MXPA03010778A - Metodos y sistemas para la autenticacion de un usuario para sub-ubicaciones de una ubicacion de red. - Google Patents

Metodos y sistemas para la autenticacion de un usuario para sub-ubicaciones de una ubicacion de red.

Info

Publication number
MXPA03010778A
MXPA03010778A MXPA03010778A MXPA03010778A MXPA03010778A MX PA03010778 A MXPA03010778 A MX PA03010778A MX PA03010778 A MXPA03010778 A MX PA03010778A MX PA03010778 A MXPA03010778 A MX PA03010778A MX PA03010778 A MXPA03010778 A MX PA03010778A
Authority
MX
Mexico
Prior art keywords
cookie
location
computer
network
sub
Prior art date
Application number
MXPA03010778A
Other languages
English (en)
Inventor
T Saunders Stillman
Original Assignee
Microsoft Coporation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Coporation filed Critical Microsoft Coporation
Publication of MXPA03010778A publication Critical patent/MXPA03010778A/es

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Se describen metodos y sistemas para la autenticacion de un usuario de una sub-ubicacion de una ubicacion de red utilizando una primera galleta para la autenticacion dentro de la ubicacion de red, tal como un dominio de la gran red mundial, y tambien utiliza una segunda galleta para la autenticacion dentro de una sub-ubicacion de la ubicacion de red. Cuando el usuario intenta visitar una ubicacion de red o sub-ubicacion dentro de la ubicacion de red, el servidor de la ubicacion de red autentica al usuario obteniendo una galleta previamente almacenada de la computadora del usuario y validarla para la ubicacion de red. Despues de ser autenticada por la validacion, se genera una galleta para una sub-ubicacion dentro de la ubicacion de red para el usuario y se provee a la computadora de cliente. Cuando el usuario intenta tener acceso a la sub-ubicacion dentro de la ubicacion de red, la galleta provista a la computadora del usuario para la sub-ubicacion es obtenida y validada para la autenticacion del usuario para la sub-ubicacion.

Description

METODOS Y SISTEMAS PARA LA AUTENTICACION DE UN USUARIO PARA SUB-UBICACIONES DE UNA UBICACION DE RED CAMPO TECNICO La presente invención se refiere a la autenticación de un usuario para tener acceso a un recurso de red. Más particularmente, la presente invención se refiere a la autenticación de un usuario para una o más sub-ubicaciones individuales de una ubicación de red.
ANTECEDENTES Las redes de computadora permiten que los recursos sean compartidos entre diferentes computadoras. Por ejemplo, el Internet permite que las computadoras en todo el mundo intercambien información, tal como el correo electrónico. La gran red mundial proporciona el intercambio de información de audio-visual entre computadoras conectadas al Internet. Además, los servidores de computadora centralizados pueden almacenar información enviada por un usuario de computadora para tener acceso a otros. Las computadoras servidor permiten que los usuarios de computadoras tengan acceso a la información almacenada dentro de varias sub-ubicaciones de una ubicación de red, tal como un dominio de Internet. Las sub-ubicaciones de una ubicación de red pueden incluir directorios individuales de uno o más servidores o servidores individuales de un almacenaje servidor. Una sub-ubicación particular puede ser asignada a un usuario de computadora particular o a un grupo de usuarios quienes envían información a la sub-ubicación para tener acceso a otros usuarios de computadoras también conectados a la ubicación de red. Aunque dicha información compartida a través de la red es benéfica para los usuarios de computadoras, se debe tener mucho cuidado en la administración de la red para evitar el acceso no autorizado a las varias ubicaciones de red y sub-ubicaciones de las ubicaciones de red. Para evitar el acceso no autorizado, el usuario es autenticado para la ubicación de red. La .autenticación de un usuario puede ser realizada en varias formas. Un método es requerir que el usuario introduzca el nombre y contraseña del usuario antes de permitir el acceso a la ubicación de red y sub-ubicaciones correspondientes. Sin embargo, a medida que el número de ubicaciones de red que un usuario desee accesar se incrementa, el requisito de que el usuario introduzca el nombre y contraseña del usuario para cada ubicación se vuelve fastidioso. Para dirigir esta emisión, se expide una galleta al usuario después de que el usuario introduce el nombre y contraseña del usuario, una vez hecho esto, la galleta puede ser usada para autenticar la identidad del usuario en la ubicación de red, tal como un dominio dentro de la gran red mundial, para todas las sub-ubicaciones dentro de la ubicación de red. La galleta es un archivo de datos que sirve para identificar al usuario, incluyendo uno o más números grandes que son una identificación del usuario y que típicamente expira en cierto momento en el futuro. La entrada inicial con un nombre y contraseña del usuario típicamente se hace a través de una ubicación de red central confiada que mantiene el nombre y contraseña de referencia del usuario, tal como .NET™ Passport™, por ejemplo, cuando el usuario intenta visitar una ubicación de red, la computadora del usuario es dirigida a la ubicación de red confiada que emite una galleta encriptada o codificada a la computadora del usuario para la ubicación de red. Después, la computadora del usuario es dirigida de nuevo al servidor de la ubicación de red, y este servidor entonces verifica la galleta que acaba de ser emitida a la computadora del usuario. El servidor solicita la galleta de la computadora del usuario y después intenta validar la galleta descodificando crípticamente la galleta con una clave secreta y determinando que la galleta descodificada crípticamente no ha expirado. Después de que el servidor de la ubicación de red visitada exitosamente ha validado la galleta, la ubicación de red visitada ha autenticado al usuario que está intentando tener acceso, ya que la galleta validada confirma que el usuario que intenta tener acceso a la ubicación de red es un usuario de una identidad conocida y confiada. La identidad puede ser especificada por la información contenida dentro de la galleta descodificada crípticamente. Para sub-ubicaciones de ubicaciones de red en donde los usuarios pueden enviar información, aún sigue existiendo un riesgo de seguridad cuando se utilizan galletas para autenticar al usuario para la ubicación de red visitada. Un usuario que tiene acceso a una sub-ubicación dentro de la ubicación de red visitada puede enviar información de manuscrito por varias razones tales como, para proporcionar información audio-visual a otros que tienen acceso a la sub-ubicación. Sin embargo, un usuario malicioso puede enviar manuscritos que realicen actividades maliciosas tales como robar galletas que son cargadas de otras computadoras de usuarios cuando están visitando la ubicación de red. Después de obtener las galletas de los otros usuarios que visitan la ubicación de red, el usuario malicioso quien roba estas galletas entonces puede suplantar a estos otros usuarios para tener acceso a las sub-ubicaciones dentro de la ubicación de red en donde el usuario suplantado tiene acceso. De esta manera, el usuario malicioso quien robó las galletas ahora se le puede dar acceso a las sub-ubicaciones y actividades que el usuario malicioso, de otra manera, no tiene acceso, tales como actividades y/o sub-ubicaciones que involucran información personal, financiera u otra información sensible con respecto a los usuarios que están siendo suplantados.
COMPENDIO DE LA INVENCION Las modalidades de la presente invención dirigen estas y otras emisiones proporcionando una galleta para la autenticación de un usuario para una sub-ubicación específica de la ubicación de red además de utilizar la galleta que autentica al usuario para la ubicación de red que proporciona la sub-ubicación. Cuando un usuario entra a una ubicación de red y sub-ubicación, solamente la galleta para la ubicación de red y la galleta para la sub-ubicación individual están expuestas dentro de la sub-ubicación que está siendo visitada. Si estas dos galletas son robadas por un usuario malicioso, quien envía maliciosamente un manuscrito dentro de la sub-ubicación, entonces el usuario malicioso, quien robó las galletas, sólo puede suplantar al usuario para la misma sub-ubicación en donde el usuario quien robó las galletas ha previamente ganado acceso. El usuario malicioso que robó las galletas, no podrá ser capaz de suplantar al usuario para otras sub-ubicaciones que requieran de una galleta diferente, específica para una sub-ubicación. Una modalidad es un método para la autenticación de un usuario de una computadora para una sub-ubicación de una dirección de red. El método involucra proporcionar una primera galleta a la computadora para la autenticación del usuario para la dirección de red y proporcionar una segunda galleta a la computadora para la autenticación del usuario para una primera sub-ubicación de la dirección de red. Cuando la computadora intenta tener acceso a la dirección de red, la primera galleta es validada para la autenticación del usuario para la dirección de red. La segunda galleta es validada para la autenticación del usuario para la primera sub-ubicación de la dirección de red.
Otra modalidad es un sistema de computadora que incluye una interfase de red y un dispositivo de procesamiento. El dispositivo de procesamiento está configurado para obtener una primera galleta a través de la interfase de red y validar la primera galleta para la autenticación de un usuario para la dirección de red. El dispositivo de procesamiento también está configurado para obtener una segunda galleta a través de la interfase de red y validar la segunda galleta para la autenticación del usuario para la primera sub-ubicación de la dirección de red. Otra modalidad es un sistema de red que incluye una computadora servidor en una dirección de red que proporciona por lo menos una sub-ubicación de ia dirección de red. Una computadora de cliente está en comunicación con la computadora servidor a través de una red, y la computadora de cliente almacena una primera galleta para la dirección de red y una segunda galleta para la sub-ubicación de la dirección de red. La computadora de cliente entra y valida la primera galleta para la autenticación de un usuario de la computadora de cliente para la dirección de red, y la computadora servidor entra y valida la segunda galleta para la autenticación del usuario de la computadora de cliente para una sub-ubicación de la dirección de red. Otra modalidad es un medio legible por computadora que comprende instrucciones que cuando se ejecutan por una computadora realizan varios pasos. Se obtiene una primera galleta a través de una interfase de red de la computadora y es validada para la autenticación de un usuario para una dirección de red. Se obtiene una segunda galleta a través de la interfase de red de la computadora y es validada para la autenticación del usuario para una primera sub-ubicación de la dirección de red.
DESCRIPCION PE LOS DIBUJOS La Figura 1 ilustra un ambiente de operación en red para las modalidades de la presente invención. La Figura 2 ilustra los componentes de una computadora servidor de una ubicación de red de acuerdo con una modalidad de la presente invención. La Figura 3 ilustra las operaciones lógicas de la interacción que ocurre dentro de la red de la Figura 1 entre la entrada en el servidor, servidor de servicios y la computadora de cliente para la autenticación del usuario de la computadora de cliente de acuerdo con una modalidad de la presente invención. La Figura 4 ilustra las operaciones lógicas realizadas por el servidor de servicios para la autenticación del usuario de la computadora de cliente para una o más sub-ubicaciones de acuerdo con una modalidad de la presente invención.
DESCRIPCION DETALLADA Las modalidades de la presente invención proporcionan galletas de sub-ubicación, tales como galletas de directorio como se muestra y discute en las Figuras 1-4, para varias sub-ubicaciones de una ubicación de red. Un ejemplo de una ubicación de red es un dominio identificado en un URL o una dirección de IP. Las galletas de sub-ubicación se proporcionan de manera que los usuarios son autenticados para las sub-ubicaciones además de ser autenticados para la ubicación de red que aloja las sub-ubicaciones. De esta manera, un usuario que roba una galleta permitiendo una autenticación falsa para una ubicación de red todavía se requiere que sea autenticado para una sub-ubicación dentro de la ubicación de red con una galleta diferente. La Figura 1 muestra un ambiente de operación de red típico en donde se pueden implementar las modalidades de la presente invención. Una computadora de cliente 102 está enlazada a una red 106, tal como una red de área local, red de área amplia, o el internet global. La computadora de cliente 102 puede comunicarse con varias computadoras servidor también enlazadas a la red 106. Por ejemplo, una entrada en el servidor 108 enlazado a la red permite que el usuario entre con el nombre de un usuario, tal como una dirección de correo electrónico, y una contraseña para obtener una primera galleta de servidor que permite que el usuario sea autenticado en una ubicación de red sin requerir que el usuario introduzca el nombre de usuario y la contraseña otra vez para esa ubicación de red. Además, la entrada en el servidor 108 puede emitir una emisión de una galleta de entrada para el usuario de la computadora de cliente de manera que después de que el usuario está intentando visitar una ubicación de red y vuelve a ser dirigido ai servidor de entrada 108 para la autenticación, la galleta de entrada es obtenida para la autenticación del usuario para el servidor de entrada 108 sin requerir de otra entrada del nombre y contraseña del usuario. El servidor de entrada 108 puede tener acceso a un almacenamiento 110 de nombres y contraseñas de usuario de referencia. Después de que el usuario de la computadora de cliente 102 primero visita el servidor de entrada 108 e introduce un nombre y contraseña de usuario, el servidor de entrada 108 puede buscar el nombre de usuario en el almacenamiento 110 y comparar la contraseña introducida con la contraseña almacenada. Cuando éstas coinciden, el usuario de la computadora de cliente 102 ha sido autenticado como el usuario perteneciente del nombre de usuario y la galleta de entrada es provista a la computadora de cliente 102 del servidor de entrada 108 y se puede proporcionar una galleta de servidor cuando la computadora de cliente ha sido dirigida ai servidor de entrada como resultado de intentar visitar un servidor de servicios 112. La galleta de entrada y la galleta de servidor pueden incluir un valor identificador que corresponde al propietario del nombre de usuario quien entró para obtener las galletas. Además, estas galletas pueden ser codificadas crípticamente con una clave secreta y/o pueden tener un tiempo de expiración. La computadora de cliente 102 guarda las galletas en un almacenamiento 104, de manera que cuando la computadora de cliente 102 intenta entrar a una ubicación de red correspondiente, la galleta de servidor en el almacenamiento 104 puede ser obtenida a través de un servidor en la ubicación de red para la autenticación del usuario validando la galleta de servidor en una de varias formas. La validación puede incluir intentar descodificar crípticamente la galleta de servidor con una clave secreta y/o verificar que la galleta de servidor no haya expirado basándose en su fecha de expiración. Además, si y cuando la computadora de cliente 102 se vuelve a dirigir al servidor de entrada 108, la galleta de entrada puede ser obtenida a través del servidor de entrada 108 para la autenticación del usuario de la computadora cliente 102, una vez más sin requerir de reentrada del nombre y contraseña del usuario. Un servidor de servicios 112 está enlazado a la red 106 y proporciona servicios a las computadoras de cliente 102, incluyendo proporcionar acceso a varias sub-ubicaciones, tal como directorios 116, 118, y 120 de la ubicación de red establecida por el servidor 112, o tal como servidores individuales de un almacenamiento servidor en la ubicación de red. Los directorios individuales 116, 118 y 120 o servidores individuales de un almacenamiento servidor pueden proporcionar varias piezas de información útiles para la computadora de cliente 102, tal como documentos y acceso a información personal o información de otra manera sensible. Por ejemplo, después de que un usuario ha sido autenticado para una sub-ubicación , el usuario puede ser capaz de hacer compras en línea a través de la sub-ubicación, en donde la información de facturación para el usuario autenticado es almacenada y es aplicada por la sub-ubicación sin que el usuario vuelva a introducir la información cuando el usuario hace la compra. Para evitar el acceso no autorizado a la ubicación de red que es provisto por el servidor de servicios 112, el servidor 112 autentica a un usuario que está intentando tener acceso a una sub-ubicación particular u otro servicio provisto por el servidor 112, obteniendo la galleta de servidor de la computadora de cliente 102 que está intentando tener acceso al servidor 112. El servidor 112 valida la galleta de servidor como se describió anteriormente intentando la descodificación críptica con una clave especial en el almacenamiento 114 y/o verificando que la galleta de servidor no ha expirado. Cuando el acceso a la ubicación de red requiere de autorización además de la autenticación inicial, la información del identificador de la galleta puede ser comparada con la información del identificador mantenida en el almacenamiento 114. Cuando la computadora de cliente 102 entra a la ubicación de red del servidor de servicios 112, si la computadora de usuario 102 aún no ha obtenido la galleta de servidor para la ubicación de red, entonces la computadora de cliente 102 es dirigida al servidor de entrada 108. Después de ser autenticada, la computadora de cliente 102 se vuelve a dirigir al servidor de servicios 112 con la galleta de servidor y con un mensaje dentro de la cadena de solicitudes del servidor de entrada 108 al servidor de servicios 112. Este mensaje indica que el usuario justamente ha sido autenticado en el servidor de entrada 108, lo cual indica que el usuario no ha robado la galleta de servidor, sino que la ha obtenido legítimamente. Después de que el servidor de servicios 112 ha recibido el mensaje y ha autenticado al usuario a través de la validación de la galleta de servidor justamente recibida, el servidor de servicios 112 entonces genera galletas de sub-ubicación para el usuario autenticado para una o más de las sub-ubicaciones que requieren autenticación. Las galletas de sub-ubicación se proporcionan del servidor de servicios 112 a la computadora de cliente 102 del usuario, en donde se guardan en el almacenamiento 104, tal como un dispositivo de almacenamiento en masa. Las galletas de sub-ubicación pueden ser codificadas crípticamente y/o pueden tener un valor de expiración de manera que el servidor de servicios 112 puede descodificar crípticamente las galletas de sub-ubicación con otra clave secreta en el almacenamiento 114 y/o puede verificar la expiración para validar la galleta. En ciertas modalidades en donde la autorización va a ser determinada para las sub-ubicaciones para un usuario autenticado, también se puede incluir información de identificador para el usuario en las galletas de sub-ubicación y un identificador de coincidencia es guardado en el almacenamiento 114 del servidor de servicios 112 junto con la autorización para una o más de las varias sub-ubicaciones. Si el usuario no es capaz de ser autenticado después de tener acceso a la ubicación de red ya que el usuario no tiene la galleta de servidor, entonces el servidor de servicios 112 puede volver a dirigir a la computadora de cliente 102 hacia al servidor de entrada 108 como se discutió anteriormente o puede simplemente negar el acceso a la computadora de cliente 102. Cuando el usuario de la computadora de cliente 102 intenta tener acceso a una sub-ubicación particular dentro de la ubicación de red del servidor de servicios 112 después de ser autenticado a través de la validación de la galleta de servidor, el servidor de servicios 112 obtiene la galleta de sub-ubicación correspondiente a partir de la computadora de cliente 102. El servidor de servicios 112 intenta validar la galleta de sub-ubicación, tal como a través de descodificación críptica y/o verificación de la fecha de expiración, para autenticar al usuario de la computadora de cliente 102 para la sub-ubicación que va a ser accesada. La galleta de sub-ubicación puede contener un identificador de la sub-ubicación que la galleta de sub-ubicación aplica y también puede incluir varias otras piezas de información, incluyendo el identificador también utilizado en la galleta de servidor para el usuario. Para modalidades en donde se incluye información de identificación de usuario, la galleta de sub-ubicación puede incluir un identificador diferente asociado con el usuario por el servidor de servicios 112 que el identificador del usuario incluido en la galleta de servidor. Si alguien roba la galleta de servidor de un usuario después de que el usuario ha tenido acceso a la ubicación de red, la galleta de servidor robada no proporcionará la autenticación requerida para tener acceso a las sub-ubicaciones de la ubicación de red requiriendo galletas de sub-ubicación. Si el usuario legítimo es autenticado para la sub-ubicación con una galleta de sub-ubicación obtenida de la computadora de usuario 102 y alguien roba la galleta de sub-ubicación mientras el usuario está visitando la sub-ubicación, entonces la galleta de sub-ubicación robada no proporcionará la autenticación requerida para tener acceso a las otras sub-ubicaciones de la ubicación de red. La galleta de sub-ubicación robada sólo proporcionará autenticación para la sub-ubicación de que el ladrón de la galleta ya no tiene acceso. La Figura 2 y la siguiente discusión están destinadas a proporcionar una breve y general descripción de un ambiente de cómputo adecuado en donde la invención puede ser implementada en la computador de servidor de servicios 112. Ya que la invención será descrita en el contexto general de módulos de programa que se ejecutan en conjunto con programas de aplicación que corren en un sistema operativo en una computadora servidor, aquellos expertos en la técnica reconocerán que la invención también puede ser implementada en combinación con otros módulos de programa. En general, los módulos de programa incluyen rutinas, programas, componentes, estructuras de datos, y otros tipos de estructuras que realizan tareas particulares o ¡mplementan tipos de datos abstractos particulares. Además, aquellos expertos en la técnica apreciarán que la invención puede ser practicada con otras configuraciones de sistema de computadora, incluyendo dispositivos portátiles, sistemas de procesador múltiple, electrónica de consumidor a base de microprocesador o programable, mini computadoras, computadoras principal, y similares. La invención como se aplica a la computadora servidor 112 de la Figura 1 también puede ser practicada en ambientes de cómputo distribuidos, en donde se realizan tareas a través de dispositivos de procesamiento remotos que están enlazados a través de una red de comunicaciones en lugar de una computadora individual. En un ambiente de cómputo distribuido, los módulos de programa pueden ser ubicados en dispositivos de almacenamiento de memoria tanto locales como remotos. La Figura 2 muestra una arquitectura de computadora ilustrativa para la computadora servidor 112 para practicar las varias modalidades de la invención. La arquitectura de computadora mostrada en la Figura 2 ilustra una computadora servidor convencional, que incluye una unidad de procesamiento central 204 ("CPU"), una memoria de sistema 206, que incluye una memoria de acceso aleatorio 208 ("RAM") y una memoria de sólo lectura ("ROM") 210, y una barra colectora 212 que acopla la memoria al CPU 204. Un sistema básico de entrada/salida que contiene las rutinas básicas que ayudan a transferir información entre elementos dentro de la computadora, tal como durante el arranque, está almacenado en la ROM 210. La computadora servidor 112 además incluye un dispositivo de almacenamiento en masas 214 para almacenar un sistema operativo 216 y programas de aplicación, tal como el programa de aplicación de galletas 218 que realiza las funciones de entrada y autenticación de galletas de sub-ubicación. El dispositivo de almacenamiento en masas 214 también almacena dos componentes del programa de aplicación de galletas 218 que incluye un generador de galleta 224 para generar galletas de sub-ubicación y un verificador de galleta 226 que valida las galletas de entrada y de sub-ubicación de la computadora del usuario. La validación puede utilizar información de clave de descodificación críptica de galleta 228 en el almacenamiento en masas 214 y/o verifica los valores de expiración de las galletas para autenticar al usuario. El almacenamiento en masas 214 también puede incluir datos de sub-ubicación 230 para las varias sub-ubicaciones provistas en la ubicación de red. El dispositivo de almacenamiento en masas 214 está conectado al CPU 204 a través de un controlador de almacenamiento en masas (no mostrado) conectado a la barra colectora 212. El dispositivo de almacenamiento en masas 214 y sus medios legibles por computadora asociados, proporcionan almacenamiento no volátil para la computadora servidor 112. Aunque la descripción de los medios legibles por computadora contenida aquí se refiere a un dispositivo de almacenamiento en masas, tal como un disco duro o unidad de CD-ROM, se debe apreciar por aquellos expertos en la técnica que los medios legibles por computadora pueden ser cualesquiera medios disponibles que puedan ser accesados por la computadora servidor 112. A manera de ejemplo, y no de limitación, los medios legibles por computadora pueden comprender medios de almacenamiento de computadora y medios de comunicación. Los medios de almacenamiento de computadora incluyen medios volátiles, no volátiles, removibles y no removibles, implementados en cualquier método o tecnología para el almacenamiento de información tal como instrucciones legibles por computadora, estructuras de datos, módulos de programa u otros datos. Los medios de almacenamiento de computadora incluyen, pero no se limitan a, RAM, ROM, EPROM, EEPROM, memoria flash u otra tecnología de memoria de estado sólido, CD-ROM, DVD, u otro almacenamiento óptico, casetes magnéticos, cinta magnética, almacenamiento de disco magnético u otros dispositivos de almacenamiento magnético, o cualquier otro medio que pueda ser utilizado para almacenar la información deseada y que pueda ser accesada por la computadora. Los medios de comunicación típicamente moralizan instrucciones legibles por computadora, estructuras de datos, módulos de programa u otros datos en una señal de datos modulada, tal como una onda portadora u otro mecanismo de transporte e incluye cualesquiera medios de entrega de información. El término "señal de datos modulada" significa una señal que tiene una o más de sus características fijadas o cambiadas de tal manera que codifican información en la señal. A manera de ejemplo, y no de limitación, los medios de comunicación incluyen medios de cable tales como una red cableada o conexión dirigida por cable, y medios inalámbricos tales como medios acústicos, RF, infrarrojos, y otros medios inalámbricos. Las combinaciones de cualquiera de los anteriores también deben ser incluidas dentro del alcance de los medios legibles por computadora. Los medios legibles por computadora también son denominados como producto de programa de computadora. De acuerdo con varias modalidades de la invención, la computadora servidor 112 puede operar en un ambiente en red utilizando conexiones lógicas para computadoras remotas a través de la red 106, tal como el Internet. La computadora servidor 112 se puede conectar a la red 106 a través de una unidad de interfase de red 220 conectada a la barra colectora 212. Se debe apreciar que la unidad de interfase de red 220 también puede ser utilizada para conectar otros tipos de redes y sistemas de computadora remotos. La computadora servidor 112 también puede incluir un controlador de entrada/salida 222 para recibir y procesar la entrada de un número de dispositivos, incluyendo un teclado o ratón (no mostrados). Similarmente, un controlador de entrada/salida 222 puede proporcionar la salida a una pantalla de presentación, una impresora, u otro tipo de dispositivo de salida. Como se mencionó brevemente antes, se puede almacenar un número de módulos de programa y archivos de datos pueden ser almacenados en el dispositivo de almacenamiento en masas 214 y RAM 208 de la computadora servidor 112, incluyendo un sistema operativo 216 adecuado para controlar la operación de la computadora servidor 112 en red. El dispositivo de almacenamiento en masas 214 y RAM 208 también pueden almacenar uno o más programas de aplicación tales como la aplicación de galleta 218 y componentes correspondientes que incluyen el generador de galleta 224, verificador de galleta 224, verificador de galleta 226, e información de clave de descodificación críptica de galleta 228. Las modalidades de la presente invención proporcionan módulos de programa para usarse junto con el programa de aplicación de galleta 218. Los módulos de programa implementan operaciones lógicas para la autenticación de usuarios que intentan tener acceso a varias sub-ubicaciones de la ubicación de red. Varias modalidades de las operaciones lógicas de los módulos de programa para el programa de aplicación de galleta 218 se discuten a continuación con referencia a las Figuras 3 y 4. La Figura 3 muestra las operaciones lógicas implementadas dentro del ambiente de red de la Figura 1, en donde la computadora de cliente 102, el servidor de entrada 108, y el servidor de servicios 112 interactúan para la autenticación del usuario de la computadora de cliente 102 para una sub-ubicación de la ubicación de red del servidor de servicios 112. La Figura 4 muestra las operaciones lógicas implementadas dentro de la aplicación de galleta 218 para generar y verificar ias galletas de sub-ubicación para la autenticación del usuario. Las operaciones lógicas ilustrativas de la Figura 3 para una modalidad comienzan en la operación de entrada 302, en donde la computadora de cliente 102 entra al servidor de entrada 108 introduciendo un nombre y contraseña de usuario, tal como después de volver a ser dirigido del servidor de servicios 112 que el usuario intenta visitar. El servidor de entrada 108 compara el nombre y contraseña del usuario con un nombre y contraseña de usuario de referencia para el usuario. Después de una comparación exitosa indicando una coincidencia para las credenciales de entrada, el servidor de entrada 108 proporciona una galleta de servidor (primera galleta) a la computadora de cliente 102. Como se discutió anteriormente, esta galleta de servidor puede incluir un valor de expiración y/o puede ser codificada crípticamente con una clave conocida por el servidor de servicios 112, de manera que la galleta de servidor puede ser validada. Como se discutió anteriormente, el servidor de entrada 108 también puede proporcionar una galleta de entrada que autentica al usuario para el servidor de entrada 108 si el usuario se vuelve a dirigir al servidor de entrada 108 en el futuro. Después de que la computadora de cliente 102 ha entrado para obtener la galleta de servidor, la computadora de cliente 102 intenta tener acceso a la ubicación de red del servidor de servicios 112 en una operación de acceso 306 después de ser dirigida al servidor de servicios 112 a partir del servidor de entrada 108. Después de la redirección, la cadena de solicitudes incluye el mensaje del servidor de entrada 108 indicando que el usuario de la computadora de cliente 102, que tiene la galleta de servidor, ya ha sido autenticado. En ese momento, el servidor de servicios 112 obtiene el mensaje de la cadena de solicitudes y la galleta de servidor de la computadora de cliente 102 e intenta validar la galleta de servidor. El servidor de servicios 112 autentica al usuario en la operación de autenticación 308 después de validar la galleta de servidor tal como descodificándola crípticamente y/o verificando que no ha expirado. Después de la autenticación, el servidor de servicios 112 genera y proporciona las galletas de sub-ubicación al usuario para cada una de las sub-ubicaciones provistas en el servidor de servicios 112, ya que el servidor de servicios 112 recibió el mensaje del servidor de entrada 108 de que el usuario justamente ya había sido autenticado en el servidor de entrada 108. Una vez que las galletas de sub-ubicación han sido provistas a la computador de cliente 102 para una galleta de servidor particular, el servidor de servicios 112 requiere que la computadora de cliente 102, que ha sido autenticada con la misma galleta de servidor, tenga la galleta de sub-ubicación emitida para la sub-ubicación que el usuario está intentando tener acceso. Esto permite que el servidor de servicios 112 intente la validación de la galleta de sub-ubicación, a través de la descodificación críptica con otra clave secreta y/o a través de verificación de no expiración, para autenticar al usuario para la sub-ubicación que está siendo accesada en la operación de sub-ubicación 310. Si el usuario con la galleta de servidor no tienen las galletas de sub-ubicación, entonces el servidor de servicios 112 puede dirigir al usuario que será autenticado otra vez con el servidor de entrada 108. Se apreciará que en ciertas modalidades, el servidor de servicios 112 también puede proporcionar una verificación de autorización adicional, una vez que un usuario ha sido autenticado para determinar si el usuario autenticado tiene autorización para tener acceso a una sub-ubicación particular. Aunque las galletas de sub-ubicación sirven para autenticar al usuario para las sub-ubicaciones en la ubicación de red, el usuario no puede tener autorización para ciertas sub-ubicaciones y con base en eso se le puede negar el acceso. La Figura 4 muestra las operaciones lógicas ilustrativas de una modalidad de la aplicación de galleta 218 para la autenticación de un usuario. Las operaciones lógicas comienzan en la operación de acceso 402, en donde el servidor de servicios 112 recibe un intento de acceso por parte de la computadora de cliente 102, en donde el intento de acceso puede ser una redirección a partir del servidor de entrada 108 de regreso al servidor de servicios 112. Después de recibir el intento de acceso, el servidor de servicios 112 intenta obtener la galleta de servidor (primera galleta) de la computadora de cliente 102 que puede ser validada a través de descodificación críptica y/o verificación de no expiración. En ese momento, el servidor de servicios 112 también puede obtener cualquier mensaje del servidor de entrada 108 que indica que el usuario ha sido justamente autenticado en el servidor de entrada 108. La operación de solicitud 406 detecta si la galleta de usuario ha sido exitosamente validada. Si la operación de solicitud 406 detecta que no ha ocurrido ninguna validación de la galleta de servidor, tal como porque la galleta de servidor no pudo ser descodificada crípticamente o ha expirado, entonces el servidor de servicios 112 puede dirigir la computadora de cliente 102 hacia el servidor de entrada 108 en la operación de redirigir 408. Alternativamente, el servidor de servicios 112 simplemente puede negar el acceso al usuario. Si la operación de solicitud 406 detecta que una galleta de servidor ha sido exitosamente validada, entonces el flujo operacional se va a la operación de solicitud 410. En la operación de solicitud 410, el servidor de servicios 112 prueba si las galletas de sub-ubicación ya han sido provistas a una computadora de cliente 102 para la galleta de servidor actualmente obtenida. Esto puede realizarse haciendo referencia al mensaje en la cadena de solicitud regresada al servidor de servicios 112 a partir del servidor .de entrada 108. Si el mensaje del servidor de entrada 108 ha sido recibido, entonces el servidor de servicios 112 sabe que el usuario ya ha sido autenticado en el servidor de entrada 108 para la ubicación de red del servidor de servicios 112 y que las galletas de directorio no han sido provistas aún. Este mensaje además indica que el usuario que presenta la galleta de servidor es el usuario legítimo en lugar de ser un usuario malicioso quien pudo haber robado la galleta de servidor. Si el mensaje del servidor de entrada 108 no ha sido presentado, entonces el servidor de servicios 112 prosigue como si las galletas de sub-ubicación ya hubieran sido provistas para esta galles de servidor, lo cual evita que las galletas de sub-ubicación sean emitidas a un usuario malicioso. Cuando la operación de solicitud 410 detecta que las galletas de sub-ubicación no han sido provistas previamente para esta galleta de servidor porque el mensaje dentro de la cadena de solicitud del servidor de entrada 108 está presente, entonces ei servidor de servicios 112 genera las galletas de sub-ubicación que serán usadas junto con la galleta de servidor actual en la operación de generación 412. Como se discutió, cada una de estas galletas de sub-ubicación generadas incluye un identificador de la sub-ubicación correspondiente y también puede incluir un identificador del usuario en donde se requieren para el acceso verificaciones de autorización adicionales. Estas galletas de sub-ubicación generadas después son enviadas a la computadora de cliente 102 en la operación de envío 414. La autenticación para el usuario actual, para la sub-ubicación que está siendo accesada, después es otorgada en la operación de autenticación 416. Cuando la operación de solicitud 410 detecta que las galletas de sub-ubicación ya han sido previamente provistas para esta galleta de servidor debido a que no se recibió ningún mensaje del servidor de entrada 108 para el intento de tener acceso, entonces el servidor de servicios 112 intenta obtener la galleta de sub-ubicación para la sub-ubicación que actualmente está siendo accesada en la operación de galleta 418. Como se discutió anteriormente para la galleta de servidor, las galletas de sub-ubicación de la computadora de cliente 102 pueden ser codificadas crípticamente con una clave conocida al servidor de servicios 112, de manera que la clave es usada para descodificar crípticamente la galleta de sub-ubicación, de manera que puede ser validada. Además, la sub-ubicación relevante es identificada en la galleta de sub-ubicación. La operación de solicitud 420 después detecta si una galleta de sub-ubicación para la sub-ubicación actual ha sido validada por la descodificación críptica y/o verificación de no expiración y también a través de la comparación de la sub-ubicación identificada en la galleta con la sub-ubicación que está siendo accesada. Cuando la operación de solicitud 420 detecta que no ha encontrado ninguna galleta de sub-ubicación que pueda ser validada para esta sub-ubicación, entonces el servidor de servicios 112 niega la autenticación para la sub-ubicación para el usuario en la operación de rechazo 422, de manera que el usuario actual no será capaz de tener acceso a esta sub-ubicación. Esto evita que un usuario malicioso, quien haya robado la galleta de servidor y posiblemente aún una galleta de directorio hacia otra sub-ubicación, tenga acceso a la sub-ubicación real. Cuando la operación de solicitud 420 detecta que una galleta de sub-ubicación ha sido validad para esta sub-ubicación, entonces el servidor dé servicios 112 otorga la autenticación al usuario para la sub-ubicación, en la operación de autenticación 416. Si es necesario, el usuario autenticado entonces puede ser referenciado contra las reglas de autenticación para la sub-ubicación, para determinar si este usuario autenticado tiene permiso a tener acceso a esta sub-ubicación de interés. Aunque la invención ha sido particularmente mostrada y descrita con referencia ilustrativa a sus modalidades, se entenderá

Claims (1)

  1. ? 1 27 REIVINDICACIONES 1. - Un método para la autenticación de un usuario de una computadora para por lo menos una sub-ubicación de una dirección 5 de red, que comprende: proporcionar una primera galleta a la computadora para la autenticación de usuarios para la dirección de red; proporcionar una segunda galleta a la computadora para la autenticación de usuarios para una primera sub-ubicación de la 10 dirección de red; cuando la computadora intenta tener acceso a la dirección de red, validar la primera galleta para la autenticación del usuario para la dirección de red; y validar la segunda galleta para la autenticación del usuario 15 para la primera sub-ubicación de la dirección de red. 2. - El método de acuerdo con la reivindicación 1, en donde la segunda galleta es validada cuando la computadora intenta tener acceso a la primera sub-ubicación de la dirección de red. 3. - El método de acuerdo con la reivindicación 1, en donde la 20 dirección de red es un dominio de la gran red mundial. 4. - El método de acuerdo con la reivindicación 1, en donde la segunda galleta es codificada crípticamente con una clave conocida para un servidor que aloja la dirección de red y la sub-ubicación dentro de la dirección de red. 25 5.- El método de acuerdo con la reivindicación 1, en donde la segunda galleta especifica un identificador de usuario y un identificador de la primera sub-ubicación de la dirección de red. 6.- El método de acuerdo con la reivindicación 1, en donde la segunda galleta incluye un valor de expiración. 7.- El método de acuerdo con la rei indicación 1, que además comprende: proporcionar una galleta adicional a la computadora para la autenticación de usuarios para una sub-ubicación adicional de la dirección de red; y validar la galleta adicional para la autenticación del usuario para la sub-ubicación adicional de la dirección de red. 8. - El método de acuerdo con la reivindicación 1, que además comprende: buscar una galleta adicional que puede ser validada para una sub-ubicación adicional de la dirección de red; y negar la autenticación del usuario para la sub-ubicación adicional de la dirección de red cuando no se encuentra la galleta adicional. 9. - El método de acuerdo con la reivindicación 1, que además comprende: obtener un nombre y contraseña de usuario de la computadora de usuario; comparar el nombre y contraseña de usuario con un nombre y contraseña de usuario de referencia; proporcionar la primera galleta cuando el nombre y contraseña de usuario coinciden con el nombre y contraseña de usuario de referencia; cuando el usuario intenta tener acceso a la ubicación de red por primera vez después de que la computadora de usuario recibe la primera galleta, después proporcionar la segunda galleta a la computadora de usuario después de validar la primera galleta; y cuando el usuario intenta tener acceso a la ubicación de red después de la primera vez con la primera galleta, después obtener la segunda galleta de la computadora. 10.- El método de acuerdo con la reivindicación 9, en donde la comparación del nombre y contraseña de usuario con el nombre y contraseña de usuario de referencia ocurre en una segunda ubicación de red, y en donde la primera galleta e provista a la computadora de usuario de la segunda ubicación de red. 11.- Un sistema de computadora, que comprende: una inferíase de red; y un dispositivo de procesamiento configurado para obtener una primera galleta a través de la interfase de red y validar la primera galleta para la autenticación de un usuario para la dirección de red y para obtener una segunda galleta a través de la interfase de red y validar la segunda galleta para la autenticación del usuario para la primera sub-ubicación de la dirección de red. 12.- El sistema de computadora de acuerdo con la reivindicación 11, en donde el dispositivo de procesamiento valida la segunda galleta después de recibir un intento de tener acceso a la primera sub-ubicación de la dirección de red. 13.- El sistema de computadora de acuerdo con la reivindicación 11, en donde la dirección de red es un dominio de la gran red mundial. 14.- El sistema de computadora de acuerdo con la reivindicación 11, que además comprende un almacenamiento que contiene una clave que descodifica crípticamente la segunda galleta. 15. - El sistema de computadora de acuerdo con la reivindicación 11, en donde la segunda galleta especifica un identificador de usuario y un identificador de la primera sub-ubicación de la dirección de red. 16. - El sistema de computadora de acuerdo con la reivindicación 11, en donde la segunda galleta incluye un valor de expiración. 17.- El sistema de computadora de acuerdo con la reivindicación 11, en donde el dispositivo de procesamiento además está configurado para obtener una galleta adicional para una sub-ubicación adicional de la dirección de red a través de la interfase de red y para validar la galleta adicional para la autenticación del usuario para la sub-ubicación adicional de la dirección de red. 18.- El sistema de computadora de acuerdo con la reivindicación 11, en donde el dispositivo de procesamiento además está configurado para buscar a través de la interfase de red para una galleta adicional que puede ser validada para una sub-ubicación adicional y negar la autenticación del usuario para la sub-ubicación adicional de la dirección de red cuando no se encuentra la galleta adicional. 19. - El sistema de computadora de acuerdo con la reivindicación 11, en donde el dispositivo de procesamiento además está configurado para, cuando la primera galleta es obtenida a través de la interfase de red por primera vez, después proporcionar la segunda galleta a través de la interfase de red después de validar la primera galleta y cuando la primera galleta es obtenida a través de la interfase de red después de la primera vez entonces obtener la segunda galleta a través de la interfase de red. 20. - El sistema de computadora de acuerdo con la reivindicación 11, en donde la sub-ubicación es un directorio de un servidor en la dirección de red. 21. - Un sistema de red, que comprende: una computadora servidor en una dirección de red proporcionando por lo menos una sub-ubicación de la dirección de red; y una computadora de cliente en comunicación con la computadora servidor a través de una red, la computadora de cliente almacenando una primera galleta para la dirección de red y una segunda galleta para la sub-ubicación de la dirección de red, y en donde la computadora servidor tiene acceso y valida la primera galleta para la autenticación de un usuario de la computadora de cliente para la dirección de red y en donde la computadora servidor tiene acceso y valida la segunda galleta para la autenticación del usuario de la computadora de cliente para una sub-ubicación de la dirección de red. 22. - El sistema de red de acuerdo con la reivindicación 21, en donde la computadora servidor valida la segunda galleta cuando la computadora de cliente intenta tener acceso a la primera sub-ubicación de la dirección de red. 23. - El sistema de red de acuerdo con la reivindicación 21, en donde la dirección de red es un dominio de la gran red mundial. 24. - El sistema de red de acuerdo con la reivindicación 21, en donde la segunda galleta es codificada crípticamente con una clave conocida a la computadora de usuario. 25. - El sistema de red de acuerdo con la reivindicación 21, en donde la segunda galleta especifica un identificador de usuario y un identificador de la primera sub-ubicación de la dirección de red. 26.- El sistema de red de acuerdo con la reivindicación 21, en donde la segunda galleta incluye un valor de expiración. 27. - El sistema de red de acuerdo con la reivindicación 21, en donde la computadora de cliente almacena una galleta adicional para la autenticación de usuario para una sub-ubicación adicional de la dirección de red y en donde la computadora servidor tiene acceso y valida la galleta adicional para la autenticación del usuario para la sub-ubicación adicional de la dirección de red. 28. - El sistema de red de acuerdo con la reivindicación 21, en donde la computadora servidor busca una galleta adicional de la computadora de cliente que puede ser validada para una sub- ubicación adicional de la dirección de red y niega la autenticación del usuario para la sub-ubicación adicional cuando no se encuentra la galleta adicional. 29. - El sistema de red de acuerdo con la reivindicación 21, que además comprende una segunda computadora servidor que obtiene un nombre y contraseña de usuario de la computadora de cliente, compara el nombre y contraseña de usuario con un nombre y contraseña de usuario de referencia, y proporciona la primera galleta a la computadora de cliente cuando el nombre y contraseña de usuario coinciden con el nombre y contraseña de usuario de referencia. 30. - El sistema de red de acuerdo con la reivindicación 21, en donde la computadora servidor, después de que la computadora de cliente está intentando tener acceso a la ubicación de red por primera vez después de que la computadora de cliente recibe la primera galleta, entonces proporciona la segunda galleta a la computadora de cliente después de validar la primera galleta, y en donde la computador servidor, después de que la computadora de cliente está intentando tener acceso a la ubicación de red después de la primera vez, entonces obtiene la segunda galleta de la computadora de cliente. 31. - Un medio legible por computadora que comprende instrucciones que cuando son ejecutadas por una computadora realizan los pasos de: obtener una primera galleta a través de una inferíase de red de la computadora; validar la primera galleta para la autenticación de un usuario para una dirección de red; obtener una segunda galleta a través de la interfase de red de la computadora; y validar la segunda galleta para la autenticación del usuario para una primera sub-ubicación de la dirección de red. 32. - El medio legible por computadora de acuerdo con la reivindicación 31, en donde la segunda galleta es validada después de que la computadora que está ejecutando las instrucciones de recibir un intento a tener acceso a la primera sub-ubicación de la dirección de red. 33. - El medio legible por computadora de acuerdo con la reivindicación 31, en donde la dirección de red es un domino de la gran red mundial. 34. - El medio legible por computadora de acuerdo con la reivindicación 31, en donde la segunda galleta es codificada crípticamente con una clave conocida a la computadora que está ejecutando las instrucciones. 35.- El medio legible por computadora de acuerdo con la reivindicación 31, en donde la segunda galleta especifica un identificador de usuario y un identificador de la primera sub-ubicación de la dirección de red. 36.- El medio legible por computadora de acuerdo con la reivindicación 31, en donde la segunda galleta incluye un valor de expiración. 37. - El medio legible por computadora de acuerdo con la reivindicación 31, en donde las instrucciones, cuando se ejecutan por la computadora, realizan los pasos adicionales de: obtener una galleta adicional para una sub-ubicación adicional de la dirección de red a través de la interfase de red; y validar la galleta adicional para la autenticación del usuario para la sub-ubicación adicional de la dirección de red. 38. - El medio legible por computadora de acuerdo con la reivindicación 31, en donde las instrucciones, cuando son ejecutadas por la computadora, realizan los pasos adicionales de: buscar a través de la interfase de red una galleta adicional que puede ser validada para una sub-ubicación adicional; y negar la autenticación del usuario para la sub-ubicación adicional de la dirección de red cuando no se encuentra la galleta adicional. 39. - El medio legible por computadora de acuerdo con la reivindicación 31, en donde las instrucciones, cuando se ejecutan por la computadora, realizan los pasos adicionales de: cuando la computadora recibe la primera galleta por primer vez, entonces proporcionar la segunda galleta a través de la interfase de red después de validar la primera galleta; y cuando el usuario intenta tener acceso a la ubicación de red después de la primera vez, entonces obtener la segunda galleta a través de la interfase de red. 40.- El medio legible por computadora de acuerdo con la reivindicación 31, en donde la sub-ubicación es una computadora servidor de un almacenamiento de computadoras servidor en una dirección de red de la computadora que ejecuta las instrucciones.
MXPA03010778A 2002-12-05 2003-11-25 Metodos y sistemas para la autenticacion de un usuario para sub-ubicaciones de una ubicacion de red. MXPA03010778A (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/310,269 US7237118B2 (en) 2002-12-05 2002-12-05 Methods and systems for authentication of a user for sub-locations of a network location

Publications (1)

Publication Number Publication Date
MXPA03010778A true MXPA03010778A (es) 2005-04-19

Family

ID=32312267

Family Applications (1)

Application Number Title Priority Date Filing Date
MXPA03010778A MXPA03010778A (es) 2002-12-05 2003-11-25 Metodos y sistemas para la autenticacion de un usuario para sub-ubicaciones de una ubicacion de red.

Country Status (17)

Country Link
US (1) US7237118B2 (es)
EP (1) EP1427160B1 (es)
JP (1) JP4746266B2 (es)
KR (1) KR100920871B1 (es)
CN (1) CN100438421C (es)
AT (1) ATE471022T1 (es)
AU (1) AU2003262473B2 (es)
BR (1) BR0305278A (es)
CA (1) CA2448853C (es)
DE (1) DE60332909D1 (es)
HK (1) HK1066123A1 (es)
MX (1) MXPA03010778A (es)
MY (1) MY138346A (es)
PL (1) PL363770A1 (es)
RU (1) RU2348070C2 (es)
TW (1) TWI330482B (es)
ZA (1) ZA200308723B (es)

Families Citing this family (100)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US8380854B2 (en) 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
US20030084302A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation Portability and privacy with data communications network browsing
US7275260B2 (en) 2001-10-29 2007-09-25 Sun Microsystems, Inc. Enhanced privacy protection in identification in a data communications network
US20030084172A1 (en) * 2001-10-29 2003-05-01 Sun Microsystem, Inc., A Delaware Corporation Identification and privacy in the World Wide Web
US20030084171A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
US7730321B2 (en) * 2003-05-09 2010-06-01 Emc Corporation System and method for authentication of users and communications received from computer systems
CA2422334C (en) * 2003-03-17 2009-06-09 British Telecommunications Public Limited Company Authentication of network users
US8977763B1 (en) * 2003-04-25 2015-03-10 Aol Inc. Systems and methods for distributing streams and stream metadata
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US8099503B2 (en) 2003-12-23 2012-01-17 Microsoft Corporation Methods and systems for providing secure access to a hosted service via a client application
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US7857701B2 (en) * 2004-03-12 2010-12-28 Microsoft Corporation Silent sign-in for offline games
WO2006002068A2 (en) * 2004-06-15 2006-01-05 Passmark Security, Inc. Method and apparatus for making accessible a set of services to users
JP5075410B2 (ja) * 2004-07-07 2012-11-21 株式会社 アスリート テレビ受像機及びクライアント端末
US8528078B2 (en) * 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8296562B2 (en) * 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US20100100967A1 (en) * 2004-07-15 2010-04-22 Douglas James E Secure collaborative environment
ES2420158T3 (es) * 2004-07-15 2013-08-22 Anakam, Inc. Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada
US8533791B2 (en) * 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US20060190990A1 (en) * 2005-02-23 2006-08-24 Shimon Gruper Method and system for controlling access to a service provided through a network
US8171303B2 (en) * 2004-11-03 2012-05-01 Astav, Inc. Authenticating a login
EP1662820A1 (de) * 2004-11-25 2006-05-31 Siemens Aktiengesellschaft Übermittlung Dienst-relevanter Zugangsinformationen bei Authentisierung eines Endgeräts an einer Zugangseinrichtung eines Telekommunikationsnetzes
US20070027807A1 (en) * 2005-07-29 2007-02-01 Alexandre Bronstein Protecting against fraud by impersonation
US8533350B2 (en) 2005-11-01 2013-09-10 Ravenwhite Inc. Method and apparatus for storing information in a browser storage area of a client device
US20070124805A1 (en) * 2005-11-29 2007-05-31 Yahoo! Inc. Cookie with multiple staged logic for identifying an unauthorized type of user
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US7765275B2 (en) * 2006-01-27 2010-07-27 International Business Machines Corporation Caching of private data for a configurable time period
US8261087B2 (en) * 2006-03-09 2012-09-04 Vasco Data Security, Inc. Digipass for web-functional description
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US11075899B2 (en) 2006-08-09 2021-07-27 Ravenwhite Security, Inc. Cloud authentication
US8844003B1 (en) 2006-08-09 2014-09-23 Ravenwhite Inc. Performing authentication
CN101540734A (zh) 2008-03-21 2009-09-23 阿里巴巴集团控股有限公司 一种跨域名Cookie访问方法、系统及设备
US8719572B2 (en) * 2008-07-16 2014-05-06 Disney Enterprises, Inc. System and method for managing authentication cookie encryption keys
KR101048836B1 (ko) * 2009-01-22 2011-07-13 주식회사 인사이트랩 모바일 기기를 이용한 금융 서비스 제공 시스템 및 그 방법
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US8370908B2 (en) * 2009-06-10 2013-02-05 Microsoft Corporation Decreasing login latency
US8286225B2 (en) * 2009-08-07 2012-10-09 Palo Alto Research Center Incorporated Method and apparatus for detecting cyber threats
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US8756319B2 (en) 2010-06-17 2014-06-17 Bby Solutions, Inc. Automatic reauthentication in a media device
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US9384112B2 (en) 2010-07-01 2016-07-05 Logrhythm, Inc. Log collection, structuring and processing
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US8886981B1 (en) 2010-09-15 2014-11-11 F5 Networks, Inc. Systems and methods for idle driven scheduling
US9361597B2 (en) 2010-10-19 2016-06-07 The 41St Parameter, Inc. Variable risk engine
EP2633667B1 (en) 2010-10-29 2017-09-06 F5 Networks, Inc System and method for on the fly protocol conversion in obtaining policy enforcement information
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9246819B1 (en) 2011-06-20 2016-01-26 F5 Networks, Inc. System and method for performing message-based load balancing
US8943571B2 (en) * 2011-10-04 2015-01-27 Qualcomm Incorporated Method and apparatus for protecting a single sign-on domain from credential leakage
US9118619B2 (en) 2011-11-07 2015-08-25 Qualcomm Incorported Prevention of cross site request forgery attacks by conditional use cookies
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
US9231879B1 (en) 2012-02-20 2016-01-05 F5 Networks, Inc. Methods for policy-based network traffic queue management and devices thereof
US9172753B1 (en) * 2012-02-20 2015-10-27 F5 Networks, Inc. Methods for optimizing HTTP header based authentication and devices thereof
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
EP2853074B1 (en) 2012-04-27 2021-03-24 F5 Networks, Inc Methods for optimizing service of content requests and devices thereof
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
KR101293178B1 (ko) * 2012-09-11 2013-08-12 오정원 쿠키 포맷 인증 정보를 이용한 보안 접속 시스템 및 방법
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
CN102857515B (zh) * 2012-09-21 2015-06-17 北京神州绿盟信息安全科技股份有限公司 一种访问网络的控制方法及装置
US9424543B2 (en) 2012-09-27 2016-08-23 International Business Machines Corporation Authenticating a response to a change request
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
RU2016105315A (ru) 2013-09-04 2017-10-09 Антон Николаевич Чурюмов Способ для аутентификации пользователя через несколько пользовательских устройств
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
CN103729903A (zh) * 2013-12-26 2014-04-16 乐视致新电子科技(天津)有限公司 以手机作为验证终端的认证系统及方法
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US9734682B2 (en) 2015-03-02 2017-08-15 Enovate Medical, Llc Asset management using an asset tag device
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US20160299213A1 (en) * 2015-04-10 2016-10-13 Enovate Medical, Llc Asset tags
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US10348712B2 (en) * 2016-02-26 2019-07-09 Ricoh Company, Ltd. Apparatus, authentication system, and authentication method
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US9779405B1 (en) * 2016-09-26 2017-10-03 Stripe, Inc. Systems and methods for authenticating a user commerce account associated with a merchant of a commerce platform
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10645177B2 (en) * 2017-04-19 2020-05-05 International Business Machines Corporation Cookie based session timeout detection and management
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
US11212101B2 (en) * 2018-10-09 2021-12-28 Ca, Inc. Token exchange with client generated token
CN113452760A (zh) * 2021-06-08 2021-09-28 阿波罗智联(北京)科技有限公司 验证码的同步方法、装置、电子设备和存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2560449B2 (ja) * 1987-10-06 1996-12-04 旭硝子株式会社 液晶表示素子及びその製造方法
ATE72118T1 (de) * 1987-11-30 1992-02-15 Gist Brocades Nv Pharmazeutische zusammensetzung und verfahren zu ihrer herstellung.
AU1236800A (en) 1998-10-30 2000-05-22 Lockstar, Inc. Secure authentication for access to back-end resources
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
CA2405294A1 (en) * 2000-04-06 2001-10-18 Freerun Technologies, Inc. Systems and methods for securing a web transaction between a client and a merchant using encrypted keys and cookies
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
KR100463514B1 (ko) * 2000-09-09 2004-12-29 엘지전자 주식회사 로그인 수행을 위한 시스템의 운영 방법 및 이를 위한시스템
US7380008B2 (en) 2000-12-22 2008-05-27 Oracle International Corporation Proxy system
US20020129159A1 (en) * 2001-03-09 2002-09-12 Michael Luby Multi-output packet server with independent streams
US20030018707A1 (en) * 2001-07-20 2003-01-23 Flocken Philip Andrew Server-side filter for corrupt web-browser cookies

Also Published As

Publication number Publication date
BR0305278A (pt) 2004-08-31
MY138346A (en) 2009-05-29
TWI330482B (en) 2010-09-11
DE60332909D1 (de) 2010-07-22
CA2448853C (en) 2013-02-19
US20040111621A1 (en) 2004-06-10
ZA200308723B (en) 2004-10-08
AU2003262473A1 (en) 2004-06-24
TW200423661A (en) 2004-11-01
CN1507203A (zh) 2004-06-23
AU2003262473B2 (en) 2009-05-28
EP1427160B1 (en) 2010-06-09
KR20040049272A (ko) 2004-06-11
JP4746266B2 (ja) 2011-08-10
RU2348070C2 (ru) 2009-02-27
ATE471022T1 (de) 2010-06-15
HK1066123A1 (en) 2005-03-11
EP1427160A3 (en) 2008-09-24
PL363770A1 (en) 2004-06-14
JP2004185623A (ja) 2004-07-02
CA2448853A1 (en) 2004-06-05
KR100920871B1 (ko) 2009-10-09
CN100438421C (zh) 2008-11-26
RU2003135433A (ru) 2005-05-10
EP1427160A2 (en) 2004-06-09
US7237118B2 (en) 2007-06-26

Similar Documents

Publication Publication Date Title
CA2448853C (en) Methods and systems for authentication of a user for sub-locations of a network location
US7249262B2 (en) Method for restricting access to a web site by remote users
CA2578186C (en) System and method for access control
US8364957B2 (en) System and method of providing credentials in a network
CN102201915B (zh) 一种基于单点登录的终端认证方法和装置
US8490168B1 (en) Method for authenticating a user within a multiple website environment to provide secure access
US20070245152A1 (en) Biometric authentication system for enhancing network security
US20020083178A1 (en) Resource distribution in network environment
US20090094383A1 (en) User Enrollment in an E-Community
US20030208681A1 (en) Enforcing file authorization access
EP1440360A1 (en) Enhanced quality of identification in a data communications network
CN115333840B (zh) 资源访问方法、系统、设备及存储介质
US11757877B1 (en) Decentralized application authentication
US7647402B2 (en) Protecting contents of computer data files from suspected intruders by renaming and hiding data files subjected to intrusion
JP2004070814A (ja) サーバセキュリティ管理方法及び装置並びにプログラム
WO2024176494A1 (ja) サーバシステム及び不正ユーザ検知方法
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템
KR100406292B1 (ko) 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법
CN116232648A (zh) 认证方法、装置、网关设备及计算机可读存储介质

Legal Events

Date Code Title Description
FG Grant or registration