、該レガシー・デベロッパ
ー34は、ソース・コードを修正し且つそのアプリケー
ションを再コンパイルすることにより、レガシー・アプ
リケーション内のソフトウエアを修正する。ソフトウエ
アの修正は、レガシー・アプリケーションが署名証明書
を処理するのを可能にする。レガシー・アプリケーショ
ン内のソフトウエアを修正することは、通常非常に費用
がかかる。
【0008】現在のシステムにおいて、ユーザは、レガ
シー・サーバ32上のレガシー・アプリケーション30
にクライアント・プラットフォーム24からアクセスす
るのを試み得る。レガシー・サーバへのアクセスが認め
られる前に、(レガシー・アプリケーションはユーザか
らの証明書が要求されるように修正されているので、)
ユーザは、レガシー・アプリケーションに対するユーザ
の署名証明書を与えなければならない。レガシー・アプ
リケーションに構成されたアクセス制御リストに応じ
て、レガシー・アプリケーションは、ユーザに対するア
クセスをそのユーザの署名証明書に基づいて認めるか又
は否定するであろう。レガシー・アプリケーション及び
サーバは、典型的にプロプラエタリ(所有権を主張でき
る)・コンピュータ・インターフェース及びカスタム・
ソフトウエア・クライアントを使用する。これらのイン
ターフェース及びクライアントは、典型的には、ユーザ
の一致を認証するため単純なユーザID及びパスワード
・スキームに依拠する。しかしながら、前述したよう
に、署名証明書を処理するためこれらのインターフェー
ス及びクライアントに対して著しい修正をすることは、
一般的に非常に費用がかかる。
シー・サーバ32上のレガシー・アプリケーション30
にクライアント・プラットフォーム24からアクセスす
るのを試み得る。レガシー・サーバへのアクセスが認め
られる前に、(レガシー・アプリケーションはユーザか
らの証明書が要求されるように修正されているので、)
ユーザは、レガシー・アプリケーションに対するユーザ
の署名証明書を与えなければならない。レガシー・アプ
リケーションに構成されたアクセス制御リストに応じ
て、レガシー・アプリケーションは、ユーザに対するア
クセスをそのユーザの署名証明書に基づいて認めるか又
は否定するであろう。レガシー・アプリケーション及び
サーバは、典型的にプロプラエタリ(所有権を主張でき
る)・コンピュータ・インターフェース及びカスタム・
ソフトウエア・クライアントを使用する。これらのイン
ターフェース及びクライアントは、典型的には、ユーザ
の一致を認証するため単純なユーザID及びパスワード
・スキームに依拠する。しかしながら、前述したよう
に、署名証明書を処理するためこれらのインターフェー
ス及びクライアントに対して著しい修正をすることは、
一般的に非常に費用がかかる。
【0009】
【発明が解決しようとする課題】従って、レガシー・ソ
フトウエアに対して高価な修正を要求することなく、レ
ガシー・システムを最近のPKIベースの認証システム
の中に組み込むためのシステム及び方法に対するニーズ
が存在する。
フトウエアに対して高価な修正を要求することなく、レ
ガシー・システムを最近のPKIベースの認証システム
の中に組み込むためのシステム及び方法に対するニーズ
が存在する。
【0010】
【課題を解決するための手段】本発明は、1つ以上のレ
ガシー・サーバ、1つ以上のクライアント・プラットフ
ォーム、1つ以上のディレクトリ及び仮想私設ネットワ
ーク(VPN)エクストラ・ゲートウエイを含む公開鍵
インフラストラクチャ(PKI)における安全なレガシ
ー・エンクレーヴに対するシステムを指向する。レガシ
ー・サーバは、1つ以上のレガシー・アプリケーション
を含み、そして第1のネットワークに接続され得る。ク
ライアント・プラットフォームは、第2のネットワーク
に接続される。クライアント・プラットフォームは、レ
ガシー・アプリケーションにアクセスするためユーザに
より使用可能なレガシー・クライアント・ソフトウエア
を含む。ディレクトリは、第2のネットワークに接続さ
れ、そしてユーザに関する情報を含む。ディレクトリは
また、ユーザがレガシー・サーバへのアクセスを許可さ
れているかどうかを指示する各ユーザに関する情報を含
む。VPNエクストラネット・ゲートウエイは、レガシ
ー・サーバと第2のネットワークとの間に接続される。
VPNエクストラネット・ゲートウエイは、ユーザを認
証するためレガシー・アプリケーションにアクセスする
のを試みる各ユーザの署名証明書を要求する。VPNエ
クストラネット・ゲートウエイは、ユーザを認証した後
にユーザがレガシー・サーバにアクセスするのを許され
ることを確認するためディレクトリに問い合わせる。V
PNエクストラネット・ゲートウエイは、ユーザがレガ
シー・サーバへのアクセスを許可された場合レガシー・
クライアント・ソフトウエアとレガシー・アプリケーシ
ョンとの間のコネクションを確立する。
ガシー・サーバ、1つ以上のクライアント・プラットフ
ォーム、1つ以上のディレクトリ及び仮想私設ネットワ
ーク(VPN)エクストラ・ゲートウエイを含む公開鍵
インフラストラクチャ(PKI)における安全なレガシ
ー・エンクレーヴに対するシステムを指向する。レガシ
ー・サーバは、1つ以上のレガシー・アプリケーション
を含み、そして第1のネットワークに接続され得る。ク
ライアント・プラットフォームは、第2のネットワーク
に接続される。クライアント・プラットフォームは、レ
ガシー・アプリケーションにアクセスするためユーザに
より使用可能なレガシー・クライアント・ソフトウエア
を含む。ディレクトリは、第2のネットワークに接続さ
れ、そしてユーザに関する情報を含む。ディレクトリは
また、ユーザがレガシー・サーバへのアクセスを許可さ
れているかどうかを指示する各ユーザに関する情報を含
む。VPNエクストラネット・ゲートウエイは、レガシ
ー・サーバと第2のネットワークとの間に接続される。
VPNエクストラネット・ゲートウエイは、ユーザを認
証するためレガシー・アプリケーションにアクセスする
のを試みる各ユーザの署名証明書を要求する。VPNエ
クストラネット・ゲートウエイは、ユーザを認証した後
にユーザがレガシー・サーバにアクセスするのを許され
ることを確認するためディレクトリに問い合わせる。V
PNエクストラネット・ゲートウエイは、ユーザがレガ
シー・サーバへのアクセスを許可された場合レガシー・
クライアント・ソフトウエアとレガシー・アプリケーシ
ョンとの間のコネクションを確立する。
【0011】本発明は更に、VPNエクストラネット・
ゲートウエイを1つ以上のレガシー・サーバとレガシー
・クライアント・プラットフォームとの間に設けるステ
ップと、レガシー・クライアント・プラットフォーム上
のレガシー・クライアント・ソフトウエアを使用するユ
ーザによりレガシー・サーバ上のレガシー・アプリケー
ションにアクセスするのを試みるステップと、ユーザを
認証するためVPNエクストラネット・ゲートウエイに
よりユーザの署名証明書を要求するステップと、ユーザ
がレガシー・サーバへのアクセスを許可されることを確
認するためユーザを認証した後にVPNエクストラネッ
ト・ゲートウエイによりディレクトリに問い合わせるス
テップと、ユーザがレガシー・サーバへのアクセスを許
可された場合にレガシー・クライアント・ソフトウエア
とレガシー・アプリケーションとの間のコネクションを
確立するステップとを含むPKIにおける安全なレガシ
ー・エンクレーヴのための方法を指向する。
ゲートウエイを1つ以上のレガシー・サーバとレガシー
・クライアント・プラットフォームとの間に設けるステ
ップと、レガシー・クライアント・プラットフォーム上
のレガシー・クライアント・ソフトウエアを使用するユ
ーザによりレガシー・サーバ上のレガシー・アプリケー
ションにアクセスするのを試みるステップと、ユーザを
認証するためVPNエクストラネット・ゲートウエイに
よりユーザの署名証明書を要求するステップと、ユーザ
がレガシー・サーバへのアクセスを許可されることを確
認するためユーザを認証した後にVPNエクストラネッ
ト・ゲートウエイによりディレクトリに問い合わせるス
テップと、ユーザがレガシー・サーバへのアクセスを許
可された場合にレガシー・クライアント・ソフトウエア
とレガシー・アプリケーションとの間のコネクションを
確立するステップとを含むPKIにおける安全なレガシ
ー・エンクレーヴのための方法を指向する。
【0012】本発明はまた、その中に記憶された命令を
有する記憶媒体を備える物品に向けられ、当該命令は、
実行されたとき、処理装置に次のことを実行させる、即
ち、レガシー・クライアント・ソフトウエアを使用する
ユーザによりレガシー・サーバ上のレガシー・アプリケ
ーションにアクセスするための試みを受け取るステップ
と、ユーザを認証するためユーザの署名証明書を要求す
るステップと、ユーザを認証した後にユーザがレガシー
・サーバへのアクセスを許可されることを確認するため
ディレクトリに問い合わせるステップと、ユーザがレガ
シー・サーバへのアクセスを許可された場合レガシー・
クライアント・ソフトウエアとレガシー・アプリケーシ
ョンとの間のコネクションを確立するステップとを実行
させる。
有する記憶媒体を備える物品に向けられ、当該命令は、
実行されたとき、処理装置に次のことを実行させる、即
ち、レガシー・クライアント・ソフトウエアを使用する
ユーザによりレガシー・サーバ上のレガシー・アプリケ
ーションにアクセスするための試みを受け取るステップ
と、ユーザを認証するためユーザの署名証明書を要求す
るステップと、ユーザを認証した後にユーザがレガシー
・サーバへのアクセスを許可されることを確認するため
ディレクトリに問い合わせるステップと、ユーザがレガ
シー・サーバへのアクセスを許可された場合レガシー・
クライアント・ソフトウエアとレガシー・アプリケーシ
ョンとの間のコネクションを確立するステップとを実行
させる。
【0013】本発明は更に、本発明の非限定的例証の実
施形態により言及された複数の図面を参照した以下に続
く詳細な説明において説明される。なお、類似の参照番
号は幾つかの図面を通して類似の構成要素を表す。
施形態により言及された複数の図面を参照した以下に続
く詳細な説明において説明される。なお、類似の参照番
号は幾つかの図面を通して類似の構成要素を表す。
【0014】
【発明の実施の形態】本明細書に示される詳細は、例と
してであり、そして本発明の実施形態の例証的説明の目
的のためである。図面と共になされた説明は、当業者に
対して本発明を実際に具体化し得る仕方を明らかにする
ものである。
してであり、そして本発明の実施形態の例証的説明の目
的のためである。図面と共になされた説明は、当業者に
対して本発明を実際に具体化し得る仕方を明らかにする
ものである。
【0015】更に、構成は、本発明を不明瞭にするのを
避けるため示され、またそのようなブロック図構成の実
現に関する詳細がその中に本発明が実現されるべきプラ
ットフォームに非常に依存することに鑑みて、詳細は当
業者の理解し得る範囲内に十分にある筈である。特別の
詳細(例えば、回路、フローチャート)が本発明の例示
的実施形態を説明するために述べられている場合、本発
明がこれらの特別の詳細なしに実施されることができる
ことは当業者に明らかである筈である。最後に、ハード
ワイヤド(hard−wired)回路及びソフトウエ
ア命令のいずれの組み合わせを用いて、本発明の実施形
態を実現する、即ち本発明がハードウエア回路とソフト
ウエア命令とのいずれの特定の組み合わせに限定されな
いことが明らかである筈である。
避けるため示され、またそのようなブロック図構成の実
現に関する詳細がその中に本発明が実現されるべきプラ
ットフォームに非常に依存することに鑑みて、詳細は当
業者の理解し得る範囲内に十分にある筈である。特別の
詳細(例えば、回路、フローチャート)が本発明の例示
的実施形態を説明するために述べられている場合、本発
明がこれらの特別の詳細なしに実施されることができる
ことは当業者に明らかである筈である。最後に、ハード
ワイヤド(hard−wired)回路及びソフトウエ
ア命令のいずれの組み合わせを用いて、本発明の実施形
態を実現する、即ち本発明がハードウエア回路とソフト
ウエア命令とのいずれの特定の組み合わせに限定されな
いことが明らかである筈である。
【0016】本発明の例示的実施形態が例示的ホスト・
ユニット環境における例示的システム・ブロック図を用
いて説明されるが、本発明の実施は、それに限定され
ず、即ち、本発明は、他のタイプのシステムを用いて、
及び他のタイプの環境(例えばサーバ)の中で実施され
ることができる。
ユニット環境における例示的システム・ブロック図を用
いて説明されるが、本発明の実施は、それに限定され
ず、即ち、本発明は、他のタイプのシステムを用いて、
及び他のタイプの環境(例えばサーバ)の中で実施され
ることができる。
【0017】「一実施形態」又は「実施形態」に対する
明細書における言及は、実施形態と関係して説明される
特定の特徴、構造又は特性が本発明の少なくとも1つの
実施形態に含まれることを意味する。明細書内の種々の
場所における句「一実施形態において」の出現は、必ず
しも全て同じ実施形態に言及しているわけでない。
明細書における言及は、実施形態と関係して説明される
特定の特徴、構造又は特性が本発明の少なくとも1つの
実施形態に含まれることを意味する。明細書内の種々の
場所における句「一実施形態において」の出現は、必ず
しも全て同じ実施形態に言及しているわけでない。
【0018】図2は、代表的システム・アーキテクチャ
100のブロック図を示し、そこにおいて公開鍵インフ
ラストラクチャ(PKI)プロセスは、本発明の例示的
実施形態に従って実施され得る。本発明は、図2に示さ
れるシステム・アーキテクチャ100に限定されるもの
ではない。図2に示される箱は、ハードウエア、ソフト
ウエア、又はこれら2つの組み合わせであり得る実体を
表す。その実体は、ネットワーク上で一緒に動作的に接
続される。ネットワークに接続されているように示され
ていない実体は、箱の内側に示されている機能を実行す
る1人以上の人間を表す。
100のブロック図を示し、そこにおいて公開鍵インフ
ラストラクチャ(PKI)プロセスは、本発明の例示的
実施形態に従って実施され得る。本発明は、図2に示さ
れるシステム・アーキテクチャ100に限定されるもの
ではない。図2に示される箱は、ハードウエア、ソフト
ウエア、又はこれら2つの組み合わせであり得る実体を
表す。その実体は、ネットワーク上で一緒に動作的に接
続される。ネットワークに接続されているように示され
ていない実体は、箱の内側に示されている機能を実行す
る1人以上の人間を表す。
【0019】システム・アーキテクチャ100は、管轄
データベース104に対するデータ・エントリ機能を実
行するデータ入力者102を含む。管轄データベース1
04は、サーバ・プラットフォーム106に常住してい
る。サーバ・プラットフォーム106をこの明細書にお
いては言及するが、しかし本発明はいずれの特定のサー
バ・アーキテクチャに限定されるものではないことを理
解すべきである。サーバ・プラットフォーム106は、
例えば、UNIX(登録商標)又はウインドウズ(登録
商標)NTサーバであってもよい。
データベース104に対するデータ・エントリ機能を実
行するデータ入力者102を含む。管轄データベース1
04は、サーバ・プラットフォーム106に常住してい
る。サーバ・プラットフォーム106をこの明細書にお
いては言及するが、しかし本発明はいずれの特定のサー
バ・アーキテクチャに限定されるものではないことを理
解すべきである。サーバ・プラットフォーム106は、
例えば、UNIX(登録商標)又はウインドウズ(登録
商標)NTサーバであってもよい。
【0020】管轄データベース104は、それに対して
本発明に従ったPKIサービスが実行され得るグループ
又は企業体(例えば、会社)のメンバについての情報を
含む。本発明は、そのための情報が管轄データベース1
04に格納されているグループ又は企業体の構造により
限定されるものではない。管轄データベース104に含
まれる情報は、例えば、グループ又は企業体のメンバの
名前、住所、電話番号、管理者の名前、従業員の識別
(ID)等を含み得る。ディレクトリ108は、管轄デ
ータベース104に含まれる同じ情報を含むが、しかし
その中に格納されている情報への速いデータ・エントリ
に対してよりむしろその情報への速いルックアップ(検
索)に対して最適化される。ディレクトリ108に含ま
れる情報は、管轄データベース104からの情報にアク
セスするより速くアクセスされ得る。ディレクトリ10
8は、管轄データベース104に格納されたグループ又
は企業体のメンバについての参照情報を含む、オンライ
ン迅速アクセス可能な電話帳と類似した機能を実行す
る。
本発明に従ったPKIサービスが実行され得るグループ
又は企業体(例えば、会社)のメンバについての情報を
含む。本発明は、そのための情報が管轄データベース1
04に格納されているグループ又は企業体の構造により
限定されるものではない。管轄データベース104に含
まれる情報は、例えば、グループ又は企業体のメンバの
名前、住所、電話番号、管理者の名前、従業員の識別
(ID)等を含み得る。ディレクトリ108は、管轄デ
ータベース104に含まれる同じ情報を含むが、しかし
その中に格納されている情報への速いデータ・エントリ
に対してよりむしろその情報への速いルックアップ(検
索)に対して最適化される。ディレクトリ108に含ま
れる情報は、管轄データベース104からの情報にアク
セスするより速くアクセスされ得る。ディレクトリ10
8は、管轄データベース104に格納されたグループ又
は企業体のメンバについての参照情報を含む、オンライ
ン迅速アクセス可能な電話帳と類似した機能を実行す
る。
【0021】認証局110は、サーバ・プラットフォー
ム106上で実行される通常のオフザシェルフ・ソフト
ウエアであり得る。認証局110は、証明書及び関連の
情報の蓄積を与える。これは、以下に一層詳細に説明さ
れるであろう。登録局112はまた、サーバ・プラット
フォーム106上で実行可能なオフザシェルフ・ソフト
ウエアであってよい。登録局112も以下に一層詳細に
説明されるであろう。鍵回復局114はまた、サーバ・
プラットフォーム106上で実行可能なオフザシェルフ
・ソフトウエアであってよく、そしてグループ又は企業
体のメンバに対して鍵(例えば、アーカイブ(保管)さ
れた又は失われた鍵)を回復する機能を与える。
ム106上で実行される通常のオフザシェルフ・ソフト
ウエアであり得る。認証局110は、証明書及び関連の
情報の蓄積を与える。これは、以下に一層詳細に説明さ
れるであろう。登録局112はまた、サーバ・プラット
フォーム106上で実行可能なオフザシェルフ・ソフト
ウエアであってよい。登録局112も以下に一層詳細に
説明されるであろう。鍵回復局114はまた、サーバ・
プラットフォーム106上で実行可能なオフザシェルフ
・ソフトウエアであってよく、そしてグループ又は企業
体のメンバに対して鍵(例えば、アーカイブ(保管)さ
れた又は失われた鍵)を回復する機能を与える。
【0022】ウインドウズ2000(登録商標)ドメイ
ン認証局(CA)116は、ネットワークへの接続を点
線で示されており、そして本発明に従ったシステムの一
部分であっても又なくてもよい。ウインドウズ2000
(登録商標)は、ネットワークの単一のサインオンに対
してPKI証明書を用いることができるが、しかしウイ
ンドウズ2000(登録商標)は、ウインドウズ認証局
のウインドウズ(登録商標)のみを用いるよう設計され
ている。従って、本発明に従ったシステムは、通常の認
証局110並びに2000ドメインCA 116を含み
得る。
ン認証局(CA)116は、ネットワークへの接続を点
線で示されており、そして本発明に従ったシステムの一
部分であっても又なくてもよい。ウインドウズ2000
(登録商標)は、ネットワークの単一のサインオンに対
してPKI証明書を用いることができるが、しかしウイ
ンドウズ2000(登録商標)は、ウインドウズ認証局
のウインドウズ(登録商標)のみを用いるよう設計され
ている。従って、本発明に従ったシステムは、通常の認
証局110並びに2000ドメインCA 116を含み
得る。
【0023】レガシー・サーバ118は、レガシー・ア
プリケーション・プログラム120を実行する。レガシ
ー・サーバ118は、限定なしに、メイン・フレーム、
ミニコンピュータ、ワークステーション又はレガシー・
ソフトウエア・アプリケーションをホストすることがで
きる他のサーバであり得る。レガシー・ソフトウエア・
アプリケーションは、一般的に、PKIと本来的に相互
運用可能でないよう設計され得る。レガシー・アプリケ
ーション・プログラム120は、エミュレータ又はカス
タム・データベース・グラフィック・ユーザ・インター
フェース(GUI)のようなカスタム・クライアント1
28によりクライアント側でアクセス可能であり得る。
エミュレータの例は、IBM3270の端末エミュレー
タ、又はvt100の端末エミュレータである。
プリケーション・プログラム120を実行する。レガシ
ー・サーバ118は、限定なしに、メイン・フレーム、
ミニコンピュータ、ワークステーション又はレガシー・
ソフトウエア・アプリケーションをホストすることがで
きる他のサーバであり得る。レガシー・ソフトウエア・
アプリケーションは、一般的に、PKIと本来的に相互
運用可能でないよう設計され得る。レガシー・アプリケ
ーション・プログラム120は、エミュレータ又はカス
タム・データベース・グラフィック・ユーザ・インター
フェース(GUI)のようなカスタム・クライアント1
28によりクライアント側でアクセス可能であり得る。
エミュレータの例は、IBM3270の端末エミュレー
タ、又はvt100の端末エミュレータである。
【0024】登録ウェブ・ページ122は1つまたはそ
れより多いページであり得るが、その登録ウェブ・ペー
ジ122は、図1に示されるシステム・アーキテクチャ
へのユーザ・インターフェースとして機能する。ウェブ
・サーバ124は、(ウェブ・ページ122のような)
ウェブ・ページ又は他のHTML出力を(ウェブ・ブラ
ウザ126のような)ウェブ・ブラウザ・クライアント
に提供するソフトウエア・アプリケーションである。ウ
ェブ・サーバ124は、例えば、アパッチ、マクロソフ
ト・インターネット情報サーバ・アプリケーション等の
ようなウェブ・ページ又はHTML出力を提供するいず
れのソフトウエア・アプリケーションであってよい。
れより多いページであり得るが、その登録ウェブ・ペー
ジ122は、図1に示されるシステム・アーキテクチャ
へのユーザ・インターフェースとして機能する。ウェブ
・サーバ124は、(ウェブ・ページ122のような)
ウェブ・ページ又は他のHTML出力を(ウェブ・ブラ
ウザ126のような)ウェブ・ブラウザ・クライアント
に提供するソフトウエア・アプリケーションである。ウ
ェブ・サーバ124は、例えば、アパッチ、マクロソフ
ト・インターネット情報サーバ・アプリケーション等の
ようなウェブ・ページ又はHTML出力を提供するいず
れのソフトウエア・アプリケーションであってよい。
【0025】ウェブ・ブラウザ126はクライアント・
プラットフォーム128に常駐し、該クライアント・プ
ラットフォーム128はいずれのユーザ・コンピュータ
又はコンピューティング装置であり得る。ウェブ・ブラ
ウザ126は、例えば、HTMLプロトコル、XMLプ
ロトコル、又は他のプロトコルのようなウェブ・ページ
をブラウジングするクライアント・ソフトウエア・アプ
リケーションであり得る。ウェブ・ブラウザ126は、
認証局110により発行されたPKI証明書を用いて動
作するようプログラムされ得る。この能力を持つウェブ
・ブラウザの例は、ネットスケープ・ナビゲータ及びマ
イクロソフト・インターネット・エクスプローラを含
む。トークン130は、PKI証明書を発生し、蓄積
し、及び/又は用いることができる、スマート・カー
ド、汎用シリアス・バス(USB)を有する装置、又は
他のハードウエア・トークン装置であり得る。
プラットフォーム128に常駐し、該クライアント・プ
ラットフォーム128はいずれのユーザ・コンピュータ
又はコンピューティング装置であり得る。ウェブ・ブラ
ウザ126は、例えば、HTMLプロトコル、XMLプ
ロトコル、又は他のプロトコルのようなウェブ・ページ
をブラウジングするクライアント・ソフトウエア・アプ
リケーションであり得る。ウェブ・ブラウザ126は、
認証局110により発行されたPKI証明書を用いて動
作するようプログラムされ得る。この能力を持つウェブ
・ブラウザの例は、ネットスケープ・ナビゲータ及びマ
イクロソフト・インターネット・エクスプローラを含
む。トークン130は、PKI証明書を発生し、蓄積
し、及び/又は用いることができる、スマート・カー
ド、汎用シリアス・バス(USB)を有する装置、又は
他のハードウエア・トークン装置であり得る。
【0026】ユーザ132は、システム・アーキテクチ
ャ100へのアクセスを用いる又は希望する人である。
ユーザ132は、例えば、新しいユーザ、現在のユーザ
及び以前のユーザを含む多くの状態を通して移行し得
る。以前のユーザは、もはやグループ又は企業体のメン
バでない。システム・アーキテクチャ100は、各レベ
ルが異なるセキュリティ要求に対応するセキュリティの
2つのレベルを参照して説明される。セキュリティのレ
ベル数は本発明の限定ではない。レベル1探索エンジン
134は、システム・アーキテクチャ100を探索する
ことを許される探索エンジンであり得るが、しかし最低
レベルのセキュリティであるレベル1データのみへのア
クセスを許される。レベル1データは、例えば、自由に
分配可能なデータであり得るが、一方レベル2データ
は、プロプラエタリ(所有権を主張できる)と見なし得
る。レベル2探索エンジン136は、レベル1及びレベ
ル2の両方のデータを探索することが許可されている探
索エンジンであり得る。レベルN探索エンジン(図示せ
ず)は、レベル1からNのデータを持つサーバを通して
探索するのを許可されている探索エンジンであり得る。
ャ100へのアクセスを用いる又は希望する人である。
ユーザ132は、例えば、新しいユーザ、現在のユーザ
及び以前のユーザを含む多くの状態を通して移行し得
る。以前のユーザは、もはやグループ又は企業体のメン
バでない。システム・アーキテクチャ100は、各レベ
ルが異なるセキュリティ要求に対応するセキュリティの
2つのレベルを参照して説明される。セキュリティのレ
ベル数は本発明の限定ではない。レベル1探索エンジン
134は、システム・アーキテクチャ100を探索する
ことを許される探索エンジンであり得るが、しかし最低
レベルのセキュリティであるレベル1データのみへのア
クセスを許される。レベル1データは、例えば、自由に
分配可能なデータであり得るが、一方レベル2データ
は、プロプラエタリ(所有権を主張できる)と見なし得
る。レベル2探索エンジン136は、レベル1及びレベ
ル2の両方のデータを探索することが許可されている探
索エンジンであり得る。レベルN探索エンジン(図示せ
ず)は、レベル1からNのデータを持つサーバを通して
探索するのを許可されている探索エンジンであり得る。
【0027】レベル1データを有する安全にされたレベ
ル・サーバは、ユーザがレベル1サーバに(少なくと
も)アクセスするためレベル1アクセスを持つことが必
要であるように安全にされたレベル1データのみを含む
ウェブ・サーバであり得る。レベル2データを有する安
全にされたウェブ・サーバ140は、ユーザがレベル2
サーバにアクセスするため少なくともレベル2アクセス
を持たなければならないように安全にされたレベル2デ
ータを含むウェブ・サーバであり得る。レベル2アクセ
スを持つユーザは、レベル1及びレベル2の両方のサー
バへのアクセスを持ち得る。レベルNデータを有する安
全にされたウェブ・サーバ(図示せず)は、ユーザによ
りレベルN又はそれより上のレベルを用いてアクセス可
能であるレベルNデータを含むウェブ・サーバである。
レベルN又はそれより上のレベルのアクセスを持つユー
ザは、レベルNデータまでの全てのレベルのデータへの
アクセスを持ち得る。
ル・サーバは、ユーザがレベル1サーバに(少なくと
も)アクセスするためレベル1アクセスを持つことが必
要であるように安全にされたレベル1データのみを含む
ウェブ・サーバであり得る。レベル2データを有する安
全にされたウェブ・サーバ140は、ユーザがレベル2
サーバにアクセスするため少なくともレベル2アクセス
を持たなければならないように安全にされたレベル2デ
ータを含むウェブ・サーバであり得る。レベル2アクセ
スを持つユーザは、レベル1及びレベル2の両方のサー
バへのアクセスを持ち得る。レベルNデータを有する安
全にされたウェブ・サーバ(図示せず)は、ユーザによ
りレベルN又はそれより上のレベルを用いてアクセス可
能であるレベルNデータを含むウェブ・サーバである。
レベルN又はそれより上のレベルのアクセスを持つユー
ザは、レベルNデータまでの全てのレベルのデータへの
アクセスを持ち得る。
【0028】VPNエクストラネット142は、図示の
ように、レガシー・サーバ118及びレガシー・アプリ
ケーション・プログラム120に対するか、又はインタ
ーネットのような外部ネットワークに対するかのいずれ
かに対し得るネットワーク・ゲートウエイとして機能す
るソフトウエア・アプリケーションであり得る。個人取
消局144は、システム・ネットワーク100からのメ
ンバの取消を管理している1人又はそれより多い人であ
り得る。個人登録局146は、システム・ネットワーク
100の中のメンバの登録を管理している1人又はそれ
より多い人であり得る。個人回復承認者(person
al recovery approval)148
は、認証の回復を得ることを管理している1人又はそれ
より多い人であり得る。回復代理人150は、証明書が
最初に別の人により回復可能と指定されている場合証明
書の回復を実行し且つ証明書の取り戻しのみを行い得る
1人又はそれより多い人であり得る。個人役割承認(p
ersonal roleapproval)152
は、システム・ネットワーク100内の異なる役割機能
を承認する1人又はそれより多い人であり得る。ウェブ
・サーバ管理者は、システム・ネットワーク100の中
の種々のウェブ機能を管理している1人又はそれより多
い人であり得る。
ように、レガシー・サーバ118及びレガシー・アプリ
ケーション・プログラム120に対するか、又はインタ
ーネットのような外部ネットワークに対するかのいずれ
かに対し得るネットワーク・ゲートウエイとして機能す
るソフトウエア・アプリケーションであり得る。個人取
消局144は、システム・ネットワーク100からのメ
ンバの取消を管理している1人又はそれより多い人であ
り得る。個人登録局146は、システム・ネットワーク
100の中のメンバの登録を管理している1人又はそれ
より多い人であり得る。個人回復承認者(person
al recovery approval)148
は、認証の回復を得ることを管理している1人又はそれ
より多い人であり得る。回復代理人150は、証明書が
最初に別の人により回復可能と指定されている場合証明
書の回復を実行し且つ証明書の取り戻しのみを行い得る
1人又はそれより多い人であり得る。個人役割承認(p
ersonal roleapproval)152
は、システム・ネットワーク100内の異なる役割機能
を承認する1人又はそれより多い人であり得る。ウェブ
・サーバ管理者は、システム・ネットワーク100の中
の種々のウェブ機能を管理している1人又はそれより多
い人であり得る。
【0029】本発明に従った安全なレガシー・エンクレ
ーヴ(enclave)のためのシステム及び方法は、ディジタ
ル署名証明書と仮想私設ネットワーク(VPNs)との
組み合わされたアプリケーションを与えて、安全なレガ
シー・エンクレーヴを生成するためのよりコストの低い
ソリューションを与える。レガシー・エンクレーヴは、
レガシー・サーバとアプリケーションとを分離する目的
のため企業体ネットワークから分離されたネットワーク
・ローカル・エリア・ネットワーク(LAN)として定
義され得る。本発明に従って、レガシー・エンクレーヴ
は主ネットワークから分離される。レガシー・エンクレ
ーヴは、そのレガシー・エンクレーヴのサーバ及びアプ
リケーションへのアクセスを許可する前に、ユーザから
のディジタル署名妥当性検査及び検証を要求するVPN
に付けられ且つそのVPNにより保護される。
ーヴ(enclave)のためのシステム及び方法は、ディジタ
ル署名証明書と仮想私設ネットワーク(VPNs)との
組み合わされたアプリケーションを与えて、安全なレガ
シー・エンクレーヴを生成するためのよりコストの低い
ソリューションを与える。レガシー・エンクレーヴは、
レガシー・サーバとアプリケーションとを分離する目的
のため企業体ネットワークから分離されたネットワーク
・ローカル・エリア・ネットワーク(LAN)として定
義され得る。本発明に従って、レガシー・エンクレーヴ
は主ネットワークから分離される。レガシー・エンクレ
ーヴは、そのレガシー・エンクレーヴのサーバ及びアプ
リケーションへのアクセスを許可する前に、ユーザから
のディジタル署名妥当性検査及び検証を要求するVPN
に付けられ且つそのVPNにより保護される。
【0030】VPNエクストラネット・ゲートウエイ
は、レガシー・システムにアクセスするのを試みるユー
ザ/クライアントの妥当性検査のため、ユーザのディジ
タル署名を含む1つ以上のディレクトリにアクセスす
る。VPNゲートウエイは、それを、それ自身から成る
仮想ネットワークに置くことによりレガシー・システム
の周りに安全なエンクレーヴ(即ち、安全なレガシー・
エンクレーヴ)を効率的に生成する。VPNゲートウエ
イは、VPNゲートウエイを通して、暗号化されたアク
セスを許可し、従ってネットワーク対ネットワーク(企
業体ネットワーク対安全なレガシー・エンクレーヴ)ア
クティビティのための最新の安全なソリューションを使
用する。
は、レガシー・システムにアクセスするのを試みるユー
ザ/クライアントの妥当性検査のため、ユーザのディジ
タル署名を含む1つ以上のディレクトリにアクセスす
る。VPNゲートウエイは、それを、それ自身から成る
仮想ネットワークに置くことによりレガシー・システム
の周りに安全なエンクレーヴ(即ち、安全なレガシー・
エンクレーヴ)を効率的に生成する。VPNゲートウエ
イは、VPNゲートウエイを通して、暗号化されたアク
セスを許可し、従ってネットワーク対ネットワーク(企
業体ネットワーク対安全なレガシー・エンクレーヴ)ア
クティビティのための最新の安全なソリューションを使
用する。
【0031】図3は、本発明の例示的実施形態に従った
安全なレガシー・エンクレーヴのための例示的プロセス
のフローチャートである。VPNエクストラネット・ゲ
ートウエイは、1つ以上のレガシー・サーバと1つ以上
のレガシー・クライアント・プラットフォームとの間に
挿入される(S1)。レガシー・サーバは、1つ以上の
レガシー・エンクレーヴ・ネットワークの一部分であり
得る。クライアント・プラットフォームは企業体ネット
ワークに接続され得る。VPNエクストラネット・ゲー
トウエイが、企業体ネットワーク管理者により挿入され
得る。レガシー・ネットワーク管理者は、レガシー・サ
ーバにアクセスするのを許可されているユーザと共にV
PNエクストラネット・ゲートウエイを構成し得る(S
2)。ユーザは、クライアント・プラットフォームに常
駐のレガシー・クライアント・ソフトウエアを用いて、
レガシー・サーバ上のレガシー・アプリケーションへの
アクセスを試みる(S3)。VPNエクストラネット・
ゲートウエイは、ユーザからのその試みを受け取り、そ
してユーザがユーザの署名証明書を送ることを要求する
(S4)。VPNエクストラネット・ゲートウエイは、
ユーザの署名証明書を用いて、ユーザを認証し、即ち、
ユーザが彼らであると言うことの妥当性を検査する。V
PNエクストラネット・ゲートウエイは、ユーザの署名
証明書を受け取り、ユーザを認証し、且つディレクトリ
に問い合わせて、ユーザがレガシー・サーバへのアクセ
スを許可されるのを確認する(S5)。ディレクトリ
は、企業体ネットワークに接続され得るデータベースで
あり得る。ディレクトリは、企業体のメンバである全て
のユーザに関する情報を、例えば、ユーザがレガシー・
サーバへのアクセスを許可されるかどうかのような各ユ
ーザについての情報と一緒に含む。ディレクトリは、そ
のディレクトリに格納されているユーザの情報にアクセ
スし、そしてユーザがレガシー・サーバへのアクセスを
許可されるかを決定する。ユーザがレガシー・サーバへ
のアクセスを許可される場合、VPNエクストラネット
・ゲートウエイは、クライアント・プラットフォームに
常駐のレガシー・クライアント・ソフトウエアとレガシ
ー・サーバに常駐のレガシー・アプリケーションとのコ
ネクションを確立する(S6)。コネクションがレガシ
ー・クライアント・ソフトウエアとレガシー・アプリケ
ーションとの間に確立された後で、レガシー・アプリケ
ーションは更に、ユーザにレガシー・サーバへのアクセ
スを許可する前にユーザID及びパスワードをユーザか
ら要求し得る。
安全なレガシー・エンクレーヴのための例示的プロセス
のフローチャートである。VPNエクストラネット・ゲ
ートウエイは、1つ以上のレガシー・サーバと1つ以上
のレガシー・クライアント・プラットフォームとの間に
挿入される(S1)。レガシー・サーバは、1つ以上の
レガシー・エンクレーヴ・ネットワークの一部分であり
得る。クライアント・プラットフォームは企業体ネット
ワークに接続され得る。VPNエクストラネット・ゲー
トウエイが、企業体ネットワーク管理者により挿入され
得る。レガシー・ネットワーク管理者は、レガシー・サ
ーバにアクセスするのを許可されているユーザと共にV
PNエクストラネット・ゲートウエイを構成し得る(S
2)。ユーザは、クライアント・プラットフォームに常
駐のレガシー・クライアント・ソフトウエアを用いて、
レガシー・サーバ上のレガシー・アプリケーションへの
アクセスを試みる(S3)。VPNエクストラネット・
ゲートウエイは、ユーザからのその試みを受け取り、そ
してユーザがユーザの署名証明書を送ることを要求する
(S4)。VPNエクストラネット・ゲートウエイは、
ユーザの署名証明書を用いて、ユーザを認証し、即ち、
ユーザが彼らであると言うことの妥当性を検査する。V
PNエクストラネット・ゲートウエイは、ユーザの署名
証明書を受け取り、ユーザを認証し、且つディレクトリ
に問い合わせて、ユーザがレガシー・サーバへのアクセ
スを許可されるのを確認する(S5)。ディレクトリ
は、企業体ネットワークに接続され得るデータベースで
あり得る。ディレクトリは、企業体のメンバである全て
のユーザに関する情報を、例えば、ユーザがレガシー・
サーバへのアクセスを許可されるかどうかのような各ユ
ーザについての情報と一緒に含む。ディレクトリは、そ
のディレクトリに格納されているユーザの情報にアクセ
スし、そしてユーザがレガシー・サーバへのアクセスを
許可されるかを決定する。ユーザがレガシー・サーバへ
のアクセスを許可される場合、VPNエクストラネット
・ゲートウエイは、クライアント・プラットフォームに
常駐のレガシー・クライアント・ソフトウエアとレガシ
ー・サーバに常駐のレガシー・アプリケーションとのコ
ネクションを確立する(S6)。コネクションがレガシ
ー・クライアント・ソフトウエアとレガシー・アプリケ
ーションとの間に確立された後で、レガシー・アプリケ
ーションは更に、ユーザにレガシー・サーバへのアクセ
スを許可する前にユーザID及びパスワードをユーザか
ら要求し得る。
【0032】本発明に従った安全なレガシー・エンクレ
ーヴのためのシステム及び方法は、レガシー・システム
に対するソフトウエアの変更が要求とされないという点
で有利である。更に、より大きなセキュリティが、レガ
シー・システムへのアクセスを求める誰かがパスワード
ばかりでなくディジタル署名証明書をもVPNに与えな
ければならないという要件により達成される。
ーヴのためのシステム及び方法は、レガシー・システム
に対するソフトウエアの変更が要求とされないという点
で有利である。更に、より大きなセキュリティが、レガ
シー・システムへのアクセスを求める誰かがパスワード
ばかりでなくディジタル署名証明書をもVPNに与えな
ければならないという要件により達成される。
【0033】前述の事例は、単に説明の目的のために提
供され、決して本発明を限定するように解釈すべきでな
いことに留意されたい。本発明は、好適な実施形態を参
照して説明されたが、本明細書において用いられた用語
は限定の用語ではなく記載と説明の用語であることを理
解されたい。発明の局面において本発明の範囲及び趣旨
から離れることなく、特許請求の範囲内で、現在述べら
れたように及び修正されたように変更をなし得る。本発
明は本明細書において特定の方法、資料及び実施形態を
参照して説明されたが、本発明は、本明細書に開示され
た詳細に限定されることを意図されてなく、むしろ本発
明は、特許請求の範囲内にあるような全ての機能的に等
価な構造、方法及び使用へ拡張するものである。
供され、決して本発明を限定するように解釈すべきでな
いことに留意されたい。本発明は、好適な実施形態を参
照して説明されたが、本明細書において用いられた用語
は限定の用語ではなく記載と説明の用語であることを理
解されたい。発明の局面において本発明の範囲及び趣旨
から離れることなく、特許請求の範囲内で、現在述べら
れたように及び修正されたように変更をなし得る。本発
明は本明細書において特定の方法、資料及び実施形態を
参照して説明されたが、本発明は、本明細書に開示され
た詳細に限定されることを意図されてなく、むしろ本発
明は、特許請求の範囲内にあるような全ての機能的に等
価な構造、方法及び使用へ拡張するものである。
【図1】図1は、一例のPKIシステム・アーキテクチ
ャのブロック図である。
ャのブロック図である。
【図2】図2は、PKIプロセスが本発明の一例の実施
形態に従って実施され得る代表的なシステム・アーキテ
クチャのブロック図である。
形態に従って実施され得る代表的なシステム・アーキテ
クチャのブロック図である。
【図3】図3は、本発明の一例の実施形態に従った公開
鍵インフラストラクチャにおける安全なレガシー・エン
クレーヴのためのプロセスの例のフローチャートであ
る。
鍵インフラストラクチャにおける安全なレガシー・エン
クレーヴのためのプロセスの例のフローチャートであ
る。
100 システム・アーキテクチャ 108 ディレクトリ 118 レガシー・サーバ 120 レガシー・アプリケーション・プログラム 128 クライアント・プラットフォーム
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B017 AA07 BA07 CA15 5B085 AA08 AE02 AE03 BA07 BC01 5J104 AA07 AA09 KA01 KA05 NA02 NA05 PA07
Claims (11)
- 【請求項1】 少なくとも1つのレガシー・アプリケー
ションを含む少なくとも1つのレガシー・サーバと、 ネットワークに動作的に接続され、且つ少なくとも1つ
のレガシー・アプリケーションにアクセスするため少な
くとも一人のユーザにより使用可能なレガシー・クライ
アント・ソフトウエアを含む少なくとも1つのクライア
ント・プラットフォームと、 ネットワークに動作的に接続され、且つ少なくとも一人
のユーザに関する情報を含み、更に、少なくとも一人の
ユーザの各々が少なくとも1つのレガシー・サーバにア
クセスするのを許可されるか否かを示す少なくとも一人
のユーザに関する情報を含む、ディレクトリと、 少なくとも1つのレガシー・サーバとネットワークとの
間に動作的に接続された仮想私設ネットワーク(VP
N)エクストラネット・ゲートウエイと、を備え、 前記VPNエクストラネット・ゲートウエイは、少なく
とも一人のユーザを認証するため、レガシー・アプリケ
ーションへのアクセスを試みる少なくとも一人のユーザ
の署名証明書を要求し、 前記VPNエクストラネット・ゲートウエイは、少なく
とも一人のユーザを認証した後にレガシー・サーバにア
クセスするのを許可される少なくとも一人のユーザを確
認するためディレクトリに問い合わせ、 前記VPNエクストラネット・ゲートウエイは、少なく
とも一人のユーザがレガシー・サーバにアクセスするの
を許可された場合にレガシー・クライアント・ソフトウ
エアとレガシー・アプリケーションとのコネクションを
確立する、公開鍵インフラストラクチャ(PKI)にお
ける安全なレガシー・エンクレーヴのためのシステム。 - 【請求項2】 前記ディレクトリは、データベースを備
える請求項1記載のシステム。 - 【請求項3】 第2のネットワークを更に備え、 前記少なくとも1つのレガシー・サーバは、第2のネッ
トワークに動作的に接続され、 前記VPNエクストラネット・ゲートウエイは、第2の
ネットワークと前記ネットワークとの間に動作的に接続
される、請求項1記載のシステム。 - 【請求項4】 仮想私設ネットワーク(VPN)エクス
トラネット・ゲートウエイを少なくとも1つのレガシー
・サーバとレガシー・クライアント・プラットフォーム
との間に設けるステップと、 レガシー・クライアント・プラットフォーム上のレガシ
ー・クライアント・ソフトウエアを使用するユーザによ
る少なくとも1つのレガシー・サーバ上のレガシー・ア
プリケーションへのアクセスを試みるステップと、 ユーザを認証するため、ユーザの署名証明書をVPNエ
クストラネット・ゲートウエイにより要求するステップ
と、 少なくとも1つのレガシー・サーバへのアクセスを許可
されるユーザを確認するため、ユーザを認証した後にV
PNエクストラネット・ゲートウエイによりディレクト
リに問い合わせるステップと、 ユーザが少なくとも1つのレガシー・サーバへのアクセ
スを許可された場合、レガシー・クライアント・ソフト
ウエアとレガシー・アプリケーションとのコネクション
を確立するステップと、を備える公開鍵インフラストラ
クチャ(PKI)における安全なレガシー・エンクレー
ヴのための方法。 - 【請求項5】 前記VPNエクストラネット・ゲートウ
エイを少なくとも1つのレガシー・サーバとレガシー・
クライアント・プラットフォームとの間に設けた後に少
なくとも1つのレガシー・サーバへのアクセスを許可さ
れたユーザと共にVPNエクストラネット・ゲートウエ
イを構成するステップを更に備える請求項4記載の方
法。 - 【請求項6】 前記ディレクトリは、データベースを備
える請求項4記載の方法。 - 【請求項7】 コネクションは、レガシー・クライアン
ト・ソフトウエアとレガシー・アプリケーションとの間
に確立された後にユーザID及びパスワードをレガシー
・サーバによりユーザから要求するステップを更に備え
る請求項4記載の方法。 - 【請求項8】 コネクションがレガシー・クライアント
・ソフトウエアとレガシー・アプリケーションとの間に
確立される前に、ユーザID及びパスワードをVPNエ
クストラネット・ゲートウエイによりユーザから要求す
るステップを更に備える請求項4記載の方法。 - 【請求項9】 レガシー・クライアント・ソフトウエア
を使用するユーザによりレガシー・サーバ上のレガシー
・アプリケーションにアクセスする試みを受け取るステ
ップと、 ユーザを認証するためユーザの署名証明書を要求するス
テップと、 ユーザを認証した後にレガシー・サーバへのアクセスを
許可されたユーザを確認するためディレクトリに問い合
わせるステップと、 ユーザがレガシー・サーバへのアクセスを許可された場
合、レガシー・クライアント・ソフトウエアとレガシー
・アプリケーションとの間のコネクションを確立するス
テップとを処理装置に実行させるその中に記憶された命
令を有する記憶媒体を備える物品。 - 【請求項10】 コネクションは、レガシー・クライア
ント・ソフトウエアとレガシー・アプリケーションとの
間に確立される前にユーザID及びパスワードをユーザ
から要求するステップを更に備える請求項9記載の物
品。 - 【請求項11】 少なくとも1つのレガシー・サーバへ
のアクセスアを許可されたユーザに関する構成情報を受
け取る請求項9記載の物品。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US21052100P | 2000-06-09 | 2000-06-09 | |
| US22933600P | 2000-09-01 | 2000-09-01 | |
| US09/730,044 US6898710B1 (en) | 2000-06-09 | 2000-12-05 | System and method for secure legacy enclaves in a public key infrastructure |
| US60/210521 | 2000-12-05 | ||
| US09/730044 | 2000-12-05 | ||
| US60/229336 | 2001-03-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002064485A true JP2002064485A (ja) | 2002-02-28 |
Family
ID=27395517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001173348A Pending JP2002064485A (ja) | 2000-06-09 | 2001-06-08 | 公開鍵インフラストラクチャにおける安全なレガシー・エンクレーヴのためのシステム及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US6898710B1 (ja) |
| EP (1) | EP1162807B1 (ja) |
| JP (1) | JP2002064485A (ja) |
| DE (1) | DE60119834T2 (ja) |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6673479B2 (en) * | 2001-03-15 | 2004-01-06 | Hydrogenics Corporation | System and method for enabling the real time buying and selling of electricity generated by fuel cell powered vehicles |
| US6996537B2 (en) | 2001-08-13 | 2006-02-07 | Qualcomm Incorporated | System and method for providing subscribed applications on wireless devices over a wireless network |
| US9203923B2 (en) * | 2001-08-15 | 2015-12-01 | Qualcomm Incorporated | Data synchronization interface |
| US20030115259A1 (en) * | 2001-12-18 | 2003-06-19 | Nokia Corporation | System and method using legacy servers in reliable server pools |
| JP2004021666A (ja) * | 2002-06-18 | 2004-01-22 | Hitachi Ltd | ネットワークシステム、サーバ、およびサーバ設定方法 |
| US8065717B2 (en) * | 2002-11-27 | 2011-11-22 | Activcard | Automated security token administrative services |
| US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
| CN101065765A (zh) | 2004-01-21 | 2007-10-31 | 高通股份有限公司 | 无线订户网络中基于应用程序的价值记帐 |
| DE102004045147A1 (de) * | 2004-09-17 | 2006-03-23 | Fujitsu Ltd., Kawasaki | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm |
| US7950044B2 (en) * | 2004-09-28 | 2011-05-24 | Rockwell Automation Technologies, Inc. | Centrally managed proxy-based security for legacy automation systems |
| US7661128B2 (en) * | 2005-03-31 | 2010-02-09 | Google Inc. | Secure login credentials for substantially anonymous users |
| US9185538B2 (en) | 2005-05-31 | 2015-11-10 | Qualcomm Incorporated | Wireless subscriber application and content distribution and differentiated pricing |
| US9350875B2 (en) | 2005-05-31 | 2016-05-24 | Qualcomm Incorporated | Wireless subscriber billing and distribution |
| US7590761B2 (en) * | 2005-12-06 | 2009-09-15 | Avaya Inc | Secure gateway with alarm manager and support for inbound federated identity |
| US9143622B2 (en) | 2006-02-17 | 2015-09-22 | Qualcomm Incorporated | Prepay accounts for applications, services and content for communication devices |
| US9185234B2 (en) | 2006-02-22 | 2015-11-10 | Qualcomm Incorporated | Automated account mapping in a wireless subscriber billing system |
| US20070234412A1 (en) * | 2006-03-29 | 2007-10-04 | Smith Ned M | Using a proxy for endpoint access control |
| US8831011B1 (en) | 2006-04-13 | 2014-09-09 | Xceedium, Inc. | Point to multi-point connections |
| US7873071B2 (en) * | 2006-05-15 | 2011-01-18 | The Boeing Company | Multiple level security adapter |
| US8775602B2 (en) * | 2006-06-01 | 2014-07-08 | Avaya Inc. | Alarm-driven access control in an enterprise network |
| US8307425B2 (en) * | 2006-08-04 | 2012-11-06 | Apple Inc. | Portable computer accounts |
| US20080040404A1 (en) * | 2006-08-11 | 2008-02-14 | Microsoft Corporation | Host computer I/O filter re-directing potentially conflicting I/O commands from instantiations of legacy application |
| US8218435B2 (en) * | 2006-09-26 | 2012-07-10 | Avaya Inc. | Resource identifier based access control in an enterprise network |
| US8561136B2 (en) * | 2007-10-10 | 2013-10-15 | R. Brent Johnson | System to audit, monitor and control access to computers |
| US8479281B2 (en) | 2008-03-26 | 2013-07-02 | Dell Products L.P. | Authentication management methods and media |
| US8352741B2 (en) | 2009-06-11 | 2013-01-08 | Microsoft Corporation | Discovery of secure network enclaves |
| US9742560B2 (en) | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
| US8972746B2 (en) * | 2010-12-17 | 2015-03-03 | Intel Corporation | Technique for supporting multiple secure enclaves |
| US9087196B2 (en) * | 2010-12-24 | 2015-07-21 | Intel Corporation | Secure application attestation using dynamic measurement kernels |
| US8744078B2 (en) | 2012-06-05 | 2014-06-03 | Secure Channels Sa | System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths |
| US9864861B2 (en) * | 2014-03-27 | 2018-01-09 | Intel Corporation | Object oriented marshaling scheme for calls to a secure region |
| US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
| US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
| US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| US20180131525A1 (en) * | 2016-11-07 | 2018-05-10 | International Business Machines Corporation | Establishing a secure connection across secured environments |
| EP3857838A1 (en) * | 2018-10-16 | 2021-08-04 | Huawei Technologies Co., Ltd. | Node and method for secure server communication |
| DE102021209505A1 (de) | 2021-08-30 | 2023-03-02 | Volkswagen Aktiengesellschaft | System und Verfahren zum Aufrüsten einer veralteten Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5754830A (en) * | 1996-04-01 | 1998-05-19 | Openconnect Systems, Incorporated | Server and web browser terminal emulator for persistent connection to a legacy host system and method of operation |
| US6026379A (en) * | 1996-06-17 | 2000-02-15 | Verifone, Inc. | System, method and article of manufacture for managing transactions in a high availability system |
| US7054844B2 (en) * | 2000-01-05 | 2006-05-30 | Bce Emergis Inc. | Secure electronic procurement system and method |
-
2000
- 2000-12-05 US US09/730,044 patent/US6898710B1/en not_active Expired - Lifetime
-
2001
- 2001-05-31 DE DE60119834T patent/DE60119834T2/de not_active Expired - Lifetime
- 2001-05-31 EP EP01112857A patent/EP1162807B1/en not_active Expired - Lifetime
- 2001-06-08 JP JP2001173348A patent/JP2002064485A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP1162807A2 (en) | 2001-12-12 |
| US6898710B1 (en) | 2005-05-24 |
| DE60119834D1 (de) | 2006-06-29 |
| EP1162807A3 (en) | 2004-01-07 |
| DE60119834T2 (de) | 2006-10-19 |
| EP1162807B1 (en) | 2006-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6898710B1 (en) | System and method for secure legacy enclaves in a public key infrastructure | |
| Tardo et al. | SPX: Global authentication using public key certificates | |
| EP1162780B1 (en) | System and method for cross directory authentication in a public key infrastructure | |
| US7747852B2 (en) | Chain of trust processing | |
| US6807577B1 (en) | System and method for network log-on by associating legacy profiles with user certificates | |
| US7028181B1 (en) | System and method for efficient and secure revocation of a signature certificate in a public key infrastructure | |
| US7213262B1 (en) | Method and system for proving membership in a nested group using chains of credentials | |
| JP2002123492A (ja) | 既存の強力な認証pkiシステムを用いて外部pkiシステムからシングル・サインオン認証を取得する技法 | |
| KR20040049272A (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| JP2003234736A (ja) | 公開鍵インフラストラクチャ・トークン発行及びバインディング処理 | |
| JP3660274B2 (ja) | 認証書系図の自動追跡方法及びシステム | |
| US7013388B2 (en) | Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system | |
| US6934393B2 (en) | System and method for third party recovery of encryption certificates in a public key infrastructure | |
| EP1162781B1 (en) | System and method for generation of a signature certificate in a public key infrastructure | |
| US6934859B2 (en) | Authenticated search engines | |
| US20030172298A1 (en) | Method and system for maintaining secure access to web server services using server-delegated permissions | |
| US20030172299A1 (en) | Method and system for maintaining secure access to web server services using permissions | |
| US20020141592A1 (en) | Preventing ID spoofing with ubiquitous signature certificates | |
| WO2003077130A9 (en) | Method and system for maintaining secure access to web server services | |
| EP1175037A2 (en) | Preventing ID spoofing with ubiquitous signature certificates | |
| US11539533B1 (en) | Access control using a circle of trust | |
| KR20090106368A (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040611 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20040913 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20040916 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050222 |