RU2507702C2 - Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям - Google Patents

Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям Download PDF

Info

Publication number
RU2507702C2
RU2507702C2 RU2010126178/08A RU2010126178A RU2507702C2 RU 2507702 C2 RU2507702 C2 RU 2507702C2 RU 2010126178/08 A RU2010126178/08 A RU 2010126178/08A RU 2010126178 A RU2010126178 A RU 2010126178A RU 2507702 C2 RU2507702 C2 RU 2507702C2
Authority
RU
Russia
Prior art keywords
user
organization
authentication
gateway
credentials
Prior art date
Application number
RU2010126178/08A
Other languages
English (en)
Other versions
RU2010126178A (ru
Inventor
Андреа ГИТТИНО
Стефано АННЕЗЕ
Роберто БОРРИ
Серджио САЛЬОККО
Original Assignee
ЧСП-ИННОВАЦИОНЕ НЕЛЛЕ АйСиТи СКАРЛ
С.И.Св.Е.Л. С.П.А. Сочиета Итальяна Пер Ло Звилуппо Дель Элеттроника
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ЧСП-ИННОВАЦИОНЕ НЕЛЛЕ АйСиТи СКАРЛ, С.И.Св.Е.Л. С.П.А. Сочиета Итальяна Пер Ло Звилуппо Дель Элеттроника filed Critical ЧСП-ИННОВАЦИОНЕ НЕЛЛЕ АйСиТи СКАРЛ
Publication of RU2010126178A publication Critical patent/RU2010126178A/ru
Application granted granted Critical
Publication of RU2507702C2 publication Critical patent/RU2507702C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Изобретение относится к системам предоставления доступа в Интернет. Технический результат заключается в обеспечении безопасности аутентификации за счет разделения учетных данных на две части, одна из которых предоставляется первой организации, а другая - второй организации. Пользователь отправляет запрос на доступ в Интернет через шлюз первой организации и предоставляет ей некоторые учетные данные для своей аутентификации во второй организации. Предоставляемые учетные данные содержат по меньшей мере один элемент информации о второй организации. Первая организация связывается со второй организацией для аутентификации пользователя и предоставления ему доступа в Интернет. После этого вторая организация предоставляет пользователю разрешение на доступ в Интернет. Согласно изобретению после получения запроса на доступ шлюз переадресует пользователя на веб-страницу второй организации, где пользователь предоставляет второй организации через веб-страницу дополнительные аутентификационные учетные данные, необходимые для его идентификации. 3 н. и 11 з.п. ф-лы, 2 ил.

Description

Изобретение относится к способу предоставления пользователю доступа в Интернет согласно преамбуле по п.1.
В частности, изобретение направлено на расширение возможностей пользователя по доступу в Интернет.
В настоящее время для многих людей Интернет превратился в незаменимый рабочий инструмент, а благодаря беспроводным сетям (например, WLAN) пользователь может выходить в Интернет, даже если он находится за пределами офиса.
Например, аэропорты, железнодорожные вокзалы и библиотеки имеют точки доступа, где пользователь может выходить в Интернет через шлюз.
В точке доступа определенной организации доступ к данной услуге обычно предоставляется только пользователям, имеющим действующие учетные записи, зарегистрированные в этой организации.
Таким образом, пользователь определенной организации не может выйти в Интернет в тех местах, которые не покрываются упомянутой организацией вследствие отсутствия к ним интереса или из-за инфраструктурных проблем.
Для решения подобных проблем было предложено несколько решений, позволяющих пользователю первой организации получать доступ в Интернет через точки доступа второй организации.
Что касается используемых платформ, то для некоторых из подобных решений порой требуется сложная конфигурация клиентского устройства пользователя.
Другие решения, предпочтительные с точки зрения простоты использования и конфигурации клиентского устройства, работают только на уровне шлюзов, переадресуя пользователей, не включенных в список зарегистрированных пользователей, на аутентификационный сервер другой организации.
Одно из последних решений известно из патента США 5,898,780, в котором раскрывается способ и устройство, позволяющие пользователю осуществлять доступ в Интернет из удаленного места через локального провайдера Интернет-услуг, у которого нет учетной записи данного пользователя. Пользователь входит в систему локального провайдера Интернет-услуг, используя учетные данные (имя пользователя и пароль) своей учетной записи у удаленного провайдера Интернет-услуг.
Сервер локального провайдера Интернет-услуг видит, что учетные данные, введенные пользователем, содержат элемент информации, позволяющей определить сервер локального провайдера Интернет-услуг, и направляет последнему запрос на предоставление пользователю доступа в Интернет через локального провайдера Интернет-услуг.
Однако у данного решения имеется недостаток в том плане, что конфиденциальная информация (имя пользователя и пароль), сообщаемая серверу локального провайдера Интернет-услуг, может стать предметом хакерских атак.
Университетом Тренто используется и было публично предложено решение, получившее название Юни-фай (Uni-fy), основанное на совершенно иных принципах, отличных от предлагаемых в патенте США 5,898,780.
Согласно данному решению предполагается, что клиентское устройство пользователя отправляет запрос DHCP на шлюз университета, который затем выделяет ему IP адрес.
У шлюза существуют определенные правила работы бранмаузера, по каждому из которых могут быть предприняты два возможных действия в зависимости от того, включен или нет пользователь, отправляющий пакеты данных, в список зарегистрированных пользователей.
Если пользователь не включен в список зарегистрированных пользователей, тогда пакет данных будет направлен контролеру шлюза, который займется предоставлением разрешения. Согласно способу «адаптивного портала» незарегистрированный пользователь направляется на локальную веб-страницу, где он может выбрать организацию, через которую он хотел бы получить разрешение.
В этот момент клиентское устройство пользователя связывается с выбранной организацией, и выполняется процедура аутентификации по протоколу, используемому данной организацией.
Благодаря этому решению сетевое оборудование Университета Тренто не может и не должно ни в коем случае узнать конфиденциальные данные пользователя, которые напрямую отсылаются в выбранную организацию.
Если аутентификация проходит успешно, то выбранная организация направляет запрос на разрешение контролеру шлюза университета, который меняет статус пользователя с незарегистрированного на зарегистрированный, позволяя тем самым ему получать доступ в Интернет.
У данного решения имеется недостаток в том плане, что распознавание подключенного пользователя (например, в целях безопасности или для выставления счета) затруднено и требует, чтобы псевдоним пользователя был связан с данными пользователя, зарегистрированными в удаленной аутентифицирующей организации.
Кроме этого, данное решение имеет существенные ограничения по расширяемости, поскольку выбор вручную организации, через которую пользователь хотел бы аутентифицироваться, предполагает, что шлюзу университета должны быть известны все существующие аутентифицирующие организации и что он постоянно обновляется с учетом всех изменений в процедуре аутентификации, используемой в каждой из аутентифицирующих организаций.
По мере роста числа аутентифицирующих организаций сложность управления университетской системой также возрастает.
Основной целью настоящего изобретения является преодоление недостатков предыдущего уровня техники за счет предложения альтернативного способа, позволяющего пользователю получать доступ в Интернет через шлюз организации, в которой он первоначально был зарегистрирован.
Данная цель достигается при помощи способа, включающего признаки, изложенные в прилагаемой формуле изобретения, являющейся составной частью настоящего описания.
Настоящее изобретение основано на принципе разделения временных интервалов (и получателей), в которые передаются учетные данные для аутентификации.
А именно, идея заключается в том, что, когда пользователь соединяется со шлюзом первой организации и отправляет запрос на получение доступа в Интернет, упомянутый шлюз предоставляет часть учетных данных, необходимых для отнесения пользователя ко второй организации. Например, пользователь может предоставлять имя пользователя и идентификатор второй организации.
Если шлюз, получивший подобный запрос, не узнает пользователя в качестве зарегистрированного пользователя, он переадресует пользователя на веб-страницу второй организации для его аутентификации.
После этого на упомянутой веб-странице пользователь сообщает дополнительные учетные данные, необходимые для его идентификации во второй организации, таким образом, чтобы последняя могла проверить личность пользователя и предоставить ему возможность выхода в Интернет.
Данное решение обладает несколькими преимуществами.
Прежде всего, пользователь может быть идентифицирован первой организацией по учетным данным, указанным в запросе на доступ в Интернет, упрощая тем самым из соображений безопасности или формирования счета процедуру идентификации пользователя; между тем, первой организации не сообщаются полные учетные данные пользователя, что делает данное решение достаточно устойчивым к хакерским атакам.
Во-вторых, данное решение легко расширяется, поскольку новые организации могут добавляться к объединению путем простого добавления компьютерной системы (в частности, сетевого узла и сервера), способной выполнять функции способа по настоящему изобретению.
Предпочтительно учетные данные, предоставляемые пользователем для первой организации, вводятся на странице приглашения и включают в себя имя пользователя в формате имя@область, где областью является доменное имя второй организации.
По указанной области шлюзы могут находить аутентификационный сервер организации, к которой относится пользователь, либо путем направления запроса в DNS, либо путем проверки по списку, хранящемуся на уровне шлюза, в котором указаны все аутентификационные серверы организаций, входящих в объединение.
Для обеспечения аутентификации сообщений, которыми обмениваются между собой шлюзы и аутентификационные серверы различных организаций, сигнальные сообщения предпочтительно подписываются и предпочтительно кодируются с использованием алгоритма асимметричного шифрования, такого, например, который реализован в системе PGP® (Довольно хорошая конфиденциальность), где используются открытый и закрытый ключи.
Для упрощения обмена ключами при добавлении (или удалении) новых организаций в архитектуре предпочтительно имеется сервер управления ключами.
Каждый раз при добавлении новой организации открытые ключи соответствующих аутентификационных серверов публикуются на данном сервере; шлюзы различных организаций периодически обращаются к нему по протоколу защищенной связи (например, HTTPS) для обновления списков соответствующих ключей.
Хранение списка ключей на уровне шлюзов позволяет исключить случаи, когда сбой на каком-либо из серверов управления ключами может повлиять на работу этой службы; новый аутентификационный сервер добавляется в систему в течение нескольких часов.
Сервер управления ключами аутентифицируется всеми шлюзами различных организаций по его собственному открытому ключу, который имеется на всех из упомянутых шлюзов, и запрещает внешним пользователям без разрешения входить в свою собственную организацию.
Дополнительные аспекты и преимущества настоящего изобретения станут более очевидны из следующего описания и прилагаемых чертежей, представленных в качестве не ограничивающего примера, где:
- на фиг.1 показано объединение организаций, предоставляющее пользователям, принадлежащим к любой из упомянутых организаций, доступ в Интернет;
- на фиг.2 схематично представлена процедура предоставления пользователю, принадлежащему к первой организации, доступа в Интернет через точки доступа второй организации.
На фиг.1 показано объединение организаций (E1, E2, Е3) подключенных к Интернет 1.
В настоящем изобретении термин «Организация» относится к любому учреждению, которое может предоставить пользователю доступ в Интернет или которое использует структурированную систему управления пользователями.
На примере по фиг.1, организации Е1 и E2 оснащены компьютерной системой, в частности узлом сети, который содержит шлюз GW, аутентификационный сервер AS и базу данных DB, в которой хранится информация необходимая для аутентификации пользователей организации.
Шлюз GW выполняет все функции бранмаузера и фильтрует весь неавторизованный график, тогда как аутентификационный сервер AS проверяет учетные данные пользователя в базе данных DB (базе данных MySQL или LDAP или в файле с паролями) или по стандартному протоколу, такому как, например, RADIUS.
В примере по фиг.1 организация E2 имеет точку доступа 3, через которую она предоставляет пользователям беспроводной доступ.
Организация Е1 имеет коммутатор 4, соединенный со шлюзом GW, для предоставления пользователям проводного доступа.
Организация Е3 является провайдером Интернет-услуг, у которого нет собственной сети доступа, но есть пользователи.
У данной организации имеются аутентификационный сервер AS и база данных DB, так же как и у организаций Е1 и E2; аутентификационный сервер AS подключен к Интернет через маршрутизатор RT, который в отличие от шлюза GW организаций Е1 и E2 не может осуществлять функции переадресации пользователя, описанные ниже.
Конечно, маршрутизатор RT может быть заменен на шлюз GW, однако в этом случае часть его функций использоваться не будет.
Вернемся к фигурам 1 и 2, пользователь 2 является зарегистрированным пользователем (т.е. принадлежащим к домену) организации Е1 и направляет запрос о доступе в сеть в организацию Е2, в которой он не аутентифицирован.
Подобная ситуация может возникнуть, например, в том случае, если пользователь организации Е1 (например, сотрудник компании А) находится в аэропорту или вблизи организации (например, компании Б) и хочет получить доступ в Интернет через инфраструктуру аэропорта или компании Б.
Во время проверки пользователем 2 наличия точки доступа организации Е2 он направляет запрос DHCP, после чего ему/ей присваивается IP адрес.
В этот момент пользователь 2 может направить запрос на доступ в Интернет.
Шлюз GW перехватывает этот запрос и переадресует клиента на страницу приглашения, на которой пользователь указывает часть своих учетных данных, необходимых для его аутентификации в организации Е1.
Согласно изобретению учетные данные, предоставляемые организации Е2, содержат по меньшей мере один элемент информации об организации, через которую пользователь хочет аутентифицироваться, т.е. в данном случае об организации Е1.
Предпочтительно подобные учетные данные состоят из имени пользователя 2 и доменного имени организации Е1, которая должна аутентифицировать пользователя 2.
Имя пользователя и название домена могут вводиться в разные поля, либо они могут быть получены шлюзом автоматически, если пользователю 2 будет предложено указать название учетной записи в формате имя@область, где «именем» является имя пользователя 2, а областью - доменное имя организации E1.
Используя учетные данные, предоставленные пользователем, организация Е2, таким образом, может связаться с организацией Е1 для аутентификации пользователя 2.
IP адрес аутентификационного сервера организации Е1 определяется посредством следующей иерархии правил.
Прежде всего, шлюз GW организации Е2 ставит перед названием области заданное имя (например: authserv) и направляет в DNS запрос для получения IP адреса аутентификационного сервера AS пользователя (т.е. организации 1).
Например, для пользователя mario.rossi@organizationl.it шлюз GW будет искать DNS по IP адресу authserv.organizationl.it.
Имя, указываемое перед названием области, одинаково для всех аутентификационных серверов организаций, входящих в одно и то же объединение, поэтому запрос, отправляемый шлюзом в DNS, может быть сформулирован просто.
При получении от DNS положительного ответа шлюз GW переадресует пользователя 2 на аутентификационный сервер организации Е2; если поиск завершился безрезультатно, то способ переходит к следующему правилу.
Согласно следующему правилу поиск IP адреса аутентификационного сервера AS организации Е1 производится в локальной базе данных организации Е2.
Согласно изобретению все шлюзы GW различных организаций хранят в локальной базе данных список доменов и IP адресов соответствующих аутентификационных серверов.
Упомянутый список периодически обновляется заданным центральным сервером, который обычно является общим для всех организаций, входящих в объединение.
Если поиск в упомянутой базе данных также окажется безрезультатным, то шлюз, получивший запрос на доступ в Интернет, перейдет к обработке последнего правила, согласно которому пользователь переадресуется на аутентификационный сервер, используемый по умолчанию, заданный ранее во время прошлой установки шлюза.
Последнее правило, по существу, позволяет признать в качестве информации, относящейся к заданной организации, отсутствие какой-либо информации, указанной пользователем в явной форме в своем запросе на доступ в Интернет.
Другими словами, если пользователь 2 укажет шлюзу GW лишь свое имя без указания домена организации 1, через которую он хотел бы аутентифицироваться, то тогда шлюз будет расценивать данную информацию как желание аутентифицироваться в организации, определенной по умолчанию.
После нахождения аутентификационного сервера шлюз переадресует клиента на аутентификационный сервер, а пользователь будет аутентифицирован после ввода своего пароля, тем самым возвращаясь к стандартной процедуре аутентификации, такой которая обеспечивается системами «адаптивного портала» типа системы NoCat.
Если проверка имени пользователя и пароля проходит успешно, то аутентификационный сервер направляет аутентификационное сообщение клиентскому устройству пользователя 2, которое затем будет переадресовано на шлюз GW.
Последний производит необходимую настройку бранмаузера для того, чтобы обеспечить предоставление услуг, включенных в профиль пользователя, и после этого переадресует пользователя на первоначально запрошенную веб-страницу.
Описанная выше процедура приведена в качестве примера на фиг.2, где показан обмен информацией между клиентским устройством пользователя 2, шлюзом организации Е2, аутентификационным сервером организации Е1 и базой данных организации Е1, в которой хранится идентификационная информация по всем пользователям, авторизованным организацией Е1.
На фиг.2:
- клиент направляет запрос на доступ в сеть, например http://www.google.it (последовательность с1),
- шлюз перехватывает запрос и переадресует клиента на аутентификационный портал (последовательность с2),
- клиент отправляет свои учетные данные, например имя пользователя (последовательность с3),
- шлюз переадресует клиента на портал аутентификационного сервера (последовательность с4),
- пользователь вводит пароль (последовательность с5),
- аутентификационный сервер проверяет учетные данные пользователя (имя пользователя и пароль), сравнивая их с содержащимися в базе данных, например, по протоколу RADIUS (последовательность с6),
- пользователь получает разрешение (последовательность с7),
- аутентификационный сервер в качестве подтверждения аутентификации направляет клиенту сообщение об открытии бранмаузера (последовательность с8),
- клиент пересылает полученное сообщение на шлюз для открытия бранмаузера (последовательность с9),
- шлюз переадресует клиента на запрошенный сайт http://www.google.it (последовательность с 10),
- клиент получает доступ к запрошенному сайту http://www.google.it (последовательность с11).
Подобная архитектура обеспечивает абсолютную расширяемость.
Фактически, систему можно легко наращивать за счет установки шлюза GW в новой организации ЕХ, а также регистрации аутентификационного сервера, который будет управлять пользователями, принадлежащими к новому домену (например, organizationX.it), в DNS; в силу указанных выше причин регистрация в DNS должна осуществляться в ранее описанном формате, например authserv.organizationX.it.
Предпочтительно в целях недопущения того, чтобы любые другие системы подменяли аутентификационный сервер и не пытались опознать незарегистрированных пользователей, обмен информацией между аутентификационным сервером и шлюзом защищен подписью; в частности, обмен информацией защищается подписью и предпочтительно кодируется с использованием метода асимметричного шифрования по типу открытый ключ/закрытый ключ.
Предпочтительно, если сообщения защищены только подписью, сообщение остается незашифрованным, но к нему прилагается хеш-значение, полученное с помощью закрытого ключа, которое после проверки открытым ключом позволяет убедиться, что сообщение является подлинным и было создано владельцем закрытого ключа.
После этого сообщения, обмен которых производится подобным образом, защищаются подписью и предпочтительно кодируются ключом (закрытым - для подписи, открытым - для кодирования), полученным, например, из программы PGP.
На каждом шлюзе имеется список открытых ключей аутентификационных серверов AS организаций, входящих в объединение, для недопущения попыток кражи ложными аутентификационными серверами аутентификационных данных.
Для регулярного обновления системы без ограничений по расширяемости используется сервер управления ключами (KS по фиг.1), в котором имеется хранилище (например, PGP) открытых ключей, принадлежащих аутентификационным серверам, узнаваемым системой.
Таким образом, для добавления новых организаций необходимо внести в данный список ключ аутентификационного сервера AS, управляющего новым доменом.
На каждом шлюзе имеется копия списка ключей; для регулярного обновления системы, согласно способу по данному изобретению, шлюзы периодически обращаются к серверу KS управления ключами и загружают список ключей.
При добавлении в систему нового аутентификационного сервера устанавливается первый переходный период, в течение которого пользователи новой организации не могут использовать свои учетные данные в режиме роуминга в других доменах системы; упомянутый период длится до тех пор, пока не завершится обновление локальных копий ключей на всех шлюзах.
Таким образом, это состояние отказа в обслуживании вызвано и ограничено только инсталляцией новых организаций, а не обслуживанием сети.
Поскольку на каждом шлюзе имеется копия списка открытых ключей аутентификационных серверов всех организаций, то система будет продолжать работать даже в случае, если возникнут неполадки или сбой на сервере KS управления ключами.
Подобным образом созданная система позволяет управлять выставлением счетов за трафик пользователей из различных организаций, поскольку каждый шлюз, через который осуществлялся доступ в Интернет, содержит и обязан хранить в специальных журналах информацию о соединениях каждого пользователя; подобная информация включает в себя как имя пользователя, так и название соответствующей организации, что позволяет выставлять счета за трафик корректно.
Описанный выше механизм предполагает, что между различными организациями реализуется политика доверия; если возникнет необходимость в контрольном механизме, то предпочтительно использовать центральный сервер, который получает информацию о соединениях пользователей от всех остальных серверов, так что можно проверить соединения, хранящиеся в памяти каждого шлюза.
Очевидно, что описанный выше вариант осуществления следует рассматривать как не ограничивающий пример изобретения и что в системе могут быть реализованы многочисленные изменения, не выходящие за пределы объема правовой защиты изобретения, указанного в прилагаемой формуле изобретения.
Например, шлюз, аутентификационный сервер и аутентификационная база данных (например, база данных SQL) могут быть реализованы на одной машине или распределены по нескольким машинам.
Кроме этого, способы, используемые для кодирования обмена информацией между аутентификационными серверами и шлюзами или между аутентификационными серверами и клиентами, могут быть любых видов из известного уровня техники.

Claims (14)

1. Способ предоставления пользователю доступа в Интернет, характеризующийся тем, что пользователь отправляет запрос на доступ в Интернет через шлюз первой организации, причем по упомянутому запросу пользователь начинает процесс аутентификации с предоставления упомянутой первой организации учетных данных для аутентификации, при этом после получения упомянутого запроса на доступ упомянутый шлюз переадресует упомянутого пользователя на веб-страницу второй организации для завершения процесса аутентификации, причем упомянутый процесс аутентификации содержит этапы, на которых:
упомянутый пользователь предоставляет первую часть упомянутых учетных данных для аутентификации, необходимых для отнесения пользователя к упомянутой второй организации;
упомянутая первая организация переадресует упомянутого пользователя на упомянутую веб-страницу упомянутой второй организации;
упомянутый пользователь для завершения процесса аутентификации предоставляет упомянутой второй организации через упомянутую веб-страницу вторую часть упомянутых учетных данных для аутентификации, необходимых для идентификации упомянутого пользователя упомянутой второй организацией;
упомянутая вторая организация сообщает упомянутой первой организации о том,
что упомянутый пользователь аутентифицирован, а
упомянутая первая организация предоставляет упомянутому пользователю
разрешение на доступ в Интернет по упомянутому запросу на доступ,
причем упомянутая первая часть упомянутых учетных данных для аутентификации содержит имя пользователя, содержащее "имя", идентифицирующее пользователя, и "область", идентифицирующую упомянутую вторую организацию, а вторая часть упомянутых учетных данных для аутентификации содержит пароль.
2. Способ по п. 1, в котором упомянутое имя пользователя выражено в формате имя@область.
3. Способ по п. 1, в котором упомянутый запрос на доступ в Интернет содержит первый этап, на котором упомянутому пользователю присваивается IP адрес, и второй этап, на котором упомянутый шлюз переадресует упомянутого пользователя на локальную веб-страницу приглашения, на которой упомянутый пользователь должен ввести упомянутую первую часть упомянутых учетных данных для аутентификации.
4. Способ по п. 1, в котором если упомянутому шлюзу не удается найти аутентификационный сервер упомянутой второй организации, то упомянутый шлюз отправляет упомянутые первые учетные данные на аутентификационный сервер, заданный по умолчанию.
5. Способ по п. 1, в котором упомянутый шлюз отправляет упомянутую первую часть упомянутых учетных данных для аутентификации на аутентификационный сервер упомянутой второй организации.
6. Способ по п. 5, в котором упомянутый шлюз определяет адрес упомянутого аутентификационного сервера с помощью запроса, отправленного в DNS.
7. Способ по п. 5, в котором упомянутый шлюз имеет доступ к списку организаций и определяет адрес упомянутого аутентификационного сервера посредством сравнения упомянутой первой части учетных данных для аутентификации с упомянутым списком.
8. Способ по п. 4, в котором обмен информацией между упомянутым шлюзом и упомянутым аутентификационным сервером защищают сигнатурой.
9. Способ по п. 4, в котором кодируют обмен информацией между упомянутым шлюзом и упомянутым аутентификационным сервером.
10. Способ по п. 9, в котором обмен информацией между упомянутым шлюзом и упомянутым аутентификационным сервером кодируют с использованием кодирования открытый ключ/закрытый ключ.
11. Способ по п. 10, в котором на сервере управления ключами хранится список открытых ключей множества аутентификационных серверов соответствующего множества организаций.
12. Способ по п. 11, в котором шлюзы упомянутого множества организаций периодически соединяют с упомянутым сервером управления ключами и сохраняют упомянутый список открытых ключей локально.
13. Компьютерная система, выполненная с возможностью реализации способа по п. 1.
14. Память компьютера, хранящая компьютерную программу, содержащую части кода, выполненные с возможностью реализации способа по п. 1 при исполнении компьютером.
RU2010126178/08A 2007-11-26 2008-11-24 Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям RU2507702C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IT000853A ITTO20070853A1 (it) 2007-11-26 2007-11-26 Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
ITTO2007A000853 2007-11-26
PCT/IB2008/003194 WO2009068956A2 (en) 2007-11-26 2008-11-24 Authentication method without credential duplication for users belonging to different organizations

Publications (2)

Publication Number Publication Date
RU2010126178A RU2010126178A (ru) 2012-01-10
RU2507702C2 true RU2507702C2 (ru) 2014-02-20

Family

ID=40315040

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010126178/08A RU2507702C2 (ru) 2007-11-26 2008-11-24 Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям

Country Status (10)

Country Link
US (1) US8386770B2 (ru)
EP (1) EP2215802A2 (ru)
JP (1) JP5507462B2 (ru)
KR (1) KR101518526B1 (ru)
CN (1) CN101919221B (ru)
BR (1) BRPI0820065A2 (ru)
CA (1) CA2706827C (ru)
IT (1) ITTO20070853A1 (ru)
RU (1) RU2507702C2 (ru)
WO (1) WO2009068956A2 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2751095C2 (ru) * 2016-07-11 2021-07-08 Лукиимидиа (Юк) Лимитед Предоставление доступа к структурированным сохраненным данным

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US9420459B2 (en) * 2011-11-16 2016-08-16 Cellco Partnership Method and system for redirecting a request for IP session from a mobile device
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
IN2014DN05781A (ru) * 2012-02-01 2015-04-10 Amazon Tech Inc
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
JP6111713B2 (ja) * 2013-02-06 2017-04-12 株式会社リコー 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
US9866592B2 (en) 2015-09-28 2018-01-09 BlueTalon, Inc. Policy enforcement system
US9871825B2 (en) 2015-12-10 2018-01-16 BlueTalon, Inc. Policy enforcement for compute nodes
US10091212B2 (en) 2016-03-04 2018-10-02 BlueTalon, Inc. Policy management, enforcement, and audit for data security
US11157641B2 (en) 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
EP3324664A1 (en) 2016-11-22 2018-05-23 Thomson Licensing Method, apparatus, and system for controlling acess to a local network
US10803190B2 (en) 2017-02-10 2020-10-13 BlueTalon, Inc. Authentication based on client access limitation
US10291602B1 (en) 2017-04-12 2019-05-14 BlueTalon, Inc. Yarn rest API protection
US10250723B2 (en) 2017-04-13 2019-04-02 BlueTalon, Inc. Protocol-level identity mapping
US10491635B2 (en) 2017-06-30 2019-11-26 BlueTalon, Inc. Access policies based on HDFS extended attributes
US11146563B1 (en) 2018-01-31 2021-10-12 Microsoft Technology Licensing, Llc Policy enforcement for search engines
US11005889B1 (en) 2018-02-02 2021-05-11 Microsoft Technology Licensing, Llc Consensus-based policy management
US11790099B1 (en) 2018-02-09 2023-10-17 Microsoft Technology Licensing, Llc Policy enforcement for dataset access in distributed computing environment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030041240A1 (en) * 2001-08-22 2003-02-27 Jim Roskind Single universal authentication system for internet services
US20030056096A1 (en) * 2001-04-18 2003-03-20 Albert Roy David Method and system for securely authenticating network access credentials for users
US20060206932A1 (en) * 2005-03-14 2006-09-14 Microsoft Corporation Trusted third party authentication for web services
US20060239254A1 (en) * 1998-12-08 2006-10-26 Nomadix, Inc. Systems and Methods for Providing Dynamic Network Authorization, Authentication and Accounting
RU2297663C2 (ru) * 2001-11-29 2007-04-20 Нокиа Корпорейшн Система и способ идентификации и доступа к услугам сети

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898780A (en) * 1996-05-21 1999-04-27 Gric Communications, Inc. Method and apparatus for authorizing remote internet access
JPH10336172A (ja) * 1997-06-04 1998-12-18 Kyushu Syst Joho Gijutsu Kenkyusho 電子認証用公開鍵の管理方法
JP3538527B2 (ja) * 1997-08-05 2004-06-14 株式会社東芝 無線通信システムおよび無線通信方法
ATE432561T1 (de) * 1999-10-22 2009-06-15 Nomadix Inc System und verfahren zur dynamischen berechtigung,authentifizierung und abrechnung in netzwerken
JP2002202934A (ja) * 2000-12-28 2002-07-19 Daiwa Securities Group Inc ウェブページのレイアウト変更方法
JP2003016295A (ja) * 2001-06-28 2003-01-17 Nec Corp オンラインショッピング方法及びそのシステム並びにプログラム
GB2401509B (en) * 2002-02-28 2006-02-01 Ericsson Telefon Ab L M System,method and apparatus for federated single sign-on services
US7191467B1 (en) * 2002-03-15 2007-03-13 Microsoft Corporation Method and system of integrating third party authentication into internet browser code
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
JP2004355073A (ja) * 2003-05-27 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク認証とシングルサインオンの一括認証方法及びシステム
AU2003304261A1 (en) * 2003-06-30 2005-01-13 Telecom Italia S.P.A. A method for network selection in communication networks, related network and computer program product therefor
JP4701172B2 (ja) * 2003-07-29 2011-06-15 トムソン ライセンシング リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法
FI120021B (fi) * 2003-08-27 2009-05-29 Nokia Corp Valtuustiedon hankkiminen
JP4579592B2 (ja) * 2004-06-25 2010-11-10 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報提供サービスシステムおよび方法
CN100397814C (zh) * 2004-07-13 2008-06-25 中国工商银行股份有限公司 一种基于网络的统一认证方法及系统
DE602005024000D1 (de) * 2005-09-30 2010-11-18 Alcyone Holding S A Verfahren und Vorrichtung zum Aufbau einer Verbindung zwischen einer mobilen Vorrichtung und einem Netzwerk
US7886343B2 (en) * 2006-04-07 2011-02-08 Dell Products L.P. Authentication service for facilitating access to services
JP5464794B2 (ja) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 ネットワーク管理方法およびネットワーク管理システム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060239254A1 (en) * 1998-12-08 2006-10-26 Nomadix, Inc. Systems and Methods for Providing Dynamic Network Authorization, Authentication and Accounting
US20030056096A1 (en) * 2001-04-18 2003-03-20 Albert Roy David Method and system for securely authenticating network access credentials for users
US20030041240A1 (en) * 2001-08-22 2003-02-27 Jim Roskind Single universal authentication system for internet services
RU2297663C2 (ru) * 2001-11-29 2007-04-20 Нокиа Корпорейшн Система и способ идентификации и доступа к услугам сети
US20060206932A1 (en) * 2005-03-14 2006-09-14 Microsoft Corporation Trusted third party authentication for web services

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2751095C2 (ru) * 2016-07-11 2021-07-08 Лукиимидиа (Юк) Лимитед Предоставление доступа к структурированным сохраненным данным

Also Published As

Publication number Publication date
JP5507462B2 (ja) 2014-05-28
WO2009068956A3 (en) 2009-09-03
CA2706827C (en) 2017-05-09
KR101518526B1 (ko) 2015-05-07
JP2011505735A (ja) 2011-02-24
CA2706827A1 (en) 2009-06-04
ITTO20070853A1 (it) 2009-05-27
KR20100106990A (ko) 2010-10-04
BRPI0820065A2 (pt) 2015-09-08
RU2010126178A (ru) 2012-01-10
EP2215802A2 (en) 2010-08-11
US8386770B2 (en) 2013-02-26
US20100281524A1 (en) 2010-11-04
WO2009068956A2 (en) 2009-06-04
CN101919221A (zh) 2010-12-15
CN101919221B (zh) 2015-09-30

Similar Documents

Publication Publication Date Title
RU2507702C2 (ru) Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям
US8448257B2 (en) Method and system for controlling context-based wireless access to secured network resources
KR101265305B1 (ko) 부정적인 인터넷 계정 액세스 방지
CN101682656B (zh) 用于保护数据分组的路由选择的方法和设备
US7792993B1 (en) Apparatus and methods for allocating addresses in a network
KR20170015340A (ko) 통신 네트워크에 대한 개선된 액세스를 위한 방법 및 네트워크 요소
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US20080072301A1 (en) System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces
JP2006025354A (ja) アクセス管理方法及びその装置
JP3967550B2 (ja) 通信装置を侵入から防御する方法及びシステム
KR101252787B1 (ko) 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법
CN108243413A (zh) 一种无线接入铁路信息网络的方法及系统
KR20120134942A (ko) 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템
CN110875923B (zh) 对网络提供增强型网络访问控制的方法和系统
US20230198976A1 (en) Devices and methods for incorporating a device into a local area network
EP2529329B1 (en) Secure procedure for accessing a network and network thus protected
JP2005227993A (ja) ネットワークシステムのアクセス認証方法
CN117614752A (zh) 一种双层零信任企业生产网安全自组网方法及系统
JP2005510964A5 (ru)

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20171125