JP5021215B2 - Webサービス用の信頼できる第三者認証 - Google Patents

Webサービス用の信頼できる第三者認証 Download PDF

Info

Publication number
JP5021215B2
JP5021215B2 JP2006037065A JP2006037065A JP5021215B2 JP 5021215 B2 JP5021215 B2 JP 5021215B2 JP 2006037065 A JP2006037065 A JP 2006037065A JP 2006037065 A JP2006037065 A JP 2006037065A JP 5021215 B2 JP5021215 B2 JP 5021215B2
Authority
JP
Japan
Prior art keywords
web service
service
token
instance
session key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006037065A
Other languages
English (en)
Other versions
JP2006260538A5 (ja
JP2006260538A (ja
Inventor
シー.チョン フレデリック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006260538A publication Critical patent/JP2006260538A/ja
Publication of JP2006260538A5 publication Critical patent/JP2006260538A5/ja
Application granted granted Critical
Publication of JP5021215B2 publication Critical patent/JP5021215B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B09DISPOSAL OF SOLID WASTE; RECLAMATION OF CONTAMINATED SOIL
    • B09BDISPOSAL OF SOLID WASTE NOT OTHERWISE PROVIDED FOR
    • B09B3/00Destroying solid waste or transforming solid waste into something useful or harmless
    • B09B3/40Destroying solid waste or transforming solid waste into something useful or harmless involving thermal treatment, e.g. evaporation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • AHUMAN NECESSITIES
    • A23FOODS OR FOODSTUFFS; TREATMENT THEREOF, NOT COVERED BY OTHER CLASSES
    • A23KFODDER
    • A23K10/00Animal feeding-stuffs
    • A23K10/10Animal feeding-stuffs obtained by microbiological or biochemical processes
    • A23K10/12Animal feeding-stuffs obtained by microbiological or biochemical processes by fermentation of natural products, e.g. of vegetable material, animal waste material or biomass
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D88/00Large containers
    • B65D88/26Hoppers, i.e. containers having funnel-shaped discharge sections
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F26DRYING
    • F26BDRYING SOLID MATERIALS OR OBJECTS BY REMOVING LIQUID THEREFROM
    • F26B21/00Arrangements or duct systems, e.g. in combination with pallet boxes, for supplying and controlling air or gases for drying solid materials or objects
    • F26B21/001Drying-air generating units, e.g. movable, independent of drying enclosure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F26DRYING
    • F26BDRYING SOLID MATERIALS OR OBJECTS BY REMOVING LIQUID THEREFROM
    • F26B2200/00Drying processes and machines for solid materials characterised by the specific requirements of the drying good
    • F26B2200/04Garbage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Chemical & Material Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Polymers & Plastics (AREA)
  • Biotechnology (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Sustainable Development (AREA)
  • Food Science & Technology (AREA)
  • Animal Husbandry (AREA)
  • Physiology (AREA)
  • Molecular Biology (AREA)
  • Microbiology (AREA)
  • Biochemistry (AREA)
  • Health & Medical Sciences (AREA)
  • Zoology (AREA)
  • Physics & Mathematics (AREA)
  • Thermal Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Storage Device Security (AREA)
  • Multi Processors (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、コンピュータ化された認証、より具体的には、Webサービスの信頼できる第三者認証に関する。
コンピュータシステムおよび関係する技術は、社会の様々な側面に影響を及ぼしている。コンピュータシステムの情報処理能力は、実際にわれわれのライフスタイルと仕事のやり方を一変させた。例えば、コンピュータシステムは、コンピュータシステムの出現以前には通常は手作業で行われていた多数のタスク(例えば、文書処理、スケジューリング、およびデータベース管理など)を実行するためのソフトウェアアプリケーションを含む。コンピュータシステムは、さらに、コンピュータシステムが適切な動作状態を保つ、またはコンピュータシステムを適切な動作状態に戻せることを確実にできるメンテナンス、診断、およびセキュリティアプリケーション(例えば、バックアップアプリケーション、ヘルスチェッカー、ウイルス対策アプリケーション、ファイヤウォールなど)も含むことができる。例えば、ウイルス対策アプリケーションは、コンピュータシステムに危害が加えられる前にコンピュータウイルスを検出して除去することができる。
多くのコンピュータシステムは、さらに、通常、互いに結合され、また他の電子デバイスと結合され、コンピュータシステムおよび他の電子デバイスが電子データをやり取りできる有線と無線の両方のコンピュータネットワークを形成する。そのため、コンピュータシステムで実行される多くのタスク(例えば、音声通信、電子メールのアクセス、家庭用電子機器の制御、Webブラウジング、および文書の印刷)は、有線および/または無線コンピュータネットワークを介した多数のコンピュータシステムおよび/または他の電子デバイス間における電子メッセージの交換を含む。
ネットワークは、実際に、単純なネットワーク対応コンピュータシステムが、「インターネット」と呼ばれることが多いネットワーク集合体を経由して地球全体にわたって分散されている数百万台もの他のコンピューティングシステムのうちのどれかと通信できるという非常に生産性の高いものとなっている。このようなコンピューティングシステムとしては、デスクトップ、ラップトップ、またはタブレット型パーソナルコンピュータ、パーソナルデジタルアシスタント(PDA)、電話機、またはデジタルネットワーク経由で通信できる他のコンピュータまたはデバイスがある。
さらに、アプリケーションの機能は、数多くの異なるネットワーク接続コンピュータシステム間に広げる、つまり「分散」させることができる。つまり、アプリケーションの第1の部分は、第1のコンピュータシステムに常駐させ、アプリケーションの第2の部分は、第2のコンピュータシステムに常駐させる、というように配置でき、すべて共通のネットワークに接続される。これらの種類のアプリケーションは、通常、「分散アプリケーション」と呼ばれる。分散アプリケーションは、World Wide Web(「Web」)上において、特に広く行き渡っている。
異なるプラットフォーム間の相互運用性を発展させるために、Web上の分散アプリケーションは、1つまたは複数の業界規格に従って開発されることが多い。特に、Webサービスでは、インターネット上で拡張マークアップ言語(「XML」)、簡易オブジェクトアクセスプロトコル(「SOAP」)、Webサービス記述言語(「WSDL」)、および汎用記述発見統合(「UDDI」)オープンスタンダードを使用してWebベースのアプリケーションを統合する標準化された方法を記述する。XMLは、データのタグ付けに使用され、SOAPは、データの転送に使用され、WSDLは、使用可能なサービスを記述するために使用され、UDDIは、使用可能なサービスのリストを作成するために使用される。
Webサービスは、企業が互いにまたクライアントと通信するための手段として使用されることが多いが、Webサービスを利用すると、組織間で互いのITシステムを詳細に知らなくてもデータを通信できる。Webサービスは、ネットワーク間のプログラムインターフェースを通じてビジネスロジック、データおよびプロセスを共有する。Webサービス使用すると、時間がかかるカスタムコーディングを行わずに、異なるソースからの異なるアプリケーション同士が通信することができる。Webサービスは通信はXMLで行われるため、どのオペレーティングシステムまたはプログラミング言語にも縛られない。
しかし、Webサービス同士はネットワーク経由で、多くの場合、公衆通信回線によって通信するので、Webサービス間でデータを転送することに関連してセキュリティリスクが存在する。例えば、悪意あるユーザが、ネットワーク間でのデータ転送中にWebサービスデータの傍受を試みる場合がある。また、一方のWebサービスに偽装プログラムへのWebサービスデータの送信を実行させようと他方のWebサービスの素性を偽装するプログラムを実装する可能性がある。そこで、例えば、WS−security、WS−SecureConversation、およびWS−Trustなどの多数のWebサービス規格により、例えば、SOAPメッセージの署名および暗号化、さらにセキュリティトークンの要求および受信など、これらのセキュリティ問題の一部を解決するための基礎的要素を実現する。
しかしながら、Webサービス規格は、そのセキュリティ要件をすべて満たすためにWebサービスが依拠できるエンドツーエンドのセキュリティプロトコルを構成していない。つまり、共通アプリケーションセキュリティ要件を使用可能にするために異なるWebサービス規格を併用できる方法を記述する規範的方法がないということである。例えば、Webサービス群が、信頼するWebサービスの識別情報プロバイダ(identity provider)として機能する信頼できる第三者に対しユーザ認証責任(user authentication responsibility)を信頼して委任することができる、もしあるとすれば、限られたメカニズムがある。さらに、信頼できる第三者が、例えば、ユーザ名/パスワードおよびX.509証明書などの共通の認証メカニズムを通じてユーザを認証し、初期ユーザ認証を使用して、Webサービスとのその後の安全なセッションをブートストラップできるようにする、もしあるとすれば、限られたメカニズムがある。さらに、Webサービスが信頼できる第三者により発行されたサービスセッショントークンを使用してユーザ識別情報コンテキストを構成し、サービスサイドの分散キャッシュを使用しなくてもセキュリティ状態を再構成できるようにする、もしあるとすれば、限られたメカニズムがある。
したがって、Webサービスに対する信頼できる第三者認証を使いやすくするようなシステム、方法、およびコンピュータプログラム製品があれば有益であろう。
従来技術の前記の問題点は、Webサービスの信頼できる第三者認証のための方法、システム、およびコンピュータプログラム製品を対象とする本発明の原理により克服される。Webサービスコンポーネントは、認証要求を認証サービスに送信する。認証サービスは、その要求を受信すると、認証要求に含まれる認証データの正当性を確認する。
認証サービスは、Webサービスコンポーネントに認証応答を送信する。認証応答は、Webサービスコンポーネントとアクセス権付与サービスとの間の通信のセキュリティを確実にするための第1の対称セッション鍵の2つのインスタンスを含む。セッション鍵の第1のインスタンスは、第1の証明トークンの中に含まれ、Webサービスクライアントへの配信に関してセキュリティを保証される。セッション鍵の第2のインスタンスは、トークン付与トークンに含まれ、セキュリティトークンサービスの秘密対称鍵で暗号化される。
Webサービスコンポーネントは、認証応答を受信する。Webサービスコンポーネントは、Webサービスへのアクセスについてトークン付与トークンを含むアクセス要求をアクセス付与サービスに送信する。アクセス付与サービスは、そのアクセス要求を受信すると、Webサービスコンポーネントがトークン付与トークンの内容に基づきセキュリティトークンサービスに対する認証セッションを持つことを検証する。
アクセス付与サービスは、Webサービスコンポーネントにアクセス付与応答を送信する。アクセス付与応答は、WebサービスコンポーネントとWebサービスとの間の通信のセキュリティを確実にするための第2の対称セッション鍵の2つのインスタンスを含む。第2の対称セッション鍵の第1のインスタンスは、第1の対称セッション鍵で暗号化され、第2の証明トークンの中に入れられる。第2の対称セッション鍵の第2のインスタンスは、そのWebサービスに対応する公開/秘密鍵のペアからの公開鍵により暗号化され、サービストークンに含まれる。
Webサービスコンポーネントは、アクセス付与応答を受信する。Webサービスコンポーネントは、Webサービスコンポーネントおよびサービストークンの識別情報を含むセキュリティトークン要求をWebサービスに送信する。Webサービスは、セキュリティトークン要求を受信すると、公開/秘密鍵の対応する秘密鍵を使用して、サービストークンに含まれる第2の対称セッション鍵の第2のインスタンスを解読する。Webサービスでは、サービストークンの内容に基づきWebサービスコンポーネントがWebサービスにアクセスすることを許可する。
Webサービスは、WebサービスクライアントとWebサービスとの間の通信のセキュリティを保護するため、マスタ対称セッション鍵を生成する。Webサービスは、暗号化されたマスタ対称セッション鍵を生成するため第2の対称セッション鍵を使用してマスタ対称セッション鍵を暗号化する。Webサービスは、暗号化されたマスタ対称セッション鍵をセキュリティコンテキストトークンとともにセキュリティトークン応答に含める。Webサービスは、セキュリティトークン応答をWebサービスコンポーネントに送信し、マスタ対称セッション鍵から導出された導出対称セッション鍵を使用してWebサービスコンポーネントとWebサービスとの間の通信のセキュリティが保護されるようにできる。Webサービスコンポーネントは、セキュリティトークン応答を受信すると、第2の対称セッション鍵を使用して、マスタ対称セッション鍵を解読する。
本発明のこれらおよび他の目的および特徴は、以下の説明および付属の請求項を読むとよりいっそう明らかになる。あるいは、以下で述べているように本発明を実施することで学ぶことができる。
本発明の上記およびその他の利点および特徴をさらに明確にするために、付属の図面に例示されている本発明の特定の実施形態を参照しながら、本発明についてさらに具体的に説明する。これらの図面は、本発明の典型的な実施形態のみを示しており、したがって、本発明の範囲を制限するものとみなされないことは理解されるであろう。本発明は、付属の図面を使用して付加的な特異性および詳細と併せて説明される。
前述の従来技術における問題点は、Webサービスの信頼できる第三者認証のための方法、システム、およびコンピュータプログラム製品を対象とする本発明の原理により克服される。Webサービスコンポーネントは、認証要求を認証サービスに送信する。認証サービスは、その要求を受信すると、認証要求に含まれる認証データの正当性を確認する。
認証サービスは、Webサービスコンポーネントに認証応答を送信する。認証応答は、Webサービスコンポーネントとアクセス権付与サービスとの間の通信のセキュリティを確実にするための第1の対称セッション鍵の2つのインスタンスを含む。セッション鍵の第1のインスタンスは、第1の証明トークンの中に含まれ、Webサービスクライアントへの配信に関してセキュリティを保証される。セッション鍵の第2のインスタンスは、トークン付与トークンに含まれ、セキュリティトークンサービスの秘密対称鍵で暗号化される。
Webサービスコンポーネントは、認証応答を受信する。Webサービスコンポーネントは、Webサービスへのアクセスについてトークン付与トークンを含むアクセス要求をアクセス付与サービスに送信する。アクセス付与サービスは、そのアクセス要求を受信すると、Webサービスコンポーネントがトークン付与トークンの内容に基づきセキュリティトークンサービスに対する認証セッションを持つことを検証する。
アクセス付与サービスは、Webサービスコンポーネントにアクセス付与応答を送信する。アクセス付与応答は、WebサービスコンポーネントとWebサービスとの間の通信のセキュリティを確実にするための第2の対称セッション鍵の2つのインスタンスを含む。第2の対称セッション鍵の第1のインスタンスは、第1の対称セッション鍵で暗号化され、第2の証明トークンの中に入れられる。第2の対称セッション鍵の第2のインスタンスは、そのWebサービスに対応する公開/秘密鍵のペアからの公開鍵により暗号化され、サービストークンに含まれる。
Webサービスコンポーネントは、アクセス付与応答を受信する。Webサービスコンポーネントは、Webサービスコンポーネントおよびサービストークンの識別情報を含むセキュリティトークン要求をWebサービスに送信する。Webサービスは、セキュリティトークン要求を受信すると、公開/秘密鍵の対応する秘密鍵を使用して、サービストークンに含まれる第2の対称セッション鍵の第2のインスタンスを解読する。Webサービスでは、サービストークンの内容に基づきWebサービスコンポーネントがWebサービスにアクセスすることを許可する。
Webサービスは、WebサービスクライアントとWebサービスとの間の通信のセキュリティを保護するため、マスタ対称セッション鍵を生成する。Webサービスは、暗号化されたマスタ対称セッション鍵を生成するため第2の対称セッション鍵を使用して、マスタ対称セッション鍵を暗号化する。Webサービスは、暗号化されたマスタ対称セッション鍵をセキュリティコンテキストトークンとともにセキュリティトークン応答に含める。Webサービスは、セキュリティトークン応答をWebサービスコンポーネントに送信し、マスタ対称セッション鍵から導出された導出対称セッション鍵を使用して、WebサービスコンポーネントとWebサービスとの間の通信のセキュリティが保護されるようにできる。Webサービスコンポーネントは、セキュリティトークン応答を受信すると、第2の対称セッション鍵を使用して、マスタ対称セッション鍵を解読する。
本発明の範囲内の実施形態は、格納されているコンピュータ実行可能命令またはデータ構造体を搬送するまたは保持するためのコンピュータ読取り可能媒体も含む。そのようなコンピュータ読取り可能媒体は、汎用または専用コンピュータシステムからアクセスできる、使用可能な媒体とすることができる。例えば、限定はしないが、このようなコンピュータ読取り可能媒体は、RAM、ROM、EPROM、CD−ROM、または光ディスク記憶装置、磁気ディスク記憶装置またはその他の磁気記憶デバイス、またはコンピュータ実行可能命令、コンピュータ可読命令、またはデータ構造の形で所望のプログラムコード手段を搬送または格納するために使用でき、汎用または専用コンピュータシステムによりアクセス可能なその他の媒体を含むことができる。
この説明および請求項では、「ネットワーク」は、コンピュータシステムおよび/またはモジュール間での電子データの移送を可能にする1つまたは複数のデータリンクとして定義される。ネットワークまたは他の通信接続(有線、無線、または有線と無線の組合せ)を介して、情報がコンピュータシステムに転送または供給される場合、その接続はコンピュータ読取り可能媒体として適切にみなされる。したがって、そのような接続は、コンピュータ読取り可能媒体と呼んで差し支えない。上記の組合せも、コンピュータ読取り可能媒体の範囲に含めなければならない。コンピュータ実行可能命令は、例えば、汎用コンピュータシステムまたは専用コンピュータシステムに、特定の機能または機能群を実行させる命令およびデータを含む。コンピュータ実行可能命令は、例えば、バイナリ、アセンブリ言語などの中間形式命令であるか、またはソースコードであってもよい。
この説明および請求項では、「コンピュータシステム」は、電子データに対しオペレーションを実行するために連携動作する、1つもしくは複数のソフトウェアモジュール、1つもしくは複数のハードウェアモジュール、またはそれらの組合せとして定義される。例えば、コンピュータシステムの定義は、パーソナルコンピュータのハードウェアコンポーネントだけでなく、パーソナルコンピュータのオペレーティングシステムなどのソフトウェアモジュールも含む。これらのモジュールの物理的なレイアウトは、重要ではない。コンピュータシステムは、ネットワークを介して結合された1つまたは複数のコンピュータを含むことができる。同様に、コンピュータシステムは、内部モジュール(メモリおよびプロセッサなど)が連携して電子データに対しオペレーションを実行する単一の物理的デバイス(携帯電話またはPDAなど)を含むことができる。
当業者であれば、本発明がパーソナルコンピュータ、ラップトップコンピュータ、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家電製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、携帯電話、PDA、ポケベルなどを含む様々な種類のコンピュータシステム構成とともに、ネットワークコンピューティング環境内で実施できることを理解するであろう。また、本発明は、通信ネットワークを通じて(有線データリンク、無線データリンク、または有線と無線データリンクの組合せにより)リンクされているローカルおよびリモートコンピュータシステムの両方がタスクを実行する分散システム環境において実施することもできる。分散システム環境では、プログラムモジュールは、ローカルおよびリモートの両方のメモリ記憶デバイス内に配置され得る。
図1Aは、Webサービスの信頼できる第三者認証を容易にするコンピュータアーキテクチャ100の一実施例を示す図である。コンピュータアーキテクチャ100に示されているように、Webサービスクライアント101、セキュリティトークンサービス102、およびWebサービス108は、ネットワーク105に接続されている。ネットワーク105は、ローカルエリアネットワーク(「LAN」)、ワイドエリアネットワーク(「WAN」)とすることができ、さらにはインターネットとすることさえもできる。ネットワーク105に接続されたコンピュータシステムおよびモジュールは、ネットワーク105に接続されている他のコンピュータシステムおよびモジュールとの間でデータの送受信を行うことができる。したがって、Webサービスクライアント101、セキュリティトークンサービス102、およびWebサービス108だけでなく、他の接続されているコンピュータシステムおよびモジュール(図に示されていない)は、メッセージ関係データを作成し、ネットワーク105を経由してメッセージ関係データ(例えば、インターネットプロトコル(「IP」)データグラムおよび伝送制御プロトコル(「TCP」)、ハイパーテキスト転送プロトコル(「HTTP」)、簡易メール転送プロトコル(「SMTP」)などのIPデータグラムを使用する他の上位層のプロトコル)を交換することができる。例えば、Webサービスクライアント101およびWebサービス108は、SOAPエンベロープを作成し、ネットワーク105経由でSOAPエンベロープ(拡張可能マークアップ言語(「XML」)データを含む)を交換することができる。
コンピュータアーキテクチャ100内では、ラベル部分「Pu」を含む図面ラベルは、公開/秘密鍵ペアの公開鍵を示すために使用され、またラベル部分「Pr」を含む図面ラベル、公開/秘密鍵ペアの秘密鍵を示すために使用されることは理解されるであろう。さらに、ラベル部分PuまたはPrを含む類似の番号が振られている図面ラベルは、同じ公開/秘密鍵ペアのそれぞれの公開鍵または対応する秘密鍵を指す。そのため、2つの異なる公開/秘密鍵ペアが、コンピュータアーキテクチャ100内に示される。一方の公開/秘密鍵ペアは、公開鍵163Pu/秘密鍵163Prとして示され、他方の公開/秘密鍵ペアは、公開鍵164Pu/秘密鍵164Prとして示される。公開/秘密鍵ペアは、公開鍵インフラストラクチャ(「PKI」)の一部とすることができる。
秘密鍵163Prは、セキュリティトークンサービス102に対応する秘密鍵とすることができる。したがって、Webサービスクライアント101およびWebサービス108に対し、対応する公開鍵である公開鍵163Puへのアクセス権を与えることができる。同様に、秘密鍵164Prは、Webサービス108に対応する秘密鍵とすることができる。したがって、Webサービスクライアント101およびセキュリティトークンサービス102に対し、対応する公開鍵である公開鍵164Puへのアクセス権を与えることができる。したがって、セキュリティトークンサービス102、Webサービスクライアント101、Webサービス108は、公開/秘密鍵ペア公開鍵163Pu/秘密鍵163Prおよび公開鍵164Pu/秘密鍵164Prを使用してデータの署名、署名の正当性の確認、データの暗号化、およびデータの解読を適宜行うようにできる。
コンピュータアーキテクチャ100内では、ラベル部分「Dr」を含む描画ラベルは、他の対称鍵から導出されなければならない導出された対称鍵を指すために使用されることは理解されるであろう。例えば、図1Bを簡単に参照すると、導出されたクライアント/STSセッション鍵114Drは、クライアント/STSセッション鍵114から導出される。したがって、セキュリティトークンサービス102、Webサービスクライアント101、Webサービス108は、さらに、(場合によっては導出される)対称鍵(例えば、セッション鍵)を使用してデータの署名、署名の正当性の確認、データの暗号化、およびデータの解読を行うようにもできる。対称鍵は、コンピュータアーキテクチャ100内のコンポーネント間で共有することができるし、または特定のコンポーネントへの秘密を維持することもできる。例えば、セキュリティトークンサービス102は、秘密の対称鍵161を保持できる。
セキュリティトークンサービス102は、認証サービス103およびアクセス付与サービス106を含む。認証サービス103は、Webサービスコンポーネント(例えば、Webサービスクライアント101)から認証要求を受信し、Webサービスコンポーネントを認証し、認証応答を要求側Webサービスコンポーネントに返すように構成される。認証モジュール103は、Webサービスコンポーネントを認証するために、例えば、信用証明データベースまたは証明書正当性確認データなどの認証データ104を参照することができる。アクセス付与サービス106は、Webサービスコンポーネントからアクセス付与要求を受信し、アクセス権をWebサービスに付与すべきかどうかを判定し、アクセス付与応答を要求側Webサービスコンポーネントに返すように構成される。アクセス付与サービス106は、アクセスを付与すべきかどうかを判定するために、例えば、Webサービス管理者により設定されたポリシーセットなどのポリシーデータ107を参照することができる。
Webサービスクライアント101は、分散アプリケーションのクライアント部分とすることができる。信頼191は、Webサービスクライアント101がセキュリティトークンサービス102との確立された信頼関係を持つことを表す。つまり、Webサービスクライアント101は、セキュリティトークンサービス102を信頼する。信頼191は、事前に設定できる、および/または帯域外の通信から得られる。例えば、信頼191は、対称鍵信頼またはX.509証明書信頼とすることができる。
Webサービス108は、分散アプリケーションのサーバ部分とすることができる。いくつかの実施形態では、Webサービス108は、例えば、インスタンス108A、108B、および108Cなどの複数のWebサービスインスタンスを含む、Webサービスファームである。それぞれのインスタンス108A、108B、および108Cに接続されているWebサービスクライアントの状態情報を、状況に応じて分散キャッシュ109内に保持し、Webサービスクライアントがインスタンス108A、108B、および108Cの間の遷移を効率よく行えるようにできる。
信頼192は、Webサービス108がセキュリティトークンサービス102との確立された信頼関係を持つことを表す。つまり、Webサービス108は、セキュリティトークンサービス102を信頼する。信頼192は、事前に設定できる、および/または帯域外の通信から得られる。例えば、信頼192は、対称鍵信頼またはX.509証明書信頼とすることができる。
図1Bは、コンピュータアーキテクチャ100からWebサービスクライアント101およびセキュリティトークンサービス102の別の記述を示している。図1Bは、さらに、Webサービスクライアント101とセキュリティトークンサービス102との間で(例えば、ネットワーク105を介して)交換される多数の電子メッセージも表す。示されているように、図1Bのデータ要素の一部には、かっこで囲まれた説明が付随している。例えば、署名119は、かっこで囲まれた説明「(秘密対称鍵161)」を含む。これらのかっこで囲まれた説明は、暗号化されたデータの暗号化または署名入りデータの署名に使用された鍵またはデータのセキュリティ保護方法を示すために使用される。
したがって、署名119に戻ると、かっこで囲まれた説明「(秘密対称鍵161)」は、秘密対称鍵161が署名119の生成に使用されたことを示す。同様に、暗号化されたクライアントサービスセッション鍵131Bを参照すると、そこでは、かっこで囲まれた説明「(公開鍵164Pu)」は、公開鍵164Puが暗号化されたクライアントサービスセッション鍵131Bを暗号化するために使用されたことを示す。次に、セキュリティ保護されているクライアント/STSセッション鍵114Aを参照すると、かっこで囲まれた説明「(セキュアチャネルまたはX.509)」は、セキュリティ保護されたクライアント/STSセッション鍵114が、セキュアチャネルを経由してまたはX.509証明書内で公開鍵を使用してセキュリティ保護されていることを示す。
図2は、Webサービスにアクセスするためのサービストークンを取得する方法200の例のフロー図である。方法200は、図1B内のコンポーネントおよびデータに関して説明される。
方法200は、認証要求を送信する行為(act)を含む(行為201)。例えば、Webサービスクライアント101は、認証要求111を認証サービス103に送信することができる。認証要求111は、例えば、HTTPSなどのセキュアチャネルを使用して保護されているユーザ名およびパスワードを含むことができる。それとは別に、認証要求111は、Webサービスクライアント101に対応する秘密鍵(図に示されていない)で署名されているX.509証明書を含むことができる。
方法200は、認証要求を受信する行為を含む(行為205)。例えば、認証サービス103は、認証要求111を受信することができる。方法200は、認証データの正当性を確認する行為を含む(行為206)。例えば、認証サービス103は、認証要求111に含まれるユーザ名およびパスワードを認証データ104(例えば、信用証明データベース)と比較することができる。それとは別に、認証サービス103は、認証データ104(例えば、PKI)を参照して、Webサービスクライアント101の公開鍵を特定し、その公開鍵を使用して認証要求111上の署名の正当性を確認することができる。
方法200は、対称セッション鍵を含む認証応答を送信する行為を含む(行為207)。例えば、セキュリティトークンサービス102は、認証応答112をWebサービスクライアント101に送信することができる。認証応答112は、証明トークン113およびトークン付与トークン116を含む。証明トークン113およびトークン付与トークン116は両方とも、Webサービスクライアント101とアクセス付与サービス106との間の通信のセキュリティを保護するために使用できるクライアント/STSセッション鍵114(対称鍵)のインスタンスを含む。証明トークン113は、セキュアチャネルを経由して、またはX.509証明書内の公開鍵を通じて暗号化されたセキュリティ保護されたクライアント/STSセッション鍵114Aを含む。
トークン付与トークン116は、秘密対称鍵161を使用して暗号化された暗号化クライアント/STSセッション鍵114Bを含む。トークン付与トークン116は、さらに、トークン付与トークン118がいつ発行されたかを示すタイムスタンプ118を含む。改ざんを防止するため、トークン付与トークン116は、さらに、秘密対称鍵161を使用して生成された署名119も含む。それとは別に、異なる秘密対称鍵を使用して、署名119を生成することができる。
認証応答112は、秘密鍵163Pr(セキュリティトークンサービス102の秘密鍵)を使用して生成された署名121を含む。署名121は、セキュリティトークンサービス102が認証応答112を作成したことを受信側コンポーネントに指示する。
方法200は、対称セッション鍵を含む認証応答を受信する行為を含む(行為202)。例えば、Webサービスクライアント101は、認証応答112を受信することができる。Webサービス101は、公開鍵163Puを使用して署名121の正当性を確認する(それによって認証応答112の正当性を確認する)。Webサービスクライアント101は、証明トークン113からクライアント/STSセッション鍵114Aを抽出し、クライアント/STSセッション鍵114のコピーを保持することができる。
Webサービスクライアント101は、例えば、導出されたクライアント/STSセッション鍵114Drなどの他のセッション鍵を、クライアント/STSセッション鍵114から導出することができる。その後、Webサービスクライアント101がWebサービスと通信する場合に、Webサービスクライアント101は、(場合によっては導出される)セッション鍵を使用して、アクセス付与サービス106との通信のセキュリティを保護する。また、セキュリティトークンサービス102は、クライアント/STSセッション鍵114から他のセッション鍵を導出することもありえる。
Webサービスクライアント101およびセキュリティトークンサービス102は、Webサービスクライアント101およびセキュリティトークンサービス102で導出された鍵が導出後もいぜんとして対称的であるように、同一の鍵導出アルゴリズムを使用することができる。したがって、セキュリティトークンサービス102は、さらに、クライアント/STSセッション鍵114から導出クライアント/STSセッション鍵114Drを導出することもできる。
方法200は、Webサービスへのアクセスのアクセス要求を送信する行為を含む(行為203)。例えば、Webサービスクライアント101は、アクセス付与サービス106にアクセス付与要求122を送信することができる。アクセス付与要求122は、トークン付与トークン116を含む。アクセス付与要求122は、導出されたクライアント/STSセッション鍵114Drを使用して生成された署名127を含む。署名122は、アクセス付与要求122がWebサービスクライアント101とセキュリティトークンサービス102との間の認証セッションに含まれることを示す。
方法200は、Webサービスへのアクセスのアクセス要求を受信する行為を含む(行為208)。例えば、アクセス付与サービス106は、Webサービスクライアント101からアクセス付与要求122を受信することができる。方法200は、認証セッションを検証する行為を含む(行為209)。例えば、アクセス付与サービス106は、Webサービスクライアント101がセキュリティトークンサービス102に対する認証されたセッションを持つことを検証できる。アクセス付与要求122の受信後に、アクセス付与サービス106は、導出されたクライアント/STSセッション鍵114Drを使用して署名127の正当性を確認できる(それにより、アクセス付与要求122の正当性を確認する)。
アクセス付与サービス106は、その後、秘密対称鍵161を使用して署名119の正当性を確認できる(それにより、トークン付与トークン116の正当性を確認する)。アクセス付与サービス106は、さらに、秘密対称鍵116を使用して暗号化されたクライアント/STSセッション鍵114Bを解読して、クライアント/STSセッション鍵114を公開することもできる。クライアント/STSセッション鍵114のインスタンスを含むトークン付与トークン116に基づき、アクセス付与サービスでは、Webサービスクライアント101がセキュリティトークンサービス102への認証セッションを持つことを判定する。
方法200は、アクセス付与応答を送信する行為を含む(行為211)。例えば、アクセス付与サービス106は、Webサービスクライアント101にアクセス付与応答128を送信することができる。アクセス付与応答128は、証明トークン129およびサービストークン132を含む。証明トークン128およびサービストークン132は両方とも、Webサービスクライアント101とWebサービス108との間の通信のセキュリティを保護するために使用できるクライアントサービスセッション鍵131(対称鍵)のインスタンスを含む。証明トークン129は、クライアント/STSセッション鍵114(またはその導出)を使用して暗号化されている暗号化クライアントサービスセッション鍵131Aを含む。したがって、Webサービスクライアント101は、(クライアント/STSセッション鍵114またはその導出したものを使用して)暗号化クライアントサービスセッション鍵131Aを解読して、クライアントサービスセッション鍵131を公開することができる。
サービストークン132は、公開鍵164Pu(Webサービス108の公開鍵)を使用して暗号化されている暗号化クライアントサービスセッション鍵131Bを含む。サービストークン132がセキュリティトークンサービス102からのものであることを示すために、サービストークン132は、秘密鍵163Pr(セキュリティトークンサービス102用の秘密鍵)を使用して生成された署名134を含む。したがって、Webサービス108は、公開鍵163Pu(セキュリティトークンサービス102の対応する公開鍵)を使用して署名134の正当性を確認し、サービストークン132がセキュリティトークンサービス102から送信されたことを検証することができる。Webサービス108は、さらに、秘密鍵164Pr(Webサービス108の対応する秘密鍵)を使用して、暗号化クライアントサービスセッション鍵131Bを解読することもできる。
したがって、クライアントサービスセッション鍵は、セキュリティ保護された方法でクライアントとサービスの両方に転送できる。
方法200は、アクセス付与応答を受信する行為を含む(行為204)。例えば、Webサービスクライアント101は、アクセス付与応答128を受信することができる。証明トークン129から、Webサービスクライアント101は、(クライアント/STSセッション鍵114またはその導出を使用して)暗号化クライアントサービスセッション鍵131Aを解読して、クライアントサービスセッション鍵131を公開することができる。Webサービスクライアント101は、クライアントサービスセッション鍵131を格納することで、Webサービス108とのその後通信をやりやすくできる。Webサービスクライアント101は、さらに、サービストークン132を格納しておいて、後で、Webサービス108に転送することができる。
図1Cは、コンピュータアーキテクチャ100からのWebサービスクライアント101、セキュリティトークンサービス102およびWebサービス108の他の記述を示している。図1Cは、さらに、Webサービスクライアント101とWebサービス108との間で(例えば、ネットワーク105を介して)交換される多数の電子メッセージも表す。図3は、WebサービスコンポーネントおよびWebサービスとの間の通信のセキュリティを保護する方法300の例のフロー図である。方法300は、図1C内のコンポーネントおよびデータに関して説明される。
方法300は、セキュリティトークン要求を送信する行為を含む(行為301)。例えば、Webサービスクライアント101は、Webサービス108のインスタンス108Aにセキュリティトークン要求136を送信することができる。セキュリティトークン要求136は、(セキュリティトークンサービス102から発行された)サービストークン132を含む。セキュリティトークン要求136は、クライアントサービスセッション鍵131を使用して生成された署名141を含む。セキュリティトークン要求136は、さらに、Webサービスクライアント101に対応する識別情報も含むことができる。
方法300は、セキュリティトークン要求を受信する行為を含む(行為304)。例えば、インスタンス108Aは、Webサービスクライアント101からセキュリティトークン要求136を受信することができる。方法300は、秘密鍵を使用して暗号化されたセッション鍵を解読する行為を含む(行為305)。例えば、インスタンス108Aは、秘密鍵164Prを使用して暗号化クライアントサービスセッション鍵131Bを解読して、クライアントサービスセッション鍵131を公開することができる。インスタンス108Aは、さらに、公開鍵163Puを使用して署名134の正当性を確認して、サービストークン132がセキュリティトークンサービス102から送信されたことを検証することもできる。その後、インスタンス108Aは、(すでに公開されている)クライアントサービスセッション鍵131を使用して署名141の正当性を確認することができる。
方法300は、WebサービスコンポーネントがWebサービスにアクセスすることを許可する行為を含む(行為306)。例えば、Webサービス108は(指定されたポリシーに基づき)、Webサービスクライアント101がWebサービス108にアクセスすることを許可することができる。方法300は、マスタ対称セッション鍵を生成する行為を含む(行為307)。例えば、Webサービス108は、Webサービスクライアント101とWebサービス108のインスタンスとの間の通信のセキュリティを保護するためマスタクライアントサービスセッション鍵193を生成することができる。
方法300は、マスタ対称セッション鍵を暗号化する行為を含む(行為308)。例えば、インスタンス108Aは、クライアントサービスセッション鍵131を使用してマスタクライアントサーバセッション鍵193を暗号化して、暗号化されたマスタクライアントサーバセッション鍵193Aを生成することができる。インスタンス108Aは、セキュリティトークン応答142内にセキュリティコンテキストトークン146とともに暗号化されたマスタクライアントサーバセッション鍵193Aを含めることができる。セキュリティトークンコンテキストは、Webサービスクライアント101とWebサービス108のインスタンスとの間の通信のセキュリティを保護するためのセキュリティコンテキストデータを含む。
いくつかの実施形態においては、セキュリティコンテキストトークン146は、オプションのバイナリ拡張147を含む。バイナリ拡張147を受信するWebサービスインスタンスは、バイナリ拡張147に含まれるデータを使用して、サービスサイドの分散キャッシュを参照しなくても、セキュリティ状態を再構築できる。したがって、バイナリ拡張147を使用する実施形態では、Webサービスは、サービスサイドの分散キャッシュを維持する作業から解放される。さらに、セキュリティコンテクスト情報をバイナリ形式で表すことで、大量のリソースを使う可能性のある、XML正規化を実行することなく、セキュリティコンテキストトークンの処理を簡単に行えるようになる。
方法300は、セキュリティトークン応答を送信する行為を含む(行為309)。例えば、インスタンス108Aは、Webサービスクライアント101にセキュリティトークン応答142を送信することができる。方法300は、セキュリティトークン応答を受信する行為を含む。例えば、Webサービスクライアント101は、インスタンス108Aからセキュリティトークン応答142を受信することができる。Webサービスクライアント101は、クライアントサービスセッション鍵131を使用して暗号化マスタクライアントサーバセッション鍵193Aを解読して、マスタクライアントサーバセッション鍵193を公開することができる。したがって、Webサービスクライアント101とWebサービス108とのその後の通信は、マスタクライアントサービスセッション鍵またはその導出したものを使用してセキュリティを保護できる。
共通鍵導出アルゴリズムに従って、Webサービスクライアント101およびWebサービス108は両方とも、例えば、マスタクライアントサーバセッション鍵193Dr1、193Dr2、193Dr3、および193Dr4などの追加対称セッション鍵をマスタクライアントサーバセッション鍵193から導出できる。Webサービスクライアント101およびWebサービス108は、その後、相互の通信のセキュリティを保護するために導出された鍵を使用することができる。
方法300は、導出された鍵を使用してデータを交換する行為を含む(行為303および行為310)。例えば、Webサービスクライアント101は、導出された鍵193Dr1を使用して暗号化されたサービス要求148を生成することができる。暗号化されたサービス要求148は、セキュリティコンテキストトークン146および要求データ194を含む。暗号化されたサービス要求148は、さらに、導出された鍵193Dr3を使用して生成された署名152も含む。
インスタンス108Cは、暗号化されたサービス要求148を受信することができる。インスタンス108Cは、導出された鍵193Dr1を使用して、暗号化されたサービス要求148を解読して、セキュリティコンテキストトークン146および要求データ194を公開できる。インスタンス108Cは、さらに、導出された鍵193Dr3を使用して署名152の正当性を確認し、暗号化されたサービス要求148がWebサービスクライアント1010とWebサービス108との間のセキュリティ保護された通信の一部であることを検証することもできる。インスタンス108Cは、セキュリティコンテキストトークン146および要求データ104を処理して、Webサービスクライアント101に対応する仕方を決定することができる。
インスタンス108Cは、導出された鍵193Dr2を使用して、暗号化されたサービス応答153を生成することができる。暗号化されたサービス応答153は、要求データ194に応答する応答データ196を含む。暗号化されたサービス応答153は、さらに、導出された鍵193Dr4を使用して生成された署名154も含む。
Webサービスクライアント101は、暗号化されたサービス応答153を受信することができる。Webサービスクライアント101は、導出された鍵193Dr2を使用して、暗号化されたサービス応答153を解読し、応答データ196を公開することができる。Webサービスクライアント101は、さらに、導出された鍵193Dr4を使用して署名154の正当性を確認し、暗号化されたサービス応答153がWebサービスクライアント101とWebサービス108との間のセキュリティ保護された通信の一部であることを検証することもできる。
したがって、本発明のいくつかの実施形態は、最初に、例えば、PKIなどの既存の鍵基盤を利用してセキュリティ保護された通信に対し公開/秘密鍵ペア(例えば、公開鍵163Pu/秘密鍵163Prと公開鍵163Pu/秘密鍵163Pr)を使用できる。その後、セキュリティ保護された通信に対称セッション鍵(例えば、マスタクライアントサービスセッション鍵193およびその導出)を使用への移行を実行できる。したがって、本発明のいくつかの実施形態では、既存の公開鍵基盤の鍵管理特徴を利用し、その後、効率の面から対称鍵に移行することができる。
トークン付与トークン(例えば、トークン付与トークン116)およびサービストークン(例えば、サービストークン132)は、カスタムXMLトークンとして表すことができる。以下のXML命令は、本発明の原理によるカスタムXMLトークンの記述例である。
Figure 0005021215
Figure 0005021215
1行目では、IdentityTokenEx\@TokenId属性で、URIを使用してセキュリティトークンを識別する。データ型はxsd:IDである。それぞれのセキュリティトークンURIは、送信者と受信者の両方にとって一意的とすることができる。URI値は、時間と空間において世界的に一意のものである。また、1行目では、IdentityTokenEx\@MajorVersion属性により、このカスタムトークンの大バージョンを識別し、IdentityTokenEx\@MinorVersion属性により、このカスタムトークンの小バージョンを識別する。1行目では、IdentityTokenEx\@Issuer属性で、URIを使用してこのトークンの発行者を識別する。また、1行目では、IdentityTokenEx\@IssueTime属性は、そのトークンが発行される時刻(例えば、UTC形式)を表す。この値に対するXMLスキーマはxsd:dateTimeである。
また、1行目では、IdentityTokenEx\@Purpose属性で、QNameを使用してこのカスタムトークンの目的を識別する。値は以下のとおりである。
Figure 0005021215
2行目で、IdentityTokenEx\contoso:Conditions要素は、このトークンが有効である条件を指定する。また、2行目で、IdentityTokenEx\Conditions\@NotBefore属性は、このトークンが有効になった最も早い時刻を指定する(例えば、UTC形式)。この値に対するスキーマはxsd:dateTimeである。また、2行目で、IdentityTokenEx\Conditions\@NotOnOrAfter属性は、このトークンが無効になった最も早い時刻を指定する(例えば、UTC形式)。この値に対するスキーマはxsd:dateTimeである。
3〜7行目で、IdentityTokenEx\wsp:AppliesTo要素は、このトークンが有効であるエンドポイントを指定する。4〜6行目で、IdentityTokenEx\AppliesTo\wsa:EndpointReference要素は、このトークンが有効であるエンドポイントへの参照を含む。5行目で、IdentityTokenEx\AppliesTo\EndpointReference\wsa:Address要素は、エンドポイントのURIを指定する。
8〜27行目で、IdentityTokenEx\TokenStatement要素は、認証および認証されたセッションに関係する識別情報を含む。また、8行目では、IdentityTokenEx\TokenStatement\@Authentication.Mechanism属性は、QNameを使用して、対象を認証するために使用される認証メカニズムを識別する。値は以下のとおりである。
Figure 0005021215
また、8行目では、IdentityTokenEx\TokenStatement\@AuthenticationTime要素は、認証が実行されたときの時刻(例えば、UTC形式)を識別する。この値に対するXMLスキーマはxsd:dateTimeである。
9行目で、IdentityTokenEx\TokenStatement\SubjectName要素は、すでに認証されているパーティを識別する。10〜26行目で、IdentityTokenEx\TokenStatement\ds:KeyInf要素は、このトークンを通じて交換されるセッション鍵を含む。11〜25行目では、IdentityTokenEx\TokenStatement\KeyInfo\xenc:EncryptedKey要素は、暗号化されたセッション鍵を含む。28〜48行目では、IdentityTokenEx\ds:Signature要素は、カスタムXMLトークン上のエンベロープ署名を含む。
いくつかの実施形態においては、WebサービスコンポーネントおよびWebサービスは、拡張セキュリティコンテキストトークン(例えば、セキュリティコンテキストトークン146)を交換することができる。以下のXML命令は、本発明の原理による拡張セキュリティコンテキストトークンの記述例である。
Figure 0005021215
62〜64行目で、SecurityContextToken\contoso:SctExtension要素は、base64バイナリ形式で符号化されたSCTカスタム拡張を含む。
トークン付与トークン、サービストークン、および拡張セキュリティコンテキストトークンを記述するXML命令は、例えば、コンピュータアーキテクチャ100のコンポーネント間で交換される認証応答112、アクセス付与応答128、およびセキュリティトークン応答142などのSOAPメッセージに格納することができる。
図4は、本発明の原理に関する好適な動作環境を示す図である。図4および以下の説明は、本発明を実施できる適当なコンピューティング環境について簡潔に述べた一般的な説明である。必要というわけではないが、コンピュータシステムによって実行されるプログラムモジュールなどのコンピュータ実行可能命令の一般的文脈において本発明を説明する。一般に、プログラムモジュールは、特定のタスクを実行する、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。コンピュータ実行可能命令、関連するデータ構造体、およびプログラムモジュールは、本明細書で開示された方法の行為を実行するプログラムコード手段の実施例を表している。
図4を参照すると、本発明を実装する例示的なシステムは、処理ユニット421、システムメモリ422、およびシステムメモリ422を含む様々なシステムコンポーネントを処理ユニット421に結合するシステムバス423を備える、コンピュータシステム420の形をとる汎用コンピューティングデバイスを備える。処理ユニット421は、本発明の機能を含む、コンピュータシステム420の機能を実装するように設計されたコンピュータ実行可能命令を実行することができる。システムバス423は、メモリバスまたはメモリコントローラ、周辺機器バス、および様々なバスアーキテクチャを使用するローカルバスを含む数種類のバス構造のうちのいずれでもよい。システムメモリは、読み取り専用メモリ(「ROM」)424およびランダムアクセスメモリ(「RAM」)425を含む。起動時などにコンピュータシステム420内の要素間の情報伝送を助ける基本ルーチンを含む基本入出力システム(「BIOS」)426は、ROM 424に格納することができる。
コンピュータシステム420は、さらに、磁気ハードディスク439への読み書きを行うための磁気ハードディスクドライブ427、取り外し可能磁気ディスク429への読み書きを行うための磁気ディスクドライブ428、および例えば、CD−ROMまたはその他の光媒体などの取り外し可能光ディスク431への読み書きを行うための光ディスクドライブ430を備えることもできる。磁気ハードディスクドライブ427、磁気ディスクドライブ428、および光ディスクドライブ430は、ハードディスクドライブインターフェース432、磁気ディスクドライブインターフェース433、および光ドライブインターフェース434によりそれぞれシステムバス423に接続される。ドライブおよび関連するコンピュータ読取り可能媒体は、コンピュータシステム420用のコンピュータ実行可能命令、データ構造体、プログラムモジュール、およびその他のデータを格納する不揮発性記憶装置を実現する。本明細書で説明されている例示的な環境では磁気ハードディスク439、取り外し可能磁気ディスク429、および取り外し可能光ディスク431を採用しているが、磁気カセット、フラッシュメモリカード、デジタル多目的ディスク、ベルヌーイカートリッジ、RAM、ROMなどの、データを格納するための他の種類のコンピュータ読取り可能媒体を使用することもできる。
ハードディスク439、磁気ディスク429、光ディスク431、ROM 424、またはRAM 425には、オペレーティングシステム435、1つまたは複数のアプリケーションプログラム436、その他のプログラムモジュール437、およびプログラムデータ438など1つまたは複数のプログラムモジュールを含むプログラムコード手段を格納できる。ユーザは、キーボード440、ポインティングデバイス442、または例えば、マイク、ジョイスティック、ゲームパッド、スキャナなどの他の入力デバイス(図に示されていない)を通じてコンピュータシステム420にコマンドおよび情報を入力することができる。これらの入力デバイスおよびその他の入力デバイスは、システムバス423に結合された入出力インターフェース446を通じて処理ユニット421に接続されることが多い。入出力インターフェース446は、例えば、シリアルポートインターフェース、PS/2インターフェース、パラレルポートインターフェース、ユニバーサルシリアルバス(「USB」)インターフェース、またはInstitute of Electrical and Electronics Engineers(「IEEE」)1394インターフェース(つまり、FireWireインターフェース)などの様々な種類の異なるインターフェースのどれかを論理的に表しているか、または異なるインターフェースの組合せを論理的に表すことさえもできる。
モニタ447または他のディスプレイデバイスも、ビデオインターフェース448などのインターフェースを介して、システムバス423に接続される。例えば、スピーカおよびプリンタなどの他の周辺出力デバイス(図には示されていない)も、コンピュータシステム420に接続できる。
コンピュータシステム420は、例えば、オフィス規模または企業規模のコンピュータネットワーク、ホームネットワーク、イントラネット、および/またはインターネットなどのネットワークにも接続可能である。コンピュータシステム420は、そのようなネットワーク上で、例えば、リモートコンピュータシステム、リモートアプリケーション、および/またはリモートデータベースなどの外部ソースとデータを交換することができる。
コンピュータシステム420は、コンピュータシステム420が外部ソースからデータを受信し、および/またはデータを外部ソースに送信するためのネットワークインターフェース453を含む。図4に示されているように、ネットワークインターフェース453を使用すると、リンク451を介してリモートコンピュータシステム483とのデータ交換がしやすくなる。ネットワークインターフェース453は、例えば、ネットワークインターフェースカードおよび対応するネットワークドライバインターフェース規約(「NDIS」)スタックなどの1つまたは複数のソフトウェアおよび/またはハードウェアモジュールを論理的に表すことができる。リンク451は、ネットワーク(例えば、Ethernet(登録商標)セグメント)の一部を表し、リモートコンピュータシステム483は、ネットワークの1つのノードを表す。
同様に、コンピュータシステム420は、コンピュータシステム420が外部ソースからデータを受信し、および/またはデータを外部ソースに送信するための入出力インターフェース446を含む。入出力インターフェース446は、リンク459を介してモデム454(例えば、標準モデム、ケーブルモデム、またはデジタル加入者回線(「DSL」)モデム)に結合され、それにより、コンピュータシステム420は外部ソースとの間でデータを受信し、および/または送信する。図4に示されているように、入出力インターフェース446およびモデム454を使用すると、リンク452を介してリモートコンピュータシステム493とのデータ交換がしやすくなる。リンク452は、ネットワークの一部を表し、リモートコンピュータシステム493は、ネットワークの1つのノードを表す。
図4は、本発明の好適な動作環境を表しているが、本発明の原理は、必要ならば適当な修正を加えることにより、本発明の原理を実装することができるシステムにおいて採用することができる。図4に例示されている環境は、例示のみを目的としており、本発明の原理を実装することが可能な様々な環境のわずかな部分さえも決して表していない。
本発明によれば、セキュリティトークンサービス、認証サービス、アクセス付与サービス、Webサービスクライアント、Webサービス、およびWebサービスインスタンスを含むモジュール、さらに、認証データ、ポリシーデータ、証明トークン、トークン付与トークン、サービストークン、セキュリティコンテキストトークン、バイナリ拡張、対称鍵、公開鍵、秘密鍵、および導出された鍵を含む関連するデータを格納することができ、またコンピュータシステム420に関連付けられているコンピュータ読取り可能媒体のどれかからアクセスすることができる。例えば、このようなモジュールの一部および関連するプログラムデータの一部を、オペレーティングシステム435、アプリケーションプログラム436、プログラムモジュール437、および/またはプログラムデータ438に含めて、システムメモリ422に格納することができる。
例えば、磁気ハードディスク439などの大容量記憶デバイスがコンピュータシステム420に結合された場合、そのようなモジュールおよび関連するプログラムデータも、大容量記憶デバイスに格納することができる。ネットワーク接続された環境において、コンピュータシステム420またはその一部に関して示されているプログラムモジュールは、リモートコンピュータシステム483および/またはリモートコンピュータシステム493に関連するシステムメモリおよび/または大容量記憶デバイスなどのリモートメモリ記憶デバイスに格納することができる。このようなモジュールの実行は、すでに説明されているように分散環境において実行できる。
本発明は、本発明の精神または本質的特徴から逸脱することなく他の特定の形式で実現することが可能である。説明されている実施形態は、すべての点で、説明のみを目的としており、限定することを目的としていないとみなすべきである。したがって、本発明の範囲は、上記の説明ではなく付属の請求項により指示される。請求項の同等性の意味および範囲内にある変更はすべて、本発明の範囲に含まれるものとする。
米国特許状により請求され、望むとおりに保証される内容は請求項に記載される。
Webサービスの信頼できる第三者認証を容易にするコンピュータアーキテクチャの一実施例を示す図である。 図1Aのコンピュータアーキテクチャの実施例の第1の部分を示す別の図である。 図1Aのコンピュータアーキテクチャの実施例の第2の部分を示す別の図である。 Webサービスにアクセスするためのサービストークンを取得する方法例のフロー図である。 WebサービスコンポーネントおよびWebサービスとの間の通信のセキュリティを保護する方法例のフロー図である。 本発明の原理に関する好適な動作環境を示す図である
符号の説明
100 コンピュータアーキテクチャ
420 コンピュータシステム
427 磁気ハードディスクドライブ
428 磁気ディスクドライブ
430 光ディスクドライブ

Claims (14)

  1. ウェブサービスクライアント、セキュリティトークンサービスおよびウェブサービスを含むコンピュータシステムにおいてウェブサービスクライアントを認証する方法において
    前記ウェブサービスクライアントが、認証要求を、前記セキュリティトークンサービスの認証サービスに送信するステップと、
    前記ウェブサービスクライアントが、前記認証サービスから認証応答を受信するステップであって、前記認証応答は前記ウェブサービスクライアントとアクセス付与サービスとの間の通信のセキュリティを保護するための第1の対称セッション鍵の2つのインスタンスを含んでおり、前記第1の対称セッション鍵の前記第1のインスタンスは前記ウェブサービスクライアントへの配信のためセキュリティ保護され、および、第1の証明トークンに含まれており、前記第1の対称セッション鍵の前記第2のインスタンスは前記セキュリティトークンサービスの秘密対称鍵により暗号化され、および、トークン付与トークンに含まれており、前記トークン付与トークンは、前記秘密対称鍵を使用してデジタル署名でサインされており、前記認証応答も、前記認証サービスのプライベート鍵を使用してデジタル署名でサインされている、受信するステップと、
    前記ウェブサービスクライアントが、ウェブサービスファームにおけるウェブサービスのインスタンスへのアクセスに対する、前記トークン付与トークンを含むアクセス要求を前記アクセス付与サービスに送信するステップと、
    前記ウェブサービスクライアントが、前記アクセス付与サービスからアクセス付与応答を受信するステップであって、前記アクセス付与応答は前記ウェブサービスクライアントと前記ウェブサービスとの間の通信のセキュリティを保護するための第2の対称セッション鍵の2つのインスタンスを含んでおり、前記第2の対称セッション鍵の前記第1のインスタンスは前記第1の対称セッション鍵により暗号化され、および、第2の証明トークンに含まれており、前記第2の対称セッション鍵の前記第2のインスタンスは前記ウェブサービスに対応する公開/秘密鍵ペアからの公開鍵により暗号化され、および、サービストークンに含まれている、受信するステップと、
    前記ウェブサービスクライアントが、前記ウェブサービスクライアントおよび前記サービストークンの識別情報を含むセキュリティトークン要求を、前記ウェブサービスの第1のインスタンスに送信するステップと、
    前記ウェブサービスクライアントが、前記ウェブサービスの前記第1のインスタンスからセキュリティトークン応答を受信するステップであって、前記セキュリティトークン応答は、セキュリティコンテキストトークン、および、前記ウェブサービスクライアントと前記ウェブサービスとの間の通信のセキュリティを保護するためのマスタ対称セッション鍵を含み、前記セキュリティコンテキストトークンは、バイナリ拡張を含んでおり、前記ウェブサービスファームにおける前記ウェブサービスのいずれのインスタンスも、分散したサービス側キャッシュを参照することなしに、前記バイナリ拡張から、前記ウェブサービスクライアントに対するセキュリティセッション状態を再構築できる、受信するステップと、
    前記ウェブサービスクライアントが、前記マスタ対称セッション鍵から、第1のおよび第2の導出された対称セッション鍵を導出するステップであって、前記第1のおよび第2の導出された対称セッション鍵は、共通鍵導出アルゴリズムを使用して前記ウェブサービスクライアントによって導出されるステップと
    前記ウェブサービスクライアントが、前記ウェブサービスの前記第1のインスタンスにサービス要求を送信するステップであって、前記サービス要求は前記第1の導出された対称セッション鍵を使用して暗号化され、および、前記第2の導出された対称セッション鍵を使用して署名される、送信するステップと
    前記ウェブサービスクライアントが、前記ウェブサービスの前記第1のインスタンスからサービス応答を受信するステップであって、前記サービス応答は第3の導出された対称セッション鍵を使用して暗号化され、前記サービス応答は、第4の導出された対称セッション鍵を使用してデジタル署名により署名され、前記第3および第4の導出された対称セッション鍵は、前記ウェブサービスの前記第1のインスタンスによって、前記共通鍵導出アルゴリズムを使用して前記マスタ対称セッション鍵から導出される、受信するステップと、
    前記ウェブサービスクライアントが、前記サービス応答を暗号解読するために、前記第3の導出された対称セッション鍵を使用するステップと
    前記ウェブサービスクライアントが、前記デジタル署名の正当性を確認するために、前記第4の導出された対称セッション鍵を使用するステップと
    前記ウェブサービスクライアントが、前記バイナリ拡張を含んでいる前記セキュリティコンテキストトークンを、前記ウェブサービスの第2のインスタンスへ送信するステップであって、分散したウェブサービス側のキャッシュを参照することなしに、前記ウェブサービスの前記第2のインスタンスは、前記バイナリ拡張から前記ウェブサービスクライアントに対する前記セキュリティセッション状態を再構築する、送信するステップと、
    前記ウェブサービスクライアントが、前記ウェブサービスクライアントが最初に前記ウェブサービスの前記第2のインスタンスからセキュリティトークンを要求する必要なしに、前記ウェブサービスの前記第2のインスタンスと通信ができるように、前記ウェブサービスの前記第1のインスタンスから受信された前記マスタ対称セッション鍵より導出された対称セッション鍵を使用して、前記ウェブサービスの前記第2のインスタンスへ、サービス要求を送信するステップと
    を備えることを特徴とする方法。
  2. 認証要求を認証サービスに送信する前記ステップは、ユーザ名およびパスワードを前記認証サービスに送信するステップを含むことを特徴とする請求項1に記載の方法。
  3. 認証要求を認証サービスに送信する前記ステップは、デジタル署名入りX.509証明書を前記認証サービスに送信するステップを含むことを特徴とする請求項1に記載の方法。
  4. 前記認証サービスから認証応答を受信する前記ステップは、カスタムXMLトークン付与トークンを含むSOAPメッセージを受信するステップを含むことを特徴とする請求項1に記載の方法。
  5. 前記アクセス付与サービスからアクセス付与応答を受信する前記ステップは、カスタムXMLサービストークンを含むSOAPメッセージを受信するステップを含むことを特徴とする請求項1に記載の方法。
  6. セキュリティトークンサービスおよびウェブサービスを含むコンピュータ環境において前記ウェブサービスへアクセスするウェブサービスクライアントを認証する方法において、
    前記セキュリティトークンサービスにおいて、ウェブサービスクライアントから認証要求を受信するステップと、
    前記セキュリティトークンサービスにおいて、前記認証要求の中に含まれる認証データの正当性を確認するステップと、
    前記セキュリティトークンサービスにおいて、認証応答を前記ウェブサービスクライアントに送信するステップであって、前記認証応答は前記ウェブサービスクライアント前記セキュリティトークンサービスのアクセス付与サービスとの間の通信のセキュリティを保護するための第1の対称セッション鍵の2つのインスタンスを含んでおり、前記第1の対称セッション鍵の前記第1のインスタンスは前記ウェブサービスクライアントへの配信のためセキュリティ保護され、および、第1の証明トークンに含まれており、前記第1の対称セッション鍵の前記第2のインスタンスは前記セキュリティトークンサービスの秘密対称鍵暗号化され、および、トークン付与トークンに含まれており、前記トークン付与トークンは、前記秘密対称鍵を使用してデジタル署名でサインされており、前記認証応答も、前記セキュリティトークンサービスに含まれる認証サービスのプライベート鍵を使用してデジタル署名でサインされている、送信するステップと、
    前記セキュリティトークンサービスにおいて、前記ウェブサービスクライアントからウェブサービスファームにおけるウェブサービスのインスタンスアクセスに対する、前記トークン付与トークンを含むアクセス要求を受信するステップと、
    前記セキュリティトークンサービスにおいて、前記ウェブサービスクライアント前記トークン付与トークンの内容に基づいて、前記セキュリティトークンサービスに対する認証セッションを持つことを検証するステップと、
    前記セキュリティトークンサービスにおいて、前記ウェブサービスクライアントにアクセス付与応答を送信するステップであって、前記アクセス付与応答は、前記ウェブサービスクライアントと前記ウェブサービスとの間の通信のセキュリティを保護するための第2の対称セッション鍵の2つのインスタンスを含んでおり、前記第2の対称セッション鍵の前記第1のインスタンスは前記第1の対称セッション鍵により暗号化され、および、第2の証明トークンに含まれており、前記第2の対称セッション鍵の前記第2のインスタンスは前記ウェブサービスに対応する公開/秘密鍵ペアからの公開鍵により暗号化され、および、サービストークンに含まれている、送信するステップと
    前記ウェブサービスの第1のインスタンスにおいて、ウェブサービスクライアントからセキュリティトークン要求を受信するステップであって、前記要求はセキュリティトークンサービスから発行されたサービストークンを含んでおり、前記サービストークンは、前記ウェブサービスクライアントに対する識別情報、および、前記ウェブサービスクライアントと前記ウェブサービスの前記第1のインスタンスとの間の通信のセキュリティを保護する暗号化された対称セッション鍵を含んでおり、前記暗号化された対称セッション鍵は、前記ウェブサービスに対応している公開/秘密鍵ペアからの前記公開鍵を使用して暗号化されている、受信するステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記公開/秘密鍵ペアからの前記公開鍵で、前記暗号化された対称セッション鍵を暗号解読するステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記ウェブサービスクライアントが前記サービストークンの内容に基づいて、前記ウェブサービスの前記第1のインスタンスへのアクセスする権限を与えるステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記ウェブサービスクライアントと前記ウェブサービスのインスタンスとの間の通信のセキュリティを保護するマスタ対称セッション鍵を生成するステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記対称セッション鍵を使用して前記マスタ対称セッション鍵を暗号化して、暗号化されたマスタ対称セッション鍵を生成するステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、セキュリティトークン応答の中に、セキュリティコンテキストトークンとともに前記暗号化されたマスタ対称セッション鍵を含めるステップであって、前記セキュリティコンテキストトークンは、バイナリ拡張を含んでおり、前記ウェブサービスファームにおける前記ウェブサービスのいずれのインスタンスも、分散したサービス側キャッシュを参照することなしに、前記バイナリ拡張から、前記ウェブサービスクライアントに対するセキュリティセッション状態を再構築できる、含めるステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記マスタ対称セッション鍵から導出される導出された対称セッション鍵を使用して、前記ウェブサービスクライアントと前記ウェブサービスの前記第1のインスタンスとの間の通信がセキュリティ保護され得るように、前記セキュリティトークン応答を前記ウェブサービスクライアントに送信するステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記ウェブサービスクライアントからサービス要求を受信するステップであって、前記サービス要求は、前記ウェブサービスクライアントによって前記マスタ対称セッション鍵から導出された第1の導出された対称セッション鍵を使用して暗号化され、および、前記ウェブサービスクライアントによって前記マスタ対称セッション鍵から導出された第2の導出された対称セッション鍵を使用して署名されており、前記第1のおよび第2の導出された対称セッション鍵は、共通鍵導出アルゴリズムを使用して前記ウェブサービスクライアントによって導出される、受信するステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記第1の導出された対称セッション鍵を使用して前記サービス要求を暗号解読し、および、前記第2の導出された対称セッション鍵を使用して前記デジタル署名を正当であると確認するステップであって、前記ウェブサービスの前記第1のインスタンスは、前記ウェブサービスクライアントから独立して、かつ、同一の共通鍵導出アルゴリズムを使用して前記第1および第2の対称セッション鍵を導出するステップと、
    前記ウェブサービスの第2のインスタンスにおいて、前記ウェブサービスクライアントから、前記バイナリ拡張を含む前記セキュリティコンテキストトークンを受信するステップと、
    前記ウェブサービスの前記第2のインスタンスにおいて、分散したウェブサービス側キャッシュを参照することなく、前記バイナリ拡張から前記ウェブサービスクライアントに対する前記セキュリティセッション状態を再構築するステップと、
    前記ウェブサービスの前記第2のインスタンスにおいて、前記ウェブサービスクライアントが最初に前記第2のインスタンスからセキュリティトークンを要求することなしに、前記ウェブサービスの前記第2のインスタンスが、前記ウェブサービスクライアントとの通信に権限を与えるように、前記ウェブサービスの前記第1のインスタンスから前記ウェブザービスクライアントによって受信された前記マスタ対称セッション鍵より導出された対称セッション鍵を使用して、前記ウェブサービスクライアントからサービス要求を受信するステップと
    を備えることを特徴とする方法。
  7. ウェブサービスクライアントから認証要求を受信する前記ステップは、前記ウェブサービスクライアントからユーザ名およびパスワードを受信するステップを含むことを特徴とする請求項に記載の方法。
  8. ウェブサービスクライアントから認証要求を受信する前記ステップは、前記ウェブサービスクライアントから署名入りX.509証明書を受信するステップを含むことを特徴とする請求項に記載の方法。
  9. 認証応答を前記ウェブサービスクライアントに送信する前記ステップは、カスタムXMLトークン付与トークンを含むSOAPメッセージを送信するステップを含むことを特徴とする請求項に記載の方法。
  10. アクセス付与応答を前記ウェブサービスクライアントに送信する前記ステップは、カスタムXMLサービストークンを含むSOAPメッセージを送信するステップを含むことを特徴とする請求項に記載の方法。
  11. ウェブサービスの複数のインスタンスからなるウェブサービスファームを含んだコンピュータシステムにおいて、前記ウェブサービスへのアクセスを認証する方法において、
    ウェブサービスの第1のインスタンスにおいて、ウェブサービスクライアントからセキュリティトークン要求を受信するステップであって、前記要求は、セキュリティトークンサービスから発行されたサービストークンを含んでおり、前記サービストークンは前記ウェブサービスクライアントに対する識別情報、および、前記ウェブサービスクライアントとウェブサービスファームにおける前記ウェブサービスの第1のインスタンスとの間の通信のセキュリティを保護するための暗号化された対称セッション鍵を含んでおり、前記暗号化された対称セッション鍵は、前記ウェブサービスに対応する公開/秘密鍵ペアからの前記公開鍵により暗号化されている、受信するステップと、
    ウェブサービスの前記第1のインスタンスにおいて、前記暗号化された対称セッション鍵を、前記公開/秘密鍵ペアからの前記公開鍵で暗号解読するステップと、
    ウェブサービスの前記第1のインスタンスにおいて、前記サービストークンの内容に基づいて、前記ウェブサービスクライアントに前記ウェブサービスの前記第1のインスタンスへアクセスする権限を与えるステップと、
    ウェブサービスの前記第1のインスタンスにおいて、前記ウェブサービスクライアントと前記ウェブサービスとの間の通信のセキュリティを保護するマスタ対称セッション鍵を生成するステップと、
    前記ウェブサービスの前記第1のインスタンスにおいて、前記対称セッション鍵を使用して前記マスタ対称セッション鍵を暗号化して、暗号化されたマスタ対称セッション鍵を生成するステップと、
    ウェブサービスの前記第1のインスタンスにおいて、セキュリティトークン応答の中に、セキュリティコンテキストトークンとともに前記暗号化されたマスタ対称セッション鍵を含めるステップであって、前記セキュリティコンテキストトークンは、バイナリ拡張を含んでおり、前記ウェブサービスファームにおける前記ウェブサービスのいずれのインスタンスも、分散したサービス側キャッシュを参照することなしに、前記バイナリ拡張から、前記ウェブサービスクライアントに対するセキュリティセッション状態を再構築することができる、含めるステップと、
    ウェブサービスの前記第1のインスタンスにおいて、前記マスタ対称セッション鍵から導出される導出された対称セッション鍵を使用して、前記ウェブサービスクライアントと前記ウェブサービスの前記第1のインスタンスとの間の通信がセキュリティ保護され得るように、前記セキュリティトークン応答を前記ウェブサービスクライアントに送信するステップと、
    ウェブサービスの前記第1のインスタンスにおいて、前記ウェブサービスクライアントからサービス要求を受信するステップであって、前記サービス要求は、前記ウェブサービスクライアントによって前記マスタ対称セッション鍵から導出された第1の導出された対称セッション鍵を使用して暗号化され、および、前記ウェブサービスクライアントによって前記マスタ対称セッション鍵から導出された第2の導出された対称セッション鍵を使用して署名されており、前記第1のおよび第2の導出された対称セッション鍵は、共通鍵導出アルゴリズムを使用して前記ウェブサービスクライアントによって導出される、受信するステップと、
    ウェブサービスの前記第1のインスタンスにおいて、前記第1の導出された対称セッション鍵を使用して前記サービス要求を暗号解読し、および、前記第2の導出された対称セッション鍵を使用して前記デジタル署名を正当であると確認するステップであって、前記ウェブサービスの前記第1のインスタンスは、前記ウェブサービスクライアントから独立して、かつ、前記共通鍵導出アルゴリズムを使用して前記第1および第2の対称セッション鍵を導出するステップと、
    前記ウェブサービスの第2のインスタンスにおいて、前記ウェブサービスクライアントから、前記バイナリ拡張を含む前記セキュリティコンテキストトークンを受信するステップと、
    ウェブサービスの前記第2のインスタンスにおいて、分散したウェブサービス側キャッシュを参照することなく、前記バイナリ拡張から前記ウェブサービスクライアントに対する前記セキュリティセッション状態を再構築するステップと、
    ウェブサービスの前記第2のインスタンスにおいて、前記ウェブサービスクライアントが最初に前記ウェブサービスの前記第2のインスタンスからセキュリティトークンを要求することなしに、前記ウェブサービスの前記第2のインスタンスが、前記ウェブサービスクライアントとの通信に権限を与えるように、前記ウェブサービスの前記第1のインスタンスから前記ウェブザービスクライアントによって受信された前記マスタ対称セッション鍵より導出された対称セッション鍵を使用して、前記ウェブサービスクライアントからサービス要求を受信するステップと
    を備えることを特徴とする方法
  12. セキュリティトークンを受信する前記ステップは、信頼された第三者パーティから発行されたカスタムXMLサービストークンを含むSOAPメッセージを受信するステップを含むことを特徴とする請求項11に記載の方法
  13. サービス応答の中に、前記ウェブサービスクライアントに返す応答データを含めるステップと、
    前記サービス応答を前記ウェブサービスクライアントへ送信するステップであって、前記サービス応答は、前記マスタ対称セッション鍵から導出された第3の導出された対称セッション鍵を使用して暗号化されており、前記サービス応答は前記マスタ対称セッション鍵から導出された第4の導出された対称セッション鍵を使用してデジタル署名でサインされている、送信するステップと
    をさらに備えることを特徴とする請求項11に記載の方法。
  14. 請求項1乃至13いずれかの方法の各ステップを実行するコンピュータ実行可能命令をその上に記憶したコンピュータ読取り可能記憶媒体
JP2006037065A 2005-03-14 2006-02-14 Webサービス用の信頼できる第三者認証 Expired - Fee Related JP5021215B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/079,050 2005-03-14
US11/079,050 US7900247B2 (en) 2005-03-14 2005-03-14 Trusted third party authentication for web services

Publications (3)

Publication Number Publication Date
JP2006260538A JP2006260538A (ja) 2006-09-28
JP2006260538A5 JP2006260538A5 (ja) 2009-04-02
JP5021215B2 true JP5021215B2 (ja) 2012-09-05

Family

ID=36579744

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006037065A Expired - Fee Related JP5021215B2 (ja) 2005-03-14 2006-02-14 Webサービス用の信頼できる第三者認証

Country Status (7)

Country Link
US (1) US7900247B2 (ja)
EP (2) EP1703694B1 (ja)
JP (1) JP5021215B2 (ja)
KR (1) KR20060100920A (ja)
CN (1) CN1835437B (ja)
AT (1) ATE401730T1 (ja)
DE (1) DE602006001767D1 (ja)

Families Citing this family (147)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9009084B2 (en) 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US20040107345A1 (en) * 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US7324976B2 (en) 2004-07-19 2008-01-29 Amazon Technologies, Inc. Automatic authorization of programmatic transactions
US7502760B1 (en) 2004-07-19 2009-03-10 Amazon Technologies, Inc. Providing payments automatically in accordance with predefined instructions
US7383231B2 (en) 2004-07-19 2008-06-03 Amazon Technologies, Inc. Performing automatically authorized programmatic transactions
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US20060271514A1 (en) * 2005-04-27 2006-11-30 Inventec Corporation Structure of customized web services
US7739724B2 (en) * 2005-06-30 2010-06-15 Intel Corporation Techniques for authenticated posture reporting and associated enforcement of network access
US8682795B2 (en) * 2005-09-16 2014-03-25 Oracle International Corporation Trusted information exchange based on trust agreements
US20070101145A1 (en) * 2005-10-31 2007-05-03 Axalto Inc. Framework for obtaining cryptographically signed consent
EP1999680A2 (en) * 2006-03-15 2008-12-10 ActivIdentity, Inc. Method and system for obtaining assurance that a content control key is securely stored in a remote security module for further secure communications between a content provider and said security module.
US7992203B2 (en) 2006-05-24 2011-08-02 Red Hat, Inc. Methods and systems for secure shared smartcard access
US8364952B2 (en) 2006-06-06 2013-01-29 Red Hat, Inc. Methods and system for a key recovery plan
US7822209B2 (en) 2006-06-06 2010-10-26 Red Hat, Inc. Methods and systems for key recovery for a token
US8495380B2 (en) * 2006-06-06 2013-07-23 Red Hat, Inc. Methods and systems for server-side key generation
US8180741B2 (en) 2006-06-06 2012-05-15 Red Hat, Inc. Methods and systems for providing data objects on a token
US8098829B2 (en) 2006-06-06 2012-01-17 Red Hat, Inc. Methods and systems for secure key delivery
US8332637B2 (en) 2006-06-06 2012-12-11 Red Hat, Inc. Methods and systems for nonce generation in a token
US9769158B2 (en) 2006-06-07 2017-09-19 Red Hat, Inc. Guided enrollment and login for token users
US8412927B2 (en) 2006-06-07 2013-04-02 Red Hat, Inc. Profile framework for token processing system
US8589695B2 (en) 2006-06-07 2013-11-19 Red Hat, Inc. Methods and systems for entropy collection for server-side key generation
US8707024B2 (en) 2006-06-07 2014-04-22 Red Hat, Inc. Methods and systems for managing identity management security domains
US8099765B2 (en) 2006-06-07 2012-01-17 Red Hat, Inc. Methods and systems for remote password reset using an authentication credential managed by a third party
US8787566B2 (en) 2006-08-23 2014-07-22 Red Hat, Inc. Strong encryption
US8806219B2 (en) 2006-08-23 2014-08-12 Red Hat, Inc. Time-based function back-off
US8074265B2 (en) 2006-08-31 2011-12-06 Red Hat, Inc. Methods and systems for verifying a location factor associated with a token
US8356342B2 (en) 2006-08-31 2013-01-15 Red Hat, Inc. Method and system for issuing a kill sequence for a token
US9038154B2 (en) 2006-08-31 2015-05-19 Red Hat, Inc. Token Registration
US8977844B2 (en) 2006-08-31 2015-03-10 Red Hat, Inc. Smartcard formation with authentication keys
US20080072032A1 (en) * 2006-09-19 2008-03-20 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Configuring software agent security remotely
US8627402B2 (en) 2006-09-19 2014-01-07 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US20080077976A1 (en) * 2006-09-27 2008-03-27 Rockwell Automation Technologies, Inc. Cryptographic authentication protocol
US7694131B2 (en) * 2006-09-29 2010-04-06 Microsoft Corporation Using rich pointers to reference tokens
US20080086766A1 (en) * 2006-10-06 2008-04-10 Microsoft Corporation Client-based pseudonyms
US8225096B2 (en) * 2006-10-27 2012-07-17 International Business Machines Corporation System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information
US8693690B2 (en) 2006-12-04 2014-04-08 Red Hat, Inc. Organizing an extensible table for storing cryptographic objects
US20080178010A1 (en) * 2007-01-18 2008-07-24 Vaterlaus Robert K Cryptographic web service
US8813243B2 (en) 2007-02-02 2014-08-19 Red Hat, Inc. Reducing a size of a security-related data object stored on a token
KR101434577B1 (ko) * 2007-02-13 2014-08-29 삼성전자주식회사 VoIP 시스템에서 SRTCP 채널을 이용하여 키 위탁및 키 복구를 위한 방법 및 이를 이용한 장치
US8639940B2 (en) 2007-02-28 2014-01-28 Red Hat, Inc. Methods and systems for assigning roles on a token
US8832453B2 (en) 2007-02-28 2014-09-09 Red Hat, Inc. Token recycling
US9081948B2 (en) 2007-03-13 2015-07-14 Red Hat, Inc. Configurable smartcard
CN101277512B (zh) * 2007-03-27 2011-07-20 厦门致晟科技有限公司 一种无线移动终端通讯加密的方法
US8881253B2 (en) * 2007-03-28 2014-11-04 Symantec Corporation Method and apparatus for accepting a digital identity of a user based on transitive trust among parties
US7881984B2 (en) * 2007-03-30 2011-02-01 Amazon Technologies, Inc. Service for providing item recommendations
US7974888B2 (en) 2007-03-30 2011-07-05 Amazon Technologies, Inc. Services for providing item association data
US8327456B2 (en) * 2007-04-13 2012-12-04 Microsoft Corporation Multiple entity authorization model
US7992198B2 (en) * 2007-04-13 2011-08-02 Microsoft Corporation Unified authentication for web method platforms
US8656472B2 (en) * 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
US7979896B2 (en) 2007-04-20 2011-07-12 Microsoft Corporation Authorization for access to web service resources
US8528058B2 (en) 2007-05-31 2013-09-03 Microsoft Corporation Native use of web service protocols and claims in server authentication
US8290152B2 (en) 2007-08-30 2012-10-16 Microsoft Corporation Management system for web service developer keys
US8332922B2 (en) * 2007-08-31 2012-12-11 Microsoft Corporation Transferable restricted security tokens
ITTO20070853A1 (it) * 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
US8539551B2 (en) * 2007-12-20 2013-09-17 Fujitsu Limited Trusted virtual machine as a client
US8544066B2 (en) 2007-12-27 2013-09-24 Nec Corporation Access right management system, access right management method, and access right management program
US8281151B2 (en) * 2008-04-09 2012-10-02 Hewlett-Packard Development Company L. P. Auditor assisted extraction and verification of client data returned from a storage provided while hiding client data from the auditor
US8438622B2 (en) * 2008-07-10 2013-05-07 Honesty Online, Llc Methods and apparatus for authorizing access to data
WO2010017828A1 (en) * 2008-08-14 2010-02-18 Nec Europe Ltd. Secure browser-based access to web services
US9443084B2 (en) * 2008-11-03 2016-09-13 Microsoft Technology Licensing, Llc Authentication in a network using client health enforcement framework
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
US8275991B2 (en) * 2009-07-10 2012-09-25 Cahn Robert S On-line membership verification
CN101667913B (zh) * 2009-09-18 2011-12-21 重庆邮电大学 基于对称加密的认证加密方法及加密系统
EP2483791B1 (en) * 2009-09-30 2018-01-17 Amazon Technologies, Inc. Modular device authentication framework
US9129086B2 (en) 2010-03-04 2015-09-08 International Business Machines Corporation Providing security services within a cloud computing environment
JP5491932B2 (ja) * 2010-03-30 2014-05-14 株式会社インテック ネットワーク・ストレージ・システム、方法、クライアント装置、キャッシュ装置、管理サーバ、及びプログラム
JP5552870B2 (ja) * 2010-04-01 2014-07-16 ソニー株式会社 メモリ装置、ホスト装置、およびメモリシステム
CN101977194B (zh) * 2010-10-29 2013-01-30 深圳市宇初网络技术有限公司 一种第三方验证码系统及第三方验证码提供方法
JP5682237B2 (ja) * 2010-11-05 2015-03-11 富士ゼロックス株式会社 情報処理装置及びプログラム
US9497184B2 (en) * 2011-03-28 2016-11-15 International Business Machines Corporation User impersonation/delegation in a token-based authentication system
KR101273285B1 (ko) 2011-06-03 2013-06-11 (주)네오위즈게임즈 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템
US9244709B2 (en) * 2011-06-13 2016-01-26 Microsoft Technology Licensing, Llc Automatic recognition of web application
WO2013019261A1 (en) * 2011-08-01 2013-02-07 Intel Corporation MULTI-HOP SINGLE SIGN-ON (SSO) FOR IDENTITY PROVIDER (IdP) ROAMING/PROXY
US9507927B2 (en) * 2011-09-30 2016-11-29 Oracle International Corporation Dynamic identity switching
US9519777B2 (en) 2011-10-31 2016-12-13 Novell, Inc. Techniques for controlling authentication
US8924723B2 (en) * 2011-11-04 2014-12-30 International Business Machines Corporation Managing security for computer services
US9117062B1 (en) * 2011-12-06 2015-08-25 Amazon Technologies, Inc. Stateless and secure authentication
US8881256B1 (en) 2011-12-21 2014-11-04 Amazon Technologies, Inc. Portable access to auditing information
CN103209158A (zh) * 2012-01-12 2013-07-17 深圳市宇初网络技术有限公司 一种第三方验证方法以及系统
US8914842B2 (en) * 2012-01-23 2014-12-16 Microsoft Corporation Accessing enterprise resource planning data from a handheld mobile device
US9026784B2 (en) * 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
CN102752276A (zh) * 2012-02-02 2012-10-24 青岛印象派信息技术有限公司 一种基于云计算的验证码服务方法和系统
US8874909B2 (en) 2012-02-03 2014-10-28 Daniel Joseph Lutz System and method of storing data
US9191394B2 (en) * 2012-02-08 2015-11-17 Microsoft Technology Licensing, Llc Protecting user credentials from a computing device
US20130219387A1 (en) * 2012-02-22 2013-08-22 Vmware, Inc. Establishing secure two-way communications in a virtualization platform
US9536100B2 (en) 2012-04-16 2017-01-03 Intel Corporation Scalable secure execution
US8898764B2 (en) * 2012-04-19 2014-11-25 Microsoft Corporation Authenticating user through web extension using token based authentication scheme
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US9047442B2 (en) * 2012-06-18 2015-06-02 Microsoft Technology Licensing, Llc Provisioning managed devices with states of arbitrary type
US8839376B2 (en) * 2012-06-29 2014-09-16 Cable Television Laboratories, Inc. Application authorization for video services
US8949596B2 (en) * 2012-07-10 2015-02-03 Verizon Patent And Licensing Inc. Encryption-based session establishment
CN103716283B (zh) 2012-09-29 2017-03-08 国际商业机器公司 用于在流程中处理调用的Web服务的OAuth认证的方法和系统
US8990907B2 (en) * 2012-11-09 2015-03-24 Microsoft Corporation Managing security credentials for scaled-out services
US20140181939A1 (en) * 2012-12-14 2014-06-26 United States Postal Service Cloud computing exchange for identity proofing and validation
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9547771B2 (en) 2013-02-12 2017-01-17 Amazon Technologies, Inc. Policy enforcement with associated data
US9009480B1 (en) 2013-03-07 2015-04-14 Facebook, Inc. Techniques for handshake-free encrypted communication using public key bootstrapping
US9032505B1 (en) 2013-03-15 2015-05-12 Wells Fargo Bank, N.A. Creating secure connections between distributed computing devices
US9363256B2 (en) 2013-04-11 2016-06-07 Mx Technologies, Inc. User authentication in separate authentication channels
US9940614B2 (en) 2013-04-11 2018-04-10 Mx Technologies, Inc. Syncing two separate authentication channels to the same account or data using a token or the like
US9300639B1 (en) 2013-06-13 2016-03-29 Amazon Technologies, Inc. Device coordination
US9832171B1 (en) * 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US9276928B2 (en) * 2013-06-15 2016-03-01 Microsoft Corporation Sending session tokens through passive clients
US20150007269A1 (en) * 2013-06-27 2015-01-01 International Business Machines Corporation Delegating authentication for a web service
US9948726B2 (en) * 2013-07-01 2018-04-17 Avaya Inc. Reconstruction of states on controller failover
US9456003B2 (en) 2013-07-24 2016-09-27 At&T Intellectual Property I, L.P. Decoupling hardware and software components of network security devices to provide security software as a service in a distributed computing environment
TWI506474B (zh) * 2013-11-08 2015-11-01 Chunghwa Telecom Co Ltd Heterogeneous information device integration method
US9426156B2 (en) * 2013-11-19 2016-08-23 Care Innovations, Llc System and method for facilitating federated user provisioning through a cloud-based system
CN103607284B (zh) * 2013-12-05 2017-04-19 李笑来 身份认证方法及设备、服务器
US9231940B2 (en) * 2013-12-16 2016-01-05 Verizon Patent And Licensing Inc. Credential linking across multiple services
US9419979B2 (en) * 2014-03-31 2016-08-16 EXILANT Technologies Private Limited Increased communication security
US10389714B2 (en) 2014-03-31 2019-08-20 Idaax Technologies Private Limited Increased communication security
US9426135B2 (en) 2014-03-31 2016-08-23 EXILANT Technologies Private Limited Increased communication security
US9426148B2 (en) * 2014-03-31 2016-08-23 EXILANT Technologies Private Limited Increased communication security
US9419949B2 (en) * 2014-03-31 2016-08-16 EXILANT Technologies Private Limited Increased communication security
US9426136B2 (en) 2014-03-31 2016-08-23 EXILANT Technologies Private Limited Increased communication security
US9602486B2 (en) * 2014-03-31 2017-03-21 EXILANT Technologies Private Limited Increased communication security
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
EP2991308B1 (en) * 2014-08-27 2021-08-25 Idaax Technologies Private Limited Increased communication security
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
CN107113175B (zh) * 2014-10-31 2020-08-04 威斯科数据安全国际有限公司 多用户强认证令牌
US9544311B2 (en) * 2014-11-14 2017-01-10 Sap Se Secure identity propagation in a cloud-based computing environment
CN110086768B (zh) * 2014-12-31 2022-02-01 创新先进技术有限公司 一种业务处理方法及装置
US10469477B2 (en) 2015-03-31 2019-11-05 Amazon Technologies, Inc. Key export techniques
US11252190B1 (en) 2015-04-23 2022-02-15 Amazon Technologies, Inc. Limited access policy bypass
CN106302312B (zh) * 2015-05-13 2019-09-17 阿里巴巴集团控股有限公司 获取电子文件的方法及装置
WO2017007380A1 (en) * 2015-07-03 2017-01-12 Telefonaktiebolaget Lm Ericsson (Publ) Method performed by a cache server for managing content requests
KR101981203B1 (ko) * 2015-09-23 2019-05-22 주식회사 엔터플 사용자 계정 동기화를 이용한 디지털 상품 제공 방법 및 장치
CN107317787A (zh) * 2016-04-26 2017-11-03 北京京东尚科信息技术有限公司 服务授信方法、设备及系统
WO2018011762A2 (en) * 2016-07-14 2018-01-18 Kumar Srijan A client-server based system for collusion resistant, verifiable and provably fair token based games and methods employed thereof
US20180103032A1 (en) * 2016-10-06 2018-04-12 Fmr Llc Authorization of Computing Devices Using Cryptographic Action Tokens
US10356079B2 (en) * 2016-12-05 2019-07-16 Keeper Security, Inc. System and method for a single sign on connection in a zero-knowledge vault architecture
KR102469979B1 (ko) * 2017-06-14 2022-11-25 탈레스 Dis 프랑스 Sa 제1 애플리케이션과 제2 애플리케이션 사이의 상호 대칭 인증을 위한 방법
US10880087B2 (en) * 2018-08-20 2020-12-29 Jpmorgan Chase Bank, N.A. System and method for service-to-service authentication
CN110611661A (zh) * 2019-08-23 2019-12-24 国网浙江省电力有限公司电力科学研究院 基于双重认证多重防护措施的采集信息共享方法及系统
US11689924B2 (en) * 2021-04-02 2023-06-27 Vmware, Inc. System and method for establishing trust between multiple management entities with different authentication mechanisms
US20230171257A1 (en) * 2021-11-29 2023-06-01 Verizon Patent And Licensing Inc. System and method for system access credential delegation

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7386513B2 (en) 2001-01-17 2008-06-10 Contentguard Holdings, Inc. Networked services licensing system and method
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US7231663B2 (en) * 2002-02-04 2007-06-12 General Instrument Corporation System and method for providing key management protocol with client verification of authorization
US7818792B2 (en) * 2002-02-04 2010-10-19 General Instrument Corporation Method and system for providing third party authentication of authorization
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
CN1260664C (zh) * 2003-05-30 2006-06-21 武汉理工大学 一种用户计算机之间交换密钥的方法
US7356694B2 (en) * 2004-03-10 2008-04-08 American Express Travel Related Services Company, Inc. Security session authentication system and method
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services

Also Published As

Publication number Publication date
EP1931107A1 (en) 2008-06-11
DE602006001767D1 (de) 2008-08-28
EP1703694A2 (en) 2006-09-20
US7900247B2 (en) 2011-03-01
CN1835437B (zh) 2011-01-26
EP1703694A3 (en) 2006-10-18
ATE401730T1 (de) 2008-08-15
KR20060100920A (ko) 2006-09-21
EP1703694B1 (en) 2008-07-16
US20060206932A1 (en) 2006-09-14
JP2006260538A (ja) 2006-09-28
CN1835437A (zh) 2006-09-20

Similar Documents

Publication Publication Date Title
JP5021215B2 (ja) Webサービス用の信頼できる第三者認証
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
US7533265B2 (en) Establishment of security context
JP4600851B2 (ja) コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
US8340283B2 (en) Method and system for a PKI-based delegation process
US20120295587A1 (en) Trusted mobile device based security
US20070055867A1 (en) System and method for secure provisioning of encryption keys
CA2798024C (en) One time passwords with ipsec and ike version 1 authentication
US20080165970A1 (en) runtime mechanism for flexible messaging security protocols
US20080168273A1 (en) Configuration mechanism for flexible messaging security protocols
Manzoor Securing device connectivity in the industrial internet of things (IoT)
Arnedo-Moreno et al. Secure communication setup for a P2P-based JXTA-overlay platform
JP6045018B2 (ja) 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法
Calbimonte et al. Privacy and security framework. OpenIoT deliverable D522
Cater SOA: Service-Oriented Architecture
answers Verizon 1.2 Securing Device Connectivity in the IoT
Platform Trusted mobile platform
Kehagias et al. eCOMPASS–TR–048
An Security AND Privacy White Paper
Cater Service-Oriented Architecture and Web Services Security
Vasudevan et al. Design and Implementation of a Rule-based Security Engine for XML Web Services

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090213

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120608

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120614

R150 Certificate of patent or registration of utility model

Ref document number: 5021215

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150622

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees