JP2004534996A - ユーザサインオフで認証セッションを終了する方法およびシステム - Google Patents

ユーザサインオフで認証セッションを終了する方法およびシステム Download PDF

Info

Publication number
JP2004534996A
JP2004534996A JP2002588048A JP2002588048A JP2004534996A JP 2004534996 A JP2004534996 A JP 2004534996A JP 2002588048 A JP2002588048 A JP 2002588048A JP 2002588048 A JP2002588048 A JP 2002588048A JP 2004534996 A JP2004534996 A JP 2004534996A
Authority
JP
Japan
Prior art keywords
session
user
application
authentication
terminating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002588048A
Other languages
English (en)
Inventor
バロン,エラッド
Original Assignee
ホェール コミュニケーションズ リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホェール コミュニケーションズ リミテッド filed Critical ホェール コミュニケーションズ リミテッド
Publication of JP2004534996A publication Critical patent/JP2004534996A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

サーバとクライアントとの間に認証コンポーネントが駐在し、サーバとクライアントとの間に通信される一つまたはそれ以上のトランザクションをモニタする。認証コンポーネントが、終了指示を含むトランザクションを検出すると、認証セッションが終了して、次回、サーバとのトランザクションが望まれる時、クライアントに再認証されることを強制する。終了指示は、サーバで走っているアプリケーションによって与えられてよく、あるいは、別法として、終了指示は、認証コンポーネントによって与えられてよい。

Description

【関連出願のクロスレファレンス】
【0001】
本出願は、2001年5月4日に出願された米国仮出願No.60/288,770の利益を主張し、その開示全体を、引用により、本明細書に取り込むものである。
【技術分野】
【0002】
本開示は、ユーザセッションの保全性を保証するシステムおよび方法に関し、より詳しくは、認証されたユーザの、アプリケーションとのインタラクションからの該ユーザのサインオフあるいはアプリケーションとのインタラクションの終了の意図の表明で、直ちに認証セッションを終了するシステムおよび方法に関する。
【発明の背景】
【0003】
現代のウェブベースのアプリケーションは、一般に「セッション」を維持することが必要である。「セッション」とは、ウェブベースのアプリケーションまたはウェブサーバとユーザとの間で送受信される一連のトランザクション、すなわち、リクエストとレスポンスを意味する言葉である。このセッションを維持する必要性は、ウェブベースのアプリケーションが、HTTPプロトコルを使用するためであり、HTTPプロトコルは、それ自体、国籍のないプロトコルであって、これは、各リクエスト・レスポンスのペアは、以前のそれらとは無関係であることを意味する。このセッションは、本明細書では、「アプリケーションセッション」と呼ぶことが多い。
【0004】
アプリケーションセッションを維持するためには、リクエストが、アプリケーションに送信されて、アプリケーションが、このリクエストを特定のアプリケーションセッションに関連させるごとに、何らかの種類の「トークン」または「チケット」が、ウェブブラウザによって渡されねばならない。トークンは、全ての後続のクライアントリクエストで、同じ状態に留まるため、アプリケーションは、全てのこのようなリクエストを、同じアプリケーションセッションの一部として識別する。「クッキー」は、この目的のために最も普通に使用されるタイプのトークンであるが、特定のURLパラメータをトークンとして使用するなど、他の代替手段も存在する。このトークンは、アプリケーションセッション識別子として役立つばかりでなく、何らかの追加のアプリケーションセッション情報を含む場合もある。
【0005】
ユーザを認証するためには、ユーザとウェブサーバとの間に駐在し、各セッションの開始点で、ユーザを認証するソフトウェアコンポーネントをインプリメントしてよい。認証は、他のユーザには未知の、何らかのクレデンシャルを与えるよう、ユーザに要求することによって達成されることが多い。これらクレデンシャルは、パスワード、クライアント証明書、あるいはユーザが携行し、かつ、サーバサイドで確認できる何らかの物理的装置からのリードアウトの形を取ることができよう。この認証コンポーネントは、プロキシ、フィルタ、あるいは、この技術に長けた人には周知の他のエージェントとして、インプリメント可能である。例えば、ウェブサーバの前に駐在し、サーバに代わってリクエストを受信し、最後にサーバにリクエストを渡し、かつ、サーバからのレスポンスをクライアントに返信するソフトウェアコンポーネントをインプリメントしてよい。追加の例としては、ウェブサーバに駐在して、ウェブサーバとインタラクトし、リクエスト/レスポンスのデータフローを修正し、かつ(あるいは)管理するソフトウェアコンポーネントをインプリメントしてよい。
【0006】
認証コンポーネントは、上述のアプリケーションと同様、ユーザのセッションに付き従って、リクエストが送信されるごとにユーザを再認証する必要性を排除しなければならない。認証コンポーネントは、ユーザとアプリケーションとの間のデータ経路の中間に在るため、理論的には、アプリケーションセッション追跡処理を辿ることによって、例えば、上述のクッキーが、アプリケーションに渡され続けることを確認することによって、これを達成することができよう。しかしながら、実際には、一般に、同様のメカニズムを用いて、独立のセッション追跡により、これを達成している。例えば、認証コンポーネントによって、異なるクッキーが発行され、これは、セッション識別子として、あるいは、暗号化された認証承認チケットとして用いられている(すなわち、このチケットをリクエストと一緒に提供すると、リクエストが承認される)。これは、以下のパラグラフでより詳細に説明する。結果として、再認証は、この認証コンポーネントで新しいセッションが開始される場合にのみ、必要となる。明瞭さのため、このセッションは、「認証セッション」と呼ぶことにする。
【0007】
セッション識別子として使用されたクッキーまたはトークンにより維持される認証セッションの場合は、認証コンポーネントは、ユーザの最初のリクエストで、ウェブブラウザなどのクライアントにクッキーまたはトークンを発行する。ユーザの最初のリクエストは、一般に、有効なクッキー/トークンを含んでいない。認証コンポーネントによって発行されたクッキーまたはトークンは、乱数を含んでいる。乱数は、「ブルートフォース」アタック(これは、妥当な時間内での継続から、推定により値を見つけ出そうとするものである)を防ぐため、十分に大きくしなければならない。乱数は、ハッシングアルゴリズムを使用するセッションテーブル内で、エントリを識別するため、認証コンポーネントで、内部的に使用される。このセッションテーブルは、現在、認証コンポーネントによって維持されている全てのアクティブなセッションを含んでいる。暗号化された認証承認チケット、または、暗号化されたトークン/クッキーにより維持されている認証コンポーネントの場合は、上記のセッションテーブルに記憶されるであろうどんな情報でも、ブラウザと認証コンポーネントとの間を送受信されるクッキー内で、各リクエストおよびレスポンスと共に、代わりに暗号化される。認証コンポーネントは、暗号キー(これは、認証コンポーネントの範囲外では未知である)を使用し、暗号化された情報に何らかの固定された「ソルト」値を加え、これは、暗号解読の際、正当なクッキーを確認するのに使用される。
【0008】
認証セッションの終了に関しては、問題が存在する。ユーザが、ひとたび端末で認証されると、その端末が発行する全ての後続のリクエストは、その認証されたユーザから来る、と仮定される。したがって、重要なことは、ユーザが、アプリケーションとの彼のインタラクションを終了する場合、認証セッションが終了し、したがって、その端末における新しいユーザは、既に認証されたと間違って仮定されることはないことである。これは、ユーザが、インターネットカフェ、空港など、公共の空間からログインしつつある場合に、特に重要である。ウェブベースのアプリケーションからログオフする標準的な方法はないため、大部分の認証メカニズムは、ある種の「タイムアウト」メカニズムを使用し、それにより、ユーザが、ある時間、例えば、10分間、アプリケーションとインタラクトしない場合は、認証セッションは、期限切れとなる。別法として、認証メカニズムによっては、固定されたタイムアウトをインプリメントしているものもあり、これは、セッションが、ユーザの活動とは無関係に、ある時間、生きた状態に留まることを可能にする。しかしながら、このようなメカニズムは、正当なユーザが、見掛け上サインオフした瞬間に第三者がブラウザの制御を取る公共の空間では不十分である。この問題は、公共インターネットアクセス施設が、それらのブラウザを「ロックダウン」する(すなわち、ブラウザを閉じられなくなる)場合には、一層ひどくなる。なぜなら、その場合、ユーザは、ブラウザを閉じることによってセッションを終了することすらできなくなる(閉じれば、そのクッキーは一般に棄却されることになろう)。
【0009】
さらに、アプリケーションは、何らかのタイプのログオフボタンまたはアプリケーションセッション(認証セッションと混同しないこと)を終了することを意図したURLを含んでいてよいという事実にもかかわらず、このような終了は、一般に、認証メカニズムに如何なる影響も及ぼさないであろう。なぜなら、既存の認証メカニズムは、アプリケーションのログオフメカニズムを認識せず、したがって、該認証メカニズムは、認証セッションを終了しないであろうからである。結果として、同じブラウザを使用する次の人は、認証コンポーネントによって、暗に認証されることになろう。なぜなら、正当なクッキーが、認証コンポーネントに送信されるであろうからである。これは、悪意のユーザが、認証コンポーネントの認証メカニズムで、彼のアイデンティティーを最初に認証してもらわなくても、仮定上は保護されたアプリケーションとインタラクトすることを(たとえ恐らく、新しいアプリケーションセッションに従事する場合でも)可能にするであろう。したがって、アプリケーションが、この悪意のユーザに対して、あるレベルの保護を与えるであろうそれ自体の認証特徴(例えば、ユーザ名およびパスワード)を有していても、認証コンポーネントの認証メカニズムによって与えられる優れた認証は、バイパスされるであろう。HTTPベーシックオーセンティケーション(Basic Authentication)を与えるアプリケーションの場合は、認証コンポーネントの認証メカニズムをバイパスする可能性は、アプリケーションを特に脆弱にするであろう。なぜなら、HTTPベーシックオーセンティケーション(Basic Authentication)には、ブラウザが、サイトにアクセスした前のユーザのユーザ名およびパスワードをセーブするという事実から来る固有の脆弱性が有るからである。
【0010】
したがって、正当なユーザがサインオフした場合は、即時の認証セッション終了を可能にするシステムおよび方法を有することが非常に望ましい。さらに、このシステムおよび方法は、アプリケーションそれ自体が、サインオフ特徴を本来サポートしていなくても、即時のセッション終了を可能にすることが望ましい。
【発明の要約】
【0011】
ユーザの、アプリケーションとのインタラクションを終了する意図の表明に続いて、認証セッションを直ちに終了するシステムおよび方法、および(または)プログラム記憶装置が、提供されている。一様態では、ユーザのリクエストは、予め定義されたURLが、ユーザによってリクエストされるまで、モニタされる。認証セッションは、このようなURLがリクエストされた後で、終了する。このURLは、アプリケーション内の既存のURLでも、あるいは、この目的のために認証コンポーネントによって提供されるURLでもよい。
【好適な実施形態】
【0012】
以下、本発明の好適な実施形態を、例のみにより、添付図面を参照して説明する。同様の引用番号は、同一のあるいは機能的に同様な要素を示す。
【0013】
一般に、認証コンポーネントで維持されているセッションテーブルは、認証コンポーネントによって現在維持されている全てのアクティブなセッションを含んでいる。セッションテーブル内のエントリが削除、あるいは「期限切れ」をマークされると、該セッションは、効果的に破壊されるが、これは、クライアントによる新しいリクエストに、有効なクッキー(または他のトークン)がないためである。すなわち、クッキーの内容は、セッションテーブル内のアクティブなエントリにもはやマップせず、したがって、新しいリクエストは、ユーザの再認証を強制しないであろう。認証処理それ自体は、ユーザから何らかのクレデンシャルを得る処理、および何らかの予想される値に対してそれらを確認してからセッションテーブル内に対応するエントリを作成する処理を含んでいる。ユーザのクレデンシャルを確認するこの処理は、米国特許No.5,097,505、米国特許No.5,168,520、および米国特許No.5,657,388で記述されている。
【0014】
認証コンポーネントは、一般に、クライアントから全てのHTTPリクエストを受信し、それらをウェブサーバに渡すため、認証コンポーネントは、これらリクエストの内容に基づく判定を行い得る。一実施形態では、認証コンポーネントは、これらリクエストをモニタし、それが、ユーザの意図の、ユーザによる表明を検出して、彼の、アプリケーションとのインタラクションを終了すると(「終了指示」)、認証コンポーネントは、セッション終了シーケンスを開始し、その結果、セッションテーブルから当該エントリが削除されることになり、それにより、認証コンポーネントは、期限切れとなる。終了指示は、例えば、認証コンポーネント構成で予め定義された特定のURLに対するリクエストの形を取ってよい。このようなURLは、「認証セッション終了URL」と呼ぶものとする。アプリケーションそれ自体が、ユーザに、何らかのタイプのログオフボタンまたはアプリケーションセッション(認証セッションと混同しないこと)を終了することを意図したURLをたまたま供給する場合は、この同じURLは、認証セッション終了URLとして役立つ場合もある。このシナリオ、並びに、アプリケーションが、このようなログオフメカニズムを有しない場合のシナリオを以下のパラグラフで、さらに詳しく述べてみよう。
【0015】
一態様では、ユーザとアプリケーションとの間に駐在する認証コンポーネントは、プロキシインプリメンテーション、フィルタインプリメンテーション、あるいはこの技術に長けた人には周知の別のエージェントの形を取ってよい。以下の説明では、方法およびシステムを、プロキシインプリメンテーションの状況で説明することが多いが、これは、単に説明のためだけである。しかしながら、コンピュータプログラミングの技術に長けた人には、インプリメンテーションは、プロキシの形でのみ存在しなくてよいことが分かるであろう。プロキシは、一般に、アプリケーションに達したいというユーザの最初の企図でユーザを認証し、その点から、プロキシは、認証セッションを維持する。与えられたシステムおよびセッションは、ユーザが、アプリケーションとのインタラクションを終了すると、直ちにこのセッションを終了する。与えられたシステムおよびセッションは、不活動または計画されたタイムアウトに基づく上記の従来の方法に対する別法あるいは補足としてのみ用いてよい。
【0016】
図1は、一実施形態において、代表的な認証セッションを開始する処理の例を説明するフローチャートである。102において、ユーザは、アプリケーションにリクエストを送信することによって、セッションを開始しようとする。103では、認証コンポーネント、例えば、プロキシは、このリクエストを検査して、それが、有効なクッキーまたはトークンを含んでいるかどうかを判定する。含んでいない場合は、認証コンポーネントは、ユーザに、104で認証クレデンシャルを与えるよう要求する。106では、クレデンシャルが有効でない場合、認証コンポーネントは、ユーザ用の新しいクッキーあるいは他のトークンを、このセッション用に、作成する。認証コンポーネントは、別法として、セッションテーブル内に対応するエントリを作成してもよい。107では、認証コンポーネントは、ユーザリクエストをアプリケーションに転送し、108では、アプリケーションがレスポンスするまで、アプリケーションセッションをモニタする。109では、アプリケーションがレスポンスすると、認証コンポーネントは、レスポンスにクッキーを付け、これをユーザに渡す。後続のリクエストも同様に検査されて、それらが有効なトークンを含んでいることが確認される。このようにして、認証コンポーネントは、有効なクッキー/トークンを含む如何なる後続のユーザリクエストでもアプリケーションに転送する。
【0017】
図2は、一実施形態において、認証終了リクエストについてモニタする処理の例を説明するフローチャートである。202で、セッションが、ひとたび確認されると、例えば、図1を参照して説明したように、認証コンポーネントは、203で示したように、各ユーザリクエストを検査して、リクエストが、204で示した認証セッション終了URL用であるかどうかを判定する。そうでない場合は、認証コンポーネントは、リクエストをアプリケーションに渡し続ける。しかしながら、ひとたび認証セッション終了URLがリクエストされると、認証コンポーネントは、セッション終了シーケンスを開始する。
【0018】
このシーケンスは、なかんずく、アプリケーションそれ自体が、ログオフボタンまたはアプリケーションセッションを終了することを意図した、あるいはさもなければ、アプリケーションセッション終了URLとして識別される他のURLを供給するかどうかにより、異なっていてよい。したがって、207では、認証コンポーネントが、既存のアプリケーションURLを、終了トリガとして使用するよう構成されているかどうかにより、処理は、図3および4を参照して説明するように継続する。
【0019】
一実施形態では、アプリケーションそれ自体が、ログオフURLなどの終了手続きを供給する場合は、アプリケーションにより与えられたURLは、プロキシとして構成し、かつ、認証セッション終了URLとして使用してよい。したがって、208では、処理は、図3に継続する。図3は、一実施形態において、アプリケーションが、セッション終了手続きを行う場合の認証セッションを終了する処理の例を説明するフローチャートである。一実施形態においては、アプリケーションが、埋め込まれた「ログオフ」または他のURLを有する場合は、認証コンポーネントは、このURLを予め認証セッション終了URLとして決定している。認証コンポーネントは、次いで、この予め決定されたURLに対するユーザリクエストをモニタする。認証コンポーネントが、認証セッション終了URLに対するリクエストを検出すると、認証コンポーネントは、301で示すように、認証セッションを「終了ペンディング」としてセッションテーブル内にマークする。302では、認証コンポーネントは、URLのリクエストをモニタし、アプリケーションが、このようなリクエストに対応するページ、例えば、そのログオフページと共にレスポンスするまで、モニタする。304では、認証コンポーネントは、ログオフページ(アプリケーションから受信したログオフページ、または、その認証コンポーネントがアプリケーションのログオフページを捨てる認証コンポーネントによって生成されたログオフページのいずれか)をユーザに渡し、次いで直ちに、305でセッションテーブルから対応するセッションエントリを削除することによって、認証セッションを終了する。今や、新しいユーザリクエストが、例えば、図1のように、強制的に再認証される。
【0020】
一実施形態においては、返答(例えば、アプリケーションのログオフページ)が、イメージなどの追加のリクエストおよびレスポンスを考慮している場合は、セッションは、(i)直ちに、(ii)リクエストおよび(または)レスポンスの予め定義されたセットが作成された後で(このセットは、URLのリスト、正規の式、MIMEタイプ、ファイル拡張子、または任意の他の内容ベースのルールを用いて定義してよい)、(iii)予め定義された数のリクエストおよび(または)レスポンスが作成された後で、あるいは、(iv)予め定義されたリクエストのセット(「無効リクエスト」)内にフィットしない最初のリクエストが作成された後で直ちに、終了してよい。
【0021】
別法として、認証セッション終了URLが、ユーザによってリクエストされるやいなや、認証コンポーネント、例えば、プロキシは、最初にこのURLリクエストをアプリケーションに渡すことなしに、セッションテーブルからそのエントリを削除することによって、セッションを終了してよい。一様態では、プロキシは、URLリクエストをアプリケーションに渡して後、アプリケーションがそのレスポンスと共に返答するのを待つことなしに、直ちにセッションを終了してよい。
【0022】
この方法に対する追加の改良には、以下に述べる特徴のうちのいずれか一つあるいは組み合わせが含まれていてよい。例えば、タイムアウト制限特徴が含まれていてよい。この特徴は、認証セッション終了URLに対するリクエストが、ユーザによって提供された後、予め定義された時間期間の後で、認証セッションを自動的に破壊するであろう。このタイムアウト制限は、例えば、アプリケーションレスポンス、例えば、ログオフページが、来ない、あるいは、追加の許されたリクエスト/レスポンスの全てが到着する場合でも、生じるであろう。このタイムアウト制限は、一実施形態では、「終了ペンディング」のセッションエントリが入力されると、タイムスタンプ値を格納することによってインプリメントされてよい。その後、タイムスタンプ値は、定期的に、あるいは、続くユーザリクエスト毎に、モニタされてよい。予め定義された時間期間が経過した場合、プロキシは、セッションエントリを削除してよい。タイムアウト制限はまた、起動された場合、エントリがまだアクティブであっても、セッションエントリを削除する計画されたインタラプトをトリガすることによってインプリメントされてよい。
【0023】
追加の特徴は、データトラフィック制限を含んでいてよい。例えば、プロキシは、「終了ペンディング」モード中は、イメージなどの、認証セッション終了URLに対するアプリケーションのレスポンスの一部であるリクエストおよび対応するレスポンスを除き、如何なる新しいユーザリクエストの移動も禁止してよい。これは、後続のリクエストをモニタし、予め定義されたリクエストのセット以外の如何なるリクエストも棄却する(すなわち、アプリケーションに転送しない)ことによって成し遂げられてよい。このセットは、URLのリスト、正規の式、MIMEタイプ、ファイル拡張子、または任意の他の内容ベースのルールを用いて定義してよい。アプリケーションのログオフページが、如何なる後続のリクエストまたはレスポンスも行わない場合は、プロキシは、ひとたびログオフリクエストが行われたら、如何なるユーザリクエストの移動も、禁止するだけでよい。
【0024】
さらに別の特徴は、プロキシで生成されたレスポンスを有するデータトラフィック制限を含んでいてよい。この特徴では、ユーザが、認証セッション終了URLをリクエストしたことを、プロキシが検出すると、プロキシは、それ自体のログオフページまたは同様のレスポンスを生成して、ユーザにサーブし、如何なるアプリケーションで生成されたレスポンスもユーザに渡さない(正確に言えば棄却する)。プロキシは、依然として、認証セッション終了URLをアプリケーションに渡してよい。プロキシで生成されたログオフページは、追加のイメージおよびオプションを含んでいてよい。プロキシは、次いで、このログオフページ、それに関連したリクエストおよびレスポンスに対してサーバとして働く。したがって、ひとたびログオフリクエストが、ユーザによって行われると、プロキシは、ユーザからアプリケーションへの如何なる新しいリクエストの移動も禁止してよいが、それは、イメージなどのプロキシで生成されたログオフページの一部であるリクエストに、それらリクエストに対応するページをサーブすることによって、レスポンスし続ける。
【0025】
別法、あるいは追加として、ひとたびログオフリクエストが、ユーザによって行われると、プロキシは、ある種のリクエスト及びレスポンスでは、アプリケーションとかみ合って(ユーザに対して如何なるレスポンスも必然的に渡すことなしに)、アプリケーションに対して、クライアントとして働き、ユーザをエミュレートするよう予め構成することができる。同時にあるいは別法として、プロキシは、ユーザに対してサーバとして働き、アプリケーションによって与えられたレスポンスと同一であってよい、あるいは、同一でなくてよいレスポンスをユーザに供給する。
【0026】
上述のように、クッキーまたは他のトークンを使用して、セッションテーブル内のエントリを識別する処理に対する別法として、この方法は、暗号化されたトークン/クッキーの使用により維持される認証セッションのケースで、同様にインプリメントできる。その場合、認証セッション終了は、セッションテーブルからエントリを削除するのではなくて、次の方法のうちの一つによって成し遂げられるであろう。すなわち、(i)プロキシが、ブラウザに命令して、クッキーの送信を停止する方法;あるいは、(ii)プロキシが、クッキーの内容を、全ての禁止されたクッキーを含むテーブル内に入れ、したがって、その内容が、このようなテーブルにマップするいかなるクッキーも、無効なクッキーとして識別され、それにより、そのリクエストが、そのクッキーを含んでいたユーザの再認証を強制する方法。
【0027】
図4は、一実施形態において、アプリケーションが、セッション終了手続きを与えない場合の、認証セッションを終了する処理の例を示すフロー図である。アプリケーションが、如何なる埋め込まれた「ログオフ」または同様のURLをも有さない場合は、認証コンポーネントは、認証セッション終了URLに対するリクエストを検出しても、このリクエストをアプリケーションに渡さず、その代わり、401で示すように、それ自体の予め構成されたログオフページをユーザにサーブする。402では、認証コンポーネントは、次いで、直ちに、例えば、セッションテーブルから対応するセッションエントリを削除することによって、認証セッションを終了する。新しいユーザリクエストは、今や、例えば、図1および2のように、強制的に再認証される。
【0028】
一実施形態では、プロキシは、アプリケーションセッション中、ウェブサーバからブラウザに到来するレスポンスの全てをモニタしてよい。プロキシは、各HTTPレスポンスをブラウザに渡す前に、例えば、「ボタン」をレスポンスのHTML部分に加えてよい。ボタン(これは、ユーザには、「ログオフ」または同様のボタンとして表れるであろう)は、予め定義された特定のページにのみ、あるいは、全てのHTMLページに、加えてよい。別法として、プロキシは、「フレーム」を利用してよく、例えば、フレームを、ユーザによりリクエストされた最初のHTMLに付加し、このボタンあるいはそのようなフレーム内の同様のメカニズムを含んでいてよい。このボタンは、例えば、認証セッション終了URLに対するレファレンス、またはリンクを含んでいる。ひとたびユーザが、このリンクをクリックすると、そのURLを有するリクエストが、終了する。プロキシは、それが、サーバに到達する前に、URLを受信する。
【0029】
別法として、プロキシは、サーバのレスポンスに如何なるボタンも加えることはできないが、プロキシは、特定の予め定義されたURLに対するユーザのリクエストを依然としてモニタできる。ユーザは、例えば、セッションを終了するのに使用すべき予め定義されたURLを与えられる。ユーザは、例えば、URLを手動でタイプできる。ユーザが、この認証セッション終了URLをどのようにリクエストするか、すなわち、リンクをクリックするか、あるいは、それをタイプするか、あるいは何らか他のやり方で行うかを問わず、プロキシは、このURLを検出し、次いで、リクエストがサーバに達して、予め定義されたレスポンスページを、ログオフページの形で、ユーザに送り返す。それは、次いで、認証セッションを直ちに破壊する。プロキシは、このURLリクエストを、前の場合のように、アプリケーションに渡さないが、これは、アプリケーションが、このURLを認識しないからである。上述のように、アプリケーションは、このURLを認識しないが、それは、このようなURLが、プロキシによってレスポンスに加えられる前に、レスポンスが、アプリケーションを離れたか、あるいは、このようなURLが、ユーザによって手動でリクエストされたからである。
【0030】
追加的には、データトラフィック制限は、プロキシで生成されたレスポンスと共に、上述のように、インプリメントしてよい。プロキシで生成されたログオフページが、追加のイメージおよびオプションを含む場合は、セッションは、(i)ログオフページが、ユーザにサーブされた直後に、(ii)認証セッション終了URLに対するリクエストが、ユーザによって提供された後、予め定義された時間期間の後で、(iii)予め定義されたリクエストおよび(または)レスポンスのセットが、作成された後で(該セットは、プロキシで生成されたログオフページによって意図された有り得るリクエストおよびレスポンスのセット全体に等価か、あるいは、そのサブセットであってよい)、あるいは、(iv)予め定義された数のリクエストおよび(または)レスポンスが作成された後で(該数は、プロキシで生成されたログオフページによって意図された有り得るリクエストおよびレスポンスの全数に等しいか、あるいは、それ以下であってよい)、終了してよい。
【0031】
図5は、一実施形態における認証セッション終了システムのコンポーネントを示す図である。認証コンポーネント、例えば、プロキシまたはフィルタ、は、クライアント504とサーバ506との間に駐在している。認証コンポーネントは、各クライアントに対して進行中のセッションを格納するためのセッションテーブルを含んでいる。セッションテーブルはまた、あるセッションが終了すべきことを示す予め定義されたURL510を含んでいてよい。セッションテーブルはまた、タイムスタンプ512を含んでいてよい。コンピュータプログラミングの技術に長けた人には理解されるように、セッションテーブル内のデータ、予め定義されたURL、およびタイムスタンプは、テーブルの行および列として、互いに他へのリンクを有する別個のテーブルとして、データストラクチャまたはリンクリストフォーマットとして、あるいは任意の他の既知のデータ格納方法で、組織化してよい。認証コンポーネント502は、サーバ506と共に、あるいは、クライアントシステム504の一部として駐在するか、あるいは、サーバ506とクライアント504との間を走ってよい。認証コンポーネント502は、クライアント504とサーバ506との間で通信されるリクエストとレスポンスをモニタし、予め定義されたURLが、検出されると、認証コンポーネント502は、例えば、図1〜4を参照して説明した実施形態に従って、セッションを終了する手続きを取る。
【0032】
本明細書におけるシステムおよび方法の説明は、単に説明のためだけのプロキシインプリメンテーションの状況で行われたが、フィルタなどの他のコンポーネントを使用して、クレームされた改良、別法およびそれらに対する修正を含む開示されたシステムおよび方法をインプリメントしてよい。加えて、本明細書では、認証セッションを終了するためのシステムおよび方法は、ワールドワイドウェブおよびHTTPトランザクションに対して説明したが、この技術に長けた人には、本システムおよび方法が、セッションの始めと終わりが、クライアントまたはサーバシステムによって維持されない如何なる他のトランザクションおよびプロトコルでも、使用できることは、理解できよう。さらに、本発明は、そのいくつかの実施形態を引用して説明したが、この技術に長けた人には、クレームされた発明の趣旨および範囲から逸脱することなしに作成できる各種の変更が認識できよう。したがって、本発明は、図面で示したこと、および、明細書で説明したことに限定されず、従属請求項で示したようにしか限定されない。
【図面の簡単な説明】
【0033】
【図1】一実施形態における代表的な認証セッションを開始する処理の例を示すフロー図である。
【図2】一実施形態における認証終了をモニタする処理の例を示すフロー図である。
【図3】アプリケーションが、セッションの終了手続きを行う場合の一実施形態における認証セッションを終了する処理の例を示すフロー図である。
【図4】アプリケーションが、セッションの終了手続きを行わない場合の一実施形態における認証セッションを終了する処理の例を示すフロー図である。
【図5】認証セッションを終了する処理のためのシステムにおける各種のコンポーネントを示す図である。

Claims (51)

  1. ユーザの指示に従って認証セッションを終了する方法であって、該ユーザの指示は、該ユーザが、アプリケーションとの、該アプリケーションとは無関係な、ユーザのインタラクションを終了することを意図したものである方法において、
    ユーザとアプリケーションとの間の、一つまたはそれ以上のトランザクションにて、ユーザからの終了指示のリクエストをモニタする処理と、
    該終了指示を受信する処理に対するレスポンスで認証セッションを終了する処理と、
    を含むことを特徴とする方法。
  2. 該終了指示は、予め定義されたURLを含むこととする請求項1に記載の方法。
  3. さらに、認証セッションが始まる時に、認証セッションテーブルにセッションエントリを入力する処理を含むこととする請求項1に記載の方法。
  4. 該終了する処理は、認証セッションテーブルからセッションエントリを削除する処理を含むこととする請求項1に記載の方法。
  5. 該終了する処理は、認証セッションテーブルにて、セッションエントリを期限切れとしてマークする処理を含むこととする請求項1に記載の方法。
  6. 該終了する処理は、該認証セッションに関連した暗号化トークンを無効なものとして表す処理を含むこととする請求項1に記載の方法。
  7. 該終了する処理は、該認証セッションに関連したセッションクッキーを、禁止クッキーのテーブルに入力する処理を含むこととする請求項1に記載の方法。
  8. 該終了する処理は、該リクエストに付加された予め決定されたパラメータを検出する処理を含むこととする請求項1に記載の方法。
  9. さらに、認証セッションが始まる時に、認証セッションテーブルに、URLパラメータに対応するセッションエントリを入力する処理を含むこととする請求項1に記載の方法。
  10. 該終了指示は、該アプリケーションにおける既存のファンクションを有することとする請求項1に記載の方法。
  11. 該終了指示は、該アプリケーションによって与えられる一つまたはそれ以上の既存のログオフURLを含むこととする請求項1に記載の方法。
  12. 該終了する処理は、該ユーザと該アプリケーションとの間の一つまたはそれ以上のトランザクションを通信する処理の後で、該認証セッションを終了する処理を含むこととする請求項1に記載の方法。
  13. 該終了する処理は、セッションテーブルにて、認証セッションを終了ペンディングとしてマークする処理と、
    該終了指示を有する該トランザクションを該アプリケーションに通信する処理と、
    該アプリケーションが、該終了指示に対するレスポンスで返答するまで、該トランザクションをモニタし続ける処理と、
    該認証セッションを終了する処理と、
    を含むこととする請求項1に記載の方法。
  14. 該終了する処理の間は、予め決定されたトランザクションのみが、許されることとする請求項13に記載の方法。
  15. 該終了する処理は、該セッションテーブルから、該認証セッションに関連したエントリを削除する処理を含むこととする請求項13に記載の方法。
  16. 該終了する処理は、認証セッションテーブルにて、セッションエントリを期限切れとしてマークする処理を含むこととする請求項13に記載の方法。
  17. 該終了する処理は、該認証セッションに関連した暗号化トークンを無効なものとして表す処理を含むこととする請求項13に記載の方法。
  18. 該終了する処理は、該認証セッションに関連したセッションクッキーを、禁止クッキーのテーブルに入力する処理を含むこととする請求項13に記載の方法。
  19. 該終了する処理は、該終了指示を受信する処理の後、予め決定された時間期間が経過した後で、該認証セッションを終了する処理を含むこととする請求項1に記載の方法。
  20. 該終了する処理は、該予め決定された時間期間の間、該ユーザと該アプリケーションとの間で、予め決定されたトランザクションのセットのみが、通信されることを可能にする処理を含むこととする請求項19に記載の方法。
  21. 該終了する処理は、該終了指示を受信する処理の後で、該予め決定された時間期間の期限切れの時点、あるいは、無効リクエストが、該ユーザから受信された時点のうちのより早い時点で、該認証セッションを終了する処理を含むこととする請求項19に記載の方法。
  22. 該終了する処理は、予め定義された許されたリクエストのセットの中にない、あるいは、予め定義された禁止されたリクエストのセットの一つである最初のリクエストが、該ユーザから受信された後で、該認証セッションを終了する処理を含むこととする請求項1に記載の方法。
  23. さらに、
    該終了指示を受信する処理の後で、該認証セッションを終了ペンディングとして表す処理と、
    該認証セッションを終了する処理の前に、該ユーザと該アプリケーションとの間で、一つまたはそれ以上の予め定義されたトランザクションを可能にする処理と、
    該認証セッションを終了する処理と、
    を含むこととする請求項1に記載の方法。
  24. 該終了する処理は、
    該認証セッションを終了ペンディングとして表す処理と、
    該ユーザおよび該アプリケーションへの若しくはこれらからの一つまたはそれ以上の予め定義されたURLリクエストおよびレスポンスを可能にする処理と、
    を含むこととする請求項1に記載の方法。
  25. 該一つまたはそれ以上の予め定義されたURLリクエストおよびレスポンスは、アプリケーションのログオフシーケンスに使用された一つまたはそれ以上のリクエストおよびレスポンスを含むこととする請求項24に記載の方法。
  26. さらに、該終了指示を受信する処理へのレスポンスで、該ユーザにログオフ指示を提供する処理を含むこととする請求項1に記載の方法。
  27. さらに、
    該終了指示を受信する処理へのレスポンスで、該ユーザに、該ユーザに対する追加のオプションを含むログオフページを提供する処理と、
    前記ログオフページを提供する処理の後で、該ユーザから、一つまたはそれ以上のトランザクションをインタセプトする処理と、
    該認証セッションを終了する処理の前に、一つまたはそれ以上のトランザクションに応答する処理と、
    を含むこととする請求項1に記載の方法。
  28. さらに、該終了指示を受信する処理へのレスポンスで、該ユーザへの、一つまたはそれ以上のアプリケーションで生成されたレスポンスを棄却する処理を含むこととする請求項26に記載の方法。
  29. さらに、該提供する処理の後で、かつ、終了する処理の前に、該アプリケーションに対する該ユーザからの選択され、予め定義されたリクエストのみを可能にする処理を含むこととする請求項27に記載の方法。
  30. さらに、該終了指示を受信する処理の後で、該アプリケーションに対する該ユーザからのリクエストを禁止する処理を含むこととする請求項1に記載の方法。
  31. さらに、
    該アプリケーションからの一つまたはそれ以上のトランザクションをモニタする処理と、
    予め定義されたデータセグメントを、該アプリケーションから受信された該一つまたはそれ以上のトランザクションに追加する処理と、
    該追加され予め定義されたデータセグメントを有する該一つまたはそれ以上のトランザクションを該ユーザに送信して、該終了指示を送信するオプションを該ユーザに提供する処理と、
    を含むこととする請求項1に記載の方法。
  32. 該データセグメントは、該ユーザが、該セッションを終了することを意図した時、該ユーザが選択できるHTMLログオフイメージへの参照を含むこととする請求項31に記載の方法。
  33. HTMLログオフイメージは、該セッションの間中、該ブラウザディスプレイエリアに留まっているHTMLフレーム内に提供されることとする請求項32に記載の方法。
  34. さらに、認証セッションの後で、該アプリケーションに該終了指示を通信する処理を含むこととする請求項1に記載の方法。
  35. さらに、
    該終了指示を受信する処理の後で、該ユーザから該アプリケーションへの一つまたはそれ以上の後続のリクエストをインタセプトして該アプリケーションに送信しない処理と、該後続のリクエストの一つまたはそれ以上に返答する処理と、
    を含むこととする請求項1に記載の方法。
  36. さらに、
    該終了指示を受信する処理の後で、該アプリケーションから該ユーザへの一つまたはそれ以上の後続のトランザクションをインタセプトして該ユーザに送信しない処理と、
    一つまたはそれ以上の後続のトランザクションを該アプリケーションに送信して、該ユーザをエミュレートする処理と、
    を含むこととする請求項1に記載の方法。
  37. さらに、
    該終了指示を受信する処理の後で、一つまたはそれ以上の後続のユーザリクエストをインタセプトする処理と、
    該ユーザをエミュレートするために、一つまたはそれ以上の予め定義された後続のリクエストを該アプリケーションに送信する処理であって、該リクエストは、該一つまたはそれ以上の後続のユーザリクエストによって決定されるが、必ずしも該一つまたはそれ以上の後続のユーザリクエストと同一ではない処理と、
    該一つまたはそれ以上の後続のリクエストのうちの一つまたはそれ以上に返答する処理と、
    を含むこととする請求項1に記載の方法。
  38. 認証セッションを終了するシステムにおいて、
    有効セッションの一つまたはそれ以上のエントリを有するセッションエントリテーブルと、
    クライアントとアプリケーションを走らせるサーバとの間に駐在する認証コンポーネントであって、前記認証コンポーネントは、該クライアントと該サーバとの間のトランザクションをモニタし、かつ、セッションの終了指示を受信する処理に対するレスポンスで、終了シーケンスを開始する認証コンポーネントと、
    を含むことを特徴とするシステム。
  39. 該終了シーケンスは、該セッションエントリテーブル内の該セッションと関連したエントリを削除する処理を含むこととする請求項38に記載のシステム。
  40. 該認証モジュールは、プロキシであることとする請求項38に記載のシステム。
  41. 該認証モジュールは、フィルタであることとする請求項38に記載のシステム。
  42. 該一つまたはそれ以上のエントリは、一つまたはそれ以上のクッキーを含むこととする請求項38に記載のシステム。
  43. 該一つまたはそれ以上のエントリは、一つまたはそれ以上の暗号化トークンを含むこととする請求項38に記載のシステム。
  44. 該一つまたはそれ以上のエントリは、一つまたはそれ以上のURLパラメータを含むこととする請求項38に記載のシステム。
  45. 該終了指示は、ログオフURLを含むこととする請求項38に記載のシステム。
  46. 認証セッションを終了する方法において、
    クライアントトランザクションを有効化して、クライアントとアプリケーションとの間のセッションを開始する処理と、
    セッションテーブルに有効なセッションエントリを入力する処理と、
    該セッション中、該クライアントと該アプリケーションとの間の一つまたはそれ以上のトランザクションをモニタする処理と、
    該一つまたはそれ以上のトランザクションにおいて、予め定義された終了指示を検出する処理と、
    該セッションテーブル内の該有効なセッションエントリを削除する処理と、
    を含むことを特徴とする方法。
  47. さらに、
    該削除する処理の前に、予め決定された時間期間が経過するのを待つ処理を含むこととする請求項46に記載の方法。
  48. 該セッションエントリを該削除する処理は、該セッションエントリを無効なものとしてマークする処理を含むこととする請求項46に記載の方法。
  49. 機械によって読み取り可能なプログラム記憶装置であって、該機械によって、認証セッションを終了する処理の方法ステップを行うのに実行可能な命令のプログラムを有形に具体化しているプログラム記憶装置において、
    クライアントトランザクションを有効化して、クライアントとアプリケーションとの間のセッションを開始する処理と、
    セッションテーブルに有効なセッションエントリを入力する処理と、
    該セッション中、該クライアントと該アプリケーションとの間の一つまたはそれ以上のトランザクションをモニタする処理と、
    該一つまたはそれ以上のトランザクションにおいて、予め定義された終了指示を検出する処理と、
    該セッションテーブル内の該有効なセッションエントリを削除する処理と、
    を含むことを特徴とするプログラム記憶装置。
  50. 機械によって読み取り可能なプログラム記憶装置であって、該機械によって、認証セッションを終了する処理の方法ステップを行うのに実行可能な命令のプログラムを有形に具体化しているプログラム記憶装置において、
    ユーザとアプリケーションとの間の一つまたはそれ以上のトランザクションにおいて、ユーザからの終了指示に対するリクエストをモニタする処理と、
    該終了指示を受信する処理に対するレスポンスで、認証セッションを終了する処理と、を含むことを特徴とするプログラム記憶装置。
  51. 該終了する処理は、
    セッションテーブル内に、認証セッションを終了ペンディングとしてマークする処理と、
    該終了指示を有する該トランザクションを該アプリケーションに通信する処理と、
    該アプリケーションが、該終了指示に対するレスポンスで返答するまで、該トランザクションをモニタし続ける処理と、
    該認証セッションを終了する処理と、
    を含むこととする請求項50に記載のプログラム記憶装置。
JP2002588048A 2001-05-04 2002-05-03 ユーザサインオフで認証セッションを終了する方法およびシステム Pending JP2004534996A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US28877001P 2001-05-04 2001-05-04
PCT/IL2002/000349 WO2002091706A1 (en) 2001-05-04 2002-05-03 A method and system for terminating an authentication session upon user sign-off

Publications (1)

Publication Number Publication Date
JP2004534996A true JP2004534996A (ja) 2004-11-18

Family

ID=23108561

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002588048A Pending JP2004534996A (ja) 2001-05-04 2002-05-03 ユーザサインオフで認証セッションを終了する方法およびシステム

Country Status (4)

Country Link
US (1) US7769845B2 (ja)
EP (1) EP1415450A1 (ja)
JP (1) JP2004534996A (ja)
WO (1) WO2002091706A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007080086A (ja) * 2005-09-15 2007-03-29 Sharp Corp 無線lan接続切断方法、無線lan通信端末、サーバ、無線lan通信システム及びコンピュータプログラム
JP2013522786A (ja) * 2010-03-22 2013-06-13 トムソン ライセンシング 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
JP2020064586A (ja) * 2018-10-17 2020-04-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、サービス提供システム、制御方法、及びプログラム

Families Citing this family (81)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7870203B2 (en) * 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
WO2004072834A1 (en) 2003-02-14 2004-08-26 Whale Communications Ltd. System and method for providing conditional access to server-based applications from remote access devices
US7430597B2 (en) * 2003-09-30 2008-09-30 Toshiba Corporation System and method for tracking web-based sessions
EP1669834A4 (en) * 2003-10-02 2009-02-04 Panasonic Corp SECURITY SYSTEM FOR ELECTRONIC DEVICE
US7594018B2 (en) * 2003-10-10 2009-09-22 Citrix Systems, Inc. Methods and apparatus for providing access to persistent application sessions
US20050278537A1 (en) * 2004-06-10 2005-12-15 Dustin Kirkland Logging off a user from a website
US8504665B1 (en) * 2004-06-30 2013-08-06 Kaseya International Limited Management of a device connected to a remote computer using the remote computer to effect management actions
US20060031931A1 (en) * 2004-08-09 2006-02-09 Ming-Chuan Weng Method and apparatus for regulating network access
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7502821B2 (en) * 2004-12-16 2009-03-10 Sap Ag Enhanced internet session management protocol
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US7890634B2 (en) * 2005-03-18 2011-02-15 Microsoft Corporation Scalable session management
US8887233B2 (en) * 2005-04-08 2014-11-11 Netapp, Inc. Cookie-based acceleration of an authentication protocol
EP1717715B1 (en) * 2005-04-25 2018-06-06 EntIT Software LLC State machine-driven interactive system and associated methods
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
DE102006007793B3 (de) * 2006-02-20 2007-05-31 Siemens Ag Verfahren zum sicheren Erkennen des Endes einer Anwender-Sitzung
US8561155B2 (en) * 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
DE102006048618A1 (de) * 2006-10-13 2008-04-17 Fraport Ag Frankfurt Airport Services Worldwide Verfahren und Einrichtung zur automatisierten Zutrittskontrolle von Fluggästen in Flughäfen
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US20080222299A1 (en) * 2007-03-07 2008-09-11 Trusteer Ltd. Method for preventing session token theft
US9455969B1 (en) 2007-06-18 2016-09-27 Amazon Technologies, Inc. Providing enhanced access to remote services
US8312154B1 (en) * 2007-06-18 2012-11-13 Amazon Technologies, Inc. Providing enhanced access to remote services
US20090094372A1 (en) * 2007-10-05 2009-04-09 Nyang Daehun Secret user session managing method and system under web environment, recording medium recorded program executing it
US8244907B2 (en) * 2007-10-16 2012-08-14 International Business Machines Corporation Browser-based logoff from distributed and federated environments
US7925694B2 (en) 2007-10-19 2011-04-12 Citrix Systems, Inc. Systems and methods for managing cookies via HTTP content layer
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
CN101984778B (zh) 2008-01-26 2014-08-13 思杰系统有限公司 用于细粒度策略驱动的cookie代理的系统和方法
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US8775619B2 (en) * 2010-08-17 2014-07-08 Mcafee, Inc. Web hosted security system communication
FR2965134A1 (fr) * 2010-09-21 2012-03-23 Stratagems Procede permettant de securiser l'acces a des donnees, personnelles et confidentielles, echangees lors d'une communication entre des entites electroniques distantes, constitutive d'une session.
CN102025633B (zh) * 2010-12-16 2013-09-18 北京星网锐捷网络技术有限公司 基于web认证的路由方法、认证请求接收设备及认证系统
US8862870B2 (en) 2010-12-29 2014-10-14 Citrix Systems, Inc. Systems and methods for multi-level tagging of encrypted items for additional security and efficient encrypted item determination
US9544387B2 (en) * 2011-06-01 2017-01-10 Hewlett Packard Enterprise Development Lp Indication of URL prerequisite to network communication
JP2013172240A (ja) * 2012-02-20 2013-09-02 Seiko Epson Corp 電子機器の機能制限解除システム、電子機器の機能制限解除方法及び電子機器
US9832189B2 (en) 2012-06-29 2017-11-28 Apple Inc. Automatic association of authentication credentials with biometrics
US20140006795A1 (en) * 2012-06-29 2014-01-02 Apple Inc. Continual Authorization for Secured Functions
US9959539B2 (en) 2012-06-29 2018-05-01 Apple Inc. Continual authorization for secured functions
US10212158B2 (en) 2012-06-29 2019-02-19 Apple Inc. Automatic association of authentication credentials with biometrics
US9819676B2 (en) 2012-06-29 2017-11-14 Apple Inc. Biometric capture for unauthorized user identification
US8990914B2 (en) * 2012-09-28 2015-03-24 Intel Corporation Device, method, and system for augmented reality security
US9088564B1 (en) * 2013-02-07 2015-07-21 Intuit Inc. Transitioning a logged-in state from a native application to any associated web resource
US10331866B2 (en) 2013-09-06 2019-06-25 Apple Inc. User verification for changing a setting of an electronic device
US20150073998A1 (en) 2013-09-09 2015-03-12 Apple Inc. Use of a Biometric Image in Online Commerce
US20150220931A1 (en) 2014-01-31 2015-08-06 Apple Inc. Use of a Biometric Image for Authorization
US9632824B2 (en) 2014-05-30 2017-04-25 Genesys Telecommunications Laboratories, Inc. System and method for application inactivity control
WO2015184376A1 (en) * 2014-05-30 2015-12-03 Genesys Telecommunications Laboratories, Inc. System and method for application inactivity control
US10057354B2 (en) 2014-05-30 2018-08-21 Genesys Telecommunications Laboratories, Inc. System and method for single logout of applications
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
WO2016065296A1 (en) * 2014-10-23 2016-04-28 Visa International Service Association Illustration to conduct an expedited electronic transaction
CN105786879A (zh) * 2014-12-22 2016-07-20 广州市动景计算机科技有限公司 隔离页面Cookie的方法及装置
US10643149B2 (en) * 2015-10-22 2020-05-05 Oracle International Corporation Whitelist construction
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US10395036B2 (en) * 2017-03-16 2019-08-27 Dell Products, L.P. Continued runtime authentication of information handling system (IHS) applications
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
US10785213B2 (en) * 2018-03-27 2020-09-22 Ca Technologies, Inc. Continuous authentication

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5764887A (en) * 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US5884312A (en) 1997-02-28 1999-03-16 Electronic Data Systems Corporation System and method for securely accessing information from disparate data sources through a network
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6119167A (en) * 1997-07-11 2000-09-12 Phone.Com, Inc. Pushing and pulling data in networks
US5928363A (en) * 1997-08-27 1999-07-27 International Business Machines Corporation Method and means for preventing unauthorized resumption of suspended authenticated internet sessions using locking and trapping measures
JP3569122B2 (ja) * 1998-01-22 2004-09-22 富士通株式会社 セッション管理システム、サービス提供サーバ、セッション管理サーバ、セッション管理方法及び記録媒体
US6161182A (en) * 1998-03-06 2000-12-12 Lucent Technologies Inc. Method and apparatus for restricting outbound access to remote equipment
US6205479B1 (en) * 1998-04-14 2001-03-20 Juno Online Services, Inc. Two-tier authentication system where clients first authenticate with independent service providers and then automatically exchange messages with a client controller to gain network access
US6715082B1 (en) * 1999-01-14 2004-03-30 Cisco Technology, Inc. Security server token caching
US6615264B1 (en) * 1999-04-09 2003-09-02 Sun Microsystems, Inc. Method and apparatus for remotely administered authentication and access control
US6226752B1 (en) 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
US6671729B1 (en) * 2000-04-13 2003-12-30 Lockheed Martin Corporation Autonomously established secure and persistent internet connection and autonomously reestablished without user intervention that connection if it lost
US6779033B1 (en) * 2000-12-28 2004-08-17 Networks Associates Technology, Inc. System and method for transacting a validated application session in a networked computing environment
WO2004059509A1 (en) * 2002-12-16 2004-07-15 Columbia Data Products, Inc. Initiation sequences for performing protected computer operations
US6874031B2 (en) * 2002-10-07 2005-03-29 Qualcomm Inc. Method and apparatus for sharing authentication session state in a global distributed network

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007080086A (ja) * 2005-09-15 2007-03-29 Sharp Corp 無線lan接続切断方法、無線lan通信端末、サーバ、無線lan通信システム及びコンピュータプログラム
JP4530960B2 (ja) * 2005-09-15 2010-08-25 シャープ株式会社 無線lan接続切断方法、無線lan通信端末、サーバ、無線lan通信システム及びコンピュータプログラム
JP2013522786A (ja) * 2010-03-22 2013-06-13 トムソン ライセンシング 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
US9531717B2 (en) 2010-03-22 2016-12-27 Thomson Licensing Method of securing access to data or services that are accessible via a device implementing the method and corresponding device
JP2020064586A (ja) * 2018-10-17 2020-04-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、サービス提供システム、制御方法、及びプログラム
JP7150631B2 (ja) 2018-10-17 2022-10-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、サービス提供システム、制御方法、及びプログラム

Also Published As

Publication number Publication date
EP1415450A1 (en) 2004-05-06
US7769845B2 (en) 2010-08-03
US20020165971A1 (en) 2002-11-07
WO2002091706A1 (en) 2002-11-14

Similar Documents

Publication Publication Date Title
JP2004534996A (ja) ユーザサインオフで認証セッションを終了する方法およびシステム
US7793342B1 (en) Single sign-on with basic authentication for a transparent proxy
EP2545482B1 (en) Secure dynamic authority delegation
US6199113B1 (en) Apparatus and method for providing trusted network security
US7685631B1 (en) Authentication of a server by a client to prevent fraudulent user interfaces
US8364957B2 (en) System and method of providing credentials in a network
JP4949032B2 (ja) 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法
CA2400623C (en) Web-based single-sign-on authentication mechanism
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
US20100235897A1 (en) Password management
US20140189839A1 (en) Single sign-on methods and apparatus therefor
WO2006025989B1 (en) Method and apparatus for automatically re-validating multiple clients of an authentication system
EP0940960A1 (en) Authentication between servers
WO2001011845A2 (en) Security architecture with environment sensitive credentials
JP2004536359A (ja) ウェブ・サーバに対してユーザを認証するシステムおよび方法
JP2009003559A (ja) シングルサインオンサーバ用コンピュータシステム及びプログラム
Popov et al. Token Binding over HTTP
Lu et al. Prevent Online Identity Theft–Using Network Smart Cards for Secure Online Transactions
Cisco Controlling Access to the Switch Using Authentication, Authorization, and Accounting
Cisco Controlling Access to the Switch Using Authentication, Authorization, and Accounting
Cisco Controlling Access to the Switch Using Authentication, Authorization, and Accounting
Cisco Controlling Access to the Switch Using Authentication, Authorization, and Accounting
Cisco Controlling Access to the Switch Using Authentication, Authorization, and Accounting
Cisco Switch Access: Using Authentication, Authorization, and Accounting
Cisco Switch Access: Using Authentication, Authorization, and Accounting

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050506

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081008

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081224

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090630

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100217