JP2003521779A - 通信プロトコルによってイネーブルされるクライアントによる情報へのアクセスを登録および認証するためのシステム、方法およびコンピュータプログラム製品 - Google Patents

通信プロトコルによってイネーブルされるクライアントによる情報へのアクセスを登録および認証するためのシステム、方法およびコンピュータプログラム製品

Info

Publication number
JP2003521779A
JP2003521779A JP2001556451A JP2001556451A JP2003521779A JP 2003521779 A JP2003521779 A JP 2003521779A JP 2001556451 A JP2001556451 A JP 2001556451A JP 2001556451 A JP2001556451 A JP 2001556451A JP 2003521779 A JP2003521779 A JP 2003521779A
Authority
JP
Japan
Prior art keywords
user
server
authentication
communication medium
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001556451A
Other languages
English (en)
Inventor
ビクラム シング バクシ,
Original Assignee
バイオネトリックス システムズ コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by バイオネトリックス システムズ コーポレイション filed Critical バイオネトリックス システムズ コーポレイション
Publication of JP2003521779A publication Critical patent/JP2003521779A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

(57)【要約】 情報へのアクセスを可能にするためのシステム、方法、およびコンピュータプログラム製品が提供される。より詳細には、通信プロトコルによってイネーブルされるクライアントがインターネットを介して情報(特に秘匿情報)にアクセスする際の登録および認証を行うためのシステム、方法、およびコンピュータプログラム製品が提供される。上記システムは、クライアント側コンポーネント(210)と、上記クライアント側コンポーネントに結合されたフィルタ(206)と、上記フィルタ(206)に結合されたサーバ側コンポーネント(204)とを含む。上記クライアント側コンポーネント(210)は、認証制御コンポーネント(208)を含む。上記認証制御コンポーネント(208)は、ユーザ信用証明書を取得するプロセスを管理し、上記取得プロセスの結果を上記フィルタ(206)に通信する。

Description

【発明の詳細な説明】
【0001】 (発明の背景) (発明の分野) 本発明は概して、情報へのアクセスを可能にするためのシステム、方法および
コンピュータプログラム製品に関し、より詳細には、通信プロトコルによってイ
ネーブルされるクライアントが通信媒体を介して情報(特に秘匿情報)にアクセ
スする際に上記クライアントの登録および認証を行うためのシステム、方法およ
びコンピュータプログラム製品に関する。
【0002】 (関連分野) 現在、経済における情報への迅速なアクセスおよび情報の交換の重要性は、い
くら強調してもしたりないくらい重要である。その重要性は、インターネット、
イントラネット、情報の無線によるやりとりなどが指数関数的に浸透しているこ
とからも分かる。インターネットは相互に接続されたコンピュータネットワーク
が世界規模になったものであり、インターネットを用いれば、ますます多くの量
および種類の情報に電子的にアクセスすることができるようになってきている。
今日、インターネットにおける高速アクセスおよび公開情報すなわち非秘匿情報
のやり取りは格段の進歩を遂げている。
【0003】 インターネット上の情報にアクセスするための1つ方法として公知のものに、
World Wide Web(www、または「ウェブ」)がある。ウェブは
分散型のハイパーメディアシステムであり、クライアント−サーバベースの情報
提示システムとして機能する。ウェブは、ハイパーテキストマークアップ言語(
HTML)と呼ばれる言語でフォーマットされた言語をサポートする。HTML
文書は、他の文書ならびにグラフィックファイル、音声ファイルおよび映像ファ
イルなどへのリンクをサポートする。さらに、HTMLは、ウェブページのフォ
ーマット様式および表示様式も制御する。コンピュータユーザは、「クライアン
ト」と呼ばれる汎用コンピュータを用いてウェブ(またはHTML)ページのユ
ニフォームリソースロケーター(URL)を指定することにより、当該ページに
アクセスすることができる。図1は、インターネットに接続された複数のクライ
アントおよびサーバを示すネットワークのブロック図である。
【0004】 インターネットの浸透が一因となって、どんなユーザもインターネットの機能
によって利点を得ることができるようにするためのツールまたはプロトコルがに
開発されきている。その例を挙げると、ウェブブラウザ、HTTP、SHTTP
、クッキーおよびSSLがある(ただし、これらに限定されない)。以下、これ
らの各々についてより詳細に説明する。
【0005】 ウェブブラウザは、ユーザがウェブページを探して表示する作業を容易にする
ソフトウェアアプリケーションである。ウェブブラウザの例としては、ネットス
ケープナビゲータおよびMicrosoft(登録商標)のインターネットエク
スプローラがある。ウェブブラウザは、本明細書中に記載の通信プロトコルによ
ってイネーブルされるクライアントの一例である。通信プロトコルによってイネ
ーブルされるクライアントの他の例を挙げると、TCP/IPクライアントおよ
び無線クライアントがある(ただし、これらに限定されない)。
【0006】 ハイパーテキスト転送プロトコル(HTTP)は、ウェブによって用いられる
共通プロトコルである。HTTPは、メッセージのフォーマット方式および送信
方式と、ウェブサーバおよびブラウザが様々なコマンドに応答したときにとるべ
きアクションとを規定する。例えば、ユーザが自身のブラウザ内のURLに入る
と、リクエストされたウェブページをフェッチして送信することをウェブサーバ
に命令する旨のHTTPコマンドが実際にウェブサーバに送られる。
【0007】 HTTPが支配関係を持たない(stateless)プロトコルであると言
われている所以は、各コマンドの実行が個別に行われ、当該コマンドの前または
後に来るコマンドに関する知識は用いられないことから来ている。これは、ユー
ザ入力に知的に反応するウェブサイトをインプリメントすることが困難である1
つの原因となっている。このようなHTTPの特徴に対する対策として取り組ま
れている技術として、HTTPを補足する(compliment)ための複数
の新技術(例えば、ActiveX、Java(R)、Java(R)Scri
ptおよびクッキー)がある。
【0008】 例えば、クッキーは、ウェブサーバがウェブブラウザに与えるメッセージであ
る。クッキーは、サーバ側の接続部がクライアント側の接続部にある情報の格納
および検索のどちらを行う際にも用いることができる包括的メカニズムである。
このようにしてクライアント側の状態がシンプルかつ永続的な様式で分かると、
ウェブ−ベースのクライアント/サーバアプリケーションの能力が大幅に伸びる
【0009】 HTTPオブジェクトをユーザに返送する際、サーバも、ユーザによって格納
される状態情報を送ることができる。このような状態オブジェクト中には、当該
状態が有効となるURLの範囲の記述が含まれる。将来ユーザが作成した任意の
HTTPリクエストでこの範囲内に収まるものは、状態オブジェクトの現在値を
ユーザからサーバに返送する伝達を含む。このような状態オブジェクトがクッキ
ーである。この簡単なメカニズムにより、新種のアプリケーションのホストをウ
ェブ−ベースの環境に合わせて書くことを可能にする強力なツールが得られる。
これにより可能になっていることを挙げると、ショッピングアプリケーションに
おいて、現在ユーザが選択しているアイテムに関する情報を保存することが可能
となり、料金を要求する(for−fee)サービスにおいて、登録情報を返送
することにより、ユーザが次回接続した際に再度ユーザ名(またはユーザID)
をタイプ入力しなくてもよくなり、サイトは、ユーザ選好情報をユーザ単位でユ
ーザコンピュータ上に格納し、ユーザがサイトに接続するたびにこのような選好
情報を供給させることができるようになっている。
【0010】 ウェブ上で用いられる別の共通プロトコルとして、Secure Socke
t Layer(SSL)プロトコルがある。SSLは、プライベート文書をイ
ンターネット経由で送信する際に用いられるプロトコルである。SSLは、特定
のセッションに関わるウェブブラウザのみが知っているプライベートセッション
キーを用いることにより、機能する。このセッションキーは、各セッションごと
に変更される。このセッションキーを用いて、SSL接続を介して転送されたデ
ータを暗号化する。多くのウェブサイトが、秘匿ユーザ情報(例えば、クレジッ
トカード番号)を入手する際にSSLプロトコルを用いている。
【0011】 ウェブ経由のデータ送信をセキュアに行うための別のプロトコルとして、Se
cure HTTP(S−HTTP)がある。SSLではクライアントとサーバ
との間のセキュアな接続を任意の量のデータをセキュアに送信できるように生成
しているのに対し、S−HTTPは、個々のメッセージをセキュアに送信するよ
うに設計されている。従って、SSLおよびS−HTTPは、競合テクノロジー
というよりも相補関係にあテクノロジーとしてみることができる。
【0012】 上述したように、現在、経済における情報への迅速なアクセスおよび情報の交
換の重要性は、いくら強調してもしたりないくらい重要である。上述したような
ウェブブラウザおよび様々なプロトコルの登場により、インターネットはますま
す浸透の度合いを高めている(イントラネットおよび無線通信も、専用のプロト
コルを通じてますます浸透の度合いを高めている)。インターネット経由での非
秘匿情報のやり取りが高速化したことも、ユーザにとって有用となっている。し
かし、そこには問題がある。1つの問題としては、インターネットを通過する秘
匿情報の保護がある。別の問題としては、個々のユーザの秘匿情報がインターネ
ットを通過する際にその秘匿状態が保たれているという安心感を満足させること
がある。
【0013】 インターネット経由でユーザに提供されるアプリケーションまたはサービスに
おいて秘匿ユーザ情報のアクセスまたは交換が必要になる度合いが高まるにつれ
、ユーザの安心感を満たすことの重要性も高まる。このようなアプリケーション
またはサービスの例を挙げると、企業間の電子商取引および企業/消費者間の電
子商取引、オンラインアプリケーション(例えば、バンキング、株式取引、ショ
ッピング、個人化されたコンテンツのウェブサイトなどがある。不適切なユーザ
に秘匿情報が与えられるのを防ぐために、ユーザ(または通信プロトコルによっ
てイネーブルされるクライアント(例えば、ウェブブラウザ)が)ウェブアプリ
ケーションにアクセスする前に、当該ユーザ(またはクライアント)を認証する
ことが必要である。情報のアクセスおよびやり取りが簡単であることはどのユー
ザにとっても魅力である一方、ほとんどのユーザは、自身の秘匿情報がインター
ネット、イントラネット、無線ネットワークなどを介してアクセス可能であると
きのセキュリティについても懸念している。そのため、インターネットを用いた
情報のアクセスおよびやり取りの浸透速度を妨げないようにするために、インタ
ーネットによって情報を提供する者は、秘匿情報の適切な保護と、インターネッ
ト経由での情報のアクセスおよびやり取りとの間のバランスをとらなくてはなら
ない。
【0014】 (発明の要旨) 情報にアクセスすることを可能にするシステム、方法、およびコンピュータプ
ログラム製品が提供され、より詳細には、通信媒体を介して情報(特に、秘密情
報)にアクセスするために、通信プロトコルによってイネーブルされるクライア
ントの登録および認証が提供される。
【0015】 通信媒体を介してリクエストされた情報にアクセスするために、ユーザを遠隔
的に登録および認証するシステムは、クライアント側コンポーネント、通信媒体
を介してクライアント側コンポーネントに結合されたフィルタ、および、通信媒
体を介してフィルタに結合されたサーバ側コンポーネントを含む。クライアント
側コンポーネントは、ユーザ信用証明書(credential)を取り込み、
取り込みプロセスの結果をフィルタに伝えるプロセスを管理する認証制御コンポ
ーネントを含む。サーバ側コンポーネントは、認証サーバを含む。認証サーバは
、複数のユーザに関連するデータ、および、ユーザに関連する少なくとも1つの
方針(policy)を格納する。ユーザ方針は、認証レベルを決定し、認証レ
ベルは、リクエストされた情報にユーザがアクセスすることを許可される可能性
を決定する。さらに、認証サーバは、フィルタからユーザ信用証明書を受信し、
ユーザ方針を実行することによりユーザを認証することを試み、ユーザが認証さ
れたかどうかをフィルタに伝える。最終的に、フィルタは、ユーザが認証サーバ
によって一旦認証されると、リクエストされた情報を含むサーバとインターラク
トする。
【0016】 ユーザの遠隔登録を可能にするため、本発明は、認証制御コンポーネントおよ
び登録アプリケーションを含むクライアント側コンポーネントを提供する。登録
アプリケーションは、ユーザ信用証明書を提示する際にユーザと対話する提示論
理を駆動する責任がある。認証制御コンポーネントは、ユーザ信用証明書を取り
込み、取り込みプロセスの結果をサーバ側コンポーネントに伝えるプロセスを管
理する責任がある。
【0017】 本発明は、添付の図面を参照して説明される。
【0018】 (好適な実施形態の詳細な説明) (A.発明の概要) 本発明の発明者は、秘密情報の保護と、通信媒体(例えば、インターネット)
を介して同じ秘密情報にアクセスする容易さとを有効にバランスをとる解決策が
存在しなかったことを認識した。本発明は、インターネットを参照して説明され
るが、これは、本発明を制限することを意図しないことに留意することが重要で
ある。本発明は、さらに、イントラネット、無線ネットワークなどに適用する。
【0019】 上記の問題に対する本発明の一般的な解決策は、2通りに分けられる。第1に
、出来る限り適切な識別デバイスを使用して、インターネット上で入手可能な秘
密情報を保護すること。第2に、適切な識別デバイスを利用して、秘密情報を管
理するインターネットによってアクセス可能なアプリケーションおよび/または
サービスに対してユーザを有効に認証するシステム、方法、およびコンピュータ
プログラム製品を提供すること。この認証のためのシステム、方法、およびコン
ピュータプログラム製品は、インターネットによって現在提供されている情報へ
の素早いアクセスおよび情報の素早い交換という点でのインターネットの評判を
下げるべきではない。より詳細には、本発明のシステムのアーキテクチャは、通
信プロトコルによってイネーブルされるクライアントを認証するため、かつ、通
信プロトコルによってイネーブルされるクライアントの信用証明書を遠隔登録す
るために、クロスプラットフォーム、高性能、拡張可能、および、高度に拡大縮
小可能な解決策である必要がある。
【0020】 秘密情報の不適切な認証、従って、不適切な保護のために、何千もの電子商取
引ビジネス、インターネットデータコンテンツプロバイダなどによって何十億ド
ルもの損害が出ている。多くのユーザは、インターネットを介して彼らの秘密情
報がアクセス可能であることに不愉快さを感じている。従って、秘密情報に関し
て、これらのユーザは、インターネットの使い易さを諦め、インターネットによ
ってアクセス可能でない、より伝統的なタイプのビジネスまたはサービスに頼る
かもしれない。
【0021】 今日、ほとんどのウェブアプリケーション/サービスは、ユーザ名およびパス
ワードのみによってユーザを認証する。他の識別デバイスは、スマートカード、
トークン、および種々のバイオメトリックデバイスを含むが、これらに制限され
ない。さらに、ほとんどのウェブアプリケーションは、パスワードのみを伴う「
シングルサインオン」と呼ばれるプロセスを取り入れることにより、その秘密デ
ータ保護を管理する費用および複雑さを減少させる。シングルサインオンは、各
ユーザに、全てのウェブアプリケーションリソース(公開情報または秘密でない
情報および秘密情報を含む)にアクセスするための1つのパスワードを提供する
。ほとんどのユーザは、書き留めることなく1つのパスワードを記憶することが
出来る。これにより、情報保護を管理する複雑さおよび費用が減少されるが、情
報にアクセスするユーザが認証されたユーザである可能性が減少される。パスワ
ードを使用するシングルサインオンは、秘密でない情報にアクセスするユーザを
認証することが可能であるが、パスワードを使用するシングルサインオンは、他
のタイプの情報に加え、秘密情報にアクセスするユーザを認証することが可能で
ない。アクセスするユーザが認証されたユーザである可能性は、複数のパスワー
ド、トークン、スマートカード、またはバイオメトリックデバイスを使用して、
異なるタイプの情報(例えば、秘密情報対秘密でない情報)にアクセスすること
を各ユーザに強制することにより増加し得る。
【0022】 (B.システムアーキテクチャの概要) 図2は、本発明の例示的な動作環境を表すブロック図である。図2の例示的な
動作環境は、例示的な目的のためだけに示され、本発明を制限しないことが理解
されるべきである。本明細書中に示す動作環境の他の実施形態は、本明細書中に
含まれる教示に基づいて、関連分野(単数または複数)の当業者に明らかであり
、本明細書は、このような他の実施形態に向けられる。図2を参照すると、認証
サーバ202、認証コンポーネント204、フィルタ206、認証制御コンポー
ネント208、デバイス特有のコンポーネント210、ウェブブラウザ212、
およびウェブ/アプリケーションサーバ214が示される。
【0023】 本発明の機能モジュールまたはコンポーネントの実施形態は、認証サーバ20
2、認証コンポーネント204、フィルタ206、および認証制御コンポーネン
ト208を含む。本発明のコンポーネントは、それぞれ、下記のカテゴリの下で
分類され得る:クライアント側コンポーネント;フィルタコンポーネント;サー
バ側コンポーネントおよび遠隔登録コンポーネント。認証サーバ202および認
証コンポーネント204は、サーバ側コンポーネントとして分類される。認証制
御コンポーネント208は、デバイス特有のコンポーネント210およびウェブ
ブラウザ212と共に、クライアント側コンポーネントとして分類される。フィ
ルタ206は、フィルタコンポーネントとして分類される。最後に、認証制御コ
ンポーネント208および認証コンポーネント204は、遠隔登録コンポーネン
トとして分類される。本発明のある実施形態において、サーバ側コンポーネント
および遠隔登録コンポーネントは、プラットフォームに依存しないように設計さ
れ、これらとの通信が標準の公開プロトコル(例えば、HTTPプロトコル(R
FC2068))を介して行われることだけを必要とする。認証制御コンポーネ
ント208が、クライアント側コンポーネントおよび遠隔登録コンポーネントの
両方として分類されることに留意されたい。さらに、認証コンポーネント204
は、サーバ側コンポーネントおよび遠隔登録コンポーネントの両方として分類さ
れる。本発明の異なる分類(または、機能)におけるこれらのコンポーネントの
再使用は、オブジェクト指向のプログラミング言語においてこれらのコンポーネ
ントを実施した結果である。
【0024】 任意のオブジェクト指向プログラムの利点は、プログラマーが、新しいオブジ
ェクトが追加される場合に変更される必要がないモジュール(機能を実行するモ
ジュール)を作成することを可能にすることである。オブジェクトは、タスクを
実行するために必要なデータおよび機能の両方を含む。従って、本発明のコンポ
ーネントによってオブジェクトとして実行されるべき機能を実施することにより
、作成されたモジュールは、新しいタイプのオブジェクト(または、機能)が追
加される場合に変更される必要がない。本発明のこの実施によって、複雑さが減
少され、従って、効率が増加させられる。本発明のカテゴリ(および、それぞれ
のコンポーネント)について、下記で説明する。
【0025】 (1.サーバ側コンポーネント) 上記のように、認証サーバ202および認証コンポーネント204は、サーバ
側コンポーネントとして分類される。認証サーバ202は、認証コンポーネント
204に接続される(図2参照)。認証サーバ202は、本発明に関連する同時
係属中の米国出願第09/264,726号および米国出願第09/517,1
21号で詳細に説明される(上記の「関連出願の相互参照」を参照)。便宜上、
認証サーバ202について下記で簡単に説明する。
【0026】 認証サーバ202は、本発明のエンジンであり、本発明によって必要とされる
データの集まりを格納する。エンジンの機能および認証サーバ202内に格納さ
れるデータの機能の両方について、下記により詳細に説明する。認証サーバ20
2内に格納されるデータのタイプは、部分的には、登録ステーションおよび管理
ステーション(図示せず)の動作を介して決定される。登録ステーションを使用
して、本発明によって認証されるべきユーザを登録する。登録ステーションには
、ユーザを登録するため、かつ、最終的には認証するために、本発明によって使
用される全てのタイプのデバイス(例えば、指紋スキャナ、音声または顔面認識
システムなどのバイオメトリックデバイス、あるいは、RSAトークン、VAS
COトークンなどの安全トークンなど)が取り付けられている。ユーザが本発明
に登録されると、ユーザは、アドミニストレータが必要だと思うだけの数のデバ
イスに登録され得る。
【0027】 本発明のアドミニストレータによって管理ステーションが使用されて、全体的
な管理デューティが実行される。アドミニストレータは、さらに、管理ステーシ
ョンを使用して、種々のレポートを生成し得る。レポートは、認証サーバ202
内に格納される異なるタイプのデータのリスト(例えば、本発明において現在登
録されているユーザのリスト)を含み得る。さらに、典型的には、管理ステーシ
ョンを使用して、認証サーバ202内に初期データがセットアップされる。
【0028】 本発明によって使用され得る別のコンポーネントは、図2に示さない衛星登録
ステーションである。衛星登録ステーションを使用して、遠隔地において、ユー
ザを本発明に登録する。衛星登録ステーションには、管理ステーションと同じだ
けの数のデバイスが取り付けられるが、代わりに、管理ステーションの縮小され
たバージョンでもあり得る。下記で詳細に説明するように、本発明は、ウェブブ
ラウザ(すなわち、通信プロトコルによってイネーブルされるクライアント)が
、遠隔登録ステーションとして機能することを可能にする。
【0029】 上記のように、認証サーバ202は、認証コンポーネント204に接続される
。認証コンポーネント204は、listenオブジェクト、commオブジェ
クト、および認証オブジェクト(下記で説明する)を含む特定の機能を実行する
異なるタイプのオブジェクトを含む。これらのタイプのオブジェクトは、ユーザ
が認証されることを試みる場合に、本発明によって使用される。上記のように、
本発明は、秘密情報の保護と、インターネットなどの通信媒体を介して同じ秘密
情報にアクセスする容易さとを有効にバランスをとる解決策を提供する。本発明
は、インターネットを参照して説明されるが、これは、本発明を制限することを
意図しないことに留意することが重要である。本発明は、さらに、イントラネッ
ト、無線ネットワークなどに適用する。通信媒体のタイプによって、認証コンポ
ーネント204は、その特定の媒体を介してユーザを認証するために必要な機能
を実行する。これについて、図4、図5A、および図5Bを参照して示す。
【0030】 図4において、認証コンポーネント204は、無線ネットワークに必要な機能
を実行する。図5Aは、ローカルネットワークまたはイントラネットに必要な機
能を実行する認証コンポーネント204を示す。最後に、図5Bは、インターネ
ットに必要な機能を実行する認証コンポーネント204を示す。通信媒体がイン
ターネットである場合の認証コンポーネント204について下記で説明するが、
本発明は、インターネットに制限されない。
【0031】 (a.listenオブジェクト) listenオブジェクトは、起動の際に認証サーバ202によって具現化さ
れる。listenオブジェクトは、図6によって示すように、下記のタスクを
行う責任がある。図6において、フローチャートがステップ602から始まる。
一旦具現化されると、listenオブジェクトは、ステップ602によって示
すように、標準SSLポート(すなわち、ポート443)で入来するSSL接続
リクエストをリッスン(listen)するHTTPデーモンのように機能する
。その後、制御はステップ604に移動する。
【0032】 ステップ604において、listenオブジェクトがSSL接続リクエスト
を一旦受信すると、listenオブジェクトは、下記で説明するように、co
mmオブジェクトおよび/または認証オブジェクトによってリクエストが処理さ
れることを保証する。その後、制御はステップ602に戻り、ここで、list
enオブジェクトは、入来するSSL接続リクエストをリッスンする。list
enオブジェクトが破壊されるのは、認証サーバ202がオフになってからのみ
である。
【0033】 ステップ604においてリクエストが処理されることをlistenオブジェ
クトが保証する異なる方法がある。例えば、本発明のある実施形態において、l
istenオブジェクトは、標準デーモンスレッド、ワーカースレッドプールモ
デルとして実施され得る。ここで、単一のデーモンスレッドは、入来する全ての
接続リクエストを受信し、プール内のワーカースレッドの1つに、新しく生成さ
れたソケット(各接続のためのソケット)を引き渡す。その後、デーモンスレッ
ドは、さらなる入来接続をリッスンするために戻り得る。プール内のスレッドの
数は、構成可能なパラメータであり得る。スレッドは、関連分野で周知である。
【0034】 本発明の別の実施形態において、listenオブジェクトは、IO完了ポー
トを使用して、クライアントからリクエストを受信し、かつ、クライアントに応
答を転送する単一のポイントを提供し得る。この技術は、IO中心処理の性能を
向上することが証明されている非同期通信メカニズムにも必然的に向いている。
IO完了ポートおよび非同期通信メカニズムも、関連分野で周知である。本発明
のcommオブジェクトについて、下記で説明する。
【0035】 (b.commオブジェクト) commオブジェクトは、それぞれの新しいクライアントセッションに関して
具現化される。クライアントセッションは、ウェブブラウザ212におけるユー
ザが、ウェブ/アプリケーションサーバ214にアクセスしようと試みる場合に
生じる。認証プロセスが一旦完了すると、エラーまたはタイムアウトが生じて、
対応するcommオブジェクトが破壊される。commオブジェクトは、図7に
よって示すような下記のタスクを行う責任がある。図7において、ステップ70
2からフローが始まる。ステップ702において、commオブジェクトは、デ
ータの対称的な暗号化/復号化に関するセッションキーに関して、ウェブブラウ
ザ212と交渉する。これは、サーバ側の証明書(certificate)お
よびクライアント側の証明書の交換を伴い得る。その後、制御はステップ704
に移動する。
【0036】 ステップ704において、commオブジェクトは、セッションキーによって
暗号化されたデータをウェブブラウザ212から受信する。その後、制御はステ
ップ706に移動する。
【0037】 ステップ706において、commオブジェクトは、ステップ704において
受信したデータを復号化する。その後、制御はステップ708に移動する。
【0038】 ステップ708において、commオブジェクトは、HTTPヘッダーおよび
復号化データ内のコンテンツを構文解析する。その後、制御はステップ710に
移動する。
【0039】 ステップ710において、commオブジェクトとは、特定のフォーマットと
一致するデータオブジェクトを受信したデータから作成し、認証オブジェクトま
たは方針オブジェクトに引き渡し、HTTP仕様書によってフォーマットする。
方針オブジェクトは、本発明に関連する同時係属中の米国出願第09/264,
726号および米国出願第09/517,121号で詳細に説明される。方針オ
ブジェクトは、使用される特定の方針によって異なる。方針は、認証サーバ20
2によってユーザが認証される方法または手段を決定する。ユーザは、適切な方
針をパスするまで認証されないことを留意することが重要である。本発明におい
て、ユーザは、自分の方針をパスせずに、1つ以上のデバイスをただ単にパスす
るだけでは、決して認証されない。方針について、下記でより詳細に説明する。
その後、制御はステップ712に移動する。
【0040】 ステップ712において、commオブジェクトは、認証オブジェクトまたは
方針オブジェクトからデータオブジェクトを受信し返し、HTTP仕様書によっ
てそれをフォーマットする。その後、制御はステップ714に移動する。
【0041】 ステップ714において、commオブジェクトは、ウェブブラウザ212に
送信し返すべきセッションキーによってデータを暗号化する。その後、制御はス
テップ716に移動する。
【0042】 ステップ716において、commオブジェクトは、暗号化されたデータをウ
ェブブラウザ212に送信する。方針が多元的な認証を必要とする場合、上記の
ステップのいくつかまたは全てが数回繰り返され得ることを留意することが重要
である。図7のフローチャートは、この時点で終了する。上記のように、com
mオブジェクトは、エラーまたはタイムアウトが生じる場合に、認証プロセスが
一旦完了すると破壊される。本発明の認証オブジェクトについて、下記で説明す
る。
【0043】 (c.認証オブジェクト) 認証オブジェクトも、それぞれの新しいクライアントセッションに関して具現
化される。認証オブジェクトのタスクが図8に示される。図8において、ステッ
プ802から制御が始まる。ステップ802において、認証オブジェクトは、ユ
ーザを認証するために使用される方針(または、方針オブジェクト)をデータベ
ース(または、データベースオブジェクト)から検索する。その後、制御はステ
ップ804に移動する。
【0044】 ステップ804において、認証オブジェクトは、次いで、ウェブブラウザ21
2と通信するために必要とされる全ての必要なメッセージの(フィルタ206お
よび認証制御コンポーネント208を介する)交換を管理する。認証メッセージ
の交換が一旦完了すると、制御はステップ806に移動する。
【0045】 ステップ806において、認証オブジェクトは、最終的な結果をフィルタ20
6に返し、フィルタ206は、今度は、サーバ/ウェブアプリケーション214
とインターラクトして、ユーザとのアクセスを可能(または、不可能)にする。
フィルタ206とサーバ/ウェブアプリケーション214との間でインターラク
トして、ユーザとのアクセスの制御を引き渡すことは、本発明によって、インテ
グレーション(integration)と呼ばれる。図8のフローチャートは
、この時点で終了する。本発明のクライアント側コンポーネントについて、下記
で説明する。
【0046】 (2.クライアント側コンポーネント) 認証制御コンポーネント208は、デバイス特有のコンポーネント210およ
びウェブブラウザ212と共に、本発明によって、クライアント側コンポーネン
トとして分類される。デバイス特有のコンポーネント210は、ソフトウェアラ
イブラリおよび識別デバイス(例えば、指紋スキャナ、音声または顔面識別シス
テムなどのバイオメトリックデバイス、あるいは、RSAトークン、VASCO
トークンなどの安全トークンなど)特有の他のコンポーネントである。デバイス
特有のコンポーネント210は、典型的には、デバイスの製造者によって出荷さ
れ、通常、デバイスとインタフェースするために使用され得るアプリケーション
プログラミングインタフェース(API)を含む。APIは、関連分野で周知で
ある。
【0047】 認証制御コンポーネント208は、デバイス特有のコンポーネント210と共
に作用して、必要な任意のローカル処理を行い、この処理の結果をフィルタ20
6に伝えることにより、ユーザ信用証明書を取り込むプロセスを管理する。例え
ば、認証制御コンポーネント208は、特定のウェブブラウザ(例えば、インタ
ーネットエクスプローラ)に関してActiveX制御として実施され得、他の
ウェブブラウザ(例えば、ネットスケープ)に関するActiveX制御と同じ
論理を含むプラグインとして実施され得る。
【0048】 本発明のクライアント側コンポーネントは、ソフトウェアの保全性および一度
だけのダウンロードを含む2つの機能を提供する。認証制御コンポーネント20
8がクライアントコンピュータまたは装置に一旦ダウロードされると、悪意のあ
るユーザは、認証制御コンポーネント208を不正変更し得る。これを防止する
ために、認証制御コンポーネント208が使用される前のそれぞれの場合に、ク
ライアントソフトウェアの保全性が調べられる。これは、認証制御コンポーネン
ト208に関するコード、および、デバイス特有のコンポーネント210に関す
るコードをハッシングすることにより達成され得る。任意の変更が発見されると
、次いで、認証制御コンポーネント208および/またはデバイス特有のコンポ
ーネント210に関する本来のコードが、本発明の認証が続行される前にダウン
ロードされる。
【0049】 本発明の一度だけのダウンロード機能は、登録の時、または、ユーザが認証制
御コンポーネント208を有さないコンピュータから認証を試みる最初の時のい
ずれかの場合に、ユーザのコンピュータに、特定のバージョンの認証制御コンポ
ーネント208が一度だけダウンロードされるという事実に対処する。その後、
それぞれの新しいバージョンの認証制御コンポーネント208も、ユーザのコン
ピュータに一度だけダウンロードされる。フィルタコンポーネントについて、下
記で説明する。
【0050】 (3.フィルタコンポーネント) フィルタ206は、ウェブ/アプリケーションサーバ214にある軽量のコン
ポーネント(すなわち、本発明の認証サービスを必要とする任意のウェブサーバ
またはアプリケーションサーバ)である。フィルタ206に関するコードは、好
適には、最適な性能のために、ウェブ/アプリケーションサーバ214のネイテ
ィブ言語(例えば、C、C++、Java(R)など)によって書かれる。本発
明の一実施形態において、フィルタ206は、ウェブブラウザ212から送信さ
れた全てのリクエストを調べて、認証に関する任意のリクエストをウェブブラウ
ザ212から妨害する。その後、フィルタは、認証リクエストを認証サーバ20
2に転送する。
【0051】 フィルタ206は、既存のウェブサーバ(ネットスケープエンタープライズサ
ーバ(NES)、マイクロソフトインターネットインフォメーションサーバ(M
SIS)、アパッチなどを含むが、これらに制限されない)と相互に機能し合っ
て、ウェブサイトにアクセスするための認証サービスを提供するように設計され
る。フィルタ206は、さらに、アプリケーションサーバ(BEAのウェブ論理
、シルバーストリームのアプリケーションサーバ、オラクルのAppサーバ、サ
ンのネットダイナミックス、マイクロソフトのサイトサーバなどを含むが、これ
らに制限されない)によって使用されて、ウェブアプリケーション(オンライン
バンキング、オンライン株式取引などを含む)のための認証サービスを提供し得
る。図2に示すように、フィルタ206は、ウェブ/アプリケーションサーバ2
14に接続される。ウェブ/アプリケーション412は、上記のように、ウェブ
サーバおよびアプリケーションサーバの両方を表す。本発明の遠隔登録コンポー
ネントについて、下記で説明する。
【0052】 (4.遠隔登録コンポーネント) 本発明は、ユーザが、それぞれの信用証明書を(インターネット、イントラネ
ット、無線ネットワークなどを介して)遠隔的に登録することを可能にする。本
発明の遠隔登録コンポーネントは、認証制御コンポーネント208、認証コンポ
ーネント204、および中間層(middle−tier)登録アプリケーショ
ンを含む。上記のように、認証制御コンポーネント208は、登録および認証(
クライアント側コンポーネント)にも使用され得る。認証コンポーネント204
は、listenオブジェクト、commオブジェクト、および登録オブジェク
ト(上記の認証オブジェクトの対の片方)を含む。これにより、登録の時、また
は、ユーザが登録したコンピュータとは異なるコンピュータに移動する場合、ユ
ーザがその異なるコンピュータから認証を試みる最初の時のいずれかの場合に、
認証制御コンポーネント208の「一度だけ」のダウンロードが可能になる。さ
らに、認証コンポーネント204を使用して、登録および認証(サーバ側コンポ
ーネント)が行われ得る。
【0053】 本発明の遠隔登録機能は、ユーザの信用証明書(例えば、バイオメトリック測
定、パスワードなど)を取り込み、信用証明書を登録オブジェクトに送信して、
本発明によるユーザの未来の認証のために認証サーバ202のデータベース内に
格納するために、認証制御コンポーネント208を必要とする。
【0054】 登録アプリケーションは、遠隔登録プロセスの提示論理を駆動させる。登録ア
プリケーションは、ウェブブラウザ212内に表示するユーザに可視のHTML
を作成する責任がある。いくつかの技術を使用して、ユーザに可視のHTML(
アクティブサーバページ(ASP)、Java(R)サーバページ(JSP)、
JAVA(R)サーブレット、マイクロソフトISAPI、およびネットスケー
プNSAPIを含むが、これらに制限されない)が実施され得る。登録アプリケ
ーションは、一方で、仲介役の認証制御コンポーネント208として機能し、他
方で、listenオブジェクト、commオブジェクト、および登録オブジェ
クトとして機能する。listenオブジェクト、commオブジェクト、およ
び登録オブジェクトのタスクについて、下記で説明する。
【0055】 (a.listenオブジェクト) 上記のように、listenオブジェクトは、認証サーバ202が起動する際
に認証サーバ202によって具現化される。listenオブジェクトは、図9
に示すように、下記のタスクを行う責任がある。図9において、フローチャート
がステップ902から始まる。一旦具現化されると、listenオブジェクト
は、ステップ902によって示すように、標準SSLポート(すなわち、ポート
443)で入来するSSL接続リクエストをリッスンするHTTPデーモンのよ
うに機能する。その後、制御はステップ904に移動する。
【0056】 ステップ904において、listenオブジェクトがSSL接続リクエスト
を一旦受信すると、listenオブジェクトは、リクエストのパラメータを調
べて、登録オブジェクト、commオブジェクト、または本発明が支持する任意
の他の機能オブジェクトのいずれに制御が移動されるべきかを決定する。図6が
、1つのタイプのリクエストだけ(すなわち、認証リクエスト)が可能である場
合を示すことに留意されたい。その後、制御はステップ906に移動する。
【0057】 ステップ906において、listenオブジェクトは、リクエストが処理さ
れることを保証する。その後、制御はステップ902に戻り、ここで、list
enオブジェクトは、入来するSSL接続リクエストをリッスンする。list
enオブジェクトが破壊されるのは、認証サーバ202がオフになってからのみ
である。
【0058】 (b.commオブジェクト) commオブジェクトは、それぞれの新しいクライアントセッションに関して
具現化される。クライアントセッションは、ウェブブラウザ212におけるユー
ザが、ウェブ/アプリケーションサーバ214にアクセスしようと試みる場合に
生じる。登録プロセスが一旦完了すると、エラーまたはタイムアウトが生じて、
対応するcommオブジェクトが破壊される。commオブジェクトは、図7に
よって示すタスクと同じタスクを行う責任がある。
【0059】 (c.登録オブジェクト) 登録オブジェクトは、論理を実施する点と、認証制御コンポーネント208と
の(登録アプリケーションを介した)メッセージ交換を駆動する点とにおいて、
上記の認証オブジェクト対の片方である。各新規クライアントセッションにおい
ても、登録オブジェクトの新規インスタンスをインスタンス化する。登録オブジ
ェクトのタスクを図10に示す。図10において、制御は工程1002から開始
する。工程1002において、登録オブジェクトは、当該ユーザについて方針(
または方針オブジェクト)を生成する。その後、制御は工程1004へと進む。
【0060】 工程1004において、生成された方針に基づいて、登録オブジェクトは、必
要な信用証明書をユーザにリクエストする。この信用証明書はテンプレートとし
て保存される。例えば、方針がユーザを指紋デバイスおよび手形デバイスの両方
にかけることを要求する場合、登録オブジェクトは、ユーザの指紋および手形の
バイオメトリック測定値をリクエストする。その後、制御は工程1006に進む
【0061】 工程1006において、登録オブジェクトは、認証サーバ202のデータベー
ス中に方針および信用証明書(またはテンプレート)を格納する。この時点で、
図10のフローチャートは終了する。
【0062】 本発明の実施形態は、上述した本発明の機能コンポーネントを全て含むが、上
述したような本発明の範囲内に各コンポーネントの機能がある限り、複数の(ま
たは全ての)コンポーネントを組み合わせても良い。
【0063】 (C.本発明の例示的インプリメンテーション) (1.例示的環境) 認証サーバ202、認証コンポーネント204、フィルタ206、認証制御コ
ンポーネント208、登録ステーション、管理ステーションおよび衛星登録ステ
ーションを、図3に示すようなコンピュータ300を用いてインプリメントする
ことが可能である。これらの機能コンポーネントのうち1つ以上を単一のコンピ
ュータ300上でインプリメントすることが可能であることは明らかである。
【0064】 本発明は、ハードウェア、ソフトウェアまたはこれらの組み合わせを用いてイ
ンプリメント可能であり、コンピュータシステムまたは他の処理システム中でイ
ンプリメントすることも可能である。実際、一実施形態において、本発明は、本
明細書中に記載の機能性を実施することが可能な1つ以上のコンピュータシステ
ムに関する。コンピュータシステム300は、1つ以上のプロセッサ(例えば、
プロセッサ304)を含む。プロセッサ304は、通信バス306に接続される
。様々なソフトウェア実施形態について、この例示的コンピュータシステムを用
いて説明する。当業者にとって、以下の記載を読めば、他のコンピュータシステ
ムおよび/またはコンピュータアーキテクチャを用いて本発明をインプリメント
する方法は明らかである。
【0065】 コンピュータシステム300は主メモリ308(好適にはランダムアクセスメ
モリ(RAM)も含み、二次メモリ310も含む。二次メモリ310は、例えば
、ハードディスクドライブ312および/またはリムーバブル格納ドライブ31
4(これは、フロッピー(R)ディスクドライブ、磁気テープドライブ、光学デ
ィスクドライブなどを表す)を含み得る。リムーバブル格納ドライブ314は、
リムーバブル格納ユニット318に対する読出しおよび/または書込みを周知の
方法で行う。リムーバブル格納ユニット318は、リムーバブル格納ドライブ3
14による読出しおよび書込みの対象となるフロッピー(R)ディスク、磁気テ
ープ、光学ディスクなどを表す。理解されるように、リムーバブル格納ユニット
318は、コンピュータソフトウェアおよび/またはデータが内部に格納された
コンピュータによる利用が可能な格納媒体を含む。
【0066】 別の実施形態において、二次メモリ310は、コンピュータプログラムまたは
他の命令をコンピュータシステム300にロードすることを可能にする他の類似
する手段を含み得る。このような手段を挙げると、例えば、リムーバブル格納ユ
ニット322およびインターフェース320がある。このような例示的手段は、
プログラムカートリッジおよびカートリッジインターフェース(例えば、映像ゲ
ームデバイスにおいて見受けられるようなもの)と、リムーバブルメモリチップ
(例えば、EPROMまたはPROM)および関連付けられたソケットと、ソフ
トウェアおよびデータをリムーバブル格納ユニット318からコンピュータシス
テム300に転送することを可能にする他のリムーバブル格納ユニット322お
よびインターフェース320とを含み得る。
【0067】 コンピュータシステム300はまた、通信インターフェース324も含み得る
。通信インターフェース324により、コンピュータシステム300と外部デバ
イスとの間でソフトウェアおよびデータを転送することが可能となる。通信イン
ターフェース324の例を挙げると、モデム、ネットワークインターフェース(
例えば、イーサネット(R)カード)、通信ポート、PCMCIAスロットおよ
びカードなどがある。通信インターフェース324を介して転送されるソフトウ
ェアおよびデータは信号の形態をとり、信号の形態の例を挙げると、通信インタ
ーフェース324による受信が可能な電子信号、電磁気信号、光学信号または他
の信号がある。これらの信号326は、チャンネル328を介して通信インター
フェースに提供される。このチャンネル328は、信号326を搬送し、ワイヤ
またはケーブル、光ファイバ、電話線、セルラー電話リンク、RFリンクおよび
他の通信チャンネルを用いてインプリメント可能である。
【0068】 本文書中、「コンピュータプログラム媒体」および「コンピュータによる利用
が可能な媒体」という用語を、リムーバブル格納デバイス318、ハードディス
クドライブ312にインストールされたハードディスク、および信号326など
の媒体を主に指すものとして用いる。これらのコンピュータプログラム製品は、
ソフトウェアをコンピュータシステム300に提供する手段である。
【0069】 コンピュータプログラム(コンピュータ制御論理とも呼ばれる)は、主メモリ
および/または二次メモリ310に格納される。通信インターフェース324を
介してコンピュータプログラムを受信してもよい。このようなコンピュータプロ
グラムは、実行されると、コンピュータシステム300をイネーブルして、本明
細書中にて説明したような本発明の機能を行わせる。詳細には、コンピュータプ
ログラムは、実行されると、プロセッサ304をイネーブルして、本発明の機能
を行わせる。よって、このようなコンピュータプログラムは、コンピュータシス
テム300の制御器を表す。
【0070】 本発明の実施構成をソフトウェアを用いて行う実施形態において、ソフトウェ
アをコンピュータプログラム製品に格納し、リムーバブル格納ドライブ314、
ハードドライブ312または通信インターフェース324を用いてコンピュータ
システム300にロードすることが可能である。制御論理(ソフトウェア)は、
プロセッサ304によって実行されると、本明細書中に記載の本発明の機能をプ
ロセッサ304に行わせる。
【0071】 別の実施形態において、本発明は、例えば、ハードウェアコンポーネント(例
えば、特定用途向け集積回路(ASIC))を用いる主にハードウェアにおいて
実施される。本明細書中に記載の機能を行うためのハードウェア状態マシンのイ
ンプリメンテーションは、当業者(単数または複数)にとって明らかである。さ
らに別の実施形態において、本発明は、ハードウェアおよびソフトウェアの両方
を組み合わせて実施される。
【0072】 (2.例示的ネットワークアーキテクチャおよびプログラミング言語) 上述したように、コンピュータプログラムは、実行されると、コンピュータ3
02をイネーブルして、本明細書中に記載の本発明の機能を行わせる。一実施形
態において、本発明の実施構成を、オブジェクト指向プログラミング言語で書か
れたコンピュータプログラムを用いて行う。オブジェクト指向プログラミングは
、データ構造のデータの種類だけではなく、当該データ構造に適用することが可
能な動作(機能)の種類もプログラマによって規定される一種のプログラミング
である。このようにして、データ構造を、データおよび機能の両方を備えたオブ
ジェクトとする。加えて、プログラマは、あるオブジェクトと別のオブジェクト
との間の関係も生成することができる。例えば、オブジェクトは、他のオブジェ
クトの特性を受け継ぐことができる。
【0073】 命令型プログラミング技術と比較してオブジェクト指向プログラミング技術が
有利である1つの理由として、オブジェクト指向プログラミング技術では、プロ
グラマが、新種のオブジェクトが追加された際に変更を行う必要が無いモジュー
ルを作成することが可能であることがある。プログラマが新規オブジェクトを生
成するだけで、当該オブジェクトは既存のオブジェクトから多くの特徴を受け継
ぐ。そのため、オブジェクト指向プログラムは改変が容易なものとなっている。
オブジェクト指向プログラミングを行う場合、オブジェクト指向プログラミング
言語(OOPL)が必要となる。C++およびSmalltalkの2つはその
中でも特に一般的な言語であり、Pascalのオブジェクト指向版もある。
【0074】 本発明の実施形態の実施構成をオブジェクト指向プログラミング言語で書かれ
たコンピュータプログラムを用いて行っているが、本発明の実施構成は命令型プ
ログラミング言語などを用いても行うことが可能である。
【0075】 上述したように、1つ以上のコンピュータ302をネットワークによって接続
する。本発明の実施形態では、ピアツーピアオブジェクトアーキテクチャと呼ば
れる種類のネットワークアーキテクチャを用いる。ピアツーピアオブジェクトア
ーキテクチャの説明に入る前に、クライアント/サーバアーキテクチャと呼ばれ
る種類のネットワークアーキテクチャについて説明する必要がある。クライアン
ト/サーバアーキテクチャは、ネットワーク上の各コンピュータまたはプロセス
をクライアントまたはサーバとして扱うネットワークアーキテクチャである。サ
ーバは、ディスクドライブ(ファイルサーバ)、プリンタ(プリントサーバ)、
アプリケーション/機能またはネットワークトラフィック(ネットワークサーバ
)の管理のみを行うコンピュータまたはプロセスである。実際、サーバは、アプ
リケーション用リソースを割り当てる任意のコンピュータまたはデバイスである
。クライアントは、ユーザによるアプリケーション実行が行われるパーソナルコ
ンピュータまたはワークステーションである。クライアントは、自身のリソース
(例えば、ファイル、デバイス、機能の実行およびさらには処理能力)をサーバ
に依存する。
【0076】 上述したように、本発明の実施形態では、ピアツーピアオブジェクトアーキテ
クチャと呼ばれる種類のネットワークアーキテクチャを用いる。ピアツーピアオ
ブジェクトアーキテクチャは、ネットワーク中の各コンピュータが同様の能力お
よび責任を有する状態である。このような状態は、一部のコンピュータを残りの
コンピュータのみに対して機能させるクライアント/サーバアーキテクチャと異
なる。そのため、本発明の実施形態において、コンピュータ302は全て、サー
バまたはクライアントのどちらとしても動作することができる。次に、認証サー
バ202中に格納されるエンジンおよびデータについて説明する。
【0077】 (D.本発明のエンジンおよびデータ) 上述したように、図2の認証サーバ202は、本発明のエンジンである。本発
明の実施形態において、(方針を実行する)このエンジンは、ユーザを本発明に
よって認証すべきか否かを最終決定する。さらに、認証サーバ202は、本発明
によってアクセスされるデータを格納する。認証サーバ202中に格納されたデ
ータを構成可能にする方法としては、当該データをデータベースおよびディレク
トリを構成するものとして構成する方法がある。データベースの構成およびディ
レクトリの構成のいずれについても、同時係属中の関連米国出願第09/264
,726号および米国出願第09/517,121号に詳細な記載がある。
【0078】 認証サーバ202に格納された様々なデータの収集と、アドミニストレータが
認証サーバ202を初期設定する際に用いることの多い一連の工程とについても
、本発明と関連する同時係属中の米国出願第09/264,726号および米国
出願第09/517,121号に詳細な記載がある。認証サーバ202に格納さ
れることの多いデータを挙げると、テンプレート、方針、グループ、デバイスI
D、ユーザID、コンピュータIDおよびアプリケーションIDがある(ただし
、これらに限定されない)。
【0079】 ユーザが異なる識別デバイスに登録するたびに、1つ以上の一意に定まるテン
プレートが生成され、認証サーバ202に格納される。テンプレートは、特定の
バイオメトリックデバイス用のユーザの一意に定まる測定値(これは、その後、
バイオメトリックデバイスがユーザ識別を試行する際、当該テンプレートと、ユ
ーザの「ライブ」測定値とをマッチングさせる際に用いられる)を格納するか、
または、非バイオメトリックデバイスの場合はパスワードなどを格納する。
【0080】 本発明の方針は、認証サーバ202によってユーザを認証する方法または様式
を決定するものである。本発明によって与えられる事前規定された方針の具体例
を挙げると、OR方針、AND方針、CONTINGENT方針、RANDOM
方針、閾値方針、複数のユーザ方針、複数の位置方針、マルチテンプレート方針
、ユーザ依存方針、位置限定方針、およびコンピュータ/デバイス特定方針があ
る。本発明ではまた、アドミニストレータが他の方針を規定または構成すること
も可能である。上記の方針については、本発明に関連する同時係属中の米国出願
第09/264,726号および米国出願第09/517,121号に詳細な記
載がある。
【0081】 各事前規定された方針には、各方針と関連付けられたデバイスのリストがある
。このデバイスリストにより、特定の方針を実行する際に用いられる識別デバイ
スを識別する。デバイスリスト中の各デバイスには、各デバイスと関連付けられ
た閾値および時間切れ値(このような値は、バイオメトリックデバイスの場合に
用いられることが多い)が設けられ得る。閾値(例えば、誤採択率)が示すのは
、デバイスがユーザを当該デバイスから先に通過させるべきか否か判定する際の
識別レベルである。時間切れ値が示すのは、デバイスがユーザ識別を閾値が示す
識別レベルまで行わなければならない時間の枠である。
【0082】 本発明におけるグループは、ウェブ/アプリケーションサーバ214に格納さ
れた一連の同一情報へのアクセスを必要とする1つ以上のユーザを論理的に組み
合わせる方法である。例えば、インターネットを用いている全ユーザに、株式取
引を可能にするオンラインアプリケーションのログインページへのアクセスを許
可し得る。そして、同じオンラインアプリケーションについて、ユーザと、当該
ユーザが指定した他のユーザのみとを、当該ユーザの秘匿情報へのアクセスが認
められたグループに加える。これにより、これらのグループのうち1つのグルー
プを「USR24458グループ」として規定することができる。ここで、ある
ユーザが「USR24458グループ」に加えられると、そのユーザは、(本発
明による認証を受けた後に)「USR24458グループ」に所属する他のユー
ザ全員が用いるリソースと同じリソースにアクセスする。
【0083】 各ユーザを、1つ以上のグループに加えることが可能である。ユーザが特定の
グループ中の情報へのアクセスを得ようとする場合、そのユーザは、その特定の
グループに関連付けられている方針がどのようなものであれ、その方針による認
証を受けなければならない。
【0084】 デバイスIDは、識別デバイスを識別するものである。各識別デバイスには一
意に定まるIDがある。そのため、本発明では、このようなデバイスIDの収集
により、通信プロトコルによってイネーブルされる(インターネット内の)クラ
イアント(ウェブブラウザ)に取り付けられた各識別デバイスを、一意に定まっ
た様式で識別することが可能となる。同様に、ユーザIDにより、本発明を利用
するユーザを一意に定まった様式で識別する。次に、セクションEおよびセクシ
ョンFそれぞれにおいて、ユーザの認証およびユーザの遠隔登録の際の本発明の
コンポーネント間のメッセージフローについて説明する。
【0085】 (E.本発明による認証の際のコンポーネント間のメッセージフロー) 図11は、本発明の実施形態に従ってウェブブラウザ212を用いるユーザを
認証するための本発明のコンポーネント間の高レベルのメッセージフローを示す
。本発明のサービスを用いたウェブサイトまたはウェブアプリケーションにユー
ザがアクセスしようとすると、当該ユーザは、当該ユーザが登録プロセスの間に
登録した「ユーザ名」(またはユーザを識別する任意の一意に定まるユーザID
)を入力するようプロンプトされる。この「ユーザ名」は、フローライン110
2に示すようにフィルタ206に送られる。
【0086】 フィルタ206は、「ユーザ名」を受信すると、フローライン1104に示す
ように、認証サーバ202のデータベースに格納されている「ユーザ名」の方針
およびテンプレート(または信用証明書)を取得したいとの旨のリクエストを認
証サーバ202に(認証コンポーネント204を介して)送る。
【0087】 認証サーバ202は、フローライン1106に示すように、「ユーザ名」方針
およびテンプレートを取得し、取得された「ユーザ名」方針およびテンプレート
をフィルタ206に(認証コンポーネント204を介して)返送する。
【0088】 これらの方針およびテンプレートに基づいて、フィルタ206は、フローライ
ン1108に示すように、ユーザの信用証明書を提示するようユーザに呼びかけ
る。ここで、認証制御コンポーネント208は、必要な任意のバイオメトリック
測定値の取得プロセスおよびマッチングプロセスを通じてユーザを先導する。
【0089】 その後、フローライン1110および1112にそれぞれ示すように、認証制
御コンポーネント208は、フィルタ206による呼びかけの結果を送る。フィ
ルタ206は、上記結果を認証サーバ202に(認証コンポーネント204を介
して)転送する。
【0090】 その後、認証サーバ202は、ユーザ方針に基づいて、マッチング結果が満足
できるものであるか否かと、(多元認証または多元方針の場合のように)信用証
明書がさらに必要か否かとを判定して、当該ユーザがリクエストした特定の情報
にアクセスする。多元認証が必要な場合、フローライン1106〜1112を必
要な限り何回も繰り返す。
【0091】 認証サーバがユーザ方針を実行できるようになり、当該ユーザが認証されてい
るか否かを判定すると、認証コンポーネント204は、フローライン1114に
示すように、判定結果をフィルタ206に転送する。ここで、ユーザが認証され
ると、フィルタ206はウェブ/アプリケーションサーバ214とインターラク
トして、ユーザがそのリクエストされた情報にアクセスすることを許可する。
【0092】 ユーザは、当該セッションが継続する間(すなわち、ユーザがウェブブラウザ
212を閉鎖するまで)ウェブアプリケーションまたはウェブサイトを利用する
ことができる。そのため、フィルタ206は、フローライン1116に示すよう
に、ユーザがリクエストされた情報にアクセスすることを許可するかまたは拒否
する。次に、本発明の遠隔登録を行うためのコンポーネント間のメッセージフロ
ーについて説明する。
【0093】 (F.本発明の遠隔登録を行うためのコンポーネント間のメッセージフロー) 図12は、ウェブブラウザ212を用いるユーザを本発明の実施形態に従って
遠隔登録するための本発明のコンポーネントの間の高レベルメッセージフローを
示す。遠隔登録に用いられるメッセージフローは、認証に用いられるメッセージ
フローと極めて類似する。登録アプリケーションは、ユーザとの対話を管理する
ものである。本発明では、ユーザが登録アプリケーションそのものを利用する行
為を認証する際、複数の技術を用いることが可能である。例えば、ユーザが現在
アプリケーションまたはウェブサイトにアクセスする際に用いている既存のユー
ザ名とパスワードとの組み合わせを用いてもよい。別の例として、一回のみ利用
される(one−time)パスワードまたはPINを生成して、ユーザに(電
子的にまたは他の方法で)送ってもよい。いずれの場合にも、登録オブジェクト
(これについては、図10を参照して説明した)は、一回のみ利用される認証を
ユーザに行った後、ユーザのコンピュータ上にある認証制御コンポーネント20
8をダウンロードする。
【0094】 図12を参照して、ユーザは、フローライン1202に示すように、一回のみ
利用されるパスワードまたはPINをフィルタ206に提出する。
【0095】 その後、フィルタ206は、フローライン1204に示すように、ユーザの一
回のみ利用される認証を登録オブジェクト別にリクエストする。
【0096】 一回のみ利用される認証の結果は、フローライン1206に示すようにフィル
タ206に返送される。
【0097】 フィルタ206は、フローライン1208に示すように、このリクエストを認
証制御コンポーネント208に転送する。
【0098】 認証制御コンポーネント208は、フローライン1210に示すように、必要
なバイオメトリック測定値をユーザから(登録アプリケーションを介して)取得
し、その後、この取得結果をフィルタ206に送る。
【0099】 次いで、フローライン1212に示すように、この取得結果をフィルタ206
から登録オブジェクトに転送して、認証サーバ202に格納する。この時点にお
いて、ユーザは、本発明において登録される。次に、本発明のコンポーネントA
PIおよび拡張性について説明する。
【0100】 (G.本発明のコンポーネントAPIおよび拡張性) サーバ側コンポーネント(すなわち、認証サーバ202および認証コンポーネ
ント204)、フィルタ206ならびに登録アプリケーションは、ウェブによっ
てイネーブルされるクライアントに良好に規定されたインターフェースを提示す
る。これらのインターフェースは、HTTP GET方法またはPOST方法を
用いてリクエストすることが可能な一連のURLからなる。以下に示すAPIお
よび関連規約は、これらの対話をインプリメントする方法の一例に過ぎない。下
記の例は本発明を限定することを意図したものではない。全てのURLリクエス
トに対し、以下のシンタックスに従うように要求することができる。 METHOD HTTP法の種類。GETまたはPOSTであり得る。 HEADERHTTP HTTPヘッダ。フォーマットは名=値。 BODY HTTPリクエストボディ。複数の名=値対、バイナリデータ、また
はこれらの両方であり得る。 <foobar> Dオプションのエレメントを示す。 foo│bar 「foo」OR「bar」を示す。
【0101】 サーバ側コンポーネント、フィルタ206および登録アプリケーションは、リ
クエストが特定のフォーマットになっていることを予測する。これらのリクエス
トに対する応答もまた、特定のフォーマットに準拠する。これにより、拡張性の
あるアーキテクチャが得られ、また、ウェブによってイネーブルされる新規サー
ビスが既存インフラストラクチャにプラグインすることが可能となる。BNFは
「Backus−Naur Form」の頭字語であり、これは、プログラミン
グ言語、コマンドセットなどのシンタックスを指定する際に用いられるメタシン
タクチック表記である。以下は、本発明のリクエストのBNFであり、これは、
生成しなければならないオブジェクトの種類の識別情報と、オブジェクトに送ら
れるデータとを含む。
【0102】
【数1】 上記の方法と同じ方法を用いて、複数のURLが異なる場合にも、本アーキテ
クチャを容易に伸展して、他のウェブ機能性を認証サーバ202に追加すること
が可能である。このような別の機能性の例としては、認証サーバ202の遠隔管
理がある。
【0103】 (H.結論) 上記にて本発明の様々な実施形態について説明してきたが、上記の実施形態は
例示目的のために示したものであって限定目的のためのものではないことが理解
されるべきである。上記実施形態の様態および詳細には、本発明の趣旨および範
囲から逸脱することなく様々な変更を為すことが可能であることが可能であるこ
とは、当業者にとって明らかである。これは、今後開発される関連分野(単数ま
たは複数)における技術および状況を鑑みれば自明である。よって、本発明は上
記の例示的実施形態のいずれによっても限定されるべきものではなく、本明細書
中の特許請求の範囲およびその均等物のみによって規定されるべきである。
【図面の簡単な説明】
【図1】 図1は、インターネットに接続された複数のクライアントおよびサーバを示す
ネットワークブロック図である。
【図2】 図2は、1実施形態によって、本発明の例示的な動作環境を表すブロック図で
ある。
【図3】 図3は、1実施形態によって、本発明のコンポーネントを実施するために使用
され得る例示的なコンピュータを示す。
【図4】 図4は、本発明の1実施形態によって、通信プロトコルが無線通信プロトコル
である場合に必要とされる機能を実行する認証コンポーネントを示す。
【図5A】 図5Aは、本発明の1実施形態によって、通信プロトコルがローカルネットワ
ークまたはイントラネット用である場合に必要とされる機能を実行する認証コン
ポーネントを示す。
【図5B】 図5Bは、本発明の1実施形態によって、通信プロトコルがインターネット用
である場合に必要とされる機能を実行する認証コンポーネントを示す。
【図6】 図6は、本発明の1実施形態による認証機能のlistenオブジェクトのタ
スクを示す。
【図7】 図7は、本発明の1実施形態による認証機能のcommオブジェクトのタスク
を示す。
【図8】 図8は、本発明の1実施形態による認証機能の認証オブジェクトのタスクを示
す。
【図9】 図9は、本発明の1実施形態による遠隔登録機能のlistenオブジェクト
のタスクを示す。
【図10】 図10は、本発明の1実施形態による遠隔登録機能の登録オブジェクトのタス
クを示す。
【図11】 図11は、本発明の1実施形態によって、ウェブブラウザを使用してユーザを
認証するための本発明のコンポーネント間の高レベルメッセージフローを示す。
【図12】 図12は、本発明の1実施形態によって、ウェブブラウザ212を使用してユ
ーザを遠隔登録するための本発明のコンポーネント間の高レベルメッセージフロ
ーを示す。
───────────────────────────────────────────────────── フロントページの続き (31)優先権主張番号 60/191,471 (32)優先日 平成12年3月23日(2000.3.23) (33)優先権主張国 米国(US) (31)優先権主張番号 09/695,060 (32)優先日 平成12年10月25日(2000.10.25) (33)優先権主張国 米国(US) (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE,TR),OA(BF ,BJ,CF,CG,CI,CM,GA,GN,GW, ML,MR,NE,SN,TD,TG),AP(GH,G M,KE,LS,MW,MZ,SD,SL,SZ,TZ ,UG,ZW),EA(AM,AZ,BY,KG,KZ, MD,RU,TJ,TM),AE,AG,AL,AM, AT,AU,AZ,BA,BB,BG,BR,BY,B Z,CA,CH,CN,CR,CU,CZ,DE,DK ,DM,DZ,EE,ES,FI,GB,GD,GE, GH,GM,HR,HU,ID,IL,IN,IS,J P,KE,KG,KP,KR,KZ,LC,LK,LR ,LS,LT,LU,LV,MA,MD,MG,MK, MN,MW,MX,MZ,NO,NZ,PL,PT,R O,RU,SD,SE,SG,SI,SK,SL,TJ ,TM,TR,TT,TZ,UA,UG,UZ,VN, YU,ZA,ZW

Claims (24)

    【特許請求の範囲】
  1. 【請求項1】 ユーザがリクエストした情報に通信媒体を介してアクセスす
    る行為を認証するためのシステムであって、 クライアント側コンポーネントと、 該クライアント側コンポーネントに該通信媒体を介して結合されたフィルタと
    、 該フィルタに該通信媒体を介して結合されたサーバ側コンポーネントと、 を備え、 該クライアント側コンポーネントは、ユーザ信用証明書を取得するプロセスの
    管理と該ユーザ信用証明書を取得した結果の該フィルタへの通信とを行う認証制
    御コンポーネントを備え、 該サーバ側コンポーネントは、認証サーバを備え、該認証サーバが、複数のユ
    ーザに関連するデータと該ユーザに関連付けられた少なくとも1つの方針とを内
    部に格納し、該方針は認証レベルを規定し、該認証レベルが、該ユーザが該リク
    エストされた情報へのアクセス行為について認証を受ける可能性を規定し、該認
    証サーバは、該ユーザ信用証明書を該フィルタから受信し、該方針を実行するこ
    とにより該ユーザを認証しようとし、該ユーザが認証されたか否かについて該フ
    ィルタに通信し、 該ユーザが該認証サーバによって認証されると、該フィルタは、該リクエスト
    された情報を含むサーバとインターラクトする、 システム。
  2. 【請求項2】 前記通信媒体はインターネットである、請求項1に記載のシ
    ステム。
  3. 【請求項3】 前記通信媒体はローカルネットワークである、請求項1に記
    載のシステム。
  4. 【請求項4】 前記通信媒体は無線ネットワークである、請求項1に記載の
    システム。
  5. 【請求項5】 前記サーバはウェブサーバである、請求項1に記載のシステ
    ム。
  6. 【請求項6】 前記サーバはアプリケーションサーバである、請求項1に記
    載のシステム。
  7. 【請求項7】 前記認証制御コンポーネントは、呼び出されるたびに保全性
    に関するチェックを受ける、請求項1に記載のシステム。
  8. 【請求項8】 リクエストされた情報にアクセスするためにユーザが通信媒
    体を介してユーザ信用証明書を遠隔的に登録することを可能にするシステムであ
    って、 クライアント側コンポーネントと、 該クライアント側コンポーネントに該通信媒体を介して結合されたフィルタと
    、 該通信媒体を介して該フィルタに結合されたサーバ側コンポーネントと、 を備え、 該クライアント側コンポーネントは、認証制御コンポーネントおよび登録アプ
    リケーションを備え、該登録アプリケーションは、提示論理を駆動する役割を担
    い、該提示論理は、ユーザ信用証明書の提示の際に該ユーザと対話し、該認証制
    御コンポーネントは、ユーザ信用証明書を取得するプロセスの管理と該ユーザ信
    用証明書を取得した結果の該サーバ側コンポーネントへの通信とを行う役割を担
    い、 該サーバ側コンポーネントは認証サーバを備え、該認証サーバは、複数のユー
    ザに関連するデータと該ユーザに関連付けられた少なくとも1つの方針とを内部
    に格納し、該方針は認証レベルを規定し、該認証レベルは、該ユーザが該リクエ
    ストされた情報へのアクセス行為について認証を受ける可能性を規定し、該認証
    サーバは該ユーザ信用証明書を格納する、 システム。
  9. 【請求項9】 前記通信媒体はインターネットである、請求項8に記載のシ
    ステム。
  10. 【請求項10】 前記通信媒体はローカルネットワークである、請求項8に
    記載のシステム。
  11. 【請求項11】 前記通信媒体は無線ネットワークである、請求項8に記載
    のシステム。
  12. 【請求項12】 リクエストされた情報に通信媒体を介してアクセスする行
    為についてユーザを認証する方法であって、 複数のユーザに関連するデータと該ユーザに関連付けられた少なくとも1つの
    方針とを認証サーバに格納する工程であって、該方針は認証レベルを規定し、該
    認証レベルは、該ユーザが該リクエストされた情報へのアクセス行為について認
    証を受ける可能性を規定する、工程と、 該ユーザ信用証明書を取得するプロセスを認証制御コンポーネントを介して管
    理する工程と、 該ユーザ信用証明書を取得した結果を該認証制御コンポーネントから該通信媒
    体を介してフィルタへと通信させる工程と、 該ユーザ信用証明書を該フィルタから該通信媒体を介して該認証サーバへと通
    信させる工程と、 該認証サーバが該方針を実行することにより該ユーザを認証すべきか否かを判
    定する工程と、 該ユーザが認証を受けたか否かを該認証サーバから該通信媒体を介して該フィ
    ルタに通信させる工程と、 該ユーザが該認証サーバによって認証された場合、該フィルタと、該リクエス
    トされた情報を含むサーバとをインターラクトさせる工程と、 を包含する、方法。
  13. 【請求項13】 前記通信媒体はインターネットである、請求項12に記載
    の方法。
  14. 【請求項14】 前記通信媒体はローカルネットワークである、請求項12
    に記載の方法。
  15. 【請求項15】 前記通信媒体は無線ネットワークである、請求項12に記
    載の方法。
  16. 【請求項16】 前記サーバはウェブサーバである、請求項12に記載の方
    法。
  17. 【請求項17】 前記サーバはアプリケーションサーバである、請求項12
    に記載の方法。
  18. 【請求項18】 前記認証制御コンポーネントは、呼び出されるたびに保全
    性に関するチェックを受ける、請求項12に記載の方法。
  19. 【請求項19】 リクエストされた情報にアクセスするためにユーザが通信
    媒体を介してユーザ信用証明書を遠隔的に登録することを可能にする方法であっ
    て、 複数のユーザに関連するデータと該ユーザに関連付けられた少なくとも1つの
    方針とを認証サーバに格納する工程であって、該方針は認証レベルを規定し、該
    認証レベルは、該ユーザが該リクエストされた情報へのアクセス行為について認
    証を受ける可能性を規定する、工程と、 登録アプリケーションによって提示論理を駆動する工程であって、該提示論理
    は、ユーザ信用証明書の提示の際にユーザと対話する、工程と、 該ユーザ信用証明書を取得するプロセスを認証制御コンポーネントを介して管
    理する工程と、 該ユーザ信用証明書を取得した結果を該認証制御コンポーネントから該通信媒
    体を介して認証サーバへと通信させる工程と、 該ユーザ信用証明書を該認証サーバに格納する工程と、 を包含する、方法。
  20. 【請求項20】 前記通信媒体はインターネットである、請求項19に記載
    の方法。
  21. 【請求項21】 前記通信媒体はローカルネットワークである、請求項19
    に記載の方法。
  22. 【請求項22】 前記通信媒体は無線ネットワークである、請求項19に記
    載の方法。
  23. 【請求項23】 ユーザがリクエストした情報に通信媒体を介してアクセス
    する行為を認証するためのシステムであって、 クライアント側コンポーネントと、 該通信媒体を介して該クライアント側コンポーネントに結合されたサーバ側コ
    ンポーネントと、 を備え、 該クライアント側コンポーネントは、ユーザ信用証明書を取得するプロセスの
    管理と該ユーザ信用証明書を取得した結果の該サーバ側コンポーネントへの通信
    とを行う認証制御コンポーネントを備え、 該サーバ側コンポーネントは、認証サーバおよびフィルタを備え、該認証サー
    バは、複数のユーザに関連するデータと該ユーザに関連付けられた少なくとも1
    つの方針とを内部に格納し、該方針は認証レベルを規定し、該認証レベルは、該
    ユーザが該リクエストされた情報へのアクセス行為について認証を受ける可能性
    を規定し、該認証サーバは、該フィルタから該ユーザ信用証明書を受信し、該方
    針を実行することにより該ユーザを認証し、該ユーザが認証されたか否かについ
    て該フィルタに通信しようとし、該ユーザが該認証サーバによって認証されると
    、該フィルタは、該リクエストされた情報を含むサーバとインターラクトする、
    システム。
  24. 【請求項24】 リクエストされた情報に通信媒体を介してアクセスする行
    為についてユーザを認証する方法であって、 複数のユーザに関連するデータと該ユーザに関連付けられた少なくとも1つの
    方針とを認証サーバに格納する工程であって、該方針は認証レベルを規定し、該
    認証レベルは、該ユーザが該リクエストされた情報へのアクセス行為について認
    証を受ける可能性を規定する、工程と、 該ユーザ信用証明書を取得するプロセスを認証制御コンポーネントを介して管
    理する工程と、 該ユーザ信用証明書を取得した結果を該認証制御コンポーネントから該通信媒
    体を介して該認証サーバへと通信させる工程と、 該認証サーバが該方針を実行することにより該ユーザを認証すべきか否かを判
    定する工程と、 該ユーザが認証を受けたか否かを該認証サーバから該通信媒体を介して該リク
    エストされた情報を含むサーバに通信させる工程と、 を包含する、方法。
JP2001556451A 2000-02-04 2001-02-05 通信プロトコルによってイネーブルされるクライアントによる情報へのアクセスを登録および認証するためのシステム、方法およびコンピュータプログラム製品 Withdrawn JP2003521779A (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US18027900P 2000-02-04 2000-02-04
US60/180,279 2000-02-04
US18538000P 2000-02-28 2000-02-28
US60/185,380 2000-02-28
US19147100P 2000-03-23 2000-03-23
US60/191,471 2000-03-23
US69506000A 2000-10-25 2000-10-25
US09/695,060 2000-10-25
PCT/US2001/003541 WO2001057669A1 (en) 2000-02-04 2001-02-05 System, method and computer program product for enrolling and authenticating communication protocol-enabled clients for access to information

Publications (1)

Publication Number Publication Date
JP2003521779A true JP2003521779A (ja) 2003-07-15

Family

ID=27497400

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001556451A Withdrawn JP2003521779A (ja) 2000-02-04 2001-02-05 通信プロトコルによってイネーブルされるクライアントによる情報へのアクセスを登録および認証するためのシステム、方法およびコンピュータプログラム製品

Country Status (4)

Country Link
JP (1) JP2003521779A (ja)
AU (1) AU2001233281A1 (ja)
CA (1) CA2398584C (ja)
WO (1) WO2001057669A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220414256A1 (en) * 2021-06-25 2022-12-29 Nuance Communications, Inc. Feedback System and Method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US6178505B1 (en) * 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks

Also Published As

Publication number Publication date
AU2001233281A1 (en) 2001-08-14
WO2001057669A1 (en) 2001-08-09
CA2398584C (en) 2017-09-12
CA2398584A1 (en) 2001-08-09

Similar Documents

Publication Publication Date Title
US9438633B1 (en) System, method and computer program product for providing unified authentication services for online applications
US8042162B2 (en) Method and system for native authentication protocols in a heterogeneous federated environment
US8561161B2 (en) Method and system for authentication in a heterogeneous federated environment
US7877492B2 (en) System and method for delegating a user authentication process for a networked application to an authentication agent
US8554930B2 (en) Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment
US8607322B2 (en) Method and system for federated provisioning
US5586260A (en) Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US9143502B2 (en) Method and system for secure binding register name identifier profile
EP1661362B1 (en) Method and system for stepping up to certificate-based authentication without breaking an existing ssl session
US7568098B2 (en) Systems and methods for enhancing security of communication over a public network
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
US20040128541A1 (en) Local architecture for federated heterogeneous system
US7412720B1 (en) Delegated authentication using a generic application-layer network protocol
US20120167182A1 (en) Device independent authentication system and method
US20070056025A1 (en) Method for secure delegation of trust from a security device to a host computer application for enabling secure access to a resource on the web
CN110582768A (zh) 用于提供安全数据库访问的装置和方法
WO2007068716A1 (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
EP1864240A1 (en) Method for a runtime user account creation operation
US20040083296A1 (en) Apparatus and method for controlling user access
CA2403383C (en) System, method and computer program product for providing unified authentication services for online applications
JP2003521779A (ja) 通信プロトコルによってイネーブルされるクライアントによる情報へのアクセスを登録および認証するためのシステム、方法およびコンピュータプログラム製品
CN114357422A (zh) 一种基于平台集成登录和管理的实现方法

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080513