JP2009538478A - ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲 - Google Patents
ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲 Download PDFInfo
- Publication number
- JP2009538478A JP2009538478A JP2009512167A JP2009512167A JP2009538478A JP 2009538478 A JP2009538478 A JP 2009538478A JP 2009512167 A JP2009512167 A JP 2009512167A JP 2009512167 A JP2009512167 A JP 2009512167A JP 2009538478 A JP2009538478 A JP 2009538478A
- Authority
- JP
- Japan
- Prior art keywords
- server
- client
- user
- policy
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims description 70
- 230000007246 mechanism Effects 0.000 claims description 45
- 238000004891 communication Methods 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 22
- 238000006243 chemical reaction Methods 0.000 claims 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims 2
- 230000000977 initiatory effect Effects 0.000 claims 2
- 230000000116 mitigating effect Effects 0.000 claims 2
- 231100000572 poisoning Toxicity 0.000 claims 2
- 230000000607 poisoning effect Effects 0.000 claims 2
- 230000006870 function Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 13
- 239000002609 medium Substances 0.000 description 10
- 230000006855 networking Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 6
- 239000003999 initiator Substances 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 101100005280 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) cat-3 gene Proteins 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 229920001690 polydopamine Polymers 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009429 electrical wiring Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 239000006163 transport media Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】
証明情報セキュリティサポートプロバイダ(Cred SSP)によって、任意のアプリケーションが、クライアントからクライアント側セキュリティサポートプロバイダ(SSP)ソフトウェアを介して、ターゲットサーバに、サーバ側SSPソフトウェアを介してユーザの証明情報を安全に委譲することができる。Cred SSPは、部分的にポリシのセットに基づいて安全なソリューションを提供する。ポリシはあらゆるタイプの証明情報に対するものとすることができ、所与の委譲状況、ネットワーク状態、信頼レベル等に対して適切な委譲を行うことができるように、種々のポリシが広範囲の攻撃を軽減するように設計される。さらに、信頼されたサブシステム、たとえばローカルセキュリティ機関(LSA)の信頼されたサブシステムのみが平文の証明情報にアクセスすることができ、それによって、サーバ側のCred SSP APIの呼出しアプリケーションもクライアント側のCred SSP APIの呼出しアプリケーションも、平文の証明情報にアクセスすることができない。
【選択図】図5
Description
背景技術において述べたたように、サーバシナリオをサポートするためにユーザの証明情報をサーバに委譲する必要のあるクライアント/サーバアプリケーションがある。ターミナルサーバは、1つのこのような例であり、そこでは、サーバの機能をクライアント側でエミュレートするために、ユーザのパスワードがサーバ側で使用される場合がある。しかしながら、上述したように、従来技術による委譲技法は、ユーザの証明情報がサーバに送信されるとき、ユーザの証明情報に対し十分な保護を提供しない。
補足的状況
本明細書では、さまざまな実施形態のうちのいくつかを、認証及び証明情報委譲の技術分野の当業者に一般に理解される用語に関連して説明する。このセクションは、当業者の知識を代用することは意図されておらず、非網羅的な概説とみなされるべきであるが、後により詳細に説明するように、本発明のさまざまな実施形態の動作の状況において利用されるいくつかの用語に対し、いくつかの追加の状況及び背景を有利に提供するものと考えられる。
ケルベロス
ケルベロスは、コンピュータネットワークにおけるサービスへの要求を認証する安全な方法である。ケルベロスは、地獄への入口の番をする神話上の頭が3つある犬からその名前を借りており、ユーザに、認証プロセスから、後にサーバから特定のサービスを要求するのに使用することができる暗号化「チケット」を要求させ、それによって、ユーザのパスワードがネットワークを通過する必要がないようにする。ケルベロスは、クライアントと、クライアントにおけるユーザによるログイン要求を含む、サーバへのアクセスを許可するサーバ側ソフトウェアとを含む。しかしながら、サーバは、そのアプリケーション、資源及び/又はサービスへのアクセスの要求に応じる前に、ケルベロス「チケット」を要求する。適切なケルベロスチケットを取得するために、クライアントによって認証サーバ(AS)に対して認証要求がなされる。ASは、ユーザ名から取得されるユーザのパスワードと、要求されたサービスを表すランダム値とに基づいて、暗号鍵でもある「セッションキー」を作成する。この意味で、セッションキーは、実質的には「チケット認可チケット(ticket-granting ticket)」である。
Windows(登録商標) NT LANマネージャ(NTLM)
ケルベロスの代替物であるNTLMは、さまざまなMicrosoftネットワークプロトコル実施態様で使用され、NTLMセキュリティサポートプロバイダ(NTLMSSP)によってサポートされる、認証プロトコルである。NTLMは、最初は、安全な分散コンピューティング環境(DCE)/リモートプロシージャコール(RPC)通信の認証及びネゴシエーションに使用されたが、統合されたシングルサインオンメカニズムとしても使用される。
セキュアチャネル(Schannel)
Schannelとしても知られるセキュアチャネルは、暗号化を通じて身元認証及び強化された通信セキュリティを提供するセキュリティプロトコルのセットを含む、セキュリティサポート/サービスプロバイダ(SSP)である。Schannelは、主に、ハイパーテキスト転送プロトコル(HTTP)通信のためにセキュリティの強化を必要とするインターネットアプリケーションに使用されている。Schannelセキュリティプロトコルによって、サーバがその身元の証明をクライアントに提供するサーバ認証が要求される。そのため、Schannelプロトコルは、サーバ及び任意選択でクライアントを認証するのに使用することができるSchannl証明情報を利用する。クライアント認証は、サーバによって常に要求される可能性がある。Schannel証明情報はX.509証明書である。証明書からの公開鍵及び秘密鍵情報を使用して、サーバ及び任意選択でクライアントが認証される。これらの鍵はまた、クライアント及びサーバがセッションキーを生成し交換するのに必要な情報を交換する間に、メッセージ完全性を提供するのにも使用される。Schannelは、後により詳細に参照するSSLプロトコル及びTLSプロトコルを実装する。
単純で保護されたGSSAPIネゴシエーションメカニズム(SPNEGO)
SPNEGOは、ピアが、いずれのGSSAPIメカニズムが共有されるかを確定し、1つを選択し、次に、共有GSSAPIメカニズムによってセキュリティコンテキストを確立する、標準汎用セキュリティサービスアプリケーションプログラムインタフェース(GSSAPI)擬似メカニズムである。SPNEGOの仕様は、1998年12月付けの「GSS-API Negotiation Mechanism」と題するインターネット技術タスクフォース(Internet Engineering Task Force)の草案RFC2478に見ることができる。
ローカルセキュリティ機関(LSA)
LSAは、一般化された概念ではあるが、ローカルログオン及びリモートログオン両方に対してユーザを確認する役割を担う、MicrosoftのWindows(登録商標)オペレーティングシステム技術のログオンプロセスの重要な要素である。LSAはまた、ローカルセキュリティポリシも維持する。
セキュリティサポートプロバイダインタフェース(SSPI)
SSPIは、ユーザを認証する、すなわち、ユーザが、自身が本人であると主張する者であること、又は最低限、ユーザが、特定のユーザアカウントに関連付けられる秘密、たとえばパスワードを知っていることを確認するメカニズムを定義する。
セキュアソケットレイヤ(SSL)プロトコル及びトランスポート層セキュリティ(TLS)プロトコル
共にSchannelによって実装される、セキュアソケットレイヤ(SSL)プロトコル及びその後続プロトコルであるトランスポート層セキュリティ(TLS)プロトコルは、インターネット上で安全な通信を提供する暗号法プロトコルである。SSL3.0とTLS1.0との間にはわずかな相違があるが、プロトコルは実質的に同じままである。「SSL」という用語は、文脈によって明確にされない限り、両プロトコルを指す場合がある。
例示的な非限定的Windows(登録商標)認証インフラストラクチャ
1つの例示的な非限定的認証インフラストラクチャは、セキュリティサービス/サポートプロバイダ(SSP)ソフトウェアを介して異なる認証方法をサポートするWindows(登録商標)オペレーティングシステム技術によって提供される。
ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲
上述したように、本発明は、アプリケーションが、ユーザの証明情報をクライアントから、たとえばクライアント側SSPソフトウェアを介して、ターゲットサーバに、たとえばサーバ側SSPソフトウェアを介して委譲することを可能にする、拡張証明情報セキュリティサポートプロバイダ(Cred SSP)ソフトウェアを提供する。本発明のCred SSPを、適用可能なSSPI、たとえばオペレーティングシステムアプリケーションプラットフォームと統合されるSSPIを使用して、オペレーティングシステムの任意のネイティブアプリケーション又は任意のサードパーティアプリケーションによって利用することができる。
S→C:{{Kpub+1}Kspnego}KSSL/TLS
KSSL/TLSは、すべてのクライアント/サーバ通信を暗号化するのに使用されることに留意されたい。さらに、このサーバ認証ステップは、PKIベースの信頼がない場合、ケルベロス又はNTLMに基づいてもよい。上述したように、ケルベロスベース認証に対するSSL/TLS認証されたチャネルの安全なバインディングを、SSL/TLSの最上位で実行してもよい。言い換えれば、本発明は、SSL/TLSネゴシエートされたマスタ/セッションキーを認証するために、ケルベロスベースの証明情報を安全に利用してもよく、それは、SSL/TLSクライアントとSSL/TLSサーバとの間にPKI信頼がない場合に特に有用であり得る。
上述したように、たとえば図3のステップ340(及びグループポリシ335)及び図4のステップ420において、本発明によるクライアントの証明情報の委譲を制御及び制限して、広範囲のセキュリティ攻撃を軽減するのに、ポリシが利用される。上述したように、本発明のLSAパッケージは、SPNEGOネゴシエーションと、証明情報暗号化/解読と、証明情報転送とを提供する。本発明のLSAパッケージはまた、本発明によって定義されるポリシに対しポリシチェックも実行する。本発明のグループポリシ設定の目的は、ユーザの証明情報が、認証されていないサーバ、たとえば不正者の管理制御下にあるか又は攻撃者に晒されているマシンに委譲されないことを確実にすることである。信頼は、たとえばPKI、ケルベロス又はNTLM認証に基づいて、クライアントとサーバとの間の認証を容易にするように存在する可能性があるが、このような信頼は、ターゲットサーバがユーザの証明情報によって信頼されていることを意味するものではないことに留意されたい。このため、本発明は、ターゲットサーバを委譲された証明情報によって信頼することができることを確実にするポリシ調査(consultation)を含む。
例示的なネットワーク環境及び分散環境
当業者は、本発明を、コンピュータネットワークの一部として又は分散コンピューティング環境において配備することができる、任意のコンピュータ又は他のクライアント装置若しくはサーバ装置に関連して実施することができることを理解することができる。これに関して、本発明は、本発明によるクライアントからサーバへ証明情報を委譲するプロセスに関連して使用することができる、いかなる数のメモリ又は記憶ユニット、及びいかなる数の記憶ユニット又はボリュームにわたって発生するいかなる数のアプリケーション及びプロセスを有する、いかなるコンピュータシステム又は環境にも関連する。本発明は、サーバコンピュータ及びクライアントコンピュータが、リモート記憶装置又はローカル記憶装置を有する、ネットワーク環境又は分散コンピューティング環境に配備される環境に適用され得る。本発明はまた、リモート又はローカルサービス及びプロセスに関連して情報を生成、受信、及び送信する、プログラミング言語機能、解釈及び実行機能を有する、スタンドアロンコンピューティング装置にも適用可能である。
例示的なコンピューティング装置
上述したように、本発明は、一次アプリケーションを装置の二次アプリケーションからの干渉から保護することが望まれ得るいかなる装置にも適用される。したがって、本発明に関連して、すなわち装置がサーバに証明情報を委譲するよう望む可能性のある任意の場所(たとえば、携帯電話等のポータブル装置を介するGSMネットワーク)で使用するために、ハンドヘルド装置、ポータブル装置及び他のコンピューティング装置並びにすべての種類のコンピューティングオブジェクトが考えられることを理解されたい。したがって、図7Bにおいて後述する以下の汎用リモートコンピュータは単なる一例であり、本発明を、ネットワーク/バス相互運用性及び対話を有するいかなるクライアントで実施してもよい。このため、本発明を、ごくわずかな又は最低限のクライアント資源が関与するネットワークホストサービスの環境、たとえば、クライアント装置が、アプライアンスに配置されたオブジェクト等、単にネットワーク/バスに対するインタフェースとしての役割を果たすネットワーク環境で実施してもよい。
例示的な分散コンピューティングフレームワーク又はアーキテクチャ
パーソナルコンピューティング及びインターネットの収束に鑑みて、さまざまな分散ンコンピューティングフレームワークが開発されている。個人及びビジネスユーザにも同様に、アプリケーション及びコンピューティング装置に対するシームレスに相互運用可能且つウェブ対応インタフェースが提供され、コンピューティングアクティビティがますますWebブラウザ又はネットワーク志向になってきている。
Claims (22)
- ネットワークコンピューティング環境においてユーザ証明情報をクライアントからサーバに委譲(delegate)する方法であって、
前記ネットワークコンピューティング環境におけるサーバのアプリケーション、サービス又は資源に対しクライアントから、前記クライアントから前記サーバへのユーザ証明情報の委譲に関係する要求を行うステップ、
前記クライアントと前記サーバとの間のハンドシェイクを開始するステップ、
前記クライアントと前記サーバとの間の通信を認証する認証メカニズムとして利用するために、前記クライアントと前記サーバとの間で共有される認証パッケージを選択するようにネゴシエートするステップ、
前記認証メカニズムとしての前記選択された認証パッケージを利用して前記サーバ及び前記クライアントを相互に認証するステップ、
該相互に認証するステップに従って相互認証が発生したか否かを判断すると共に、相互認証が発生した場合、前記クライアントと前記サーバとの間で通信されるメッセージの暗号化に対し共有秘密を確立することを含め、前記クライアントと前記サーバとの間でセッションを確立するステップ、
前記要求に対する前記証明情報の送信に先立って、ユーザ証明情報に対して定義された少なくとも1つの事前定義ポリシに従ってポリシチェックを実行し、前記サーバが前記ユーザの証明情報によって信頼することができるか否かを確定するステップ、及び
前記サーバを信頼することができる場合、前記ユーザの証明情報を前記サーバに送信し、前記クライアントからの前記サーバの前記要求されたアプリケーション、サービス又は資源へのアクセスを取得するステップ、
を含む、方法。 - 請求項1に記載の方法において、前記少なくとも1つの事前定義ポリシは、ユーザ証明情報のクライアントからサーバへの前記委譲を制御及び制限するように使用される複数のポリシである、方法。
- 請求項2に記載の方法において、前記複数のポリシは、前記クライアントで実行しているトロイ又はマルウェア、デフォルトグループポリシ設定及び前記クライアントの管理者によって構成可能なグループポリシ値、及びドメインネームサービス(DNS)ポイズニングのうちの少なくとも1つを含む広範囲の攻撃の軽減に対処して、不正サーバへの転換及びサービス許否攻撃を回避する、方法。
- 請求項2に記載の方法において、前記複数のポリシは、前記サーバのサービスプリンシパル名(SPN)のリストに基づいて委譲を許容するか又は拒否するかの少なくとも一方のポリシを含む、方法。
- 請求項1に記載の方法において、前記実行するステップは、前記認証メカニズムの相対強度に従ってポリシチェックを実行するステップを含む、方法。
- 請求項1に記載の方法において、前記実行するステップは、ユーザ証明情報のタイプに基づいて定義される少なくとも1つの事前定義ポリシに従ってポリシチェックを実行するステップを含む、方法。
- 請求項6に記載の方法において、前記実行するステップは、前記ユーザ証明情報が新規の証明情報であるか、保存されている証明情報であるか、又はデフォルト証明情報であるかに基づいて定義される少なくとも1つの事前定義ポリシに従ってポリシチェックを実行するステップを含む、方法。
- 請求項1に記載の方法において、前記ユーザの証明情報を送信するステップは、ローカルセキュリティシステムの信頼されたサブシステムのみが平文フォーマットでの前記ユーザの証明情報にアクセスすることができるフォーマットで前記ユーザの証明情報を送信するステップを含む、方法。
- 請求項8に記載の方法において、前記ポリシチェックを実行するステップは、ローカルセキュリティ機関(LSA)によって実行され、前記信頼されたサブシステムは、前記LSAの信頼されたサブシステムである、方法。
- 請求項1に記載の方法であって、前記クライアントと前記サーバとの間の前記セッションを確立した後、前記サーバの公開鍵を認証するステップをさらに含む、方法。
- 請求項1に記載の方法において、前記各ステップは、セキュリティサポートプロバイダインタフェース(SSPI)を介して前記要求を行っている前記クライアントに利用可能となる証明情報セキュリティサポートプロバイダコンポーネントを介して実行される、方法。
- 請求項1に記載の方法において、前記冒頭のハンドシェイクは、セキュアソケットレイヤ(SSL)プロトコル又はトランスポート層セキュリティ(TLS)プロトコルに従うハンドシェイクである、方法。
- 請求項1に記載の方法において、前記ネゴシエートするステップは、単純な保護されている汎用セキュリティサービスアプリケーションプログラムインタフェース(Simple and Protected Generic Security Service Application Program Interface)(GSSAPI)ネゴシエーションメカニズム(SPNEGO)ネゴシエーションを使用してネゴシエートするステップを含む、方法。
- 請求項1に記載の方法において、前記選択される認証パッケージは、ケルベロス又はNTローカルエリアネットワーク(LAN)マネージャ(NTLM)のうちのいずれか1つである、方法。
- 請求項1に記載の方法において、前記共有秘密は共有セッションキーである、方法。
- 請求項1に記載の方法を実行するコンピュータ実行可能命令を有するコンピュータ実行可能インタフェースモジュールを含む、アプリケーションプログラミングインタフェース。
- クライアントコンピューティング装置であって、
ネットワークコンピューティング環境におけるサーバのアプリケーション、サービス又は資源に対する該クライアントコンピューティング装置からの要求を処理する証明情報セキュリティサポートプロバイダコンポーネントであって、前記要求は、当該クライアントコンピューティング装置から前記サーバへのユーザ証明情報の委譲を関与させる、証明情報セキュリティサポートプロバイダコンポーネントを具備し、
前記証明情報セキュリティサポートプロバイダコンポーネントは、前記クライアントと前記サーバとの間のハンドシェイクを開始し、前記クライアントと前記サーバとの間の通信を認証するための認証パッケージとして利用する、前記クライアントと前記サーバとの間で共有されるセキュリティサポートプロバイダの選択をネゴシエートし、前記認証パッケージを利用して前記サーバ及び前記クライアントを相互に認証するステップを実行し、
相互認証が発生した場合、前記証明情報セキュリティサポートプロバイダコンポーネントは、前記クライアントと前記サーバとの間のセッションと、該セッションに従って前記クライアントと前記サーバとの間で通信されるメッセージの暗号化のための共有秘密とを確立し、該クライアントコンピューティング装置から前記サーバへのユーザ証明情報の前記委譲を制御及び制限するのに使用される少なくとも1つの事前定義ポリシに従ってポリシチェックを実行し、前記ポリシチェックに合格した場合、前記ユーザの証明情報を前記サーバに送信して、該クライアントのみからの前記サーバの前記要求されたアプリケーション、サービス又は資源へのアクセスを取得する、クライアントコンピューティング装置。 - 請求項17に記載のクライアントコンピューティング装置において、前記証明情報セキュリティサポートプロバイダコンポーネントは、ローカルセキュリティ機関(LSA)の信頼されたサブシステムのみが平文フォーマットに復号することができるフォーマットで、前記ユーザの証明情報を送信する、クライアントコンピューティング装置。
- 請求項17に記載のクライアントコンピューティング装置において、前記少なくとも1つの事前定義ポリシは、前記クライアントで実行しているトロイ又はマルウェア、デフォルトグループポリシ設定及び前記クライアントの管理者によって構成可能なグループポリシ値、及びドメインネームサービス(DNS)ポイズニングを含む広範囲の攻撃のうちの任意の1つ又は複数の軽減に対処して、不正サーバへの転換及びサービス許否攻撃を回避する、クライアントコンピューティング装置。
- 請求項17に記載のクライアントコンピューティング装置において、前記少なくとも1つの事前定義ポリシは、前記認証メカニズムの相対強度に基づく委譲ポリシを含む、クライアントコンピューティング装置。
- 請求項17に記載のクライアントコンピューティング装置において、前記少なくとも1つの事前定義ポリシは、前記ユーザ証明情報が新規の証明情報であるか、保存されている証明情報であるか、又はデフォルト証明情報であるかに基づく委譲ポリシを含む、クライアントコンピューティング装置。
- ネットワークコンピューティング環境においてサーバの資源へのシングルサインの一部としてユーザ証明情報をクライアントからサーバに委譲する方法であって、
クライアントのユーザインタフェースコンポーネントのシングルサインを介して、ユーザの証明情報を受け取り、前記サーバの資源のセットにアクセスするステップ、及びそれに応じて、
トランスポート層セキュリティ(TLS)プロトコルに従って前記クライアントと前記サーバとの間のハンドシェイクを開始するステップ、
前記クライアントと前記サーバとの間の通信を認証する認証メカニズムとして利用するために、前記クライアントと前記サーバとの間で共有される認証パッケージを選択するようにネゴシエートするステップ、
前記認証メカニズムとして前記選択された認証パッケージを利用して前記サーバ及び前記クライアントを相互に認証するステップ、
相互認証が発生した場合、前記クライアントと前記サーバとの間で通信されるメッセージの暗号化のために共有秘密を確立するステップを含む前記クライアントと前記サーバとの間でセッションを確立するステップ、及び
前記ユーザの証明情報を前記サーバに安全に委譲し、前記資源のセットへのアクセスを取得するステップ、
を含む、方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/441,588 US7913084B2 (en) | 2006-05-26 | 2006-05-26 | Policy driven, credential delegation for single sign on and secure access to network resources |
US11/441,588 | 2006-05-26 | ||
PCT/US2007/012512 WO2007139944A2 (en) | 2006-05-26 | 2007-05-25 | Policy driven, credential delegation for single sign on and secure access to network resources |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2009538478A true JP2009538478A (ja) | 2009-11-05 |
JP2009538478A5 JP2009538478A5 (ja) | 2010-07-15 |
JP5139423B2 JP5139423B2 (ja) | 2013-02-06 |
Family
ID=38750973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009512167A Active JP5139423B2 (ja) | 2006-05-26 | 2007-05-25 | ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲 |
Country Status (17)
Country | Link |
---|---|
US (1) | US7913084B2 (ja) |
EP (1) | EP2021938B1 (ja) |
JP (1) | JP5139423B2 (ja) |
KR (1) | KR101414312B1 (ja) |
CN (1) | CN101449257B (ja) |
AU (1) | AU2007267836B2 (ja) |
BR (1) | BRPI0711702A2 (ja) |
CA (1) | CA2654381C (ja) |
CL (1) | CL2007001510A1 (ja) |
IL (1) | IL194962A (ja) |
MX (1) | MX2008014855A (ja) |
MY (1) | MY148801A (ja) |
NO (1) | NO20084500L (ja) |
RU (1) | RU2439692C2 (ja) |
TW (1) | TWI439103B (ja) |
WO (1) | WO2007139944A2 (ja) |
ZA (1) | ZA200809318B (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011522485A (ja) * | 2008-05-28 | 2011-07-28 | マイクロソフト コーポレーション | ネットワークに対して認証するためにデジタル電話を事前設定し管理するための技法 |
Families Citing this family (128)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
EP3570178B1 (en) | 2002-01-08 | 2020-05-27 | Seven Networks, LLC | Secure transport for mobile communication network |
US7742582B2 (en) | 2005-02-17 | 2010-06-22 | Core Systems (Ni) Limited | Offender message delivery system |
US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
US8028325B2 (en) * | 2005-08-08 | 2011-09-27 | AOL, Inc. | Invocation of a third party's service |
US7792792B2 (en) * | 2006-05-22 | 2010-09-07 | Microsoft Corporation | Synchronizing structured web site contents |
JP2008052578A (ja) * | 2006-08-25 | 2008-03-06 | Seiko Epson Corp | アクセス制御装置、画像表示装置及びプログラム |
US8467527B2 (en) | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
US8528058B2 (en) * | 2007-05-31 | 2013-09-03 | Microsoft Corporation | Native use of web service protocols and claims in server authentication |
US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
US8291481B2 (en) * | 2007-09-18 | 2012-10-16 | Microsoft Corporation | Sessionless redirection in terminal services |
US8387130B2 (en) * | 2007-12-10 | 2013-02-26 | Emc Corporation | Authenticated service virtualization |
US8539568B1 (en) | 2007-10-03 | 2013-09-17 | Courion Corporation | Identity map creation |
US8601562B2 (en) * | 2007-12-10 | 2013-12-03 | Courion Corporation | Policy enforcement using ESSO |
US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
US8434149B1 (en) * | 2007-12-21 | 2013-04-30 | Symantec Corporation | Method and apparatus for identifying web attacks |
US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
US9218469B2 (en) * | 2008-04-25 | 2015-12-22 | Hewlett Packard Enterprise Development Lp | System and method for installing authentication credentials on a network device |
US8799630B2 (en) * | 2008-06-26 | 2014-08-05 | Microsoft Corporation | Advanced security negotiation protocol |
TW201011587A (en) * | 2008-09-03 | 2010-03-16 | Wayi Internat Digital Entertainment Co Ltd | Computer tied-in system and its method |
US7941549B2 (en) * | 2008-09-16 | 2011-05-10 | Microsoft Corporation | Protocol exchange and policy enforcement for a terminal server session |
US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
US8413210B2 (en) * | 2008-12-09 | 2013-04-02 | Microsoft Corporation | Credential sharing between multiple client applications |
US20100175113A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machine Corporation | Secure System Access Without Password Sharing |
US8782755B2 (en) * | 2009-03-20 | 2014-07-15 | Citrix Systems, Inc. | Systems and methods for selecting an authentication virtual server from a plurality of virtual servers |
US8458732B2 (en) * | 2009-08-19 | 2013-06-04 | Core Systems (Ni) Limited | Inmate information center for correctional facility processing |
US8555054B2 (en) | 2009-10-12 | 2013-10-08 | Palo Alto Research Center Incorporated | Apparatus and methods for protecting network resources |
US8156546B2 (en) * | 2009-10-29 | 2012-04-10 | Satyam Computer Services Limited Of Mayfair Centre | System and method for flying squad re authentication of enterprise users |
TW201126371A (en) * | 2010-01-27 | 2011-08-01 | Hui Lin | Online gaming authentication framework and method |
US20110231670A1 (en) * | 2010-03-16 | 2011-09-22 | Shevchenko Oleksiy Yu | Secure access device for cloud computing |
KR101102855B1 (ko) * | 2010-04-26 | 2012-01-10 | 엔에이치엔(주) | 게임 클라이언트 독립적인 게임 인증을 제공하기 위한 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
US9160738B2 (en) | 2010-05-27 | 2015-10-13 | Microsoft Corporation | Delegation-based authorization |
US8688994B2 (en) | 2010-06-25 | 2014-04-01 | Microsoft Corporation | Federation among services for supporting virtual-network overlays |
US20120017274A1 (en) * | 2010-07-15 | 2012-01-19 | Mcafee, Inc. | Web scanning site map annotation |
GB2497012B (en) | 2010-07-26 | 2013-10-30 | Seven Networks Inc | Mobile network traffic coordination across multiple applications |
US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
US8505083B2 (en) | 2010-09-30 | 2013-08-06 | Microsoft Corporation | Remote resources single sign on |
JP5620781B2 (ja) * | 2010-10-14 | 2014-11-05 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
WO2012071384A2 (en) | 2010-11-22 | 2012-05-31 | Michael Luna | Optimization of resource polling intervals to satisfy mobile device requests |
AU2010246354B1 (en) * | 2010-11-22 | 2011-11-03 | Microsoft Technology Licensing, Llc | Back-end constrained delegation model |
US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
US9258312B1 (en) | 2010-12-06 | 2016-02-09 | Amazon Technologies, Inc. | Distributed policy enforcement with verification mode |
CN103403707B (zh) * | 2010-12-28 | 2017-11-14 | 思杰系统有限公司 | 用于数据库代理请求交换的系统和方法 |
US9325662B2 (en) | 2011-01-07 | 2016-04-26 | Seven Networks, Llc | System and method for reduction of mobile network traffic used for domain name system (DNS) queries |
US20120254972A1 (en) * | 2011-04-04 | 2012-10-04 | International Business Machines Corporation | Trust system |
US20120271903A1 (en) | 2011-04-19 | 2012-10-25 | Michael Luna | Shared resource and virtual resource management in a networked environment |
US8621075B2 (en) | 2011-04-27 | 2013-12-31 | Seven Metworks, Inc. | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
US8832228B2 (en) | 2011-04-27 | 2014-09-09 | Seven Networks, Inc. | System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief |
US8973108B1 (en) * | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
US8769642B1 (en) * | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
DE102011077218B4 (de) | 2011-06-08 | 2023-12-14 | Servicenow, Inc. | Zugriff auf in einer Cloud gespeicherte Daten |
US8719571B2 (en) * | 2011-08-25 | 2014-05-06 | Netapp, Inc. | Systems and methods for providing secure multicast intra-cluster communication |
US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
US9038155B2 (en) | 2011-12-02 | 2015-05-19 | University Of Tulsa | Auditable multiclaim security token |
US8977755B2 (en) | 2011-12-06 | 2015-03-10 | Seven Networks, Inc. | Mobile device and method to utilize the failover mechanism for fault tolerance provided for mobile traffic management and network/device resource conservation |
US8934414B2 (en) | 2011-12-06 | 2015-01-13 | Seven Networks, Inc. | Cellular or WiFi mobile traffic optimization based on public or private network destination |
US9009250B2 (en) | 2011-12-07 | 2015-04-14 | Seven Networks, Inc. | Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation |
US9277443B2 (en) | 2011-12-07 | 2016-03-01 | Seven Networks, Llc | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
US8861354B2 (en) | 2011-12-14 | 2014-10-14 | Seven Networks, Inc. | Hierarchies and categories for management and deployment of policies for distributed wireless traffic optimization |
WO2013090212A1 (en) | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
WO2013103988A1 (en) | 2012-01-05 | 2013-07-11 | Seven Networks, Inc. | Detection and management of user interactions with foreground applications on a mobile device in distributed caching |
US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
US20130268656A1 (en) | 2012-04-10 | 2013-10-10 | Seven Networks, Inc. | Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network |
US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
US8775631B2 (en) | 2012-07-13 | 2014-07-08 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
US9176838B2 (en) | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
US20140177497A1 (en) | 2012-12-20 | 2014-06-26 | Seven Networks, Inc. | Management of mobile device radio state promotion and demotion |
US9271238B2 (en) | 2013-01-23 | 2016-02-23 | Seven Networks, Llc | Application or context aware fast dormancy |
US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
US8750123B1 (en) | 2013-03-11 | 2014-06-10 | Seven Networks, Inc. | Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network |
EP3681125A1 (en) * | 2013-05-30 | 2020-07-15 | Intel Corporation | Adaptive authentication systems and methods |
US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
CN104468074A (zh) * | 2013-09-18 | 2015-03-25 | 北京三星通信技术研究有限公司 | 应用程序之间认证的方法及设备 |
US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
US9112846B2 (en) * | 2013-10-11 | 2015-08-18 | Centrify Corporation | Method and apparatus for transmitting additional authorization data via GSSAPI |
US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
US10575347B2 (en) | 2013-11-04 | 2020-02-25 | Microsoft Technology Licensing, Llc | Delivery of shared WiFi credentials |
US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
US9270662B1 (en) | 2014-01-13 | 2016-02-23 | Amazon Technologies, Inc. | Adaptive client-aware session security |
US9467441B2 (en) * | 2014-02-25 | 2016-10-11 | Dell Products, L.P. | Secure service delegator |
US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
US9413738B2 (en) * | 2014-06-19 | 2016-08-09 | Microsoft Technology Licensing, Llc | Securing communications with enhanced media platforms |
US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
US11275861B2 (en) * | 2014-07-25 | 2022-03-15 | Fisher-Rosemount Systems, Inc. | Process control software security architecture based on least privileges |
US9942229B2 (en) * | 2014-10-03 | 2018-04-10 | Gopro, Inc. | Authenticating a limited input device via an authenticated application |
US10225245B2 (en) * | 2014-11-18 | 2019-03-05 | Auth0, Inc. | Identity infrastructure as a service |
TW201619866A (zh) | 2014-11-20 | 2016-06-01 | 萬國商業機器公司 | 客製化資訊設備的方法 |
CN104660583B (zh) * | 2014-12-29 | 2018-05-29 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
CN104780154B (zh) | 2015-03-13 | 2018-06-19 | 小米科技有限责任公司 | 设备绑定方法和装置 |
TWI563412B (en) * | 2015-04-30 | 2016-12-21 | Taiwan Ca Inc | System for using trust token to make application obtain digital certificate signature from another application on device and method thereof |
US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
WO2017079980A1 (zh) * | 2015-11-13 | 2017-05-18 | 华为技术有限公司 | 一种计费欺诈的检测方法及装置 |
US10075424B2 (en) * | 2016-03-28 | 2018-09-11 | Airwatch Llc | Application authentication wrapper |
CN106101054A (zh) * | 2016-04-29 | 2016-11-09 | 乐视控股(北京)有限公司 | 一种多系统的单点登录方法和集中管控系统 |
US10372484B2 (en) | 2016-06-27 | 2019-08-06 | Microsoft Technology Licensing, Llc | Secured computing system |
US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
US10387681B2 (en) * | 2017-03-20 | 2019-08-20 | Huawei Technologies Co., Ltd. | Methods and apparatus for controlling access to secure computing resources |
RU2658894C1 (ru) * | 2017-07-26 | 2018-06-25 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ управления доступом к данным с защитой учетных записей пользователей |
CN107451477A (zh) * | 2017-07-28 | 2017-12-08 | 腾讯科技(深圳)有限公司 | 一种恶意程序检测的方法、相关装置及系统 |
US11032287B1 (en) * | 2018-07-02 | 2021-06-08 | Amazon Technologies, Inc. | Delegated administrator with defined permission boundaries in a permission boundary policy attachment for web services and resources |
CN110971576A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种安全认证的方法和相关装置 |
WO2020073267A1 (en) | 2018-10-11 | 2020-04-16 | Entit Software Llc | Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation |
US11108828B1 (en) | 2018-10-16 | 2021-08-31 | Styra, Inc. | Permission analysis across enterprise services |
US11038881B2 (en) * | 2018-11-01 | 2021-06-15 | Cisco Technology, Inc. | Anonymously generating an encrypted session for a client device in a wireless network |
US11258756B2 (en) * | 2018-11-14 | 2022-02-22 | Citrix Systems, Inc. | Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor |
TWI746920B (zh) * | 2019-01-04 | 2021-11-21 | 臺灣網路認證股份有限公司 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
US11323480B2 (en) * | 2019-05-07 | 2022-05-03 | Cisco Technology, Inc. | Policy enforcement and introspection on an authentication system |
TWI791144B (zh) * | 2020-03-17 | 2023-02-01 | 林金源 | 具會員身分等級之帳號管理系統 |
CN112887359B (zh) * | 2020-12-31 | 2022-12-02 | 北京思特奇信息技术股份有限公司 | 一种跨域session共享方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003030150A (ja) * | 2001-04-12 | 2003-01-31 | Microsoft Corp | 転送する認証メッセージ中の情報を保護する方法および装置 |
JP2003108527A (ja) * | 2001-06-14 | 2003-04-11 | Microsoft Corp | クライアント・プロキシ認証のためにセッションイニシエーションプロトコルリクエストメッセージにセキュリティ機構を組み込むための方法およびシステム |
JP2005123996A (ja) * | 2003-10-17 | 2005-05-12 | National Institute Of Information & Communication Technology | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム |
JP2007535030A (ja) * | 2004-03-26 | 2007-11-29 | マイクロソフト コーポレーション | 権利管理エンティティ間メッセージポリシーおよび実施 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7228291B2 (en) | 2000-03-07 | 2007-06-05 | International Business Machines Corporation | Automated trust negotiation |
CN1400779A (zh) * | 2001-08-06 | 2003-03-05 | 平实数位股份有限公司 | 具有安全性的网络交易方法 |
KR20030033630A (ko) * | 2001-10-24 | 2003-05-01 | 주식회사 오앤이시스템 | 커버로스 기반의 인증에이전트를 이용한 단일인증 시스템 |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
WO2005043282A2 (en) * | 2003-10-31 | 2005-05-12 | Electronics And Telecommunications Research Institute | Method for authenticating subscriber station, method for configuring protocol thereof, and apparatus thereof in wireless portable internet system |
CN1635738A (zh) * | 2003-12-26 | 2005-07-06 | 鸿富锦精密工业(深圳)有限公司 | 通用认证授权服务系统及方法 |
US20090055642A1 (en) * | 2004-06-21 | 2009-02-26 | Steven Myers | Method, system and computer program for protecting user credentials against security attacks |
IL165416A0 (en) * | 2004-11-28 | 2006-01-15 | Objective data regarding network resources |
-
2006
- 2006-05-26 US US11/441,588 patent/US7913084B2/en active Active
-
2007
- 2007-05-09 TW TW096116547A patent/TWI439103B/zh not_active IP Right Cessation
- 2007-05-25 RU RU2008146517/08A patent/RU2439692C2/ru active
- 2007-05-25 CA CA2654381A patent/CA2654381C/en active Active
- 2007-05-25 KR KR1020087028345A patent/KR101414312B1/ko active IP Right Grant
- 2007-05-25 JP JP2009512167A patent/JP5139423B2/ja active Active
- 2007-05-25 EP EP07809190.7A patent/EP2021938B1/en active Active
- 2007-05-25 WO PCT/US2007/012512 patent/WO2007139944A2/en active Application Filing
- 2007-05-25 BR BRPI0711702-7A patent/BRPI0711702A2/pt not_active Application Discontinuation
- 2007-05-25 CL CL2007001510A patent/CL2007001510A1/es unknown
- 2007-05-25 CN CN2007800188076A patent/CN101449257B/zh active Active
- 2007-05-25 MX MX2008014855A patent/MX2008014855A/es active IP Right Grant
- 2007-05-25 MY MYPI20084402A patent/MY148801A/en unknown
- 2007-05-25 AU AU2007267836A patent/AU2007267836B2/en active Active
-
2008
- 2008-10-27 NO NO20084500A patent/NO20084500L/no unknown
- 2008-10-28 IL IL194962A patent/IL194962A/en active IP Right Grant
- 2008-10-30 ZA ZA2008/09318A patent/ZA200809318B/en unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003030150A (ja) * | 2001-04-12 | 2003-01-31 | Microsoft Corp | 転送する認証メッセージ中の情報を保護する方法および装置 |
JP2003108527A (ja) * | 2001-06-14 | 2003-04-11 | Microsoft Corp | クライアント・プロキシ認証のためにセッションイニシエーションプロトコルリクエストメッセージにセキュリティ機構を組み込むための方法およびシステム |
JP2005123996A (ja) * | 2003-10-17 | 2005-05-12 | National Institute Of Information & Communication Technology | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム |
JP2007535030A (ja) * | 2004-03-26 | 2007-11-29 | マイクロソフト コーポレーション | 権利管理エンティティ間メッセージポリシーおよび実施 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011522485A (ja) * | 2008-05-28 | 2011-07-28 | マイクロソフト コーポレーション | ネットワークに対して認証するためにデジタル電話を事前設定し管理するための技法 |
US8943560B2 (en) | 2008-05-28 | 2015-01-27 | Microsoft Corporation | Techniques to provision and manage a digital telephone to authenticate with a network |
Also Published As
Publication number | Publication date |
---|---|
BRPI0711702A2 (pt) | 2011-11-29 |
TWI439103B (zh) | 2014-05-21 |
TW200810488A (en) | 2008-02-16 |
AU2007267836B2 (en) | 2011-08-25 |
MY148801A (en) | 2013-05-31 |
IL194962A (en) | 2014-03-31 |
CA2654381A1 (en) | 2007-12-06 |
US7913084B2 (en) | 2011-03-22 |
CN101449257B (zh) | 2011-05-11 |
EP2021938B1 (en) | 2014-01-01 |
KR101414312B1 (ko) | 2014-07-04 |
WO2007139944A3 (en) | 2008-02-14 |
IL194962A0 (en) | 2009-08-03 |
AU2007267836A1 (en) | 2007-12-06 |
EP2021938A2 (en) | 2009-02-11 |
RU2008146517A (ru) | 2010-05-27 |
NO20084500L (no) | 2008-11-26 |
JP5139423B2 (ja) | 2013-02-06 |
CN101449257A (zh) | 2009-06-03 |
ZA200809318B (en) | 2010-02-24 |
US20070277231A1 (en) | 2007-11-29 |
RU2439692C2 (ru) | 2012-01-10 |
WO2007139944A2 (en) | 2007-12-06 |
CA2654381C (en) | 2016-11-01 |
MX2008014855A (es) | 2008-12-01 |
EP2021938A4 (en) | 2012-04-04 |
KR20090012244A (ko) | 2009-02-02 |
CL2007001510A1 (es) | 2008-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5139423B2 (ja) | ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲 | |
JP4632315B2 (ja) | グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム | |
JP4746333B2 (ja) | コンピューティングシステムの効率的かつセキュアな認証 | |
CA2407482C (en) | Security link management in dynamic networks | |
US8301876B2 (en) | Techniques for secure network communication | |
US8275984B2 (en) | TLS key and CGI session ID pairing | |
Jeong et al. | Integrated OTP-based user authentication scheme using smart cards in home networks | |
JP2009538478A5 (ja) | ||
US20100235625A1 (en) | Techniques and architectures for preventing sybil attacks | |
EP2979420B1 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
JP7145308B2 (ja) | コンピューティング環境でオンプレミスの秘密を複製する安全な方法 | |
Ali et al. | Flexible and scalable public key security for SSH | |
Nishimura et al. | LESSO: Legacy Enabling SSO |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100524 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100524 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120727 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120731 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120912 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121017 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121115 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5139423 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151122 Year of fee payment: 3 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |