KR20110003353A - 만료된 패스워드 처리 - Google Patents

만료된 패스워드 처리 Download PDF

Info

Publication number
KR20110003353A
KR20110003353A KR1020107024148A KR20107024148A KR20110003353A KR 20110003353 A KR20110003353 A KR 20110003353A KR 1020107024148 A KR1020107024148 A KR 1020107024148A KR 20107024148 A KR20107024148 A KR 20107024148A KR 20110003353 A KR20110003353 A KR 20110003353A
Authority
KR
South Korea
Prior art keywords
password
server
response
integer value
request
Prior art date
Application number
KR1020107024148A
Other languages
English (en)
Other versions
KR101475981B1 (ko
Inventor
피터 에드워드 하버칸
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20110003353A publication Critical patent/KR20110003353A/ko
Application granted granted Critical
Publication of KR101475981B1 publication Critical patent/KR101475981B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Abstract

서버를 운영하는 방법이 패스워드를 포함하는 인증 요청(authorisation request)을 수신하는 단계, 상기 패스워드에 대한 만료일자(expiry date)를 엑세스하는 단계, 상기 만료일자를 포함하는 응답을 전송하는 단계, 상기 패스워드가 만료되었는지 여부를 확인하는(ascertaining) 단계 및 상기 패스워드가 만료되었다면, 새로운 패스워드를 수신하는 단계를 포함한다. 선택적으로, 상기 전송된 응답은 상기 패스워드의 마지막 사용을 나타내는 날짜 및/또는 재시도 파라미터를 나타내는 정수값을 더 포함한다.

Description

만료된 패스워드 처리{HANDLING EXPIRED PASSWORDS}
본 발명은 서버를 운영하는 방법, 상기 서버 그 자체, 컴퓨터 프로그램 제품 및 상기 서버를 운영하기 위한 컴퓨터 프로그램에 관한 것이다. 보다 자세하게는, 본 발명은 서버를 운영하는 방법, 상기 서버 그 자체, 컴퓨터 프로그램 제품 및 상기 서버를 운영하기 위한 컴퓨터 프로그램의 방법의 만료된 패스워드들의 처리(handling)에 관련된 것이다.
서버에 전자적으로 엑세스시에 필요한 인증(authorisation)을 위해서, 상기 엑세스를 생성하는 당사자(party)를 식별하는 것이 일반적이다. 예를 들어, 수많은 은행 계좌(account)들이 인터넷을 통해서 원격으로 엑세스 될 수 있다. 유저가 자신의 은행 계좌에 엑세스를 하기 위해서, 그들은 상기 은행 계좌로 엑세스를 제공하는 서버로, 상기 개인의 신원을 승인하는데 사용되는 유저명과 패스워드를 제공해야만 한다. 상기 서버는 상기 유저명(암호화될 필요가 없음)과 상기 패스워드나 상기 패스워드의 다이제스트(digest) 중 하나(암호화 방법으로)를 저장하고, 그리고 상기 저장된 패스워드나 다이제스트에 대해서 상기 수신된 패스워드를 체크한다.
인증의 프로세스를 보다 견고하게(robust) 하기 위해서, 패스워드들이 오직 한정된 수명만을 가지게 하는 것이 일반적이다. 일단 유저가 처음으로 패스워드를 선택했으면, 이러한 패스워드는 많은 시스템들에서 기정해진 시간 기간동안만 작동할 것이다. 이 기간동안, 상기 유저는 그들의 유저명과 패스워드를 이용함으로써 상기 전자 서비스에 엑세스할 수 있으나, 일단 상기 제한된 수명이 끝나면, 상기 패스워드는 더 이상 상기 서비스에 엑세스하는데 사용될 수 없다. 이 시점에서, 상기 패스워드는 만료되었다고 언급되어진다. 상기 유저가 상기 희망하는 서비스로 엑세스를 하기 위해서, 그들은 상기 기존의 패스워드를 대체할 새로운 패스워드를 공급해야할 필요가 있다.
예를 들어, 미국 특허 US 6826700는 기존의 패스워드가 만료된 때에 새로운 패스워드를 자동적으로 요청하는(solicit) 웹 애플리케이션 서버에 대한 방법 및 장치를 언급한다. 이러한 특허에서, 다이얼로그-기반 요청 포맷(dialog-based request format)을 가지는 종래의 등록된(proprietary) 데이터 기반 관리 시스템으로 엑세스하기 위해서 월드 와이드 웹에 결합된 인터넷 터미널을 활용하는 장치나 방법이 기술되어 있다. 상기 인터넷 터미널은 상기 데이터 기반 관리 시스템으로 필요에 따라 제공된 패스워드를 가지는 서비스 요청을 전달한다(transfer). 서비스 요청이 만료된 패스워드를 가지게 되면, 상기 데이터 기반 관리 시스템은 상기 문제를 인식한다. 상기 인터넷 터미널은 특정 파라미터들에 대해 쿼리되고, 상기 데이터 기반 관리 시스템은 자동적으로 새롭고 만료되지 않은 패스워드를 재어사인한다(reassign).
만료된 패스워드들을 처리하는 잘 알려진 방법들의 개선이 이루어질 수 있다. 위의 특허에서 기술된 것들과 같은 시스템들은 복잡하고 네트워크 통신을 위한 몇몇 기존의 표준들과도 호환되지 않는다. 또한, 만료된 패스워드들을 처리하는 방법에 있어서, 상기 네트워크의 클라이언트측에 보다 큰 유연성(flexibility)을 제공할 필요성이 있다.
따라서, 본 기술분야에서 앞서 언급한 문제들을 해결할 필요가 있다.
본 발명의 제 1 실시예에 따라, 서버를 운영하는 방법이 제공되는데, 상기 방법은 패스워드를 포함하는 인증 요청(authorisation request)을 수신하는 단계, 상기 패스워드에 대한 만료일자(expiry date)를 엑세스하는 단계, 상기 만료일자를 포함하는 응답을 전송하는 단계, 상기 패스워드가 만료되었는지 여부를 확인하는(ascertaining) 단계 및 상기 패스워드가 만료되었다면, 새로운 패스워드를 수신하는 단계를 포함한다.
본 발명의 제 2실시예에 따라, 패스워드를 포함하는 인증요청을 수신, 상기 패스워드에 대한 만료일자를 엑세스, 상기 만료일자를 포함하는 응답을 전송, 상기 패스워드가 만료되었는지 여부를 확인 및 만약 상기 패스워드가 만료되었다면, 새로운 패스워드를 수신하도록 마련된 서버가 제공된다.
본 발명의 제 3 실시예에 따라, 서버를 운영하기 위한 컴퓨터 판독가능 매체상의 컴퓨터 프로그램 제품 및 컴퓨터 프로그램이 제공되는데, 상기 제품은 패스워드를 포함하는 인증 요청(authorisation request)을 수신하는 단계, 상기 패스워드에 대한 만료일자(expiry date)를 엑세스하는 단계, 상기 만료일자를 포함하는 응답을 전송하는 단계, 상기 패스워드가 만료되었는지 여부를 확인하는(ascertaining) 단계 및 상기 패스워드가 만료되었다면, 새로운 패스워드를 수신하는 단계를 위한 명령들을 포함한다.
본 발명의 바람직한 실시예는 만료되고 폐기된 패스워드들을 처리할 수 있는 개선된 메시지 요청-응답 전송 프로토콜을 제공한다. 새로운 해더는 상기 서버가 상기 새로운 프로토콜에 참여하고 있는지 여부를 표시하기 위해 사용된다. 이를 통해 상기 클라이언트 디바이스가 상기 서버로 응답 해더의 새로운 포맷을 전송할 수 있는지를 결정하고, 동시에 패스워드가 만료되었는지 또는 폐기되었는지를 결정할 수 있고 그리고 만료되면 새로운 패스워드를 사전에 발송할 수 있다.
본 발명 덕분에, 메시지 요청-응답 전송 프로토콜내 패스워드들 및 그들의 만료를 처리하는데 유연한 시스템을 제공하는 것이 가능하다. 패스워드를 포함하는 요청이 서비스에 엑세스하기 위해 생성되면, 상기 서버는 패스워드 상태 정보(예를 들어 만료일자)를 포함하는 응답을 가지고 응답할 것이고, 이는 상기 클라이언트가 상기 패스워드의 현재 상태를 모니터하고 클라이언트 소프트웨어가 크리덴셜(credential)들에 대해 엔드 유저를 프롬프트하는 방법을 수정하는 것을 포함하는 상기 정보를 처리하는 것을 허용한다. 만료일자를 포함하는 상기 응답이 상기 패스워드가 실제로 만료되었건 아니건 관계없이 상기 서버로부터 상기 클라이언트 디바이스로 전송되고, 이는 필요하다면 상기 클라이언트 디바이스가 선제(pre-emptive) 행위를 취하는 것을 가능케한다. 상기 응답은 HTTP(Hypertext Transfer Protocol)와 같은 현재의 표준들의 범위안에서 해더내 만료일자를 포함할 수 있다.
바람직하게는, 상기 전송된 응답은 상개 패스워드의 마지막 사용을 나타내는 일자를 더 포함하고 및/또는 재시도 파라미터를 나타내는 정수값을 더 포함한다. 상기 클라이언트 디바이스로 되돌려 보내지는 상기 응답안의 추가 정보의 부가는, 클라이언트 디바이스가 유저 페스워드의 만료(또는 임박한 만기)의 처리에 대해 가능하도록 하는 옵션들의 범위를 더 증가시킨다.
바람직하게는, 상기 프로세스는 새로운 패스워드를 포함하는 응답을 수신하는 단계, 상기 새로운 패스워드가 받아들일수 없는지를 확인하는 단계, 및 상기 재시도 파라미터를 나타내는 정수값을 포함하는 응답을 전송하는 단계를 더 포함하되, 상기 정수값은 변경되지 않는다. 상기 재시도 파라미터는 보안 방법으로서 사용될 수 있으나, 만약 어떤 이유로(예를 들어 기존의 패스워드와 너무 유사하다면) 받아들일 수 없는 새로운 패스워드가 전송되면, 상기 재시도 파라미터는 감소되지 않는다.
이상적으로는, 상기 프로세스는 상기 기존의 패스워드를 포함하는 요청을 수신하는 단계, 및 상기 재시도 파라미터를 나타내는 정수값을 포함하는 응답을 전송하는 단계를 더 포함하고, 상기 정수값은 1로 감소된다. 일단 패스워드가 만료되면, 임의의 기존의 패스워드의 재시도는 상기 엑세스 요청과 감소된 재시도 파라미터의 전송의 거절로 유도된다. 이는 클라이언트 디바이스에, 상기 서버의 상기 서비스로의 엑세스 프로세스는 상기 재시도 파라미터가 0이 되면 완전히 거절될 위험이 있다고 경고한다.
본 발명의 실시예들은 단지 일 실시예로서 이하의 도면들을 참고로 하여 이하에서 기술될 것이다.
도 1은 클라이언트 디바이스와 서버를 포함하는 서버의 구조도이다;
도 2는 상기 클라이언트 디바이스와 상기 서버간의 통신을 보여주는 도면이다;
도 3은 상기 서버를 운영하는 방법의 흐름도이다; 그리고
도 4는 도 1의 상기 시스템의 추가 구조도이다.
도 1은 네트워크(14)를 통해 서버(12)로 연결된 클라이언트 디바이스(10)를 포함하는 시스템을 도시한다. 상기 클라이언트 디바이스는 도면에서 보다 상세히 도시된 디스플레이(16)를 가진다. 유저는 자신들의 클라이언트 디바이스(10)를 통해 상기 서버(12)에 의해 호스트된 서비스에 엑세스 할 것이다. 상기 디스플레이(16)내에서 볼 수 있는 바와 같이, 상기 유저는 그들의 유저명과 패스워드를 입력함으로써, 상기 서버로의 엑세스를 승인받는 것이 필요하다. 도 1내 도시된 상기 시스템은 클라이언트 시스템을 퍼스널 컴퓨터로 도시하나, 이는 모바일 폰이나 적절히 사용가능한 PDA(personal digital assistant)과 같은 모바일 디바이스에 의해서도 동일하게 작동할 수 있다. 마찬가지로, 와이드 에어리어 네트워크(인터넷)로 도시되어 있는 상기 네트워크(14)는 예를 들어 사이트-지정 인트라넷과 같은 로컬 네트워크일 수도 있다. 상기 서버(12)는 상기 유저의 유저명을, 그들이 상기 서버(12)에 의해 제공된 서비스로 엑세스를 시도할 때에 상기 유저를 승인하는데 사용되는 그들의 패스워드나 그들의 패스워드로부터 파생된 몇몇 다른 데이터(예를 들어 상기 패스워드의 다이제스트) 중 하나와 함께 저장한다.
상기 클라이언트 디바이스(10)와 상기 서버(12)간의 통신;은 예를 들어 HTTP(Hyper Text Transfer Protocol)와 같은 기정해진 메시지 요청-응답 전송 프로토콜에 의해 처리된다. 상기 HTTP 프로토콜은 예를 들어 상기 서버(12)와 같은 보안 HTTP 서버(secure HTTP server)를 이용하기 위해서 유저들이 그들자신을 인증할 수 있는 두 가지 방법들을 식별한다(identifies). 이것들은 문서 RFC2617 (http://www.ietf.org/rfc/rfc2617.txt에서 RFC2617, HTTP Authentication: Basic and Digest Access Authentication 참조)내에 기술된 것과 같은 기본 인증 및 다이제스트 인증 스키마들이다. 이러한 스키마들에서 상기 클라이언트 디바이스(10)에 의해 구동된 상기 HTTP 클라이언트 소프트웨어(일반적으로 웹 브라우저)는, 상기 엔드 유저의 크리덴셜(상기 유저명과 패스워드)에 대해서 그들에게 프롬프트하고 이것들을 상기 서버(12)로 전송하기 전에 이것들을 엔코드한다.
양 스키마들에서, 상기 서버(12)는 상기 크리덴셜들이 유효한(valid) 범위(realm)의 이름을 포함하는, WWW-인증 해더를 포함하는 HTTP 401 메시지로 응답함으로써, 인증 챌린지(authentication challenge)를 초기화한다. 상기 다이제스트 인증 스키마에서, 상기 서버는 또한 임시값(nonce value, 임의의 이진값)을 상기 클라이언트 디바이스(10)로 전송하고, 그리고 상기 클라이언트 디바이스(10)는 상기 유저명, 상기 패스워드, 상기 임의의 값, 상기 HTTP 메쏘드 및 상기 요청된 URL(uniform resource locator)의 암호화 체크섬(다이제스트)을 가지고 응답해야만 한다. 상기 기본 인증 스키마에서는 임시값이 사용되지 않고, 상기 클라이언트 디바이스(10)는 단순히 상기 유저명과 패스워드를 -캐쥬얼 검사(casual inspection)를 방지하기 위해 간단하게 엔크드되었으나 암호화로 숨겨진것은 아닌- 가지고 응답한다.
이러한 스키마들 둘 다는, 각각의 유저명에 대해 고유 패스워드가 있다라고 가정하고, 일단 그들이 설정되면, 상기 클라이언트 디바이스(10)에 의해 구동되는 클라이언트 소프트웨어가 크리덴셜들을 캐쉬할 수 있고 상기 서버(12)로 각각의 HTTP 요청을 가지고 계속해서 그것들을 제시할 수 있다. 상기 다이제스트 인증 스키마는 상기 임시값이 부실(stale)해지고 새로운 크리덴셜들에 대해 상기 유저를 프롬프트할 필요가 없이 리프레시되는 것을 허용한다.
그러나, 다른 수많은 최신 패스워드 기반 보안 시스템들에서(IBM의 z/OS Security Server(RACF)와 몇몇 UNIX 구현들을 포함해서) 상기 유저명과 상기 패스워드간의 연관은 영구(permanent)적인 것은 아니다(IBM과 z/OS는 미국, 다른 국가들 또는 이 둘 다에서 IBM사의 상표들이다. UNIX는 미국 및 다른 국가들에서 오픈 그룹의 등록된 상표이다). 그러한 시스템들에서, 상기 패스워드는 고정된 일자후에 만료될 수 있고, 상기 엔드 유저는 상기 서버 시스템(12)에 엑세스를 계속하기 위해 새로운 패스워드에 대해 프롬프트 될 수 있다. 또한, 만약 상기 유저가 적은 수의 시도(attemp)내에서 유효한 패스워드를 제공하는데 실패하면, 상기 유저명은 폐기되고, 상기 유저명을 이용한 이후의 시도들은 올바른 비밀번호가 입력되건 말건 페일(fail) 할 것이다.
현재, 상기 기본 인증 스키마와 상기 다이제스트 인증 스키마(HTTP의) 둘 다 만료되거나 폐기된 패스워드들을 복사할 수 없다. 도 1의 시스템은 이러한 패스워드 상태들을 지원할 이러한 스키마들의 확장(extension)을 제공하기 위해 구성될 수 있다.
상기 HTTP 서버(12)가 패스워드 상태 정보를 상기 클라이언트 디바이스(10)로 리턴할 수 있는 메카니즘이 제공된다. 그리고나서 상기 디바이스(10)는 이미 저장된 크리덴셜에 따라 패스워드 상태 정보를 저장할 수 있다. 상기 패스워드 상태 정보는, 상기 클라이언트 소프트웨어가 상기 클라이언트 디바이스(10)에 의해서 상기 엔드 유저에 크리덴셜들에 대한 프롬프트를-특히 만료된 패스워드의 대체를 위한 프롬프트에 대해- 구동하는 방법을 수정하는데 사용될 수 있다.
만약 상기 HTTP 서버(12)가, 상기 서버(12)가 만료되고 폐기된 패스워드들을 관리할 수 있다는 것을 상기 HTTP 클라이언트(10)에 통지하기를 원한다면, 상기 서버(12)는 크리덴셜을 포함하는 HTTP 요청에 대한 응답으로 패스워드-만료 해더(Password-Expiry Header)를 전송해야 한다. 상기 패스워드 만료 해더는 아래를 포함한다:
Password-Expiry: expiry-date [ ; retries=nn]
상기 선택적인 retries=nn 파라미터는 얼마나 더 많은 틀린 패스워드 시도가 허용될 수 있는지를 나타낸다. 또한 상기 서버(12)는 선택적으로 상기 패스워드의 마지막 성공적인 사용을 기술하는 정보 해더를 전송할 수 있다.
Password-Last-Used: last-use-date
데이트스탬프(datestamps)들 expiry-date 및 last-use-date는 RFCl 123 포맷(날짜 및 시간 포맷팅에 대한 http://www.ietf.org/rfc/rfcl 123.txt에서 RFCl 123, Requirements for Internet Hosts--Application and Support를 참조)이다. 상기 두 개의 해더들의 예들은 아래와 같다:
Password-Expiry: Thu, 01 Mar 2007 00:00:00 GMT; retries=5
Password-Last-Used: Fri, 16 Feb 2007 17:45:20 GMT
만약 상기 서버(12)가 패스워드-만료 해더를 전송하면, 이는 상기 서버(12)가 확장된 인증 해더내 새로운 패스워드를 수신할 준비가 되어 있다는 것을 나타낸다. 상기 새로운 패스워드의 기술서(specification)의 형태는 상기 인증 스키마가 기본이냐 다이제스트냐에 달려있다. 이하의 상세한 내용은 상기 클라이언트 디바이스(10)에 의해 전송되어질 폼들이다.
만약 상기 서버(12)가 받아들일 수 없는 새로운 패스워를 가진 확장된 인증을 수신하면, 패스워드-만료 해더를 포함하는 HTTP 401 응답으로 응답해야만 하나, 상기 재시도 값은 변경되지 않게 남아있어야 한다.( 만약 상기 종래의 패스워드가 받아들여질 수 없다면, 상기 재시도 값은 1만큼 감소되어야 한다).
만약 상기 클라이언트 디바이스(10)가 패스워드-만료 해더를 수신하면, 상기 클라이언트 디바이스(10)는 상기 만료일자(expiry-date)와 상기 재시도 카운트를(만약 제공되면) 기록해야만 한다. 만약 상기 재시도 카운트가 0이면, 이는 상기 유저명은 폐기되었다는 것을 나타내고, 상기 클라이언트는 더 이상의 인증 시도들을 해서는 안된다. 만약 상기 만료일자가 오늘 날짜라면(아니면 그보다 이르다면), 상기 클라이언트 디바이스(10)에 의해 구동된 상기 클라이언트 애플리케이션은 즉시 새로운 패스워드에 대해서 상기 엔드 유저에 프롬프트 해야만 하고, 그리고나서 이는 이하에서 기술된 확장된 인증 해더들 중 하나로 엔코드되어야 한다.
만약 구성가능한 수의 일시내에서 상기 만료일자가 끝나면, 상기 클라이언트 디바이스(10)에 의해 구동된 상기 클라이언트 애플리케이션은 상기 엔드-유저에게 상기 패스워드가 곧 만료된다는 것을 통지할 수 있고, 새로운 패스워드를 받고(accept) 전송할 것을 제안할 수 있다. 만약 상기 엔드-유저가 새로운 패스워드를 제공하는 것을 거절하면, 적절하게 기본이나 다이제스트 인증 중 하나를 이용해서 상기 새로운 패스워드없이 인증을 계속한다. 그러나 상기 엔드-유저가 새로우 패스워드를 제공했다면, 이는 이하에서 기술된 확장된 인증 해더들 중 하나로 엔코드 되어야 한다.
만약 상기 서버(12)가 패스워드-만료 해더를 전송하지 않았다면, 상기 클라이언트 디바이스(10)는 상기 서버(12)가 상기 확장된 인증 해더를 받아들일 준비가 되었다는 표시가 없는 한 이를 전송하지 않는다. 만약 상기 클라이언트 디바이스(10)가 Password-Last-Used 해더를 수신하면, 상기 패스워드가 상기 마지막 시간이후로 사용되지 않았는지를 확인하기 위해, 상기 클라이언트 디바이스(10)는 상기 엔드 유저에게 이의 컨텐츠를 디스플레이할 수 있으나, 이 해더는 인증 챌린지나 새로운 패스워드의 제공(provision)에 관여하지는 않는다.
만약 상기 서버(12)가 상기 패스워드 만료 일자와 재시도 카운트가 변경되지 않고 남아있는 패스워드 변경에 HTTP 401 응답을 전송하면, 이는 상기 새로운 패스워드가 받아들여질 수 없나는 것을 나타내고, 따라서 상기 엔드 유저는 다른 새로운 패스워드에 대해 프롬프트 되어야 한다. 상기 서버(12)에 새로운 패스워드를 전송한 후에, 상기 클라이언트 디바이스(10)가 상기 서버(12)로부터 HTTP 200 OK 응답을 일단 수신하면, 상기 기존의 패스워드는 폐기되어야 하고, 그리고 상기 성공적으로 유효화된 새로운 패스워드는 상기 지정된 서버에 대해 캐쉬된 크리덴셜들내에서 이를 대체해야만 한다. 상기 동일한 서버(12)로의 다음 요청들은 상기 패스워드만을 전송해야한다(이 패스워드 그 자체가 만료될때까지).
도 2는 유저가 패스워드를 이용하는 요청을 만드는 상황에서 상기 클라이언트 디바이스(10)와 상기 서버(12)간 통신을 요약한다. 우선, 상기 유저는 상기 웹 서버(12)에 의해 제공된 상기 서비스로의 엑세스 요청을 생성함으로써, 상기 클라이언트 디바이스(10)를 통해, 상기 서버(12)에 연결할 것이다. 그리고나서 상기 서버(12)는 상기 클라이언트 디바이스(10)로부터 상기 유저의 인증 디테일들(유저명과 패스워드)을 요청함으로써, 응답할 것이다. 상기 클라이언트 디바이스(10)는 자신들의 유저명과 현재 패스워드를 가지고 응답한다. 상기 패스워드가 만료되었건 아니건, 그리고나서 상기 서버(12)는 상기 만료일자(expiry date)를 가진 해드를 포함하는 응답을 포함하는 메시지를 가지고 응답할 것이다. 만약 상기 패스워드가 이미 만료되었다면, 상기 유저는 새로운 패스워드를 제공해야만 한다. 일단 상기 유자가 이를 완료하면, 상기 새로운 패스워드는 상기 클라이언트 디바이스(10)에 의해서 상기 원하는 서비스를 엑세스하기 위해 상기 유저를 지금 인증하는 서버(12)로 전송된다.
HTTP의 기본 인증 스키마내 새로운 패스워드의 사양(specification)은 아래와 같이 수행된다. 상기 기본 스키마에서, 상기 새로운 패스워드는 상기 인증 해더의 기본-인증서들(basic-credentials)내에 이를 포함함으로써, 엔코드된다.
Authorization: Basic basic-credentials
여기서, 새로운 패스워드를 제공하기 위한 목적인 RFC822에서 정의된 증강 BNF 구문은(the augmented Backus-Naur Form syntax에 대한 http://www.ietf.org/rfc/rfc822.txt에서 RFC822, ARPA 인터넷 텍스트 메시지들의 포맷에 대한 표준 참조):
basic-credentials = base64-user-pass
base64-user-pass = <base64 encoding of user-pass>
user-pass = username ":" password ":" newpassword
username = *<TEXT excluding ":">
password = *<TEXT excluding ":">
newpassword = *<TEXT>
다시 말해, 상기 이전의 만료되는 패스워드가 콜론 뒤에 유저명에 덧붙여지는 것과 같이, 상기 새로운 패스워드는 두번째 콜론 뒤에 상기 이전의 패스워드에 덧붙여진다. 그리고나서 상기 결과는 베이스64 엔코딩을 이용해서 엔코드된다.
상기 다이제스트 인증 스키마내 새로운 패스워드의 사양에서, 상기 기존의 패스워드가 일반적으로 암호화되어 숨겨진 것과 같이, 상기 새로운 패스워드도 암호화되어 숨겨진다. 이는 상기 새로운 패스워드를 다이제스팅함으로써 이뤄질 수 없고, 적절한 암호화 키가 고안(devised) 될 수 있다면 이를 암호화함으로써 이뤄진다. 상기 클라이언트 서버(10)와 서버(12) 둘 다가 상기 완료되는 패스워드를 알기 때문에, 이는 상기 새로운 패스워드를 암호화하는데 키로서 사용될 수 있는 공유 비밀키를 생성하는데 사용될 수 있다.
이 경우, 상기 암호화된 새로운 패스워드를 생성하기 위한 제안된 알고리즘은 아래와 같다:
- 다음 단계에서 암호화 키로 사용되기 위한 RFC2617내에 기술된 바와 같이 공유 비밀키 H(Al) 계산, 이는 일반적으로 스트링 유저명:영역(realm):패스워드의 MD5 해시임,
- 상기 새로운 패스워드를 128 비트 키를 가지고 AES 암호화 알고리즘를 이용해서 암호화, 그리고
- 기본 64 엔코딩을 이용해서 상기 암호화된 결과를 인코드:
그리고나서 HTTP 세팅에서, 상기 베이스64 엔코드 결과가 상기 HTTP 다이제스트 인증 해더로 일반적으로 전송되는 상기 파라미터들에 추가의 새로운 패스워드 키워드로서 제공될 수 있는데, 다시 말해:
Authorization: credentials
credentials = "Digest" digest-response
digest-response = 1#( username | realm | nonce | digest-uri | response |[ algorithm ] | [cnonce] | [opaque] | [message-qop] | [nonce-count] | [new - password] | [auth-param] )
username = "username" "=" username-value
username-value = quoted-string
digest-uri = "uri" "=" digest-uri-value
digest-uri-value = request-uri ; HTTP/1.1에 의해 기술된 바와 같음
message-qop = "qop" "=" qop-value
cnonce = "cnonce" "=" cnonce-value
cnonce-value = nonce- value
nonce-count = "nc" "=" nc-value
nc-value = 8LHEX
response = "response" "=" request-digest
request-digest = <"> 32LHEX <">
LHEX = "0" I "1" I "2" I "3" I
"4" I "5" I "6" I "7" I
"8" I "9" I "a" I "b" I
"c" I "d" I "e" I "f"
new - password = " newpassword " "=" base64 - new - password
base64 - new - password = < base64 encoding of encrypted - new - password >
encrypted - new - password = < AES encryption of new password using digest of old password >
상기 새로운 패스워드의 복호화와 HTTP의 상기 다이제스트 스키마가 일어난다(takes place). 만약 상기 새로운 파라미터가 상술한 바와 같이 상기 인증 해더내에 포함되면, 상기 패스워드는 이를 암호화하는데 사용되었던 프로세스의 반대로 복호화되어야 한다:
- 상기 기존 패스워드의 20-바이트 SHA-I 다이제스트 생성
- 128 비트 복호화 키를 얻기 위해 상기 발생한 다이제스트의 하위(low-order) 16 바이트들 이용
- 상기 베이스64-엔코드된 새로운 패스워드 디코드
- 상기 128 비트 키를 가지고 상기 AES 복호화 알고리즘을 이용해서 상기 디코드된 새로운 패스워드 복호화
이 방법에서, 새로운 패스워드는 암호화 방식으로서, 간단하고 효과적인 방법으로 생성될 수 있고 전송될 수 있다. 상기 클라이언트 디바이스(10)와 서버(12)간에 암호화 채널들이 오픈될 필요가 없으며, 더 큰 저장장치나 프로세싱 요구사항이 상기 클라이언트 디바이스(10)나 상기 서버(12)상에 요구되지 않는다.
도 3은 상기 서버(12)에서 상기 클라이언트 디바이스(10)로의 만료일자를 포함하는 해더의 통신과 관련하여, 상술된 프로세스를 보다 자세하게 도시한다. 이 프로세스는 상기 서버(12)에 의해 수행된다. 상기 서버(12)를 운영하는 방법은 첫번째로 단계 S1에서, 상기 클라이언트 디바이스(10)로부터 패스워드를 포함하는 인증 요청을 수신하는 단계를 포함한다. 그리고나서, 단계 S2에서, 상기 서버(12)가 상기 수신된 패스워드에 대한 만료일자를 엑세스하고, 단계 S3에서 상기 클라이언트 디바이스(10)로, HTTP 메시지안에 해더와 같이 적절한 형태로 상기 만료일자를 포함하는 응답을 전송하고, 상기 만료일자는 상기 패스워드가 만료되었건 아니건간에 상기 서버(12)에 의해 상기 클라이언트 디바이스(10)로 리턴된다. 이는 만약 필요하다면, 상기 패스워드가 만료되기 전에 상기 디바이스(10)가 행동을 취하는 것을 허용하면서, 상기 클라이언트 디바이스(10)의 다른 구성들을 지원한다. 예를 들어 상기 클라이언트 디바이스(10)가 상기 유저에 그들의 패스워드가 곧 만료할 것이라는 경고를 수 있다.
상기 서버(12)를 운영하는 방법은 만약 상기 패스워드가 만료되었다면, 단계 S4에서 상기 패스워드가 만료되었는지 확인하는(ascertaining) 단계와, 단계 S5에서 새로운 패스워드를 수신하는 단계를 더 포함한다. 상기 서버(12)는 상기 패스워드가 만료되었는지 여부를 체크하고, 그리고 상기 패스워드가 더 이상 수신할 수 없다면, 상기 서버(12)는 새로운 패스워드 프로시져를 트리거하거나 상기 클라이언트 디바이스(10)로부터 새로운 패스워드를 받을 것이고, 이 두가지 모두 인증을 제공하는 것으로부터 상기 새로운 패스워드의 블록킹을 포함할 것이다. 상기 새로운 패스워드 생성 프로시져는 상기 서버(12)에 의한 액티브 동작일 수 있는데, 이는 상기 새로운 패스워드를 얻기 위해 상기 클라이언트 디바이스(10)와 통신할 수 있고, 또는 상기 서버(12)가, 상기 클라이언트 디바이스(10)가 상기 새로운 패스워드를 생성하고 상기 서버(120)에 의해 저장하기 위해 이를 상기 서버(12)로 전송할 것이라고, 추정하는 패시브 동작일 수 있다. 상기 서버(12)로 전송된 상기 새로운 패스워드(12)는 상술한 바와 같이 상기 기존의 패스워드(또는 상기 패스워드의 다이제스트)를 이용해서 암호화될 수 있다.
도 4는 상술한 패스워드 처리에 관한 메시지 트래픽의 몇몇을 보여주면서, 도 1의 시스템을 도시한다. 상기 서버(12)는 데이터베이스(20)를 포함한다. 상기 클라이언트 디바이스(10)는 서버(12)에 의해 제공된 서비스의 엑세스 요청(24)을 전송한다. 상기 요청(24)은 패스워드(26)를 포함한다. 일단 상기 서버(12)가 상기 요청(24)을 수신하면, 상기 서버(12)가 상기 수신된 패스워드(26)에 대한 상기 만료일자(28)를 리트리브하기 위해서 그들의 데이터베이스(20)를 엑세스할 것이다. 그리고나서 상기 서버(12)는 상기 만료일자(28)를 포함하는 해더를 포함하는 응답(30)을 가지고 상기 클라이언트 디바이스(10)에 응답한다. 이 방법에서, 상기 클라이언트 디바이스(10)는 상기 지정된 패스워드(26)를 가진 서비스로의 엑세스 시도가 있던간에, 상기 패스워드(26)의 만료에 관한 정보를 제공받는다.
본 기술분야에서 통상의 기술을 가진 자들은 본 발명이 상술한 실시예들에 대해서 기술되었으나, 본 발명은 이에 한정되는 것은 아니고 본 발명의 권리범위에서 벗어남이 없이도 다양한 변형 및 변경들이 있을 수 있다는 점을 인식할 것이다.
본 발명의 범위는 임의의 신규 특징들이나 여기서 기술된 특징들의 조합을 포함한다. 여기서 상기 출원서는 새로운 청구항들이 본 발명이나 이들로부터 파생된 다른 발명들의 출원기간동안에 그러한 특징들이나 특징들의 조합을 형성할 수 있다는 사실을 알린다. 특히, 첨부된 도면들을 참고로, 종속항들의 특징들은 독립항들의 특징들과 조합될 수 있고 각각의 독립항들의 특징들은 상기 청구항들내 열거된 특정 조합들이 아닌 적절한 방법으로 조합될 수 있다.
의혹을 남기지 않기 위해, 상기 상세한 설명 및 청구항들을 통해서 여기서 사용되는 상기 용어 "포함하는"은 "이들만으로 구성되는"이라는 의미를 뜻하지는 않는다.

Claims (25)

  1. 서버를 운영하는 방법에 있어서,
    패스워드를 포함하는 인증 요청(authorisation request)을 수신하는 단계;
    상기 패스워드에 대한 만료일자(expiry date)를 엑세스하는 단계;
    클라이언트가, 크리덴셜(credential)들에 관해서 유저가 프롬프트되는(prompted) 방법을 변경하는 것을 허용하도록, 상기 만료일자를 포함하는 응답을 전송하는 단계;
    상기 패스워드가 만료되었는지 여부를 확인하는(ascertaining) 단계; 및
    상기 패스워드가 만료되었다면, 새로운 패스워드를 수신하는 단계를 포함하는
    방법.
  2. 제 1항에 있어서,
    상기 전송된 응답은
    상기 패스워드의 마지막 사용을 나타내는(representing) 날짜를 더 포함하는
    방법.
  3. 제 1항 내지 제 2항에 있어서,
    상기 전송된 응답은
    재시도 파라미터(retry parameter)를 나타내는 정수값을 더 포함하는
    방법.
  4. 제 3항에 있어서,
    새로운 패스워드를 포함하는 요청을 수신하는 단계;
    상기 새로운 패스워드가 받아들여질 수 없는지(unacceptable) 확인하는 단계; 및
    상기 재시도 파라미터를 나타내는 상기 정수값을 포함하는 응답을 전송하는 단계를 더 포함하되,
    상기 정수값은 변경되지 않는
    방법.
  5. 제 3항 또는 제 4항에 있어서,
    상기 기존의 패스워드를 포함하는 요청을 수신하는 단계, 및
    상기 재시도 파라미터를 나타내는 상기 정수값을 포함하는 응답을 전송하는 단계를 더 포함하되,
    상기 정수값은 1만큼 감소되는
    방법.
  6. 전항들 중 어느 한 항에 있어서,
    만료일자를 포함하는 응답을 전송하는 단계는
    해더를 포함하는 메시지를 전송하는 단계를 포함하고, 상기 해더가 상기 만료일자를 포함하는
    방법.
  7. 제 6항에 있어서,
    요청 및 응답 전송 프로토콜(request and reply transfer protocol)에 따라 상기 서버를 운영하는 단계를 더 포함하되, 상기 전송된 응답은 상기 프로토콜에 따른 응답인
    방법.
  8. 제 7항에 있어서,
    상기 프로토콜에 따른 응답인 상기 전송된 응답이 인증 요청이 수신될 때마다 서버에 의해 전송되는
    방법.
  9. 패스워드를 포함하는 인증요청을 수신하고,
    상기 패스워드에 대한 만료일자를 엑세스하고,
    클라이언트가, 크리덴셜(credential)들에 관해서 유저가 프롬프트되는(prompted) 방법을 변경하는 것을 허용하도록, 상기 만료일자를 포함하는 응답을 전송,
    상기 패스워드가 만료되었는지 여부를 확인 및
    만약 상기 패스워드가 만료되었다면, 새로운 패스워드를 수신하도록 구성된
    서버.
  10. 제 9항에 있어서,
    상기 전송된 응답은
    상기 패스워드의 마지막 사용을 나타내는(representing) 날짜를 더 포함하는
    서버.
  11. 제 9항 내지 제 10항에 있어서,
    상기 전송된 응답은
    재시도 파라미터(retry parameter)를 나타내는 정수값을 더 포함하는
    서버.
  12. 제 11항에 있어서,
    상기 서버는
    새로운 패스워드를 포함하는 요청을 수신;
    상기 새로운 패스워드가 받아들여질 수 없는지(unacceptable) 확인; 및
    상기 재시도 파라미터를 나타내는 상기 정수값을 포함하는 응답을 전송하도록 더 마련되며, 상기 정수값은 변경되지 않는
    서버.
  13. 제 11항 또는 제 12항에 있어서,
    상기 서버는
    상기 기존의 패스워드를 포함하는 요청을 수신, 및
    상기 재시도 파라미터를 나타내는 상기 정수값을 포함하는 응답을 전송하도록 더 마련하되, 상기 정수값은 1만큼 감소되는
    서버.
  14. 제 9항 내지 제 13항 중 어느 한 항에 있어서,
    상기 서버는
    상기 만료일자를 포함하는 응답을 전송할 때, 해더를 포함하는 메시지를 전송하도록 마련되며, 상기 해더가 상기 만료일자를 포함하는
    서버.
  15. 제 14항에 있어서,
    상기 서버는
    요청 및 응답 전송 프로토콜(request and reply transfer protocol)에 따라 상기 서버를 운영하도록 마련하되, 상기 전송된 응답은 상기 프로토콜에 따른 응답인
    서버.
  16. 제 15항에 있어서,
    상기 프로토콜에 따른 응답인 상기 전송된 응답이 인증 요청이 수신될 때마다 서버에 의해 전송되는
    서버.
  17. 서버를 운영하기 위한 컴퓨터 판독가능 매체상의 컴퓨터 프로그램 제품에 있어서, 상기 제품은
    패스워드를 포함하는 인증 요청(authorisation request)을 수신하고,
    상기 패스워드에 대한 만료일자(expiry date)를 엑세스하고,
    클라이언트가, 크리덴셜(credential)들에 관해서 유저가 프롬프트되는(prompted) 방법을 변경하는 것을 허용하도록, 상기 만료일자를 포함하는 응답을 전송하고,
    상기 패스워드가 만료되었는지 여부를 확인하고, 및
    상기 패스워드가 만료되었다면, 새로운 패스워드를 수신하기 위한 명령들을 포함하는
    컴퓨터 프로그램 제품.
  18. 제 17항에 있어서,
    상기 전송된 응답은
    상기 패스워드의 마지막 사용을 나타내는(representing) 날짜를 더 포함하는
    컴퓨터 프로그램 제품.
  19. 제 17항 내지 제 18항에 있어서,
    상기 전송된 응답은
    재시도 파라미터(retry parameter)를 나타내는 정수값을 더 포함하는
    컴퓨터 프로그램 제품.
  20. 제 19항에 있어서,
    새로운 패스워드를 포함하는 요청을 수신하는 단계;
    상기 새로운 패스워드가 받아들여질 수 없는지(unacceptable) 확인하는 단계; 및
    상기 재시도 파라미터를 나타내는 상기 정수값을 포함하는 응답을 전송하는 단계를 위한 명령들을 더 포함하되, 상기 정수값은 변경되지 않는
    컴퓨터 프로그램 제품.
  21. 제 19항 또는 제 20항에 있어서,
    상기 기존의 패스워드를 포함하는 요청을 수신하는 단계, 및
    상기 재시도 파라미터를 나타내는 상기 정수값을 포함하는 응답을 전송하는 단계를 위한 명령들을 더 포함하되, 상기 정수값은 1만큼 감소되는
    컴퓨터 프로그램 제품.
  22. 제 17항내지 제 21항 중 어느 한 항에 있어서,
    만료일자를 포함하는 응답을 전송하는 단계를 위한 명령들은
    해더를 포함하는 메시지를 전송하는 단계를 위한 명령들을 포함하고, 상기 해더가 상기 만료일자를 포함하는
    컴퓨터 프로그램 제품.
  23. 제 22항에 있어서,
    요청 및 응답 전송 프로토콜(request and reply transfer protocol)에 따라 상기 서버를 운영하는 단계를 위한 명령들을 더 포함하되, 상기 전송된 응답은 상기 프로토콜에 따른 응답인
    컴퓨터 프로그램 제품.
  24. 제 23항에 있어서,
    상기 프로토콜에 따른 응답인 상기 전송된 응답이 인증 요청이 수신될 때마다 서버에 의해 전송되는
    컴퓨터 프로그램 제품.
  25. 컴퓨터 시스템으로 로드되고 거기서 실행될 때, 상기 컴퓨터 시스템이 청구항들 제 1항 내지 제 8항 중 어느 한항에 따른 방법의 모든 단계들을 수행하도록 하기 위한 컴퓨터 프로그램 코드를 포함하는
    컴퓨터 프로그램.
KR1020107024148A 2008-04-04 2009-04-01 만료된 패스워드 처리 KR101475981B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP08154050 2008-04-04
EP08154050.2 2008-04-04

Publications (2)

Publication Number Publication Date
KR20110003353A true KR20110003353A (ko) 2011-01-11
KR101475981B1 KR101475981B1 (ko) 2014-12-23

Family

ID=40749276

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107024148A KR101475981B1 (ko) 2008-04-04 2009-04-01 만료된 패스워드 처리

Country Status (6)

Country Link
US (2) US9705878B2 (ko)
EP (1) EP2274704B1 (ko)
JP (1) JP5419960B2 (ko)
KR (1) KR101475981B1 (ko)
CN (1) CN101981581B (ko)
WO (1) WO2009121905A1 (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979899B2 (en) 2008-06-02 2011-07-12 Microsoft Corporation Trusted device-specific authentication
CN102546580A (zh) * 2011-01-04 2012-07-04 中国移动通信有限公司 一种用户口令的更新方法、系统及装置
US10154026B2 (en) * 2013-10-15 2018-12-11 Microsoft Technology Licensing, Llc Secure remote modification of device credentials using device-generated credentials
CN104618314B (zh) * 2013-12-24 2018-03-09 腾讯科技(深圳)有限公司 一种密码重置方法、装置和系统
US9355244B2 (en) 2013-12-24 2016-05-31 Tencent Technology (Shenzhen) Company Limited Systems and methods for password reset
US9942756B2 (en) 2014-07-17 2018-04-10 Cirrent, Inc. Securing credential distribution
US10154409B2 (en) 2014-07-17 2018-12-11 Cirrent, Inc. Binding an authenticated user with a wireless device
US10356651B2 (en) 2014-07-17 2019-07-16 Cirrent, Inc. Controlled connection of a wireless device to a network
US10834592B2 (en) 2014-07-17 2020-11-10 Cirrent, Inc. Securing credential distribution
CN105635157A (zh) * 2016-01-06 2016-06-01 北京信安世纪科技有限公司 一种口令更新的方法
US10462152B2 (en) 2016-11-15 2019-10-29 Microsoft Technology Licensing, Llc Systems and methods for managing credentials used to authenticate access in data processing systems
CN106790164B (zh) * 2016-12-29 2020-05-12 杭州迪普科技股份有限公司 L2tp的密码修改方法及装置
JP7072852B2 (ja) * 2018-07-06 2022-05-23 ローレルバンクマシン株式会社 パスワード類管理装置およびパスワード類管理方法
CN110826052A (zh) * 2019-10-18 2020-02-21 上海易点时空网络有限公司 保护服务器密码安全的方法和装置
KR102110815B1 (ko) 2019-10-22 2020-05-14 주식회사 넷앤드 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템
KR102118380B1 (ko) 2019-11-08 2020-06-04 주식회사 넷앤드 사용자별 서버 작업 통제 기능을 탑재한 접근통제 시스템
KR102269885B1 (ko) 2020-11-23 2021-06-28 주식회사 넷앤드 사용자별 맞춤형 서버 작업 환경의 생성 기능을 구비한 접근통제 시스템

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2596361B2 (ja) * 1993-12-24 1997-04-02 日本電気株式会社 パスワード更新方式
US5944825A (en) * 1997-05-30 1999-08-31 Oracle Corporation Security and password mechanisms in a database system
JPH11134298A (ja) * 1997-10-31 1999-05-21 Hitachi Ltd パスワード有効期限管理システム
JP4154542B2 (ja) 1998-05-11 2008-09-24 ソニー株式会社 情報提供方法、情報提供システム、情報通信端末およびサーバ装置
US6505348B1 (en) * 1998-07-29 2003-01-07 Starsight Telecast, Inc. Multiple interactive electronic program guide system and methods
DE19845055A1 (de) 1998-09-30 2000-04-06 Siemens Ag Verfahren und Anordnung zur Aktualisierung eines Paßwortes
US7225331B1 (en) * 2000-06-15 2007-05-29 International Business Machines Corporation System and method for securing data on private networks
US7200754B2 (en) 2003-03-03 2007-04-03 International Business Machines Corporation Variable expiration of passwords
CA2528451A1 (en) 2003-06-04 2005-01-06 Mastercard International Incorporated Customer authentication in e-commerce transactions
US7152782B2 (en) * 2003-07-11 2006-12-26 Visa International Service Association System and method for managing electronic data transfer applications
US7373516B2 (en) * 2004-08-19 2008-05-13 International Business Machines Corporation Systems and methods of securing resources through passwords
US20060136738A1 (en) * 2004-12-16 2006-06-22 International Business Machines Corporation System and method for password validation
JP4650786B2 (ja) 2005-04-20 2011-03-16 沖電気工業株式会社 本人識別システム
SE532098C2 (sv) * 2005-08-23 2009-10-20 Smarttrust Ab Autenticeringssystem och -förfarande
US7743138B2 (en) * 2005-09-22 2010-06-22 Dot Hill Systems Corporation Method and apparatus for external event notification management over in-band and out-of-band networks in storage system controllers
JP2007157044A (ja) 2005-12-08 2007-06-21 Hitachi Systems & Services Ltd ログイン認証時の不正アクセス検知方法
US20070174901A1 (en) * 2006-01-20 2007-07-26 Chang David Y System and method for automatic wireless network password update
US20080066183A1 (en) * 2006-09-12 2008-03-13 George Madathilparambil George Master device for manually enabling and disabling read and write protection to parts of a storage disk or disks for users
US20080082832A1 (en) * 2006-09-29 2008-04-03 Mcdougal Monty D Configurable Data Access Application For Highly Secure Systems
US20080098093A1 (en) * 2006-10-16 2008-04-24 Palm, Inc. Offline automated proxy cache for web applications
US8607303B2 (en) * 2006-10-31 2013-12-10 Apple Inc. Techniques for modification of access expiration conditions
US8935805B2 (en) * 2007-07-11 2015-01-13 International Business Machines Corporation Method and system for enforcing password policy in a distributed directory

Also Published As

Publication number Publication date
JP2011516952A (ja) 2011-05-26
US20110029782A1 (en) 2011-02-03
CN101981581A (zh) 2011-02-23
EP2274704B1 (en) 2016-06-08
WO2009121905A1 (en) 2009-10-08
US20170208051A1 (en) 2017-07-20
US9894046B2 (en) 2018-02-13
EP2274704A1 (en) 2011-01-19
KR101475981B1 (ko) 2014-12-23
CN101981581B (zh) 2013-08-28
US9705878B2 (en) 2017-07-11
JP5419960B2 (ja) 2014-02-19

Similar Documents

Publication Publication Date Title
US9894046B2 (en) Handling expired passwords
US8499339B2 (en) Authenticating and communicating verifiable authorization between disparate network domains
US7197568B2 (en) Secure cache of web session information using web browser cookies
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US6993596B2 (en) System and method for user enrollment in an e-community
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN101009561B (zh) 用于imx会话控制和认证的系统和方法
US7774611B2 (en) Enforcing file authorization access
US20130117558A1 (en) Method and apparatus for authenticating a digital certificate status and authorization credentials
US20130290719A1 (en) System and method for accessing integrated applications in a single sign-on enabled enterprise solution
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
JP2006079598A (ja) アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
CN101309293A (zh) 基于超文本传输协议的认证方法与认证系统
RU2325774C2 (ru) Способ распределения паролей
RU2698424C1 (ru) Способ управления авторизацией
WO2009066858A1 (en) Personal information management apparatus and personal information management method
EP2359525B1 (en) Method for enabling limitation of service access
Sakimura et al. OpenID Connect Messages 1. 0–draft 17
Mills A sasl and gss-api mechanism for oauth draft-mills-kitten-sasl-oauth-04. txt
Mills A SASL Mechanism for OAuth draft-mills-kitten-sasl-oauth-02. txt

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181127

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191126

Year of fee payment: 6