DE602004012870T2 - Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung - Google Patents
Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung Download PDFInfo
- Publication number
- DE602004012870T2 DE602004012870T2 DE602004012870T DE602004012870T DE602004012870T2 DE 602004012870 T2 DE602004012870 T2 DE 602004012870T2 DE 602004012870 T DE602004012870 T DE 602004012870T DE 602004012870 T DE602004012870 T DE 602004012870T DE 602004012870 T2 DE602004012870 T2 DE 602004012870T2
- Authority
- DE
- Germany
- Prior art keywords
- client
- server
- request
- authorization
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Collating Specific Patterns (AREA)
Description
- Gebiet der vorliegenden Erfindung
- Die vorliegende Erfindung betrifft die Berechtigungsüberprüfung (authentication – Identitätsprüfung) im Allgemeinen und insbesondere die Berechtigungsüberprüfung in einer Client-Server-Umgebung, und insbesondere die Berechtigungsüberprüfung von Clients im Internet.
- Grundlagen der Erfindung
- Eine Berechtigungsüberprüfung ist eine Prozedur, um festzustellen, ob jemand oder etwas tatsächlich der bzw. das ist, was er oder es zu sein vorgibt. In privaten und öffentlichen Computernetzen erfolgt die Berechtigungsüberprüfung im Allgemeinen durch die Verwendung von Anmelde-Passwörtern. Normalerweise verwaltet jeder Server seine eigene Datenbeständigkeit, um Berechtigungsüberprüfungsdaten zu speichern. Daher können Passwörter, die dem Client in einem Server zur Verfügung stehen, von einem anderen Client in einem anderen Server bereits blockiert werden. Dadurch erhöht sich die Anzahl verschiedener Berechtigungsüberprüfungssätze, an die sich der Client erinnern und die er verwalten muss. In Anwendungen, die über mehrere Server mit unterschiedlichen Berechtigungsüberprüfungssystemen verteilt sind (z. B. zugreifen auf eine Anwendung durch einen Portalserver, wobei der Portalserver seine eigene Benutzerdatenbank verwendet), würde sich der Client mehr als einmal anmelden müssen.
- Zu Ad-hoc-Lösungen zum Ermöglichen einer Einmalanmeldung (single signon) gehören Lösungsansätze wie die Speicherung von Anmeldedaten für die Anwendungs-Server im Portal-Server oder die Verwendung von zentralisierten Benutzerdatenbanken wie .NET Passport von Microsoft (http://www.passport.com) oder Liberty von Liberty Alliance (http://www.projectliberty.org). Dies macht es erforderlich, dass der Client bereit ist, persönliche Daten mit all den Problemen der Datensicherheit, die mit diesem Lösungsansatz einhergehen, am Standort eines Dritten zu speichern. Außerdem ist im Falle eines Ausfalls des Passdienstes keine Anmeldung zum gewünschten Dienst möglich, selbst wenn die Web-Seite, die man nutzen möchte, verfügbar ist.
- Die Verwendung einer Kennung/eines Passwortsatzes zur Berechtigungsüberprüfung hat außerdem den Nachteil, dass dies zu einem zusätzlichen Netzdatenverkehr führt. Auf eine Client-Anforderung muss der Server antworten, indem er nach den Anmeldedaten fragt. Nur nach Bereitstellung derselben werden die ursprünglich angeforderten Daten an den Client rückübertragen (siehe auch
7A unten). - Schließlich können Passwörter oftmals gestohlen, versehentlich enthüllt oder einfach vergessen werden.
- Aus diesem Grund erfordern Internet-Geschäfte und viele andere Transaktionen einen strengeren Berechtigungsüberprüfungsprozess. Die Verwendung digitaler Zertifikate, die von einer Zertifizierungsstelle (Certificate Authority – CA) als Teil einer Infrastruktur mit öffentlichem Schlüssel erteilt und überprüft werden, wird als künftige Standardmöglichkeit zum Ausführen einer Berechtigungsüberprüfung im Internet angesehen.
- Digitale Signaturen ermöglichen dem Empfänger (Server) die Überprüfung der Identität des Absenders (Client) und des Ursprungs sowie der Unversehrtheit des Dokuments.
- Digitale Signaturen beruhen auf asymmetrischen Verschlüsselungsalgorithmen. Die Dokumente werden mit dem privaten Schlüssel des Absenders signiert. Der Empfänger kann den öffentlichen Schlüssel des Absenders, der ihm durch einen vertrauenswürdigen Dritten bereitgestellt wird, verwenden und die Unversehrtheit des empfangenen Dokumentes überprüfen.
- Die Realisierung einer Prozedur mit digitaler Signatur in eine bereits vorhandene Passwort-Anmeldeinfrastruktur erfordert große Änderungen auf Seiten des Server sowie des Client, z. B. ein zusätzliches Kartenlesegerät mit spezifischen Sicherheitsanwendungen. Daher verursachen solche Realisierungen einen hohen Kosten- und Zeitaufwand mit der Folge, dass vorzugsweise nur neue Client-Server-Infrastrukturen die Prozedur der digitalen Signatur verwenden. Das Vorhandensein jener beiden Berechtigungsüberprüfungsprozeduren in der Client-Server-Umgebung hat den Nachteil, dass ein Client zuerst prüfen muss, ob der Zielserver die Passwortanmeldung oder die Prozedur der digitalen Signatur unterstützt. In Abhängigkeit von diesem Ergebnis verwendet der Client den vom Server unterstützten benötigten Berechtigungsüberprüfungsprozess. Dies verursacht viel unnötigen Netzdatenverkehr zwischen Client und Server, da die Serveranwendung selbst schließlich den Typ von Berechtigungsüberprüfung festlegt.
- Außerdem haben die vorhandenen Berechtigungsüberprüfungsprozeduren mit digitaler Signatur den Nachteil, dass mehrere Bildschirminformationen zwischen Client und Server ausgetauscht werden müssen, bis der Client seine Berechtigungsüberprüfungsdaten bereitstellen kann. Dies verursacht viel unnötigen Datenverkehr.
- In der US-Patentanmeldung 2002/0133700 A1 werden ein Verfahren und ein System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server beschrieben. Das von der vorliegenden Erfindung aufgeworfene Problem ist das Fehlen eines Mittels zum Übertragen eines Zertifikats von einem Client zwischen einem Sicherheitsmodul und einem Server, wobei das zwischen dem Client und dem Server verwendete Protokoll HTTP oder ein gleichartiges Protokoll, ein Sicherheitsprotokoll wie SSL oder ein gleichartiges Protokoll zwischen dem Client und dem Sicherheitsmodul ausgeführt wird. Es werden ein Verfahren und eine Einheit zum Übertragen des Zertifikats vom Modul an den Server geboten, bestehend aus dem Einfügen des Zertifikats in einen Cookie-Vorsatz einer vom Client übertragenen Anforderung in HTTP oder einem gleichartigen Protokoll.
- Aufgabe der Erfindung
- Ausgehend hiervon besteht die Aufgabe der vorliegenden Erfindung in der Bereitstellung eines Verfahrens und eines Systems zur Berechtigungsüberprüfung von Clients in einer Client-Server-Umgebung bei gleichzeitigem Vermeiden der Nachteile des oben erwähnten Standes der Technik.
- Kurze Zusammenfassung der Erfindung
- Die Idee der vorliegenden Erfindung besteht darin, den vorhandenen auf Passwort/Benutzerkennung beruhenden Berechtigungsüberprüfungsprozess durch einen neuen Berechtigungsüberprüfungsprozess mit digitaler Signatur zu ersetzen, in dem vorzugsweise der erste HTTP-Anforderungsvorsatz wird um die Client-Berechtigungsüberprüfungsdaten erweitert wird, unabhängig von dem vom Zielserver verwendeten Berechtigungsüberprüfungsprozess und ohne die Anforderung von Berechtigungsüberprüfungsdaten durch den Server. Die Berechtigungsüberprüfungsdaten beinhalten vorzugsweise das von einer Zertifizierungsstelle unterzeichnete Client-Zertifikat, das den öffentlichen Schlüssel des Client enthält, und vorzugsweise einen Hash-Wert, der über die in der Anforderung übertragenen HTTP-Anforderungsvorsatzdaten berechnet und mit dem privaten Schlüssel des Client verschlüsselt wurde. Das Zertifikat und die digitale Signatur können während der Erzeugung des HTTP-Anforderungsvorsatzes im Client-System selbst oder später in einem als Gateway, Proxy oder Tunnel fungierenden Server hinzugefügt werden.
- Ein Zielserver, der den neuen Berechtigungsüberprüfungsprozess mit digitaler Signatur nicht unterstützt, ignoriert einfach das Zertifikat und die digitale Signatur im HTTP-Anforderungsvorsatz und leitet automatisch seinen eigenen Berechtigungsüberprüfungsprozess ein. Die vorliegende Erfindung vereinfacht den vorhandenen Berechtigungsüberprüfungsprozess mit digitaler Signatur und ermöglicht gleichzeitig das Vorhandensein anderer Berechtigungsüberprüfungsprozesse, ohne das HTTP-Protokoll zu ändern oder einen unnötigen Netzdatenverkehr zu verursachen.
- Kurze Beschreibung der verschiedenen Ansichten der Zeichnungen
- Die obigen sowie zusätzliche Zielsetzungen, Merkmale und Vorteile der vorliegenden Erfindung gehen aus der folgenden ausführlichen Beschreibung hervor.
- Die neuartigen Merkmale der Erfindung werden in den angehängten Ansprüchen dargelegt. Die Erfindung selbst sowie eine bevorzugte Art und Weise der Benutzung, weitere Zielsetzungen und Vorteile davon, werden am besten mit Bezugnahme auf die folgende ausführliche Beschreibung einer veranschaulichenden Ausführungsform verstanden, wenn sie in Verbindung mit den begleitenden Zeichnungen gelesen wird, in denen:
-
1A /B HTTP-Client-Server-Umgebungen nach dem Stand der Technik zeigen, in denen die vorliegende Erfindung vorzugsweise verwendet wird, -
2 die Grundstruktur eines typischen HTTP-Vorsatzes nach dem Stand der Technik zeigt, -
3 die erfindungsgemäße Struktur des HTTP-Vorsatzes mit dem Zertifikat und der digitalen Signatur zeigt, -
4A bis D die bevorzugten Ausführungsformen zum Einfügen des Zertifikates zusammen mit der digitalen Signatur in den HTTP-Anforderungsvorsatz zeigen, woraus sich die erfindungsgemäße Struktur des HTTP-Anforderungsvorsatzes ergibt, -
5 ein Beispiel einer Server-Client-Datenaustauschumgebung unter Verwendung der vorliegenden Erfindung zeigt, -
6 eine bevorzugte Ausführungsform des Berechtigungsüberprüfungs-Datenflusses in einer Client-Server-Umgebung gemäß1A unter Verwendung der erfindungsgemäßen Struktur der HTTP-Anforderung zeigt, und -
7A , B einen Vergleich des Berechtigungsüberprüfungsprozesses nach dem Stand der Technik mit dem erfindungsgemäßen Berechtigungsüberprüfungsprozess der vorliegenden Erfindung auf der Grundlage eines Beispiels eines Online-Kauftransaktionsprozesses zeigen. - Mit Bezugnahme auf
1A und1B werden Client-Server-Umgebungen gezeigt, in denen die vorliegende Erfindung vorzugsweise verwendet wird. Es sei jedoch darauf hingewiesen, dass die vorliegende Erfindung in jeder Client-Server-Umgebung mit Verwendung von Übertragungsprotokollen, die Vorsatzerweiterungen ohne Verletzung der normalen Protokollnutzung ermöglichen, verwendet werden kann. Daher wird die vorliegende Erfindung mit ihren bevorzugten Ausführungsformen im gegenwärtig am meisten bekannten HTTP-Protokoll beschrieben und erläutert. - Das HTTP-Protokoll (Hypertext Transfer Protocol) ist ein Protokoll auf Anwendungsebene für verteilte Systeme. Es handelt sich um einen Satz von Regeln zum Austausch von Dateien (Text-, Grafik-, Bild-, Ton-, Video- und andere Multimediadateien). Jede Web-Servermaschine
3 enthält eine HTTP-Hintergrundroutine oder einen so genannten HTTP-Server4 , ein Programm, das so beschaffen ist, dass es auf HTTP-Anforderungen wartet und diese bei Eingehen bearbeitet. Außerdem enthält jede Clientmaschine1 einen Web-Browser oder einen so genannten HTTP-Client2 , der Anforderungen an die Web-Servermaschine3 überträgt. Wenn der Benutzer des Browser eine Anforderung eingibt, indem er eine Web-Datei öffnet (Eintippen einer Verweisadresse URL) oder eine Hypertext-Verbindung anklickt, erstellt der Browser eine HTTP-Anforderung und überträgt diese an die in der URL angezeigte Internetprotokolladresse. Der HTTP-Server4 im der Ziel-Servermaschine3 empfängt die Anforderung, und nach der Verarbeitung wird die angeforderte Datei rückübertragen. In einer anderen Client-Server-Umgebung tauscht der Client1 über einen Gateway, einen Tunnel oder einen Proxy-Server5 Daten mit dem Server3 aus (siehe1B ). - Normalerweise erfolgt HTTP über TCP/IP (Transmission Control Protocol/Internet Protocol), HTTP ist jedoch nicht von TCP/IP abhängig.
- TCP definiert einen Satz von Regeln zum Austausch von Nachrichten mit anderen Internetstellen auf der Datenpaketebene, und IP definiert einen Satz von Regeln zum Übertragen und Empfangen von Nachrichten auf der Internet-Adressebene.
- Ein HTTP-Anforderungsvorsatz besteht aus dem HTTP-Verfahren (GET, HERD, POST usw.), dem Universal Resource Identifier (URI), der Protokollversion und wahlweise zusätzlichen Daten.
- Eine HTTP-Antwort besteht aus einer Statuszeile, die den Erfolg oder Fehlschlag der Anforderung anzeigt, einer Beschreibung der Daten in der Antwort (Metadaten) und der eigentlichen Datenanforderung.
- Mit Bezugnahme auf
2 wird die Grundstruktur eines HTTP-Anforderungsvorsatzes nach dem Stand der Technik gezeigt. Jede HTTP-Anforderung muss mindestens einen Vorsatz enthalten. Nur HTTP-POST-Anforderungen (HTTP-Post requests) enthalten Vorsatz- und Hauptteildaten. Die folgenden Daten sind vorzugsweise in einem HTTP-Anforderungsvorsatz enthalten: Ressourcen, auf die die HTTP-Anforderung zugreifen muss (z. B. Datei, Servlet). - Host-Name des Server (z. B. www.ibm.com). Browser-Name und Version (z. B. Netscape Version 7.1). Betriebssystem des Client (z. B. Windows XP). Zeichensatz, den der Browser verstehen kann (z. B. ISO-8859-1).
- Jeder HTTP-Vorsatz kann zusätzliche Daten enthalten, die vom HTTP-Protokoll nicht definiert werden und die nicht zu Konflikten mit vorhandenen das HTTP-Protokoll verwendenden Anwendungen führen. Dies bedeutet, dass eine Anwendung, die das HTTP-Protokoll verwendet und nicht so konfiguriert ist, dass sie diese zusätzlichen Daten verarbeitet, diese einfach ignoriert, ohne ihre Ausführung zu unterbrechen.
- Mit Bezugnahme auf
3 wird die erfindungsgemäße Struktur eines HTTP-Anforderungsvorsatzes gemäß der vorliegenden Erfindung gezeigt. - Die folgenden zusätzlichen Daten müssen gemäß der vorliegenden Erfindung in den HTTP-Anforderungsvorsatz aufgenommen werden:
das Client-Zertifikat, das den öffentlichen Schlüssel enthält und von einer Zertifizierungsstelle signiert ist, und eine digitale Signatur, die über den HTTP-Anforderungsvorsatz und gegebenenfalls den HTTP-Hauptteil (Post) berechnet wurde. - Das Zertifikat und die digitale Signatur können von spezifischen Hilfsprogrammen im Server verarbeitet werden. Ein Client-Zertifikat ist ein von einem vertrauenswürdigen Dritten verteiltes Dokument, das einen öffentlichen Schlüssel mit einer spezifischen Person verbindet. Der vertrauenswürdige Dritte garantiert, dass die im Zertifikat enthaltenen Daten gültig und korrekt sind. Zertifikate werden durch 509 standardisiert. Sie müssen die digitale Signatur des vertrauenswürdigen Dritten, den Namen der Person, die den öffentlichen Schlüssel besitzt, und den öffentlichen Schlüssel selbst enthalten.
- Mit Bezugnahme auf
4A bis C werden bevorzugte Ausführungsformen zum Einfügen des Client-Zertifikats und der digitalen Signatur in den HTTP-Anforderungsvorsatz gezeigt. - Mit Bezugnahme auf
4A wird eine erste Ausführungsform der vorliegenden Erfindung zum Einfügen des Client-Zertifikats16 zusammen mit der digitalen Signatur18 in den HTTP-Anforderungsvorsatz12 gezeigt. Das Clientsystem1 enthält einen Browser2 mit Signaturfähigkeiten. Der Browser2 erzeugt einen HTTP-Anforderungsvorsatz12 , greift auf den privaten Schlüssel des Client zu, der in einem lokalen Dateisystem sicher gespeichert ist, verschlüsselt einen über den HTTP-Anforderungsvorsatz12 und gegebenenfalls den Hauptteil erzeugten Hash-Wert mit dem privaten Schlüssel, woraus sich eine digitale Signatur18 ergibt. Diese digitale Signatur18 wird zusammen mit dem den öffentlichen Schlüssel enthaltenden Client-Zertifikat16 in den HTTP-Anforderungsvorsatz12 eingefügt. Der erweiterte HTTP-Anforderungsvorsatz14 wird an den HTTP-Server4 übertragen, der den Berechtigungsüberprüfungsprozess einleitet. Die Berechtigungsüberprüfungskomponente6 , die ein Teil des HTTP-Server oder eine gesonderte Komponente sein kann, überprüft die Client-Zertifikatdaten16 aus dem HTTP-Anforderungsvorsatz. Die Überprüfung kann durch Prüfen der Zertifikatsignatur der Zertifizierungsstelle oder Vergleichen mit bereits bekannten, in ihrer Zertifizierungsdatenbank9 enthaltenen Zertifikaten erfolgen. Unter Verwendung des im Client-Zertifikat16 enthaltenen öffentlichen Schlüssels wird die im HTTP-Anforderungsvorsatz12 enthaltene digitale Signatur18 entschlüsselt, woraus sich ein vom Client1 berechneter Hash-Wert ergibt. Unter Verwendung desselben Hash-Algorithmus wird der Hash-Wert über den HTTP-Anforderungsvorsatz12 und gegebenenfalls den Hauptteil berechnet. Falls die Hash-Werte übereinstimmen, ist die Überprüfung beendet und die Berechtigungsüberprüfung erfolgreich, und der Zugriff auf eine Anwendung8 wird erteilt. - Mit Bezugnahme auf
4B wird eine zweite Ausführungsform der vorliegenden Erfindung gezeigt, um das Client-Zertifikat18 zusammen mit der digitalen Signatur16 in den HTTP-Anforderungsvorsatz12 einzufügen. Nun hat der Browser2 die Funktionalität, über ein Chipkartenlesegerät10 mit einer Chipkarte10 Daten auszutauschen. Der Browser2 erzeugt einen HTTP-Anforderungsvorsatz, richtet eine Verbindung zum Datenaustausch mit der Chipkarte10 ein, die Chipkarte10 , die in ihrem Sicherheitsmodul einen privaten Schlüssel und das Zertifikat des Client enthält, verschlüsselt einen über den HTTP-Anforderungsvorsatz12 und gegebenenfalls den Hauptteil erzeugten Hash-Wert mit dem privaten Schlüssel (digitale Signatur) und rücküberträgt eine digitale Signatur18 zusammen mit dem Client-Zertifikat16 an den Browser2 . Diese digitale Signatur18 wird zusammen mit dem den öffentlichen Schlüssel enthaltenden Client-Zertifikat16 in den HTTP-Anforderungsvorsatz12 eingefügt. Der erweiterte HTTP-Anforderungsvorsatz14 wird an den HTTP-Server4 übertragen, der unter Verwendung einer Berechtigungsüberprüfungskomponente den Berechtigungsüberprüfungsprozess einleitet (siehe Beschreibung von4A ). - Mit Bezugnahme auf
4C wird eine dritte Ausführungsform der vorliegenden Erfindung zum Einfügen des Client-Zertifikats16 zusammen mit der digitalen Signatur18 in den HTTP-Anforderungsvorsatz12 gezeigt. In der dritten Ausführungsform enthält das Clientsystem eine eigene Signaturkomponente20 . Diese Komponente fungiert als Proxy-Server, der im selben Client1 wie der Browser2 ausgeführt wird. Der Browser2 ist so konfiguriert, dass er diesen Proxy-Server20 verwendet. Aus diesem Grund überträgt der Browser2 den regulären HTTP-Anforderungsvorsatz12 an die Signaturkomponente20 , die das Zertifikat16 und die digitale Signatur18 sodann analog zu den oben beschriebenen Ausführungsformen einfügt. Der erweiterte HTTP-Anforderungsvorsatz wird an den HTTP-Server4 übertragen, der den Berechtigungsüberprüfungsprozess unter Verwendung einer Berechtigungsüberprüfungskomponente einleitet (siehe Beschreibung von4A ). - Mit Bezugnahme auf
4D wird eine vierte Ausführungsform der vorliegenden Erfindung zum Einfügen des Client-Zertifikats16 zusammen mit der digitalen Signatur18 in den HTTP-Anforderungsvorsatz12 gezeigt. In dieser Ausführungsform wird die Client-Anforderung (1a /2a ;1b /2b ) über einen Proxy-Server22 mit einer Einfügungskomponente20 geleitet. Die Einfügungskomponente20 tauscht Daten mit einer Verschlüsselungshardware24 aus, die private Schlüssel und deren zugeordnete Zertifikate enthält und die einen über den HTTP-Anforderungsvorsatz12 und gegebenenfalls den Hauptteil erzeugten Hash-Wert mit dem privaten Schlüssel (digitale Signatur) verschlüsselt, und rücküberträgt die digitale Signatur18 mit dem Client-Zertifikat16 an die Einfügungskomponente20 , die diese in den HTTP-Anforderungsvorsatz12 einfügt. Der erweiterte HTTP-Anforderungsvorsatz14 wird an den HTTP-Server4 übertragen, der unter Verwendung einer Berechtigungsüberprüfungskomponente den Berechtigungsüberprüfungsprozess einleitet (siehe Beschreibung von4A ). - Da die vorliegende Erfindung zusätzliche Vorsatzdaten im HTTP-Protokoll beschreibt, können jedenfalls alle Kombinationen von vorhandenen Clients und Servern, die die zusätzlichen Daten im Vorsatz verarbeiten können, zusammenarbeiten. Falls es einem der Systeme nicht möglich ist, zusätzliche Daten zu bearbeiten, funktioniert alles auf gegenwärtig bekannte Art und Weise.
- Zur Beibehaltung der vorhandenen Basis von Milliarden installierter Client-Browser könnte eine zusätzliche Signatur-Software die HTTP-Erweiterung bearbeiten, indem sie als eine Proxy-Komponente in der lokalen Client-Maschine fungiert (siehe
4C ). In Firmennetzwerken (z. B. Intranet) könnte dies von einem zentralen Proxy-Server bearbeitet werden (4C ). - In zukünftigen Versionen von Web-Browsern ist die Funktionalität dann möglicherweise integriert (
4A ). Auf diese Weise kann im Laufe der Zeit der Übergang zu dem neuen Paradigma erfolgen. - Die digitale Signatur kann unter Verwendung einer Signatur-Chipkarte oder einer beliebigen anderen Signaturhardware erzeugt werden. Auch eine reine Software-Lösung mit einem Speicher für Verschlüsselungsschlüssel im Client-Computer wäre eine mögliche Ausführung.
-
5 zeigt ein Beispiel einer Server-Client-Datenübertragungsumgebung unter Verwendung der vorliegenden Erfindung. - In diesem Beispiel wird vorausgesetzt, dass ein Portalserver
3 auf eine Anwendung5 zugreift. Nach dem Stand der Technik wird in dieser Situation so vorgegangen, dass entweder die Identitätsdaten des Client in einem Server gespeichert werden, auf den der Portalserver3 und der Anwendungsserver5 zugreifen können (z. B. .NET Passport von Microsoft®), oder die Identitätsdaten für den Anwendungsserver im Portalserver3 gespeichert werden müssen. Beide Lösungsansätze machen es erforderlich, dass der Benutzer seine Daten in einem dritten System gespeichert hat, wobei sich viele Sicherheitsprobleme ergeben. - Durch das digitale Signieren der Anforderung, wie es in
4A bis D erläutert wird, muss kein Server die Benutzerdaten speichern. Der Portalserver3 kann die Identität des Anforderers durch Vergleich mit seiner Benutzerdatenbank überprüfen, wobei die Anforderung an den Anwendungsserver5 weitergeleitet wird, der dasselbe unter Verwendung seiner Benutzerdatenbank6 tun kann. Der Client1a greift durch den Portalserver3 auf den Anwendungsserver5 zu, während der Client1b direkt auf den Anwendungsserver5 zugreifen kann. Der Anwendungsserver5 kann seine eigene Benutzerdatenbank6 verwenden, um Profildaten für den Benutzer abzurufen. - Der Lösungsansatz stellt sogar eine höhere Sicherheit bereit, da der Anwendungsserver
5 möglicherweise nur jene Anforderungen bearbeiten möchte, die den Portalserver3 durchlaufen haben. In diesem Fall leitet der Portalserver3 die Anforderung weiter und signiert diese zusätzlich. Dies ermöglicht es dem Anwendungsserver5 , beide Signaturen zu überprüfen, um den Zugriff auf seine Dienste zu erteilen oder zu verweigern. Der Client1a würde den Zugriff auf den Anwendungsserver5 erhalten, während der Client1b nicht bedient werden würde, da seine Anforderung nicht durch den Portalserver3 läuft. - Mit Bezugnahme auf
6 wird der Datenfluss einer Berechtigungsüberprüfung gemäß der vorliegenden Erfindung gezeigt. Der Browser des Client bereitet eine Anforderung an den Server10 vor. In einer bevorzugten Ausführungsform der vorliegenden Erfindung wird überprüft, ob der Signiervorgang des HTTP-Anforderungsvorsatzes eingeschaltet ist,20 . Falls nicht, überträgt der Browser des Client eine nichtsignierte Anforderung an den Server40 , und der Server prüft, ob ein Signiervorgang erforderlich ist,50 . Falls ein Signiervorgang erforderlich ist, überträgt der Server eine Fehlermeldung an den Client50 . Falls kein Signiervorgang erforderlich ist, stellt der Server den Zugriff auf die gewünschten Daten bereit,60 . Falls ein Signiervorgang eingeschaltet ist, fügt der Browser des Client das Zertifikat und die digitale Signatur in den HTTP-Anforderungsvorsatz ein und überträgt diesen an den Server30 . Durch das Anhängen der zusätzlichen Felder an den HTTP-Anforderungsvorsatz kann der Server die Identität des Anforderers aus dem Zertifikat abrufen (Berechtigungsüberprüfung),35 . - Das Zertifikat des Client enthält den Namen und den öffentlichen Schlüssel des Anforderers.
- Da das Zertifikat von einer vertrauenswürdigen Stelle signiert worden ist, kann der Server überprüfen, ob es sich um ein gültiges Zertifikat handelt, das von der vertrauenswürdigen Stelle ausgegeben wurde. Die Überprüfung, ob die Nachricht tatsächlich vom Eigner des Zertifikats übertragen wurde, ist möglich, da nur der Eigner des zum Zertifikat gehörigen privaten Schlüssels den digitalen Signaturwert im HTTP-Anforderungsvorsatz, der über die HTTP-Anforderungsvorsatzdaten berechnet wurde und durch die Verwendung des im Zertifikat enthaltenen öffentlichen Schlüssels überprüft werden kann, erzeugt haben kann. Wenn die Berechtigungsüberprüfung erfolgreich war, stellt der Server den Zugriff auf die angeforderten Daten bereit,
60 . - Mit Bezugnahme auf
7A , B werden typische Szenarien des Austauschs von Daten zwischen Web-Browser (Client) und Web Server (Server) unter Verwendung des Berechtigungsüberprüfungsprozesses nach dem Stand der Technik im Vergleich zum erfindungsgemäßen Berechtigungsüberprüfungsprozess der vorliegenden Erfindung gezeigt. - Beispielsweise empfängt bzw. überträgt der Client während eines Kaufprozesses Daten (z. B. eine Reihe von Text- oder HTML-Seiten oder Blöcke von formatierten Daten wie XML) vom bzw. an den das Online-Einkaufsystem darstellenden Server, bis die Bestellung durch einen spezifischen Datenübertragungsvorgang bestätigt wird (z. B. HTTP-Post). In gegenwärtig vorliegenden Anwendungen gibt der Server eine Anforderung aus, um während dieses Prozesses eine Benutzerkennung und ein Passwort vom Client zu erhalten. Der Benutzer muss diese Daten manuell eingeben, bevor sie durch die Client-Anwendung an den Server übertragen werden (siehe
7A ). - In einer der vorliegenden Erfindung entsprechenden Anwendung (siehe
7B ) signiert der Client die an den Server übertragenen HTTP-Anforderungsvorsatzdaten mittels einer digitalen Signatur. Durch Überprüfen der Signatur identifiziert der Server den Client problemlos. Daher ist es nicht notwendig, die Benutzerkennung und das Passwort anzufordern und einzugeben, da jedes übertragene Datenelement der Identität des Benutzers zugeordnet ist. Der Server kann für diesen Client gespeicherte Daten abrufen und diese bei der Vorbereitung der Daten, die an den Client übertragen werden müssen, verwenden ("Personalisierung", Profilerstellungsseite). Beispiele für zur Personalisierung verwendete Daten sind die Adresse des Benutzers (wohin sollen die bestellten Artikel geliefert werden), das Einkaufsprotokoll des Benutzers, der Warenkorb des Benutzers, die während der letzten Sitzungen besuchten Web-Seiten usw. - Durch Überprüfen der Identität des Benutzers (was zu jedem beliebigen Zeitpunkt während des Datenflusses erfolgen kann) stellt der Server möglicherweise fest, dass der Benutzer diese Web-Seite nie zuvor besucht hat. Der Server kann sodann Daten übertragen, die eine Anforderung zur Angabe von Vorlieben und ausführlichen Benutzerdaten enthalten (Profilerstellungsseite). Der Benutzer gibt diese Daten ein, die Client-Anwendung überträgt diese an den Server, und der Server speichert diese Daten zur Personalisierung in seiner Datenbank. Da jede Datenübertragung signiert wird, ist die Benutzerkennung des Client dem Server bekannt, sobald der Client die erste Seite besucht. Die Personalisierung kann daher zu einem frühen Zeitpunkt während des Prozesses stattfinden.
- Wenn der Benutzer sich entscheidet, den Signiervorgang auszuschalten, erkennt der Server diese Tatsache und kann eine Seite übertragen, die einen Hinweis zum Einschalten des Signiervorgangs enthält, oder er könnte stattdessen herkömmliche Szenarios mit Benutzerkennung/Passwort verwenden (nicht gezeigt).
Claims (16)
- Verfahren zur Berechtigungsüberprüfung von Clients in einer Client-Server-Umgebung, wobei die Client-Server-Umgebung ein Übertragungsprotokoll verwendet, das Erweiterungen der Vorsatzanforderung ohne Verletzung des Übertragungsprotokolls ermöglicht, wobei das Verfahren auf der Clientseite die folgenden Schritte umfasst: Erzeugen einer Vorsatzanforderung (
10 ), Einfügen von Client-Berechtigungsüberprüfungsdaten in die Vorsatzanforderung, was zu einer erweiterten Vorsatzanforderung (20 ) führt, unabhängig von dem vom Server verwendeten Berechtigungsüberprüfungsprozess und ohne Anforderung von Berechtigungsüberprüfungsdaten durch den Server, wobei die Berechtigungsüberprüfungsdaten das den Namen des Client und den öffentlichen Schlüssel des Client enthaltende Client-Zertifikat sowie eine digitale Signatur umfassen, die über einen Hash-Wert der das Client-Zertifikat enthaltenden Vorsatzanforderung unter Verwendung des privaten Schlüssels des Client erzeugt wurde, Übertragen der erweiterten Vorsatzanforderung an einen Server (30 ), und Empfangen von Daten vom Server, falls die Berechtigungsüberprüfung erfolgreich war (35 ,60 ). - Verfahren nach Anspruch 1, wobei das Übertragungsprotokoll ein HTTP-Protokoll ist.
- Verfahren nach Anspruch 1, wobei die Berechtigungsüberprüfungsdaten in der ersten Vorsatzanforderung zur Einrichtung einer Sitzung mit dem Server enthalten sind.
- Verfahren nach Anspruch 1, wobei die Berechtigungsüberprüfungsdaten vom Browser des Client automatisch in die Vorsatzanforderung eingefügt werden.
- Verfahren nach Anspruch 4, wobei der Client-Browser die Berechtigungsüberprüfungsdaten über ein Chipkartenlesegerät von einer Chipkarte (
10 ) empfangt. - Verfahren nach Anspruch 1, wobei die Berechtigungsüberprüfungsdaten von einer Client-Signaturkomponente (
20 ), die die Berechtigungsüberprüfungsdaten über ein Chipkartenlesegerät von einer Chipkarte (10 ) empfängt, automatisch in die Vorsatzanforderung eingefügt werden. - Verfahren zur Berechtigungsüberprüfung von Clients (
1a ,1b ) in einer Client-Server-Umgebung, wobei die Client-Server-Umgebung ein Übertragungsprotokoll verwendet, das Erweiterungen der Vorsatzanforderung ohne Verletzung des Übertragungsprotokolls ermöglicht, wobei ein System (22 ) einen Datenaustausch zwischen dem Client (1a ,1b ) und dem Server (3 ) einrichtet, wobei das Verfahren im System die folgenden Schritte umfasst: Empfangen einer Vorsatzanforderung vom Client (1a ,1b ), Einfügen von Berechtigungsüberprüfungsdaten in die Vorsatzanforderung, was zu einer erweiterten Vorsatzanforderung (20 ) führt, unabhängig von dem vom Server verwendeten Berechtigungsüberprüfungsprozess und ohne Anforderung von Berechtigungsüberprüfungsdaten durch den Server, wobei die Berechtigungsüberprüfungsdaten das den Namen des Client und den öffentlichen Schlüssel des Client enthaltende Client-Zertifikat sowie eine digitale Signatur umfassen, die über die gesamte das Client-Zertifikat enthaltende Vorsatzanforderung unter Verwendung des privaten Schlüssels des Client erzeugt wurde, Übertragen der erweiterten Vorsatzanforderung an einen Server (30 ), und Empfangen von Daten vom Server (3 ), falls die Berechtigungsüberprüfung erfolgreich war. - Verfahren nach Anspruch 7, wobei das System (
20 ) ein Proxy-Server oder ein Gateway sein kann. - Verfahren nach Anspruch 7, wobei das Übertragungsprotokoll das HTTP-Protokoll ist und die Berechtigungsüberprüfungsdaten von einer Einfügungskomponente (
20 ), die die Berechtigungsüberprüfungsdaten von einer Signaturkomponente (24 ) empfängt, automatisch in den HTTP-Anforderungsvorsatz eingefügt werden. - Verfahren zur Berechtigungsüberprüfung von Clients in einer Client-Server-Umgebung, wobei die Client-Server-Umgebung ein Übertragungsprotokoll verwendet, das Erweiterungen der Vorsatzanforderung ohne Verletzung des Übertragungsprotokolls ermöglicht, wobei das Verfahren auf der Serverseite die folgenden Schritte umfasst: Empfangen einer Berechtigungsüberprüfungsdaten enthaltenden Client-Vorsatzanforderung, wobei die Berechtigungsüberprüfungsdaten das den Namen des Client und den öffentlichen Schlüssel des Client enthaltende Client-Zertifikat sowie eine digitale Signatur umfassen, die über die gesamte das Client-Zertifikat enthaltende Vorsatzanforderung unter Verwendung des privaten Schlüssels des Client erzeugt wurde, Überprüfen der in der Vorsatzanforderung enthaltenen Berechtigungsüberprüfungsdaten durch die Server-Berechtigungsüberprüfungskomponente, und Übertragen von Daten an den Client, wenn die Berechtigungsüberprüfung erfolgreich war.
- Verfahren nach Anspruch 10, wobei das Übertragungsprotokoll das HTTP-Protokoll ist und die Berechtigungsüberprüfungskomponente die folgenden Schritte ausführt: Zugreifen auf den im Client-Zertifikat enthaltenen öffentlichen Schlüssel, Entschlüsseln der im HTTP-Anforderungsvorsatz enthaltenen digitalen Signatur mit dem öffentlichen Schlüssel, woraus sich ein Hash-Wert ergibt, Anwenden desselben Hash-Algorithmus, wie er vom Client verwendet wurde, auf den HTTP-Anforderungsvorsatz, und Betrachten der Berechtigungsüberprüfung als erfolgreich, wenn beide Hash-Werte übereinstimmen.
- Serversystem (
3 ) zur Berechtigungsüberprüfung von Clients (1 ) in einer Client-Server-Umgebung, wobei die Client-Server-Umgebung ein Übertragungsprotokoll verwendet, das Erweiterungen der Vorsatzanforderung ohne Verletzung des Übertragungsprotokolls ermöglicht, wobei der Client (1 ) Berechtigungsüberprüfungsdaten in der Vorsatzanforderung an das Serversystem überträgt, wobei das Serversystem (3 ) Folgendes umfasst: eine Berechtigungsüberprüfungskomponente (4 ) mit der Funktionalität zum Lesen der in der eingehenden Client-Vorsatzanforderung enthaltenen Berechtigungsüberprüfungsdaten, wobei die Berechtigungsüberprüfungsdaten das den Namen des Client und den öffentlichen Schlüssel des Client enthaltende Client-Zertifikat sowie eine digitale Signatur umfassen, die über die gesamte das Client-Zertifikat enthaltende Vorsatzanforderung unter Verwendung des privaten Schlüssels des Client erzeugt wurde, und zum Überprüfen der Berechtigungsüberprüfungsdaten, ohne dass die Berechtigungsüberprüfungsdaten vom Client angefordert wurden. - Clientsystem (
1 ), dessen Identität von einem Serversystem in einer Client-Server-Umgebung überprüft werden muss, wobei die Client-Server-Umgebung ein Übertragungsprotokoll verwendet, das Erweiterungen der Vorsatzanforderung ohne Verletzung des Übertragungsprotokolls ermöglicht, wobei das Clientsystem Folgendes umfasst: einen Browser (2 ), und eine Komponente zum Einfügen von Client-Berechtigungsüberprüfungsdaten in die Vorsatzanforderung unabhängig von dem vom Server verwendeten Berechtigungsüberprüfungsprozess und ohne Anforderung von Berechtigungsüberprüfungsdaten durch den Server, wobei die Berechtigungsüberprüfungsdaten das den Namen des Client und den öffentlichen Schlüssel des Client enthaltende Client-Zertifikat sowie eine digitale Signatur umfassen, die über den Hash-Wert des Vorsatzanforderungsinhaltes unter Verwendung des privaten Schlüssels des Client erzeugt wurde. - Clientsystem nach Anspruch 13, das außerdem Folgendes umfasst: ein Chipkartenlesegerät (
10 ), und eine Chipkarte (10 ) mit einem Sicherheitsmodul, das den privaten Schlüssel des Client sowie ein den Namen und den privaten Schlüssel des Client enthaltendes Client-Zertifikat enthält, wobei die Chipkarte das Zertifikat zusammen mit einer digitalen Signatur an die Einfügungskomponente überträgt, wobei die digitale Signatur das Ergebnis einer Verschlüsselung eines Hash-Wertes der die Zertifikatdaten enthaltenden Vorsatzanforderung mittels des privaten Schlüssels ist. - Proxy-Serversystem (
22 ) zum Übertragen von Client-Berechtigungsüberprüfungsdaten an ein Server-System (3 ), wobei das Proxy-Serversystem (22 ) eine Datenübertragungsverbindung mit einem Clientsystem (1a ,1b ) und einem Serversystem (3 ) aufweist, wobei das zwischen den Systemen verwendete Übertragungsprotokoll Erweiterungen der Vorsatzanforderung ohne Verletzung des Übertragungsprotokolls ermöglicht, wobei das Proxy-Serversystem (22 ) Folgendes umfasst: eine Proxy-Einfügungskomponente (20 ) zum Einfügen des Client-Zertifikats und einer digitalen Signatur in die vom Client empfangene Vorsatzanforderung unabhängig von dem vom Server verwendeten Berechtigungsüberprüfungsprozess und ohne Anforderung von Berechtigungsüberprüfungsdaten durch den Server, und eine Signaturkomponente (24 ) zum Erzeugen einer digitalen Signatur und zum Übertragen derselben zusammen mit dem Client-Zertifikat an die Proxy-Einfügungskomponente (20 ). - Im internen Speicher eines digitalen Computers gespeichertes Computerprogrammprodukt, das Teile eines Softwarecodes zum Ausführen des Verfahrens nach irgendeinem der Ansprüche 1 bis 11 enthält, wenn das Produkt im Computer ausgeführt wird.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP03102111 | 2003-07-11 | ||
EP03102111 | 2003-07-11 | ||
PCT/EP2004/050864 WO2005006703A2 (en) | 2003-07-11 | 2004-05-19 | System and method for authenticating clients in a client-server environment |
Publications (2)
Publication Number | Publication Date |
---|---|
DE602004012870D1 DE602004012870D1 (de) | 2008-05-15 |
DE602004012870T2 true DE602004012870T2 (de) | 2009-05-14 |
Family
ID=34042939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE602004012870T Active DE602004012870T2 (de) | 2003-07-11 | 2004-05-19 | Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung |
Country Status (9)
Country | Link |
---|---|
US (1) | US20060264202A1 (de) |
EP (1) | EP1654852B1 (de) |
JP (1) | JP2009514050A (de) |
KR (1) | KR100856674B1 (de) |
CN (1) | CN1820481B (de) |
AT (1) | ATE391385T1 (de) |
DE (1) | DE602004012870T2 (de) |
TW (1) | TWI322609B (de) |
WO (1) | WO2005006703A2 (de) |
Families Citing this family (125)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8372112B2 (en) * | 2003-04-11 | 2013-02-12 | St. Jude Medical, Cardiology Division, Inc. | Closure devices, related delivery methods, and related methods of use |
US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
US20060010072A1 (en) * | 2004-03-02 | 2006-01-12 | Ori Eisen | Method and system for identifying users and detecting fraud by use of the Internet |
US7853533B2 (en) * | 2004-03-02 | 2010-12-14 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US10999298B2 (en) * | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US7877608B2 (en) * | 2004-08-27 | 2011-01-25 | At&T Intellectual Property I, L.P. | Secure inter-process communications |
GB0419479D0 (en) * | 2004-09-02 | 2004-10-06 | Cryptomathic Ltd | Data certification methods and apparatus |
US7526801B2 (en) * | 2005-01-07 | 2009-04-28 | Microsoft Corporation | Bulk transmission of messages using a single HTTP request |
US20060200566A1 (en) * | 2005-03-07 | 2006-09-07 | Ziebarth Wayne W | Software proxy for securing web application business logic |
JP2007011805A (ja) * | 2005-06-30 | 2007-01-18 | Toshiba Corp | 通信装置及び通信方法 |
US20070072661A1 (en) * | 2005-09-27 | 2007-03-29 | Alexander Lototski | Windows message protection |
US7814538B2 (en) | 2005-12-13 | 2010-10-12 | Microsoft Corporation | Two-way authentication using a combined code |
US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
US7257291B1 (en) | 2006-07-29 | 2007-08-14 | Lucent Technologies Inc. | Ultra-narrow bandpass filter |
US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
DE102006044750A1 (de) * | 2006-09-20 | 2008-04-10 | Vodafone Holding Gmbh | Übermittlung von authentifizierbaren Inhalten von einem Anbieterserver an ein mobiles Endgerät |
US9055107B2 (en) | 2006-12-01 | 2015-06-09 | Microsoft Technology Licensing, Llc | Authentication delegation based on re-verification of cryptographic evidence |
US8424058B2 (en) * | 2006-12-07 | 2013-04-16 | Sap Ag | Security proxying for end-user applications |
US20080215998A1 (en) * | 2006-12-07 | 2008-09-04 | Moore Dennis B | Widget launcher and briefcase |
JP5007564B2 (ja) * | 2006-12-28 | 2012-08-22 | 株式会社ニコン | 画像転送システム |
WO2008081150A2 (fr) | 2006-12-28 | 2008-07-10 | France Telecom | Procede et systeme d'autorisation d'acces a un serveur |
WO2008087743A1 (en) * | 2007-01-16 | 2008-07-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Control device, reproducing device, permission server, method for controlling control device, method for controlling reproducing device, and method for controlling permission server |
US20080201338A1 (en) * | 2007-02-16 | 2008-08-21 | Microsoft Corporation | Rest for entities |
KR101434569B1 (ko) * | 2007-04-06 | 2014-08-27 | 삼성전자 주식회사 | 홈 네트워크에서 보안 서비스를 제공하는 장치 및 방법 |
JP5094867B2 (ja) * | 2007-08-29 | 2012-12-12 | 三菱電機株式会社 | 認証用端末、及びネットワーク端末 |
US8353052B2 (en) * | 2007-09-03 | 2013-01-08 | Sony Mobile Communications Ab | Providing services to a guest device in a personal network |
US9060012B2 (en) * | 2007-09-26 | 2015-06-16 | The 41St Parameter, Inc. | Methods and apparatus for detecting fraud with time based computer tags |
US20090131089A1 (en) * | 2007-11-16 | 2009-05-21 | Anthony Micali | Personal text trainer system for sound diets and fitness regimens |
US20090210400A1 (en) * | 2008-02-15 | 2009-08-20 | Microsoft Corporation | Translating Identifier in Request into Data Structure |
CN101291299B (zh) * | 2008-06-06 | 2011-04-06 | 腾讯科技(深圳)有限公司 | 即时通讯方法、系统及终端及生成发起其会话链接的方法 |
US9390384B2 (en) * | 2008-07-01 | 2016-07-12 | The 41 St Parameter, Inc. | Systems and methods of sharing information through a tagless device consortium |
KR101541911B1 (ko) * | 2008-07-16 | 2015-08-06 | 삼성전자주식회사 | 사용자 인터페이스에서 보안 서비스를 제공하는 장치 및 방법 |
EP2391939A1 (de) * | 2009-02-02 | 2011-12-07 | Consilience International LLC | Betriebsmittelverarbeitung unter verwendung einer zwischeneinrichtung zur anpassung auf kontextbasis von interaktionsergebnissen |
US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
KR101047994B1 (ko) * | 2009-04-24 | 2011-07-13 | 플러스기술주식회사 | 네트워크 기반 단말인증 및 보안방법 |
US8832257B2 (en) | 2009-05-05 | 2014-09-09 | Suboti, Llc | System, method and computer readable medium for determining an event generator type |
US8751628B2 (en) | 2009-05-05 | 2014-06-10 | Suboti, Llc | System and method for processing user interface events |
US8078870B2 (en) * | 2009-05-14 | 2011-12-13 | Microsoft Corporation | HTTP-based authentication |
EP2273748A1 (de) * | 2009-07-09 | 2011-01-12 | Gemalto SA | Verfahren zur Verwaltung einer in einen gesicherten elektronischen Token eingebetteten Anwendung |
JP5473471B2 (ja) * | 2009-08-11 | 2014-04-16 | キヤノン株式会社 | 通信システム、通信装置およびその制御方法 |
JP5326974B2 (ja) * | 2009-09-30 | 2013-10-30 | 富士通株式会社 | 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム |
KR100970786B1 (ko) * | 2009-12-14 | 2010-07-16 | 제이콥스하우스 주식회사 | 서명암호화에 따른 보안서명 계약시스템 및 계약방법 |
JP5424940B2 (ja) * | 2010-03-03 | 2014-02-26 | キヤノン株式会社 | ネットワーク装置、情報処理装置及びこれらの制御方法、並びにネットワークシステム、代理応答方法及びコンピュータプログラム |
US8825745B2 (en) | 2010-07-11 | 2014-09-02 | Microsoft Corporation | URL-facilitated access to spreadsheet elements |
US8910259B2 (en) * | 2010-08-14 | 2014-12-09 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US8886773B2 (en) | 2010-08-14 | 2014-11-11 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
US9235843B2 (en) * | 2010-09-27 | 2016-01-12 | T-Mobile Usa, Inc. | Insertion of user information into headers to enable targeted responses |
KR101020470B1 (ko) | 2010-09-29 | 2011-03-08 | 주식회사 엔피코어 | 네트워크 침입차단 방법 및 장치 |
US9361597B2 (en) | 2010-10-19 | 2016-06-07 | The 41St Parameter, Inc. | Variable risk engine |
US20120151077A1 (en) * | 2010-12-08 | 2012-06-14 | Paul Finster | Systems And Methods For Distributed Authentication Of Video Services |
US20120290833A1 (en) * | 2011-05-12 | 2012-11-15 | Sybase, Inc. | Certificate Blobs for Single Sign On |
US9124920B2 (en) | 2011-06-29 | 2015-09-01 | The Nielson Company (Us), Llc | Methods, apparatus, and articles of manufacture to identify media presentation devices |
US8594617B2 (en) | 2011-06-30 | 2013-11-26 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
CN103650452B (zh) * | 2011-07-01 | 2016-11-02 | 瑞典爱立信有限公司 | 认证网络中的警报消息的方法和设备 |
KR101792885B1 (ko) * | 2011-09-05 | 2017-11-02 | 주식회사 케이티 | eUICC의 키정보 관리방법 및 그를 이용한 eUICC, MNO시스템, 프로비저닝 방법 및 MNO 변경 방법 |
EP2587715B1 (de) | 2011-09-20 | 2017-01-04 | BlackBerry Limited | Unterstützte Zertifikatsregistrierung |
US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
CN103166931A (zh) * | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
TWI468977B (zh) * | 2012-02-17 | 2015-01-11 | Qsan Technology Inc | 認證系統、認證方法與網路儲存裝置 |
EP2629488B1 (de) | 2012-02-17 | 2015-12-16 | OSAN Technology Inc. | Netzwerkspeicherungsdienst und Vorrichtung und Verfahren zur Authentifizierung |
US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
US9380038B2 (en) * | 2012-03-09 | 2016-06-28 | T-Mobile Usa, Inc. | Bootstrap authentication framework |
US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
US9003507B2 (en) * | 2012-03-23 | 2015-04-07 | Cloudpath Networks, Inc. | System and method for providing a certificate to a third party request |
US20130275492A1 (en) * | 2012-04-13 | 2013-10-17 | Microsoft Corporation | Enabling Web Clients to Provide Web Services |
US20130282890A1 (en) * | 2012-04-18 | 2013-10-24 | Azuki Systems, Inc. | In-stream collection of analytics information in a content delivery system |
DE102012209445A1 (de) * | 2012-06-05 | 2013-12-05 | Robert Bosch Gmbh | Verfahren und Kommunikationssystem zur sicheren Datenübertragung |
EP2880619A1 (de) | 2012-08-02 | 2015-06-10 | The 41st Parameter, Inc. | Systeme und verfahren für den zugriff auf datensätze über derivatlokalisatoren |
WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
WO2014083382A1 (en) | 2012-11-27 | 2014-06-05 | Robojar Pty Ltd | A system and method for authenticating the legitimacy of a request for a resource by a user |
US20140165170A1 (en) * | 2012-12-10 | 2014-06-12 | Rawllin International Inc. | Client side mobile authentication |
JP6044323B2 (ja) * | 2012-12-20 | 2016-12-14 | 富士通株式会社 | 不正メールの検知方法,その検知プログラム及びその検知装置 |
CN103051628B (zh) * | 2012-12-21 | 2016-05-11 | 微梦创科网络科技(中国)有限公司 | 基于服务器获取认证令牌的方法及系统 |
US10356579B2 (en) | 2013-03-15 | 2019-07-16 | The Nielsen Company (Us), Llc | Methods and apparatus to credit usage of mobile devices |
US9301173B2 (en) | 2013-03-15 | 2016-03-29 | The Nielsen Company (Us), Llc | Methods and apparatus to credit internet usage |
US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
GB2519516B (en) * | 2013-10-21 | 2017-05-10 | Openwave Mobility Inc | A method, apparatus and computer program for modifying messages in a communications network |
CN104717647B (zh) * | 2013-12-13 | 2019-03-22 | 中国电信股份有限公司 | 业务能力鉴权方法、设备及系统 |
US10402113B2 (en) | 2014-07-31 | 2019-09-03 | Hewlett Packard Enterprise Development Lp | Live migration of data |
US10540109B2 (en) | 2014-09-02 | 2020-01-21 | Hewlett Packard Enterprise Development Lp | Serializing access to fault tolerant memory |
CN104253813A (zh) * | 2014-09-05 | 2014-12-31 | 国电南瑞科技股份有限公司 | 一种基于调变一体化系统远程维护的安全防护方法 |
JP5838248B1 (ja) * | 2014-09-24 | 2016-01-06 | 株式会社 ディー・エヌ・エー | ユーザに所定のサービスを提供するシステム及び方法 |
US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
US10230531B2 (en) * | 2014-10-23 | 2019-03-12 | Hewlett Packard Enterprise Development Lp | Admissions control of a device |
WO2016064417A1 (en) | 2014-10-24 | 2016-04-28 | Hewlett Packard Enterprise Development Lp | End-to-end negative acknowledgment |
WO2016068941A1 (en) | 2014-10-30 | 2016-05-06 | Hewlett Packard Enterprise Development Lp | Secure transactions in a memory fabric |
US10715332B2 (en) | 2014-10-30 | 2020-07-14 | Hewlett Packard Enterprise Development Lp | Encryption for transactions in a memory fabric |
US9762688B2 (en) | 2014-10-31 | 2017-09-12 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
KR102021213B1 (ko) | 2014-10-31 | 2019-09-11 | 콘비다 와이어리스, 엘엘씨 | 엔드 투 엔드 서비스 계층 인증 |
CN104394147B (zh) * | 2014-11-26 | 2017-06-16 | 西安电子科技大学 | 在安卓系统的http协议中添加身份认证信息的方法 |
CN107534557B (zh) * | 2015-01-26 | 2021-07-09 | 移动熨斗公司 | 提供访问控制和单点登录的身份代理 |
WO2016122610A1 (en) | 2015-01-30 | 2016-08-04 | Hewlett Packard Enterprise Development Lp | Preventing data corruption and single point of failure in a fault-tolerant memory |
US10409681B2 (en) | 2015-01-30 | 2019-09-10 | Hewlett Packard Enterprise Development Lp | Non-idempotent primitives in fault-tolerant memory |
WO2016122642A1 (en) | 2015-01-30 | 2016-08-04 | Hewlett Packard Enterprise Development Lp | Determine failed components in fault-tolerant memory |
US11423420B2 (en) | 2015-02-06 | 2022-08-23 | The Nielsen Company (Us), Llc | Methods and apparatus to credit media presentations for online media distributions |
JP2018518854A (ja) * | 2015-03-16 | 2018-07-12 | コンヴィーダ ワイヤレス, エルエルシー | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
WO2016159996A1 (en) | 2015-03-31 | 2016-10-06 | Hewlett Packard Enterprise Development Lp | Preventing data corruption and single point of failure in fault-tolerant memory fabrics |
US10574459B2 (en) * | 2015-09-30 | 2020-02-25 | Microsoft Technology Licensing, Llc | Code signing service |
US10432403B2 (en) * | 2015-11-25 | 2019-10-01 | Fenwal, Inc. | Secure communication between infusion pump and server |
CN111526152B (zh) * | 2016-08-12 | 2022-02-11 | 创新先进技术有限公司 | 一种认证方法、设备以及认证客户端 |
US10193634B2 (en) | 2016-09-19 | 2019-01-29 | Hewlett Packard Enterprise Development Lp | Optical driver circuits |
TWI632799B (zh) * | 2016-11-16 | 2018-08-11 | 黃冠寰 | An accountable handshake data transfer protocol |
US10966091B1 (en) * | 2017-05-24 | 2021-03-30 | Jonathan Grier | Agile node isolation using packet level non-repudiation for mobile networks |
US10389342B2 (en) | 2017-06-28 | 2019-08-20 | Hewlett Packard Enterprise Development Lp | Comparator |
US10587409B2 (en) | 2017-11-30 | 2020-03-10 | T-Mobile Usa, Inc. | Authorization token including fine grain entitlements |
US11438168B2 (en) * | 2018-04-05 | 2022-09-06 | T-Mobile Usa, Inc. | Authentication token request with referred application instance public key |
KR102303273B1 (ko) * | 2018-05-16 | 2021-09-16 | 주식회사 케이티 | 개인 도메인 네임 서비스 방법 및 개인 도메인 네임을 이용한 접속 제어 방법과 시스템 |
CN109150821A (zh) * | 2018-06-01 | 2019-01-04 | 成都通甲优博科技有限责任公司 | 基于超文本传输协议http的数据交互方法及系统 |
CN109388917B (zh) * | 2018-10-12 | 2022-03-18 | 彩讯科技股份有限公司 | 硬件设备的鉴权方法、装置、设备及存储介质 |
US11164206B2 (en) * | 2018-11-16 | 2021-11-02 | Comenity Llc | Automatically aggregating, evaluating, and providing a contextually relevant offer |
TWI746920B (zh) * | 2019-01-04 | 2021-11-21 | 臺灣網路認證股份有限公司 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
US20200274859A1 (en) | 2019-02-22 | 2020-08-27 | Beyond Identity Inc. | User authentication system with self-signed certificate and identity verification with offline root certificate storage |
CN109788002A (zh) * | 2019-03-12 | 2019-05-21 | 北京首汽智行科技有限公司 | 一种Http请求加密、解密方法及系统 |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
WO2021060855A1 (ko) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법 |
CN110971506B (zh) * | 2019-11-06 | 2021-12-28 | 厦门亿联网络技术股份有限公司 | 一种去中心化实时集群通讯方法、装置、设备及系统 |
CN113098824A (zh) * | 2019-12-23 | 2021-07-09 | 中国移动通信集团山西有限公司 | Cxf框架的请求报文传输方法、装置、系统、设备和介质 |
US11757635B2 (en) * | 2020-03-13 | 2023-09-12 | Mavenir Networks, Inc. | Client authentication and access token ownership validation |
US11876778B2 (en) * | 2020-04-05 | 2024-01-16 | Raja Srinivasan | Methods and systems of a secure and private customer service automation platform |
EP4009602B1 (de) * | 2020-12-07 | 2022-11-09 | Siemens Healthcare GmbH | Bereitstellung eines ersten digitalen zertifikats und einer dns-antwort |
CN112699374A (zh) * | 2020-12-28 | 2021-04-23 | 山东鲁能软件技术有限公司 | 一种完整性校验漏洞安全防护的方法及系统 |
CN113179323B (zh) * | 2021-04-29 | 2023-07-04 | 杭州迪普科技股份有限公司 | 用于负载均衡设备的https请求处理方法、装置及系统 |
CN113672957A (zh) * | 2021-08-23 | 2021-11-19 | 平安国际智慧城市科技股份有限公司 | 埋点数据的处理方法、装置、设备及存储介质 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3932685B2 (ja) * | 1998-08-11 | 2007-06-20 | 富士ゼロックス株式会社 | ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム |
WO2000049755A2 (en) * | 1999-02-19 | 2000-08-24 | Nokia Networks Oy | Network arrangement for communication |
US7343351B1 (en) * | 1999-08-31 | 2008-03-11 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions |
JP2001350677A (ja) * | 2000-06-06 | 2001-12-21 | Hitachi Ltd | メタ情報を利用した通信の監視,検査システムおよび通信の監視,検査方法、ならびにこれらの方法を記録した記録媒体 |
FR2819967B1 (fr) * | 2001-01-24 | 2003-03-14 | Bull Sa | Procede et systeme de communication d'un certificat entre un module de securisation et un serveur |
JP2003132030A (ja) * | 2001-10-24 | 2003-05-09 | Sony Corp | 情報処理装置および方法、記録媒体、並びにプログラム |
US7231526B2 (en) * | 2001-10-26 | 2007-06-12 | Authenex, Inc. | System and method for validating a network session |
US7240366B2 (en) * | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
FI113924B (fi) * | 2002-09-06 | 2004-06-30 | Tellabs Oy | Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi |
JP2004240596A (ja) * | 2003-02-05 | 2004-08-26 | Mitsubishi Electric Corp | Webシステム |
-
2004
- 2004-05-19 WO PCT/EP2004/050864 patent/WO2005006703A2/en active IP Right Grant
- 2004-05-19 DE DE602004012870T patent/DE602004012870T2/de active Active
- 2004-05-19 US US10/564,177 patent/US20060264202A1/en not_active Abandoned
- 2004-05-19 CN CN2004800197476A patent/CN1820481B/zh not_active Expired - Fee Related
- 2004-05-19 AT AT04741609T patent/ATE391385T1/de not_active IP Right Cessation
- 2004-05-19 KR KR1020067000414A patent/KR100856674B1/ko not_active IP Right Cessation
- 2004-05-19 JP JP2006518190A patent/JP2009514050A/ja active Pending
- 2004-05-19 EP EP04741609A patent/EP1654852B1/de not_active Not-in-force
- 2004-06-28 TW TW093118837A patent/TWI322609B/zh not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
EP1654852A2 (de) | 2006-05-10 |
TWI322609B (en) | 2010-03-21 |
KR100856674B1 (ko) | 2008-09-04 |
WO2005006703A3 (en) | 2005-03-24 |
KR20060040661A (ko) | 2006-05-10 |
CN1820481A (zh) | 2006-08-16 |
US20060264202A1 (en) | 2006-11-23 |
JP2009514050A (ja) | 2009-04-02 |
DE602004012870D1 (de) | 2008-05-15 |
CN1820481B (zh) | 2010-05-05 |
WO2005006703A2 (en) | 2005-01-20 |
TW200509641A (en) | 2005-03-01 |
ATE391385T1 (de) | 2008-04-15 |
EP1654852B1 (de) | 2008-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE602004012870T2 (de) | Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung | |
DE60308692T2 (de) | Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung | |
DE60315914T2 (de) | Ad hoc Sicherheitszugriff auf Dokumente und Dienste | |
DE60214632T2 (de) | Multidomäne Berechtigung und Authentifizierung | |
DE602005003314T2 (de) | Spezialisierung der Unterstützung für eine Verbandsbeziehung | |
DE60027971T2 (de) | Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält | |
DE60308733T2 (de) | Dienstanbieteranonymisierung in einem single sign-on system | |
DE69725952T2 (de) | Benutzerkontrollierter Browser | |
DE60222871T2 (de) | Anordnung und Verfahren zum Schutz von Endbenutzerdaten | |
DE69832786T2 (de) | Vorrichtung und verfahren zur identifizierung von klienten die an netzwer-sites zugreifen | |
DE60314871T2 (de) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters | |
DE102007033615B4 (de) | Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen | |
DE69921455T2 (de) | System und verfahren zur zugriffssteuerung auf gespeicherte dokumente | |
DE102008042262B4 (de) | Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem | |
EP2304642B1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
DE60116903T2 (de) | Gesicherte sitzungverwaltung und authentifizierung für websites | |
DE102008000067B4 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token | |
DE69633564T2 (de) | Zugangskontrolle und überwachungssystem für internetserver | |
EP2332313B1 (de) | Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem | |
DE602004012300T2 (de) | Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff | |
EP4357945A2 (de) | Verfahren zum lesen eines attributs aus einem id-token | |
EP1628184A1 (de) | Verfahren und Computersystem zur Durchführung eines netzwerkgestützten Geschäftsprozesses | |
EP3764614B1 (de) | Verteiltes authentifizierungssystem | |
WO2011006895A1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
DE112020000538T5 (de) | Feinkörnige zugriffskontrolle auf token-grundlage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8320 | Willingness to grant licences declared (paragraph 23) |