[go: up one dir, main page]

JP4782986B2 - パブリックキー暗号法を用いたインターネット上でのシングルサインオン - Google Patents

パブリックキー暗号法を用いたインターネット上でのシングルサインオン Download PDF

Info

Publication number
JP4782986B2
JP4782986B2 JP2003565101A JP2003565101A JP4782986B2 JP 4782986 B2 JP4782986 B2 JP 4782986B2 JP 2003565101 A JP2003565101 A JP 2003565101A JP 2003565101 A JP2003565101 A JP 2003565101A JP 4782986 B2 JP4782986 B2 JP 4782986B2
Authority
JP
Japan
Prior art keywords
ticket
client
server
authentication
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003565101A
Other languages
English (en)
Other versions
JP2005516533A (ja
Inventor
スタンコ,ジョゼフ,エイ
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2005516533A publication Critical patent/JP2005516533A/ja
Application granted granted Critical
Publication of JP4782986B2 publication Critical patent/JP4782986B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Description

背景
この開示は一般的にインフォメーション検索と物流システムに関する。より明確に言うと、パブリックキー暗号法を用いたインターネット上でのシングルサインオンに関する。
今日のエンタープライズネットワークにとって異なったハードウェアおよびソフトウェアのシステムの散乱された配置を包含することは一般的なことである。これは会社企業の常に変化しているデータマネージメントのニーズによるためであり、そしてこれらのニーズに応じるために可能なコンピュータハードウェアおよびソフトウェアの継続的進化によるためである。一般的に、一企業内での異なった構成要素(例えば、異なった部署もしくは仕事場)は本質的に異なるソフトウェアアプリケーション、グループウェアシステム、もしくはデータメンテナンス構造/手順を用い、そのうちの1つの構成要素にて作成もしくは保持されたそのようなインフォメーションは他の構成要素にて使用できない。
イントラネットポータルとも呼ばれる企業ポータルはエンタープライズネットワークの異種のシステムを交差して貯蔵されているインフォメーションの入手性および有用性を増進させるため紹介された。一般的に実在するエンタープライズネットワークの上に乗りかかっている企業ポータルはエンタープライズネットワークの本質的に異なるシステムからコンテントを抽出するためとエンドユーザによるそのコンテント抽出を容易で個人用に特化したアクセスを可能にするために設計された。ここに記述されている実現方法の役割および利益はスピードの促進、開放、拡大縮小性、安定性など企業ポータルの環境にとって特に有利なものである間は評価されるものであり、この実現方法の役割および利益はまた広範囲のユーザ底辺に供給する個人用に特化した“ウェブポータル”のような他の環境においても適用される。これに限定するものではないが、例として、企業ポータルの一例はカリフォルニア州サンフランシスコのプラムツリーソフトウェア社のプラムツリー企業ポータルがあり、個人用に特化したウェブポータルの典型的な例としてはカリフォルニア州サニーベールのヤフー社のMyYahoo!、そしてカリフォルニア州レッドウッドシティのアットホーム社のMyExciteなどがある。企業ポータルは、ここにおいて参照に組み入れてある2001年6月29日に提出され通常通り付与された米国特許第09/896039号明細書においても記述されている。
図1は複数性のコンテントコンポーネント104ないし110を包含している企業ポータルシステムに関連した典型的なユーザスクリーン102の単純化した概要を示している。1つのコンテントコンポーネントは、他のコンテントコンポーネントと共に、統一化されたコンテントの主要部へと集積されたどのコンテントにも属する。図1の例では、コンテントコンポーネント104の社内ニュースのコンテントは、例えば、1つもしくはそれ以上の社内ニュースサーバから抽出され、そしてエンドユーザへの表示用に配列されたニュースのHTML表示を含んでいる。コンテントコンポーネント106の株価のコンテントは、例えば、株価のサーバから抽出された、自社と競合会社の株価のHTML表示を包含している。また図1に示されているものとしてコンテントコンポーネント108のEメールとコンテントコンポーネント110の顧客関係管理(CRM)がある。エンドユーザID112によると、企業ポータルはコンテントコンポーネント104ないし110を個人用に特化した配置で表示しており(例えば、ニュースを左上に、株価を右上に等)そしてユーザIDに基づいてそれぞれのコンテントコンポーネント内でインフォメーションを選択している(例えば、そのユーザ個人のEメールアカウントのみを表示したり、世界のニュースの上にスポーツニュースを表示したり、そのユーザ個人のCRMインフォメーションのみを表示する等)。図1のユーザスクリーン102はユーザ(ジェーン・スミス)がユーザ名とパスワードを供給することで企業ポータルシステムにログインした後に典型的に現れるものであろう。
より一般的には、コンテントコンポーネント自体はハイパーテキストトランスファープロトコル(HTTP)、セキュアハイパーテキストトランスファープロトコル(HTTPS)、ファイルトランスファープロトコル(FTP)、ワイヤレスアプリケーションプロトコル(WAP)等のような、どの汎用アプリケーション層のネットワークプロトコルを経由してのどのインフォメーション伝達においても可能である。ネットワークを経由したインフォメーション伝達可能性とはテキストインフォメーション、イメージインフォメーション、エクステンシブルマークアップランゲージ(XML)、ハイパーテキストマークアップランゲージ(HTML)、または、画像、音響、そして映像を含んだコンピュータファイルに蓄積することができる他のどのインフォメーションの類を含む。この明細書中において、ネットワーク上で送信されたどのインフォメーションもコンテントと呼称する。コンテントコンポーネントという用語は、他のコンテントコンポーネントと共に、統一化されたコンテントの主要部へと集積されたどんなコンテントにも属するものとする。
典型的なコンテントコンポーネントはEメールクライアントアプリケーションと通信するスクリプトにより生成されたHTMLアウトプットである。EメールクライアントアプリケーションはEメールを送信および受信する。そのようなアプリケーションはたいていユーザがEメールを作成し、アドレス帳にEメールアドレスを蓄積することを可能にさせる。このスクリプトはEメールクライアントアプリケーションにHTMLインタフェイスを供給する。このスクリプトはEメールアプリケーションのホストコンピュータによってホスティングされている。このスクリプトはユーザにEメールメッセージを作成し送信させるHTMLの他に、ユーザのEメールメッセージを表示するHTMLを生成する。このスクリプトはそのアプリケーションのプログラミングインタフェースを通じてEメールアプリケーションと通信することができる。この例では、このスクリプトにより生成されたHTMLがコンテントコンポーネントである(例えば、図1のコンテントコンポーネント108を参照)。
他の典型的なコンテントコンポーネントはデータベースアプリケーションと通信するプログラムにより生成された2種類のHTMLである。このプログラムはデータベースアプリケーションのホストコンピュータと同じコンピュータによるホスティングが可能である。データベースアプリケーションはレコードへと編成されたインフォメーションのデータベースを蓄積し保持する。このプログラムはアプリケーションのインタフェイスを経由してデータベースアプリケーションと通信することができる。このプログラムはユーザにデータベースレコードを検索させるHTMLを生成する。この場合、コンテントコンポーネントはクエリーボックスである。このプログラムはまたユーザへデータベースのレコードを表示するHTMLを生成する。この場合、コンテントコンポーネントはデータベースのレコードの表示である(例、図1のコンテントコンポーネント110参照)。それ以上のコンテントコンポーネントの例として、カレンダーアプリケーション、ワークフローアプリケーション、個人情報を所有し蓄積しているデータベース、ビジネス情報を所有し蓄積しているデータベース、個人保護情報を蓄積しているデータベース、ビジネス保護情報を蓄積しているデータベース、Eビジネスアプリケーション、等により生成されたリソースが含まれるが、これらに限定されるわけではない。
コンテントコンポーネントはここでは“リソースサーバ”と呼ばれているサーバから取得される。いくつかの件では、ここでは“セキュアサーバ”とも呼ばれる保護リソースサーバ上のコンテントへのアクセスを得るためにはセキュリティ証明が必要とされるように、リソースサーバは安全であり得る。
企業ポータルのようなサーバはリソースサーバから可能なコンテントの種類のリストを保持し、ユーザへこれらのコンテントの種類を公示する。ユーザは、インターネット等のネットワーク上のポータルサーバにアクセスするために、ここでは“クライアント”とも呼ばれるユーザターミナルを使用する。ユーザはポータルサーバにより公示されたある一定のコンテントの種類を選択することにより部分的に個人向けにセッティングを設定する。この個人向け操作過程に続いて、ユーザはポータルサーバへ個人向けコンテントに対する要求を送信する。個人向けコンテントは保護リソースサーバ上で記録されているコンテントを含むことが可能である。その結果、ポータルサーバはそれぞれの保護リソースサーバへセキュリティ証明を供給しなければならない。
1つの従来技術の方法によれば、保護リソースサーバが1回のセキュリティ証明を必要する毎に、ポータルサーバはユーザに単に毎回セキュリティ証明を供給するよう強制している。複数のパスワードまたはユーザ識別法を記憶することはたくさんのユーザにとって困難であるので、ユーザはよくパスワードを書きとめたり忘れたりし、または同じパスワードを全ての保護リソースサーバへ使用したりする。これらのユーザの反応は安全面と管理面の問題の可能性をもたらす。
別の従来技術によるとポータルサーバは全ての保護リソースサーバへのユーザセキュリティ証明を収集し蓄積している。保護リソースサーバがセキュリティ証明を要求するたびに、ポータルサーバは単に全てのユーザセキュリティ証明を保護リソースサーバへ供給している。ユーザがセキュリティ証明を何度も何度も入力することを軽減させる間に、この技術は重大な安全面の危険を引き起こす。例えば、保護リソースサーバの1つがユーザをスプーフィングすることにより他の保護リソースサーバへアクセスすることが可能となる。
従来技術によるこれらの問題点を克服するため、近年“シングルサインオン”(SSO)と呼ばれる技術が開発されている。SSOの技術はユーザに認可を受けているコンピュータとシステムに複数のパスワードを入力することなく、単式動作によりアクセスさせる。そのような技術の1つが、ユーザにポータルサーバのような他の構成要素へユーザ認識を委任させる、ケルベロスである。ケルベロスの1つの重大な難点はハイパーテキストトランスファープロトコル(HTTP)やファイルトランスファープロトコル(FTP)のような汎用アプリケーション層のプロトコルをサポートしていないことである。ゆえにユーザは、ブラウザに重大な修正が行われない限り、マイクロソフト・インターネット・エクスプローラやネットスケープ・ナビゲータのような一般的なウェブブラウザを通じてケルベロスを使うことができない。また、ケルベロスは“共有された秘密”の安全な分配に頼っていて、それはそれぞれの主材がキー分配センターとシークレットキーを共有しなくてはいけないことを意味する。この必要条件は特に企業の境界を越えたところで管理費用を大いに増大させる。
ネッテグリティ・サイトマインダーやセキュラント・クリアトラストのような、市販用で在庫があってすぐ購入可能ないくつかのSSO商品は、HTTPをアプリケーション層プロトコルとして使用し、ゆえに修正なしのブラウザとも互換性がある。ユーザがこの種のSSO商品を使用しているウェブサイトに最初に訪れた時、ウェブサイトはユーザ認証を行いそれからブラウザユーザにセッションクッキーのようなトークンを与え、それがユーザに対して、元のウェブサイトを通過するかあるいはユーザ認証を再度行うことなく同じSSO商品により監視されているその他のウェブサイトへアクセスすることを可能にしている。
別の従来技術による解決法は、マイクロソフトによってコントロールされて、単一の認証を提供するマイクロソフト・パスポートである。パスポートによると、セキュアリソースサーバはマイクロソフト・パスポート・オーセンティケータとシークレットキーを共有する。パスポートの1つの難点は、マイクロソフト・パスポート・オーセンティケータとプライベートキーを共有するために、個々のセキュアリソースサーバがマイクロソフトとのビジネス関係に参入しなければならないということである。
他の従来技術による解決法は、ウェブサイトによって要求されたセキュリティ信用証明を格納し、そしてユーザがそのウェブサイトにブラウザを指図する際にウェブサイトへセキュリティ信用証明を自動的に転送するいくつかのブラウザの能力を特徴とする。そのようなセキュリティ信用証明はセッションクッキー、永続的なクッキーおよびデジタル証明書を含むことができる。この方式の1つの難点は持ち運びできないということである。別のコンピュータ上でこの方式を使用するために、ユーザはそのコンピュータにも同様に信任状をインストールしなければならない。さらに、第2のコンピュータが他のユーザに利用可能な場合、機密漏洩を防ぐためセッションが終了する際には信任状が削除されなければならない。
概要
一般的に、本発明の1つの観点において、本発明は、セキュアサーバへのアクセスの要求を発行したクライアントに対してこのクライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するための認証サーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、セキュアサーバによってクライアントに送信された認証の呼び掛けを受信することと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成することを含み;チケットを受信するとともに認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合したことに応じてセキュアサーバがクライアントにアクセスを許可することからなる。
典型的な実施形態は以下のうちの1つまたは複数の特徴を含むことができる。実施形態は、チケットを生成する前に以前に成功したクライアントの認証に基づいてクライアントを認証することを含むことができる。認証は、クライアントがセキュリティ信用証明を供給し成功したクライアントの認証の後で認証サーバによって先にクライアントへ送信されたチケット保証チケットをクライアントから受信することを含むことができる。実施形態は、クライアントのユーザに属するセキュリティ信用証明をクライアントから受信することと;セキュリティ信用証明を照合することと;その照合が成功した際にチケット保証チケットを生成することを含むことができる。
一般的に、1つの観点において、本発明は、クライアントからのセキュアサーバへのアクセスの要求に応答してこのクライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを許可するためのセキュアサーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、セキュアサーバによって信用された認証サーバの識別情報を含んだ認証の呼び掛けをクライアントへ送信し、ここでユーザによる介入を伴わずにクライアントが認証サーバに認証の呼び掛けを送信することと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信することと;認証サーバのプライベートキーと相応したパブリックキーを使用してデジタル署名を照合することと;チケットの少なくとも一部分を照合することでクライアントへアクセスを許可することを含む。
特に、チケットの一部分が認証の呼び掛けの少なくとも一断片を含むとともに、許可がクライアントにアクセスを許可する前にチケットの中に受信したその認証の呼び掛けの一断片を照合することを含んでいる。
一般的に、1つの観点において、本発明は、クライアントからのコンテントの要求に応答してこのクライアントのユーザによる更なる介入を伴わずにセキュアサーバからコンテントを取得するウェブサーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、セキュアサーバへコンテントの要求を送信することと;その要求に応答してセキュアサーバから認証の呼び掛けを受信することと;認証サーバによる成功したクライアントの認証に基づいて認証サーバによって以前にウェブサーバに送信された転送可能なチケットをセキュアサーバによって信用された認証サーバへ送信することと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを認証サーバから受信することと;そのチケットをセキュアサーバへ送信し、セキュアサーバは認証サーバのプライベートキーに相応したパブリックキーを使用してデジタル署名を照合したことに応じて要求されたコンテントを供給することを含み;クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する。
典型的な実施形態は、クライアントからの要求に応答して転送可能な呼び掛けをクライアントに送信することをさらに含み、この転送可能な呼び掛けはウェブサーバによって信用された認証サーバの識別情報を含んでおり、認証サーバはクライアントを認証しそのクライアント認証に基づいて転送可能なチケットを生成し;そして認証サーバから転送可能なチケットを受信することを含んでいる。
一般的に、1つの観点において、本発明は、セキュアサーバからのコンテントの要求を発行したクライアントに対してこのクライアントのユーザによる更なる介入を伴わずにセキュアサーバからコンテントを取得するための認証サーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、その要求に応答してセキュアサーバにより発行された呼び掛けに応答してウェブサーバによって送信された転送可能なチケットを受信し、この転送可能なチケットは認証サーバによるクライアントの成功した認証に基づき認証サーバによって以前にウェブサーバに送信されたものであることと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成することを含み;認証サーバのプライベートキーに相応したパブリックキーを使用してデジタル署名を照合したことに応じてセキュアサーバが要求されたコンテントを提供するとともに;クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する。
典型的な実施形態は以下のうちの1つまたは複数の特徴を含むことができる。実施形態は、チケットを生成する前に以前に成功したクライアントの認証に基づいてクライアントを認証することを含むことができる。認証は、転送可能なチケットを照合することを含むことができる。実施形態は、クライアントのユーザに属するセキュリティ信用証明をクライアントから受信することと;セキュリティ信用証明を照合することと;その照合が成功した際に転送可能なチケットを生成することを含むことができる。実施形態は、以前に成功した認証に基づいて第2の認証サーバからクライアントへ送信されたチケット保証チケットをクライアントから受信することと;転送可能なチケットを生成することと;クライアントに転送可能なチケットを送付し、これに応じてクライアントがウェブサーバにこの転送可能なチケットを送信することを含むことができる。実施形態は、クライアントのユーザに属するセキュリティ信用証明をクライアントから受信することと;セキュリティ信用証明を照合することと;照合が成功した際にチケット保証チケットを生成することを含むことができる。
一般的に、1つの観点において、本発明は、クライアントから送信されウェブサーバによってセキュアサーバに転送されたコンテントの要求に応答してこのクライアントのユーザによる更なる介入を伴わずにセキュアサーバによってホスティングされているコンテントをクライアントに供給するためのセキュアサーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、セキュアサーバによって信用された認証サーバの識別情報を含んだ認証の呼び掛けをウェブサーバへ送信し、ここでウェブサーバは認証の呼び掛けを認証サーバへ送信することと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信することと;認証サーバのプライベートキーに相応したパブリックキーを使用してデジタル署名を照合することと;チケットの少なくとも一部分を照合したことに応じてクライアントに要求されたコンテントを供給することを含む。
典型的な実施形態において、チケットの一部分が認証の呼び掛けの少なくとも一断片を含むものであり、実施形態はクライアントに要求されたコンテントを供給する前にチケットの中に受信された認証の呼び掛けの一断片を照合することを含む。
一般的に、1つの観点において、本発明は、クライアントからのアクセス要求に応答してこのクライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するためのウェブサーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、セキュアサーバにコンテントの要求を送信することと;要求に応答してセキュアサーバから認証の呼び掛けを受信することと;認証サーバによる成功したクライアントの認証に基づいて認証サーバによって以前にウェブサーバに送信された転送可能なチケットをセキュアサーバによって信用された認証サーバへ送信することと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを認証サーバから受信することと;そのチケットをセキュアサーバへ送信し、セキュアサーバは認証サーバのプライベートキーに相応したパブリックキーを使用してデジタル署名を照合したことに応じてアクセスを許可することを含み;クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する。
典型的な実施形態は、クライアントからの要求に応答して転送可能な呼び掛けをクライアントに送信することをさらに含み、この転送可能な呼び掛けはウェブサーバによって信用された認証サーバの識別情報を含んでおり、認証サーバはクライアントを認証しそのクライアント認証に基づいて転送可能なチケットを生成し;そして認証サーバから転送可能なチケットを受信することを含むことができる。
一般的に、1つの観点において、本発明は、アクセスの要求を発行したクライアントに対してこのクライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するための認証サーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、その要求に応答してセキュアサーバにより発行された呼び掛けに応答してウェブサーバによって送信された転送可能なチケットを受信し、この転送可能なチケットは認証サーバによるクライアントの成功した認証に基づき認証サーバによって以前にウェブサーバに送信されたものであることと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成することを含み;セキュアサーバは認証サーバのプライベートキーに相応したパブリックキーを使用してデジタル署名を照合したことに応じてアクセスを許可するとともに;クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する。
典型的な実施形態は以下のうちの1つまたは複数の特徴を含むことができる。実施形態は、チケットを生成する前に以前に成功したクライアントの認証に基づいてクライアントを認証することを含むことができる。認証は、転送可能なチケットを照合することを含むことができる。実施形態は、クライアントのユーザに属するセキュリティ信用証明をクライアントから受信することと;セキュリティ信用証明を照合することと;その照合が成功した際に転送可能なチケットを生成することを含むことができる。実施形態は、以前に成功した認証に基づいて第2の認証サーバからクライアントへ送信されたチケット保証チケットをクライアントから受信することと;転送可能なチケットを生成することと;クライアントに転送可能なチケットを送付し、これに応じてクライアントがウェブサーバにこの転送可能なチケットを送信することを含むことができる。実施形態は、クライアントのユーザに属するセキュリティ信用証明をクライアントから受信することと;セキュリティ信用証明を照合することと;照合が成功した際にチケット保証チケットを生成することを含むことができる。
一般的に、1つの観点において、本発明は、クライアントから送信されウェブサーバによってセキュアサーバに転送されたアクセスの要求に応答してこのクライアントのユーザによる更なる介入を伴わずにクライアントにアクセスを許可するためのセキュアサーバ内で使用するコンピュータプログラム製品、装置ならびに方法であることを特徴とする。これは、セキュアサーバによって信用された認証サーバの識別情報を含む認証の呼び掛けをウェブサーバへ送信し、ここでウェブサーバは認証の呼び掛けを認証サーバへ送信することと;認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信することと;認証サーバのプライベートキーに相応したパブリックキーを使用してデジタル署名を照合することと;チケットの少なくとも一部分を照合したことに応じてクライアントにアクセスを許可することを含む。
典型的な実施形態は以下のうちの1つまたは複数の特徴を含むことができる。チケットの一部分が認証の呼び掛けの少なくとも一断片を含むものであり、実施形態は、クライアントに要求されたコンテントを供給する前にチケットの中に受信された認証の呼び掛けの一断片を照合することを含むことができる。本発明の1つあるいは複数の実施例ついて、添付図面を参照しながら以下詳細に記述する。本発明のその他の特徴は以下の説明および添付図面、ならびに請求の範囲によって明らかにされる。
本明細書中で使用される各参照符号の最初の数字は、その参照符号が最初に表記された図面の番号を示している。
詳細な説明
ここに使用されている“クライアント”および“サーバ”という用語は一般に電子装置かメカニズムを示し、“メッセージ”という用語は一般にデジタルメッセージを表わす電子信号を示している。ここに使用されている“メカニズム”という用語はハードウェア、ソフトウェアあるいはそれらの任意の組み合わせを示す。これらの用語は以下の記述を簡略化するために使用されている。クライアント、サーバ、およびここに記述されたメカニズムは任意の標準の汎用コンピュータ上で実装することができるか、あるいは専門の装置として実装することができる。
認証システム200の実施形態について図2を参照しながら記述する。クライアント202は、ユーザがインターネット、企業ネットワーク、あるいは他の任意の種類のネットワークまたはネットワークの組み合わせ等のネットワーク206にアクセスすることを可能にする。任意の数のクライアント202がネットワーク206に接続することができる。複数のセキュアサーバ204Aないし204Bがネットワーク206に接続されている。セキュアサーバ204はクライアント202がセキュアサーバ204にアクセスする前に認証され許可されることを必要としているため“セキュア”と言われる。以下に詳細に記述するように、ネットワーク206に接続されているのは認証サーバ208であり、それはセキュアサーバ204に要求されているようにクライアント202を認証することができる。1つの実施形態において、サーバおよびクライアント間の接続がセキュア・ソケット・レイヤー(SSL)接続として実行される。
ディレクトリ210とクリデンシャルキャッシュ212は認証サーバ208に接続されている。ディレクトリ210とクリデンシャルキャッシュ212のそれぞれはデータベース、メモリ等に格納されたテーブルなどとして実装することが可能である。
クライアント202がセキュアサーバ204Aにアクセスするためにユーザのセキュリティ信用証明を提供することを要求される場合の認証システム200のオペレーションについて、図3を参照しながら記述する。クライアント202のユーザは、セキュアサーバ204Aによってホスティングされているデータ、サービス、リソースまたはその他同種のものにアクセスすることを望んでいる。したがってユーザはセキュアサーバ204Aへのアクセスのためにクライアント202へ要求を発行する。その要求はキーボードにタイプ入力されたコマンド、マウスのクリック、または同等な形式とすることができる。その要求に応じて、クライアント202はセキュアサーバ204Aへこのセキュアサーバ204Aへのアクセスを要求する要求メッセージを送信する(行為302)。その応答として、セキュアサーバ204Aはクライアント202の認証を要求した認証の呼び掛けメッセージをクライアント202へ送信する(行為304)。
一実施形態において、認証の呼び掛けは、現在の時間、セキュアサーバ204Aの識別情報、セキュアサーバ204Aから見られるインターネットプロトコル(IP)アドレス、ランダムな番号、およびセキュアサーバ204Aに信頼されている認証サーバの識別情報(この場合認証サーバ208の識別情報)を含んでいる。
クライアント202は、ユーザの介入なしで、照会文字列として認証サーバ208に対する認証の呼び掛けを転送する(行為306)。関連技術においてよく知られているように、転送は標準のブラウザオペレーションである。クライアント202はまた照会文字列の中にそのユニフォームリソースロケータ(URL)と、そして、もしセキュアサーバ204Aによって指定されれば、以下に議論されているチケット保証チケット(TGT)への最大のタイムアウトを伝達する。認証サーバ208は、安全なサーバ204Aによって指定されたものあるいは内部もののうちのより小さいタイムアウトを使用し、その結果、もし認証サーバ208が通常6時間TGTを与えて、3時間だけが経過したとしても、サーバ自体が1時間のタイムアウトを指定していたならば、ユーザはユーザの信任証書を再び示さなければならない。
その応答として、認証サーバ208はクライアント202へ認証する側の呼び掛けメッセージを送信する(行為308)。その応答として、クライアント202はセキュリティ信用証明メッセージを認証サーバ208へ送信する(行為310)。セキュリティ信用証明メッセージはクライアント202のユーザに属するセキュリティ信用証明を少なくとも1つ含んでいる。認証サーバ208は、パスワード、呼び掛けへの返答、デジタル証書、トークン、スマートカード、生物測定学、またはそれらの任意の組み合わせを含む、クライアント202を認証するためにHTTPを通して伝送されることが可能な任意の信用証明を使用することができ、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)、マイクロソフト・ウィンドウズ(登録商標)・NT・LAN・マネージャ(NTLM)、またはその他のプロトコルを介した任意のバックエンドディレクトリに対して認証することができる。
認証サーバ208はクライアント202を認証する(行為312)。ディレクトリ210はセキュアサーバ204Aへのアクセスを許可されたそれぞれのユーザのエントリを含んでいる。それぞれのエントリはそれぞれの許可されたユーザに属する1つまたはそれ以上のセキュリティ信用証明を含んでいる。認証サーバ208は、例えば、ディレクトリ210中のセキュリティ信用証明とセキュリティ信用証明メッセージ中で受信されたセキュリティ信用証明との比較等のセキュリティ信用証明の確認によって、クライアント202を認証する。成功した認証に際して、認証サーバ208はチケットおよびチケット保証チケットを含めてクライアント202にメッセージを送信する(行為314)。
チケットはクライアント202にセキュアサーバ204Aへ自動的にアクセスさせることができる。チケットは認証の呼び掛けからの情報に加え、認証サーバ208のURL、認証サーバ208にとって独自のユーザ識別子(ID)、そして、(時計の同期問題を防ぐため)認証の呼び掛けで明らかになった時間へ構成可能なタイムアウト期間を加えることにより生成された有効期限を含む。認証サーバ208は、さらにパブリック−プライベートキーのペアからのプライベートキーを使用して、チケットにデジタル署名を付加する。この呼び掛けおよび/またはチケットは、照会文字列中において信頼できるサポートを行うためには長過ぎる可能性がある。その場合、自動フォームポストのような他のメカニズムによって同じことを遂行することができる。
図4を参照しながら以下に議論されているように、チケット保証チケット(TGT)は認証サーバ208へ再度セキュリティ信用証明を送信することなくクライアント202にセキュアサーバ204A以外のセキュアサーバへのチケットを取得させることができる。認証サーバ208はまたそれ自身のクッキーデータベースへTGTをプログラムによって加える。
クライアント202はユーザの介入なしにセキュアサーバ204Aへチケットを転送する(行為316)。セキュアサーバ204Aは信用された認証サーバのURLをキーとして使用し、信用された認証サーバのテーブルの中で認証サーバ208を検索する。エントリを発見すると、セキュアサーバ204Aは以前チケットへのデジタル署名に適用していたプライベートキーと相応するパブリックキーを検索し、デジタル署名を照合するためにそれを使用してクライアント202のアクセスを許可する(これは、セッションを確立するということである)。セキュアサーバ204Aはクライアント202に許可メッセージを送信する(行為318)。セキュアサーバ204Aはいくつかの従来のメカニズムのうちのいずれによってでもクライアントの識別情報を維持することができる。例えば、セキュアサーバ204Aはチケットをクッキーとして蓄積し要求毎に再検証することを選択することができ、または伝統的なセッションクッキーを使用することもできる。セッションが盗まれることを防ぐためにSSLが好適に使用される。
一実施形態において、チケットはセキュアサーバ204より送信された認証の呼び掛けの少なくとも一部を含んでいる。この実施形態によれば、セキュアサーバ204はクライアントにアクセスを許可する前にチケットのその箇所の有無を照合する。
クライアント202が再度ユーザのセキュリティ信用証明を送信することなく異なったセキュアサーバ204Bへアクセスする際の認証システム200のオペレーションについて、図4を参照しながら記述する。この例において、このオペレーションは図3を参照しながら記述されているオペレーションに続くものである。クライアント202は異なったセキュアサーバ204Bに要求を送信し(行為402)、セキュアサーバ204Bは認証の呼び掛けとして返答する(行為404)。クライアント202は認証の呼び掛けを認証サーバ208へ転送し、そしてユーザの介入なしに認証サーバ508より以前に受信したTGTを含める(行為406)。
認証サーバ208はそのTGTを照合することによりクライアント202を認証する(行為408)。一実施形態において、そのTGTはクリデンシャルキャッシュ212への検索として役立つランダムな番号を含んでいるクッキーである。このクッキーは認証する側の構成可能なパラメータによるセッションクッキーまたは実在するクッキーとして設定することができ、そして好適にはセキュアフラッグと共にセットされ、SSLのみを介しかつ認証サーバ208のみに送信される、可能な最も制されたパスである。さらに、認証サーバ208はクライアント202がそのクッキーをどれだけの間保持し続けるかとは関係なくクリデンシャルキャッシュ212中に自身の有効期限を保持し遂行する。そのクッキーが満期になった時、認証サーバ208はクライアント202へ再度有効な信用証明を要求する。認証サーバ208はTGTの使用に対して、全ての要求は同一のIPアドレスからきた特定のTGTを使用していることを調査する等の追加制限を行使することができる。
認証サーバ208は、この認証サーバ208のプライベートキーを使用してチケットへデジタル署名を適用した後セキュアサーバ204へのチケットをクライアント202へ送信する(行為410)。クライアント202はユーザの介入なしにセキュアサーバ204Bへチケットを転送する(行為412)。デジタル署名の確認により、セキュアサーバ204はクライアント202へ許可メッセージを送信することでクライアント202へアクセスを許可する(行為414)。
クライアントがデレゲートサーバを使用してセキュアサーバへアクセスする認証システム500の実施形態について図5を参照しながら記述する。デレゲートサーバはセキュアサーバにアクセスするためにクライアントに代わって動作するサーバである。デレゲートサーバはポータルサーバならびにそれと同様なものを含む。クライアント502はユーザにインターネット、企業ネットワーク、あるいはその他いずれかの種類のネットワークまたはネットワークの組み合わせ等のネットワーク506へのアクセスを許可する。クライアント502は任意の数のネットワーク506に接続することができる。複数のセキュアサーバ504Aないし504Nがネットワーク506に接続されている。セキュアサーバ504はクライアント502がセキュアサーバ504にアクセスする前に認証され許可されることを必要としているため“セキュア”と呼ばれる。さらにネットワーク506に接続されているものは認証サーバ508で、これはセキュアサーバ504に要求されているようにクライアント502を認証することができる。一実施形態において、サーバおよびクライアント間の接続がセキュア・ソケット・レイヤー(SSL)接続として実行される。
ディレクトリ510とクリデンシャルキャッシュ512は認証サーバ508に接続されている。ディレクトリ510とクリデンシャルキャッシュ512のそれぞれはデータベース、メモリに格納されたテーブルなどとして実装することが可能である。
クライアント502がセキュアサーバ504Aにアクセスするためにユーザのセキュリティ信用証明を提供することを要求される場合の認証システム500のオペレーションについて図6を参照しながら記述する。クライアント502のユーザは、セキュアサーバ504Aによってホスティングされているコンテント、データ、サービス、リソースまたはその他同種のものにアクセスすることを望んでいる。したがってユーザはセキュアサーバ504Aへのアクセスのためのクライアント502への要求を発行する。その要求はキーボードにタイプ入力されたコマンド、マウスのクリック、または同等な形式のものとすることができる。その要求に応じて、クライアント502はデレゲートサーバ520へセキュアサーバ204Aへのアクセスを要求するリクエストメッセージ(行為602)を送信する。その応答として、デレゲートサーバ520はクライアント502を認証させる。デレゲートサーバ520は転送可能な呼び掛けをクライアント502へ送り(行為604)、それをユーザの介入なしにクライアント502が認証サーバ508へ転送する(行為604)。デレゲートサーバ520は、クライアント502のユーザによって指定された好みなど任意の基準によって特定の認証サーバ508を選択することができる。
その転送可能な呼び掛けは委任権限を要求したフラッグを含む。認証サーバ508が転送可能な呼び掛けの中にあるこのフラッグを発見した時、委任として行動することが許可されているサーバのリストの中でデレゲートサーバ502を検索するため、その転送可能な呼び掛けの中にあるサーバ識別情報フィールドを使用する。このリストは実施形態によっては認証サーバ508上もしくはユーザ毎の基準によるグローバルポリシーとして構成されることも可能であるが;デフォルトポリシーはサーバが明白にアクセスを許可されていない限り委任要求を拒絶する。検索が失敗した場合、デレゲートサーバに識別を許可するがクライアント502になりすますことは許可せず、認証サーバ508がチケットを返送する。
この例においては、クライアント502は認証サーバ508にまだセキュリティ信用証明を供給していない。したがって認証サーバ508は認証側の呼び掛けメッセージをクライアント502に送信する(行為608)。その応答として、クライアント502はセキュリティ信用証明メッセージを認証サーバ508へ送信する(行為610)。セキュリティ信用証明メッセージはクライアント502のユーザに属するセキュリティ信用証明を少なくとも1つ含んでいる。認証サーバ508は、パスワード、呼び掛けへの返答、デジタル証書、トークン、スマートカード、生物測定学、またはそれらの任意の組み合わせを含む、クライアント502を認証するためにHTTPを通して伝送されることが可能な任意の信用証明を使用することができ、LDAP、NTLM、またはその他のプロトコルを介した任意のバックエンドディレクトリに対して認証することができる。認証サーバ508はクライアント502を認証する(行為612)。ディレクトリ510はセキュアサーバ504Aへのアクセスを許可されたそれぞれのユーザのエントリを含んでいる。それぞれのエントリはそれぞれの許可されたユーザに属する1つまたはそれ以上のセキュリティ信用証明を含んでいる。
認証サーバ508は、例えば、ディレクトリ510中のセキュリティ信用証明とセキュリティ信用証明メッセージ中で受信されたセキュリティ信用証明との比較等のセキュリティ信用証明の確認により、クライアント502を認証する。成功した認証に際して、認証サーバ508はチケットおよびチケット保証チケットを含めてクライアント502にメッセージを送信する(行為514)。クライアント102はTGTをクッキーとして保持しているが、転送可能なチケットを認証サーバ508へ送信し、ユーザの介入なしで転送可能なチケットをデレゲートサーバ520へ転送する(行為616)。
図8を参照しながら以下に論述するように、チケット保証チケット(TGT)は認証サーバ508へ再度セキュリティ信用証明を送信することなくクライアント502にデレゲートサーバ520以外のデレゲートサーバへのチケットを取得させることができる。認証サーバ508はまたそれ自身のクッキーデータベースへTGTをプログラムによって付加する。
転送可能なチケットはデレゲートサーバ520にクライアント502に代わってセキュアサーバ504A以外のセキュアサーバへのチケットを取得させる。転送可能なチケットは標準のチケットと同じ情報を含んでいるが、クライアントに代わりチケットを要求する際、委任が認証サーバを通過することができるチケット保証チケットをも含んでいる。このTGTはクライアントによって取得されたTGTの単純なコピーでもよいし、より短くされた有効期限等の追加制限付の別のTGTでもよい。
デレゲートサーバ520はアクセスやコンテントの要求をセキュアサーバ504Aに送信する(行為618)。その応答として、セキュアサーバ504Aはデレゲートサーバ520へ認証の呼び掛けメッセージを送信し(行為620)クライアント502の認証を要求する。一実施形態において、認証の呼び掛けは、現在の時間、セキュアサーバ504Aの識別情報、セキュアサーバ504Aから見られるデレゲートサーバ520のIPアドレス、ランダムな番号、およびセキュアサーバ504Aに信頼されている認証サーバの識別情報(この場合認証サーバ508の識別情報)を含んでいる。
デレゲートサーバ520はユーザの介入なしに認証の呼び掛けを認証サーバ508に送信し、TGTを含んでいる(行為622)。認証サーバ508は前述したTGTの照合と同様な方式で転送可能なチケットを照合することによってクライアント502を認証する(行為624)。
認証サーバ508はこの認証サーバ508のプライベートキーを使用してチケットにデジタル署名を割り当てた後セキュアサーバ504Aに対するチケットをデレゲートサーバ520に送信する(行為626)。チケットは認証の呼び掛けからの情報に加え、認証サーバ508のURL、認証サーバ508にとって独自のユーザ識別子(ID)、そして、(時計の同期問題を防ぐため)認証の呼び掛けで明らかになった時間へ構成可能なタイムアウト期間を加えることにより生成された有効期限を含む。認証サーバ508は、さらにパブリック−プライベートキーのペアからのプライベートキーを使用して、チケットにデジタル署名を付加する。この呼び掛けおよび/またはチケットは、照会文字列中において信頼できるサポートを行うためには長過ぎる可能性がある。その場合、自動フォームポストのような他のメカニズムによって同じことを遂行することができる。
デレゲートサーバ520はセキュアサーバ504Aへチケットを送信する(行為628)。セキュアサーバ504Aは信用された認証サーバのURLをキーとして使用し信用された認証サーバのテーブルの中で認証サーバ508を検索する。エントリを発見すると、セキュアサーバ504Aは以前チケットへのデジタル署名に適用していたプライベートキーと相応するパブリックキーを検索し、デジタル署名を照合するためにそれを使用し、そしてクライアント502のアクセスを許可する(これは、セッションを確立するということである)。セキュアサーバ504Aはいくつかの従来のメカニズムのうちのいずれによってでもクライアントの識別情報を維持することができる。例えば、セキュアサーバ504Aはチケットをクッキーとして蓄積し要求毎に再検証することを選択できるし、または伝統的なセッションクッキーを使用することもできる。セッションが盗まれることを防ぐために好適にはSSLが使用される。
一実施形態においては、チケットはセキュアサーバ504Aより送信された認証の呼び掛けの一部を少なくとも含んでいる。この実施形態によると、セキュアサーバ504Aはクライアント502にアクセスを許可する前にチケットのその箇所の有無を照合する。
デジタル証明を照合したことに応じて、セキュアサーバ504Aはデレゲートサーバ520へ許可メッセージを送信することで202にアクセスを許可し(行為630)、デレゲートサーバ520はクライアント502に転送する(行為632)。クライアント502がセキュアサーバ504Aからコンテントを要求している1つの企業ポータルの実施形態では、セキュアサーバ504Aはデレゲートサーバ520にコンテントを送り、デレゲートサーバ520はクライアント520から要求された他のコンテントと共にそのコンテントを集積し、集積されたコンテントをクライアント502へ配信する。
クライアント502が再度ユーザのセキュリティ信用証明を送信することなく異なったセキュアサーバ504Bへアクセスする際の認証システム500のオペレーションについて図7を参照しながら記述する。この例においては、このオペレーションは図6を参照しながら記述されているオペレーションに続くものである。クライアント502は異なったセキュアサーバ504Bへのアクセスの要求をデレゲートサーバ520へ送り(行為702)、デレゲートサーバ520はセキュアサーバ504Bへアクセスの要求を送信する(行為704)。セキュアサーバ504Bは認証の呼び掛けとして返答する(行為706)。デレゲートサーバ520は認証の呼び掛けを認証サーバ508へ送り、そして認証サーバ508より以前に受信した転送可能なチケットを含める(行為708)。
認証サーバ508はその転送可能なチケットを照合することによりクライアント502を認証する(行為710)。認証サーバ508は、認証サーバ508のプライベートキーを使用しているチケットへデジタル署名を適用した後セキュアサーバ504へのチケットをデレゲートサーバ520へ送信する(行為712)。デレゲートサーバ520はセキュアサーバ504Bへチケットを送信する(行為714)。デジタル証明を照合したことに応じて、セキュアサーバ504はデレゲートサーバ520へ許可メッセージを送信することでクライアント502にアクセスを許可し(行為712)、デレゲートサーバ520がクライアント502に送信する(行為718)。502がセキュアサーバ504Bからコンテントを要求している1つの企業ポータルの実施形態においては、セキュアサーバ504Bはデレゲートサーバ520にコンテントを送り、デレゲートサーバ520はクライアント502から要求された他のコンテントと共にそのコンテントを集積し、そして集積されたコンテントをクライアント502へ配信する。
クライアント502がユーザのセキュリティ信用証明を供給することなく異なったデレゲートサーバ520Bを使用しセキュアサーバ504Cへアクセスする際の認証システム500のオペレーションについて図8を参照しながら記述する。この例においては、このオペレーションは図6を参照して記述されたオペレーションに続くものである。クライアント502のユーザは、セキュアサーバ504Cによってホスティングされたコンテント、データ、サービス、リソースまたはその他の同等なものにアクセスすることを望んでいる。したがってユーザはセキュアサーバ504Cへのアクセスのためクライアント502への要求を発行する。その要求はキーボードにタイプ入力されたコマンド、マウスのクリック、または同等な形式のものとすることができる。その要求に応じて、クライアント502はデレゲートサーバ520Bへセキュアサーバ504Cへのアクセスを要求するリクエストメッセージを送信する(行為802)。その応答として、デレゲートサーバ520Bはクライアント502を認証させる。デレゲートサーバ520Bはクライアント502へ転送可能な呼び掛けを送り(行為804)、ユーザの介入なしでクライアント502は認証サーバ508へ転送する(行為806)。クライアント502はデレゲートサーバ520より以前に受信したチケット保証チケットを含んでいる。
その転送可能な呼び掛けは委任権限を要求したフラッグを含む。認証サーバ508が転送可能な呼び掛けの中にあるこのフラッグを発見した時、委任として行動することが許可されているサーバのリストの中でデレゲートサーバ520Bを検索するため、その転送可能な呼び掛けの中にあるサーバ識別情報フィールドを使用する。このリストは実施形態によっては認証サーバ508上もしくはユーザ毎の基準によるグローバルポリシーとして構成されていることが可能であるが;デフォルトポリシーはサーバが明白にアクセスを許可されていない限り委任要求を拒絶する。もし検索が失敗したら、デレゲートサーバに識別を許可するがクライアント502になりすますことを許可せず、認証サーバ508がチケットを返送する。
認証サーバ508はそのTGTを照合することによりクライアント502を認証する(行為808)。一実施形態においてそのTGTはクリデンシャルキャッシュ512への検索として役立つランダムな番号を含んでいるクッキーである。このクッキーは認証する側の構成可能なパラメータによるセッションクッキーまたは実在するクッキーとして設定することができ、そして好適にはセキュアフラッグと共にセットされ、SSLのみを介しかつ認証サーバ508のみ送信される、可能な最も制限されたパスである。さらに、認証サーバ508はクライアント502がそのクッキーをどれだけの間保持し続けるかとは関係なくクリデンシャルキャッシュ512中に自身の有効期限を保持し遂行する。そのクッキーが満期になった時、認証サーバ508はクライアント502へ再度有効な信用証明を要求する。認証サーバ508はTGTの使用に対して、全ての要求は同一のIPアドレスからきた特定のTGTを使用していることを調査する等の追加制限を行使することができる。
成功した認証に応じて、認証サーバ508は転送可能なチケットを含んでクライアント502にメッセージを送信する(行為810)。クライアント502はユーザの介入なしで転送可能なチケットをデレゲートサーバ520Bへ転送する(行為812)。転送可能なチケットはデレゲートサーバ520Bにクライアント502に代わってセキュアサーバ504へのチケットを取得させる。
デレゲートサーバ520Bはアクセスやコンテントの要求をセキュアサーバ504Cに送信する(行為814)。その応答として、セキュアサーバ504Cはデレゲートサーバ520Bへ認証の呼び掛けメッセージを送り(行為816)クライアント502の認証を要求する。一実施形態において、認証の呼び掛けは、現在の時間、セキュアサーバ504Cの識別情報、ランダムな番号、およびセキュアサーバ504Cに信頼されている認証サーバの識別情報(この場合認証サーバ508の識別情報)を含んでいる。
デレゲートサーバ520Bは認証の呼び掛けを認証サーバ508へ送り、そして認証サーバ508より以前に受信した転送可能なチケットを含める(行為818)。認証サーバ508はその転送可能なチケットを照合することによりクライアント502を認証する(行為820)。認証サーバ508はそれから認証サーバ508のプライベートキーを使用しているチケットへデジタル署名を適用した後セキュアサーバ504Cへのチケットをデレゲートサーバ520へ送信する(行為822)。デレゲートサーバ520Bはセキュアサーバ504Cへチケットを送信する(行為824)。デジタル証明を照合したことに応じて、セキュアサーバ504Cはデレゲートサーバ520Bへ許可メッセージを送信することで502にアクセスを許可し(行為826)、デレゲートサーバ520Bはクライアント502に送信する(行為828)。クライアント502がセキュアサーバ504Cからコンテントを要求している1つの企業ポータルの実施形態では、セキュアサーバ504Cはデレゲートサーバ520にコンテントを送り、デレゲートサーバ520はクライアント502から要求された他のコンテントと共にそのコンテントを集積し、そして集積されたコンテントをクライアント502へ配信する。
この発明は、デジタル電子回路類、またはコンピュータハードウェア、ファームウェア、ソフトウェア、またはそれらの組み合わせにおいて実行することが可能である。本発明の装置はプログラム可能なプロセッサにより実行するための機械読み取り可能な記憶装置で明確に具体化されたコンピュータプログラム製品においてで実行することができ;そして本発明の方法ステップは、入力データ上で作動し出力を生成することにより本発明の機能を実行するための命令プログラムを実行するプログラム可能なプロセッサによって実施可能である。本発明は、データと命令の受け取りとデータと命令の通過が連結された少なくとも1台のプログラム可能なプロセッサ、データストレージシステム、少なくとも1つのインプット、そして少なくとも1つのアウトプットデバイスを含む、プログラム可能なシステム上で実行可能な1つまたはそれ以上のコンピュータプログラムで好適に実行することが可能である。各コンピュータプログラムは高レベルなプロシージャ的オブジェクトオリエンティッドプログラム、または必要であればアセンブラ的機械言語にて実行が可能である;そしていずれの場合においても、言語はコンパイルが可能であるかインタープリタ言語である。好適なプロセッサは、例をあげると、標準および特定の両方の目的のマイクロプロセッサである。一般的に、プロセッサは命令とデータをリードオンリーメモリおよび/またはランダムアクセスメモリから受信する。一般的に、コンピュータはデータファイルを貯蔵するための1つまたはそれ以上の大量記憶装置が含まれる;そのようなデバイスは磁気ディスク、内部のハードディスクやリムーバブルディスク;光磁気ディスク;ならびに光ディスクである。明確に具体化されたコンピュータプログラムの命令に適したストレージデバイスとデータは、不揮発性のメモリの全ての形を含み、例をあげると、EPROM,EEPROMのような半導体のメモリデバイス、フラッシュメモリデバイス;内部のハードディスクやリムーバブルディスクのような磁気ディスク;光磁気ディスク;そしてCD−ROMディスク等を含む。前述のうちのもののいずれかは、ASIC(特定用途向けIC)によって補完、または一体化されることが可能である。
本発明の多くの実施例について記述した。しかしながら、本発明の精神および視点から逸脱することなく、種々の変更がなされることが理解される。上記のオペレーションの多様な変更が可能である。例えば、クライアント502が1つの認証サーバとでオペレーションを行い続いて起こる異なった認証サーバとのオペレーションを完了することが可能である。
セキュアサーバは複数の認証サーバからの認証を要求することが可能である。認証サーバは順次に2つ目の認証サーバによる認証を要求することが可能である。任意の種類の異なったサーバは、“ネットワーク”がローカルループバックアダプタとなる物理的に同じコンピュータに位置することができる。セキュアサーバはユーザに使用する認証サーバの選択を与えることができ、または認証が成功するまでいくつかを試みることができる。デレゲートサーバは1つまたはそれ以上の認証サーバを使用して複数のセキュアサーバからリソースを要求することができる。デレゲートサーバは転送可能なチケットを要求することができ2つ目のデレゲートサーバへ委任することができる。
従って、その他の実施例は特許請求の範囲の範囲内に含まれている。
企業ポータルシステムに関連した典型的なユーザスクリーンを示す簡略化された説明図である。 認証システムの実施形態を示す構成図である。 クライアントがセキュアサーバにアクセスするためにユーザのセキュリティ信用証明を提供することを要求される場合の図2の認証システムのオペレーションを示す説明図である。 認証サーバへ再度ユーザのセキュリティ信用証明を供給することなく異なったセキュアサーバへクライアントがアクセスする際の図2の認証システムのオペレーションを示す説明図である。 クライアントがデレゲートサーバを使用してセキュアサーバへアクセスする認証システムの実施形態を示す構成図である。 クライアントがセキュアサーバにアクセスするためにユーザのセキュリティ信用証明を提供することを要求される場合の図5の認証システムのオペレーションを示す説明図である。 認証サーバへ再度ユーザのセキュリティ信用証明を供給することなく異なったセキュアサーバへクライアントがアクセスする際の図5の認証システムのオペレーションを示す説明図である。 認証サーバへユーザのセキュリティ信用証明を供給することなくクライアントが異なったデレゲートサーバを使用する際の図5の認証システムのオペレーションを示す説明図である。

Claims (60)

  1. セキュアサーバへのアクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該クライアントが当該セキュアサーバへのアクセスを取得するための認証サーバ内で使用する方法であり:
    前記クライアントが、前記セキュアサーバによって送信された認証呼び掛けを受信するステップを備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記セキュアサーバは、前記クライアントから前記チケットを受信すると
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、
    前記チケットまれる記呼び掛けの一部を照合し、
    前記クライアントにアクセスを許可し、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、方法。
  2. 前記認証サーバは、
    予め認証サーバに含まれているセキュリティ信用証明と前記クライアントから受信された前記セキュリティ信用証明を照合する、請求項記載の方法。
  3. クライアントからのセキュアサーバへのアクセスの要求に応答して当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバへのアクセスを許可するための当該セキュアサーバ内で使用する方法であり:
    認証呼び掛けを前記クライアントへ送信するステップを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と乱数と、前記セキュアサーバによって信用された認証サーバの識別情報を含み、前記クライアントは、ユーザによる介入を伴わずに、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、そうでなければ、前記認証呼び掛けをそのまま前記認証サーバへ送信し
    前記セキュアサーバが、前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付され前記認証呼び掛けの一部を含
    前記セキュアサーバが、前記認証サーバのプライベートキーと相応するパブリックキーを使用して前記デジタル署名を照合するステップと;
    前記セキュアサーバが、前記チケットまれる前記呼び掛けの一部を照合するステップと
    前記セキュアサーバが、前記クライアントへアクセスを許可するステップとを備え、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、方法。
  4. クライアントからのコンテントの要求に応答して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバから当該コンテントを取得するウェブサーバ内で使用する方法であり:
    当該セキュアサーバへコンテントの要求を送信するステップと;
    前記クライアントが、前記要求に応答して前記セキュアサーバから認証呼び掛けを受信するステップとを備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信頼されている認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記認証サーバへ送信するステップと;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信するステップとを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記チケットを前記セキュアサーバへ送信するステップを備え、前記セキュアサーバは、前記チケットを受信すると、
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、
    前記チケットまれる記呼び掛けの一部を照合し、
    前記コンテントを前記クライアントへ提供し
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する方法。
  5. 前記クライアントからの要求に応答して転送可能な呼び掛けをクライアント送信するステップをさらに備え、前記認証サーバは、前記クライアントを認証しそのクライアント認証に基づいて転送可能なチケットを生成し;
    前記クライアントが、前記認証サーバから前記転送可能なチケットを受信するステップをさらに備える、請求項記載の方法。
  6. セキュアサーバからのコンテントの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該クライアントが当該セキュアサーバから当該コンテントを取得するための認証サーバ内で使用する方法であり:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信するステップを備え、前記呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含み、前記転送可能なチケットは、前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信されたものであ
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部を含み:
    前記セキュアサーバは、前記チケットを受信すると、
    前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合し、
    前記チケットまれる記呼び掛けの一部を照合し、
    前記コンテントを提供
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する方法。
  7. 前記認証は、前記転送可能なチケットを照合することを含む請求項記載の方法。
  8. 以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットを前記クライアントから受信するステップと;
    前記転送可能なチケットを生成するステップと;
    前記転送可能なチケットを前記クライアント送付し、これに応じて前記クライアントが当該転送可能なチケットを前記ウェブサーバ送信するステップとをさらに備える、請求項記載の方法。
  9. ライアントから送信されウェブサーバによってセキュアサーバに転送されたコンテントの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバによってホスティングされているコンテントを当該クライアントへ提供するためのセキュアサーバ内で使用する方法であり:
    認証呼び掛けをウェブサーバへ送信するステップを備え、前記認証呼び掛けは、セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信されている認証サーバの識別情報を含み、前記ウェブサーバは、前記証呼び掛けを認証サーバへ送信
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合するステップと
    前記チケットまれる前記認証呼び掛けの一部を照合するステップと;
    求されたコンテントを前記クライアントへ提供するステップとを備え、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、方法。
  10. クライアントからのアクセス要求に応答して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するためのウェブサーバ内で使用する方法であり:
    当該セキュアサーバコンテントの要求を送信するステップと;
    前記要求に応答して前記セキュアサーバから認証呼び掛けを受信するステップを備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記セキュアサーバによって信用された認証サーバへ送信するステップと;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信するステップとを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記セキュアサーバは、
    前記チケットをセキュアサーバへ送信し、
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、
    前記チケットまれる前記認証呼び掛けの一部を照合し、
    アクセスを許可するステップを備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する方法。
  11. 前記クライアントからの要求に応答して、前記転送可能な呼び掛けをクライアント送信するステップをさらに含み、前記転送可能な呼び掛けは、前記ウェブサーバによって信用された認証サーバの識別情報を含んでおり、前記認証サーバはクライアントを認証し当該クライアント認証に基づいて前記転送可能なチケットを生成し;
    前記認証サーバから前記転送可能なチケットを受信することをさらに含む請求項10記載の方法。
  12. アクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するための認証サーバ内で使用する方法であり:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信するステップを備え、前記転送可能なチケットは、前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信されたものであり、前記呼び掛けは前記セキュアサーバの識別情報と、乱数、前記認証サーバの識別情報とを含
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部を含み;
    前記セキュアサーバが、前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合し、前記チケットまれる記呼び掛けの一部を照合し、アクセスを許可するステップを備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する方法。
  13. 前記認証は、前記転送可能なチケットを照合することを含む請求項12記載の方法。
  14. 以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットを前記クライアントから受信するステップと;
    前記転送可能なチケットを生成するステップと;
    前記転送可能なチケットを前記クライアント送付し、これに応じて前記クライアントが前記転送可能なチケットを前記ウェブサーバ送信するステップとをさらに備える、請求項12記載の方法。
  15. クライアントから送信されウェブサーバによってセキュアサーバに転送されたアクセスの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずに当該クライアントにアクセスを許可するためのセキュアサーバ内で使用する方法であり:
    認証呼び掛けをウェブサーバへ送信するステップを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と乱数と、前記セキュアサーバによって信用された認証サーバの識別情報とを含み、前記ウェブサーバは、前記証呼び掛けを前記認証サーバへ送信
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合するステップと
    前記チケットの少なくとも一部を照合するステップと;
    前記チケットまれる前記認証呼び掛けの一部を照合することに応じて、前記クライアントにアクセスを許可するステップとを備え、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、方法。
  16. セキュアサーバへのアクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該クライアントが当該セキュアサーバへのアクセスを取得するための認証サーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    前記クライアントが、前記セキュアサーバによって送信された認証呼び掛けを受信するステップを備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含み;
    前記セキュアサーバは、前記クライアントから前記チケットを受信すると
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、
    前記チケットまれる前記認証呼び掛けの一部を照合し、
    前記クライアントにアクセスを許可し、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、記憶媒体。
  17. 前記認証サーバは、
    予め認証サーバに含まれているセキュリティ信用証明と前記クライアントから受信されたセキュリティ信用証明を照合する、請求項16記載の記憶媒体。
  18. クライアントからのセキュアサーバへのアクセスの要求に応答して当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバへのアクセスを許可するための当該セキュアサーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    認証呼び掛けを前記クライアントへ送信するステップを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と乱数と、前記セキュアサーバによって信用された認証サーバの識別情報を含み、前記クライアントは、ユーザによる介入を伴わずに、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、そうでなければ、前記認証呼び掛けをそのまま前記認証サーバへ送信し
    前記セキュアサーバが、前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記セキュアサーバが、前記認証サーバのプライベートキーと相応するパブリックキーを使用して前記デジタル署名を照合するステップと;
    前記セキュアサーバが、前記チケットまれる前記認証呼び掛けの一部を照合するステップと
    前記セキュアサーバが、前記クライアントへアクセスを許可するステップとを備え、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、記憶媒体。
  19. クライアントからのコンテントの要求に応答して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバから当該コンテントを取得するウェブサーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    当該セキュアサーバへコンテントの要求を送信するステップと;
    前記クライアントが、前記要求に応答して前記セキュアサーバから認証呼び掛けを受信するステップとを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信頼されている認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記認証サーバへ送信するステップと;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信するステップとを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記チケットを前記セキュアサーバへ送信するステップを備え、前記セキュアサーバは、前記チケットを受信すると、
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、
    前記チケットまれる前記認証呼び掛けの一部を照合し、
    前記コンテントを前記クライアントへ提供し
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する記憶媒体。
  20. 前記クライアントからの要求に応答して転送可能な呼び掛けをクライアント送信するステップをさらに備え、前記認証サーバは、前記クライアントを認証しそのクライアント認証に基づいて転送可能なチケットを生成し;
    前記クライアントが、前記認証サーバから前記転送可能なチケットを受信するステップことをさらに備える、請求項19記載の記憶媒体。
  21. セキュアサーバからのコンテントの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該クライアントが当該セキュアサーバから当該コンテントを取得するための認証サーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信するステップを備え、前記呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含み、前記転送可能なチケットは、前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信されたものであ
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部を含み;
    前記セキュアサーバは、前記チケットを受信すると、
    前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合し、
    前記チケットまれる記呼び掛けの一部を照合し、
    前記コンテントを提供
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する記憶媒体。
  22. 前記認証は、前記転送可能なチケットを照合することを含む請求項21記載の記憶媒体。
  23. 前記方法は、
    以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットを前記クライアントから受信するステップと;
    前記転送可能なチケットを生成するステップと;
    前記転送可能なチケットを前記クライアント送付し、これに応じて前記クライアントが当該転送可能なチケットを前記ウェブサーバ送信するステップとをさらに備える、請求項21記載の記憶媒体。
  24. クライアントから送信されウェブサーバによってセキュアサーバに転送されたコンテントの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバによってホスティングされているコンテントを当該クライアントへ提供するためのセキュアサーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    認証呼び掛けをウェブサーバへ送信するステップを備え、前記認証呼び掛けは、セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信されている認証サーバの識別情報を含み、前記ウェブサーバは、前記証呼び掛けを認証サーバへ送信
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合するステップと
    前記チケットまれる前記認証呼び掛けの一部を照合するステップと;
    求されたコンテントを前記クライアントへ提供するステップとを備え、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、記憶媒体。
  25. クライアントからのアクセス要求に応答して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するためのウェブサーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    当該セキュアサーバコンテントの要求を送信するステップと;
    前記要求に応答して前記セキュアサーバから認証呼び掛けを受信するステップを備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記セキュアサーバによって信用された認証サーバへ送信するステップと;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信するステップとを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記セキュアサーバは、
    前記チケットをセキュアサーバへ送信し、
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、
    前記チケットまれる前記認証呼び掛けの一部を照合し、
    アクセスを許可するステップを備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する記憶媒体。
  26. 前記方法は、
    前記クライアントからの要求に応答して、前記転送可能な呼び掛けをクライアント送信するステップをさらに含み、前記転送可能な呼び掛けは、前記ウェブサーバによって信用された認証サーバの識別情報を含んでおり、前記認証サーバはクライアントを認証し当該クライアント認証に基づいて前記転送可能なチケットを生成し;
    前記認証サーバから前記転送可能なチケットを受信することをさらに含む請求項25記載の記憶媒体。
  27. アクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずにクライアントがセキュアサーバへのアクセスを取得するための認証サーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信するステップを備え、前記転送可能なチケットは、前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信されたものであり、前記呼び掛けは前記セキュアサーバの識別情報と、乱数、前記認証サーバの識別情報とを含
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部を含み;
    前記セキュアサーバが、前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合し、前記チケットまれる記呼び掛けの一部を照合し、アクセスを許可するステップを備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する記憶媒体。
  28. 前記認証は、前記転送可能なチケットを照合することを含む請求項27記載の記憶媒体。
  29. 前記方法は、
    以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットをクライアントから受信するステップと;
    前記転送可能なチケットを生成するステップと;
    前記転送可能なチケットを前記クライアント送付し、これに応じて前記クライアントが前記転送可能なチケットを前記ウェブサーバ送信するステップとをさらに備える、請求項27記載の記憶媒体。
  30. クライアントから送信されウェブサーバによってセキュアサーバに転送されたアクセスの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずに当該クライアントにアクセスを許可するためのセキュアサーバ内で使用する方法を実施するコンピュータによって実行可能な命令群を包合したコンピュータ読み取り可能な記憶媒体であり、この方法は:
    認証呼び掛けをウェブサーバへ送信するステップを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と乱数と、前記セキュアサーバによって信用された認証サーバの識別情報とを含み、前記ウェブサーバは、前記証呼び掛けを前記認証サーバへ送信
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合するステップと
    前記チケットの少なくとも一部を照合するステップと;
    前記チケットまれる前記認証呼び掛けの一部を照合することに応じて、前記クライアントにアクセスを許可するステップとを備え、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、記憶媒体。
  31. セキュアサーバへのアクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該クライアントが当該セキュアサーバへのアクセスを取得するための認証サーバ内で使用する装置であり:
    前記セキュアサーバによって送信された認証呼び掛けを受信する手段を備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成する手段を備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記セキュアサーバは、前記クライアントから前記チケットを受信すると
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、
    前記チケットまれる前記認証呼び掛けの一部を照合し、
    前記クライアントにアクセスを許可し、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、装置。
  32. 予め認証サーバに含まれているセキュリティ信用証明と前記クライアントから受信された前記セキュリティ信用証明を照合する手段をさらに備える、請求項31記載の装置。
  33. クライアントからのセキュアサーバへのアクセスの要求に応答して当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバへのアクセスを許可するための当該セキュアサーバ内で使用する装置であり:
    認証呼び掛けを前記クライアントへ送信する手段を備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と乱数と、前記セキュアサーバによって信用された認証サーバの識別情報を含み、前記クライアントは、ユーザによる介入を伴わずに、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、そうでなければ、前記認証呼び掛けをそのまま前記認証サーバへ送信し
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信する手段を備え、前記チケットは少なくとも前記セキュアサーバによって送付され前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーと相応するパブリックキーを使用して前記デジタル署名を照合する手段を備え;
    記チケットまれる前記認証呼び掛けの一部を照合する手段と
    前記クライアントへアクセスを許可する手段とを備え、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、装置。
  34. クライアントからのコンテントの要求に応答して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバから当該コンテントを取得するウェブサーバ内で使用する装置であり:
    当該セキュアサーバへコンテントの要求を送信する手段と;
    前記要求に応答して前記セキュアサーバから認証呼び掛けを受信する手段とを備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信頼されている認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記認証サーバへ送信する手段と;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信する手段とを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記チケットを前記セキュアサーバへ送信する手段を備え、前記セキュアサーバは、前記チケットを受信すると、前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合、前記チケットまれる前記認証呼び掛けの一部を照合し、対応する要求されたコンテントを前記クライアントへ提供し;
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する装置。
  35. 前記クライアントからの要求に応答して転送可能な呼び掛けをクライアント送信する手段をさらに備え、前記認証サーバは、前記クライアントを認証しそのクライアント認証に基づいて転送可能なチケットを生成し;
    前記認証サーバから前記転送可能なチケットを受信する手段をさらに備える、請求項34記載の装置。
  36. セキュアサーバからのコンテントの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバから当該コンテントを取得するための認証サーバ内で使用する装置であり:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信する手段を備え、前記呼び掛けは前記セキュアサーバの識別情報と、乱数と、認証サーバの識別情報とを含み、前記転送可能なチケットは、前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信されたものであ
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成する手段を備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部を含
    前記チケットを受信すると、前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合、前記チケットまれる記呼び掛けの一部を照合し、セキュアサーバが要求されたコンテントを提供
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する装置。
  37. 前記証では、前記転送可能なチケットを照合する、請求項36記載の装置。
  38. 以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットを前記クライアントから受信する手段と;
    前記転送可能なチケットを生成する手段と;
    前記転送可能なチケットを前記クライアント送付する手段を備え、これに応じて前記クライアントが当該転送可能なチケットを前記ウェブサーバ送信する請求項36記載の装置。
  39. ライアントから送信されウェブサーバによってセキュアサーバに転送されたコンテントの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバによってホスティングされているコンテントを当該クライアントへ提供するためのセキュアサーバ内で使用する装置であり:
    認証呼び掛けをウェブサーバへ送信する手段を備え、前記認証呼び掛けは、セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信されている認証サーバの識別情報を含み、前記ウェブサーバは、前記証呼び掛けを認証サーバへ送信し;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信する手段を備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合する手段を備え;
    前記チケットまれる前記認証呼び掛けの一部を照合し、要求されたコンテントを前記クライアントへ提供する手段を備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、装置。
  40. クライアントからのアクセス要求に応答して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するためのウェブサーバ内で使用する装置であり:
    当該セキュアサーバコンテントの要求を送信する手段と;
    前記要求に応答して前記セキュアサーバから認証呼び掛けを受信する手段を備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記セキュアサーバによって信用された認証サーバへ送信する手段と;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信する手段とを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記チケットをセキュアサーバへ送信する手段を備え、前記セキュアサーバは、前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合、前記チケットまれる前記認証呼び掛けの一部を照合し、アクセスを許可し;
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する装置。
  41. 前記クライアントからの要求に応答して、前記転送可能な呼び掛けをクライアント送信する手段をさらに含み、前記転送可能な呼び掛けは、前記ウェブサーバによって信用された認証サーバの識別情報を含んでおり、前記認証サーバはクライアントを認証し当該クライアント認証に基づいて転送可能なチケットを生成し;
    前記認証サーバから前記転送可能なチケットを受信する手段をさらに含む請求項40記載
    の装置。
  42. アクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更な
    る介入を伴わずにセキュアサーバへのアクセスを取得するための認証サーバ内で使用する装置であり:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信する手段を備え、前記転送可能なチケットは、前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前にウェブサーバ送信されたものであり、前記呼び掛けは前記セキュアサーバの識別情報と、乱数、前記認証サーバの識別情報とを含み;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成する手段を備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部含み
    前記セキュアサーバは、前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合、前記チケットまれる記呼び掛けの一部を照合し、アクセスを許可するとともに;
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用する装置。
  43. 前記認証、前記転送可能なチケットを照合する、請求項42記載の装置。
  44. 以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットを前記クライアントから受信する手段と;
    前記転送可能なチケットを生成する手段と;
    前記転送可能なチケットを前記クライアント送付する手段をさらに備え、これに応じて前記クライアントが前記転送可能なチケットを前記ウェブサーバ送信する請求項43記載の装置。
  45. クライアントから送信されウェブサーバによってセキュアサーバに転送されたアクセスの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずに当該クライアントにアクセスを許可するためのセキュアサーバ内で使用する装置であり:
    認証呼び掛けをウェブサーバへ送信する手段を備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と、乱数と、前記セキュアサーバによって信用された認証サーバの識別情報とを含み、前記ウェブサーバは、前記証呼び掛けを前記認証サーバへ送信し;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信する手段を備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合する手段を備え;
    前記チケットの少なくとも一部分を照合、前記チケットまれる前記認証呼び掛けの一部を照合し、前記クライアントにアクセスを許可する手段を備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、装置。
  46. セキュアサーバへのアクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該クライアントが当該セキュアサーバへのアクセスを取得するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    前記セキュアサーバによって前記クライアント送信された認証呼び掛けを受信するステップを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と、乱数と、認証サーバの識別情報とを含み
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部含み
    前記クライアントが前記チケットを受信すると、前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合、前記チケットまれる前記認証呼び掛けの一部を照合し、前記セキュアサーバがクライアントにアクセスを許可し、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、コンピュータ。
  47. 予め認証サーバに含まれているセキュリティ信用証明と前記クライアントから受信されたセキュリティ信用証明を照合する、請求項46記載のコンピュータ。
  48. クライアントからのセキュアサーバへのアクセスの要求に応答して当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバへのアクセスを許可するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    認証呼び掛けを前記クライアントへ送信するステップを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と、乱数と、前記セキュアサーバによって信用された認証サーバの識別情報とを含み、前記クライアントは、ユーザによる介入を伴わずに、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、そうでなければ、前記認証呼び掛けをそのまま前記認証サーバへ送信し
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーと相応するパブリックキーを使用して前記デジタル署名を照合するステップと;
    前記チケットまれる前記認証呼び掛けの一部を照合し、前記クライアントへアクセスを許可するステップとを備え
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、コンピュータ。
  49. クライアントからのコンテントの要求に応答して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバからコンテントを取得するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    当該セキュアサーバへコンテントの要求を送信するステップと;
    前記要求に応答して前記セキュアサーバから認証呼び掛けを受信するステップとを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信頼されている認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記認証サーバへ送信するステップと;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信するステップとを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記チケットを前記セキュアサーバへ送信するステップを備え、前記セキュアサーバは、前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合、前記チケットまれる前記認証呼び掛けの一部を照合し、要求されたコンテントを提供するステップ備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用するコンピュータ。
  50. 前記クライアントからの要求に応答して転送可能な呼び掛けをクライアント送信するステップをさらに備え、前記認証サーバは、前記クライアントを認証しそのクライアント認証に基づいて転送可能なチケットを生成し;
    前記認証サーバから前記転送可能なチケットを受信するステップをさらに備える、請求項49記載のコンピュータ。
  51. セキュアサーバからのコンテントの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバから当該コンテントを取得するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信するステップを備え、前記転送可能なチケットは認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信されたものであ
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部を含み;
    前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合し、前記チケットまれる記呼び掛けの一部を照合し、前記セキュアサーバが要求されたコンテントを提供するステップを備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用するコンピュータ。
  52. 前記認証は、前記転送可能なチケットを照合することを含む請求項51記載のコンピュータ。
  53. 以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットを前記クライアントから受信するステップと;
    前記転送可能なチケットを生成するステップと;
    前記転送可能なチケットを前記クライアント送付し、これに応じて前記クライアントが当該転送可能なチケットを前記ウェブサーバ送信するステップとをさらに備える、請求項51記載のコンピュータ。
  54. クライアントから送信されウェブサーバによってセキュアサーバに転送されたコンテントの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずに当該セキュアサーバによってホスティングされているコンテントを当該クライアントへ提供するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    認証呼び掛けをウェブサーバへ送信するステップを備え、前記認証呼び掛けは、セキュアサーバの識別情報と、乱数、前記セキュアサーバによって信されている認証サーバの識別情報を含み、前記ウェブサーバは、前記証呼び掛けを認証サーバへ送信
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合し、前記チケットまれる前記認証呼び掛けの一部を照合し、要求されたコンテントを前記クライアントへ提供するステップを備え、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、コンピュータ。
  55. クライアントからのアクセス要求に応答して当該クライアントのユーザによる更なる介
    入を伴わずにセキュアサーバへのアクセスを取得するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    当該セキュアサーバコンテントの要求を送信するステップと;
    前記要求に応答して前記セキュアサーバから認証呼び掛けを受信するステップを備え、前記認証呼び掛けは前記セキュアサーバの識別情報と、乱数認証サーバの識別情報とを含
    前記認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信された転送可能なチケットを、前記セキュアサーバによって信用された認証サーバへ送信するステップと;
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを前記認証サーバから受信するステップとを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記チケットをセキュアサーバへ送信し、前記セキュアサーバは前記認証サーバのプライベートキーに相応するパブリックキーを使用して前記デジタル署名を照合、前記チケットまれる前記認証呼び掛けの一部を照合し、アクセスを許可するステップ備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用するコンピュータ。
  56. 前記プロセスは、
    前記クライアントからの要求に応答して、前記転送可能な呼び掛けをクライアント送信するステップをさらに含み、前記転送可能な呼び掛けは、前記ウェブサーバによって信用された認証サーバの識別情報を含んでおり、前記認証サーバはクライアントを認証して当該クライアント認証に基づいて前記転送可能なチケットを生成し;
    前記認証サーバから前記転送可能なチケットを受信することをさらに含む請求項55記載のコンピュータ。
  57. アクセスの要求を発行したクライアントに対して当該クライアントのユーザによる更なる介入を伴わずにセキュアサーバへのアクセスを取得するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    求に応答して前記セキュアサーバにより発行された呼び掛けに応答して、前記ウェブサーバによって送信された転送可能なチケットを受信するステップを備え、前記転送可能なチケットは認証サーバによる成功したクライアントの認証に基づいて前記認証サーバによって以前に前記ウェブサーバ送信されたものであり、前記呼び掛けは前記セキュアサーバの識別情報と、乱数、前記認証サーバの識別情報とを含
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを生成するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記呼び掛けの一部を含み;
    前記セキュアサーバが、前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合、前記チケットまれる記呼び掛けの一部を照合し、アクセスを許可するステップを備え
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記セキュアサーバから受信した前記呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、クライアントの認証が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記呼び掛けを受信すると、前記チケット保証チケットに基づいてクライアントの認証を行うことで前記チケットを生成し
    前記クライアントとの全ての通信は汎用アプリケーション層のネットワークプロトコルを使用するコンピュータ。
  58. 前記認証は、前記転送可能なチケットを照合することを含む請求項57記載のコンピュータ。
  59. 前記プロセスは、
    以前に成功した認証に基づいて第2の認証サーバから前記クライアントへ送信されたチケット保証チケットをクライアントから受信するステップと;
    前記転送可能なチケットを生成するステップと;
    前記転送可能なチケットを前記クライアント送付し、これに応じて前記クライアントが前記転送可能なチケットを前記ウェブサーバ送信するステップとをさらに備える、請求項57記載のコンピュータ。
  60. クライアントから送信されウェブサーバによってセキュアサーバに転送されたアクセスの要求に応答して、当該クライアントのユーザによる更なる介入を伴わずにクライアントにアクセスを許可するプロセスを実行するようプログラムされた少なくとも1台のコンピュータであり、このプロセスは:
    認証呼び掛けをウェブサーバへ送信するステップを備え、前記認証呼び掛けは、前記セキュアサーバの識別情報と乱数と、前記セキュアサーバによって信用された認証サーバの識別情報とを含み、前記ウェブサーバは、前記証呼び掛けを前記認証サーバへ送信
    前記認証サーバのプライベートキーを使用して割り当てられたデジタル署名を有するチケットを受信するステップを備え、前記チケットは少なくとも前記セキュアサーバによって送付される前記認証呼び掛けの一部を含
    前記認証サーバのプライベートキーに相応するパブリックキーを使用してデジタル署名を照合するステップと
    前記チケットの少なくとも一部分を照合し、前記チケットまれる前記認証呼び掛けの一部を照合し、前記クライアントにアクセスを許可するステップとを備え、
    前記クライアントは、前記認証サーバによって生成されたチケット保証チケットを保持している場合には、前記認証呼び掛けに前記チケット保証チケットを付加して前記認証サーバへ送信し、
    前記認証サーバは、
    前記クライアントから前記チケット保証チケットが付加されていない前記認証呼び掛けを受信すると、前記クライアントのユーザに属するセキュリティ信用証明の送信を要求するとともに、前記セキュリティ信用証明の照合が成功すると前記チケットとともに前記チケット保証チケットを生成し、
    前記クライアントから前記チケット保証チケットが付加されている前記認証呼び掛けを受信すると、前記チケット保証チケットを照合することで前記チケットを生成する、コンピュータ。
JP2003565101A 2002-01-29 2003-01-29 パブリックキー暗号法を用いたインターネット上でのシングルサインオン Expired - Lifetime JP4782986B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/059,460 US7246230B2 (en) 2002-01-29 2002-01-29 Single sign-on over the internet using public-key cryptography
US10/059,460 2002-01-29
PCT/US2003/002783 WO2003065640A1 (en) 2002-01-29 2003-01-29 Single sign-on over the internet using public-key cryptography

Publications (2)

Publication Number Publication Date
JP2005516533A JP2005516533A (ja) 2005-06-02
JP4782986B2 true JP4782986B2 (ja) 2011-09-28

Family

ID=27658256

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003565101A Expired - Lifetime JP4782986B2 (ja) 2002-01-29 2003-01-29 パブリックキー暗号法を用いたインターネット上でのシングルサインオン

Country Status (4)

Country Link
US (1) US7246230B2 (ja)
EP (1) EP1472813B1 (ja)
JP (1) JP4782986B2 (ja)
WO (1) WO2003065640A1 (ja)

Families Citing this family (155)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8375127B1 (en) * 1999-03-31 2013-02-12 International Business Machines Corporation Method and system for using virtual URLs for load balancing
US7152450B2 (en) * 2000-08-17 2006-12-26 Industrial Origami, Llc Method for forming sheet material with bend controlling displacements
US9613483B2 (en) 2000-12-27 2017-04-04 Proxense, Llc Personal digital key and receiver/decoder circuit system and method
US6912582B2 (en) * 2001-03-30 2005-06-28 Microsoft Corporation Service routing and web integration in a distributed multi-site user authentication system
US7698381B2 (en) * 2001-06-20 2010-04-13 Microsoft Corporation Methods and systems for controlling the scope of delegation of authentication credentials
US7412720B1 (en) 2001-11-02 2008-08-12 Bea Systems, Inc. Delegated authentication using a generic application-layer network protocol
JP2003233590A (ja) * 2002-02-08 2003-08-22 Hitachi Ltd 移動追従型サービス提供方法、システム及びプログラム
US7584262B1 (en) 2002-02-11 2009-09-01 Extreme Networks Method of and system for allocating resources to resource requests based on application of persistence policies
US7814204B1 (en) * 2002-02-11 2010-10-12 Extreme Networks, Inc. Method of and system for analyzing the content of resource requests
US7191467B1 (en) * 2002-03-15 2007-03-13 Microsoft Corporation Method and system of integrating third party authentication into internet browser code
US7353383B2 (en) * 2002-03-18 2008-04-01 Jpmorgan Chase Bank, N.A. System and method for single session sign-on with cryptography
US20030188193A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Single sign on for kerberos authentication
US7234158B1 (en) * 2002-04-01 2007-06-19 Microsoft Corporation Separate client state object and user interface domains
US7500262B1 (en) * 2002-04-29 2009-03-03 Aol Llc Implementing single sign-on across a heterogeneous collection of client/server and web-based applications
US7562222B2 (en) * 2002-05-10 2009-07-14 Rsa Security Inc. System and method for authenticating entities to users
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7356711B1 (en) 2002-05-30 2008-04-08 Microsoft Corporation Secure registration
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
US8393001B1 (en) * 2002-07-26 2013-03-05 Mcafee, Inc. Secure signature server system and associated method
GB0226697D0 (en) * 2002-11-15 2002-12-24 Hewlett Packard Co Processing of data
US7685631B1 (en) 2003-02-05 2010-03-23 Microsoft Corporation Authentication of a server by a client to prevent fraudulent user interfaces
US7644275B2 (en) 2003-04-15 2010-01-05 Microsoft Corporation Pass-thru for client authentication
US7360092B1 (en) 2003-04-28 2008-04-15 Microsoft Corporation Marking and identifying web-based authentication forms
US7290278B2 (en) * 2003-10-02 2007-10-30 Aol Llc, A Delaware Limited Liability Company Identity based service system
US7536543B1 (en) * 2003-10-09 2009-05-19 Nortel Networks Limited System and method for authentication and authorization using a centralized authority
US20050086469A1 (en) * 2003-10-17 2005-04-21 Microsoft Corporation Scalable, fault tolerant notification method
US7774499B1 (en) * 2003-10-30 2010-08-10 United Online, Inc. Accelerating network communications
EP1697818B1 (en) * 2003-12-23 2018-05-30 Wells Fargo Bank, N.A. Authentication system for networked computer applications
US20050160264A1 (en) * 2004-01-21 2005-07-21 Reid Kuhn Trusted authentication credential exchange methods and apparatuses
US9020854B2 (en) 2004-03-08 2015-04-28 Proxense, Llc Linked account system using personal digital key (PDK-LAS)
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
JP4509611B2 (ja) * 2004-03-18 2010-07-21 東芝ソリューション株式会社 電子署名保証システム、プログラム及び装置
US7379551B2 (en) * 2004-04-02 2008-05-27 Microsoft Corporation Method and system for recovering password protected private data via a communication network without exposing the private data
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
WO2005114947A1 (en) * 2004-05-20 2005-12-01 Qinetiq Limited Firewall system
JP4748774B2 (ja) * 2004-06-02 2011-08-17 キヤノン株式会社 暗号化通信方式及びシステム
US8499153B2 (en) 2004-06-24 2013-07-30 Nokia Corporation System and method of authenticating a user to a service provider
US8583921B1 (en) * 2004-06-30 2013-11-12 Lingyan Shu Method and system for identity authentication
JP4683260B2 (ja) * 2004-07-14 2011-05-18 ソニー株式会社 情報処理システム、情報処理装置、サーバ装置、および情報処理方法
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
US8402141B2 (en) * 2004-09-28 2013-03-19 International Business Machines Corporation Gracefully reestablishing an expired browser session
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
RU2007127725A (ru) * 2004-12-20 2009-01-27 ПРОКСЕНС, ЭлЭлСи (US) Аутентификация по биометрическому ключу персональных данных (pdk)
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US8037514B2 (en) * 2005-03-01 2011-10-11 Cisco Technology, Inc. Method and apparatus for securely disseminating security server contact information in a network
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US8086853B2 (en) * 2005-03-18 2011-12-27 Microsoft Corporation Automatic centralized authentication challenge response generation
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
US8745485B2 (en) * 2005-08-18 2014-06-03 Oracle International Corporation Extensible remote tag markup system and method
CA2527550A1 (en) 2005-11-24 2007-05-24 Oz Communications Method for securely associating data with https sessions
US11206664B2 (en) 2006-01-06 2021-12-21 Proxense, Llc Wireless network synchronization of cells and client devices on a network
US9113464B2 (en) 2006-01-06 2015-08-18 Proxense, Llc Dynamic cell size variation via wireless link parameter adjustment
US7793343B2 (en) * 2006-03-03 2010-09-07 Oracle America, Inc. Method and system for identity management integration
US8151323B2 (en) 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8412949B2 (en) 2006-05-05 2013-04-02 Proxense, Llc Personal digital key initialization and registration for secure transactions
US20080005359A1 (en) * 2006-06-30 2008-01-03 Khosravi Hormuzd M Method and apparatus for OS independent platform based network access control
US20080046579A1 (en) * 2006-08-18 2008-02-21 Denis Brent Walton Secure email recipient
US8104084B2 (en) * 2006-11-07 2012-01-24 Ricoh Company, Ltd. Authorizing a user to a device
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US9269221B2 (en) 2006-11-13 2016-02-23 John J. Gobbi Configuration of interfaces for a location detection system and application
ATE501583T1 (de) 2007-01-04 2011-03-15 Ericsson Telefon Ab L M Verfahren und vorrichtung zur bestimmung einer authentifikationsprozedur
US7647404B2 (en) * 2007-01-31 2010-01-12 Edge Technologies, Inc. Method of authentication processing during a single sign on transaction via a content transform proxy service
US8572716B2 (en) * 2007-04-23 2013-10-29 Microsoft Corporation Integrating operating systems with content offered by web based entities
US8156228B1 (en) * 2007-09-28 2012-04-10 Symantec Corporation Method and apparatus to enable confidential browser referrals
JP5086024B2 (ja) * 2007-10-12 2012-11-28 株式会社野村総合研究所 ユーザ認証システム、装置、及び方法
US7925694B2 (en) 2007-10-19 2011-04-12 Citrix Systems, Inc. Systems and methods for managing cookies via HTTP content layer
WO2009062194A1 (en) 2007-11-09 2009-05-14 Proxense, Llc Proximity-sensor supporting multiple application services
US8347374B2 (en) * 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
US8171528B1 (en) 2007-12-06 2012-05-01 Proxense, Llc Hybrid device having a personal digital key and receiver-decoder circuit and methods of use
US8397077B2 (en) 2007-12-07 2013-03-12 Pistolstar, Inc. Client side authentication redirection
WO2009079666A1 (en) 2007-12-19 2009-06-25 Proxense, Llc Security system and method for controlling access to computing resources
WO2009094657A1 (en) 2008-01-26 2009-07-30 Citrix Systems, Inc. Systems and methods for fine grain policy driven cookie proxying
WO2009102979A2 (en) 2008-02-14 2009-08-20 Proxense, Llc Proximity-based healthcare management system with automatic access to private information
US8555367B2 (en) * 2008-03-12 2013-10-08 Yahoo! Inc. Method and system for securely streaming content
WO2009126732A2 (en) 2008-04-08 2009-10-15 Proxense, Llc Automated service-based order processing
US20090271847A1 (en) * 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
US8438382B2 (en) 2008-08-06 2013-05-07 Symantec Corporation Credential management system and method
US8145897B2 (en) 2008-09-29 2012-03-27 Intel Corporation Direct anonymous attestation scheme with outsourcing capability
US8095972B1 (en) 2008-10-06 2012-01-10 Southern Company Services, Inc. Secure authentication for web-based applications
US20100095117A1 (en) * 2008-10-15 2010-04-15 Shebanow Michael C Secure and positive authentication across a network
US8386773B2 (en) 2008-12-09 2013-02-26 Research In Motion Limited Verification methods and apparatus for use in providing application services to mobile communication devices
EP2197168B1 (en) * 2008-12-09 2012-08-29 Research In Motion Limited Verification method and apparatus for use in providing application services to mobile communication devices
US9059979B2 (en) * 2009-02-27 2015-06-16 Blackberry Limited Cookie verification methods and apparatus for use in providing application services to communication devices
US8935773B2 (en) * 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US8763104B2 (en) 2009-08-27 2014-06-24 International Business Machines Corporation Establishing and maintaining an improved Single Sign-on (SSO) facility
US9418205B2 (en) 2010-03-15 2016-08-16 Proxense, Llc Proximity-based system for automatic application or data access and item tracking
US9015489B2 (en) 2010-04-07 2015-04-21 Microsoft Technology Licensing, Llc Securing passwords against dictionary attacks
JP5581863B2 (ja) * 2010-07-12 2014-09-03 株式会社リコー 画像形成装置、認証システム。画像形成装置の制御方法及び制御プログラム
US9322974B1 (en) 2010-07-15 2016-04-26 Proxense, Llc. Proximity-based system for object tracking
US9569631B2 (en) * 2011-01-21 2017-02-14 Lexmark International, Inc. Method and apparatus for configuring an electronics device
US9265450B1 (en) 2011-02-21 2016-02-23 Proxense, Llc Proximity-based system for object tracking and automatic application initialization
EP2530618B1 (en) 2011-06-01 2016-06-08 DSwiss AG Sign-On system with distributed access
US20130007867A1 (en) * 2011-06-30 2013-01-03 Cisco Technology, Inc. Network Identity for Software-as-a-Service Authentication
US8838982B2 (en) * 2011-09-21 2014-09-16 Visa International Service Association Systems and methods to secure user identification
US8595505B2 (en) 2011-09-28 2013-11-26 Intel Corporation Apparatus and method for direct anonymous attestation from bilinear maps
US8594628B1 (en) * 2011-09-28 2013-11-26 Juniper Networks, Inc. Credential generation for automatic authentication on wireless access network
US9148776B1 (en) 2011-09-28 2015-09-29 Pulse Secure, Llc Network address preservation in mobile networks
US8949938B2 (en) 2011-10-27 2015-02-03 Cisco Technology, Inc. Mechanisms to use network session identifiers for software-as-a-service authentication
US8997193B2 (en) * 2012-05-14 2015-03-31 Sap Se Single sign-on for disparate servers
JP5968077B2 (ja) * 2012-05-22 2016-08-10 キヤノン株式会社 情報処理装置、その制御方法、プログラム、及び画像処理装置
US9152781B2 (en) 2012-08-09 2015-10-06 Cisco Technology, Inc. Secure mobile client with assertions for access to service provider applications
US9690920B2 (en) * 2012-08-30 2017-06-27 International Business Machines Corporation Secure configuration catalog of trusted identity providers
US8997198B1 (en) * 2012-12-31 2015-03-31 Emc Corporation Techniques for securing a centralized metadata distributed filesystem
US9298896B2 (en) * 2013-01-02 2016-03-29 International Business Machines Corporation Safe auto-login links in notification emails
US9948648B1 (en) * 2013-03-14 2018-04-17 Dell Software Inc. System and method for enforcing access control to publicly-accessible web applications
US10430894B2 (en) 2013-03-21 2019-10-01 Khoros, Llc Gamification for online social communities
WO2014183106A2 (en) 2013-05-10 2014-11-13 Proxense, Llc Secure element as a digital pocket
FR3006536A1 (fr) * 2013-05-28 2014-12-05 France Telecom Technique de distribution d'un contenu dans un reseau de distribution de contenus
JP6182080B2 (ja) * 2014-01-20 2017-08-16 日本電信電話株式会社 認証システム、プログラム
US9887980B1 (en) 2014-07-30 2018-02-06 Sprint Communications Company L.P. Global time based authentication of client devices
CN105391552B (zh) * 2014-08-28 2019-09-20 腾讯科技(深圳)有限公司 一种权限管理方法、装置,及系统
US10904234B2 (en) 2014-11-07 2021-01-26 Privakey, Inc. Systems and methods of device based customer authentication and authorization
US9813400B2 (en) * 2014-11-07 2017-11-07 Probaris Technologies, Inc. Computer-implemented systems and methods of device based, internet-centric, authentication
US10812464B2 (en) 2015-06-15 2020-10-20 Airwatch Llc Single sign-on for managed mobile devices
US10944738B2 (en) * 2015-06-15 2021-03-09 Airwatch, Llc. Single sign-on for managed mobile devices using kerberos
US11057364B2 (en) 2015-06-15 2021-07-06 Airwatch Llc Single sign-on for managed mobile devices
US10171447B2 (en) 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
JP6727292B2 (ja) * 2015-08-24 2020-07-22 華為技術有限公司Huawei Technologies Co.,Ltd. セキュリティ認証方法、構成方法、および関連デバイス
CA3139632A1 (en) 2015-10-27 2017-05-04 Dexcom, Inc. Sharing continuous glucose data and reports
EP3376421A1 (en) 2017-03-17 2018-09-19 Gemalto Sa Method for authenticating a user and corresponding device, first and second servers and system
US10902462B2 (en) 2017-04-28 2021-01-26 Khoros, Llc System and method of providing a platform for managing data content campaign on social networks
EP3435265A1 (de) * 2017-07-25 2019-01-30 Skidata Ag Verfahren zur sicheren authentifizierung bei mit einem server verbindbaren geräten, insbesondere bei zugangskontrollvorrichtungen oder bezahl- bzw. verkaufsautomaten eines zugangskontrollsystems
US10505733B2 (en) * 2017-09-25 2019-12-10 Citrix Systems, Inc. Generating and managing a composite identity token for multi-service use
US10999278B2 (en) 2018-10-11 2021-05-04 Spredfast, Inc. Proxied multi-factor authentication using credential and authentication management in scalable data networks
US11050704B2 (en) 2017-10-12 2021-06-29 Spredfast, Inc. Computerized tools to enhance speed and propagation of content in electronic messages among a system of networked computing devices
US10785222B2 (en) 2018-10-11 2020-09-22 Spredfast, Inc. Credential and authentication management in scalable data networks
US10346449B2 (en) 2017-10-12 2019-07-09 Spredfast, Inc. Predicting performance of content and electronic messages among a system of networked computing devices
US11470161B2 (en) * 2018-10-11 2022-10-11 Spredfast, Inc. Native activity tracking using credential and authentication management in scalable data networks
US11570128B2 (en) 2017-10-12 2023-01-31 Spredfast, Inc. Optimizing effectiveness of content in electronic messages among a system of networked computing device
US10601937B2 (en) 2017-11-22 2020-03-24 Spredfast, Inc. Responsive action prediction based on electronic messages among a system of networked computing devices
US10594773B2 (en) 2018-01-22 2020-03-17 Spredfast, Inc. Temporal optimization of data operations using distributed search and server management
US11061900B2 (en) 2018-01-22 2021-07-13 Spredfast, Inc. Temporal optimization of data operations using distributed search and server management
US10855657B2 (en) 2018-10-11 2020-12-01 Spredfast, Inc. Multiplexed data exchange portal interface in scalable data networks
CN110266640B (zh) * 2019-05-13 2021-11-05 平安科技(深圳)有限公司 单点登录防篡改方法、装置、计算机设备及存储介质
US10931540B2 (en) 2019-05-15 2021-02-23 Khoros, Llc Continuous data sensing of functional states of networked computing devices to determine efficiency metrics for servicing electronic messages asynchronously
KR102210840B1 (ko) * 2019-06-26 2021-02-02 넷마블 주식회사 글로벌 인증 계정 시스템
US11115401B2 (en) 2019-07-08 2021-09-07 Bank Of America Corporation Administration portal for simulated single sign-on
US11089005B2 (en) 2019-07-08 2021-08-10 Bank Of America Corporation Systems and methods for simulated single sign-on
US11323432B2 (en) 2019-07-08 2022-05-03 Bank Of America Corporation Automatic login tool for simulated single sign-on
GB2586785A (en) * 2019-08-30 2021-03-10 Mobilise Consulting Ltd Authentication
US11128589B1 (en) 2020-09-18 2021-09-21 Khoros, Llc Gesture-based community moderation
US11438289B2 (en) 2020-09-18 2022-09-06 Khoros, Llc Gesture-based community moderation
US12120078B2 (en) 2020-09-18 2024-10-15 Khoros, Llc Automated disposition of a community of electronic messages under moderation using a gesture-based computerized tool
US12197875B2 (en) 2021-07-31 2025-01-14 Khoros, Llc Automated predictive response computing platform implementing adaptive data flow sets to exchange data via an omnichannel electronic communication channel independent of data source
US11924375B2 (en) 2021-10-27 2024-03-05 Khoros, Llc Automated response engine and flow configured to exchange responsive communication data via an omnichannel electronic communication channel independent of data source
US12158903B2 (en) 2020-11-06 2024-12-03 Khoros, Llc Automated response engine to implement internal communication interaction data via a secured omnichannel electronic data channel and external communication interaction data
US11627100B1 (en) 2021-10-27 2023-04-11 Khoros, Llc Automated response engine implementing a universal data space based on communication interactions via an omnichannel electronic data channel
US11438282B2 (en) 2020-11-06 2022-09-06 Khoros, Llc Synchronicity of electronic messages via a transferred secure messaging channel among a system of various networked computing devices
US11714629B2 (en) 2020-11-19 2023-08-01 Khoros, Llc Software dependency management
US20230089689A1 (en) * 2021-09-20 2023-03-23 Apple Inc. User interfaces for digital identification
US12095819B2 (en) * 2022-01-12 2024-09-17 Dell Products L.P. Security broker for edge computing environment
US12261844B2 (en) 2023-03-06 2025-03-25 Spredfast, Inc. Multiplexed data exchange portal interface in scalable data networks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000222360A (ja) * 1999-02-01 2000-08-11 Matsushita Electric Ind Co Ltd 認証方法、認証システム及び認証処理プログラム記録媒体
WO2000069110A1 (en) * 1999-05-11 2000-11-16 Sun Microsystems, Inc. Method and apparatus for authenticating users
WO2001077775A2 (en) * 2000-04-09 2001-10-18 Vidius Inc. Network content access control
JP2001290773A (ja) * 2000-04-07 2001-10-19 Hitachi Ltd ネットワーク型サービス提供システム

Family Cites Families (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5657388A (en) 1993-05-25 1997-08-12 Security Dynamics Technologies, Inc. Method and apparatus for utilizing a token for resource access
US5241594A (en) 1992-06-02 1993-08-31 Hughes Aircraft Company One-time logon means and methods for distributed computing systems
US5444850A (en) 1993-08-04 1995-08-22 Trend Micro Devices Incorporated Method and apparatus for controlling network and workstation access prior to workstation boot
US5493614A (en) 1994-05-03 1996-02-20 Chaum; David Private signature and proof systems
DE69610168D1 (de) 1995-06-30 2000-10-12 Ibm Verfahren und Vorrichtung zur einmaligen Anmeldung in einer Umgebung für verteilte Berechnungen
US5907837A (en) 1995-07-17 1999-05-25 Microsoft Corporation Information retrieval system in an on-line network including separate content and layout of published titles
US5768503A (en) 1995-09-25 1998-06-16 International Business Machines Corporation Middleware program with enhanced security
US6161126A (en) 1995-12-13 2000-12-12 Immersion Corporation Implementing force feedback over the World Wide Web and other computer networks
US6014137A (en) 1996-02-27 2000-01-11 Multimedia Adventures Electronic kiosk authoring system
US5894554A (en) 1996-04-23 1999-04-13 Infospinner, Inc. System for managing dynamic web page generation requests by intercepting request at web server and routing to page server thereby releasing web server to process other requests
US6014638A (en) 1996-05-29 2000-01-11 America Online, Inc. System for customizing computer displays in accordance with user preferences
US5819271A (en) 1996-06-04 1998-10-06 Multex Systems, Inc. Corporate information communication and delivery system and method including entitlable hypertext links
US5684950A (en) 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
US5754755A (en) 1996-10-10 1998-05-19 Microsoft Corporation Method and system for generating test scripts
US5781724A (en) 1996-11-01 1998-07-14 Novell, Inc. Method and system for integrating additional functionality into a login system
US6085168A (en) 1997-02-06 2000-07-04 Fujitsu Limited Electronic commerce settlement system
US6128663A (en) 1997-02-11 2000-10-03 Invention Depot, Inc. Method and apparatus for customization of information content provided to a requestor over a network using demographic information yet the user remains anonymous to the server
US6026433A (en) 1997-03-17 2000-02-15 Silicon Graphics, Inc. Method of creating and editing a web site in a client-server environment using customizable web site templates
US6275941B1 (en) 1997-03-28 2001-08-14 Hiatchi, Ltd. Security management method for network system
US5944824A (en) 1997-04-30 1999-08-31 Mci Communications Corporation System and method for single sign-on to a plurality of network elements
US6085030A (en) 1997-05-02 2000-07-04 Novell, Inc. Network component server
US6112192A (en) 1997-05-09 2000-08-29 International Business Machines Corp. Method for providing individually customized content in a network
DE69834406T2 (de) 1997-05-13 2006-12-07 Passlogix, Inc. Verallgemeinertes benutzeridentifizierungs-und-authentisierungssystem
US6134658A (en) 1997-06-09 2000-10-17 Microsoft Corporation Multi-server location-independent authentication certificate management system
US6158007A (en) 1997-09-17 2000-12-05 Jahanshah Moreh Security system for event based middleware
US5974445A (en) 1997-10-28 1999-10-26 International Business Machines Corporation Web browser which checks availability of hot links
US6185316B1 (en) 1997-11-12 2001-02-06 Unisys Corporation Self-authentication apparatus and method
US6065120A (en) 1997-12-09 2000-05-16 Phone.Com, Inc. Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices
US5935251A (en) 1997-12-22 1999-08-10 Hewlett Packard Company Method and apparatus expedited log-on to an application program
US6532451B1 (en) 1998-03-23 2003-03-11 Novell, Inc. Nested strong loader apparatus and method
US6317838B1 (en) 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US6275944B1 (en) 1998-04-30 2001-08-14 International Business Machines Corporation Method and system for single sign on using configuration directives with respect to target types
US6240512B1 (en) 1998-04-30 2001-05-29 International Business Machines Corporation Single sign-on (SSO) mechanism having master key synchronization
US6243816B1 (en) 1998-04-30 2001-06-05 International Business Machines Corporation Single sign-on (SSO) mechanism personal key manager
US6178511B1 (en) 1998-04-30 2001-01-23 International Business Machines Corporation Coordinating user target logons in a single sign-on (SSO) environment
US6185614B1 (en) 1998-05-26 2001-02-06 International Business Machines Corp. Method and system for collecting user profile information over the world-wide web in the presence of dynamic content using document comparators
US6460141B1 (en) 1998-10-28 2002-10-01 Rsa Security Inc. Security and access management system for web-enabled and non-web-enabled applications and content on a computer network
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US6134548A (en) 1998-11-19 2000-10-17 Ac Properties B.V. System, method and article of manufacture for advanced mobile bargain shopping
WO2000029971A2 (en) 1998-11-13 2000-05-25 The Chase Manhattan Bank A system and method for managing information retrievals from distributed archives
US6826692B1 (en) 1998-12-23 2004-11-30 Computer Associates Think, Inc. Method and apparatus to permit automated server determination for foreign system login
US6651168B1 (en) 1999-01-29 2003-11-18 International Business Machines, Corp. Authentication framework for multiple authentication processes and mechanisms
US6256737B1 (en) 1999-03-09 2001-07-03 Bionetrix Systems Corporation System, method and computer program product for allowing access to enterprise resources using biometric devices
US6898577B1 (en) 1999-03-18 2005-05-24 Oracle International Corporation Methods and systems for single sign-on authentication in a multi-vendor e-commerce environment and directory-authenticated bank drafts
US6629246B1 (en) 1999-04-28 2003-09-30 Sun Microsystems, Inc. Single sign-on for a network system that includes multiple separately-controlled restricted access resources
US6539382B1 (en) 1999-04-29 2003-03-25 International Business Machines Corporation Intelligent pre-caching algorithm for a directory server based on user data access history
US6405219B2 (en) 1999-06-22 2002-06-11 F5 Networks, Inc. Method and system for automatically updating the version of a set of files stored on content servers
US6374300B2 (en) 1999-07-15 2002-04-16 F5 Networks, Inc. Method and system for storing load balancing information with an HTTP cookie
US6704873B1 (en) 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US6892307B1 (en) 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US6668322B1 (en) 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6609198B1 (en) 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6691232B1 (en) 1999-08-05 2004-02-10 Sun Microsystems, Inc. Security architecture with environment sensitive credential sufficiency evaluation
US6735310B1 (en) 1999-09-17 2004-05-11 International Business Machines Corporation Technique of password encryption and decryption for user authentication in a federated content management system
US6826696B1 (en) * 1999-10-12 2004-11-30 Webmd, Inc. System and method for enabling single sign-on for networked applications
US6556995B1 (en) 1999-11-18 2003-04-29 International Business Machines Corporation Method to provide global sign-on for ODBC-based database applications
US6954799B2 (en) 2000-02-01 2005-10-11 Charles Schwab & Co., Inc. Method and apparatus for integrating distributed shared services system
US6812938B2 (en) 2000-03-29 2004-11-02 Citicorp Development Center, Inc. Method and system for providing status indication and control to a computer network user
US6327628B1 (en) 2000-05-19 2001-12-04 Epicentric, Inc. Portal server that provides a customizable user Interface for access to computer networks
US6801946B1 (en) 2000-06-15 2004-10-05 International Business Machines Corporation Open architecture global sign-on apparatus and method therefor
US6836845B1 (en) 2000-06-30 2004-12-28 Palm Source, Inc. Method and apparatus for generating queries for secure authentication and authorization of transactions
JP2002032340A (ja) 2000-07-14 2002-01-31 Nec Corp Webサイトに対するシングルサインオンシステム及び方法並びに記録媒体
US6807577B1 (en) 2000-09-14 2004-10-19 International Business Machines Corporation System and method for network log-on by associating legacy profiles with user certificates
US6826698B1 (en) 2000-09-15 2004-11-30 Networks Associates Technology, Inc. System, method and computer program product for rule based network security policies
JP2002183633A (ja) * 2000-12-13 2002-06-28 Sony Corp 情報記録媒体、情報処理装置および情報処理方法、プログラム記録媒体、並びに情報処理システム
US6961776B1 (en) 2000-12-22 2005-11-01 Nortel Networks Limited Architecture for multiple channel access to applications
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US6971005B1 (en) 2001-02-20 2005-11-29 At&T Corp. Mobile host using a virtual single account client and server system for network access and management
US6954736B2 (en) 2001-03-23 2005-10-11 Restaurant Services, Inc. System, method and computer program product for order confirmation in a supply chain management framework
US6954792B2 (en) 2001-06-29 2005-10-11 Sun Microsystems, Inc. Pluggable authentication and access control for a messaging system
US7017183B1 (en) 2001-06-29 2006-03-21 Plumtree Software, Inc. System and method for administering security in a corporate portal
US7580972B2 (en) * 2001-12-12 2009-08-25 Valve Corporation Method and system for controlling bandwidth on client and server
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000222360A (ja) * 1999-02-01 2000-08-11 Matsushita Electric Ind Co Ltd 認証方法、認証システム及び認証処理プログラム記録媒体
WO2000069110A1 (en) * 1999-05-11 2000-11-16 Sun Microsystems, Inc. Method and apparatus for authenticating users
JP2001290773A (ja) * 2000-04-07 2001-10-19 Hitachi Ltd ネットワーク型サービス提供システム
WO2001077775A2 (en) * 2000-04-09 2001-10-18 Vidius Inc. Network content access control

Also Published As

Publication number Publication date
EP1472813A4 (en) 2009-04-29
EP1472813B1 (en) 2019-08-07
US20050074126A1 (en) 2005-04-07
US7246230B2 (en) 2007-07-17
WO2003065640A1 (en) 2003-08-07
EP1472813A1 (en) 2004-11-03
JP2005516533A (ja) 2005-06-02

Similar Documents

Publication Publication Date Title
JP4782986B2 (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
US9800586B2 (en) Secure identity federation for non-federated systems
US8117649B2 (en) Distributed hierarchical identity management
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
US7412720B1 (en) Delegated authentication using a generic application-layer network protocol
US8418234B2 (en) Authentication of a principal in a federation
US9762568B2 (en) Consolidated authentication
US7587491B2 (en) Method and system for enroll-thru operations and reprioritization operations in a federated environment
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
US20090094383A1 (en) User Enrollment in an E-Community
US20050120214A1 (en) Systems and methods for enhancing security of communication over a public network
EP2078405A1 (en) Secure access
JP4932154B2 (ja) アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム
US6611916B1 (en) Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment
CA2458257A1 (en) Distributed hierarchical identity management
JP2004524591A (ja) オンラインアプリケーション用統合型認証サービスを提供するシステム、方法およびコンピュータプログラム製品

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051109

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20070125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090520

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090819

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090826

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090914

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090924

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20091015

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20091022

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101206

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20101206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20101206

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20110531

TRDD Decision of grant or rejection written
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110531

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110705

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110708

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140715

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4782986

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term