JP2009505308A - 分散シングルサインオンサービス - Google Patents

分散シングルサインオンサービス Download PDF

Info

Publication number
JP2009505308A
JP2009505308A JP2008527997A JP2008527997A JP2009505308A JP 2009505308 A JP2009505308 A JP 2009505308A JP 2008527997 A JP2008527997 A JP 2008527997A JP 2008527997 A JP2008527997 A JP 2008527997A JP 2009505308 A JP2009505308 A JP 2009505308A
Authority
JP
Japan
Prior art keywords
authentication
service provider
key
client
computing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008527997A
Other languages
English (en)
Other versions
JP5009294B2 (ja
Inventor
チュウ ビン
チェン ティエルイ
リー シーペン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2009505308A publication Critical patent/JP2009505308A/ja
Application granted granted Critical
Publication of JP5009294B2 publication Critical patent/JP5009294B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

記載の実装は、クライアントコンピューティングデバイスとサービスプロバイダの間の認証された通信を確立することに関する。1つの実装において、いったん登録処理が完了すると、複数の認証サーバが、認証された通信セッションの確立を容易にするためにクライアントコンピューティングデバイスおよびサービスプロバイダによって使用される。しかしながら、認証サーバは必ずしも信頼できる機関である必要はない。すなわち、種々の記載のデバイスの秘密は互いに対して明かされない。

Description

オンラインユーザは、概して、そのユーザがアクセスする権限を与えられる各サービスプロバイダ用の一連の認証証明物(例えば、ユーザ名およびパスワード)を維持することが要求される。これらのユーザは、高レベルのセキュリティを保つためにそれぞれの個々のサービスプロバイダ用に異なる認証証明物を使用するか、または低下したレベルのセキュリティをもたらす様々なサービスプロバイダに対する同一の認証証明物を使用するかのジレンマに直面することが多くある。多数の認証証明物を記録および維持することが難しいので前者よりも後者が選択されることが多い。さらに、セキュリティの影響は別として、サービスプロバイダに対してアクセスする度にユーザに認証証明物を入力するように要求することが必要となるのは、概して不便で時間がかかる手続きである。
様々なオンラインサービスに対するアクセスを提供する認証証明物の複数の組を維持する必要を減らすかまたはなくすために様々な従来技術が提案されてきた。そのような技術の1つは、加入しているサービスプロバイダに対する認証サービスを提供する集中的な証明物管理を利用する。ユーザが最初に集中的な証明物管理と関係を確立し、認証を行った後で、集中的な証明物管理は、その後ユーザが加入しているサービスプロバイダのうちのいずれかに対するアクセスを要求するときに認証プロセスを管理する。この技術は、多数のサービスプロバイダのアクセスを要求しなければならないという複雑性を著しく減らす。高レベルのユーザのセキュリティが維持されながら、集中的な証明物管理は加入している様々なサービスプロバイダとの認証の詳細を透過的に処理する。
現在の通常の集中的な証明物管理技術は、全てのオンライン環境に適している訳ではない。ある通常の集中的な証明物管理技術は、ユーザに認証サーバと認証を行うように要求する。認証の後、認証サーバは認証チケットをユーザに発行する。認証チケットは、サービスアクセスチケット(service access tickets)を発行するサーバにアクセスするためにユーザによって使用される。このサーバは、認証チケットが有効である場合にサービスアクセスチケットをユーザに発行する。ユーザはその後、サービスアクセスチケットを使用してサービスプロバイダにアクセスすることができる。
説明された通常の集中的な証明物管理技術は、サービスプロバイダが集中的に維持される場合に安全なアクセス機能を提供する。しかし、サービスプロバイダがインターネットなどの、多数の異なるユーザ/エンティティを有するネットワークの一部である場合にはサービスプロバイダに対する安全なアクセスは危険にさらされる。
別の従来の認証技術は、登録ユーザおよびそれらの登録ユーザの関連する認証証明物を含む集中的なデータベースを使用する。登録ユーザのそれぞれはユニークな64ビットのID番号を有する。この従来の認証技術は、加入しているそれぞれのサービスプロバイダにもユニークなIDを割り当てる。これらのユニークなIDは集中的なデータベースにも保持される。加入しているサービスプロバイダは、集中的なデータベースを管理するエンティティとの安全な通信を容易にするサーバコンポーネントを実装することに同意する。登録ユーザが加入しているサービスプロバイダと認証を行うように試みるとき、ユーザは認証を容易にするための管理エンティティに透過的にリダイレクトされる。加入しているサービスプロバイダと管理エンティティとの間の実装された安全な通信経路は、許可された認証要求を確実にすることを支援する。
前述の認証技術は安全なウェブベースの認証を提供する。しかし、当該技術はインターネットコミュニティによって広く採用されてこなかった。これは、当該技術の集中的なデータベースの設計の特徴が主な原因である。一部のサービスプロバイダは、集中データベースが使用されるので当該技術を容認しない。具体的には、サービスプロバイダは、ユーザ認証の成功を保証するために、集中的なデータベースを管理するエンティティに頼らなければならない。当該エンティティが技術的な困難を経験する場合、ユーザ認証が途絶されることがある。サービスプロバイダが制御できないこの途絶の可能性は、サービスプロバイダが進んで冒したくはないリスクとなる場合がある。さらに、集中的なデータベースの使用は、この認証技術をハッカーおよびマルウェアからの攻撃を特に受けやすくする。
ここに説明される実装は、クライアントコンピューティングデバイスとサービスプロバイダの間の認証された通信を確立することに関する。通信が、クライアントコンピューティングデバイスおよびサービスプロバイダの秘密を保持する信頼された機関の使用なしに可能となる。
登録プロセスの後、クライアントコンピューティングデバイスは、認証サーバを使用してサービスプロバイダとの認証された通信を要求する。クライアントコンピューティングデバイスは、そのクライアントコンピューティングデバイスが登録されている複数の認証サーバの任意の集合(この集合内のサーバの数は閾値以上である。)を使用して、サービスプロバイダとの認証された通信を要求することができる。サービスプロバイダも同様に、クライアントコンピューティングデバイスが認証された通信を確立するために使用する認証サーバに登録されるべきである。
クライアントコンピューティングデバイスは、そのクライアントコンピューティングデバイスのユニークな識別IDを含む認証要求並びに、ユニークな識別ID、デバイスのIPアドレスなどのネットワークアドレス、およびナンスを含む暗号化された認証トークンをサービスプロバイダに送信することができる。暗号化された認証トークンは、認証サーバとの以前の通信で受信したものである。各認証サーバは、部分的な認証トークンを暗号化および生成するために、クライアントコンピューティングデバイスが認証された通信を望んでいるサービスプロバイダから取得された分割鍵を使用した。サービスプロバイダは、非公開の秘密鍵を使用して認証トークンを暗号化解除し、それによって、暗号化された認証情報を明らかにする。この情報は、送信されたユニークな識別IDと共に、認証された通信が認可されるかどうかを判断するためにサービスプロバイダによって使用される。
この概要は、以下でさらに詳細に説明される概念の選択を簡素化した形式で導入するために提供される。この概要は、発明の構成要件の主要な特徴または必須の特徴を特定することを意図しておらず、発明の構成要件の範囲を決定するのを支援するために使用されることを意図していない。
図面を参照して非限定的で非網羅的な実施形態を説明するが、別途指定されない限り、種々の図を通じて同様の参照番号は同様の部分を示す。
[概要]
サービスプロバイダとの認証を行うためのシステムおよび方法を説明する。以下に、クライアントコンピューティングデバイスとサービスプロバイダのデバイスとの間で認証された通信を確立するために、クライアントとサービスプロバイダと認証デバイスとの間で利用される処理の広範な検討が提供される。この検討は、図1に示される例示的な環境を使用する。その後、種々のデバイス間で使用される様々な処理の例示的な実装をさらに詳細に説明する。具体的には、サービスプロバイダに対する認証されたアクセスを行うためにクライアントコンピューティングデバイスによって使用される処理の詳細な検討が図2と共に提供され、認証サーバとのサービスプロバイダ登録処理の詳細な検討が図3と共に提供され、認証サーバとのクライアントコンピューティングデバイス登録処理の詳細な検討が図4と共に提供され、認証サーバとのクライアントコンピューティングデバイス認証処理の詳細な検討が図5と共に提供される。最後に、サービスプロバイダ、クライアントコンピューティングデバイス、および認証サーバの例示的な実装がそれぞれ図6〜8と共に検討される。
[例示的環境]
図1に、1つまたは複数のサービスプロバイダ104(1)〜104(n)と通信可能ないくつかのクライアントコンピューティングデバイス102(1)〜102(n)を含むコンピュータネットワーク環境100の例示的な実装を示す。クライアントコンピューティングデバイス102(1)〜102(n)とサービスプロバイダ104(1)〜104(n)の間の双方向通信を、ネットワーク120(例えば、インターネット)を用いて容易にする。認証サーバ106(1)〜106(n)もネットワーク120に接続される。1つまたは複数の認証サーバ106は、クライアントコンピューティングデバイス102(1)〜102(n)およびサービスプロバイダ104(1)〜104(n)に対して認証サービスを提供するために協働する。各認証サーバは通常、別の認証サーバと同じ機能を有する。
所定の任意の時間に、クライアントコンピューティングデバイス102(1)などの、複数のクライアントコンピューティングデバイス102(1)〜102(n)のうちの1つは、サービスプロバイダ104(1)などの、サービスプロバイダ104(1)〜104(n)のうちの1つが提供するサービスを要求することができる。認証サーバ106(1)〜106(n)のサブセットが、クライアントコンピューティングデバイス102(1)がサービスプロバイダ104(1)と適切に認証を行うことを可能にする技術を提供する。サービスプロバイダ104(1)は通常、適切な認証が得られるまでクライアントコンピューティングデバイス102(1)〜102(n)のうちのいずれにもサービスを提供しない。
サービスプロバイダ104(1)およびクライアントコンピューティングデバイス102(1)はそれぞれ、サーバ106(1)〜106(n)の認証サービスを要求する前に認証サーバ106(1)〜106(n)との関係を確立する。サービスプロバイダ104(1)が認証サーバ106(1)〜106(n)との最初の接触を確立した後、サーバモジュール130がサービスプロバイダ104(1)に提供される。このサーバモジュール130は、サービスプロバイダ104(1)が関係登録フェーズ中に必要とする動作パラメータを提供する。サーバモジュール130をサービスプロバイダ104(1)の揮発性または不揮発性メモリ内に直接記録できる。サービスプロバイダ104(1)が複数のサーバ(例えば、サーバファーム)を有する場合、サーバモジュール130をそれらの複数のサーバのうちの適切な1つに記録できる。
サーバモジュール130を取得した後、サービスプロバイダ104(1)は、秘密暗号化キーおよび対応する秘密暗号化解除キーを生成する。秘密暗号化キーは、追加的なキーを生成するために分割される。1つの実装において、秘密キーは閾値法(threshold scheme)を使用して分割される。しかしながら、その他の分割法が同様に使用されてよい。分割キーは、サービスプロバイダ104(1)を特定するユニークなIDと共に106(1)などの各認証サーバに安全に送信される。認証サーバ106(1)は、分割キーおよびサービスプロバイダのユニークなIDを受信した後に、サービスプロバイダ104(1)に成功応答を送信する。秘密暗号化解除キーはサービスプロバイダ104(1)に留まり、認証サーバ106(1)などのいずれのその他のエンティティにも公開されない。サーバモジュール130は、秘密キーを生成し、秘密暗号化キーを分割するためのルーチンを提供する。
クライアントコンピューティングデバイス102(1)は、クライアントモジュール140を受信する。クライアントモジュール140は、クライアントコンピュータデバイス102(1)のウェブブラウザに組み込まれるウェブブラウザのプラグインモジュールであってよい。クライアントモジュール140は、クライアントコンピューティングデバイス102(1)と各認証サーバ106(i)の間で実行される関係登録処理の間に必要とされる動作パラメータを提供する。クライアントモジュール140は、クライアントコンピューティングデバイス102(1)の揮発性または不揮発性メモリ内に直接記録することができる。
クライアントモジュール140を取得した後、クライアントコンピューティングデバイス102(1)は、各認証サーバ106(i)への登録を開始することができる。これは、クライアントモジュール140がサービスプロバイダ104(1)〜104(n)のうちの1つまたは複数からのサービスを要求する前に行われるべきである。クライアントモジュール140と認証サーバ106(i)の間の登録プロセスは、クライアントモジュール140を使用することを伴う。クライアントコンピューティングデバイス102(1)のユーザは、関連するウェブブラウザなどのユーザインターフェースを介してクライアントモジュール140を利用してユニークなユーザ名およびパスワードを入力する。クライアントモジュール140は、ユニークなユーザ名からユニークなクライアント識別子を生成する。また、クライアントモジュール140は、クライアントモジュール140を用いて受信したユニークなユーザ名、パスワード、および認証サーバIDから、クライアントが認証サーバ106(i)への認証を行うためのクライアント認証キーを生成する。クライアント認証キーを作成するためにハッシュ関数を使用することができる。クライアントモジュール140は、クライアント認証キーおよびクライアント識別子を認証サーバ106(i)に安全に送信する。クライアント識別子およびクライアント認証キーを受信および保持した後、サーバ106(i)は、成功メッセージをクライアントコンピューティングデバイス102(1)に送信する。
各認証サーバ106(i)への登録の後、クライアントコンピューティングデバイス102(1)は認証サーバ106(1)〜106(n)のサブセットを使用して、認証サーバ106(1)〜106(n)との関係を既に確立したサービスプロバイダ104(1)〜104(n)のうちの1つとの認証された通信を確立することができる。
サービスプロバイダ104(1)〜104(n)のうちの1つとの認証された通信を要求する前に、クライアントコンピューティングデバイス102(1)は、当該クライアントコンピューティングデバイスに認証サービスを提供することになる認証サーバ106(1)〜106(n)のサブセットとの認証を行う。この認証処理は、その後の秘密通信のために、クライアントコンピューティングデバイス102(1)および認証サーバ106(1)〜106(n)のサブセットが使用するセッションキーを生成する。
認証を行うために、クライアントコンピューティングデバイス102(1)のユーザは、当該サブセット内の各認証サーバ106(i)に認証要求を送信する。認証要求を行うことおよびセッションキーを生成することは、クライアントモジュール140を使用して容易になされる。各認証サーバ106(i)は、クライアントコンピューティングデバイス102(1)にナンスを送信することによって認証要求に応答する。それに応じて、クライアントコンピューティングデバイス102(1)は、認証サーバ106(i)にクライアント識別子と、クライアント認証キーを使用して暗号化された受信ナンスとを認証サーバ106(i)に送信する。暗号化は、クライアントデバイスの乱数およびクライアントデバイスのナンスも含む。クライアントデバイスの乱数およびクライアントデバイスはクライアントモジュール140によって生成される。クライアント識別子およびクライアント認証キーは上述の登録プロセス中に生成された。
認証サーバ106(i)は、クライアント識別子を使用して、登録プロセス中に生成されたクライアント認証キーを取り出す。取り出されたクライアント認証キーを使用して、暗号化された認証サーバのナンス、クライアントデバイスの乱数、およびクライアントデバイスのナンスの暗号化を解除する。暗号化解除が成功であり、暗号化解除された認証サーバのナンスが前のプロセスにおいて認証サーバによってクライアントに送信されたナンスと一致する場合、認証サーバ106(i)は、サーバ106において生成された認証サーバの乱数と、ナンスと、クライアントデバイスのナンスとを含む暗号化をクライアント102(1)に送信する。この時点で、サーバ106およびクライアント102(1)の両方が2つの乱数を所有する。ハッシュ関数がサーバ106(i)およびクライアント102(1)によって2つの乱数に対して使用され、両端においてセッションキーを生成する。このセッションキーは、クライアントコンピューティングデバイス102(1)が選択された認証サーバのサブセット内の認証サーバ106(i)を使用してサービスプロバイダ104(1)〜104(n)のうちの1つとの認証された通信を確立するときに、クライアントコンピューティングデバイス102(1)と認証サーバ106(i)との間で安全なリンクを確立するために使用される。
認証サーバ106(i)からセッションキーを取得した後、クライアントデバイス102(1)は、認証サーバ106(1)〜106(n)に既に登録されたサービスプロバイダ(例えば、サービスプロバイダ104(1))との認証された通信をいつでも要求できる。この要求は、クライアントコンピューティングデバイス102(1)がサービスプロバイダ104(1)にアクセス要求を送信した時点で始まる。サービスプロバイダ104(1)は、そのサービスプロバイダのユニークなIDおよびチャレンジ(例えば、サービスプロバイダのナンス)をクライアントコンピューティングデバイス102(1)に送信することによって応答する。選択的に、クライアントがサーバからの認証サービスを要求することができるように、サービスプロバイダ104(1)はそのサービスプロバイダ104(1)に既に登録されている認証サーバのリストをクライアントコンピューティングデバイス102(1)に送信してもよい。クライアントがリスト内の認証サーバと認証を行っていない場合、クライアントはそれらの認証サーバと認証を行い、それらの認証サーバのそれぞれとのその後の秘密通信のためのセッションキーを生成する。
今やクライアントコンピューティングデバイス102(1)は、サービスプロバイダ104(1)との認証された通信を確立するために、認証サーバのサブセット内の認証サーバのそれぞれ、例えば、認証サーバ106(i)といつでも接触することができる。クライアントコンピューティングデバイス102(1)は、それぞれの認証サーバ106(i)にサービスプロバイダのユニークなIDおよびサービスプロバイダのナンスを送信する。選択的に、クライアントコンピューティングデバイス102(1)は、そのクライアントコンピューティングデバイス102(1)自体のクライアント識別子を認証サービスプロバイダ104(1)に送信してもよい。認証サーバ106(i)は、当該2つのデバイス間の前の通信からメモリ内に保持されたクライアントコンピューティングデバイス102(1)のクライアント識別子およびセッションキーも有するべきである。
認証サーバ106(i)は、クライアント識別子、クライアントコンピューティングデバイス102(1)のIPアドレスなどのネットワークアドレス、およびサービスプロバイダのナンスをサービスプロバイダ104(1)から以前受信した分割キーを使用して暗号化する。このプロセスは、クライアントコンピューティングデバイス102(1)に伝えられる部分的な認証トークンを作成する。クライアントコンピューティングデバイス102(1)は、受信した部分的な認証トークンから認証トークンを生成し、当該認証トークンをそのクライアントコンピューティングデバイス102(1)自体のクライアント識別子と共にパッケージングし、当該パッケージをサービスプロバイダ104(1)に送信する。サービスプロバイダ104(1)は、暗号化された認証トークンをそのサービスプロバイダ104(1)の秘密暗号化解除キーを使用して暗号化解除するように試みる。暗号化解除が成功であり、暗号化解除されたナンスが認証された以前の通信においてクライアントに送信されたナンスと一致する場合、認証された通信は成功であり、サービスプロバイダのサービスに対するアクセスが許可される。サービスプロバイダ104(1)は、認証された通信が許可されるかどうかをクライアントコンピューティングデバイス102(1)に知らせる。
検討された認証処理の利点は少なくとも以下の通りである。サービスプロバイダの秘密キーを知っているのは当該プロバイダのみである。確実に、認証サーバは秘密キーを知らず、サービスプロバイダの秘密キーを取得することは通常、万が一種々の認証サーバの間で重大な共謀が行われた場合にしか起こり得ない。クライアントコンピューティングデバイス側で、ユーザのパスワードは認証プロセス中に直接使用されない。実際、認証プロセスにおける各エンティティ、クライアントコンピューティングデバイスおよびサービスプロバイダはそれらのエンティティ自体の秘密を制御する。これは、信頼できる機関の存在が必要とされないので、ここで説明された認証処理を非常に魅力のあるものにする。信用できる機関は、多くのその他の暗号化/認証技術(例えば、PKI)と共に使用される。
[クライアントデバイスのサービスプロバイダへのアクセス処理]
図2は、クライアントデバイス102(1)がクライアントデバイスのサービスプロバイダアクセス処理200を使用してサービスプロバイダ104(1)との認証された通信を要求する例示的な実装を示す。認証された通信が、認証サーバ106(1)〜106(n)のサブセットを使用して容易にされる。表Iは、後に続く文章において使用される表記に関する詳細を提供する。
Figure 2009505308
処理は、クライアントコンピューティングデバイス102(1)が通信201においてサービスプロバイダ104(1)にアクセス要求を送信したときに始まる。サービスプロバイダ104(1)は、通信202においてSID、nS
Figure 2009505308
、[t個の認証サーバのリスト
Figure 2009505308
]と共に応答し、ここで、tは認証サービスを提供するために必要とされる認証サーバの数に対する閾値である。いったん通信202を受信すると、クライアントコンピューティングデバイス102(1)は、通信204においてSID、nS
Figure 2009505308
、[UID]を認証サーバ106に送信する。認証サーバ106は通信206において
Figure 2009505308
を送信することによって応答し、ここで、UはクライアントのIPアドレス(IP Address)などのクライアントコンピューティングデバイス102(1)のネットワーク識別子である。通信206の内容は部分的な認証トークンを定義する。クライアントコンピューティングデバイス102(1)は、認証サーバとの通信206において受信した部分的な認証トークンを使用して、UIDおよび[<nSk]と共にパッケージングされてサービスプロバイダ104(1)に送信される認証トークン
Figure 2009505308
を生成し、ここで、
Figure 2009505308
である。サービスプロバイダ104(1)は、そのサービスプロバイダ104(1)の秘密暗号化解除キーKS -1を使用して、暗号化された認証トークンを暗号化解除し、ここで、
Figure 2009505308
mod p2である。
上記暗号化解除、および認証トークンと共に受信した追加的な情報に基づいて、サービスプロバイダ104(1)は、通信210においてアクセス応答をクライアントコンピューティングデバイス102(1)に返送し、認証されたアクセスが許可されるかどうかを指示する。認証された通信中の
Figure 2009505308
における生成元(g)の選択的な使用は、認証されたセッションが確立された後に、クライアントコンピューティングデバイス102(1)とサービスプロバイダ104(1)との間のその後の安全な通信のために使用されるセッションキーを生成する方法を提供する。
通信204および206は、クライアントコンピューティングデバイス102(1)および認証サーバ106(i)の間で生成されたセッションキーを使用することにより安全である。クライアントコンピューティングデバイス102(1)および認証サーバ106(i)はそれぞれセッションキーを所有している。そのようなセッションキーの作成の詳細は後で説明される。
検討された様々な通信は、クライアントモジュール140およびサーバモジュール130を使用して容易にされる。しかし、様々な通信および命令は、そのような通信および命令を実行し、それによって記載のクライアントデバイスのサービスプロバイダへのアクセス処理/方法を提供することを可能にする任意のデバイスによって実行することができる。
[サービスプロバイダ登録処理]
図3は、サービスプロバイダ104(1)がサービスプロバイダ登録処理300を使用して認証サーバ106(i)に登録する例示的な実装を示す。サービスプロバイダ登録処理300は、サービスプロバイダが認証サーバによって提供される認証サービスから利益を受けることができる前に実行される。上記表Iは、後に続く文章において使用される表記に関する詳細を提供する。
処理が開始する前に、サービスプロバイダ104(1)はサーバモジュール130をダウンロードおよびインストールする。この実装におけるサーバモジュール130は、サービスプロバイダ104(1)が認証に関連する要求と、認証サーバ106(i)への、および認証サーバ106(i)からの通信とを処理することを可能にする機能を提供する。処理は、サービスプロバイダ104(1)がサービスプロバイダの登録を要求する通信302を認証サーバ106(i)に送信するときに開始する。認証サーバ106(i)は、その認証サーバ106(i)が登録をいつでも受け付けることができることをサービスプロバイダ104(1)に知らせる通信304によって応答する。
サービスプロバイダ104(1)はサーバモジュール130を使用して、図3に示されたサービスプロバイダ登録処理を完了する。サービスプロバイダ104(1)は、秘密キーKS(1≦KS≦p2−2)を生成し、KS -1S=KSS -1=1 mod (p2−1)であるようにKS -1を計算する。次に、サービスプロバイダ104(1)は、(t,n)閾値法を使用してKSをn個の分割キー部分
Figure 2009505308
に分割する。これらの分割キー
Figure 2009505308
のうちの1つとSIDとが、安全な通信306において各認証サーバ106(i)に送信される。認証サーバ106(i)は、図2に関連して検討されたクライアントデバイスのサービスプロバイダアクセス処理200の間に使用するために分割キー
Figure 2009505308
およびSIDを記録する。分割キー
Figure 2009505308
およびSIDを受信および記録した後、認証サーバ106(i)は、通信308においてサービスプロバイダ104(1)に成功応答を送信する。
検討された様々な通信は、サーバモジュール130を使用して容易にされる。しかし、様々な通信および命令は、そのような通信および命令を実行可能な任意のデバイスによって実行されてもよく、それによって記載のサービスプロバイダ登録処理/方法を提供する。
[クライアントデバイス登録処理]
図4は、クライアントコンピューティングデバイス102(1)がクライアントデバイス登録処理400を使用して各認証サーバ106(i)に登録する例示的な実装を示す。クライアントデバイス登録処理400は、クライアントコンピューティングデバイスが認証サーバによって提供される認証サービスから利益を受けることができる前に実行される。上記表Iは、後に続く文章において使用される表記に関する詳細を提供する。
処理が開始する前に、クライアントコンピューティングデバイス102(1)はクライアントモジュール140をダウンロードおよびインストールする。この実装においてクライアントモジュール140は、クライアントコンピューティングデバイス102(1)が各認証サーバ106(i)への、および各認証サーバ106(i)からの通信を処理することを可能にする機能を提供する。処理は、クライアントコンピューティングデバイス102(1)が、クライアントコンピューティングデバイスの登録を要求する通信402を認証サーバ106(i)に送信するときに開始する。認証サーバ106(i)は、その認証サーバ106(i)が登録をいつでも受け付けることができることをクライアントコンピューティングデバイス102(1)に知らせる通信404によって応答する。
クライアントコンピューティングデバイス102(1)はクライアントモジュール140を使用して、クライアントコンピューティングデバイス102(1)のユーザによって入力されたユーザ名からユニークなクライアントIDであるUIDを作成する。UIDは、ユーザ名をハッシュすることによって、またはユーザ名の部分をハッシュすることによって作成されてもよい。ユーザ名からユニークなクライアントIDであるUIDを生成する別のプロセスが使用されてもよい。クライアントコンピューティングデバイス102(1)はその後、クライアントモジュール140を使用して、図5に示された認証サーバ106(i)とのクライアントコンピューティングデバイス認証処理500において使用されることになるクライアントキー
Figure 2009505308
(1≦i≦n)を作成する。クライアントキーは、ユーザ名のみを使用して作成することもできる。AIDiは、i番目の認証サーバ、この場合は認証サーバ106(i)を特定する。
クライアントコンピューティングデバイス102(1)は、安全な通信406を介して認証サーバ106(i)にUID、
Figure 2009505308
、Ai(1≦i≦n)を送信する。認証サーバ106は、後で使用するためにユニークなクライアントIDであるUID、およびクライアントキー
Figure 2009505308
を保存する。具体的には、認証サーバは、クライアントコンピューティングデバイス102(1)がサービスプロバイダとの認証通信を要求するときに、ユニークなクライアントIDであるUID、およびクライアントキー
Figure 2009505308
を使用する。サービスプロバイダとの認証のプロセスは通常、クライアントコンピューティングデバイス102(1)と認証サーバ106(i)の間の安全な通信を必要とし、ユニークなクライアントIDであるUID、およびクライアントキー
Figure 2009505308
はこの目的のために使用されるセッションキーの生成を容易にする。
検討された様々な通信が、クライアントモジュール140を使用して容易になされる。しかし、様々な通信および命令は、そのような通信および命令を実行可能な任意のデバイスによって実行されてもよく、それによって記載のクライアントコンピューティングデバイス登録処理/方法を提供する。
[クライアントデバイス認証処理]
図5は、クライアントコンピューティングデバイス102(1)がクライアントコンピューティングデバイス認証処理500を使用して認証サーバ106(i)との認証を行う例示的な実装を示す。クライアントコンピューティングデバイス認証処理500は、クライアントコンピューティングデバイス102(1)を認証サーバ106(i)によって認証するために、およびクライアントデバイスがサービスプロバイダとの認証された通信を確立するように試みている間にクライアントコンピューティングデバイスおよび認証サーバによって使用されるセッションキーを生成するために実行される。上記表Iは、後に続く文章において使用される表記に関する詳細を提供する。
処理は、クライアントコンピューティングデバイス102(1)が、認証を要求する通信502を認証サーバ106(i)に送信するときに開始する。認証サーバ106(i)は、ナンス
Figure 2009505308
を含む通信504によって応答する。クライアントコンピューティングデバイス102(1)は、クライアントモジュール140の支援の下に、ユニークなクライアントIDであるUID、および暗号化
Figure 2009505308
を含む通信506によって応答する。認証サーバ106(i)は、以前の通信において受信されたクライアントキー
Figure 2009505308
を使用して暗号化
Figure 2009505308
を暗号化解除するように試みる。暗号化解除が成功であり、暗号化解除されたナンスが以前のプロセスにおいてクライアントに送信されたナンス
Figure 2009505308
と一致する場合、認証サーバ106(i)は、
Figure 2009505308
または失敗メッセージを含む通信508をクライアントコンピューティングデバイス102(1)に送信する。
この時点で、クライアントコンピューティングデバイス102(1)および認証サーバ106の両方が乱数値
Figure 2009505308
を有する。これらの乱数値を使用して、クライアントコンピューティングデバイス102(1)および認証サーバ106(i)の両方がセッションキー
Figure 2009505308
を計算する。このセッションキーは、クライアントコンピューティングデバイス102(1)がサービスプロバイダとの認証された通信を要求するために認証サーバ106(i)に接触するときに使用される。サービスプロバイダとの認証された通信を確立することに関連するセッションキーの使用は、この文書の前の部分で詳細に検討されている。
検討された様々な通信は、クライアントモジュール140を使用して容易にされる。しかし、様々な通信および命令は、そのような通信および命令を実行可能な任意のデバイスによって実行されてもよく、それによって記載のクライアントコンピューティング認証処理/方法を提供する。
[例示的コンピューティングデバイス]
図6〜8は、説明された処理および方法を実装するために使用できる例示的なコンピューティングデバイスを示す。図6は、サービスプロバイダ104(1)の例示的な実装を示し、図7は、クライアントコンピューティングデバイス102(1)の例示的な実装を示し、図8は、コンピューティングデバイス800の例示的な実装を示す。認証サーバ106(i)などの認証サーバは、コンピューティングデバイス800に関連して説明される動作要素を使用することができる。これは、ここで検討されるクライアントコンピューティングデバイスおよびサービスプロバイダにも当てはまる。
図6は、サービスプロバイダ104(1)を実装するために使用できる例示的なコンピューティングデバイスである。ごく基本的な構成において、コンピューティングデバイスは、少なくとも1つの処理ユニット604、およびシステムメモリ606を含む。コンピューティングデバイス600の正確な構成および種類に応じて、システムメモリ606を揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこれら2つの何らかの組合せとすることができる。システムメモリ606は通常、オペレーティングシステム608と、1つまたは複数のプログラムモジュール610とを含み、プログラムデータ612を含むことができる。プログラムモジュール610のうちの少なくとも1つは、サーバモジュール130を含む。
コンピューティングデバイスは、追加的な特徴または機能を有してもよい。例えば、コンピューティングデバイスには、例えば、磁気ディスク、光ディスク、またはテープなどの(取外し可能および/または取外し不可能な)追加的なデータ記録装置も含まれうる。コンピュータ記録媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を記録するための任意の方法または技術で実装された揮発性および不揮発性の取外し可能および取外し不可能な媒体が含まれうる。システムメモリ606はコンピュータ記録媒体の一例である。したがって、コンピュータ記録媒体は、RAM、ROM、EEPROM、フラッシュメモリ、もしくはその他のメモリ技術、CD−ROM、デジタルバーサタイルディスク(DVD)、もしくはその他の光学式記録装置、磁気カセット、磁気テープ、磁気ディスク記録装置、もしくはその他の磁気記録装置、または所望の情報を記録するために使用可能でコンピューティングデバイスによってアクセス可能な任意のその他の媒体を含むが、これらに限定されない。任意のそのようなコンピュータ記録媒体は、デバイスの一部であってもよい。コンピューティングデバイスは、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの(1つまたは複数の)入力デバイスも有することもできる。ディスプレイ、スピーカ、プリンタなどの(1つまたは複数の)出力デバイスも含むことができる。これらのデバイスは当技術分野においてよく知られており、詳細に検討/説明される必要はない。
コンピューティングデバイスは、ネットワークを介するなど、当該デバイスがその他のコンピューティングデバイスと通信することを可能にする通信接続も含むことができる。そのようなネットワークが図1のネットワーク120として示される。(1つまたは複数の)通信接続は、通信媒体の一例である。通信媒体は通常、搬送波またはその他の搬送メカニズムなどの変調されたデータ信号内のコンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータによって具現化することができ、任意の情報配信媒体を含む。用語「変調されたデータ信号」は、その信号の特徴のうちの1つまたは複数を、信号中に情報を符号化するようなやり方で設定または変更された信号を意味する。限定ではなく例として、通信媒体は、有線ネットワークまたは直接有線接続(direct−wired connection)などの有線媒体、ならびに音響、RF、赤外線、およびその他の無線媒体などの無線媒体を含む。コンピュータ可読媒体をコンピュータがアクセス可能な任意の利用可能な媒体とすることができる。限定でなく例として、コンピュータ可読媒体には、「コンピュータ記録媒体」および「通信媒体」が含まれる可能性がある。
様々なモジュールおよび技術が、1つまたは複数のコンピュータまたはその他のデバイスによって実行されるプログラムモジュールなどのコンピュータが実行可能な命令の一般的な文脈でここに説明されているかもしれない。概して、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するためのルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。これらのプログラムモジュール等は、ネイティブコードとして実行されても、バーチャルマシンもしくはその他のジャストインタイムコンパイル実行環境などにダウンロードされて実行されてもよい。通常、プログラムモジュールの機能は、種々の実施形態において要求に応じて組み合わされ、または分散されてもよい。これらのモジュールおよび技術の実装は、何らかの形態のコンピュータ可読媒体に記録されても、何らかの形態のコンピュータ可読媒体を介して伝達されてもよい。
図7は、クライアントコンピューティングデバイス102(1)を実装するために使用できる例示的なコンピューティングデバイスである。ごく基本的な構成において、コンピューティングデバイスは、少なくとも1つの処理ユニット704、およびシステムメモリ706を含む。コンピューティングデバイス700の正確な構成および種類に応じて、システムメモリ706は、揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこれら2つの何らかの組合せであってもよい。システムメモリ706は通常、オペレーティングシステム708と1つまたは複数のプログラムモジュール710とを含み、プログラムデータ712を含むことができる。プログラムモジュール710のうちの少なくとも1つは、クライアントモジュール140を含む。
コンピューティングデバイスは、追加的な特徴または機能を有してもよい。例えば、コンピューティングデバイスは、例えば、磁気ディスク、光ディスク、またはテープなどの(取外し可能および/または取外し不可能な)追加的なデータ記録装置も含む可能性がある。コンピュータ記録媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を記録するための任意の方法または技術で実装された揮発性および不揮発性の取外し可能および取外し不可能な媒体を含む可能性がある。システムメモリ706はコンピュータ記録媒体の一例である。したがって、コンピュータ記録媒体には、RAM、ROM、EEPROM、フラッシュメモリ、もしくはその他のメモリ技術、CD−ROM、デジタルバーサタイルディスク(DVD)、もしくはその他の光学式記録装置、磁気カセット、磁気テープ、磁気ディスク記録装置、もしくはその他の磁気記録装置、または所望の情報を記録するために使用可能でコンピューティングデバイスによってアクセス可能な任意のその他の媒体が含まれるが、これらに限定されない。任意のそのようなコンピュータ記録媒体は、デバイスの一部であってもよい。コンピューティングデバイスは、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの(1つまたは複数の)入力デバイスも有することもできる。ディスプレイ、スピーカ、プリンタなどの(1つまたは複数の)出力デバイスも含むことができる。これらのデバイスは当技術分野においてよく知られており、詳細に検討/説明される必要はない。
コンピューティングデバイスは、ネットワークを介するなど、当該デバイスがその他のコンピューティングデバイスと通信することを可能にする通信接続も含むことができる。そのようなネットワークが図1のネットワーク120として示される。(1つまたは複数の)通信接続は通信媒体の一例である。通信媒体は通常、搬送波またはその他の搬送メカニズムなどの変調されたデータ信号内のコンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータによって具現化されることができ、任意の情報配信媒体を含む。用語「変調されたデータ信号」は、その信号の特徴のうちの1つまたは複数を、信号中に情報を符号化するようなやり方で設定または変更された信号を意味する。限定ではなく例として、通信媒体は、有線ネットワークまたは直接有線接続などの有線媒体、ならびに音響、RF、赤外線、およびその他の無線媒体などの無線媒体を含む。コンピュータ可読媒体をコンピュータがアクセス可能な任意の利用可能な媒体とすることができる。限定でなく例として、コンピュータ可読媒体には、「コンピュータ記録媒体」および「通信媒体」が含まれる可能性がある。
様々なモジュールおよび技術が、1つまたは複数のコンピュータまたはその他のデバイスによって実行されるプログラムモジュールなどのコンピュータが実行可能な命令の一般的な文脈でここに説明されているかもしれない。概して、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するためのルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。これらのプログラムモジュール等は、ネイティブコードとして実行されても、バーチャルマシンもしくはその他のジャストインタイムコンパイル実行環境などにダウンロードされて実行されてもよい。通常、プログラムモジュールの機能は、種々の実施形態において要求に応じて組み合わされ、または分散されてもよい。これらのモジュールおよび技術の実装は、何らかの形態のコンピュータ可読媒体に記録されても、何らかの形態のコンピュータ可読媒体を介して伝達されてもよい。
図8は、認証サーバ、または本明細書において説明された任意のその他のコンピューティングデバイスを実装するために使用可能な例示的なコンピューティングデバイス800である。ごく基本的な構成において、コンピューティングデバイス800は、少なくとも1つの処理ユニット804、およびシステムメモリ806を含む。コンピューティングデバイス800の正確な構成および種類に応じて、システムメモリ806は、揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこれら2つの何らかの組合せであっても良い。システムメモリ806は通常、オペレーティングシステム808と、1つまたは複数のプログラムモジュール810とを含み、プログラムデータ812を含むことができる。
コンピューティングデバイス800は、追加的な特徴または機能を有してもよい。例えば、コンピューティングデバイス800は、例えば、磁気ディスク、光ディスク、またはテープなどの(取外し可能および/または取外し不可能な)追加的なデータ記録装置も含む可能性がある。そのような追加的な記録装置が、取外し可能な記録装置820および取外し不可能な記録装置822によって図8に示される。コンピュータ記録媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を記録するための任意の方法または技術で実装された揮発性および不揮発性の取外し可能および取外し不可能な媒体を含む可能性がある。システムメモリ806、取外し可能な記録装置820、および取外し不可能な記録装置822は全てコンピュータ記録媒体の例である。したがって、コンピュータ記録媒体は、RAM、ROM、EEPROM、フラッシュメモリ、もしくはその他のメモリ技術、CD−ROM、デジタルバーサタイルディスク(DVD)、もしくはその他の光学式記録装置、磁気カセット、磁気テープ、磁気ディスク記録装置、もしくはその他の磁気記録装置、または所望の情報を記録するために使用されることができ、コンピューティングデバイス800によってアクセス可能な任意のその他の媒体を含むがこれらに限定されない。任意のそのようなコンピュータ記録媒体はデバイス800の一部であってもよい。コンピューティングデバイス800は、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの(1つまたは複数の)入力デバイス824も有することができる。ディスプレイ、スピーカ、プリンタなどの(1つまたは複数の)出力デバイス826も含まれることができる。これらのデバイスは当技術分野においてよく知られており、詳細に検討される必要はない。
コンピューティングデバイス800は、ネットワークを介するなど、当該デバイスがその他のコンピューティングデバイス830と通信することを可能にする通信接続828も含むことができる。そのようなネットワークが図1のネットワーク120として示される。(1つまたは複数の)通信接続828は通信媒体の一例である。概して、通信媒体は、搬送波またはその他の搬送メカニズムなどの変調されたデータ信号内のコンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータによって具現化されることができ、任意の情報配信媒体を含む。用語「変調されたデータ信号」は、その信号の特徴のうちの1つまたは複数を、信号中に情報を符号化するようなやり方で設定または変更された信号を意味する。限定ではなく例として、通信媒体は、有線ネットワークまたは直接有線接続などの有線媒体、ならびに音響、RF、赤外線、およびその他の無線媒体などの無線媒体を含む。コンピュータ可読媒体は、コンピュータによってアクセスされることができる任意の利用可能な媒体であることができる。限定でなく例として、コンピュータ可読媒体は、「コンピュータ記録媒体」および「通信媒体」を含む可能性がある。
様々なモジュールおよび技術が、1つまたは複数のコンピュータまたはその他のデバイスによって実行されるプログラムモジュールなどのコンピュータが実行可能な命令の一般的な文脈でここに説明されているかもしれない。概して、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するためのルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。これらのプログラムモジュールなどは、ネイティブコードとして実行されても、またはバーチャルマシンもしくはその他のジャストインタイムコンパイル実行環境などにダウンロードされて実行されてもよい。通常、プログラムモジュールの機能は、種々の実施形態において要求に応じて組み合わされ、または分散されてもよい。これらのモジュールおよび技術の実装は、何らかの形態のコンピュータ可読媒体に記録されても、何らかの形態のコンピュータ可読媒体を介して伝達されてもよい。
実施形態の例が示され、説明されたが、本発明は上述の厳密な構成およびリソースに限定されないことを理解されたい。当業者に明らかな種々の修正、変更、および変形が、特許請求の範囲に記載された発明の範囲を逸脱することなしに、ここに開示された実施形態の構成、動作、および詳細においてなされることができる。
1つまたは複数のサービスプロバイダと通信可能ないくつかのクライアントコンピューティングデバイスを含むコンピュータネットワーク環境の例示的な実装を示す図である。 クライアントデバイスがクライアントデバイスのサービスプロバイダアクセス処理を使用してサービスプロバイダとの認証された通信を要求する例示的な実装を示す図である。 サービスプロバイダがサービスプロバイダ登録処理を使用して認証サーバに登録する例示的な実装を示す図である。 クライアントコンピューティングデバイスがクライアントデバイス登録処理を使用して認証サーバに登録する例示的な実装を示す図である。 クライアントコンピューティングデバイスがクライアントコンピューティングデバイス登録処理を使用して認証サーバとの認証を行う例示的な実装を示す図である。 サービスプロバイダを実装するために使用可能な例示的なコンピューティングデバイスの図である。 クライアントコンピューティングデバイスを実装するために使用可能な例示的なコンピューティングデバイスの図である。 認証サーバを実装するために使用可能な例示的なコンピューティングデバイスの図である。

Claims (20)

  1. 少なくともクライアント識別子、および複数の部分的な認証トークンから得られた暗号化された認証トークンを含む認証要求(208)を受信するステップと、
    前記暗号化された認証トークンを秘密キーを使用して暗号化解除を試みるステップと、
    前記秘密キーを用いて暗号化解除が可能であり、前記暗号化された認証トークンの暗号化解除された内容を取得可能な場合に、認証された通信を許可するステップと
    を有することを特徴とする方法。
  2. 前記暗号化された認証トークンは、クライアント識別子およびチャレンジを含むことを特徴とする請求項1に記載の方法。
  3. 前記クライアント識別子は、サービスプロバイダ(104(n))との認証された通信を望んでいるクライアントデバイス(102(n))を特定することを特徴とする請求項2に記載の方法。
  4. 前記チャレンジは、前記暗号化された認証トークンを暗号化解除するように試みるサービスプロバイダ(104(n))によって供給されることを特徴とする請求項2に記載の方法。
  5. 前記暗号化された認証トークンは、クライアントデバイス(102(n))のネットワークアドレスをさらに含むことを特徴とする請求項1に記載の方法。
  6. プロセッサ(604)をプログラミングすることに使用するための製品であって、前記プロセッサ(604)に請求項1に記載の方法を実行させることを組み込んだ少なくとも1つのコンピュータプログラム(130)を含む少なくとも1つのコンピュータが読み取り可能な記録装置(606)を備えることを特徴とする製品。
  7. プロセッサ(604)と、
    請求項1に記載の方法を実行することができる少なくとも1つのコンピュータが実行可能なコンポーネント(130)を有するメモリ(606)と
    を備えることを特徴とする通信デバイス。
  8. 安全なセッション(508)が前の処理において確立されなかった場合にセッションキーを用いてそのような安全なセッション(508)を確立するステップと、
    サービスプロバイダ(104(n))によって供給されたサービスプロバイダIDおよびチャレンジを受信するステップと、
    エンティティのユニークなID、前記エンティティのネットワークアドレス、およびサービスプロバイダ(104(n))によって供給された前記チャレンジを、暗号化キーの保有者(106(i))によって知られていない秘密キーから得られた前記暗号化キーを用いて暗号化するステップと、
    前記サービスプロバイダ(104(n))に対するアクセスを試みるときに使用可能な前記暗号化を前記エンティティ(102(n))に提供するステップと
    を備えることを特徴とする方法。
  9. 前記セッションキーは、認証キーから生成され、前記認証キーは認証を望んでいる前記エンティティ(102(n))のログイン証明物、および認証サーバ(106(i))のIDから得られることを特徴とする請求項8に記載の方法。
  10. 前記ログイン証明物は、パスワードおよびユーザ名を含むことを特徴とする請求項9に記載の方法。
  11. 認証を望んでいるエンティティ(102(n))の前記ユニークなIDは、少なくとも前記エンティティのログイン名から得られることを特徴とする請求項8に記載の方法。
  12. 認証を望んでいる前記エンティティ(102(n))の前記認証キーおよび前記ユニークなIDは、安全なセッションを確立する認証処理の間に、認証を望んでいる前記エンティティ(102(n))のモジュール(140)によって生成され、前記認証キーおよび前記ユニークなIDは前の処理において認証に知らされ、前記認証によって保存されることを特徴とする請求項9に記載の方法。
  13. 暗号化するステップは、アイテム(item)、またはアイテムの署名を暗号化するステップをさらに含み、前記アイテムはその後の安全な通信のための別のセッションキーを生成するために使用されることを特徴とする請求項8に記載の方法。
  14. 受信するステップは、アイテムを受信するステップをさらに含み、前記アイテムはその後の安全な通信のための別のセッションキーを生成するために使用されることを特徴とする請求項8に記載の方法。
  15. プロセッサ(604、704、804)をプログラミングすることに使用するための製品であって、前記プロセッサ(604、704、804)に請求項8に記載の方法を実行させることを組み込んだ少なくとも1つのコンピュータプログラム(610、710、810)を含む少なくとも1つのコンピュータが読み取り可能な記録装置(606、706、806)を備えることを特徴とする製品。
  16. サービスプロバイダ(104(n))との認証された通信を要求する認証要求を複数の認証サーバ(106(i))において受信するステップと、
    各認証サーバ(106(i))が部分的な認証トークンを提供するステップとを含み、複数の前記部分的な認証トークンは、前記サービスプロバイダ(104(n))との認証された通信を達成するために使用される認証トークンを生成するために一緒に使用可能であることを特徴とする方法。
  17. 各認証サーバ(106(i))は、前記サービスプロバイダ(104(n))によって生成された秘密キーから得られた分割キーを使用して部分的な認証トークンを暗号化することを特徴とする請求項16に記載の方法。
  18. 秘密キーから分割キーを生成するために閾値法が使用されることを特徴とする請求項17に記載の方法。
  19. 前記認証要求は、前記サービスプロバイダ(104(n))によって供給されたサービスプロバイダIDおよびチャレンジを含み、前記サービスプロバイダIDは前記サービスプロバイダ(104(n))に関連することを特徴とする請求項16に記載の方法。
  20. 各部分的な認証トークンは、前記サービスプロバイダ(104(n))との認証された通信を要求するエンティティのID、前記エンティティ(102(n))のネットワークアドレス、および前記サービスプロバイダ(104(n))によって供給されたチャレンジを含むことを特徴とする請求項16に記載の方法。
JP2008527997A 2005-08-22 2006-08-16 分散シングルサインオンサービス Active JP5009294B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/208,509 US7690026B2 (en) 2005-08-22 2005-08-22 Distributed single sign-on service
US11/208,509 2005-08-22
PCT/US2006/032156 WO2007024626A1 (en) 2005-08-22 2006-08-16 Distributed single sign-on service

Publications (2)

Publication Number Publication Date
JP2009505308A true JP2009505308A (ja) 2009-02-05
JP5009294B2 JP5009294B2 (ja) 2012-08-22

Family

ID=37768631

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008527997A Active JP5009294B2 (ja) 2005-08-22 2006-08-16 分散シングルサインオンサービス

Country Status (15)

Country Link
US (1) US7690026B2 (ja)
EP (1) EP1917603B1 (ja)
JP (1) JP5009294B2 (ja)
KR (1) KR101265873B1 (ja)
CN (1) CN100580657C (ja)
AU (1) AU2006283634A1 (ja)
BR (1) BRPI0615053A2 (ja)
CA (1) CA2619420C (ja)
ES (1) ES2701873T3 (ja)
IL (1) IL189131A (ja)
MX (1) MX2008002504A (ja)
NO (1) NO20080532L (ja)
RU (1) RU2417422C2 (ja)
WO (1) WO2007024626A1 (ja)
ZA (1) ZA200801179B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101306442B1 (ko) * 2011-11-30 2013-09-09 에스케이씨앤씨 주식회사 휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템
JP2015220526A (ja) * 2014-05-15 2015-12-07 株式会社リコー 情報処理システム、情報処理方法、及びプログラム
JP2017507895A (ja) * 2013-06-20 2017-03-23 ファーマシェン エス.エー. S字型放出プロファイルを有するポリラクチド−ポリグリコリド微小粒子の調製

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PL1625716T3 (pl) 2003-05-06 2008-05-30 Apple Inc System i usługa przesyłania wiadomości
GB0321337D0 (en) * 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
JP4372030B2 (ja) * 2005-03-02 2009-11-25 キヤノン株式会社 印刷装置、印刷装置の制御方法及びコンピュータプログラム
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
NO324315B1 (no) * 2005-10-03 2007-09-24 Encap As Metode og system for sikker brukerautentisering ved personlig dataterminal
US20070245152A1 (en) * 2006-04-13 2007-10-18 Erix Pizano Biometric authentication system for enhancing network security
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
US8200967B2 (en) * 2006-10-18 2012-06-12 Rockstar Bidco Lp Method of configuring a node, related node and configuration server
US20080096507A1 (en) * 2006-10-24 2008-04-24 Esa Erola System, apparatus and method for creating service accounts and configuring devices for use therewith
US20080141352A1 (en) * 2006-12-11 2008-06-12 Motorola, Inc. Secure password distribution to a client device of a network
US8424077B2 (en) * 2006-12-18 2013-04-16 Irdeto Canada Corporation Simplified management of authentication credentials for unattended applications
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
EP2130322B1 (en) * 2007-03-21 2014-06-25 Intel Corporation Protection against impersonation attacks
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
GB2441399B (en) * 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
CN101431413B (zh) * 2007-11-08 2012-04-25 华为技术有限公司 进行认证的方法、系统、服务器及终端
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US8474037B2 (en) 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
US20090183246A1 (en) * 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
CN101227275A (zh) * 2008-02-13 2008-07-23 刘海云 随机加密和穷举法解密相结合的加密方法
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
WO2009147631A1 (en) * 2008-06-05 2009-12-10 Neocleus Israel Ltd Secure multi-purpose computing client
US7600253B1 (en) * 2008-08-21 2009-10-06 International Business Machines Corporation Entity correlation service
US20100067035A1 (en) * 2008-09-16 2010-03-18 Kawakubo Satoru Image forming apparatus, information processing apparatus, information processing system, information processing method, and program
WO2010031142A1 (en) * 2008-09-22 2010-03-25 Joseph Elie Tefaye Method and system for user authentication
KR101510473B1 (ko) * 2008-10-06 2015-04-08 에스케이커뮤니케이션즈 주식회사 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템
US8151333B2 (en) 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
US8751829B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Dispersed secure data storage and retrieval
US8839391B2 (en) 2009-02-05 2014-09-16 Wwpass Corporation Single token authentication
WO2010090664A1 (en) 2009-02-05 2010-08-12 Wwpass Corporation Centralized authentication system with safe private data storage and method
US8752153B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
US8713661B2 (en) 2009-02-05 2014-04-29 Wwpass Corporation Authentication service
IT1393199B1 (it) * 2009-02-25 2012-04-11 Asselle Sistema di controllo per la gestione degli accessi ad aree riservate
US8520855B1 (en) * 2009-03-05 2013-08-27 University Of Washington Encapsulation and decapsulation for data disintegration
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8887250B2 (en) * 2009-12-18 2014-11-11 Microsoft Corporation Techniques for accessing desktop applications using federated identity
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
KR101770297B1 (ko) * 2010-09-07 2017-09-05 삼성전자주식회사 온라인 서비스 접속 방법 및 그 장치
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
US8590017B2 (en) * 2011-02-28 2013-11-19 International Business Machines Corporation Partial authentication for access to incremental data
US9536074B2 (en) 2011-02-28 2017-01-03 Nokia Technologies Oy Method and apparatus for providing single sign-on for computation closures
US20120291096A1 (en) 2011-05-12 2012-11-15 Nokia Corporation Method and apparatus for secure signing and utilization of distributed computations
US8600061B2 (en) * 2011-06-24 2013-12-03 Broadcom Corporation Generating secure device secret key
WO2013012531A2 (en) * 2011-07-18 2013-01-24 Wwpass Corporation Authentication service
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US20140310527A1 (en) * 2011-10-24 2014-10-16 Koninklijke Kpn N.V. Secure Distribution of Content
WO2013071087A1 (en) * 2011-11-09 2013-05-16 Unisys Corporation Single sign on for cloud
FR2984555A1 (fr) * 2011-12-19 2013-06-21 Sagemcom Documents Sas Procede d'appairage d'un appareil electronique et d'un compte utilisateur au sein d'un service en ligne
US9356924B1 (en) 2011-12-27 2016-05-31 Majid Shahbazi Systems, methods, and computer readable media for single sign-on (SSO) using optical codes
US8819444B2 (en) 2011-12-27 2014-08-26 Majid Shahbazi Methods for single signon (SSO) using decentralized password and credential management
KR101378520B1 (ko) * 2011-12-28 2014-03-28 경북대학교 산학협력단 위치 기반 의료 정보 제공 시스템 및 방법
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
GB2504457A (en) * 2012-06-06 2014-02-05 Univ Bruxelles Message authentication via distributed secret keys
US9088450B2 (en) 2012-10-31 2015-07-21 Elwha Llc Methods and systems for data services
US10216957B2 (en) 2012-11-26 2019-02-26 Elwha Llc Methods and systems for managing data and/or services for devices
US9749206B2 (en) 2012-10-30 2017-08-29 Elwha Llc Methods and systems for monitoring and/or managing device data
US20140123300A1 (en) 2012-11-26 2014-05-01 Elwha Llc Methods and systems for managing services and device data
US9619497B2 (en) * 2012-10-30 2017-04-11 Elwah LLC Methods and systems for managing one or more services and/or device data
US10091325B2 (en) 2012-10-30 2018-10-02 Elwha Llc Methods and systems for data services
WO2014137063A1 (ko) * 2013-03-08 2014-09-12 에스케이플래닛 주식회사 어플리케이션을 이용한 인증 방법, 이를 위한 시스템 및 장치
US9282098B1 (en) 2013-03-11 2016-03-08 Amazon Technologies, Inc. Proxy server-based network site account management
US9203832B2 (en) * 2013-03-12 2015-12-01 Cable Television Laboratories, Inc. DTCP certificate authentication over TLS protocol
US9037858B1 (en) * 2013-03-12 2015-05-19 Emc Corporation Distributed cryptography using distinct value sets each comprising at least one obscured secret value
US20140281502A1 (en) * 2013-03-15 2014-09-18 General Instrument Corporation Method and apparatus for embedding secret information in digital certificates
US9628467B2 (en) * 2013-03-15 2017-04-18 Aerohive Networks, Inc. Wireless device authentication and service access
US9032212B1 (en) * 2013-03-15 2015-05-12 Emc Corporation Self-refreshing distributed cryptography
US9521146B2 (en) * 2013-08-21 2016-12-13 Microsoft Technology Licensing, Llc Proof of possession for web browser cookie based security tokens
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US9350545B1 (en) 2014-06-30 2016-05-24 Emc Corporation Recovery mechanism for fault-tolerant split-server passcode verification of one-time authentication tokens
GB2530726B (en) 2014-09-25 2016-11-02 Ibm Distributed single sign-on
US9674158B2 (en) * 2015-07-28 2017-06-06 International Business Machines Corporation User authentication over networks
US10509900B1 (en) 2015-08-06 2019-12-17 Majid Shahbazi Computer program products for user account management
KR102368614B1 (ko) * 2015-08-12 2022-02-25 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
US9882901B2 (en) * 2015-12-14 2018-01-30 International Business Machines Corporation End-to-end protection for shrouded virtual servers
CN106341413A (zh) * 2016-09-29 2017-01-18 上海斐讯数据通信技术有限公司 一种portal认证方法及装置
KR101962349B1 (ko) * 2017-02-28 2019-03-27 고려대학교 산학협력단 인증서 기반 통합 인증 방법
EP3376421A1 (en) 2017-03-17 2018-09-19 Gemalto Sa Method for authenticating a user and corresponding device, first and second servers and system
US10116635B1 (en) * 2017-04-27 2018-10-30 Otis Elevator Company Mobile-based equipment service system using encrypted code offloading
US10891372B1 (en) 2017-12-01 2021-01-12 Majid Shahbazi Systems, methods, and products for user account authentication and protection
SG11202010960YA (en) * 2018-05-08 2020-12-30 Visa Int Service Ass Password based threshold token generation
EP3579595B1 (en) * 2018-06-05 2021-08-04 R2J Limited Improved system and method for internet access age-verification
SG11202100410YA (en) * 2018-08-10 2021-02-25 Tzero Group Inc Splittable security token
CN109922042B (zh) * 2019-01-21 2020-07-03 北京邮电大学 遗失设备的子密钥管理方法和系统
CN109698746B (zh) * 2019-01-21 2021-03-23 北京邮电大学 基于主密钥协商生成绑定设备的子密钥的方法和系统
US10862689B1 (en) * 2019-07-23 2020-12-08 Cyberark Software Ltd. Verification of client identities based on non-distributed data
CN111065097B (zh) * 2019-10-11 2021-08-10 上海交通大学 移动互联网中基于共享密钥的通道保护方法及系统
US11314876B2 (en) 2020-05-28 2022-04-26 Bank Of America Corporation System and method for managing built-in security for content distribution
US11652613B2 (en) * 2020-09-04 2023-05-16 Citrix Systems, Inc. Secure information exchange in federated authentication
US11343085B2 (en) * 2020-09-19 2022-05-24 International Business Machines Corporation Threshold encryption for broadcast content
US11792021B2 (en) 2021-06-11 2023-10-17 Humana Inc. Resiliency architecture for identity provisioning and verification
US11941266B2 (en) 2021-10-20 2024-03-26 Samsung Electronics Co., Ltd. Resource isolation in computational storage devices
CN113923056B (zh) * 2021-12-15 2022-03-15 天津联想协同科技有限公司 多网段网盘的匹配认证方法、装置、网盘及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08292929A (ja) * 1995-03-06 1996-11-05 Internatl Business Mach Corp <Ibm> 遠隔ユーザとアプリケーション・サーバとの間の通信を管理する方法
JPH09212089A (ja) * 1996-02-05 1997-08-15 Matsushita Electric Ind Co Ltd 鍵共有装置
JPH10143591A (ja) * 1996-09-27 1998-05-29 Xerox Corp 電子支払いサポート方法
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
JP2003099403A (ja) * 2001-09-25 2003-04-04 Sony Corp 個人認証システム、個人認証方法、および個人情報収集装置、情報処理装置、並びにコンピュータ・プログラム
JP2004220325A (ja) * 2003-01-15 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> 匿名サービス提供方法とこの方法を実現するサーバ装置及びプログラム
US6816970B2 (en) * 1997-12-11 2004-11-09 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
JP2005167412A (ja) * 2003-11-28 2005-06-23 Toshiba Corp 通信システム、通信システムで使用される通信端末及びサーバ装置、及び通信システムで使用される接続認証方法
US7055032B2 (en) * 2000-12-19 2006-05-30 Tricipher, Inc. One time password entry to access multiple network sites

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6421768B1 (en) 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
WO2001072009A2 (en) 2000-03-17 2001-09-27 At & T Corp. Web-based single-sign-on authentication mechanism
KR20020095815A (ko) 2001-06-15 2002-12-28 (주) 비씨큐어 인증서 기반의 전자 신분증 발급 시스템 및 방법
KR100626341B1 (ko) 2003-05-12 2006-09-20 학교법인 호서학원 토큰을 이용한 무선 인증시스템과 그 인증방법

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08292929A (ja) * 1995-03-06 1996-11-05 Internatl Business Mach Corp <Ibm> 遠隔ユーザとアプリケーション・サーバとの間の通信を管理する方法
JPH09212089A (ja) * 1996-02-05 1997-08-15 Matsushita Electric Ind Co Ltd 鍵共有装置
JPH10143591A (ja) * 1996-09-27 1998-05-29 Xerox Corp 電子支払いサポート方法
US6816970B2 (en) * 1997-12-11 2004-11-09 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
US7055032B2 (en) * 2000-12-19 2006-05-30 Tricipher, Inc. One time password entry to access multiple network sites
JP2003099403A (ja) * 2001-09-25 2003-04-04 Sony Corp 個人認証システム、個人認証方法、および個人情報収集装置、情報処理装置、並びにコンピュータ・プログラム
JP2004220325A (ja) * 2003-01-15 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> 匿名サービス提供方法とこの方法を実現するサーバ装置及びプログラム
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
JP2005167412A (ja) * 2003-11-28 2005-06-23 Toshiba Corp 通信システム、通信システムで使用される通信端末及びサーバ装置、及び通信システムで使用される接続認証方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101306442B1 (ko) * 2011-11-30 2013-09-09 에스케이씨앤씨 주식회사 휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템
JP2017507895A (ja) * 2013-06-20 2017-03-23 ファーマシェン エス.エー. S字型放出プロファイルを有するポリラクチド−ポリグリコリド微小粒子の調製
JP2015220526A (ja) * 2014-05-15 2015-12-07 株式会社リコー 情報処理システム、情報処理方法、及びプログラム

Also Published As

Publication number Publication date
ZA200801179B (en) 2009-06-24
EP1917603A1 (en) 2008-05-07
IL189131A (en) 2011-10-31
AU2006283634A1 (en) 2007-03-01
US20070044143A1 (en) 2007-02-22
KR101265873B1 (ko) 2013-05-20
KR20080041220A (ko) 2008-05-09
JP5009294B2 (ja) 2012-08-22
WO2007024626A1 (en) 2007-03-01
CA2619420C (en) 2014-09-30
CN101243438A (zh) 2008-08-13
BRPI0615053A2 (pt) 2011-04-26
CN100580657C (zh) 2010-01-13
EP1917603B1 (en) 2018-09-19
IL189131A0 (en) 2008-08-07
US7690026B2 (en) 2010-03-30
CA2619420A1 (en) 2007-03-01
RU2008106779A (ru) 2009-08-27
NO20080532L (no) 2008-05-21
EP1917603A4 (en) 2015-01-21
MX2008002504A (es) 2008-04-07
ES2701873T3 (es) 2019-02-26
RU2417422C2 (ru) 2011-04-27

Similar Documents

Publication Publication Date Title
JP5009294B2 (ja) 分散シングルサインオンサービス
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US9917829B1 (en) Method and apparatus for providing a conditional single sign on
EP3376735B1 (en) Method and system for providing third party authentication of authorization
US9137017B2 (en) Key recovery mechanism
CA2475150C (en) System and method for providing key management protocol with client verification of authorization
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US8984613B2 (en) Server pool Kerberos authentication scheme
US7366900B2 (en) Platform-neutral system and method for providing secure remote operations over an insecure computer network
US20070094498A1 (en) Authentication Method and Apparatus Utilizing Proof-of-Authentication Module
CA2503271A1 (en) A method and system for recovering password protected private data via a communication network without exposing the private data
GB2440425A (en) Single sign-on system which translates authentication tokens
US20140032906A1 (en) Cryptographic authentication techniques for mobile devices
US20220417241A1 (en) Methods, Systems, and Devices for Server Control of Client Authorization Proof of Possession
JP2001186122A (ja) 認証システム及び認証方法
Schardong et al. Post-Quantum Electronic Identity: Adapting OpenID Connect and OAuth 2.0 to the Post-Quantum Era
Corella et al. Strong and convenient multi-factor authentication on mobile devices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120525

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120530

R150 Certificate of patent or registration of utility model

Ref document number: 5009294

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150608

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250