NL1018494C2 - Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. - Google Patents

Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. Download PDF

Info

Publication number
NL1018494C2
NL1018494C2 NL1018494A NL1018494A NL1018494C2 NL 1018494 C2 NL1018494 C2 NL 1018494C2 NL 1018494 A NL1018494 A NL 1018494A NL 1018494 A NL1018494 A NL 1018494A NL 1018494 C2 NL1018494 C2 NL 1018494C2
Authority
NL
Netherlands
Prior art keywords
service
client
server
token
authentication
Prior art date
Application number
NL1018494A
Other languages
English (en)
Inventor
Hendrikus Johannes Mar Joosten
Derk Hiddo Hut
Geert Kleinhuis
Rene Van Buren
Original Assignee
Koninkl Kpn Nv
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninkl Kpn Nv filed Critical Koninkl Kpn Nv
Priority to NL1018494A priority Critical patent/NL1018494C2/nl
Priority to PCT/EP2002/007261 priority patent/WO2003007571A1/en
Priority to EP02747453A priority patent/EP1405490B1/en
Priority to ES02747453T priority patent/ES2280553T3/es
Priority to AT02747453T priority patent/ATE353515T1/de
Priority to DE60218042T priority patent/DE60218042T2/de
Priority to US10/483,374 priority patent/US7565554B2/en
Application granted granted Critical
Publication of NL1018494C2 publication Critical patent/NL1018494C2/nl

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • General Factory Administration (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)

Description

Methode en systeem voor het door een dienstproces aan een dient leveren van een dienst
ACHTERGROND
5 De uitvinding heeft betrekking op een methode resp. system voor het door een dienstproces aan een cliënt leveren van een dienst.
Het gebied van de uitvinding is de levering van diensten via computernetwerken.
Authenticatie en autorisatie van clients door servers is in theorie 10 'opgelost', maar in de praktijk is dit een weerbarstig onderwerp vol met voetangels en klemmen. Het resultaat in de praktijk is dat een veilige (=geauthenticeerde en geautoriseerde) dienstverlening nauwelijks voorkomt op internet, en dat het vertrouwen van gebruikers in bestaande diensten klein is.
15 Een veelheid van oorzaken kan hiervoor worden aangewezen, waaronder de volgende: - wanneer een dienst gebruik maakt van het SSL protocol voor het authenticeren van de klant en het beveiligen van de dienstverlening, dan moet het dienstverleningsprotocol door SSL getransporteerd (getu- 20 nneld) kunnen worden. Voor alle protocollen die op UDP zijn gebaseerd geldt dat dit niet kan. Eenvoudige op UDP gebaseerde protocollen zijn DNS (Domain Name Service), TFTP (Trivial File Transfer Protocol), SNMP (Simple Network Management Protocol), Syslog protocol, etc. Komplexere voorbeelden zijn video- en audio streaming (bijv. RealAudio, Real-25 Video), multi-user gaming protocollen, e.d.
- wanneer een dienst gebruik maakt van IPSEC, dan bestaat het volgende probleem. IPSEC zet een beveiligde verbinding op (een 'transport pijp') tussen twee machines (computers, routers, of combinaties daarvan), en dat staat los van de diensten (client/servers) die 30 daarvan gebruik maken. Er kunnen ook meerdere diensten van dezelfde IPSEC pijp gebruik maken. Het gebruiken van de IPSEC authenticatie als authenticatie voor de dienst is vergelijkbaar met dat men de afzender op een ansichtkaart voor echt houdt omdat de postbode zich kan legitimeren. Los daarvan is IPSEC een veel moeilijker protocol dan SSL 35 om te operationaliseren, zowel technisch als vanuit beveiligi ngsoogpunt.
- wanneer gebruik wordt gemaakt van een kombinatie van IPSEC en SSL voor eerdergenoemde doelen, dan wordt de verstuurde data dubbel vercijferd (lx door IPSEC, lx door SSL), hetgeen de transportsnelheid 1018494 -3- drastisch reduceert, en wordt het operationaliseren van de verbinding bemoeilijkt. Voorat voor real-time datatransporten (multimedia diensten) wordt dit al snel onacceptabel.
- als authenticate en autorisatie al gebeuren zijn ze doorgaans 5 vervlochten met een bestaande dienst, hetgeen grotere problemen geeft naarmate deze dienst zelf groter (complexer) is.
DE UITVINDING
De uitvinding beoogt de mogelijkheid te verschaffen om 10 1) bestaande diensten welke weinig of geen authenticiatie/autorisatie doen eenvoudig aan te passen, waarna ze over een sterke authenticatie/autorisatie beschikken, en 2) nieuwe diensten te ontwikkelen waarbij het authenticatie/autorisatie gedeelte gescheiden is van het feitelijke 15 dienstverlenende gedeelte.
De uitvinding omvat herbruikbare componenten voor het implementeren van authenticatie en autorisatie.
De uitvinding lost voornoemde problemen op door verantwoordelijkheden en processen te scheiden. Er wordt een protocol gedefinieerd dat 20 aangeeft hoe deze delen met elkaar communiceren zodanig dat een dienstverlener een geauthenticeerde en geautoriseerde klant zijn dienst kan verlenen.
In een voorkeursuitvoering van de uitvinding kunnen vier processen onderscheiden worden: 25 - een cliënt proces, bijvoorbeeld een standaard browser zoals
Microsoft Internet Explorer, hieronder ook aangeduid met "cliënt". Dit proces zit in het beveiligingsdomein van de dienst-gebruiker.
- een authenticatatie proces. Dit proces zit in het beveiligingsdomein van ofwel de dienstverlener ofwel een Trusted Third Party; 30 - een Dienst Autorisatie Proces (DAP). Dit proces -het eigenlijke autorisatieproces waarin wordt nagegaan of een bepaalde dienst al dan niet aan een bepaalde cliënt kan of mag worden geleverd- zit in het beveiligingsdomein van de dienstverlener.
- een Dienst Proces (DP). Dit proces zit in het beveiligingsdomein van 35 de dienstverlener.
Volgens de uitvinding kan ook een subset (tenminste één) van de 1 01 849 4 ^ -4- processen gebruikt worden. De methode volgens de uitvinding omvat tenminste één van de volgende stappen: a. De cliënt zet een beveiligde sessie -bijvoorbeeld een SSL sessie-op naar een authenticatieproces en stuurt een cliënt identifier 5 -bijvoorbeeld een X.509 Public Key certificaat- en een service request waarin wordt aangegeven welke dienst wordt gevraagd.
b. Het authenticatieproces verifieert de dient identifier en stuurt de geverifieerde cliënt identifier (bij voorkeur) met een “mate-van-zekerheid”-aanduiding betreffende de authenticiteit van die client- 10 identifier, en het service request naar een autorisatieproces; het autorisatieproces weet hiermee (1) welke dienst wordt gevraagd en (2) door wie en (3) heeft (bij voorkeur) een bepaalde mate van zekerheid (bijvoorbeeld aangeduid met klasse I, II of III certificaten) omtrent de identiteit van de cliënt.
15 c. Het autorisatieproces onderzoekt of de in het service request aangegeven dienstverlening aan de dient kan en mag worden geleverd, en zendt het onderzoeksresultaat in de vorm van een geautoriseerd service request, voorzien van een bepaalde geldigheidsperiode, terug naar de authenticatieproces: het geautoriseerde service request vormt 20 de autorisatie om, binnen de geldigheidsperiode, met het leveren van de dienst aan de cliënt te beginnen.
d. Het authenticatieproces genereert een token en associeert dat met de in de vorige stap afgegeven autorisatie (het geautoriseerd service request).
25 e. Het authenticatieproces stuurt vervolgens het adres van het betreffende dienstproces en het token naar de cliënt, bijvoorbeeld door middel van een HTML pagina die als hyperlink dat adres en token omvat, waarbij de browser van de cliënt naar het (hyperlink) adres van het dienstproces wordt ge-"redirect".
30 f. De cliënt treedt (door middel van de hyperlink) in verbinding met het dienstproces en stuurt het van het authenticatieproces ontvangen token (de sessie tussen de cliënt en het verificatieproces kan getermineerd worden).
g. Het dienstproces stuurt het van de cliënt ontvangen token naar het 35 authenticatieproces.
h. Het authenticatieproces haalt het aan het token geassocieerde 1018494 -5- geautoriseerde service request (de "autorisatie") op, controleert of de geldigheidsperiode accoord is, en stuurt vervolgens het geautoriseerde service request naar het dienstproces. Merk op dat deze situatie precies dezelfde is als wanneer er geen authenticate en 5 autorisatie had plaatsgevonden en het cliënt proces rechtstreeks het service request aan het dienstproces had gestuurd. Immers: de sessie tussen cliënt en het dienstproces is gestart door het cliënt proces en het protocol dat gebruikt wordt is hetzelfde protocol dat het dienstproces daar in andere gevallen voor zou hebben gebruikt.
10 i. Het dienstproces levert vervolgens de door de cliënt gevraagde dienst.
Het systeem volgens de uitvinding omvat de middelen waarmee de bovenstaande methode-stappen kunnen worden uitgevoerd.
De onderhavige uitvinding heeft de volgende voordelen: 15 1) De uitvinding maakt gebruik van standaard protocollen.
2) De uitvinding hoeft uitsluitend aan de server-kant (dat wil zeggen daar waar het authenticatieproces, het autorisatieproces en het dienstproces geactiveerd is) te worden geïmplementeerd. Voor de client-kant kunnen gangbare browsers (Microsoft Internet Explorer, 20 Netscape Navigator e.d.) zonder modificaties worden gebruikt.
3) Er is dus ook geen extra support (bijv. helpdesk) nodig voor eindgebruikers.
4) Elke electronische dienst die (nog) geen authenticatie/autorisatie doet, kan met minimale aanpassingen gebruik maken van de uitvinding - 25 ongeacht het protocol dat deze dienst gebruikt.
5) De uitvinding maakt geen gebruik van sessies die door een server worden opgezet, en vereist derhalve (a) geen speciale aanpassingen aan firewalls, en (b) kan ook gebruikt worden wanneer de cliënt in een netwerk zit dat via Netwerk Adres Translatie (NAT) aan het Internet 30 zit.
6) De uitvinding maakt dat business processen en operationele processen eenvoudig gescheiden kunnen worden, terwijl ook de interfaces tussen de verschillende processen zeer eenvoudig zijn. Dit maakt het gemakkelijk om te voorkomen dat een dienst opgezet wordt als 35 een log monolitisch geheel.
101 848 4"! -6-
REFERENCES
- SSL (ftp://ds.internic.net/internet-drafts/draft-freier-ssl-version3 -02.txt): Dit is een internet-draft van 18 november 1996. Het SSLv3 protocol is niet formeel gestandaardiseerd, maar wel een de facto 5 standaard. Het protocol biedt privacy en betrouwbaarheid tussen twee communicerende applicaties (processen). Het staat client/server applicaties toe te communiceren op een manier die is ontworpen om te voorkomen dat derden het berichtenverkeer afluisteren, berichten veranderen, of berichten toevoegen. In de protocol-stack verwacht SSL 10 een betrouwbaar transport protocol (bijv. wel TCP, maar niet UDP) onder zich.
- IPSEC (http://www.ietf.org/rfc/rfc2401.txtl: Het doel van IPSEC is om verschillende security-services aan te bieden voor verkeer op de IP laag, zowel in IPv4 als IPv6 omgevingen. Hoewel IPSEC dus onderdeel 15 van dienst-beveiliging kan zijn. kan het niet een dienst in zijn geheel beveiligen omdat de IPSEC op IP niveau opereert, en de beveiliging van diensten ook op hogere niveaus moet kunnen worden gegarandeerd.
- Gesloten systemen zijn er ook voor authenticatie/autorisatie. Zie 20 bijv. de RABO bank voor electronisch bankieren, het Easy Pay systeem van Shell, Digitale Postzegels van PTT Post e.d. Dit soort systemen hebben het nadeel dat de klant additionele hardware moet hebben voordat ze deze diensten kunnen gebruiken.
25 IMPLEMENTATIE
Een implementatie van de uitvinding wordt voorgesteld door figuur 1, voorstellende een systeem met vier processen, dat wil zeggen, vier hardware/software modules (computers, servers, terminals etc.) waarop die processen draaien en die via een netwerk (zoals het internet) met 30 elkaar in verbinding kunnen treden.
Figuur 1 toont een cliënt proces C, geïmplementeerd door middel van een webbrowsers als MS Internet Explorer etc. op een gebruikers PC, een Client Authenticatie Proces, CAP, geïmplementeerd met behulp van procedures uit standaard libraries, een Dienst Autorisatie Proces, 35 DAP, en een Dienst Proces, DP, die een dienst kan leveren die door de gebruiker, via zijn/haar client C, gewenst wordt.
1 01 84 9 4 ’ -7-
Elk proces valt binnen één security-domain, d.w.z. dat er één persoon of instantie is die het proces beheert en de gevolgen draagt van wat dit proces doet of nalaat. Het proces C valt zo onder het security domain van de gebruiker, de CAP valt onder het security domain van de 5 betreffende dienstenleverancier ("Service Provider") SP of een "Trusted Third Party” terwijl de processen DAP en DP vallen onder het security domain van de dienstenleverancier SP.
Onder 'protocol' wordt hier verstaan een methode om twee (computer) processen met elkaar te laten communiceren. Dit kunnen dus 10 internetprotocollen zijn, maar ook procedure calls (wanneer de processen op dezelfde machine draaien), of andere protocollen.
De getoonde implementatie van de uitvinding gebruikt de volgende communicatie protocollen: - SSL (Secure Sockets Layer Protocol) of TLS (Transport Layer Security 15 protocol). Dit zijn bekende en goed gedocumenteerde protocollen (zie referenties); - DSP (Domain Secure Protocol). Dit is geen bestaand protocol, maar een 'placeholder' naam voor ieder protocol dat hetzij (1) communicatie verzorgt tussen twee processen binnen een 20 enkel security domain, en (2) door de beheerder van dat security domain is bestempeld als 'veilig' voor gebruik binnen dat security domain, hetzij (1) communicatie verzorgt tussen een proces in het security domain van een TTP en een proces in het security domain van de 25 betreffende dienstenleverancier SP, en (2) door beide beheerders van deze security domains wordt bestempeld als 'veilig' voor gebruik tussen deze security domains; - DSP1 een DSP protocol dat wordt gebruikt tussen de processen CAP en DAP; 30 - DSP2 een DSP protocol dat wordt gebruikt tussen de processen CAP en DP.
- AP (Applicatie Protocol). Dit is geen bestaand protocol, maar een ’placeholder1 naam voor het protocol tussen het clientproces C en het DP. Dit protocol dient te voldoen aan de veiligheidseisen (en andere 35 eisen) die de dienstenleverancier SP daaraan stelt.
De procedure verloopt alsvolgt: 1018494 -8- - Een verbinding wordt opgezet tussen proces C en CAP. Deze verbinding gebruikt het SSL of TLS protocol. Het protocol wordt zodanig ingesteld dat bij het opzetten van deze verbinding: (a) C de CAP authenticeert aan de hand van een door de CAP te sturen 5 server certificaat welke is uitgegeven door een bij C bekende partij ("Trusted Third Party"): (b) de CAP een lijst van door de CAP geaccepteerde cliënt certificaat uitgevers naar C stuurt. Voorts heeft de CAP voor elk certificaattype en -uitgever de beschikking over de mate van zekerheid welke de 10 dienstenleverancier SP stelt bij authenticatie van certificaten van dat type en uitgever.
- Het CAP initieert een verbinding tussen het CAP en DAP, gebruikmakend van het DSP1 protocol (zie hierboven).
- C initieert een verbinding tussen C en DP. gebruikmakend van het AP 15 protocol (zie hierboven).
- Een verbinding wordt opgezet tussen proces DP en het CAP. Deze· verbinding gebruikt het DSP2 protocol (zie hierboven). Deze verbinding kan worden opgezet door DP of door het CAP.
De uitvinding vooronderstelt het bestaan van een (electronisch) 20 'contract' tussen gebruikers en dienstenleveranciers SP, waarin staat welke diensten door het DP aan de gebruiker geleverd mogen worden en onder welke condities. Zulke condities kunnen mogelijk eisen stellen aan het soort certificaat dat een client ter authenticatie mag aanbieden, parameters welke de dienst kunnen beïnvloeden, de 25 vergoeding die SP van C verlangt voor het verlenen van de gevraagde dienst, etc.
De genoemde 'service requests' bestaan uit een verzameling dienst-parameters en hebben de vorm van een parameter lijst welke kan worden toegevoegd aan een URL.
30 Waar gesproken wordt over "autorisatie", omvat dit (1) de identiteit van de gebruiker (via de cliënt C) voor welke de autorisatie is bedoeld, (2) een service request voor welke de autorisatie is uitgegeven, (3) een geldigheidsinterval (i.e. een tijdsinterval binnen welke de autorisatie geldig is) en (4) een IP-adres van waaruit om de 35 autorisatie werd gevraagd. Het service request heeft de vorm van een parameter lijst die wordt toegevoegd aan een URL. Voorts heeft de 1018494 -9- autorisatie de eigenschap dat dienstenleverancier SP er in voldoende mate zeker van is dat een cliënt voor wie.deze autorisatie werd gemaakt, in staat is toegang te verkrijgen tot de dienst binnnen het geldigheidsinterval.
5 Het "token" waarover gesproken werd, bestaat uit een rij bits, door de CAP wordt gemaakt aan de hand van een autorisatie, en wel zodanig dat het token de volgende eigenschappen heeft: (a) de CAP kan de autorisatie (welke heeft geleid tot het maken van het token) reproduceren aan de hand van dat token, althans gedurende 10 het tijdsinterval binnen welk de autorisatie geldig is.
(b) het token is geldig zolang de autorisatie geldig is.
(c) de kans dat een geldig token door een derde, partij geraden kan worden is verwaarloosbaar klein (bijvoorbeeld kleiner dan 2'50) (d) er geen twee of meer verschillende (geldige) autorisaties 15 tegelijkertijd zijn geassocieerd met eenzelfde token.
Omdat dit token zowel wordt gemaakt als geïnterpreteerd door het CAP, kan het CAP de data in het token zelf bepalen. De grootte van het token wordt (in theorie niet, maar in praktijk waarschijnlijk wel) begrensd door
20 - de grootte van de URL van de DP
- de voor het token toegestane characterset (ASCII), en de door de cliënt browser maximaal toegestane lengte van de URL.
De naar ASCII omgezette secure hash (of een gedeelte daarvan) van een autorisatie zou een goed token kunnen zijn.
25 De werking van het getoonde systeem wordt geïllustreerd in het diagram van figuur 2: [1] De gebruiker surft naar de gewenste dienst door in de browser (cliënt) het adres (URL) in te voeren (bijvoorbeeld www.service.com), waardoor de browser C een SSL verbinding gaat opzetten met de 30 betreffende CAP server, waarbij de dient C en de CAP server elkaar wederzijds authenticeren (zie hierboven bij het Opzetten van SSL/TLS verbinding). Als gevolg hiervan beschikt de CAP dan over de identiteit van de gebruiker C (ld), het (public key) certificaat van C waaraan de ld is getoetst, Alvl (een parameter die de mate aangeeft waarin deze 35 toetsing wordt vertrouwd door de SP), en het IP-adres IP van waaruit C de verbinding heeft opgezet.
1018494 -10- [2] C stuurt een service request sreq naar de CAP (via door de zojuist opgezette SSL verbinding).
[3] De CAP stuurt sreq, ld, Alvl, en IP naar het DAP proces (gebruik makend van het DSP1 protocol).
5 [4] Wanneer het DAP vaststelt dat de gebruiker C geen recht heeft op de door C gewenste dienst (bijvoorbeeld omdat de gevraagde dienstverlening niet door een contract wordt beschreven), dan eindigt het protocol. Wanneer de DAP vaststelt dat er wel recht op dienstverlening bestaat, dan stelt DAP een alternatief service request 10 sreq' vast dat (a) door een contract wordt afgedekt, (b) zoveel mogelijk lijkt op sreq als mogelijk is. Tevens bepaalt de DAP een tijdsinterval TI (geldigheidsinterval) binnen welke met dienstverlening moet worden begonnen.
[5] Het DAP stuurt autorisatie A (bestaande uit sreq', TI, ld, en IP ) 15 naar de CAP (gebruik makend van het DSP1 protocol).
[6] De CAP maakt een token aan de hand van de door het DAP opgeleverde autorisatie A, met alle eigenschappen van een token (zie hierboven).
[7] het CAP proces stuurt (in de reeds opgezette SSL sessie) een HTML pagina naar de cliënt , met daarin een hyperlink naar de server DP, in 20 welke hyperlink het token als parameter wordt meegegeven, en dit alles zodanig dat de browser na een wachttijd van nul seconden overschakelt naar deze hyperlink. Hierna termineert de SSL sessie tussen C en CAP (het uitgevonden protocol termineert nog niet).
[8] Door het interpreteren van deze HTML pagina zet de client browser 25 een sessie op naar de server DP volgens het CAP-protocol zoals gespecificeerd in de hyperlink. Bovendien wordt het token middels dit protocol naar DP gestuurd.
[9] Het DP proces stuurt het token naar de CAP, alsmede het IP-adres IP’ van de cliënt die de sessie heeft opgestart (gebruik makend van 30 het DSP2 protocol).
[10] De CAP gaat na of er een geldige autorisatie bij het token hoort. Is dat niet het geval, dan termineert het protocol. Bovendien vergewist de CAP zich ervan dat - IP’ hetzelfde is als het in de autorisatie vermelde ip-adres IP; 35 - de huidige tijd valt binnen het in de autorisatie vermelde tijdsinterval TI.
1 01 849 4 ’ -11-
Indien een van deze zaken niet klopt, dan termineert het protocol.
[11] De CAP stuurt het in de autorisatie vermelde service request sreq’ naar DP (gebruik makend van het DSP2 protocol) .
[12] DP start nu de dienstverlening naar C volgens het service request 5 sreq', gebruik makend van het AP protocol, en tegelijk eindigt het uitgevonden protocol.
Tenslotte worden nog de volgende opmerkingen gemaakt: 1. Wanneer een proces in het beveiligingsdomein van een (rechts)persoon zit, betekent dit dat de (rechts)persoon 10 verantwoordelijk is voor de beveiligingskanten van dit proces (d.w.z. hij beheert de beveiliging van dit proces, en draagt de gevolgen van wat dit proces - al dan niet bedoeld - doet of nalaat m.b.t. beveiliging).
2. De 'mate van zekerheid' Alvl geeft aan hoeveel vertrouwen de 15 business heeft in het statement 'de klant heet ld'. Immers, dit vertrouwen kan afhangen van de mate waarin de certificaat-uitgever de identiteit heeft gecontroleerd, en dat is anders voor bijvoorbeeld Class I, II, en III certificaten.
3. Hoewel de standaard spreekt van certificaat uitgevers, is de 20 praktijk dat een certificaat uitgever meerdere typen certificaten uitgeeft (bijvoorbeeld class I, II, III certificaten), waarbij de condities onder welke een certificaat type wordt uitgegeven anders zijn dan bij een ander certificaat type. Derhalve kan het vertrouwen dat een dienstverlener stelt in verschillende certificaat typen 25 eveneens verschillen, en hoort bij elk certificaat type een 'mate van zekerheid' Alvl. Echter, de 'distinguished name' van de uitgever zoals die in het certificaat voorkomt wordt ook gebruikt voor het aangeven van dit soort certificaat typeringen. Derhalve kan hier volstaan worden met het versturen van een lijst van certificaat uitgevers.
1018494 '

Claims (4)

1. Methode voor het door een dienstproces aan een cliënt leveren van een dienst, gekenmerkt door de volgende stappen: a. de dient zet een beveiligde sessie op naar een 5 authenticatieproces en stuurt een cliënt identifier en een service request waarin wordt aangegeven welke dienst wordt gevraagd; b. het authenticatieproces verifieert de cliënt identifier en stuurt de geverifieerde cliënt identifier en het service 10 request naar een autorisatieproces; c. het autorisatieproces onderzoekt of de in het service request aangegeven dienstverlening aan de dient kan en mag worden geleverd, en zendt het onderzoeksresultaat in de vorm van een geautoriseerd service request voorzien van 15 een geldigheidsperiode terug naar de authenticatieproces: d. het authenticatieproces genereert een token, geassocieerd met het geautoriseerd service request; e. het authenticatieproces stuurt via de beveiligde sessie het adres van het betreffende dienstproces en het token 20 naar de cliënt; f. de cliënt treedt in verbinding met het dienstproces en stuurt het van het authenticatieproces ontvangen token naar het dienstproces; g. het dienstproces stuurt het van de cliënt ontvangen token 25 naar het authenticatieproces: h. het authenticatieproces haalt het aan het token geassocieerde geautoriseerd service request op, controleert of de geldigheidsperiode accoord is, en stuurt vervolgens het geautoriseerde service request naar het 30 dienstproces; i. het dienstproces levert vervolgens de door de dient gevraagde dienst.
2. Methode volgens conclusie 1, met het kenmerk dat het authenticatieproces in de onder b. genoemde stap behalve de 35 geverifieerde cliënt identifier, eveneens een “mate-van- zekerheid”-aanduiding betreffende de authenticiteit van die 1018494 i -13- client-identifier naar het autorisatieproces stuurt.
3. Systeem voor het door een dienstserver aan een cliënt leveren van een dienst, met het kenmerk dat 5 a. de cliënt middelen omvat voor het opzetten van een beveiligde sessie naar een authenticatieserver en het naar die authenticatieserver sturen van een cliënt identifier en een service request waarin wordt aangegeven welke dienst wordt gevraagd; 10 b. de authenticatieserver middelen omvat voor het verifiëren van de van de cliënt ontvangen client identifier en het sturen van de geverifieerde cliënt identifier en het service request naar een autorisatieserver; c. de autorisatieserver middelen omvat voor het onderzoeken 15 of de in het service request aangegeven dienstverlening aan de cliënt kan en mag worden geleverd, en middelen voor het naar de authenticatieserver terugzenden van het onderzoeksresultaat in de vorm van een geautoriseerd service request voorzien van een door de autorisatieserver 20 vastgestelde geldigheidsperiode; d. de authenticatieserver middelen omvat voor het genereren van een token, geassocieerd met de geautoriseerd service request; e. de authenticatieserver middelen omvat voor het via de 25 beveiligde sessie naar de cliënt sturen vanhet adres van de betreffende dienstserver en het token; f. de cliënt middelen omvat voor het naar de dienstserver zenden van het ontvangen token; g. de dienstserver middelen omvat voor het naar de 30 authenticatieserver sturen van het van de dient ontvangen token; h. de authenticatieserver middelen omvat voor het ophalen van het aan het token geassocieerde geautoriseerd service request, het controleren of de geldigheidsperiode accoord 35 is, en het vervolgens naar de dienstserver sturen van het geautoriseerd service request; 1018494 . -14- i. de dienstserver middelen omvat voor het vervolgens aan de client leveren van de gevraagde dienst.
4. Systeem volgens conclusie 3, met het kenmerk dat de authenticatieserver behalve de onder b. genoemde middelen voor 5 het verifiëren van de van de cliënt ontvangen cliënt identifier en het sturen van de geverifieerde cliënt identifier en het service request naar een autorisatieserver, bovendien middelen omvat voor het berekenen van een "mate-van-zekerheid”-aanduiding betreffende de authenticiteit van die client-identifier en voor 10 het naar het autorisatieserver sturen van die “mate-van- zekerheid”-aanduiding. 1018494·
NL1018494A 2001-07-09 2001-07-09 Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. NL1018494C2 (nl)

Priority Applications (7)

Application Number Priority Date Filing Date Title
NL1018494A NL1018494C2 (nl) 2001-07-09 2001-07-09 Methode en systeem voor het door een dienstproces aan een client leveren van een dienst.
PCT/EP2002/007261 WO2003007571A1 (en) 2001-07-09 2002-06-27 Method and system for a service process to provide a service to a client
EP02747453A EP1405490B1 (en) 2001-07-09 2002-06-27 Method and system for a service process to provide a service to a client
ES02747453T ES2280553T3 (es) 2001-07-09 2002-06-27 Metodo y sistema para que un proceso de servicios proporcione un servicio a un cliente.
AT02747453T ATE353515T1 (de) 2001-07-09 2002-06-27 Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden
DE60218042T DE60218042T2 (de) 2001-07-09 2002-06-27 Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden
US10/483,374 US7565554B2 (en) 2001-07-09 2002-06-27 Method and system for a service process to provide a service to a client

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1018494 2001-07-09
NL1018494A NL1018494C2 (nl) 2001-07-09 2001-07-09 Methode en systeem voor het door een dienstproces aan een client leveren van een dienst.

Publications (1)

Publication Number Publication Date
NL1018494C2 true NL1018494C2 (nl) 2003-01-10

Family

ID=19773693

Family Applications (1)

Application Number Title Priority Date Filing Date
NL1018494A NL1018494C2 (nl) 2001-07-09 2001-07-09 Methode en systeem voor het door een dienstproces aan een client leveren van een dienst.

Country Status (7)

Country Link
US (1) US7565554B2 (nl)
EP (1) EP1405490B1 (nl)
AT (1) ATE353515T1 (nl)
DE (1) DE60218042T2 (nl)
ES (1) ES2280553T3 (nl)
NL (1) NL1018494C2 (nl)
WO (1) WO2003007571A1 (nl)

Families Citing this family (114)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2826811B1 (fr) * 2001-06-27 2003-11-07 France Telecom Procede d'authentification cryptographique
US7707121B1 (en) 2002-05-15 2010-04-27 Navio Systems, Inc. Methods and apparatus for title structure and management
US7707066B2 (en) 2002-05-15 2010-04-27 Navio Systems, Inc. Methods of facilitating merchant transactions using a computerized system including a set of titles
US7814025B2 (en) * 2002-05-15 2010-10-12 Navio Systems, Inc. Methods and apparatus for title protocol, authentication, and sharing
WO2005011192A1 (ja) 2003-07-11 2005-02-03 Nippon Telegraph & Telephone アドレスに基づく認証システム、その装置およびプログラム
EP1649658B1 (en) * 2003-08-01 2007-08-01 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for routing a service request
CN100499536C (zh) * 2003-10-22 2009-06-10 华为技术有限公司 无线局域网中选定业务的解析接入处理方法
US7783891B2 (en) * 2004-02-25 2010-08-24 Microsoft Corporation System and method facilitating secure credential management
US7640592B2 (en) 2004-06-12 2009-12-29 Microsoft Corporation Installation setup
KR101203245B1 (ko) 2004-06-12 2012-11-20 마이크로소프트 코포레이션 소프트웨어 보안
US7721340B2 (en) 2004-06-12 2010-05-18 Microsoft Corporation Registry protection
US8296562B2 (en) 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
EP1766839B1 (en) * 2004-07-15 2013-03-06 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US7676834B2 (en) 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US8528078B2 (en) 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
JP2006054656A (ja) * 2004-08-11 2006-02-23 Nec Corp Ptt通信システム、ptt通信方法、ptt通信サーバ
JP2006086907A (ja) * 2004-09-17 2006-03-30 Fujitsu Ltd 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
US8001183B2 (en) 2004-10-08 2011-08-16 Sharp Laboratories Of America, Inc. Methods and systems for imaging device related event notification
US8060921B2 (en) * 2004-10-08 2011-11-15 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential authentication and communication
US8001586B2 (en) 2004-10-08 2011-08-16 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential management and authentication
US8125666B2 (en) 2004-10-08 2012-02-28 Sharp Laboratories Of America, Inc. Methods and systems for imaging device document management
US8120799B2 (en) 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for accessing remote, descriptor-related data at an imaging device
US8237946B2 (en) 2004-10-08 2012-08-07 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting server redundancy
US7970813B2 (en) 2004-10-08 2011-06-28 Sharp Laboratories Of America, Inc. Methods and systems for imaging device event notification administration and subscription
US8060930B2 (en) 2004-10-08 2011-11-15 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential receipt and authentication
US8120797B2 (en) * 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for transmitting content to an imaging device
US8065384B2 (en) 2004-10-08 2011-11-22 Sharp Laboratories Of America, Inc. Methods and systems for imaging device event notification subscription
US8213034B2 (en) 2004-10-08 2012-07-03 Sharp Laboratories Of America, Inc. Methods and systems for providing remote file structure access on an imaging device
US8006176B2 (en) * 2004-10-08 2011-08-23 Sharp Laboratories Of America, Inc. Methods and systems for imaging-device-based form field management
US8001587B2 (en) * 2004-10-08 2011-08-16 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential management
US8115947B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for providing remote, descriptor-related data to an imaging device
US7978618B2 (en) 2004-10-08 2011-07-12 Sharp Laboratories Of America, Inc. Methods and systems for user interface customization
US8051140B2 (en) 2004-10-08 2011-11-01 Sharp Laboratories Of America, Inc. Methods and systems for imaging device control
US8049677B2 (en) 2004-10-08 2011-11-01 Sharp Laboratories Of America, Inc. Methods and systems for imaging device display element localization
US7934217B2 (en) 2004-10-08 2011-04-26 Sharp Laboratories Of America, Inc. Methods and systems for providing remote file structure access to an imaging device
US8171404B2 (en) 2004-10-08 2012-05-01 Sharp Laboratories Of America, Inc. Methods and systems for disassembly and reassembly of examination documents
US7920101B2 (en) 2004-10-08 2011-04-05 Sharp Laboratories Of America, Inc. Methods and systems for imaging device display standardization
US8015234B2 (en) 2004-10-08 2011-09-06 Sharp Laboratories Of America, Inc. Methods and systems for administering imaging device notification access control
US8115945B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for imaging device job configuration management
US8115944B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for local configuration-based imaging device accounting
US8120793B2 (en) * 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for displaying content on an imaging device
US8032579B2 (en) 2004-10-08 2011-10-04 Sharp Laboratories Of America, Inc. Methods and systems for obtaining imaging device notification access control
US8051125B2 (en) 2004-10-08 2011-11-01 Sharp Laboratories Of America, Inc. Methods and systems for obtaining imaging device event notification subscription
US8115946B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and sytems for imaging device job definition
US7873553B2 (en) 2004-10-08 2011-01-18 Sharp Laboratories Of America, Inc. Methods and systems for authorizing imaging device concurrent account use
US8018610B2 (en) 2004-10-08 2011-09-13 Sharp Laboratories Of America, Inc. Methods and systems for imaging device remote application interaction
US8006292B2 (en) * 2004-10-08 2011-08-23 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential submission and consolidation
US8035831B2 (en) 2004-10-08 2011-10-11 Sharp Laboratories Of America, Inc. Methods and systems for imaging device remote form management
US7969596B2 (en) 2004-10-08 2011-06-28 Sharp Laboratories Of America, Inc. Methods and systems for imaging device document translation
US8024792B2 (en) 2004-10-08 2011-09-20 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential submission
US8156424B2 (en) 2004-10-08 2012-04-10 Sharp Laboratories Of America, Inc. Methods and systems for imaging device dynamic document creation and organization
US8006293B2 (en) * 2004-10-08 2011-08-23 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential acceptance
US8384925B2 (en) 2004-10-08 2013-02-26 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting data management
US7873718B2 (en) 2004-10-08 2011-01-18 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting server recovery
US8023130B2 (en) 2004-10-08 2011-09-20 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting data maintenance
US8032608B2 (en) 2004-10-08 2011-10-04 Sharp Laboratories Of America, Inc. Methods and systems for imaging device notification access control
US8230328B2 (en) 2004-10-08 2012-07-24 Sharp Laboratories Of America, Inc. Methods and systems for distributing localized display elements to an imaging device
US7870185B2 (en) * 2004-10-08 2011-01-11 Sharp Laboratories Of America, Inc. Methods and systems for imaging device event notification administration
US7624433B1 (en) * 2005-02-24 2009-11-24 Intuit Inc. Keyfob for use with multiple authentication entities
US8428484B2 (en) 2005-03-04 2013-04-23 Sharp Laboratories Of America, Inc. Methods and systems for peripheral accounting
CN100583761C (zh) * 2005-05-16 2010-01-20 联想(北京)有限公司 一种统一认证的实现方法
US8213412B2 (en) 2005-09-29 2012-07-03 Comcast Cable Holdings, Llc System and method for providing multimedia services utilizing a local proxy
US7996682B2 (en) * 2005-10-17 2011-08-09 Microsoft Corporation Secure prompting
EP1788773A1 (en) * 2005-11-18 2007-05-23 Alcatel Lucent Method and apparatuses to request delivery of a media asset and to establish a token in advance
US8099508B2 (en) * 2005-12-16 2012-01-17 Comcast Cable Holdings, Llc Method of using tokens and policy descriptors for dynamic on demand session management
FR2895632A1 (fr) * 2005-12-22 2007-06-29 Gemplus Sa Controle d'acces a des services en mode multidiffusion dans un dispositif terminal
WO2007078987A2 (en) 2005-12-29 2007-07-12 Navio Systems, Inc. Software, systems, and methods for processing digital bearer instruments
US9177338B2 (en) 2005-12-29 2015-11-03 Oncircle, Inc. Software, systems, and methods for processing digital bearer instruments
US20070250711A1 (en) * 2006-04-25 2007-10-25 Phonified Llc System and method for presenting and inputting information on a mobile device
US10467606B2 (en) 2006-04-29 2019-11-05 Api Market, Inc. Enhanced title processing arrangement
DE102006022710A1 (de) * 2006-05-12 2007-11-15 Heidelberger Druckmaschinen Ag Serviceplattform zur Wartung von Maschinen
JP4882546B2 (ja) * 2006-06-28 2012-02-22 富士ゼロックス株式会社 情報処理システムおよび制御プログラム
US20080072053A1 (en) * 2006-09-15 2008-03-20 Halim Budi S Web-based authentication system and method
US8345272B2 (en) 2006-09-28 2013-01-01 Sharp Laboratories Of America, Inc. Methods and systems for third-party control of remote imaging jobs
US20080082626A1 (en) * 2006-09-29 2008-04-03 Microsoft Corporation Typed authorization data
US10192234B2 (en) 2006-11-15 2019-01-29 Api Market, Inc. Title materials embedded within media formats and related applications
CN101889438A (zh) * 2007-11-16 2010-11-17 汤姆森特许公司 用于流媒体的会话管理的系统和方法
US8533852B2 (en) * 2007-12-19 2013-09-10 The Directv Group, Inc. Method and system for securely communicating between a primary service provider and a partner service provider
US8453251B2 (en) * 2007-12-19 2013-05-28 The Directv Group, Inc. Method and system for securely communicating between a user network device, a primary service provider and a partner service provider
US9137018B2 (en) * 2007-12-19 2015-09-15 The Directv Group, Inc. Method and system for providing a generic program guide data from a primary content provider to a user network device through a partner service provider
US8621646B2 (en) * 2007-12-19 2013-12-31 The Directv Group, Inc. Method and system for authenticating a user receiving device into a primary service provider system to communicate with a partner service provider
US20090183246A1 (en) * 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
US8132238B2 (en) * 2008-05-13 2012-03-06 Ebay Inc. System and method for identity authentication for service access without use of stored credentials
DE102008024783A1 (de) * 2008-05-23 2009-12-10 RUHR-UNIVERSITäT BOCHUM Sichere, browser-basierte Einmalanmeldung mit Clientzertifikaten
US9258286B1 (en) * 2008-07-30 2016-02-09 United Services Automobile Association (Usaa) Systems and methods for communications channel authentication
US9479509B2 (en) 2009-11-06 2016-10-25 Red Hat, Inc. Unified system for authentication and authorization
US8972346B2 (en) * 2009-12-11 2015-03-03 International Business Machines Corporation Method and system for minimizing synchronization efforts of parallel database systems
US8474009B2 (en) * 2010-05-26 2013-06-25 Novell, Inc. Dynamic service access
US9111079B2 (en) * 2010-09-30 2015-08-18 Microsoft Technology Licensing, Llc Trustworthy device claims as a service
US9854308B1 (en) 2011-02-18 2017-12-26 The Directv Group, Inc. Method and system for authorizing user devices to communicate with a primary service provider using a limited number of streams
US9794239B1 (en) * 2011-02-18 2017-10-17 The Directv Group, Inc. Method and system for authenticating service providers to communicate with a primary service provider
US9838727B1 (en) 2011-02-18 2017-12-05 The Directv Group, Inc. Method and system for discovering an identity provider
US9509704B2 (en) 2011-08-02 2016-11-29 Oncircle, Inc. Rights-based system
US9131370B2 (en) 2011-12-29 2015-09-08 Mcafee, Inc. Simplified mobile communication device
US8819445B2 (en) * 2012-04-09 2014-08-26 Mcafee, Inc. Wireless token authentication
US20130268687A1 (en) 2012-04-09 2013-10-10 Mcafee, Inc. Wireless token device
US9262592B2 (en) 2012-04-09 2016-02-16 Mcafee, Inc. Wireless storage device
US9547761B2 (en) 2012-04-09 2017-01-17 Mcafee, Inc. Wireless token device
US8904528B2 (en) 2013-03-15 2014-12-02 Elemica, Inc. Method and apparatus for translation of business messages
US9443229B2 (en) 2013-03-15 2016-09-13 Elemica, Inc. Supply chain message management and shipment constraint optimization
US9224135B2 (en) 2013-03-15 2015-12-29 Elemica, Inc. Method and apparatus for adaptive configuration for translation of business messages
US20160128104A1 (en) * 2014-11-05 2016-05-05 Google Inc. In-field smart device updates
US9760501B2 (en) 2014-11-05 2017-09-12 Google Inc. In-field smart device updates
FR3032847A1 (fr) 2015-02-13 2016-08-19 Orange Technique de connexion a un service
WO2016198241A1 (en) 2015-06-11 2016-12-15 Siemens Aktiengesellschaft Authorization apparatus and method for an authorized issuing of an authentication token for a device
US9621355B1 (en) * 2015-10-01 2017-04-11 Cisco Technology, Inc. Securely authorizing client applications on devices to hosted services
CN106790331B (zh) * 2015-11-23 2020-07-03 腾讯科技(深圳)有限公司 一种业务接入方法、系统及相关装置
JP2017228145A (ja) * 2016-06-23 2017-12-28 株式会社リコー 認証システム、通信システム、認証認可方法、及びプログラム
US10686886B2 (en) * 2016-10-19 2020-06-16 Mirosoft Technology Licensing, LLC Establishing secure sessions for stateful cloud services
EP3334115B1 (en) 2016-12-07 2019-10-09 Swisscom AG User authentication based on token
US10616211B2 (en) * 2017-04-12 2020-04-07 Cisco Technology, Inc. System and method for authenticating clients
US11171958B1 (en) 2018-07-10 2021-11-09 United Services Automobile Association (Usaa) Secure session sharing between computing devices
US11032270B1 (en) * 2020-04-07 2021-06-08 Cyberark Software Ltd. Secure provisioning and validation of access tokens in network environments

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999000958A1 (en) * 1997-06-26 1999-01-07 British Telecommunications Plc Data communications
WO2000069110A1 (en) * 1999-05-11 2000-11-16 Sun Microsystems, Inc. Method and apparatus for authenticating users
WO2001011845A2 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Security architecture with environment sensitive credentials
WO2001027709A2 (en) * 1999-10-12 2001-04-19 Sonera Oyj Access control of a service

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) * 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
JPH10327147A (ja) * 1997-05-21 1998-12-08 Hitachi Ltd 電子認証公証方法およびシステム
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6370139B2 (en) 1997-10-24 2002-04-09 Tranz-Send Broadcasting Network, Inc. System and method for providing information dispersal in a networked computing environment
US6393411B1 (en) * 1998-07-21 2002-05-21 Amdahl Corporation Device and method for authorized funds transfer
US20010027527A1 (en) * 2000-02-25 2001-10-04 Yuri Khidekel Secure transaction system
US20010045451A1 (en) * 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
US20020031230A1 (en) * 2000-08-15 2002-03-14 Sweet William B. Method and apparatus for a web-based application service model for security management
US20020078352A1 (en) * 2000-12-15 2002-06-20 International Business Machines Corporation Secure communication by modification of security codes
US20020129261A1 (en) * 2001-03-08 2002-09-12 Cromer Daryl Carvis Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens
US7657639B2 (en) * 2006-07-21 2010-02-02 International Business Machines Corporation Method and system for identity provider migration using federated single-sign-on operation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999000958A1 (en) * 1997-06-26 1999-01-07 British Telecommunications Plc Data communications
WO2000069110A1 (en) * 1999-05-11 2000-11-16 Sun Microsystems, Inc. Method and apparatus for authenticating users
WO2001011845A2 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Security architecture with environment sensitive credentials
WO2001027709A2 (en) * 1999-10-12 2001-04-19 Sonera Oyj Access control of a service

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SAMAR V: "Single sign-on using cookies for Web applications", ENABLING TECHNOLOGIES: INFRASTRUCTURE FOR COLLABORATIVE ENTERPRISES, 1999. (WET ICE '99). PROCEEDINGS. IEEE 8TH INTERNATIONAL WORKSHOPS ON STANFORD, CA, USA 16-18 JUNE 1999, LOS ALAMITOS, CA, USA,IEEE COMPUT. SOC, US, 16 June 1999 (1999-06-16), pages 158 - 163, XP002179650, ISBN: 0-7695-0365-9 *

Also Published As

Publication number Publication date
EP1405490A1 (en) 2004-04-07
US7565554B2 (en) 2009-07-21
ES2280553T3 (es) 2007-09-16
DE60218042D1 (de) 2007-03-22
ATE353515T1 (de) 2007-02-15
US20040221045A1 (en) 2004-11-04
DE60218042T2 (de) 2007-11-08
WO2003007571A1 (en) 2003-01-23
EP1405490B1 (en) 2007-02-07

Similar Documents

Publication Publication Date Title
NL1018494C2 (nl) Methode en systeem voor het door een dienstproces aan een client leveren van een dienst.
US7395424B2 (en) Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
US8613058B2 (en) Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network
US7908649B1 (en) Method and apparatus for providing efficient authorization services in a web cache
US10547602B2 (en) Communications methods and apparatus related to web initiated sessions
AU2005207632B2 (en) Upper-level protocol authentication
US20140189839A1 (en) Single sign-on methods and apparatus therefor
JP2005518595A (ja) ネットワークコンポーネントのセキュアトラバーサル
US20060143700A1 (en) Security System Providing Methodology for Cooperative Enforcement of Security Policies During SSL Sessions
US20060277596A1 (en) Method and system for multi-instance session support in a load-balanced environment
US7334126B1 (en) Method and apparatus for secure remote access to an internal web server
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
Shen et al. The impact of TLS on SIP server performance
US8738897B2 (en) Single sign-on functionality for secure communications over insecure networks
Baumann et al. Voice over IP-security and SPIT
IL287448B1 (en) Intermediary handling of identity services to guard against vectors of client-side attacks
CN113612790B (zh) 基于设备身份预认证的数据安全传输方法及装置
Kong et al. A lightweight scheme for securely and reliably locating sip users
Cisco Overview
Cisco Overview
Cheng et al. Research and implementation of three HTTPS attacks
Mihai Voice over IP Security A layered approach
Kasslin et al. Kerberos V Security: ReplayAttacks
CN117834255A (zh) 基于集中授权的服务资源访问方法及其装置
Rabkin Walnut: using NUTSS to harden services against DDOS attacks

Legal Events

Date Code Title Description
PD2B A search report has been drawn up
SD Assignments of patents

Owner name: NEDERLANDSE ORGANISATIE VOOR TOEGEPAST-NATUURWETEN

Effective date: 20051019

VD1 Lapsed due to non-payment of the annual fee

Effective date: 20070201