TW201042973A - Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels - Google Patents
Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels Download PDFInfo
- Publication number
- TW201042973A TW201042973A TW098133284A TW98133284A TW201042973A TW 201042973 A TW201042973 A TW 201042973A TW 098133284 A TW098133284 A TW 098133284A TW 98133284 A TW98133284 A TW 98133284A TW 201042973 A TW201042973 A TW 201042973A
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- communication channel
- client
- server
- verification
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Description
201042973 六、發明說明: 【發明所屬之技術領域】 本發明有關在電腦系統中進行驗證的方法、執行該方法的 電跑糸統、及含減行該枝之財碼部分的電齡式產品。 【先前技術】 客戶端應用程式需要存取伺服器應用程式的資源。客戶端 用程式開啟油《應職柄軌通道。此軌通道通常 〇 n ’也叙說任何客戶端顧喊皆可建立連線。在客 =端應用程式存取伺服II制程式的資源之前,客戶端應用程 式請求飼服器應用程式藉由識別客戶端應用程式使用者的名稱 進订驗迅。為了驗證客戶端應用程式使用者,饲服器應用程式 對客戶應用程式發送s吉問,即一種只有真正的客戶端應用程 式使用者才能解決的難題。客戶端應用程式送回難題的解答。 1服器應贿式㈣解答正销否,以此方式驗證客戶端應用 程式’然後授予伺服器應用程式資源的存取權限給客戶端應用 程式。 . 一在先前技術的實施方案中,詰問(challenge)可以是來自 飼服器應用程式的訊息,客戶端應隸式以客戶端制程式使 用者的金鑰加密此訊息。此訊息可以是臨時亂數,其已知為安 王工程中使用一次的數字」(“number used once,,),且僅針對 一個通Λ對話產生。臨時亂數可以是任何隨機資料或時戳 (thnestamp )。客戶端應用程式使用者的金錄係客戶端應用程式 及伺服器應用程式二者均有副本的對稱金鑰。或者,金鑰係非 對稱金鑰,其中客戶端應用程式具有私密金鑰,及伺服器應用 4 201042973 r 客戶端將加密訊息送回伺服器應用 2二Γ 式分卿客戶端應用程式使用者的對稱金 密此訊息’然後核對此解密訊息是否匹配飼服 給客戶端應用裎式的訊息。當核對成功後, 對二:f: 此訊息已由客戶端應用程式使用者之各別 =冉金贼私密麵的财者加密然猶證加魏息的發送 Ο Ο 前技射ϋ驗證方式絲於神對稱金餘對密 踩^禮及解雄、客戶端應用程式經由加密通訊通道,發送密 = = 應雜式。職通射_服魏祕式使用者的 加密’該公開金鑰不是可公開取得,就是在加密密碼 訊通道將其發送給伺服器應用程式之前,已經傳遞給 你田^用程式。只有伺服11應用程式才能用.11應用程式 2者的私密金鑰解密含有密碼的接收訊息。當舰器應用程 ^仃於伺服n應用程式主機上時,伺服器應用程式可使用得 業系式的密碼,糊服器應用程式主機的基本作 在先前技術中,Kerb_演算法使用伺服器應用程式經由 、驗證伺服H對客戶端應用程式的驗證。詳情請見例如c 屮π、如等人的「網路安全(跑则呔SeCUrity)」,Prentice Hal1 用rt2GG2年。kb·演算法實質上運作如下:客戶端應 二式务运請求至中央驗證伺服器,要求傳回由伺服器應用程 1於驗證的票證。驗湘服輯由舰器應_式使用者的 汗或對稱金餘加密對話金錄及客戶端應用程式使用者的名 5 201042973 稱 Ο ❹ 用裎用程式設計對話金鑰及產生票證。為伺服器應 相對話金餘、產生的票證、及伺服器應用程式使用 …$全部都用客戶端_程式使用者的公誠對稱金餘來 2进。中央驗證健器將加密訊息發送給客戶端應用程式。只 用程式使用者才能夠用客戶端應用程式使用者的私 金鑰解密接收的訊息。客戶端應用程式使用者核對接 央驗證伺服器的訊息是否可用來由飼服器應用程式驗證 自鈿應,程式’因為只有客戶端應用程式使用者能夠解密訊 含有舰ϋ應用程式使用者的名^客戶端應用程 式將舰器應難式的票證及用對話金錄加密的時紐送給飼 ==。只有伺服器應用程式使用者才能夠用飼服器應 私式使用者的Μ或對稱麵解密票證並擷取對話金餘及 戶=應用程式使用者的名稱。舰程式認可巾央驗 服器已插人票證t的客戶端應用程式使用者名稱,因而此票證 可用來由伺服ϋ應用程式驗證發送的客戶端應贿式。飼服器 應用程式使絲自解密票證的對話金鑰解密加密的時戳並㈣ ,認。根财證鱗戳’他n_程式針存取權限給 存取伺服器應用程式的客戶端應用程式。 '水 中央驗證伺服器的加密保證只有客戶端應用程式使用 能解密來自中央驗糊服器的訊息,而且只有舰器應用 使用者才能浦巾央驗·縣缝生及客戶端崩程式 送至伺服器應用程式的票證。 x 。。在Kerberos演算法中,客戶端應用程式使用者自行與伺服 器應用程式進行驗證’列知道龍器應用程式使用者的密碼 6 201042973 或金鑰。反之亦然,伺服器應用程式也不需要儲存客戶端應用 程式使用者的任何金錄或密碼。然而,中央驗證伺服器必須儲 存客戶端應用程式使用者及伺服器應用程式使用者二者的公開 或對稱金鑰。 先前技術在伺服器應用程式無法存取基本作業系統的驗證 機制時具有缺點。在此情況下,伺服器應用程式無法使用接收 自客戶端應用程式的密碼驗證客戶端應用程式使用者。 先前技術的第二個缺點是傳送任何密碼時均必須加密通訊 通道的事實。客戶端應用程式及伺服器應用程式中至少一個必 ,對經由軌通道安全交換資騎需的密碼或臨時亂數進行加 密及解密。加密及解密程式碼的實施方案很複雜。 ❹ erbems ’冑算/i:係基於具票證產生機制的巾央驗證祠服器 =用客戶端應雜式使用者及伺服賴用程式使用者的對稱 ^非對稱金鑰對訊息的加密及解密。驗證伺服㈣設定及實施 j及在客戶端顧料側及伺服㈣猶式_於加密 雄、的程式碼也是很複雜。 【發明内容】 ,此本發明之目的係提供—種祕驗證的簡化方法及系 :二,客戶端應隸式及伺服器應用程式之間建立未驗證及未 口在-人通訊通道之後,由伺服器應用程式驗證客戶端應用程式。 本發明此目的可以在具有以下項目之系統中的驗證方法來 7 201042973 f成·客戶端應用程式、飼服器應用程式、資源位置、在客戶 端應用程式及資源位置之間的驗證主通訊通道、及在飼服器應 用,式及資源位置之間的驗證主通訊通道。驗證通訊通道是指 由貧源位置驗證在客戶端應用程式及資源位置之間建立通訊通 道的客戶j應用程式使用者。相同的道理也適用於在飼服器應 用,式及身源位置之間的驗證通訊通道,其中資源位置驗證祠 服器應用程式使用者。資源位置僅允許一組授權使用者建立通 訊通道,且知道與資源位置建立通訊通道的使用者身分。主通 〇 til通道不-定要加密,也就是說入侵的應用程式可在通訊通道 上竊聽並讀取傳送的訊息。 A為了建立在客戶端應用程式及伺服器應用程式之間的直接 次通訊通道連線,客戶端應用程式建立與伺服器應用程式的次 通甙通道,其通常為未驗證及未加密。任何客戶端應用程式皆 可與伺服器應用程式建立通訊通道。飼服器應用程式並不知道 建立通訊通道連線的客戶端應用程式使用者身分。客戶端應用 程式經由次通訊通道對伺服器應用程式提出授予存取權限^請 Ο 求三並告知伺服器應用程式客戶端應用程式使用者的身分。伺 服器應用程式按以下方式驗證客戶端應用程式使用者:伺服器 應用程式啟始驗證訊標的產生❶伺服器應用程式可自行產生驗 證訊標或請求遠端伺服器產生驗證訊標。驗證訊標可以是使用 -次的某娜時亂數、數字或字組,例如,在統計上為隨機的 位凡型樣或加密時戳(timestamp)。伺服器應用程式啟始以儲存 驗證訊標於資源位置處,並設定存取權限讓客戶端應用程式使 用者具有存取驗證訊標的權利。在伺服器應用程式儲存產生的 驗證訊標於資源位置處後,伺服器應用程式使用者具有存取資 201042973
源位置的寫入及產生權限、儲存驗證訊標於資源位置處、及設 定存取權限,因此僅授權使用者,包括客戶端應用程式使用者, 獲准經由在客戶端應用程式及資源位置之間的驗證主通訊通道 存取驗證訊標。客戶端應用程式必須至少具有讀取驗證訊標的 權限。請求存取伺服器應用程式的非授權使用者不得有存取驗 證訊標的權利,因而也沒有讀取或修改驗證訊標的權利。伺服 器應用程式使用者及可能系統管理員通常屬於授權使用者,因 而具有存取驗證訊標的權限。客戶端應用程式經由在客戶端應 用程式及資源位置之間的驗證主通訊通道摘取驗證訊標副本。 客戶端應用程式經由次通訊通道將驗證訊標副本傳回伺服器應 用程式。在伺服器應用程式啟始後,伺服器應用程式隨即檢查 客戶端應賴辆回的驗證訊標副本是純配儲存於資源位置 處之產生的驗證訊標。在伺服器應用程式證實所 標副本及_麵驗證訊標完全相同後,舰鶴用程式驗證 客戶端應雜式、經由:欠軌通道將成魏息傳回客戶端應用 程式、及授飾取觀給客戶端應贿式。當 標副本與所儲存的驗證訊標不同時,伺服ϋ應用程式 訊通道傳回錯誤訊息,並拒絕客戶端應用程式的存^ 於資較Ϊ具體實施例中’在產生的驗證訊標儲存 -欠通气通、f Ί各戶端應用程式已與伺服器應用程式建立 -人通减道。-人通_道是伺服器制 標所利用的唯-通訊通道。這表 訊S時:二;、Λ建立與·應用程式的另-次通 應用程式將拒絕入侵客戶端應用裎式的存 9 201042973 經建立 取’因為與請求之客戶端應用程式的次通訊通道已 及第三褒置其中之—。、原置在客端裝置、飼服器裝置、 $各具有獨立檔㈣統的獨立主機系統及資源 盗應用程式主機的本機檔案系統 :服 系統…案系統掛載為通端播案系統,並使用作業 具體實施例中,客戶端裝置及舰器裝置 供的遠端檔案系統之掛載“證機制存取遠端檔案 驅 〇 發明之—替紐嫌實施射,客戶端剌程式及伺 μ應用程式係在相同的裝置中運行。這表示二者均可執行於 ”有一個本機檔案系統的相同主機系統 ^,存取權限的請求給刪應用程==二 =用,式❹者的名稱,但*包括_。伺服器應用程式無 半用各戶端應用程式使用者的密碼,因為伺服器應用程式叙 ,存取基本作職統的驗證機制。舰程式儲存產生的 201042973 ”同檔案系統的位置處,客戶端應用程式在該處可 輕易^讀取驗證訊標。客戶端應用程式將驗證訊標副本發送給 $服器應用程式。伺服器應用程式核對驗證訊標後,授予存取 權限給客戶端應用程式。 一,本發明之一第二替代性具體實施例中資源位置係檔案 主機的檔㈣統,槽案伺服器主機係與客戶端應用程式 伺服器應用程式主機分I客戶端應用程式主機及飼服 0= 式主機分別將檔案伺服器主機的檔案系統掛載為遠端 、糸統並使用作業系統服務提供的驗證機制存取遠端檔案 系統的槽案。 本毛月之第二替代性具體實施例中,資源位置可以是 驗證伺服器或資料庫伺服器。 ◎ =本發明之—第四替代性具體實施例中,在客戶端應用程 ^„源位置之間的主通訊通道及在祠服11應用程式及資源位 日的主通訊通道中至少—個使驗證的網路通訊協定。網 脸^:定可以是安全通訊端層(SSL),及儲存於資源位置處的 〇丑汛払可由統一貢源定位器(URL)識別。 々诸發明,―第五替代性具體實施例中,在客戶端應用程 二私、m應用程式的次通訊通道之前,祠服11應用程式 你用將產生的驗證訊標儲存於㈣位置處。客戶端應用程式 =存取及讀取驗證訊標、建立油服輯_式的次通 a k逼、發运驗證訊標副本給词服器應用f呈式,最後由饲服器 201042973 應 、“驗證客戶端應用程式。然而,在此情況下’主通訊通 =須加密。當主通訊通道未加密時’人侵的客戶端應用程式 二、·任何主軌通道上紐、建立與他器應祕式的次通訊 =道佯裝是驗證訊標為其所產生的客戶端應用程式使用者、 及 1所竊取的驗證訊標副本並將其發送給伺服器應用程式、 取得授予伺服器應用程式的存取權限。 隸ί本發明之第六替代性具體實施例中,以飼服器應用程式 〇 =客戶端應用程式’反之亦然。以在伺服器應用程式及資源 2置之間的主通訊通道替換在客戶端應用程式及資源位置之間 々主=訊通道’反之亦然。在客戶端應絲式及伺服器應用程 的如此角色交換之後,可按對應的方式應用所說明的驗 故万法。 和ΗΕί本發明之第七替代性具體實施例中,客戶端應用程式及 5艮益應用程式中至少一個在智慧卡裝置中運行。 Ο 本毛明方法可施彳τ於電腦系統中,並可實施於電腦程式產 ϊ統中二在包含施行本方法步驟之電腦程式碼部分的資料處理 【實施方式】 在圖式及制書巾提出本發明雜佳具財齡卜雖然使 特疋用語’但如此提供的說明僅針對—般及描述的意義使 ,而非用來限制。然而,應明.白,只要不脫離如隨附申請專 乾圍所述之本發明的廣泛精神及範轉’可對本發明進行修改 12 201042973 及變更。 何種硬體、軟體 '或硬體及軟體的組合來實現。任 、,電腦系統或其他適於執行本文所述方法的設備都很合 5L的硬體與軟體組合可以是具有載入及執行時可控制電 =統以執行本文所述方法之電腦程式的通用電腦系統。本發 内建在電腦程式產品中,電腦程式產品包含實施本文所 Ο 〇 $法的所有特色,且電腦程式產品在被載人電财統中後, 還可以執行這些方法。 本文中的電腦程式構件或電腦程式係指任何用來使具有資 訊处理旎力的系統能夠直接或在以下之一 種語言、程式碼或標記;b)以不同的材;=現: 力仃特疋功能之-組指令之任何語言、程式碼或標記的表示。 圖1顯示-種用於驗證的系統,其包含:客戶端應用程式 )、伺服H應贿式(1〇2)、及資源位置_。客戶端應用程 工101)及飼服器應用程式(1〇2)分別經由已驗證的主通訊通道 (1〇4)及(1〇5)存取資源位置(103)。 、主通訊通道(104)及⑽)未必要加密,也就是說,第三方可 以頃取在通道(1〇4)及(1〇5)上傳送的資料。通訊通道(1〇4)提供路 從讓客戶端應用程式能夠存取資源位置⑽)之控制存取權限的 資源,例如,遠端檔案系統中控制存取權限的檔案。 驗證登 客戶端應用程式(101)代表客戶端應用程式使用者在! 201042973 入對話中運行,客戶端應用程式使用者藉由輸入使用者名稱及 密碼,登入(111)客戶端應用程式。 飼服态應用程式(102)代表祠服器應用程式使用者,在由作 業系統服務建立的驗證登入對話(l〇g〇n sessi〇n)中運行。 客戶端應用程式(101)預計建立與伺服器應用程式(1〇2)的 次通訊通道(106)。次通訊通道(1〇6)可以是在資料庫驅動程式之 0 客戶端及伺服器元件之間連接客戶端應用程式與資料庫伺服器 的通。負料庫驅動程式的伺服器元件可能無法存取資料庫 伺服器之基本作業系統的驗證機制並使用客戶端應用程式使用 者的接收密碼進行驗證。因此,客戶端應用程式(1〇1)建立(121、 122)與伺服器應用程式(1〇2)之次要的未驗證次通訊通道(1〇6), 岐表不通訊通道不需要使用者憑證,任何客戶端應用程式均可 建立此連線。通訊通道(1〇6)未必要加密。 客戶端應用程式(101)透過所建立之未驗證的次通訊通道 Ο (106) ’發送請求(123)給伺服器應用程式(102),要求驗證代表客 戶端應用程式使用者運行的客戶端應用程式。此請求含有客戶 端應用程式使用者的名稱。 伺服器應用程式(102)產生驗證訊標(141),其可以是在統計 上為隨機的位元型樣或加密時戳。身分確認的可信度由驗證訊 標(141)的隨機產生器品質決定。飼服器應用程式「放下伽p谂 〇ff)」⑽、ns)驗證訊標(M3)於資源位置(1〇3)處,也就是說, 以特定的名稱及位置加以儲存。飼服器應用程式設定驗證訊標 14 201042973 (143)的檔案存取權限’因而僅有一組授權使用者,包括客戶端 應用程式使用者’獲准讀取驗證訊標。客戶端應用程式使用者 的名稱包含在請求(123)中,以驗證與伺服器應用程式的次通訊 通道。然而’非授權使用者不得存取驗證訊標。伺服器應用程 式使用者及通常是系統管理員,屬於具有存取驗證訊標(143)之 權利的一組授權使用者。 伺服器應用程式(102)經由次通訊通道(1〇6),將回應傳回 (126)客戶端應用程式(101),回應包括儲存於資源位置(103)處之 驗證訊標(143)的名稱及位置。 客戶端應用程式(101)經由驗證主通訊通道(1〇4)「恢復 (recover)」’也就是說,讀取(127、128),資源位置(1〇3)的驗證 訊標。請求與具有客戶端應用程式使用者憑證之伺服器應用程 式(102)或任何應用程式使用者之次通訊通道(1〇6)的客戶端應 用程式使用者是獲准存取及讀取驗證訊標(143)的授權使用者之 一。客戶端應用程式(101)經由次通訊通道(106),將驗證訊標(143) Ο 的副本(〗45)傳回(129)祠服器應用程式(丨02)。 伺服器應用程式(102)透過預期的次通訊通道(1〇6)接收驗 證訊標(143)的副本(146)。這是伺服器應用程式(1〇2)為了回應驗 證客戶端應用程式使用者的請求(123) ’預期可在其上接收驗證 訊標(143)之副本(146)的唯一通訊通道。 伺服器應用程式核對(102)所接收(所恢復)之驗證訊標(M3) 的副本(146)是否匹配伺服器應用程式已儲存(「放下」)於資源 201042973 位置(103)且’、有客戶端應用程式使用者才能存取的驗證訊標 (143)。儲存的驗證訊標(143)與產生的驗證訊標(14丨)完全相同。 如果核對成功,則建立與伺服器應用程式(1〇2)之未驗證次 通訊通道(106)的使用者係其所宣稱的使用者。伺服器應用程式 (102)驗證與客戶端應用程式的次通訊通道(1〇6)並授予存取權 限給客戶端應用程式(101)。飼服器應用程式可經由次通訊通道 (106),將客戶端應用程式使用者已經驗證的確認訊息傳回(13〇) _ 客戶端應用程式。 ◎ 如果核對失敗,也就是說,如果驗證訊標的副本(146)不同 於所儲存的驗證訊標(143)或不同於所產生的驗證訊標(mi),則 伺服器應用知式拒絕存取並經由次通訊通道(1〇6),將應用程式 錯誤傳回(130)客戶端應用程式。 如果在客戶端應用程式(1〇1)及資源位置(1〇3)之間的主通 訊通道(104)及在伺服器應用程式(1〇2)及資源位置(1〇3)之間的 〇 主通訊通道中至少一個未加密,則重要的是,在伺服器應用程 式儲存驗證訊標於資源位置(103)處“之前”,建立與伺服器應用 程式(102)之未驗證的次通訊通道(1〇6)。伺服器應用程式(〗〇2) 預期僅利用所建立之次通訊通道(106)的驗證訊標。 圖2含有本發明驗證方法的流程圖及程序圖。為回應建立 次通訊通道(106)的請求(211),客戶端應用程式(2〇1)建立(212、 23〗、232)與伺服器應用程式(202)的未驗證次通訊通道(1〇6)。客 戶端應用程式(201)使用此通訊通道(106)提出請求(213、233)至 16 201042973 伺服器應用程式(202)。伺服器應用程式(202)產生(214)驗證訊標 並將其儲存(215、234、235)於資源位置(203) ’讓客戶端應用程 式使用者是除了伺服器應用程式使用者及可能系統管理員之 外,唯一能夠讀取驗證訊標的使用者。伺服器應用程式(2〇2)將 回應傳回(216、236)客戶端應用程式(201)。接著,客戶端應用 程式(201)經由在客戶端應用程式(201)及資源位置(203)之間的 主通訊通道(104),擷取(217、237、238)驗證訊標副本,並使用 次通訊通道(106)將其傳回(218、239)伺服器應用程式(2〇2)。祠 0 服器應用程式(202)核對(219)所接收的驗證訊標副本是否匹配 儲存於資源位置(203)及只有客戶端應用程式使用者才能讀取_ 存取之所產生的驗證訊標。如果核對成功,則伺服器應用程式 經由次通訊通道(106)傳回(220、240)成功訊息及授予存取權限 (222)給客戶端應用程式(2〇1)。如果核對失敗,則伺服器應用程 式(202)利用次通訊通道(1〇6),將錯誤訊息送回(221、240)客戶 端應用程式(201),並拒絕(223)客戶端應用程式(2〇1)的存取。 圖3顯示一替代性具體實施例,其中在客戶端應用程式(3〇1) 〇 及伺服器應用程式(3 02)之間的次通訊通道(丨〇6)已經建立之 ^伺服器應用知式(3〇2)在啟始化(311)後即產生(312)驗證訊 標,並將其儲存(313、32卜322)於資源位置(3〇3)。在替代性具 體實施例中,在所產生的驗證訊標及預期建立與伺服器應用程 式之次通訊通道(106)並將驗證訊標副本發送給伺服器應用程式 的客戶端應用程式使用者之間,存在一對一的關係。 圖4 $員示替代性具體貫施例的方法步驟,其中在建立次通 訊通道之前,產生的驗證訊標已儲存於資源位置(4〇3)處。為回 17 201042973 應驗證代表客戶端應用程式使用者運行之客戶端應用裎式經由 次通訊通道(106)的請求(411),客戶端應用程式自資源位置(4〇3) 擷取(412、421、422)驗證訊標副本。除了伺服器應用程式使用 者及可能系統管理使用者,只有客戶端應用程式使用者是存取 驗證訊標的授權使用者。 客戶端應用程式產生(413、423、424)與伺服器應用程式之 未驗證的次通訊通道(106) ’並經由次通訊通道(1〇6)將驗證訊標 ❹副本傳回(414、425)伺服器應用程式。伺服器應用程式核對(415) 接收的驗證訊標副本是否匹配伺服器應用程式已針對特定的客 戶端應用程式使用者儲存的驗證訊標。根據核對的結果,伺服 器應用程式發送(426)成功訊息(416)或錯誤訊息(417),並分別授 予存取權限(418)給客戶端應用程式或拒絕(419)客戶端應用程 式的存取。 ~ 如果在客戶端應用程式(1〇1)及資源位置(1〇3)之間的主通 訊通道(104)及在伺服器應用程式(1〇2)及資源位置(1〇3)之間的 〇 主通訊通道(105)中至少一個未加密,則第三方可自通訊通道讀 取驗證訊標副本、建立與伺服器應用程式的未驗證次通訊通 道,及宣稱是驗證訊標為其產生的客戶端應用程式使用者。為 了避免在建立次通訊通道(106)之前儲存驗證訊標於資源位置處 的情況中濫用驗證訊標,在客戶端應用程式(1〇1)及資源位置 (103)之間的主通訊通道(1〇4)及在伺服器應用程式(1〇2)及資源 位置(103)之間的主通訊通道(1〇5)必須加密。 當第一次經由客戶端應用程式(101)及伺服器應用程式(102) 18 201042973 ❹ ❹ 之間=次通訊通道(丨06)傳送驗證訊標時,伺服器應用程式通常 在客戶端應用程式可以在:欠通訊通道(1〇6)上竊聽及讀取 驗也汛橾副本之前接收驗證訊標副本。在此情況下,次通訊通 道未必要加密。當任何驗證訊標副本在至少一個通訊通道上傳 送至少多次時,即使依序使用多個通訊通道,也必須加密對應 的通訊通道。客戶端應用程式(101)可以恰如客戶端應用程式使 用者以飼服器應用程式驗證的相同方式,核對飼服器應用程式 者!!身分’只要交換以下角色即可:客戶端應用程式(ι〇ι) =司服器應用程式(1〇2) ’以及在客戶端應用程式〇叫及資源位 (103)之間的主通訊通道(1〇4)與在飼服器應用程式⑽)及資 ,位置(10=)之間的主通訊通道(1G5)。在如此反向驗證的例子 伽1服ΐ應用程式建立與客戶端應用程式的未驗證次通訊通 田I出要求授予存取權限的請求至客戶端應用程式。客 峨始產生驗證訊標並將其儲存於資源位置處,驗 觀存取關服11應用程式使用者讀取存 驗噔;俨;:,式經由驗證主通訊通道⑽)擷取資源位置的 二==;戶端應用程式核對由伺服器應用程式傳回的 驗證訊&匹配客戶端應用程式儲存於資源位置⑽)的 【圖式簡單說明】 本發明藉由舉例加以說明且不香 其中 . η且小又圖式中圖解形狀的限制, 19 201042973 流程圖及程序圖。 【主要元件符號說明】 100 101、 201、301、401 102、 202、302、402 103、 203、303、403 104、 105 106 〇 14 卜 143 145 、 146 系統 客戶端應用程式 伺服器應用程式 資源位置 主通訊通道 次通訊通道 驗證訊標 驗證訊標副本
20
Claims (1)
- 201042973 七、申請專利範圍: 1. 一種在一系統中進行驗證的方法,該系統具有:一客戶端應用 程式、伺服器應用程式、一資源位置、一在該客户端應用程式 及該資源位置之間的驗證主通訊通道、及一在該伺服器應用程式 及該資源位置之間的驗證主通訊通道,該方法包含以下步驟: 該客戶端應用程式建立一與該伺服器應用程式的次通訊通 道; 該客戶端應用程式經由該次通訊通道提出一請求至該伺服器 應用程式,要求授予存取權限; 該伺服器朗程式在該驗證成功後,触触軌通道授 存取權限給該客戶端應用程式; 5亥方法特徵在於其另外包含以下步驟: 的產生,該客戶端朗程式可經由在該客戶端應酿式及該資 位置之間賴驗證主通訊通道存取級證訊標;通訊通道將該驗證訊標傳回該伺 摘服器應用程式啟始將要儲存於該f源位置之—驗證訊標 服器應用程式;2.如申請糊_第1項所述之方法,其中该驗證訊標僅可由授 良存取該伺服器應用程式 21 201042973 3·如申請專利範圍第丨項所述之方法,其中針對在該客戶端應用 程式及該伺服器應用程式之間的該次通訊通道的單一建立,產生 儲存於該資源位置的該驗證訊標。 4·如申請專利範圍第丨項所述之方法,其中該產生的驗證訊標係 一在統計上為隨機的位元型樣(bit pattern)。 5·如申請專利範圍第1項所述之方法,其中該資源位置係一檔案 ^ 系統。 6. 如申請專利範圍第5項所述之方法,其中該檔案系統係該概 器應用程式及該客戶端應用程式中至少一個的一本機檔案系統。 7. 如利範圍第5項所述之方法’其中在該客戶端應用程式 及該貧源位置之間的該主通訊通道及在關服器應用程式及該資 源位置之_該主通訊通道中至少—個使用該檔録統之作業系 統服務所提供的驗證機制。 ^如申明專利範圍第5項所述之方法,其中該槽案系統係一用於 该客戶端應用程式及服器應用程式中至少—個的遠端槽案系 及在該客戶端應用程式及該資源位置之間的該主通訊通道及 在該飼服器應贿式及該#驗置之間的該主通訊通道中至少一 固刀別使用4遠端;錢統的掛載(mQuming)以分顧於該客戶 蠕應用程式及該伺服H應用程式中至少—個的連線及驗證。 ’如申吻專利|巳圍第1項所述之方法,其令在該客戶端應用程式 22 201042973 及該資源位置之間的該主通訊通道及在該伺服器應用程式及該資 源位置之間的該主通訊通道中至少一個使用一驗證的網路通訊協 定。 10.如申請專利範圍第9項所述之方法,其中該網路通訊協定係安 全通訊端層(SSL) ’及儲存於該資源位置的該驗證訊標為統一資源 定位器(URL)所識別。 〇 U·如申請專利範圍帛1項所述之方法,其中在該產生的驗證訊標 儲存於該資源位置之前,已經建立該次通訊通道。 12.如申明專利圍第i項所述之方法,其中加密在該客戶端應用 程=及該資驗置之間的該主通訊通道及在該舰減用程式及 該資源位置之_該域訊通道,及在該客戶端顧程式建立與 該飼服器應用程式的該次通訊通道之前,將該產生的驗證訊標儲 存於該資源位置。 Ο 13.=申請專利範圍第1項所述之方法,其中該客戶端應用程式係 -資料庫驅動程式的客戶端元件’及該舰器朗程式係該資料 庫驅動程式的伺服器元件。 M如申„:專她圍第1項所述之方法,其中該客戶端應用程式由 該=服器應用程式替換,及反之亦然;及在該客戶端應贿式及 该貧源位置之_該主軌通道由在翻服器_程式及該資源 位置之間的該主通訊通道替換,及反之亦然。 23 201042973 15. -種驗證祕’其具有運行__客戶端應贿式的—客戶 置、一執行一伺服器應用程式的伺服器裝置、一資源位置、―、 該客戶端裝置及該資源位置之間的驗證主通訊通道及一在兮, 服态裝置及該資源位置之間的驗證主通訊通道,該系 、x伺 步驟: W丁以下 該客戶端應用程式建立一與該伺服器應用程式的次通訊通 道; 該客戶端應用程式經由該次通訊通道提出一請求至該 應用程式,要求授予存取權限; ° 該伺服器應用程式在該驗證成功後,經由該次通訊通道授 存取權限給該客戶端應用程式; 又 5亥系統特徵在於其另外包含施行以下步驟的構件: 該伺服器應用程式啟始將要儲存於該資源位置之一驗證訊桿 的產生,該客戶端應用程式可經由在該客戶端應用程式及該資源 位置之間的該驗證主通訊通道存取該驗證訊標; 該客戶端應用程式經由在該客戶端應用程式及該資源位置之 間的該驗證主通訊通道擷取該資源位置的該驗證訊標; 該客戶端應用程式經由該次通訊通道,將該驗證訊標傳回註 伺服器應用程式; §亥伺服器應用程式藉由檢查該客戶端應用程式傳回該伺服器 應用程式的該驗證訊標是否匹配該伺服器應用程式啟始後儲存於 該資源位置(103)之該產生的驗證訊標,驗證該客戶端應用程式。 16.如申請專利範圍第15項所述之綠,其巾該客戶端應用程式 及該伺服器應用程式運行於相同的裝置中。 24 201042973 17.如申請專利範圍第〗5或 及铁宏卢㈣罢士石小 項所述系統’其中該伺服器裝置 〇X t置_至>_·個另外包含該資源位置。 队一種電腦程式產品,其實施—在一 機制且包含施行如前逑申請專利範圍第】至^項=^行的驗證 之系統步驟的電腦程式碼部分。 項中的任一項所述 〇 25
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP08170167 | 2008-11-28 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201042973A true TW201042973A (en) | 2010-12-01 |
Family
ID=42126451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW098133284A TW201042973A (en) | 2008-11-28 | 2009-09-30 | Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels |
Country Status (6)
Country | Link |
---|---|
US (1) | US8332920B2 (zh) |
EP (1) | EP2351316B1 (zh) |
JP (1) | JP5619019B2 (zh) |
CN (1) | CN102217277B (zh) |
TW (1) | TW201042973A (zh) |
WO (1) | WO2010060704A2 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI477164B (zh) * | 2011-12-29 | 2015-03-11 | Browan Communications Inc | 用於行動裝置之無線網路通訊之加密方法 |
TWI484367B (zh) * | 2012-06-08 | 2015-05-11 | Apple Inc | 同步多個電子裝置中之使用者帳戶之控制代碼 |
Families Citing this family (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102548886A (zh) * | 2008-06-17 | 2012-07-04 | 迪吉盖吉有限公司 | 改变虚拟景观的系统 |
US8412952B1 (en) * | 2009-05-06 | 2013-04-02 | Symantec Corporation | Systems and methods for authenticating requests from a client running trialware through a proof of work protocol |
US8332626B2 (en) * | 2010-04-15 | 2012-12-11 | Ntrepid Corporation | Method and apparatus for authentication token-based service redirection |
US8850219B2 (en) * | 2010-05-13 | 2014-09-30 | Salesforce.Com, Inc. | Secure communications |
US9645992B2 (en) | 2010-08-21 | 2017-05-09 | Oracle International Corporation | Methods and apparatuses for interaction with web applications and web application data |
WO2013049163A1 (en) * | 2011-09-28 | 2013-04-04 | Apperian, Inc. | Conveyance of configuration information in a network |
US9722972B2 (en) * | 2012-02-26 | 2017-08-01 | Oracle International Corporation | Methods and apparatuses for secure communication |
US9055050B2 (en) * | 2012-06-27 | 2015-06-09 | Facebook, Inc. | User authentication of applications on third-party devices via user devices |
JP6044299B2 (ja) * | 2012-11-26 | 2016-12-14 | 富士通株式会社 | データ参照システムおよびアプリケーション認証方法 |
US8972296B2 (en) * | 2012-12-31 | 2015-03-03 | Ebay Inc. | Dongle facilitated wireless consumer payments |
US9686284B2 (en) | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
US9306922B2 (en) * | 2013-03-12 | 2016-04-05 | Sap Se | System and method for common on-behalf authorization protocol infrastructure |
US9992183B2 (en) * | 2013-03-15 | 2018-06-05 | T-Mobile Usa, Inc. | Using an IP multimedia subsystem for HTTP session authentication |
US9344422B2 (en) | 2013-03-15 | 2016-05-17 | Oracle International Corporation | Method to modify android application life cycle to control its execution in a containerized workspace environment |
US9129112B2 (en) | 2013-03-15 | 2015-09-08 | Oracle International Corporation | Methods, systems and machine-readable media for providing security services |
WO2014145039A1 (en) | 2013-03-15 | 2014-09-18 | Oracle International Corporation | Intra-computer protected communications between applications |
JP5662507B2 (ja) | 2013-03-28 | 2015-01-28 | 株式会社 ディー・エヌ・エー | 認証方法、認証システム、および、サービス提供サーバ |
CN103491084B (zh) * | 2013-09-17 | 2016-06-15 | 天脉聚源(北京)传媒科技有限公司 | 一种客户端的认证处理方法及装置 |
US9391980B1 (en) * | 2013-11-11 | 2016-07-12 | Google Inc. | Enterprise platform verification |
US10043029B2 (en) | 2014-04-04 | 2018-08-07 | Zettaset, Inc. | Cloud storage encryption |
US10873454B2 (en) | 2014-04-04 | 2020-12-22 | Zettaset, Inc. | Cloud storage encryption with variable block sizes |
US10298555B2 (en) * | 2014-04-04 | 2019-05-21 | Zettaset, Inc. | Securing files under the semi-trusted user threat model using per-file key encryption |
CN106663018B (zh) | 2014-09-24 | 2020-09-15 | 甲骨文国际公司 | 修改移动设备应用生命周期的系统、方法、介质和设备 |
US9628282B2 (en) * | 2014-10-10 | 2017-04-18 | Verizon Patent And Licensing Inc. | Universal anonymous cross-site authentication |
CN106034104B (zh) | 2015-03-07 | 2021-02-12 | 华为技术有限公司 | 用于网络应用访问的验证方法、装置和系统 |
JP2017004301A (ja) * | 2015-06-11 | 2017-01-05 | キヤノン株式会社 | 認証サーバーシステム、方法、プログラムおよび記憶媒体 |
CZ2015472A3 (cs) * | 2015-07-07 | 2017-02-08 | Aducid S.R.O. | Způsob navazování chráněné elektronické komunikace, bezpečného přenášení a zpracování informací mezi třemi a více subjekty |
US9641509B2 (en) * | 2015-07-30 | 2017-05-02 | Ca, Inc. | Enterprise authentication server |
CN106549919B (zh) * | 2015-09-21 | 2021-01-22 | 创新先进技术有限公司 | 一种信息注册、认证方法及装置 |
US9460280B1 (en) * | 2015-10-28 | 2016-10-04 | Min Ni | Interception-proof authentication and encryption system and method |
CN106302425B (zh) * | 2016-08-09 | 2019-12-31 | 苏州浪潮智能科技有限公司 | 一种虚拟化系统节点间通信方法及其虚拟化系统 |
US10528947B2 (en) | 2016-09-18 | 2020-01-07 | Howard H Sheerin | Locking an online account based on a public cryptocurrency address |
JP6652074B2 (ja) * | 2017-01-10 | 2020-02-19 | 京セラドキュメントソリューションズ株式会社 | 認証システムおよび認証方法 |
US10671570B2 (en) * | 2017-02-01 | 2020-06-02 | Open Text Sa Ulc | Web application open platform interface (WOPI) server architecture and applications for distributed network computing environments |
US10798128B2 (en) * | 2017-07-24 | 2020-10-06 | Blackberry Limited | Distributed authentication for service gating |
US11349871B2 (en) * | 2019-01-24 | 2022-05-31 | The Toronto-Dominion Bank | Dynamic and cryptographically secure augmentation of programmatically established chatbot sessions |
US10990356B2 (en) * | 2019-02-18 | 2021-04-27 | Quantum Lock Technologies LLC | Tamper-resistant smart factory |
US10715996B1 (en) | 2019-06-06 | 2020-07-14 | T-Mobile Usa, Inc. | Transparent provisioning of a third-party service for a user device on a telecommunications network |
WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
CN114598540B (zh) * | 2022-03-18 | 2024-03-15 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6490679B1 (en) * | 1999-01-18 | 2002-12-03 | Shym Technology, Inc. | Seamless integration of application programs with security key infrastructure |
US20020031230A1 (en) * | 2000-08-15 | 2002-03-14 | Sweet William B. | Method and apparatus for a web-based application service model for security management |
US20080301298A1 (en) * | 2002-07-29 | 2008-12-04 | Linda Bernardi | Identifying a computing device |
DE10244610A1 (de) * | 2002-09-25 | 2004-04-15 | Siemens Ag | Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung |
EP1843543B1 (en) * | 2006-04-06 | 2018-12-12 | Google Technology Holdings LLC | Method, apparatus and system for authentication on peer-to-peer file sharing network |
EP1914643A1 (en) * | 2006-10-19 | 2008-04-23 | Motorola, Inc. | Method and apparatus for filtering peer-to-peer network searches for limited capability devices |
US8079076B2 (en) * | 2006-11-02 | 2011-12-13 | Cisco Technology, Inc. | Detecting stolen authentication cookie attacks |
US7992198B2 (en) * | 2007-04-13 | 2011-08-02 | Microsoft Corporation | Unified authentication for web method platforms |
EP2204965B1 (en) * | 2008-12-31 | 2016-07-27 | Google Technology Holdings LLC | Device and method for receiving scalable content from multiple sources having different content quality |
-
2009
- 2009-09-30 TW TW098133284A patent/TW201042973A/zh unknown
- 2009-10-26 EP EP09737460A patent/EP2351316B1/en active Active
- 2009-10-26 CN CN2009801462965A patent/CN102217277B/zh not_active Expired - Fee Related
- 2009-10-26 JP JP2011537910A patent/JP5619019B2/ja not_active Expired - Fee Related
- 2009-10-26 WO PCT/EP2009/064052 patent/WO2010060704A2/en active Application Filing
- 2009-11-25 US US12/626,022 patent/US8332920B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI477164B (zh) * | 2011-12-29 | 2015-03-11 | Browan Communications Inc | 用於行動裝置之無線網路通訊之加密方法 |
TWI484367B (zh) * | 2012-06-08 | 2015-05-11 | Apple Inc | 同步多個電子裝置中之使用者帳戶之控制代碼 |
Also Published As
Publication number | Publication date |
---|---|
JP5619019B2 (ja) | 2014-11-05 |
WO2010060704A3 (en) | 2010-10-28 |
WO2010060704A2 (en) | 2010-06-03 |
CN102217277A (zh) | 2011-10-12 |
US20100138905A1 (en) | 2010-06-03 |
EP2351316B1 (en) | 2013-01-02 |
US8332920B2 (en) | 2012-12-11 |
JP2012510655A (ja) | 2012-05-10 |
CN102217277B (zh) | 2013-11-06 |
EP2351316A2 (en) | 2011-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW201042973A (en) | Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels | |
JP7181539B2 (ja) | 利用者識別認証データを管理する方法および装置 | |
TWI719190B (zh) | 離線支付方法和裝置 | |
TWI436627B (zh) | 使用瀏覽器認證線上交易的方法 | |
JP5570610B2 (ja) | 遠隔ユーザ・セッションのためのシングル・サインオン | |
US7409543B1 (en) | Method and apparatus for using a third party authentication server | |
US8739260B1 (en) | Systems and methods for authentication via mobile communication device | |
US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
WO2018219056A1 (zh) | 鉴权方法、装置、系统和存储介质 | |
WO2018095322A1 (zh) | 量子密钥芯片的发行方法、应用方法、发行平台及系统 | |
TW200833060A (en) | Authentication delegation based on re-verification of cryptographic evidence | |
TW200818838A (en) | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords | |
JP2003030150A (ja) | 転送する認証メッセージ中の情報を保護する方法および装置 | |
JP2009541817A (ja) | システム間シングルサインオン | |
TW200828944A (en) | Simplified management of authentication credientials for unattended applications | |
JP2001326632A (ja) | 分散グループ管理システムおよび方法 | |
TW201824053A (zh) | 經驗證且私密之可攜帶身份識別 | |
CN114666168B (zh) | 去中心化身份凭证验证方法、装置,以及,电子设备 | |
CN109960916A (zh) | 一种身份认证的方法和系统 | |
Karie et al. | Hardening saml by integrating sso and multi-factor authentication (mfa) in the cloud | |
KR102070248B1 (ko) | 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치 및 그 동작 방법 | |
JP2018137587A (ja) | 認証鍵共有システムおよび認証鍵共有方法 | |
TWI469613B (zh) | 雲端認證系統及方法 | |
KR100559152B1 (ko) | 컨텐츠의 보안 유지 방법 및 장치 | |
Ozha | Kerberos: An Authentication Protocol |