JP4886508B2 - 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム - Google Patents
既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム Download PDFInfo
- Publication number
- JP4886508B2 JP4886508B2 JP2006519925A JP2006519925A JP4886508B2 JP 4886508 B2 JP4886508 B2 JP 4886508B2 JP 2006519925 A JP2006519925 A JP 2006519925A JP 2006519925 A JP2006519925 A JP 2006519925A JP 4886508 B2 JP4886508 B2 JP 4886508B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- certificate
- client
- based authentication
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 230000004044 response Effects 0.000 claims abstract description 32
- 238000012795 verification Methods 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 38
- 230000008569 process Effects 0.000 description 22
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Treatment And Processing Of Natural Fur Or Leather (AREA)
Description
本発明は、改良されたデータ処理システムに関し、具体的には、マルチコンピュータ・データ転送のための方法及び装置に関する。さらにより具体的には、本発明は、暗号を用いるマルチコンピュータ通信のための方法及び装置を提供する。
eコマース・ウェブ・サイト及びウェブ・アプリケーションは、ユーザに代わって、コンピュータ・ネットワーク上で取引を実行する。ユーザは、多くの場合、セキュリティの目的で、適切なレベルまで自分の身元を確実に証明するために、認証手続きを通過しなければならない。
多くのコンピュータ・システムは、異なるセキュリティのレベルに合わせて異なるタイプの認証を有する。例えば、正しいユーザ名とパスワードとの組み合わせがユーザによって与えられる第1レベルの認証の完了に成功した後で、システムは、ウェブ・サイト上のリソースの特定の組へのアクセスを提供することができる。第2レベルの認証が、例えばスマートカードのようなハードウェア・トークンを提示することをユーザに対して求める場合があり、その後そのユーザには、より厳しく管理されたウェブ・サイト上のリソースへのアクセスが提供される。第3レベルの認証が、例えば指紋走査又は虹彩走査を通じて何らかの形式のバイオメトリック・データを提供することをユーザに対して求める場合があり、その後そのシステムは、ウェブ・サイト上の極めて重要なリソースまたは機密リソースへのアクセスを提供する。
ある認証レベルから次のレベルに移行する処理は、「ステップアップ認証」と呼ばれる。すなわち、ユーザは、より重要なリソースへのアクセスを得るために、システムの要求に応じて、あるレベルの認証から上位レベルにステップアップする。
eコマース・ウェブ・ベースの環境においては、コンピュータ・システムは、ウェブ・サイトにアクセスするための正面玄関すなわち監視ゲート(sentry gate)として、認証サービスを実装することが多い。これらの認証サービスは、ユーザがいずれかのリソースにアクセスする前に認証されることを確実にするように、アプリケーションの前、すなわちユーザとアプリケーションとの間に位置する。これらの認証サービスは、ウェブ・サーバ・プラグイン、リバース・プロキシ、又は他の同様な技術として実装することができる。これらの認証サービスに伴う潜在的な問題は、これらの認証サービスはユーザ名/パスワード認証を用いることが多く、クライアント・ベースの証明書を用いる認証方法にステップアップすることができないという点である。証明書ベースの認証手続きは、一般に、ユーザ名/パスワードベースの認証手続きより上位レベルのセキュリティを達成すると考えられている。
証明書ベースの認証は、公開鍵/秘密鍵からなる非対称暗号鍵対の使用を含むものである、デジタル証明書は、認証されたユーザの識別情報を公開暗号鍵と結びつける。証明書ベースの認証手続きの際、ユーザは、自分自身のデジタル証明書を認証サービスに提供し、自らが公開鍵に対応する秘密暗号鍵にアクセスできることを証明する必要がある。例えば、認証サービスは、何らかの形式のチャレンジ・データをユーザのクライアント・コンピュータに与え、次いでユーザのクライアント・コンピュータは、ユーザの秘密暗号鍵を用いてチャレンジ・データに署名し、認証サービスは、ユーザの公開鍵を用いてデジタル署名を検証することができる。秘密鍵は、識別情報が証明書に格納されたユーザによって常に秘密に保たれているはずであるため、認証サービスが、チャレンジ・データがユーザの秘密鍵を用いて適切に署名されたと判断したときは、該認証サービスは、ユーザの識別情報を高いレベルまで検証したことになる。
証明書ベースの認証手続きにステップアップする操作は、不可能であることが多い。問題は、典型的には、相互認証されたSSLセッションが、ユーザ名/パスワードの組み合わせといった下位レベルの非証明書ベースの認証についてクライアントとサーバとの間にすでに確立されていることから生じる。ほとんどの市販製品の場合、例えばSSLスタックが何らかの方法でオペレーティング・システムに組み込まれている場合など、証明書ベースの認証手続きを必要とする認証サービスがSSLスタックを制御しない場合には、該認証サービスは、新たなSSLセッションを強制的に確立することができない。したがって、認証サービスは、アクティブなSSLセッション上ですでに行われたユーザ名/パスワードをベースとする認証手続きから、そのアクティブなSSLセッションを維持したまま証明書ベースの認証手続きにステップアップすることができない。
したがって、何らかの目的で認証サービスによって要求される上位レベルのセキュリティを獲得するために、以前に確立されたSSLセッションを終了又は再折衝することなく、非証明書ベースの認証手続きから証明書ベースの認証手続きにステップアップすることが可能な方法及びシステムを有することは有益であろう。
本発明の第1の態様によれば、認証操作を実行するための方法であって、サーバとクライアントとの間のSSL(Secure Sockets Layer)セッションを介して非証明書ベースの認証操作を実行するステップと、該記非証明書ベースの認証操作を実行した後で、該SSLセッションを介して該サーバから該クライアントに実行可能モジュールをダウンロードするステップと、該クライアントにおいてデジタル証明書を用いて該実行可能モジュールによって生成されたデジタル署名を該サーバで受信するステップと、証明書ベースの認証操作を、該証明書ベースの認証操作の完了前に該SSLセッションを終了又は再折衝することなく、該サーバと該クライアントとの間の該SSLセッションを介して実行するステップと、を含む方法が提供される。
本発明の特性と考えられる新規な特徴は、特許請求の範囲に記載される。発明自体、更なる目的、及びその利点は、添付の図面を参照して読んだ時に、以下の詳細な説明を参照することによって最も良く理解されるであろう。
一般に、本発明が備えるか又は本発明に関連する装置は、様々なデータ処理技術を含む。したがって、本発明をより詳細に説明する前に、背景技術として、分散データ処理システム内のハードウェア・コンポーネント及びソフトウェア・コンポーネントの典型的な構成を説明する。
ここで図を参照すると、図1は、各々が本発明の一部を実装することができるデータ処理システムの典型的なネットワークを示す。分散データ処理システム100はネットワーク101を含み、ネットワーク101は、分散データ処理システム100内で相互に接続された種々の装置及びコンピュータ間に通信リンクを提供するために用いることができる媒体である。ネットワーク101は、電線又は光ファイバ・ケーブルなどの永久的な接続、又は、電話回線若しくは無線通信を通じて形成される一時的な接続を含むことができる。図示された例においては、サーバ102及びサーバ103は、ストレージ・ユニット104と共にネットワーク101に接続される。さらに、クライアント105〜107もまた、ネットワーク101に接続される。クライアント105〜107及びサーバ102〜103は、メインフレーム、パーソナル・コンピュータ、携帯情報端末(PDA)などといった種々のコンピューティング装置によって表すことができる。分散データ処理システム100は、図示されていない付加的なサーバ、クライアント、ルータ、他の装置、及びピアツーピア・アーキテクチャを含むことができる。
図示された例においては、分散データ処理システム100は、Lightweight Directory Access Protocol(LDAP)、Tranport Control Protocol/Internet Protocol(TCP/IP)、Hypertext Transport Protocol(HTTP)、Wireless Application Protocal(WAP)などといった、相互に通信するための種々のプロトコルを用いるネットワーク及びゲートウェイの世界規模の集合体を表すネットワーク101を有するインターネットを含むことができる。当然のことながら、分散データ処理システム100は、例えば、イントラネット、ローカル・エリア・ネットワーク(LAN)、又は広域エリア・ネットワーク(WAN)などの、多くの異なるタイプのネットワークを含むこともできる。例えば、サーバ102は、クライアント109と、無線通信リンクを組み込んだネットワーク110とを直接サポートする。ネットワーク対応電話111は、無線リンク112を介してネットワーク110に接続し、PDA113は、無線リンク114を介してネットワーク110に接続する。電話111及びPDA113はまた、Bluetooth(商標)無線技術などの適切な技術を用いる無線リンク115を介して互いの間で直接データを転送し、いわゆるパーソナル・エリア・ネットワーク(PAN)又はパーソナル・アドホック・ネットワークを形成することができる。同様の方法で、PDA113は、無線通信リンク116を介してPDA107にデータを転送することができる。
本発明は、種々のハードウェア・プラットフォーム上に実装することができる、すなわち、図1は、異種コンピューティング環境の一例であり、本発明についてのアーキテクチャ上の制限として意図するものではない。
ここで図2を参照すると、図は、図1において示されるシステムのような、本発明を実装することができるデータ処理システムの典型的なコンピュータ・アーキテクチャを示す。データ処理システム120は、内部システム・バス123に接続された1つ又は複数の中央演算処理装置(CPU)122を含み、内部システム・バス123は、ランダム・アクセス・メモリ(RAM)124と、読み取り専用メモリ126と、プリンタ130、ディスク・ユニット132、又は音声出力システムなどのような図示されない他の装置といった種々のI/O装置をサポートする入力/出力アダプタ128とを、相互接続する。システム・バス123はまた、通信リンク136へのアクセスを提供する通信アダプタ134を接続する。ユーザ・インターフェース・アダプタ148は、キーボード140及びマウス142、又はタッチ・スクリーン、スタイラス、マイクロフォンなどのような図示されない他の装置といった種々のユーザ装置を接続する。ディスプレイ・アダプタ144は、システム・バス123をディスプレス装置146に接続する。
当業者であれば、図2のハードウェアは、システム実装に応じて変えることができることが分かるであろう。例えば、システムは、Intel(商標)Pentium(商標)ベースのプロセッサ及びデジタル信号プロセッサ(DSP)などの1つ又は複数のプロセッサと、1つ又は複数のタイプの揮発性メモリ及び不揮発性メモリとを有するものとすることができる。図2に示されるハードウェアに加えて、又はこれに代えて、他の周辺装置を用いることができる。図示された例は、本発明に関してアーキテクチャ上の制限を意味することを意図するものではない。
本発明は、種々のハードウェア・プラットフォーム上に実装することができることに加えて、種々のソフトウェア環境において実装することができる。典型的なオペレーティング・システムを用いて、各々のデータ処理システム内のプログラム実行を制御することができる。例えば、1つのデバイスがUnix(商標)オペレーティング・システムを動作させることができる一方で、別のデバイスは、単純なJava(商標)ランタイム環境を含む。代表的なコンピュータ・プラットフォームは、画像ファイル、ワード・プロセッシング・ファイル、Extensible Markup Language(XML)、Hypertext Markup Language(HTML)、Handheld Device Markup Language(HDML)、Wireless Markup Language(WML)などの様々なフォーマット、並びに、他の様々なフォーマット及びファイル・タイプを持つハイパーテキスト文書にアクセスするための周知のソフトウェア・アプリケーションであるブラウザを含むことができる。
本発明は、図1及び図2に関して上述したように、種々のハードウェア・プラットフォーム及びソフトウェア・プラットフォーム上に実装することができる。しかしながら、本発明は、より特定的には、改良された認証サービスに向けられる。改良された認証サービスをより詳細に説明する前に、典型的な認証サービスを説明する。
本明細書における図の説明は、クライアント装置又は該クライアント装置のユーザによる特定の動作を伴う。当業者であれば、クライアントとの間の応答及び/又は要求は、時にはユーザによって開始され、時には、多くの場合クライアントのユーザに代わって、該クライアントによって自動的に開始されることが分かるであろう。したがって、図の説明においてクライアント又はクライアントのユーザというときには、「クライアント」及び「ユーザ」という用語は、説明される処理の意味に大きな影響を与えることなく交換可能に用いることができることを理解すべきである。
ここで図3を参照すると、データ・フロー図は、クライアントがサーバにおける保護リソースへのアクセスを試みるときに用いることができる典型的な認証処理を示す。図示されるように、クライアント・ワークステーション150のユーザは、該クライアント・ワークステーション上で実行する該ユーザのウェブ・ブラウザを通じ、コンピュータ・ネットワークを介して、サーバ151上の保護リソースへのアクセスを求める。保護リソースとは、アクセスが制御又は制限されているリソース(アプリケーション、オブジェクト、文書、ページ、ファイル、実行可能コード、又は他のコンピュータ・リソース、通信形式リソースなど)である。保護リソースは、認証され且つ許可されたユーザによってのみアクセス可能な、Uniform Resource Locator(URL)、又はより一般的には、Uniform Resource Identifier(URI)によって特定される。コンピュータ・ネットワークは、図1又は図2に示されるように、インターネット、イントラネット、又は他のネットワークとすることができ、サーバは、ウェブ・アプリケーション・サーバ(WAS)、サーバ・アプリケーション、サーブレット・プロセスなどとすることができる。
処理は、ユーザが、「ibm.com」ドメイン内のウェブ・ページのようなサーバ・サイドの保護リソースを要求したときに開始される(ステップ152)。「サーバ・サイド」及び「ユーザ・サイド」という用語は、それぞれ、ネットワーク環境内のサーバ及びクライアントにおける動作又はエンティティを指す。ウェブ・ブラウザ(又は、関連するアプリケーション若しくはアプレット)は、「ibm.com」ドメインをホスティングするウェブ・サーバに送信されるHTTP要求を生成する(ステップ153)。「要求」及び「応答」という用語は、メッセージ、通信プロトコル情報、又は他の関連情報などの、特定の操作に必要とされる情報の転送に適したデータ・フォーマット設定を含むことが理解されるべきである。
サーバは、このクライアントについてアクティブなセッションがないものと判断し(ステップ154)、そのため、サーバは、該サーバと該クライアントとの間に、該クライアントと該サーバとの間の多数の情報転送を伴うSSL(Secure Sockets Layer)セッションの確立を開始し、完了する。SSLセッションが確立された後は、該SSLセッション内でその後の通信メッセージが転送されるが、該SSLセッション内の通信メッセージは暗号化されているため、いずれの秘密情報も安全に保たれる。
しかしながら、サーバは、ユーザが保護リソースにアクセスすることが可能になる前に該ユーザの識別情報を判断する必要があり、そのため、該サーバは、何らかのタイプの認証チャレンジをクライアントに送信することによって認証処理を実行するようにユーザに要求する(ステップ156)。認証チャレンジは、HTML形式などの様々なフォーマットとすることができる。次いで、ユーザは、ユーザ名又は他のタイプのユーザ識別子などの要求された情報又は必要な情報を、関連するパスワード又は他の形式の秘密情報と共に提供する(ステップ157)。
認証応答情報はサーバに送信され(ステップ158)、その時点で、サーバは、例えば以前に提出された登録情報を検索し、提示された認証情報をユーザの格納済み情報と照合することによって、ユーザ又はクライアントを認証する(ステップ159)。認証が成功した場合には、認証されたユーザ又はクライアントについてアクティブなセッションが確立される。
次いで、サーバは、初めに要求されたウェブ・ページを検索して、HTTP応答メッセージをクライアントに送信し(ステップ160)、それにより、保護リソースについてのユーザの当初要求を実現する。この時点で、ユーザは、ブラウザ・ウィンドウ内のハイパーテキスト・リンクをクリックすることによって「ibm.com」内の別のページを要求することができ、該ブラウザは、別のHTTP要求メッセージをサーバに送信する(ステップ162)。この時点で、サーバは、ユーザがアクティブなセッションを有していることを認識し(ステップ163)、該サーバは、別のHTTP応答メッセージにおいて、要求されたウェブ・ページをクライアントに返信する(ステップ164)。
ここで図4を参照すると、ブロック図は、複数の認証サーバを含むエンタープライズ・ドメインについての典型的なデータ処理システムを示す。典型的な企業コンピューティング環境又はインターネット・ベースのコンピューティング環境の場合と同様に、エンタープライズ・ドメイン170は、ユーザ171が、例えばクライアント装置173上のブラウザ・アプリケーション172を用いることによってネットワーク174を介してアクセスすることが可能な制御されたリソースのホストとして機能する。アプリケーション・サーバ175は、ウェブ・ベースのアプリケーションを介して、又はレガシ・アプリケーションを含む他のタイプのアプリケーションを介してアクセス可能なリソースをサポートする。認証サーバ176は、ユーザ名/パスワード、X.509証明書、又はセキュア・トークンなどの様々な認証機構をサポートする。エンタープライズ・ドメイン170は、複数のサーバをサポートする。プロキシ・サーバ177は、エンタープライズ・ドメイン170に代わって、広範囲の機能を実行する。プロキシ・サーバ177は、例えばアプリケーション・サーバのコンテンツをミラーリングするためにウェブ・ページをキャッシュすること、又は、入力データストリーム・フィルタ・ユニット179及び出力データストリーム・フィルタ・ユニット180を通して、着信及び発信するデータストリームにフィルタをかけることなどのプロキシ・サーバ177の機能を制御するために、管理上、設定ファイル及びエンタープライズ・ポリシー・データベース178を介して設定することができる。入力データストリーム・フィルタ・ユニット179は、要求が着信したときに複数の検査を実行することができ、一方、出力データストリーム・フィルタ・ユニット180は、応答を発信するときに複数の検査を実行することができ、各々の検査は、種々のエンタープライズ・ポリシー内に指定された目標及び条件に従って実行することができる。
エンタープライズ・ドメイン170は、許可サーバ181を含む。許可サーバ181の許可ポリシー管理ユニット182は、ユーザ・レジストリ183及びアクセス制御リスト(ACL)データベース184内の情報を管理する。ポリシー管理ユニット182は、ユーザがドメイン170内のアプリケーション・サーバ175によって提供される特定のサービスにアクセスすることを許可されるかどうかを、これらのサービスについてのユーザ要求に対するポリシーを検査することによって判断する。本明細書の例は、ユーザが、認証された後に全ての制御されたリソースにアクセスすることを許可されるものと仮定するが、本発明の様々な実施形態は、本発明の範囲に影響を与えることなく代替的な許可処理を組み込むことができることに注意すべきである。
エンタープライズ・ドメイン170内の上記のエンティティは、多くのコンピューティング環境内の典型的なエンティティを表す。図3に関して示されたように、ウェブ・ベースのアプリケーションは、種々の手段を利用して、多くの場合はHTML形式内のユーザ名/パスワードの組み合わせとして認証情報を入力するように、ユーザに指示することができる。図4に示される例においては、ユーザ171は、クライアント173がリソースにアクセスする前に認証されることを要求される場合があり、その後、図3において上述されたものと同様の方法で、クライアント173についてのセッションが確立される。図4においては、入力データストリーム・フィルタ・ユニット179は、クライアント173からの着信要求を受信した後で、クライアント173がすでにセッションを確立済みであるかどうかを判断することができ、確立されていない場合には、ユーザ171を認証するために認証サーバ176上の認証サービスを呼び出すことができる。クライアント173がすでにセッションを確立済みである場合には、制御されたリソースへのアクセスを承諾する前に着信要求に対して付加的な検査を実行することかでき、この付加的な検査は、エンタープライズ認証ポリシーの中で指定することができる。
ここで本発明に焦点を移すと、幾つかのシステムはステップアップ認証手続きを実行する必要があることが上記された。しかしながら、ユーザ名/パスワードの組み合わせといった下位レベルの非証明書ベースの認証手続きについてクライアントとサーバとの間にSSLセッションが確立された場合に、認証サービスと該ユーザのブラウザ又は同様のクライアント・アプリケーションとの間で相互認証されたアクティブなSSLセッションを維持しながら、下位レベルの非証明書ベースの認証手続きから上位レベルの証明書ベースの認証手続きにステップアップする操作は不可能であることもまた指摘された。本発明は、既存のSSLセッションを介してユーザ又はユーザのクライアント装置についての証明書ベースの認証手続きを実行するサーバ・サイドの認証サービスを持つことによって、この問題への解決策を提供する。本発明は、残りの図面に関連して以下により詳細に説明される。
ここで図5を参照すると、ブロック図は、本発明に係るステップアップ認証処理を含むように拡張された認証サービスを示す。クライアント200は、図4に関して上述されたものと同様の方法で、様々なウェブ・アプリケーションからリソース及びサービスにアクセスするためのウェブ・ブラウザ・アプリケーション202又は同様のクライアント・アプリケーションを実行する。ブラウザ202は、仮想マシンを含むことができるランタイム環境204をサポートし、ランタイム環境204は、アプレット又はプラグインなどの、様々なタイプのダウンロード可能な実行可能ソフトウェア・モジュールを実行することができる。ブラウザ202及びサポートされたアプレット/プラグインは、クライアントがユーザのデジタル証明書及び/又は暗号鍵を保持する鍵データストア206にアクセスすることができる。さらに、ブラウザ202及びサポートされた実行可能モジュールは、クライアント200において生成された署名のログを収める署名ログ208にアクセスすることができる。署名ログ208はまた、クライアント200からの署名の提出に応答してウェブ・サーバから戻された署名記録/受け取りを収めることができる。
ドメイン210は、アプリケーション・サーバ及び認証サーバを備え、そのうちの少なくとも1つは、本発明のステップアップ認証機能を実装するためのステップアップ認証処理ユニット214を含む認証サービス212をサポートする。認証サービス212はまた、以下により詳細に説明されるように、クライアントから受信するデジタル署名を検証するためのデジタル署名検証ユニット216と、認証サービス212からの要求に応答してクライアントから戻された受信済み署名の記録を格納するための署名ログ218とをサポートする。
ここで図6を参照すると、フローチャートは、相互認証されたアクティブなSSLセッションを維持しながら、下位レベルの非証明書ベースの認証手続きから上位レベルの証明書ベースの認証手続きにステップアップするための処理を示す。図3に関して上述されたように、保護リソースにアクセスするためのユーザ要求を受信したことに応答して、例えばクライアント装置上のブラウザ・アプリケーションにおけるユーザ動作に応答して生成されたHTTP要求メッセージの形式のウェブ・ページ要求の結果として、サーバにおいて典型的な非証明書ベースの認証操作を行うことができる(ステップ302)。相互認証されたSSLセッションをクライアントとサーバとの間に確立した後で、該サーバは、該SSLセッションを介して、非証明書ベースの認証操作、例えば有効なユーザ名/パスワードの組み合わせ又は他の何らかの秘密情報を提供するためのクライアント/ユーザに対するチャレンジを実行する(ステップ304)。非証明書ベースの認証操作の完了が成功した場合には、サーバは、例えば応答メッセージを戻すか又は他の何らかの動作を実行することによって、初めに要求されたリソースをクライアントに提供する(ステップ306)。
しかしながら、図3が非証明書ベースの認証操作のみを示すのに対して、図6は、本発明が証明書ベースの認証操作によってもたらされるような上位レベルのセキュリティにステップアップするための処理を提供する方法を示すことにより続けられるという点で、図6は図3と異なる。
非証明書ベースの認証操作が完了し、以前の非証明書ベースの認証操作によって保護されるクライアント・セッションの間にサーバが保護リソースを提供した後のある時点で、該サーバは、上位レベルのセキュリティによって制御される保護リソース、すなわちその特定のリソースへのアクセスがより制限される保護リソースについての要求を受信する(ステップ308)。それに応答して、サーバは、該サーバとクライアントとの間に以前に確立されたSSLセッションを介して、該クライアントについての証明書ベースの認証操作を実行する(ステップ310)が、これは、その時点のSSLセッションを中断すること、その時点のSSLセッションを再折衝すること、又はその時点のSSLセッションを終了することなく行われる。証明書ベースの認証操作の完了が成功した場合には、サーバは、例えば応答メッセージを戻すか又は他の何らかの動作を実行することによって、より制限されたリソースをクライアントに提供し、処理は終了する。このように、非証明書ベースの認証操作のために以前に用いられたものと同じSSLセッションを介して、証明書ベースの認証操作が行われる。
「非証明書ベースの認証操作」という用語の使用は、ユーザ/クライアントの識別情報を判断するための第1の認証操作がデジタル証明書を使用しないという事実を指すことに留意すべきである。(非証明書ベースの認証操作において使用される秘密情報、例えばパスワードを安全に伝送するために用いられる場合がある)SSLセッションを確立するためにクライアント・サイドのデジタル証明書を用いることは、本明細書では、非証明書ベースの認証操作における証明書の使用とは見なされない。
ここで図7を参照すると、フローチャートは、本発明の実施形態に係るステップアップした証明書ベースの認証操作のための、サーバにおける具体的な処理の更なる詳細を示す。図7に示される処理は、主として、図6におけるステップ308〜312についての更なる詳細を提供するものである。図7の処理におけるステップは、サーバ・サイドのデータ処理システム、例えば図5において示される分散データ処理システムと同様のシステム内で行われ、説明を容易にするために、処理をその全体が1つのサーバ内で行われるよう説明するが、処理は、複数のサーバ、アプリケーション、及び/又は装置にわたって実装することができるであろう。本例は、HTTPメッセージ及びHTMLページの使用を説明するが、本発明は、他のプロトコル及びメッセージ/文書フォーマットをサポートするように実装することができる。
処理は、非証明書ベースの認証操作、例えば図6におけるステップ302〜306に示されるような非証明書ベースの認証操作がSSLセッションを介して行われた後で、サーバがクライアントからのリソース要求を受信することによって始まる(ステップ402)。したがって、サーバは、すでに該サーバとアクティブなセッションを確立したクライアントからリソース要求を受信したことを認識し、図3とは対照的に、該サーバは、認証操作を完了するように直ちにクライアントに求めるのではなく、該要求に応答することに進む。
次いで、サーバは、要求されたリソースへのアクセスが、クライアントとの間ですでに完了した非証明書ベースの認証操作によって提供された下位レベルのセキュリティではなく、証明書ベースの認証操作によって提供することができる上位レベルのセキュリティを必要とすることを決定する(ステップ404)。サーバは、本発明の範囲に影響を与えることなく、種々の処理を通じてこの決定を行うことができる。1つの例として、着信リソース要求は、図4におけるサーバ177などのプロキシ・サーバによって、フィルタをかけるか又は走査することができる。要求されたURIを着信要求メッセージから抽出した後で、抽出されたURIは、該抽出されたURIに関連するポリシーと照合される。関連するポリシーは、いずれかの認証要件又は他のセキュリティ手順を含む、URIに適切に応答するために実行されるべき適切な動作を示す。ポリシーが、要求に応答する前に証明書ベースの認証操作の完了が成功しなければならないことを示す場合、及び、要求しているクライアントとの間で証明書ベースの認証操作がまだ完了していない場合には、図7において示される処理の残りのステップに示すように、認証のレベルをステップアップするための手続きが開始される。この例においては、アプリケーション・サーバは、認証要件を認識していないが、他の実施形態は、本発明の範囲に影響を与えることなく、何らかの方法でアプリケーション・サーバを関与させることができる。
次いで、サーバは、ソフトウェア・モジュールをサーバからクライアントにダウンロードすること、及び/又は、クライアントにおいてソフトウェア・モジュールの実行を開始させることに進む(ステップ406)。ソフトウェア・モジュールをダウンロードする方法又は実行を開始させる方法は、変えることができる。第1の実施形態においては、サーバは、例えばクライアントからの初めの要求、すなわち証明書ベースの認証操作を必要とすることが決定された要求に対するHTTP応答メッセージのコンテンツ・ペイロードとして戻されるHTMLウェブ・ページ内にJavaアプレットを埋め込むことによって、アプレット又はプラグインをブラウザなどのクライアント・アプリケーションにダウンロードする。それに応答して、ブラウザは、そのアプレットをウェブ・ページの通常の解釈及び処理の一部として読み込む。
代替的な実施形態においては、サーバは、特定のMIME(Multipurpose Internet Mail Extension)タイプを有するコンテンツを含むことを示すメッセージ本文をクライアントに戻すことができる。それに応答して、クライアントのブラウザ・アプリケーションは、特定のMIMEタイプを処理することができるものとして以前にブラウザに登録された適切なプラグインを読み込む。幾つかの場合においては、特定のMIMEタイプについてのプラグインが登録されていない場合には、ブラウザは、適切なプラグインを探すようにユーザに指示する。このように、ブラウザは、サーバがソフトウェア・モジュールをクライアントにダウンロードする必要がないように、後述される処理ステップを行うことができるソフトウェア・モジュールを予め持つことができる。
いずれの場合においても、保護リソースについての要求を送信するクライアント・アプリケーションは、以前にアクティブにされたSSLセッションを維持し、サーバは、証明書ベースの認証手続きについてのクライアント・サイドのステップを行うソフトウェア・モジュールを該クライアント・アプリケーションに実行させるために、該SSLセッションを介して適切なメッセージを該クライアント・アプリケーションに送信するが、幾つかの場合においては、サーバはソフトウェア・モジュールをダウンロードすることもでき、別の場合においては、ソフトウェア・モジュールはすでにクライアントに存在しているものとすることができる。本発明は、標準的なインターネット関連プロトコル及び仕様に準拠するため、本発明は、クライアント・アプリケーションがサーバ・サイドの認証要件に応答するためのビルトイン機能を持つことを前提としないステップアップ認証操作の方法を提供する。サーバは、周知のインターネット関連技術及びワールド・ワイド・ウェブ関連技術を通じて、ブラウザ及び同様のクライアント・アプリケーションの拡張性を利用することによって、必要な機能を持つソフトウェア・モジュールを提供することができる。
引き続き図7を参照すると、サーバは、次に、ソフトウェア・モジュールによってデジタル署名されることになるチャレンジ・データをダウンロードする(ステップ408)。チャレンジ・データは、クライアントにおけるアプレット、プラグイン、又は他のソフトウェア・モジュール内にあり、該チャレンジ・データ上にデジタル署名を生成するデジタル署名アルゴリズムへの入力として用いることができる何らかのタイプのデータ項目である。チャレンジ・データのフォーマットは、使用されるデジタル署名アルゴリズムによって決まるものとすることができ、本発明は、1つ又は複数の標準的な又は専用のデジタル署名アルゴリズムをサポートすることができる。
サーバは、ダウンロードされるアプレットと共にチャレンジ・データをダウンロードすることができ、又は、チャレンジ・データは、後のメッセージに入れて送信することができる。代替的には、クライアントにおけるアプレット、プラグイン、又は他のソフトウェア・モジュールは、チャレンジ・データを要求することができ、サーバは、それに応答してチャレンジ・データを戻す。代替的には、クライアントは、例えばサーバによって以前にクライアントに戻されたキャッシュ済みウェブ・ページなどのチャレンジ・データをすでに持っている場合がある。
その後のいずれかの時点において、サーバは、クライアントからデジタル署名を受信し(ステップ410)、該サーバは、ユーザ/クライアントの適切な公開鍵証明書を用いて該デジタル署名を検証する(ステップ412)。サーバは、ディレクトリから公開鍵証明書を検索することができ、又は、公開鍵証明書は、クライアントからのデジタル署名を伴うメッセージを添付することができ、公開鍵証明書の信頼性は、認証局及び種々の証明書取り消し機構を通じて検証可能である。有効な公開鍵証明書に示される個人/エンティティのみが、公開鍵に対応する秘密鍵を所有するはずであるため、デジタル署名が検証された場合には、クライアントは、非対称の公開暗号鍵/秘密暗号鍵の対における公開鍵に対応する秘密鍵を所有しており、それによってクライアント/ユーザの識別情報を立証することを示している。デジタル署名の検証に成功した場合には、サーバは、否認防止を目的として、例えば、該デジタル署名の複製、検証可能なタイムスタンプ、及び該デジタル署名を受信したIPアドレスと共にデータベース記録を生成することによって、デジタル署名の受信を記録することができる(ステップ414)。デジタル署名の検証に成功することによって、証明書ベースの認証操作が完了し、結果として、サーバは、該サーバが証明書ベースの認証操作を試みる前にクライアントによって要求されたリソースへのアクセスを提供し(ステップ416)、それによって、図7に示される処理を終了する。
ここで図8を参照すると、フローチャートは、本発明の実施形態に係るステップアップした証明書ベースの認証操作のための、クライアントにおける処理を示す。サーバ・サイドの処理を示す図7とは対照的に、図8は、クライアント・サイドの処理を示す。処理は、クライアントがサーバとの間でSSLセッションをすでに確立し、該サーバとの間で非証明書ベースの認証操作を完了することに成功した後で、該クライアントがリソースについての要求メッセージを該サーバに送信することによって始まる(ステップ502)。要求に応答して、クライアントは、証明書ベースの認証操作をサポートするソフトウェア・モジュールを含むか、又はそのようなソフトウェア・モジュールの実行を開始させる、応答メッセージを受信する(ステップ504)。クライアントは、ブラウザなどのクライアント・アプリケーションによってサポートされる仮想マシン内で実行可能なJavaアプレットなどのアプレットを受信することができる。代替的に、クライアントは、特定のMIMEタイプのコンテンツを含むメッセージを受信し、それにより、クライアント・アプリケーションを作動させて、示されるMIMEタイプを有するオブジェクトを処理するプラグインを起動することができる。
さらに、クライアント・アプリケーションは、デジタル署名を生成する時に用いられるチャレンジ・データを受信することができる(ステップ506)。代替的に、クライアント・アプリケーションは、デジタル署名アルゴリズムへの入力として用いることができるデータ項目をすでに持っている場合もある。いずれの場合においても、クライアントによって用いられるデジタル署名アルゴリズムへの入力データは、該入力データ上に生成されるデジタル署名をサーバが検証するために、該サーバに知られていなければならない。したがって、デジタル署名アルゴリズムへの入力データは、クライアントによって選択され、それに続いて、例えば生成されたデジタル署名と共にSSLセッションを介してサーバに送ることができる。
クライアント・アプリケーションは、デジタル署名を生成することを開始させられた後、又はデジタル署名を生成することを決定した後のいずれかの時点において、デジタル署名を生成し(ステップ508)、該デジタル署名をサーバに送信する(ステップ510)。さらに、クライアント・アプリケーションは、タイムスタンプ、及び場合によっては否認防止手続きに役立つ他の情報と共に、デジタル署名の生成を記録することができる(ステップ512)。デジタル署名が適切に生成された場合には、クライアントは、以前に確立されたSSLセッションを介してステップアップした証明書ベースの認証操作を完了することに成功したことになり、次いでクライアントは、例えばウェブ・ページを受信することによって要求したリソースへのアクセスを受け(ステップ514)、それによりクライアント・サイドの処理を終了する。
デジタル署名を生成し、検証する方法は、本発明の範囲に影響を与えることなく、周知の規格又は専用の処理に従って変えることができる。例えば、以前に確立されたSSLセッションを介してステップアップした証明書ベースの認証処理を実行するというサーバの決定に応答して、クライアントのブラウザが、埋め込まれたアプレットを持つHTMLページを受信した時に、クライアント・サイドの処理を行うことができる。ブラウザは、ウェブ・ページを処理し、クライアント上のファイルなどの鍵データストアの識別子を、その鍵データストアのロックを解除するパスワードと共に入力するようにユーザに指示するアプレットを実行する。アプレットがユーザに指示する機構又は他の方法で作動する機構は、本発明の実装形態に応じて変えることができる。アプレットは、保留中の要求についてデジタル署名を作成する必要性を説明するブラウザ・ウィンドウ内のウェブ・ページを提示することによってユーザに指示することができ、提示されたウェブ・ページは、ユーザがデジタル署名についての要求を承認又は非承認とすることができるようにするOKボタン及びキャンセル・ボタンを有することができる。さらに、提示されたウェブ・ページは、ユーザがチャレンジ・データを見直すことができるように、署名されている該チャレンジ・データを確認表示することができる。
典型的には、鍵データストアは、非対称暗号機能のための秘密鍵/公開鍵対のうちの秘密鍵を保持する。鍵データストアは、ブラウザ・アプリケーション、アプレット、又はクライアント・オペレーション・システムといった種々のエンティティによって管理することができる。ブラウザは、暗号情報の使用に関する種々の規格に準拠するものとすることができる。例えば、「PKCS#7:Cryptographic Message Syntax」、RFC(Request for Comments)2315、Internet Engineering Task Force(IETF)は、デジタル署名及びデジタル・エンベロープなどのデータに適用される暗号方式を有するデータについての一般的な構文を記述するPKCS(Public Key Cryptographic System)仕様である。別の例として、「PKCS#11:Cryptographic Token Interface Standard」、RSA Security, Inc.は、暗号情報を保持し、暗号機能を実行する装置のためのアプリケーション・プログラミング・インターフェース(API)を記述するPKCS仕様である。
ユーザが、要求された情報を入力し、該ユーザの秘密鍵の使用を承認することを示した後で、アプレットは、好ましくはWorld Wide Web Consortium(W3C)によって標準化されたXMLデジタル署名の形式で、デジタル署名を生成する。デジタル署名は、続いて検証されることになるデータ項目の組、すなわちいわゆる「署名情報」に適切な署名アルゴリズムを適用することによって作成され、このシナリオにおいては、署名されたデータは、最低限は、チャレンジ・データを含むことになる。XML署名は、デジタル署名を検証するのに用いられるべきユーザの公開鍵証明書を含むことができる、いわゆる「キー情報」も含む。次いで、アプレットは、XML署名をウェブ・サーバに送信し、デジタル署名を生成する処理が完了する。
本発明の利点は、上述された詳細な説明を考慮すれば明らかとなるはずである。本発明は、ユーザ名/パスワードの組み合わせといった下位レベルの非証明書ベースの認証手続きについてクライアントとサーバとの間にSSLセッションが確立された場合に、認証サービスとユーザのブラウザ又は同様のクライアント・アプリケーションとの間で相互認証されたアクティブなSSLセッションを維持しながら、下位レベルの非証明書ベースの認証手続きから上位レベルの証明書ベースの認証手続きにステップアップするための認証操作を提供する。
本発明は、既存のSSLセッションを介してユーザ又はユーザのクライアント装置についての証明書ベースの認証手続きを実行するサーバ・サイドの認証サービスを持つことによって、この問題への解決策を提供する。認証サービスは、必要に応じて、既存のSSLセッションを介して実行可能モジュールをクライアントにダウンロードする。次いで、実行可能モジュールは、クライアント・サイドのデジタル証明書を用いてデジタル署名を生成し、該デジタル署名は、以前に確立されたSSLセッションを介して戻される。認証サービスがデジタル署名を検証した後、証明書ベースの認証手続きは完了する。このようにして、認証サービスは、既存のSSLセッションを終了又は再折衝する必要なく、証明書ベースの認証にステップアップすることができる。
完全に機能するデータ処理システムを背景として本発明を説明したが、当業者であれば、本発明の処理は、配布を行うのに実際に用いられる特定のタイプの信号支持媒体に関わらず、コンピュータ可読媒体内の命令の形態で、及び他の様々な形態で、配布できることが分かるであろうということに留意することが重要である。コンピュータ可読媒体の例には、EPROM、ROM、テープ、紙、フロッピー(商標)ディスク、ハード・ディスク・ドライブ、RAM、及びCD−ROMなどの媒体、並びに、デジタル通信リンク及びアナログ通信リンクなどの伝送タイプの媒体が含まれる。
方法は、一般に、所望の結果に至る自己矛盾のない一連のステップであると理解される。これらのステップは、物理量の物理的な操作を必要とする。必須ではないが通常は、これらの量は、格納するか、転送するか、組み合わせるか、比較するか、又は他の方法で操作することが可能な電気的信号又は磁気的信号の形態をとる。時には、主に一般的な用法であるという理由で、これらの信号を、ビット、値、パラメータ、項目、要素、記号、文字、語、数などと呼ぶのが都合がよい。しかしながら、これらの用語の全て及び同様の用語は、適切な物理量と関連付けられるものであり、これらの量に付される都合の良いラベルに過ぎないことに留意されたい。
本発明の説明は、例示の目的で提示されたものであって、包括的であること、又は、開示された実施形態に限定されることを意図するものではない。当業者であれば、多くの修正及び変形が明らかであろう。本実施形態は、本発明の原理及びその実際の用途を説明するために、並びに、考え得る他の用途に適合するような種々の修正を伴う種々の実施形態を実施するために当業者以外の者が本発明を理解することが可能になるように、選択されたものである。
Claims (2)
- 認証操作を実行するための方法であって、
クライアント装置からの第1のリソース要求をサーバで受信するステップと、
前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアント装置との間にSSL(Secure Sockets Layer)セッションを確立するステップと、
前記SSLセッションを介して前記サーバと前記クライアント装置との間で前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアント装置に第1のリソース応答を送信するステップと、
前記クライアント装置からの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信するステップと、
前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバによって前記クライアント装置において実行可能モジュールの実行を開始させるステップと、
前記クライアント装置においてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバで受信するステップと、
前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアント装置に第2のリソース応答を送信するステップと、
を含む方法。 - 認証操作を実行するための方法であって、
クライアント装置からの第1のリソース要求をサーバで受信するステップと、
前記第1のリソース要求に応答する前に前記第1のリソース要求が非証明書ベースの認証操作の完了を必要とすると決定したことに応答して、前記サーバと前記クライアント装置との間にSSL(Secure Sockets Layer)セッションを確立するステップと、
前記SSLセッションを介して非証明書ベースの認証操作を実行するステップと、
前記非証明書ベースの認証操作を実行することに成功したことに応答して、前記サーバから前記クライアント装置に第1のリソース応答を送信するステップと、
前記非証明書ベースの認証操作を実行した後で、前記クライアント装置からの第2のリソース要求を、前記SSLセッションを介して前記サーバで受信するステップと、
前記第2のリソース要求が証明書ベースの認証手続きを必要とすると決定したことに応答して、前記SSLセッションを介して前記サーバから前記クライアント装置に実行可能モジュールをダウンロードするステップと、
前記クライアント装置においてデジタル証明書を用いて前記実行可能モジュールによって生成されたデジタル署名を、前記SSLセッションを介して前記サーバで受信するステップと、
前記サーバにおいて前記デジタル署名を検証することに成功したことに応答して、前記サーバから前記クライアント装置に第2のリソース応答を送信するステップと、
を含む方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/621,927 US7395424B2 (en) | 2003-07-17 | 2003-07-17 | Method and system for stepping up to certificate-based authentication without breaking an existing SSL session |
| US10/621,927 | 2003-07-17 | ||
| PCT/EP2004/051435 WO2005015872A1 (en) | 2003-07-17 | 2004-07-09 | Method and system for stepping up to certificate-based authentication without breaking an existing ssl session |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2009514262A JP2009514262A (ja) | 2009-04-02 |
| JP2009514262A5 JP2009514262A5 (ja) | 2009-06-25 |
| JP4886508B2 true JP4886508B2 (ja) | 2012-02-29 |
Family
ID=34063095
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006519925A Expired - Lifetime JP4886508B2 (ja) | 2003-07-17 | 2004-07-09 | 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7395424B2 (ja) |
| EP (1) | EP1661362B1 (ja) |
| JP (1) | JP4886508B2 (ja) |
| KR (1) | KR100946110B1 (ja) |
| CN (1) | CN100534092C (ja) |
| AT (1) | ATE446638T1 (ja) |
| CA (1) | CA2528486C (ja) |
| DE (1) | DE602004023728D1 (ja) |
| WO (1) | WO2005015872A1 (ja) |
Families Citing this family (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7403995B2 (en) * | 2003-01-08 | 2008-07-22 | Outhink, Inc. | Symmetrical bi-directional communication |
| JP2004334330A (ja) * | 2003-04-30 | 2004-11-25 | Sony Corp | 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体 |
| US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
| US20050228999A1 (en) * | 2004-04-09 | 2005-10-13 | Arcot Systems, Inc. | Audit records for digitally signed documents |
| US8185945B1 (en) * | 2005-03-02 | 2012-05-22 | Crimson Corporation | Systems and methods for selectively requesting certificates during initiation of secure communication sessions |
| US8397287B2 (en) * | 2006-08-21 | 2013-03-12 | Citrix Systems, Inc. | Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute |
| US8943304B2 (en) * | 2006-08-03 | 2015-01-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| US9692725B2 (en) | 2005-05-26 | 2017-06-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| US9407608B2 (en) | 2005-05-26 | 2016-08-02 | Citrix Systems, Inc. | Systems and methods for enhanced client side policy |
| US9621666B2 (en) | 2005-05-26 | 2017-04-11 | Citrix Systems, Inc. | Systems and methods for enhanced delta compression |
| US20060294366A1 (en) * | 2005-06-23 | 2006-12-28 | International Business Machines Corp. | Method and system for establishing a secure connection based on an attribute certificate having user credentials |
| NL1030558C2 (nl) * | 2005-11-30 | 2007-05-31 | Sdu Identification Bv | Systeem en werkwijze voor het aanvragen en verstrekken van een autorisatiedocument. |
| US8316429B2 (en) * | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
| FR2897489B1 (fr) * | 2006-02-15 | 2008-04-25 | Credit Lyonnais Sa | Authentification en toute confiance d'un utilisateur par un serveur |
| US20070283142A1 (en) * | 2006-06-05 | 2007-12-06 | Microsoft Corporation | Multimode authentication using VOIP |
| US20070283143A1 (en) * | 2006-06-06 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for certificate-based client registration via a document processing device |
| US8566925B2 (en) * | 2006-08-03 | 2013-10-22 | Citrix Systems, Inc. | Systems and methods for policy based triggering of client-authentication at directory level granularity |
| US8413229B2 (en) | 2006-08-21 | 2013-04-02 | Citrix Systems, Inc. | Method and appliance for authenticating, by an appliance, a client to access a virtual private network connection, based on an attribute of a client-side certificate |
| US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
| US20080091817A1 (en) * | 2006-10-12 | 2008-04-17 | Technology Patents, Llc | Systems and methods for locating terrorists |
| US8051475B2 (en) * | 2006-11-01 | 2011-11-01 | The United States Of America As Represented By The Secretary Of The Air Force | Collaboration gateway |
| US20080215675A1 (en) * | 2007-02-01 | 2008-09-04 | Worklight Ltd. | Method and system for secured syndication of applications and applications' data |
| US8234490B2 (en) * | 2007-06-27 | 2012-07-31 | Globalsign K.K. | Server certificate issuing system |
| CN100512313C (zh) * | 2007-08-08 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
| CN101388771B (zh) * | 2007-09-10 | 2010-12-15 | 捷德(中国)信息科技有限公司 | 一种下载数字证书的方法和系统 |
| CN101388772B (zh) * | 2007-09-10 | 2011-11-30 | 捷德(中国)信息科技有限公司 | 一种数字签名方法和系统 |
| US8230435B2 (en) | 2008-02-12 | 2012-07-24 | International Business Machines Corporation | Authenticating a processing system accessing a resource |
| US8412932B2 (en) * | 2008-02-28 | 2013-04-02 | Red Hat, Inc. | Collecting account access statistics from information provided by presence of client certificates |
| US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
| US20100031312A1 (en) * | 2008-07-29 | 2010-02-04 | International Business Machines Corporation | Method for policy based and granular approach to role based access control |
| JP4252620B1 (ja) * | 2008-08-27 | 2009-04-08 | グローバルサイン株式会社 | サーバ証明書発行システム |
| JP2010108237A (ja) * | 2008-10-30 | 2010-05-13 | Nec Corp | 情報処理システム |
| US8924707B2 (en) * | 2009-04-28 | 2014-12-30 | Hewlett-Packard Development Company, L.P. | Communicating confidential information between an application and a database |
| US8418079B2 (en) | 2009-09-01 | 2013-04-09 | James J. Nicholas, III | System and method for cursor-based application management |
| US8887264B2 (en) * | 2009-09-21 | 2014-11-11 | Ram International Corporation | Multi-identity access control tunnel relay object |
| JP5105291B2 (ja) * | 2009-11-13 | 2012-12-26 | セイコーインスツル株式会社 | 長期署名用サーバ、長期署名用端末、長期署名用端末プログラム |
| US10015286B1 (en) | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
| JP2012043154A (ja) * | 2010-08-18 | 2012-03-01 | Canon Inc | 情報処理装置及びその制御方法 |
| US20120079278A1 (en) * | 2010-09-28 | 2012-03-29 | Microsoft Corporation | Object security over network |
| CN101964800B (zh) * | 2010-10-21 | 2015-04-22 | 神州数码网络(北京)有限公司 | 一种在ssl vpn中对数字证书用户认证的方法 |
| JP5569440B2 (ja) * | 2011-03-11 | 2014-08-13 | ブラザー工業株式会社 | 通信装置およびコンピュータプログラム |
| CA2831617C (en) * | 2011-04-01 | 2018-06-26 | Clawd Technologies Inc. | System, method, server and computer-readable medium for real-time verification of a status of a member of an organization |
| JP5417628B2 (ja) * | 2011-04-08 | 2014-02-19 | 株式会社日立製作所 | 署名サーバ、署名システム、および、署名処理方法 |
| US8584224B1 (en) * | 2011-04-13 | 2013-11-12 | Symantec Corporation | Ticket based strong authentication with web service |
| CN102195781B (zh) * | 2011-05-30 | 2013-07-10 | 武汉理工大学 | 一种基于电子记录关联签名的电子证据取证系统 |
| US9047456B2 (en) | 2012-03-20 | 2015-06-02 | Canon Information And Imaging Solutions, Inc. | System and method for controlling access to a resource |
| US9165126B1 (en) * | 2012-10-30 | 2015-10-20 | Amazon Technologies, Inc. | Techniques for reliable network authentication |
| US10205750B2 (en) * | 2013-03-13 | 2019-02-12 | Intel Corporation | Policy-based secure web boot |
| US9762567B2 (en) | 2013-03-14 | 2017-09-12 | Hewlett-Packard Development Company, L.P. | Wireless communication of a user identifier and encrypted time-sensitive data |
| US9288208B1 (en) | 2013-09-06 | 2016-03-15 | Amazon Technologies, Inc. | Cryptographic key escrow |
| US9130996B1 (en) | 2014-03-26 | 2015-09-08 | Iboss, Inc. | Network notifications |
| US9300656B2 (en) * | 2014-08-21 | 2016-03-29 | International Business Machines Corporation | Secure connection certificate verification |
| US10250594B2 (en) | 2015-03-27 | 2019-04-02 | Oracle International Corporation | Declarative techniques for transaction-specific authentication |
| US10225283B2 (en) | 2015-10-22 | 2019-03-05 | Oracle International Corporation | Protection against end user account locking denial of service (DOS) |
| US10257205B2 (en) * | 2015-10-22 | 2019-04-09 | Oracle International Corporation | Techniques for authentication level step-down |
| US10164971B2 (en) | 2015-10-22 | 2018-12-25 | Oracle International Corporation | End user initiated access server authenticity check |
| WO2017070412A1 (en) | 2015-10-23 | 2017-04-27 | Oracle International Corporation | Password-less authentication for access management |
| JP6108246B2 (ja) * | 2015-11-04 | 2017-04-05 | ブラザー工業株式会社 | プリンタ |
| JP6551176B2 (ja) * | 2015-11-10 | 2019-07-31 | 富士通株式会社 | 認証制御方法、認証プログラム、エージェントプログラム、サーバ装置、及びクライアント装置 |
| EP3542274A1 (en) * | 2016-11-18 | 2019-09-25 | Veritas Technologies LLC | Systems and methods for performing secure backup operations |
| US11107068B2 (en) | 2017-08-31 | 2021-08-31 | Bank Of America Corporation | Inline authorization structuring for activity data transmission |
| US10523658B2 (en) * | 2017-09-05 | 2019-12-31 | Citrix Systems, Inc. | Securing a data connection for communicating between two end-points |
| EP3544252A1 (en) * | 2018-03-19 | 2019-09-25 | Virtual Solution AG | Methods and apparatus for controlling application-specific access to a secure network |
| US11005971B2 (en) * | 2018-08-02 | 2021-05-11 | Paul Swengler | System and method for user device authentication or identity validation without passwords or matching tokens |
| AU2019351911A1 (en) | 2018-10-02 | 2021-02-25 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US11288399B2 (en) * | 2019-08-05 | 2022-03-29 | Visa International Service Association | Cryptographically secure dynamic third party resources |
| FR3111203B1 (fr) * | 2020-06-08 | 2023-02-10 | Evidian | Dispositif informatique et procédé pour l’authentification d’un utilisateur |
| CN111970301B (zh) * | 2020-08-27 | 2022-11-04 | 北京浪潮数据技术有限公司 | 一种容器云平台安全通信系统 |
| CN112751825B (zh) * | 2020-12-07 | 2022-09-16 | 湖南麒麟信安科技股份有限公司 | 基于ssl证书的软件源发布权限控制方法及系统 |
| US11341796B1 (en) | 2021-01-04 | 2022-05-24 | Bank Of America Corporation | System for secure access and initiation using a remote terminal |
| CN113032829B (zh) * | 2021-03-26 | 2022-06-10 | 山东英信计算机技术有限公司 | 多通道并发的文件权限管理方法、装置、服务器和介质 |
| CN113347010B (zh) * | 2021-08-05 | 2021-11-05 | 深圳市财富趋势科技股份有限公司 | 基于ssl-tls协议的双向认证方法、系统 |
| CN117544318B (zh) * | 2023-11-29 | 2024-10-01 | 中金金融认证中心有限公司 | 协同签名增强认证方法及增强认证系统 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6380365A (ja) * | 1986-09-24 | 1988-04-11 | Hitachi Ltd | 端末装置における不正取引防止方法 |
| JP3505058B2 (ja) * | 1997-03-28 | 2004-03-08 | 株式会社日立製作所 | ネットワークシステムのセキュリティ管理方法 |
| US6094485A (en) | 1997-09-18 | 2000-07-25 | Netscape Communications Corporation | SSL step-up |
| GB2337671B (en) | 1998-05-16 | 2003-12-24 | Ibm | Security mechanisms in a web server |
| AU1236800A (en) | 1998-10-30 | 2000-05-22 | Lockstar, Inc. | Secure authentication for access to back-end resources |
| US6367009B1 (en) | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| MXPA01011969A (es) * | 1999-05-21 | 2005-02-17 | Ibm | Metodo y aparato para iniciar comunicaciones seguras entre y exclusivamente para dispositivos inalambricos en pares. |
| US6584567B1 (en) * | 1999-06-30 | 2003-06-24 | International Business Machines Corporation | Dynamic connection to multiple origin servers in a transcoding proxy |
| US6609198B1 (en) | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US6928550B1 (en) * | 2000-01-06 | 2005-08-09 | International Business Machines Corporation | Method and system for generating and using a virus free file certificate |
| JP2001202437A (ja) * | 2000-01-20 | 2001-07-27 | Kyocera Communication Systems Co Ltd | サービスシステム |
| US20020029350A1 (en) * | 2000-02-11 | 2002-03-07 | Cooper Robin Ross | Web based human services conferencing network |
| AU2001255183A1 (en) | 2000-04-14 | 2001-10-30 | Wu Wen | Delayed commitment scheme to prevent attacks based on compromised certificates |
| JP2002007345A (ja) * | 2000-06-16 | 2002-01-11 | Osaka Gas Co Ltd | ユーザ認証方法 |
| US7134137B2 (en) * | 2000-07-10 | 2006-11-07 | Oracle International Corporation | Providing data to applications from an access system |
| WO2002039237A2 (en) | 2000-11-09 | 2002-05-16 | International Business Machines Corporation | Method and system for web-based cross-domain single-sign-on authentication |
| EP1391073B8 (en) | 2001-05-01 | 2018-09-05 | OneSpan International GmbH | Method and system for increasing security of a secure connection |
| US6920556B2 (en) | 2001-07-20 | 2005-07-19 | International Business Machines Corporation | Methods, systems and computer program products for multi-packet message authentication for secured SSL-based communication sessions |
| GB2378010A (en) | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Mulit-Domain authorisation and authentication |
| CN1268088C (zh) * | 2001-11-29 | 2006-08-02 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
-
2003
- 2003-07-17 US US10/621,927 patent/US7395424B2/en active Active
-
2004
- 2004-07-09 JP JP2006519925A patent/JP4886508B2/ja not_active Expired - Lifetime
- 2004-07-09 AT AT04766174T patent/ATE446638T1/de not_active IP Right Cessation
- 2004-07-09 KR KR1020067000100A patent/KR100946110B1/ko not_active IP Right Cessation
- 2004-07-09 CN CNB2004800203123A patent/CN100534092C/zh not_active Expired - Lifetime
- 2004-07-09 DE DE602004023728T patent/DE602004023728D1/de not_active Expired - Lifetime
- 2004-07-09 EP EP04766174A patent/EP1661362B1/en not_active Expired - Lifetime
- 2004-07-09 WO PCT/EP2004/051435 patent/WO2005015872A1/en active Search and Examination
- 2004-07-09 CA CA2528486A patent/CA2528486C/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| ATE446638T1 (de) | 2009-11-15 |
| KR20060032625A (ko) | 2006-04-17 |
| EP1661362B1 (en) | 2009-10-21 |
| EP1661362A1 (en) | 2006-05-31 |
| DE602004023728D1 (de) | 2009-12-03 |
| WO2005015872A1 (en) | 2005-02-17 |
| CA2528486A1 (en) | 2005-02-17 |
| US7395424B2 (en) | 2008-07-01 |
| KR100946110B1 (ko) | 2010-03-10 |
| US20050015594A1 (en) | 2005-01-20 |
| JP2009514262A (ja) | 2009-04-02 |
| CA2528486C (en) | 2012-07-24 |
| CN100534092C (zh) | 2009-08-26 |
| CN1823513A (zh) | 2006-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4886508B2 (ja) | 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム | |
| US7496755B2 (en) | Method and system for a single-sign-on operation providing grid access and network access | |
| US9143502B2 (en) | Method and system for secure binding register name identifier profile | |
| KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
| US8185938B2 (en) | Method and system for network single-sign-on using a public key certificate and an associated attribute certificate | |
| JP5030967B2 (ja) | 認証方法を拡張するための方法及びシステム | |
| EP2545482B1 (en) | Secure dynamic authority delegation | |
| JP4988701B2 (ja) | ランタイム・ユーザ・アカウント作成オペレーションのための方法、装置、およびコンピュータ・プログラム | |
| JP4370258B2 (ja) | ユーザ・セッションを管理するための方法、データ処理システム、およびコンピュータ・プログラム(異機種連携環境における統合サインオフのための方法およびシステム) | |
| US20060294366A1 (en) | Method and system for establishing a secure connection based on an attribute certificate having user credentials | |
| US20060021004A1 (en) | Method and system for externalized HTTP authentication | |
| US20060277596A1 (en) | Method and system for multi-instance session support in a load-balanced environment | |
| EP1961185A1 (en) | Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider | |
| KR100992016B1 (ko) | 데이터 프로세싱 시스템 내에 연합 기능성을 제공하는 방법및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090501 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20090501 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20090512 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090609 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090908 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091006 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100205 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100216 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20100312 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111025 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111209 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141216 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4886508 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| EXPY | Cancellation because of completion of term |