JP2004537101A - 半ば信頼されるサーバからコンテンツを配信する方法および装置 - Google Patents
半ば信頼されるサーバからコンテンツを配信する方法および装置 Download PDFInfo
- Publication number
- JP2004537101A JP2004537101A JP2002589986A JP2002589986A JP2004537101A JP 2004537101 A JP2004537101 A JP 2004537101A JP 2002589986 A JP2002589986 A JP 2002589986A JP 2002589986 A JP2002589986 A JP 2002589986A JP 2004537101 A JP2004537101 A JP 2004537101A
- Authority
- JP
- Japan
- Prior art keywords
- client
- web server
- semi
- trusted
- trusted web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】制限付き情報は、許可されたクライアントの選択されたグループだけが使用可能な情報である。制限付き情報へのアクセスを望むクライアントは、信頼されるWebサーバを用いてそれ自身を認証し、クライアント信用証明書を入手する。次いで、そのクライアントは、その信用証明書を用いて半ば信頼されるWebサーバと交信し、制限付きコンテンツへのアクセス権を得る。半ば信頼されるWebサーバが完全にセキュアでない場合でも制限付き情報がセキュアであるように、半ば信頼されるWebサーバで制限付き情報を暗号化することができる。
【選択図】図1
Description
【0001】
本発明は、コンピュータ・ネットワークの分野を対象とする。より詳細には、本発明は、インターネット、具体的には、情報を記憶しクライアントに送信するWebサーバを対象とする。
【背景技術】
【0002】
インターネットにおける通信の大部分には、Webサーバに要求を出す少なくとも1つのクライアント、およびクライアントの要求に応答するWebサーバが関与する。本明細書でWebサーバとは、HTTPプロトコルを使ってクライアントと交信する装置または装置の集合体(データストア、ディレクトリ、マシン、ソフトウェアなど)を意味する。本明細書ではオリジンWebサーバを、特定のWeb適用例で、その適用例のセキュリティ・ポリシーに関してWeb適用例の諸機能およびデータを完全に信頼されるWebサーバであると定義する。
【0003】
クライアントが応答を待たねばならない時間の長さを短縮し、インターネットおよびオリジンWebサーバ上の負荷を軽減する手段として、単にプロキシとも呼ばれるプロキシWebサーバからクライアントにサービスできるようにする技法が開発されてきた。その場合、プロキシWebサーバは、普通、クライアントのより近くにあり、あるいはオリジンWebサーバよりも負荷を軽くしてある。
【0004】
プロキシWebサーバを、いくつかの異なる方式でインターネット通信プロセスに統合することができる。一部の構成においては、クライアントは、常に、オリジンWebサーバではなくプロキシWebサーバに要求を出す。プロキシWebサーバは、クライアントに応答し、必要に応じてオリジンWebサーバからコンテンツを取り出すことができ、あるいは、プロキシWebサーバがクライアントの要求を満たすことができない場合は、そのクライアントを別のプロキシWebサーバまたはオリジン・サーバに差し向けることもできる。別の構成においては、クライアントは、まず、オリジンWebサーバに要求を出す。オリジンWebサーバは、現在の要求または以後のすべての要求でそのクライアントをプロキシに差し向けることができ、あるいは、オリジンWebサーバはクライアントの要求の一部に応答し、その応答の一部については、そのクライアントを半ば信頼される(semi-trusted)Webサーバに差し向けることもできる。
【0005】
大部分の場合、プロキシWebサーバにオフロードされるコンテンツは機密でないデータに限られてきたので、アクセス制御方式は必要とされない。機密でないデータとは、アクセス制御を必要とせず、ネットワーク上のどのユーザからでもアクセス可能なデータであると定義される。典型的なWebページ上では、埋め込みイメージが、機密でないデータの一例である。他方、制限付きデータまたは機密データとは、誰がそれを取得できるかについて何らかの制限を設けているデータであると定義される。制限付きデータの例には、1組の登録ユーザが購読によって取得するページ、1組の制限されたユーザだけが使用可能なイメージ、あるいは特定のユーザのためにパーソナル化できるデータが含まれる。
【0006】
インターネット上の一般購読サービスおよびパーソナル化コンテンツは増加しており、これらもまた、プロキシWebサーバによってもたらされる性能向上の恩恵を受けるべきである。制限付き情報は、プロキシWebサーバがアクセス制御方法を適用することを必要とするが、多くの場合、プロキシWebサーバはコンテンツ提供者の制御下にないため、状況は複雑である。そうしたプロキシWebサーバは、半ば信頼されるWebサーバの部類に入る。本明細書では半ば信頼されるWebサーバを、個々のWeb適用例で、その適用例のセキュリティ・ポリシーに関してその適用例の諸機能の一部を信託されるWebサーバであると定義する。具体的には、半ば信頼されるWebサーバは、許可、ユーザ識別子へのアクセス、オリジンWebサーバへのコンテンツのSSLトンネリング、および機密でないトランザクションでは信頼できるが、ユーザ・パスワードやオリジンWebサーバ用の秘密鍵など長期の機密データをこのサーバに信託することはできない。
【発明の開示】
【発明が解決しようとする課題】
【0007】
したがって、本発明の一態様は、クライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにする方法を提供することである。
【0008】
本発明の別の態様は、クライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにする装置を提供することである。
【0009】
本発明の別の態様は、認証のためにクッキーを使用することのセキュリティ上のリスクを軽減することである。
【0010】
本発明の別の態様は、半ば信頼されるWebサーバに記憶されたデータを保護することである。
【0011】
本発明の一例において、クライアントは、本明細書で開示する方法を使って半ば信頼されるWebサーバにある制限付き情報にアクセスできる。
【0012】
本発明の上記およびその他の態様、特徴および利点は、以下の本発明の詳細な説明を添付の図面と併せてさらに考察すれば明らかになるであろう。
【課題を解決するための手段】
【0013】
本発明の他の目的およびより適切な理解は、以下の詳細な説明を参照することによって達成することができる。
【発明を実施するための最良の形態】
【0014】
本発明は、クライアントが半ば信頼されるWebサーバを介して制限付き情報にアクセスできるようにする。このアクセスが実施される典型的な環境を図1に示す。この図には、インターネットなどのコア・ネットワークに接続されたクライアント、オリジンWebサーバ、および半ば信頼されるWebサーバが示されている。
【0015】
クライアント101、半ば信頼されるWebサーバ104、およびオリジンWebサーバ103は、コア・ネットワーク102に接続されている。このクライアント、半ば信頼されるWebサーバ、およびオリジンWebサーバは、図に例示するように、コア・ネットワークに直接接続することも、仲介ファイアウォール、ルータ、および下位ネットワークを介して接続することもできる。半ば信頼されるWebサーバは、クライアントがオリジンWebサーバと交信するときにネットワーク中のパケットがたどる経路上に位置することができる。
【0016】
クライアントが要求に対する応答を待たねばならない時間を短縮し、オリジンWebサーバ上の負荷を軽減するために、半ば信頼されるWebサーバはクライアントの要求にサービスすることができる。一般に、半ば信頼されるWebサーバがオリジンWebサーバよりクライアントの近くにある場合、あるいは半ば信頼されるWebサーバの負荷がオリジンWebサーバより軽い場合には、半ば信頼されるWebサーバがクライアントの要求にサービスするように選択される。一部の構成においては、クライアントは、常に、オリジンWebサーバではなく半ば信頼されるWebサーバに要求を出す。半ば信頼されるWebサーバはクライアントに応答し、必要に応じてオリジンWebサーバからコンテンツを取り出すことができ、あるいは、半ば信頼されるWebサーバがクライアントの要求を満たすことができない場合は、別の半ば信頼されるWebサーバまたはオリジンWebサーバにクライアントを差し向けることもできる。別の構成においては、クライアントは、まず、オリジンWebサーバに要求を出す。オリジンWebサーバは、現在の要求または以後のすべての要求でクライアントを半ば信頼されるWebサーバに差し向けることができ、あるいは、クライアントの要求の一部に応答し、その応答の一部についてクライアントを半ば信頼されるWebサーバに差し向けることもできる。
【0017】
図1で、半ば信頼されるWebサーバは、必ずしも、コンテンツ提供者またはオリジンWebサーバの制御下にあるとは考えられないので、半ば信頼されるWebサーバは、長期の機密データのためのセキュリティ・ポリシーに関しては信頼されない。しかし、半ば信頼されるWebサーバは、許可、ユーザ識別子、機密でないトランザクション、およびコンテンツのSSLトンネリングでは信頼される。半ば信頼されるWebサーバはオリジンWebサーバによって半ば信頼されるので、半ば信頼されるWebサーバにある制限付き情報を保護し、機密のユーザ信用証明書を保護するためにアクセス制御方法が必要である。本発明は、半ば信頼されるWebサーバにあるユーザ・パスワードなどの長期機密データを危険にさらさずに、半ば信頼されるWebサーバにある制限付き情報へのアクセス制御を提供する技法を提供する。
【0018】
クライアントが長期機密データを危険にさらさずに半ば信頼されるWebサーバにある制限付き情報にアクセスできるようにするには、追加の機能が必要である。図2に、本明細書で開示する本発明を配備できるネットワーク中で稼動する任意のマシンの構造を示す。マシン201は、クライアント、半ば信頼されるWebサーバ、オリジンWebサーバ、クライアントの信頼されるエージェント、半ば信頼されるWebサーバの信頼されるエージェント、およびオリジンWebサーバの信頼されるエージェントの間で分散させることができる。本発明を実装する任意の装置201は、認証機構202、信用証明書作成機構203、信用証明書提示機構204、信用証明書相関機構205を含む4つのコンポーネントからなる。本発明の一部の実装形態では、認証機構202は、ネットワーク中にすでに存在する外部サービスによって提供することができる。認証機構202は、まず、オリジンWebサーバ103に対してクライアント101を認証する。信用証明書作成機構203は、クライアントがその後の通信に使用する信用証明書を作成する。信用証明書提示機構204は、クライアント信用証明書を半ば信頼されるWebサーバ104に伝達する。信用証明書相関機構205は、クライアント信用証明書をアクセス元クライアントおよびクライアントのユーザ識別子に相関付ける。
【0019】
クライアントが制限付き情報を要求すると、そのクライアントは認証のためにオリジンWebサーバに差し向けられる。信用証明書作成後、クライアントは半ば信頼されるWebサーバに戻されて要求を繰り返し、信用証明書が半ば信頼されるWebサーバに提示される。信用証明書相関付け後、半ば信頼されるWebサーバは、信用証明書が有効である場合、要求されたコンテンツを提供することによってクライアントの要求に応答する。
【0020】
図3に、半ば信頼されるWebサーバ300およびオリジンWebサーバ310が同じネーム・スペース・ドメイン(それぞれproxy.company.comおよびcompany.comなど)に位置する場合にクライアント信用証明書を提示する技法を図示する、本発明の第1の実施形態を示す。この実施形態で、クライアントはオリジンWebサーバに要求を出す。要求は、半ば信頼されるWebサーバによってオリジンWebサーバに差し向けられることもある。クライアントは、認証コンポーネント320を用いてオリジンWebサーバに対して認証される。オリジンWebサーバにおいて、信用証明書作成コンポーネント325は、見掛けのクライアントのインターネット・プロトコル(IP)アドレスやHTTPヘッダ情報などクライアント特有の環境情報を含むHTTPクッキーの形でクライアント信用証明書を作成する。オリジンWebサーバはクライアントにそのクッキーを設定し、HTTPリダイレクトを使ってそのクライアントを半ば信頼されるWebサーバに差し向ける。半ば信頼されるWebサーバおよびオリジンWebサーバは同じネーム・スペース・ドメインに位置するので、クライアントが半ば信頼されるWebサーバに要求を出すと、その信用証明書クッキーが半ば信頼されるWebサーバ315に提示されることになる。半ば信頼されるWebサーバにおいて、信用証明書相関コンポーネント330は、見掛けのクライアントIPアドレスやHTTPヘッダ情報などクライアント特有の環境情報に提供されたクッキーを相関付ける。そのクッキーが有効である場合、半ば信頼されるWebサーバは、クッキーに指定されたユーザ識別子のアクセス制御を使って要求に応答する。クッキーのフォーマットおよび検証を図11に示す。
【0021】
図4に、図3に示す実施形態でオリジンWebサーバ310が講じる措置を図示する流れ図を示す。オリジンWebサーバ310においてこの実施形態を実装する装置が起動されるときは必ず、この流れ図がステップ401から開始される。ステップ405で、オリジンWebサーバはクライアントからのメッセージを待つ。メッセージを受け取ると、ステップ410でオリジンWebサーバは、クライアントが認証されているかどうか調べる。クライアントは、図12に示すように有効なクライアント信用証明書を提示することによって認証を得ることができ、あるいは、別の方式で認証を得ることもできる。ステップ410でクライアントが認証されていない場合、ステップ425でオリジンWebサーバは認証を開始しステップ410に戻る。ステップ410でクライアントが認証されている場合は、ステップ415を実行する。ステップ415で、オリジンWebサーバはクライアント特有の環境情報を使って、クライアントに設定するクッキーに記憶されるクライアント信用証明書を作成する。次に、ステップ420で、オリジンWebサーバはクライアントを半ば信頼されるWebサーバに差し向ける。最後に、オリジンWebサーバはステップ405に戻り次のメッセージを待つ。
【0022】
図5に、図3に示す実施形態で半ば信頼されるWebサーバ300が講じる措置を図示する流れ図を示す。半ば信頼されるWebサーバ300においてこの実施形態を実装する装置が起動されるときは必ず、この流れ図がステップ500から開始される。ステップ505で、半ば信頼されるWebサーバはクライアントからのメッセージを待つ。メッセージを受け取ると、ステップ510で半ば信頼されるWebサーバは、クライアントが有効なクライアント信用証明書を含むクッキーを提出したかどうか調べる。ステップ510では、クッキー中のクライアント信用証明書を、図12に示すように半ば信頼されるWebサーバがクライアントから入手するクライアント特有の情報に相関付ける。ステップ510でクライアント信用証明書が有効でない場合は、ステップ530を実行する。ステップ530で、半ば信頼されるWebサーバはクライアントをオリジンWebサーバに差し向け、ステップ505に戻る。ステップ510でクライアント信用証明書が有効である場合は、ステップ515を実行する。ステップ515で、図13に示すようにクッキーおよびクライアント信用証明書を更新する。ステップ515の後、ステップ520で半ば信頼されるWebサーバは、クライアントが認証されているかどうか調べる。ステップ520でクライアントが認証されていない場合は、ステップ535を実行する。ステップ535で、半ば信頼されるWebサーバはクライアントに禁止メッセージを送信しステップ505に戻る。ステップ520でクライアントが認証されている場合は、ステップ525を実行し、クライアントにコンテンツを提供する。ステップ525の後、半ば信頼されるWebサーバはステップ505に戻り次のメッセージを待つ。
【0023】
図6に、クライアント信用証明書がオリジンWebサーバ610によって半ば信頼されるWebサーバ600に提示され、オリジンWebサーバ610がHTTPリダイレクトを用いてそのクライアントを半ば信頼されるWebサーバに宛先変更する、第2の実施形態を示す。この実施形態は、オリジンWebサーバおよび半ば信頼されるWebサーバが同じドメインに位置しない場合に対処するものであるが、この実施形態をこれらのサーバが同じドメインにある場合に使用することもできる。この実施形態で、クライアントはオリジンWebサーバに要求を出す。要求は、半ば信頼されるWebサーバによってオリジンWebサーバに差し向けられることもある。クライアントは、認証コンポーネント630を用いてオリジンWebサーバに対して認証される。オリジンWebサーバにおいて、信用証明書作成コンポーネント620は、見掛けのクライアントのインターネット・プロトコル(IP)アドレスやHTTPヘッダ情報などクライアント特有の環境情報を含むHTTPクッキーの形でクライアント信用証明書を作成する。提示コンポーネント625は半ば信頼されるWebサーバ635にそのクライアント信用証明書を送信し、次いで、オリジンWebサーバ610は、HTTPリダイレクトURL中にクライアント信用証明書クッキーへの参照を含むHTTPリダイレクトによって、クライアントを半ば信頼されるWebサーバに差し向ける。クライアント605が半ば信頼されるWebサーバ635に要求を出すと、提示コンポーネント615はURL照会ストリングの形でクライアント信用証明書クッキーへの参照を与え、あるいは、クライアントがすでにクライアント信用証明書クッキーを所持している場合は、半ば信頼されるWebサーバにそのクッキーを提示する。相関コンポーネント635では、クライアント信用証明書クッキーへの参照を使って半ば信頼されるWebサーバに記憶されたクッキーの1つを選択し、次いで、図12に示すように、見掛けのクライアントIPアドレスやHTTPヘッダ情報などクライアント特有の環境情報をクライアント信用証明書に相関付ける。クライアントがクライアント信用証明書に合致する場合、半ば信頼されるWebサーバは、以後の要求でそのクライアントにそのクッキーを設定し、そのクッキーに指定されるユーザ識別子のアクセス制御を使って要求に応答する。クッキーのフォーマットおよび検証を図11に示す。
【0024】
図7に、オリジンWebサーバがオリジンWebサーバにクライアント特有の情報を送信するクライアント・ブラウザに第1のクライアント側プログラムをインストールし、半ば信頼されるWebサーバが半ば信頼されるWebサーバにクライアント特有の情報を送信するクライアント・ブラウザに第2のクライアント側プログラムをインストールすることによって相関付けを支援する、第3の実施形態を示す。この実施形態は、オリジンWebサーバおよび半ば信頼されるWebサーバが同じドメインに位置しない場合に対処するものであるが、この実施形態をこれらのサーバが同じドメインにある場合に使用することもできる。この実施形態は、さらに、より多くのクライアント特有の環境情報を使用することによって、認証のためにクッキーを使用することのリスクを軽減する。この実施形態で、クライアントはオリジンWebサーバに要求を出す(要求が半ば信頼されるWebサーバからオリジンWebサーバに差し向けられる可能性もある)。クライアントは、第1のクライアント側プログラムを用いて強化することができる、認証コンポーネント730を用いてオリジンWebサーバに対して認証される。オリジンWebサーバにおいて信用証明書作成コンポーネント720は、見掛けのクライアントのインターネット・プロトコル(IP)アドレスやHTTPヘッダ情報などクライアント特有の環境情報、ならびに、第1のクライアント側プログラムが収集する、ローカルIPアドレスやブラウザ・アプリケーションのプロセス識別子のハッシュなど、追加のクライアント特有の環境情報を含むHTTPクッキーの形で、クライアント信用証明書を作成する。提示コンポーネント725は半ば信頼されるWebサーバ735にクライアント信用証明書を送信し、次いで、オリジンWebサーバ710は、HTTPリダイレクトURL中にクライアント信用証明書クッキーへの参照を含むHTTPリダイレクトによって、クライアントを半ば信頼されるWebサーバに差し向ける。クライアント705が半ば信頼されるWebサーバ735に要求を出すと、提示コンポーネント715はURL照会ストリングの形でクライアント信用証明書クッキーへの参照を与え、あるいは、そのクライアントがすでにクライアント信用証明書クッキーを所持している場合は、半ば信頼されるWebサーバにそのクッキーを提示する。相関コンポーネント735では、クライアント信用証明書クッキーへの参照を使って、半ば信頼されるWebサーバに記憶されたクッキーの1つを選択し、次いで、見掛けのクライアントIPアドレスやHTTPヘッダ情報などのクライアント特有の環境情報、および第2のクライアント側プログラムを介して相関コンポーネント740が入手した追加のクライアント特有の環境情報を、クライアント信用証明書に相関付ける。クライアントがクライアント信用証明書に合致する場合、半ば信頼されるWebサーバは以後の要求でそのクライアントにそのクッキーを設定し、半ば信頼されるWebサーバはそのクッキーに指定されるユーザ識別子のアクセス制御を使って要求に応答する。クッキーのフォーマットおよび検証を図11に示す。
【0025】
図8に、図7に示す第3の実施形態で実施されるメッセージ交換を示す。クライアントはオリジンWebサーバにHTTP要求(800)を送信する。オリジンWebサーバは認証要求メッセージ(805)で応答する。このメッセージはユーザIDおよびパスワードのプロンプトとしてユーザに提示される。クライアントは認証データを含む認証応答メッセージ(810)で応答する。オリジンWebサーバでユーザIDおよびパスワードが正常に確認された場合、オリジンWebサーバはクライアントにクライアント・プログラムを送信する(815)。このクライアント・プログラムはクライアント・マシン上で実行され、クライアントのブラウザのプロセスIDやユーザID、ローカルIPアドレスなどのローカル環境情報を収集する。この情報は、プライバシー保護のためにクライアントでハッシュされ、クライアント特有の相関情報としてオリジンWebサーバに返信される(820)。オリジンWebサーバは後で図11に示すように有効なクッキーを作成し、そのクライアントの宛先変更にそのクッキーへの参照を含める(825)。また、オリジンWebサーバは、半ば信頼されるWebサーバに(830)または半ば信頼されるWebサーバからアクセス可能なディレクトリに、そのクッキーを記憶する。クライアントは続いて、宛先変更で指示されるように、半ば信頼されるWebサーバに要求を送信する(835)。半ば信頼されるWebサーバおよびオリジンWebサーバが同じドメインを共用している場合は、クライアントがそのクッキーを含む。クライアントがクッキーを含まない場合、半ば信頼されるWebサーバは、オリジンWebサーバがそのクッキーを記憶した場所からそれを検索する。半ば信頼されるWebサーバがクライアントからクッキーを受信せず、かつそれからアクセス可能な記憶装置からもクッキーが見つからない場合、半ば信頼されるWebサーバはクライアントをオリジンWebサーバに宛先変更し、メッセージ800からプロセスを再開する。半ば信頼されるWebサーバは、クライアントが指定された時間内に少数回の宛先変更だけしか実施できないようにすることによって、何度も反復して宛先変更されることのないようにすることができる。半ば信頼されるWebサーバがクライアントのクッキーにアクセスできる場合は、半ば信頼されるWebサーバはクライアントに相関クライアント・プログラムを送信する(840)。このプログラムはクライアントの環境情報を収集し(815参照)、その情報のハッシュをプロキシWebサーバに返信する(845)。半ば信頼されるWebサーバは、次いで、クライアントの環境ハッシュがクッキーに記憶された環境ハッシュと合致するかどうか検証する。合致しない場合、半ば信頼されるWebサーバはクライアントをオリジンWebサーバに宛先変更し、このシナリオが再開される(800)。合致する場合、半ば信頼されるWebサーバは(後で図11に示すように)クッキーを検査する。クッキーが有効である場合、半ば信頼されるWebサーバはクッキーからクライアントの信用証明書を取り出し、認証を続行する。クライアントの信用証明書が要求された情報にアクセスするのに十分である場合は、そのクライアントにアクセス権を与え、不十分である場合は、アクセスを拒否する(850)。半ば信頼されるWebサーバは、(図11に示すように)クッキーを更新し、更新したクッキーをメッセージ850と共にクライアントに送信し、半ば信頼されるWebサーバからアクセス可能な記憶装置にその更新したクッキーを記憶する。
【0026】
図9に、図7に示す第3の実施形態におけるオリジンWebサーバの挙動を示す流れ図を示す。オリジンWebサーバの起動(900)後、オリジンWebサーバは要求メッセージを待つ(905)。クライアント要求を受信すると、オリジンWebサーバは、図8に示すように、個々の情報を報告するクライアント側プログラムをクライアントに送信することによってクライアント環境情報を収集する。オリジンWebサーバは、このクライアントに有効なクッキーが存在するかどうか検査する(915)。存在する場合、クライアントはプロキシWebサーバに差し向けられ(920)、オリジンWebサーバは他の要求を待つ(905)。存在しない場合、オリジンWebサーバは、(図8のメッセージ805および810に示すように)クライアントに認証要求を送信し認証応答を待つことによってクライアントを認証する(925)。認証に失敗した場合、クライアントにアクセス禁止メッセージが送信され(835)、オリジンWebサーバは他の要求を待つ(905)。この場合、オリジンWebサーバは、クライアントごとの失敗した認証手続の回数を監査し、一定限度の回数の連続認証要求に失敗したアカウントをロックする必要がある。認証に成功しかつクッキーが存在しない場合、オリジンWebサーバは、図11に示すようにそのクライアント用のクッキーを作成し、そのクライアントを半ば信頼されるWebサーバに差し向ける宛先変更メッセージと一緒にそのクライアントにそのクッキーを送信する(940)。オリジンWebサーバおよび半ば信頼されるWebサーバが同じドメインを共用しない場合は、半ば信頼されるWebサーバからアクセス可能なディレクトリにそのクッキーを記憶する必要がある。同じドメインを共用する場合、これは任意選択である。次いで、オリジンWebサーバは、着信要求を待つ状態に戻る(905)。
【0027】
図10に、図7に示す第3の実施形態における半ば信頼されるWebサーバの挙動を示す流れ図を示す。半ば信頼されるWebサーバの起動(1000)後、半ば信頼されるWebサーバは着信要求を待つ(1005)。次に、半ば信頼されるWebサーバは、要求がこのクライアント用のクッキーを含んでいるかどうか検査する(1010)。クライアントがその要求と共に有効なクッキーを提出せず、半ば信頼されるWebサーバがディレクトリ内など他の記憶装置にそのクライアントのクッキーを所持していない場合、そのクライアントは、クッキー作成のためにオリジンWebサーバに差し向けられる(1015)。そうでない場合、半ば信頼されるWebサーバは、図7に示すようにクライアント側プログラムを使ってクライアント環境情報を収集する(1020)。次いで、半ば信頼されるWebサーバは、図12に示すように、収集した情報とクッキーに記憶されたクライアント情報が合致するかどうか検証する(1025)。合致しない場合は、有効なクッキーを作成するためにクライアントをオリジンWebサーバに差し向ける(1015)。合致する場合、半ば信頼されるWebサーバは、図13に示すようにクッキーを更新する(1035)。次いで、半ば信頼されるWebサーバは、クッキーからそのクライアントの信用証明書を取り出し、そのクライアントが要求した情報にアクセスする権限をチェックする(1040)。そのクライアントが要求した情報にアクセスする権限を持たない場合、半ば信頼されるWebサーバはクライアントに禁止メッセージを送信し(1045)、待機状態に戻る(1005)。そのクライアントが権限を持つ場合は、アクセス権を与える(1050)。その後、半ば信頼されるWebサーバは待機状態に戻る(1005)。
【0028】
図11に、オリジンWebサーバが作成するクライアント・クッキーの一例を示す。このクッキーは2つの部分からなる。一方の部分は暗号化され、他方の部分は暗号化されない。暗号化される部分は、オリジンWebサーバが参照するクライアントのIPアドレス(1100)、クライアント側のプログラムが収集する任意選択のクライアント相関情報(1105)、オリジンWebサーバが参照するクライアントの要求ヘッダのハッシュ(1110)、オリジンWebサーバおよび半ば信頼されるWebサーバが認証のために使用するクライアントのユーザID(1115)、任意選択でランダム・ビット・パターンB(1120)、クッキーの作成時刻を含むタイム・スタンプ(1125)、通常、作成時刻に加算される固定オフセットである、全ドメインに有効なグローバル・タイムアウト値(1130)、およびクッキーの作成時刻に加算される固定オフセットであるクッキー非アクティブ・タイムアウト(1135)からなる。このクッキーの平文の部分は、そのクッキーの上側部分の暗号化に使用する鍵を示す鍵識別番号(1140)、オリジンWebサーバのドメイン名(1145)、任意選択で暗号化されたランダム・ビット・パターンBのコピー(1150)、および最後に、すべてのフィールドを平文で使用して作成される前述の各フィールドに対する電子署名(1155)を含む。その後、半ば信頼されるWebサーバとオリジンWebサーバが共用する鍵Kc(1160)を使って第1の部分の各フィールドを暗号化する。
【0029】
図12に、クライアントのクッキーを検査し、そのクッキーが有効な場合に、相関手順の一部としてクライアント信用証明書を戻すプロセスを図示する流れ図を示す。クライアントのクッキーはそのクライアントによるHTTP要求中に含むことができ、あるいは、クライアントが、半ば信頼されるWebサーバに記憶された、または外部装置またはディレクトリを介して半ば信頼されるWebサーバから使用可能な、クッキーへの参照を提供することもできる。クッキーが見つからない場合、クライアントを認証しクッキーを作成することができるように、そのクライアントをオリジンWebサーバに差し向ける。クッキー検査手順はステップ1200から開始される。ステップ1205で、ドメイン識別子および鍵識別子を使って該当する暗号化解除鍵を選択し、暗号化解除操作を実施することによって、クッキーを暗号化解除する。ステップ1210で、グローバル・タイムアウト・フィールドおよび非アクティブ・タイムアウト・フィールドをチェックしてクッキーの有効期限が切れているかどうか調べ、ビット・パターンをビット・パターンのコピーと比較する。クッキーのグローバル・タイムアウトまたは非アクティブ・タイムアウトのどちらかの有効期限が切れている場合、またはビット・パターンとビット・パターン・コピーが同等でない場合、そのクッキーは無効であり、ステップ1215を実行する。ステップ1215で、プロセスは無効を返し停止する。ステップ1210でクッキーの有効期限が切れておらず両ビット・パターンが合致する場合、ステップ1220を実行する。ステップ1220で、ステップ1205でクッキーの暗号化解除に使用した鍵の信用が損なわれているとマークされた場合、あるいは、セキュリティを高めることが必要とされる場合、ステップ1225を実行する。そうでない場合は、ステップ1230を実行する。ステップ1225で、クッキーの署名をチェックする。署名が合致しない場合、そのクッキーは無効であり、ステップ1215を実行する。署名が合致する場合、ステップ1230を実行する。ステップ1230で、半ば信頼されるWebサーバはクライアント特有の環境情報を収集する。見掛けのIPアドレスやHTTPヘッダ・ハッシュなどクライアント特有の環境情報の一部はクライアント接続から得ることができ、ローカル・ユーザ識別子、ブラウザ・プロセス識別子、IPアドレスのハッシュなど他のクライアント特有の環境情報は、第2のクライアント側プログラムから半ば信頼されるWebサーバに送信することができる。ステップ1230の後、ステップ1235で、クライアント特有の環境情報のハッシュがクッキーに記憶されたクライアント特有の環境情報と同等であるかどうかチェックする。ステップ1235で同等でない場合、そのクッキーは無効であり、ステップ1215を実行する。ステップ1235で同等である場合、ステップ1240を実行する。ステップ1240で、クッキー中のクライアント・アクセス信用証明書を検索する。ステップ1245で、検査プロセスは有効と報告し、呼出し元にクライアントの信用証明書を返す。これらの信用証明書をその認証全体を通じて使用して、そのクライアントにアクセス権を与えるか否か決定する。
【0030】
図13に、クライアントのクッキーを更新するプロセスを図示する流れ図を示す。ステップ1300で実行を開始した後、ステップ1305を実行する。ステップ1305で、図12で示した検査プロセスでクッキーが有効とマークされたか否か調べる。ステップ1305で、クッキーが有効でない場合、ステップ1330を実行する。ステップ1330で、そのクライアント、ローカルの記憶装置、およびいずれのクッキー・ディレクトリや記憶装置からもそのクッキーを削除し、ステップ1325を実行する。ステップ1325で、クッキー更新プロセスを停止する。ステップ1305でクッキーが有効な場合、ステップ1310で新しい非アクティブ・タイムアウトを設定し、ステップ1315を実行する。ステップ1315で、半ば信頼されるWebサーバは、鍵管理システムをチェックしてクライアントが使用する鍵がまだ有効かどうか調べる。鍵がタイムアウトした場合、あるいはオリジンWebサーバが半ば信頼されるWebサーバにその鍵が有効でなくなったと知らせるメッセージを送信した場合、鍵が有効でないことがある。ステップ1315で鍵が有効でなくなっている場合、ステップ1330を実行する。ステップ1315で鍵が有効である場合、ステップ1320で鍵識別子フィールドに示されるものと同じ共用鍵でクッキーを暗号化し、ステップ1325を実行する。
【0031】
図14に、クッキーの一部が気付かずに変更され開示されることのないよう保護するために半ば信頼されるWebサーバおよびオリジンWebサーバによって使用される鍵エントリを示す。この鍵エントリは、鍵識別番号(1400)、鍵自体(1405)、および任意選択で鍵タイムアウト値(1410)からなる。最初に、オリジンWebサーバは、新しい鍵と新しい鍵識別番号と空のタイムアウト値を有する鍵エントリを作成し、それをすべての半ば信頼されるWebサーバに安全に配布する。オリジン・サーバは、該当するクッキー・フィールド(図11参照)にクッキー作成時に使用する鍵の鍵識別を含む。ある半ば信頼されるWebサーバの信用が損なわれたことを知ると、オリジンWebサーバは、信用が損なわれていない半ば信頼されるWebサーバに新しい鍵識別番号を有する新しい鍵エントリを発行する。この新しい鍵発行によって半ば信頼されるWebサーバがトリガされて古い鍵のグローバル・タイムアウト値を(たとえば5秒と)設定する。このタイムアウト値の有効期限が切れた後、古い鍵を使用するクッキーは受け入れられなくなり(図13参照)、そうしたクッキーを提示するクライアントは認証および新しいクッキー作成のためにオリジンWebサーバに宛先変更される。このように、信用が損なわれたWebサーバによって知られていたクッキーに関連するクッキーおよびユーザ情報は、それらに反射攻撃する価値を失う。
【0032】
図15に、オリジンWebサーバがクライアントのためにセキュア・コンテンツを作成するときに講じる措置を図示する流れ図を示す(1500)。この部分は、クライアントが、秘匿すべき情報を検索する場合に、その情報がこれらのデータを配信する半ば信頼されるWebサーバに関するものであっても適用される。検索される情報の大部分は機密性のあまり高くない、半ば信頼されるWebサーバでのキャッシングを活用する多くのユーザが共用できるものなので、半ば信頼されるWebサーバが配信する情報にセキュア・コンテンツを埋め込めば拡張可能性およびセキュリティが強化される。この少量の個別の機密データは、クライアントに対しては透過的に、半ば信頼されるWebサーバによってオリジンWebサーバから自動的に検索される。クライアントにインストールされた専用のセキュア・コンテンツ・ハンドラは、ユーザがセキュアなデータと従来のデータとを区別できるような形で、セキュア・コンテンツをユーザに提示する。セキュア・コンテンツを可能にするために、コンテンツ提供者は鍵Kclientを決定し、それをクライアントと共用する(1505)。次いで、その機密のコンテンツを鍵Kcontentで暗号化する(1510)。鍵KcontentをKclientで暗号化し、セキュア・コンテンツに付加する(1515)。このコンテンツを新しいタグでマークし(1520)、次いで、クライアントに直接配信し、あるいは半ば信頼されるWebサーバに配信し、このWebサーバは、このクライアントに配信するコンテンツの一部としてこのセキュア・コンテンツを埋め込む(1525)。この手順は1530で終了する。独立鍵Kcontentを使って機密コンテンツを暗号化すると、鍵Kclientを共用しない相異なるユーザのための暗号化コンテンツの使用がサポートされる。オリジンWebサーバは、コンテンツ全体ではなく、単に共通鍵を複数回暗号化するだけでよい。
【0033】
図16に、半ば信頼されるWebサーバが一部分セキュアなコンテンツを配信するときに講じる措置を図示する流れ図を示す(1600)。半ば信頼されるWebサーバがこのセキュア・コンテンツを検索する場合、クライアント識別情報(そのクライアントのクッキーなど)を決定し(1605)、オリジンWebサーバからそのセキュア・コンテンツを検索するときにそれをオリジンWebサーバに提示する(1610)。この識別によりオリジンWebサーバは鍵Kclientを決定することができる(図5参照)。半ば信頼されるWebサーバは、オリジンWebサーバからそのクライアント用のセキュア・コンテンツを受信し、そのコンテンツをクライアントに配信する(1615)。セキュア・コンテンツをキャッシュできるか否かはそのコンテンツ自体に依存し、オリジンWebサーバによって決定される。要求のセキュア・コンテンツ部分を配信する手順は1620で終了する。
【0034】
図17に、クライアントがセキュア・コンテンツを受信するときに講じる措置を図示する流れ図を示す(1700)。まず、クライアントのブラウザは、それが受信したコンテンツのタイプのための登録プログラムを所持しているかどうかチェックする(1705)。クライアントが従来のコンテンツを受信した場合は、クライアントは既存のコンテンツ・ハンドラを使ってデータを処理し(1710)、戻る(1715)。クライアントがセキュア・コンテンツであるとタグ付けされたデータを受信した場合、ブラウザはこのコンテンツを処理する個々の登録プログラムを自動的に検索する(1720)。クライアントは、専用コンテンツ・タグ(図18参照)によってセキュア・コンテンツを認識する。ブラウザがセキュア・コンテンツ用のハンドラを登録していない場合、ユーザにプロンプトが出され、そのユーザはインストール手順を実行しなければならない。このセキュア・コンテンツ用のクライアント側ハンドラは、オリジンWebサーバからセキュアな接続を介してインストールされる。このプロセス(1725)全体を通じてセキュアな鍵Kclientもクライアント・プログラムにインストールされる。Kclientはクライアント側プログラムおよびコンテンツ提供者(たとえばオリジンWebサーバ内のCGIスクリプトやサーブレット)だけにしか知られない。次に、Webブラウザの一部であるこのクライアント・プログラムがトリガされてそのセキュア・コンテンツ・タイプを処理する。クライアント側プログラムは、セキュア・コンテンツに添付された保護鍵Kpを取り出し(1730)、鍵Kpをそれ自体の秘密鍵Kclientで暗号化解除することによってそのセキュア・コンテンツ用の暗号化解除鍵Kcontentを計算する(1735)。その結果得られる鍵Kcontentを使ってそのセキュア・コンテンツを暗号化解除し、その完全性をチェックする(1740)。その結果得られる平文は、Webブラウザで通常どおり処理することができ、あるいは、あるページのどの部分がセキュア・コンテンツでありどの部分がそうでないかユーザに示すような形でクライアント側プログラムがその平文を提示することもできる(1745)。
【0035】
図18に、セキュア・コンテンツに添付される新しいコンテンツ・タイプ(1800)を示す。新しいタグ(1805)はクライアントのWebブラウザをトリガして(図15に示すようにインストールされた)クライアント側プログラムをアクティブにする。保護鍵部分(1810)は、Kclientによって保護された、セキュア・コンテンツを暗号化解除するための鍵を含む。タグの後には暗号化されたセキュア・コンテンツ(1815)が続く。このセキュア・コンテンツ・タグ(1805)を実装する1つの可能な方法は、新しいコンテンツ・ハンドラによって処理される、特別なファイル拡張子(「sec」など)を使用することである。そのファイル自体が保護鍵(1810)およびセキュア・コンテンツ(1815)を含む。別の可能な方法は、セキュア・コンテンツ・タグ(1805)と、保護鍵(1810)およびセキュア・コンテンツ(1815)を含むファイルを指すポインタとを実装する、セキュア・コンテンツ用の新しいHTMLタグを定義することである。
【0036】
以上、本明細書では、本発明のより適切な目的および実施形態の一部の概略を述べてきたことに留意されたい。本発明は多くの用途に使用することができる。したがって、個々の構成および方法について説明したが、本発明の意図および構想は他の構成および用途にも適し応用可能である。当分野の技術者には、本発明の精神および範囲を逸脱することなく開示の実施形態への変更を実施できることが明らかであろう。記述した実施形態は、単に本発明のより顕著な特徴および用途の一部を例示したものに過ぎないと解釈すべきである。開示の発明を異なる方式で適用し、あるいは本発明を当分野の技術者に公知のやり方で変更することによって、他の有益な結果を実現することができる。
【0037】
本発明は、ハードウェア、ソフトウェア、あるいはハードウェアとソフトウェアの組合せとして実施することができる。本発明による視覚化ツールは、1つのコンピュータ・システム内において集中化方式で、あるいは相異なる構成要素が複数の相互接続されたコンピュータ・システム全体に分布する分散方式で実施することができる。任意の種類のコンピュータ・システム、あるいは本明細書で述べた方法を実行するように適合された他の装置を適用することができる。ハードウェアとソフトウェアの典型的な組合せは、ロードされ実行されたとき本明細書で述べた方法を実行するようにコンピュータ・システムを制御するコンピュータ・プログラムを備える汎用コンピュータ・システムとすることができる。本発明はまた、本明細書で述べた方法の実装を可能にするすべての特徴を備え、コンピュータ・システムにロードされたときこれらの方法を実行できるコンピュータ・プログラム製品に組み込むこともできる。
【0038】
本発明の文脈においてコンピュータ・プログラム手段またはコンピュータ・プログラムとは、情報処理能力を有するシステムに、直接に、あるいはa)別の言語、コードまたは表記への変換と、b)異なる物的形態での複製のどちらかまたは両方の後で、個々の機能を実施させるための、1組の命令の、任意の言語、コードまたは表記での任意の表現を意味する。
【図面の簡単な説明】
【0039】
【図1】クライアント、オリジンWebサーバ、および半ば信頼されるWebサーバを有する環境と、半ば信頼されるWebサーバを介して制限付き情報にアクセスするクライアントに関連する問題を示す図である。
【図2】図1で示す環境においてクライアントが制限付き情報にアクセスできるようにする、本発明で述べる方法の配備を示し、認証機構、作成機構、提示機構、相関機構を示す図である。
【図3】半ば信頼されるWebサーバとオリジンWebサーバが同名のスペース・ドメイン(たとえば、それぞれproxy.company.comとcompany.comなど)に位置する場合にクライアント信用証明書を提示する技法を図示する、本発明の第1の実施形態を示す図である。
【図4】図3に示す実施形態でオリジンWebサーバが講じる措置を示す流れ図である。
【図5】図3に示す実施形態で半ば信頼されるWebサーバが講じる措置を示す流れ図である。
【図6】オリジンWebサーバによってクライアント信用証明書が半ば信頼されるWebサーバに提示され、オリジン・サーバがHTTPリダイレクトを用いて半ば信頼されるWebサーバにクライアントを宛先変更する,オリジンWebサーバと半ば信頼されるWebサーバが同じドメインに位置しない場合に対処するための第2の実施形態を示す図である。
【図7】オリジンWebサーバがクライアント特有の情報をオリジンWebサーバに送信するクライアント・ブラウザに第1のクライアント側プログラムをインストールし、半ば信頼されるWebサーバがクライアント特有の情報を半ば信頼されるWebサーバに送信するクライアント・ブラウザに第2のクライアント側プログラムをインストールすることによって相関付けを支援する、第3の実施形態を示す図である。
【図8】図7に示す実施形態の各イベントの順序を示す図である。
【図9】図7に示す実施形態でオリジンWebサーバが講じる措置を示す流れ図である。
【図10】図7に示す実施形態で半ば信頼されるWebサーバが講じる措置を示す流れ図である。
【図11】半ば信頼されるWebサーバに提示されるクッキーを作成するためにオリジンWebサーバが講じる措置を示す流れ図である。
【図12】相関手順の一部としてクッキーを検査するときにオリジンWebサーバまたは半ば信頼されるWebサーバが講じる措置を示す流れ図である。
【図13】前述の手順の一部としてクッキーを更新するときにオリジンWebサーバまたは半ば信頼されるWebサーバが講じる措置を示す流れ図である。
【図14】半ば信頼されるWebサーバおよびオリジンWebサーバが共用する鍵の使用を示す図である。
【図15】半ば信頼されるWebサーバを介して配信するためのセキュア・コンテンツを作成するときにオリジンWebサーバが講じる措置を示す流れ図である。
【図16】半ば信頼されるWebサーバが一部分セキュアなコンテンツを配信するときに講じる措置を示す流れ図である。
【図17】セキュア・コンテンツを受信するときにクライアントが講じる措置を示す流れ図である。
【図18】セキュア・コンテンツを区別する新しいコンテンツ・タイプの使用を示す図である。
Claims (45)
- 少なくとも1つのクライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにすることを含む方法であって、
前記少なくとも1つのクライアントを認証するステップと、
前記少なくとも1つのクライアントごとにクライアント特有の環境情報を有するクライアント信用証明書を作成するステップと、
前記クライアント信用証明書を前記半ば信頼されるWebサーバに提示するステップと、
前記少なくとも1つのクライアントを前記クライアント信用証明書に相関付けるステップと、
前記少なくとも1つのクライアントに前記アクセスを提供するステップと
を含む方法。 - 前記半ば信頼されるWebサーバを介して前記少なくとも1つのクライアントに前記制限付き情報を配信することをさらに含む、請求項1に記載の方法。
- 前記作成するステップが、前記クライアント特有の環境情報および前記クライアント信用証明書を前記少なくとも1つのクライアントのブラウザ内のクッキーに記憶することを含む、請求項1に記載の方法。
- 前記提示するステップが、
前記半ば信頼されるWebサーバに前記クライアント信用証明書を送信すること、および
HTTPリダイレクトを使って前記少なくとも1つのクライアントを前記半ば信頼されるWebサーバに差し向けること
を含む、請求項1に記載の方法。 - 前記提示するステップが、
前記半ば信頼されるWebサーバからアクセス可能なディレクトリに前記少なくとも1つのクライアントの信用証明書を送信すること、および
前記オリジンWebサーバがHTTPリダイレクトを使って前記半ば信頼されるWebサーバに前記少なくとも1つのクライアントを送信すること
を含む、請求項1に記載の方法。 - 前記作成するステップが、
前記クライアント特有の環境情報を収集すること、および
前記クライアント信用証明書に前記クライアント特有の環境情報を記憶すること
を含む、請求項1に記載の方法。 - 前記クライアント特有の環境情報が、
前記少なくとも1つのクライアント要求のHTTP要求ヘッダのハッシュ、
前記少なくとも1つのクライアントが使用するマシンのIPアドレスのハッシュ、
前記少なくとも1つのクライアントのブラウザのプロセスID、または
前記少なくとも1つのクライアントのプログラムが使用するユーザIDのハッシュ、あるいは
これらの任意の組合せ
を含む、請求項6に記載の方法。 - 前記作成するステップが、
前記少なくとも1つのクライアントに第1のクライアント側プログラムを配置すること、
前記第1のクライアント側プログラムを使って第1の組の前記クライアント特有の環境情報を収集すること、
前記オリジンWebサーバに前記第1の組の前記クライアント特有の環境情報を送信すること、および
前記クライアント信用証明書に前記第1の組の前記クライアント特有の環境情報を記憶すること
を含む、請求項1に記載の方法。 - 前記相関付けるステップが、
前記半ば信頼されるWebサーバが前記少なくとも1つのクライアントに第2のクライアント側プログラムを配置すること、
前記第2のクライアント側プログラムを用いて第2の組の前記クライアント特有の環境情報を収集すること、
前記半ば信頼されるWebサーバに前記第2の組の前記クライアント特有の環境情報を送信すること、および
前記第2の組の前記クライアント特有の環境情報を前記クライアント信用証明書に相関付けること
を含む、請求項8に記載の方法。 - 前記第1または第2の、あるいはその両方のクライアント特有の環境情報が、前記少なくとも1つのクライアント要求の前記HTTP要求ヘッダのハッシュ、前記少なくとも1つのクライアントが使用するマシンのIPアドレスのハッシュ、前記少なくとも1つのクライアントのブラウザのプロセスID、または前記少なくとも1つのクライアントのプログラムが使用するユーザIDのハッシュ、あるいはこれらの任意の組合せを含む、請求項9に記載の方法。
- 前記半ば信頼されるWebサーバが前記制限付き情報の暗号化バージョンにアクセスすることをさらに含み、前記クライアント信用証明書を作成する前記ステップが前記クライアント信用証明書に暗号化解除鍵を付加することを含む、請求項1に記載の方法。
- 前記暗号化解除鍵が部分鍵であり、前記提供するステップが、前記半ば信頼されるWebサーバが前記少なくとも1つのクライアントに前記部分鍵の完全鍵への変換を可能にする情報を供給することを含む、請求項11に記載の方法。
- 前記認証するステップがユーザ・パスワード方式を用いることを含む、請求項1に記載の方法。
- 前記認証するステップが少なくとも1つの証明書を配備することを含む、請求項1に記載の方法。
- 前記クライアント特有の環境情報を収集する前記ステップが前記オリジンWebサーバによって実施され、前記オリジンWebサーバが前記クライアント信用証明書に前記クライアント特有の環境情報を記憶する、請求項6に記載の方法。
- 前記配置するステップおよび前記記憶するステップが前記オリジンWebサーバによって実施される、請求項8に記載の方法。
- 前記半ば信頼されるWebサーバがプロキシWebサーバである、請求項1に記載の方法。
- 前記少なくとも1つのクライアント用の信用証明書を作成する前記ステップがオリジンWebサーバにおいて実施される、請求項1に記載の方法。
- 前記少なくとも1つのクライアントと前記クライアント信用証明書を相関付ける前記ステップが前記半ば信頼されるWebサーバによって実施される、請求項1に記載の方法。
- 前記少なくとも1つのクライアントを認証する前記ステップが前記オリジンWebサーバにおいて実施される、請求項1に記載の方法。
- 少なくとも1つのクライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにする装置であって、
前記少なくとも1つのクライアントに対する認証機構と、
前記少なくとも1つのクライアントごとにクライアント特有の環境情報を有するクライアント信用証明書を作成する信用証明書作成機構と、
前記少なくとも1つのクライアントを前記クライアント信用証明書に合致させる相関機構と
を含む装置。 - 前記信用証明書作成機構が前記少なくとも1つのクライアントのブラウザで設定されるクッキーに前記クライアント特有の環境情報を記憶する、請求項21に記載の装置。
- 前記信用証明書作成機構が前記半ば信頼されるWebサーバに前記信用証明書を提示する、請求項21に記載の装置。
- 前記信用証明書作成機構が前記少なくとも1つのクライアントのブラウザにクライアント側プログラムを記憶する、請求項21に記載の装置。
- 前記相関機構が前記クライアントのブラウザに第2のクライアント側プログラムを記憶する、請求項21に記載の装置。
- 前記半ば信頼されるWebサーバが前記制限付き情報を暗号化バージョンだけにアクセスでき、前記信用証明書作成機構が前記クライアント信用証明書に暗号化解除鍵を付加する、請求項21に記載の装置。
- 前記暗号化解除鍵が部分鍵であり、前記半ば信頼されるWebサーバが、前記少なくとも1つのクライアントに前記部分鍵の完全鍵への変換を可能にする情報を供給する情報供給機構を含む、請求項26に記載の装置。
- 少なくとも1つのクライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにするコンピュータ可読プログラム・コード手段を組み込んだコンピュータ使用可能媒体を含む製造品であって、前記コンピュータ可読プログラム・コード手段が、請求項1ないし20のいずれか一項に記載の前記各ステップをコンピュータに実施させるコンピュータ可読プログラム・コード手段を含む製造品。
- 少なくとも1つのクライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにする方法ステップを実行するための、マシンにより実行可能な命令のプログラムを有形に実施した、前記マシンにより読取り可能なプログラム記憶装置であって、前記方法ステップが請求項1ないし20のいずれか一項に記載の前記各ステップを含むプログラム記憶装置。
- 少なくとも1つのクライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにするコンピュータ可読プログラム・コード手段を組み込んだコンピュータ使用可能媒体に記憶されたコンピュータ・プログラムであって、コンピュータ・プログラム製品中の前記コンピュータ可読プログラム・コード手段が、コンピュータを請求項21ないし26のいずれか一項に記載の装置として働かせるコンピュータ可読プログラム・コード手段を含むコンピュータ・プログラム。
- 少なくとも1つのクライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにする手段と、
前記少なくとも1つのクライアントを認証する手段と、
前記少なくとも1つのクライアントごとにクライアント特有の環境情報を有するクライアント信用証明書を作成する手段と、
前記半ば信頼されるWebサーバに前記クライアント信用証明書を提示する手段と、
前記少なくとも1つのクライアントを前記クライアント信用証明書に相関付ける手段と、
前記少なくとも1つのクライアントに前記アクセスを提供する手段と
を含む装置。 - 前記半ば信頼されるWebサーバを介して前記少なくとも1つのクライアントに前記制限付き情報を配信する手段をさらに含む、請求項31に記載の装置。
- 前記少なくとも1つのクライアントのブラウザ内のクッキーに前記クライアント特有の環境情報および前記クライアント信用証明書を記憶する手段をさらに含む、請求項31に記載の装置。
- 前記半ば信頼されるWebサーバに前記クライアント信用証明書を送信する手段と、
HTTPリダイレクトを使って前記少なくとも1つのクライアントを前記半ば信頼されるWebサーバに差し向ける手段と
をさらに含む、請求項31に記載の装置。 - 前記オリジンWebサーバがHTTPリダイレクトを使って前記少なくとも1つのクライアントを前記半ば信頼されるWebサーバに送信し、前記半ば信頼されるWebサーバからアクセス可能なディレクトリに前記少なくとも1つのクライアントの信用証明書を送信する手段をさらに含む、請求項31に記載の装置。
- 前記クライアント特有の環境情報を収集する手段と、
前記クライアント信用証明書に前記クライアント特有の環境情報を記憶する手段と
をさらに含む、請求項31に記載の装置。 - 前記クライアント特有の環境情報が、
前記少なくとも1つのクライアントの要求のHTTP要求ヘッダのハッシュ、
前記少なくとも1つのクライアントが使用するマシンのIPアドレスのハッシュ、
前記少なくとも1つのクライアントのブラウザのプロセスID、または
前記少なくとも1つのクライアントのプログラムが使用するユーザIDのハッシュ、あるいは
これらの任意の組合せを含む、請求項36に記載の装置。 - 前記少なくとも1つのクライアントに第1のクライアント側プログラムを配置する手段と、
前記第1のクライアント側プログラムを使って第1の組の前記クライアント特有の環境情報を収集する手段と、
前記オリジンWebサーバに前記第1の組の前記クライアント特有の環境情報を送信する手段と、
前記クライアント信用証明書に前記第1の組の前記クライアント特有の環境情報を記憶する手段と
をさらに含む、請求項31に記載の装置。 - 前記半ば信頼されるWebサーバが前記少なくとも1つのクライアントに第2のクライアント側プログラムを配置する手段と、
前記第2のクライアント側プログラムを用いて第2の組の前記クライアント特有の環境情報を収集する手段と、
前記半ば信頼されるWebサーバに前記第2の組の前記クライアント特有の環境情報を送信する手段と、
前記クライアント信用証明書に前記第2の組の前記クライアント特有の環境情報を相関付ける手段と
をさらに含む、請求項38に記載の装置。 - 前記第1または第2あるいはその両方のクライアント特有の環境情報が、
前記少なくとも1つのクライアントの要求のHTTP要求ヘッダのハッシュと、
前記少なくとも1つのクライアントが使用するマシンのIPアドレスのハッシュと、
前記少なくとも1つのクライアントのブラウザのプロセスIDと、または
前記少なくとも1つのクライアントのプログラムが使用するユーザIDのハッシュ、あるいは
これらの任意の組合せ
を含む、請求項39に記載の装置。 - 前記半ば信頼されるWebサーバが前記制限付き情報を暗号化バージョンにアクセスする手段と、作成中に前記クライアント信用証明書に暗号化解除鍵を付加する手段とをさらに含む、請求項31に記載の装置。
- 前記暗号化解除鍵が部分鍵であり、前記半ば信頼されるWebサーバが前記少なくとも1つのクライアントに前記部分鍵の完全鍵への変換を可能にする情報を供給する手段を含む、請求項41に記載の方法。
- ユーザ・パスワード方式を用いて認証する手段をさらに含む、請求項31に記載の装置。
- 少なくとも1つの証明書を配備することによって認証する手段をさらに含む、請求項31に記載の装置。
- 少なくとも1つのクライアントが半ば信頼されるWebサーバを介してオリジンWebサーバからの制限付き情報にアクセスできるようにするコンピュータ可読プログラム・コード手段を組み込んだコンピュータ使用可能媒体に記憶されたコンピュータ・プログラムであって、前記コンピュータ可読プログラム・コード手段が、コンピュータを請求項31ないし44のいずれか一項に記載の装置として働かせるコンピュータ可読プログラム・コード手段を含むコンピュータ・プログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/853,164 US6986047B2 (en) | 2001-05-10 | 2001-05-10 | Method and apparatus for serving content from a semi-trusted server |
PCT/US2001/046648 WO2002093377A1 (en) | 2001-05-10 | 2001-12-04 | Method and apparatus for serving content from a semi-trusted server |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004537101A true JP2004537101A (ja) | 2004-12-09 |
Family
ID=25315246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002589986A Pending JP2004537101A (ja) | 2001-05-10 | 2001-12-04 | 半ば信頼されるサーバからコンテンツを配信する方法および装置 |
Country Status (9)
Country | Link |
---|---|
US (1) | US6986047B2 (ja) |
EP (1) | EP1388060A4 (ja) |
JP (1) | JP2004537101A (ja) |
KR (1) | KR100615793B1 (ja) |
CN (1) | CN1290014C (ja) |
CA (1) | CA2444291A1 (ja) |
IL (1) | IL158612A0 (ja) |
TW (1) | TWI242962B (ja) |
WO (1) | WO2002093377A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004350271A (ja) * | 2003-05-21 | 2004-12-09 | Xerox Corp | システム |
JP2007200331A (ja) * | 2006-01-27 | 2007-08-09 | Internatl Business Mach Corp <Ibm> | 構成可能な期間に関するプライベート・データをキャッシュする方法及び装置 |
US8537395B2 (en) | 2009-12-25 | 2013-09-17 | Konica Minolta Business Technologies, Inc. | Image processing system, image processing apparatus, recording medium and data communication establishing method |
Families Citing this family (89)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8375127B1 (en) * | 1999-03-31 | 2013-02-12 | International Business Machines Corporation | Method and system for using virtual URLs for load balancing |
US6874028B1 (en) * | 1999-10-25 | 2005-03-29 | Microsoft Corporation | System and method for unified registration information collection |
US7350228B2 (en) * | 2001-01-23 | 2008-03-25 | Portauthority Technologies Inc. | Method for securing digital content |
JP2003108426A (ja) * | 2001-09-28 | 2003-04-11 | Canon Inc | 情報提供サーバ、通信端末及びその制御方法並びに情報提供システム |
US7844683B2 (en) * | 2001-10-10 | 2010-11-30 | Juniper Networks, Inc. | String matching method and device |
US7392391B2 (en) * | 2001-11-01 | 2008-06-24 | International Business Machines Corporation | System and method for secure configuration of sensitive web services |
US20030226037A1 (en) * | 2002-05-31 | 2003-12-04 | Mak Wai Kwan | Authorization negotiation in multi-domain environment |
US20030229782A1 (en) * | 2002-06-07 | 2003-12-11 | Robert Bible | Method for computer identification verification |
US7640578B2 (en) * | 2002-07-08 | 2009-12-29 | Accellion Inc. | System and method for providing secure communication between computer systems |
US7383339B1 (en) | 2002-07-31 | 2008-06-03 | Aol Llc, A Delaware Limited Liability Company | Local proxy server for establishing device controls |
US7383579B1 (en) * | 2002-08-21 | 2008-06-03 | At&T Delaware Intellectual Property, Inc. | Systems and methods for determining anti-virus protection status |
US7373662B2 (en) * | 2002-08-27 | 2008-05-13 | Hewlett-Packard Development Company, L.P. | Secure resource access |
US20040083296A1 (en) * | 2002-10-25 | 2004-04-29 | Metral Max E. | Apparatus and method for controlling user access |
US7593530B2 (en) | 2002-12-11 | 2009-09-22 | Broadcom Corporation | Secure legacy media peripheral association with authentication in a media exchange network |
JP4352710B2 (ja) * | 2003-01-29 | 2009-10-28 | セイコーエプソン株式会社 | 情報視聴システム |
US20040177258A1 (en) * | 2003-03-03 | 2004-09-09 | Ong Peng T. | Secure object for convenient identification |
US7337219B1 (en) | 2003-05-30 | 2008-02-26 | Aol Llc, A Delaware Limited Liability Company | Classifying devices using a local proxy server |
US8019989B2 (en) * | 2003-06-06 | 2011-09-13 | Hewlett-Packard Development Company, L.P. | Public-key infrastructure in network management |
US7437457B1 (en) | 2003-09-08 | 2008-10-14 | Aol Llc, A Delaware Limited Liability Company | Regulating concurrent logins associated with a single account |
US20060031479A1 (en) * | 2003-12-11 | 2006-02-09 | Rode Christian S | Methods and apparatus for configuration, state preservation and testing of web page-embedded programs |
US20050154887A1 (en) * | 2004-01-12 | 2005-07-14 | International Business Machines Corporation | System and method for secure network state management and single sign-on |
GB2412979A (en) * | 2004-04-07 | 2005-10-12 | Hewlett Packard Development Co | Computer access control based on user behaviour |
US7650409B2 (en) * | 2004-04-12 | 2010-01-19 | Nokia Siemens Networks Oy | System and method for enabling authorization of a network device using attribute certificates |
US8533791B2 (en) * | 2004-07-15 | 2013-09-10 | Anakam, Inc. | System and method for second factor authentication services |
US7676834B2 (en) * | 2004-07-15 | 2010-03-09 | Anakam L.L.C. | System and method for blocking unauthorized network log in using stolen password |
ES2420158T3 (es) * | 2004-07-15 | 2013-08-22 | Anakam, Inc. | Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada |
US8528078B2 (en) * | 2004-07-15 | 2013-09-03 | Anakam, Inc. | System and method for blocking unauthorized network log in using stolen password |
US8296562B2 (en) | 2004-07-15 | 2012-10-23 | Anakam, Inc. | Out of band system and method for authentication |
US8024784B1 (en) * | 2004-09-16 | 2011-09-20 | Qurio Holdings, Inc. | Method and system for providing remote secure access to a peer computer |
JP4277779B2 (ja) * | 2004-09-30 | 2009-06-10 | コニカミノルタビジネステクノロジーズ株式会社 | 画像処理システム及び同処理方法 |
US8190642B2 (en) * | 2004-11-18 | 2012-05-29 | International Business Machines Corporation | Method, system, and storage medium for implementing intelligent team management services |
JP4520840B2 (ja) * | 2004-12-02 | 2010-08-11 | 株式会社日立製作所 | 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体 |
US20060143695A1 (en) * | 2004-12-27 | 2006-06-29 | Amiram Grynberg | Anonymous Spoof resistant authentication and enrollment methods |
CN100417066C (zh) * | 2004-12-29 | 2008-09-03 | 国际商业机器公司 | 用于处理基于浏览器的应用中的安全问题的多域访问代理 |
US8051291B2 (en) * | 2005-07-15 | 2011-11-01 | Microsoft Corporation | Unique block header patterns for media verification |
US7908649B1 (en) * | 2005-09-20 | 2011-03-15 | Netapp, Inc. | Method and apparatus for providing efficient authorization services in a web cache |
US20070115927A1 (en) * | 2005-11-04 | 2007-05-24 | Sbc Knowledge Ventures, Lp | Click to initiate secure network service |
US7581244B2 (en) * | 2006-01-25 | 2009-08-25 | Seiko Epson Corporation | IMX session control and authentication |
US9386327B2 (en) | 2006-05-24 | 2016-07-05 | Time Warner Cable Enterprises Llc | Secondary content insertion apparatus and methods |
US8280982B2 (en) | 2006-05-24 | 2012-10-02 | Time Warner Cable Inc. | Personal content server apparatus and methods |
US20070285501A1 (en) * | 2006-06-09 | 2007-12-13 | Wai Yim | Videoconference System Clustering |
US8024762B2 (en) | 2006-06-13 | 2011-09-20 | Time Warner Cable Inc. | Methods and apparatus for providing virtual content over a network |
US20080016156A1 (en) * | 2006-07-13 | 2008-01-17 | Sean Miceli | Large Scale Real-Time Presentation of a Network Conference Having a Plurality of Conference Participants |
US7634540B2 (en) * | 2006-10-12 | 2009-12-15 | Seiko Epson Corporation | Presenter view control system and method |
US20080091838A1 (en) * | 2006-10-12 | 2008-04-17 | Sean Miceli | Multi-level congestion control for large scale video conferences |
US8850520B1 (en) * | 2006-12-12 | 2014-09-30 | Google Inc. | Dual cookie security system with interlocking validation requirements and remedial actions to protect personal data |
US7779103B1 (en) | 2006-12-12 | 2010-08-17 | Google Inc. | Dual cookie security system |
US8943309B1 (en) | 2006-12-12 | 2015-01-27 | Google Inc. | Cookie security system with interloper detection and remedial actions to protest personal data |
US20080201338A1 (en) * | 2007-02-16 | 2008-08-21 | Microsoft Corporation | Rest for entities |
US8181206B2 (en) | 2007-02-28 | 2012-05-15 | Time Warner Cable Inc. | Personal content server apparatus and methods |
US20080228922A1 (en) * | 2007-03-14 | 2008-09-18 | Taiwan Semiconductor Manufacturing Company, Ltd. | System and Method for Providing Client Awareness in High-Availability Application Architecture |
US9043935B2 (en) * | 2007-05-18 | 2015-05-26 | Novell, Inc. | Techniques for personalizing content |
US8667563B1 (en) | 2007-10-05 | 2014-03-04 | United Services Automobile Association (Usaa) | Systems and methods for displaying personalized content |
US20090210400A1 (en) * | 2008-02-15 | 2009-08-20 | Microsoft Corporation | Translating Identifier in Request into Data Structure |
US9503691B2 (en) | 2008-02-19 | 2016-11-22 | Time Warner Cable Enterprises Llc | Methods and apparatus for enhanced advertising and promotional delivery in a network |
US8910255B2 (en) | 2008-05-27 | 2014-12-09 | Microsoft Corporation | Authentication for distributed secure content management system |
US8132019B2 (en) * | 2008-06-17 | 2012-03-06 | Lenovo (Singapore) Pte. Ltd. | Arrangements for interfacing with a user access manager |
CN101316192A (zh) * | 2008-07-09 | 2008-12-03 | 北京黑米世纪信息技术有限公司 | 网络访客身份唯一码的编码方法 |
US8656462B2 (en) * | 2008-07-24 | 2014-02-18 | Zscaler, Inc. | HTTP authentication and authorization management |
US8806201B2 (en) * | 2008-07-24 | 2014-08-12 | Zscaler, Inc. | HTTP authentication and authorization management |
US9379895B2 (en) | 2008-07-24 | 2016-06-28 | Zscaler, Inc. | HTTP authentication and authorization management |
US9003186B2 (en) * | 2008-07-24 | 2015-04-07 | Zscaler, Inc. | HTTP authentication and authorization management |
US8302169B1 (en) * | 2009-03-06 | 2012-10-30 | Google Inc. | Privacy enhancements for server-side cookies |
GB0905559D0 (en) * | 2009-03-31 | 2009-05-13 | British Telecomm | Addressing scheme |
US8078870B2 (en) * | 2009-05-14 | 2011-12-13 | Microsoft Corporation | HTTP-based authentication |
US8732451B2 (en) | 2009-05-20 | 2014-05-20 | Microsoft Corporation | Portable secure computing network |
US9419956B2 (en) * | 2010-03-22 | 2016-08-16 | Bank Of America Corporation | Systems and methods for authenticating a user for accessing account information using a web-enabled device |
US8825745B2 (en) | 2010-07-11 | 2014-09-02 | Microsoft Corporation | URL-facilitated access to spreadsheet elements |
CN102143226B (zh) * | 2011-02-12 | 2015-04-08 | 华为技术有限公司 | 一种超时控制的方法、装置及系统 |
US8863248B2 (en) * | 2011-04-07 | 2014-10-14 | International Business Machines Corporation | Method and apparatus to auto-login to a browser application launched from an authenticated client application |
US8788505B2 (en) * | 2011-04-27 | 2014-07-22 | Verisign, Inc | Systems and methods for a cache-sensitive index using partial keys |
CN102629923B (zh) * | 2012-03-23 | 2015-01-21 | 北龙中网(北京)科技有限责任公司 | 基于域名系统技术的网站可信标识安装及识别方法 |
CN103699367B (zh) * | 2012-09-27 | 2017-07-07 | 中国电信股份有限公司 | Http应用程序接口调用方法与装置 |
US20140095870A1 (en) * | 2012-09-28 | 2014-04-03 | Prashant Dewan | Device, method, and system for controlling access to web objects of a webpage or web-browser application |
US9344512B2 (en) * | 2012-12-13 | 2016-05-17 | Qualcomm Incorporated | Loading a re-directed web resource on a web browser of a client device in a communications system |
US9838375B2 (en) | 2013-02-28 | 2017-12-05 | Microsoft Technology Licensing, Llc | RESTlike API that supports a resilient and scalable distributed application |
US20140282786A1 (en) | 2013-03-12 | 2014-09-18 | Time Warner Cable Enterprises Llc | Methods and apparatus for providing and uploading content to personalized network storage |
US9537659B2 (en) * | 2013-08-30 | 2017-01-03 | Verizon Patent And Licensing Inc. | Authenticating a user device to access services based on a device ID |
CA2930335C (en) | 2013-11-14 | 2023-10-10 | Pleasant Solutions Inc. | System and method for credentialed access to a remote server |
US10108168B2 (en) | 2014-06-01 | 2018-10-23 | Si-Ga Data Security (2014) Ltd. | Industrial control system smart hardware monitoring |
KR101783014B1 (ko) * | 2015-09-10 | 2017-09-28 | 주식회사 수산아이앤티 | 공유단말 검출 방법 및 그 장치 |
JP6834771B2 (ja) * | 2017-05-19 | 2021-02-24 | 富士通株式会社 | 通信装置および通信方法 |
US10810279B2 (en) * | 2018-02-07 | 2020-10-20 | Akamai Technologies, Inc. | Content delivery network (CDN) providing accelerated delivery of embedded resources from CDN and third party domains |
US10681148B1 (en) | 2018-04-24 | 2020-06-09 | Google Llc | Content selection through intermediary device |
US10841088B2 (en) * | 2018-05-10 | 2020-11-17 | Oracle International Corporation | Secure credential generation and validation |
US10263970B1 (en) * | 2018-10-07 | 2019-04-16 | Capital One Services, Llc | System, method and architecture for secure sharing of customer intelligence |
US11159497B2 (en) * | 2020-01-29 | 2021-10-26 | Citrix Systems, Inc. | Secure message passing using semi-trusted intermediaries |
US20220158831A1 (en) * | 2020-11-13 | 2022-05-19 | Citrix Systems, Inc. | Preventing http cookie stealing using cookie morphing |
US11665002B2 (en) * | 2020-12-11 | 2023-05-30 | International Business Machines Corporation | Authenticated elevated access request |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2138302C (en) * | 1994-12-15 | 1999-05-25 | Michael S. Fortinsky | Provision of secure access to external resources from a distributed computing environment |
US6032184A (en) * | 1995-12-29 | 2000-02-29 | Mci Worldcom, Inc. | Integrated interface for Web based customer care and trouble management |
US5857191A (en) | 1996-07-08 | 1999-01-05 | Gradient Technologies, Inc. | Web application server with secure common gateway interface |
US5875296A (en) | 1997-01-28 | 1999-02-23 | International Business Machines Corporation | Distributed file system web server user authentication with cookies |
US6138162A (en) | 1997-02-11 | 2000-10-24 | Pointcast, Inc. | Method and apparatus for configuring a client to redirect requests to a caching proxy server based on a category ID with the request |
US6301661B1 (en) * | 1997-02-12 | 2001-10-09 | Verizon Labortories Inc. | Enhanced security for applications employing downloadable executable content |
US6067623A (en) | 1997-11-21 | 2000-05-23 | International Business Machines Corp. | System and method for secure web server gateway access using credential transform |
US6330605B1 (en) | 1998-11-19 | 2001-12-11 | Volera, Inc. | Proxy cache cluster |
US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
-
2001
- 2001-05-10 US US09/853,164 patent/US6986047B2/en not_active Expired - Lifetime
- 2001-12-04 WO PCT/US2001/046648 patent/WO2002093377A1/en active Application Filing
- 2001-12-04 CA CA002444291A patent/CA2444291A1/en not_active Abandoned
- 2001-12-04 IL IL15861201A patent/IL158612A0/xx unknown
- 2001-12-04 JP JP2002589986A patent/JP2004537101A/ja active Pending
- 2001-12-04 KR KR1020037013258A patent/KR100615793B1/ko not_active IP Right Cessation
- 2001-12-04 CN CNB018232329A patent/CN1290014C/zh not_active Expired - Lifetime
- 2001-12-04 EP EP01996126A patent/EP1388060A4/en not_active Ceased
-
2002
- 2002-05-03 TW TW091109299A patent/TWI242962B/zh not_active IP Right Cessation
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004350271A (ja) * | 2003-05-21 | 2004-12-09 | Xerox Corp | システム |
JP4647237B2 (ja) * | 2003-05-21 | 2011-03-09 | ゼロックス コーポレイション | システム |
JP2007200331A (ja) * | 2006-01-27 | 2007-08-09 | Internatl Business Mach Corp <Ibm> | 構成可能な期間に関するプライベート・データをキャッシュする方法及び装置 |
US8537395B2 (en) | 2009-12-25 | 2013-09-17 | Konica Minolta Business Technologies, Inc. | Image processing system, image processing apparatus, recording medium and data communication establishing method |
Also Published As
Publication number | Publication date |
---|---|
CN1516833A (zh) | 2004-07-28 |
KR20030093305A (ko) | 2003-12-06 |
US20020169961A1 (en) | 2002-11-14 |
WO2002093377A1 (en) | 2002-11-21 |
US6986047B2 (en) | 2006-01-10 |
TWI242962B (en) | 2005-11-01 |
EP1388060A4 (en) | 2004-12-15 |
CA2444291A1 (en) | 2002-11-21 |
EP1388060A1 (en) | 2004-02-11 |
CN1290014C (zh) | 2006-12-13 |
KR100615793B1 (ko) | 2006-08-25 |
IL158612A0 (en) | 2004-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6986047B2 (en) | Method and apparatus for serving content from a semi-trusted server | |
US7231517B1 (en) | Apparatus and method for automatically authenticating a network client | |
US7908649B1 (en) | Method and apparatus for providing efficient authorization services in a web cache | |
US6907530B2 (en) | Secure internet applications with mobile code | |
EP1368722B1 (en) | Method and system for web-based cross-domain single-sign-on authentication | |
US6801998B1 (en) | Method and apparatus for presenting anonymous group names | |
US5923756A (en) | Method for providing secure remote command execution over an insecure computer network | |
JP4867663B2 (ja) | ネットワーク通信システム | |
KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
US6732277B1 (en) | Method and apparatus for dynamically accessing security credentials and related information | |
EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
US20040143738A1 (en) | System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data | |
US20030051172A1 (en) | Method and system for protecting digital objects distributed over a network | |
US20020032873A1 (en) | Method and system for protecting objects distributed over a network | |
JP2009514050A (ja) | クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 | |
JP4608929B2 (ja) | 認証システム、サーバ用認証プログラム、およびクライアント用認証プログラム | |
JP4389145B2 (ja) | クライアントサーバシステムおよびその装置 | |
JP4202980B2 (ja) | モジュール起動装置、方法およびシステム | |
JP2019061696A (ja) | 端末装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080108 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080331 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080407 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080418 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080729 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081022 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081118 |