JP5334320B2 - 暗号証拠の再検証に基づく認証委任 - Google Patents

暗号証拠の再検証に基づく認証委任 Download PDF

Info

Publication number
JP5334320B2
JP5334320B2 JP2009539518A JP2009539518A JP5334320B2 JP 5334320 B2 JP5334320 B2 JP 5334320B2 JP 2009539518 A JP2009539518 A JP 2009539518A JP 2009539518 A JP2009539518 A JP 2009539518A JP 5334320 B2 JP5334320 B2 JP 5334320B2
Authority
JP
Japan
Prior art keywords
user
client
gateway
authentication
handshake
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009539518A
Other languages
English (en)
Other versions
JP2010512069A (ja
Inventor
メドゥビンスキー ジェナディ
ナイス ニール
シラン トマー
テプリットスキー アレクサンダー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2010512069A publication Critical patent/JP2010512069A/ja
Application granted granted Critical
Publication of JP5334320B2 publication Critical patent/JP5334320B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Description

組織は、あるサービスをユーザーに一緒に提供する一連のエンティティを有することができる。例えば、データ、ウェブページ、機能的なソフトウェアオペレーションなどのリソースへのアクセスは、習熟かつ権限を与えられた一定のユーザーに限定する必要がある。権限のないユーザーや悪意のある攻撃者が、ウェブリソースにアクセスしようとしているユーザーのアイデンティティを認証するのに使用される機構を含むコンピューターリソースにアクセスすることを阻止するために、さまざまなアクセス制御方式が開発されている。特に、個人情報盗難の攻撃(例えば、フィッシング、ファーミング)の増加により、2要素認証が一般的になりつつある。
T−FA(Two-factor authentication)とは、アイデンティティと権限を確立するための異なる2つの方法を必要とする任意の認証プロトコルである。T−FAの一般的な実装は、要因の一つとして「あなたが知るもの」(例えば、パスワードまたは個人識別番号)を使用し、他の要因として「あなたが有するもの」(例えば、クレジットカードまたはハードウェアトークン)か、あるいは「あなたであるもの」(例えば、指紋または網膜のパターン)を使用する。例えば、スマートカードは、T−FAを提供する方法の1つである。スマートカードは、ハードウェアトークンの一例であり、典型的には、所与のデータ上の暗号化機能を実行するなどのさまざまなセキュリティ動作が可能であるマイクロプロセッサーを含む。スマートカードは通常、証明書ベースの認証を要求するプロトコルに使用できる1つまたは複数のITU−T(International Telecommunication Union)X.509証明書(およびそれらに関連する秘密鍵)を保持する。SSL(Secure Socket Layer)、TLS(Transport Layer Security)、およびKerberos(「Public Key Cryptography for Initial Authentication in Kerberos」の省略である、PKINITを用いる)は、そのようなプロトコルのすべての例である。
証明書を使用するのにスマートカードは必要ない。多くのデバイス(例えば、コンピューター、携帯電話)は、証明書(およびそれらに関連する秘密鍵)を格納し、使用することが可能である。例えば、Windows(登録商標) Mobile 5.0 は、(SSLまたはTLSの最上部で起動する Exchange ActiveSynch プロトコルを経由して)Eメールやカレンダー情報を同期化するために、証明書を使用して、Exchange 2003 SP2 サーバー に対して認証することができる。
例えば、ウェブベースのアクセスを組織内部のネットワーク(イントラネット)上に置かれるウェブサーバーに提供するネットワーク端部のゲートウェイデバイスを含む、組織のネットワークの一連のエンティティに対する個人情報盗難の攻撃を阻止することが、重要である。
認証委任は、クライアントがサーバーに対する認証を委任するか、より具体的には、第三者認証サービス(またはゲートウェイ)が、ユーザーに代わって(実質的には、そのユーザーに成り済ますことによって)リソース(またはサーバー)にアクセスして認証することができる場合として広く定義されている。アクセスされたサーバーは、認証サービスのアカウントに基づいてというよりむしろ、ユーザーのアイデンティティ上に権限付与判定の基礎を置く。
本背景技術は、以下の発明の概要および詳細な説明に対して簡潔なコンテキストを導入するために提供される。本背景技術は、特許請求の範囲に記載された主題の範囲を決定する際の補助となることを意図しておらず、特許請求の範囲に記載された主題を上記に提示された任意のまたはすべての欠点もしくは問題を解決することができるこれらの実装のみに限定すると見なすことも意図していない。
再検証または暗号証拠に基づいた認証委任は、ユーザーが一連のエンティティ内の特定のサーバーにアクセスを望むとき、ゲートウェイデバイスとユーザー間のTLSハンドシェイクの少なくとも一部の記録を利用する。暗号証拠は、TLSハンドシェイクの記録された部分を(1)サーバーが記録された部分を再検証して認証を確認する場合の所望のサーバーか、または(2)第三者エンティティが、記録された部分を再検証し、ユーザー資格をゲートウェイに提供することによって認証を確認し、今度はその資格を使用して、ユーザーとしてサーバーに対して認証する場合の第三者エンティティのいずれかに転送することによって提供される。いずれの場合にも、サーバーおよび第三者エンティティは、ユーザーとゲートウェイデバイス間の認証に関与せずに、TLSハンドシェイクの記録された部分を使用してユーザーアクセスを許可するかどうかの判定をする。
さまざまな説明的な例において、暗号証拠は、TLSハンドシェイクが時宜にかなう(すなわち、「フレッシュ(fresh)」)ように保証することによって付加的なセキュリティ対策を提供するために、タイムスタンプを含む。加えて、有効なTLSハンドシェイクを確認した後、第三者エンティティは、ゲートウェイが、ユーザーに代わって、例えば、PKINITを用いたKerberosを使用して、所望のサーバーに対して認証できる一時的な(すなわち、期限付き)ユーザー資格を発行するように設定することができる。
本概要は、簡易形式によって概念の選択を導入するために提供される。この概念は、詳細な説明の節においてさらに説明される。本概要において説明されたもの以外の要素またはステップが実現可能であり、要素またはステップは必ずしも必要とされない。本概要は、特許請求の範囲に記載された主題の主要な特徴または本質的な特徴を明らかにすることを意図しておらず、特許請求の範囲に記載された主題の範囲を決定する際の補助としての使用も意図しない。特許請求の範囲に記載された主題は、本開示のいずれの部分に述べた任意またはすべての欠点を解決する実装に限定されない。
TLSハンドシェイクメッセージの再検証に基づく認証委任のための説明的なアーキテクチャの簡易化した機能的なブロック図である。 図1の例示的なアーキテクチャを利用して、認証プロセスのステップを示す説明的なフロー図である。 ユーザー資格が、TLSハンドシェイクの少なくとも一部の記録を受信する第三者エンティティによって提供される認証委任のための説明的なアーキテクチャの簡易化した機能的なブロック図である。 クライアントとKerberos(バージョン5)プロトコルにおける鍵配布センター間の説明的なメッセージ交換を示す図である。 図3の例示的なアーキテクチャを利用して、認証プロセスのステップを示す説明的なフロー図である。 典型的なTLSハンドシェイクフェーズのクライアントとサーバー間のメッセージの交換を示す概略メッセージフロー図である。
再検証または暗号証拠に基づいた本認証委任の説明的なコンテキストは、クライアント/ユーザーがゲートウェイを通じて1つまたは複数のサービスプロバイダーにアクセスするものである。しかしながら、このコンテキストは単に説明的であり、他のコンテキストおよび環境でも適用できることを強調しておく。例えば、本認証委任は、ウェブサーバーがバックエンドアプリケーションまたはデータベースに対してユーザーとして認証する必要があるとき、もしくは代替的に一連のエンティティがあり連鎖するエンティティ間で認証が必要とされる場合の任意の設定において使用することができる。
アクセスコンテキストにおいて、ゲートウェイデバイスは、ユーザーが要求を提出するウェブサーバーへのアクセスを提供し、これらの要求は、ゲートウェイに到達し、最終的には内部のウェブサーバーに到達する。しかしながら、ゲートウェイとウェブサーバーの両方は、典型的には、これらに接続しているユーザーが所望のリソースにアクセスできるかどうかを判定するために、ある認証形式を必要とする。
ゲートウェイを組み込んで、FBA(form-based authentication)を使用する場合、ユーザーは、ログオン形式でユーザー名およびパスワードを入力する必要がある。次にユーザーは、この形式を提出し、ゲートウェイは、ユーザーのユーザー名およびパスワードを受信する。次にゲートウェイは、それらの資格を使用して、ユーザーに代わって内部のウェブサーバーに対して認証することができる。ゲートウェイがパスワードを受信し、要望通りにパスワードを使用することができるため、これは非常に簡単であり実行可能である。しかしながら、ある認証方式と一緒にはこれは実行できない。例えば、ユーザーが、パスワードを提供しない認証方式を使用してゲートウェイに対して認証する場合、ゲートウェイは、ユーザーに代わって内部のウェブサーバーに対して認証するために再使用することができる何らの資格を有さない。
この問題に対するいくつかの解決方法が提案されている。例えば、一解決方法では、「信頼された第三者」が関与する。ここでは、ゲートウェイを「信頼する」のに先立って信頼された第三者を組み込んで、すべてのユーザーに代わって定義されたウェブサーバー(または一般的にサービス)のセットに対して認証する。この技術を、ゲートウェイ(またはフロントエンドサーバー)が、クライアントに代わって他のサーバーと使用するチケットを要求できるプロトコルとして実装することができる。信頼された第三者は、次に、ゲートウェイがその後任意のユーザーに成り済ますことができるように、任意のユーザーに代わってサービスチケットをゲートウェイに進んで提供する。
信頼された第三者を組み込んで、具体的な条件の下にサービスチケットを提供することもできる。例えば、Kerberosプロトコルにおいて、クライアントは、サービスチケットを介してゲートウェイに対して認証し、Kerberosに制約された委任は、信頼された第三者(鍵配送センター)を組み込んで、その条件を課すことができる方法を提供する。この場合では、ゲートウェイは、主張したユーザーが実際にゲートウェイに認証(サービスチケットを介して)された証拠を提供しなければならない。これは、システム全体のセキュリティを強化するのに重要である。例えば、このような証拠を要求する利点は、侵害されたゲートウェイは、最初にユーザーがそのゲートウェイに正しく認証されなければユーザーに代わってサーバーにアクセスすることができないことである。
これらの提案がパスワードなしの認証に対処するための方法を提供する一方で、場合によっては、KDC(Key Distribution Center)または他の信頼された第三者エンティティと関与しない認証委任モデルを実装するのが望ましいかもしれない。このようなモデルにおいて、ゲートウェイは、KDCとの通信を全く行わずに、ユーザーに代わって内部のウェブサーバーに対して認証する。この種の機能性を提供する多くの解決方法がある。例えば、一部の製品は、いったんユーザーがゲートウェイに対して認証すると、そのゲートウェイは、内部のウェブサーバーによって信頼されたトークン(HTTP(Hypertext Transfer Protocol) 場合によってはクッキー(cookie))を戻すことができるように、ゲートウェイおよび任意の数の内部のウェブサーバー上でインストール/組み込むことができる。他の提案と同様に、このモデルに対する1つの問題は、ゲートウェイは完全に信頼されたエンティティであるので、システムの全体のセキュリティを低下させることである。
本配置は、暗号証拠の再検証に基づいた認証委任を提供する。ゲートウェイ(またはフロントエンドサーバー)は、ウェブサーバー(またはバックエンドサーバー)へのアクセスを提供する。クライアント/ユーザーは、クライアント認証を有するTLSハンドシェイクを使用してゲートウェイに対して認証する。TLSハンドシェイクの記録、または少なくともユーザーがゲートウェイに認証されたことを証明するのに十分なTLSハンドシェイクの記録は、次いで、ウェブサーバー(そのハンドシェイクの有効性を再検証する)か、または第三者エンティティ(その記録を検証した後、ユーザー資格をゲートウェイに提供し、次にゲートウェイは、ウェブサーバーに対して認証する)のいずれかに提供される。
これより同様の参照番号が同様の要素を指す図を参照しながら、図1に本認証委任を利用する例示的なネットワークアーキテクチャを示す。クライアント/ユーザーコンピューターシステム10を、ゲートウェイ20(認証サーバとも呼ばれる)に動作可能につなげることによって、クライアント/ユーザー10とウェブサーバー30(ネットワークサーバーとも呼ばれる)のネットワーク間の通信ができるようになる。ゲートウェイ20は、ユーザーを認証するのに必要な情報を含むデータベース/ディレクトリ(図示せず)を含む(代替的に、ゲートウェイは、外部のユーザーデータベース/ディレクトリを用いてネットワーク上で通信することができる)。ログオンに応答して、ユーザー/クライアント10は、参照数字35に示すように、最初にクライアント認証を有するTLSハンドシェイクを経由してゲートウェイ20に対して認証する。TLSハンドシェイクプロトコルではクライアント認証が随意的であるため、クライアント認証は、ここで意図的に述べられていることに留意されたい。
TLSプロトコルは、インターネット上で通信プライバシーを提供し、クライアント/サーバーアプリケーションが、盗聴、改ざん、またはメッセージ偽造を阻止するように設計された方法によって通信することを可能にする。TLSハンドシェイクプロトコルによって、アプリケーションプロトコルがそのデータの最初のバイトを送信または受信する前に、サーバーとクライアントは、互いに認証し合い、暗号アルゴリズムと暗号鍵を交渉することができる。
TLSの1つの利点は、アプリケーションプロトコルインディペンデントがあることである。従って上位レベルプロトコルを、透過的にTLSプロトコルの最上層に置くことができる。TLSハンドシェイクプロトコルを、以下のように要約することができる。すなわち、ユーザー/クライアントは、クライアントのハローメッセージを、サーバーのハローメッセージによって応答しなければならないサーバー(図1のゲートウェイ20)に送信する。さもなければ、致命的なエラーが起こり、この接続が失敗する。クライアントのハローとサーバーのハローを使用して、クライアントとサーバー間のセキュリティ強化機能を確立する。
図6は、典型的なTLSハンドシェイクフェーズのクライアントとサーバー間のメッセージ交換を示す概略メッセージフロー図である。TLSプロトコルは、RFC2246のTLSプロトコル バージョン1.0において詳細に記載されており、この開示は、参照することによって本明細書に組み込まれる。クライアント/ユーザーは、クライアント−サーバー関係においてゲートウェイデバイスと通信する。
さらに具体的には、図6に示すように、実際の鍵交換は、メッセージを4つまで使用する。すなわち、サーバー証明書、サーバー鍵交換、クライアント証明書、およびクライアント鍵交換である。新しい鍵交換方法は、これらのメッセージに対しフォーマットを指定し、そのメッセージの使用を定義することによって作り出され、これによってクライアントとサーバーは、共有秘密に対して合意できる。ハローメッセージの後、サーバーは、そのメッセージが認証されるべきであるならば、メッセージの証明書を送信する。加えて、要求される場合は(例えば、サーバーが証明書を有しないか、または署名のみに対するものである場合)サーバー鍵交換メッセージを送信することができる。
サーバーが認証された場合、暗号スイートの選択がふさわしければ、サーバーは、クライアントから証明書を要求することができる。次にサーバーは、ハンドシェイクのハローメッセージフェーズが完了したことを表示する、サーバーのハロー完了メッセージを送信する。次にサーバーは、クライアントの応答を待つ。サーバーが、証明書要求メッセージ(certificate request message)を送信した場合、クライアントは、その証明書メッセージを送信しなければならない。クライアント鍵交換メッセージが送信され、そのメッセージ内容は、クライアントハローとサーバーハロー間で選択した公開鍵アルゴリズムに依存する。クライアントが署名機能を有する証明書を送信した場合、デジタル署名された証明書検証メッセージを送信して、この証明書を明確に検証する。
図1に戻ると、この説明的な例において、ゲートウェイ20は、このハンドシェイクの一部として交換されたデータの記録(図1では参照番号45とともにTHRとして示す)を作成する。より詳しくは、この記録は、TLSハンドシェイクの以前のすべてのメッセージに対する署名から成り、ユーザー/クライアント10がその証明書と一致する秘密鍵を実際に所有することを証明する、証明書検証メッセージまでのデータを少なくとも含む。
TLSハンドシェイクの記録、またはTHRは次に、ユーザー/クライアント10がゲートウェイ20に認証された認証証拠(すなわち、「プルーフ(proof)」)として、内部のウェブサーバー30に直接提供される。
内部のウェブサーバー30は、クライアント/ユーザー10とゲートウェイ20間の認証に関与せずに、単にクライアント/ユーザー10とゲートウェイ20間の認証の認証証拠(すなわち、THR)を提供されて、次いで所望のリソースへのアクセスを提供するかどうかに関する判定をするにすぎない。
提案された方式は、TLSハンドシェイクが証明書検証メッセージを含む場合しか使用できないことに留意されたい。このメッセージは、以下のいずれかの条件が真である場合は使用されない。すなわち
1)TLSハンドシェイクは、クライアント認証を含まない。
2)クライアントとゲートウェイは、(新しいセキュリティパラメータを交渉する代わりに)以前のTLSセッションを再開するまたは現在のセッションを繰り返す決定をする。この場合、TLSハンドシェイクは、証明書検証メッセージを含まない(RFC2246の30−31ページ参照)。
3)クライアント証明書は、署名機能(すなわち、固定ディフィー・へルマンパラメーターを含むものを除くすべての証明書)を有する。例えば、暗号スイート ECDH_ECDSAとECDH_RSA(RFC4492参照)は、クライアント認証をサポートするが、証明書検証メッセージは利用しない。
図2は、図1に示した例示的なアーキテクチャにおいて、クライアント/ユーザーが、ウェブサーバーへアクセスしようとするときに実行される認証プロセスの説明的なフロー図である。このプロセスは、クライアント/ユーザーが、ウェブサーバーリソースを所望し、ゲートウェイ20にアクセスするときに開始する(ステップ200)。クライアント/ユーザーが、ウェブサーバーにログインしていない場合、そのクライアント/ユーザーは、ウェブサーバーがアクセスを許可する前に、認証されなければならない。
クライアント/ユーザーは次に、所望のウェブサーバーリソースを要求する(ステップ210)。クライアント/ユーザーを認証するために、ゲートウェイ20とクライアント/ユーザー10は次に、上記に詳しく説明した方法によってクライアント認証を有するTLSハンドシェイクを実行する(ステップ220)(当業者は当然、ゲートウェイ20は、クライアント/ユーザーが所望のリソースを要求する前か、またはクライアント/ユーザーがリソースを要求した後に、即座にクライアント/ユーザー10を認証できることを理解するだろう)。TLSハンドシェイクの少なくとも一部の記録が作成されて、要求されたウェブサーバーに提供される(ステップ230)。
THRの受信後、ウェブサーバー30は、クライアント/ユーザーが、ゲートウェイに認証されたことを検証する(証明書のクライアント/ユーザーの署名を有効にすることによって、THRのメッセージおよびある実施形態におけるTHRのタイムスタンプ(以下に論ずる)も検証する)(ステップ240)。クライアント/ユーザーがウェブサーバーにアクセスする権限を与えられたと仮定して、THRが検証された場合、要求されたウェブサーバーへのアクセスが許可され(ステップ250)、THRが検証されない場合、そのアクセスは拒否される(ステップ260)。
攻撃者がTHRを取得できて、THRを再使用してクライアント/ユーザーに成り済まそうとする場合に、このような「リプレイアタック」を阻止するか、または少なくとも抑制するために想定されるいくつかの技術および機構がある。まず、サーバーおよび/またはクライアント/ユーザーが、時間に関連するデータ(例えば、タイムスタンプ)をそれらのハンドシェイクメッセージに組み込んだと仮定して、サービスプロバイダー(例えば、内部のウェブサーバー)は、受信したTHRを調べて、それが「フレッシュ」であることを確認することができる。この解決方法は、典型的には、ゲートウェイ20およびウェブサーバー30に(またはユーザー/クライアント10およびウェブサーバー30)、同期化されたクロックを有するよう要求する。とはいえ、当業者は当然、多くの実現可能な次善策があることがわかるだろう。
代替的に、ゲートウェイ20は、サービスプロバイダー(ウェブサーバー30)にノンスを求め、TLSハンドシェイクの一部としてユーザー/クライアント10に送信するメッセージの1つの中にノンスを組み込むことが可能である。サービスプロバイダーは次に、受信したTHRを調べて、それが以前に作成されてゲートウェイ20を通過したノンスを含むことを確認することができる。
このような2つの可能性のいずれにおいても、ゲートウェイ20(またはユーザー/クライアント10)は、あるデータをTLSハンドシェイクメッセージに組み込む(さらに、ハンドシェイクプロトコルは基本的に、データ転送セッションのセキュリティパラメータを交渉する一連の順序付けられたメッセージである)。このようなデータの組み込みは、典型的には、以下の方法の1つによって行われるものとする。すなわち
(1)サーバーは、タイムスタンプまたはノンスをサーバーのハローメッセージ内に、このメッセージのランダムフィールドの一部として、置く(ハンドシェイクプロトコルのこの態様の詳細は、RFC2246の7.4.1.3節に見出すことができる)
(2)サーバーは、タイムスタンプまたはノンスをサーバーのハロー拡張子に置く(詳細は、RFC3546の2.2節に見出すことができる)
(3)クライアント/ユーザーは、タイムスタンプをクライアントのハローメッセージ内に、このメッセージのランダムフィールドの一部として、置く(ハンドシェイクプロトコルのこの態様の詳細は、RFC2246の7.4.1.2節に見出すことができる)
(4)クライアント/ユーザーは、タイムスタンプをクライアントのハロー拡張子内に置く(詳細は、RFC3546の2.1節に見出すことができる)
最後に、上記の代替案の各々に加えて、サービスプロバイダ(ウェブサーバ30)は、同じTHRを2回以上使用しないことを保証するために、受信するすべてのTHRを記憶することが可能である。この記憶は、ある共有された記憶装置または通信機構を経由して、サービスプロバイダー間で共有することも可能である。
別の説明的な実装において、ゲートウェイまたはクライアントとゲートウェイ間の通信チャネルを侵害する攻撃者に対するより一層の防御として、「2重の」TLSハンドシェイクを使用することができる。この場合、クライアント/ユーザー10およびゲートウェイ20は、クライアント認証を有しない第1のTLSハンドシェイクを実行する。第1のTLSハンドシェイクがうまく完了したとき、クライアント/ユーザー10およびゲートウェイ20は、クライアント認証を有する第2のTLSハンドシェイクを実行する。後に証拠(THR)として使用される第2のハンドシェイクは、クライアント/ユーザー10およびゲートウェイ20が第1のハンドシェイクから得たセッション鍵によって送信のために暗号化される。従ってTHRは、暗号化されずに(例えば、暗号化されていない文章で)送信されないように防御されているので、攻撃者がたとえゲートウェイ20を侵害できたとしても、THRを取得するのはより困難になるだろう。
これまで論じられ、図1に示した実施形態は、ユーザー/クライアント10、ゲートウェイ20、およびサービスプロバイダー(ウェブサーバー30)から成る。図3に示す、以下でより詳細に論じられる代替的実施形態では、第三者エンティティ40を利用する。この場合、サービスプロバイダー(ウェブサーバー30)は、第三者エンティティ40を「信頼」して、ユーザーの実アイデンティティを提供する。このような第三者エンティティ40を、KerberosKDC(S4U2Self+S4U2Proxyなど)またはCA(Certificate Authority、認証局)にすることができる。第三者エンティティ40を、個別のエンティティとして図3に示しているが、ある構成においては、第三者エンティティ(KDCまたはCA)は、ゲートウェイ20として同じマシン上に常駐することに留意する。
図3に示した実施形態をさらに具体的に論じる前に、KDCとして知られる信頼された第三者の使用に関与するKerberosプロトコルが、クライアントとサービス間の共有セッション鍵を交渉し、クライアントとサービス間の相互認証を提供することを論ずる。
Kerberosの基礎は、チケットと認証コードである。チケットは、特定のサービスを目的とするエンベロープ(公開メッセージ)の対称鍵(チケットセッション鍵−2つのエンドポイント間で共有されるただ1つの鍵である)をカプセル化する。チケットの内容は、サービスのプリンシパルと発行するKDC間で共用される対称鍵を用いて暗号化される。チケットの暗号化された部分は、他の項目の中で、クライアントのプリンシパル名を含む。認証コードは、関連するチケットのチケットセッション鍵を使用して、直近に作成されたことを示すことができる記録である。チケットセッション鍵は、そのチケットを要求したクライアントにより公知である。認証コードの内容は、関連するチケットセッション鍵を用いて暗号化される。認証コードの暗号化された部分は、他の項目の中で、タイムスタンプとクライアントのプリンシパル名を含む。
図4に示したように、Kerberos(バージョン5)プロトコルは、以下のクライアント405とKDC410間、およびクライアント405とアプリケーションサーバー415間のメッセージ交換から成る。すなわち
AS(Authentication Service、認証サービス)交換
クライアントは、典型的にはTGT(Ticket Granting Ticket、チケット保証チケット)である、KerberosAS(authentication server)から「最初の」チケットを取得する。AS−REQメッセージ420とAS−REP425メッセージはそれぞれ、クライアントとAS間の要求メッセージと応答メッセージである。
TGS(Ticket Granting Service、チケット保証サービス)交換
続いてクライアントは、認証するためにTGTを使用して、KerberosTGS(ticket-granting server)から特定のサービスのサービスチケットを要求する。TGS−REQメッセージ430とTGS−REP435メッセージはそれぞれ、クライアントとTGS間の要求メッセージと応答メッセージである。
クライアント/サーバーAP(Authentication Protocol、認証プロトコル)交換
次にクライアントは、クライアントのチケットセッション鍵の所有を認証するサービスチケットと認証コードから成るAP−REQメッセージ440を用いて要求する。サーバーは、随意的に、AP−REPメッセージ445を用いて応答することができる。AP交換は、典型的には、セッション固有対称鍵を交渉する。
ASおよびTGSは、典型的には、KCDとしても知られる単一のデバイス内に組み込まれる。
AS交換において、KDC応答は、他の項目の中で、チケットセッション鍵を含み、クライアントとKDC間で共有される鍵(AS応答鍵)を使用して暗号化される。AS応答鍵は、典型的には、人間ユーザー用のクライアントのパスワードから得られる。従って、人間ユーザーにとって、攻撃に対するKerberosプロトコルの抵抗力は、人間ユーザーのパスワードの効力ほど強くない。
データ発信元認証および完全秘密を容易にするために、X.509証明書形式での非対称暗号の使用(「ISOC(Internet Society、インターネット協会)」によって管理された文書シリーズ「Request for Comments」の項目でRFC3280を参照)が普及している。確立されたPKI(Public Key Infrastructure、公開鍵基盤)は、認証および安全な通信を確立するために使用することができる鍵管理および鍵分散機構を提供する。公開鍵暗号をKerberosに付加することは、公開鍵プロトコルに上手い合同式を提供し、強力なパスワードを管理する人間ユーザーの負担を取り除き、ケルベライズ(Kerberized)されたアプリケーションが、現存する鍵サービスおよびアイデンティティ管理を利用できるようにする。
KerberosTGTにより与えられる利点は、クライアントが、長期間の秘密を1回しかさらさないことである。TGTおよびそれに関連するセッション鍵は次に、後に続く任意のサービスチケット要求に対して使用することができる。1つの結果では、すべての追加的な認証が、最初の認証が実行された方法から独立している。その結果、最初の認証は、公開鍵暗号をKerberos認証に組み込むのに便利な場所を提供する。加えて、最初の交換の後の対称暗号の使用は、性能考察に適している。
RFC4456は、クライアントおよびKDCが、AS交換によって相互に認証する公開鍵と秘密鍵の組を使用して、クライアントとKDCのみにより知られるAS応答鍵を交渉し、KDCによって送信されたAS−REPを暗号化できる方法およびデータ形式について記載する。
図3を参照すると、TLSハンドシェイク(図1への参照とともに論じられたのと同様に、「2重の」ハンドシェイクにすることができる)の完了後、ゲートウェイ20は、THR45を第三者エンティティ40に提供する。図1の場合のように、再度、「信頼するエンティティ」(この場合、第三者エンティティ40)は、クライアント/ユーザー10とゲートウェイ20間の認証に関与せずに判定する。むしろ、信頼するエンティティは、THRに依存して、ユーザー資格をゲートウェイに提供するかどうかを判定する。
さらに具体的には、有効なTLSハンドシェイク(すなわち、THR)の交換において、第三者エンティティ40は、参照番号55に示すように、UC(user credential)の形式をゲートウェイ20に戻す。ゲートウェイ20は、今度は、参照番号65に示すように、USを使用してウェブサーバー30に対して認証する。KDCの場合、ユーザー資格は、ユーザー10の名におけるKerberosのサービスチケットまたはTGTとなる。CAの場合、ユーザー資格は、ユーザーの名における証明書(通常、短い存続期間とともに)となる。
図5は、クライアント/ユーザーが、第三者エンティティを含むシステムのウェブサーバーにアクセスしようとするときに実行される認証プロセスのステップを示す説明的なフロー図である。このシステムにおいて、そのプロセスは、クライアント/ユーザー10がゲートウェイ20にアクセスするときに開始する(ステップ500)。クライアント/ユーザー10は次に、所望のウェブサーバー30のリソースを要求する(ステップ510)。クライアント/ユーザー10がウェブサーバーにログインしていない場合、そのクライアント/ユーザー10は、ウェブサーバー30がアクセスを許可する前に認証されなければならない。
クライアント/ユーザー10およびゲートウェイ20は次に、上記に詳細に示した方法でクライアント認証を有するTLSハンドシェイクを実行する(ステップ520)。TLSハンドシェイクの少なくとも一部の記録(THR)が作成され、第三者エンティティ(「信頼するエンティティ」)40に提供される(ステップ530)。
THRの受信後、第三者エンティティ40は、ユーザーがゲートウェイに認証されたことを検証する(THRの証明書検証メッセージを有効化することによって)(ステップ540)。THRが有効かつフレッシュであると検証された場合(ステップ550)、ユーザー資格(例えば、CAの場合における一時的な証明書、またはKDCの場合におけるKerberosのサービスチケット)は、ゲートウェイ20に提供される(ステップ560)。ゲートウェイ20は次に、ユーザー資格を使用して、実クライアント/ユーザーとしてウェブサーバー30に対して認証する(ステップ570)。しかしながら、THRが有効かつフレッシュと検証できない場合(ステップ550において)、ユーザー資格は、ゲートウェイ20に提供されず、アクセスは拒否される(ステップ555)。
クライアント/ユーザーがウェブサーバーにアクセスする権限を与えられたと仮定して、ユーザー資格(例えば、クライアントの証明書)がウェブサーバー30によって認証された場合、要求されたウェブサーバーへのアクセスは、クライアント/ユーザーに許可され(ステップ580)、クライアント証明を検証できない場合、アクセスは、典型的には、拒否される(ステップ590)。
ユーザー資格は、サービスチケット(KDCベースのデプロイメントにおける)か、一時的な証明書(CAベースのデプロイメントにおける)のいずれかから成るゲートウェイ20に提供される。KDCベースのデプロイメントは、上記で論じたKerberosに制約された委任(S4U2Self+S4U2Proxy)とほぼ同じなので、これ以上論じない。その代わりに、CAベースのデプロイメントについて論じる。
CAベースのデプロイメントにおいて、有効かつ「フレッシュ」なTHRが提供されたとき、1つまたは複数のCAを使用してクライアント証明書を発行する。このシナリオにおいて、サービスプロバイダー(ウェブサーバー30)は、CAを信頼するように組み込まれて(これは典型的には、CA自体の証明書は、サービスプロバイダーのオペレーティングシステム上のある特定の場所にインストールされなければならないことを意味する)、ユーザーの実アイデンティティを提供しなければならない。
いったんユーザー(およびそれに関連する秘密鍵)の名においてクライアント証明書が与えられると、ゲートウェイ20は次に、実際のユーザーとしてサービスプロバイダー30に対して認証するこれらの資格を使用する。証明書および秘密鍵を使用してサービスプロバイダー(例えば、ウェブサーバー30)に対して認証するために、ゲートウェイ20およびサービスプロバイダーは、クライアント証明書をサポートする認証プロトコルを使用しなければならない。クライアント証明書をサポートする2つの公知の認証プロトコルは、TLS(またはSSL)、またはKerberos(w/PKINIT)である。上記により詳細に論じたように、TLS(またはSSL)は、(証明書に基づいた)クライアント認証を含むことができる。「Public Key Cryptography for Initial Authentication in Kerberos」と題したPKINIT機構(RFC4556)は、Kerberosを使用可能のクライアントが、公開鍵暗号を経由して(すなわち、証明書およびそれに関連する秘密鍵を経由して)TGTを取得できるKerberosプロトコルへのプロトコル拡張の機構である。さらに具体的には、このような拡張は、事前認証データフィールドの非対称鍵署名および/または暗号アルゴリズムを使用することによって、公開鍵暗号を最初の認証交換に組み込む方法を提供する。
クライアント/ユーザーがウェブサーバーにアクセスする権限を与えられたと仮定して、いったん資格(クライアント証明書)がウェブサーバー30によって認証されると、要求されたウェブサーバーへのアクセスは、クライアント/ユーザーに許可される。もちろんクライアント証明書が検証できない場合(すなわちウェブサーバーがCAを信頼するように組み込まれてない場合)、ユーザーによるウェブサーバーへのアクセスは拒否される。
図1の実施形態にあるように、「2重の」TLSハンドシェイクを、ゲートウェイ20を侵害する攻撃者に対するさらなる追加的な防御のために、図3の実施形態に実装することができる。
本明細書の発明の主題を構造上の特徴および/または方法論的動作に特有な言語によって説明してきたが、特許請求の範囲に定義された発明の主題は、上記の具体的な特徴または動作に必ずしも限定されないことも理解されたい。むしろ上記の具体的な特徴または動作は、特許請求の範囲を実装する例示的な形式として開示される。
例えば、この文書を通じて我々は、ゲートウェイを介してクライアント/ユーザーがアクセスするサービスプロバイダーから成る一連のエンティティを参照する。しかしながら、これは、実現可能なシナリオの1つにすぎず、便宜上この文書を通じて使用されているにすぎない。他の実現可能なシナリオは、バックエンドアプリケーションまたはデータベースに対するユーザーとして認証する必要があるウェブサーバーを含む。本開示の新規の態様は、連鎖の中のエンティティ間の認証を要求する一連のエンティティに適用できる。各エンティティが元のクライアントとして連鎖中の次のエンティティに対して認証しなければならない、連鎖中の任意の数のエンティティにすることができる。
1つの要素が別の要素に反応するものとして表示される場合、それらの要素を、直接的または間接的につなげられることがさらに理解される。本明細書に図示した接続を、要素間の結合または通信インタフェースを実現するために、実際には論理的または物理的にすることができる。接続は、とりわけ、ソフトウェアプロセス間のプロセス間通信、またはネットワークコンピューター間のマシン間通信として実装することができる。
本明細書で使用される用語「例示的な」および「説明的な」は、実施例、事例、または説明としての役割を果たすことを意味する。本明細書で「例示的」または「説明的」として記述された任意の実装またはそれらの態様は、他の実装またはそれらの態様に対して必ずしも好適または有利であるように構成されていない。
添付した特許請求の範囲の趣旨および範囲から逸脱しなければ、上記の具体的な実施形態以外の実施形態を考案できることが理解されているので、本明細書の主題の範囲は、次の特許請求の範囲に準拠することが意図される。

Claims (17)

  1. ゲートウェイを介してサービスプロバイダーにアクセスするクライアント/ユーザー間の認証委任の方法であって、
    前記クライアント/ユーザーと前記ゲートウェイ間のクライアント認証を有するTLSハンドシェイクを実行するステップであって、前記TLSハンドシェイクは、複数のメッセージ交換を特定するプロトコルによって定義される、ステップと
    前記クライアント/ユーザーが前記ゲートウェイに認証されたことを証明する認証証拠として、前記TLSハンドシェイクにおいて交換されたメッセージを記録するステップであって、前記TLSハンドシェイクにおいて交換されたメッセージは、証明書検証メッセージまでの、前記プロトコルにおいて特定されたすべてのメッセージを含み、前記証明書検証メッセージは、前記TLSハンドシェイクの以前のすべてのメッセージに対する署名から成る、ステップと
    前記記録を前記ゲートウェイから前記サービスプロバイダーに直接提供するステップと
    を備え、前記サービスプロバイダーは、前記クライアント/ユーザーと前記ゲートウェイ間の認証に関与しないことを特徴とする方法。
  2. 時間に関連するデータを前記TLSハンドシェイクのメッセージに組み込むステップをさらに備えることを特徴とする請求項1に記載の方法。
  3. 前記クライアント/ユーザーは、前記時間に関連するデータを組み込むことを特徴とする請求項に記載の方法。
  4. 前記ゲートウェイは、前記時間に関連するデータを組み込むことを特徴とする請求項に記載の方法。
  5. 前記サービスプロバイダーによって提供されたノンスを、前記TLSハンドシェイクの一部として、前記ゲートウェイから前記クライアント/ユーザーまでのメッセージに組み込むステップをさらに備えることを特徴とする請求項1に記載の方法。
  6. 前記サービスプロバイダーは、受信したすべての記録のメモリを保持する、および同じ記録が2回以上使用されていないことを確認することを特徴とする請求項1に記載の方法。
  7. TLSハンドシェイクを実行する前記ステップは、
    クライアント認証を有しない第1のハンドシェイクを実行するステップと、
    前記第1のハンドシェイクの実行の成功した完了後、クライアント認証を有する第2のハンドシェイクを実行するステップと
    をさらに備えることを特徴とする請求項1に記載の方法。
  8. 前記クライアント/ユーザーとゲートウェイ間の前記第2のハンドシェイクは、前記第1のハンドシェイクから得たセッション鍵によって暗号化されることを特徴とする請求項に記載の方法。
  9. 前記サービスプロバイダーに提供された前記記録は、暗号化されないことを特徴とする請求項に記載の方法。
  10. 認証委任を使用して、エンドサーバー上のサービスへのアクセスを許可する方法であって、
    前記エンドサーバーが、ユーザーによって要求されたサービスにアクセスするために、要求を受信するステップと
    前記エンドサーバーが、前記ユーザーと前記ゲートウェイ/中間サーバー間で実行されるクライアント認証を有するTLSハンドシェイクにおいて交換されたメッセージの記録を、前記ユーザーが前記ゲートウェイ/中間サーバーに認証されたことを証明する認証証拠として、前記ゲートウェイ/中間サーバーから直接受信するステップであって、前記TLSハンドシェイクは、複数のメッセージ交換を特定するプロトコルによって定義され、前記TLSハンドシェイクにおいて交換されたメッセージは、証明書検証メッセージまでの、前記プロトコルにおいて特定されたすべてのメッセージを含み、前記証明書検証メッセージは、前記TLSハンドシェイクの以前のすべてのメッセージに対する署名から成る、ステップと
    前記エンドサーバーが、前記記録を利用して、前記TLSハンドシェイクを再検証する、および前記ユーザーのアイデンティティを確認するステップと
    を備え、前記エンドサーバーは、前記ユーザーと前記ゲートウェイ/中間サーバー間の認証に関与しないことを特徴とする方法。
  11. ゲートウェイを介してサービスプロバイダーにアクセスするクライアント/ユーザー間の認証委任の方法であって、前記ゲートウェイは、
    前記クライアント/ユーザーと前記ゲートウェイ間のクライアント認証を有するTLSハンドシェイクを実行するステップであって、前記TLSハンドシェイクは、複数のメッセージ交換を特定するプロトコルによって定義される、ステップと
    前記クライアント/ユーザーが前記ゲートウェイに認証されたことを証明する認証証拠として、前記TLSハンドシェイクにおいて交換されたメッセージを記録するステップであって、前記TLSハンドシェイクにおいて交換されたメッセージは、証明書検証メッセージまでの、前記プロトコルにおいて特定されたすべてのメッセージを含み、前記証明書検証メッセージは、前記TLSハンドシェイクの以前のすべてのメッセージに対する署名から成る、ステップと
    前記記録を前記ゲートウェイから第三者エンティティに直接提供するステップと
    前記第三者エンティティによる前記記録の有効性の確認後、ユーザー資格を前記第三者エンティティから受信するステップと
    前記ユーザー資格を用いて、前記ユーザーを前記サービスプロバイダーに対して認証するステップと
    を備える方法を実行し、
    前記サービスプロバイダーは、前記クライアント/ユーザーと前記ゲートウェイ間の認証に関与しないことを特徴とする方法。
  12. 前記第三者エンティティは、認証局(Certificate Authority)であることを特徴とする請求項11に記載の方法。
  13. ユーザー資格を受信する前記ステップは、一時的な証明書およびそれに関連する秘密鍵を受信することを備えることを特徴とする請求項12に記載の方法。
  14. 前記ユーザーを前記サービスプロバイダーに対して認証する前記ステップは、PKINITを用いたKerberosを使用して実行されることを特徴とする請求項12に記載の方法。
  15. 前記第三者エンティティはKDCであり、ユーザー資格を受信する前記ステップは前記KDCからKerberosのサービスチケットを受信することを備えることを特徴とする請求項11に記載の方法。
  16. 前記第三者エンティティは、単一デバイスのゲートウェイと一緒に常駐することを特徴とする請求項11に記載の方法。
  17. TLSハンドシェイクを実行する前記ステップは、
    クライアント認証を有しない第1のハンドシェイクを実行するステップと、
    前記第1のハンドシェイクを実行するステップの成功した完了後、クライアント認証を有する第2のハンドシェイクを実行するステップと
    をさらに備えることを特徴とする請求項11に記載の方法。
JP2009539518A 2006-12-01 2007-11-30 暗号証拠の再検証に基づく認証委任 Active JP5334320B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/607,720 US9055107B2 (en) 2006-12-01 2006-12-01 Authentication delegation based on re-verification of cryptographic evidence
US11/607,720 2006-12-01
PCT/US2007/086122 WO2008127447A2 (en) 2006-12-01 2007-11-30 Authentication delegation based on re-verification of cryptographic evidence

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2013024845A Division JP5599910B2 (ja) 2006-12-01 2013-02-12 暗号証拠の再検証に基づく認証委任

Publications (2)

Publication Number Publication Date
JP2010512069A JP2010512069A (ja) 2010-04-15
JP5334320B2 true JP5334320B2 (ja) 2013-11-06

Family

ID=39477460

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009539518A Active JP5334320B2 (ja) 2006-12-01 2007-11-30 暗号証拠の再検証に基づく認証委任
JP2013024845A Active JP5599910B2 (ja) 2006-12-01 2013-02-12 暗号証拠の再検証に基づく認証委任

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2013024845A Active JP5599910B2 (ja) 2006-12-01 2013-02-12 暗号証拠の再検証に基づく認証委任

Country Status (7)

Country Link
US (1) US9055107B2 (ja)
EP (1) EP2098006B1 (ja)
JP (2) JP5334320B2 (ja)
KR (1) KR101459802B1 (ja)
CN (1) CN101542965A (ja)
TW (1) TWI429256B (ja)
WO (1) WO2008127447A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013138474A (ja) * 2006-12-01 2013-07-11 Microsoft Corp 暗号証拠の再検証に基づく認証委任

Families Citing this family (147)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8380854B2 (en) 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US8332923B2 (en) * 2007-01-19 2012-12-11 Toshiba America Research, Inc. Kerberized handover keying
JP2009086802A (ja) * 2007-09-28 2009-04-23 Hitachi Ltd 認証仲介方法およびシステム
US8387130B2 (en) * 2007-12-10 2013-02-26 Emc Corporation Authenticated service virtualization
US8516566B2 (en) * 2007-10-25 2013-08-20 Apple Inc. Systems and methods for using external authentication service for Kerberos pre-authentication
US8806053B1 (en) 2008-04-29 2014-08-12 F5 Networks, Inc. Methods and systems for optimizing network traffic using preemptive acknowledgment signals
US8566444B1 (en) 2008-10-30 2013-10-22 F5 Networks, Inc. Methods and system for simultaneous multiple rules checking
US8555069B2 (en) * 2009-03-06 2013-10-08 Microsoft Corporation Fast-reconnection of negotiable authentication network clients
US8064896B2 (en) * 2009-03-09 2011-11-22 Apple Inc. Push notification service
US10157280B2 (en) 2009-09-23 2018-12-18 F5 Networks, Inc. System and method for identifying security breach attempts of a website
JP5325061B2 (ja) * 2009-09-25 2013-10-23 株式会社日立製作所 鍵管理装置および鍵管理方法
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US8868961B1 (en) 2009-11-06 2014-10-21 F5 Networks, Inc. Methods for acquiring hyper transport timing and devices thereof
US8301895B2 (en) * 2009-12-02 2012-10-30 Microsoft Corporation Identity based network policy enablement
TWI519098B (zh) * 2009-12-28 2016-01-21 內數位專利控股公司 機器對機器閘道架構
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8908545B1 (en) 2010-07-08 2014-12-09 F5 Networks, Inc. System and method for handling TCP performance in network access with driver initiated application tunnel
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US9083760B1 (en) 2010-08-09 2015-07-14 F5 Networks, Inc. Dynamic cloning and reservation of detached idle connections
US9645992B2 (en) 2010-08-21 2017-05-09 Oracle International Corporation Methods and apparatuses for interaction with web applications and web application data
US8630174B1 (en) 2010-09-14 2014-01-14 F5 Networks, Inc. System and method for post shaping TCP packetization
US8886981B1 (en) 2010-09-15 2014-11-11 F5 Networks, Inc. Systems and methods for idle driven scheduling
US8804504B1 (en) 2010-09-16 2014-08-12 F5 Networks, Inc. System and method for reducing CPU load in processing PPP packets on a SSL-VPN tunneling device
AU2010224455B8 (en) * 2010-09-28 2011-05-26 Mu Hua Investments Limited Biometric key
WO2012058643A2 (en) 2010-10-29 2012-05-03 F5 Networks, Inc. System and method for on the fly protocol conversion in obtaining policy enforcement information
WO2012058486A2 (en) 2010-10-29 2012-05-03 F5 Networks, Inc. Automated policy builder
US8627467B2 (en) 2011-01-14 2014-01-07 F5 Networks, Inc. System and method for selectively storing web objects in a cache memory based on policy decisions
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9021552B2 (en) * 2011-04-05 2015-04-28 Sap Se User authentication for intermediate representational state transfer (REST) client via certificate authority
CN102833067B (zh) * 2011-06-15 2017-05-17 中兴通讯股份有限公司 三方认证的方法、系统及终端设备的认证状态管理方法
US9246819B1 (en) 2011-06-20 2016-01-26 F5 Networks, Inc. System and method for performing message-based load balancing
US9015469B2 (en) 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
US9231879B1 (en) 2012-02-20 2016-01-05 F5 Networks, Inc. Methods for policy-based network traffic queue management and devices thereof
US9172753B1 (en) 2012-02-20 2015-10-27 F5 Networks, Inc. Methods for optimizing HTTP header based authentication and devices thereof
US9722972B2 (en) * 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
KR20170106515A (ko) * 2012-03-08 2017-09-20 인텔 코포레이션 다중 팩터 인증 기관
US9450758B1 (en) * 2012-03-12 2016-09-20 Amazon Technologies, Inc. Virtual requests
US8656471B1 (en) 2012-03-12 2014-02-18 Amazon Technologies, Inc. Virtual requests
US8966570B1 (en) 2012-03-22 2015-02-24 Amazon Technologies, Inc. Entity to authorize delegation of permissions
WO2013163648A2 (en) 2012-04-27 2013-10-31 F5 Networks, Inc. Methods for optimizing service of content requests and devices thereof
CN103581873A (zh) * 2012-07-25 2014-02-12 中国电信股份有限公司 智能卡与用户识别模块安全绑定的方法、系统和管理平台
US9054863B2 (en) 2012-09-04 2015-06-09 Rockwell Automation Asia Pacific Business Center Pte. Ltd. Industrial protocol system authentication and firewall
KR20140052703A (ko) * 2012-10-25 2014-05-07 삼성전자주식회사 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치
WO2014083382A1 (en) 2012-11-27 2014-06-05 Robojar Pty Ltd A system and method for authenticating the legitimacy of a request for a resource by a user
JP5614465B2 (ja) * 2013-01-30 2014-10-29 沖電気工業株式会社 暗号通信装置、代行サーバ、暗号通信装置プログラム及び代行サーバプログラム
US9418213B1 (en) * 2013-02-06 2016-08-16 Amazon Technologies, Inc. Delegated permissions in a distributed electronic environment
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US10909518B2 (en) * 2013-03-07 2021-02-02 Paypal, Inc. Delegation payment with picture
US8782774B1 (en) 2013-03-07 2014-07-15 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9344422B2 (en) 2013-03-15 2016-05-17 Oracle International Corporation Method to modify android application life cycle to control its execution in a containerized workspace environment
CN104903909B (zh) 2013-03-15 2018-07-31 甲骨文国际公司 在应用之间计算机内受保护的通信的方法及设备
US9129112B2 (en) 2013-03-15 2015-09-08 Oracle International Corporation Methods, systems and machine-readable media for providing security services
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9305298B2 (en) 2013-03-22 2016-04-05 Nok Nok Labs, Inc. System and method for location-based authentication
US9154488B2 (en) * 2013-05-03 2015-10-06 Citrix Systems, Inc. Secured access to resources using a proxy
CN104158791A (zh) * 2013-05-14 2014-11-19 北大方正集团有限公司 一种分布式环境下的安全通信认证方法及系统
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
US9049169B1 (en) * 2013-05-30 2015-06-02 Trend Micro Incorporated Mobile email protection for private computer networks
US9305161B1 (en) * 2013-06-24 2016-04-05 Emc Corporation Password hardening system using password shares distributed across multiple servers
US9515996B1 (en) * 2013-06-28 2016-12-06 EMC IP Holding Company LLC Distributed password-based authentication in a public key cryptography authentication system
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
US8966267B1 (en) 2014-04-08 2015-02-24 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US8996873B1 (en) 2014-04-08 2015-03-31 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9184911B2 (en) * 2014-04-08 2015-11-10 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9762590B2 (en) * 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9577999B1 (en) 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
US9413533B1 (en) 2014-05-02 2016-08-09 Nok Nok Labs, Inc. System and method for authorizing a new authenticator
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US9531714B2 (en) 2014-06-27 2016-12-27 Citrix Systems, Inc. Enterprise authentication via third party authentication support
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
CN105262605B (zh) * 2014-07-17 2018-09-25 阿里巴巴集团控股有限公司 一种获取本地信息的方法、装置及系统
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
US9749131B2 (en) 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
US9736154B2 (en) * 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture
CN106663018B (zh) 2014-09-24 2020-09-15 甲骨文国际公司 修改移动设备应用生命周期的系统、方法、介质和设备
EP3213488A1 (en) * 2014-10-31 2017-09-06 Convida Wireless, LLC End-to-end service layer authentication
CN105577738B (zh) * 2014-11-10 2019-08-02 中国移动通信集团公司 一种处理终端信息的方法、装置及系统
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
CN104660583B (zh) * 2014-12-29 2018-05-29 国家电网公司 一种基于Web加密服务的加密服务方法
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
EP3272094B1 (en) 2015-03-16 2021-06-23 Convida Wireless, LLC End-to-end authentication at the service layer using public keying mechanisms
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
EP3304336B1 (en) 2015-06-01 2019-10-09 Duo Security, Inc. Method for enforcing endpoint health standards
US9450944B1 (en) 2015-10-14 2016-09-20 FullArmor Corporation System and method for pass-through authentication
US9509684B1 (en) * 2015-10-14 2016-11-29 FullArmor Corporation System and method for resource access with identity impersonation
US9762563B2 (en) 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
CN106656928A (zh) * 2015-10-30 2017-05-10 西门子公司 云环境下的客户端与服务器之间的认证方法和装置
US10277569B1 (en) * 2015-12-03 2019-04-30 Amazon Technologies, Inc. Cross-region cache of regional sessions
US10182044B1 (en) 2015-12-03 2019-01-15 Amazon Technologies, Inc. Personalizing global session identifiers
US9894067B1 (en) 2015-12-03 2018-02-13 Amazon Technologies, Inc. Cross-region roles
US9900160B1 (en) 2015-12-03 2018-02-20 Amazon Technologies, Inc. Asymmetric session credentials
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
CN105471896B (zh) * 2015-12-28 2019-01-15 深信服科技股份有限公司 基于ssl的代理方法、装置及系统
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US9888290B1 (en) * 2016-03-24 2018-02-06 Sprint Communications Company L.P. Service denial notification in secure socket layer (SSL) processing
US11197331B2 (en) * 2016-06-10 2021-12-07 Apple Inc. Zero-round-trip-time connectivity over the wider area network
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US11496438B1 (en) 2017-02-07 2022-11-08 F5, Inc. Methods for improved network security using asymmetric traffic delivery and devices thereof
US10791119B1 (en) 2017-03-14 2020-09-29 F5 Networks, Inc. Methods for temporal password injection and devices thereof
US10356075B2 (en) 2017-03-15 2019-07-16 International Business Machines Corporation Automated verification of chains of credentials
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10931662B1 (en) 2017-04-10 2021-02-23 F5 Networks, Inc. Methods for ephemeral authentication screening and devices thereof
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11558202B2 (en) 2017-07-31 2023-01-17 Cisco Technology, Inc. Network device authentication
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
SG11202002430PA (en) * 2017-09-19 2020-04-29 Abiomed Inc Systems and methods for time-based one-time password management for a medical device
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US11658995B1 (en) 2018-03-20 2023-05-23 F5, Inc. Methods for dynamically mitigating network attacks and devices thereof
US11044200B1 (en) 2018-07-06 2021-06-22 F5 Networks, Inc. Methods for service stitching using a packet header and devices thereof
CN109102437A (zh) * 2018-08-10 2018-12-28 山东省计算中心(国家超级计算济南中心) 一种基于区块链的网页自动取证方法及系统
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
AU2020232980A1 (en) * 2019-03-05 2021-11-04 Red Piranha Limited Network data traffic identification
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
US11275865B2 (en) 2019-08-23 2022-03-15 Conduent Business Services, Llc Privacy friendly decentralized ledger based identity management system and methods
MY193195A (en) * 2019-09-02 2022-09-26 Grabtaxi Holdings Pte Ltd Communications server apparatus and method for determination of an abstention attack
CN110708170B (zh) * 2019-12-13 2020-03-27 腾讯科技(深圳)有限公司 一种数据处理方法、装置以及计算机可读存储介质
US10903990B1 (en) 2020-03-11 2021-01-26 Cloudflare, Inc. Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint
US11601519B2 (en) * 2020-06-09 2023-03-07 Twilio Inc. Edge communication locations
US11968293B2 (en) * 2020-11-18 2024-04-23 International Business Machines Corporation Private key management
EP4002756B1 (en) * 2020-11-24 2022-11-02 Axis AB Systems and methods of managing a certificate associated with a component located at a remote location
CN116132072B (zh) * 2023-04-19 2023-06-30 湖南工商大学 一种网络信息的安全认证方法及系统

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
JP3595109B2 (ja) * 1997-05-28 2004-12-02 日本ユニシス株式会社 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体
FI104666B (fi) * 1997-11-10 2000-04-14 Nokia Networks Oy Varma kättelyprotokolla
US6128738A (en) * 1998-04-22 2000-10-03 International Business Machines Corporation Certificate based security in SNA data flows
US6438550B1 (en) * 1998-12-10 2002-08-20 International Business Machines Corporation Method and apparatus for client authentication and application configuration via smart cards
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
GB9905056D0 (en) * 1999-03-05 1999-04-28 Hewlett Packard Co Computing apparatus & methods of operating computer apparatus
US6601171B1 (en) * 1999-02-18 2003-07-29 Novell, Inc. Deputization in a distributed computing system
US6643774B1 (en) * 1999-04-08 2003-11-04 International Business Machines Corporation Authentication method to enable servers using public key authentication to obtain user-delegated tickets
US6584567B1 (en) 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
US6934848B1 (en) * 2000-07-19 2005-08-23 International Business Machines Corporation Technique for handling subsequent user identification and password requests within a certificate-based host session
US20030014624A1 (en) * 2000-07-31 2003-01-16 Andes Networks, Inc. Non-proxy internet communication
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
US7395549B1 (en) 2000-10-17 2008-07-01 Sun Microsystems, Inc. Method and apparatus for providing a key distribution center without storing long-term server secrets
SE0004338L (sv) * 2000-11-24 2002-05-25 Columbitech Ab Datanätbaserat system
JP2002244557A (ja) 2001-02-16 2002-08-30 Atr Adaptive Communications Res Lab 暗号通信システムおよびそれに用いる認証方法
US7698381B2 (en) * 2001-06-20 2010-04-13 Microsoft Corporation Methods and systems for controlling the scope of delegation of authentication credentials
JP3842100B2 (ja) 2001-10-15 2006-11-08 株式会社日立製作所 暗号化通信システムにおける認証処理方法及びそのシステム
JP2003229849A (ja) 2002-02-05 2003-08-15 Ntt Docomo Inc 中継方法、中継装置、プログラム、及び記録媒体
US6874089B2 (en) * 2002-02-25 2005-03-29 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
GB2410660B (en) * 2002-10-14 2005-10-19 Toshiba Res Europ Ltd Methods and systems for flexible delegation
US7644275B2 (en) * 2003-04-15 2010-01-05 Microsoft Corporation Pass-thru for client authentication
CN1820481B (zh) 2003-07-11 2010-05-05 国际商业机器公司 在客户机-服务器环境中认证客户机的系统和方法
FI20031258A0 (fi) 2003-09-04 2003-09-04 Nokia Corp Sijainnin yksityisyys viestintäjärjestelmässä
US20050138426A1 (en) * 2003-11-07 2005-06-23 Brian Styslinger Method, system, and apparatus for managing, monitoring, auditing, cataloging, scoring, and improving vulnerability assessment tests, as well as automating retesting efforts and elements of tests
JP4520840B2 (ja) 2004-12-02 2010-08-11 株式会社日立製作所 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体
KR100687722B1 (ko) 2004-12-16 2007-02-27 한국전자통신연구원 인증 서버 및 인증 서버를 이용한 사용자 인증 방법
US8365293B2 (en) * 2005-01-25 2013-01-29 Redphone Security, Inc. Securing computer network interactions between entities with authorization assurances
US8959596B2 (en) * 2006-06-15 2015-02-17 Microsoft Technology Licensing, Llc One-time password validation in a multi-entity environment
US20080022374A1 (en) * 2006-06-29 2008-01-24 Research In Motion Limited System and method for securely communicating with a server
US8095787B2 (en) * 2006-08-21 2012-01-10 Citrix Systems, Inc. Systems and methods for optimizing SSL handshake processing
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013138474A (ja) * 2006-12-01 2013-07-11 Microsoft Corp 暗号証拠の再検証に基づく認証委任
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence

Also Published As

Publication number Publication date
JP2013138474A (ja) 2013-07-11
TWI429256B (zh) 2014-03-01
KR101459802B1 (ko) 2014-11-07
JP5599910B2 (ja) 2014-10-01
KR20090095630A (ko) 2009-09-09
US9055107B2 (en) 2015-06-09
US20080134311A1 (en) 2008-06-05
CN101542965A (zh) 2009-09-23
TW200833060A (en) 2008-08-01
EP2098006B1 (en) 2018-08-01
WO2008127447A2 (en) 2008-10-23
JP2010512069A (ja) 2010-04-15
WO2008127447A3 (en) 2009-03-26
EP2098006A4 (en) 2012-07-04
EP2098006A2 (en) 2009-09-09

Similar Documents

Publication Publication Date Title
JP5599910B2 (ja) 暗号証拠の再検証に基づく認証委任
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
US20170054707A1 (en) Method and Apparatus for Trusted Authentication and Logon
JP5688087B2 (ja) 信頼できる認証およびログオンのための方法および装置
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
Bazaz et al. A review on single sign on enabling technologies and protocols
JP5186648B2 (ja) 安全なオンライン取引を容易にするシステム及び方法
EP2359525B1 (en) Method for enabling limitation of service access
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
Gajek et al. A browser-based kerberos authentication scheme
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
EP2530618B1 (en) Sign-On system with distributed access
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
Chen et al. SSL/TLS session-aware user authentication using a gaa bootstrapped key
Singh et al. Survey and analysis of Modern Authentication system
Jacobson Trust negotiation in session-layer protocols
Joshi Kerberos Security in Distributed Systems
Hosseyni et al. Formal security analysis of the OpenID FAPI 2.0 Security Profile with FAPI 2.0 Message Signing, FAPI-CIBA, Dynamic Client Registration and Management: technical report
Kim A survey of Kerberos V and public-key Kerberos security
JP2023163173A (ja) 秘密鍵の安全な回復
CN117527421A (zh) 一种实现http协议安全传输的方法
Hassan User-defined key pair protocol
Dong et al. Security Analysis of Real World Protocols

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130628

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130701

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130729

R150 Certificate of patent or registration of utility model

Ref document number: 5334320

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250