JP2010525448A - ウェブサービスリソースにアクセスするためのリクエスト専用認証 - Google Patents

ウェブサービスリソースにアクセスするためのリクエスト専用認証 Download PDF

Info

Publication number
JP2010525448A
JP2010525448A JP2010504132A JP2010504132A JP2010525448A JP 2010525448 A JP2010525448 A JP 2010525448A JP 2010504132 A JP2010504132 A JP 2010504132A JP 2010504132 A JP2010504132 A JP 2010504132A JP 2010525448 A JP2010525448 A JP 2010525448A
Authority
JP
Japan
Prior art keywords
authentication
client
request
web service
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010504132A
Other languages
English (en)
Other versions
JP2010525448A5 (ja
JP5334332B2 (ja
Inventor
マクマートリー クレイグ
ティー.ワイネルト アレキサンダー
メレシュク ヴァディム
イー.ガバーラ マーク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2010525448A publication Critical patent/JP2010525448A/ja
Publication of JP2010525448A5 publication Critical patent/JP2010525448A5/ja
Application granted granted Critical
Publication of JP5334332B2 publication Critical patent/JP5334332B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Biomedical Technology (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

ウェブサービスリソースへのアクセスのリクエストは、受信されたリクエストの種類に基づいて評価される。そのリクエストを許可するために、十分な認証の証拠が与えられなければ、リクエストは許可されない。認証サービスは、1または複数の要因を評価して、クライアントを認証するかどうかを判定する。認証サービスによって認証された後に、認証の証拠がウェブサービスに与えられて、ウェブサービスリソースへのアクセスを許可する。

Description

ユーザーが、インターネットなどのネットワークを経由して保護されたリモートリソースにアクセスを試みる場合、ユーザーは、通常、リモートリソースを制御するサーバによって発行されるポリシーステートメントに従う。ポリシーステートメントは、リソースとの通信を開始するのに必要な一連の認証ルールおよび認可ルールを与える。例えば、ポリシーステートメントは、リソースにアクセスする前に、ユーザーにパスワードを与えるように要求することがある。ユーザーが正しいパスワードを与えた場合、ユーザーの身元が認証されて、リソースへのアクセスが許可される。
単一の認証形式が保護されたリソースとの通信を開始するのに十分である状況では、ポリシーステートメントの認証方法は有効に機能するが、ポリシーステートメントは、動的環境においてあまり機能しない。動的環境において、クライアントと保護されたリソースとの間の通信の開始時に、単一のインスタンスの認証では十分でないことがある。例えば、ユーザーが保護されたリソースを有するウェブサイトにアクセスを試みる場合は、ユーザーにとって、最初にパスワードを入力して認証を与えることで十分である。しかしながら、いったんユーザーがウェブサイトにアクセスすると、ユーザーは、自分のパスワードを変更し、ディレクトリを更新し、高度に保護されたリソースにアクセスし、またはシステム管理者グループなどの高レベルのアクセスグループの権限を要求することを試みる。このような場合、ユーザーは、単に情報を閲覧するだけではなく、それ以上を行うことを要求する。このような行為は、保護されたリソースに大きな損害を与える可能性がある。
一部の認証方法は、リソースとの通信を可能にする前に認証を要求する。しかしながら動的環境において、保護されたリソースへのアクセスを要求する実リクエストが受信されるまでに、どのような認証ルールおよび認可ルールが適用されるかを判定するのは困難である。
米国特許出願第12/024895号明細書 上述の引用の開示はすべて、参照することにより本明細書に組み込まれる。
本開示の実施形態は、メッセージ専用の認証に対するシステム、方法、およびデータ構造に関する。一態様は、保護されたウェブサービスリソースへのアクセスを制御するコンピュータシステムである。コンピュータシステムは、通信装置、プロセッサ、およびメモリを含む。通信装置は、通信ネットワーク経由で通信を行う。プロセッサは、通信装置に通信接続される。メモリは、プロセッサによって実行された場合、コンピュータシステムに、保護されたウェブサービスリソースへのアクセスを制御する方法を実行させることができるプログラム命令を格納する。その方法は、まず、クライアントから第1のリクエストを受信して通信ネットワークからの保護されたウェブサービスリソースにアクセスし、第1の要因に従ってクライアントが認証されたと判定し、第1の要因に従った認証に基づいて、保護されたウェブサービスリソースにアクセスする第1のリクエストを許可し、通信ネットワークからの保護されたウェブサービスリソースにアクセスする第2のリクエストをクライアントから受信し、第2のリクエストを許可するには不十分となる第1の要因に従った認証に基づいて、保護されたウェブサービスリソースにアクセスする第2のリクエストを拒否し、第2の要因に従ってクライアントが認証されたと判定し、および第2の要因に従った認証に基づいて、保護されたウェブサービスリソースにアクセスする第2のリクエストを許可することを含む。
別の態様は、ウェブサービスリソースへのアクセスをクライアントに認証する方法である。その方法は、(i)認証されるクライアントからリクエストを受信すること、(ii)チャレンジメッセージをクライアントに送信すること、(iii)チャレンジメッセージへの確認応答をクライアントから受信すること、(iv)確認応答が所定の基準に合うと判定すること、(v)認証されるリクエストがさらに認証を要求すると判定すること、(vi)第2のチャレンジメッセージ、第2の確認応答、および第2の所定の基準を用いて(ii)から(iv)までを繰り返すこと、(vii)認証メッセージをクライアントに送信することを含む。
追加的な態様は、コンピュータによって実行されたときに、保護されたリソースへのアクセスを制御する方法を実行するコンピュータ実行可能命令を含むコンピュータ読み取り可能媒体に関連する。その方法は、保護されたウェブサービスのリソースを特定するリクエストをクライアントから受信し、認証サービスから認証を要求する応答をクライアントに送信し、認証サービスから認証された後にクライアントから認証トークンを受信し、認証トークンがリクエストを許可するのに十分であるかどうかを判定し、認証トークンが十分な場合はリクエストを許可し、認証トークンがリクエストを許可するのに十分でない場合はリクエストを拒否することから成る。
実施形態は、コンピュータプロセス、コンピュータシステム、もしくはコンピュータプログラム製品またはコンピュータ読み取り可能媒体などの製造品として実装できる。コンピュータプログラム製品は、コンピュータシステムによって読み取り可能で、コンピュータプロセスを実行する命令のコンピュータプログラムを暗号化するコンピュータ記憶媒体とすることができる。コンピュータプログラム製品は、コンピュータシステムによって読み取り可能で、コンピュータプロセスを実行する命令のコンピュータプログラムを暗号化する搬送波上の伝播信号とすることもできる。
本発明の概要は、以下の発明の詳細な説明でさらに説明される簡易な形式において概念の1つの選択を導入するために与えられる。本発明の概要は、特許請求の範囲の対象事項での重要な特徴または不可欠な特徴を特定することを意図せず、または特許請求の範囲の対象事項の範囲を限定するように用いられることを意図しない。
動的認証を実行するように構成された例示的なシステムのブロック図である。 認証が要求されるかどうかを動的に判定する例示的な方法を示すフロー図である。 クライアントを認証する例示的な方法を示すフロー図である。 保護されたリソースへのアクセスを動的に制御する例示的な方法を示すフロー図である。 保護されたリソースへのアクセスを制御する例示的な方法を示すフロー図である。 本開示の態様を実装する例示的なコンピュータシステムのブロック図である。
本開示は、特定の実施形態を示す添付図を用いて、例示的な実施形態をより完全に説明する。しかしながら他の態様は、多くの異なる形式で実装することができ、本開示の特定の実施形態の内容(inclusion)は、それらの態様を本明細書に説明される実施形態に限定するものとして解釈されてはならない。むしろ、図に示した実施形態は、完全で、かつ意図する範囲を十分に当業者に伝える開示を与えるために含められている。図を参照する場合、全体を通じて示した同種の構造および要素は、同種の参照符号を用いて指定される。
本開示の一部の実施形態は、メッセージ専用の認証に対するシステムおよび方法に関する。一態様は、クライアントが保護されたリソースへのアクセスを許可される前に、認証が必要であるかどうかを判定する方法である。
一般的には、認証は、コンピュータシステム、クライアント、システム、または人物などによって行われる身元申告の信憑性を検証するプロセスである。コンピュータシステムの認証は、典型的には、コンピュータシステムの元またはソースの確認を含む。元またはソースの確認は、通常、製造場所および製造時期、ネットワーク上の位置、物理的位置、識別番号などの固有の身元を申告するコンピュータシステムについての情報を、固有の身元についての周知の情報と比較することによって行われる。
しかしながら、人物を認証する動作は、例えば、その人物の身元の確認を伴う。認証に用いることができる多くの異なる識別特性がある。人物を特定する1つの方法は、生体識別子の検出に関与する。この認証方法は、身元を申告する人物に、身元を申告する人物のDNA、指紋パターン、網膜パターンなどの固有の特徴の形式で検証を行うことを要求する。人物の身元を検証することができる別の方法は、その人物が知るものによって行われる。この認証方法は、身元を申告する人物に、パスワード、暗証番号などの個人情報の形式で検証を行うことを要求する。さらに人物の身元を検証することができる別の方法は、その人物が有するものによって行われる。この認証方法は、身元を申告する人物に、キー、セキュリティカード、セキュリティトークン、クレジットカードなどのオブジェクトの形式で検証を行うことを要求する。これらの認証方法は、個々に、または多元的な認証として知られるプロセスにおいて一緒に用いることができる。
一般的に、クライアントを認証する場合、プロセスは、クライアントを認証するか、またはクライアントを用いる人物の身元を認証するかのいずれかを含む。一実施形態において、クライアントは、ウェブブラウザとすることができる。別の実施形態において、クライアントは、リモート手続き呼び出しを行うように構成されたプログラム、もしくは保護されたリソースとの通信を行う任意の他のアプリケーションまたはプログラムとすることができる。
動的環境において、認証の種類およびクライアントを認証するルールは、保護されたリソースにアクセスするために行われるリクエストの種類によって異なる。例えば、保護されたリソースの閲覧を要求するメッセージは、保護されたリソースの変更を要求するメッセージよりは複雑な認証を必要としない。一実施形態において、保護されたリソースは、特定のユーザーのみがアクセスできる私的ウェブサイトである。別の実施形態において、保護されたリソースは、私的電子メールグループ、保護されたデータ、保護された方法、保護された手続き、保護された動作、もしくは特定のユーザーまたはクライントに限定しなければならない任意の他の種類の保護された情報または機能とすることができる。
図1は、リクエスト専用の動的認証を実行するように構成された例示的なシステム100のブロック図である。図示された実施形態において、システム100は、クライアント102、ウェブサービス104、および認証サービス108を含む。ウェブサービス104は、保護されたリソース106を含む。この実施形態において、クライアント102は、保護されたリソース106にアクセスすることを望む。しかしながら保護されたリソース106は、未認証のクライアントによるアクセスから保護されている。クライアント102、ウェブサービス104、および認証サービス108は、ネットワーク110経由で通信を行うように構成される。ネットワーク110はデータ通信路である。一実施形態において、ネットワーク110はインターネットである。他の実施形態において、ネットワーク110は、ローカルエリアネットワーク、イントラネット、無線ネットワーク、もしくはあるコンピュータシステムから別のコンピュータシステムにデータを送るように構成された任意の他の通信路である。
一実施形態において、クライアント102は、コンピュータシステムである。他の実施形態において、クライアント102は、ネットワーク110経由でデータを送るように構成された任意のコンピュータシステムである。クライアント102の1つの例は、図6に示したコンピュータシステム600である。クライアント102は、ウェブサービス104と通信接続されて、ネットワーク110を経由して認証サービス108に接続される。一部の実施形態において、クライアント102は、メッセージをウェブサービス104に送信することによって保護されたリソース106にアクセスすることができる。別の実施形態において、クライアント102は、メッセージを、保護されたリソース106に直接送信する。
一実施形態において、ウェブサービス104は、ウェブサーバ、ウェブサービスを運用するなどのコンピュータシステム(例えば、図6に示したコンピュータシステム600)である。一般的に、ウェブサービス104は、データ通信プロトコルを用いて、ネットワーク110を経由してアクセスすることができる実用的な機能を与える。ウェブサービスを用いて数多くの実用的な機能を与えることができる。一実施形態において、ウェブサービス104はサーバである。別の実施形態において、ウェブサービス104は、ネットワーク110に通信接続されたコンピュータシステム上で動作するコンピュータシステムのアプリケーションである。一部の実施形態において、ウェブサービス104は、参照可能なエンティティ、プロセッサ、またはウェブサービスのメッセージがアドレスに指定することができるリソースである。
一般的に、ウェブサービス104の一部の実施形態は、保護されたリソース106に関連するクライアント102から送信されたメッセージ用のネットワーク110を監視する。メッセージが受信されたときに、ウェブサービス104は、クライアント102の認証を要求するリクエストをメッセージが含むかどうかを判定する。保護されたリソース106にアクセスするのをクライアント102に許可する前に、クライアント102を認証することは、保護されたリソース106へのアクセスを制御するのに必要となる場合がある。ウェブサービス104が、認証が必要であると判定した場合、ウェブサービス104は、クライアント102を認証サービス108に導く。
図示された実施形態において、ウェブサービス104は、保護されたリソース106を含む。保護されたリソースは、例えば、ウェブサービス104によって実行される機能と、唯一認証されたクライアントによってアクセス、使用、または変更することができるウェブサービス104によって格納されるデータとを含む。例えば、ウェブサービス104がグループ分散リストを保持するサービスを提供する場合、グループ分散リストは、唯一認証されたクライアントによってアクセス、使用、または変更することができる保護されたリソースである。別の例として、保護されたリソース106は、ディレクトリ内のエントリである。別の実施形態において、保護されたリソース106は、データベース内のレコードである。別の実施形態において、保護されたリソース106は、メモリ記憶装置に格納されたファイルまたはファイルの一部である。他の実施形態は、保護されたリソース106の他の形式を用いる。
一実施形態において、認証サービス108は、ネットワーク110に通信接続されたサーバなどのコンピュータシステム(例えば、図6に示したコンピュータシステム600)である。別の実施形態において、認証サービス108は、ネットワーク上に配置されたソフトウェアアプリケーションを実行するコンピュータシステムである。認証サービス108は、クライアント102を認証するように構成される。認証サービス108の1つの例は、セキュリティトークンサービスのエンドポイントである。図示された実施形態は、ウェブサービス104から明確に分離した認証サービス108の例を示すが、他の実施形態において、認証サービス108およびウェブサービス104は、同じサーバ上で動作する。
クライアント102が、保護されたリソース106へのクライアントのメッセージ内に含まれるリクエストを実行するのを認証された場合、ウェブサービス104は、要求された動作の結果をクライアント102に送る。しかしながら、他の実行可能な実施形態において、認証サービス108は、ネットワーク110経由で直接ウェブサービス104との通信を行い、例えば、ウェブサービス104から認証リクエスト受信し、または認証の証拠をウェブサービス104に送信する。
認証に加えて、クライアントが認証されるだけでなく認可されることを要求することによって、保護されたリソースへのアクセスを制御することが望ましい場合がある。
図2は、認証が要求されるかどうかを動的に判定する例示的な方法200を示すフロー図である。方法200は、動作202、204、206、208、および210を含む。方法200は、リソースリクエストが行われる間に動作202から開始する。一実施形態において、動作202は、保護されたリソース106にアクセスする要求を含むメッセージを、クライアント102からウェブサービス104に送ることに関与する。一部の実施形態において、メッセージは、リモート手続き呼び出しである。別の実施形態において、リクエストは、クライアントとリソース間での電子メールまたは任意の他の種類の電気通信の形式をとることがある。別の実施形態において、動作202は、ウェブサービス通信に一般に用いられるような、Createリクエスト、Getリクエスト、Putリクエスト、Deleteリクエスト、またはEnumerateリクエストをウェブサービス104に送信するクライアント102に関与する。
リソースリクエストが行われた後に、動作204は、リクエストを評価して、認証が必要であるかどうかを判定するために実行される。一実施形態において、ウェブサービスは、保護されたリソースにクライアントから送信されたメッセージを分析して、メッセージがクライアントに認証を与えるように要求するリクエストを含むかどうかを判定する。一実施形態において、保護されたリソースにアクセスを試みるクライアントは、リクエストに対して要求された認証をクライアントがすでに与えた場合には、認証を与える必要がない。別の実施形態において、クライアントは、リソースが認証を要求する誰もが利用できる公的リソースである場合、認証を与える必要がない。別の実施形態において、たとえリソースが保護されていても、メッセージが保護されたリソースに損害を与えることができないなどの、認証を要求しないリクエストを含む場合、認証は要求されない。ウェブサービス104が、動作204において認証が要求されないと判定した場合、 動作206が実行される。認証が要求された場合、動作208が実行される。
1つの例において、ウェブサービス104は、多数の要件を評価することによって認証が要求されるかどうかを判定する。これらの要件は、リクエストを運ぶ(ローカルエリアネットワークかリモートアクセスなどの)媒体、リクエストが関係するオブジェクトの種類、リクエストが関係するオブジェクトのプロパティ、すでにリクエストとともに含まれる証明書の品質を含む。証明書の品質に関して、例えば、証明書が別の組織からのユーザーに対するものである場合、ユーザーがアクセスを試みるリソース次第で追加的な証明書が要求されることがある。
認証が要求されない場合、動作206を実行して要求されたリソースへのアクセスを許可する。ウェブサービスは、例えば、リソースの表現をクライアントに送信すること、要求された動作を保護されたリソース上で実行すること、または要求された動作の結果をクライアントに送信することによって、保護されたリソースへのアクセスを許可する。
しかしながら、認証が要求された場合、動作208を実行して認証を行う。クライアントの認証は、図3との関連でさらに説明する。クライアントに認証を与えるように要求する状況の例は、クライアントが私的ウェブサイト、私的電子メールグループ、保護されたデータ、保護された方法、保護された手続き、保護された動作、もしくは任意の他の種類の保護された情報または機能にアクセスまたは変更を試みるインスタンスを含む。一部の実施形態において、ウェブサービス104は、クライアント102をチャレンジして認証を与える。あるいは、ウェブサービス104は、クライアントを(認証サービス108などの)認証サービスに導く。認証サービス108を、ウェブサービス104に配置し、ウェブサービスから他の場所に配置し、または分散ネットワークの場合はその両方に配置することができる。クライアントを認証する例示的な方法は、図3を用いて説明される。
クライアントが認証された後に動作206が実行されて、ウェブサービスの保護されたリソースへのアクセスがクライアントに許可される。一実施形態において、クライアントが認証トークンを認証サービスからウェブサービスに与えた後に、アクセスが許可される。ウェブサービスは、例えば、リソースをクライアントに送信し、要求された動作を保護されたリソース上で実行し、保護されたリソースを要求された動作を実行するように導く。または、要求された動作の結果をクライアントに送信することによって、保護されたリソースへのアクセスを許可する。
クライアントを認証してはならないと判定した場合、動作210が、保護されたリソースに対してアクセスが拒否される間に実行される。1つの例において、認証サービス108が、保護されたリソースにアクセスするために必要な認証トークンを与えないために、アクセスが拒否される。
図3は、クライアントを認証する例示的な方法300を示すフロー図である。一実施形態において、方法300は、図2に示した動作208と一致する。方法300は、認証に対するリクエストが行われる間に、動作302から開始する。一実施形態において、動作302は、クライアント102から認証サービス108に送信されるメッセージ、および認証のリクエストを受信する認証サービス108に関与する。
図示された実施形態において、認証のリクエストを受信した後に、動作304が実行されて、認証チャレンジと通信を行う。一実施形態において、認証サービス108は、クライアント102へのチャレンジと通信を行って、クライアントまたはユーザーの身元の信憑性を確かめる。一部の実施形態において、チャレンジは、パスワードを要求し、セキュリティクエスチョンの回答を要求し、DNAサンプル、指紋パターン、網膜パターン、生体識別子の他の形式、クライアントを用いる人物の他の固有の識別子を要求し、キー、セキュリティカード、セキュリティトークン、クレジットカードなどのオブジェクトまたはクライアントを用いる人物に固有の他のオブジェクトの形式で検証を要求し、製造場所および製造時期、ネットワーク上の位置、物理的位置、識別番号などのクライアントの特定情報を要求し、または認証目的で用いることができる任意の他の種類の情報を要求する形式をとる。
図示された実施形態において、いったんチャレンジが交信されると、動作306が実行されて、チャレンジへの確認応答を受信する。動作306は、動作304において要求された情報、サンプル、識別子などを与えて、それを認証サービス108に送ることに関与する。一実施形態において、クライアント102のユーザーが入力装置(例えば、図6に示した入力装置614)を用いて、識別情報をクライアント102に与えて、次に情報を認証サービス108に送る。一部の実施形態において、(入力装置の形式でもある)センサーが用いられる。例えば、ユーザーは、指を指紋スキャナに置いて、指紋を走査する。指紋データは、次に、認証サービス108に転送される。キーボード、マウス、タッチパッド、マイクロフォン、ペン、生体センサー、スキャナ、カードリーダー、化学物質検出器などを含むさまざまな種類の入力装置を用いることができる。他の実施形態において、データがクライアント102に入力されて、次に認証サービス108に送られる。
図示された実施形態において、いったん確認が交信されると、動作308を実行して、確認応答を検証する。一実施形態において、認証サービスは、クライアント102から受信された確認応答を、申告された身元についての周知の情報と比較する。例えば、認証サービス108は、データベースに格納されたデータを読み出し、そのデータを確認応答データと比較する。認証サービス108は、次に、確認応答が、すでに格納されたデータと一致するどうかを判定する。一致する場合、確認応答が検証されて、動作312が実行される。一致しない場合、確認応答が検証されずに、動作310が実行される。
受信された確認応答が周知の情報と一致しない場合、動作310が実行されて、要求されたリソースに対してアクセスを拒否する。別の実施形態において、認証サービス108が代わりに動作304に戻って、認証を再試行する。このような実施形態において、3度の再試行などの複数の再試行が許可される。再試行が成功しない場合、動作310が実行されて、保護されたリソースへのアクセスが拒否される。
受信された確認応答が周知の情報と一致する場合、動作312が実行されて、追加的な認証が必要であるかどうかを判定する。一実施形態において、認証サービス108は、強固な認証形式、すなわち、クライアントに複数の認証形式を与えるように要求する多元的な認証が要求されるかどうかを判定する。多元的な認証が必要な場合、方法300は、動作304にもどって、第2のチャレンジと通信を行う。動作304、306、308、および310または312がその後、要求通りに何度でも繰り返される。しかしながら、繰り返される場合、認証チャレンジは、認証サービスからすでに発行されたチャレンジとは異なる形式をとる。例えば、認証サービスが最初にクライアントにパスワードを与えるように要求した場合、認証サービスは、2回目またはその次の回の検証の間にクライアントにスマートカードまたは生体スキャナを用いるように要求することがある。一部の実施形態において、認証サービス108が単に同じ情報を何度も要求しないように、認証の形式がすでに用いた形式とはある程度異なるのであれば、任意の形式の認証を用いることができる。多くの状況において、同じ情報を繰り返して要求することは、追加的な認証値を与えない。しかしながら、一部の状況において、前回のチャレンジ以来、かなりの時間が経過した場合などに、要求を繰り返して用いることができる。
これ以上認証が要求されない場合、動作314が実行されて、認証トークンを発行する。認証サービス108は、クライアントが認証されたことの証拠としてクライアントが用いるセキュリティトークンを、クライアントに戻す。認証トークンは、クライアント102からウェブサービス104に送信される。ウェブサービス104は、次に、クライアント102に、最初に要求された保護されたリソースへのアクセスを許可する。
図4は、保護されたリソースへのアクセスを動的に制御する例示的な方法400を示すフロー図である。一実施形態において、方法400は、保護されたリソース106にアクセスを試みるなどの、クライアント102から受信されたメッセージに応答して、ウェブサービス104によって実行される。方法400は、リクエストメッセージが受信された間に、動作404から開始する。一実施形態において、ウェブサービス104は、保護されたリソース106に関連するクライアント102からリクエストを受信する。いくつかの例として、リクエストは、保護されたリソースを閲覧し、保護されたリソースにアクセスし、または保護されたリソースを変更するためのリクエストである。
図示された実施形態において、動作406がその次に実行されて、リクエストメッセージが認証を要求するリクエストを含むかどうかを判定する。一実施形態において、ウェブサービス104は、リクエストを分析して、リクエスト内に含まれる分析したリクエストがクライアントの認証を要求するかどうかを判定する。一部の実施形態において、保護されたリソースにアクセスを試みるクライアントは、例えば、クライアントがリクエストに対してすでに要求された認証を与えた場合、リソースが公的でありすべてに利用できる場合、リクエストの種類が認証を要求しないリクエストを含む場合、またはリクエストの種類およびそれに関連付けられたリクエストが保護されたリソースに損害を与えることができない場合に、認証を与える必要がない。認証が要求されない場合、動作414がその次に実行されて、要求された動作を行う。
図示された実施形態において、メッセージ内に含まれるリクエストが認証を要求する場合、動作408がその次に実行されて、認証が要求されたことを伝える。一実施形態において、動作408は、メッセージをウェブサービス104からクライアント102に送信して、要求された動作を実行するために認証が必要であることをクライアントに通知することに関与する。一実施形態において、ウェブサービス104は、クライアント102を、図3を用いて説明されたような認証に対する認証サービス108に導く。例えば、メッセージは、認証プロバイダへのアドレスを含む。クライアントは、アドレスを用いて認証プロバイダを見つけ、認証の受信を試みる。別の実施形態において、方法300は、メッセージが、クライアント102に認証情報を与えるように要求するクライアント102へのチャレンジを含むように、ウェブサービス104によって実行される。
図示された実施形態において、クライアントが認証に成功した場合、動作410が実行されて、認証トークンが受信される。図3を用いて説明したように、成功した認証の結果は、認証トークンの受信である。そのトークンは、ウェブサービス104を通過して、認証の証拠を与える。ウェブサービス104は、トークンを評価して、トークンが有効であるかを検証する。
一部の実施形態において、トークンの評価は、2つのステップに関与する。第1のステップは、公開キー暗号化に関与する。ウェブサービス104が、認証サービス108の公開キーを用いてトークンを復号することができる場合、ウェブサービス104は、トークンが認証サービス108によって発行されたと判定する。第2のステップは、認証サービス108によって行われたクライアント102についての申告が、アクセスに対する1または複数の条件を満たすかどうかを判定することを含む。
例えば、特定の保護されたリソース106がアクセスされるために、ウェブサービス104は、3つの特定の認証プロセスが実行されて、クライアント102を認証サービス108に認証することを要求することがある。結果として、ウェブサービス104は、クライアント102から受信されたトークンを評価して、クライアント102が3つの認証プロセスのすべてを完了したことを表明する認証サービス108によって、トークンが3つの申告を含むかを検証する。他の実施形態において、任意の数の認証プロセスが要求される。一部の実施形態において、要求された認証プロセスの数および種類は、行われたリクエストの種類に関連する。例えば、高いリスクを伴うリクエストは、より厳密な認証プロセスを要求することが多い。
一部の実施形態において、成功して完了した多くの認証プロセスは、認証レベルと呼ばれる。一部の実施形態において、保護されたリソース106に関与するリスクの低い動作は、1または2つの認証レベルなどの、低い認証レベルしか要求しない。一部の実施形態において、リスクの高い動作は、3から5つの認証レベルなどの、高い認証レベルを要求する。単一の保護されたリソースは、行われる要求次第でさまざまな認証レベルと関連付けることができる。例えば、保護されたリソースから情報を読み出す要求は、一部の状況において低い認証レベルしか要求しないが、保護されたリソースから情報を削除する要求は、中程度または高い認証レベルを要求することがある。他の状況において、保護されたリソースから情報を読み出す要求は、情報が機微または秘密である場合に高い認証レベルを要求することがある。
図示された実施形態において、認証の有効な証拠が与えられない場合、または与えられた認証が評価されて、不十分であると判定された場合、動作411が実行されて、保護されたリソースへのアクセスが拒否される。一部の実施形態において、メッセージがクライアント102に送信されて、クライアント102に拒否を通知する。一部の実施形態において、メッセージは、クライアント102を認証サービス108に導くなどの、適切な認証を得る方法についての情報も含む。
図示された実施形態において、認証の証拠が与えられて、有効と検証された場合、動作412において要求された動作が実行される。つまり、保護されたリソースへのアクセスが許可される。一部の実施形態において、動作414がその次に実行されて、要求が処理されたことを要求側に通知する。例えば、ウェブサービス104は、保護されたリソースに関連するリクエストが処理されたことをクライアント102に通知するメッセージを送信する。他の例において、ウェブサービス104は、リソース106の代表をクライアント102に送信し、要求された動作を保護されたリソース106上で実行し、または要求された動作の結果をクライアント102に送信することによって、保護されたリソースへのアクセスを許可する。
図示された実施形態において、動作416がその次に実行されて、追加的なメッセージの受信を監視する。例えば、ウェブサービス104は、リソース106に関連するクライアント102からの追加的な通信を監視する。クライアント102が追加的なメッセージをリソース106に送信した場合、方法400は、動作404に戻って、動作404、406、および408を介して新しいメッセージが追加的な認証を要求するかどうかを評価する。クライアントが、この時点ですでに認証されたとしても、動的環境においてクライアントは、強固な認証形式、すなわち、クライアントが送信するメッセージおよびリクエストの種類次第で多元的な認証を与えなければならないことがある。これ以上メッセージが受信されない場合、方法400は終了する。
図5は、保護されたリソースへのアクセスを制御する例示的な方法500を示すフロー図である。方法500は、クライアント102、ウェブサービス104、認証サービス108、および保護されたリソース106に関与する。認証サービス108は、ウェブサービス104から明確に分離したエンティティとして示されるが、一部の実施形態において、認証サービス108およびウェブサービス104は、同じコンピュータシステム上で動作する。一実施形態において、保護されたリソース106は、ウェブサービス104上に配置される。さらに別の実施形態において、保護されたリソース106は、別のウェブサービス、サーバ、コンピュータ、または他のコンピュータシステム上に配置される。通信512において、クライアント102は、保護されたリソース106のリクエストをサブミットする。ウェブサービス104は、このリクエストを受信する。通信514において、ウェブサービス104は、認証が必要であると判定して、リクエストを処理するために少なくとも1つの認証プロセスが完了されなければならないことを示すフォルトを用いて応答する。実現可能な実施形態において、フォルトは、SOAP1.2仕様書に定義されるように、SOAP(Simple Object Access Protocol)フォルトの形式をとることができる。他の実施形態において、フォルトは、任意の他の種類のデータ通信プロトコルの形式をとることができる。追加的実施形態において、ウェブサービス104からのフォルトは、セキュリティトークンサービスのエンドポイントなどの認証サービス108へのアドレスを含む。
通信516において、クライアント102は、必要な認証プロセスが完了したことを申告する、セキュリティトークンのリクエストを認証サービス108に送信する。一実施形態において、このリクエストは、WS−Trust仕様書によって定義されたWS−Trust(Web Services Trust)Request Security Token Response Messageの形式をとる。他の実施形態において、リクエストは、他のプロトコルの形式をとることができる。通信518において、認証サービス108は、身元の確認のためにチャレンジを用いてクライアント102に応答する。一部の実施形態において、チャレンジは、図3に関して説明されたチャンレンジの形式をとる。通信520において、クライアント102は、身元の確認を用いて応答する。一部の実施形態において、身元の確認は、図3に関して説明された確認の形式をとる。通信522において、認証サービス108は、身元の確認のために追加的チャレンジを用いてクライアント102に応答する。一実施形態において、このチャレンジは、失敗した身元の確認に応答する。さらに他の実施形態において、このチャレンジは、多元的な認証を行うのに必要である。通信524において、クライアント102は、追加的な身元の確認を用いて認証サービス108に応答する。このプロセスは、通信526におけるチャレンジとチャレンジ528の確認を用いてもう一度繰り返すことができる。チャレンジと確認のセットは3回実行されるように示しているが、他の実施形態において、これらのチャレンジおよび応答の通信は、任意の回数繰り返される。認証サービス108がクライアント102の身元を確認した後に、認証サービス108は、通信530において、要求されたセキュリティトークンをクライアント102に発行する。
通信532において、クライアント102は、保護されたリソースの元のリクエストをセキュリティトークンとともに再サブミットする。ウェブサービス104は、リクエストを検査して、リクエストが元のリクエストと同じであることを保証して、セキュリティトークンを有効にしてリクエストが有効であることを保証する。通信534において、ウェブサービス104は、クライアント102によって行われたリクエストを処理する。一部の実施形態において、この処理は、保護されたリソース106をフェッチングおよび/または更新することに関与する。通信536において、保護されたリソース106のフェッチおよび/または更新の結果は、ウェブサービス104に戻される。通信538において、ウェブサービス104は、クライアント102によって行われたリクエストに応答する。
テーブル1:認証チャレンジスキーマを参照すると、リクエストを処理するためにメッセージ専用認証プロセスが要求されることを示すデータ構造が与えられる。一部の実施形態において、図5に関して説明された通信は、when a Web serviceや、Web service 104などの、テーブル1に定義されたデータ構造の形式で交信されて、メッセージ専用プロセスがリクエストを開始したユーザーを認証するために要求されると判定する。一実施形態において、サービスは、SOAP1.2仕様書に定義されるように、SOAPフォルトを戻す。一部の実施形態において、従来のSOAPフォルトとは違って、メッセージ専用認証プロトコルが要求されることを表示するのに用いられるSOAPフォルトは、元のリクエストの詳細およびリクエストと関連付けるために判明した任意の認証プロセスがウェブサービスによって読み出される識別子を含むコンテキストヘッダを含む。別の実施形態において、戻ったSOAPフォルトは、リクエストが行われる代わりにユーザーの身元を示すDetail要素も含む。これは、追加的に認証される身元である。さらに別の実施形態において、Detail要素はその上または選択的に、ユーザーがリクエストと関連付けられたそれぞれの認証プロセスを成功して完了したことを確認するセキュリティトークンをユーザーに発行することができる、認証サービス108などの認証サービスのアドレスを与える。一部の実施形態において、認証サービスのアドレスは、ウェブサービスのアドレスと同じである。他の実施形態において、認証サービスのアドレスは、ウェブサービスのアドレスとは異なる。
テーブル1:認証チャレンジスキーマ
テーブル1に示したスキーマは、Challenge要素およびAuthenticationChallenge要素を含む。Challenge要素を用いて、要求された認証データを与えるためにユーザーにチャレンジするのに必要な情報をクライアントに転送する。一部の実施形態において、クライアントは、チャレンジデータをユーザーに表示するウェブブラウザとすることができ、チャレンジに応答してユーザーにデータを与えるように促す。例えば、チャレンジ要素は、クライアント102を導いて、ユーザーにパスワードを入力するように促すテキストボックスを表示することができる。他の実施形態は、図3を用いて説明したように、セキュリティクエスチョンへの回答を要求し、DNAサンプル、指紋パターン、網膜パターン、またはクライアントを用いる人物の他の固有の識別子を要求し、キー、セキュリティカード、セキュリティトークン、クレジットカードなどのオブジェクトまたはクライアントを用いる人物に固有の他のオブジェクトの形式で、ユーザーに認証を与えるように促す。実行可能な実施形態において、認証チャレンジスキーマは、スキーマのラッパーとして機能するAuthenticationChallenge要素を含む。
テーブル2:認証チャレンジレスポンススキーマを参照すると、認証チャレンジに応答するデータ構造が与えられる。認証サービス108などの認証サービスは、情報を認証するためにチャレンジをユーザーに発行する。一部の実施形態において、チャレンジは、WS−Trust仕様書の10節に定義されたチャレンジフレームワークに従って行われる。認証サービスがユーザーの身元を認証するために追加的な情報を要求した場合、認証サービスは、WS−Trust仕様書によって定義されたような応答を用いて、セキュリティトークンメッセージのリクエストに応答する。
テーブル2:認証チャレンジレスポンススキーマ
認証チャレンジレスポンススキーマは、レスポンス要素およびAuthenticationChallengeResponse要素を含む。レスポンス要素は、クライアントから要求される認証サービスの認証情報を特定する。この情報は、認証サービスによって用いられ、例えば、クライアントを認証するためにどのようなチャレンジをクライアントに送信しなければならないかを判定する。AuthenticationChallengeResponse要素は、スキーマのラッパーとして機能する。
図6は、本開示の態様を実装する例示的なコンピュータシステム600のブロック図である。一実施形態において、コンピュータシステム600は、クライアント102である。別の実施形態において、コンピュータシステム600は、ウェブサービス104である。別の実現可能な実施形態において、コンピュータシステム600は認証サービス108である。実施形態の最も基本的な構成において、コンピュータシステム600は、典型的には、少なくとも1つの処理ユニット602およびメモリ604を含む。コンピュータシステムの正確な構成および種類によって、メモリ604は、(RAMなどの)揮発性メモリ、(ROM、フラッシュメモリなどの)不揮発性メモリ、またはその2つの組み合わせのメモリとすることができる。この最も基本的な構成は、図6の点線606によって示される。さらに、コンピュータシステム600は、付加的な特徴/機能を有することもできる。例えば、コンピュータシステム600は、磁気ディスクまたは光ディスク、磁気テープまたは光テープを含む付加的な(取り外し可能および/または取り外し不能)装置も含むことができるが、これに限定されない。このような付加的な記憶装置は、図6の取り外し可能な記憶装置608および取り外し不能な記憶装置610によって示される。コンピュータ記憶媒体は、コンピュータ読み取り可能命令、データ構造、プログラムモジュールまたは他のデータなどの、情報を記憶する任意野方法または技術に実装される揮発性および不揮発性、取り外し可能および取り外し不能媒体を含む。メモリ604、取り外し可能記憶装置608、および取り外し不能記憶装置610は、コンピュータ記憶媒体のすべての例である。コンピュータ記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD−ROM、DVD(digital versatile disks)または他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置または他の磁気記憶装置、もしくは望ましい情報を格納するために用いることができて、コンピュータシステム600によってアクセスすることができる任意の他の媒体を含むが、これに限定されない。このような任意のコンピュータ記憶媒体は、コンピュータシステム600の一部とすることができる。
コンピュータシステム600は、コンピュータシステムに他の装置との通信を行うようにさせることができる通信接続612も含むことができる。通信接続612は、通信媒体の例である。通信媒体は、典型的には、コンピュータ読み取り可能命令、データ構造、プログラムモジュール、もしくは搬送波などの変調データ信号の他のデータまたは他の転送機構を実施して、任意の情報配信媒体を含む。用語「変調データ信号」は、1または複数の信号の特性セットもしくは信号内の情報を暗号化するような方法によって変更される信号を意味する。一例として、通信媒体は、有線ネットワークまたは直接有線接続、および音響、RF、赤外線などの無線媒体、および他の無線媒体を含むが、これに限定されない。本明細書に用いられるコンピュータ読み取り可能媒体の用語は、記憶媒体と通信媒体の両方を含む。
コンピュータシステム600は、キーボード、マウス、ペン、音声入力装置、タッチ入力装置などの入力装置614も有することができる。一部の実施形態において、入力装置は、その上(または選択的に)、例えば、生体識別子、センサー、検出器、カードリーダーなどを含む。ディスプレイ、スピーカ、プリンタなどの出力装置616も含むことができる。これらのすべての装置は、当業者にはよく知られており、ここで詳細に論じる必要はない。
一部の実施形態において、メモリ604は、1または複数の動作システム620、アプリケーションプログラム622、他のプログラムモジュール624、およびプログラムデータ626を含む。一部の実施形態において、グローバルデータ、クライアント特定データ、および転送ルールは、メモリ604、取り外し可能な記憶装置608、取り外し不能な記憶装置610、または本明細書に記載の任意の他のコンピュータ記憶媒体にそれぞれ格納できる。
実施形態は、構造的特徴、方法論的動作、およびそれらの動作を含むコンピュータ読み取り可能媒体に専用の言語で記載されているが、添付図に定義されたように、実現可能な実施形態は、必ずしも記載された特定の構造、動作、または媒体に限定されないことを理解されたい。当業者は、本発明の精神および範囲内である他の実施形態または改良を認める。従って、特定の構造、動作、または媒体は、単に具体的な実施形態として開示される。

Claims (20)

  1. 保護されたウェブサービスリソース(106)へのアクセスを制御するコンピュータシステム(104)であって、
    通信ネットワーク(110)を経由して通信を行う通信装置(612)と、
    前記通信装置(612)に通信接続されたプロセッサ(602)と、
    前記プロセッサ(602)によって実行されるときに、前記コンピュータシステム(104)に前記保護されたウェブサービスリソース(106)へのアクセスを制御する方法を実行させることができ、前記方法が、
    (i)クライアントから第1のリクエストを受信して、前記通信ネットワーク(110)からの前記保護されたウェブサービス(106)リソースにアクセスするステップと、
    (ii)第1の要因に従って前記クライアントが認証されたと判定するステップと、
    (iii)前記第1の要因に従った認証に基づいて、前記第1のリクエストに、前記保護されたウェブサービスリソース(106)にアクセスするのを許可するステップと、
    (iv)前記クライアント(102)から第2のリクエストを受信して、前記通信ネットワーク(110)からの前記保護されたウェブサービスリソース(106)にアクセスするステップと、
    (v)前記第2のリクエストを許可するには不十分となる前記第1の要因に従った前記認証に基づいて、前記保護されたウェブサービスリソース(106)にアクセスする前記第2のリクエストを拒否するステップと、
    (vi)第2の要因に従って前記クライアント(102)が認証されたと判定するステップと、
    (vii)前記第2の要因に従った認証に基づいて、前記保護されたウェブサービスリソース(106)にアクセスする前記第2のリクエストを許可するステップと
    を備えたメモリ(604)と
    を備えることを特徴とするコンピュータシステム(104)。
  2. 前記第1の要因は、パスワード、セキュリティクエスチョンの回答、生体識別子、オブジェクト、およびクライアント特定情報を備えたグループから選択されることを特徴とする請求項1に記載のコンピュータシステム。
  3. 前記第2の要因は、前記第1の要因とは異なることを特徴とする請求項1に記載のコンピュータシステム。
  4. 前記方法は、
    前記クライアントが前記第1の要因に従った認証サービスによって認証された後に、前記クライアントから第1の認証トークンを受信するステップ、および
    前記クライアントが前記第1の要因に従って認証されたと判定するために前記第1の認証トークンを用いるステップ
    をさらに備えることを特徴とする請求項1に記載のコンピュータシステム。
  5. 前記クライアントが認証されたと判定するステップは、
    前記認証サービスの公開キーを用いて前記第1の認証トークンを復号するステップと、
    前記第1の認証トークンの前記認証サービスによって行われた申告がアクセスの条件を満たすと判定するステップと
    を備えることを特徴とする請求項4に記載のコンピュータシステム。
  6. 前記第2のリクエストを拒否するステップは、前記クライアントを第2の要因に従って認証される認証サービスに導くメッセージを前記クライアントに送信するステップを備えることを特徴とする請求項1に記載のコンピュータシステム。
  7. 前記クライアントが第2の要因に従って認証されたと判定するステップは、前記第2の要因に従った前記認証サービスによって認証された後に、前記クライアントから認証トークンを受信するステップを備えることを特徴とする請求項6に記載のコンピュータシステム。
  8. 前記第2のリクエストに、前記保護されたウェブサービスリソースにアクセスするのを許可するステップは、認証トークンの評価に基づくことを特徴とする請求項6に記載のコンピュータシステム。
  9. クライアント(102)にウェブサービスリソース(106)へのアクセスを認証する方法であって、
    (i)認証される前記クライアント(102)からリクエスト(516)を受信するステップと、
    (ii)チャレンジメッセージ(518)を前記クライアント(102)に送信するステップと、
    (iii)前記クライアント(102)から前記チャレンジメッセージ(518)に対する確認応答(520)を受信するステップと、
    (iv)前記確認応答が、所定の基準に合うと判定するステップと、
    (v)認証される前記リクエストが、追加的な認証を要求すると判定するステップと、
    (vi)第2のチャレンジメッセージ(522)、第2の確認応答(524)、および第2の所定の基準を用いて(ii)から(iv)までを繰り返すステップと、
    (vii)認証メッセージ(530)を前記クライアント(102)に送信するステップと
    を備えることを特徴とする方法。
  10. 認証される前記リクエストが追加的な認証を要求すると判定するステップは、前記リクエストからのデータを読み出すステップ、および前記リクエストからの前記データを、前記チャレンジメッセージと関連付けられた認証レベルと比較するステップを備えることを特徴とする請求項9に記載の方法。
  11. 前記認証メッセージを前記クライアントに送信するステップは、認証トークンを前記クライアントに送信するステップを備えることを特徴とする請求項9に記載の方法。
  12. 前記認証トークンは、前記クライアントを認証するのに用いられた要因に関連する認証サービスからの申告を含むことを特徴とする請求項11に記載の方法。
  13. 前記認証サービスを前記クライアントに送信する前に、第3のチャレンジメッセージ、第3の確認応答、および第3の所定の基準を用いて(ii)から(iv)までを繰り返すステップをさらに備えることを特徴とする請求項9に記載の方法。
  14. コンピュータ(104)によって実行されたときに、保護されたリソース(106)へのアクセスを制御する方法を実行するコンピュータ実行可能命令を含むコンピュータ読み取り可能な記憶媒体(608)であって、前記方法は、
    クライアント(102)から、ウェブサービス(104)の前記保護されたリソース(106)を特定するリクエスト(512)を受信するステップと、
    応答(514)を認証サービス(108)から認証を要求する前記クライアント(102)に送信するステップと、
    前記認証サービス(108)から認証された後に、前記クライアント(102)から認証(532)を受信するステップと、
    前記認証が、前記リクエストを許可するのに十分であるかどうかを判定するステップと、
    前記認証が十分である場合、前記リクエストを許可するステップと、
    前記認証が前記リクエストを許可するのに十分ではない場合、前記リクエストを拒否するステップと
    を備えることを特徴とするコンピュータ読み取り可能な記憶媒体。
  15. 前記認証は、認証トークンであることを特徴とする請求項14に記載のコンピュータ読み取り可能な記憶媒体。
  16. 前記認証トークンは、公開キー暗号化を用いて暗号化されることを特徴とする請求項15に記載のコンピュータ読み取り可能な記憶媒体。
  17. 前記方法は、前記認証が十分である場合、前記リクエストを許可した後に前記ウェブサービスの前記保護されたリソースへのアクセスを許可するステップをさらに備えることを特徴とする請求項14に記載のコンピュータ読み取り可能な記憶媒体。
  18. 前記リクエストを拒否するステップは、前記拒否を、メッセージを用いて前記クライアントに送り、前記クライアントを認証するように構成された前記認証サービスについての情報を含む前記メッセージを備えることを特徴とする請求項14に記載のコンピュータ読み取り可能な記憶媒体。
  19. 前記方法は、
    前記ウェブサービスの前記保護されたリソースを特定する第2のリクエストを前記クライアントから受信して、前記第2のリクエストが前記認証を含むステップと、
    前記認証が前記第2のリクエストを許可するのに十分であるかどうかを判定するステップと、
    前記認証が前記第2のリクエストを許可するのに十分である場合、前記第2のリクエストを許可するステップと、
    前記認証が前記第2のリクエストを許可するのに十分ではない場合、前記第2のリクエストを拒否するステップと
    をさらに備えることを特徴とする請求項14に記載のコンピュータ読み取り可能な記憶媒体。
  20. 前記リクエストを拒否するステップは、Simple Object Access Protocolに従ってフォルトメッセージを送信するステップを備え、認証を受信するステップは、Web Services Trust仕様書に従ってWeb Services Trust Request Security Token Response Messageを受信するステップを備えることを特徴とする請求項14に記載のコンピュータ読み取り可能な記憶媒体。
JP2010504132A 2007-04-20 2008-03-18 ウェブサービスリソースにアクセスするためのリクエスト専用認証 Active JP5334332B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US91298607P 2007-04-20 2007-04-20
US60/912,986 2007-04-20
US12/024,901 US8656472B2 (en) 2007-04-20 2008-02-01 Request-specific authentication for accessing web service resources
US12/024,901 2008-02-01
PCT/US2008/057375 WO2008130760A1 (en) 2007-04-20 2008-03-18 Request-specific authentication for accessing web service resources

Publications (3)

Publication Number Publication Date
JP2010525448A true JP2010525448A (ja) 2010-07-22
JP2010525448A5 JP2010525448A5 (ja) 2011-05-06
JP5334332B2 JP5334332B2 (ja) 2013-11-06

Family

ID=39873566

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010504132A Active JP5334332B2 (ja) 2007-04-20 2008-03-18 ウェブサービスリソースにアクセスするためのリクエスト専用認証

Country Status (6)

Country Link
US (5) US8656472B2 (ja)
EP (1) EP2149102B1 (ja)
JP (1) JP5334332B2 (ja)
CN (1) CN101663670A (ja)
ES (1) ES2955941T3 (ja)
WO (1) WO2008130760A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012137995A (ja) * 2010-12-27 2012-07-19 Fujitsu Ltd リソース提供システム、アクセス制御プログラム及びアクセス制御方法
JP2020524847A (ja) * 2017-06-19 2020-08-20 シトリックス・システムズ・インコーポレイテッドCitrix Systems,Inc. クラウドサービスにおける動的な柔軟な認証のためのシステム及び方法

Families Citing this family (103)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8166562B2 (en) * 2002-05-31 2012-04-24 Peoplechart Corporation Method and system for protecting information on a computer system
US20050261970A1 (en) 2004-05-21 2005-11-24 Wayport, Inc. Method for providing wireless services
US8656472B2 (en) 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
EP2026529A1 (en) * 2007-07-12 2009-02-18 Wayport, Inc. Device-specific authorization at distributed locations
JP5391551B2 (ja) * 2008-01-28 2014-01-15 ソニー株式会社 認証システム、サーバ装置および認証方法
US8132238B2 (en) 2008-05-13 2012-03-06 Ebay Inc. System and method for identity authentication for service access without use of stored credentials
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US20100188993A1 (en) 2009-01-28 2010-07-29 Gregory G. Raleigh Network tools for analysis, design, testing, and production of services
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US20100029306A1 (en) * 2008-07-31 2010-02-04 Sybase, Inc. Mobile Banking with Short Message Service
US8881266B2 (en) * 2008-11-13 2014-11-04 Palo Alto Research Center Incorporated Enterprise password reset
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
CN101515932B (zh) * 2009-03-23 2013-06-05 中兴通讯股份有限公司 一种安全的Web service访问方法和系统
EP2237234A1 (de) * 2009-04-03 2010-10-06 Inventio AG Verfahren und Vorrichtung zur Zugangskontrolle
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
US20110167477A1 (en) * 2010-01-07 2011-07-07 Nicola Piccirillo Method and apparatus for providing controlled access to a computer system/facility resource for remote equipment monitoring and diagnostics
US20110191247A1 (en) * 2010-01-29 2011-08-04 Ben Dominguez Authentication framework extension to verify identification information
US20110219440A1 (en) * 2010-03-03 2011-09-08 Microsoft Corporation Application-level denial-of-service attack protection
US8776204B2 (en) * 2010-03-12 2014-07-08 Alcatel Lucent Secure dynamic authority delegation
US8572710B2 (en) * 2010-03-18 2013-10-29 Microsoft Corporation Pluggable token provider model to implement authentication across multiple web services
US9183683B2 (en) * 2010-09-28 2015-11-10 Sony Computer Entertainment Inc. Method and system for access to secure resources
JP5120437B2 (ja) * 2010-10-19 2013-01-16 トヨタ自動車株式会社 車載機、車両用認証システム及びデータ通信方法
US8447857B2 (en) 2011-03-25 2013-05-21 International Business Machines Corporation Transforming HTTP requests into web services trust messages for security processing
US8595797B2 (en) * 2011-03-28 2013-11-26 Lars Reinertsen Enforcing web services security through user specific XML schemas
US20120310778A1 (en) * 2011-06-03 2012-12-06 Uc Group Limited Systems and methods for clearing and settling transaction activity
CN102868519A (zh) * 2011-07-04 2013-01-09 周哲仰 数据保密方法及系统
US9659164B2 (en) * 2011-08-02 2017-05-23 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device
US9166966B2 (en) * 2011-08-15 2015-10-20 Bank Of America Corporation Apparatus and method for handling transaction tokens
US9152783B2 (en) 2011-09-29 2015-10-06 Oracle International Corporation Privileged account manager, application account management
EP2575315A1 (en) * 2011-09-30 2013-04-03 British Telecommunications Public Limited Company Controlled access
US8839348B2 (en) * 2011-10-05 2014-09-16 International Business Machines Corporation Effective testing of authorization logic of web components which utilize claims-based authorization
US11321414B2 (en) 2012-04-17 2022-05-03 Comcast Cable Communications, Llc Self-validating data object locator for a media asset
US8806599B2 (en) * 2012-06-11 2014-08-12 Symantec Corporation Systems and methods for implementing multi-factor authentication
US9519761B2 (en) 2012-09-06 2016-12-13 Paypal, Inc. Systems and methods for authentication using low quality and high quality authentication information
GB2510120A (en) * 2013-01-24 2014-07-30 Ibm User authentication based on dynamically selected service authentication levels
US9203835B2 (en) 2013-03-01 2015-12-01 Paypal, Inc. Systems and methods for authenticating a user based on a biometric model associated with the user
WO2014159862A1 (en) 2013-03-14 2014-10-02 Headwater Partners I Llc Automated credential porting for mobile devices
US10057289B2 (en) 2013-08-12 2018-08-21 International Business Machines Corporation Adjusting multi-factor authentication using context and pre-registration of objects
US9667610B2 (en) 2013-09-19 2017-05-30 Oracle International Corporation Privileged account plug-in framework—network—connected objects
US9602545B2 (en) 2014-01-13 2017-03-21 Oracle International Corporation Access policy management using identified roles
GB2524010A (en) * 2014-03-10 2015-09-16 Ibm User authentication
US11057395B2 (en) 2014-03-24 2021-07-06 Micro Focus Llc Monitoring for authentication information
US9306930B2 (en) 2014-05-19 2016-04-05 Bank Of America Corporation Service channel authentication processing hub
US9836594B2 (en) * 2014-05-19 2017-12-05 Bank Of America Corporation Service channel authentication token
GB2527285B (en) * 2014-06-11 2021-05-26 Advanced Risc Mach Ltd Resource access control using a validation token
US20150373011A1 (en) * 2014-06-19 2015-12-24 Oracle International Corporation Credential collection in an authentication server employing diverse authentication schemes
WO2016018402A1 (en) * 2014-07-31 2016-02-04 Hewlett-Packard Development Company, L.P. Service request modification
US9578015B2 (en) * 2014-10-31 2017-02-21 Vmware, Inc. Step-up authentication for single sign-on
US9560030B2 (en) 2014-11-07 2017-01-31 Kaiser Foundation Hospitals Nodal random authentication
US9560046B2 (en) 2014-11-07 2017-01-31 Kaiser Foundation Hospitals Device notarization
CA2965746A1 (en) 2014-12-02 2016-06-09 Inventio Ag Improved access control using portable electronic devices
CA2968051C (en) * 2014-12-22 2020-07-14 University Of South Florida Systems and methods for authentication using multiple devices
US10367817B2 (en) 2014-12-22 2019-07-30 University Of South Florida Systems and methods for challengeless coauthentication
US9380058B1 (en) 2014-12-22 2016-06-28 University Of South Florida Systems and methods for anonymous authentication using multiple devices
US10547599B1 (en) * 2015-02-19 2020-01-28 Amazon Technologies, Inc. Multi-factor authentication for managed directories
WO2017003651A1 (en) * 2015-06-30 2017-01-05 University Of South Florida Systems and methods for anonymous authentication using multiple devices
US9674200B2 (en) 2015-07-14 2017-06-06 Mastercard International Incorporated Identity federation and token translation module for use with a web application
US20180295126A1 (en) * 2015-09-22 2018-10-11 Conjur, Inc. Dynamic computing resource access authorization
US10402555B2 (en) * 2015-12-17 2019-09-03 Google Llc Browser attestation challenge and response system
CN106911641A (zh) * 2015-12-23 2017-06-30 索尼公司 用于授权访问的客户端装置、服务器装置和访问控制系统
CN105912899A (zh) * 2016-03-31 2016-08-31 联想(北京)有限公司 一种控制电子设备的方法以及电子设备
US10574660B2 (en) * 2016-06-23 2020-02-25 Airwatch, Llc Continuous sensitive content authentication
US11102085B2 (en) * 2016-11-01 2021-08-24 Hewlett-Packard Development Company, L.P. Service implementations via resource agreements
US10541992B2 (en) * 2016-12-30 2020-01-21 Google Llc Two-token based authenticated session management
US10462124B2 (en) 2016-12-30 2019-10-29 Google Llc Authenticated session management across multiple electronic devices using a virtual session manager
US10643004B2 (en) * 2017-05-16 2020-05-05 Apple Inc. Techniques for enabling a software application to access files at a computing device while enforcing privacy measures
US10491584B2 (en) 2017-05-22 2019-11-26 General Electric Company Role-based resource access control
WO2020027866A1 (en) * 2018-07-31 2020-02-06 Visa International Service Association Pre-authorization access request screening
US10896249B2 (en) 2018-08-31 2021-01-19 Target Brands, Inc. Secure electronic authentication of a user on an electronic device
US11316867B2 (en) 2019-04-23 2022-04-26 Microsoft Technology Licensing, Llc Generated audio signal granting access to resource
US11949677B2 (en) * 2019-04-23 2024-04-02 Microsoft Technology Licensing, Llc Resource access based on audio signal
US11226983B2 (en) 2019-06-18 2022-01-18 Microsoft Technology Licensing, Llc Sub-scope synchronization
US11700121B2 (en) * 2019-09-13 2023-07-11 Amazon Technologies, Inc. Secure authorization for sensitive information
CN111539006A (zh) * 2020-04-26 2020-08-14 北京思特奇信息技术股份有限公司 一种权限管控方法及装置
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
US20220166762A1 (en) * 2020-11-25 2022-05-26 Microsoft Technology Licensing, Llc Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288138A (ja) * 2001-03-27 2002-10-04 Matsushita Electric Works Ltd Wwwサーバ認証連携システム
JP2004234415A (ja) * 2003-01-31 2004-08-19 Blue Box Japan Co Ltd 安否情報登録システムおよび方法、安否情報配信システムおよび方法、安否情報登録端末、プログラム、コンピュータ読取り可能な記録媒体
JP2005301424A (ja) * 2004-04-07 2005-10-27 Ntt Communications Kk 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
JP2006236281A (ja) * 2005-02-28 2006-09-07 Mitsubishi Electric Corp クライアント端末、アプリ起動用ファイル生成装置及びシングルサインオンシステム
JP2006309595A (ja) * 2005-04-28 2006-11-09 Canon Inc ネットワークシステム、情報処理装置、及び通信制御方法
JP2007049343A (ja) * 2005-08-09 2007-02-22 Fujitsu Ltd 認証システム
JP2007079992A (ja) * 2005-09-14 2007-03-29 Nec Biglobe Ltd セッション管理装置、セッション管理方法、セッション管理プログラム

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0981519A (ja) 1995-09-08 1997-03-28 Kiyadeitsukusu:Kk ネットワーク上の認証方法
US7287271B1 (en) * 1997-04-08 2007-10-23 Visto Corporation System and method for enabling secure access to services in a computer network
US6845453B2 (en) * 1998-02-13 2005-01-18 Tecsec, Inc. Multiple factor-based user identification and authentication
US6167517A (en) 1998-04-09 2000-12-26 Oracle Corporation Trusted biometric client authentication
AU4091199A (en) 1998-05-21 1999-12-06 Equifax, Inc. System and method for authentication of network users
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6880088B1 (en) * 1999-11-19 2005-04-12 Nortel Networks Limited Secure maintenance messaging in a digital communications network
US6978364B1 (en) 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
KR20010105705A (ko) 2000-05-17 2001-11-29 정문술 다중 인터넷 서비스에 대한 통합 사용자 관리환경 제공방법 및 이를 위한 시스템
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
US20020169874A1 (en) * 2001-05-09 2002-11-14 Batson Elizabeth A. Tailorable access privileges for services based on session access characteristics
US7243369B2 (en) 2001-08-06 2007-07-10 Sun Microsystems, Inc. Uniform resource locator access management and control system and method
US7590859B2 (en) * 2001-08-24 2009-09-15 Secure Computing Corporation System and method for accomplishing two-factor user authentication using the internet
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
US7603469B2 (en) 2002-01-15 2009-10-13 International Business Machines Corporation Provisioning aggregated services in a distributed computing environment
US20030163694A1 (en) 2002-02-25 2003-08-28 Chaing Chen Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes
US7747856B2 (en) 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
US7606560B2 (en) * 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US20040187036A1 (en) * 2002-12-26 2004-09-23 Takashi Nakamura Information providing apparatus, information providing system, service providing apparatus, image forming apparatus, information providing method, service providing method and illegal usage preventing method
SE0300368D0 (sv) 2003-02-11 2003-02-11 Ericsson Telefon Ab L M System for internet privacy
US20040177369A1 (en) * 2003-03-06 2004-09-09 Akins Glendon L. Conditional access personal video recorder
US7562217B2 (en) 2003-06-06 2009-07-14 Ricoh Company, Ltd. Web service provider and authentication service provider
JP4698169B2 (ja) * 2003-07-24 2011-06-08 株式会社リコー ユーザ認証方法、画像形成装置
JP4039632B2 (ja) 2003-08-14 2008-01-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 認証システム、サーバおよび認証方法並びにプログラム
JP4738791B2 (ja) * 2003-11-12 2011-08-03 株式会社リコー サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US8966579B2 (en) * 2003-12-30 2015-02-24 Entrust, Inc. Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data
WO2005069823A2 (en) 2004-01-15 2005-08-04 Jun Song Centralized transactional security audit for enterprise systems
US20050177724A1 (en) 2004-01-16 2005-08-11 Valiuddin Ali Authentication system and method
US7665130B2 (en) * 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US20050228984A1 (en) * 2004-04-07 2005-10-13 Microsoft Corporation Web service gateway filtering
US7559080B2 (en) * 2004-05-04 2009-07-07 Microsoft Corporation Automatically generating security policies for web services
US7788716B2 (en) 2004-05-21 2010-08-31 Bea Systems, Inc. Token handler API
CN101789951B (zh) 2004-09-06 2011-12-28 佳能株式会社 信息处理装置及信息处理方法
US7721328B2 (en) * 2004-10-01 2010-05-18 Salesforce.Com Inc. Application identity design
CN1812403A (zh) 2005-01-28 2006-08-02 广东省电信有限公司科学技术研究院 一种跨管理域实现身份认证的单点登录方法
US7900247B2 (en) 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information
US20070022196A1 (en) * 2005-06-29 2007-01-25 Subodh Agrawal Single token multifactor authentication system and method
US20070022301A1 (en) * 2005-07-19 2007-01-25 Intelligent Voice Research, Llc System and method for highly reliable multi-factor authentication
US20070038525A1 (en) * 2005-08-15 2007-02-15 Waldvogel Richard T Systems and Methods of Managing Retailer Affiliate Programs
US8245292B2 (en) * 2005-11-16 2012-08-14 Broadcom Corporation Multi-factor authentication using a smartcard
US7739744B2 (en) * 2006-03-31 2010-06-15 Novell, Inc. Methods and systems for multifactor authentication
US20070255843A1 (en) * 2006-04-28 2007-11-01 Zubev Alexander I Configuration of clients for multiple computer services
US7587425B2 (en) * 2006-04-28 2009-09-08 Sap Ag Method and system for generating and employing a dynamic web services invocation model
US8006300B2 (en) * 2006-10-24 2011-08-23 Authernative, Inc. Two-channel challenge-response authentication method in random partial shared secret recognition system
US20080120705A1 (en) * 2006-11-17 2008-05-22 Bellsouth Intellectual Property Corporation Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS
US8375360B2 (en) * 2006-11-22 2013-02-12 Hewlett-Packard Development Company, L.P. Provision of services over a common delivery platform such as a mobile telephony network
US8041781B2 (en) * 2007-03-16 2011-10-18 Yahoo! Inc. System and method for providing web system services for storing data and context of client applications on the web
US7979896B2 (en) * 2007-04-20 2011-07-12 Microsoft Corporation Authorization for access to web service resources
US8656472B2 (en) 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
US8634703B1 (en) 2008-08-12 2014-01-21 Tivo Inc. Real-time DVR usage and reporting system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288138A (ja) * 2001-03-27 2002-10-04 Matsushita Electric Works Ltd Wwwサーバ認証連携システム
JP2004234415A (ja) * 2003-01-31 2004-08-19 Blue Box Japan Co Ltd 安否情報登録システムおよび方法、安否情報配信システムおよび方法、安否情報登録端末、プログラム、コンピュータ読取り可能な記録媒体
JP2005301424A (ja) * 2004-04-07 2005-10-27 Ntt Communications Kk 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
JP2006236281A (ja) * 2005-02-28 2006-09-07 Mitsubishi Electric Corp クライアント端末、アプリ起動用ファイル生成装置及びシングルサインオンシステム
JP2006309595A (ja) * 2005-04-28 2006-11-09 Canon Inc ネットワークシステム、情報処理装置、及び通信制御方法
JP2007049343A (ja) * 2005-08-09 2007-02-22 Fujitsu Ltd 認証システム
JP2007079992A (ja) * 2005-09-14 2007-03-29 Nec Biglobe Ltd セッション管理装置、セッション管理方法、セッション管理プログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012137995A (ja) * 2010-12-27 2012-07-19 Fujitsu Ltd リソース提供システム、アクセス制御プログラム及びアクセス制御方法
JP2020524847A (ja) * 2017-06-19 2020-08-20 シトリックス・システムズ・インコーポレイテッドCitrix Systems,Inc. クラウドサービスにおける動的な柔軟な認証のためのシステム及び方法
JP7079798B2 (ja) 2017-06-19 2022-06-02 シトリックス・システムズ・インコーポレイテッド クラウドサービスにおける動的な柔軟な認証のためのシステム及び方法
US11544356B2 (en) 2017-06-19 2023-01-03 Citrix Systems, Inc. Systems and methods for dynamic flexible authentication in a cloud service

Also Published As

Publication number Publication date
WO2008130760A1 (en) 2008-10-30
US9832185B2 (en) 2017-11-28
EP2149102A1 (en) 2010-02-03
US10104069B2 (en) 2018-10-16
CN101663670A (zh) 2010-03-03
ES2955941T3 (es) 2023-12-11
US8656472B2 (en) 2014-02-18
US20160191528A1 (en) 2016-06-30
US9183366B2 (en) 2015-11-10
EP2149102A4 (en) 2014-05-14
US20080263652A1 (en) 2008-10-23
US20140143546A1 (en) 2014-05-22
EP2149102B1 (en) 2023-08-23
US20170134368A1 (en) 2017-05-11
US20180069848A1 (en) 2018-03-08
US9590994B2 (en) 2017-03-07
JP5334332B2 (ja) 2013-11-06

Similar Documents

Publication Publication Date Title
JP5334332B2 (ja) ウェブサービスリソースにアクセスするためのリクエスト専用認証
US11968196B2 (en) Integrated cybersecurity system and method for providing restricted client access to a website
US20200228335A1 (en) Authentication system for enhancing network security
US11700117B2 (en) System for credential storage and verification
US20200236147A1 (en) Brokered authentication with risk sharing
US11641278B2 (en) Digital credential authentication
US11716320B2 (en) Digital credentials for primary factor authentication
US11792181B2 (en) Digital credentials as guest check-in for physical building access
US11770261B2 (en) Digital credentials for user device authentication
US11698979B2 (en) Digital credentials for access to sensitive data
US11531783B2 (en) Digital credentials for step-up authentication
US11792180B2 (en) Digital credentials for visitor network access
US20220239665A1 (en) Secure online access control to prevent identification information misuse
JP5926441B2 (ja) マルチパーティシステムにおける安全な認証
US20080313707A1 (en) Token-based system and method for secure authentication to a service provider
CN101911585A (zh) 基于认证输入属性的选择性授权
US11522713B2 (en) Digital credentials for secondary factor authentication
US20240013198A1 (en) Validate digital ownerships in immutable databases via physical devices
KR102284876B1 (ko) 생체 인식 기반의 통합 인증 시스템 및 방법
US20210136064A1 (en) Secure use of authoritative data within biometry based digital identity authentication and verification
KR102310912B1 (ko) 생체 측정 식별 시스템 및 작동 방법
Schaffer Ontology for authentication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110315

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110315

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130301

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130628

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130701

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130729

R150 Certificate of patent or registration of utility model

Ref document number: 5334332

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250