TW528957B - Method and system for web-based cross-domain single-sign-on authentication - Google Patents
Method and system for web-based cross-domain single-sign-on authentication Download PDFInfo
- Publication number
- TW528957B TW528957B TW090127551A TW90127551A TW528957B TW 528957 B TW528957 B TW 528957B TW 090127551 A TW090127551 A TW 090127551A TW 90127551 A TW90127551 A TW 90127551A TW 528957 B TW528957 B TW 528957B
- Authority
- TW
- Taiwan
- Prior art keywords
- domain
- user
- server
- scope
- introduction
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004590 computer program Methods 0.000 claims abstract description 6
- 230000004044 response Effects 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 239000000463 material Substances 0.000 claims description 4
- 230000002079 cooperative effect Effects 0.000 claims 2
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 claims 1
- 241000251468 Actinopterygii Species 0.000 claims 1
- 238000001514 detection method Methods 0.000 claims 1
- 238000003780 insertion Methods 0.000 claims 1
- 230000037431 insertion Effects 0.000 claims 1
- 230000008685 targeting Effects 0.000 claims 1
- 230000001755 vocal effect Effects 0.000 claims 1
- 235000014510 cooky Nutrition 0.000 description 24
- 238000013475 authorization Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 5
- 230000004888 barrier function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- XEEYBQQBJWHFJM-UHFFFAOYSA-N Iron Chemical compound [Fe] XEEYBQQBJWHFJM-UHFFFAOYSA-N 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 229910052742 iron Inorganic materials 0.000 description 1
- 239000010813 municipal solid waste Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1012—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2131—Lost password, e.g. recovery of lost or forgotten passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
- Preliminary Treatment Of Fibers (AREA)
- Computer And Data Communications (AREA)
- Aiming, Guidance, Guns With A Light Source, Armor, Camouflage, And Targets (AREA)
- Chemical Or Physical Treatment Of Fibers (AREA)
- General Factory Administration (AREA)
Description
528957
發明背景 1 ·發明領域 本發明與-種改良的資料處理系統有關,且特別是與多 電腦貧料料时法和裝置有關。再更特別地,本發明提 供一種電腦對電腦鏗定的方法和裝置。 相關技術描述
裝 貧訊科技(IT)系統和網際網路已經加速目前全球經濟的 成長。雖然IT系統有重大好處,同時它們引起來自未經授 權的第三者之潛在的安全威脅。的確,現代IT系統中安全 的缺乏已經顯現為全球電腦網路完整性的一種威脅。 訂
為了處理這個問題,ΙΤ系統提供許多已知服務:資料鑑 定,資料保密,實體鑑定,授權等。資料鑑定通常由二個 子服務所組成:資料完整性和資料來源鑑定。一資料完整 性服務用來使一特定資料的接收者確信資料在傳送期間沒 有改變。資料來源鑑定對接收者證明真實寄件人的身分。 貢料保密保護資料在傳輸的期間免於洩漏。實體鑑定提供 系統某一實體是他們所宣稱的人之證據。 授權是決定一經鑑定的實體是否有權利執行一動作的行 為。因此授權和鑑定是雙重的服務。為了能夠提供授權, 判斷實體是誰(舉例來說,透過實體鑑定)是必需的。授權, 大體上,由二分開的階段所組成:提供權限(授權證明)給一 特定實體,而實體使用這些權限結合在資源的存取決定地 規則來判斷是否應許可實體存取。 允許使用者安全地存取在各種位置中的資源變得越來越 本紙張尺度適用中國國家標準(CNS) Α4規格(210 X 297公釐) 528957 A7 _______B7 五、發明説明(2 ) 重要。舉例來說,當公司的一位職員在家或在一用戶的店 内時,可能需要從一主要辦公室和從一區域性辦公室存取 文件或其他資源。一以網路為基礎的瀏覽器由於它適應於 多重使用已經變成如此情況中的選擇工具。 透過標準的超文件傳輸協定(HTTP),瀏覽器可用來存取 任何允許HTTP的伺服器(通稱為一網路應用程式伺服器或 WAS),和獲得對一資源的存取。大多數瀏覽器透過傳輸層 安全(TLS)協定提供安全。這個協定允許瀏覽器和was兩 者彼此鑑疋(也就是對彼此證明它們的身分),且它也對它們 之間傳輸的資料提供資料保護(也就是資料完整性和資料保 密性)。 由TLS/SSL協定所提供最強固形式的鑑定,是用戶端和 伺服器端證明鑑定。如此的鑑定要求用戶(也就是在一瀏覽 器的使用者)和伺服器(也就是WAS)每一者有一私用/公用密 碼鍵對和相關的證明。公用鍵鑑定維持在一使用者的身分 和一公用鍵之間的一約束(只能由相關的私用鍵開啟),而這 些協定用來提供相互的鑑定。 然而’如果在用戶端的使用者想要存取在伺服器上只能 由一鑑定過且經核可的使用者存取的一通用資源定址器 (URL),必須有一些程序來判斷授權。安全插槽層(SSL)不 對網路應用程式伺服器提供授權、或其他安全服務。因 此’雖然伺服器可經由鑑定確定使用者的身分,但它不知
道使用者的權限,也就是使用者是否應該能夠存取由W A S 所給予的資源。 本紙張尺度家標準(CNS) A4規格_X297公董) 528957 A7 B7 五、發明説明(3 ) 解決授權問題的一種嘗試是在一 cookie資料當中傳遞鑑定 資訊。如眾所週知,一 cookie是一由伺服器設定來訂製到一 特定使用者的網路瀏覽器之資料的資料項目。因此co〇kie提 供一程度的”狀態”給HTTP,否則其是一無狀態的協定。當 用戶端機器的一使用者拜訪一網路伺服器時,伺服器可能 傳回一 cookie給使用者的劇覽器。當一⑶以卜設定為一 HTTP異動的一部份時’它可能包括c〇〇kie有效的路徑、 cookie的名稱和數值 '和其他可選擇的屬性例如c〇〇kie的屆 滿曰期。依預設,瀏覽器自動地儲存c〇〇kie資料,通常不給 使用者選擇權或知道它完成。當使用者在某個稍後的時點 重新拜訪伺服器時,cookie與請求一起送出,藉此對伺服器 識別使用者。
Cookies可以是儲存在磁碟上的持續c〇〇kies,或是儲存在 δ己憶體中的έ己憶體cookies。持續cookies在用戶劉覽器關閉 之後存在一用戶槽案例如” c〇〇kies txt,,中,且可在下一次劉 覽為父談期間取得。記憶體c〇〇kies在瀏覽器關閉時消失。 然而,兩種類型的cookles可能是危險的,因為兩種類型的 coolues可能遭惡意的程式碼(例如有特洛依木馬病毒的 JavaScnpt【也就是藏有惡意程式碼的良性程式碼】)偷取。 持續C〇〇kleS是一種更大的威脅,因為它們可從coolae樓案 偷取,雖然兩種類型的c〇〇kles對竊取都是脆弱的。 口此/、在用戶的瀏覽器設定之co〇kie可用來對伺服 為識別使用者,但典型的eQGkie引人弱點。在_些習知技術 解決中,备用戶端劉覽器發出對一受保護資源之請求到設 本紙張尺度適用中國國家標準格(210 X 297公釐) ------— 528957 A7 B7 五、發明説明(4 疋cookie的伺服器時,在一 c〇〇kie當中傳送鑑定資料。然 而,如此的方式可能是不安全的,因為取得c〇〇kie的攻擊者 可能能夠得到使用者授權來存取受保護資源。換句話說, 一不適當實施的cookie可能使擁有的證明等於身分的證明。 更潛在地,一些co〇kle實施也包含使用者鑑定到一系統之内 所必需的使用者名稱和密碼。這特別地危險,因為如果這 個資訊遭竊,一惡意使用者可使用”正常”方法對一系統鑑 定,並藉此以冒充的使用者出現。然後惡意使用者可以有 由伺服器所設定他們自己的cookies。 結果,這些習知技術方案高度易受再現攻擊影響,其中 獲得身分coolue的人可簡單地提出它來取得對受保護資源的 存取。已知HTTP coolues的使用是一種對攻擊開放的不安全 機制。 如上面簡短地提出,鑑定和授權可以許多方式完成,且 如先則所述,企業可能想要以一種使用者易親近的方式從 各種位置提供經認可的使用者對受保護資源安全的存取。 雖然提供安全鑑定機制減少對受保護資源未經授權的存取 之風險,相同的鑑定機制可能變成與受保護資源互動的障 礙。使用者通常想要從與一應用程式的互動跳躍到與另一 應用程式的互動之能力,而不用管保護支援那些應用程式 的每一·特定系統之鑑定障礙。 當使用者變得越熟練,他們期望電腦系統協助他們的動 作,以便減少使用者的負擔。這些類型的期待也適用於鑑 定程序。一使用者可能假定一旦他或她已經由一些電腦^ 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐)一 -------— 528957 A7 B7 五、發明説明(5 統鑑定過’鑑定應該在使用者的整個工作期間(或至少對一 特定時段)是有效的,而不用管對使用者幾乎看不見的各種 電腦架構界限。企業通常試著滿足它們所配置系統操作特 性中的這些期待,不但平息使用者而且也增進使用者效 率’不論使用者效率是否與職員生產力或用戶滿意有關。 對應用程式有效率的存取之問題隨著網際網路的成長變 得更顯著。以網路為基礎和以網際網路為基礎的應用程式 現在已經變得如此普遍,當人們得知一種新的產品或服務 時,人們將假定產品或服務會將網際網路功能納入產品或 服務中。由於(其中許多應用程式有可透過普通的瀏覽器存 取之以網路為基礎的使用者介面)目前的計算環境,使用者 (對從一以網路為基礎的應用程式移動到另一以網路為基礎 的應用程式)期待使用者更易於使用和更低或更少的障礙。 在此情況中,使用者越來越期待從與一網際網路網域上的 一應用程式之互動跳躍到另一網域上的另一應用程式之互 動’而不管保護每一特定網域的鑑定障礙之能力。 大多數企業正在配置以網際網路為基礎的系統。只有當 一企業有一重大強制的理由如此做時,才會發展出結合重 要專有技術的新應用程式。在其他情況中,許多傳承的系 統已經以遵循開放的標準之功能性更新,以便系統服務可 廣泛地使用而仍然安全,例如透過如上面描述的劉覽器。 雖然一更新過之傳承的系統可能更方便地透過網際網路 或透過一公司企業内部網路存取,可能有正當的理由而不 修改某些系統。許多企業維持著傳承的系統而不以新的技 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公董) 528957 A7 B7 五、發明説明(6 術更新。其他傳承的系統不修改而是僅提供有一功能的界 面’其他以網路為基礎的應用程式必須透過它互動。 最新配置的系統和傳承的系統兩者都可能透過網際網路 提供使用者存取,而使用者鑑定程序可以許多不同方式實 施。然而’即使許多系統提供透過易於使用以網路為基礎 之介面的安全鑑定’一使用者可能仍然被迫考慮阻礙穿過 一組網域的使用者存取之多重鑑定程序。在一特定時框中 使一使用者遭受多重鑑定程序可能大大地影響使用者的效 率。 如先前所提,cookies已經以各種方式用來在主從式系統 當中加快使用者鑑定。即使cookies可將鑑定障礙減到最小 (雖然通常以不安全的方式),一 C00kie只在一特定的DNS (網域名稱系統)網域當中有效。因此,當一使用者穿過一組 網域時,一 cookie不能夠用來傳遞鑑定資訊通過些網域。 因此’有其中可提供遍及整個分散式系統的使用者鑑定 的方法和系統,而沒有每一安全網域的鑑定障礙將會是有 利的。換句話說,有其中一使用者可鑑定進入一安全網域 之内然後並轉移到另一安全網域的跨網域、單一登入鑑 定,而不用重新鑑定到第二網域將會是有利的。以一種完 全建立在那些開放的標準之合法使用的方式上使用開放的 標準將會特別地有利。 發明概要 本發明是一種跨網域、單一登入、鑑定功能的方法、系 統、裝置、或電腦程式產品。該方法使用一”引入鑑定記號” 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公«)
装
528957 A7 B7 五、發明説明(7 來將一已經鑑定過的使用者從一網域引入到一新的網域。 這個記號使用HTTP-重導向從一網域傳遞到另一網域。這 個記號以只在那二個網域之間以一安全方式共用的一密碼 鍵編密保護,使得一外部使用者無法產生一假冒的引入記 旒。一引入記號可藉由使它具有一有限的生命週期,以便 即使記號遭侵佔,它只對一短時段有效進一步保護;因 此 未t授權的使用者將不能夠在記號的生命週期當中 使用或重複使用引入記號。 在一使用者已引入到一新網域之後,那麼所有使用者的 貧源請求由新網域根據如引入的網域所陳述之使用者的身 分授權。換句話說,引入的網域只有在引入一使用者到新 網域時參與跨網域功能。在引入的網域參與了鑑定程序之 後,新網域承擔任何授權程序的完整責任。每一個別網域 保有在它自己的網域當中提供存取控制功能的責任。 圖式概述 本發明認為是新奇特徵的特性陳述在附加的申請專利範 圍中。本發明本身、進一步目的、和其優點,當結合伴: 的圖式閱讀時,糟由參照下列詳細說明將可最佳地了解 其中: 圖1 A描述資料處理系統的一典型網路,其 本發明; 〃 汽施 圖1B舉例說明其中可實施本發明以網路為基礎之環境; 圖丨C是一資料流動圖,舉例說明當_用户嘗試存取受 保護資源時,可能使用的一習知技術程序; -10 - 本紙ft尺度適用令國國家標準(CNS) A4規格(210X 297公爱) 528957 A7 _____ —_B7 五、發明説明(8 ) 圖2是一流程圖,表示依照本發明一較佳具體實施例實施 的一跨網域、單一登入程序; 圖3A描述在一組跨網域、單一登入網域當中,資訊的邏 輯組織; 圖3B描述來自一跨網域、單一登入網域的一可仿效網 頁,顯不一主要部分,有跨網域、單一登入(CD_SS⑴網域 當中保護的或其他的資源之指示器;和一邊緣部分,顯示 可在CD-SSO網域啟始存取、但其由在其他CD-SS〇網域的 祠服器儲存和控制之保護的資源之指示器; 圖3C疋一可仿效的書籤樓案,其中已經標示書籤並儲存 了在CD_SSO網域保護的資源之一些通用資源識別符號 (URIs);和 圖4A-4B是資料流動圖,舉例說明當一使用者在依照本發 明的較佳具體實施例之CD-SSO(跨網域、單一登入)網域之 間移動時,所涉及的一些處理。 發明詳述 現在參考圖式,圖1 A描述資料處理系統的一典型網路, 每一系統可實現本發明。分散式資料處理系統丨0 〇包含網路 1 〇 1 ’其係是一可用來在分散式資料處理系統丨〇 〇當中連接 在一起的各種裝置和電腦之間提供通訊鏈結的媒體。網路 1 〇 1可能包括永久的連接例如電線或光纖缓線,或透過電話 或無線通訊的暫時連接。在所描述的範例中,伺服器1 〇 2和 伺服器1 0 3連同儲存單元1 〇 4連接到網路1 〇 1。除此之外, 用戶1 0 5 - 1 0 7也連接到網路1 〇 1。用戶i 〇 5 -1 0 7和伺服器 -11 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐) 528957 A7 ____B7 五、發明説明(9 ) 1 0 2 - 1 0 J可能由各種計算裝置表示,例如大型主機、個人電 腦、個人數位助理(pDAs)等。分散式資料處理系統1〇〇可 能包括額外的伺服器、用戶、路由器、其他裝置、和未顯 示的點對點架構。 -在所描述範例中,分散式資料處理系統1 0 0可能包括網際 網路’以網路1 〇 i表示網路的全球集合和使用各種協定(例 如LDAP,TCP/IP,HTTP等)彼此通訊的閘道器。當然,分 散式資料處理系統1 0 0也可能包括許多不同類型的網路,舉 例來說’例如企業内部網路、區域網路(L AN )、或廣域網 路(WAN)。舉例來說,伺服器1〇2直接地支援用戶1〇9和結 合媒線通訊鏈結的網路1 1 〇。允許使用網路的電話1 1 1透過 無線鏈結11 2連接到網路110,而pda 113透過無線鏈結u 4 連接到網路110。電話111和1>0八U3也可直接地使用一適 當的技術(例如藍芽【BluetoothTM】無線技術)穿過無線鏈 結1 1 5在它們自己之間傳遞資料,以建立所謂的個人區域網 路或個人特別網路。在一相似的方式,PDA 113可經由無線 通訊鏈結1 1 6傳遞資料到PDA 107。 本發明能夠實施在各種硬體平台和軟體環境上。圖1 A打 异作為異種的計算環境之一範例,而不是作為本發明的架 構限制。 現在參考圖1 B,一網路圖舉例說明其中可實現本發明的 一種更特定、然而普遍的、以網路為基礎之環境。在此環 境中,在用戶端150的瀏覽器152之使用者想要存取DNS網 域156中網路應用程式伺服器154上、或在dNS網域丨60中 _ - 12 - 本紙張尺度遑用中國®家標準(CNS)八4規格( x 297公爱)' " 528957 A7 B7 五、發明説明(10 網路應用程式伺服器158上一受保護資源。一受保 如果請求的用戶„器經鑑定且經授權存取或: 索的貧源(應用程式、物件、文件、網頁、檔案、可執行 碼、或其他計算資源' it訊類型的資源等)。每一 DNS網域 可能有-相關的鑑定伺服器162。通常,—旦使用者由鑑定 伺服器鑑定過’可能設定一 cookle並儲存在瀏覽器中一 cookle快取中。請求的用戶可能對受保護資源進行一網域内 部請求或-網域間請求。—網域内部請求表示目標資源位 於執行鑑;t的相同伺服器之上。—網域間請求表示目標資 源位於相同網際網路網域當中,但在與查證鑑定的鑑定伺 服器不同的伺服器上。一跨網域請求表示使用者想要存取 使用者目前正使用的D N S網域之外一受保護資源。 如上面所提,本發明可在各種網路和硬體平台當中使 用。不過,更特別地,本發明提供一種方法,以便當一使 用者嘗試存取多重、結合的網域當中受保護資源時,不因 ii疋目的遭反對。沒允許在參與一跨網域、單一登入聯盟 或安排中的網域之間某種程度的自由移動。舉例來說,一 大型企業間網路(extranet)可能有多重網域,每一網域有它 自己的使用者集合和受保護資源。然而,受保護資源可能 有一共同的企業關聯’且在使用者集合之中可能有相當的 重疊。當進入各別的網域時不需要通過多重鑑定要求,一 使用者可得到一些效率或生產力。因此,本發明嘗試移除 障礙以穿過網站自由移動。 見在參考圖1 C,一資料流動圖舉例說明當一用戶嘗試存 13 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐) 裝 訂 線 528957
取一受保護資源時,可能使用的一習知技術程序。如所舉 例說明,在一用戶工作站17〇的使用者經由用戶工作站上執 订之使用者的網頁瀏覽器,在一電腦網路上請求對一伺服 态1 7 2上叉保護資源之存取。如上面所提,一受保護資源由 只可由一經鑑定且經授權的使用者存取之一通用資源定址 克(URL)【或更普遍的,一通用資源識別符(URI)】識別。 私月自網路可能是如圖1 A或圖丨B所示之網際網路、企業内部 網路、或其他網路,而伺服器可能是一網路應用程式伺服 〇a (WAS)飼服為應用程式、<司服器小程式(serviet)程序、 或其相似程式。 當使用者請求受保護資源例如網域” ibm com,,當中的一網 頁時,程序開始(第1 74步驟)。網頁瀏覽器(或相關的應用 程式或網路小程式【applet】)產生一送到主控網域 Ibm. com ”的網頁伺服器之Ηττρ請求(第i 7 6步驟)。伺服器 判斷它對用戶沒有一作用中的交談(第178步驟),所以伺服 器藉由送給用戶某些類型的鑑定要求命令使用者執行一鑑 定程序(第18〇步驟)。鑑定要求可能是各種形式,例如一超 文件標記語言(HTML)表格,使用者必須將所需要的資訊 (例如一使用者識別符和一相關的密碼)輸入到其中(第丨82 步驟)。
裝 訂
HTML表格中的鑑定回應資訊送回到词服器(第184步 ⑽’此時伺服器藉由檢索先前提出的登記資訊、並比對所 提出的鑑定育訊與使用者儲存著的資訊鑑定使用者。假設 鏜定成功,-安全插座層(SSL)交談以—獨特的交談識別符
528957
(父談識別)指定給經鑑定的使用者,以便來自使用者的後續 w求不觸發另一鑑定要求(第丨8 6步驟)。換句話說,使用者 將識別為先前已經鑑定過。 雖然圖1 C描述一典型的習知技術程序,應該注意在此可 描述其他的替代交談狀態管理技術,例如使用cookies來識 別有作用中的交談(其可能包括使用用來提供鑑定證據之相 同的cookie)之使用者。 然後伺服器取回所請求的網頁,並將一 HTTP回應送到用 戶(第188步驟)。在此,使用者可能在瀏覽器當中藉由點選 一超本文鏈結請求”ibm.com ”當中另一網頁(第19〇步驟), 而劉覽器送出另一 HTTP請求到伺服器(第192步驟)。在 此’词服器承認使用者有一作用中的交談(第194步驟),且 伺服器在另一 HTTP回應中送出所請求的網頁回到用戶(第 1 9 6步驟)。 與本發明相對的,一已經鑑定了一使用者的第一網域, ^使用者嘗試存取在第二網域一受保護資源時產生一引入 鑑定記號。然後引入鑑定記號經由HTTP-重導向從第一網 域傳遞到第二網域。第二網域可能接收那個弓丨入記號當作 使用者身分的證明,而然後第二網域可依照第二網域當中 使用者的身分(從第一網域所提出的使用者身分得出)授權使 用者存取第二網域當中的特定資源。本發明的這些特徵等 在以下進一步更詳細地描述。 現在參考圖2,一流程圖表示依照本發明的一較佳具體實 施例實施之一跨網域、單一登入(C D - S S 0)程序。 -15 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐)
裝
528957 A7 _________B7_ 五、發明説明(u ) 應該注意的是圖2-4B可使用各種交談狀態管理技術,以 決定一用戶在接收對一受保護資源的請求之伺服器上是否 有一作用中的交談。在一較佳具體實施例中,一交談狀態 官理器元件可能用來追蹤SSL交談身分(其中當每一用戶對 ~ CD-SSO伺服器鑑定時,由每一 CD-SSO伺服器指派了一 獨特的SSL交談身分)。或者’也可使用其他的交談管理方 法’例如在用戶對一交談的期間設定一 c〇〇kie。 然而’眾所週知不同交談管理方法有不同的優點和弱 點。如果不使用一 cookie而單只藉由交談身分的使用完成交 歧管理,那麼結束一用戶交談可完全在伺服器端上完成。 如果在一特定交談管理實施中使用c〇〇kies,那麼必須執行 額外的步驟來清除cookie線索,例如刪除在用戶對交談設定 的任何cookies (如果伺服器要確保登出程序完全地安全)。 應該了解因為本發明避免為任何鑑定目的使用co〇kies, 本發明可能與無cookie交談狀態管理結合,藉此允許跨網 域、單一登入功能而不由一群CD_ss〇網域當中作用的任何 伺服态使用任何cookies。 當一伺服器從一用戶接收對一受保護資源的請求時,程 序開始(第2 0 2步驟)。在這個範例中,伺服器可能負責鑑定 程序和支援網路應用程式。 然後伺服為判斷它對用戶是否有一作用中的s s L交談(第 2 0 4步驟)。如果是,那麼伺服器從它的快取記憶體取回用 戶的身分澄明(第2 0 6步驟)。對一受保護資源的每一用戶請 求由檢查用戶在它的身分證明中是否有適當的存取權限開 __ - 16 - ^紙張尺度適用中國國家標準(CNS) A4規格(21〇 X 297公爱^ ----- --- 528957 A7 一一 B7 五、發明説明(14 ) 始;在這個範例中,一旦伺服器取回用戶的身分證明,它 假疋用戶對请求一受保遵資源上的動作有適當的存取權 限。然後伺服器處理用戶請求(第208步驟),並產生_回鹿 且送回到用戶(第210步驟)。然後用戶可提出額外的請求。 如果當第204步驟判斷伺服器還沒有對用戶建立一作用中 的S S L交談,那麼伺服器判斷用戶的HTTP請求是否包含一 最好附加於URI的引入鑑定記號(第212步驟)。本發明的引 入鑑定記號允許一使用者在一群依照本發明提供跨網域、 單一登入功能的網域之間移動,如以下進一步更詳細地解 釋。如果Η T T P訊息沒有一引入鑑定記號,那麼伺服器強迫 在用戶端的使用者完成一例如參照圖1 C所描述的手動鑑定 程序。對於鑑定程序是否成功進行一判斷(第214步驟)。 如果鑑定程序成功,那麼伺服器建立並快取記憶使用者/ 用戶的身分證明(第2 1 6步驟),在此期間伺服器建立一 s s L 父談並指派一 S S L交談身分給用戶。在此時,词服器可在第 208步驟處理用戶對受保護資源的請求,然後並在第21〇步 驟傳回所產生的回應給用戶。如果使用者未成功地完成鑑 定程序,那麼伺服器可產生某些類型的錯誤回應給使用者 (第2 1 8步驟),然後錯誤回應在第2 1 〇步驟傳回到用戶。 如果來自用戶的HTTP請求包含一引入鑑定記號(其在本 發明中最好附加於HTTP請求中的URI),那麼伺服器解密 引入鑑定記號(第2 2 0步驟)並從記號引用各種資料項目(第 2 2 2步驟),例如正在操作用戶的使用者之使用者身分、使 用者從其轉移而來的網域、和一時間戳記。 __ _ 本紙張尺度適财國®家標準(CNS) A4規格(21GX 297公董) ' ~ 528957 A7 B7 五、發明説明(丨5 ) 可選擇性地包括時間戳記,以便記號有一有限的生命週 期’藉此減退一未知第三者的疏忽鑑定之危險。對於時間 戮記是否有效進行一判斷(步驟224) ^時間戳記的效力可藉 由比較目前時間與時間戳記、並判斷在二者之間的時間差 是否比指示此種時間戳記的一最大臨限值的系統參數之數 值更小建立。如果時間戳記是不可接受的,那麼伺服器可 能需要在用戶端的使用者成功地完成一手動鑑定程序,如 流程圖分支回到第2 1 4步驟所示。如果時間戳記是可接受 的,那麼伺服器對用戶建立一 SSL交談,如流程圖分支到第 2 1 6步驟所示。一旦回應送回到用戶,對一受保護資源的用 戶請求之處理完成。 現在參考圖3A,一方塊圖描述在一組跨網域、單一登入 網域當中資訊的邏輯組織。CD-SSO網域組3 00展示一組已 經結合CD-SS0功能的網域。網域組3 〇0中每一網域有它網 域當中的保護和未保護的資源。當一資源是,,在一網域當中 ’’時,它是在一特定網域的網域名稱空間當中。一網域名稱 是依照網域名稱系統(DNS)【其以一眾所週知的方式結合 網域名稱位址和數字IP位址】識別一階層格式中位址的擁 有實體之網路連接之位址。舉例來說,在位址” hnp : //www.domam.org/homepage.htm” 的一資源(其在此情況是 一網頁),是在網域” domain.org ”當中。 網域3 10、3 20、3 3 0、和340在它們的網域當中有保護 的或其他類型的資源,其在圖形中顯示為保護的資源3 12、 3 22、3 3 2、和342。以一眾所週知的方式,經鑑定且經授 -18 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 528957 A7 B7 五、發明説明(16 ) 權的使用者將能夠藉由送出對一特定資源的請求到一支援 儲存或包含特定資源的特定網域之伺服器來存取這些資 源。每一資源可由顯示在用戶端電腦上一瀏覽器應用程式 當中的網頁當中一或更多個圖形使用者介面(GUI)指示器代 表,而當一使用者選擇GUI指示器時,瀏覽器藉由送出對資 源的一請求到(如與G UI指示器相關的網域位址所敘述的)伺 服器嘗試取得資源。 在本發明中,網域31〇、320、330、和340也提供對某 些其他資源(已知在一特定網域但實際上從網域的CD-SSO 集合當中之其他網域服務)的初始存取。每一網域有一或更 多其他網域所提供保護的或其他類型的資源之子集的”情報 ,且母一網域提供一些方式以初始地請求對在其他網域或 一些網域的資源之子集的存取。舉例來說,網域3〗〇透過存 取請求機制3 1 4、3 1 6、和3 1 8提供對其他CD-SSO網域資源 的初始存取;網域320透過存取請求機制324、326、和 3 28提供對其他CD_SS0網域資源的初始存取;網域33〇透 過存取請求機制3 3 4、3 3 6、和3 3 8提供對其他CD-SS〇網域 資源的初始存取;而網域340透過存取請求機制344、 3 46、和3 48提供對其他CD-SSO網域資源的初始存取。 —登入網域的可仿效
網域的伺服杰儲存和控制)之指示器。圖3 B表示允許一使用 現在參考圖3B,來自一跨網域、單_ 網頁顯示:一主要部分,有C D - S S Ο網垃 的資源之指示器;和一邊緣部分,顯元 本紙張尺度適用中國國家標準(CNS) A4規格(210 χ 297公釐) 528957 五、發明説明
A7 B7
者容易地從各種網域請求資源的GUI指示器(其中對那些網 域當中的資訊之存取如圖3 A所示邏輯地組織)。 應該注意的是本發明與提供對保護的資源之跨網域存取 有關。雖然每一網域可能有一或更多其他網域所提供未保 護的資源之子集的情報,由於對保護的資源之請求啟動本 發明的C D - S S 0功能,那些範例強調這些類型的請求。 網頁3 5 0展示能夠顯示在一瀏覽器應用程式視窗當中的各 種GUI圖像和超文件鏈結;那些圖像和超鏈結可由瀏覽器應 用程式的使用者以一眾所週知的方式選擇。網頁35〇的主要 部分352指示使用者正在觀看和存取的網站之網域名稱。超 鏈結3 5 4指示使用者可能想要拜訪的網站之其他部分。 超鏈結3 5 6指示使用者可能想要拜訪的其他網站之網域名 稱。超鏈結356與形成包括提供網頁350的網域之cd-SSO 網域的集合之CD-SSO網域有關。 在這個範例中’網頁3 5 0從網域” IΒ Μ E a s t. c 〇 m ’’提供。 使用者不知道與超鏈結3 5 6 (如將包含在網頁3 5 〇所代表的標 5己舍§槽案當中)有關的真實位址。然而,每一超鏈結與起 始對其他網域的存取之在,,IBMEast.com,,的一位址有關。 舉例來說,網頁3 50中的超鏈結"IBMWest.com,,可能有一 相關的網域名稱位址,例如在標記語言檔案當中的,,http : //www.ibmeast.com/CD-SSO/ibmwest/west/login.html,f 。當 使用者點選”IBMWest.com’’超鏈結時,請求送到網域 "IBMEast.com”供處理。支援,,lBMEast.com,,的伺服器將會 把所請求的URL為在另一網域的受保護資源,然後並將依 -20 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐)
裝 訂
528957 A7 B7 五、發明説明(18 ) 照本發明啟動適當的CD-SSO功能。 可以假定請求了對網頁3 5 0的存取之使用者先前已經過鑑 定並經授權接收網頁3 5 0(其將會是受保護資源的一範例)。 然後使用者可選擇透過點選超鏈結3 5 6其中之一移動到另一 CD-SSO網域,在此時本發明的CD-SSO功能將如圖2和圖 4A-4B所描述啟動,而然後可授權使用者接收所選擇超鏈 結代表之所請求的資源而不需要登入在新網域。 現在參考圖3C,一可仿效書籤檔案展示已經標示為書藏 並儲存在書籤檔案當中之在CD-SSO網域的保護資源的一些 URIs。在此情況,書箴檔案是一簡單HTML-格式的檔案。 提供圖3C以便強調透過在那些CD-SSO網域當中資源情報 的共享使那些CD-SSO網域相關聯的方式。當在一特定CD-SSO網域的一伺服器提供包含在其他CD-SSO網域的資源之 指示(舉例來說,超鏈結)的網頁或其他資源時,所提供的指 示器將從用戶端產生請求回到支援特定CD-SSO網域的伺服 器。 接續圖3 B中顯示的範例,在圖3 C中顯示的書籤檔案可能 在一使用者正瀏覽過網域’’IBMEast.com”時建立。當使用者 看到往相關網站的超鏈結時,使用者決定如來自 ” IBMEast.com ”網頁的超文件鏈結所提供標記每一 CD-SSO 網域為書籤。因此,每一網域名稱位址引用在 ’’IBMEast.com”網域當中的一檔案。如果使用者嘗試透過書 籤存取其他網域中之一,請求將首先送到"IBMEast.com ”, 此時將啟動CD-SSO功能。 -21 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐)
裝
線 528957 A7 B7 五、發明説明(19 ) 因此,即使一使用者已經登出所有的CD-SSO網域並從一 不相關的網域瀏覽一網頁,且接著從圖3 C中顯示的書鐵槽 案選擇一書籤以移動到"IBMWest.com”,請求將會送到 ’’IBMEast.com”。 現在參考圖4 A - 4 B 料流程圖舉例說明當一使用者依 照本發明一較佳具體實施例在CD-SS0(跨網域、單一登入) 網域之間移動時,涉及的一些處理。圖4A-4B表示在使用 者於網域之間移動時,一用戶端和那些伺服器之間的一些 動作和傳遞的資料;而圖2表示一流程圖,描述將由一群 CD-SS0網域中負責一網域當中的鑑定之每一伺服器所執行 的程序。 現在參考圖4A,在用戶端402的一使用者已經與司服器 404建立一 SSL交談。SSL交談建立的方式將類似於圖2中 顯示的方式。然而,對圖4 A來說,S S L交談的啟動延緩, 因為它將對應圖4 B顯示。在這個範例中,一使用者已經劉 覽了網域"IBMEast.com”上的受保護資源。應該注意的是通 常忽略一網域名稱的本文字串當中的大小寫。 在某個時點,使用者在用戶端402點選顯示在瀏覽器當中 的一超文件鏈結,以便從一第一 CD-SSO網域 "IBMEast.com” 移動到一第二 CD-SSO 網域"IBMWest.com” (第4 0 6步驟)。如熟知該項技藝人士所知,使用者可能以各 種方式(例如藉由啟動一瀏覽器快取記憶的書籤等)選擇一網 域、網頁位置等。 網域的CD-S SO群組中之每一網域保存它自己的授權政策 -22 - I紙張尺度適财㈣家標準(CNS) A4規格(21G X 297公爱) 〜 528957 A7 B7 五、發明説明(20 或企業鑑疋機制。對要取得在一特定網域的受保護資源之 存取的一使用者來說,使用者必須先前已經在網域登錄以 建立一使用者身分、使用者帳戶等。或者,系統管理人已 經為使用者在該網域產生一使用者身分。因此,應該了解 為了使引入鑑定記號有效用,使用者必須事先在使用者想 要取得存取的CD-SSO群組當中的每一網域建立了 一使用: 身分。
裝 除此之外,跨CD-SSO網域傳遞鑑定資訊需要目前鑑定使 用者的伺服器之介入,(舉例來說,藉由存取在 IBMEast.com”當中的一可重導向超鏈結)以便到達 "IBMWest.com”。這暗示支援參與在網域的CD-SS〇群組中 之一網域的每一伺服器有CD-SSO群組當中所有其他網域的 情報,且必須保存從它們自己的網路資源到這些網域的鏈 結。
線 在啟始CD-SSO網域間的轉移之使用者動作之後,用戶端 402迗出觸發從第一 CD-SSO網域到第二cD_SS0網域的轉移 之一 Η T T P凊求(第4 0 8步驟)。伺服器4 〇 4識別η τ τ p請求中 的所请求URI為(在支援第二CD-SS〇網域的伺服器之控制下) 存取一叉保護貧源的請求。然後伺服器4 〇 4產生一引入鑑定 記號(第4 10步驟),最好將記號附加到重導向11111,將重導 向URI置於HTTP重導向訊息中,然後送出Ηττρ重導向到 用戶端(第4 1 2步驟)。 HTTP重導向為熟知該項技藝人士所知。一HTTp重導向 允許一伺服器以載入在不同位置的一資源之指令回應一用 -23 - 本紙張尺度適用中國國豕標準(CNS) A4規格(210X 297公董) 528957
戶端請求’而在其後,大多數瀏覽器將自動地在重導向之 後睛求新的資源。當瀏覽器接收HTTP重導向時,瀏覽器使 用HTTP重導向中所提供的重導向URI發出一新的Ηττρ請 求。 引入鑑定記號的格式可能因系統實施而改變。大體上, 圮號至少必須包括在第一 CD-SS〇網域使用者身分的一些指 不。如果網域識別符現在反映在儲存於記號當中的使用者 身分中時,記號可附加地包括第一網域的一可選擇網域識 別符。記號也可如在上面參照圖2描述一樣,包括用以限制 3己號的生命週期之一可選擇的時間戳記。記號可能格式化 為一二進位的字串、一編碼的ASCn字串、或一些其他可解 譯的格式。記號可能選擇性地依照各種標準格式化,例如 附加資料的PKCS(公用鍵密碼標準)規格。 編密在引入鑑定記號當中的資訊以隱藏該資訊,以便限 制匕可能遭侵佔的危險。在C D - S S 0群組當中的那些伺服器 可能共用、或依照該項技藝中許多眾所週知的方式使密碼 鍵一致。舉例來說,群組中的每一伺服器可能已經取得或 收到每一其他伺服器之公用鍵的一份副本。由於使用者從 其轉移的第一網域知道使用者正在轉移的目標網域,第一 網域可使用第二網域的公用鍵來編密置於引入鑑定記號當 中的資訊。第二網域可接著使用它的私用鍵來解密記號。 應该 >主意記號它本身如果不是編密的資料項目,就是在記 號當中的那些資料項目經過編密而然後置於記號當中。 用戶端402與引入鑑定記號一起接收HTTP重導向,而在 -24 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 528957 A7 B7 五、發明説明(22 ) 之後,在用戶端的瀏覽器產生如重導向URI中所述的第二網 域之一新的HTTP請求(第414步驟)。由於引入鑑定記號最 好附加到重導向URI的一部份,所以瀏覽器傳遞包括引入鑑 定記號的整個U RI到所敘述的目的。 作為重導向URI的格式之一範例,HTTP重導向可能包含 下列各項:"http : //www.ibmwest.coni/987324C0... F16916AE 9684”, 其中”987324C0·.· F16916AE 9684”是一編密的引入鑑定記號 之ASCII-編碼的十六進位字串的一部分。藉由附加記號到 URI,當瀏覽器從HTTP重導向複製記號到新的HTTP請求 時,它不知道它正在處理記號。通常,引入鑑定記號可能 有:{使用者身分;引入/轉移網域;時間戳記}的形式。在 圖4A中,使用者身分可能延長為"userX@ibmeast.com”,其 中使用者身分和第一網域識別符已經以一眾所週知的方式 結合。其他媒介資料可能與記號有關,以提供記號的特徵 之一指示。舉例來說,重導向URI可能表示為·· ’’http:// www.ibmwest.com/IAT : 987324C0...F16916AE9684”,其中字 串” I AT ”代表”引入鑑定記號",藉此允許一接收伺服器很快 地識別一HTTP請求有相關的記號。 用戶端402送出新的HTTP請求(第416步驟)到在第二或 所轉移的網域之伺服器4 1 8。此時,使用者可能已經永久地 或只是暫時地離開第一網域。因系統實施而定,使用者於 存取在第二網域的受保護資源之後,可能被允許存取在第 一網域的受保護資源。然而,使用者在伺服器404的SSL交 談可能在幾分鐘之内期滿。應該注意的是在網域的C D - S S〇 -25 - 本紙張尺度適用中國國家標準(CNS) A4規格(21〇x 297公釐) 528957 A7 一 B7 五、發明説明(23 ) 群組中之一網域從一或更多網域中的一交談登出一使用者 的方式,可能因系統實施而改變卻不衝擊本發明的運作。 現在參照圖4 B,顯示了 一程序,其中用戶端4 〇 2與词服 器418建立一 SSL父谈。用戶端402已經送出新η丁 τρ靖长 (第4 1 6步驟)到【最少扮演第二或所轉移網域(在重導向 URI中所敘述)的一鑑定伺服器】伺服器418 α 在這個範例中,伺服器41 8判斷它還沒建立對用戶4〇 2的 一 SSL交談(第420步驟)。然而,伺服器418確實發現 HTTP請求中的一引入鑑定記號,最有可能是在它解密記號 時藉由剖析URI(第422步驟)。然後使用者身分和引入網域 從記號中的解密過的資訊檢出(第4 2 4步驟)。 如先如所陳述,每一網域負責依照網域自己的政策授權 給一使用者,而一使用者在CD-S SO網域群組的每一網域當 中有一使用者身分;那些使用者身分在不同的網域中可能 不一致。因此,伺服器4 1 8 (或一相關的伺服器)可選擇性地 對映所傳輸的使用者身分到如在第二網域當中所知的一身 分(第426步驟)。對映函數428可能結合各種眾所週知的對 映技術。除此之外,伺服器4 1 8可能選擇評估它與引入伺服 器4 0 4的業務關係之目前狀態。即使知道伺服器4丨8和4 〇 4 將參與一跨網域單一登入關係之中,伺服器4丨8可能選擇不 根據引入網域的身分接受引入鑑定記號,或者伺服器4 1 8可 能選擇要求來自使用者之鑑定的一額外表格。這在參與一 CD-S SO關係中時,提供伺服器4 is—額外層次的保護。 然後伺服器4 1 8建立並快取記憶使用者的一身分證明,並 -26 - 本紙張尺度適用中國國家標準(CNS) A4規格(21〇χ 297公釐) 528957 A7 B7 五、發明説明(24 對用戶端402建立一 SSL交談(第430步驟),在其後词服器 4 1 8產生並送出包含原本所請求的受保護資源之一 HTTp回 應到用戶端402 (第43 2步驟)。 在此時,使用者可能在瀏覽器當中藉由點選另一超文件 鏈結請求網域"IBMWest.com”當中的另一網頁(第434步
驟),而瀏覽器送出另一HTTP請求到伺服器(第43 6步驟)。 之後,伺服器辨識使用者有一作用中的交談(第43 8步驟), 而伺服器在另一HTTP回應中送出所請求的網頁(或其他類 型的受保護資源或資訊)回到用戶端(第44〇步驟)。 裝 本發明的優點從上面所提供本發明的詳細描述之觀點應 該是顯而易見的。在本發明中,已經鑑定了 一使用者的一 第一網域’在使用者嘗試存取在一第二網域的受保護資源 時’產生一引入鑑定記號。然後引入鑑定記號經由HTTP重 導向從第一網域傳遞到第二網域。第二網域可能接受引入 記號當成使用者身分的證據,而第二網域授權給使用者依
戶、?、在第二網域當中的一使用者身分,存取第二網域當中特 定的資源。 藉由本發明,當嘗試存取在第二網域當中的一受保護資 源時,使用者不會為了鑑定目的遭盤問。這允許在參與一 跨網域、單一登入聯盟或安排中的網域之間某種程度的自 由移動。使用者在不用通過多重鑑定盤問(其可能是跨網站 自由移動的障礙)中獲得一些效率或生產力。 除此之外’當在網域之間移動時,使用者免受可能的混 淆。一些企業只為了地理的理由(其中一網域保持與一組職 - 27 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公愛) 528957 A7
員或客戶較Λ近)、或為了調整性的理由(在該情況中對一單 一:域的一單一飼服器或-組飼服器上的負載藉由跨多重 網域分散負栽而減輕)維持多重網域。當可能時這些架構的 加工對一使用者應該是顯而易見@,而當-單一、成功的 登入可用來獲得對多重網域的存取時,藉由本發明使用者 不要執行動作來通過多重鑑定障礙。 本發明也結合一種(完全地以那些開放的標準之合法使用 為基礎)開放的標準方式。引入鑑定記號在一 HTTP重導向 中傳遞,而不使用在那些允許跨網域、單一登入的網域之 間的一專用訊息格式。 很重要的是注意雖然本發明已經以一完全功能的資料處 理糸統的情況描述,熟知該項技藝人士將會發現本發明的 程序能夠以指令的形式分散在一電腦可讀的媒體和各種其 他形式中’而不管實際上用來實行分散的訊號承載媒體之 特定類型。電腦可讀媒體的範例包括例如E P R〇 Μ、唯讀記 憶體、磁帶、紙張、軟式磁片、硬式磁碟機、隨機存取記 憶體、和光碟的媒體,和傳輸類型媒體,例如數位和類比 通訊鏈結。 本發明的說明已經為了例示的目的提出,但不打算無所 遺漏或限制於所揭露的具體實施例。許多修改和變更對熟 知該項技藝人士將會是顯而易見的。那些具體實施例是選 擇來解釋本發明的原理和它的實際應用,和使其他熟知該 項技藝人士能夠了解本發明,以便如可能適合於其他預期 的使用以各種修改實現各種具體實施例。 -28 - 本紙張尺度適用中國國家標準(CNS) Α4規格(210 X 297公釐)
裝 訂
線
Claims (1)
- 經濟部中央標準局員工消費合作社印製 528957 A8 B8 C8 D8 六、申請專利範圍 1. 一種用以在一分散式資料處理系統當中鑑定一使用者之方 法,該方法包含步驟: 從代表一使用者的用戶端接收對(在支援一第一網域 的一第一伺服器之)保護的資源之請求,其中第一網域 是一群網域的一成員,其中使用者先前已經對第一伺服 器鑑定過,且其中使用者先前已經以第一網域中的一使 用者身分登錄過; 判斷所請求的保護資源是否是在一第二網域當中,其 中第二網域是該群網域的一成員; 在判斷所請求的保護資源是在一第二網域當中之後’ 在第一伺服器產生一引入鑑定記號,其中引入鑑定記號 包含使用者的使用者身分資訊; 在一重導向回應當中插入引入鑑定記號; 在重導向回應中插入第二網域的一識別符;和 送出重導向回應到用戶端。 2·如申請專利範圍第1項之方法,進一步包含: 在重導向回應當中插入一時間數值。 J .如申請專利範圍第1項之方法,進一步包含·· 在引入鑑定記號中插入第一網域的一識別符。 4·如申請專利範圍第1項之方法,進一步包含·· 在插入引入鑑定記號到重導向回應内之前,編密引入 鑑定記號。 5.如申請專利範圍第1項之方法,進一步包含: 接收重導向回應;和 -29 - 本紙張尺度tHS 家辟(CNS ) ^ (請先閲讀背面之注意事項再填寫本頁)^28957 8 8 8 8 ABCD 經濟部中央標準局員工消費合作社印製 六、申請專利範圍 屋生對受保護資源的一第二請求; 运出第二請求到如重導向回應所識別的第二網域。 6. 如申請專利範圍第丨項之方法,進一步包含: 的在支援第_網域的-第二伺服器接收對在—第二词服 為的受保護資源之一請求,i啦 ^ ^ 具中對在苐二伺服器的受保 護資源之請求包含引入鑑定記號;和 從引入鑑定記號檢出使用者的使用者身分資訊。 7. 如申請專利範圍第6項之方法,進一步包含:、 根據所取回的佶用去鱼八:欠# i ^ 刃1更用者身分貧訊在第二網域鑑定使用 者。 8_如申請專利範圍第6項之方法’進一步包含: /艮據所檢出的使用者身分資訊,提供對第二網域當中 受保護資源的存取。 9. 如申請專利範圍第6項之方法,進一步包含: 對映所檢出的使用者身分資訊到第二網域中的一使用 者身分,其中使用者先前已經以第二網域中的-使用者 身分登錄。 10. 如申請專利範圍第9項之方法,進一步包含: 根據第二網域中的使用者身分在第二網域鑑定使用 者。 11. 如申請專利範圍第9項之方法,進一步包含: 根據第二網域中的使用者身分,提供對第二網域當中 受保護資源的存取。 Θ 12. —種用以鑑定在一分散式資料處理系統當中的一使用者 • 30 - k張尺度適财《8家料(CNS ) Α刪Κ 210^297^1" (請先閲讀背面之注意事項再填寫本頁)A8 B8 C8 _______D8 申請專^ϊ -- 之裝置,該裝置包含: 第-接收裝置,用以從代表一使用者的用戶端接收對 2在支杈一第一網域的一第一伺服器之)保護的資源之 Μ求’其中第一網域是_群網域的—成員,纟中使用者 先前已經對第-词服器鐘定過,且其中使用者先前已經 以第一網域中的一使用者身分登錄過; 判斷裝置,用以判斷所請求的保護資源是否是在一第 、’周域g中,其中第一網域是該群網域的一成員; 第一產生裝置,用以在判斷所請求的保護資源是在一 第二網域當中之後,在第一伺服器產生一引入鑑定記 唬,其中引入鑑定記號包含使用者的使用者身分資訊; 第一插入裝置’用以在一重導向回應當中插入引入鑑 定記號; 第二插入裝置,用以在重導向回應中插入第二網域的 一識別符;和 弟送出裝置’用以送出重導向回應到用戶端。 13.如申請專利範圍第丨2項之裝置,進一步包含·· 第三插入裝置,用以在重導向回應當中插入一時間數 值。 14如申請專利範圍第1 2項之裝置,進一步包含: 第四插入裝置,用以在引入鑑定記號中插入第一網域 的一識別符。 15·如申請專利範圍第1 2項之裝置,進一步包含: 編密裝置’用以在插入引入鑑定記號到重導向回應内 -31 - 本紙張尺度適用中國國家標準(CNS > A4現格(210X297公釐) (請先閲讀背面之注意事項再填寫本頁) 訂 •鱗— 經濟部中央樣準局員工消費合作社印製 528957 經濟部中央樣準局負工消費合作社印裝 A8 B8 C8 D8 六、申請專利範圍 之前,編密引入鑑定記號。 16. 如申請專利範圍第12項之裝置,進一步包含: 第二接收裝置,用以接收重導向回應;和 第二產生裝置,用以產生對受保護資源的一第二請 求; 第二送出裝置,用以送出第二請求到如重導向回應所 識別的第二網域。 17. 如申請專利範圍第1 2項之裝置,進一步包含: 第三接收裝置,用以在支援第二網域的一第二伺服器 接收對受保護資源的一請求,其中對在第二伺服器的受 保護資源之請求包含引入鑑定記號;和 檢出裝置,用以從引入鑑定記號檢出使用者的使用者 身分資訊。 18. 如申請專利範圍第1 7項之裝置,進一步包含: 第一鑑定裝置,用以根據所檢出的使用者身分資訊在 第二網域鑑定使用者。 19. 如申請專利範圍第1 7項之裝置,進一步包含·· 第一提供裝置,用以根據所檢出的使用者身分資訊提 供對第二網域當中受保護資源的存取。 20. 如申清專利範圍第17項之裝置,進一步包含: 對映裝置’用以將所檢出的使用者身分資訊對映到第 二網域中的一使用者身分,其中使用者先前已經以第二 網域中的一使用者身分登錄。 21. 如申請專利範圍第2 〇項之裝置,進一步包含: -32 - 本紙張尺度適用中國國家標率(CNS ) A4規格(210 X 297公釐) (請先閲讀背面之注意事項再填寫本頁} 、τ 528957 經濟部中央標準局員工消費合作社印製 A8 B8 C8 D8 申請專利範圍 第二鑑定裝置,用以根據第二網域中的使用者身分在 第二網域鑑定使用者。 22·如申請專利範圍第20項之裝置,進一步包含: 第二提供裝置,用以根據第二網域中的使用者身分提 供對第二網域當中的受保護資源之存取。 23, 種電腦可讀媒體中之電腦程式產品,供使用在一資料 處理系統中以鑑定-使用者,該電腦程式產品包含: 指令,用以從代表一使用者的用戶端接收對(在支援 -第-網域的-第-伺服器之)保護的資源之請求,其 中第-網域是-群網域的一成員,其中使用者先前已經 對第-伺服器鑑定過’且其中使用者先前已經以第一網 域中的一使用者身分登錄過; ,指令’用以判斷所請求的保護資源是否是在一第二網 域备中,其中第二網域是該群網域的一成員; 指令,用以在判斷所請求的保護資源是在一第二網域 當中之後,在第一伺服器產生一引入鑑定記號,其中引 入鑑定記號包含使用者的使用者身分資訊,· 第-插入裝置’用以在一重導向回應當中插入引入鑑 定記號; 第二,入裝置,用以在重導向回應中插入第二網域的 一識別符,和 第-送出裝置’用以送出重導向回應到用戶端。 24. 如申請專利範圍第23項之電腦程式產品,進_步包含: 用以接收重導向回應的指令;和 / 〇 > 33 - 娜繼財國國家樑準( (請先閱讀背面之注意事項再填寫本頁)經濟部中央標準局員工消費合作社印装 528957 A8 B8 C8 D8 六、申請專利範圍 用以產生對受保護資源的一第二請求之指令; 用以送出第二請求到如重導向回應所識別的第二網域 之指令。 25. 如申請專利範圍第2 3項之電腦程式產品,進一步包含: 指令,用以接收對在支援第二網域的一第二伺服器之 受保護資源的一請求,其中對在第二伺服器之受保護資 源的請求包含引入鑑定記號; 指令,用以從引入鑑定記號檢出使用者的使用者身分 資訊;和 指令,用以根據所檢出的使用者身分資訊在第二網域 锻定使用者。 26. —種網路資料訊息,包含: 一傳輸協定表頭; 一通用資源識別符(URI);和 一引入鑑定記號(IAT)。 27. 如申請專利範圍第26項之網路資料訊息,其中IAT包含 URI的一部分。 28·如申請專利範圍第26項之網路資料訊息,其中URI識別 與一所引用網域中一資源相關的一引用的網域中之一資 源。 29. 如申請專利範圍第2 8項之網路資料訊息,其中網路資料 訊息是來自所.提的網域之一重導向回應。 30. 如申請專利範圍第28項之網路資料訊息,其中傳輸協定 表頭定址到所提的網域。 -34 - 本紙張尺度適用中國國家標準(CNS ) A4*i格(210X297公釐) (請先閲讀背面之注意事項再填寫本頁)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US71092600A | 2000-11-09 | 2000-11-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW528957B true TW528957B (en) | 2003-04-21 |
Family
ID=24856086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW090127551A TW528957B (en) | 2000-11-09 | 2001-11-06 | Method and system for web-based cross-domain single-sign-on authentication |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP1368722B1 (zh) |
| KR (1) | KR100702421B1 (zh) |
| AT (1) | ATE370458T1 (zh) |
| AU (1) | AU2002212345A1 (zh) |
| DE (1) | DE60130037T2 (zh) |
| TW (1) | TW528957B (zh) |
| WO (1) | WO2002039237A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI584148B (zh) * | 2012-07-24 | 2017-05-21 | Alibaba Group Services Ltd | Methods and devices for identifying user risks |
Families Citing this family (70)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030135734A1 (en) * | 2002-01-14 | 2003-07-17 | Fagan Robert H. | Secure mutual authentication system |
| NO318842B1 (no) * | 2002-03-18 | 2005-05-09 | Telenor Asa | Autentisering og tilgangskontroll |
| US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
| US7770212B2 (en) | 2002-08-15 | 2010-08-03 | Activcard | System and method for privilege delegation and control |
| CN1689302B (zh) * | 2002-08-19 | 2011-01-19 | 捷讯研究有限公司 | 用于无线移动通信设备的资源的安全控制的系统和方法 |
| AU2003271923A1 (en) | 2002-10-17 | 2004-05-04 | Vodafone Group Plc. | Facilitating and authenticating transactions |
| US8561161B2 (en) * | 2002-12-31 | 2013-10-15 | International Business Machines Corporation | Method and system for authentication in a heterogeneous federated environment |
| US20040128542A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
| US7536714B2 (en) | 2003-07-11 | 2009-05-19 | Computer Associates Think, Inc. | System and method for synchronizing login processes |
| US7395424B2 (en) * | 2003-07-17 | 2008-07-01 | International Business Machines Corporation | Method and system for stepping up to certificate-based authentication without breaking an existing SSL session |
| JP4701172B2 (ja) * | 2003-07-29 | 2011-06-15 | トムソン ライセンシング | リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 |
| GB2406925B (en) | 2003-10-09 | 2007-01-03 | Vodafone Plc | Facilitating and authenticating transactions |
| EP2184934B1 (en) * | 2003-12-29 | 2012-12-05 | Telefonaktiebolaget L M Ericsson (PUBL) | Method and apparatuses for single sign-on access to a service network through an access network |
| DE10361840A1 (de) * | 2003-12-30 | 2005-08-04 | Net&Works Netzwerke Und Service Gmbh | Verfahren zum Single sign-On an webbasierten Anwendungen über ein gemeinsames Auswahlmenü |
| CN1939060B (zh) | 2004-02-10 | 2010-09-29 | 汤姆逊许可公司 | 一种用于促进视频信息的流式传输的方法和设备 |
| KR100661737B1 (ko) * | 2004-08-05 | 2006-12-27 | 주식회사 네비웨이 | 이동통신 단말기를 이용한 도청 및 몰래 카메라 탐지장치 |
| US7469291B2 (en) | 2004-09-22 | 2008-12-23 | Research In Motion Limited | Apparatus and method for integrating authentication protocols in the establishment of connections between computing devices |
| EP1641208B1 (en) * | 2004-09-22 | 2011-11-09 | Research In Motion Limited | Apparatus and Method for Integrating Authentication Protocols in the Establishment of Connections between Computing Devices |
| KR20060063348A (ko) * | 2004-12-07 | 2006-06-12 | 한국전자통신연구원 | 인터넷에서 인증 assertion을 이용한 접속시간제어 방법 |
| US8351419B2 (en) | 2005-01-19 | 2013-01-08 | Qualcomm Iskoot, Inc. | Local access to a mobile network |
| US8756328B2 (en) | 2005-01-19 | 2014-06-17 | Qualcomm Connected Experiences, Inc. | Caller-callee association of a plurality of networked devices with direct dial through thin client |
| US8856359B2 (en) | 2005-06-29 | 2014-10-07 | Qualcomm Connected Experiences, Inc. | Caller-callee association of a plurality of networked devices |
| US7631346B2 (en) | 2005-04-01 | 2009-12-08 | International Business Machines Corporation | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment |
| WO2006135285A2 (en) * | 2005-06-15 | 2006-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing a telecommunications service |
| US8245270B2 (en) | 2005-09-01 | 2012-08-14 | Microsoft Corporation | Resource based dynamic security authorization |
| US20070136603A1 (en) * | 2005-10-21 | 2007-06-14 | Sensis Corporation | Method and apparatus for providing secure access control for protected information |
| KR100759800B1 (ko) * | 2005-12-01 | 2007-09-20 | 한국전자통신연구원 | 이종 연방 환경에서 메시지 전송 방법 및 장치와 이를이용한 서비스 제공 방법 및 장치 |
| FI20065288A (fi) | 2006-05-03 | 2007-11-04 | Emillion Oy | Autentikointi |
| US8799639B2 (en) * | 2006-07-25 | 2014-08-05 | Intuit Inc. | Method and apparatus for converting authentication-tokens to facilitate interactions between applications |
| US8458775B2 (en) | 2006-08-11 | 2013-06-04 | Microsoft Corporation | Multiuser web service sign-in client side components |
| JP2008052371A (ja) | 2006-08-22 | 2008-03-06 | Fujitsu Ltd | アウトバンド認証を伴うネットワークシステム |
| GB0621684D0 (en) | 2006-10-31 | 2006-12-06 | British Telecomm | Secure access |
| US8391848B2 (en) | 2007-06-07 | 2013-03-05 | Qualcomm Iskoot, Inc. | Telecommunication call support for mobile devices with presence features |
| US10019570B2 (en) | 2007-06-14 | 2018-07-10 | Microsoft Technology Licensing, Llc | Protection and communication abstractions for web browsers |
| US9379895B2 (en) | 2008-07-24 | 2016-06-28 | Zscaler, Inc. | HTTP authentication and authorization management |
| US8656462B2 (en) * | 2008-07-24 | 2014-02-18 | Zscaler, Inc. | HTTP authentication and authorization management |
| US8495719B2 (en) | 2008-10-02 | 2013-07-23 | International Business Machines Corporation | Cross-domain access prevention |
| KR101039975B1 (ko) * | 2009-02-18 | 2011-06-09 | 성균관대학교산학협력단 | 교차도메인 상에서의 정보전송 추적 방법 및 이를 위한 통신 시스템 |
| KR101094577B1 (ko) | 2009-02-27 | 2011-12-19 | 주식회사 케이티 | 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말 |
| KR101044125B1 (ko) * | 2009-02-27 | 2011-06-24 | 주식회사 케이티 | 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말 |
| CN101572888B (zh) * | 2009-06-18 | 2012-03-28 | 浙江大学 | 移动终端中多服务引擎交叉验证方法 |
| CN101695164A (zh) * | 2009-09-28 | 2010-04-14 | 华为技术有限公司 | 一种控制资源访问的校验方法、装置和系统 |
| EP2339492A1 (en) | 2009-12-10 | 2011-06-29 | Schneider Electric Buildings AB | Authentication in a building control system |
| DE102010052324A1 (de) * | 2010-11-25 | 2012-05-31 | Ps4B-Professional Solutions For Business Gmbh | Verfahren und Vorrichtung zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten |
| CN102546570B (zh) * | 2010-12-31 | 2014-12-24 | 国际商业机器公司 | 用于单点登录的处理方法和系统 |
| EP2671393B1 (en) | 2011-02-04 | 2020-04-08 | Nextplane, Inc. | Method and system for federation of proxy-based and proxy-free communications systems |
| US9203799B2 (en) | 2011-03-31 | 2015-12-01 | NextPlane, Inc. | Method and system for advanced alias domain routing |
| US9077726B2 (en) | 2011-03-31 | 2015-07-07 | NextPlane, Inc. | Hub based clearing house for interoperability of distinct unified communication systems |
| US9716619B2 (en) | 2011-03-31 | 2017-07-25 | NextPlane, Inc. | System and method of processing media traffic for a hub-based system federating disparate unified communications systems |
| DE102011111698A1 (de) * | 2011-08-24 | 2013-02-28 | Fujitsu Technology Solutions Intellectual Property Gmbh | Verfahren zum Log-in an einem Computersystem sowie Computerprogramm zum Ablauf auf einem Computersystem |
| US8898765B2 (en) | 2012-02-15 | 2014-11-25 | Oracle International Corporation | Signing off from multiple domains accessible using single sign-on |
| CN103546432B (zh) | 2012-07-12 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 实现跨域跳转的方法和系统以及浏览器、域名服务器 |
| US9053304B2 (en) * | 2012-07-13 | 2015-06-09 | Securekey Technologies Inc. | Methods and systems for using derived credentials to authenticate a device across multiple platforms |
| US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
| US9210145B2 (en) | 2012-10-02 | 2015-12-08 | Blackberry Limited | Method and system for hypertext transfer protocol digest authentication |
| US9705840B2 (en) * | 2013-06-03 | 2017-07-11 | NextPlane, Inc. | Automation platform for hub-based system federating disparate unified communications systems |
| US9819636B2 (en) | 2013-06-10 | 2017-11-14 | NextPlane, Inc. | User directory system for a hub-based system federating disparate unified communications systems |
| CN103634316A (zh) * | 2013-11-26 | 2014-03-12 | 乐视网信息技术(北京)股份有限公司 | 一种账号登录方法及电子设备 |
| US10129243B2 (en) * | 2013-12-27 | 2018-11-13 | Avaya Inc. | Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials |
| US9660974B2 (en) | 2014-02-18 | 2017-05-23 | Secureauth Corporation | Fingerprint based authentication for single sign on |
| US9386006B1 (en) | 2015-03-02 | 2016-07-05 | Citrix Systems, Inc. | Authentication mechanism for domain redirection of a representational state transfer (REST)-compliant client |
| US9485244B2 (en) * | 2015-03-02 | 2016-11-01 | Citrix Systems, Inc. | Executing an operation over file repositories located in different authentication domains using a representational state transfer (REST)-compliant client |
| CN107196892B (zh) | 2016-03-15 | 2020-03-06 | 阿里巴巴集团控股有限公司 | 一种网站登录方法和装置 |
| CN107359996B (zh) * | 2016-05-09 | 2020-05-05 | 阿里巴巴集团控股有限公司 | 多网站间的自动登录方法及装置 |
| CN108989276B (zh) * | 2018-03-27 | 2021-09-28 | 深圳市小赢信息技术有限责任公司 | 一种系统间安全伪登陆方法 |
| US11159511B1 (en) | 2019-01-10 | 2021-10-26 | Microstrategy Incorporated | Authentication protocol management |
| US11323431B2 (en) | 2019-01-31 | 2022-05-03 | Citrix Systems, Inc. | Secure sign-on using personal authentication tag |
| CN112688773A (zh) * | 2019-10-17 | 2021-04-20 | 浙江大搜车软件技术有限公司 | 一种令牌的生成和校验方法及装置 |
| CN112333198B (zh) * | 2020-11-17 | 2023-09-05 | 中国银联股份有限公司 | 安全跨域登录方法、系统及服务器 |
| KR102714370B1 (ko) | 2023-11-30 | 2024-10-11 | 알파카네트웍스 주식회사 | 웹쉘 인터페이스 기반의 서버 관리 프레임 워크에서 컨피덴셜 컴퓨팅 기술 기반의 원격 인증 및 이를 위한 토큰 발급 및 관리 방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0940960A1 (en) * | 1998-03-02 | 1999-09-08 | Hewlett-Packard Company | Authentication between servers |
-
2001
- 2001-10-25 WO PCT/EP2001/012361 patent/WO2002039237A2/en active IP Right Grant
- 2001-10-25 KR KR1020037006201A patent/KR100702421B1/ko not_active IP Right Cessation
- 2001-10-25 AU AU2002212345A patent/AU2002212345A1/en not_active Abandoned
- 2001-10-25 DE DE60130037T patent/DE60130037T2/de not_active Expired - Lifetime
- 2001-10-25 AT AT01980520T patent/ATE370458T1/de not_active IP Right Cessation
- 2001-10-25 EP EP01980520A patent/EP1368722B1/en not_active Expired - Lifetime
- 2001-11-06 TW TW090127551A patent/TW528957B/zh not_active IP Right Cessation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI584148B (zh) * | 2012-07-24 | 2017-05-21 | Alibaba Group Services Ltd | Methods and devices for identifying user risks |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2002039237A2 (en) | 2002-05-16 |
| KR20030048118A (ko) | 2003-06-18 |
| WO2002039237A3 (en) | 2003-10-09 |
| ATE370458T1 (de) | 2007-09-15 |
| DE60130037T2 (de) | 2008-05-08 |
| KR100702421B1 (ko) | 2007-04-04 |
| EP1368722A2 (en) | 2003-12-10 |
| DE60130037D1 (de) | 2007-09-27 |
| AU2002212345A1 (en) | 2002-05-21 |
| EP1368722B1 (en) | 2007-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW528957B (en) | Method and system for web-based cross-domain single-sign-on authentication | |
| Kormann et al. | Risks of the passport single signon protocol | |
| US7562222B2 (en) | System and method for authenticating entities to users | |
| Sun et al. | The devil is in the (implementation) details: an empirical analysis of OAuth SSO systems | |
| US6993596B2 (en) | System and method for user enrollment in an e-community | |
| KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
| US8689295B2 (en) | Firewalls for providing security in HTTP networks and applications | |
| US7478434B1 (en) | Authentication and authorization protocol for secure web-based access to a protected resource | |
| US8356333B2 (en) | System and method for verifying networked sites | |
| US20020147929A1 (en) | Access control for distributed content servers | |
| EP0940960A1 (en) | Authentication between servers | |
| Kolsek | Session fixation vulnerability in web-based applications | |
| Adida | Beamauth: two-factor web authentication with a bookmark | |
| AU2009200629A1 (en) | Method and apparatus for securely invoking a rest API | |
| JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| Badra et al. | Phishing attacks and solutions | |
| CN112532599A (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
| CN111786996B (zh) | 一种跨域同步登录态的方法、装置及跨域同步登录系统 | |
| Alsaleh et al. | Enhancing consumer privacy in the liberty alliance identity federation and web services frameworks | |
| US20060122936A1 (en) | System and method for secure publication of online content | |
| JP4921614B2 (ja) | 中間者によるコンピュータのハッキング技法を防止するための方法およびシステム | |
| Claessens et al. | A tangled world wide web of security issues | |
| Aljawarneh | Emerging challenges, security issues, and Technologies in Online Banking Systems | |
| Popov et al. | Token Binding over HTTP | |
| WO2005094264A2 (en) | Method and apparatus for authenticating entities by non-registered users |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GD4A | Issue of patent certificate for granted invention patent | ||
| MM4A | Annulment or lapse of patent due to non-payment of fees |