RU2348070C2 - Способы и системы аутентификации пользователя для подобластей области сети - Google Patents

Способы и системы аутентификации пользователя для подобластей области сети Download PDF

Info

Publication number
RU2348070C2
RU2348070C2 RU2003135433/09A RU2003135433A RU2348070C2 RU 2348070 C2 RU2348070 C2 RU 2348070C2 RU 2003135433/09 A RU2003135433/09 A RU 2003135433/09A RU 2003135433 A RU2003135433 A RU 2003135433A RU 2348070 C2 RU2348070 C2 RU 2348070C2
Authority
RU
Russia
Prior art keywords
cookie
computer
user
network
network address
Prior art date
Application number
RU2003135433/09A
Other languages
English (en)
Other versions
RU2003135433A (ru
Inventor
Эндрю М. ХИМБЕРГЕР (US)
Эндрю М. ХИМБЕРГЕР
Крис ПИРО (US)
Крис ПИРО
Лукас Дж. ФОРШЛЕР (US)
Лукас Дж. ФОРШЛЕР
Стиллман Т. СОНДЕРС (US)
Стиллман Т. СОНДЕРС
Original Assignee
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн
Publication of RU2003135433A publication Critical patent/RU2003135433A/ru
Application granted granted Critical
Publication of RU2348070C2 publication Critical patent/RU2348070C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Abstract

Изобретение относится к области аутентификации, в частности разграничения доступа пользователя к подобласти области сети. Технический результат, заключающийся в повышении устойчивости сетевой системы к неправомерным действиям злонамеренных пользователей, перехвативших куки-файлы, достигается за счет использования первого куки-файла для аутентификации в области сети, такой как домен "Всемирной паутины", и также использования второго куки-файла для аутентификации в подобласти области сети. Когда пользователь предпринимает попытку посещения области сети или подобласти в области сети, то сервер области сети аутентифицирует пользователя посредством получения ранее хранимого куки-файла от компьютера пользователя и проверки его на достоверность для области сети. После аутентификации посредством проверки на достоверность генерируется куки-файл для подобласти в области сети для пользователя и подается на компьютер пользователя. Когда пользователь предпринимает попытку получить доступ к подобласти в области сети, то куки-файл, подаваемый на компьютер пользователя для подобласти, принимается и проверяется на достоверность с целью аутентификации пользователя для подобласти. 4 н. и 36 з.п. ф-лы, 4 ил.

Description

Область техники, к которой относится изобретение
Настоящее изобретение относится к аутентификации пользователя для доступа к сетевым ресурсам. В частности, настоящее изобретение относится к аутентификации пользователя для одного или нескольких индивидуальных подобластей области сети.
Предпосылки создания изобретения
Компьютерные сети позволяют производить совместное использование ресурсов различными компьютерами. Например, Интернет позволяет компьютерам по всему миру производить обмен информацией, например, по электронной почте. "Всемирная паутина" обеспечивает обмен аудиовизуальной информацией между компьютерами, подключенными к Интернету. Кроме того, централизованные компьютерные серверы могут хранить информацию, предоставленную одним пользователем компьютера для доступа других.
Компьютеры серверов позволяют предоставлять доступ пользователям компьютеров к информации, хранящейся в различных подобластях (подъячейках) области (ячейки) сети, такой как домен Интернета. Подобласти области сети могут включать в себя индивидуальные каталоги одного или нескольких серверов или индивидуальных серверов группы серверов. Конкретная подобласть может быть назначена конкретному пользователю компьютера или группе пользователей, которые передали информацию в подобласти для доступа к ней других пользователей компьютеров, также подсоединенных к области сети. Хотя такое совместное использование информации по сети является выгодным для пользователей компьютеров, должна быть проявлена осторожность при администрировании сети для предотвращения несанкционированного доступа к различным областям сети и подобластям областей сети.
Для того чтобы предотвратить несанкционированный доступ, проводится аутентификация пользователя для области сети. Аутентификация пользователя может быть выполнена различными путями. Одним способом является выдача запроса пользователю ввести имя пользователя и пароль, перед тем как ему будет разрешен доступ к области сети и соответствующим подобластям. Однако, так как увеличивается количество областей сети, к которым пользователь может захотеть получить доступ, то становится обременительным необходимость введения пользователем имени пользователя и пароля для каждой области.
Для решения этого вопроса пользователю посылается куки-файл (набор данных, создаваемый сервером на компьютере пользователя) при первом вводе пользователем имени пользователя и пароля, так что куки-файл может быть использован для аутентификации личности пользователя в области сети, такой как домен во "Всемирной паутине", для всех подобластей в области сети. Куки-файл представляет собой файл данных, который служит для идентификации пользователя посредством включения в себя одного или нескольких длинных номеров, которые являются идентификатором пользователя и срок действия которых истекает в некоторый момент времени в будущем. Первоначальная регистрация с именем пользователя и паролем обычно выполняется посредством доверенной центральной области сети, сохраняющего эталонные (контрольные) имя пользователя и пароль, например NET™ Password™. Когда пользователь предпринимает попытку посещения области сети, компьютер пользователя адресуется к доверенной области сети, которая выдает зашифрованный куки-файл на компьютер пользователя для области сети. Затем компьютер пользователя адресуется обратно на сервер области сети, и этот сервер затем проверяет куки-файл, который только что был выдан компьютеру пользователя.
Сервер запрашивает куки-файл у компьютера пользователя и затем предпринимает попытку проверки достоверности куки-файла посредством дешифрирования куки-файла секретным ключом и определения, что не истек срок действия дешифрированного куки-файла. При успешной проверке на достоверность сервером посещаемой области сети куки-файла посещаемая область сети имеет аутентификацию для попыток пользователя получения доступа, так как проверенный на достоверность куки-файл подтверждает, что пользователь, предпринимающий попытку получения доступа к области сети, является пользователем с известными и правомочными идентификационными данными. Идентификационные данные могут быть определены посредством информации, содержащейся в дешифрованном куки-файле.
Для подобластей областей сети, где пользователи могут посылать информацию, все еще существует риск нарушения безопасности, где куки-файлы используются для аутентификации пользователя для посещаемой области сети. Пользователь, имеющий доступ к подобласти в посещаемой области сети, может опубликовать информацию сценариев по различным причинам, например чтобы предоставить аудиовизуальную информацию другим, кто имеет доступ к подобласти. Однако злонамеренный пользователь может опубликовать сценарии, которые выполняют злоумышленную деятельность, такую как перехват куки-файлов, которые загружаются с компьютеров других пользователей, когда они посещают эту область (местоположение) сети.
При получении куки-файлов других пользователей, посещающих область сети, злонамеренный пользователь, который перехватил эти куки-файлы, затем может выдать себя за этих других пользователей, чтобы получить доступ к подобластям в область сети, к которым пользователь, за которого он себя выдает, имеет доступ. Таким образом, злонамеренному пользователю, который перехватил куки-файлы, теперь может быть предоставлен доступ к подобластям и деятельности, к которым этот злонамеренный пользователь иначе мог бы и не получить доступа, таким как деятельность и/или подобласть, которые включают в себя персональную, финансовую или другую секретную информацию о пользователях, за которых он себя выдает.
Краткое изложение сущности изобретения
Варианты осуществления настоящего изобретения решают эти и другие вопросы посредством предоставления куки-файла для аутентификации пользователя для конкретной подобласти области сети в дополнение к использованию куки-файла, который выполняет аутентификацию пользователя для области (ячейки) сети, которая предусматривает подобласть (подъячейку). Когда пользователь регистрируется в области и подобласти сети, то раскрываются только куки-файл для области сети и куки-файл для отдельной подобласти в посещаемой подобласти. Если эти два куки-файла перехватываются злонамеренным пользователем, который опубликовал злоумышленный сценарий в подобласти, то тогда злонамеренный пользователь, который перехватил куки-файлы, может выдать себя только за пользователя этой же подобласти, к которой пользователь, который перехватил куки-файлы, ранее имел доступ. Злонамеренный пользователь, который перехватил куки-файлы, не сможет выдать себя за пользователя других подобластей, которые требуют другого куки-файла, характерного для подобласти.
Одним вариантом выполнения является способ аутентификации пользователя компьютера для подобласти сетевого адреса. Способ включает в себя предоставление первого куки-файла на компьютер для аутентификации пользователя для сетевого адреса и предоставление второго куки-файла на компьютер для аутентификации пользователя для первой подобласти сетевого адреса. Когда компьютер предпринимает попытку получения доступа к сетевому адресу, то проверяется на достоверность первый куки-файл с целью аутентификации пользователя для сетевого адреса. Второй куки-файл проверяется на достоверность с целью аутентификации пользователя для первой подобласти сетевого адреса.
Другим вариантом выполнения является компьютерная система, которая включает в себя сетевой интерфейс и устройство обработки. Устройство обработки конфигурируется для получения первого куки-файла посредством сетевого интерфейса и проверки достоверности первого куки-файла с целью аутентификации пользователя для сетевого адреса. Устройство обработки также конфигурируется для получения второго куки-файла посредством сетевого интерфейса и проверки достоверности второго куки-файла с целью аутентификации пользователя для первой подобласти сетевого адреса.
Другим вариантом выполнения является сетевая система, которая включает в себя серверный компьютер по сетевому адресу, который предусматривает по меньшей мере одну подобласть сетевого адреса. Клиентский компьютер поддерживает связь с серверным компьютером по сети, и клиентский компьютер хранит первый куки-файл для сетевого адреса и второй куки-файл для подобласти сетевого адреса. Серверный компьютер обращается и проверяет достоверность первого с целью аутентификации пользователя клиентского компьютера для сетевого адреса, и серверный компьютер обращается и проверяет достоверность второго куки-файла с целью аутентификации пользователя клиентского компьютера для подобласти сетевого адреса.
Другим вариантом выполнения является считываемый компьютером носитель, содержащий команды, которые, когда они исполняются компьютером, выполняют различные этапы. Первый куки-файл принимается посредством сетевого интерфейса компьютера и проверяется его достоверность с целью аутентификации пользователя для сетевого адреса. Второй куки-файл принимается посредством сетевого интерфейса компьютера и проверяется его достоверность с целью аутентификации пользователя для первой подобласти сетевого адреса.
Описание чертежей
На фиг.1 изображена сетевая операционная среда для вариантов выполнения настоящего изобретения.
На фиг.2 изображены компоненты серверного компьютера области сети в соответствии с вариантом выполнения настоящего изобретения.
На фиг.3 изображены логические операции взаимодействия, которое происходит в сети, изображенной на фиг.1, между сервером регистрации, сервером услуг и клиентским компьютером с целью аутентификации пользователя клиентского компьютера в соответствии с одним вариантом выполнения настоящего изобретения.
На фиг.4 изображены логические операции, выполняемые сервером услуг с целью аутентификации пользователя клиентского компьютера для одной или нескольких подобластей в соответствии с одним вариантом выполнения настоящего изобретения.
Подробное описание
Варианты выполнения настоящего изобретения предусматривают куки-файлы подобластей (подъячеек), такие как куки-файлы каталога, как показано и описано на фиг.1-4, для различных подобластей области сети. Примером области (ячейки) сети является домен, идентифицированный в унифицированном указателе ресурсов (УУР) или IP-адресе (протоколе Интернета). Предусматриваются куки-файлы подобластей, так что пользователи аутентифицируются для этих подобластей в дополнении к аутентификации для области сети, имеющей подобласти. Таким образом, пользователю, который перехватывает куки-файл, позволяющий произвести ложную аутентификацию для области сети, еще необходимо пройти аутентификацию для подобласти в области сети с другим куки-файлом.
На фиг.1 изображена типичная операционная среда, в которой могут быть осуществлены варианты выполнения настоящего изобретения. Клиентский компьютер 102 соединен с сетью 106, такой как локальная вычислительная сеть, глобальная сеть или глобальный Интернет. Клиентский компьютер 102 может сообщаться с различными серверными компьютерами, также соединенными с сетью 106. Например, сервер 108 регистрации, соединенный с сетью, позволяет пользователю производить регистрацию с именем пользователя, таким как адрес электронной почты, и паролем для получения первого куки-файла сервера, который позволяет произвести аутентификацию пользователя в области сети без необходимости для пользователя снова вводить имя пользователя и пароль для этой области сети. Кроме того, сервер 108 регистрации может выдавать куки-файл регистрации пользователю клиентского компьютера, так что при попытке пользователя посетить область сети и переадресации его на сервер 108 регистрации для аутентификации принимается куки-файл регистрации для аутентификации пользователя для сервера 108 регистрации без необходимости еще одного ввода имени пользователя и пароля.
Сервер 108 регистрации может обратиться к запоминающему устройству 110 эталонных (контрольных) имен пользователя и паролей. При первом посещении пользователем клиентского компьютера 102 сервера 108 регистрации и вводе имени пользователя и пароля сервер 108 регистрации может найти имя пользователя в запоминающем устройстве 110 и сравнить введенный пароль с хранимым паролем. Если они совпадают, то пользователь клиентского компьютера 102 аутентифицируется как пользователь, владеющий именем пользователя, и куки-файл регистрации подается на клиентский компьютер 102 с сервера 108 регистрации, и может быть создан куки-файл сервера, когда клиентский компьютер будет адресован на сервер регистрации в результате попытки посещения сервера 112 услуг. Куки-файл регистрации и куки-файл сервера могут включать в себя значение идентификатора, соответствующее владельцу имени пользователя, который зарегистрировался для получения куки-файлов. Кроме того, эти куки-файлы могут быть зашифрованы секретным ключом и/или могут иметь срок действия. Клиентский компьютер 102 запоминает куки-файлы в запоминающем устройстве 104, так что, когда клиентский компьютер 102 предпринимает попытку получения доступа к соответствующей области сети, может быть получен куки-файл сервера в запоминающем устройстве 104 сервером в области сети с целью аутентификации пользователя посредством проверки на достоверность куки-файла сервера одним из различных способов. Проверка на достоверность может включать в себя попытку дешифрирования куки-файла сервера секретным ключом и/или проверку того, не закончилось ли действие куки-файла сервера, основанное на его сроке действия. Кроме того, если и когда клиентский компьютер 102 перенаправляется на сервер 108 регистрации, может быть получен куки-файл регистрации сервером 108 регистрации с целью аутентификации пользователя клиентского компьютера 102 еще раз без необходимости повторного ввода имени пользователя и пароля.
Сервер 112 услуг соединен с сетью 106 и предоставляет услуги клиентским компьютерам 102, включая предоставление доступа к различным подобластям, таким как каталоги 116, 118 и 120 области сети, установленной сервером 112, или таким как отдельные серверы из группы серверов в области сети. Индивидуальные каталоги 116, 118 и 120 или отдельные серверы из группы серверов могут обеспечивать различные порции информации, полезные для клиентского компьютера 102, такие как документы и доступ к персональной или иным образом засекреченной информации. Например, при аутентификации пользователя для подобласти пользователь может иметь возможность совершить онлайновые (оперативные) покупки через подобласть, где информация о выставлении счетов для аутентифицированного пользователя хранится и применяется подобластью без повторного ввода пользователем информации, когда пользователь совершает покупку.
Для того чтобы предотвратить несанкционированный доступ к области сети, который обеспечивается сервером 112 услуг, сервер 112 аутентифицирует пользователя, предпринимающего попытку получить доступ к конкретной подобласти или другой услуге, предусматриваемой сервером 112, посредством получения куки-файла сервера от клиентского компьютера 102, который предпринимает попытку получить доступ к серверу 112. Сервер 112 проверяет достоверность куки-файла сервера, как описано выше, предпринимая попытку дешифрирования специальным ключом в запоминающем устройстве 114 и/или проверяя, что не истек срок действия куки-файла сервера. Если доступ к области сети требует проверки полномочий в дополнение к первоначальной аутентификации, то информация об идентификаторе куки-файла может сравниваться с информацией об идентификаторе, сохраняемой в запоминающем устройстве 114.
Когда клиентский компьютер 102 получает доступ к области сети сервера 112 услуг, если пользователь клиентского компьютера 102 еще не получил куки-файл сервера для области сети, то тогда клиентский компьютер 102 адресуется на сервер 108 регистрации. После аутентификации клиентский компьютер 102 переадресуется на сервер 112 услуг с куки-файлом и с сообщением в последовательности (строке) запросов от сервера 108 регистрации серверу 112 услуг. Это сообщение указывает, что пользователь только что прошел аутентификацию на сервере 108 регистрации, которая указывает, что пользователь не перехватил куки-файл сервера, а получил его на законных основаниях. При приеме сервером 112 услуг сообщения и аутентификации пользователя посредством проверки достоверности только что принятого куки-файла сервера сервер 112 услуг затем генерирует куки-файлы подобласти для аутентифицированного пользователя для одной или нескольких подобластей, которые требуют аутентификации.
Куки-файлы подобласти подаются от сервера 112 услуг на клиентский компьютер 102 пользователя, где они сохраняются в запоминающем устройстве 104, таком как массовое запоминающее устройство. Куки-файлы подобласти могут быть зашифрованы и/или могут иметь срок действия, так что сервер 112 услуг может дешифрировать куки-файлы подобласти другим секретным ключом в запоминающем устройстве 114 и/или может контролировать срок действия для проверки достоверности куки-файла. В некоторых вариантах выполнения, когда должна определяться проверка полномочий для подобластей для аутентифицированного пользователя, информация об идентификаторе для пользователя также может быть включена в эти куки-файлы подобласти, и совпадающий идентификатор сохраняется в запоминающем устройстве 114 сервера 112 услуг совместно с проверкой полномочий для одной или нескольких из различных подобластей. Если пользователь не сможет аутентифицироваться при получении доступа к области сети, так как пользователь не имеет куки-файла сервера, то тогда сервер 112 услуг может переадресовать клиентский компьютер 102 на сервер 108 регистрации, как описано выше, или может просто отказать в доступе клиентскому компьютеру 102.
Когда пользователь клиентского компьютера 102 предпринимает попытку получения доступа к конкретной подобласти в области сети сервера 112 услуг после аутентификации посредством проверки достоверности куки-файла сервера, этот сервер 112 услуг получает куки-файл соответствующей подобласти от клиентского компьютера 102. Сервер 112 услуг предпринимает попытку проверки достоверности куки-файла подобласти, например, посредством дешифрирования и/или контроля срока действия, с целью аутентификации пользователя клиентского компьютера 102 на получение доступа к подобласти. Куки-файл подобласти может содержать идентификатор подобласти, к которому применяется куки-файл подобласти, и также может включать различные другие порции информации, включая идентификатор, также используемый в куки-файле сервера для пользователя. Для тех вариантов выполнения, где включена информация об идентификаторе пользователя, куки-файл подобласти может включать в себя различные идентификаторы, связанные с пользователем посредством сервера 112 услуг, нежели идентификатор пользователя, включенный в куки-файл сервера.
Если кто-то перехватывает куки-файл сервера пользователя, после того как пользователь получил доступ к области сети, то перехваченный куки-файл сервера не обеспечит выполнение аутентификации, необходимой для доступа к подобласти области сети, требуя куки-файлы подобласти. Если законный пользователь аутентифицируется для подобласти с куки-файлом подобласти, полученным от пользовательского компьютера 102, и кто-то перехватывает куки-файл подобласти, в то время как пользователь посещает подобласть, то тогда перехваченный куки-файл подобласти не обеспечит выполнение аутентификации, необходимой для доступа к другим подобластям области сети. Перехваченный куки-файл подобласти позволяет выполнить только аутентификацию для подобласти, к которой похититель куки-файла уже имеет доступ.
Фиг.2 и последующее описание предназначены для того, чтобы дать краткое общее описание соответствующей вычислительной среды, в которой изобретение может быть осуществлено в компьютере 112 сервера услуг. Хотя изобретение будет описано в общем контексте программных модулей, которые исполняются вместе с программами приложений, работающими в операционной системе на компьютере сервера, специалистам в этой области техники понятно, что изобретение также может быть осуществлено в комбинации с другими программными модулями. В общих чертах, программные модули включают в себя подпрограммы, программы, компоненты, структуры данных и другие типы структур, которые выполняют определенные задачи или реализуют определенные абстрактные типы данных.
Кроме того, специалистам в этой области техники понятно, что изобретение может быть осуществлено с другими конфигурациями компьютерных систем, включая карманные устройства, мультипроцессорные системы, микропроцессорную или программируемую бытовую электронику, миникомпьютеры, мейнфреймы и т. д. Изобретение, применительно к компьютеру 112 сервера на фиг.1, также может быть осуществлено в распределенных вычислительных средах, в которых задачи выполняются удаленными вычислительными устройствами, которые связаны через сеть передачи данных, а не на одном компьютере. В распределенной вычислительной среде программные модули могут располагаться как на локальных, так и на удаленных запоминающих устройствах хранения.
На фиг.2 изображена иллюстративная архитектура компьютера для компьютера 112 сервера для осуществления различных вариантов выполнения изобретения. Архитектура компьютера, показанная на фиг.2, изображает обычный компьютер сервера, включающий в себя центральный процессор 204 (ЦП), системную память 206, включающую в себя оперативное запоминающее устройство 208 (ОЗУ) и постоянное запоминающее устройство (ПЗУ) 210, и системную шину 212, которая соединяет память с ЦП 204. Базовая система ввода/вывода, содержащая базовые подпрограммы, которые способствуют пересылке информации между элементами в компьютере, например во время запуска, хранится в ПЗУ 210. Компьютер 112 сервера дополнительно включает в себя массовое запоминающее устройство 214 для хранения операционной системы 216 и программ приложений, таких как прикладная программа 218 куки-файлов, которая выполняет функции регистрации и аутентификации с куки-файлом подобласти. Массовое запоминающее устройство 214 также хранит два компонента прикладной программы 218 куки-файлов, которые включают в себя генератор 224 куки-файлов для генерирования куки-файлов подобласти и программу 226 проверки куки-файлов, которая проверяет достоверность куки-файлов регистрации и подобласти от компьютера пользователя. Проверка достоверности может использовать информацию 228 ключа дешифрирования куки-файлов в массовом запоминающем устройстве 214 и/или контролировать срок действия куки-файлов для аутентификации пользователя. Массовое запоминающее устройство 214 также может включать в себя данные 230 подобластей для различных подобластей, предусмотренных в области сети.
Массовое запоминающее устройство 214 подсоединено к ЦП 204 посредством контроллера массового запоминающего устройства (не показан), подсоединенного к шине 212. Массовое запоминающее устройство 214 и связанные с ним считываемые компьютером носители обеспечивают энергонезависимое запоминающее устройство для компьютера 112 сервера. Хотя содержащееся здесь описание считываемых компьютером носителей относится к массовому запоминающему устройству, такому как привод жесткого диска или компакт-диска, специалистам в этой области техники понятно, что считываемыми компьютером носителями могут быть любые доступные носители, к которым может получить доступ компьютер 112 сервера.
В качестве примера, а не ограничения, считываемые компьютером носители могут содержать носители данных компьютера и среды передачи данных. Носители данных компьютера включают в себя энергозависимые и энергонезависимые, съемные и несъемные носители, реализованные любым способом или по любой технологии для хранения информации, такой как считываемые компьютером команды, структуры данных, программные модули или другие данные. Носители данных компьютера включают в себя, но не ограничиваются ими, ОЗУ, ПЗУ, стираемое программируемое ПЗУ (СППЗУ), электрически стираемое программируемое ПЗУ (ЭСППЗУ), флэш-память или другую твердотельную технологию запоминающих устройств, компакт-диск (CD-ROM), цифровой многофункциональный диск (ЦМД, DVD) или другое оптическое запоминающее устройство, магнитные кассеты, магнитную ленту, запоминающее устройство на магнитных дисках или другие магнитные запоминающие устройства, или любые другие носители, которые могут быть использованы для хранения требуемой информации и к которым может получить доступ компьютер.
Среда передачи данных типично заключает в себе считываемые компьютером команды, структуры данных, программные модули или другие данные в модулированном сигнале данных, таком как несущая волна или другой транспортный механизм, и включает в себя любую среду доставки информации. Термин «модулированный сигнал данных» означает сигнал, одна или несколько характеристик которого устанавливаются или изменяются таким образом, чтобы кодировать информацию в сигнале. В качестве примера, а не ограничения, среда передачи данных включает в себя проводную среду, такую как проводная сеть или непосредственное проводное соединение, и беспроводную среду, такую как акустическая, радиочастотная, инфракрасная или другая беспроводная среда. Комбинации любых из вышеперечисленных также должны быть включены в сферу рассмотрения считываемых компьютером сред. Считываемая компьютером среда также может быть названа как программный продукт для компьютера.
В соответствии с различными вариантами выполнения изобретения компьютер 112 сервера может работать в сетевой среде, используя логические подключения к удаленным компьютерам посредством сети 106, такой как Интернет. Компьютер 112 сервера может подключаться к сети 106 через блок 220 сетевого интерфейса, соединенный с шиной 212. Необходимо понимать, что блок 220 сетевого интерфейса также может использоваться для подключения к сетям других типов и удаленным компьютерным системам. Компьютер 112 сервера также может включать в себя контроллер 222 ввода-вывода для приема и обработки ввода от ряда устройств, включающих клавиатуру или мышь (не показаны). Аналогично, контроллер 222 ввода-вывода может обеспечивать вывод на экран дисплея, принтер или устройство вывода другого типа.
Как кратко упомянуто выше, ряд программных модулей и файлов данных может храниться в массовом запоминающем устройстве 214 и ОЗУ 208 компьютера 112 сервера, включая операционную систему 216, подходящую для управления работой сетевого компьютера 112 сервера. Массовое запоминающее устройство 214 и ОЗУ 208 также могут хранить одну или несколько программ приложений, таких как приложение 218 куки-файлов и соответствующие компоненты, включающие в себя генератор 224 куки-файлов, программу 226 проверки куки-файлов, и информацию 228 ключа дешифрирования куки-файлов.
Варианты выполнения настоящего изобретения обеспечивают программные модули для использования совместно с программой 218 приложения (прикладной программой) куки-файлов. Программные модули выполняют логические операции для аутентификации пользователей, предпринимающих попытку получения доступа к различным подобластям области сети. Различные варианты выполнения логических операций программных модулей для прикладной программы 218 куки-файлов описаны ниже с ссылкой на фиг.3 и 4. На фиг.3 изображены логические операции, осуществляемые в сетевой среде на фиг.1, где клиентский компьютер 102, сервер 108 регистрации и сервер 112 услуг взаимодействуют с целью аутентификации пользователя клиентского компьютера 102 для подобласти области сети сервера 112 услуг. На фиг.4 изображены логические операции, осуществляемые в прикладной программе 218 куки-файлов с целью генерирования и контроля куки-файлов подобласти для аутентификации пользователя.
Иллюстративные логические операции на фиг.3 для одного варианта выполнения начинаются операцией 302 регистрации, во время которой клиентский компьютер 102 регистрируется на сервере 108 регистрации посредством ввода имени пользователя и пароля, например после переадресации от сервера 112 услуг, к которому пользователь предпринимает попытку обращения. Сервер 108 регистрации сравнивает имя пользователя и пароль с эталонными именем пользователя и паролем для пользователя. При успешном сравнении, указывающем совпадение с именем пользователя и паролем регистрации, сервер 108 регистрации подает куки-файл сервера (первый куки-файл) на клиентский компьютер 102. Как описано выше, этот куки-файл сервера может включать в себя срок действия и/или может быть зашифрован ключом, известным серверу 112 услуг, так что может быть проверена достоверность куки-файла сервера. Как также описано выше, сервер 108 регистрации также может предоставить куки-файл регистрации, который аутентифицирует пользователя для сервера 108 регистрации, если пользователь будет переадресован в будущем на сервер 108 регистрации.
После того как клиентский компьютер 102 зарегистрировался и получил куки-файл сервера, клиентский компьютер 102 предпринимает попытку доступа к области сети сервера 112 услуг в операции 306 доступа после адресации обратно на сервер 112 услуг от сервера 108 регистрации. После переадресации последовательность запросов включает в себя сообщение от сервера 108 регистрации, указывающее, что пользователь клиентского компьютера 102, имеющий куки-файл сервера, только что был аутентифицирован. В этот момент времени сервер 112 услуг принимает сообщение от последовательности запросов и куки-файл сервера от клиентского компьютера 102 и предпринимает попытку проверки достоверности куки-файла сервера. Сервер 112 услуг аутентифицирует пользователя в операции 308 аутентификации при проверке достоверности куки-файла сервера, например, посредством его дешифрирования и/или проверки, что срок действия его еще не истек. При аутентификации сервер 112 услуг генерирует и предоставляет куки-файлы подобласти пользователю для каждой подобласти, предусмотренной на сервере 112 услуг, так как сервер 112 услуг принял сообщение от сервера 108 регистрации, что пользователь только что был аутентифицирован на сервере 108 регистрации.
Как только куки-файлы подобласти были представлены клиентскому компьютеру 102 для конкретного куки-файла сервера, то сервер 112 услуг требует, чтобы клиентский компьютер 102, который выполняет аутентификацию с этим же куки-файлом сервера, имел выданный куки-файл подобласти для подобласти, к которому пользователь предпринимает попытку доступа. Это позволяет серверу 112 услуг предпринять попытку проверки достоверности куки-файла подобласти посредством дешифрирования другим секретным ключом и/или посредством проверки срока действия с целью аутентификации пользователя для подобласти, к которой выполняется доступ в операции 310 подобласти. Если пользователь с куки-файлом сервера не имеет куки-файлы подобласти, то тогда сервер 112 услуг может направить пользователя на повторную аутентификацию на сервере 108 регистрации.
Понятно, что в некоторых вариантах осуществления изобретения сервер 112 услуг также может предоставить дополнительную проверку полномочий, если пользователь был аутентифицирован, для определения, имеет ли аутентифицированный пользователь полномочия для доступа к конкретной подобласти. Хотя куки-файлы подобластей служат для аутентификации пользователя для подобластей в области сети, пользователь может не иметь полномочий для некоторых подобластей и ему может быть отказано в доступе на этом основании.
На фиг.4 изображены иллюстративные логические операции одного варианта выполнения программного приложения 218 куки-файлов для аутентификации пользователя. Логические операции начинаются с операции 402 доступа, во время которой сервер 112 услуг принимает попытку доступа от клиентского компьютера 102, где попыткой доступа может быть перенаправление с сервера 108 регистрации обратно на сервер 112 услуг. При приеме попытки доступа сервер 112 услуг предпринимает попытку получить куки-файл сервера (первый куки-файл) от клиентского компьютера 102, который может быть проверен на достоверность посредством дешифрирования и/или проверки достоверности срока действия. В этот момент времени сервер 112 услуг также может получить любое сообщение от сервера 108 регистрации, которое указывает, что пользователь только что был аутентифицирован на сервере 108 регистрации.
Операция 406 запроса определяет, была ли успешной проверка на достоверность куки-файла сервера. Если операция 406 запроса определяет, что не выполнена проверка на достоверность куки-файла сервера, например потому что куки-файл сервера не может быть дешифрирован или истек срок его действия, то тогда сервер 112 услуг может адресовать клиентский компьютер 102 на сервер 108 регистрации с помощью операции 408 перенаправления. Альтернативно, сервер 112 услуг может просто отказать в доступе пользователю. Если операция 406 запроса обнаруживает, что проверка на достоверность куки-файла сервера была успешной, то тогда последовательность операций переходит к операции 410 запроса.
Во время операции 410 запроса сервер 112 услуг проверяет, были ли уже предоставлены куки-файлы подобласти клиентскому компьютеру 102 для полученного в настоящий момент куки-файла сервера. Это может быть выполнено посредством обращения к сообщению в последовательности (строке) запросов, возвращенной серверу 112 услуг от сервера 108 регистрации. Если было принято сообщение от сервера 108 регистрации, то тогда сервер 112 услуг знает, что пользователь только что был аутентифицирован на сервере 108 регистрации для области сети сервера 112 услуг, и что еще не были предоставлены куки-файлы каталогов. Это сообщение дополнительно указывает, что пользователь, представляющий куки-файл сервера, является законным пользователем, а не злонамеренным пользователем, который, возможно, перехватил куки-файл сервера. Если не было представлено сообщение от сервера 108 регистрации, то тогда сервер 112 услуг продолжает работу так, как если бы куки-файлы подобласти уже были представлены для этого куки-файла сервера, что предотвращает выдачу куки-файлов подобласти злонамеренному пользователю.
Когда операция 410 запроса обнаруживает, что ранее не были предоставлены куки-файлы подобластей для этого куки-файла сервера, так как присутствует сообщение в последовательности запросов от сервера 108 регистрации, то тогда сервер 112 услуг генерирует куки-файлы подобластей, подлежащие использованию совместно с текущим куки-файлом сервера при операции 412 генерирования. Как описано, каждый из этих сгенерированных куки-файлов подобластей включает в себя идентификатор соответствующей подобласти и также может включать в себя идентификатор пользователя, где для доступа требуется дополнительный контроль полномочий. Эти сгенерированные куки-файлы подобластей затем посылаются на клиентский компьютер 102 в операции 414 посылки. Аутентификация текущего пользователя для подобласти, к которой выполняется обращение, затем предоставляется в операции 416 аутентификации.
Когда операция 410 запроса обнаруживает, что куки-файлы подобластей уже ранее были предоставлены для этого куки-файла сервера вследствие отсутствия получения сообщения от сервера 108 регистрации на попытку доступа, то тогда сервер 112 услуг предпринимает попытку получить куки-файл подобласти для подобласти, к которой в настоящий момент выполняется доступ, в операции 418 куки-файла. Как описано выше, для куки-файла сервера куки-файлы подобласти клиентского компьютера 102 могут шифроваться ключом, известным серверу 112 услуг, так что ключ используется для дешифрирования куки-файла подобласти, таким образом может быть проверена его достоверность. Дополнительно, соответствующая подобласть идентифицируется в куки-файле подобласти. Операция 420 запроса затем обнаруживает, была ли проверена достоверность куки-файла подобласти для текущей подобласти посредством дешифрирования и/или проверки достоверности срока действия и также посредством сравнения подобласти, идентифицированной в куки-файле, с подобластью, к которой выполняется доступ. Если операция 420 запроса обнаруживает, что не был обнаружен куки-файл подобласти, достоверность которого может быть проверена для этой подобласти, то тогда сервер 112 услуг отказывает пользователю в аутентификации для подобласти во время операции 422 отказа, так что текущий пользователь не сможет получить доступ к этой подобласти. Это предотвращает доступ к текущей подобласти злонамеренному пользователю, который, возможно, перехватил куки-файл сервера и, вероятно, даже куки-файл каталога на другую подобласть. Если операция 420 запроса обнаруживает, что была проверена достоверность куки-файла области для этой области, то тогда сервер 112 услуг предоставляет пользователю аутентификацию для подобласти во время операции 416 аутентификации. Если необходимо, то тогда может быть выполнено обращение к аутентифицированному пользователю в отношении проверки прав полномочий для подобласти для определения, имеет ли этот аутентифицированный пользователь разрешение на доступ к этой представляющей интерес подобласти.
Хотя изобретение было конкретно проиллюстрировано и описано со ссылкой на его иллюстративные варианты выполнения, специалистам в этой области техники понятно, что в нем могут быть сделаны различные другие изменения в форме и деталях в пределах сущности и объема изобретения.

Claims (40)

1. Способ аутентификации пользователя компьютера для по меньшей мере одной подобласти сетевого адреса, содержащий этапы: обеспечение сетевого адреса, имеющего подобласть, при этом требуются два куки-файла для обеспечения аутентификации пользователя с целью доступа к этой подобласти; выдачу первого куки-файла компьютеру для аутентификации пользователя для сетевого адреса, причем первый куки-файл обеспечивает аутентификацию пользователя для сетевого адреса; выдачу второго куки-файла компьютеру для аутентификации пользователя для первой подобласти сетевого адреса; когда компьютер предпринимает попытку получения доступа по сетевому адресу, проверку достоверности первого куки-файла с целью аутентификации пользователя для сетевого адреса; и дополнительную проверку достоверности второго куки-файла с целью аутентификации пользователя для первой подобласти сетевого адреса, если первый куки-файл является достоверным.
2. Способ по п.1, в котором второй куки-файл проверяется на достоверность, когда компьютер предпринимает попытку получения доступа к первой подобласти сетевого адреса.
3. Способ по п.1, в котором сетевым адресом является домен "Всемирной паутины".
4. Способ по п.1, в котором второй куки-файл шифруется ключом, известным серверу, выполняющему хостинг сетевого адреса в подобласти сетевого адреса.
5. Способ по п.1, в котором второй куки-файл задает идентификатор пользователя и идентификатор первой подобласти сетевого адреса.
6. Способ по п.1, в котором второй куки-файл включает в себя срок действия.
7. Способ по п.1, дополнительно содержащий предоставление дополнительного куки-файла компьютеру для аутентификации пользователя для дополнительной подобласти сетевого адреса и проверку достоверности дополнительного куки-файла с целью аутентификации пользователя для упомянутой дополнительной подобласти сетевого адреса.
8. Способ по п.1, дополнительно содержащий поиск дополнительного куки-файла, который может быть проверен на достоверность для дополнительной подобласти сетевого адреса; и отказ в аутентификации пользователя для дополнительной подобласти сетевого адреса, если не обнаружен дополнительный куки-файл.
9. Способ по п.1, дополнительно содержащий этапы: получение имени пользователя и пароля от компьютера пользователя; сравнение имени пользователя и пароля с контрольным именем пользователя и паролем; предоставление первого куки-файла, если имя пользователя и пароль совпадают с контрольным именем пользователя и паролем; если пользователь предпринимает попытку получения доступа к области сети в первый раз после приема компьютером пользователя первого куки-файла - предоставление второго куки-файла компьютеру пользователя после проверки на достоверность первого куки-файла; и если пользователь предпринимает попытку получения доступа к области сети после первого раза с первым куки-файлом, то тогда получение второго куки-файла от компьютера.
10. Способ по п.9, в котором сравнение имени пользователя и пароля с контрольным именем пользователя и паролем происходит во второй области сети, и в котором первый куки-файл предоставляется компьютеру пользователя из второй области сети.
11. Компьютерная система для аутентификации пользователя компьютера для по меньшей мере одной подобласти сетевого адреса, содержащая сетевой интерфейс и устройство обработки, выполненное с возможностью получения первого куки-файла посредством сетевого интерфейса и для проверки достоверности первого куки-файла с целью аутентификации пользователя для сетевого адреса, при этом упомянутая по меньшей мере одна подобласть требует двух куки-файлов для обеспечения аутентификации пользователя для доступа к этой подобласти, и первый куки-файл обеспечивает аутентификацию пользователя для сетевого адреса, и для получения второго куки-файла посредством сетевого интерфейса и для проверки достоверности второго куки-файла с целью аутентификации пользователя для первой подобласти сетевого адреса, если первый куки-файл является достоверным.
12. Компьютерная система по п.11, в которой устройство обработки проверяет достоверность второго куки-файла при приеме попытки получения доступа к первой подобласти сетевого адреса.
13. Компьютерная система по п.11, в которой сетевым адресом является домен "Всемирной паутины".
14. Компьютерная система по п.11, дополнительно содержащая запоминающее устройство, которое хранит ключ, которым шифруется второй куки-файл.
15. Компьютерная система по п.11, в которой второй куки-файл задает идентификатор пользователя и идентификатор первой подобласти сетевого адреса.
16. Компьютерная система по п.11, в которой второй куки-файл включает в себя срок действия.
17. Компьютерная система по п.11, в которой устройство обработки дополнительно выполнено с возможностью получения дополнительного куки-файла для дополнительной подобласти сетевого адреса посредством сетевого интерфейса и для проверки достоверности дополнительного куки-файла с целью аутентификации пользователя для упомянутой дополнительной подобласти сетевого адреса.
18. Компьютерная система по п.11, в которой устройство обработки дополнительно выполнено с возможностью поиска посредством сетевого интерфейса дополнительного куки-файла, который может быть проверен на достоверность для дополнительной подобласти, и отказа в аутентификации пользователя для дополнительной подобласти сетевого адреса, когда не обнаруживается дополнительный куки-файл.
19. Компьютерная система по п.11, в которой устройство обработки дополнительно выполнено с возможностью, когда первый куки-файл принимается посредством сетевого интерфейса в первый раз, предоставления второго куки-файла посредством сетевого интерфейса после проверки на достоверность первого куки-файла и, когда первый куки-файл принимается посредством сетевого интерфейса после первого раза, получения второго куки-файла посредством сетевого интерфейса.
20. Компьютерная система по п.11, в которой подобластью является каталог сервера по сетевому адресу.
21. Сетевая система для аутентификации пользователя компьютера для по меньшей мере одной подобласти сетевого адреса, содержащая серверный компьютер по сетевому адресу, обеспечивающему по меньшей мере одну подобласть сетевого адреса, при этом требуется два отдельных куки-файла для аутентификации пользователя для доступа к упомянутой по меньшей мере одной подобласти; и клиентский компьютер, поддерживающий связь с серверным компьютером по сети, причем клиентский компьютер хранит первый куки-файл для сетевого адреса и второй куки-файл для подобласти сетевого адреса, и при этом серверный компьютер получает доступ и проверяет достоверность первого куки-файла с целью аутентификации пользователя клиентского компьютера для сетевого адреса, и причем серверный компьютер получает доступ и проверяет достоверность второго куки-файла с целью аутентификации пользователя клиентского компьютера для подобласти сетевого адреса, если первый куки-файл проверен на достоверность.
22. Сетевая система по п.21, в которой серверный компьютер проверяет достоверность второго куки-файла, когда клиентский компьютер предпринимает попытку получения доступа к первой подобласти сетевого адреса.
23. Сетевая система по п.21, в которой сетевым адресом является домен "Всемирной паутины".
24. Сетевая система по п.21, в которой второй куки-файл шифруется ключом, известным серверному компьютеру.
25. Сетевая система по п.21, в которой второй куки-файл задает идентификатор пользователя и идентификатор первой подобласти сетевого адреса.
26. Сетевая система по п.21, в которой второй куки-файл включает в себя срок действия.
27. Сетевая система по п.21, в которой клиентский компьютер хранит дополнительный куки-файл для аутентификации пользователя для дополнительной подобласти сетевого адреса, и в которой серверный компьютер получает доступ и проверяет достоверность дополнительного куки-файла с целью аутентификации пользователя для упомянутой дополнительной подобласти сетевого адреса.
28. Сетевая система по п.21, в которой серверный компьютер производит поиск дополнительного куки-файла от клиентского компьютера, который может быть проверен на достоверность для дополнительной подобласти сетевого адреса, и отказывает в аутентификации пользователя для дополнительной подобласти, когда не обнаруживается дополнительный куки-файл.
29. Сетевая система по п.21, дополнительно содержащая второй серверный компьютер, который получает имя пользователя и пароль от клиентского компьютера, сравнивает имя пользователя и пароль с контрольным именем пользователя и паролем и подает первый куки-файл на клиентский компьютер, когда имя пользователя и пароль совпадают с контрольным именем пользователя и паролем.
30. Сетевая система по п.21, в которой серверный компьютер при попытке клиентского компьютера получить доступ к области сети в первый раз после приема клиентским компьютером первого куки-файла подает второй куки-файл на клиентский компьютер после проверки на достоверность первого куки-файла, и в которой серверный компьютер при попытке клиентского компьютера получить доступ к области сети после первого раза получает второй куки-файл от клиентского компьютера.
31. Считываемый компьютером носитель, содержащий команды, которые при исполнении компьютером выполняют способ аутентификации пользователя компьютера для по меньшей мере одной подобласти сетевого адреса, содержащий этапы: предоставление сетевого адреса, имеющего по меньшей мере одну подобласть, при этом требуется два куки-файла для аутентификации пользователя для доступа к упомянутой по меньшей мере одной подобласти; получения первого куки-файла посредством сетевого интерфейса компьютера; проверки достоверности первого куки-файла с целью аутентификации пользователя для сетевого адреса; получения второго куки-файла посредством сетевого интерфейса компьютера и дополнительной проверки достоверности второго куки-файла с целью аутентификации пользователя для первой подобласти сетевого адреса, если первый куки-файл является достоверным.
32. Считываемый компьютером носитель по п.31, в котором инструкции содержат проверку достоверности второго куки-файла компьютером, который исполняет команды, после приема попытки получения доступа к первой подобласти сетевого адреса.
33. Считываемый компьютером носитель по п.31, в котором сетевым адресом является домен "Всемирной паутины".
34. Считываемый компьютером носитель по п.31, в котором второй куки-файл шифруется ключом, известным компьютеру, который исполняет команды.
35. Считываемый компьютером носитель по п.31, в котором второй куки-файл задает идентификатор пользователя и идентификатор первой подобласти сетевого адреса.
36. Считываемый компьютером носитель по п.31, в котором второй куки-файл включает в себя срок действия.
37. Считываемый компьютером носитель по п.31, в котором команды, исполняемые компьютером, выполняют дополнительные этапы: получения дополнительного куки-файла для дополнительной подобласти сетевого адреса посредством сетевого интерфейса и проверки достоверности дополнительного куки-файла с целью аутентификации пользователя для упомянутой дополнительной подобласти сетевого адреса.
38. Считываемый компьютером носитель по п.31, в котором команды, исполняемые компьютером, выполняют дополнительные этапы: поиска посредством сетевого интерфейса дополнительного куки-файла, который может быть проверен на достоверность для дополнительной подобласти; и отказа в аутентификации пользователя для дополнительной подобласти сетевого адреса, когда не обнаруживается дополнительный куки-файл.
39. Считываемый компьютером носитель по п.31, в котором команды, исполняемые компьютером, выполняют дополнительные этапы: когда компьютер принимает первый куки-файл в первый раз, предоставление второго куки-файла посредством сетевого интерфейса при проверке достоверности первого куки-файла; и когда пользователь предпринимает попытку доступа к области сети после первого раза, получение второго куки-файла посредством сетевого интерфейса.
40. Считываемый компьютером носитель по п.31, в котором подобластью является серверный компьютер из группы серверных компьютеров по сетевому адресу компьютера, исполняющего команды.
RU2003135433/09A 2002-12-05 2003-12-04 Способы и системы аутентификации пользователя для подобластей области сети RU2348070C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/310,269 US7237118B2 (en) 2002-12-05 2002-12-05 Methods and systems for authentication of a user for sub-locations of a network location
US10/310,269 2002-12-05

Publications (2)

Publication Number Publication Date
RU2003135433A RU2003135433A (ru) 2005-05-10
RU2348070C2 true RU2348070C2 (ru) 2009-02-27

Family

ID=32312267

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2003135433/09A RU2348070C2 (ru) 2002-12-05 2003-12-04 Способы и системы аутентификации пользователя для подобластей области сети

Country Status (17)

Country Link
US (1) US7237118B2 (ru)
EP (1) EP1427160B1 (ru)
JP (1) JP4746266B2 (ru)
KR (1) KR100920871B1 (ru)
CN (1) CN100438421C (ru)
AT (1) ATE471022T1 (ru)
AU (1) AU2003262473B2 (ru)
BR (1) BR0305278A (ru)
CA (1) CA2448853C (ru)
DE (1) DE60332909D1 (ru)
HK (1) HK1066123A1 (ru)
MX (1) MXPA03010778A (ru)
MY (1) MY138346A (ru)
PL (1) PL363770A1 (ru)
RU (1) RU2348070C2 (ru)
TW (1) TWI330482B (ru)
ZA (1) ZA200308723B (ru)

Families Citing this family (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8380854B2 (en) 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US7275260B2 (en) 2001-10-29 2007-09-25 Sun Microsystems, Inc. Enhanced privacy protection in identification in a data communications network
US20030084172A1 (en) * 2001-10-29 2003-05-01 Sun Microsystem, Inc., A Delaware Corporation Identification and privacy in the World Wide Web
US20030084302A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation Portability and privacy with data communications network browsing
US20030084171A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
US7730321B2 (en) * 2003-05-09 2010-06-01 Emc Corporation System and method for authentication of users and communications received from computer systems
CA2422334C (en) * 2003-03-17 2009-06-09 British Telecommunications Public Limited Company Authentication of network users
US8977763B1 (en) * 2003-04-25 2015-03-10 Aol Inc. Systems and methods for distributing streams and stream metadata
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US8099503B2 (en) 2003-12-23 2012-01-17 Microsoft Corporation Methods and systems for providing secure access to a hosted service via a client application
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US7857701B2 (en) * 2004-03-12 2010-12-28 Microsoft Corporation Silent sign-in for offline games
WO2006002068A2 (en) * 2004-06-15 2006-01-05 Passmark Security, Inc. Method and apparatus for making accessible a set of services to users
WO2006006200A1 (ja) * 2004-07-07 2006-01-19 Athlete Co., Ltd テレビ受像機、クライアント端末及び鍵管理サーバ
US8528078B2 (en) * 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
ES2420158T3 (es) * 2004-07-15 2013-08-22 Anakam, Inc. Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US8296562B2 (en) * 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US20100100967A1 (en) * 2004-07-15 2010-04-22 Douglas James E Secure collaborative environment
US20060190990A1 (en) * 2005-02-23 2006-08-24 Shimon Gruper Method and system for controlling access to a service provided through a network
US8171303B2 (en) * 2004-11-03 2012-05-01 Astav, Inc. Authenticating a login
EP1662820A1 (de) * 2004-11-25 2006-05-31 Siemens Aktiengesellschaft Übermittlung Dienst-relevanter Zugangsinformationen bei Authentisierung eines Endgeräts an einer Zugangseinrichtung eines Telekommunikationsnetzes
US20070027807A1 (en) * 2005-07-29 2007-02-01 Alexandre Bronstein Protecting against fraud by impersonation
US8533350B2 (en) * 2005-11-01 2013-09-10 Ravenwhite Inc. Method and apparatus for storing information in a browser storage area of a client device
US20070124805A1 (en) * 2005-11-29 2007-05-31 Yahoo! Inc. Cookie with multiple staged logic for identifying an unauthorized type of user
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US7765275B2 (en) * 2006-01-27 2010-07-27 International Business Machines Corporation Caching of private data for a configurable time period
BRPI0621455A2 (pt) * 2006-03-09 2011-12-13 Vasco Data Security Inc sistema e métodos de autenticação de usuário e implementado por servidor
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US8844003B1 (en) 2006-08-09 2014-09-23 Ravenwhite Inc. Performing authentication
US11075899B2 (en) 2006-08-09 2021-07-27 Ravenwhite Security, Inc. Cloud authentication
CN101540734A (zh) 2008-03-21 2009-09-23 阿里巴巴集团控股有限公司 一种跨域名Cookie访问方法、系统及设备
US8719572B2 (en) * 2008-07-16 2014-05-06 Disney Enterprises, Inc. System and method for managing authentication cookie encryption keys
KR101048836B1 (ko) * 2009-01-22 2011-07-13 주식회사 인사이트랩 모바일 기기를 이용한 금융 서비스 제공 시스템 및 그 방법
US9112850B1 (en) * 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US8370908B2 (en) * 2009-06-10 2013-02-05 Microsoft Corporation Decreasing login latency
US8286225B2 (en) * 2009-08-07 2012-10-09 Palo Alto Research Center Incorporated Method and apparatus for detecting cyber threats
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US8756319B2 (en) * 2010-06-17 2014-06-17 Bby Solutions, Inc. Automatic reauthentication in a media device
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US9384112B2 (en) * 2010-07-01 2016-07-05 Logrhythm, Inc. Log collection, structuring and processing
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US8886981B1 (en) 2010-09-15 2014-11-11 F5 Networks, Inc. Systems and methods for idle driven scheduling
US9361597B2 (en) 2010-10-19 2016-06-07 The 41St Parameter, Inc. Variable risk engine
US9554276B2 (en) 2010-10-29 2017-01-24 F5 Networks, Inc. System and method for on the fly protocol conversion in obtaining policy enforcement information
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9246819B1 (en) 2011-06-20 2016-01-26 F5 Networks, Inc. System and method for performing message-based load balancing
US8943571B2 (en) * 2011-10-04 2015-01-27 Qualcomm Incorporated Method and apparatus for protecting a single sign-on domain from credential leakage
US9118619B2 (en) * 2011-11-07 2015-08-25 Qualcomm Incorported Prevention of cross site request forgery attacks by conditional use cookies
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
US9172753B1 (en) * 2012-02-20 2015-10-27 F5 Networks, Inc. Methods for optimizing HTTP header based authentication and devices thereof
US9231879B1 (en) 2012-02-20 2016-01-05 F5 Networks, Inc. Methods for policy-based network traffic queue management and devices thereof
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
EP2853074B1 (en) 2012-04-27 2021-03-24 F5 Networks, Inc Methods for optimizing service of content requests and devices thereof
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
KR101293178B1 (ko) * 2012-09-11 2013-08-12 오정원 쿠키 포맷 인증 정보를 이용한 보안 접속 시스템 및 방법
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
CN102857515B (zh) * 2012-09-21 2015-06-17 北京神州绿盟信息安全科技股份有限公司 一种访问网络的控制方法及装置
US9424543B2 (en) 2012-09-27 2016-08-23 International Business Machines Corporation Authenticating a response to a change request
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
US9756056B2 (en) 2013-09-04 2017-09-05 Anton Nikolaevich Churyumov Apparatus and method for authenticating a user via multiple user devices
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
CN103729903A (zh) * 2013-12-26 2014-04-16 乐视致新电子科技(天津)有限公司 以手机作为验证终端的认证系统及方法
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US20160301690A1 (en) * 2015-04-10 2016-10-13 Enovate Medical, Llc Access control for a hard asset
US9734682B2 (en) 2015-03-02 2017-08-15 Enovate Medical, Llc Asset management using an asset tag device
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US10348712B2 (en) * 2016-02-26 2019-07-09 Ricoh Company, Ltd. Apparatus, authentication system, and authentication method
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US9779405B1 (en) * 2016-09-26 2017-10-03 Stripe, Inc. Systems and methods for authenticating a user commerce account associated with a merchant of a commerce platform
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10645177B2 (en) * 2017-04-19 2020-05-05 International Business Machines Corporation Cookie based session timeout detection and management
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
US11212101B2 (en) * 2018-10-09 2021-12-28 Ca, Inc. Token exchange with client generated token

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3888519T2 (de) * 1987-10-06 1994-10-20 Asahi Glass Co Ltd Flüssigkristall-anzeigevorrichtung.
EP0319074B1 (en) * 1987-11-30 1992-01-29 Brocades Pharma B.V. Pharmaceutical composition and process for its preparation
WO2000027089A1 (en) * 1998-10-30 2000-05-11 Lockstar, Inc. Secure authentication for access to back-end resources
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
WO2001077780A2 (en) * 2000-04-06 2001-10-18 Freerun Technologies, Inc. Systems and methods for securing a web transaction between a client and a merchant using encrypted keys and cookies
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
KR100463514B1 (ko) * 2000-09-09 2004-12-29 엘지전자 주식회사 로그인 수행을 위한 시스템의 운영 방법 및 이를 위한시스템
US7380008B2 (en) * 2000-12-22 2008-05-27 Oracle International Corporation Proxy system
US20020129159A1 (en) * 2001-03-09 2002-09-12 Michael Luby Multi-output packet server with independent streams
US20030018707A1 (en) * 2001-07-20 2003-01-23 Flocken Philip Andrew Server-side filter for corrupt web-browser cookies

Also Published As

Publication number Publication date
ZA200308723B (en) 2004-10-08
DE60332909D1 (de) 2010-07-22
TWI330482B (en) 2010-09-11
EP1427160A2 (en) 2004-06-09
PL363770A1 (en) 2004-06-14
KR100920871B1 (ko) 2009-10-09
US7237118B2 (en) 2007-06-26
HK1066123A1 (en) 2005-03-11
AU2003262473B2 (en) 2009-05-28
CA2448853A1 (en) 2004-06-05
EP1427160B1 (en) 2010-06-09
TW200423661A (en) 2004-11-01
MXPA03010778A (es) 2005-04-19
US20040111621A1 (en) 2004-06-10
CN1507203A (zh) 2004-06-23
EP1427160A3 (en) 2008-09-24
KR20040049272A (ko) 2004-06-11
JP2004185623A (ja) 2004-07-02
CA2448853C (en) 2013-02-19
ATE471022T1 (de) 2010-06-15
AU2003262473A1 (en) 2004-06-24
MY138346A (en) 2009-05-29
JP4746266B2 (ja) 2011-08-10
RU2003135433A (ru) 2005-05-10
CN100438421C (zh) 2008-11-26
BR0305278A (pt) 2004-08-31

Similar Documents

Publication Publication Date Title
RU2348070C2 (ru) Способы и системы аутентификации пользователя для подобластей области сети
KR102429633B1 (ko) 다수의 웹사이트들 간의 자동 로그인 방법 및 장치
US6286104B1 (en) Authentication and authorization in a multi-tier relational database management system
US7249262B2 (en) Method for restricting access to a web site by remote users
KR101534890B1 (ko) 신뢰된 장치별 인증
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US6691232B1 (en) Security architecture with environment sensitive credential sufficiency evaluation
US8209394B2 (en) Device-specific identity
US7150038B1 (en) Facilitating single sign-on by using authenticated code to access a password store
US20130125222A1 (en) System and Method for Vetting Service Providers Within a Secure User Interface
US8468359B2 (en) Credentials for blinded intended audiences
EP1440360A1 (en) Enhanced quality of identification in a data communications network
WO2003038578A2 (en) User access control to distributed resources on a data communications network
JPH1091427A (ja) 署名入り内容の使用の安全を保証する方法及びシステム
CN112532599B (zh) 一种动态鉴权方法、装置、电子设备和存储介质
US11757877B1 (en) Decentralized application authentication
Peng et al. A multilevel access control scheme for data security in transparent computing
Gao et al. Scitokens ssh: Token-based authentication for remote login to scientific computing environments
RIVERA et al. Secure enrollment token delivery mechanism for Zero Trust networks using blockchain
Baker OAuth2
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템
US20230198767A1 (en) Distribution of one-time passwords for multi-factor authentication via blockchain
Gkotsis Creating a Windows Active Directory Lab and Performing Simulated Attacks
Alrodhan Identity management systems
WO2001055822A1 (en) Single logon system and method for distributed software applications

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20150526

MM4A The patent is invalid due to non-payment of fees

Effective date: 20191205