RU2279186C2 - Система и способ использования безопасности, присущей защищенному коммуникационному каналу, для обеспечения безопасности незащищенного коммуникационного канала - Google Patents

Система и способ использования безопасности, присущей защищенному коммуникационному каналу, для обеспечения безопасности незащищенного коммуникационного канала Download PDF

Info

Publication number
RU2279186C2
RU2279186C2 RU2003113206/09A RU2003113206A RU2279186C2 RU 2279186 C2 RU2279186 C2 RU 2279186C2 RU 2003113206/09 A RU2003113206/09 A RU 2003113206/09A RU 2003113206 A RU2003113206 A RU 2003113206A RU 2279186 C2 RU2279186 C2 RU 2279186C2
Authority
RU
Russia
Prior art keywords
specified
client
application
server
application server
Prior art date
Application number
RU2003113206/09A
Other languages
English (en)
Other versions
RU2003113206A (ru
Inventor
Андре КРАМЕР (GB)
Андре КРАМЕР
Уилл ХАРВУД (GB)
Уилл ХАРВУД
Original Assignee
Ситрикс Системз, Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ситрикс Системз, Инк. filed Critical Ситрикс Системз, Инк.
Publication of RU2003113206A publication Critical patent/RU2003113206A/ru
Application granted granted Critical
Publication of RU2279186C2 publication Critical patent/RU2279186C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/085Payment architectures involving remote charge determination or related payment systems
    • G06Q20/0855Payment architectures involving remote charge determination or related payment systems involving a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Computer And Data Communications (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Изобретение относится к системе и способу формирования защищенного коммуникационного канала между клиентом и сервером приложений. Техническим результатом является повышение защищенности доступа к компьютерным приложениям. Согласно способу служба выдачи разрешений генерирует разрешение, содержащее идентификатор и сеансовый ключ. Коммуникационное устройство получает это разрешение от службы выдачи разрешений и передает его клиенту по защищенному коммуникационному каналу. Клиент передает идентификатор, входящий в состав разрешения, серверу приложений по каналу коммуникации приложений. Затем сервер приложений получает от службы выдачи разрешений копию сеансового ключа, входящего в состав разрешения. После этого сообщения, которыми обмениваются клиент и сервер приложений, шифруются с использованием сеансового ключа для того, чтобы сформировать защищенный коммуникационный канал на основе канала коммуникации приложений. Система реализует действия способа. 6 н. и 82 з.п. ф-лы, 2 ил.

Description

Область техники, к которой относится изобретение
Настоящее изобретение относится к компьютерным сетям типа клиент-сервер. Более конкретно, оно относится к системе и способу безопасного (защищенного) доступа к программным приложениям (прикладным программам) с использованием протокола RDP (Remote Display Protocol).
Уровень техники
Доступ к прикладным программам, которые должны отображаться на удаленном компьютере-клиенте (т.е. у пользователя), обычно осуществляется в рамках сеанса работы с терминалом в графическом или оконном режиме. Когда пользователь запрашивает исполнение прикладной программы с компьютера-клиента, эта программа обычно исполняется на сервере, причем входная информация (например, вводимая с помощью мыши или клавиатуры), а также отображаемая информация обычно передаются с компьютера-сервера на компьютер-клиент. Графические или оконные сеансы работы с терминалом часто используют неаутентифицированное соединение между клиентом и сервером, причем пользователь сообщает свой пароль серверу.
Такой режим проведения сеансов работы с терминалом обладает рядом недостатков. Например, передаваемая на неаутентифицированный сервер информация, в частности пароль, делает возможным доступ к этой информации со стороны сервера, который не пользуется доверием клиента. Кроме того, незащищенный канал связи позволяет третьему лицу перехватить пароль пользователя для последующего использования.
Чтобы избежать этих проблем, клиент и сервер обычно аутентифицируют (верифицируют) друг друга, используя различные криптографические методы, как это описано, например, в патентных документах US 5706349, 1998 и WO 9838762, 1998. Одним из криптографических методов, используемых в сетях, является аутентификация, основанная на использовании так называемых "разрешений" (tickets). В большинстве подобных схем аутентификации производится передача разрешения, которое в типичном случае может быть одноразовым, может содержать ключ шифрования, предназначенный для будущего использования. Альтернативно или дополнительно разрешение может содержать секретный пароль для поддержки будущих коммуникаций. Когда и клиент, и сервер располагают ключом шифрования, между ними может осуществляться безопасная (защищенная) коммуникация. Способ и коммуникационная система для формирования защищенного коммуникационного канала между клиентом и сервером приложений, которые осуществляются с использованием подобных разрешений (в дополнение к традиционным средством идентификации и сертификации), могут рассматриваться в качестве ближайших аналогов настоящего изобретения, описаны в документе WO 9935783, H 04 L 9/30, 15.07.1999.
Однако существующие схемы аутентификации, основанные на применении разрешений, имеют несколько ограничений.
Во-первых, в типичном случае разрешение передается клиенту по незащищенному коммуникационному каналу, что позволяет оператору перехвата сообщений перехватить разрешение и извлечь ключ шифрования. Используя ключ шифрования, оператор перехвата сообщений может выступать в качестве сервера по отношению к клиенту или в качестве клиента по отношению к серверу. Во-вторых, существующие схемы не используют преимуществ защищенных веб-страниц. В частности, современные схемы верификации с применением разрешений делают трансакции через Интернет, такие как покупки, небезопасными, поскольку конфиденциальная информация, например данные о кредитной карте покупателя, может быть передана на неаутентифицированный сервер. В-третьих, прикладные программы, исполняемые на сервере, обычно передаются для отображения на дисплее компьютера-клиента в рамках соответствующего протокола по незащищенному коммуникационному каналу. Так, сети могут быть основаны на серверах специализированных приложений (таких как серверы Metaframe for Windows, выпускаемые заявителем настоящего изобретения), предназначенных для выполнения определенных программ, которые в типичном случае передаются на удаленный дисплей по незащищенному коммуникационному каналу. В-четвертых, хотя в типичном случае разрешение может быть использовано только один раз (т.е. является "одноразовым") и после своего первого использования не представляет никакой ценности, такое одноразовое разрешение не защищает пароль пользователя (который используется в качества регистрационного имени (login) при входе в операционную систему или в приложение) от перехвата при первой передаче разрешения. Как следствие, пароль пользователя оказывается не полностью защищенным от перехвата, так что сервер не может рассматриваться клиентом как аутентифицированный.
Раскрытие изобретения
Настоящее изобретение предлагает систему и способ формирования защищенного коммуникационного канала между клиентом и сервером приложений. Служба выдачи разрешений генерирует разрешение, содержащее идентификатор и сеансовый ключ. Коммуникационное устройство получает разрешение от службы выдачи разрешений и передает его клиенту по защищенному коммуникационному каналу. Клиент передает идентификатор серверу приложений по каналу коммуникации приложений. После этого сервер приложений получает от службы выдачи разрешений копию сеансового ключа, входящего в состав разрешения. Сообщения, которыми после этого обмениваются клиент и сервер приложений по каналу коммуникации приложений, шифруются с использованием сеансового ключа. В результате на основе канала коммуникации приложений формируется защищенный коммуникационный канал.
В соответствии с одним из вариантов осуществления изобретения веб-браузер, используемый клиентом, устанавливает соединение с веб-сервером через защищенный глобальный коммуникационный канал. Клиент получает от веб-сервера по защищенному глобальному коммуникационному каналу разрешение, содержащее идентификатор и сеансовый ключ. После этого клиент передает серверу приложений по каналу коммуникации приложений идентификатор, входящий в состав разрешения, снабжая тем самым сервер приложений информацией, необходимой для получения копии сеансового ключа.
В соответствии с одним из своих аспектов изобретение охватывает способ формирования защищенного коммуникационного канала между клиентом и сервером приложений. Согласно данному способу клиент получает от веб-сервера по защищенному глобальному коммуникационному каналу разрешение, содержащее идентификатор и сеансовый ключ. После этого клиент передает серверу приложений по каналу коммуникации приложений идентификатор, входящий в состав разрешения, снабжая тем самым сервер приложений информацией, необходимой для получения копии сеансового ключа. Клиент формирует защищенный коммуникационный канал на основе канала коммуникации приложений путем использования сеансового ключа для шифрования и дешифрования сообщений, соответственно посылаемых на сервер приложений и получаемых от него. Идентификатор является одноразовым. В одном из вариантов для формирования защищенного коммуникационного канала клиент и веб-сервер используют SSL-технологию.
В другом своем аспекте изобретение охватывает коммуникационную систему, которая формирует защищенный коммуникационный канал. В состав системы входят клиент, сервер приложений, коммуникационное устройство и служба выдачи разрешений. Служба выдачи разрешений выполнена с возможностью генерирования разрешения, содержащего идентификатор и сеансовый ключ. Коммуникационное устройство связано со службой выдачи разрешений для получения от нее указанного разрешения. Клиент связан с коммуникационным устройством через защищенный коммуникационный канал для получения по этому каналу разрешения от коммуникационного устройства. Сервер приложений и клиент выполнены с возможностью обмена сообщениями через указанный канал коммуникации приложений, функционирующий в качестве защищенного коммуникационного канала. В одном из вариантов служба выдачи разрешений локализована в коммуникационном устройстве. В другом варианте коммуникационное устройство представляет собой веб-сервер.
Краткое описание чертежей
Рассмотренные аспекты изобретения и его многочисленные преимущества станут более понятными из прилагаемых чертежей, на которых представлен предпочтительный вариант выполнения системы по настоящему изобретению.
Фиг.1 - это блок-схема одного из вариантов коммуникационной системы, обеспечивающей защищенную связь между клиентом и сервером приложений в соответствии с изобретением.
Фиг.2 представляет собой схему, иллюстрирующую вариант коммуникаций, осуществляемых коммуникационной системой по фиг.1 с целью установления защищенной связи между клиентом и сервером приложений.
Осуществление изобретения
На фиг.1 приведена блок-схема одного из вариантов коммуникационной системы 100, в состав которой входит клиент 10, осуществляющий по каналу 25 коммуникации приложений коммуникацию с сервером 15 приложений и по коммуникационному каналу 30 коммуникацию с коммуникационным устройством 20. Коммуникационный канал 30 и канал 25 коммуникации приложений реализуются через сеть 27. В других вариантах осуществления коммуникационный канал 30 и канал 25 коммуникации приложений реализуются через различные сети. Например, коммуникационный канал 30 может проходить через Всемирную паутину (WWW), a канал 25 коммуникации приложений - через другую сеть (например, на основе прямого соединения через модем). Коммуникационный канал 30 является защищенным, поскольку передаваемые по нему сообщения шифруются. Сервер 15 приложений дополнительно связан с коммуникационным устройством 20 через серверный коммуникационный канал 35. Сервер 15 приложений и коммуникационное устройство 20 являются частями серверной сети 33. Используя защищенность защищенного коммуникационного канала 30, коммуникационная система 100 организует защищенную связь по незащищенному каналу 25 коммуникации приложений для того, чтобы безопасно отображать приложения на удаленном дисплее клиента 10.
Сеть 27 и серверная сеть 33 могут представлять собой локальную сеть (LAN) или более крупную (глобальную) сеть (WAN), или же сеть, состоящую из множества сетей (такую как Интернет или Глобальная паутина). Коммуникационный канал 30 может представлять собой любой защищенный коммуникационный канал. В одном из вариантов изобретения коммуникационный канал 30 осуществляет коммуникацию через глобальную сеть (т.е. является глобальным коммуникационным каналом). В одном из вариантов серверная сеть 33 представляет собой защищенную сеть, т.е. не имеет открытого доступа. Серверный коммуникационный канал 35 проходит через серверную коммуникационную сеть 33 и, следовательно, сам по себе может являться незащищенным коммуникационным каналом. В качестве вариантов выполнения коммуникационных каналов 25, 30 и 35 могут быть названы стандартные телефонные каналы локальных или глобальных сетей (LAN, WAN), в частности каналы Т1, Т3, 56kb, X.25, а также широкополосные линии (ISDN, Frame Relay, ATM), а также линии беспроводной связи. Связь через коммуникационные каналы 25, 30, 35 может осуществляться с использованием широкого набора протоколов (например, HTTP, TCP/IP, IPX, SPX, NetBIOS, Ethernet, RS232 и прямые асинхронные соединения).
Клиент 10 может представлять собой любой персональный компьютер (включая 286, 386, 486, Pentium, Pentium II, Macintosh), терминал на базе системы Windows, сетевой компьютер (Network Computer), беспроводное устройство (например, мобильный телефон), информационную приставку, персональный компьютер на базе процессора RISC Power, Х-устройство (X-device), рабочую станцию, мини-компьютер, большую ЭВМ, компьютеризованную записную книжку или любое другое коммуникационное устройство, способное осуществлять коммуникацию через защищенный коммуникационный канал 30. В одном из вариантов клиент 10 функционирует в соответствии с моделью клиент/сервер. В рамках данной модели выполнение приложений (прикладных программ) происходит полностью на сервере 15 приложений, а пользовательский интерфейс и информация, задаваемая нажатием клавиш или движением мыши, передается клиенту 10 по коммуникационному каналу 25 приложений. Пользовательский интерфейс может работать в текстовом режиме (например, в DOS) или в графическом режиме (например, в Windows). Платформы, которые могут быть применены в составе клиента, включают DOS и Windows СЕ для терминалов, работающих в системе Windows.
Согласно одному из вариантов в составе 10 имеется веб-браузер 40, такой как Internet Explorer™, разработанный фирмой Microsoft Corporation, для того, чтобы обеспечить подключение к глобальной сети. В другом варианте веб-браузер 40 использует протокол SSL (Secure Socket Layer), разработанный фирмой Netscape, для того, чтобы организовать защищенный коммуникационный канал 30 к коммуникационному устройству 20 через глобальную сеть.
Веб-браузер 40 включает в себя также пользовательский интерфейс с текстовым или графическим драйвером. Выходная информация от приложения, выполняемого на сервере 15 приложений, может отображаться у клиента 10 с помощью пользовательского интерфейса клиента 10 или пользовательского интерфейса веб-браузера 40. Кроме того, в состав клиента 10 входит также клиент 41 приложений для создания коммуникации и обмена информацией с сервером 15 приложений по коммуникационному каналу 25 приложений. Согласно одному из вариантов клиент 41 приложений относится к типу клиентов с архитектурой ICA (Independent Computing Architecture), разработанных заявителем настоящего изобретения (и далее обозначаемых, как ICA-клиенты). Другие варианты реализации клиента 41 приложений могут быть основаны на протоколе RDP (Remote Display Protocol), разработанном фирмой Microsoft Corporation, X-Windows (разработка института Massachusetts Institute of Technology, США), на клиенте ввода данных в традиционном приложении клиент/сервер или на Java-апплете.
Сервер 15 приложений является хостом для одного или более программных приложений (прикладных программ), к которым может иметь доступ клиент 10. Прикладные программы, которые являются доступными клиенту 10, обычно называются опубликованными приложениями. В качестве примеров таких приложений можно назвать программы обработки текстов, например MICROSOFT WORD®, и электронные таблицы, например MICROSOFT EXCEL®, разработанные фирмой Microsoft Corporation, программы финансовой отчетности, программы регистрации пользователей, программы, представляющие информацию по технической поддержке, базы данных для обслуживания пользователей, а также менеджеры приложений. В другом варианте сервер 15 приложений является членом серверной фермы (не изображена), которая представляет собой группу серверов, управляемую как единое целое.
В соответствии с одним из вариантов осуществления изобретения коммуникационное устройство 20 (в качестве которого далее рассматривается веб-сервер 20) является компьютером, который посылает веб-страницы клиенту 10. В других вариантах коммуникационным устройством 20 может служить любой персональный компьютер (включая 286, 386, 486, Pentium, Pentium II, Macintosh), терминал на базе системы Windows, сетевой компьютер (Network Computer), беспроводное устройство (например, мобильный телефон), информационная приставка, персональный компьютер на базе процессора RISC Power, Х-устройство (X-device), рабочая станция, мини-компьютер, большая ЭВМ, компьютеризованная записная книжка или любое другое коммуникационное устройство, способное организовать защищенный коммуникационный канал 30 с клиентом 10 через глобальную сеть.
В одном из вариантов веб-сервер 20 включает в себя также службу 60 выдачи разрешений (на фиг.1 и 2 для обозначения термина "разрешение" используется символ "Р"). Служба 60 выдачи разрешений контролирует защищенность коммуникации. Эта служба 60 генерирует разрешение, содержащее ключ шифрования. Разрешение передается клиенту 10 (т.е. веб-браузеру 40) по защищенному глобальному коммуникационному каналу 30. Передача разрешения клиенту 10 по защищенному глобальному коммуникационному каналу 30 облегчает осуществление защищенной коммуникации по коммуникационному каналу 25 коммуникации приложений между клиентом 10 и сервером 15 приложений в соответствии с принципами настоящего изобретения. В другом варианте служба 60' выдачи разрешений локализована на другом сервере 20'. При этом обеспечивается коммуникация между сервером 20' (и службой 60' выдачи разрешений) и сервером 15 приложений по серверному коммуникационному каналу 35'.
Согласно еще одному варианту служба 60 выдачи разрешений является отдельным (не изображенным) компонентом серверной сети 33. В этом случае веб-браузер 40 передает разрешение ICA-клиенту 41. Метод, который часто используется для того, чтобы передать данные от приложений, исполняемых на сервере 15 приложений по защищенной линии связи клиенту 10, заключается в том, чтобы передавать эти данные клиенту 10 через веб-сервер 20 по защищенной линии, соединяющей клиента 10 и веб-сервер 20. Данный метод неэффективен, потому что в коммуникации между сервером 15 приложений и клиентом 10 участвует дополнительный компонент, а именно веб-сервер 20. Настоящее изобретение предусматривает использование разрешений для осуществления защищенной связи непосредственно между сервером 15 приложений и клиентом 10, т.е. исключает промежуточную передачу данных, связанных с приложением, от сервера 15 приложений к веб-серверу 20.
Пользователь, пользующийся клиентом и желающий отобразить на удаленном дисплее клиента 10, например, какое-либо приложение или рабочий стол сервера, сначала устанавливает соединение 32 с веб-сервером 20 через глобальный коммуникационный канал 30 и передает свое регистрационное имя и пароль на веб-сервер 20. В одном из вариантов пользователь использует веб-браузер 40 клиента для того, чтобы запросить у веб-сервера 20 приложение, которое представлено на веб-странице, отображаемой веб-браузером 40.
Согласно следующему варианту веб-браузер 40 использует протокол SSL для создания защищенного коммуникационного канала 30. С этой целью веб-браузер 40 или приложение, исполняемое у клиента 10, пытается установить соединение с защищенной веб-страницей на веб-сервере 20. В ответ веб-сервер 20 подтверждает клиенту 10 идентификацию веб-сервера путем отправки клиенту 10 защищенного сертификата веб-сервера. Этот сертификат выдается веб-серверу центром выдачи сертификатов (СА, Certification Authority). Список надежных СА, например, в форме их публичных (открытых) ключей включен в программное обеспечение веб-браузера 40. Клиент 10 производит проверку сертификата веб-сервера путем дешифрования подписи СА, входящей в сертификат веб-сервера, используя публичный ключ СА, встроенный в веб-браузер 40 (или в приложение).
Таким образом, для того, чтобы организовать защищенный коммуникационный канал с использованием SSL, до того, как будет осуществлена попытка установить соединение с защищенной веб-страницей, веб-браузер 40 или приложение, исполняемое у клиента 10, должны располагать публичным ключом СА, встроенным в их программное обеспечение. В качестве альтернативы применению протокола SSL для организации защищенного глобального коммуникационного канала 30 веб-браузер 40 может связаться с веб-сервером 20 по глобальному коммуникационному каналу 30, используя другие протоколы защиты. Неисчерпывающий список таких протоколов включает Secure Hypertext Transfer Protocol (SHTTP), разработанный фирмой Terisa Systems (США), HTTP over SSL (HTTPS), Private Communication Technology (PCT), разработанный фирмой Microsoft Corporation, Secure Electronic Transfer (SET), разработанный американскими фирмами Visa International, Incorporated Mastercard International, Incorporated, и Secure-MIME (S/MIME), разработанный фирмой RSA Security (США).
После того, как соединение 32 установлено, веб-сервер 20 генерирует разрешение для сеанса коммуникации. У разрешения имеются первая часть и вторая часть. В соответствии с одним из вариантов первая часть, называемая также идентификатором сеанса (ИД сеанса), представляет собой случайное криптографическое число, которое может быть использовано в течение определенного периода времени, задаваемого веб-сервером 20. Вторая часть является ключом шифрования, который далее именуется "сеансовым ключом".
Веб-сервер 20 записывает разрешение в свою локальную память и затем передает (см. стрелку 34 на фиг.1) копию разрешения на веб-браузер 40 клиента 10.
В одном из вариантов разрешение содержит также дополнительную информацию, такую как сетевой адрес сервера 15 приложений. В другом варианте веб-сервер 20 отдельно передает клиенту 10 адрес сервера 15 приложений. Например, если клиент 10 запрашивает у веб-сервера 20 приложение с определенным именем, веб-сервер преобразует имя приложения в его сетевой адрес. Неисчерпывающий перечень дополнительных сведений, вносимых в разрешение, включает период времени, в течение которого разрешение является действительным; размер экрана для приложения, подлежащего отображению у клиента 10, пределы ширины полосы коммуникационного канала 30 и/или коммуникационного канала 25 приложений, а также биллинговую информацию. Как будет более подробно описано далее, веб-сервер 20, кроме того, ассоциирует регистрационные данные пользователя (например, его пароль) с разрешением, хранящимся в локальной памяти, для последующего извлечения этой информации сервером 15 приложений.
ICA-клиент 41 получает разрешение от веб-браузера 40 и затем передает (как это изображено стрелкой 42) ИД сеанса (т.е. первую часть разрешения) на сервер 15 приложений. ИД сеанса может передаваться в зашифрованном виде или открытым текстом. Сервер 15 приложений дешифрует ИД сеанса (если он был зашифрован) и передает запрос (как это обозначено стрелкой 44) на веб-сервер 20 для получения сеансового ключа, который соответствует ИД сеансу, полученному от клиента 10. Веб-сервер 20 верифицирует ИД сеанса, как это будет пояснено далее, и посылает (как это обозначено стрелкой 48) соответствующий сеансовый ключ серверу 15 приложений по серверному коммуникационному каналу 35.
Теперь и сервер 15 приложений, и клиент 10 (т.е. ICA-клиент 41) обладают копией сеансового ключа, хотя они не обращались за передачей разрешения или сеансового ключа по незащищенному каналу 25 коммуникации приложений. Благодаря использованию сеансового ключа для шифрования и дешифрования коммуникаций по ранее незащищенному каналу 25 коммуникации приложений клиент 10 и сервер 15 приложений осуществляют защищенную коммуникацию 50 через канал 25 коммуникации приложений. При этом не производится передачи регистрационной информации (например, пароля) от клиента 10 серверу 15 приложений по незащищенному каналу 25 коммуникации приложений. Таким образом, использование изобретения усиливает защищенность коммуникации 50 по незащищенному каналу 25 коммуникации приложений, поскольку не позволяет операторам перехвата сообщений, передаваемых по незащищенному каналу 25 коммуникации приложений, получить доступ к чувствительной информации, такой как пароль.
Кроме того, поскольку сервер 15 приложений и клиент 10 общаются с использованием одного и того же сеансового ключа, они совместно владеют секретом, который был передан им службой 60 выдачи разрешений. Служба 60 выдачи разрешений косвенным образом аутентифицирует сервер 15 приложений и клиента 10, т.е. подтверждает их подлинность. Тем самым сервер 15 приложений и клиент 10 осуществляют взаимную аутентификацию. В одном из вариантов клиент 10 снова передает пароль пользователя через глобальный коммуникационный канал 30 на веб-сервер 20 для того, чтобы достичь совместимости с системами обеспечения преемственности данных (например, с немодифицированной регистрационной последовательностью операционной системы на веб-сервере 20, которая требует от клиента 10 многократно передать пароль пользователя).
На фиг.2 более подробно проиллюстрированы варианты способа, осуществляемого коммуникационной системой 100 для установления защищенной коммуникации 50 по каналу 25 коммуникации приложений между клиентом 10 и сервером 15 приложений. На шаге 200 веб-браузер 40 отображает на веб-странице, которую видит пользователь клиентом 10, список сетевых контактов (адресов) программных приложений или рабочих столов серверов. Пользователь клиентом 10 с помощью веб-браузера 40 запрашивает (шаг 205) программное приложение у веб-сервера 20. Согласно одному из вариантов веб-браузер 40 организует защищенный глобальный коммуникационный канал 30, используя описанный ранее протокол SSL. В этом варианте клиент 10 (в частности, его веб-браузер 40) аутентифицирует веб-сервер 20, используя сертификат публичного ключа (например, Х509). В модифицированном варианте клиент 10 также аутентифицируется перед веб-сервером 20 с помощью сертификата публичного ключа.
Согласно другому варианту веб-сервер 20 аутентифицирует пользователя, когда пользователь использует веб-браузер 40 для запроса приложения от веб-сервера 20. Например, веб-сервер 20 требует от пользователя его регистрационное имя и пароль, причем это требование отображается на веб-браузере 40. Пользователь сообщает (шаг 210) свои регистрационные данные веб-браузеру 40. После этого веб-браузер 40 передает (на шаге 220) регистрационное имя пользователя и его пароль веб-серверу 20 по защищенному глобальному коммуникационному каналу 30. В другом варианте регистрационными данными пользователя являются любой код или метод, который веб-сервер 20 готов принять для идентификации учетной записи пользователя на веб-сервере 20.
Веб-сервер 20 передает (шаг 230) регистрационные данные пользователя службе 60 выдачи разрешений. Служба 60 верифицирует (на шаге 240) регистрационные данные пользователя и определяет, имеет ли пользователь право на запрашиваемое приложение. В зависимости от объявленной политики по обеспечению безопасности для данного приложения служба 60 выдачи разрешений либо разрешает, либо запрещает пользователю доступ к приложению. Если служба 60 выдачи разрешений отказала в доступе, веб-браузер 40 отображает у клиента 10 сообщение об ошибке в формате HTML или в виде соответствующей веб-страницы. Если же служба 60 выдачи разрешений разрешает доступ к запрошенному приложению, она генерирует (шаг 245) разрешение сеанса и передает (на шаге 259) разрешение веб-серверу 20.
Как было описано ранее, разрешение содержит ИД сеанса и сеансовый ключ. ИД сеанса может быть использован один раз в течение определенного периода времени, т.е. он делает разрешение "одноразовым", не имеющим никакой ценности после его первого использования. Веб-сервер 20 записывает (шаг 253) разрешение в локальную память. В модифицированном варианте веб-сервер 20 ассоциирует регистрационные данные, сообщенные пользователем на шаге 210, и другую информацию, относящуюся к обеспечению безопасности и используемую для выдачи разрешения на сеанс (например, имя приложения), с сохраненным разрешением для последующего извлечения сервером 15 приложений.
Затем веб-сервер 20 передает (шаг 255) разрешение клиенту 10 через защищенный глобальный коммуникационный канал 30.
Веб-браузер 40 извлекает (шаг 260) из разрешения ИД сеанса и представляет его (шаг 265) серверу 15 приложений. Сервер 15 приложений проверяет ИД сеанса, чтобы удостовериться, что данный ИД сеанса не был уже использован тем же клиентом 10. В соответствии с одним из вариантов сервер 15 приложений осуществляет мониторинг каждого разрешения (т.е. хранит в локальной памяти соответствующий ИД сеанса), который передает на этот сервер клиент 10. В другом варианте проверку ИД сеанса для того, чтобы удостовериться, что данный ИД сеанса не был уже использован тем же клиентом 10, осуществляет служба 60 выдачи разрешений. Еще в одном варианте служба 60 выдачи разрешений осуществляет мониторинг разрешения, который она передает веб-серверу 20 для того, чтобы удостовериться, что каждый ИД сеанса передается в службу 60 выдачи разрешений только один раз.
После этого сервер 15 приложений использует ИД сеанса для того, чтобы определить сеансовый ключ, ассоциированный с этим ИД сеанса. Для этого сервер 15 приложений посылает ИД сеанса в службу 60 выдачи разрешений и запрашивает (шаг 270) у службы 60 выдачи разрешений веб-сервера 20 сеансовый ключ в ответ на ИД сеанса. Служба 60 выдачи разрешений обращается к локальной памяти и использует полученный ИД сеанса в качестве поискового предписания для обнаружения ассоциированной с ним информации о разрешении. После этого служба 60 выдачи разрешений возвращает (шаг 280) сеансовый ключ с ИД сеанса серверу 15 приложений.
Для того чтобы оптимизировать коммуникацию между сервером 15 приложений и веб-сервером 20, согласно альтернативному варианту изобретения веб-сервер 20 передает (на шаге 266, изображенном штриховой линией) серверу 15 приложений дополнительную информацию (например, имя запрашиваемого приложения, регистрационные данные пользователя), которая ранее (на шаге 255) была ассоциирована с разрешением.
Сервер 15 приложений извлекает (шаг 267, изображенный штриховой линией) дополнительную информацию, связанную с разрешением, и на основании этой информации дает разрешение на сеанс связи. Эта дополнительная информация, такая как пароль пользователя и/или имя запрошенного приложения, не была передана серверу 15 приложений клиентом 10 через незащищенный канал 25 коммуникации приложений, т.е. эта информация была защищена от потенциального перехвата. Согласно данному варианту сервер 15 приложений верифицирует дополнительную информацию (шаг 268, изображенный штриховой линией). Если дополнительная информация не верифицирована, сервер 15 приложений отказывает пользователю в доступе к запрошенному приложению (шаг 269, изображенный штриховой линией). Если дополнительная информация верифицирована, сервер 15 приложений разрешает доступ к запрошенному приложению и, как это было описано ранее, запрашивает (на шаге 270) сеансовый ключ у службы 60 выдачи разрешений.
В другом варианте служба 60 выдачи разрешений производит дополнительные проверки ИД сеанса. Например, служба 60 выдачи разрешений проводит проверки ИД сеанса с целью раннего обнаружения его повторного использования (т.е. проверки того, что ИД сеанса не передавался ранее в службу 60 выдачи разрешений) и/или атак класса DoS (Denial of Service), состоящих в перегрузке и последующем выводе из строя удаленного сервера посылкой большого количества нелегитимных пакетов данных. Еще в одном варианте веб-сервер 20 посылает первую и вторую часть разрешения на сервер 15 приложений до того, как сервер 15 приложений запросит их (шаг 270). В этом случае шаг 270 может быть исключен. Согласно данному варианту сервер 15 приложений сохраняет сеансовый ключ в своей локальной памяти и извлекает из нее этот сеансовый ключ после того, как клиент 10 представит серверу 15 приложений (на шаге 265) ИД сеанса.
После того, как сервер 15 приложений получит (на шаге 280) сеансовый ключ, он использует этот ключ для шифрования сообщений клиенту 10 и для дешифрования сообщений от клиента 10, передаваемых по каналу 25 коммуникации приложений. Аналогичным образом клиент 10 использует сеансовый ключ, извлеченный из разрешения, которое было передано ему по защищенному глобальному коммуникационному каналу 30, для дешифрования сообщений от сервера 15 приложений. Поскольку клиент 10 и сервер 15 приложений используют сеансовый ключ для шифрования и дешифрования сообщений, передаваемых по каналу 25 коммуникации приложений, они тем самым обеспечивают защищенную коммуникацию 50 через канал 25 коммуникации приложений, который до этого был незащищенным каналом. Кроме того, безопасность коммуникации 50 через канал 25 коммуникации приложений повышается благодаря тому, что клиент 10 и сервер 15 приложений получают сеансовый ключ без передачи разрешения по незащищенному каналу 25 коммуникации приложений (т.е. без потенциального раскрытия содержания разрешения третьим лицам).
В одном из вариантов канал 25 коммуникации приложений становится защищенным каналом с помощью протокола SSL. В этом варианте служба 60 выдачи разрешений заменяет сеансовый ключ в составе разрешения сертификатом сервера приложений. Клиент 10 использует сертификат сервера приложений для того, чтобы организовать коммуникацию с сервером 15 приложений. Сертификат сервера приложений передается клиенту 10 по глобальному коммуникационному каналу 30 в ответ на запрос разрешения.
В результате передачи сертификата сервера приложений клиенту 10 по защищенной линии (т.е. глобальному коммуникационному каналу 30) этот сертификат не должен быть подписан хорошо известным центром выдачи сертификатов (СА). Хотя клиент 10 не получил заранее сертификат или ключ СА, при использовании сертификата сервера приложений, включенного в разрешение, обеспечивается аутентифицированное безопасное соединение по каналу 25 коммуникации приложений.
Так, если клиент запрашивает какой-либо другой SSL-компонент (например, отдельный вариант или реализацию затребованного программного приложения), но не имеет сертификата в своей локальной памяти (т.е. в базе данных, на локальном диске, в постоянном или оперативном запоминающем устройстве), клиент 10 может использовать сертификат сервера приложений, переданный ему в составе разрешения для того, чтобы установить аутентифицированное безопасное соединение по каналу 25 коммуникации приложений. В частности, клиент 10 использует сертификат сервера приложений, полученный в составе разрешения, когда в его локальной памяти отсутствует базовый сертификат СА, ассоциированный с запрашиваемым SSL-компонентом (или когда клиент 10 располагает неполным перечнем сертификатов СА, в котором отсутствует сертификат СА для запрашиваемого SSL-компонента), причем клиент 10 не может получить доступ к базе данных СА веб-браузера 40. Кроме того, поскольку подписанный сертификат СА необходим для веб-сервера 20, но не требуется серверу 15 приложений (например, каждому серверу 15 приложений, который является членом серверной фермы), сокращаются затраты (включая накладные расходы), связанные с получением требуемого количества подписанных сертификатов СА для осуществления защищенной связи. В другом варианте сервер 15 приложений хранит секретный (приватный) ключ для дешифрования сообщений, которые зашифрованы соответствующим публичным ключом. Служба 60 выдачи разрешений затем посылает соответствующий публичный ключ сервера 15 приложений клиенту 10 для дешифрования сообщений.
В данном варианте ИД сеанса имеет дополнительную полезность, поскольку он гарантирует, что клиент 10 может получить доступ к запрошенному приложению, причем только однократный доступ, поскольку служба 60 выдачи разрешений (или веб-сервер 20) осуществляет мониторинг разрешения (т.е. ИД сеанса). Более того, если сервер 15 приложений и клиент 10 используют различные сеансовые ключи для шифрования и дешифрования коммуникаций через канал 25 коммуникации приложений, оператор перехвата не может модифицировать ИД сеанса, переданный клиентом 10 серверу 15 приложений. Действительно, ИД сеанса и криптографическая контрольная сумма в этом случае не соответствуют контрольной сумме, ожидаемой сервером 15 приложений (например, в рамках проверки целостности данных). Как следствие, клиент 10 и сервер 15 приложений могут обнаружить ситуацию использования различных сеансовых ключей сервером 15 приложений и клиентом 10, например, в случае атаки типа "вмешательство во взаимодействие" ("man-in-the-middle") для шифрования и дешифрования сообщений, передаваемых по каналу 25 коммуникации приложений.
В соответствии с еще одним вариантом сеансовый ключ, по существу, эквивалентен нулевому значению (т.е. разрешение содержит только одноразовый идентификатор или одноразовый идентификатор и постоянное значение в качестве сеансового ключа). Когда сеансовый ключ, по существу, эквивалентен нулевому значению, клиент 10 не передает регистрационные данные пользователя (например, пароль) на сервер 15 по незащищенному каналу 25 коммуникации приложений. Таким образом, поскольку разрешение выдается только на однократное использование и предоставляет доступ только к ранее верифицированному ресурсу (например, к ICA-клиенту 41), появляется возможность устранить внешний доступ к паролю при обеспечении индивидуального контроля за уровнем доступа к сеансу даже при нулевом или фиксированном значении сеансового ключа.
Далее, поскольку никакая информация не преконфигурируется в веб-браузер 40 или в клиент 10 для того, чтобы обеспечить дистанционное отображение запрошенного приложения (например, потому что клиенту не обязательно получать сертификат сервера или сертификат СА), способ по изобретению представляет собой решение с "нулевой инсталляцией" для обеспечения безопасного доступа к приложениям, предлагаемым на рабочих столах серверов глобальной сети. Кроме того, веб-браузер 40 может получать и разрешение, и ICA-клиента 41 от веб-сервера 20 по коммуникационному каналу 30. В этом варианте веб-сервер 20 передает, как это было описано выше, разрешение и документ в стандарте MIME, указывающий, что данные включают в себя "документ" для ICA-клиента 41 (в качестве приложения-помощи). Документ в стандарте MIME вызывает ICA-клиента 41, и веб-браузер 40 передает разрешение этому ICA-кпиенту 41. Тем самым обеспечивается возможность использования защищенности коммуникационного канала 30 для обеспечения безопасности канала 25 коммуникации приложений без предварительного инсталлирования ICA-клиента 41 в составе 10.
Из рассмотрения описанных выше вариантов осуществления изобретения для специалиста в данной области будет понятно, что могут быть реализованы и другие варианты изобретения. В связи с этим изобретение не должно быть ограничено конкретными вариантами его осуществления; объем его защиты должен определяться только прилагаемой формулой изобретения.

Claims (88)

1. Способ формирования защищенного коммуникационного канала между клиентом и сервером приложений, предусматривающий следующие операции:
(а) запрашивание клиентом у веб-сервера исполнения на сервере приложений приложения с передачей информации от указанного приложения, выполняемого на сервере приложений, клиенту,
(б) генерирование службой выдачи разрешений разрешения, содержащего идентификатор и сеансовый ключ,
(в) получение веб-сервером указанного разрешения от службы выдачи разрешений,
(г) передача веб-сервером указанного разрешения клиенту по защищенному коммуникационному каналу,
(д) передача клиентом идентификатора, входящего в состав указанного разрешения, серверу приложений,
(е) получение сервером приложений с использованием указанного идентификатора копии указанного сеансового ключа от службы выдачи разрешений,
(ж) формирование между клиентом и сервером приложений канала коммуникации приложений,
(з) исполнение сервером приложений приложения, указанного в запросе,
(и) передача сервером приложений информации от указанного приложения по каналу коммуникации приложений с использованием протокола удаленного отображения и
(к) шифрование с использованием указанного сеансового ключа указанной информации, передаваемой клиенту по каналу коммуникации приложений.
2. Способ по п.1, отличающийся тем, что указанное разрешение хранится на веб-сервере.
3. Способ по п.1, отличающийся тем, что операция (е) дополнительно предусматривает передачу сервером приложений указанного идентификатора веб-сервером по серверному коммутационному каналу.
4. Способ по п.3, отличающийся тем, что дополнительно предусматривает получение сервером приложений ответа на передачу веб-серверу указанного идентификатора, причем указанный ответ включает указанный сеансовый ключ.
5. Способ по п.3, отличающийся тем, что дополнительно предусматривает аттестацию указанного идентификатора веб-сервером.
6. Способ по п.5, отличающийся тем, что аттестация предусматривает подтверждение веб-сервером того, что указанный идентификатор получен веб-сервером в течение заданного временного интервала.
7. Способ по п.1, отличающийся тем, что указанный сеансовый ключ, по существу, эквивалентен нулевому значению.
8. Способ по п.7, отличающийся тем, что указанное нулевое значение является постоянным значением.
9. Способ по п.3, отличающийся тем, что включает формирование серверного коммуникационного канала в виде защищенного коммуникационного канала.
10. Способ по п.1, отличающийся тем, что идентификатор является одноразовым.
11. Способ по п.1, отличающийся тем, что идентификатор является сертификатом сервера приложений.
12. Способ по п.1, отличающийся тем, что операция (к) дополнительно включает дешифрирование сообщений от сервера приложений с использованием сеансового ключа.
13. Способ по п.1, отличающийся тем, что протокол удаленного отображения представляет собой протокол Independent Computing Architecture.
14. Способ по п.1, отличающийся тем, что протокол удаленного отображения представляет собой протокол Remote Display Protocol.
15. Способ формирования защищенного коммуникационного канала между клиентом и сервером приложений, предусматривающий следующие операции:
(а) запрашивание клиентом у веб-сервера исполнения на сервере приложений приложения с передачей информации от указанного приложения, выполняемого на сервере приложений,
(б) формирование защищенного глобального коммуникационного канала между веб-браузером, функционирующим в составе клиента, и веб-сервером,
(в) получение разрешения, содержащего идентификатор и сеансовый ключ, от указанного веб-сервера по указанному глобальному защищенному коммуникационному каналу,
(г) формирование канала коммутации приложений к серверу приложений,
(д) передача идентификатора, входящего в состав указанного разрешения, серверу приложений по каналу коммуникации приложений для того, чтобы снабдить сервер приложений информацией, необходимой для получения копии указанного сеансового ключа,
(е) получение информации от приложения, идентифированного в указанном запросе, от сервера приложений по каналу коммуникации приложений с использованием протокола удаленного отображения и
(ж) дешифрование указанной информации с использованием указанного сеансового ключа.
16. Способ по п.15, отличающийся тем, что разрешение генерируется службой выдачи разрешений.
17. Способ по п.16, отличающийся тем, что служба выдачи разрешений находится на веб-сервере.
18. Способ по п.15, отличающийся тем, что идентификатор является сертификатом сервера приложений.
19. Способ по п.15, отличающийся тем, что операция (б) дополнительно включает использование технологии Secure Socket Layer (SSL - технологии) для формирования защищенного глобального коммуникационного канала.
20. Способ по п.15, отличающийся тем, что операция (д) дополнительно включает передачу пароля на сервер приложений.
21. Способ по п.15, отличающийся тем, что указанный сеансовый ключ, по существу, эквивалентен нулевому значению.
22. Способ по п.15, отличающийся тем, что операция (ж) дополнительно включает шифрирование сообщений, направляемых на сервер приложений.
23. Способ по п.15, отличающийся тем, что протокол удаленного отображения представляет собой протокол Independent Computing Architecture.
24. Способ по п.15, отличающийся тем, что протокол удаленного отображения представляет собой протокол Remote Display Protocol.
25. Способ формирования защищенного коммуникационного канала между клиентом и сервером приложений, предусматривающий следующие операции:
(а) получение от веб-сервера запроса на исполнение в интересах клиента приложения и на передачу указанному клиенту информации от указанного приложения, выполняемого на указанном сервере приложений,
(б) получение идентификатора от указанного клиента,
(в) получение от сервера приложений копии сеансового ключа, ассоциированного с указанным идентификатором,
(г) формирование канала коммуникации приложений к клиенту,
(д) выполнение приложения, идентифицированного в указанном запросе,
(е) передача информации от указанного выполняемого приложения по каналу коммуникации приложений с использованием протокола удаленного отображения и
(ж) шифрование указанной информации с использованием сеансового ключа.
26. Способ по п.25, отличающийся тем, что операция (б) предусматривает получение от клиента одноразового идентификатора.
27. Способ по п.25, отличающийся тем, что разрешение генерируется службой выдачи разрешений.
28. Способ по п.25, отличающийся тем, что в качестве идентификатора используют сертификат сервера приложений.
29. Способ по п.25, отличающийся тем, что дополнительно предусматривает получение пароля от указанного клиента.
30. Способ по п.25, отличающийся тем, что разрешение генерируется службой выдачи разрешений.
31. Способ по п.25, отличающийся тем, что служба выдачи разрешений находится на веб-сервере.
32. Способ по п.25, отличающийся тем, что операция (в) дополнительно включает передачу сервером приложений указанного идентификатора веб-серверу по серверному коммуникационному каналу.
33. Способ по п.30, отличающийся тем, что сервер приложений получает ответ на передачу идентификатора веб-серверу, причем указанный ответ содержит указанный сеансовый ключ.
34. Способ по п.30, отличающийся тем, что веб-сервер производит аттестацию указанного идентификатора.
35. Способ по п.34, отличающийся тем, что аттестация предусматривает подтверждение веб-сервером того, что указанный идентификатор получен веб-сервером в течение заданного временного интервала.
36. Способ по п.25, отличающийся тем, что идентификатор является сертификатом сервера приложений.
37. Способ по п.25, отличающийся тем, что указанный сеансовый ключ, по существу, эквивалентен нулевому значению.
38. Способ по п.37, отличающийся тем, что указанное нулевое значение является постоянным значением.
39. Способ по п.25, отличающийся тем, что операция (ж) дополнительно включает дешифрование сообщений от указанного клиента.
40. Способ по п.25, отличающийся тем, что протокол удаленного отображения представляет собой протокол Independent Computing Architecture.
41. Способ по п.25, отличающийся тем, что протокол удаленного отображения представляет собой протокол Remote Display Protocol.
42. Коммуникационная система для формирования защищенного коммуникационного канала между клиентом и сервером приложений, содержащая
службу выдачи разрешений, генерирующую ассоциированное с клиентом разрешение, которое содержит идентификатор и сеансовый ключ,
веб-сервер, связанный со службой выдачи разрешений и выполненный с возможностью получения от клиента запроса на исполнение приложения на сервере приложений и от службы выдачи разрешений указанного разрешения и передачи разрешения клиенту по защищенному коммуникационному каналу, причем клиент выполнен с возможностью передачи идентификатора, содержащегося в разрешении, указанному серверу приложений, и сервер приложений, выполненный с возможностью получения, с использованием указанного идентификатора, копии сеансового ключа от службы выдачи разрешений, причем клиент и сервер приложений выполнены с возможностью формирования канала коммуникации приложений, при этом сервер приложений исполняет указанное приложение, идентифицированное в указанном запросе, и передает информацию от указанного выполняемого приложения по каналу коммуникации приложений с использованием протокола удаленного отображения,
клиент и сервер приложений выполнены с возможностью шифрования сообщений с использованием указанного сеансового ключа.
43. Система по п.42, отличающаяся тем, что служба выдачи разрешений локализована на веб-сервере.
44. Система по п.42, отличающаяся тем, что сервер приложений выполнен с возможностью передачи указанного идентификатора веб-серверу по серверному коммуникационному каналу.
45. Система по п.44, отличающаяся тем, что сервер приложений выполнен с возможностью запрашивания копии сеансового ключа в ответ на получение от клиента указанного идентификатора.
46. Система по п.45, отличающаяся тем, что веб-сервер выполнен с возможностью аттестации указанного идентификатора.
47. Система по п.46, отличающаяся тем, что аттестация предусматривает подтверждение веб-сервером того, что указанный идентификатор не был ранее получен от указанного сервера приложений.
48. Система по п.46, отличающаяся тем, что веб-сервер осуществляет аттестацию указанного идентификатора, если он получен веб-сервером в течение заданного временного интервала.
49. Система по п.47, отличающаяся тем, что веб-сервер выполнен с возможностью передачи указанного сеансового ключа серверу приложений по серверному коммуникационному каналу.
50. Система по п.44, отличающаяся тем, что серверный коммуникационный канал является защищенным коммуникационным каналом.
51. Система по п.44, отличающаяся тем, что веб-сервер выполнен с возможностью передачи дополнительной информации серверу приложений по серверному коммуникационному каналу.
52. Система по п.51, отличающаяся тем, что указанная дополнительная информация входит в состав разрешения и содержит регистрационные данные пользователя, работающего с указанным клиентом.
53. Система по п.52, отличающаяся тем, что указанная дополнительная информация дополнительно содержит имя приложения, выполняемого на сервере приложений.
54. Система по п.42, отличающаяся тем, что клиент выполнен с возможностью передачи пароля серверу приложений.
55. Система по п.42, отличающаяся тем, что служба выдачи разрешений выполнена с возможностью передачи серверу приложений информации, соответствующей, по меньшей мере, одному клиенту и пользователю, работающему с указанным клиентом.
56. Коммуникационная система для формирования защищенного коммуникационного канала между клиентом и сервером приложений, содержащая
веб-браузер, функционирующий в составе клиента и формирующий защищенный глобальный коммуникационный канал с веб-сервером,
причем веб-браузер выполнен с возможностью
передачи веб-серверу запроса на исполнение на сервере приложений приложения с передачей клиенту информации от указанного приложения, выполняемого на сервере приложений,
получения от веб-сервера разрешения, ассоциированного с клиентом и содержащего идентификатор и сеансовый ключ, и
передачи идентификатора, входящего в состав указанного разрешения, серверу приложений, и
клиент приложений, входящий в состав клиента, выполненный с возможностью формирования канала коммуникации приложений к указанному серверу приложений, принимающий информацию от приложения, идентифицированного в указанном запросе и выполняемого на сервере приложений, по каналу коммуникации приложений с использованием протокола удаленного отображения, и дешифрующий указанную информацию с использованием указанного сеансового ключа.
57. Система по п.56, отличающаяся тем, что веб-браузер получает дополнительную информацию от веб-сервера по защищенному глобальному коммуникационному каналу.
58. Система по п.57, отличающаяся тем, что указанная дополнительная информация содержит адрес сервера приложений.
59. Система по п.56, отличающаяся тем, что клиент приложений выполнен с возможностью передачи серверу приложений пароля пользователя, работающего с указанным клиентом.
60. Система по п.56, отличающаяся тем, что идентификатор является сертификатом сервера приложений.
61. Система по п.56, отличающаяся тем, что веб-браузер выполнен с возможностью использования SSL - технологии для формирования защищенного глобального коммуникационного канала.
62. Система по п.56, отличающаяся тем, что идентификатор является одноразовым.
63. Система по п.56, отличающаяся тем, что указанный сеансовый ключ, по существу, эквивалентен нулевому значению.
64. Система по п.63, отличающаяся тем, что указанное нулевое значение является постоянным значением.
65. Система по п.56, отличающаяся тем, что протокол удаленного отображения представляет собой протокол Independent Computing Architecture.
66. Система по п.56, отличающаяся тем, что протокол удаленного отображения представляет собой протокол Remote Display Protocol.
67. Система по п.56, отличающаяся тем, что клиент выполнен с возможностью шифрования сообщений, посылаемых серверу приложений, с использованием указанного сеансового ключа.
68. Коммуникационная система для формирования защищенного коммуникационного канала между клиентом и сервером приложений, содержащая
службу выдачи разрешений, генерирующую ассоциированное с клиентом разрешение, которое содержит идентификатор и сеансовый ключ,
веб-сервер, связанный со службой выдачи разрешений и выполненный с возможностью
получения от клиента запроса на исполнение для клиента приложения на сервере приложений и на передачу клиенту информации от указанного приложения и
передачи разрешения клиенту по защищенному глобальному коммуникационному каналу, и
сервер приложений, выполненный с возможностью
получения идентификатора, входящего в состав указанного разрешения, получения копии сеансового ключа от веб-сервера,
формирования канала коммуникации приложений к клиенту,
выполнения указанного приложения,
передачи информации от приложения, идентифицированного в указанном запросе, клиенту по каналу коммуникации приложений с использованием протокола удаленного отображения,
шифрования указанной информации с использованием указанного сеансового ключа.
69. Система по п.68, отличающаяся тем, что служба выдачи разрешений локализована на веб-сервере.
70. Система по п.68, отличающаяся тем, что сервер приложений выполнен с возможностью получения от веб-сервера копии сеансового ключа в ответ на получение от клиента указанного идентификатора.
71. Система по п.68, отличающаяся тем, что веб-сервер производит аттестацию указанного идентификатора.
72. Система по п.71, отличающаяся тем, что аттестация предусматривает подтверждение веб-сервером того, что указанный идентификатор не был ранее получен от указанного сервера приложений.
73. Система по п.71, отличающаяся тем, что аттестация предусматривает подтверждение веб-сервером того, что указанный идентификатор получен веб-сервером в течение заданного временного интервала.
74. Система по п.71, отличающаяся тем, что веб-сервер выполнен с возможностью передачи сеансового ключа серверу приложений по каналу коммуникации приложений в ответ на получение от сервера приложений указанного идентификатора.
75. Система по п.74, отличающаяся тем, что указанный канал коммуникации приложений является защищенным коммуникационным каналом.
76. Система по п.74, отличающаяся тем, что веб-сервер выполнен с возможностью передачи дополнительной информации серверу приложений по серверному коммуникационному каналу.
77. Система по п.76, отличающаяся тем, что указанная дополнительная информация входит в состав разрешения и содержит регистрационные данные пользователя, работающего с указанным клиентом.
78. Система по п.76, отличающаяся тем, что указанная дополнительная информация содержит имя приложения, выполняемого на сервере приложений.
79. Система по п.71, отличающаяся тем, что клиент выполнен с возможностью передачи пароля пользователя серверу приложений.
80. Система по п.71, отличающаяся тем, что служба выдачи разрешений выполнена с возможностью передачи серверу приложений информации, соответствующей, по меньшей мере, одному клиенту и пользователю, работающему с указанным клиентом.
81. Система по п.71, отличающаяся тем, что идентификатор является сертификатом сервера приложений.
82. Система по п.71, отличающаяся тем, что идентификатор является одноразовым.
83. Система по п.71, отличающаяся тем, что указанный сеансовый ключ, по существу, эквивалентен нулевому значению.
84. Система по п.83, отличающаяся тем, что указанное нулевое значение является постоянным значением.
85. Система по п.71, отличающаяся тем, что защищенный глобальный коммуникационный канал выполнен с использованием SSL-технологии.
86. Система по п.68, отличающаяся тем, что протокол удаленного отображения представляет собой протокол Independent Computing Architecture.
87. Система по п.68, отличающаяся тем, что протокол удаленного отображения представляет собой протокол Remote Display Protocol.
88. Система по п.68, отличающаяся тем, что сервер приложений выполнен с возможностью дешифрования сообщений от клиента с использованием указанного сеансового ключа.
RU2003113206/09A 2000-11-03 2001-11-02 Система и способ использования безопасности, присущей защищенному коммуникационному каналу, для обеспечения безопасности незащищенного коммуникационного канала RU2279186C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/706,117 US6986040B1 (en) 2000-11-03 2000-11-03 System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
US09/706,117 2000-11-03

Publications (2)

Publication Number Publication Date
RU2003113206A RU2003113206A (ru) 2004-11-10
RU2279186C2 true RU2279186C2 (ru) 2006-06-27

Family

ID=24836276

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2003113206/09A RU2279186C2 (ru) 2000-11-03 2001-11-02 Система и способ использования безопасности, присущей защищенному коммуникационному каналу, для обеспечения безопасности незащищенного коммуникационного канала

Country Status (11)

Country Link
US (2) US6986040B1 (ru)
EP (1) EP1332599B1 (ru)
JP (1) JP2004531914A (ru)
KR (1) KR100783208B1 (ru)
CN (1) CN100583871C (ru)
AU (2) AU2002235149B2 (ru)
CA (1) CA2427699C (ru)
HK (1) HK1054281A1 (ru)
IL (2) IL155698A0 (ru)
RU (1) RU2279186C2 (ru)
WO (1) WO2002044858A2 (ru)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2453917C1 (ru) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для оптимизации выполнения антивирусных задач в локальной сети
RU2454811C2 (ru) * 2007-11-08 2012-06-27 Чайна Ивнкомм Ко., Лтд. Способ аутентификации при одностороннем доступе
RU2480924C2 (ru) * 2007-05-07 2013-04-27 Спектатор Интеллекчуал Пропертиз Б.В. Система и способ для обмена данными между первой системой обработки данных и второй системой обработки данных через, по меньшей мере, частично общедоступную сеть связи
RU2502226C2 (ru) * 2009-07-06 2013-12-20 Интел Корпорейшн Способ и устройство получения ключа(ей) защиты
RU2518441C2 (ru) * 2008-05-28 2014-06-10 Майкрософт Корпорейшн Методики обеспечения и управления цифровым телефонным аппаратом для аутентификации с сетью
RU2524565C2 (ru) * 2010-02-26 2014-07-27 Хуавей Текнолоджиз Ко., Лтд. Система и способ защиты беспроводной передачи
RU2555227C2 (ru) * 2010-04-15 2015-07-10 Квэлкомм Инкорпорейтед Устройство и способ сигнализации об улучшенном контексте безопасности для сессионных ключей шифрования и целостности
US9084110B2 (en) 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
US9191812B2 (en) 2010-04-15 2015-11-17 Qualcomm Incorporated Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node
US9197669B2 (en) 2010-04-15 2015-11-24 Qualcomm Incorporated Apparatus and method for signaling enhanced security context for session encryption and integrity keys
RU2706866C1 (ru) * 2018-01-17 2019-11-21 изе Индифидюлле Зофтваре унд Электроник ГмбХ Способы, устройства, машиночитаемые носители и системы для установления сертифицированных соединений с терминалами в локальной сети
RU2735181C1 (ru) * 2017-11-22 2020-10-28 Сименс Акциенгезелльшафт Способ обработки запросов на обслуживание, который выполняется узлом поставщика услуг

Families Citing this family (173)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6928469B1 (en) * 1998-12-29 2005-08-09 Citrix Systems, Inc. Apparatus and method for determining a program neighborhood for a client node in a client-server network using markup language techniques
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US7117239B1 (en) 2000-07-28 2006-10-03 Axeda Corporation Reporting the state of an apparatus to a remote computer
US8225414B2 (en) * 2000-08-28 2012-07-17 Contentguard Holdings, Inc. Method and apparatus for identifying installed software and regulating access to content
US8108543B2 (en) * 2000-09-22 2012-01-31 Axeda Corporation Retrieving data from a server
US7185014B1 (en) 2000-09-22 2007-02-27 Axeda Corporation Retrieving data from a server
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US6986040B1 (en) * 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
EP2378733B1 (en) * 2000-11-10 2013-03-13 AOL Inc. Digital content distribution and subscription system
US7237257B1 (en) 2001-04-11 2007-06-26 Aol Llc Leveraging a persistent connection to access a secured service
EP1388126B1 (en) * 2001-05-17 2013-03-27 Nokia Corporation Remotely granting access to a smart environment
CA2404552C (en) * 2001-09-21 2008-12-09 Corel Corporation System and method for secure communication
US7254601B2 (en) 2001-12-20 2007-08-07 Questra Corporation Method and apparatus for managing intelligent assets in a distributed environment
US7707416B2 (en) 2002-02-01 2010-04-27 Novell, Inc. Authentication cache and authentication on demand in a distributed network environment
US8135843B2 (en) * 2002-03-22 2012-03-13 Citrix Systems, Inc. Methods and systems for providing access to an application
US7178149B2 (en) 2002-04-17 2007-02-13 Axeda Corporation XML scripting of soap commands
US7596804B2 (en) * 2002-07-02 2009-09-29 Aol Llc Seamless cross-site user authentication status detection and automatic login
GB0215911D0 (en) * 2002-07-10 2002-08-21 Hewlett Packard Co Method and apparatus for encrypting data
US9621538B2 (en) * 2002-07-10 2017-04-11 Hewlett-Packard Development Company, L.P. Secure resource access in a distributed environment
CA2394451C (en) * 2002-07-23 2007-11-27 E-Witness Inc. System, method and computer product for delivery and receipt of s/mime-encrypted data
US7360096B2 (en) * 2002-11-20 2008-04-15 Microsoft Corporation Securely processing client credentials used for Web-based access to resources
US7865931B1 (en) * 2002-11-25 2011-01-04 Accenture Global Services Limited Universal authorization and access control security measure for applications
US7461260B2 (en) * 2002-12-31 2008-12-02 Intel Corporation Methods and apparatus for finding a shared secret without compromising non-shared secrets
US7966418B2 (en) 2003-02-21 2011-06-21 Axeda Corporation Establishing a virtual tunnel between two computer programs
US7437562B2 (en) * 2003-04-01 2008-10-14 Oracle International Corporation Method and apparatus for digitally signing electronic mail that originates from a browser
US20050021976A1 (en) * 2003-06-23 2005-01-27 Nokia Corporation Systems and methods for controlling access to an event
US7660845B2 (en) 2003-08-01 2010-02-09 Sentillion, Inc. Methods and apparatus for verifying context participants in a context management system in a networked environment
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US7568098B2 (en) * 2003-12-02 2009-07-28 Microsoft Corporation Systems and methods for enhancing security of communication over a public network
JP4587158B2 (ja) * 2004-01-30 2010-11-24 キヤノン株式会社 セキュア通信方法、端末装置、認証サービス装置、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US7281068B2 (en) * 2004-07-15 2007-10-09 International Business Machines Corporation Wireless-boot diskless mobile computing
ATE535078T1 (de) 2004-07-23 2011-12-15 Citrix Systems Inc Verfahren und system zur sicherung von zugriff aus der ferne auf private netze
EP1771998B1 (en) 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
US7314169B1 (en) * 2004-09-29 2008-01-01 Rockwell Automation Technologies, Inc. Device that issues authority for automation systems by issuing an encrypted time pass
AU2004324546B2 (en) * 2004-10-29 2009-12-24 Thomson Licensing Secure authenticated channel
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8549149B2 (en) * 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
JP4690767B2 (ja) * 2005-05-11 2011-06-01 株式会社日立製作所 ネットワークシステム、サーバ装置および通信方法
US8166174B2 (en) * 2005-10-27 2012-04-24 Microsoft Corporation Methods and systems for providing proprietary access to a server
KR100722265B1 (ko) * 2005-11-14 2007-05-28 엘지전자 주식회사 플라즈마 디스플레이 패널
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US7581244B2 (en) * 2006-01-25 2009-08-25 Seiko Epson Corporation IMX session control and authentication
US8087075B2 (en) * 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
CN101479984B (zh) * 2006-04-25 2011-06-08 斯蒂芬·L.·博伦 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法
US7992203B2 (en) 2006-05-24 2011-08-02 Red Hat, Inc. Methods and systems for secure shared smartcard access
US7822209B2 (en) 2006-06-06 2010-10-26 Red Hat, Inc. Methods and systems for key recovery for a token
US8180741B2 (en) 2006-06-06 2012-05-15 Red Hat, Inc. Methods and systems for providing data objects on a token
US8098829B2 (en) * 2006-06-06 2012-01-17 Red Hat, Inc. Methods and systems for secure key delivery
US8364952B2 (en) * 2006-06-06 2013-01-29 Red Hat, Inc. Methods and system for a key recovery plan
US8495380B2 (en) * 2006-06-06 2013-07-23 Red Hat, Inc. Methods and systems for server-side key generation
US8332637B2 (en) * 2006-06-06 2012-12-11 Red Hat, Inc. Methods and systems for nonce generation in a token
US9769158B2 (en) * 2006-06-07 2017-09-19 Red Hat, Inc. Guided enrollment and login for token users
US8412927B2 (en) 2006-06-07 2013-04-02 Red Hat, Inc. Profile framework for token processing system
US8589695B2 (en) * 2006-06-07 2013-11-19 Red Hat, Inc. Methods and systems for entropy collection for server-side key generation
US8707024B2 (en) * 2006-06-07 2014-04-22 Red Hat, Inc. Methods and systems for managing identity management security domains
US8099765B2 (en) 2006-06-07 2012-01-17 Red Hat, Inc. Methods and systems for remote password reset using an authentication credential managed by a third party
US8806219B2 (en) 2006-08-23 2014-08-12 Red Hat, Inc. Time-based function back-off
US8787566B2 (en) * 2006-08-23 2014-07-22 Red Hat, Inc. Strong encryption
US8356342B2 (en) * 2006-08-31 2013-01-15 Red Hat, Inc. Method and system for issuing a kill sequence for a token
US8074265B2 (en) * 2006-08-31 2011-12-06 Red Hat, Inc. Methods and systems for verifying a location factor associated with a token
US9038154B2 (en) * 2006-08-31 2015-05-19 Red Hat, Inc. Token Registration
US8977844B2 (en) 2006-08-31 2015-03-10 Red Hat, Inc. Smartcard formation with authentication keys
US8370479B2 (en) 2006-10-03 2013-02-05 Axeda Acquisition Corporation System and method for dynamically grouping devices based on present device conditions
US7996376B2 (en) * 2006-10-27 2011-08-09 Verizon Patent And Licensing Inc. Method and apparatus for managing session data across multiple applications
JP2007043750A (ja) * 2006-11-02 2007-02-15 Nomura Research Institute Ltd 認証を得て暗号通信を行う方法、認証システムおよび方法
WO2008068976A1 (ja) * 2006-12-04 2008-06-12 Nec Corporation ネットワークシステム、サーバ、クライアント及びネットワークシステムにおける通信方法
US8693690B2 (en) * 2006-12-04 2014-04-08 Red Hat, Inc. Organizing an extensible table for storing cryptographic objects
US8065397B2 (en) 2006-12-26 2011-11-22 Axeda Acquisition Corporation Managing configurations of distributed devices
US8813243B2 (en) * 2007-02-02 2014-08-19 Red Hat, Inc. Reducing a size of a security-related data object stored on a token
US8639940B2 (en) * 2007-02-28 2014-01-28 Red Hat, Inc. Methods and systems for assigning roles on a token
US8832453B2 (en) 2007-02-28 2014-09-09 Red Hat, Inc. Token recycling
US9081948B2 (en) * 2007-03-13 2015-07-14 Red Hat, Inc. Configurable smartcard
CA2587239A1 (en) * 2007-05-02 2008-11-02 Kryptiva Inc. System and method for ad-hoc processing of cryptographically-encoded data
KR100914771B1 (ko) 2007-05-09 2009-09-01 주식회사 웰비아닷컴 일회용 실행 코드를 이용한 보안 시스템 및 보안 방법
US7891563B2 (en) * 2007-05-17 2011-02-22 Shift4 Corporation Secure payment card transactions
US7841523B2 (en) * 2007-05-17 2010-11-30 Shift4 Corporation Secure payment card transactions
US8621573B2 (en) * 2007-08-28 2013-12-31 Cisco Technology, Inc. Highly scalable application network appliances with virtualized services
US8761402B2 (en) 2007-09-28 2014-06-24 Sandisk Technologies Inc. System and methods for digital content distribution
US8555367B2 (en) * 2008-03-12 2013-10-08 Yahoo! Inc. Method and system for securely streaming content
GB2459529A (en) * 2008-04-28 2009-11-04 Ice Organisation Online transaction authentication using two servers
US8094560B2 (en) * 2008-05-19 2012-01-10 Cisco Technology, Inc. Multi-stage multi-core processing of network packets
US8667556B2 (en) * 2008-05-19 2014-03-04 Cisco Technology, Inc. Method and apparatus for building and managing policies
US20090288104A1 (en) * 2008-05-19 2009-11-19 Rohati Systems, Inc. Extensibility framework of a network element
US8677453B2 (en) * 2008-05-19 2014-03-18 Cisco Technology, Inc. Highly parallel evaluation of XACML policies
US20100070471A1 (en) * 2008-09-17 2010-03-18 Rohati Systems, Inc. Transactional application events
TW201015940A (en) * 2008-10-01 2010-04-16 Avermedia Tech Inc Network authorization method and application thereof
JP4631974B2 (ja) * 2009-01-08 2011-02-16 ソニー株式会社 情報処理装置、情報処理方法、プログラム、および情報処理システム
US8677466B1 (en) * 2009-03-10 2014-03-18 Trend Micro Incorporated Verification of digital certificates used for encrypted computer communications
US8887242B2 (en) * 2009-04-14 2014-11-11 Fisher-Rosemount Systems, Inc. Methods and apparatus to provide layered security for interface access control
US9083685B2 (en) 2009-06-04 2015-07-14 Sandisk Technologies Inc. Method and system for content replication control
US8706887B2 (en) * 2009-06-29 2014-04-22 Sap Ag Multi-channel sessions
JP5655286B2 (ja) * 2009-09-24 2015-01-21 ソニー株式会社 通信方法、通信システム、サーバおよびプログラム
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US9054913B1 (en) 2009-11-30 2015-06-09 Dell Software Inc. Network protocol proxy
CN102238000B (zh) 2010-04-21 2015-01-21 华为技术有限公司 加密通信方法、装置及系统
FR2960734A1 (fr) * 2010-05-31 2011-12-02 France Telecom Procede et dispositifs de communications securisees dans un reseau de telecommunications
US20110314532A1 (en) * 2010-06-17 2011-12-22 Kyle Dean Austin Identity provider server configured to validate authentication requests from identity broker
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
WO2012058643A2 (en) 2010-10-29 2012-05-03 F5 Networks, Inc. System and method for on the fly protocol conversion in obtaining policy enforcement information
CN102546562A (zh) 2010-12-22 2012-07-04 腾讯科技(深圳)有限公司 在web中传输数据时进行加解密的方法及系统
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9049025B1 (en) * 2011-06-20 2015-06-02 Cellco Partnership Method of decrypting encrypted information for unsecure phone
EP2761428A4 (en) * 2011-09-28 2015-07-08 Apperian Inc TRANSPORTING CONFIGURATION INFORMATION IN A NETWORK
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US9491620B2 (en) * 2012-02-10 2016-11-08 Qualcomm Incorporated Enabling secure access to a discovered location server for a mobile device
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
CN102647462B (zh) * 2012-03-29 2017-04-19 北京奇虎科技有限公司 应用获取、发送方法及装置
US10148438B2 (en) * 2012-04-03 2018-12-04 Rally Health, Inc. Methods and apparatus for protecting sensitive data in distributed applications
DE102012103106A1 (de) * 2012-04-11 2013-10-17 Vodafone Holding Gmbh Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System
EP3471043B1 (en) 2012-04-17 2020-07-01 INTEL Corporation Trusted service interaction
EP2853074B1 (en) 2012-04-27 2021-03-24 F5 Networks, Inc Methods for optimizing service of content requests and devices thereof
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US9680813B2 (en) 2012-10-24 2017-06-13 Cyber-Ark Software Ltd. User provisioning
US10104060B2 (en) * 2013-01-30 2018-10-16 Hewlett Packard Enterprise Development Lp Authenticating applications to a network service
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9547771B2 (en) 2013-02-12 2017-01-17 Amazon Technologies, Inc. Policy enforcement with associated data
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US9608813B1 (en) 2013-06-13 2017-03-28 Amazon Technologies, Inc. Key rotation techniques
US20140229732A1 (en) * 2013-02-12 2014-08-14 Amazon Technologies, Inc. Data security service
KR101487233B1 (ko) * 2013-09-25 2015-01-29 (주) 시큐어가드 테크놀러지 패스워드 변경방법, 패스워드 관리장치 및 이를 적용한 컴퓨터로 읽을 수 있는 기록매체
US20150121517A1 (en) * 2013-10-25 2015-04-30 Stefan Dimov Bundle-to-bundle authentication in modular systems
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
US9699261B2 (en) 2014-01-14 2017-07-04 Cyber-Ark Software Ltd. Monitoring sessions with a session-specific transient agent
US20150271162A1 (en) * 2014-03-18 2015-09-24 Cyber-Ark Software Ltd. Systems and methods for controlling sensitive applications
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9712563B2 (en) 2014-07-07 2017-07-18 Cyber-Ark Software Ltd. Connection-specific communication management
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
WO2016017324A1 (ja) * 2014-07-28 2016-02-04 エンクリプティア株式会社 ユーザ情報管理システム、ユーザ情報管理方法、管理サーバ用プログラム及びこれを記録した記録媒体、ユーザ端末用プログラム及びこれを記録した記録媒体、サービスサーバ用プログラム及びこれを記録した記録媒体
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
CN104486321A (zh) * 2014-12-11 2015-04-01 上海斐讯数据通信技术有限公司 一种Web数据交互方法、系统及相应的Web服务器
CN104506517A (zh) * 2014-12-22 2015-04-08 中软信息系统工程有限公司 Mips平台基于http协议加密传输方法
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US9712514B2 (en) 2015-02-08 2017-07-18 Cyber-Ark Software Ltd. Super-session access to multiple target services
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US10469477B2 (en) 2015-03-31 2019-11-05 Amazon Technologies, Inc. Key export techniques
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
US20160330233A1 (en) * 2015-05-07 2016-11-10 Cyber-Ark Software Ltd. Systems and Methods for Detecting and Reacting to Malicious Activity in Computer Networks
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
GB2551580A (en) * 2016-06-24 2017-12-27 Sony Corp Data communications
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US10262146B2 (en) * 2016-12-15 2019-04-16 Vmware, Inc. Application-to-application messaging over an insecure application programming interface
US10511670B2 (en) * 2016-12-21 2019-12-17 Apple Inc. Techniques for providing authentication information to external and embedded web browsers
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
KR102309044B1 (ko) * 2017-12-01 2021-10-05 삼성에스디에스 주식회사 메시지 처리 시스템에서 보안 채널 형성 장치 및 방법
JP6671701B1 (ja) 2019-07-19 2020-03-25 Eaglys株式会社 演算装置、演算方法、演算プログラム、および演算システム

Family Cites Families (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS583283A (ja) 1981-06-30 1983-01-10 Toshiba Corp サイリスタ
GB2168831B (en) 1984-11-13 1988-04-27 Dowty Information Services Lim Password-protected data link
JP2585535B2 (ja) 1986-06-02 1997-02-26 株式会社日立製作所 複合計算機システムにおけるプロセス結合方法
JP2608400B2 (ja) 1986-06-16 1997-05-07 富士写真フイルム株式会社 圧縮処理を経た画像データからの画像再構成方法
US4887204A (en) 1987-02-13 1989-12-12 International Business Machines Corporation System and method for accessing remote files in a distributed networking environment
US5175852A (en) 1987-02-13 1992-12-29 International Business Machines Corporation Distributed file access structure lock
US5202971A (en) 1987-02-13 1993-04-13 International Business Machines Corporation System for file and record locking between nodes in a distributed data processing environment maintaining one copy of each file lock
US5367688A (en) 1987-09-04 1994-11-22 Digital Equipment Corporation Boot system for distributed digital data processing system
US5390297A (en) 1987-11-10 1995-02-14 Auto-Trol Technology Corporation System for controlling the number of concurrent copies of a program in a network based on the number of available licenses
US5014221A (en) 1988-01-29 1991-05-07 Digital Equipment Corporation Mechanism for arbitrating client access to a networked print server
US4924378A (en) 1988-06-13 1990-05-08 Prime Computer, Inc. License mangagement system and license storage key
US5341477A (en) 1989-02-24 1994-08-23 Digital Equipment Corporation Broker for computer network server selection
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
US5305440A (en) 1989-05-15 1994-04-19 International Business Machines Corporation File extension by clients in a distributed data processing system
US5229864A (en) 1990-04-16 1993-07-20 Fuji Photo Film Co., Ltd. Device for regenerating a picture signal by decoding
AU639802B2 (en) 1990-08-14 1993-08-05 Oracle International Corporation Methods and apparatus for providing dynamic invocation of applications in a distributed heterogeneous environment
US5583992A (en) 1990-09-14 1996-12-10 Kabushiki Kaisha Toshiba Computer network system for detecting global deadlock
US5161015A (en) 1990-12-31 1992-11-03 Zenith Electronics Corporation System for peaking a video signal with a control signal representative of the perceptual nature of blocks of video pixels
US5164727A (en) 1991-04-30 1992-11-17 Regents Of The Unversity Of California Optimal decoding method and apparatus for data acquisition applications of sigma delta modulators
US5204897A (en) 1991-06-28 1993-04-20 Digital Equipment Corporation Management interface for license management system
US5504814A (en) 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
US5359721A (en) 1991-12-18 1994-10-25 Sun Microsystems, Inc. Non-supervisor mode cross address space dynamic linking
US5349682A (en) 1992-01-31 1994-09-20 Parallel Pcs, Inc. Dynamic fault-tolerant parallel processing system for performing an application function with increased efficiency using heterogeneous processors
US5412717A (en) 1992-05-15 1995-05-02 Fischer; Addison M. Computer system security method and apparatus having program authorization information data structures
US5440719A (en) 1992-10-27 1995-08-08 Cadence Design Systems, Inc. Method simulating data traffic on network in accordance with a client/sewer paradigm
US5329619A (en) 1992-10-30 1994-07-12 Software Ag Cooperative processing interface and communication broker for heterogeneous computing environments
US5550976A (en) 1992-12-08 1996-08-27 Sun Hydraulics Corporation Decentralized distributed asynchronous object oriented system and method for electronic data management, storage, and communication
US5509070A (en) 1992-12-15 1996-04-16 Softlock Services Inc. Method for encouraging purchase of executable and non-executable software
US5325527A (en) 1993-01-19 1994-06-28 Canon Information Systems, Inc. Client/server communication system utilizing a self-generating nodal network
US5351293A (en) 1993-02-01 1994-09-27 Wave Systems Corp. System method and apparatus for authenticating an encrypted signal
FI107102B (fi) 1993-05-31 2001-05-31 Nokia Networks Oy Menetelmä puhelukustannusten ilmoittamiseksi sekä tilaajalaite
US5794207A (en) 1996-09-04 1998-08-11 Walker Asset Management Limited Partnership Method and apparatus for a cryptographically assisted commercial network system designed to facilitate buyer-driven conditional purchase offers
US5359593A (en) 1993-08-26 1994-10-25 International Business Machines Corporation Dynamic bandwidth estimation and adaptation for packet communications networks
US5544246A (en) 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US5455953A (en) 1993-11-03 1995-10-03 Wang Laboratories, Inc. Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket
EP0734556B1 (en) * 1993-12-16 2002-09-04 Open Market, Inc. Network based payment system and method for using such system
US5564016A (en) 1993-12-17 1996-10-08 International Business Machines Corporation Method for controlling access to a computer resource based on a timing policy
US5515508A (en) 1993-12-17 1996-05-07 Taligent, Inc. Client server system and method of operation including a dynamically configurable protocol stack
US5495411A (en) 1993-12-22 1996-02-27 Ananda; Mohan Secure software rental system using continuous asynchronous password verification
US5491750A (en) 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
US5524238A (en) 1994-03-23 1996-06-04 Breakout I/O Corporation User specific intelligent interface which intercepts and either replaces or passes commands to a data identity and the field accessed
US5553139A (en) 1994-04-04 1996-09-03 Novell, Inc. Method and apparatus for electronic license distribution
US5757907A (en) 1994-04-25 1998-05-26 International Business Machines Corporation Method and apparatus for enabling trial period use of software products: method and apparatus for generating a machine-dependent identification
CA2143874C (en) 1994-04-25 2000-06-20 Thomas Edward Cooper Method and apparatus for enabling trial period use of software products: method and apparatus for utilizing a decryption stub
US5475757A (en) 1994-06-07 1995-12-12 At&T Corp. Secure data transmission method
US5550981A (en) 1994-06-21 1996-08-27 At&T Global Information Solutions Company Dynamic binding of network identities to locally-meaningful identities in computer networks
US5668876A (en) 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
US5557732A (en) 1994-08-11 1996-09-17 International Business Machines Corporation Method and apparatus for protecting software executing on a demonstration computer
US5604490A (en) 1994-09-09 1997-02-18 International Business Machines Corporation Method and system for providing a user access to multiple secured subsystems
US6865551B1 (en) * 1994-11-23 2005-03-08 Contentguard Holdings, Inc. Removable content repositories
US5668999A (en) 1994-12-20 1997-09-16 Sun Microsystems, Inc. System and method for pre-verification of stack usage in bytecode program loops
JPH08235114A (ja) 1995-02-28 1996-09-13 Hitachi Ltd サーバアクセス方法と課金情報管理方法
US5706349A (en) 1995-03-06 1998-01-06 International Business Machines Corporation Authenticating remote users in a distributed environment
EP0734144A3 (de) 1995-03-20 1999-08-18 Siemens Aktiengesellschaft Verfahren und Anordnung zum Ermitteln der Benutzergebühr in einer Teilnehmereinrichtung
US5666501A (en) 1995-03-30 1997-09-09 International Business Machines Corporation Method and apparatus for installing software
US5689708A (en) 1995-03-31 1997-11-18 Showcase Corporation Client/server computer systems having control of client-based application programs, and application-program control means therefor
EP0818007B1 (en) * 1995-03-31 2006-05-10 The Commonwealth Of Australia Method and means for interconnecting different security level networks
US5592549A (en) 1995-06-15 1997-01-07 Infosafe Systems, Inc. Method and apparatus for retrieving selected information from a secure information source
US5809144A (en) * 1995-08-24 1998-09-15 Carnegie Mellon University Method and apparatus for purchasing and delivering digital goods over a network
US5657390A (en) 1995-08-25 1997-08-12 Netscape Communications Corporation Secure socket layer application program apparatus and method
US5930786A (en) * 1995-10-20 1999-07-27 Ncr Corporation Method and apparatus for providing shared data to a requesting client
US5729734A (en) 1995-11-03 1998-03-17 Apple Computer, Inc. File privilege administration apparatus and methods
PL326670A1 (en) 1995-11-14 1998-10-12 Ibm Information processing system enabling a versatile worldwide www network scanning program to get access to servers of many different protocols
US5787169A (en) 1995-12-28 1998-07-28 International Business Machines Corp. Method and apparatus for controlling access to encrypted data files in a computer system
US6088450A (en) 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US6226383B1 (en) 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
US5742757A (en) 1996-05-30 1998-04-21 Mitsubishi Semiconductor America, Inc. Automatic software license manager
EP0851628A1 (en) 1996-12-23 1998-07-01 ICO Services Ltd. Key distribution for mobile network
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US5944791A (en) 1996-10-04 1999-08-31 Contigo Software Llc Collaborative web browser
US5881226A (en) 1996-10-28 1999-03-09 Veneklase; Brian J. Computer security system
US5974151A (en) 1996-11-01 1999-10-26 Slavin; Keith R. Public key cryptographic system having differential security levels
US6131116A (en) 1996-12-13 2000-10-10 Visto Corporation System and method for globally accessing computer services
US5818939A (en) * 1996-12-18 1998-10-06 Intel Corporation Optimized security functionality in an electronic system
US5918228A (en) * 1997-01-28 1999-06-29 International Business Machines Corporation Method and apparatus for enabling a web server to impersonate a user of a distributed file system to obtain secure access to supported web documents
US5923756A (en) * 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
AU6654798A (en) 1997-02-26 1998-09-18 Siebel Systems, Inc. Method of determining visibility to a remote database client of a plurality of database transactions using a networked proxy server
DE19718103A1 (de) 1997-04-29 1998-06-04 Kim Schmitz Verfahren zur Autorisierung in Datenübertragungssystemen
US6408174B1 (en) 1997-05-13 2002-06-18 Telefonaktiebolaget Lm Ericsson (Publ) Communication method, system, and device for reducing processor load at tariff switch
US5991878A (en) * 1997-09-08 1999-11-23 Fmr Corp. Controlling access to information
US6094485A (en) * 1997-09-18 2000-07-25 Netscape Communications Corporation SSL step-up
NL1007409C1 (nl) 1997-10-31 1997-11-18 Nederland Ptt Authenticatiesysteem.
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
JPH11170750A (ja) * 1997-12-17 1999-06-29 Katsumi Hashimoto メモリ装置付カード
US6035405A (en) 1997-12-22 2000-03-07 Nortel Networks Corporation Secure virtual LANs
KR20010033972A (ko) 1998-01-09 2001-04-25 사이버세이퍼 코퍼레이션 클라이언트측 공개키 인증방법 및 단기증명장치
US6128742A (en) 1998-02-17 2000-10-03 Bea Systems, Inc. Method of authentication based on intersection of password sets
JPH11282884A (ja) * 1998-03-30 1999-10-15 Mitsubishi Electric Corp ネットワーク型cadシステム
US6363365B1 (en) * 1998-05-12 2002-03-26 International Business Machines Corp. Mechanism for secure tendering in an open electronic network
US6289461B1 (en) 1998-06-09 2001-09-11 Placeware, Inc. Bi-directional process-to-process byte stream protocol
JP4353552B2 (ja) * 1998-06-18 2009-10-28 富士通株式会社 コンテンツサーバ,端末装置及びコンテンツ送信システム
JP2000049766A (ja) * 1998-07-27 2000-02-18 Hitachi Ltd 鍵管理サーバシステム
JP2000163369A (ja) * 1998-11-30 2000-06-16 Nippon Telegr & Teleph Corp <Ntt> 処理結果分散管理方法及びシステム及び処理結果分散管理サーバ装置及び処理結果分散管理プログラムを格納した記憶媒体
JP2000183866A (ja) * 1998-12-10 2000-06-30 Nippon Telegr & Teleph Corp <Ntt> 暗号通信方法およびシステムと暗号通信プログラムを記録した記録媒体
CA2368556C (en) * 1999-04-05 2010-12-21 Neomedia Technologies, Inc. System and method of using machine-readable or human-readable linkage codes for accessing networked data resources
US6792424B1 (en) * 1999-04-23 2004-09-14 International Business Machines Corporation System and method for managing authentication and coherency in a storage area network
US6938057B2 (en) * 1999-05-21 2005-08-30 International Business Machines Corporation Method and apparatus for networked backup storage
US6760119B1 (en) * 1999-05-25 2004-07-06 Silverbrook Research Pty Ltd Relay device
US6816274B1 (en) * 1999-05-25 2004-11-09 Silverbrook Research Pty Ltd Method and system for composition and delivery of electronic mail
US6757825B1 (en) 1999-07-13 2004-06-29 Lucent Technologies Inc. Secure mutual network authentication protocol
US6286104B1 (en) 1999-08-04 2001-09-04 Oracle Corporation Authentication and authorization in a multi-tier relational database management system
US6732269B1 (en) * 1999-10-01 2004-05-04 International Business Machines Corporation Methods, systems and computer program products for enhanced security identity utilizing an SSL proxy
US6986040B1 (en) * 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
EP1439495B1 (en) * 2003-01-17 2019-04-17 QUALCOMM Incorporated Device for ordering and validating an electronic ticket

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2480924C2 (ru) * 2007-05-07 2013-04-27 Спектатор Интеллекчуал Пропертиз Б.В. Система и способ для обмена данными между первой системой обработки данных и второй системой обработки данных через, по меньшей мере, частично общедоступную сеть связи
RU2454811C2 (ru) * 2007-11-08 2012-06-27 Чайна Ивнкомм Ко., Лтд. Способ аутентификации при одностороннем доступе
RU2518441C2 (ru) * 2008-05-28 2014-06-10 Майкрософт Корпорейшн Методики обеспечения и управления цифровым телефонным аппаратом для аутентификации с сетью
RU2502226C2 (ru) * 2009-07-06 2013-12-20 Интел Корпорейшн Способ и устройство получения ключа(ей) защиты
RU2524565C2 (ru) * 2010-02-26 2014-07-27 Хуавей Текнолоджиз Ко., Лтд. Система и способ защиты беспроводной передачи
RU2555227C2 (ru) * 2010-04-15 2015-07-10 Квэлкомм Инкорпорейтед Устройство и способ сигнализации об улучшенном контексте безопасности для сессионных ключей шифрования и целостности
US9084110B2 (en) 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
US9191812B2 (en) 2010-04-15 2015-11-17 Qualcomm Incorporated Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node
US9197669B2 (en) 2010-04-15 2015-11-24 Qualcomm Incorporated Apparatus and method for signaling enhanced security context for session encryption and integrity keys
RU2453917C1 (ru) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для оптимизации выполнения антивирусных задач в локальной сети
RU2735181C1 (ru) * 2017-11-22 2020-10-28 Сименс Акциенгезелльшафт Способ обработки запросов на обслуживание, который выполняется узлом поставщика услуг
RU2706866C1 (ru) * 2018-01-17 2019-11-21 изе Индифидюлле Зофтваре унд Электроник ГмбХ Способы, устройства, машиночитаемые носители и системы для установления сертифицированных соединений с терминалами в локальной сети

Also Published As

Publication number Publication date
IL155698A (en) 2008-04-13
CA2427699A1 (en) 2002-06-06
CA2427699C (en) 2012-01-03
AU2002235149B2 (en) 2005-12-01
IL155698A0 (en) 2003-11-23
WO2002044858A3 (en) 2003-05-01
EP1332599B1 (en) 2013-03-20
WO2002044858A2 (en) 2002-06-06
KR20040004425A (ko) 2004-01-13
US20050050317A1 (en) 2005-03-03
KR100783208B1 (ko) 2007-12-06
CN1505892A (zh) 2004-06-16
CN100583871C (zh) 2010-01-20
JP2004531914A (ja) 2004-10-14
HK1054281A1 (en) 2003-11-21
EP1332599A2 (en) 2003-08-06
US6986040B1 (en) 2006-01-10
AU3514902A (en) 2002-06-11

Similar Documents

Publication Publication Date Title
RU2279186C2 (ru) Система и способ использования безопасности, присущей защищенному коммуникационному каналу, для обеспечения безопасности незащищенного коммуникационного канала
KR100992356B1 (ko) 컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체
US7747856B2 (en) Session ticket authentication scheme
AU2002235149A1 (en) System and method for securing a non-secure communication channel
KR100872099B1 (ko) 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템
KR100986441B1 (ko) 정보 보안 방법, 정보 보안 시스템, 및 보안 프로토콜을 갖는 컴퓨터 판독 가능 저장 매체
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
US7032110B1 (en) PKI-based client/server authentication
US9092635B2 (en) Method and system of providing security services using a secure device
US20080022085A1 (en) Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system
US6785729B1 (en) System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful
EP2002373A1 (en) A method and system of providing sceurity services using a secure device
EP3304847B1 (en) Method for managing a secure channel between a server and a secure element
JP2020014168A (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
WO2004099949A1 (en) Web site security model
EP2530618A1 (en) Sign-On system with distributed access
KR20020068722A (ko) 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템