JP4744785B2 - セッションキー・セキュリティプロトコル - Google Patents

セッションキー・セキュリティプロトコル Download PDF

Info

Publication number
JP4744785B2
JP4744785B2 JP2003109094A JP2003109094A JP4744785B2 JP 4744785 B2 JP4744785 B2 JP 4744785B2 JP 2003109094 A JP2003109094 A JP 2003109094A JP 2003109094 A JP2003109094 A JP 2003109094A JP 4744785 B2 JP4744785 B2 JP 4744785B2
Authority
JP
Japan
Prior art keywords
server
authentication
network server
network
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003109094A
Other languages
English (en)
Other versions
JP2004048679A (ja
JP2004048679A5 (ja
Inventor
ウェイ−キアン・エム・グオ
ジョン・エイチ・ハワード
クォック・ダブリュー・チャン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2004048679A publication Critical patent/JP2004048679A/ja
Publication of JP2004048679A5 publication Critical patent/JP2004048679A5/ja
Application granted granted Critical
Publication of JP4744785B2 publication Critical patent/JP4744785B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータネットワーク環境に関するものであり、特に、本発明は、セッションキー・セキュリティ・プロトコルを用いることによりマルチサイトユーザ認証システムにおけるセキュリティの改善に関するものである。
【0002】
【従来の技術】
ウェブサイトすなわちインターネットサイトは、非常にしばしば、多数のユーザーに対して情報、製品、サービスなどを提供する。多くのウェブサイトは、そのウェブサーバーがユーザーにアクセスを許可する前に、「登録する」ことをユーザーに要求する。登録の間、ユーザーは、典型的には、個人的情報、たとえば、ユーザー名、アカウント番号、住所、電話番号、電子メールアドレス、コンピュータ・プラットフォーム、年齢、性、趣味などを入力する。登録情報は、トランザクション(たとえば、商品や金銭の取引)を完了するために必要であることがある。また、この情報は、典型的には、たとえば特別なプロモーション、新製品、ウェブサイトの新しい特徴などを知らせるために、ウェブサイトがユーザーに直接に(たとえば電子メールにより)接触することを可能にする。さらに、ウェブサイトの運営者が将来の販売活動をよりよく目標を定めるように、または、サイトにより提供されるコンテンツを調整するように、ウェブサイトはしばしばユーザー情報を集める。
【0003】
はじめてユーザーを登録するとき、ウェブサイトは、典型的には、ユーザーがログインIDと関連するパスワードを選択することを求める。ログインIDは、ウェブサイトがユーザーを同定して、そのユーザーがウェブサイトをしばしば訪れるときにユーザー情報を検索することを可能にする。一般的に、ログインIDは、2人のユーザーが同じログインIDを持たないように、そのウェブサイトにおいて一意でなければならない。ログインIDに関連するパスワードは、そのウェブサイトに後で訪れるときにユーザーを認証することを可能にする。また、パスワードは、他人(そのパスワードを知らない人)が、そのユーザーのログインIDを用いてウェブサイトをアクセスすることを防止する。このパスワード保護は、そのウェブサイトが、そのユーザーについての個人情報または秘密情報を格納しているなら、特に重要である。
【0004】
もしユーザーがいくつかの異なるウェブサイトを訪ねるなら、各ウェブサイトは、そのユーザーについての、ユーザー名、郵便の住所、電子メールアドレスなどの同様な登録情報の入力を要求することがある。短時間に多くのウェブサイトを訪ねるとき、同一のデータについてのこの繰り返し入力は単調で退屈である。多くのウェブサイトは、そのサイトで提供される情報にアクセスする前に登録することをユーザーに要求する。このため、ユーザーは、そのサイトが関心のある情報を含んでいるかを決める前に、まず、要求される情報を入力しなければならない。
【0005】
多くのウェブサイトでは、入力した後で、ユーザーは、各ウェブサイトまたは他のインターネットサービスで使用される特定のログインIDとパスワードを記憶せねばならない。正しいログインIDとパスワードがなければ、ユーザーは、登録情報を再入力しなければならない。1人のユーザーは、異なるウェブサイトで異なるログインIDと関連するパスワードを持つことが多い。たとえば、ボブ・スミスという名のユーザーがあるサイトでログインIDとして「smith」を選択するとする。もしそのサイトにすでに「smith」というログインIDのユーザーがいた場合、または、そのサイトが6字以上のログインIDを要求するならば、そのユーザーは、異なるログインIDを選択せねばならない。多数のウェブサイトを訪ねた後で、ボブ・スミス(Bob Smith)は、smith、smith1、bsmith、smithb、bobsmith、bob_smith、smithbobなどの異なる多数のログインIDを持っていることがある。さらに、異なるパスワードは、異なるウェブサイトでの異なるパスワード要求(たとえばパスワードの長さの要求、各パスワードが1字以上の数字および/または少なくとも1字の大文字を含むという要求)により異なるログインIDと関連されることがある。こうして、ボブ・スミスは、定期的に訪ねるすべてのウェブサイトについて、ウェブサイト、ログインIDおよびパスワードのリストを維持せねばならない。
【0006】
【発明が解決しようとする課題】
現在利用可能な複数サイトのユーザー認証システムが、多数の関連のあるウェブサーバーまたはウェブサービスにアクセスするために、ウェブユーザーが1つのログインID(及び関連するパスワード)を維持することを可能にしているけれども、さらに改善することが求められている。たとえば、認証データは、もともと、典型的には傷つきやすく、保護されねばならない。このため、多数の関連するウェブサイトと、認証機能を実行する認証サーバーとの間のセキュリティが重要である。
【0007】
ケルベロス(Kerberos)認証などの現在利用できるネットワーク認証プロトコルは、ネットワークにログインしようとするユーザーの身元を認証し通信を暗号化するための共用のキーすなわち唯一のキーを使用する。共用キーの使用(しばしば対称キー暗号化という)は、新しいウェブサービスが認証サービスを使用するのためキーを供給する処理を要求する。ケルベロスシステムでは、認証サーバー(ケルベロスサービスすなわちキー配布センター(KDC))は、その認証サービスを使用するすべての関連するサーバーに共用キーを配布せねばならず、また、そのキーを定期的に新しくせねばならない。キー配布センターは、しばしばキーを郵送で発行する。残念ながら、共用キーを提供する必要性は、新しくウェブサービスに入るときやアクセス中の維持(定期的なキーの変更)を行うときに、かなりの複雑さをもたらす。さらに、多数の認証サービスプロバイダが連合する環境では、キー配布はさらに複雑になる。
【0008】
関連するサイトが2以上の独立のキー配布センター(KDC)から「kerb」チケットを受け取ることを決定するとき、キー配布はさらに複雑になる。また、認証システム対応サーバーのためのキーは、2つのキー配布センターで構成されねばならない。いいかえれば、関連するサイトをサポートするサイトが増えるほど、キー配布処理が複雑になる。さらに、もし複数のキー配布センターが連合する場合、キーをすべて共用せねばならず、キー配布の複雑性が増える。
【0009】
また、キーは、キー配布センター(KDC)で、または、いずれかの関連サイトで盗まれる危険性があり、これは、セキュリティプロトコルのいずれかのところでキーの信用性を傷つける危険性をもたらす。たとえば、認証サービスに人が侵入すると、すべての関連するサーバーのすべてのキーが盗まれる可能性がある。これがあると、関連するサーバーの全体のネットワークにわたってすべてのキーを新しくするのに必要な時間のため、認証サービスが本質的にシャットダウンする。
【0010】
公開キーインフラ構造(PKI)は、また、暗号化やディジタル認証をサポートするために使用できる。公開キー暗号化は、2つのキー、すなわち、1つの公開キーと1つの個人キーとを使用する。公開キーを用いて暗号化されたデータは、個人キーによってのみ復号化でき、また、その逆もある。公開キーインフラ構造は文書を認証し、ディジタル署名をするのに有用なプロトコルを提供するけれども、スケーラブルで複数プラットフォームで動作する認証システムでは、うまく動かない。たとえば、公開キーインフラ構造のシステムは、一般的に非常に長いキー(典型的には、512ビット以上、これに対し、共用キーは200ビットより短い)を必要とするため、大量のデータを扱うときはあまりにも遅く動作する。キーが長くなるほど、より大きな計算能力が暗号化と復号化のために必要となる。
【0011】
さらに、公開キーインフラ構造(PKI)はキーが同期されることを必要とする。公開キーインフラ構造は、2つのキー(公開キーと個人キー)を持ち、これらの2つのキーは同期していなければならない。そのような1対のキーを取り消し、新しい対のキーを作るための、十分確立されたプロトコル/処理がある。
【0012】
これらの理由のため、特にスケーラブル/複数プラットフォームの認証システムで使用するため、共用の対称キープロトコルにおける上述の問題を最小にする、改良されたセキュリティプロトコルが望まれている。
【0013】
この発明の目的は、マルチサイト認証システムにおけるセキュリティを改善することである。
【0014】
【課題を解決するための手段および発明の効果】
この発明は、複数サイトユーザー認証システムのための改良されたセキュリティを提供することにより、上述の要望にかない従来の技術のいくつかの短所を解決する。好ましくは、この発明は、セキュリティを公開キーインフラ構造(PKI)の特徴で適応することにより、スケーラブルで複数プラットフォームで動作する認証システムの複雑さを減らす。これは、共用対称キープロトコルに固有の問題を最小にし、すでに存在している使用中のシステム/ソフトウェアの継続使用を可能にする。このことは、コストを著しく低下し、産業界における広い採用を促がす。
【0015】
だれかが認証サービスの個人キーを盗んでも、本発明による改良プロトコルにより、認証サービスは、残っている信頼できる、サービスが委託されているサイトを崩壊することなく、その個人キーを急速に更新できる。同様に、目的先のサービス(すなわち対応ウェブサーバ)で個人キーが盗まれても、その行先のサービスは、認証サービスが新しいキーを発行するのを待つよりは、それ自体の個人キーと公開キーを更新する処理を独立に開始できる。
【0016】
また、この発明は、セキュリティの危険を分離するため、目的先のサービスが多数の対の個人キーと公開キー(すなわち、委託されている認証サービスあたり1つ)を持つことを可能にする。この発明は、公開キーインフラ構造の考えを共用キー認証プロトコルに適用し、認証サービスにおけるキーの信用を傷つけることに関連するセキュリティの危険を除去できるので、プロトコルを強化する。さらに、ここに説明した発明の特徴は、現在使用されている技術よりも実行が容易であり、また、経済的に実行でき、事業として実用的である。
【0017】
簡単に説明すると、本発明の第1の観点を具体化した方法は、データ通信ネットワークに結合される第1と第2のネットワークサーバーを含むマルチサイト認証システムにおける情報セキュリティを提供する。この方法では、第1ネットワークサーバーは、認証チケットを生成し、その認証チケットの内容を暗号化する。認証チケットは、データ通信システムに結合されるクライアントコンピュータのユーザーと関連される情報を含む。第1ネットワークサーバーは、第1と第2のネットワークサーバーにより共用される対称キーを用いて、認証チケットの内容を暗号化する。この方法では、さらに、第2ネットワークサーバーと関連される公開キーを用いて共用キーを暗号化し、第1のネットワークサーバーから第2のネットワークサーバーに、前記の認証チケットを持っているクライアントコンピュータを向ける(direct)。
【0018】
本発明の第2の観点を具体化したシステムは、マルチサイト認証システムと関連される認証サーバーを含む。認証サーバーは、クライアントコンピュータのユーザーを認証するために、そのユーザーからログイン情報を検索する。さらに、認証サーバーは、ユーザーを認証した後で、クライアントコンピュータのユーザーに関連された情報を含む認証チケットを生成する。認証サーバーは、チケットの内容を暗号化するため、認証システム対応サーバーにより共用されている共用対称キーを用いる。認証システム対応サーバーは、公開キーを備え、認証サーバーは、この公開キーを用いて、前記の共用キーを暗号化する。
【0019】
本発明の他の観点を具体化した方法では、第1ネットワークサーバーから、クライアントコンピュータのユーザーに関連付けられた情報を含む認証チケットを生成し、第1ネットワークサーバーと関連付けられた個人キーを用いて、チケットのための署名を生成する。この署名は、第2ネットワークサーバーのためのアドレスを含む。この方法では、さらに、第1のネットワークサーバーから第2のネットワークサーバーに、プライバシー保護機能が強化されたプロトコルを用いて、前記のチケットを持っているクライアントコンピュータをリダイレクトし、第2ネットワークサーバーにより、署名を正当化するため署名の中の第2ネットワークサーバー自身のアドレス情報を同定する。
【0020】
本発明の観点を具体化するセキュリティプロトコルは、共用対称キー、公開キー及び個人キーを含む。第1ネットワークサーバーと第2ネットワークサーバーは共用対称キーを共用する。共用対称キーを用いて、第1ネットワークサーバーは、認証チケットの内容を暗号化する。また、第1ネットワークサーバーは、公開キーを用いて共用対称キーを暗号化する。この公開キーは、第2ネットワークサーバーと関連付けられている。第2ネットワークサーバーは、第2ネットワークサーバーの個人キーを用いて、暗号化された共用キーを解読し、解読された共用キーを用いてチケットの内容を解読する。
【0021】
また、本発明の観点を具体化するコンピュータにより読み出し可能な記録媒体は、第2ネットワークサーバー及びクライアントコンピュータとともにデータ通信ネットワークに結合されている第1ネットワークサーバーにおいて情報を安全にする認証において、クライアントコンピュータのユーザーに関連付けられた情報を含む(認証)チケットを生成するステップと、第1ネットワークサーバーと第2ネットワークサーバーにより共用されている共用対称キーを用いて、チケットの内容を暗号化するステップと、第2のネットワークサーバーに関連する公開キーを用いて、前記の共用キーを暗号化するステップと、前記のチケットを持っているクライアントコンピュータを第1のネットワークサーバーから第2のネットワークサーバーに向けるステップとからなるプログラムを記録する。
【0022】
また、この発明は、種々の他の方法や装置を含む。
【0023】
この発明の他の種々の特徴は、部分的に明らかであるが、一部は、後で指摘される。
【0024】
【発明の実施の形態】
以下、添付の図面を参照して本発明の実施の形態を説明する。
図1は、本発明が使用されるネットワーク環境の1例を示す。クライアントコンピュータシステム12は、データ通信ネットワーク14に結合される。この例では、ネットワーク14は、インターネット(またはワールド・ワイド・ウェブ)である。しかし、この発明は、他の任意のデータ通信システムに適用できる。多くの認証システム対応サーバー(第2ネットワークサーバー)16、18、20も、ネットワーク14に結合される。また、クライアントコンピュータシステム12は、ネットワーク14を介して認証システム対応サーバー16、18、20にアクセスできる。認証システム対応サーバー16、18、20は、また、「ウェバサーバー」や「ネットワークサーバー」ともいう。ネットワークに結合される認証サーバー(第1ネットワークサーバー)24は、認証サーバー24自体、クライアントコンピュータシステム12及びウェブサーバー16,18,20の間で通信を可能にする。認証システム対応サーバーとは、マルチサイト認証システムに参加しているウェブサーバーであり、認証サーバー24による認証サービスに対応している。「認証サーバー」というが、この実施の形態での認証サーバー24は、ウェブブラウザや他のウェブサーバーと相互作用できるウェブサーバーでもある。この例では、データは、情報を交換するためにインターネットで一般に使用されているHTTP(ハイパー・テキスト・トランスファー・プロトコル)を用いて、認証サーバー24、クライアントコンピュータシステム12及びウェブサーバー16,18,20の間で通信される。
【0025】
認証データベース26は、認証サーバー24と結合される。認証データベース26は、クライアントコンピュータシステム12のユーザーを(ネットワークの他のユーザーと同様に)認証するのに必要な情報を含み、また、ユーザーが認証システム対応サーバーにアクセスするとき、ユーザープロファイル情報のどの要素が認証システム対応サーバーに提供されるべきであるかを明らかにする。認証データベース26は認証サーバー24とは別に示されているが、発明の他の実施の形態では、認証データベース26は認証サーバー24に含まれていてもよい。たとえば、複数の認証サーバー24が連合する環境では、複数の認証サーバー24が認証サービスを提供するために使用される(図では、第2の認証サーバー24は、一部が破線で示されている)。
【0026】
この発明は、図1に示されるマルチサイトユーザー認証システムのための、改善されたセキュリティを提供する。好ましくは、この発明は、2重キー暗号システムの特徴を用いてセキュリティプロトコルを適用することにより、スケーラブルで複数プラットフォームで動作する認証システムの構築の複雑さを減少する。これは、共用対称キープロトコルに固有の問題を最小にし、すでに使用されているシステム/ソフトウェアの使用を可能にする。これにより、費用を大きく減少し、産業界における広い採用を促進する。
【0027】
以下に説明する認証プロセスを実行する前に、クライアントコンピュータシステム12のユーザーと、認証システム対応サーバー16、18、20のオペレータはともに認証サーバー24で「登録」する。この登録は、認証サーバーに必要な情報を提供するための1回のプロセスである。クライアントコンピュータシステム12のユーザーは、たとえば、ユーザーの名前、郵便の住所、電子メールアドレス、および/または、ユーザーまたはクライアントコンピュータについての他の情報を提供することにより、認証サーバーで登録する。ユーザー登録処理の一部として、ユーザーは、ログインIDを割り当てられ、または、選択する。このログインIDは、共通のログインIDであり、認証システム対応サーバー(たとえばサーバー16,18,20)にアクセスするために使用される。ログインIDは、ここでは、「ユーザー名」、「ログイン名」ともいう。さらに、ユーザーは、認証の目的で使用される、ログインIDに関連するパスワードを選択する。認証サーバーで登録しログした後で、ユーザーは、どの認証システム対応サーバー(すなわち、同じ認証サーバーに登録している認証システム対応サーバー)も、追加の認証なしに、関連するユーザープロフィールにすでに含まれているユーザー情報を再入力することなしに、訪ねられる。
【0028】
認証システム対応サーバー16,18,20の操作者は、その認証システム対応サーバーについての情報(たとえばサーバー名やインターネットアドレス)を提供することにより、認証サーバーに登録する。さらに各認証システム対応サーバー16,18,20は、その認証要求についての情報を提供する。認証のための要求は、ユーザーによる最後のログインから認証情報の提供までに許される最長時間により特定できる。また、この要求は、ユーザーによる認証情報の最後の「リフレッシュ」により特定できる。
【0029】
認証情報のリフレッシュ(refresh)とは、そのユーザーがなおクライアントコンピュータシステムを操作していることを確認するためユーザーにパスワードを再入力させることをいう。認証サーバーからログアウトせずにユーザーがコンピュータシステムから離れるとき、他の人がそのユーザーのログインIDを用いて認証システム対応サーバーにアクセスすることが可能ならば、認証情報の定期的な再入力は有用である。もしユーザーが許可された最長時間がすぎた後で認証システム対応サーバー16,18,20へのアクセスを要求するなら、認証サーバー24は、そのユーザーを再認証する(すなわちリフレッシュする)。こうして、中心の認証サーバーはあるけれども、認証システム対応サーバー16,18,20は、認証サーバーに強制される認証要求を確立できる。認証サーバー24に登録した後で、認証システム対応サーバー16,18,20は、認証サーバーにも登録しているユーザーを認証するために、認証サーバーを使用できる。
【0030】
先に説明したように、共用対称キー・セキュリティプロトコル(たとえばケルベロスプロトコル)は、認証サービスと目的先サービスとの間で認証を行うために使用できる。この場合、認証サービスは、典型的には、ユーザー名/パスワード(またはパスワードに相当するもの)を受け取る。このユーザー名/パスワードの確認のとき、認証サービスは、目的先サービスにチケットを発行する。共用サービスと目的先サービスにのみ知られている共用対称キーがそのチケットを暗号化するので、このチケットは、単独で、ユーザーの身元の目的先サービスを保証する。また、このプロトコルは、そのチケットが、委託されている目的先サービスによってのみ使用可能であることや、そのチケットが、委託されているソース(すなわち認証サービス)からきたことの保証を認証サービスに提供する。さらに、このプロトコルは、認証サービスと目的先サービスの両方に、内容(コンテンツ)が他の誰にも見えないことを保証する。すべてのこれらの保証は、その内容を暗号化し解読する唯一の方法が共用対称キーの知識によるという事実に基づいている。典型的には、すべての目的先サービスがそれ自体のキーを持ち、そのため、認証サービスはすべてのキーを知っているが、各目的先サービスはそれ自体のキーのみを知っている。
【0031】
当業者に理解されるように、公開キーインフラ構造(PKI)は、複数のキーが同期されることを要求する。PKIは2つのキー(公開キーと個人キー(秘密キーともいう))を持ち、これらの2つのキーは同期された状態でなければならない。そのような一対のキーを呼び出し新しい一対のキーを生成するため、よく確立されたプロトコル/処理がある。この発明は、この1対のキーの認証局とキーの持主にこの問題をゆだね、これにより、共用キー認証システムからキー配布を除く。発明のこの観点が以下により詳細に説明される。
【0032】
多数の暗号アルゴリズム(たとえば3DESやHMAC−RC4)が、暗号化されたものの内容をキーの知識なしに解読することがほとんど不可能なものとして産業界でよく受け入れられている。したがって、キーの保護がセキュリティプロトコルの極端に重要な観点になる。先に説明したように、従来の共用キーシステムでは、認証サービスは、キーを目的先サービスに安全に送らねばならない。また、プロトコルは、キーが盗まれても、その害が最小になるように、キーを定期的に改める手段を取る。残念ながら、これは、マルチサイトユーザー認証システムにおいてセキュリティをはなはだしく複雑にする。さらに、もし目的先サービスが1以上の認証サービスを同じプロトコルで委託することを選ぶなら、共用対称キーは、すべての認証サービスの間で共用されねばならない。このことは、共用対称キーの配布や更新をさらに複雑にする。
【0033】
発明の1つの実施形態において、ランダムに生成された、使い捨てのセッションキーが共用キーの代わりに用いられる。認証サービス24は、目的先サービス(すなわち1つの認証システム対応サーバー16,18,20)の公開キーを用いてセッションキーを暗号化する。また、認証サービス24は、内容を署名するために個人キーを用いる。こうして、この発明は、共用対称キーのセキュリティの性質を保持するが、その欠点は保持しない。この発明のセッションキー・セキュリティプロトコルは、以下のことを保証する。(a)認証チケットがその認証システム対応サーバー16,18,20においてのみ使用できること。(b)内容が、正しいソース(すなわち、認証サーバー24)からくること。(c)チケットの内容が、ソースと目的先(すなわち、認証サーバーと認証システム対応サーバー)によってのみ知られていること。(d)認証システム対応サーバーがその署名を否認できないこと。チケットの内容の知識は、もしチケットが認証情報のみを含み、個人的なユーザーデータを含まないならば、ソースと目的先に限定される必要はない。この場合、内容は、他のどの場所でも使用できず、したがって、保護される必要がない。当業者は、署名アルゴリズムを含む業務はありふれていて、署名アルゴリズムは、署名されるデータの中で、よく知られた、前もって定義された身元確認を行う手段である。発明の1つの実施形態では、これが含まれているか、または、共通のアルゴリズムが認証サーバー24とサイト26により仮定される。
【0034】
理解されるように、認証チケットをSSL(セキュアソケットレイヤ)または同様な技術を介して送ることは、認証プロトコルに複雑さを加えることなく、ソースと目的先のみがチケットの内容を知っていることを保証する。
【0035】
発明のこの実施形態のセッションキー・セキュリティプロトコルは、公開キー暗号システムの考え(すなわち委託されている者(サーバー)を同定するためにディジタル証明書を用いる公開キーインフラ構造(PKI))を共用キー環境に適用する。一般に、公開キーシステムは、1つのキーが公開キーであり他方が個人キーである1対のキーすなわち2つのキーの暗号化を使用する。たとえば、公開キーは、1つのメッセージを暗号化し、次に受け取り人の個人キーがメッセージを解読する。公開キーにより暗号化されたデータは、公開キーによって解読できるのみである。さらに、1対の公開キーと個人キーは、1つのキーの知識が他方のキーを明かさないように、異なる値を持つ。したがって、認証サーバー24は、セキュリティの危険を生じることなく、第3者に公開キーを発行できる。PKIは、しばしば、SSLなどのプロトコルにおける証明書と関連して使用される。
【0036】
好ましくは、この発明は、共用対称キープロトコルの基本的性質を維持する。すなわち、この発明は、チケットの内容や、その内容の関連するすべての解釈を変更しない。一般に、認証サーバー24がチケットの内容を暗号化しようとするとき、(共用対称キーと同じ暗号強度/長さの)ランダムのセッションキーを生成する。認証サーバー24は、共用対称キーシステムにおけるのと同一の暗号アルゴリズムを用いて、チケットの内容を暗号化するため、このランダムのセッションキーを用いる。認証サーバー24は、次に、目的先(すなわち認証システム対応サーバー16,18,20)の公開キーでランダムのセッションキーを暗号化する。
【0037】
さらに、認証サーバー24は、その個人キーを使用して、チケット内容のダイジェストメッセージの暗号化の計算(Encrypt(Digest(ticket content))により署名を作る。
【0038】
図2は、本発明の具体例を説明するフロー図の1例であり、クライアントコンピュータのユーザーが関連サーバーにアクセスしようとするときのクライアントコンピュータ12、少なくとも1つの認証システム対応サーバー16及び認証サーバー24の間の相互作用を説明する。その考え方が、本発明のマルチサイトユーザー認証システムを利用する認証システム対応サーバー18,20や他の任意の対応ウェブサーバーにも適用できるけれども、以下の説明は、単純化するため、認証システム対応サーバー16に向けられる。
【0039】
図2に示す例は、クライアントコンピュータシステム12のユーザーが認証システム対応サーバー16にまだログしていず、認証サーバー24によりまだ認証されていない状況を表わす。発明の1実施形態では、複数の認証サーバー24が連合される環境を提供する。図2において、ラベルA〜Gで表わした線は、認証プロセスにおける情報またはアクティビティの流れを表わす。線における矢印は、処理の流れの方向を示す。ラベルAは、処理の開始を示し、ラベルGは処理の終了を示す。図3は、図2の処理の関連するフロー図の1例である。
【0040】
図2と図3の処理の流れでは、ステップ32で、クライアントコンピュータシステム12のユーザーは、認証システム対応サーバー16を介して利用できるポータルサービス(たとえばhttp://www.msn.comのインターネットサービスのMSNネットワーク)にアクセスすることにより開始する。ステップ32において、ユーザーは、ポータルを通して利用できる1つのサービスを選択する。たとえば、ユーザーは、1つのリンク(たとえば、http://eshop.msn.com)をクリックすることにより、オンライン・ネットワークサービスや他のウェブサービスにアクセスする(線A参照)。
【0041】
ステップ34とステップ36に進んで、認証システム対応サーバー16は、サインイン・インタフェース(たとえば、「ログインするためここをクリックしてください。」)をユーザーに提供する。サインインは、オンライン認証サービスに入るときの署名である。ユーザーがサインイン・インタフェースでクリックすると、次に、認証システム対応サーバー16のポータルサービスは、クライアントコンピュータシステムを、認証サーバー(たとえばマイクロソフト社のパスポート・サインイン・サービス(Passport sign-in service))により提供されるマルチサイトユーザー認証システムにリダイレクトする(redirect)(線B参照)。図2と図3の例では、認証システム対応サーバー16は、クライアントコンピュータシステム12をlogin.authsite.comにリダイレクトし、クライアントコンピュータシステム12は、ステップ36で、ポータルにより発行されるリダイレクトコマンドに従う。
【0042】
ステップ40で、認証サーバー24は、そのユーザーがすでに認証されたことを示す*.authsite.comドメインでの認証クッキーがあるか否かを決定する。もしなければ、ステップ48で、認証サーバー24のlogin.authsite.comでのユーザーインタフェースモジュールが、ユーザー名/パスワードを受け取るユーザーインタフェースページに応答する(線C参照)。ステップ50で、ユーザーは、ユーザー名/パスワードを入力し、login.passport.comで認証サーバー24にその情報を通知(post)する(線D参照)。次に、ステップ52は、認証サーバー24は、ユーザーにより提供されるユーザー名/パスワードを確認する(有効にする)(線E参照)。
【0043】
もしステップ52での確認が成功するならば、認証サーバー24は、希望のウェブサービスの場所を探し、クライアントコンピュータシステム12を、暗号化されたチケット/プロファイル情報とともに適当なサービス(たとえば、http://eshop.smn.com/)にリダイレクトする(線F参照)。いいかえれば、認証サーバー24は、認証データベース26から適当な場所の情報を検索して、選択されたサービスを提供するサーバー16(またはサーバー18,20)の場所を同定する。発明の1実施形態によれば、セキュリティプロトコルは、チケットのメッセージの内容(たとえばユーザー名とパスパード)を暗号化するため一般的なセッションキーを用いる。次に、認証サーバー24は、認証システム対応サーバー16の公開キーを使用してセッションキーを暗号化し、次に、それ自身の個人キーを用いてチケットを署名する。
【0044】
次にステップ60で、クライアントコンピュータ12は、認証システム対応サーバー16(たとえばhttp://eshop.msn.com)でのウェブサービスへのリダイレクトに従う(線G参照)。この例では、認証システム対応サーバー16は、その公開キーと署名とに基づいてチケットの内容を確認する。次に、認証システム対応サーバー16は、その個人キーを用いてセッションキーを解読し、次に、セッションキーを用いて認証チケットのメッセージ内容を解読する。別の方法では、認証サーバー24がそのウェブサイトの公開キーを持っていないならば、クライアントコンピュータ12は、http://eshop.msn.comへのリダイレクトに従って、SSL(セキュアソケットレイヤ)の使用を保証する。
【0045】
ステップ52に戻って説明すると、もしユーザーが入力した情報が正しくなければ(すなわち、認証データベース26に格納されている情報と合わなければ)、認証サーバー24は、ウェブページを生成しユーザーに通信して、ログインIDとパスワードの組み合わせが正当でないことを示す。ログインID、パスワードの誤りの場合、セキュリティの心配のため、たとえば、ユーザーがログインを試みることができる回数を制限してもよい。
【0046】
この実施形態では、認証サーバー24は、暗号化されたランダムなキーと署名とを、そのランダムなキーで暗号化されないチケットの一部として追加する。認証サーバー24は目的先サービス(認証システム対応サーバー16,18,20の1つ)の公開キーでセッションキーを暗号化する。また、認証サーバー24は、内容を署名するため個人キーを使用する。このように、この発明は、共用対称キーのセキュリティの性質を保持するが、その短所は持っていない。この発明のセッションキー・セキュリティプロトコルは、特定の認証システム対応サーバー16のみが認証チケットを使用できることを認証サーバー24に保証する。同様に、この発明は、チケットが正しいソース(すなわち認証サーバー24)から来たことを目的先サービス(すなわち認証システム対応サーバー16)に保証する。これは、認証サービスの公開キーで署名を確認することにより達成される。さらに、ソースと目的先(すなわち、認証サーバーと認証システム対応サーバー)のみがチケットの内容を知っている。
【0047】
たとえば、チケットtは、以下の形式を取る。
t=Encryptsessionkey(ユーザー名 + ...)PKIEncryptPP3(セッションキー)PKISignaturePVP(全内容)
すなわち、チケットtは、メッセージの内容(ユーザー名など)のセッションキーによる暗号化データ、セッションキーの公開キーPP3による暗号化データおよびチケットの内容の公開キーPVPによる署名からなる。ここで、PP3は第3者(認証システム対応サーバー)の公開キーであり、PVPは認証サーバー24の公開キーである。
【0048】
もしチケットが認証情報のみを含み、個人的なユーザー情報を含まないならば、チケットの内容の知識は、ソースと目的先に限定されない。この例では、内容は、他の任意の場所で使用できず、第3者の攻撃者にとってほとんど価値がない。セッションキー・セキュリティプロトコルの1例では、チケットの内容の知識をソースと目的先に限定する必要は、目的先の公開キーの知識を要求しないことにより緩和される。セキュリティチケットは単純に暗号化されない。チケットが異なる目的先により使用可能でないことを保証するため、チケットは、署名の一部として目的先のアドレス(たとえばドメイン名)を含む。こうして、目的先サービスは、署名を使用する前に、それ自体のサイトドメインで署名を確認できる。
【0049】
たとえば、チケットtは以下の形式をとる。
t={PUID + sign in time + ... + siteID3(siteDomain3)}
ここで、PUIDは認証サーバー24により確立される一意の身元識別データ(ID)を示し、sign_in_timeはサインイン時間を示し、siteID(siteDomain)は、サイトドメインsiteDomainのサイトの身元識別データ(ID)を示し、添字の3は第3者を示す。
【0050】
SSL/TLSなどの改ざんに強くプライバシー保護機能が強化されたプロトコルにより、暗号化されない認証チケットを送信することも、ソース(認証サーバ)と目的先(認証システム対応サーバー)のみがチケットの内容を知ることを保証することが、理解されるべきである。認証サーバー24は認証システム対応サーバー16の公開キーを知る必要がないので、発明のこの実施形態は、さらに、キー供給システムを単純にする。
【0051】
図3のフローは、マイクロソフト社のパスポート・サインイン・サービスなどの認証サービスに関して、セッションキー・セキュリティプロトコルを示す。これがケルベロスプロトコルにも適用可能であることが理解されるべきである。以下に、分散マルチサイトユーザー認証システム(たとえば、マイクロソフト社のパスポート・サインイン・サービス)により利用されケルベロスプロトコルに適用される「パスポート」プロトコルに適用されるセッションキー・セキュリティプロトコルを説明する。
【0052】
次に、そのようなセッションキー・セキュリティプロトコルの例を説明する。第1の例は、分散マルチサイトユーザー認証システム(たとえばマイクロソフト社のパスポート・サインイン・サービス)により使用されるセッションキー・セキュリティプロトコルである。
【0053】
パスポートチケット(Ticket)の構造は以下のとおりである。
Figure 0004744785
チケットの内容は、身元識別データmemberid、最後のリフレッシュ時間lastRefresh、最後のログイン時間lastLogin、現在の時間currentTimeを含む。
【0054】
チケットのすべての内容は、共用キーを用いてPassport 2.1にまで暗号化される。
【0055】
(1)目的先の公開キーの知識なしに、サイトの情報(サイトの身元識別データsiteIDなど)と署名(signature)がチケットの一部に追加できる。
Figure 0004744785
【0056】
署名は以下のパスポートの個人キーに基づいている。
Encrypt (Digest (ticket content except signature itself))
これは、署名自体を除くチケットの内容のダイジェストメッセージの暗号化データである。チケットの内容が第3者に見えないことを保証するため、チケットの内容は、SSL/TLSネットワークプロトコルを通してのみ転送される。メンバーID(memberid)が保護されるべき重大な価値がないと認証サービスが決定する場合には、SSL/TLSは要求されない。
【0057】
最新のウェブの標準に従うため、この実施形態におけるパスポートの実行サービスは、チケット構造をxml文書フォーマットに変更する。
【0058】
(2)目的先の公開キーの知識を用いて、チケットは以下のように暗号化される。
Figure 0004744785
ここで、EncryptedSessionKeyは、目的先の公開キーを用いて暗号化されたランダムのセッションキーであり、Signatureは、パスポートの個人キーを用いて暗号化された、署名以外のチケットのダイジェストメッセージであり、EncryptedContentは、セッションキーを通している。
【0059】
第2の例は、ケルベロスプロトコルに適用されるセッションキー・セキリティプロトコルである。
ケルベロスサービスチケットの構造は以下のとおりである。
Figure 0004744785
【0060】
いまEncryptedDataは共用キーを用いて暗号化されている。1つの実施形態では、チケットの1つの拡張データextensionはチケットキーを運ぶために追加され、このチケットキーは、EncryptedDataを暗号化するために使用される。PKI-Ticket-Extensionは、対象(sname)の公開キーにより暗号化されるチケットキーを含む。チケットキーが、委託されているキー配布センターからくることを証明するため、PKI-Ticket-ExtensionPKI-Ticketは、また、キー配布センターによるEncryptedDataの署名を含む。
【0061】
Figure 0004744785
ここで、te-TicketKeyは対象(sname)の公開キーにより暗号化されたチケットキーすなわちEncrypt(TicketKey)であり、te-Signatureは、キー配布センターの個人キーにより暗号化されたデータEncryptedDataのダイジェストメッセージの署名すなわちEncrypt(Digest(EncryptedData))である。
【0062】
図4は、コンピュータ70の形での一般目的のコンピュータ装置の1例を示す。発明の1つの実施形態では、コンピュータ70などのコンピュータは、クライアントコンピュータシステム12、認証サーバー24、ユーザーインタフェースサーバー28、または他の認証システム対応サーバー16,18,20での使用に適している。
【0063】
この実施形態において、コンピュータ70は、1以上のプロセッサまたはプロセシングユニット(CPUなど)72とシステムメモリ74を持つ。また、システムバス76は、システムメモリ74を含む種々の部品をプロセッサ72に接続する。バス76は、メモリバスまたはメモリコントローラ、ペリフェラルバス、AGP(accelerated graphics port)、種々のバスアーキテクチャを用いるプロセッサバスまたはローカルバスを含むバス構造の中の1以上のいずれかの種類のバス構造を表わす。バス構造の例として、ISA (Industry Standard Architecture)バス、MCA (Micro Channel Architecture)バス、EISA (Enhanced ISA)バス、VESA (Video Electronics Standards Association)ローカルバス、メザニンバスとしても知られるPCI(Peripheral Component Interconnect)バスが挙げられるが、これらには限定されない。
【0064】
コンピュータ70は、典型的には、少なくとも、コンピュータにより読み出し可能な記録媒体を備える。コンピュータにより読み出し可能な記録媒体は、揮発性と不揮発性の媒体や取り外し可能な媒体と取り外し不可能な媒体を含み、コンピュータ70によりアクセスできる利用可能な媒体である。コンピュータにより読み出し可能な媒体の例は、コンピュータ記憶媒体と通信媒体であるが、これに限定されない。コンピュータ記憶媒体は、コンピュータにより読み出し可能な命令、データ構造、プログラムモジュールまたは他のデータなどの情報の格納のための任意の方法または技術において実現される、揮発性媒体や不揮発性媒体と、取り外し可能な媒体と取り外し不可能な媒体を含む。たとえば、コンピュータ格納媒体は、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD−ROM、DVD(ディジタルバーサタイルディスク)または他の光記録媒体、磁気カセット、磁気テープ、磁気ディスク記録媒体または他の磁気記録媒体、または、所望の情報を格納しコンピュータ70によるアクセスできる他の任意の媒体を含む。通信媒体は、典型的には、搬送波または他の送信メカニズムなどの変調されたデータ信号の形として表わされている、コンピュータにより読み出し可能な命令、データ構造、プログラムモジュールまたは他のデータなどの情報であり、任意の情報伝達媒体を含む。当業者は、この変調されたデータ信号をよく知っており、このデータ信号は、信号中の情報を符号化するように設定されまたは変更された1以上の特性を備える。有線ネットワークまたは直接配線(direct-wired)ネットワークなどの有線媒体と、音響媒体、RF媒体、赤外媒体、他の無線媒体などの無線媒体は、通信媒体の例である。また、以上のものの組み合わせも、コンピュータにより読み出し可能な媒体の例である。
【0065】
システムメモリ74は、揮発性媒体や不揮発性媒体と、取り外し可能な媒体と取り外し不可能な媒体の形態のコンピュータ記録媒体を含む。図示された例では、システムメモリ74は、ROM78とRAM80を含む。BIOS (basic input/output system)は、たとえば立ち上げの際のコンピュータ70内の要素の間の情報伝達に役立つ基本的なルーチンを含み、典型的にはROM78に記憶される。RAM80は、典型的には、プロセッシングユニット72により直ちにアクセス可能であり、および/または、現在動作されているデータおよび/またはプログラムのモジュールを含む。1例では、図4は、OS(オペレーティングシステム)84、アプリケーションプログラム86、他のプログラムモジュール88およびプログラムデータ90を含むが、これに限定されない。
【0066】
コンピュータ70は、また、取り外し可能/取り外し不可能の揮発性/不揮発性のコンピュータ記録媒体を含んでいてもよい。たとえば、図4は、取り外し可能な不揮発性磁気媒体に読み書きするハードディスクドライブ94を示す。また、図4は、取り外し可能な不揮発性磁気ディスク98に読み書きする磁気ディスクドライブ96と、CD−ROMまたは他の光媒体などの取り外し可能な光ディスク102に読み書きする光ディスクドライブ100を示す。この動作環境において使用可能な他の取り外し可能/取り外し不可能の揮発性/不揮発性のコンピュータ記録媒体の例は、磁気テープカセット、フラッシュメモリカード、DVD、ディジタルビデオテープ、固体RAM、固体ROMなどであるが、これに限定されない。ハードディスクドライブ84、磁気ディスクドライブ96および光ディスクドライブ100は、典型的には、インタフェース106などの不揮発性メモリインタフェースによりシステムバス76に接続されている。
【0067】
上に説明されず42に示されているドライブまたは他の大量記憶装置とそれに関連するコンピュータ記録媒体は、コンピュータ70のため、コンピュータにより読み出し可能な命令、データ構造、プログラムモジュールおよび他のデータを記憶する。図4において、たとえば、ハードディスクドライブ94は、オペレーティングシステム110、アプリケーションプログラム112、他のプログラムモジュール114およびプログラムデータ116を記憶するものとして示されている。なお、これらの部分は、オペレーティングシステム84、アプリケーションプログラム86、他のプログラムモジュール88およびプログラムデータ90と同じであっても異なっていてもよい。オペレーティングシステム110、アプリケーションプログラム112、他のプログラムモジュール114およびプログラムデータ116は、ここでは、異なる参照数字で示されていて、少なくともそれらが異なる複製であることを示している。
【0068】
ユーザーは、キーボード120、(たとえばマウス、トラックボール、ペン、タッチパッドなどの)ポインティングデバイス122などの入力装置によりコンピュータ70に命令と情報を入力できる。他の入力装置(図示しない)は、マイクロフォン、ジョイスティック、ゲームパッド、サテライトディッシュ、スキャナなどを含む。これらや他の入力装置は、システムバス76に接続されるユーザー入力インタフェース124を介してプロセッシングユニット72に接続されるが、しかし、パラレルポート、ゲームポート、またはUSBなどの他のインターフェース構造やバス構造に接続できる。モニター128または他の種類の表示装置は、ビデオインタフェース130などのインタフェースを介してシステムバス76に接続される。モニター128に加え、コンピュータは、しばしば、出力周辺インタフェース(図示しない)に接続できるプリンタ、スピーカーなどの他の周辺出力装置(図示しない)を含む。
【0069】
コンピュータ70は、リモートコンピュータ134などの1以上のリモートコンピュータへの論理接続を用いるネットワーク環境において動作できる。このリモートコンピュータ134は、たとえばパーソナルコンピュータ、サーバー、ルーター、ネットワークPC、ピア装置または他の共通のネットワークノードであり、典型的には、コンピュータ70について先に説明した要素の多くまたはすべてを含む。図4に示される論理接続は、LAN(ローカルエリアネットワーク)136とWAN(ワイドエリアネットワーク)138を含むが、また、他のネットワークを含んでいてもよい。そのようなネットワーク環境は、事務所、企業に広がるコンピュータネットワーク、イントラネット、グローバルコンピュータネットワーク(たとえばインターネット)においてありふれている。
【0070】
ローカルエリアネットワーク環境において使用されるとき、コンピュータ70は、ネットワークインタフェースまたはアダプタ140を介してLAN136に接続される。ワイドエリアネットワークで使用されるとき、コンピュータ70は、典型的には、インターネットなどのWAN138での通信を確立するモデム142または他の手段を含む。モデム142は、内蔵モデムや外付けモデムのユーザー入力インタフェース134または他の適当なメカニズムを介してシステムバス76に接続される。ネットワーク環境では、コンピュータ70に関して説明されたプログラムモジュールまたはその一部が、リモート記憶装置(図示しない)に記憶できる。たとえば、図4は、メモリ装置に常駐するリモートアプリケーションプログラム144を示す。図示されるネットワーク接続は1例であり、コンピュータの間に通信リンクを確立する他の手段も使用できる。
【0071】
一般的に、コンピュータ70のデータプロセッサは、コンピュータにより読み出し可能なコンピュータの種々の記録媒体において異なる時間に格納される命令によりプログラムされる。プログラムとオペレーティングシステムは、典型的には、たとえば、フレキシブルディスクやCD−ROMで配布される。それからコンピュータの2次的メモリにインストールされ、または、ロードされる。実行時には、それらは、コンピュータの1次メモリに少なくとも部分的にロードされる。ここで説明する発明は、これらおよび他の種々の種類のコンピュータに読み出し可能な記録媒体を含み、そこに、マイクロプロセッサまたは他のデータプロセッサとともに後で説明されるステップを実行する命令またはプログラムを含む。また、この発明は、以下に説明する方法と技術によりプログラムされるときのコンピュータ自体を含む。
【0072】
図に示すため、オペレーティングシステムなどの、プログラムと他の実行可能なプログラム部分は、ここでは別々のブロックで示される。そのようなプログラムやプログラム部分は、コンピュータの異なる記憶部品に異なる時間に存在し、コンピュータのデータプロセッサにより実行される。
【0073】
この発明は、コンピュータ70を含むコンピュータシステム環境において説明されたが、多数の一般目的または特定目的のコンピュータシステムの環境または構成において動作する。コンピュータシステム環境は、発明の用途や機能の範囲について制限を与えるものではない。さらに、コンピュータシステム環境は、例として示された動作環境において説明された部分または複数の部分の組み合わせに関連した依存性や要求を持つものとして解釈されてはならない。周知のコンピュータシステム環境/構成の例は、これらに限定されないが、パーソナルコンピュータ、携帯またはラップトップ装置、マルチプロセッサシステム、マイクロプロセッサを用いたシステム、セットトップボックス、プログラマブル家電機器、ネットワークPC、ミニコン、メインフレームコンピュータ、および、上述のいずれかのシステム、装置などを含む分散コンピュータ環境である。
【0074】
この発明は、1以上のコンピュータまたは他の装置により実行される、プログラムモジュールなどの、コンピュータによる実行される命令の一般的な文脈で説明できる。一般的には、プログラムモジュールは、これらには限定されないが、タスクを行いまたは抽象データタイプを実現するルーチン、プログラム、オブジェクト、コンポーネント(component)およびデータ構造を含む。また、この発明は、通信ネットワークを通してリンクされているリモートプロセッシング装置によりタスクが行われる分散コンピュータ環境において具体化できる。分散コンピュータ環境では、プログラムモジュールは、メモリ格納装置を含むローカルおよびリモートのコンピュータ格納媒体の中に位置される。
【0075】
本発明は、2キーシステムに基づくセッションキー・セキュリティプロトコルを用いる共用対称キープロトコルに固有の問題を本質的に除去する。好ましくは、セッションキープロトコルは、すでに存在する対象のシステム/ソフトウェアを用いて経済的に使用することを可能にする。また、このプロトコルは、産業により広く採用されることを促進する。
【0076】
さらに、本発明は、プロトコルのいずれかの端でキーが傷つけられるという危険を除く点で強いプロトコルを提供する。たとえば、認証サービスに人が侵入するとすべての認証システム対応サーバーの全キーが盗まれた可能性がある。これは、認証システム対応サーバーの全ネットワークにわたってすべてのキーを再設定するために必要な期間のため、認証サービスの停止を生じる。対照的に、この発明のセキュリティプロトコルは、認証システム対応サーバーを混乱させることなく認証サービスが急速に盗まれたキーを置き換えることを可能にする。同様に、もし目的先のサービスで個人キーが盗まれると、その目的先のサービスは、認証サービスが新しいキーを発行するのを待つよりは、それ自体の個人キーと公開キーを再設定するサービスを独立に開始できる。さらに、本発明は、セキュリティの危険を分離するため、目的先のサービスが多数の個人/公開キーの対(たとえば、認証サービスが委託する認証サービス当り1個の対)を持つことを可能にする。
【0077】
以上に説明したことからわかるように、本発明の目的が達成され、好ましい結果が得られている。
【0078】
なお、上述の構成と方法は本発明の範囲から離れることなしに種々に変更できるので、発明の詳細な説明と図面に記載された内容は例として解釈されるべきであり、限定するものとして解釈されるべきではない。
【図面の簡単な説明】
【図1】 本発明が使用されるネットワーク環境の1例のブロック図
【図2】 クラアントコンピュータのユーザーが関連サーバーにアクセスしようとするときの、図1のクライアントコンピュータ、関連サーバー及び認証サーバーの間の相互作用を説明する1例のフローチャート
【図3】 クラアントコンピュータのユーザーが関連サーバーにアクセスしようとするときの、図1のクライアントコンピュータ、関連サーバー及び認証サーバーの間の相互作用を説明する1例のフローチャート
【図4】 図1のシステムに使用されるコンピュータの部分を示すブロック図
【符号の説明】
12 クライアントコンピュータシステム、 14 ネットワーク、 16、18、20 認証システム対応サーバー、 24 認証サーバー、 26 認証データベース、 70 コンピュータ、 72 プロセッサまたはプロセシングユニット、 90 プログラムデータ、 94 ハードディスクドライブ、 98 不揮発性磁気ディスク、 102 光ディスク。

Claims (12)

  1. 第1ネットワークサーバー、第2ネットワークサーバー及びクライアントコンピュータがデータ通信ネットワークに結合されているマルチサイト認証システムにおいて情報を安全にする方法であって、
    前記クライアントコンピュータによる前記第2ネットワークサーバーへのアクセスに応答して、前記第1ネットワークサーバーが、前記クライアントコンピュータのユーザーに関連付けられた情報を含む認証チケットを生成するステップと、
    前記第1ネットワークサーバーが、前記第1ネットワークサーバーと前記第2ネットワークサーバーとにより共有され且つランダムに発生されるセッションキーを用いて、前記認証チケットの内容を暗号化するステップと、
    前記第1ネットワークサーバーが、前記第2ネットワークサーバーに関連する公開キーを用いて前記セッションキーを暗号化するステップと、
    前記第1ネットワークサーバーが、前記クライアントコンピュータを前記認証チケットと共に前記第1ネットワークサーバーから前記第2ネットワークサーバーにリダイレクトするステップと、
    前記第2ネットワークサーバーが、該第2ネットワークサーバーに関連付けられた個人キーを用いて前記セッションキーを解読し、解読された前記セッションキーを用いて前記認証チケットの内容を解読するステップと、
    前記第1ネットワークサーバーが、該第1ネットワークサーバーに関連付けられた個人キーを用いて前記認証チケットのための署名を生成するステップと
    を備えることを特徴とする方法。
  2. 前記署名が、前記第2ネットワークサーバーのためのアドレス情報を含んでおり、
    前記第2ネットワークサーバーが、前記署名を正当化するため、前記署名の中の前記アドレス情報を同定する
    ことを特徴とする、請求項に記載の方法。
  3. 前記第1ネットワークサーバーから前記第2ネットワークサーバーへ、プライバシー保護機能が強化されたプロトコルを用いて前記認証チケットを送ることを特徴とする、請求項1又は2に記載の方法。
  4. 前記クライアントコンピュータのブラウザを介して、前記第2ネットワークサーバーにより提供されるサービスに対する要求を前記クライアントコンピュータから受け取ることを特徴とする、請求項1〜のうちの何れか1つに記載の方法。
  5. 前記第2ネットワークサーバーが、前記データ通信ネットワークに結合される1つ以上の他のネットワークサーバーにより前記ユーザーに提供されるサービスへのゲートウェイを提供するポータルであることを特徴とする、請求項1〜のうちの何れか1つに記載の方法。
  6. 前記第1ネットワークサーバー及び前記第2ネットワークサーバーがウェブサーバーであり、前記データ通信ネットワークがインターネットであることを特徴とする、請求項1〜のうちの何れか1つに記載の方法。
  7. 認証サーバーとウェブサーバーとクライアントコンピュータとがデータ通信ネットワークに結合され、情報を安全にするマルチサイト認証システムであって、
    前記クライアントコンピュータによる前記ウェブサーバーへのアクセスに応答して、前記認証サーバーが、前記クライアントコンピュータのユーザーからのログイン情報を検索し、
    前記のユーザー認証の後に、前記認証サーバーが、前記ユーザーに関連付けられた情報を含む認証チケットを生成し、
    前記認証サーバーが、前記認証サーバーと前記ウェブサーバーとにより共有され且つランダムに発生されるセッションキーを用いて、前記認証チケットの内容を暗号化し、
    前記認証サーバーが、前記ウェブサーバーに関連する公開キーを用いて前記セッションキーを暗号化し、
    前記認証サーバーが、前記クライアントコンピュータを前記認証チケットと共に前記認証サーバーから前記ウェブサーバーにリダイレクトし、
    前記ウェブワークサーバーが、該ウェブサーバーに関連付けられた個人キーを用いて前記セッションキーを解読し、解読された前記セッションキーを用いて前記認証チケットの内容を解読し、
    前記認証サーバーが、前記認証チケットのための署名を生成するための個人キーを備え、
    前記署名が、前記ウェブサーバーのためのアドレス情報を含み、
    前記ウェブサーバーが、前記署名の中の該ウェブサーバーのためのアドレス情報を同定して前記署名を正当化する
    ことを特徴とするシステム。
  8. 前記認証チケットが、前記セッションキーによって暗号化された内容と前記セッションキーと前記署名とを含むことを特徴とする、請求項に記載のシステム。
  9. 前記認証サーバーが、前記ユーザーから検索されたログイン情報と比較するためのログイン情報を記憶するデータベースを備えることを特徴とする、請求項7又は8に記載のシステム。
  10. 第1ネットワークサーバーと第2ネットワークサーバーとクライアントコンピュータとがデータ通信ネットワークに結合されているマルチサイト認証システムにおいて情報を安全にする方法であって、
    前記クライアントコンピュータによる前記第2ネットワークサーバーへのアクセスに応答して、前記第1ネットワークサーバーが、前記クライアントコンピュータのユーザーに関連付けられた情報を含む認証チケットを生成するステップと、
    前記第1ネットワークサーバーが、前記第1ネットワークサーバーと前記第2ネットワークサーバーとにより共有され且つランダムに発生されるセッションキーを用いて、前記認証チケットの内容を暗号化するステップと、
    前記第1ネットワークサーバーが、該第1ネットワークサーバーと関連付けられた個人キーを用いて、前記認証チケットのための署名を生成するステップであって、前記署名が前記第2ネットワークサーバーのためのアドレス情報を含んでいるステップと、
    前記第1ネットワークサーバーが、前記第2ネットワークサーバーに関連する公開キーを用いて前記セッションキーを暗号化するステップと、
    前記第1ネットワークサーバーが、前記クライアントコンピュータを前記認証チケットと共に前記第1ネットワークサーバーから前記第2ネットワークサーバーにリダイレクトするステップと、
    前記第2ネットワークサーバーが、該第2ネットワークサーバーに関連付けられた個人キーを用いて前記セッションキーを解読し、解読された前記セッションキーを用いて前記認証チケットの内容を解読し、前記署名の中の前記アドレス情報を同定して前記署名を正当化するステップと、
    を備えることを特徴とする方法。
  11. 前記第1ネットワークサーバーから前記第2ネットワークサーバーへ、プライバシー保護機能が強化されたプロトコルを用いて前記認証チケットを送ることを特徴とする、請求項10に記載の方法。
  12. 前記のプライバシー保護機能が強化されたプロトコルが、セキュアソケットレイヤ・プロトコルであることを特徴とする、請求項11に記載の方法。
JP2003109094A 2002-05-15 2003-04-14 セッションキー・セキュリティプロトコル Expired - Fee Related JP4744785B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/146,686 US7523490B2 (en) 2002-05-15 2002-05-15 Session key security protocol
US10/146686 2002-05-15

Publications (3)

Publication Number Publication Date
JP2004048679A JP2004048679A (ja) 2004-02-12
JP2004048679A5 JP2004048679A5 (ja) 2006-05-25
JP4744785B2 true JP4744785B2 (ja) 2011-08-10

Family

ID=29269760

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003109094A Expired - Fee Related JP4744785B2 (ja) 2002-05-15 2003-04-14 セッションキー・セキュリティプロトコル

Country Status (6)

Country Link
US (2) US7523490B2 (ja)
EP (1) EP1363424B1 (ja)
JP (1) JP4744785B2 (ja)
KR (1) KR100986441B1 (ja)
AT (1) ATE400108T1 (ja)
DE (1) DE60321854D1 (ja)

Families Citing this family (139)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7827292B2 (en) * 2001-07-23 2010-11-02 At&T Intellectual Property Ii, L.P. Flexible automated connection to virtual private networks
US7827278B2 (en) * 2001-07-23 2010-11-02 At&T Intellectual Property Ii, L.P. System for automated connection to virtual private networks related applications
US8239531B1 (en) * 2001-07-23 2012-08-07 At&T Intellectual Property Ii, L.P. Method and apparatus for connection to virtual private networks for secure transactions
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US20080301298A1 (en) * 2002-07-29 2008-12-04 Linda Bernardi Identifying a computing device
US20070027696A1 (en) * 2002-11-06 2007-02-01 Embrace Networks, Inc. Method and apparatus for third party control of a device
US7797434B2 (en) * 2002-12-31 2010-09-14 International Business Machines Corporation Method and system for user-determind attribute storage in a federated environment
US7725562B2 (en) * 2002-12-31 2010-05-25 International Business Machines Corporation Method and system for user enrollment of user attribute storage in a federated environment
US8788825B1 (en) * 2003-01-14 2014-07-22 Digi International Inc. Method and apparatus for key management for various device-server configurations
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
US20040181531A1 (en) * 2003-03-12 2004-09-16 Clark Becker Speed pass system
EP1632091A4 (en) * 2003-05-12 2006-07-26 Gtech Corp METHOD AND SYSTEM FOR AUTHENTICATION
US20050044379A1 (en) * 2003-08-20 2005-02-24 International Business Machines Corporation Blind exchange of keys using an open protocol
JP4617763B2 (ja) * 2003-09-03 2011-01-26 ソニー株式会社 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
FI20031361A0 (fi) * 2003-09-22 2003-09-22 Nokia Corp IPSec-turva-assosiaatioiden kaukohallinta
US20050144482A1 (en) * 2003-12-17 2005-06-30 David Anuszewski Internet protocol compatible access authentication system
EP1697818B1 (en) * 2003-12-23 2018-05-30 Wells Fargo Bank, N.A. Authentication system for networked computer applications
US7685206B1 (en) 2004-02-12 2010-03-23 Microsoft Corporation Authorization and access control service for distributed network resources
US7676846B2 (en) * 2004-02-13 2010-03-09 Microsoft Corporation Binding content to an entity
US7590705B2 (en) 2004-02-23 2009-09-15 Microsoft Corporation Profile and consent accrual
US20050204139A1 (en) * 2004-03-10 2005-09-15 Helland Patrick J. Service broker security
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
US7565538B2 (en) * 2004-04-05 2009-07-21 Microsoft Corporation Flow token
US7376972B2 (en) * 2004-04-14 2008-05-20 Microsoft Corporation Session key exchange key
US7356846B2 (en) * 2004-04-14 2008-04-08 Microsoft Corporation Unilateral session key shifting
US8261070B2 (en) * 2004-04-23 2012-09-04 The Boeing Company Authentication of untrusted gateway without disclosure of private information
KR100644616B1 (ko) * 2004-06-10 2006-11-10 세종대학교산학협력단 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
US7552322B2 (en) * 2004-06-24 2009-06-23 Palo Alto Research Center Incorporated Using a portable security token to facilitate public key certification for devices in a network
EP1766839B1 (en) * 2004-07-15 2013-03-06 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8528078B2 (en) 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
US8296562B2 (en) 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
KR20070085366A (ko) * 2004-10-12 2007-08-27 아노토 아베 전자펜으로부터의 정보의 보안 관리 방법 및 시스템
CA2583741C (en) * 2004-10-15 2014-10-14 Verisign, Inc. An algorithm to create and validate a one time password
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
CN1779713A (zh) * 2004-11-25 2006-05-31 国际商业机器公司 电子数据传送系统、服务器、终端和电子数据传送方法
KR20060081337A (ko) * 2005-01-07 2006-07-12 엘지전자 주식회사 비밀키를 이용한 암호화 및 복호화 방법
JP4774748B2 (ja) * 2005-01-28 2011-09-14 富士ゼロックス株式会社 文書登録システム
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US8200972B2 (en) * 2005-03-16 2012-06-12 International Business Machines Corporation Encryption of security-sensitive data by re-using a connection
US20060210071A1 (en) * 2005-03-16 2006-09-21 Chandran Gayathiri R Encryption of security-sensitive data
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US7783072B2 (en) * 2005-04-27 2010-08-24 Therapeias Health Management, Llc Methods and systems for clinical trial data management
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US8135645B2 (en) * 2005-12-06 2012-03-13 Microsoft Corporation Key distribution for secure messaging
US20070226783A1 (en) * 2006-03-16 2007-09-27 Rabbit's Foot Security, Inc. (A California Corporation) User-administered single sign-on with automatic password management for web server authentication
US9258124B2 (en) * 2006-04-21 2016-02-09 Symantec Corporation Time and event based one time password
GB0610113D0 (en) * 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
US8254891B2 (en) * 2006-06-23 2012-08-28 Microsoft Corporation Initiating contact using protected contact data in an electronic directory
GB0613235D0 (en) * 2006-07-04 2006-08-09 Maidsafe Net Ltd File system authentication
US20080044030A1 (en) * 2006-08-04 2008-02-21 Microsoft Corporation Protected contact data in an electronic directory
US8700788B2 (en) 2006-08-18 2014-04-15 Smarticon Technologies, Llc Method and system for automatic login initiated upon a single action with encryption
US8416463B2 (en) * 2007-03-23 2013-04-09 Anoto Ab Printing of a position-coding pattern
EP2593863B1 (en) * 2007-04-23 2014-03-26 Thomson Licensing Method and apparatus for software downloads in a network
JP5023804B2 (ja) * 2007-05-16 2012-09-12 コニカミノルタホールディングス株式会社 認証方法及び認証システム
US8171536B2 (en) * 2007-05-23 2012-05-01 Sony Computer Entertainment America Inc. Method and apparatus for authenticating users in a network
US8640203B2 (en) * 2007-06-04 2014-01-28 Rajesh G. Shakkarwar Methods and systems for the authentication of a user
KR100936530B1 (ko) * 2007-11-13 2010-01-13 주식회사 케이티 네트워크 장치 및 네트워크 장치의 인증 정보 공유 방법
ITTO20070853A1 (it) * 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
US8397077B2 (en) 2007-12-07 2013-03-12 Pistolstar, Inc. Client side authentication redirection
US9692602B2 (en) * 2007-12-18 2017-06-27 The Directv Group, Inc. Method and apparatus for mutually authenticating a user device of a primary service provider
US8001582B2 (en) * 2008-01-18 2011-08-16 Microsoft Corporation Cross-network reputation for online services
GB0802585D0 (en) * 2008-02-12 2008-03-19 Mtld Top Level Domain Ltd Determining a property of communication device
US8239927B2 (en) * 2008-02-29 2012-08-07 Microsoft Corporation Authentication ticket validation
US8555367B2 (en) * 2008-03-12 2013-10-08 Yahoo! Inc. Method and system for securely streaming content
US7925516B2 (en) * 2008-03-14 2011-04-12 Microsoft Corporation Leveraging global reputation to increase personalization
US20090259849A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authenticated User-Access to Kerberos-Enabled Applications Based on an Authentication and Key Agreement (AKA) Mechanism
US8850544B1 (en) * 2008-04-23 2014-09-30 Ravi Ganesan User centered privacy built on MashSSL
KR100924951B1 (ko) * 2008-05-09 2009-11-06 국방과학연구소 네트워크 연동 보안 게이트웨이 장치 및 방법
US9100548B2 (en) * 2008-07-17 2015-08-04 Cisco Technology, Inc. Feature enablement at a communications terminal
GB2465138B (en) * 2008-10-10 2012-10-10 Afilias Technologies Ltd Transcoding web resources
US8352580B2 (en) 2008-11-21 2013-01-08 Samsung Electronics Co., Ltd. Server and method for providing mobile web service
WO2010081218A1 (en) * 2009-01-13 2010-07-22 Neville Stephen W Secure protocol for transactions
US20100217975A1 (en) * 2009-02-25 2010-08-26 Garret Grajek Method and system for secure online transactions with message-level validation
DE102009024604B4 (de) * 2009-06-10 2011-05-05 Infineon Technologies Ag Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
US9231758B2 (en) * 2009-11-16 2016-01-05 Arm Technologies Israel Ltd. System, device, and method of provisioning cryptographic data to electronic devices
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
US9729930B2 (en) 2010-01-05 2017-08-08 CSC Holdings, LLC Enhanced subscriber authentication using location tracking
US9141724B2 (en) 2010-04-19 2015-09-22 Afilias Technologies Limited Transcoder hinting
US8474009B2 (en) 2010-05-26 2013-06-25 Novell, Inc. Dynamic service access
GB2481843A (en) 2010-07-08 2012-01-11 Mtld Top Level Domain Ltd Web based method of generating user interfaces
CN101938500B (zh) * 2010-09-28 2012-12-12 中国人民解放军信息工程大学 源地址验证方法及系统
US10122693B2 (en) 2010-10-25 2018-11-06 International Business Machines Corporation Protocol based key management
US8839357B2 (en) * 2010-12-22 2014-09-16 Canon U.S.A., Inc. Method, system, and computer-readable storage medium for authenticating a computing device
US8620882B2 (en) * 2010-12-29 2013-12-31 Emc Corporation Tokenization of multiple-field records
EP2530618B1 (en) * 2011-06-01 2016-06-08 DSwiss AG Sign-On system with distributed access
US8499343B2 (en) * 2011-06-06 2013-07-30 Verizon Patent And Licensing Inc. Hosted media content service systems and methods
US9026784B2 (en) * 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
EP2747445A1 (en) * 2012-12-21 2014-06-25 Nagravision S.A. Method to enforce watermarking instructions in a receiving device
US9954843B2 (en) * 2013-02-28 2018-04-24 Microsoft Technology Licensing, Llc Web ticket based upon a symmetric key usable for user authentication
US9942213B2 (en) * 2013-03-15 2018-04-10 Comcast Cable Communications, Llc Systems and methods for providing secure services
US9769658B2 (en) * 2013-06-23 2017-09-19 Shlomi Dolev Certificating vehicle public key with vehicle attributes
US9515996B1 (en) * 2013-06-28 2016-12-06 EMC IP Holding Company LLC Distributed password-based authentication in a public key cryptography authentication system
CN103441997B (zh) 2013-08-20 2017-02-22 华为技术有限公司 一种内容共享方法、装置和系统
US9237019B2 (en) * 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US9319419B2 (en) * 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
US10367797B2 (en) * 2013-10-28 2019-07-30 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for authenticating users using multiple services
CN106464493B (zh) 2014-03-16 2019-12-10 黑文技术私人有限公司 包含一次性通行码的持久性认证系统
US9628282B2 (en) * 2014-10-10 2017-04-18 Verizon Patent And Licensing Inc. Universal anonymous cross-site authentication
US10050955B2 (en) 2014-10-24 2018-08-14 Netflix, Inc. Efficient start-up for secured connections and related services
US11399019B2 (en) * 2014-10-24 2022-07-26 Netflix, Inc. Failure recovery mechanism to re-establish secured communications
US11533297B2 (en) 2014-10-24 2022-12-20 Netflix, Inc. Secure communication channel with token renewal mechanism
DE102015111715A1 (de) * 2015-07-20 2017-01-26 Signotec Gmbh Sichere elektronische Unterzeichnung von Information
US20170163607A1 (en) * 2015-12-03 2017-06-08 Microsoft Technology Licensing, Llc Establishing a Communication Event Using Secure Signalling
US10362069B2 (en) 2015-12-03 2019-07-23 Microsoft Technology Licensing, Llc Protocol fallback
US10193934B2 (en) 2015-12-03 2019-01-29 Microsoft Technology Licensing, Llc Data compression for communications signalling
US10432595B2 (en) 2017-03-08 2019-10-01 Bank Of America Corporation Secure session creation system utililizing multiple keys
US10361852B2 (en) 2017-03-08 2019-07-23 Bank Of America Corporation Secure verification system
US10374808B2 (en) 2017-03-08 2019-08-06 Bank Of America Corporation Verification system for creating a secure link
US10425417B2 (en) 2017-03-08 2019-09-24 Bank Of America Corporation Certificate system for verifying authorized and unauthorized secure sessions
US10547443B2 (en) 2017-05-24 2020-01-28 Red Hat, Inc. Session key exchange as a service
US10855694B2 (en) * 2017-05-30 2020-12-01 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment
US11182349B2 (en) 2017-06-04 2021-11-23 Apple Inc. Synchronizing content
US11528129B2 (en) 2017-06-04 2022-12-13 Apple Inc. Synchronizing content
US10903985B2 (en) 2017-08-25 2021-01-26 Keysight Technologies Singapore (Sales) Pte. Ltd. Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques
US10992652B2 (en) 2017-08-25 2021-04-27 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted network traffic flows
JP7030476B2 (ja) * 2017-11-06 2022-03-07 キヤノン株式会社 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法
US10893030B2 (en) 2018-08-10 2021-01-12 Keysight Technologies, Inc. Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element
US20200366476A1 (en) * 2019-05-17 2020-11-19 Panasonic Avionics Corporation Transient key negotiation for passenger accessible peripherals
JP7395938B2 (ja) 2019-10-09 2023-12-12 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理システム及びプログラム
US11637831B2 (en) 2019-10-09 2023-04-25 Salesforce, Inc. Application programmer interface platform with direct data center access
CN113272810B (zh) * 2019-10-11 2022-02-22 软件帝国株式会社 利用浏览器的网页存储器的简单认证方法及系统
US11431500B2 (en) * 2019-11-26 2022-08-30 Salesforce, Inc. Authorization code management for published static applications
US11121864B1 (en) * 2020-03-13 2021-09-14 International Business Machines Corporation Secure private key distribution between endpoint instances
CN111698264A (zh) * 2020-06-28 2020-09-22 京东数字科技控股有限公司 用于保持用户认证会话的方法和装置
CN112565205B (zh) * 2020-11-19 2022-04-08 湖南大学 可信认证和度量方法、服务器、终端及可读存储介质
US11553351B2 (en) * 2020-12-09 2023-01-10 U-Blox Ag Secure indoor positioning device, system and method
JP2022135641A (ja) 2021-03-05 2022-09-15 キオクシア株式会社 I/oコマンド制御装置およびストレージシステム
US11610004B2 (en) 2021-04-14 2023-03-21 Bank Of America Corporation System for implementing enhanced file encryption technique
US20220400108A1 (en) * 2021-06-09 2022-12-15 Capital One Services, Llc Tokenizing authentication information
CN113630261B (zh) * 2021-10-13 2021-12-17 环球数科集团有限公司 基于沙盒内签名和非对称加密技术的离线检测票务系统
US20230412594A1 (en) * 2022-06-20 2023-12-21 Micro Focus Llc Tying addresses to authentication processes
WO2024019534A1 (ko) * 2022-07-22 2024-01-25 주식회사 메디컬에이아이 의료 서비스의 개인정보 비식별화를 위한 시스템 및 방법

Family Cites Families (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69311581T2 (de) * 1993-07-27 1997-12-11 Ibm Verfahren und system zur authentifizierten sicheren schlüsselverteilung in einem kommunikationssystem
DE69312328T2 (de) * 1993-09-20 1998-01-08 Ibm System und verfahren zur änderung des schlüssels oder des kennwortes in einem kommunikationsnetzwerk mit schlüssel- verteilung
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
US5491749A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks
CA2132364A1 (en) * 1994-09-19 1996-03-20 Russ Freen Multi-network management
US5535279A (en) * 1994-12-15 1996-07-09 Pitney Bowes Inc. Postage accounting system including means for transmitting a bit-mapped image of variable information for driving an external printer
US5682478A (en) * 1995-01-19 1997-10-28 Microsoft Corporation Method and apparatus for supporting multiple, simultaneous services over multiple, simultaneous connections between a client and network server
JP3216692B2 (ja) * 1995-01-23 2001-10-09 日本電信電話株式会社 光ファイバ接続替え装置及び方法
US5812776A (en) * 1995-06-07 1998-09-22 Open Market, Inc. Method of providing internet pages by mapping telephone number provided by client to URL and returning the same in a redirect command by server
AR003524A1 (es) * 1995-09-08 1998-08-05 Cyber Sign Japan Inc Un servidor de verificacion para ser utilizado en la autenticacion de redes de computadoras.
US5774670A (en) * 1995-10-06 1998-06-30 Netscape Communications Corporation Persistent client state in a hypertext transfer protocol based client-server system
US5864843A (en) * 1995-10-20 1999-01-26 Ncr Corporation Method and apparatus for extending a database management system to operate with diverse object servers
US5708709A (en) * 1995-12-08 1998-01-13 Sun Microsystems, Inc. System and method for managing try-and-buy usage of application programs
US5673316A (en) * 1996-03-29 1997-09-30 International Business Machines Corporation Creation and distribution of cryptographic envelope
US5898780A (en) * 1996-05-21 1999-04-27 Gric Communications, Inc. Method and apparatus for authorizing remote internet access
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US6006332A (en) * 1996-10-21 1999-12-21 Case Western Reserve University Rights management system for digital media
US6292896B1 (en) * 1997-01-22 2001-09-18 International Business Machines Corporation Method and apparatus for entity authentication and session key generation
US5918228A (en) * 1997-01-28 1999-06-29 International Business Machines Corporation Method and apparatus for enabling a web server to impersonate a user of a distributed file system to obtain secure access to supported web documents
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US7062781B2 (en) * 1997-02-12 2006-06-13 Verizon Laboratories Inc. Method for providing simultaneous parallel secure command execution on multiple remote hosts
US5903721A (en) 1997-03-13 1999-05-11 cha|Technologies Services, Inc. Method and system for secure online transaction processing
US5944824A (en) * 1997-04-30 1999-08-31 Mci Communications Corporation System and method for single sign-on to a plurality of network elements
JP3595109B2 (ja) * 1997-05-28 2004-12-02 日本ユニシス株式会社 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体
US5948064A (en) * 1997-07-07 1999-09-07 International Business Machines Corporation Discovery of authentication server domains in a computer network
US6092199A (en) * 1997-07-07 2000-07-18 International Business Machines Corporation Dynamic creation of a user account in a client following authentication from a non-native server domain
US6058188A (en) * 1997-07-24 2000-05-02 International Business Machines Corporation Method and apparatus for interoperable validation of key recovery information in a cryptographic system
US6263432B1 (en) * 1997-10-06 2001-07-17 Ncr Corporation Electronic ticketing, authentication and/or authorization security system for internet applications
US6160891A (en) * 1997-10-20 2000-12-12 Sun Microsystems, Inc. Methods and apparatus for recovering keys
KR19990038925A (ko) * 1997-11-07 1999-06-05 정선종 분산 환경에서 안전한 양방향 인증 방법
US6725376B1 (en) * 1997-11-13 2004-04-20 Ncr Corporation Method of using an electronic ticket and distributed server computer architecture for the same
US6098056A (en) * 1997-11-24 2000-08-01 International Business Machines Corporation System and method for controlling access rights to and security of digital content in a distributed information system, e.g., Internet
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
EP0949787A1 (en) 1998-03-18 1999-10-13 Sony International (Europe) GmbH Multiple personality internet account
US6363365B1 (en) * 1998-05-12 2002-03-26 International Business Machines Corp. Mechanism for secure tendering in an open electronic network
US6138159A (en) * 1998-06-11 2000-10-24 Phaal; Peter Load direction mechanism
US6138235A (en) 1998-06-29 2000-10-24 Sun Microsystems, Inc. Controlling access to services between modular applications
US6311275B1 (en) * 1998-08-03 2001-10-30 Cisco Technology, Inc. Method for providing single step log-on access to a differentiated computer network
US6226618B1 (en) * 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system
US6374402B1 (en) * 1998-11-16 2002-04-16 Into Networks, Inc. Method and apparatus for installation abstraction in a secure content delivery system
US7017188B1 (en) * 1998-11-16 2006-03-21 Softricity, Inc. Method and apparatus for secure content delivery over broadband access networks
US6154543A (en) 1998-11-25 2000-11-28 Hush Communications Anguilla, Inc. Public key cryptosystem with roaming user capability
US6253327B1 (en) 1998-12-02 2001-06-26 Cisco Technology, Inc. Single step network logon based on point to point protocol
US6321262B1 (en) * 1999-02-04 2001-11-20 Dell Usa, L.P. System and method for identification and streamlined access to online services
US6584466B1 (en) * 1999-04-07 2003-06-24 Critical Path, Inc. Internet document management system and methods
US6782478B1 (en) * 1999-04-28 2004-08-24 Thomas Probert Techniques for encoding information in computer code
FR2793367B1 (fr) * 1999-05-03 2004-09-10 Jean Luc Stehle Dispositif d'authentification et de securisation pour un reseau informatique
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
US6760752B1 (en) * 1999-06-28 2004-07-06 Zix Corporation Secure transmission system
US20010020228A1 (en) * 1999-07-09 2001-09-06 International Business Machines Corporation Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources
US6823454B1 (en) * 1999-11-08 2004-11-23 International Business Machines Corporation Using device certificates to authenticate servers before automatic address assignment
US6640239B1 (en) 1999-11-10 2003-10-28 Garuda Network Corporation Apparatus and method for intelligent scalable switching network
US6578199B1 (en) * 1999-11-12 2003-06-10 Fujitsu Limited Automatic tracking system and method for distributable software
JP3362780B2 (ja) * 1999-12-15 2003-01-07 日本電信電話株式会社 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体
US6734886B1 (en) * 1999-12-21 2004-05-11 Personalpath Systems, Inc. Method of customizing a browsing experience on a world-wide-web site
CN1182479C (zh) * 2000-01-07 2004-12-29 国际商业机器公司 有效地收集、整理和访问证书吊销表的系统和方法
US20010025256A1 (en) * 2000-01-07 2001-09-27 Mike Oliphant System, method and apparatus for integrated access to electronic works
JP2001202437A (ja) * 2000-01-20 2001-07-27 Kyocera Communication Systems Co Ltd サービスシステム
AU2001257573A1 (en) * 2000-02-11 2001-08-20 Verimatrix, Inc. Web based human services conferencing network
GB0004331D0 (en) 2000-02-24 2000-04-12 Ibm Client server communications for a mobile computing device
US20010045451A1 (en) * 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
WO2001067708A2 (en) * 2000-03-07 2001-09-13 General Instrument Corporation Authenticated dynamic address assignment
US6688084B2 (en) 2000-03-24 2004-02-10 International Paper Company Automated bulk box strapper
IL135555A0 (en) 2000-04-09 2001-05-20 Vidius Inc Preventing unauthorized access to data sent via computer networks
KR100378849B1 (ko) * 2000-04-14 2003-04-08 백영식 즉석 취식용 추어탕 국밥
US20010037462A1 (en) * 2000-05-01 2001-11-01 Bengtson Michael B. Method and apparatus for obtaining a printed copy of a document via the internet
KR20010105705A (ko) * 2000-05-17 2001-11-29 정문술 다중 인터넷 서비스에 대한 통합 사용자 관리환경 제공방법 및 이를 위한 시스템
US6934393B2 (en) * 2000-06-09 2005-08-23 Northrop Grumman Corporation System and method for third party recovery of encryption certificates in a public key infrastructure
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
JP4503794B2 (ja) * 2000-07-19 2010-07-14 株式会社日立製作所 コンテンツ提供方法及び装置
US20020035681A1 (en) * 2000-07-31 2002-03-21 Guillermo Maturana Strategy for handling long SSL messages
JP2002073859A (ja) * 2000-08-29 2002-03-12 Nippon Telegr & Teleph Corp <Ntt> 電子チケットの管理機能を有する携帯認証装置
US7395549B1 (en) 2000-10-17 2008-07-01 Sun Microsystems, Inc. Method and apparatus for providing a key distribution center without storing long-term server secrets
JP2002132730A (ja) * 2000-10-20 2002-05-10 Hitachi Ltd 個人情報の信頼度および開示度による認証またはアクセス管理システム、および管理方法
GB0027280D0 (en) * 2000-11-08 2000-12-27 Malcolm Peter An information management system
JP2002183633A (ja) * 2000-12-13 2002-06-28 Sony Corp 情報記録媒体、情報処理装置および情報処理方法、プログラム記録媒体、並びに情報処理システム
US20020152393A1 (en) * 2001-01-09 2002-10-17 Johannes Thoma Secure extensible computing environment
US20020194501A1 (en) * 2001-02-25 2002-12-19 Storymail, Inc. System and method for conducting a secure interactive communication session
GB2373418A (en) * 2001-03-16 2002-09-18 Kleinwort Benson Ltd Method and system to provide and manage secure access to internal computer systems from an external client
US6912582B2 (en) 2001-03-30 2005-06-28 Microsoft Corporation Service routing and web integration in a distributed multi-site user authentication system
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
US7979900B2 (en) * 2001-05-29 2011-07-12 Alphawolf Consulting, Inc. Method and system for logging into and providing access to a computer system via a communication network
US7496751B2 (en) * 2001-10-29 2009-02-24 Sun Microsystems, Inc. Privacy and identification in a data communications network
US7315944B2 (en) * 2001-11-13 2008-01-01 Ericsson Inc. Secure handling of stored-value data objects
US7243366B2 (en) * 2001-11-15 2007-07-10 General Instrument Corporation Key management protocol and authentication system for secure internet protocol rights management architecture
US20030108205A1 (en) * 2001-12-07 2003-06-12 Bryan Joyner System and method for providing encrypted data to a device
JP2003198524A (ja) 2001-12-27 2003-07-11 Ntt Advanced Technology Corp 暗号鍵回復装置、中継装置、及び預託装置
US7073195B2 (en) * 2002-01-28 2006-07-04 Intel Corporation Controlled access to credential information of delegators in delegation relationships
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US7818792B2 (en) * 2002-02-04 2010-10-19 General Instrument Corporation Method and system for providing third party authentication of authorization
US20030163693A1 (en) * 2002-02-28 2003-08-28 General Instrument Corporation Detection of duplicate client identities in a communication system
US20030163691A1 (en) * 2002-02-28 2003-08-28 Johnson Ted Christian System and method for authenticating sessions and other transactions
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US20030188193A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Single sign on for kerberos authentication
US7603450B2 (en) 2002-04-26 2009-10-13 Hewlett-Packard Development Company, L.P. Methods and applets for providing and contributing to an IT network management service
US7401235B2 (en) 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication
US7100049B2 (en) * 2002-05-10 2006-08-29 Rsa Security Inc. Method and apparatus for authentication of users and web sites
US7523490B2 (en) 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7444522B1 (en) 2002-09-18 2008-10-28 Open Invention Network, Llc Dynamic negotiation of security arrangements between web services
US20040098616A1 (en) 2002-11-14 2004-05-20 Jenner Bruce Stephen Communications firewall
US20040103311A1 (en) 2002-11-27 2004-05-27 Melbourne Barton Secure wireless mobile communications
US7836493B2 (en) 2003-04-24 2010-11-16 Attachmate Corporation Proxy server security token authorization
US7421732B2 (en) 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication
JP4778899B2 (ja) 2003-09-12 2011-09-21 イーエムシー コーポレイション リスクベース認証のためのシステムおよび方法
US7636941B2 (en) 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US7934101B2 (en) 2004-04-16 2011-04-26 Cisco Technology, Inc. Dynamically mitigating a noncompliant password
WO2007047871A2 (en) 2005-10-17 2007-04-26 Markmonitor Inc. Client side brand protection
US7979703B2 (en) 2005-10-19 2011-07-12 Microsoft Corporation Determining the reputation of a sender of communications
US20070250919A1 (en) 2005-11-10 2007-10-25 Markmonitor Inc. B2C Authentication System And Methods
US8763113B2 (en) 2005-11-28 2014-06-24 Threatmetrix Pty Ltd Method and system for processing a stream of information from a computer network using node based reputation characteristics
US7639672B2 (en) 2006-07-18 2009-12-29 David Foote System and method for peer-to-peer internet communication
US20080080711A1 (en) * 2006-09-28 2008-04-03 Syphermedia International, Inc. Dual conditional access module architecture and method and apparatus for controlling same
US7991902B2 (en) 2006-12-08 2011-08-02 Microsoft Corporation Reputation-based authorization decisions
US8239685B2 (en) 2007-10-24 2012-08-07 Electronics And Telecommunications Research Institute Biometric authentication method

Also Published As

Publication number Publication date
US7971240B2 (en) 2011-06-28
US20090204808A1 (en) 2009-08-13
US20030217288A1 (en) 2003-11-20
ATE400108T1 (de) 2008-07-15
DE60321854D1 (de) 2008-08-14
JP2004048679A (ja) 2004-02-12
KR100986441B1 (ko) 2010-10-08
EP1363424B1 (en) 2008-07-02
EP1363424A3 (en) 2004-05-19
US7523490B2 (en) 2009-04-21
KR20030088855A (ko) 2003-11-20
EP1363424A2 (en) 2003-11-19

Similar Documents

Publication Publication Date Title
JP4744785B2 (ja) セッションキー・セキュリティプロトコル
US9917829B1 (en) Method and apparatus for providing a conditional single sign on
US8984613B2 (en) Server pool Kerberos authentication scheme
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
US7379551B2 (en) Method and system for recovering password protected private data via a communication network without exposing the private data
EP1249983A2 (en) Methods and arrangements for protecting information in forwarded authentication messages
KR100872099B1 (ko) 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템
RU2417422C2 (ru) Услуга распределенной единой регистрации в сети
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
US8438383B2 (en) User authentication system
US7320073B2 (en) Secure method for roaming keys and certificates
US20110030041A1 (en) Session Ticket Authentication Scheme
JP2007518324A (ja) コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立
MXPA04007547A (es) Sistema y metodo para proporcionar un protocolo de manejo de clave con verificacion de cliente de autorizacion.
US20070033400A1 (en) System and method for secure electronic data delivery
US20080250248A1 (en) Identity Management System with an Untrusted Identity Provider
JP2012519995A (ja) ネットワーク通信を保護する方法および装置
US7287156B2 (en) Methods, systems and computer program products for authentication between clients and servers using differing authentication protocols
JP2017041179A (ja) 管理装置、情報処理装置、情報配布システム、情報配布方法およびプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060404

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060404

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070615

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100922

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101013

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110210

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110412

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110511

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140520

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4744785

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees