NL1018494C2 - Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. - Google Patents
Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. Download PDFInfo
- Publication number
- NL1018494C2 NL1018494C2 NL1018494A NL1018494A NL1018494C2 NL 1018494 C2 NL1018494 C2 NL 1018494C2 NL 1018494 A NL1018494 A NL 1018494A NL 1018494 A NL1018494 A NL 1018494A NL 1018494 C2 NL1018494 C2 NL 1018494C2
- Authority
- NL
- Netherlands
- Prior art keywords
- service
- client
- server
- token
- authentication
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- General Factory Administration (AREA)
- Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
Description
Methode en systeem voor het door een dienstproces aan een dient leveren van een dienst
ACHTERGROND
5 De uitvinding heeft betrekking op een methode resp. system voor het door een dienstproces aan een cliënt leveren van een dienst.
Het gebied van de uitvinding is de levering van diensten via computernetwerken.
Authenticatie en autorisatie van clients door servers is in theorie 10 'opgelost', maar in de praktijk is dit een weerbarstig onderwerp vol met voetangels en klemmen. Het resultaat in de praktijk is dat een veilige (=geauthenticeerde en geautoriseerde) dienstverlening nauwelijks voorkomt op internet, en dat het vertrouwen van gebruikers in bestaande diensten klein is.
15 Een veelheid van oorzaken kan hiervoor worden aangewezen, waaronder de volgende: - wanneer een dienst gebruik maakt van het SSL protocol voor het authenticeren van de klant en het beveiligen van de dienstverlening, dan moet het dienstverleningsprotocol door SSL getransporteerd (getu- 20 nneld) kunnen worden. Voor alle protocollen die op UDP zijn gebaseerd geldt dat dit niet kan. Eenvoudige op UDP gebaseerde protocollen zijn DNS (Domain Name Service), TFTP (Trivial File Transfer Protocol), SNMP (Simple Network Management Protocol), Syslog protocol, etc. Komplexere voorbeelden zijn video- en audio streaming (bijv. RealAudio, Real-25 Video), multi-user gaming protocollen, e.d.
- wanneer een dienst gebruik maakt van IPSEC, dan bestaat het volgende probleem. IPSEC zet een beveiligde verbinding op (een 'transport pijp') tussen twee machines (computers, routers, of combinaties daarvan), en dat staat los van de diensten (client/servers) die 30 daarvan gebruik maken. Er kunnen ook meerdere diensten van dezelfde IPSEC pijp gebruik maken. Het gebruiken van de IPSEC authenticatie als authenticatie voor de dienst is vergelijkbaar met dat men de afzender op een ansichtkaart voor echt houdt omdat de postbode zich kan legitimeren. Los daarvan is IPSEC een veel moeilijker protocol dan SSL 35 om te operationaliseren, zowel technisch als vanuit beveiligi ngsoogpunt.
- wanneer gebruik wordt gemaakt van een kombinatie van IPSEC en SSL voor eerdergenoemde doelen, dan wordt de verstuurde data dubbel vercijferd (lx door IPSEC, lx door SSL), hetgeen de transportsnelheid 1018494 -3- drastisch reduceert, en wordt het operationaliseren van de verbinding bemoeilijkt. Voorat voor real-time datatransporten (multimedia diensten) wordt dit al snel onacceptabel.
- als authenticate en autorisatie al gebeuren zijn ze doorgaans 5 vervlochten met een bestaande dienst, hetgeen grotere problemen geeft naarmate deze dienst zelf groter (complexer) is.
DE UITVINDING
De uitvinding beoogt de mogelijkheid te verschaffen om 10 1) bestaande diensten welke weinig of geen authenticiatie/autorisatie doen eenvoudig aan te passen, waarna ze over een sterke authenticatie/autorisatie beschikken, en 2) nieuwe diensten te ontwikkelen waarbij het authenticatie/autorisatie gedeelte gescheiden is van het feitelijke 15 dienstverlenende gedeelte.
De uitvinding omvat herbruikbare componenten voor het implementeren van authenticatie en autorisatie.
De uitvinding lost voornoemde problemen op door verantwoordelijkheden en processen te scheiden. Er wordt een protocol gedefinieerd dat 20 aangeeft hoe deze delen met elkaar communiceren zodanig dat een dienstverlener een geauthenticeerde en geautoriseerde klant zijn dienst kan verlenen.
In een voorkeursuitvoering van de uitvinding kunnen vier processen onderscheiden worden: 25 - een cliënt proces, bijvoorbeeld een standaard browser zoals
Microsoft Internet Explorer, hieronder ook aangeduid met "cliënt". Dit proces zit in het beveiligingsdomein van de dienst-gebruiker.
- een authenticatatie proces. Dit proces zit in het beveiligingsdomein van ofwel de dienstverlener ofwel een Trusted Third Party; 30 - een Dienst Autorisatie Proces (DAP). Dit proces -het eigenlijke autorisatieproces waarin wordt nagegaan of een bepaalde dienst al dan niet aan een bepaalde cliënt kan of mag worden geleverd- zit in het beveiligingsdomein van de dienstverlener.
- een Dienst Proces (DP). Dit proces zit in het beveiligingsdomein van 35 de dienstverlener.
Volgens de uitvinding kan ook een subset (tenminste één) van de 1 01 849 4 ^ -4- processen gebruikt worden. De methode volgens de uitvinding omvat tenminste één van de volgende stappen: a. De cliënt zet een beveiligde sessie -bijvoorbeeld een SSL sessie-op naar een authenticatieproces en stuurt een cliënt identifier 5 -bijvoorbeeld een X.509 Public Key certificaat- en een service request waarin wordt aangegeven welke dienst wordt gevraagd.
b. Het authenticatieproces verifieert de dient identifier en stuurt de geverifieerde cliënt identifier (bij voorkeur) met een “mate-van-zekerheid”-aanduiding betreffende de authenticiteit van die client- 10 identifier, en het service request naar een autorisatieproces; het autorisatieproces weet hiermee (1) welke dienst wordt gevraagd en (2) door wie en (3) heeft (bij voorkeur) een bepaalde mate van zekerheid (bijvoorbeeld aangeduid met klasse I, II of III certificaten) omtrent de identiteit van de cliënt.
15 c. Het autorisatieproces onderzoekt of de in het service request aangegeven dienstverlening aan de dient kan en mag worden geleverd, en zendt het onderzoeksresultaat in de vorm van een geautoriseerd service request, voorzien van een bepaalde geldigheidsperiode, terug naar de authenticatieproces: het geautoriseerde service request vormt 20 de autorisatie om, binnen de geldigheidsperiode, met het leveren van de dienst aan de cliënt te beginnen.
d. Het authenticatieproces genereert een token en associeert dat met de in de vorige stap afgegeven autorisatie (het geautoriseerd service request).
25 e. Het authenticatieproces stuurt vervolgens het adres van het betreffende dienstproces en het token naar de cliënt, bijvoorbeeld door middel van een HTML pagina die als hyperlink dat adres en token omvat, waarbij de browser van de cliënt naar het (hyperlink) adres van het dienstproces wordt ge-"redirect".
30 f. De cliënt treedt (door middel van de hyperlink) in verbinding met het dienstproces en stuurt het van het authenticatieproces ontvangen token (de sessie tussen de cliënt en het verificatieproces kan getermineerd worden).
g. Het dienstproces stuurt het van de cliënt ontvangen token naar het 35 authenticatieproces.
h. Het authenticatieproces haalt het aan het token geassocieerde 1018494 -5- geautoriseerde service request (de "autorisatie") op, controleert of de geldigheidsperiode accoord is, en stuurt vervolgens het geautoriseerde service request naar het dienstproces. Merk op dat deze situatie precies dezelfde is als wanneer er geen authenticate en 5 autorisatie had plaatsgevonden en het cliënt proces rechtstreeks het service request aan het dienstproces had gestuurd. Immers: de sessie tussen cliënt en het dienstproces is gestart door het cliënt proces en het protocol dat gebruikt wordt is hetzelfde protocol dat het dienstproces daar in andere gevallen voor zou hebben gebruikt.
10 i. Het dienstproces levert vervolgens de door de cliënt gevraagde dienst.
Het systeem volgens de uitvinding omvat de middelen waarmee de bovenstaande methode-stappen kunnen worden uitgevoerd.
De onderhavige uitvinding heeft de volgende voordelen: 15 1) De uitvinding maakt gebruik van standaard protocollen.
2) De uitvinding hoeft uitsluitend aan de server-kant (dat wil zeggen daar waar het authenticatieproces, het autorisatieproces en het dienstproces geactiveerd is) te worden geïmplementeerd. Voor de client-kant kunnen gangbare browsers (Microsoft Internet Explorer, 20 Netscape Navigator e.d.) zonder modificaties worden gebruikt.
3) Er is dus ook geen extra support (bijv. helpdesk) nodig voor eindgebruikers.
4) Elke electronische dienst die (nog) geen authenticatie/autorisatie doet, kan met minimale aanpassingen gebruik maken van de uitvinding - 25 ongeacht het protocol dat deze dienst gebruikt.
5) De uitvinding maakt geen gebruik van sessies die door een server worden opgezet, en vereist derhalve (a) geen speciale aanpassingen aan firewalls, en (b) kan ook gebruikt worden wanneer de cliënt in een netwerk zit dat via Netwerk Adres Translatie (NAT) aan het Internet 30 zit.
6) De uitvinding maakt dat business processen en operationele processen eenvoudig gescheiden kunnen worden, terwijl ook de interfaces tussen de verschillende processen zeer eenvoudig zijn. Dit maakt het gemakkelijk om te voorkomen dat een dienst opgezet wordt als 35 een log monolitisch geheel.
101 848 4"! -6-
REFERENCES
- SSL (ftp://ds.internic.net/internet-drafts/draft-freier-ssl-version3 -02.txt): Dit is een internet-draft van 18 november 1996. Het SSLv3 protocol is niet formeel gestandaardiseerd, maar wel een de facto 5 standaard. Het protocol biedt privacy en betrouwbaarheid tussen twee communicerende applicaties (processen). Het staat client/server applicaties toe te communiceren op een manier die is ontworpen om te voorkomen dat derden het berichtenverkeer afluisteren, berichten veranderen, of berichten toevoegen. In de protocol-stack verwacht SSL 10 een betrouwbaar transport protocol (bijv. wel TCP, maar niet UDP) onder zich.
- IPSEC (http://www.ietf.org/rfc/rfc2401.txtl: Het doel van IPSEC is om verschillende security-services aan te bieden voor verkeer op de IP laag, zowel in IPv4 als IPv6 omgevingen. Hoewel IPSEC dus onderdeel 15 van dienst-beveiliging kan zijn. kan het niet een dienst in zijn geheel beveiligen omdat de IPSEC op IP niveau opereert, en de beveiliging van diensten ook op hogere niveaus moet kunnen worden gegarandeerd.
- Gesloten systemen zijn er ook voor authenticatie/autorisatie. Zie 20 bijv. de RABO bank voor electronisch bankieren, het Easy Pay systeem van Shell, Digitale Postzegels van PTT Post e.d. Dit soort systemen hebben het nadeel dat de klant additionele hardware moet hebben voordat ze deze diensten kunnen gebruiken.
25 IMPLEMENTATIE
Een implementatie van de uitvinding wordt voorgesteld door figuur 1, voorstellende een systeem met vier processen, dat wil zeggen, vier hardware/software modules (computers, servers, terminals etc.) waarop die processen draaien en die via een netwerk (zoals het internet) met 30 elkaar in verbinding kunnen treden.
Figuur 1 toont een cliënt proces C, geïmplementeerd door middel van een webbrowsers als MS Internet Explorer etc. op een gebruikers PC, een Client Authenticatie Proces, CAP, geïmplementeerd met behulp van procedures uit standaard libraries, een Dienst Autorisatie Proces, 35 DAP, en een Dienst Proces, DP, die een dienst kan leveren die door de gebruiker, via zijn/haar client C, gewenst wordt.
1 01 84 9 4 ’ -7-
Elk proces valt binnen één security-domain, d.w.z. dat er één persoon of instantie is die het proces beheert en de gevolgen draagt van wat dit proces doet of nalaat. Het proces C valt zo onder het security domain van de gebruiker, de CAP valt onder het security domain van de 5 betreffende dienstenleverancier ("Service Provider") SP of een "Trusted Third Party” terwijl de processen DAP en DP vallen onder het security domain van de dienstenleverancier SP.
Onder 'protocol' wordt hier verstaan een methode om twee (computer) processen met elkaar te laten communiceren. Dit kunnen dus 10 internetprotocollen zijn, maar ook procedure calls (wanneer de processen op dezelfde machine draaien), of andere protocollen.
De getoonde implementatie van de uitvinding gebruikt de volgende communicatie protocollen: - SSL (Secure Sockets Layer Protocol) of TLS (Transport Layer Security 15 protocol). Dit zijn bekende en goed gedocumenteerde protocollen (zie referenties); - DSP (Domain Secure Protocol). Dit is geen bestaand protocol, maar een 'placeholder' naam voor ieder protocol dat hetzij (1) communicatie verzorgt tussen twee processen binnen een 20 enkel security domain, en (2) door de beheerder van dat security domain is bestempeld als 'veilig' voor gebruik binnen dat security domain, hetzij (1) communicatie verzorgt tussen een proces in het security domain van een TTP en een proces in het security domain van de 25 betreffende dienstenleverancier SP, en (2) door beide beheerders van deze security domains wordt bestempeld als 'veilig' voor gebruik tussen deze security domains; - DSP1 een DSP protocol dat wordt gebruikt tussen de processen CAP en DAP; 30 - DSP2 een DSP protocol dat wordt gebruikt tussen de processen CAP en DP.
- AP (Applicatie Protocol). Dit is geen bestaand protocol, maar een ’placeholder1 naam voor het protocol tussen het clientproces C en het DP. Dit protocol dient te voldoen aan de veiligheidseisen (en andere 35 eisen) die de dienstenleverancier SP daaraan stelt.
De procedure verloopt alsvolgt: 1018494 -8- - Een verbinding wordt opgezet tussen proces C en CAP. Deze verbinding gebruikt het SSL of TLS protocol. Het protocol wordt zodanig ingesteld dat bij het opzetten van deze verbinding: (a) C de CAP authenticeert aan de hand van een door de CAP te sturen 5 server certificaat welke is uitgegeven door een bij C bekende partij ("Trusted Third Party"): (b) de CAP een lijst van door de CAP geaccepteerde cliënt certificaat uitgevers naar C stuurt. Voorts heeft de CAP voor elk certificaattype en -uitgever de beschikking over de mate van zekerheid welke de 10 dienstenleverancier SP stelt bij authenticatie van certificaten van dat type en uitgever.
- Het CAP initieert een verbinding tussen het CAP en DAP, gebruikmakend van het DSP1 protocol (zie hierboven).
- C initieert een verbinding tussen C en DP. gebruikmakend van het AP 15 protocol (zie hierboven).
- Een verbinding wordt opgezet tussen proces DP en het CAP. Deze· verbinding gebruikt het DSP2 protocol (zie hierboven). Deze verbinding kan worden opgezet door DP of door het CAP.
De uitvinding vooronderstelt het bestaan van een (electronisch) 20 'contract' tussen gebruikers en dienstenleveranciers SP, waarin staat welke diensten door het DP aan de gebruiker geleverd mogen worden en onder welke condities. Zulke condities kunnen mogelijk eisen stellen aan het soort certificaat dat een client ter authenticatie mag aanbieden, parameters welke de dienst kunnen beïnvloeden, de 25 vergoeding die SP van C verlangt voor het verlenen van de gevraagde dienst, etc.
De genoemde 'service requests' bestaan uit een verzameling dienst-parameters en hebben de vorm van een parameter lijst welke kan worden toegevoegd aan een URL.
30 Waar gesproken wordt over "autorisatie", omvat dit (1) de identiteit van de gebruiker (via de cliënt C) voor welke de autorisatie is bedoeld, (2) een service request voor welke de autorisatie is uitgegeven, (3) een geldigheidsinterval (i.e. een tijdsinterval binnen welke de autorisatie geldig is) en (4) een IP-adres van waaruit om de 35 autorisatie werd gevraagd. Het service request heeft de vorm van een parameter lijst die wordt toegevoegd aan een URL. Voorts heeft de 1018494 -9- autorisatie de eigenschap dat dienstenleverancier SP er in voldoende mate zeker van is dat een cliënt voor wie.deze autorisatie werd gemaakt, in staat is toegang te verkrijgen tot de dienst binnnen het geldigheidsinterval.
5 Het "token" waarover gesproken werd, bestaat uit een rij bits, door de CAP wordt gemaakt aan de hand van een autorisatie, en wel zodanig dat het token de volgende eigenschappen heeft: (a) de CAP kan de autorisatie (welke heeft geleid tot het maken van het token) reproduceren aan de hand van dat token, althans gedurende 10 het tijdsinterval binnen welk de autorisatie geldig is.
(b) het token is geldig zolang de autorisatie geldig is.
(c) de kans dat een geldig token door een derde, partij geraden kan worden is verwaarloosbaar klein (bijvoorbeeld kleiner dan 2'50) (d) er geen twee of meer verschillende (geldige) autorisaties 15 tegelijkertijd zijn geassocieerd met eenzelfde token.
Omdat dit token zowel wordt gemaakt als geïnterpreteerd door het CAP, kan het CAP de data in het token zelf bepalen. De grootte van het token wordt (in theorie niet, maar in praktijk waarschijnlijk wel) begrensd door
20 - de grootte van de URL van de DP
- de voor het token toegestane characterset (ASCII), en de door de cliënt browser maximaal toegestane lengte van de URL.
De naar ASCII omgezette secure hash (of een gedeelte daarvan) van een autorisatie zou een goed token kunnen zijn.
25 De werking van het getoonde systeem wordt geïllustreerd in het diagram van figuur 2: [1] De gebruiker surft naar de gewenste dienst door in de browser (cliënt) het adres (URL) in te voeren (bijvoorbeeld www.service.com), waardoor de browser C een SSL verbinding gaat opzetten met de 30 betreffende CAP server, waarbij de dient C en de CAP server elkaar wederzijds authenticeren (zie hierboven bij het Opzetten van SSL/TLS verbinding). Als gevolg hiervan beschikt de CAP dan over de identiteit van de gebruiker C (ld), het (public key) certificaat van C waaraan de ld is getoetst, Alvl (een parameter die de mate aangeeft waarin deze 35 toetsing wordt vertrouwd door de SP), en het IP-adres IP van waaruit C de verbinding heeft opgezet.
1018494 -10- [2] C stuurt een service request sreq naar de CAP (via door de zojuist opgezette SSL verbinding).
[3] De CAP stuurt sreq, ld, Alvl, en IP naar het DAP proces (gebruik makend van het DSP1 protocol).
5 [4] Wanneer het DAP vaststelt dat de gebruiker C geen recht heeft op de door C gewenste dienst (bijvoorbeeld omdat de gevraagde dienstverlening niet door een contract wordt beschreven), dan eindigt het protocol. Wanneer de DAP vaststelt dat er wel recht op dienstverlening bestaat, dan stelt DAP een alternatief service request 10 sreq' vast dat (a) door een contract wordt afgedekt, (b) zoveel mogelijk lijkt op sreq als mogelijk is. Tevens bepaalt de DAP een tijdsinterval TI (geldigheidsinterval) binnen welke met dienstverlening moet worden begonnen.
[5] Het DAP stuurt autorisatie A (bestaande uit sreq', TI, ld, en IP ) 15 naar de CAP (gebruik makend van het DSP1 protocol).
[6] De CAP maakt een token aan de hand van de door het DAP opgeleverde autorisatie A, met alle eigenschappen van een token (zie hierboven).
[7] het CAP proces stuurt (in de reeds opgezette SSL sessie) een HTML pagina naar de cliënt , met daarin een hyperlink naar de server DP, in 20 welke hyperlink het token als parameter wordt meegegeven, en dit alles zodanig dat de browser na een wachttijd van nul seconden overschakelt naar deze hyperlink. Hierna termineert de SSL sessie tussen C en CAP (het uitgevonden protocol termineert nog niet).
[8] Door het interpreteren van deze HTML pagina zet de client browser 25 een sessie op naar de server DP volgens het CAP-protocol zoals gespecificeerd in de hyperlink. Bovendien wordt het token middels dit protocol naar DP gestuurd.
[9] Het DP proces stuurt het token naar de CAP, alsmede het IP-adres IP’ van de cliënt die de sessie heeft opgestart (gebruik makend van 30 het DSP2 protocol).
[10] De CAP gaat na of er een geldige autorisatie bij het token hoort. Is dat niet het geval, dan termineert het protocol. Bovendien vergewist de CAP zich ervan dat - IP’ hetzelfde is als het in de autorisatie vermelde ip-adres IP; 35 - de huidige tijd valt binnen het in de autorisatie vermelde tijdsinterval TI.
1 01 849 4 ’ -11-
Indien een van deze zaken niet klopt, dan termineert het protocol.
[11] De CAP stuurt het in de autorisatie vermelde service request sreq’ naar DP (gebruik makend van het DSP2 protocol) .
[12] DP start nu de dienstverlening naar C volgens het service request 5 sreq', gebruik makend van het AP protocol, en tegelijk eindigt het uitgevonden protocol.
Tenslotte worden nog de volgende opmerkingen gemaakt: 1. Wanneer een proces in het beveiligingsdomein van een (rechts)persoon zit, betekent dit dat de (rechts)persoon 10 verantwoordelijk is voor de beveiligingskanten van dit proces (d.w.z. hij beheert de beveiliging van dit proces, en draagt de gevolgen van wat dit proces - al dan niet bedoeld - doet of nalaat m.b.t. beveiliging).
2. De 'mate van zekerheid' Alvl geeft aan hoeveel vertrouwen de 15 business heeft in het statement 'de klant heet ld'. Immers, dit vertrouwen kan afhangen van de mate waarin de certificaat-uitgever de identiteit heeft gecontroleerd, en dat is anders voor bijvoorbeeld Class I, II, en III certificaten.
3. Hoewel de standaard spreekt van certificaat uitgevers, is de 20 praktijk dat een certificaat uitgever meerdere typen certificaten uitgeeft (bijvoorbeeld class I, II, III certificaten), waarbij de condities onder welke een certificaat type wordt uitgegeven anders zijn dan bij een ander certificaat type. Derhalve kan het vertrouwen dat een dienstverlener stelt in verschillende certificaat typen 25 eveneens verschillen, en hoort bij elk certificaat type een 'mate van zekerheid' Alvl. Echter, de 'distinguished name' van de uitgever zoals die in het certificaat voorkomt wordt ook gebruikt voor het aangeven van dit soort certificaat typeringen. Derhalve kan hier volstaan worden met het versturen van een lijst van certificaat uitgevers.
1018494 '
Claims (4)
1. Methode voor het door een dienstproces aan een cliënt leveren van een dienst, gekenmerkt door de volgende stappen: a. de dient zet een beveiligde sessie op naar een 5 authenticatieproces en stuurt een cliënt identifier en een service request waarin wordt aangegeven welke dienst wordt gevraagd; b. het authenticatieproces verifieert de cliënt identifier en stuurt de geverifieerde cliënt identifier en het service 10 request naar een autorisatieproces; c. het autorisatieproces onderzoekt of de in het service request aangegeven dienstverlening aan de dient kan en mag worden geleverd, en zendt het onderzoeksresultaat in de vorm van een geautoriseerd service request voorzien van 15 een geldigheidsperiode terug naar de authenticatieproces: d. het authenticatieproces genereert een token, geassocieerd met het geautoriseerd service request; e. het authenticatieproces stuurt via de beveiligde sessie het adres van het betreffende dienstproces en het token 20 naar de cliënt; f. de cliënt treedt in verbinding met het dienstproces en stuurt het van het authenticatieproces ontvangen token naar het dienstproces; g. het dienstproces stuurt het van de cliënt ontvangen token 25 naar het authenticatieproces: h. het authenticatieproces haalt het aan het token geassocieerde geautoriseerd service request op, controleert of de geldigheidsperiode accoord is, en stuurt vervolgens het geautoriseerde service request naar het 30 dienstproces; i. het dienstproces levert vervolgens de door de dient gevraagde dienst.
2. Methode volgens conclusie 1, met het kenmerk dat het authenticatieproces in de onder b. genoemde stap behalve de 35 geverifieerde cliënt identifier, eveneens een “mate-van- zekerheid”-aanduiding betreffende de authenticiteit van die 1018494 i -13- client-identifier naar het autorisatieproces stuurt.
3. Systeem voor het door een dienstserver aan een cliënt leveren van een dienst, met het kenmerk dat 5 a. de cliënt middelen omvat voor het opzetten van een beveiligde sessie naar een authenticatieserver en het naar die authenticatieserver sturen van een cliënt identifier en een service request waarin wordt aangegeven welke dienst wordt gevraagd; 10 b. de authenticatieserver middelen omvat voor het verifiëren van de van de cliënt ontvangen client identifier en het sturen van de geverifieerde cliënt identifier en het service request naar een autorisatieserver; c. de autorisatieserver middelen omvat voor het onderzoeken 15 of de in het service request aangegeven dienstverlening aan de cliënt kan en mag worden geleverd, en middelen voor het naar de authenticatieserver terugzenden van het onderzoeksresultaat in de vorm van een geautoriseerd service request voorzien van een door de autorisatieserver 20 vastgestelde geldigheidsperiode; d. de authenticatieserver middelen omvat voor het genereren van een token, geassocieerd met de geautoriseerd service request; e. de authenticatieserver middelen omvat voor het via de 25 beveiligde sessie naar de cliënt sturen vanhet adres van de betreffende dienstserver en het token; f. de cliënt middelen omvat voor het naar de dienstserver zenden van het ontvangen token; g. de dienstserver middelen omvat voor het naar de 30 authenticatieserver sturen van het van de dient ontvangen token; h. de authenticatieserver middelen omvat voor het ophalen van het aan het token geassocieerde geautoriseerd service request, het controleren of de geldigheidsperiode accoord 35 is, en het vervolgens naar de dienstserver sturen van het geautoriseerd service request; 1018494 . -14- i. de dienstserver middelen omvat voor het vervolgens aan de client leveren van de gevraagde dienst.
4. Systeem volgens conclusie 3, met het kenmerk dat de authenticatieserver behalve de onder b. genoemde middelen voor 5 het verifiëren van de van de cliënt ontvangen cliënt identifier en het sturen van de geverifieerde cliënt identifier en het service request naar een autorisatieserver, bovendien middelen omvat voor het berekenen van een "mate-van-zekerheid”-aanduiding betreffende de authenticiteit van die client-identifier en voor 10 het naar het autorisatieserver sturen van die “mate-van- zekerheid”-aanduiding. 1018494·
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
NL1018494A NL1018494C2 (nl) | 2001-07-09 | 2001-07-09 | Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. |
PCT/EP2002/007261 WO2003007571A1 (en) | 2001-07-09 | 2002-06-27 | Method and system for a service process to provide a service to a client |
EP02747453A EP1405490B1 (en) | 2001-07-09 | 2002-06-27 | Method and system for a service process to provide a service to a client |
ES02747453T ES2280553T3 (es) | 2001-07-09 | 2002-06-27 | Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente. |
AT02747453T ATE353515T1 (de) | 2001-07-09 | 2002-06-27 | Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden |
DE60218042T DE60218042T2 (de) | 2001-07-09 | 2002-06-27 | Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden |
US10/483,374 US7565554B2 (en) | 2001-07-09 | 2002-06-27 | Method and system for a service process to provide a service to a client |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
NL1018494 | 2001-07-09 | ||
NL1018494A NL1018494C2 (nl) | 2001-07-09 | 2001-07-09 | Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. |
Publications (1)
Publication Number | Publication Date |
---|---|
NL1018494C2 true NL1018494C2 (nl) | 2003-01-10 |
Family
ID=19773693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
NL1018494A NL1018494C2 (nl) | 2001-07-09 | 2001-07-09 | Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. |
Country Status (7)
Country | Link |
---|---|
US (1) | US7565554B2 (nl) |
EP (1) | EP1405490B1 (nl) |
AT (1) | ATE353515T1 (nl) |
DE (1) | DE60218042T2 (nl) |
ES (1) | ES2280553T3 (nl) |
NL (1) | NL1018494C2 (nl) |
WO (1) | WO2003007571A1 (nl) |
Families Citing this family (114)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2826811B1 (fr) * | 2001-06-27 | 2003-11-07 | France Telecom | Procede d'authentification cryptographique |
US7707121B1 (en) | 2002-05-15 | 2010-04-27 | Navio Systems, Inc. | Methods and apparatus for title structure and management |
US7707066B2 (en) | 2002-05-15 | 2010-04-27 | Navio Systems, Inc. | Methods of facilitating merchant transactions using a computerized system including a set of titles |
US7814025B2 (en) * | 2002-05-15 | 2010-10-12 | Navio Systems, Inc. | Methods and apparatus for title protocol, authentication, and sharing |
WO2005011192A1 (ja) | 2003-07-11 | 2005-02-03 | Nippon Telegraph & Telephone | アドレスに基づく認証システム、その装置およびプログラム |
EP1649658B1 (en) * | 2003-08-01 | 2007-08-01 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for routing a service request |
CN100499536C (zh) * | 2003-10-22 | 2009-06-10 | 华为技术有限公司 | 无线局域网中选定业务的解析接入处理方法 |
US7783891B2 (en) * | 2004-02-25 | 2010-08-24 | Microsoft Corporation | System and method facilitating secure credential management |
US7640592B2 (en) | 2004-06-12 | 2009-12-29 | Microsoft Corporation | Installation setup |
KR101203245B1 (ko) | 2004-06-12 | 2012-11-20 | 마이크로소프트 코포레이션 | 소프트웨어 보안 |
US7721340B2 (en) | 2004-06-12 | 2010-05-18 | Microsoft Corporation | Registry protection |
US8296562B2 (en) | 2004-07-15 | 2012-10-23 | Anakam, Inc. | Out of band system and method for authentication |
US8533791B2 (en) | 2004-07-15 | 2013-09-10 | Anakam, Inc. | System and method for second factor authentication services |
EP1766839B1 (en) * | 2004-07-15 | 2013-03-06 | Anakam, Inc. | System and method for blocking unauthorized network log in using stolen password |
US7676834B2 (en) | 2004-07-15 | 2010-03-09 | Anakam L.L.C. | System and method for blocking unauthorized network log in using stolen password |
US8528078B2 (en) | 2004-07-15 | 2013-09-03 | Anakam, Inc. | System and method for blocking unauthorized network log in using stolen password |
JP2006054656A (ja) * | 2004-08-11 | 2006-02-23 | Nec Corp | Ptt通信システム、ptt通信方法、ptt通信サーバ |
JP2006086907A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム |
US8001183B2 (en) | 2004-10-08 | 2011-08-16 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device related event notification |
US8060921B2 (en) * | 2004-10-08 | 2011-11-15 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential authentication and communication |
US8001586B2 (en) | 2004-10-08 | 2011-08-16 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential management and authentication |
US8125666B2 (en) | 2004-10-08 | 2012-02-28 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device document management |
US8120799B2 (en) | 2004-10-08 | 2012-02-21 | Sharp Laboratories Of America, Inc. | Methods and systems for accessing remote, descriptor-related data at an imaging device |
US8237946B2 (en) | 2004-10-08 | 2012-08-07 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting server redundancy |
US7970813B2 (en) | 2004-10-08 | 2011-06-28 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device event notification administration and subscription |
US8060930B2 (en) | 2004-10-08 | 2011-11-15 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential receipt and authentication |
US8120797B2 (en) * | 2004-10-08 | 2012-02-21 | Sharp Laboratories Of America, Inc. | Methods and systems for transmitting content to an imaging device |
US8065384B2 (en) | 2004-10-08 | 2011-11-22 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device event notification subscription |
US8213034B2 (en) | 2004-10-08 | 2012-07-03 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote file structure access on an imaging device |
US8006176B2 (en) * | 2004-10-08 | 2011-08-23 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging-device-based form field management |
US8001587B2 (en) * | 2004-10-08 | 2011-08-16 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential management |
US8115947B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote, descriptor-related data to an imaging device |
US7978618B2 (en) | 2004-10-08 | 2011-07-12 | Sharp Laboratories Of America, Inc. | Methods and systems for user interface customization |
US8051140B2 (en) | 2004-10-08 | 2011-11-01 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device control |
US8049677B2 (en) | 2004-10-08 | 2011-11-01 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device display element localization |
US7934217B2 (en) | 2004-10-08 | 2011-04-26 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote file structure access to an imaging device |
US8171404B2 (en) | 2004-10-08 | 2012-05-01 | Sharp Laboratories Of America, Inc. | Methods and systems for disassembly and reassembly of examination documents |
US7920101B2 (en) | 2004-10-08 | 2011-04-05 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device display standardization |
US8015234B2 (en) | 2004-10-08 | 2011-09-06 | Sharp Laboratories Of America, Inc. | Methods and systems for administering imaging device notification access control |
US8115945B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device job configuration management |
US8115944B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and systems for local configuration-based imaging device accounting |
US8120793B2 (en) * | 2004-10-08 | 2012-02-21 | Sharp Laboratories Of America, Inc. | Methods and systems for displaying content on an imaging device |
US8032579B2 (en) | 2004-10-08 | 2011-10-04 | Sharp Laboratories Of America, Inc. | Methods and systems for obtaining imaging device notification access control |
US8051125B2 (en) | 2004-10-08 | 2011-11-01 | Sharp Laboratories Of America, Inc. | Methods and systems for obtaining imaging device event notification subscription |
US8115946B2 (en) | 2004-10-08 | 2012-02-14 | Sharp Laboratories Of America, Inc. | Methods and sytems for imaging device job definition |
US7873553B2 (en) | 2004-10-08 | 2011-01-18 | Sharp Laboratories Of America, Inc. | Methods and systems for authorizing imaging device concurrent account use |
US8018610B2 (en) | 2004-10-08 | 2011-09-13 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device remote application interaction |
US8006292B2 (en) * | 2004-10-08 | 2011-08-23 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential submission and consolidation |
US8035831B2 (en) | 2004-10-08 | 2011-10-11 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device remote form management |
US7969596B2 (en) | 2004-10-08 | 2011-06-28 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device document translation |
US8024792B2 (en) | 2004-10-08 | 2011-09-20 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential submission |
US8156424B2 (en) | 2004-10-08 | 2012-04-10 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device dynamic document creation and organization |
US8006293B2 (en) * | 2004-10-08 | 2011-08-23 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential acceptance |
US8384925B2 (en) | 2004-10-08 | 2013-02-26 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting data management |
US7873718B2 (en) | 2004-10-08 | 2011-01-18 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting server recovery |
US8023130B2 (en) | 2004-10-08 | 2011-09-20 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting data maintenance |
US8032608B2 (en) | 2004-10-08 | 2011-10-04 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device notification access control |
US8230328B2 (en) | 2004-10-08 | 2012-07-24 | Sharp Laboratories Of America, Inc. | Methods and systems for distributing localized display elements to an imaging device |
US7870185B2 (en) * | 2004-10-08 | 2011-01-11 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device event notification administration |
US7624433B1 (en) * | 2005-02-24 | 2009-11-24 | Intuit Inc. | Keyfob for use with multiple authentication entities |
US8428484B2 (en) | 2005-03-04 | 2013-04-23 | Sharp Laboratories Of America, Inc. | Methods and systems for peripheral accounting |
CN100583761C (zh) * | 2005-05-16 | 2010-01-20 | 联想(北京)有限公司 | 一种统一认证的实现方法 |
US8213412B2 (en) | 2005-09-29 | 2012-07-03 | Comcast Cable Holdings, Llc | System and method for providing multimedia services utilizing a local proxy |
US7996682B2 (en) * | 2005-10-17 | 2011-08-09 | Microsoft Corporation | Secure prompting |
EP1788773A1 (en) * | 2005-11-18 | 2007-05-23 | Alcatel Lucent | Method and apparatuses to request delivery of a media asset and to establish a token in advance |
US8099508B2 (en) * | 2005-12-16 | 2012-01-17 | Comcast Cable Holdings, Llc | Method of using tokens and policy descriptors for dynamic on demand session management |
FR2895632A1 (fr) * | 2005-12-22 | 2007-06-29 | Gemplus Sa | Controle d'acces a des services en mode multidiffusion dans un dispositif terminal |
WO2007078987A2 (en) | 2005-12-29 | 2007-07-12 | Navio Systems, Inc. | Software, systems, and methods for processing digital bearer instruments |
US9177338B2 (en) | 2005-12-29 | 2015-11-03 | Oncircle, Inc. | Software, systems, and methods for processing digital bearer instruments |
US20070250711A1 (en) * | 2006-04-25 | 2007-10-25 | Phonified Llc | System and method for presenting and inputting information on a mobile device |
US10467606B2 (en) | 2006-04-29 | 2019-11-05 | Api Market, Inc. | Enhanced title processing arrangement |
DE102006022710A1 (de) * | 2006-05-12 | 2007-11-15 | Heidelberger Druckmaschinen Ag | Serviceplattform zur Wartung von Maschinen |
JP4882546B2 (ja) * | 2006-06-28 | 2012-02-22 | 富士ゼロックス株式会社 | 情報処理システムおよび制御プログラム |
US20080072053A1 (en) * | 2006-09-15 | 2008-03-20 | Halim Budi S | Web-based authentication system and method |
US8345272B2 (en) | 2006-09-28 | 2013-01-01 | Sharp Laboratories Of America, Inc. | Methods and systems for third-party control of remote imaging jobs |
US20080082626A1 (en) * | 2006-09-29 | 2008-04-03 | Microsoft Corporation | Typed authorization data |
US10192234B2 (en) | 2006-11-15 | 2019-01-29 | Api Market, Inc. | Title materials embedded within media formats and related applications |
CN101889438A (zh) * | 2007-11-16 | 2010-11-17 | 汤姆森特许公司 | 用于流媒体的会话管理的系统和方法 |
US8533852B2 (en) * | 2007-12-19 | 2013-09-10 | The Directv Group, Inc. | Method and system for securely communicating between a primary service provider and a partner service provider |
US8453251B2 (en) * | 2007-12-19 | 2013-05-28 | The Directv Group, Inc. | Method and system for securely communicating between a user network device, a primary service provider and a partner service provider |
US9137018B2 (en) * | 2007-12-19 | 2015-09-15 | The Directv Group, Inc. | Method and system for providing a generic program guide data from a primary content provider to a user network device through a partner service provider |
US8621646B2 (en) * | 2007-12-19 | 2013-12-31 | The Directv Group, Inc. | Method and system for authenticating a user receiving device into a primary service provider system to communicate with a partner service provider |
US20090183246A1 (en) * | 2008-01-15 | 2009-07-16 | Authlogic Inc. | Universal multi-factor authentication |
US8132238B2 (en) * | 2008-05-13 | 2012-03-06 | Ebay Inc. | System and method for identity authentication for service access without use of stored credentials |
DE102008024783A1 (de) * | 2008-05-23 | 2009-12-10 | RUHR-UNIVERSITäT BOCHUM | Sichere, browser-basierte Einmalanmeldung mit Clientzertifikaten |
US9258286B1 (en) * | 2008-07-30 | 2016-02-09 | United Services Automobile Association (Usaa) | Systems and methods for communications channel authentication |
US9479509B2 (en) | 2009-11-06 | 2016-10-25 | Red Hat, Inc. | Unified system for authentication and authorization |
US8972346B2 (en) * | 2009-12-11 | 2015-03-03 | International Business Machines Corporation | Method and system for minimizing synchronization efforts of parallel database systems |
US8474009B2 (en) * | 2010-05-26 | 2013-06-25 | Novell, Inc. | Dynamic service access |
US9111079B2 (en) * | 2010-09-30 | 2015-08-18 | Microsoft Technology Licensing, Llc | Trustworthy device claims as a service |
US9854308B1 (en) | 2011-02-18 | 2017-12-26 | The Directv Group, Inc. | Method and system for authorizing user devices to communicate with a primary service provider using a limited number of streams |
US9794239B1 (en) * | 2011-02-18 | 2017-10-17 | The Directv Group, Inc. | Method and system for authenticating service providers to communicate with a primary service provider |
US9838727B1 (en) | 2011-02-18 | 2017-12-05 | The Directv Group, Inc. | Method and system for discovering an identity provider |
US9509704B2 (en) | 2011-08-02 | 2016-11-29 | Oncircle, Inc. | Rights-based system |
US9131370B2 (en) | 2011-12-29 | 2015-09-08 | Mcafee, Inc. | Simplified mobile communication device |
US8819445B2 (en) * | 2012-04-09 | 2014-08-26 | Mcafee, Inc. | Wireless token authentication |
US20130268687A1 (en) | 2012-04-09 | 2013-10-10 | Mcafee, Inc. | Wireless token device |
US9262592B2 (en) | 2012-04-09 | 2016-02-16 | Mcafee, Inc. | Wireless storage device |
US9547761B2 (en) | 2012-04-09 | 2017-01-17 | Mcafee, Inc. | Wireless token device |
US8904528B2 (en) | 2013-03-15 | 2014-12-02 | Elemica, Inc. | Method and apparatus for translation of business messages |
US9443229B2 (en) | 2013-03-15 | 2016-09-13 | Elemica, Inc. | Supply chain message management and shipment constraint optimization |
US9224135B2 (en) | 2013-03-15 | 2015-12-29 | Elemica, Inc. | Method and apparatus for adaptive configuration for translation of business messages |
US20160128104A1 (en) * | 2014-11-05 | 2016-05-05 | Google Inc. | In-field smart device updates |
US9760501B2 (en) | 2014-11-05 | 2017-09-12 | Google Inc. | In-field smart device updates |
FR3032847A1 (fr) | 2015-02-13 | 2016-08-19 | Orange | Technique de connexion a un service |
WO2016198241A1 (en) | 2015-06-11 | 2016-12-15 | Siemens Aktiengesellschaft | Authorization apparatus and method for an authorized issuing of an authentication token for a device |
US9621355B1 (en) * | 2015-10-01 | 2017-04-11 | Cisco Technology, Inc. | Securely authorizing client applications on devices to hosted services |
CN106790331B (zh) * | 2015-11-23 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种业务接入方法、系统及相关装置 |
JP2017228145A (ja) * | 2016-06-23 | 2017-12-28 | 株式会社リコー | 認証システム、通信システム、認証認可方法、及びプログラム |
US10686886B2 (en) * | 2016-10-19 | 2020-06-16 | Mirosoft Technology Licensing, LLC | Establishing secure sessions for stateful cloud services |
EP3334115B1 (en) | 2016-12-07 | 2019-10-09 | Swisscom AG | User authentication based on token |
US10616211B2 (en) * | 2017-04-12 | 2020-04-07 | Cisco Technology, Inc. | System and method for authenticating clients |
US11171958B1 (en) | 2018-07-10 | 2021-11-09 | United Services Automobile Association (Usaa) | Secure session sharing between computing devices |
US11032270B1 (en) * | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999000958A1 (en) * | 1997-06-26 | 1999-01-07 | British Telecommunications Plc | Data communications |
WO2000069110A1 (en) * | 1999-05-11 | 2000-11-16 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
WO2001011845A2 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Security architecture with environment sensitive credentials |
WO2001027709A2 (en) * | 1999-10-12 | 2001-04-19 | Sonera Oyj | Access control of a service |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5280527A (en) * | 1992-04-14 | 1994-01-18 | Kamahira Safe Co., Inc. | Biometric token for authorizing access to a host system |
JPH10327147A (ja) * | 1997-05-21 | 1998-12-08 | Hitachi Ltd | 電子認証公証方法およびシステム |
US6212635B1 (en) * | 1997-07-18 | 2001-04-03 | David C. Reardon | Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place |
US6370139B2 (en) | 1997-10-24 | 2002-04-09 | Tranz-Send Broadcasting Network, Inc. | System and method for providing information dispersal in a networked computing environment |
US6393411B1 (en) * | 1998-07-21 | 2002-05-21 | Amdahl Corporation | Device and method for authorized funds transfer |
US20010027527A1 (en) * | 2000-02-25 | 2001-10-04 | Yuri Khidekel | Secure transaction system |
US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
US20020031230A1 (en) * | 2000-08-15 | 2002-03-14 | Sweet William B. | Method and apparatus for a web-based application service model for security management |
US20020078352A1 (en) * | 2000-12-15 | 2002-06-20 | International Business Machines Corporation | Secure communication by modification of security codes |
US20020129261A1 (en) * | 2001-03-08 | 2002-09-12 | Cromer Daryl Carvis | Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens |
US7657639B2 (en) * | 2006-07-21 | 2010-02-02 | International Business Machines Corporation | Method and system for identity provider migration using federated single-sign-on operation |
-
2001
- 2001-07-09 NL NL1018494A patent/NL1018494C2/nl not_active IP Right Cessation
-
2002
- 2002-06-27 WO PCT/EP2002/007261 patent/WO2003007571A1/en active IP Right Grant
- 2002-06-27 ES ES02747453T patent/ES2280553T3/es not_active Expired - Lifetime
- 2002-06-27 US US10/483,374 patent/US7565554B2/en not_active Expired - Fee Related
- 2002-06-27 DE DE60218042T patent/DE60218042T2/de not_active Expired - Lifetime
- 2002-06-27 EP EP02747453A patent/EP1405490B1/en not_active Expired - Lifetime
- 2002-06-27 AT AT02747453T patent/ATE353515T1/de not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999000958A1 (en) * | 1997-06-26 | 1999-01-07 | British Telecommunications Plc | Data communications |
WO2000069110A1 (en) * | 1999-05-11 | 2000-11-16 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
WO2001011845A2 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Security architecture with environment sensitive credentials |
WO2001027709A2 (en) * | 1999-10-12 | 2001-04-19 | Sonera Oyj | Access control of a service |
Non-Patent Citations (1)
Title |
---|
SAMAR V: "Single sign-on using cookies for Web applications", ENABLING TECHNOLOGIES: INFRASTRUCTURE FOR COLLABORATIVE ENTERPRISES, 1999. (WET ICE '99). PROCEEDINGS. IEEE 8TH INTERNATIONAL WORKSHOPS ON STANFORD, CA, USA 16-18 JUNE 1999, LOS ALAMITOS, CA, USA,IEEE COMPUT. SOC, US, 16 June 1999 (1999-06-16), pages 158 - 163, XP002179650, ISBN: 0-7695-0365-9 * |
Also Published As
Publication number | Publication date |
---|---|
EP1405490A1 (en) | 2004-04-07 |
US7565554B2 (en) | 2009-07-21 |
ES2280553T3 (es) | 2007-09-16 |
DE60218042D1 (de) | 2007-03-22 |
ATE353515T1 (de) | 2007-02-15 |
US20040221045A1 (en) | 2004-11-04 |
DE60218042T2 (de) | 2007-11-08 |
WO2003007571A1 (en) | 2003-01-23 |
EP1405490B1 (en) | 2007-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
NL1018494C2 (nl) | Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. | |
US7395424B2 (en) | Method and system for stepping up to certificate-based authentication without breaking an existing SSL session | |
US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
US7908649B1 (en) | Method and apparatus for providing efficient authorization services in a web cache | |
US10547602B2 (en) | Communications methods and apparatus related to web initiated sessions | |
AU2005207632B2 (en) | Upper-level protocol authentication | |
US20140189839A1 (en) | Single sign-on methods and apparatus therefor | |
JP2005518595A (ja) | ネットワークコンポーネントのセキュアトラバーサル | |
US20060143700A1 (en) | Security System Providing Methodology for Cooperative Enforcement of Security Policies During SSL Sessions | |
US20060277596A1 (en) | Method and system for multi-instance session support in a load-balanced environment | |
US7334126B1 (en) | Method and apparatus for secure remote access to an internal web server | |
CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
Shen et al. | The impact of TLS on SIP server performance | |
US8738897B2 (en) | Single sign-on functionality for secure communications over insecure networks | |
Baumann et al. | Voice over IP-security and SPIT | |
IL287448B1 (en) | Intermediary handling of identity services to guard against vectors of client-side attacks | |
CN113612790B (zh) | 基于设备身份预认证的数据安全传输方法及装置 | |
Kong et al. | A lightweight scheme for securely and reliably locating sip users | |
Cisco | Overview | |
Cisco | Overview | |
Cheng et al. | Research and implementation of three HTTPS attacks | |
Mihai | Voice over IP Security A layered approach | |
Kasslin et al. | Kerberos V Security: ReplayAttacks | |
CN117834255A (zh) | 基于集中授权的服务资源访问方法及其装置 | |
Rabkin | Walnut: using NUTSS to harden services against DDOS attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PD2B | A search report has been drawn up | ||
SD | Assignments of patents |
Owner name: NEDERLANDSE ORGANISATIE VOOR TOEGEPAST-NATUURWETEN Effective date: 20051019 |
|
VD1 | Lapsed due to non-payment of the annual fee |
Effective date: 20070201 |