JP2009514262A - 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム - Google Patents

既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム Download PDF

Info

Publication number
JP2009514262A
JP2009514262A JP2006519925A JP2006519925A JP2009514262A JP 2009514262 A JP2009514262 A JP 2009514262A JP 2006519925 A JP2006519925 A JP 2006519925A JP 2006519925 A JP2006519925 A JP 2006519925A JP 2009514262 A JP2009514262 A JP 2009514262A
Authority
JP
Japan
Prior art keywords
client
server
certificate
resource
based authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006519925A
Other languages
English (en)
Other versions
JP2009514262A5 (ja
JP4886508B2 (ja
Inventor
アシュレー、ポール、アンソニー
マピディ、スリダール
バンデンバウバー、マーク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009514262A publication Critical patent/JP2009514262A/ja
Publication of JP2009514262A5 publication Critical patent/JP2009514262A5/ja
Application granted granted Critical
Publication of JP4886508B2 publication Critical patent/JP4886508B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Treatment And Processing Of Natural Fur Or Leather (AREA)

Abstract

【課題】 以前に確立されたSSLセッションを終了又は再折衝することなく、非証明書ベースの認証手続きから証明書ベースの認証手続きにステップアップすることが可能な方法及びシステムを提供する。
【解決手段】
認証操作を実行するための方法が提示される。クライアントがサーバからのリソースを要求したときに、該サーバと該クライアントとの間のSSL(Secure Sockets Layer)セッションを介して、非証明書ベースの認証操作が実行される。クライアントが別のリソースを要求したときに、サーバは、より制限されたレベルの認証にステップアップすることを決定し、証明書ベースの認証操作が、該証明書ベースの認証操作の完了前にSSLセッションを終了又は再折衝することなく該SSLセッションを介して実行される。証明書ベースの認証手続きの間に、実行可能モジュールがSSLセッションを介してサーバからクライアントにダウンロードされ、その後、該サーバは、該クライアントでデジタル証明書を用いて該実行可能モジュールによって生成されたデジタル署名を、該SSLセッションを介して受信する。サーバにおけるデジタル署名の検証の成功に応答して、該サーバは、要求されたリソースへのアクセスを提供する。
【選択図】 図6

Description

本発明は、改良されたデータ処理システムに関し、具体的には、マルチコンピュータ・データ転送のための方法及び装置に関する。さらにより具体的には、本発明は、暗号を用いるマルチコンピュータ通信のための方法及び装置を提供する。
eコマース・ウェブ・サイト及びウェブ・アプリケーションは、ユーザに代わって、コンピュータ・ネットワーク上で取引を実行する。ユーザは、多くの場合、セキュリティの目的で、適切なレベルまで自分の身元を確実に証明するために、認証手続きを通過しなければならない。
多くのコンピュータ・システムは、異なるセキュリティのレベルに合わせて異なるタイプの認証を有する。例えば、正しいユーザ名とパスワードとの組み合わせがユーザによって与えられる第1レベルの認証の完了に成功した後で、システムは、ウェブ・サイト上のリソースの特定の組へのアクセスを提供することができる。第2レベルの認証が、例えばスマートカードのようなハードウェア・トークンを提示することをユーザに対して求める場合があり、その後そのユーザには、より厳しく管理されたウェブ・サイト上のリソースへのアクセスが提供される。第3レベルの認証が、例えば指紋走査又は虹彩走査を通じて何らかの形式のバイオメトリック・データを提供することをユーザに対して求める場合があり、その後そのシステムは、ウェブ・サイト上の極めて重要なリソースまたは機密リソースへのアクセスを提供する。
ある認証レベルから次のレベルに移行する処理は、「ステップアップ認証」と呼ばれる。すなわち、ユーザは、より重要なリソースへのアクセスを得るために、システムの要求に応じて、あるレベルの認証から上位レベルにステップアップする。
eコマース・ウェブ・ベースの環境においては、コンピュータ・システムは、ウェブ・サイトにアクセスするための正面玄関すなわち監視ゲート(sentry gate)として、認証サービスを実装することが多い。これらの認証サービスは、ユーザがいずれかのリソースにアクセスする前に認証されることを確実にするように、アプリケーションの前、すなわちユーザとアプリケーションとの間に位置する。これらの認証サービスは、ウェブ・サーバ・プラグイン、リバース・プロキシ、又は他の同様な技術として実装することができる。これらの認証サービスに伴う潜在的な問題は、これらの認証サービスはユーザ名/パスワード認証を用いることが多く、クライアント・ベースの証明書を用いる認証方法にステップアップすることができないという点である。証明書ベースの認証手続きは、一般に、ユーザ名/パスワードベースの認証手続きより上位レベルのセキュリティを達成すると考えられている。
証明書ベースの認証は、公開鍵/秘密鍵からなる非対称暗号鍵対の使用を含むものである、デジタル証明書は、認証されたユーザの識別情報を公開暗号鍵と結びつける。証明書ベースの認証手続きの際、ユーザは、自分自身のデジタル証明書を認証サービスに提供し、自らが公開鍵に対応する秘密暗号鍵にアクセスできることを証明する必要がある。例えば、認証サービスは、何らかの形式のチャレンジ・データをユーザのクライアント・コンピュータに与え、次いでユーザのクライアント・コンピュータは、ユーザの秘密暗号鍵を用いてチャレンジ・データに署名し、認証サービスは、ユーザの公開鍵を用いてデジタル署名を検証することができる。秘密鍵は、識別情報が証明書に格納されたユーザによって常に秘密に保たれているはずであるため、認証サービスが、チャレンジ・データがユーザの秘密鍵を用いて適切に署名されたと判断したときは、該認証サービスは、ユーザの識別情報を高いレベルまで検証したことになる。
証明書ベースの認証手続きにステップアップする操作は、不可能であることが多い。問題は、典型的には、相互認証されたSSLセッションが、ユーザ名/パスワードの組み合わせといった下位レベルの非証明書ベースの認証についてクライアントとサーバとの間にすでに確立されていることから生じる。ほとんどの市販製品の場合、例えばSSLスタックが何らかの方法でオペレーティング・システムに組み込まれている場合など、証明書ベースの認証手続きを必要とする認証サービスがSSLスタックを制御しない場合には、該認証サービスは、新たなSSLセッションを強制的に確立することができない。したがって、認証サービスは、アクティブなSSLセッション上ですでに行われたユーザ名/パスワードをベースとする認証手続きから、そのアクティブなSSLセッションを維持したまま証明書ベースの認証手続きにステップアップすることができない。
したがって、何らかの目的で認証サービスによって要求される上位レベルのセキュリティを獲得するために、以前に確立されたSSLセッションを終了又は再折衝することなく、非証明書ベースの認証手続きから証明書ベースの認証手続きにステップアップすることが可能な方法及びシステムを有することは有益であろう。
認証操作を実行するための方法が提示される。クライアントがサーバからのリソースを要求したときに、該サーバと該クライアントとの間のSSL(Secure Sockets Layer)セッションを介して、非証明書ベースの認証操作が実行される。クライアントが別のリソースを要求したときに、サーバは、より制限されたレベルの認証にステップアップすることを決定し、証明書ベースの認証操作が、該証明書ベースの認証操作の完了前にSSLセッションを終了又は再折衝することなく該SSLセッションを介して実行される。証明書ベースの認証手続きの間に、実行可能モジュールがSSLセッションを介してサーバからクライアントにダウンロードされ、その後、該サーバは、該クライアントにおいてデジタル証明書を用いて該実行可能モジュールによって生成されたデジタル署名を、該SSLセッションを介して受信する。サーバにおけるデジタル署名の検証の成功に応答して、該サーバは、要求されたリソースへのアクセスを提供する。
本発明の特性と考えられる新規な特徴は、特許請求の範囲に記載される。発明自体、更なる目的、及びその利点は、添付の図面を参照して読んだ時に、以下の詳細な説明を参照することによって最も良く理解されるであろう。
一般に、本発明が備えるか又は本発明に関連する装置は、様々なデータ処理技術を含む。したがって、本発明をより詳細に説明する前に、背景技術として、分散データ処理システム内のハードウェア・コンポーネント及びソフトウェア・コンポーネントの典型的な構成を説明する。
ここで図を参照すると、図1は、各々が本発明の一部を実装することができるデータ処理システムの典型的なネットワークを示す。分散データ処理システム100はネットワーク101を含み、ネットワーク101は、分散データ処理システム100内で相互に接続された種々の装置及びコンピュータ間に通信リンクを提供するために用いることができる媒体である。ネットワーク101は、電線又は光ファイバ・ケーブルなどの永久的な接続、又は、電話回線若しくは無線通信を通じて形成される一時的な接続を含むことができる。図示された例においては、サーバ102及びサーバ103は、ストレージ・ユニット104と共にネットワーク101に接続される。さらに、クライアント105〜107もまた、ネットワーク101に接続される。クライアント105〜107及びサーバ102〜103は、メインフレーム、パーソナル・コンピュータ、携帯情報端末(PDA)などといった種々のコンピューティング装置によって表すことができる。分散データ処理システム100は、図示されていない付加的なサーバ、クライアント、ルータ、他の装置、及びピアツーピア・アーキテクチャを含むことができる。
図示された例においては、分散データ処理システム100は、Lightweight Directory Access Protocol(LDAP)、Tranport Control Protocol/Internet Protocol(TCP/IP)、Hypertext Transport Protocol(HTTP)、Wireless Application Protocal(WAP)などといった、相互に通信するための種々のプロトコルを用いるネットワーク及びゲートウェイの世界規模の集合体を表すネットワーク101を有するインターネットを含むことができる。当然のことながら、分散データ処理システム100は、例えば、イントラネット、ローカル・エリア・ネットワーク(LAN)、又は広域エリア・ネットワーク(WAN)などの、多くの異なるタイプのネットワークを含むこともできる。例えば、サーバ102は、クライアント109と、無線通信リンクを組み込んだネットワーク110とを直接サポートする。ネットワーク対応電話111は、無線リンク112を介してネットワーク110に接続し、PDA113は、無線リンク114を介してネットワーク110に接続する。電話111及びPDA113はまた、Bluetooth(商標)無線技術などの適切な技術を用いる無線リンク115を介して互いの間で直接データを転送し、いわゆるパーソナル・エリア・ネットワーク(PAN)又はパーソナル・アドホック・ネットワークを形成することができる。同様の方法で、PDA113は、無線通信リンク116を介してPDA107にデータを転送することができる。
本発明は、種々のハードウェア・プラットフォーム上に実装することができる、すなわち、図1は、異種コンピューティング環境の一例であり、本発明についてのアーキテクチャ上の制限として意図するものではない。
ここで図2を参照すると、図は、図1において示されるシステムのような、本発明を実装することができるデータ処理システムの典型的なコンピュータ・アーキテクチャを示す。データ処理システム120は、内部システム・バス123に接続された1つ又は複数の中央演算処理装置(CPU)122を含み、内部システム・バス123は、ランダム・アクセス・メモリ(RAM)124と、読み取り専用メモリ126と、プリンタ130、ディスク・ユニット132、又は音声出力システムなどのような図示されない他の装置といった種々のI/O装置をサポートする入力/出力アダプタ128とを、相互接続する。システム・バス123はまた、通信リンク136へのアクセスを提供する通信アダプタ134を接続する。ユーザ・インターフェース・アダプタ148は、キーボード140及びマウス142、又はタッチ・スクリーン、スタイラス、マイクロフォンなどのような図示されない他の装置といった種々のユーザ装置を接続する。ディスプレイ・アダプタ144は、システム・バス123をディスプレス装置146に接続する。
当業者であれば、図2のハードウェアは、システム実装に応じて変えることができることが分かるであろう。例えば、システムは、Intel(商標)Pentium(商標)ベースのプロセッサ及びデジタル信号プロセッサ(DSP)などの1つ又は複数のプロセッサと、1つ又は複数のタイプの揮発性メモリ及び不揮発性メモリとを有するものとすることができる。図2に示されるハードウェアに加えて、又はこれに代えて、他の周辺装置を用いることができる。図示された例は、本発明に関してアーキテクチャ上の制限を意味することを意図するものではない。
本発明は、種々のハードウェア・プラットフォーム上に実装することができることに加えて、種々のソフトウェア環境において実装することができる。典型的なオペレーティング・システムを用いて、各々のデータ処理システム内のプログラム実行を制御することができる。例えば、1つのデバイスがUnix(商標)オペレーティング・システムを動作させることができる一方で、別のデバイスは、単純なJava(商標)ランタイム環境を含む。代表的なコンピュータ・プラットフォームは、画像ファイル、ワード・プロセッシング・ファイル、Extensible Markup Language(XML)、Hypertext Markup Language(HTML)、Handheld Device Markup Language(HDML)、Wireless Markup Language(WML)などの様々なフォーマット、並びに、他の様々なフォーマット及びファイル・タイプを持つハイパーテキスト文書にアクセスするための周知のソフトウェア・アプリケーションであるブラウザを含むことができる。
本発明は、図1及び図2に関して上述したように、種々のハードウェア・プラットフォーム及びソフトウェア・プラットフォーム上に実装することができる。しかしながら、本発明は、より特定的には、改良された認証サービスに向けられる。改良された認証サービスをより詳細に説明する前に、典型的な認証サービスを説明する。
本明細書における図の説明は、クライアント装置又は該クライアント装置のユーザによる特定の動作を伴う。当業者であれば、クライアントとの間の応答及び/又は要求は、時にはユーザによって開始され、時には、多くの場合クライアントのユーザに代わって、該クライアントによって自動的に開始されることが分かるであろう。したがって、図の説明においてクライアント又はクライアントのユーザというときには、「クライアント」及び「ユーザ」という用語は、説明される処理の意味に大きな影響を与えることなく交換可能に用いることができることを理解すべきである。
ここで図3を参照すると、データ・フロー図は、クライアントがサーバにおける保護リソースへのアクセスを試みるときに用いることができる典型的な認証処理を示す。図示されるように、クライアント・ワークステーション150のユーザは、該クライアント・ワークステーション上で実行する該ユーザのウェブ・ブラウザを通じ、コンピュータ・ネットワークを介して、サーバ151上の保護リソースへのアクセスを求める。保護リソースとは、アクセスが制御又は制限されているリソース(アプリケーション、オブジェクト、文書、ページ、ファイル、実行可能コード、又は他のコンピュータ・リソース、通信形式リソースなど)である。保護リソースは、認証され且つ許可されたユーザによってのみアクセス可能な、Uniform Resource Locator(URL)、又はより一般的には、Uniform Resource Identifier(URI)によって特定される。コンピュータ・ネットワークは、図1又は図2に示されるように、インターネット、イントラネット、又は他のネットワークとすることができ、サーバは、ウェブ・アプリケーション・サーバ(WAS)、サーバ・アプリケーション、サーブレット・プロセスなどとすることができる。
処理は、ユーザが、「ibm.com」ドメイン内のウェブ・ページのようなサーバ・サイドの保護リソースを要求したときに開始される(ステップ152)。「サーバ・サイド」及び「ユーザ・サイド」という用語は、それぞれ、ネットワーク環境内のサーバ及びクライアントにおける動作又はエンティティを指す。ウェブ・ブラウザ(又は、関連するアプリケーション若しくはアプレット)は、「ibm.com」ドメインをホスティングするウェブ・サーバに送信されるHTTP要求を生成する(ステップ153)。「要求」及び「応答」という用語は、メッセージ、通信プロトコル情報、又は他の関連情報などの、特定の操作に必要とされる情報の転送に適したデータ・フォーマット設定を含むことが理解されるべきである。
サーバは、このクライアントについてアクティブなセッションがないものと判断し(ステップ154)、そのため、サーバは、該サーバと該クライアントとの間に、該クライアントと該サーバとの間の多数の情報転送を伴うSSL(Secure Sockets Layer)セッションの確立を開始し、完了する。SSLセッションが確立された後は、該SSLセッション内でその後の通信メッセージが転送されるが、該SSLセッション内の通信メッセージは暗号化されているため、いずれの秘密情報も安全に保たれる。
しかしながら、サーバは、ユーザが保護リソースにアクセスすることが可能になる前に該ユーザの識別情報を判断する必要があり、そのため、該サーバは、何らかのタイプの認証チャレンジをクライアントに送信することによって認証処理を実行するようにユーザに要求する(ステップ156)。認証チャレンジは、HTML形式などの様々なフォーマットとすることができる。次いで、ユーザは、ユーザ名又は他のタイプのユーザ識別子などの要求された情報又は必要な情報を、関連するパスワード又は他の形式の秘密情報と共に提供する(ステップ157)。
認証応答情報はサーバに送信され(ステップ158)、その時点で、サーバは、例えば以前に提出された登録情報を検索し、提示された認証情報をユーザの格納済み情報と照合することによって、ユーザ又はクライアントを認証する(ステップ159)。認証が成功した場合には、認証されたユーザ又はクライアントについてアクティブなセッションが確立される。
次いで、サーバは、初めに要求されたウェブ・ページを検索して、HTTP応答メッセージをクライアントに送信し(ステップ160)、それにより、保護リソースについてのユーザの当初要求を実現する。この時点で、ユーザは、ブラウザ・ウィンドウ内のハイパーテキスト・リンクをクリックすることによって「ibm.com」内の別のページを要求することができ、該ブラウザは、別のHTTP要求メッセージをサーバに送信する(ステップ162)。この時点で、サーバは、ユーザがアクティブなセッションを有していることを認識し(ステップ163)、該サーバは、別のHTTP応答メッセージにおいて、要求されたウェブ・ページをクライアントに返信する(ステップ164)。
ここで図4を参照すると、ブロック図は、複数の認証サーバを含むエンタープライズ・ドメインについての典型的なデータ処理システムを示す。典型的な企業コンピューティング環境又はインターネット・ベースのコンピューティング環境の場合と同様に、エンタープライズ・ドメイン170は、ユーザ171が、例えばクライアント装置173上のブラウザ・アプリケーション172を用いることによってネットワーク174を介してアクセスすることが可能な制御されたリソースのホストとして機能する。アプリケーション・サーバ175は、ウェブ・ベースのアプリケーションを介して、又はレガシ・アプリケーションを含む他のタイプのアプリケーションを介してアクセス可能なリソースをサポートする。認証サーバ176は、ユーザ名/パスワード、X.509証明書、又はセキュア・トークンなどの様々な認証機構をサポートする。エンタープライズ・ドメイン170は、複数のサーバをサポートする。プロキシ・サーバ177は、エンタープライズ・ドメイン170に代わって、広範囲の機能を実行する。プロキシ・サーバ177は、例えばアプリケーション・サーバのコンテンツをミラーリングするためにウェブ・ページをキャッシュすること、又は、入力データストリーム・フィルタ・ユニット179及び出力データストリーム・フィルタ・ユニット180を通して、着信及び発信するデータストリームにフィルタをかけることなどのプロキシ・サーバ177の機能を制御するために、管理上、設定ファイル及びエンタープライズ・ポリシー・データベース178を介して設定することができる。入力データストリーム・フィルタ・ユニット179は、要求が着信したときに複数の検査を実行することができ、一方、出力データストリーム・フィルタ・ユニット180は、応答を発信するときに複数の検査を実行することができ、各々の検査は、種々のエンタープライズ・ポリシー内に指定された目標及び条件に従って実行することができる。
エンタープライズ・ドメイン170は、許可サーバ181を含む。許可サーバ181の許可ポリシー管理ユニット182は、ユーザ・レジストリ183及びアクセス制御リスト(ACL)データベース184内の情報を管理する。ポリシー管理ユニット182は、ユーザがドメイン170内のアプリケーション・サーバ175によって提供される特定のサービスにアクセスすることを許可されるかどうかを、これらのサービスについてのユーザ要求に対するポリシーを検査することによって判断する。本明細書の例は、ユーザが、認証された後に全ての制御されたリソースにアクセスすることを許可されるものと仮定するが、本発明の様々な実施形態は、本発明の範囲に影響を与えることなく代替的な許可処理を組み込むことができることに注意すべきである。
エンタープライズ・ドメイン170内の上記のエンティティは、多くのコンピューティング環境内の典型的なエンティティを表す。図3に関して示されたように、ウェブ・ベースのアプリケーションは、種々の手段を利用して、多くの場合はHTML形式内のユーザ名/パスワードの組み合わせとして認証情報を入力するように、ユーザに指示することができる。図4に示される例においては、ユーザ171は、クライアント173がリソースにアクセスする前に認証されることを要求される場合があり、その後、図3において上述されたものと同様の方法で、クライアント173についてのセッションが確立される。図4においては、入力データストリーム・フィルタ・ユニット179は、クライアント173からの着信要求を受信した後で、クライアント173がすでにセッションを確立済みであるかどうかを判断することができ、確立されていない場合には、ユーザ171を認証するために認証サーバ176上の認証サービスを呼び出すことができる。クライアント173がすでにセッションを確立済みである場合には、制御されたリソースへのアクセスを承諾する前に着信要求に対して付加的な検査を実行することかでき、この付加的な検査は、エンタープライズ認証ポリシーの中で指定することができる。
ここで本発明に焦点を移すと、幾つかのシステムはステップアップ認証手続きを実行する必要があることが上記された。しかしながら、ユーザ名/パスワードの組み合わせといった下位レベルの非証明書ベースの認証手続きについてクライアントとサーバとの間にSSLセッションが確立された場合に、認証サービスと該ユーザのブラウザ又は同様のクライアント・アプリケーションとの間で相互認証されたアクティブなSSLセッションを維持しながら、下位レベルの非証明書ベースの認証手続きから上位レベルの証明書ベースの認証手続きにステップアップする操作は不可能であることもまた指摘された。本発明は、既存のSSLセッションを介してユーザ又はユーザのクライアント装置についての証明書ベースの認証手続きを実行するサーバ・サイドの認証サービスを持つことによって、この問題への解決策を提供する。本発明は、残りの図面に関連して以下により詳細に説明される。
ここで図5を参照すると、ブロック図は、本発明に係るステップアップ認証処理を含むように拡張された認証サービスを示す。クライアント200は、図4に関して上述されたものと同様の方法で、様々なウェブ・アプリケーションからリソース及びサービスにアクセスするためのウェブ・ブラウザ・アプリケーション202又は同様のクライアント・アプリケーションを実行する。ブラウザ202は、仮想マシンを含むことができるランタイム環境204をサポートし、ランタイム環境204は、アプレット又はプラグインなどの、様々なタイプのダウンロード可能な実行可能ソフトウェア・モジュールを実行することができる。ブラウザ202及びサポートされたアプレット/プラグインは、クライアントがユーザのデジタル証明書及び/又は暗号鍵を保持する鍵データストア206にアクセスすることができる。さらに、ブラウザ202及びサポートされた実行可能モジュールは、クライアント200において生成された署名のログを収める署名ログ208にアクセスすることができる。署名ログ208はまた、クライアント200からの署名の提出に応答してウェブ・サーバから戻された署名記録/受け取りを収めることができる。
ドメイン210は、アプリケーション・サーバ及び認証サーバを備え、そのうちの少なくとも1つは、本発明のステップアップ認証機能を実装するためのステップアップ認証処理ユニット214を含む認証サービス212をサポートする。認証サービス212はまた、以下により詳細に説明されるように、クライアントから受信するデジタル署名を検証するためのデジタル署名検証ユニット216と、認証サービス212からの要求に応答してクライアントから戻された受信済み署名の記録を格納するための署名ログ218とをサポートする。
ここで図6を参照すると、フローチャートは、相互認証されたアクティブなSSLセッションを維持しながら、下位レベルの非証明書ベースの認証手続きから上位レベルの証明書ベースの認証手続きにステップアップするための処理を示す。図3に関して上述されたように、保護リソースにアクセスするためのユーザ要求を受信したことに応答して、例えばクライアント装置上のブラウザ・アプリケーションにおけるユーザ動作に応答して生成されたHTTP要求メッセージの形式のウェブ・ページ要求の結果として、サーバにおいて典型的な非証明書ベースの認証操作を行うことができる(ステップ302)。相互認証されたSSLセッションをクライアントとサーバとの間に確立した後で、該サーバは、該SSLセッションを介して、非証明書ベースの認証操作、例えば有効なユーザ名/パスワードの組み合わせ又は他の何らかの秘密情報を提供するためのクライアント/ユーザに対するチャレンジを実行する(ステップ304)。非証明書ベースの認証操作の完了が成功した場合には、サーバは、例えば応答メッセージを戻すか又は他の何らかの動作を実行することによって、初めに要求されたリソースをクライアントに提供する(ステップ306)。
しかしながら、図3が非証明書ベースの認証操作のみを示すのに対して、図6は、本発明が証明書ベースの認証操作によってもたらされるような上位レベルのセキュリティにステップアップするための処理を提供する方法を示すことにより続けられるという点で、図6は図3と異なる。
非証明書ベースの認証操作が完了し、以前の非証明書ベースの認証操作によって保護されるクライアント・セッションの間にサーバが保護リソースを提供した後のある時点で、該サーバは、上位レベルのセキュリティによって制御される保護リソース、すなわちその特定のリソースへのアクセスがより制限される保護リソースについての要求を受信する(ステップ308)。それに応答して、サーバは、該サーバとクライアントとの間に以前に確立されたSSLセッションを介して、該クライアントについての証明書ベースの認証操作を実行する(ステップ310)が、これは、その時点のSSLセッションを中断すること、その時点のSSLセッションを再折衝すること、又はその時点のSSLセッションを終了することなく行われる。証明書ベースの認証操作の完了が成功した場合には、サーバは、例えば応答メッセージを戻すか又は他の何らかの動作を実行することによって、より制限されたリソースをクライアントに提供し、処理は終了する。このように、非証明書ベースの認証操作のために以前に用いられたものと同じSSLセッションを介して、証明書ベースの認証操作が行われる。
「非証明書ベースの認証操作」という用語の使用は、ユーザ/クライアントの識別情報を判断するための第1の認証操作がデジタル証明書を使用しないという事実を指すことに留意すべきである。(非証明書ベースの認証操作において使用される秘密情報、例えばパスワードを安全に伝送するために用いられる場合がある)SSLセッションを確立するためにクライアント・サイドのデジタル証明書を用いることは、本明細書では、非証明書ベースの認証操作における証明書の使用とは見なされない。
ここで図7を参照すると、フローチャートは、本発明の実施形態に係るステップアップした証明書ベースの認証操作のための、サーバにおける具体的な処理の更なる詳細を示す。図7に示される処理は、主として、図6におけるステップ308〜312についての更なる詳細を提供するものである。図7の処理におけるステップは、サーバ・サイドのデータ処理システム、例えば図5において示される分散データ処理システムと同様のシステム内で行われ、説明を容易にするために、処理をその全体が1つのサーバ内で行われるよう説明するが、処理は、複数のサーバ、アプリケーション、及び/又は装置にわたって実装することができるであろう。本例は、HTTPメッセージ及びHTMLページの使用を説明するが、本発明は、他のプロトコル及びメッセージ/文書フォーマットをサポートするように実装することができる。
処理は、非証明書ベースの認証操作、例えば図6におけるステップ302〜306に示されるような非証明書ベースの認証操作がSSLセッションを介して行われた後で、サーバがクライアントからのリソース要求を受信することによって始まる(ステップ402)。したがって、サーバは、すでに該サーバとアクティブなセッションを確立したクライアントからリソース要求を受信したことを認識し、図3とは対照的に、該サーバは、認証操作を完了するように直ちにクライアントに求めるのではなく、該要求に応答することに進む。
次いで、サーバは、要求されたリソースへのアクセスが、クライアントとの間ですでに完了した非証明書ベースの認証操作によって提供された下位レベルのセキュリティではなく、証明書ベースの認証操作によって提供することができる上位レベルのセキュリティを必要とすることを決定する(ステップ404)。サーバは、本発明の範囲に影響を与えることなく、種々の処理を通じてこの決定を行うことができる。1つの例として、着信リソース要求は、図4におけるサーバ177などのプロキシ・サーバによって、フィルタをかけるか又は走査することができる。要求されたURIを着信要求メッセージから抽出した後で、抽出されたURIは、該抽出されたURIに関連するポリシーと照合される。関連するポリシーは、いずれかの認証要件又は他のセキュリティ手順を含む、URIに適切に応答するために実行されるべき適切な動作を示す。ポリシーが、要求に応答する前に証明書ベースの認証操作の完了が成功しなければならないことを示す場合、及び、要求しているクライアントとの間で証明書ベースの認証操作がまだ完了していない場合には、図7において示される処理の残りのステップに示すように、認証のレベルをステップアップするための手続きが開始される。この例においては、アプリケーション・サーバは、認証要件を認識していないが、他の実施形態は、本発明の範囲に影響を与えることなく、何らかの方法でアプリケーション・サーバを関与させることができる。
次いで、サーバは、ソフトウェア・モジュールをサーバからクライアントにダウンロードすること、及び/又は、クライアントにおいてソフトウェア・モジュールの実行を開始させることに進む(ステップ406)。ソフトウェア・モジュールをダウンロードする方法又は実行を開始させる方法は、変えることができる。第1の実施形態においては、サーバは、例えばクライアントからの初めの要求、すなわち証明書ベースの認証操作を必要とすることが決定された要求に対するHTTP応答メッセージのコンテンツ・ペイロードとして戻されるHTMLウェブ・ページ内にJavaアプレットを埋め込むことによって、アプレット又はプラグインをブラウザなどのクライアント・アプリケーションにダウンロードする。それに応答して、ブラウザは、そのアプレットをウェブ・ページの通常の解釈及び処理の一部として読み込む。
代替的な実施形態においては、サーバは、特定のMIME(Multipurpose Internet Mail Extension)タイプを有するコンテンツを含むことを示すメッセージ本文をクライアントに戻すことができる。それに応答して、クライアントのブラウザ・アプリケーションは、特定のMIMEタイプを処理することができるものとして以前にブラウザに登録された適切なプラグインを読み込む。幾つかの場合においては、特定のMIMEタイプについてのプラグインが登録されていない場合には、ブラウザは、適切なプラグインを探すようにユーザに指示する。このように、ブラウザは、サーバがソフトウェア・モジュールをクライアントにダウンロードする必要がないように、後述される処理ステップを行うことができるソフトウェア・モジュールを予め持つことができる。
いずれの場合においても、保護リソースについての要求を送信するクライアント・アプリケーションは、以前にアクティブにされたSSLセッションを維持し、サーバは、証明書ベースの認証手続きについてのクライアント・サイドのステップを行うソフトウェア・モジュールを該クライアント・アプリケーションに実行させるために、該SSLセッションを介して適切なメッセージを該クライアント・アプリケーションに送信するが、幾つかの場合においては、サーバはソフトウェア・モジュールをダウンロードすることもでき、別の場合においては、ソフトウェア・モジュールはすでにクライアントに存在しているものとすることができる。本発明は、標準的なインターネット関連プロトコル及び仕様に準拠するため、本発明は、クライアント・アプリケーションがサーバ・サイドの認証要件に応答するためのビルトイン機能を持つことを前提としないステップアップ認証操作の方法を提供する。サーバは、周知のインターネット関連技術及びワールド・ワイド・ウェブ関連技術を通じて、ブラウザ及び同様のクライアント・アプリケーションの拡張性を利用することによって、必要な機能を持つソフトウェア・モジュールを提供することができる。
引き続き図7を参照すると、サーバは、次に、ソフトウェア・モジュールによってデジタル署名されることになるチャレンジ・データをダウンロードする(ステップ408)。チャレンジ・データは、クライアントにおけるアプレット、プラグイン、又は他のソフトウェア・モジュール内にあり、該チャレンジ・データ上にデジタル署名を生成するデジタル署名アルゴリズムへの入力として用いることができる何らかのタイプのデータ項目である。チャレンジ・データのフォーマットは、使用されるデジタル署名アルゴリズムによって決まるものとすることができ、本発明は、1つ又は複数の標準的な又は専用のデジタル署名アルゴリズムをサポートすることができる。
サーバは、ダウンロードされるアプレットと共にチャレンジ・データをダウンロードすることができ、又は、チャレンジ・データは、後のメッセージに入れて送信することができる。代替的には、クライアントにおけるアプレット、プラグイン、又は他のソフトウェア・モジュールは、チャレンジ・データを要求することができ、サーバは、それに応答してチャレンジ・データを戻す。代替的には、クライアントは、例えばサーバによって以前にクライアントに戻されたキャッシュ済みウェブ・ページなどのチャレンジ・データをすでに持っている場合がある。
その後のいずれかの時点において、サーバは、クライアントからデジタル署名を受信し(ステップ410)、該サーバは、ユーザ/クライアントの適切な公開鍵証明書を用いて該デジタル署名を検証する(ステップ412)。サーバは、ディレクトリから公開鍵証明書を検索することができ、又は、公開鍵証明書は、クライアントからのデジタル署名を伴うメッセージを添付することができ、公開鍵証明書の信頼性は、認証局及び種々の証明書取り消し機構を通じて検証可能である。有効な公開鍵証明書に示される個人/エンティティのみが、公開鍵に対応する秘密鍵を所有するはずであるため、デジタル署名が検証された場合には、クライアントは、非対称の公開暗号鍵/秘密暗号鍵の対における公開鍵に対応する秘密鍵を所有しており、それによってクライアント/ユーザの識別情報を立証することを示している。デジタル署名の検証に成功した場合には、サーバは、否認防止を目的として、例えば、該デジタル署名の複製、検証可能なタイムスタンプ、及び該デジタル署名を受信したIPアドレスと共にデータベース記録を生成することによって、デジタル署名の受信を記録することができる(ステップ414)。デジタル署名の検証に成功することによって、証明書ベースの認証操作が完了し、結果として、サーバは、該サーバが証明書ベースの認証操作を試みる前にクライアントによって要求されたリソースへのアクセスを提供し(ステップ416)、それによって、図7に示される処理を終了する。
ここで図8を参照すると、フローチャートは、本発明の実施形態に係るステップアップした証明書ベースの認証操作のための、クライアントにおける処理を示す。サーバ・サイドの処理を示す図7とは対照的に、図8は、クライアント・サイドの処理を示す。処理は、クライアントがサーバとの間でSSLセッションをすでに確立し、該サーバとの間で非証明書ベースの認証操作を完了することに成功した後で、該クライアントがリソースについての要求メッセージを該サーバに送信することによって始まる(ステップ502)。要求に応答して、クライアントは、証明書ベースの認証操作をサポートするソフトウェア・モジュールを含むか、又はそのようなソフトウェア・モジュールの実行を開始させる、応答メッセージを受信する(ステップ504)。クライアントは、ブラウザなどのクライアント・アプリケーションによってサポートされる仮想マシン内で実行可能なJavaアプレットなどのアプレットを受信することができる。代替的に、クライアントは、特定のMIMEタイプのコンテンツを含むメッセージを受信し、それにより、クライアント・アプリケーションを作動させて、示されるMIMEタイプを有するオブジェクトを処理するプラグインを起動することができる。
さらに、クライアント・アプリケーションは、デジタル署名を生成する時に用いられるチャレンジ・データを受信することができる(ステップ506)。代替的に、クライアント・アプリケーションは、デジタル署名アルゴリズムへの入力として用いることができるデータ項目をすでに持っている場合もある。いずれの場合においても、クライアントによって用いられるデジタル署名アルゴリズムへの入力データは、該入力データ上に生成されるデジタル署名をサーバが検証するために、該サーバに知られていなければならない。したがって、デジタル署名アルゴリズムへの入力データは、クライアントによって選択され、それに続いて、例えば生成されたデジタル署名と共にSSLセッションを介してサーバに送ることができる。
クライアント・アプリケーションは、デジタル署名を生成することを開始させられた後、又はデジタル署名を生成することを決定した後のいずれかの時点において、デジタル署名を生成し(ステップ508)、該デジタル署名をサーバに送信する(ステップ510)。さらに、クライアント・アプリケーションは、タイムスタンプ、及び場合によっては否認防止手続きに役立つ他の情報と共に、デジタル署名の生成を記録することができる(ステップ512)。デジタル署名が適切に生成された場合には、クライアントは、以前に確立されたSSLセッションを介してステップアップした証明書ベースの認証操作を完了することに成功したことになり、次いでクライアントは、例えばウェブ・ページを受信することによって要求したリソースへのアクセスを受け(ステップ514)、それによりクライアント・サイドの処理を終了する。
デジタル署名を生成し、検証する方法は、本発明の範囲に影響を与えることなく、周知の規格又は専用の処理に従って変えることができる。例えば、以前に確立されたSSLセッションを介してステップアップした証明書ベースの認証処理を実行するというサーバの決定に応答して、クライアントのブラウザが、埋め込まれたアプレットを持つHTMLページを受信した時に、クライアント・サイドの処理を行うことができる。ブラウザは、ウェブ・ページを処理し、クライアント上のファイルなどの鍵データストアの識別子を、その鍵データストアのロックを解除するパスワードと共に入力するようにユーザに指示するアプレットを実行する。アプレットがユーザに指示する機構又は他の方法で作動する機構は、本発明の実装形態に応じて変えることができる。アプレットは、保留中の要求についてデジタル署名を作成する必要性を説明するブラウザ・ウィンドウ内のウェブ・ページを提示することによってユーザに指示することができ、提示されたウェブ・ページは、ユーザがデジタル署名についての要求を承認又は非承認とすることができるようにするOKボタン及びキャンセル・ボタンを有することができる。さらに、提示されたウェブ・ページは、ユーザがチャレンジ・データを見直すことができるように、署名されている該チャレンジ・データを確認表示することができる。
典型的には、鍵データストアは、非対称暗号機能のための秘密鍵/公開鍵対のうちの秘密鍵を保持する。鍵データストアは、ブラウザ・アプリケーション、アプレット、又はクライアント・オペレーション・システムといった種々のエンティティによって管理することができる。ブラウザは、暗号情報の使用に関する種々の規格に準拠するものとすることができる。例えば、「PKCS#7:Cryptographic Message Syntax」、RFC(Request for Comments)2315、Internet Engineering Task Force(IETF)は、デジタル署名及びデジタル・エンベロープなどのデータに適用される暗号方式を有するデータについての一般的な構文を記述するPKCS(Public Key Cryptographic System)仕様である。別の例として、「PKCS#11:Cryptographic Token Interface Standard」、RSA Security, Inc.は、暗号情報を保持し、暗号機能を実行する装置のためのアプリケーション・プログラミング・インターフェース(API)を記述するPKCS仕様である。
ユーザが、要求された情報を入力し、該ユーザの秘密鍵の使用を承認することを示した後で、アプレットは、好ましくはWorld Wide Web Consortium(W3C)によって標準化されたXMLデジタル署名の形式で、デジタル署名を生成する。デジタル署名は、続いて検証されることになるデータ項目の組、すなわちいわゆる「署名情報」に適切な署名アルゴリズムを適用することによって作成され、このシナリオにおいては、署名されたデータは、最低限は、チャレンジ・データを含むことになる。XML署名は、デジタル署名を検証するのに用いられるべきユーザの公開鍵証明書を含むことができる、いわゆる「キー情報」も含む。次いで、アプレットは、XML署名をウェブ・サーバに送信し、デジタル署名を生成する処理が完了する。
本発明の利点は、上述された詳細な説明を考慮すれば明らかとなるはずである。本発明は、ユーザ名/パスワードの組み合わせといった下位レベルの非証明書ベースの認証手続きについてクライアントとサーバとの間にSSLセッションが確立された場合に、認証サービスとユーザのブラウザ又は同様のクライアント・アプリケーションとの間で相互認証されたアクティブなSSLセッションを維持しながら、下位レベルの非証明書ベースの認証手続きから上位レベルの証明書ベースの認証手続きにステップアップするための認証操作を提供する。
本発明は、既存のSSLセッションを介してユーザ又はユーザのクライアント装置についての証明書ベースの認証手続きを実行するサーバ・サイドの認証サービスを持つことによって、この問題への解決策を提供する。認証サービスは、必要に応じて、既存のSSLセッションを介して実行可能モジュールをクライアントにダウンロードする。次いで、実行可能モジュールは、クライアント・サイドのデジタル証明書を用いてデジタル署名を生成し、該デジタル署名は、以前に確立されたSSLセッションを介して戻される。認証サービスがデジタル署名を検証した後、証明書ベースの認証手続きは完了する。このようにして、認証サービスは、既存のSSLセッションを終了又は再折衝する必要なく、証明書ベースの認証にステップアップすることができる。
完全に機能するデータ処理システムを背景として本発明を説明したが、当業者であれば、本発明の処理は、配布を行うのに実際に用いられる特定のタイプの信号支持媒体に関わらず、コンピュータ可読媒体内の命令の形態で、及び他の様々な形態で、配布できることが分かるであろうということに留意することが重要である。コンピュータ可読媒体の例には、EPROM、ROM、テープ、紙、フロッピー(商標)ディスク、ハード・ディスク・ドライブ、RAM、及びCD−ROMなどの媒体、並びに、デジタル通信リンク及びアナログ通信リンクなどの伝送タイプの媒体が含まれる。
方法は、一般に、所望の結果に至る自己矛盾のない一連のステップであると理解される。これらのステップは、物理量の物理的な操作を必要とする。必須ではないが通常は、これらの量は、格納するか、転送するか、組み合わせるか、比較するか、又は他の方法で操作することが可能な電気的信号又は磁気的信号の形態をとる。時には、主に一般的な用法であるという理由で、これらの信号を、ビット、値、パラメータ、項目、要素、記号、文字、語、数などと呼ぶのが都合がよい。しかしながら、これらの用語の全て及び同様の用語は、適切な物理量と関連付けられるものであり、これらの量に付される都合の良いラベルに過ぎないことに留意されたい。
本発明の説明は、例示の目的で提示されたものであって、包括的であること、又は、開示された実施形態に限定されることを意図するものではない。当業者であれば、多くの修正及び変形が明らかであろう。本実施形態は、本発明の原理及びその実際の用途を説明するために、並びに、考え得る他の用途に適合するような種々の修正を伴う種々の実施形態を実施するために当業者以外の者が本発明を理解することが可能になるように、選択されたものである。
各々が本発明を実装することができるデータ処理システムの典型的なネットワークを示す。 本発明を実装することができるデータ処理システム内で用いることができる典型的なコンピュータ・アーキテクチャを示す。 クライアントがサーバにおける保護リソースへのアクセスを試みるときに用いることができる典型的な認証処理を説明するデータ・フロー図を示す。 複数の認証サーバを含むエンタープライズ・ドメインについての典型的なデータ処理システムを示すブロック図を示す。 本発明に係るステップアップ認証処理を含むように拡張された認証サービスを示すブロック図を示す。 相互認証されたアクティブなSSLセッションを維持しながら、下位レベルの非証明書ベースの認証手続きから上位レベルの証明書ベースの認証手続きにステップアップするための処理を示すフローチャートを示す。 本発明の実施形態に係るステップアップした証明書ベースの認証操作のための、サーバにおける具体的な処理の更なる詳細を説明するフローチャートを示す。 本発明の実施形態に係るステップアップした証明書ベースの認証操作のための、クライアントにおける処理を説明するフローチャートを示す。

Claims (33)

  1. 認証操作を実行するための方法であって、
    サーバとクライアントとの間のSSL(Secure Sockets Layer)セッションを介して非証明書ベースの認証操作を実行するステップと、
    前記非証明書ベースの認証操作を実行した後で、証明書ベースの認証操作を、前記証明書ベースの認証操作の完了前に前記SSLセッションを終了又は再折衝することなく前記サーバと前記クライアントとの間の前記SSLセッションを介して実行するステップと、
    を含む方法。
  2. 前記SSLセッションの折衝が、クライアントからの第1のデジタル証明書を用い、前記証明書ベースの認証操作が、前記クライアントからの第2のデジタル証明書を用い、前記第1のデジタル証明書と前記第2のデジタル証明書とは同一ではない、請求項1に記載の方法。
  3. 前記非証明書ベースの認証操作に関連するサーバによって、第1のリソースへのアクセスをクライアントに提供するステップをさらに含む、請求項1又は請求項2に記載の方法。
  4. 前記第1のリソースへのアクセスを提供するステップが、
    前記クライアントからの第1のリソース要求を前記サーバで受信するステップと、
    前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアントとの間にSSL(Secure Sockets Layer)セッションを確立するステップと、
    前記SSLセッションを介して前記サーバと前記クライアントとの間で前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアントに第1のリソース応答を送信するステップと、
    を含む、請求項3に記載の方法。
  5. 前記証明書ベースの認証操作に関連するサーバによって、第2のリソースへのアクセスをクライアントに提供するステップをさらに含む、請求項1から請求項4までのいずれか1つの請求項に記載の方法。
  6. 前記第2のリソースへのアクセスを提供するステップが、
    前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信するステップと、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバから前記クライアントに実行可能モジュールをダウンロードするステップと、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記サーバで受信するステップと、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース応答を送信するステップと、
    を含む、請求項5に記載の方法。
  7. 前記第2のリソースへのアクセスを提供するステップが、
    前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信するステップと、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバによって前記クライアントにおけるダウンロード可能ソフトウェア・モジュールの実行を開始させるステップと、
    前記クライアントにおいてデジタル証明書を用いて前記ダウンロード可能ソフトウェア・モジュールの実行によって生成されたデジタル署名を、前記サーバで受信するステップと、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース要求を送信するステップと、
    を含む、請求項5に記載の方法。
  8. 前記証明書ベースの認証操作に関連して、クライアントがサーバにおける第2のリソースへのアクセスを取得するステップをさらに含む、請求項1から請求項7までのいずれか1つの請求項に記載の方法。
  9. 前記第2のリソースへのアクセスを取得するステップが、
    前記SSLセッションを介して、前記クライアントから前記サーバに第2のリソース要求を送信するステップと、
    証明書ベースの認証操作を行うための機能を備える実行可能モジュールを、前記クライアントにおいて、前記SSLセッションを介して前記サーバから受信するステップと、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバに送信するステップと、
    前記サーバからの第2のリソース応答を前記クライアントで受信するステップと、
    を含む、請求項8に記載の方法。
  10. 前記第2のリソースへのアクセスを取得するステップが、
    前記SSLセッションを介して、前記クライアントから前記サーバに第2のリソース要求を送信するステップと、
    関連するコンテンツ・タイプ標識を伴うコンテンツを有する応答メッセージを、前記クライアントにおいて、前記SSLセッションを介して前記サーバから受信するステップと、
    前記コンテンツのコンテンツ・タイプを決定したことに応答して、前記クライアントにおいてダウンロード可能ソフトウェア・モジュールを実行するステップと、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバに送信するステップと、
    前記サーバからの第2のリソース応答を前記クライアントで受信するステップと、
    を含む、請求項8に記載の方法。
  11. 認証操作を実行するための装置であって、
    サーバとクライアントとの間のSSL(Secure Sockets Layer)セッションを介して非証明書ベースの認証操作を実行する手段と、
    前記非証明書ベースの認証操作を実行した後で、証明書ベースの認証操作を、前記証明書ベースの認証操作の完了前に前記SSLセッションを終了又は再折衝することなく前記サーバと前記クライアントとの間の前記SSLセッションを介して実行する手段と、
    を備える装置。
  12. 前記SSLセッションの折衝が、クライアントからの第1のデジタル証明書を用い、前記証明書ベースの認証操作が、前記クライアントからの第2のデジタル証明書を用い、前記第1のデジタル証明書と前記第2のデジタル証明書とは同一ではない、請求項11に記載の装置。
  13. 前記非証明書ベースの認証操作に関連するサーバによって、第1のリソースへのアクセスをクライアントに提供する手段をさらに備える、請求項11又は請求項12に記載の装置。
  14. 前記第1のリソースへのアクセスを提供する手段が、
    前記クライアントからの第1のリソース要求を前記サーバで受信する手段と、
    前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアントとの間にSSL(Secure Sockets Layer)セッションを確立する手段と、
    前記SSLセッションを介して前記サーバと前記クライアントとの間で前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアントに第1のリソース応答を送信する手段と、
    を備える、請求項13に記載の装置。
  15. 前記証明書ベースの認証操作に関連するサーバによって、第2のリソースへのアクセスをクライアントに提供する手段をさらに備える、請求項11から請求項14までのいずれか1つの請求項に記載の装置。
  16. 前記第2のリソースへのアクセスを提供する手段が、
    前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバから前記クライアントに実行可能モジュールをダウンロードする手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記サーバで受信する手段と、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース応答を送信する手段と、
    を備える、請求項15に記載の装置。
  17. 前記第2のリソースへのアクセスを提供する手段が、
    前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバによって前記クライアントにおけるダウンロード可能ソフトウェア・モジュールの実行を開始させる手段と、
    前記クライアントにおいてデジタル証明書を用いて前記ダウンロード可能ソフトウェア・モジュールの実行によって生成されたデジタル署名を、前記サーバで受信する手段と、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース要求を送信する手段と、
    を備える、請求項15に記載の装置。
  18. 前記証明書ベースの認証操作に関連して、クライアントがサーバにおける第2のリソースへのアクセスを取得する手段をさらに備える、請求項11から請求項17までのいずれか1つの請求項に記載の装置。
  19. 前記第2のリソースへのアクセスを取得する手段が、
    前記SSLセッションを介して、前記クライアントから前記サーバに第2のリソース要求を送信する手段と、
    証明書ベースの認証操作を行うための機能を備える実行可能モジュールを、前記クライアントにおいて、前記SSLセッションを介して前記サーバから受信する手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバに送信する手段と、
    前記サーバからの第2のリソース応答を前記クライアントで受信する手段と、
    を備える、請求項18に記載の装置。
  20. 前記第2のリソースへのアクセスを取得する手段が、
    前記SSLセッションを介して、前記クライアントから前記サーバに第2のリソース要求を送信する手段と、
    関連するコンテンツ・タイプ標識を伴うコンテンツを有する応答メッセージを、前記クライアントにおいて、前記SSLセッションを介して前記サーバから受信する手段と、
    前記コンテンツのコンテンツ・タイプを決定したことに応答して、前記クライアントにおいてダウンロード可能ソフトウェア・モジュールを実行する手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバに送信する手段と、
    前記サーバからの第2のリソース応答を前記クライアントで受信する手段と、
    を備える、請求項18に記載の装置。
  21. データ処理システムにおいて用いるコンピュータ可読媒体内の、認証操作を実行するためのコンピュータ・プログラムであって、
    サーバとクライアントの間のSSL(Secure Sockets Layer)セッションを介し、非証明書ベースの認証操作を実行する手段と、
    前記非証明書ベースの認証操作を実行した後で、証明書ベースの認証操作の完了に先立つSSLセッションを終了又は再折衝することなく、サーバとクライアントの間のSSLセッションを介し、前記証明書ベースの認証操作を実行する手段と、
    を含むコンピュータ・プログラム。
  22. 前記SSLセッションの折衝が、クライアントからの第1のデジタル証明書を用い、前記証明書ベースの認証操作が、前記クライアントからの第2のデジタル証明書を用い、前記第1のデジタル証明書と前記第2のデジタル証明書とは同一ではない、請求項21に記載のコンピュータ・プログラム。
  23. 前記非証明書ベースの認証操作に関連するサーバによって、第1のリソースへのアクセスをクライアントに提供する手段をさらに含む、請求項21又は請求項22に記載のコンピュータ・プログラム。
  24. 前記第1のリソースへのアクセスを提供する手段が、
    前記クライアントからの第1のリソース要求を前記サーバで受信する手段と、
    前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアントとの間にSSL(Secure Sockets Layer)セッションを確立する手段と、
    前記SSLセッションを介して前記サーバと前記クライアントとの間で前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアントに第1のリソース応答を送信する手段と、
    を含む、請求項23に記載のコンピュータ・プログラム。
  25. 前記証明書ベースの認証操作に関連するサーバによって、第2のリソースへのアクセスをクライアントに提供する手段をさらに含む、請求項21から請求項24までのいずれか1つの請求項に記載のコンピュータ・プログラム。
  26. 前記第2のリソースへのアクセスを提供する手段が、
    前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバから前記クライアントに実行可能モジュールをダウンロードする手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記サーバで受信する手段と、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース応答を送信する手段と、
    を含む、請求項25に記載のコンピュータ・プログラム。
  27. 前記第2のリソースへのアクセスを提供する手段が、
    前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバによって前記クライアントにおけるダウンロード可能ソフトウェア・モジュールの実行を開始させる手段と、
    前記クライアントにおいてデジタル証明書を用いて前記ダウンロード可能ソフトウェア・モジュールの実行によって生成されたデジタル署名を、前記サーバで受信する手段と、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース要求を送信する手段と、
    を含む、請求項25に記載のコンピュータ・プログラム。
  28. 前記証明書ベースの認証操作に関連して、クライアントがサーバにおける第2のリソースへのアクセスを取得する手段をさらに含む、請求項21から請求項27までのいずれか1つの請求項に記載のコンピュータ・プログラム。
  29. 前記第2のリソースへのアクセスを取得する手段が、
    前記SSLセッションを介して、前記クライアントから前記サーバに第2のリソース要求を送信する手段と、
    証明書ベースの認証操作を行うための機能を備える実行可能モジュールを、前記クライアントにおいて、前記SSLセッションを介して前記サーバから受信する手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバに送信する手段と、
    前記サーバからの第2のリソース応答を前記クライアントで受信する手段と、
    を含む、請求項28に記載のコンピュータ・プログラム。
  30. 前記第2のリソースへのアクセスを取得する手段が、
    前記SSLセッションを介して、前記クライアントから前記サーバに第2のリソース要求を送信する手段と、
    関連するコンテンツ・タイプ標識を伴うコンテンツを有する応答メッセージを、前記クライアントにおいて、前記SSLセッションを介して前記サーバから受信する手段と、
    前記コンテンツのコンテンツ・タイプを決定したことに応答して、前記クライアントにおいてダウンロード可能ソフトウェア・モジュールを実行する手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバに送信する手段と、
    前記サーバからの第2のリソース応答を前記クライアントで受信する手段と、
    を含む、請求項28に記載のコンピュータ・プログラム。
  31. 認証操作を実行するための方法であって、
    クライアントからの第1のリソース要求をサーバで受信するステップと、
    前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアントとの間にSSL(Secure Sockets Layer)セッションを確立するステップと、
    前記SSLセッションを介して非証明書ベースの認証操作を実行するステップと、
    前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアントに第1のリソース応答を送信するステップと、
    前記非証明書ベースの認証操作を実行した後で、前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信するステップと、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバから前記クライアントに実行可能モジュールをダウンロードするステップと、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバで受信するステップと、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース応答を送信するステップと、
    を含む方法。
  32. 認証操作を実行するための装置であって、
    クライアントからの第1のリソース要求をサーバで受信する手段と、
    前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアントとの間にSSL(Secure Sockets Layer)セッションを確立する手段と、
    前記SSLセッションを介して非証明書ベースの認証操作を実行する手段と、
    前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアントに第1のリソース応答を送信する手段と、
    前記非証明書ベースの認証操作を実行した後で、前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバから前記クライアントに実行可能モジュールをダウンロードする手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース応答を送信する手段と、
    を備える装置。
  33. データ処理システムにおいて用いるコンピュータ可読媒体内の、認証操作を実行するためのコンピュータ・プログラムであって、
    クライアントからの第1のリソース要求をサーバで受信する手段と、
    前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアントとの間にSSL(Secure Sockets Layer)セッションを確立する手段と、
    前記SSLセッションを介して非証明書ベースの認証操作を実行する手段と、
    前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアントに第1のリソース応答を送信する手段と、
    前記非証明書ベースの認証操作を実行した後で、前記クライアントからの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバから前記クライアントに実行可能モジュールをダウンロードする手段と、
    前記クライアントにおいてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバで受信する手段と、
    前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアントに第2のリソース応答を送信する手段と、
    を含むコンピュータ・プログラム。
JP2006519925A 2003-07-17 2004-07-09 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム Expired - Lifetime JP4886508B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/621,927 2003-07-17
US10/621,927 US7395424B2 (en) 2003-07-17 2003-07-17 Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
PCT/EP2004/051435 WO2005015872A1 (en) 2003-07-17 2004-07-09 Method and system for stepping up to certificate-based authentication without breaking an existing ssl session

Publications (3)

Publication Number Publication Date
JP2009514262A true JP2009514262A (ja) 2009-04-02
JP2009514262A5 JP2009514262A5 (ja) 2009-06-25
JP4886508B2 JP4886508B2 (ja) 2012-02-29

Family

ID=34063095

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006519925A Expired - Lifetime JP4886508B2 (ja) 2003-07-17 2004-07-09 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム

Country Status (9)

Country Link
US (1) US7395424B2 (ja)
EP (1) EP1661362B1 (ja)
JP (1) JP4886508B2 (ja)
KR (1) KR100946110B1 (ja)
CN (1) CN100534092C (ja)
AT (1) ATE446638T1 (ja)
CA (1) CA2528486C (ja)
DE (1) DE602004023728D1 (ja)
WO (1) WO2005015872A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012222594A (ja) * 2011-04-08 2012-11-12 Hitachi Ltd 署名サーバ、署名システム、および、署名処理方法
JP2016029848A (ja) * 2015-11-04 2016-03-03 ブラザー工業株式会社 プリンタ
JP2017091209A (ja) * 2015-11-10 2017-05-25 富士通株式会社 認証制御方法、認証プログラム、エージェントプログラム、サーバ装置、及びクライアント装置
JP2022508010A (ja) * 2018-10-02 2022-01-19 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 非接触カードの暗号化認証のためのシステムおよび方法

Families Citing this family (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7403995B2 (en) * 2003-01-08 2008-07-22 Outhink, Inc. Symmetrical bi-directional communication
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
US20050228999A1 (en) * 2004-04-09 2005-10-13 Arcot Systems, Inc. Audit records for digitally signed documents
US8185945B1 (en) * 2005-03-02 2012-05-22 Crimson Corporation Systems and methods for selectively requesting certificates during initiation of secure communication sessions
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US8397287B2 (en) 2006-08-21 2013-03-12 Citrix Systems, Inc. Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute
US8943304B2 (en) * 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US20060294366A1 (en) * 2005-06-23 2006-12-28 International Business Machines Corp. Method and system for establishing a secure connection based on an attribute certificate having user credentials
NL1030558C2 (nl) * 2005-11-30 2007-05-31 Sdu Identification Bv Systeem en werkwijze voor het aanvragen en verstrekken van een autorisatiedocument.
US8316429B2 (en) * 2006-01-31 2012-11-20 Blue Coat Systems, Inc. Methods and systems for obtaining URL filtering information
FR2897489B1 (fr) * 2006-02-15 2008-04-25 Credit Lyonnais Sa Authentification en toute confiance d'un utilisateur par un serveur
US20070283142A1 (en) * 2006-06-05 2007-12-06 Microsoft Corporation Multimode authentication using VOIP
US20070283143A1 (en) * 2006-06-06 2007-12-06 Kabushiki Kaisha Toshiba System and method for certificate-based client registration via a document processing device
US8566925B2 (en) * 2006-08-03 2013-10-22 Citrix Systems, Inc. Systems and methods for policy based triggering of client-authentication at directory level granularity
US8413229B2 (en) 2006-08-21 2013-04-02 Citrix Systems, Inc. Method and appliance for authenticating, by an appliance, a client to access a virtual private network connection, based on an attribute of a client-side certificate
US8181227B2 (en) * 2006-08-29 2012-05-15 Akamai Technologies, Inc. System and method for client-side authenticaton for secure internet communications
US20080091817A1 (en) * 2006-10-12 2008-04-17 Technology Patents, Llc Systems and methods for locating terrorists
US8051475B2 (en) * 2006-11-01 2011-11-01 The United States Of America As Represented By The Secretary Of The Air Force Collaboration gateway
US20080215675A1 (en) * 2007-02-01 2008-09-04 Worklight Ltd. Method and system for secured syndication of applications and applications' data
EP2154817B1 (en) * 2007-06-27 2013-09-04 GlobalSign K.K. Server certificate issuing system
CN100512313C (zh) * 2007-08-08 2009-07-08 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接系统
CN101388771B (zh) * 2007-09-10 2010-12-15 捷德(中国)信息科技有限公司 一种下载数字证书的方法和系统
CN101388772B (zh) * 2007-09-10 2011-11-30 捷德(中国)信息科技有限公司 一种数字签名方法和系统
US8230435B2 (en) 2008-02-12 2012-07-24 International Business Machines Corporation Authenticating a processing system accessing a resource
US8412932B2 (en) * 2008-02-28 2013-04-02 Red Hat, Inc. Collecting account access statistics from information provided by presence of client certificates
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
US20100031312A1 (en) * 2008-07-29 2010-02-04 International Business Machines Corporation Method for policy based and granular approach to role based access control
JP4252620B1 (ja) * 2008-08-27 2009-04-08 グローバルサイン株式会社 サーバ証明書発行システム
JP2010108237A (ja) * 2008-10-30 2010-05-13 Nec Corp 情報処理システム
US8924707B2 (en) * 2009-04-28 2014-12-30 Hewlett-Packard Development Company, L.P. Communicating confidential information between an application and a database
US8418079B2 (en) 2009-09-01 2013-04-09 James J. Nicholas, III System and method for cursor-based application management
US8887264B2 (en) * 2009-09-21 2014-11-11 Ram International Corporation Multi-identity access control tunnel relay object
JP5105291B2 (ja) * 2009-11-13 2012-12-26 セイコーインスツル株式会社 長期署名用サーバ、長期署名用端末、長期署名用端末プログラム
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
JP2012043154A (ja) * 2010-08-18 2012-03-01 Canon Inc 情報処理装置及びその制御方法
US20120079278A1 (en) * 2010-09-28 2012-03-29 Microsoft Corporation Object security over network
CN101964800B (zh) * 2010-10-21 2015-04-22 神州数码网络(北京)有限公司 一种在ssl vpn中对数字证书用户认证的方法
JP5569440B2 (ja) * 2011-03-11 2014-08-13 ブラザー工業株式会社 通信装置およびコンピュータプログラム
ES2635602T3 (es) * 2011-04-01 2017-10-04 Clawd Technologies Inc. Sistema, método, servidor y medio legible por ordenador para la verificación en tiempo real de un estado de un miembro de una organización
US8584224B1 (en) * 2011-04-13 2013-11-12 Symantec Corporation Ticket based strong authentication with web service
CN102195781B (zh) * 2011-05-30 2013-07-10 武汉理工大学 一种基于电子记录关联签名的电子证据取证系统
US9047456B2 (en) 2012-03-20 2015-06-02 Canon Information And Imaging Solutions, Inc. System and method for controlling access to a resource
US9165126B1 (en) * 2012-10-30 2015-10-20 Amazon Technologies, Inc. Techniques for reliable network authentication
US10205750B2 (en) 2013-03-13 2019-02-12 Intel Corporation Policy-based secure web boot
WO2014142857A1 (en) 2013-03-14 2014-09-18 Hewlett-Packard Development Company, L.P. Wireless communication of a user identifier and encrypted time-sensitive data
US9288208B1 (en) 2013-09-06 2016-03-15 Amazon Technologies, Inc. Cryptographic key escrow
US9130996B1 (en) 2014-03-26 2015-09-08 Iboss, Inc. Network notifications
US9300656B2 (en) * 2014-08-21 2016-03-29 International Business Machines Corporation Secure connection certificate verification
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
US10257205B2 (en) * 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
CN113918914A (zh) 2015-10-23 2022-01-11 甲骨文国际公司 用于访问管理的无密码认证
WO2018094268A1 (en) * 2016-11-18 2018-05-24 Veritas Technologies Llc Systems and methods for performing secure backup operations
US11107068B2 (en) 2017-08-31 2021-08-31 Bank Of America Corporation Inline authorization structuring for activity data transmission
US10523658B2 (en) 2017-09-05 2019-12-31 Citrix Systems, Inc. Securing a data connection for communicating between two end-points
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
US11288399B2 (en) * 2019-08-05 2022-03-29 Visa International Service Association Cryptographically secure dynamic third party resources
FR3111203B1 (fr) * 2020-06-08 2023-02-10 Evidian Dispositif informatique et procédé pour l’authentification d’un utilisateur
CN111970301B (zh) * 2020-08-27 2022-11-04 北京浪潮数据技术有限公司 一种容器云平台安全通信系统
CN112751825B (zh) * 2020-12-07 2022-09-16 湖南麒麟信安科技股份有限公司 基于ssl证书的软件源发布权限控制方法及系统
US11341796B1 (en) 2021-01-04 2022-05-24 Bank Of America Corporation System for secure access and initiation using a remote terminal
CN113032829B (zh) * 2021-03-26 2022-06-10 山东英信计算机技术有限公司 多通道并发的文件权限管理方法、装置、服务器和介质
CN113347010B (zh) * 2021-08-05 2021-11-05 深圳市财富趋势科技股份有限公司 基于ssl-tls协议的双向认证方法、系统
CN117544318A (zh) * 2023-11-29 2024-02-09 中金金融认证中心有限公司 协同签名增强认证方法及增强认证系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6380365A (ja) * 1986-09-24 1988-04-11 Hitachi Ltd 端末装置における不正取引防止方法
JPH10269184A (ja) * 1997-03-28 1998-10-09 Hitachi Ltd ネットワークシステムのセキュリティ管理方法
JP2001202437A (ja) * 2000-01-20 2001-07-27 Kyocera Communication Systems Co Ltd サービスシステム
JP2002007345A (ja) * 2000-06-16 2002-01-11 Osaka Gas Co Ltd ユーザ認証方法
JP2003503963A (ja) * 1999-06-30 2003-01-28 インターナショナル・ビジネス・マシーンズ・コーポレーション トランスコーディング・プロキシでの複数の起点サーバへの動的接続

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6094485A (en) 1997-09-18 2000-07-25 Netscape Communications Corporation SSL step-up
GB2337671B (en) 1998-05-16 2003-12-24 Ibm Security mechanisms in a web server
AU1236800A (en) 1998-10-30 2000-05-22 Lockstar, Inc. Secure authentication for access to back-end resources
US6367009B1 (en) 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
AU5084500A (en) * 1999-05-21 2000-12-12 International Business Machines Corporation Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices
US6609198B1 (en) 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6928550B1 (en) * 2000-01-06 2005-08-09 International Business Machines Corporation Method and system for generating and using a virus free file certificate
WO2001060012A2 (en) * 2000-02-11 2001-08-16 Verimatrix, Inc. Web based human services conferencing network
AU2001255183A1 (en) 2000-04-14 2001-10-30 Wu Wen Delayed commitment scheme to prevent attacks based on compromised certificates
US7134137B2 (en) * 2000-07-10 2006-11-07 Oracle International Corporation Providing data to applications from an access system
WO2002039237A2 (en) 2000-11-09 2002-05-16 International Business Machines Corporation Method and system for web-based cross-domain single-sign-on authentication
EP1391073B8 (en) 2001-05-01 2018-09-05 OneSpan International GmbH Method and system for increasing security of a secure connection
US6920556B2 (en) 2001-07-20 2005-07-19 International Business Machines Corporation Methods, systems and computer program products for multi-packet message authentication for secured SSL-based communication sessions
GB2378010A (en) 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
CN1268088C (zh) * 2001-11-29 2006-08-02 东南大学 基于pki的vpn密钥交换的实现方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6380365A (ja) * 1986-09-24 1988-04-11 Hitachi Ltd 端末装置における不正取引防止方法
JPH10269184A (ja) * 1997-03-28 1998-10-09 Hitachi Ltd ネットワークシステムのセキュリティ管理方法
JP2003503963A (ja) * 1999-06-30 2003-01-28 インターナショナル・ビジネス・マシーンズ・コーポレーション トランスコーディング・プロキシでの複数の起点サーバへの動的接続
JP2001202437A (ja) * 2000-01-20 2001-07-27 Kyocera Communication Systems Co Ltd サービスシステム
JP2002007345A (ja) * 2000-06-16 2002-01-11 Osaka Gas Co Ltd ユーザ認証方法

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
CSND200500409007, 古原和邦,今井秀樹, ""監視システム最前線 インターネットで利用されているセキュリティ技術"", 画像ラボ, 20030201, 第14巻,第2号, p.31−34, JP, 日本工業出版株式会社 *
CSNG200400123043, 大島武徳,沼尾雅之,渡邊裕治,村岡洋一, ""簡単かつ安全に転送可能なWeb認証方式とその応用"", コンピュータセキュリティシンポジウム2002論文集, 20021030, Vol.2002,No.16, p.331−336, JP, 社団法人情報処理学会 *
JPN6009025703, 佐々木紀行, ""第1特集 問われるセキュリティ対策 昭和リース 強固なセキュリティ体制でネットサービスの信頼性を向", Computopia, 20031101, 第38巻,446号, p.40−43, JP *
JPN6009025705, 大島武徳,沼尾雅之,渡邊裕治,村岡洋一, ""簡単かつ安全に転送可能なWeb認証方式とその応用"", コンピュータセキュリティシンポジウム2002論文集, 20021030, Vol.2002,No.16, p.331−336, JP, 社団法人情報処理学会 *
JPN6009027283, 古原和邦,今井秀樹, ""監視システム最前線 インターネットで利用されているセキュリティ技術"", 画像ラボ, 20030201, 第14巻,第2号, p.31−34, JP, 日本工業出版株式会社 *
JPN7009002638, MICHAEL STEINER, PETER BUHLER, THOMAS EIRICH, and MICHIAEL WAIDNER, ""Secure Password−Based Cipher Suite for TLS"", ACM Transactions on Information and System Security, 200105, Vol.4, No.2, p.134−157 *
JPN7009002639, Kazukuni KOBARA and Hideki IMAI, ""Pretty−Simple Password−Authenticated Key−Exchange Protocol Proven to be Secure in the Standard Mod", IEICE TANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences, 20021001, VOL.E85−A, NO.10, p.2229−2237, JP, 社団法人電子情報通信学会基礎・ソサイエティ *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012222594A (ja) * 2011-04-08 2012-11-12 Hitachi Ltd 署名サーバ、署名システム、および、署名処理方法
JP2016029848A (ja) * 2015-11-04 2016-03-03 ブラザー工業株式会社 プリンタ
JP2017091209A (ja) * 2015-11-10 2017-05-25 富士通株式会社 認証制御方法、認証プログラム、エージェントプログラム、サーバ装置、及びクライアント装置
JP2022508010A (ja) * 2018-10-02 2022-01-19 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 非接触カードの暗号化認証のためのシステムおよび方法
US12008558B2 (en) 2018-10-02 2024-06-11 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US12026707B2 (en) 2018-10-02 2024-07-02 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards

Also Published As

Publication number Publication date
ATE446638T1 (de) 2009-11-15
US7395424B2 (en) 2008-07-01
US20050015594A1 (en) 2005-01-20
CN1823513A (zh) 2006-08-23
KR100946110B1 (ko) 2010-03-10
CA2528486C (en) 2012-07-24
DE602004023728D1 (de) 2009-12-03
KR20060032625A (ko) 2006-04-17
EP1661362B1 (en) 2009-10-21
CN100534092C (zh) 2009-08-26
JP4886508B2 (ja) 2012-02-29
WO2005015872A1 (en) 2005-02-17
CA2528486A1 (en) 2005-02-17
EP1661362A1 (en) 2006-05-31

Similar Documents

Publication Publication Date Title
JP4886508B2 (ja) 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US9143502B2 (en) Method and system for secure binding register name identifier profile
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
EP2545482B1 (en) Secure dynamic authority delegation
JP5030967B2 (ja) 認証方法を拡張するための方法及びシステム
US8340283B2 (en) Method and system for a PKI-based delegation process
JP4370258B2 (ja) ユーザ・セッションを管理するための方法、データ処理システム、およびコンピュータ・プログラム(異機種連携環境における統合サインオフのための方法およびシステム)
JP4988701B2 (ja) ランタイム・ユーザ・アカウント作成オペレーションのための方法、装置、およびコンピュータ・プログラム
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
US20060021004A1 (en) Method and system for externalized HTTP authentication
US20060277596A1 (en) Method and system for multi-instance session support in a load-balanced environment
WO2007068716A1 (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
KR100992016B1 (ko) 데이터 프로세싱 시스템 내에 연합 기능성을 제공하는 방법및 장치

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090501

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20090501

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20090512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090908

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100205

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100216

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20100312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111025

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111209

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141216

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4886508

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

EXPY Cancellation because of completion of term