PT1278350E - Autenticação de credenciais para utilizadores móveis - Google Patents

Autenticação de credenciais para utilizadores móveis Download PDF

Info

Publication number
PT1278350E
PT1278350E PT02013985T PT02013985T PT1278350E PT 1278350 E PT1278350 E PT 1278350E PT 02013985 T PT02013985 T PT 02013985T PT 02013985 T PT02013985 T PT 02013985T PT 1278350 E PT1278350 E PT 1278350E
Authority
PT
Portugal
Prior art keywords
authentication credentials
network
client
mobile
authentication
Prior art date
Application number
PT02013985T
Other languages
English (en)
Inventor
Neil S Fishman
Michael Kramer
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of PT1278350E publication Critical patent/PT1278350E/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Description

DESCRIÇÃO "AUTENTICAÇÃO DE CREDENCIAIS PARA UTILIZADORES MÓVEIS"
ANTECEDENTES DA INVENÇÃO 1. O Campo da Invenção A presente invenção refere-se a credenciais de autenticação. Mais especificamente, a presente invenção refere-se a métodos, sistemas e produtos de programas de computador para autenticar um cliente móvel que pode ter um sistema de entrada optimizado para entrada numérica. 2. Antecedentes e Técnica Relacionada
Os conteúdos armazenados em redes, muitas vezes, estão protegidos por várias razões. Por exemplo, os conteúdos podem incluir tecnologia proprietária que proporciona uma vantagem competitiva a um negócio. Muitos empregadores consideram, pelo menos, alguma parte da sua informação pessoal privada ou confidencial. Pode ser importante proteger certos conteúdos vitais, tais como as encomendas dos clientes, de serem corrompidas ou perdidas. Seja a motivação assegurar confidencialidade ou privacidade, prevenir a corrupção ou a perda de conteúdos ou proteger informação sensível, o acesso às redes de computadores é governado habitualmente através de 1 credenciais de autenticaçao, tais como um nome de utilizador e uma palavra-passe para um sistema ou domínio particular.
Contudo, as credenciais de autenticação para uma rede de computadores podem ser comprometidas de vários modos, incluindo ataques de força bruta, monitorizando o tráfego de rede e ganhando acesso a sistemas de terceiros que podem armazenar credenciais de autenticação. Num ataque de força bruta, um número elevado de credenciais de autenticação potenciais, talvez todas as combinações possíveis, são submetidas a uma rede de computadores. Por exemplo, um PIN de quatro dígitos pode ser descoberto submetendo os números de 0000 a 9999. Apesar da submissão de dez mil números poder parecer uma tarefa significativa, para computadores esta imposição é, quanto muito, mínima.
Uma defesa comum para os ataques de força bruta é aumentar o número de possibilidades que têm de ser submetidas. Cada dígito adicionado aumenta o número de selecções potenciais por um factor de dez. Se estiverem disponíveis letras além dos números, cada caracter representa um factor de trinta e seis. Incluir letra maiúscula e minúscula aumenta o peso de cada caracter para sessenta e dois. Para protecção máxima, pode ser adicionada pontuação aos números e letras, chegando a um valor familiar de cento e uma escolhas possíveis para cada caracter. (Os típicos teclados de Inglês vendidos nos Estados Unidos da América são descritos como teclados 101, indicando o número de caracteres de impressão que são suportados). Mesmo que alguns caracteres não sejam permitidos, com cerca de cem opções por cada um de quatro caracteres, o número de combinações distintas aproxima-se dos 100 milhões, uma melhoria significativa em 2 relaçao às dez mil combinações oferecidas por um PIN de quatro dígitos.
Uma vez que combinações arbitrárias de números, letras, e pontuação são difíceis de recordar, palavras, datas, acrónimos, e semelhantes, podem ajudar a manter as credenciais de autenticação familiares. Os atacantes exploram estas fraquezas, empregando um tipo de ataque de força bruta, conhecido tipicamente como um ataque de dicionário. Não existe necessidade de tentar todas as combinações de letras e números; em vez disso, apenas combinações que fazem sentido como palavras, acrónimos ou datas são submetidas. Limitando o ataque a um "dicionário" pode reduzir a nossa melhoria de 100 milhões de volta a uma gama de dez ou vinte mil e ainda menos se se considerarem palavras relativamente comuns.
Para reduzir a ameaça colocada pelos ataques de dicionário, os administradores de redes podem impor políticas em relação às credenciais de autenticação. Por exemplo, pode ser requerido que as palavras-passe incluam, pelo menos, uma letra maiúscula, pelo menos, uma letra minúscula, pelo menos, um número e, pelo menos, um caracter de pontuação. Adicionalmente, pode ser obrigatório um certo comprimento, tal como cinco, seis, sete ou oito caracteres. Uma vez que as palavras-passe compridas são mais difíceis de recordar, especificar muito mais de oito caracteres pode ser contraproducente porque as palavras-passe serão escritas em vez de memorizadas, permitindo que as credenciais de autenticação sejam comprometidas se a palavra-passe escrita for alguma vez descoberta. Por exemplo, uma ocorrência excessivamente comum num contexto financeiro é armazenar um PIN com o correspondente cartão de crédito ou de débito. Qualquer valor do PIN é praticamente perdido se o PIN tiver de ser 3 escrito para ser recordado. Problemas semelhantes existem em outros ambientes, particularmente, em relação ao acesso a redes de computadores.
Recentemente, existiu um aumento da procura para acesso às redes de computadores e aos conteúdos que estas podem oferecer, utilizando clientes móveis. Devido ao seu tamanho conveniente e utilidade, os telefones estão entre os clientes móveis mais largamente utilizados. Contudo, alguns clientes móveis, como os telefones, possuem sistemas de entrada que estão optimizados para entrada numérica. Apesar das letras e pontuação poderem estar presentes, é muitas vezes complicado para a maioria dos utilizadores introduzir quaiquer caracteres que não números. Como descrito anteriormente, permitir credenciais de autenticação que apenas contenham números torna uma rede de computadores vulnerável a ataques de força bruta.
Além disso, terceiros podem estar envolvidos no fornecimento de acesso móvel aos conteúdos. Por exemplo, os telefones podem ligar a um servidor de protocolo de aplicação sem fios ("WAP") ao aceder uma rede desejada ou um servidor de conteúdos. Em muitas circunstâncias, o servidor WAP e a rede serão completamente não relacionadas. As empresas podem não estar dispostas ou serem incapazes de suportar o custo de oferecer acesso móvel à sua rede, enquanto que os operadores telefónicos serão capazes de utilizar servidores WAP como um fluxo de receitas através do aumento da ocupação do interface aéreo.
Servidores intermédios representam um risco de segurança, porque os protocolos sem fios podem não proporcionar ligações seguras end-to-end. As ligações seguras podem ser limitadas a 4 cada salto, tal como uma ligação segura entre um telefone e um servidor WAP e uma ligação segura entre o servidor WAP e a rede a ser acedida. Em resultado, o servidor WAP irá conter conteúdos não encriptados. Por exemplo, o telefone pode introduzir credenciais de autenticação que são encriptadas durante o trânsito para o servidor WAP. 0 servidor WAP desencripta as credenciais de autenticação e, depois, reencripta as credenciais de autenticação com base num protocolo seguro utilizado na comunicação com a rede. Se o servidor WAP estiver comprometido, um atacante pode conseguir adquirir credenciais de autenticação que lhe permitirão o acesso a qualquer rede que os clientes móveis tenham acedido. Além disso, para reduzir a quantidade de informação que deve ser recordada, os clientes móveis podem utilizar as mesmas credenciais de autenticação para outras redes que não proporcionam acesso móvel, tornando estas outras redes também vulneráveis a ataques.
Apesar de ser improvável que um servidor intermédio seja comprometido, o problema para a rede é que o risco pode ser difícil de quantificar. As medidas de segurança no servidor intermédio são determinadas, implementadas, monitorizadas e controladas, por quem quer que seja responsável pelo servidor intermédio. Para algumas redes, o risco de credenciais de autenticação numéricas, juntamente com a incerteza da segurança proporcionada por um servidor intermédio, será grande demais e o acesso móvel será proibido. 0 documento US 6067623 descreve o controlo do acesso de cliente aos recursos de uma empresa através de um servidor de middle tier. As autorizações de recursos da empresa são mantidas num servidor middle tier. Os utilizadores autenticam-se com o servidor, fazendo com que este mapeie e transforme a autorização 5 de acesso de cliente em credenciais de recursos da empresa. Os recursos da empresa são acedidos após autorização utilizando as credenciais transformadas. 0 documento W00103402 relaciona-se com um método e sistema de autenticação para identificar um assinante de uma primeira rede numa segunda rede, em que o endereço da segunda rede é atribuído ao assinante. Informação sobre o mapeamento entre o endereço da segunda rede e a identidade do assinante é gerada e transmitida para a segunda rede. Assim, uma ligação ao servidor de autenticação é proporcionada entre a primeira rede e a segunda rede, de tal modo que a identidade do assinante possa ser passada para a segunda rede. Assim, uma plataforma VAS da segunda rede pode receber o endereço da segunda rede e a identidade de assinante do assinante, de tal modo que um assinante acedendo a serviços da plataforma VAS possa ser identificado para efeitos de tarifação e/ou endereçamento. 0 documento W00046963 descreve uma porta possuindo uma pilha com uma camada de adaptação de portador e um cliente HTTP. A porta pode ser ligada por uma ligação HTTP a um servidor de origem e por uma interface de portador a uma rede móvel. Pode também ser ligada por uma ligação HTTP a um servidor WTA. Um gestor de contexto é um utilizador na pilha e suporta interfaces para permitir o acesso a entidades externas de um modo versátil. Um gestor de eventos captura eventos incluindo eventos de facturação e escreve para um registo de eventos e para um registo de facturação. Uma entidade de gestão proporciona controlo geral e estabelece configurações para o gestor de eventos. 6 0 documento W00022794 descreve um sistema para introduzir valor(es) inicial(ais), um computador servidor, um cliente e um método de introduzir valor(es) inicial(ais) para um cliente, para aceder a um computador servidor ligado a uma rede de telecomunicações sem fios. 0 sistema compreende um cliente, um computador servidor e uma rede de telecomunicações sem fios. 0 cliente está configurado para receber uma entrada do(s) valor(es) inicial(ais). 0 computador servidor possui meios de inicialização que dão ao cliente acesso ao referido servidor, em que os meios de inicialização compreendem informação sobre o(s) valor(es) inicial(ais) a serem introduzidos no cliente. A rede de telecomunicações sem fios está ligada ao servidor e está configurada para estabelecer uma ligação sem fios entre o cliente e a rede de telecomunicações após a recepção de um pedido a partir do cliente. 0 pedido compreende meios de identificação identificando o cliente. A rede também compreende meios de memória, que estão preparados para identificar os meios de identificação a partir do cliente. 0 documento "Security For Remote Access And Mobile Applications", por HOOGENBOOM M. e STEEMERS P., COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS, AMESTERDAM, Vol. 19, N° 2, Fevereiro de 2000, páginas 149-163 descreve uma autenticação para acesso remoto. Os utilizadores são autenticados em relação a uma base de dados de utilizadores antes de ser permitido o acesso. Depois de ligar o número do servidor de acesso remoto, o utilizador proporciona o nome de utilizador e a palavra-passe para ser autenticado. Durante a autenticação, a segurança é oferecida por encriptação do nome de utilizador e da palavra-passe. Esta segurança é oferecida pela Segurança de Camada de Transporte, TLS. A autenticação utilizando criptografia de chave pública poderia compreender o 7 envio de uma mensagem aleatória para o receptor, o receptor encriptando a mensagem aleatória com a sua chave privada e enviando a resposta e o remetente receber a mensagem e verificá-la comparando-a com a mensagem enviada originalmente. 0 documento US5586260 relaciona-se com autenticar um cliente para um servidor guando o cliente e o servidor possuem diferentes mecanismos de segurança. Um sistema intermédio conhecido como uma porta de autenticação proporciona a autenticação do cliente utilizando o mecanismo de segurança de cliente e o disfarce do cliente numa chamada para um servidor ao qual o cliente deseja aceder. 0 cliente regista-se na porta de autenticação e proporciona um nome de utilizador e uma palavra-passe. Depois, a porta de autenticação obtém e grava credenciais de segurança para o cliente, retornando uma chave de acesso para o cliente. Quando o cliente deseja chamar o servidor, o cliente chama a porta de autenticação actuando como um servidor proxy e passa a chave de acesso que é, depois, utilizada para extrair as credenciais de segurança e para mascarar o cliente numa chamada para o servidor. Quaisquer argumentos de saída resultando da chamada para o servidor são retornados para o cliente através da porta de autenticação.
SUMÁRIO DA INVENÇÃO
Estes e outros problemas são resolvidos pela presente invenção, que é dirigida à autenticação baseada em credenciais relativamente fracas, tais com palavras-passe com poucos caracteres ou palavras-passe com selecções limitadas para cada caracter. Por exemplo, um cliente pode possuir um sistema de entrada optimizado para entrada numérica e, portanto, utilizar palavras-passe unicamente numéricas, enquanto que outro cliente pode utilizar palavras-passe relativamente curtas. Em geral, a presente invenção pode ser utilizada para mapear um conjunto de credenciais de autenticação noutro conjunto de credenciais de autenticação. Uma porta recebe credenciais de autenticação a partir do cliente e utiliza um filtro de autenticação para mapear as credenciais de autenticação de acordo com critérios pré-estabelecidos. 0 filtro de autenticação pode mudar o nome do domínio, o nome do utilizador ou ambos. Por exemplo, um nome de domínio pode ser substituído por outro ou um sufixo pode ser adicionado ao nome de utilizador. Depois, as credenciais de autenticação mapeadas são enviadas para a rede que inclui o servidor de conteúdos sendo acedido. Quaisquer previlégios de acesso concedidos ao cliente são baseados nas credenciais de autenticação mapeadas. A porta permite credenciais de autenticação que são específicas para o acesso de clientes através da porta, sem divulgar informação sobre a rede à qual os clientes se ligam. Se as credenciais de um cliente estiverem comprometidas, tentativas para autenticação com as credenciais que não involvam a porta falharão porque o nome do domínio especificado, o nome de utilizador, ou ambos, não existem na rede. Além disso, a porta pode ser configurada para aceitar ligações apenas de servidores terceiros conhecidos. Em resultado, quaisquer credenciais de autenticação que possam ser descobertas por um atacante estão limitadas à utilização num contexto de porta.
Definindo as credenciais de autenticação que são específicas para o acesso de cliente através da porta, os administradores da rede são capazes de equilibrar um nível apropriado de permissões de acesso com o nível de risco 9 aumentado que resulta de credenciais fracas, tais como as palavras-passe numéricas. Em vez de atribuir o mesmo nível de acesso que um utilizador disporia utilizando outras credenciais de autenticação, tais como quando a autenticação é feita com um computador do escritório sobre uma ligação de rede interna, as credenciais de autenticação da porta podem ser restringidas para assegurar exposição mínima se estas forem comprometidas. Por exemplo, as credenciais de autenticação da porta podem ser limitadas aos recursos de rede de um único utilizador, tal como a conta de correio electrónico do utilizador, uma directoria de login por omissão, etc., enquanto que outras credenciais de autenticação podem permitir o acesso do utilizador a um número elevado de recursos de rede que são partilhados normalmente entre um número de utilizadores, incluindo servidores, directorias, bases de dados, etc. A porta também facilita a gestão das credenciais de autenticação da porta. Os nomes de domínio e/ou nomes de utilizador podem ser actualizados sem impor dificuldades aos clientes. Por exemplo, se parecer que um domínio foi comprometido, um novo domínio pode ser criado ou novas contas num domínio podem ser criadas e a porta configurada em conformidade. As credenciais de autenticação da porta podem ser associadas com outras credenciais de autenticação para identificar recursos potenciais que os clientes podem aceder, com permissões de acesso específicas atribuídas quando apropriado. Por outras palavras, as credenciais de autenticação da porta não atribuiriam permissões em maior número do que aquelas proporcionadas pelas outras credenciais de autenticação.
Uma relação de confiança pode ser estabelecida entre várias credenciais de autenticação e os domínios correspondentes. A 10 relação de confiança define áreas específicas de confiança. Por exemplo, um domínio pode confiar nas credenciais de autenticação de outro domínio para delegar previlégios de acesso, mas não para outros previlégios mais sensíveis, tais como os previlégios de administrador. Definir uma relação de confiança oferece um nível adicional de controlo sobre os previlégios de acesso móvel porque impede as credenciais de autenticação móveis de se sobreporem a outras qualificações de autenticação.
Características e vantagens adicionais da invenção serão explicadas na descrição que se segue e em parte será óbvio a partir da descrição, ou pode ser aprendido pela práctica da invenção. As características e vantagens da invenção podem ser realizadas e obtidas por meios dos instrumentos e combinações apontadas particularmente nas reivindicações anexas. Estas e outras características tornar-se-ão mais completamente aparentes a partir da descrição seguinte e reivindicações anexas ou pode ser aprendida pela práctica da invenção como aqui explicado em seguida.
BREVE DESCRIÇÃO DOS DESENHOS
De forma a descrever o modo pelo qual podem ser obtidas as vantagens e características da invenção referidas anteriormente e outras, uma descrição mais particular da invenção brevemente descrita anteriormente será feita em referência a suas formas de realização especificas que são ilustradas nos desenhos anexos. Compreendendo que estes desenhos apresentam apenas formas de realização típicas da invenção e não são, portanto, para serem considerados como limitando o seu âmbito, a invenção será 11 descrita e explicada com especificidade e detalhe adicional através da utilização dos desenhos acompanhantes nos quais: A Figura 1 ilustra um sistema exemplo que proporciona um ambiente operacional adequado para a presente invenção; A Figura 2 é um diagrama de blocos mostrando uma rede com domínios separados para credenciais de autenticação móveis e outras; A Figura 3 é um diagrama de blocos mostrando uma rede com um único domínio para credenciais de autenticação móveis e outras; e A Figura 4 ilustra um método exemplo para autenticar um cliente móvel através de uma porta móvel.
DESCRIÇÃO DETALHADA DA INVENÇÃO A presente invenção estende-se a métodos, sistemas e produtos de programa de computador para autenticar clientes. Uma porta mapeia credenciais de autenticação recebidas a partir de um cliente e envia as credenciais de autenticação mapeadas para uma rede que inclui os recursos aos quais o cliente deseja aceder. As credenciais de autenticação identificam um cliente particular e determinam os recursos que o cliente está autorizado a aceder, incluindo os tipos de acesso permitidos.
As credenciais de autenticação, muitas vezes, incluem um nome de utilizador e uma palavra-passe para um ou mais domínios. Outros tipos de informação, incluindo características 12 biométricas (e. g., impressões digitais) e chaves de hardware (e. g., cartões inteligentes) também podem ser utilizados. A presente invenção não está limitada a nenhum tipo particular de credenciais de autenticação. As credenciais de autenticação, normalmente, aplicam-se a um grupo ou colecção de um ou mais recursos, muitas vezes referido como um domínio. Os domínios facilitam a administração de recursos, permitindo aos recursos serem geridos como uma única unidade, com regras e processos comuns. Mais geralmente, o termo "domínio" descreve um agrupamento lógico de recursos, em que o agrupamento pode ser independente de como os recursos estão interligados. Uma única rede pode possuir um ou mais domínios e um único domínio pode incluir uma ou mais redes.
Por vezes, as credenciais de autenticação podem ser descritas como fracas ou curtas. Como utilizados neste pedido, contudo, fraca ou curta devem ser interpretados como termos comparativos, em vez de absolutos. Credenciais de autenticação fracas e/ou curtas são fracas e/ou curtas apenas porque credenciais de autenticação mais fortes e/ou mais longas são possíveis ou podem ser desejáveis. Por exemplo, uma palavra-passe de quatro dígitos é fraca e curta em comparação com uma palavra-passe de cinco dígitos. De forma semelhante, uma palavra-passe de cinco dígitos é fraca, apesar de não ser curta, em comparação com uma palavra-passe de cinco caracteres alfanuméricos. No sentido mais geral, a presente invenção envolve substituir um conjunto de credenciais de autenticação por outro. Os exemplos específicos discutidos em seguida identificam meramente ambientes ou formas de realização exemplo para praticar a presente invenção e não devem ser interpretados como limitando necessariamente o seu âmbito. 13 0 termo "cliente" pode ser utilizado para descrever indivíduos, dispositivos, computadores, sistemas, etc., seja isolados ou em combinação, que acedem a recursos de computador. 0 termo "servidor" descreve um fornecedor de recursos de computador e, do mesmo modo, inclui dispositivos, computadores, sistemas, etc. Dependendo das circunstâncias, um servidor num cenário pode ser um cliente noutro e, da mesma forma, um cliente num cenário pode ser um servidor noutros instantes de tempo. 0 termo rede descreve recursos interligados e abrange uma gama larga de configurações, incluindo um único recurso, tal como um computador, sistema de armazenamento, impressora, servidor de ficheiros, etc., que permite ligações e/ou qualquer outro recurso. A cada um dos termos anteriores deve ser atribuída a interpretação o mais larga possível. Os especialistas na técnica podem reconhecer que, num contexto particular, certos termos podem adquirir um significado mais específico ou alternativo. Deve notar-se, portanto, que a descrição detalhada seguinte é oferecida para apresentar implementações exemplificativas e não pretende limitar o âmbito da presente invenção. As formas de realização da presente invenção podem compreender um computador de propósito especial ou de propósito geral incluindo vários tipos hardware de computador, como discutido em maior detalhe em seguida.
Formas de realização no âmbito da presente invenção incluem também meios legíveis por computador para transportarem ou possuírem instruções executáveis por computador armazenadas nestes. Tais meios legíveis em computador podem ser quaisquer meios disponíveis que podem ser acedidos por um computador de propósito geral ou de propósito especial. A título de exemplo, e 14 não de limitação, tais meios legíveis em computador podem compreender RAM, ROM, EEPROM, CD-ROM ou outros armazenamentos de disco óptico, armazenamentos de disco magnético e outros dispositivos de armazenamento magnético ou quaisguer outros meios que podem ser utilizados para transportar ou armazenar código de programa desejado sob a forma de instruções executáveis em computador ou estruturas de dados e que podem ser acedidos por um computador de propósito geral ou propósito especial. Quando a informação é transferida ou proporcionada sobre uma rede ou outra ligação de comunicações (seja uma ligação com fios, sem fios ou uma combinação de com fios e sem fios) a um computador, o computador é denominado apropriadamente como um meio legível por computador. Assim, qualquer ligação desse tipo é denominada, apropriadamente, como um meio legível por computador. Combinações das anteriores devem também ser incluídas dentro do âmbito dos meios legíveis por computador. As instruções executáveis por computador compreendem, por exemplo, instruções e dados que fazem com que um computador de propósito geral, um computador de propósito especial ou um dispositivo de processamento de propósito especial execute uma certa função ou grupo de funções. A Figura 1 e a discussão seguinte pretendem proporcionar uma descrição geral breve de um ambiente de computação adequado no qual a invenção pode ser implementada. Apesar de tal não ser requerido, a invenção será descrita no contexto geral das instruções executáveis em computador, tais como módulos de programa, sendo executado por computadores em ambientes de rede. Geralmente, os módulos de programa incluem rotinas, programas, objectos, componentes, estruturas de dados, etc., que executam tarefas particulares ou implementam tipos de dados abstractos particulares. As instruções executáveis em computador, as 15 estruturas de dados associadas e os módulos de programa representam exemplos dos meios do código de programa para executar passos dos métodos aqui divulgados. A sequência particular de tais instruções executáveis ou das estruturas de dados associadas representam exemplos dos actos correspondentes para implementar as funções descritas nesses passos.
Os especialistas na técnica apreciarão que a invenção pode ser praticada em ambientes de computação de rede com muitos tipos de configurações de sistema de computadores, incluindo computadores pessoais, dispositivos portáteis, sistemas multiprocessador, electrónica de consumo baseada em microprocessadores ou programável, PC de rede, minicomputadores, computadores principais e semelhantes. A invenção pode também ser praticada em ambientes de computação distribuída onde as tarefas são executadas por dispositivos locais e remotos que estão ligados (seja por ligações com fios, ligações sem fios ou por uma combinação de ligações com fios e sem fios) através de uma rede de comunicações. Num ambiente de computação distribuída, os módulos de programa podem estar localizados tanto em dispositivos de armazenamento de memória locais como remotos.
Com referência à Figura 1, um sistema exemplo para implementar a invenção incui um dispositivo de computação de propósito geral sob a forma de um computador 20 convencional, incluindo uma unidade 21 de processamento, uma memória 22 de sistema e um barramento 23 de sistema que liga várias componentes do sistema incluindo a memória 22 de sistema à unidade 21 de processamento. O barramento 23 de sistema pode ser qualquer um de vários tipos de estruturas de barramento incluindo um barramento de memória ou um controlador de memória, 16 um barramento periférico e um barramento local utilizando qualquer uma de uma variedade de arquitecturas de barramento. A memória de sistema inclui a memória 24 apenas de leitura (ROM) e a memória 25 de acesso aleatório (RAM) . Um sistema 26 de entrada/saída básico (BIOS), contendo as rotinas básicas que ajudam a transferir informação entre elementos dentro do computador 20 , tal como durante a inicializaçao, podem ser armazenadas na ROM 24. 0 computador 20 pode também incluir uma drive 27 de disco rígido para ler de ou escrever num disco 39 rígido magnético, uma drive 28 de disco rígido para ler de ou escrever num disco 29 magnético removível e uma drive 30 de disco óptico para ler de ou escrever num disco 31 óptico removível, tal como um CD-ROM ou outro meio óptico. A drive 27 de disco rígido magnético, a drive 28 de disco magnético e a drive 30 de disco óptico são ligadas ao barramento 23 de sistema por uma interface 32 de drive de disco rígido, uma interface 33 de drive de disco magnético e por uma interface 34 de drive óptica, respectivamente. As drives e os seus meios legíveis em computador associados proporcionam o armazenamento não volátil de instruções executáveis em computador, estruturas de dados, módulos de programa e outros dados para o computador 20. Apesar do ambiente exemplo aqui descrito empregar um disco 39 rígido magnético, um disco 29 magnético removível e um disco 31 óptico removível, outros tipos de meios legíveis por computador para armazenar dados podem ser utilizados, incluindo cassetes magnéticas, cartões de memória flash, discos de vídeo digital, cartuchos de Bernoulli, RAM, ROM e semelhantes.
Os meios de código de programa compreendendo um ou mais módulos de programa podem ser armazenados no disco 39 rígido, no 17 disco 29 magnético, no disco 31 óptico, na ROM 24 ou na RAM 25, incluindo um sistema 35 operativo, um ou mais programas 36 de aplicação, outros módulos 37 de programa e dados 38 de programa. Um utilizador pode introduzir comandos e informação no computador 20 através do teclado 40, do dispositivo 42 apontador ou de outros dispositivos de entrada (não mostrados) , tal como um microfone, um joystick, um gamepad, uma antena de satélite, um digitalizador ou semelhante. Estes e outros dispositivos de entrada estão, muitas vezes, ligados à unidade 21 de processamento através de um interface 46 de porto série ligado ao barramento 23 de sistema. Alternativamente, os dispositivos de entrada podem ser ligados por outras interfaces, tais como um porto paralelo, um porto de jogos ou um barramento em série universal (USB). Um monitor 47 ou outro dispositivo de visualização é também ligado ao barramento 23 de sistema através de uma interface, tal como o adaptador 48 de vídeo. Além do monitor, os computadores pessoais incluem, tipicamente, outros dispositivos de saída periféricos (não mostrados), tais como altifalantes e impressoras. O computador 20 pode operar num ambiente em rede utilizando ligações lógicas a um ou mais computadores remotos, tais como os computadores 49a e 49b remotos. Os computadores 49a e 49b remotos podem, cada um deles, ser outro computador portátil, um servidor, um router, um PC de rede, um dispositivo par ou outro nó comum de rede e, tipicamente, inclui muitos ou todos os elementos descritos anteriormente relativamente ao computador O CM apesar de apenas os dispositivos 50a e 50b de armazenamento de memória e os seus programas 36a e 36b de aplicação associados terem sido ilustrados na Figura 1. As ligações lógicas na Figura 1 incluem uma rede 51 de área local (LAN) e uma rede 52 de área larga (WAN) que são aqui 18 apresentados como forma de exemplo e não como limitação. Estes ambientes de rede são comuns em redes de computadores de escritórios ou de empresas, intranets e a Internet.
Quando utilizado num ambiente de rede LAN, o computador 20 está ligado à rede 51 local através de uma interface ou adaptador 53 de rede. Quando utilizado num ambiente de rede WAN, o computador 20 pode incluir um modem 54, uma ligação sem fios ou outros meios para estabelecer comunicações sobre a rede 52 de área larga, tal como a Internet. O modem 54, que pode ser interno ou externo, está ligado ao barramento 23 de sistema através da interface 46 de porto série. Num ambiente em rede, os módulos de programa representados relativos ao computador 20, ou suas partes, podem ser armazenados no dispositivo de armazenamento de memória remoto. Deve ser apreciado que as ligações de rede mostradas são exemplos e outros meios de estabelecer comunicações sobre a rede 52 de área larga podem ser utilizadas. O diagrama de blocos da Figura 2 mostra a rede 210 com domínios separados, o domínio 240 móvel e outros domínios 230, para gerir credenciais de autenticação móveis e outras, respectivamente. O domínio 240 móvel pode ser reconhecido, geralmente, pela rede 210 ou pode ser utilizado apenas para proporcionar acesso ao servidor 220 de conteúdos. Outro(s) domínio(s) 230 inclui(em) o nome 232 de utilizador, identificando o Neil como um utilizador, com a palavra-passe 234 de Al(b)c5. (Note-se que a utilização de caracteres maiúsculos e minúsculos, números e pontuação, proporciona uma defesa significativa contra ataques de força bruta). O domínio 240 móvel inclui o nome 242 de utilizador, identificando Neil-m como um utilizador, com uma palavra-passe 244 numérica de 1234. Como 19 indicado pelas referências 212 e 214, tanto Neil e Neil-m têm permissões de acesso para o servidor 220 de conteúdos.
Uma vez que o domínio 240 móvel está separado do(s) outro(s) domínio (s) 230, não é necessário que o nome de utilizador 242 e o nome de utilizador 232 sejam diferentes. Ou nomes de utilizadores separados ou nomes de domínio separados é suficiente para proporcionar credenciais de autenticaçao que são específicas para um cliente móvel. Na práctica, a administração
dos dois domínios pode ser simplificada se os nomes de utilizador forem partilhados. Por exemplo, uma relação de confiança pode ser estabelecida entre os dois domínios. A extensão da relação de confiança entre os domínios depende das circunstâncias de uma implementação particular, mas existiria confiança nos domínios móveis com respeito a algum nível mínimo de permissões de acesso, tal como delegar permissões num contexto de correio electrónico. Os diferentes nomes de utilizador, contudo, ajudam, em seguida, a distinguir entre comentários referindo-se ao(s) outro(s) domínio(s) 230 e comentários que se referem ao domínio 240 móvel. Os nomes de utilizador distintos, Neil e Neil-m, portanto, serão mantidos durante a restante discussão da Figura 2 com o propósito de manter a clareza. Note-se que a Figura 3 foca a atenção na utilização de um único domínio com nomes de utilizador diferentes.
Para ter em conta o risco acrescido associado aos clientes móveis, as permissões de acesso concedidas através do domínio 240 móvel são limitadas quando comparadas com as concedidas por outro(s) domínio(s) 230. Por exemplo, se o servidor 220 de conteúdos proporcionar recursos de correio electrónico, Neil pode possuir todos os direitos de acesso para 20 uma conta de correio electrónico particular, enquanto que a Neil-m podem ser concedidos apenas certos previlégios de acesso delegados. Além disso, Neil pode possuir, também, previlégios para outros recursos que fazem parte do(s) outro (s) domínio(s) 230, enquanto que os previlégios de acesso de Neil-m se estendem apenas ao servidor 220 de conteúdos.
Os previlégios de acesso podem aplicar-se a um ou a múltiplos clientes. Por exemplo, o possuidor ou administrador de um recurso pode ter um conjunto de previlégios de acesso, certos agrupamentos ou domínios podem ter outro conjunto de previlégios de acesso e todos os outros podem ter um conjunto de previlégios de acesso por omissão. Os especialistas na técnica reconhecerão que existe uma variedade de esquemas para especificar previlégios de acesso e que outras podem ser desenvolvidas no futuro. Deve notar-se que a presente invenção não está limitada a nenhuma forma particular de previlégios de acesso. Em vez disso, a presente invenção reconhece que pode ser desejável proporcionar previlégios de acesso separados para clientes móveis e proporciona a tecnologia relevante para o fazer, independentemente da implementação subjacente aos previlégios de acesso.
Se as credenciais de autenticação associadas com Neil-m forem comprometidas, apenas os recursos disponíveis para um único cliente móvel seriam acessíveis. Para recursos de correio electrónico, isto, provavelmente, incluirá apenas a caixa de correio do cliente móvel. Em contraste, comprometer as credenciais de autenticação associadas com Neil, provavelmente, dariam previlégios de acesso muito mais vastos a recursos da rede 210 que são, provavelmente, partilhados por vários clientes. 21
Alternativamente, o domínio 240 móvel pode ser uma base de dados de credenciais administrada separadamente que é apenas utilizada para proporcionar acesso ao servidor 220 de conteúdos. Neste caso, o domínio 240 móvel não é um domínio no mesmo sentido que outro (s) domínio (s) 230 o é (são) . A base de dados de credenciais administrada separadamente não pode ser utilizada para acesso directo dos recursos que fazem parte da rede 210. Em vez disso, o servidor 220 de conteúdos pode ser configurado para verificar as credenciais de autenticação incluídas nesta base de dados de credenciais. Uma vez verificadas, uma conta partilhada num domínio, tal como o(s) outro(s) domínio(s) 230, seria utilizada para aceder ao servidor 220 de conteúdos. Como anteriormente, se as credenciais de autenticação de Neil-m estiverem comprometidas, apenas os recursos disponíveis para um único cliente móvel estariam em risco, tal como a caixa de correio do cliente. Contudo, se a conta partilhada estiver comprometida, os recursos associados com todos os clientes móveis estariam em risco.
Considerando agora o fluxo de credenciais de autenticação a partir de vários clientes móveis para a rede 210, o telefone 280 proporciona credenciais de autenticação para o servidor 270 WAP sobre a ligação 296. Apesar de um nome de utilizador textual (Neil) ser mostrado na Figura 2, o nome de utilizador é normalmente armazenado no telefone para que este não necessite de ser introduzido de cada vez que um pedido para conteúdo é feito. A ligação 296 pode ser encriptada, utilizando um protocolo, tal como a segurança de camada de transporte sem fios ("WTLS"), para proteger o conteúdo trocado entre o telefone 280 e o servidor 270 WAP. O servidor 270 WAP desencripta as credenciais de autenticação e envia-as para a porta 250 móvel sobre a ligação 294. Como a ligação 296, a ligação 294 pode 22 encriptar as credenciais de autenticação utilizando um protocolo tal como a camada de suportes segura ("SSL"). Tipicamente, o servidor 270 WAP opera como um tradutor de protocolo entre os protocolos sem fios dos clientes móveis e os protocolos com fios utilizados na comunicação com a porta 250 móvel. As credenciais de autenticação são sujeitas a um ataque no servidor WAP porque, pelo menos, durante algum tempo, estas não estão encriptadas. Além disso, uma vez que as credenciais de autenticação têm uma probabilidade elevada de incluir partes numéricas relativamente curtas, tais como uma palavra-passe numérica ou PIN, as credenciais de autenticação são vulneráveis a ataques de força bruta. A porta 250 móvel inclui um filtro 260 de autenticação que é utilizado no mapeamento das credenciais de autenticação recebidas. O filtro 260 de autenticação inclui duas componentes, o identificador 266 de domínio e o modificador 262 de nome de utilizador. O identificador 266 especifica o domínio que a rede 210 utilizará no processamento das credenciais de autenticação. Na Figura 2, o identificador de domínio é Mobile. Alterar o nome de um domínio de acordo com o identificador 266 de domínio inclui substituir um domínio por outro (substituindo um domínio especificado pelo cliente móvel com o identificador 266 de domínio), alterar o nome de domínio (efectuando uma mudança num domínio especificado por um cliente móvel) e adicionar um domínio onde nenhum é especificado (adicionar o identificador 266 de domínio em que um cliente móvel não especificou um domínio) , etc. O modificador 262 de nome de utilizador inclui uma caixa 262a de nome de utilizador e um sufixo 262b. A caixa 262a de nome de utilizador é apenas um espaço para todos os nomes de utilizador, enquanto que a porta móvel adiciona o sufixo 262b aos nomes de utilizador. A porta 23 250 móvel envia para a rede 210 credenciais de autenticação mapeadas sobre a ligação 292, utilizando encriptação como apropriado. A rede 210 processa as credenciais de autenticação que recebe tal como descrito anteriormente. Note-se que a porta 250 móvel identifica um domínio 240 móvel separado e adiciona um sufixo do nome de utilizador. Se o nome de utilizador Neil e a palavra-passe 1234 forem introduzidas no telefone 280, a porta móvel altera o nome de utilizador para Neil-m e envia as credenciais de autenticação para o domínio 240 móvel para processamento. Uma vez que um nome de utilizador Neil-m, com a palavra-passe 1234, existe no domínio 240 móvel, serão concedidos ao telefone 280 os previlégios de acesso que estão associados com Neil-m. Normalmente, apenas um domínio móvel separado, tal como o domínio 240 móvel ou um sufixo de nome de utilizador é necessário para proporcionar as credenciais de autenticação que são específicas para um cliente móvel. O diagrama de blocos da Figura 3 mostra uma rede com um único domínio, domínio 330 corporativo, tanto para credenciais de autenticação móveis como outras. Um nome 332 de utilizador de Mike com uma palavra-passe 334 de X9(y)z3 é definida no domínio 330 corporativo para determinar os previlégios de acesso aos recursos, tais como o servidor 320 de conteúdos, da rede 310. Um cliente móvel, com um nome 342 de utilizador de Mike- -m e uma palavra- -passe 344 de 5678 é também definido no domínio 330 corporativo. Note-se que a presente invenção não requer que qualquer sufixo particular seja adicionado aos nomes de utilizador. Além disso, a presente invenção não requer, necessariamente, alterar os nomes de utilizador adicinando-lhes um sufixo. Os nomes de utilizador podem ser alterados adicionado um prefixo, inserindo caracteres no meio de um nome de utilizador, substituindo todo ou uma porção de um nome de utilizador por outra porção ou nome de utilizador, apagando caracteres de um nome de utilizador, etc.
De forma semelhante à descrição em referência à Figura 2 e considerando agora o fluxo de credenciais de autenticação a partir de qualquer de vários clientes móveis para a rede 310, o telefone 380 proporciona credenciais de autenticação para o servidor 370 WAP sobre a ligação 396, utilizando WTLS. O serrvidor 370 WAP desencripta as credenciais de autenticação recebidas sobre a ligação 396 e reencripta as credenciais de
autenticação para a ligação 394 SSL. Na porta 350 móvel, o filtro 360 de autenticação adiciona o sufixo 362b aos nomes 362a de utilizador, tal como indicado pela referência 362. A porta 350 móvel estabelece o dominio 366 aplicável para as credenciais de autenticação recebidas para Corporate.
Se o nome de utilizador Mike e a palavra-passe 5678 são introduzidas no telefone 380, a porta móvel muda o nome de utilizador para Mike-m e envia as credenciais de autenticação para o dominio 330 corporativo para processamento. Uma vez que um nome de utilizador Mike-m, com a palavra-passe 5678, existe no domínio 330 corporativo, serão concedidos ao telefone 380 os previlégios de acesso que estão associados com Mike-m. Aqui, é necessário apenas um único domínio, tal como o domínio 330 corporativo, para proporcionar as credenciais de autenticação que são específicas para um cliente móvel.
Uma desvantagem da implementação com um único domínio é que as políticas e processos para a autenticação de credenciais são, muitas vezes, estabelecidos na base de um domínio. Isto é, o 25 domínio 330 corporativo pode ser estabelecido para requerer, pelo menos, uma letra maiúscula, pelo menos, uma letra minúscula, um número e um caracter de pontuação, em todas as palavras-passe. Tendo Mike-m no domínio 330 corporativo, a palavra-passe 344 estaria sujeita a estes requisitos e, portanto, uma palavra-passe totalmente numérica, tal como 5678, não pode ser permitida.
Deve notar-se também que o filtro 360 de autenticação é capaz de fazer quaisquer alterações às credenciais de autenticação que são apropriadas com o tipo e o formato das credenciais de autenticação implementadas pela rede 310, o servidor 320 de conteúdos e/ou o domínio 330 corporativo. Como a referência 312 mostra, o servidor 320 de conteúdos depende do domínio 330 corporativo para determinar os previlégios de acesso. Uma implementação particular das credenciais de autenticação, contudo, não está necessariamente limitada pela presente invenção. Quaisquer alterações que a porta 350 móvel faça necessitam apenas de ser apropriadas para as credenciais de autenticação que são esperadas pela rede 310, o servidor 320 de conteúdos e/ou o domínio 330 corporativo. Quando uma base de dados de credenciais de autenticação administrada separadamente proporciona acesso aos recursos, o mapeamento executado por uma porta móvel pode ser específico para a base de dados de credenciais separada, mesmo que estes mapeamentos não sejam apropriados para a rede 310 ou quaisquer domínios associados.
Considerando agora a Figura 4, é ilustrado um método exemplo de autenticar um cliente móvel através de uma porta móvel. Um passo de alterar (410) as credenciais de autenticação pode incluir os actos de definir (412) um filtro de autenticação e mapear (414) quaisquer credenciais de autenticação recebidas. O 26 mapeamento pode incluir alterar o nome do domínio, o nome de utilizador ou, por outro lado, modificar as credenciais de autenticação. Um nome de domínio pode ser substituído por outro e os nomes de utilizador podem ser adicionados de um sufixo.
Um passo para identificar (420) um cliente móvel pode incluir os actos de receber (422) credenciais de autenticação a partir de um cliente móvel e enviar (424) as credenciais de autenticação mapeadas para uma rede proporcionando os recursos que serão pedidos pelo cliente móvel. Os passos de alterar (410) as credenciais de autenticação e identificar (420) um cliente móvel são intercalados para indicar que os actos associados com os passos não são necessariamente executados em nenhuma ordem particular. Um passo para aceder (430) a conteúdos proporcionados pela rede pode incluir os actos de receber (432) um pedido de conteúdos, enviar (434) o pedido para a rede, receber (436) os conteúdos pedidos e enviar (438) os conteúdos pedidos para o cliente móvel.
Lisboa, 19 de Setembro de 2012 27

Claims (7)

  1. REIVINDICAÇÕES Método de aceder a conteúdos por um cliente para utilização num sistema computorizado que inclui um ou mais clientes acedendo uma porta e um servidor de conteúdos, em que um sevidor protocolo de aplicação sem fios, WAP, está posicionado entre o, um ou mais, cliente e a porta, em que o servidor de conteúdos faz parte de uma rede e em que a porta está liqada á rede, em que o acesso ao servidor de conteúdos requer credenciais de autenticação, em que a porta executa o método de: definir (412) um filtro de autenticação que mapeia credenciais de autenticação recebidas dos clientes de acordo com critérios pré-estabelecidos em credenciais de autenticação mapeadas; receber (422) credenciais de autenticação de um cliente através do servidor WAP, em que as credenciais de autenticação são aceites apenas a partir do servidor WAP; mapear (414) as credenciais de autenticação recebidas com base nos critérios pré-estabelecidos; enviar (424) as credenciais de autenticação mapeadas para a rede, em que os previléqios de acesso são baseados nas credenciais de autenticação mapeadas; receber (432) um pedido para conteúdos disponíveis no servidor de conteúdos; enviar (434) o pedido para a rede; 1 receber (436) os conteúdos pedidos a partir da rede; e enviar (438) os conteúdos recebidos para o cliente.
  2. 2. Método como referido na reivindicação 1, em que o acto de mapear (414) as credenciais de autenticação recebidas inclui alterar um nome de domínio que faz parte das credenciais de autenticação recebidas.
  3. 3. Método como referido na reivindicação 2, em que o acto de mapear (414) as credenciais de autenticação recebidas inclui substituir o nome de domínio que faz parte das credenciais de autenticação recebidas com outro nome de domínio.
  4. 4. Método como referido na reivindicação 1, em que o acto de mapear (414) as credenciais de autenticação recebidas inclui alterar um nome de utilizador que faz parte das credenciais de autenticação recebidas.
  5. 5. Método como referido na reivindicação 4, em que o acto de mapear (414) as credenciais de autenticação recebidas inclui adicionar um sufixo ao nome de utilizador.
  6. 6. Método como referido na reivindicação 4, em que o acto de mapear (414) as credenciais de autenticação recebidas inclui adicionar um prefixo ao nome de utilizador.
  7. 7. Meio legível em computador para armazenar um produto de programa de computador compreendendo instruções, que quando executadas num computador, obriguem o computador a executar um método de acordo com uma das reivindicações 1 a 6. Lisboa, 19 de Setembro de 2012 2
PT02013985T 2001-06-28 2002-06-25 Autenticação de credenciais para utilizadores móveis PT1278350E (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US09/894,607 US7047560B2 (en) 2001-06-28 2001-06-28 Credential authentication for mobile users

Publications (1)

Publication Number Publication Date
PT1278350E true PT1278350E (pt) 2012-09-26

Family

ID=25403310

Family Applications (1)

Application Number Title Priority Date Filing Date
PT02013985T PT1278350E (pt) 2001-06-28 2002-06-25 Autenticação de credenciais para utilizadores móveis

Country Status (6)

Country Link
US (1) US7047560B2 (pt)
EP (1) EP1278350B1 (pt)
CY (1) CY1113169T1 (pt)
DK (1) DK1278350T3 (pt)
ES (1) ES2390338T3 (pt)
PT (1) PT1278350E (pt)

Families Citing this family (89)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6571290B2 (en) 1997-06-19 2003-05-27 Mymail, Inc. Method and apparatus for providing fungible intercourse over a network
US8516132B2 (en) * 1997-06-19 2013-08-20 Mymail, Ltd. Method of accessing a selected network
EP1086560A1 (en) * 1998-06-19 2001-03-28 Netsafe, Inc. Method and apparatus for providing connections over a network
FI110299B (fi) * 2000-03-31 2002-12-31 Sonera Oyj Tilaajan ensimmäisen tunnisteen muuttaminen toiseksi tunnisteeksi
US20030041125A1 (en) * 2001-08-16 2003-02-27 Salomon Kirk C. Internet-deployed wireless system
US7743404B1 (en) * 2001-10-03 2010-06-22 Trepp, LLC Method and system for single signon for multiple remote sites of a computer network
US7085840B2 (en) * 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
US7275260B2 (en) 2001-10-29 2007-09-25 Sun Microsystems, Inc. Enhanced privacy protection in identification in a data communications network
US20030084171A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
US20030084172A1 (en) * 2001-10-29 2003-05-01 Sun Microsystem, Inc., A Delaware Corporation Identification and privacy in the World Wide Web
US20030084302A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation Portability and privacy with data communications network browsing
US7110745B1 (en) * 2001-12-28 2006-09-19 Bellsouth Intellectual Property Corporation Mobile gateway interface
EP1488597B1 (en) * 2002-03-20 2013-01-23 Research In Motion Limited System and method for checking digital certificate status
CN1372201A (zh) * 2002-04-03 2002-10-02 张平 一种网络安全新方法
US6965674B2 (en) * 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
US7965842B2 (en) * 2002-06-28 2011-06-21 Wavelink Corporation System and method for detecting unauthorized wireless access points
US7606242B2 (en) * 2002-08-02 2009-10-20 Wavelink Corporation Managed roaming for WLANS
US7522906B2 (en) * 2002-08-09 2009-04-21 Wavelink Corporation Mobile unit configuration management for WLANs
AU2003257336A1 (en) * 2002-08-19 2004-03-03 Research In Motion Limited System and method for secure control of resources of wireless mobile communication device
JP4497852B2 (ja) * 2002-08-28 2010-07-07 キヤノン株式会社 管理装置、制御方法および通信システム
US7735121B2 (en) * 2003-01-07 2010-06-08 Masih Madani Virtual pad
JP2004227057A (ja) * 2003-01-20 2004-08-12 Toshiba Corp 電子機器およびデータ保護方法
CA2516580C (en) * 2003-02-21 2011-01-25 Research In Motion Limited System and method of multiple-level control of electronic devices
US9009308B2 (en) * 2003-07-24 2015-04-14 Koninklijke Philips N.V. Hybrid device and person based authorized domain architecture
FI120021B (fi) * 2003-08-27 2009-05-29 Nokia Corp Valtuustiedon hankkiminen
JP4139304B2 (ja) * 2003-09-30 2008-08-27 株式会社森精機製作所 認証システム
US7484243B2 (en) * 2003-09-30 2009-01-27 International Business Machines Corporation Heterogenous domain-based routing mechanism for user authentication
US7487537B2 (en) * 2003-10-14 2009-02-03 International Business Machines Corporation Method and apparatus for pervasive authentication domains
US8037515B2 (en) * 2003-10-29 2011-10-11 Qualcomm Incorporated Methods and apparatus for providing application credentials
US7430181B1 (en) * 2003-11-26 2008-09-30 Cisco Technology, Inc. Method and apparatus for automatically configuring devices on a wireless network
US7647256B2 (en) * 2004-01-29 2010-01-12 Novell, Inc. Techniques for establishing and managing a distributed credential store
US7581111B2 (en) * 2004-02-17 2009-08-25 Hewlett-Packard Development Company, L.P. System, method and apparatus for transparently granting access to a selected device using an automatically generated credential
US20050278778A1 (en) * 2004-05-28 2005-12-15 D Agostino Anthony Method and apparatus for credential management on a portable device
US7581248B2 (en) * 2004-06-28 2009-08-25 International Business Machines Corporation Federated identity brokering
GB0420409D0 (en) * 2004-09-14 2004-10-20 Waterleaf Ltd Online commercial transaction system and method of operation thereof
US20060107323A1 (en) * 2004-11-16 2006-05-18 Mclean Ivan H System and method for using a dynamic credential to identify a cloned device
CN100442912C (zh) * 2005-02-02 2008-12-10 华为技术有限公司 一种保证特权无线用户即时接网的方法
US7849020B2 (en) * 2005-04-19 2010-12-07 Microsoft Corporation Method and apparatus for network transactions
US8996423B2 (en) * 2005-04-19 2015-03-31 Microsoft Corporation Authentication for a commercial transaction using a mobile module
US20060235795A1 (en) * 2005-04-19 2006-10-19 Microsoft Corporation Secure network commercial transactions
US20060248577A1 (en) * 2005-04-29 2006-11-02 International Business Machines Corporation Using SSO processes to manage security credentials in a provisioning management system
US7774827B2 (en) * 2005-06-06 2010-08-10 Novell, Inc. Techniques for providing role-based security with instance-level granularity
US8732476B1 (en) 2006-04-13 2014-05-20 Xceedium, Inc. Automatic intervention
JP4992332B2 (ja) * 2006-08-03 2012-08-08 富士通株式会社 ログイン管理方法及びサーバ
EP1909466B1 (en) * 2006-10-03 2017-07-19 BlackBerry Limited Access control system and method for wireless application provisioning
US8214635B2 (en) * 2006-11-28 2012-07-03 Cisco Technology, Inc. Transparent proxy of encrypted sessions
US7874011B2 (en) * 2006-12-01 2011-01-18 International Business Machines Corporation Authenticating user identity when resetting passwords
US8380841B2 (en) * 2006-12-07 2013-02-19 Microsoft Corporation Strategies for investigating and mitigating vulnerabilities caused by the acquisition of credentials
US7917034B2 (en) * 2007-04-13 2011-03-29 Motorola Mobility, Inc. Synchronization and processing of secure information via optically transmitted data
US20080253202A1 (en) * 2007-04-13 2008-10-16 Motorola, Inc. Communicating Information Using an Existing Light Source of an Electronic Device
EP2165307A4 (en) * 2007-05-25 2011-10-05 Metafos Inc ANONYMOUS ONLINE PAYMENT SYSTEMS AND METHODS
US20090007250A1 (en) * 2007-06-27 2009-01-01 Microsoft Corporation Client authentication distributor
US7974536B2 (en) * 2007-09-06 2011-07-05 Motorola Mobility, Inc. System and method for pre-configuring and authenticating data communication links
US8272039B2 (en) * 2008-05-02 2012-09-18 International Business Machines Corporation Pass-through hijack avoidance technique for cascaded authentication
US8413222B1 (en) * 2008-06-27 2013-04-02 Symantec Corporation Method and apparatus for synchronizing updates of authentication credentials
WO2010002381A1 (en) * 2008-06-30 2010-01-07 Hewlett-Packard Development Company, L.P. Automatic firewall configuration
US8707387B2 (en) * 2008-10-22 2014-04-22 Personal Capital Technology Corporation Secure network computing
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users
US8826030B2 (en) * 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
US8572709B2 (en) * 2010-05-05 2013-10-29 International Business Machines Corporation Method for managing shared accounts in an identity management system
EP2453631B1 (en) 2010-11-15 2016-06-22 BlackBerry Limited Data source based application sandboxing
US9659165B2 (en) * 2011-09-06 2017-05-23 Crimson Corporation Method and apparatus for accessing corporate data from a mobile device
US9275204B1 (en) * 2011-09-28 2016-03-01 Marvell International Ltd. Enhanced network access-control credentials
US9177129B2 (en) * 2012-06-27 2015-11-03 Intel Corporation Devices, systems, and methods for monitoring and asserting trust level using persistent trust log
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
US8977856B2 (en) * 2012-08-31 2015-03-10 Blackberry Limited Methods and apparatus for use in sharing credentials amongst a plurality of mobile communication devices
US9148787B2 (en) * 2012-12-06 2015-09-29 Google Technology Holdings LLC Apparatus and method for accessing WiFi networks
US8966591B2 (en) 2013-01-18 2015-02-24 Ca, Inc. Adaptive strike count policy
US9659316B2 (en) 2014-07-10 2017-05-23 Bank Of America Corporation Providing navigation functionality in a retail location using local positioning technology
US9699599B2 (en) 2014-07-10 2017-07-04 Bank Of America Corporation Tracking associate locations
US9734643B2 (en) 2014-07-10 2017-08-15 Bank Of America Corporation Accessing secure areas based on identification via personal device
US9471759B2 (en) 2014-07-10 2016-10-18 Bank Of America Corporation Enabling device functionality based on indoor positioning system detection of physical customer presence
US10074130B2 (en) 2014-07-10 2018-09-11 Bank Of America Corporation Generating customer alerts based on indoor positioning system detection of physical customer presence
US9691092B2 (en) 2014-07-10 2017-06-27 Bank Of America Corporation Predicting and responding to customer needs using local positioning technology
US10028081B2 (en) 2014-07-10 2018-07-17 Bank Of America Corporation User authentication
US10332050B2 (en) 2014-07-10 2019-06-25 Bank Of America Corporation Identifying personnel-staffing adjustments based on indoor positioning system detection of physical customer presence
US10108952B2 (en) 2014-07-10 2018-10-23 Bank Of America Corporation Customer identification
US9432804B2 (en) 2014-07-10 2016-08-30 Bank Of America Corporation Processing of pre-staged transactions
US9537868B2 (en) 2014-07-29 2017-01-03 Time Warner Cable Enterprises Llc Communication management and policy-based data routing
US9384337B1 (en) * 2015-04-27 2016-07-05 Microsoft Technology Licensing, Llc Item sharing based on information boundary and access control list settings
US10394805B2 (en) * 2016-06-28 2019-08-27 Sap Se Database management for mobile devices
US10503891B2 (en) * 2016-07-14 2019-12-10 Canon Information And Imaging Solutions, Inc. Method and system for automatically selecting an authentication domain
US10574662B2 (en) 2017-06-20 2020-02-25 Bank Of America Corporation System for authentication of a user based on multi-factor passively acquired data
US10360733B2 (en) 2017-06-20 2019-07-23 Bank Of America Corporation System controlled augmented resource facility
US10057748B1 (en) 2017-10-03 2018-08-21 Bank Of America Corporation Technology application restructuring and deployment for home receiver integration
US11234132B1 (en) * 2020-07-23 2022-01-25 Hewlett Packard Enterprise Development Lp Autonomous device authentication for private network access
CN112261047B (zh) * 2020-10-22 2023-11-03 上海擎感智能科技有限公司 网关访问方法、移动终端及计算机存储介质

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5241594A (en) * 1992-06-02 1993-08-31 Hughes Aircraft Company One-time logon means and methods for distributed computing systems
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
JP2977476B2 (ja) * 1995-11-29 1999-11-15 株式会社日立製作所 機密保護方法
US6006333A (en) * 1996-03-13 1999-12-21 Sun Microsystems, Inc. Password helper using a client-side master password which automatically presents the appropriate server-side password to a particular remote server
US6061650A (en) * 1996-09-10 2000-05-09 Nortel Networks Corporation Method and apparatus for transparently providing mobile network functionality
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US5944824A (en) * 1997-04-30 1999-08-31 Mci Communications Corporation System and method for single sign-on to a plurality of network elements
US6070244A (en) * 1997-11-10 2000-05-30 The Chase Manhattan Bank Computer network security management system
US6067623A (en) * 1997-11-21 2000-05-23 International Business Machines Corp. System and method for secure web server gateway access using credential transform
US6052785A (en) * 1997-11-21 2000-04-18 International Business Machines Corporation Multiple remote data access security mechanism for multitiered internet computer networks
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6282575B1 (en) * 1997-12-11 2001-08-28 Intel Corporation Routing mechanism for networks with separate upstream and downstream traffic
US6178511B1 (en) * 1998-04-30 2001-01-23 International Business Machines Corporation Coordinating user target logons in a single sign-on (SSO) environment
US6275944B1 (en) * 1998-04-30 2001-08-14 International Business Machines Corporation Method and system for single sign on using configuration directives with respect to target types
US6205480B1 (en) * 1998-08-19 2001-03-20 Computer Associates Think, Inc. System and method for web server user authentication
US6715080B1 (en) * 1998-10-01 2004-03-30 Unisys Corporation Making CGI variables and cookie information available to an OLTP system
GB2342816B (en) 1998-10-13 2003-04-23 Nokia Mobile Phones Ltd Accessing a server computer
US6253327B1 (en) * 1998-12-02 2001-06-26 Cisco Technology, Inc. Single step network logon based on point to point protocol
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
CN1339213A (zh) 1999-02-04 2002-03-06 爱培恩通信有限公司 通信网关
US6223291B1 (en) * 1999-03-26 2001-04-24 Motorola, Inc. Secure wireless electronic-commerce system with digital product certificates and digital license certificates
US6421768B1 (en) * 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
CN1144440C (zh) 1999-07-02 2004-03-31 诺基亚公司 认证方法、认证系统和网关设备
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6977917B2 (en) * 2000-03-10 2005-12-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for mapping an IP address to an MSISDN number within a service network
US6836474B1 (en) * 2000-08-31 2004-12-28 Telefonaktiebolaget Lm Ericsson (Publ) WAP session tunneling
JP3791464B2 (ja) * 2002-06-07 2006-06-28 ソニー株式会社 アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム

Also Published As

Publication number Publication date
CY1113169T1 (el) 2016-04-13
US7047560B2 (en) 2006-05-16
EP1278350B1 (en) 2012-07-25
US20030005290A1 (en) 2003-01-02
DK1278350T3 (da) 2012-08-27
EP1278350A1 (en) 2003-01-22
ES2390338T3 (es) 2012-11-12

Similar Documents

Publication Publication Date Title
PT1278350E (pt) Autenticação de credenciais para utilizadores móveis
US7562232B2 (en) System and method for providing manageability to security information for secured items
US6889210B1 (en) Method and system for managing security tiers
US7395436B1 (en) Methods, software programs, and systems for electronic information security
ES2881877T3 (es) Sistema y método para estándares de protocolos biométricos
USRE41546E1 (en) Method and system for managing security tiers
US6449651B1 (en) System and method for providing temporary remote access to a computer
US20070011749A1 (en) Secure clipboard function
US20070011469A1 (en) Secure local storage of files
US20070016771A1 (en) Maintaining security for file copy operations
US20070101400A1 (en) Method of providing secure access to computer resources
US20030110169A1 (en) System and method for providing manageability to security information for secured items
US20030217281A1 (en) System and method for imposing security on copies of secured items
US20050071657A1 (en) Method and system for securing digital assets using time-based security criteria
US20030177376A1 (en) Framework for maintaining information security in computer networks
CA2524849A1 (en) Method of providing secure access to computer resources
US8826457B2 (en) System for enterprise digital rights management
US8805741B2 (en) Classification-based digital rights management
Sridhar et al. A survey on cloud security issues and challenges with possible measures
RU2546585C2 (ru) Система и способ предоставления прав доступа приложениям к файлам компьютера
US8707034B1 (en) Method and system for using remote headers to secure electronic files
MXPA04007410A (es) Movimiento de principales a traves de limites de seguridad sin interrupcion de servicio.
US20070204167A1 (en) Method for serving a plurality of applications by a security token
RU2573785C2 (ru) Система и способ применения правил доступа к файлам при их передаче между компьютерами
Sagar et al. Information security: safeguarding resources and building trust