DE60308692T2 - Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung - Google Patents

Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung Download PDF

Info

Publication number
DE60308692T2
DE60308692T2 DE60308692T DE60308692T DE60308692T2 DE 60308692 T2 DE60308692 T2 DE 60308692T2 DE 60308692 T DE60308692 T DE 60308692T DE 60308692 T DE60308692 T DE 60308692T DE 60308692 T2 DE60308692 T2 DE 60308692T2
Authority
DE
Germany
Prior art keywords
user
server
authentication
service provider
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60308692T
Other languages
English (en)
Other versions
DE60308692D1 (de
Inventor
Maria Heather Austin HINTON
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE60308692D1 publication Critical patent/DE60308692D1/de
Application granted granted Critical
Publication of DE60308692T2 publication Critical patent/DE60308692T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Marketing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Lock And Its Accessories (AREA)
  • Collating Specific Patterns (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein verbessertes Datenverarbeitungssystem und insbesondere ein Verfahren und eine Vorrichtung zur Datenübertragung zwischen mehreren Computern. Ganz besonders stellt die vorliegende Erfindung ein Verfahren und eine Vorrichtung zur Authentifizierung zwischen Computernbereit.
  • 2. Beschreibung der zugrunde liegenden Technik
  • Informationstechnologiesysteme (IT-Systeme) und das Internet haben zum Wachstum der heutigen Weltwirtschaft beigetragen. IT-Systeme weisen zwar bedeutende Vorteile auf, können aber durch nicht autorisierte Dritte angegriffen werden. Die mangelhafte Sicherheit in modernen IT-Systemen hat sich tatsächlich zu einer Bedrohung der Integrität globaler Computernetze entwickelt. Um diesem Problem zu begegnen, bieten IT-Systeme eine Reihe von bekannten Diensten: Datenauthentifizierung, Datenvertraulichkeit, Entitätenauthentifizierung, Autorisierung usw.
  • Die Authentifizierung und die Autorisierung können auf viele Arten erfolgen und Unternehmen können möglicherweise verlangen, dass autorisierten Benutzern von verschiedenen Standorten aus auf benutzerfreundliche Weise der sichere Zugriff auf geschützte Ressourcen gewährt wird. Obwohl durch die Bereitstellung sicherer Authentifizierungsmechanismen die Gefahren des unbefugten Zugriffs auf geschützte Ressourcen verringert werden, können dieselben Authentifizierungsmechanismen die Interaktion der Benutzer mit den geschützten Ressourcen behindern. Benutzer möchten im Allgemeinen gern von einer Anwendung zu einer anderen Anwendung springen können, ohne auf die Authentifizierungsschranken Rücksicht nehmen zu müssen, die das jeweilige diese Anwendungen unterstützende System schützen.
  • Da Benutzer immer anspruchsvoller werden, erwarten sie von den Computersystemen, dass diese ihre Aktionen koordinieren und so den Aufwand für den Benutzer verringern. Derartige Erwartungen treffen auch auf die Authentifizierungsprozesse zu. Ein Benutzer könnte möglicherweise davon ausgehen, dass, nachdem er oder sie einmal durch ein Computersystem authentifiziert worden ist, diese Authentifizierung während der gesamten Arbeitssitzung des Benutzers oder zumindest für eine bestimmte Zeitspanne gültig bleibt, ungeachtet der Grenzen der verschiedenen Computerarchitekturen, die dem Benutzer nahezu verborgen bleiben. Unternehmen versuchen im Allgemeinen, diesen Erwartungen an die Betriebseigenschaften ihrer implementierten Systeme gerecht zu werden, nicht nur, um den Benutzern entgegenzukommen, sondern auch um die Benutzerproduktivität zu steigern, ob in Form der Produktivität der Angestellten oder der Kundenzufriedenheit.
  • Insbesondere bei der heutigen IT-Umgebung, bei der viele Anwendungen über eine webbasierte Benutzerschnittstelle verfügen, die über einen gewöhnlichen Browser zugänglich ist, erwarten die Benutzer eine höhere Benutzerfreundlichkeit und niedrige oder seltenere Schranken beim Wechsel von einer webbasierten Anwendung zu einer anderen. In diesem Zusammenhang möchten Benutzer immer mehr in der Lage sein, vom Interagieren mit einer Anwendung in einer Internetdomäne, ungeachtet der Authentifizierungsschranken zum Schutz der jeweiligen Domäne, zu einer anderen Anwendung in einer anderen Domäne zu springen. Aber selbst wenn viele Systeme durch einfach zu bedienende webbasierte Schnittstellen eine sichere Authentifizierung schaffen, muss ein Benutzer möglicherweise immer noch mit zahlreichen Authentifizierungsprozessen rechnen, die den Benutzerzugriff über mehrere Domänen hinweg behindern. Die Leistung eines Benutzers kann deutlich beeinträchtigt werden, wenn er sich während einer bestimmten Zeit mehreren Authentifizierungsprozesse unterziehen muss.
  • Da sich immer mehr Organisationen an föderierten (zusammengeschlossenen) Computerumgebungen beteiligen, werden die durch mehrfache Authentifizierungsprozesse oder -systeme gesetzten Schranken zunehmend üblich. In einer föderierten Umgebung kann ein Benutzer, der ein registriertes Mitglied einer Organisation ist, auf eine ferne Ressource zugreifen, die durch eine andere Organisation kontrolliert wird. In einer föderierten Umgebung ist jede Organisation für die Verwaltung ihrer eigenen registrierten Benutzer und Ressourcen zuständig, jedoch arbeiten die Computersysteme der zusammengeschlossenen Organisationen auf bestimmte Weise zusammen, um ihre Ressourcen den registrierten Mitgliedern der Organisationen gemeinsam zur Verfügung zu stellen.
  • Beispielsweise ist jeder Benutzer in einer eigenen „Ursprungsdomäne" (Home Domain) registriert, die einem Benutzer bestimmte Grunddienste zur Verfügung stellt. Ein Benutzer meldet sich üblicherweise mittels eines bestimmten Authentifizierungsprozesses bei seiner Ursprungsdomäne an und darf dann auf die geschützten Ressourcen zugreifen, welche die Ursprungsdomäne gemäß den vorher für den Benutzer definierten Authentifizierungsattributen unterstützt. Auf diese Weise unterhält der Benutzer eine Dauerbeziehung zu seiner Ursprungsdomäne. Außerdem kann die Ursprungsdomäne eine Dauerbeziehung zu vielen anderen Domänen in einer als „Föderation" (Zusammenschluss) oder als „föderierte Umgebung" bezeichneten Umgebung unterhalten, die mitunter auch als B2B(Business-to-Business, Unternehmen-zu-Unternehmen) oder als E-Community-Domäne bezeichnet wird.
  • Es sind Lösungen zur Verringerung der Schranken vorgeschlagen worden, die durch mehrfache Authentifizierungsprozesse oder -systeme in föderierten Umgebungen entstehen. In der EP-Anmeldung 01/12361, eingereicht am 09. November 2000, mit dem Titel „Method and system for Web-based cross-domain single-signon authentication" wurde ein Ansatz mit der Bezeichnung „crossdomain single-sign-on" (Domänenüberschreitung mit einmaliger Anmeldung) beschrieben, bei dem ein Benutzer von einer Ursprungsdomäne zu einer beteiligten Sicherheitsdomäne wechseln kann, ohne sich bei der zweiten Domäne erneut authentifizieren lassen zu müssen. Ein Nachteil des beschriebenen Ansatzes besteht darin, dass ein Benutzer nur von der eigenen Ursprungsdomäne direkt zu einer beteiligten Domäne wechseln kann. In der US-Patentanmeldung 10/034725, eingereicht am 19. Dezember 2001, mit dem Titel „System and method for user enrollment in an e-community" wurde ein Ansatz beschrieben, bei dem ein Benutzer durch ein „domain identity cookie" (Domänen-ID-Cookie) eine Dauerbeziehung zu einer beteiligten Domäne herstellen kann. Über diesen Ansatz ist der Benutzer in der Lage, direkt zu dieser Domäne zu wechseln, z. B. durch Lesezeichen oder direkte URLs (Uniform Resource Locators, Internetadressen), ohne vorher über die eigene Ursprungsdomäne gehen zu müssen. Dieser flexible Ansatz ermöglicht eine einfachere Funktionalität für den Benutzer, bei der er von den Implementierungsdetails der E-Community, an der er sich beteiligt, keine Kenntnis haben muss. Dieser Ansatz lässt sich leicht in die Praxis umsetzen, ist einfach anzuwenden und liefert ein sicheres Verfahren für eine domänenübergreifende Funktionalität mit einmaliger Anmeldung.
  • Die Schwierigkeit bei diesen beiden Ansätzen besteht darin, dass ein Benutzer eine und nur eine zur Authentifizierung des Benutzers fähige Domäne hat und dass jede durch den Benutzer aufgesuchte Domäne zuvor über Kenntnisse der Ursprungsdomäne verfügen und dieser vertrauen muss.
  • Die Internationale Patentanmeldung WO 02/14974 A2 mit dem Titel „Multi-Server Authentication" schafft ein Verfahren zur Transaktionsauthentifizierung, welches das Empfangen von Transaktionsinformationen umfasst (die wiederum Folgendes umfassen: eine Karten-ID, einen Code und einen Zähler an einem ersten Standort), das selektive Übertragen der Informationen an mindestens einen aus einer Vielzahl von Authentifizierungs-Servern, das Anwenden einer Hashfunktion auf die Informationen und das Vergleichen der gehashten Informationen mit einer Hashdatenbank von gültigen Informationen auf einem aus der Vielzahl von Authentifizierungsservern.
  • Das Verfahren ermöglicht die Authentifizierung von Client-Transaktionen in einem einzigen Empfänger aus einer Vielzahl von Authentifizierungsservern. Der zur Authentifizierung verwendete Authentifizierungsserver kann durch verschiedene Ausführungsarten ausgewählt werden, zum Beispiel anhand des Inhalts einer Webseite des Clients. Die Authentifizierung selbst erfolgt jedoch für jede Transaktion anhand der Informationen einer Karte, die zum Browser des Clients gesendet werden.
  • Deshalb wären ein Verfahren und ein System von Vorteil, bei denen die Benutzerauthentifizierung überall in einem verteilten System für jede Sicherheitsdomäne ohne Authentifizierungsschranke erfolgen könnte. Mit anderen Worten, es wäre eine domänenübergreifende Authentifizierung mit einmaliger Anmeldung von Vorteil, bei der sich ein Benutzer zunächst bei einer Sicherheitsdomäne authentifizieren lassen und dann zu einer anderen Sicherheitsdomäne wechseln kann, ohne sich bei der zweiten Domäne erneut authentifizieren lassen zu müssen. Insbesondere wäre die Anwendung offener Standards in einem Ansatz von Vorteil, der vollständig auf der legitimen Anwendung dieser offenen Standards basiert.
  • ÜBERBLICK ÜBER DIE ERFINDUNG
  • Es werden ein Verfahren, eine Vorrichtung, ein System oder ein Computerprogrammprodukt für eine domänenübergreifende Authentifizierungsfunktionalität mit einmaliger Anmeldung dargelegt. Ein E-Commerce-Serviceanbieter empfängt von einem Client eine Anforderung für den Zugriff auf eine kontrollierte Ressource, und der E-Commerce-Serviceanbieter gestattet die Angabe eines aus einer Vielzahl durch den E-Commerce-Serviceanbieter zu nutzender Authentifizierungs-Serviceanbieter, um den Zugriff des Clients auf die kontrollierte Ressource zu entscheiden. Der E-Commerce-Serviceanbieter kann eine Angabe eines Authentifizierungs-Serviceanbieters zusammen mit der Anforderung für den Zugriff auf die kontrollierte Ressource z. B. in Form eines Cookies empfangen. Alternativ kann der E-Commerce-Serviceanbieter die Benutzerauswahl eines aus der Vielzahl von Authentifizierungs-Serviceanbietern vorsehen, wenn zusammen mit der Anforderung für den Zugriff auf die kontrollierte Ressource keine Angabe über den Authentifizierungs-Serviceanbieter empfangen wurde. Der E-Commerce-Serviceanbieter kann auch die Benutzerauswahl vorsehen, einen aus der Vielzahl der Serviceanbieter vom Benutzer ausgewählten Authentifizierungs-Serviceanbieter dauerhaft dem Benutzer zuzuweisen. Der E-Commerce-Serviceanbieter sendet eine Authentifizierungsanforderung von sich an den angegebenen Authentifizierungs-Serviceanbieter und entscheidet dann anhand einer von dem angegebenen Authentifizierungs-Serviceanbieter empfangenen Authentifizierungsantwort, ob er den Zugriff auf die kontrollierte Ressource gestattet.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die für die Erfindung als charakteristisch angesehenen neuartigen Merkmale sind in den beigefügten Ansprüchen dargelegt. Die Erfindung selbst sowie weitere ihrer Ziele und Vorteile lassen sich am besten aus der folgenden detaillierten Beschreibung in Verbindung mit den beiliegenden Zeichnungen verstehen, wobei:
  • 1A ein typisches Netz von Datenverarbeitungssystemen zeigt, von denen jedes die vorliegende Erfindung implementieren kann;
  • 1B eine typische Computerarchitektur zeigt, die in einem Datenverarbeitungssystem mit der darin implementierten vorliegenden Erfindung genutzt werden kann;
  • 1C eine webbasierte Umgebung veranschaulicht, in der die vorliegende Erfindung implementiert werden kann;
  • 1D ein Datenflussdiagramm zur Veranschaulichung eines Prozesses nach dem Stand der Technik ist, der verwendet werden kann, wenn ein Client auf eine geschützte Ressource zuzugreifen versucht;
  • 2 ein Blockdiagramm ist, das eine föderierte Umgebung darstellt, in der die vorliegende Erfindung implementiert werden kann;
  • 3 ein Flussdiagramm zur Darstellung eines Prozesses ist, durch den ein E-Commerce-Serviceanbieter von einem durch den Benutzer angegebenen Authentifizierungs-Serviceanbieter eine authentifizierte Identität für einen Benutzer abzurufen versucht, der bei dem E-Commerce-Serviceanbieter auf eine kontrollierte Ressource zugreifen will;
  • 4 ein Flussdiagramm zur Darstellung eines Prozesses ist, durch den ein Authentifizierungsserver ermittelt, ob er einem Benutzer auf Anforderung eines E-Commerce-Serviceanbieters eine Bestätigung erteilen kann;
  • 5 ein Flussdiagramm zur Darstellung eines Prozesses ist, durch den ein E-Commerce-Serviceanbieter einem Benutzer die Auswahl eines Authentifizierungs-Serviceanbieters und/oder entsprechender Optionen ermöglicht; und
  • 6 ein Fenster einer grafischen Benutzeroberfläche ist, welches die einem Benutzer zur Verfügung stehenden Auswahlmöglichkeiten zur Auswahl eines Authentifizierungs-Serviceanbieters in Verbindung mit einer einmaligen Anmeldeoperation in einer föderierten Umgebung zeigt.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Allgemein beinhalten die Vorrichtungen, welche die vorliegende Erfindung umfassen oder sich darauf beziehen können, eine große Vielfalt an Datenverarbeitungstechnologien. Deshalb wird vor der genaueren Beschreibung der vorliegenden Erfindung als Hintergrund eine typische Organisation von Hardware- und Softwarekomponenten in einem verteilten Datenverarbeitungssystem beschrieben.
  • 1A zeigt ein typisches Netz von Datenverarbeitungssystemen, von denen jedes die vorliegende Erfindung implementieren kann. Das verteilte Datenverarbeitungssystem 100 enthält ein Netz 101, das als Medium für Datenübertragungsverbindungen zwischen verschiedenen miteinander verbundenen Einheiten und Computern im verteilten Datenverarbeitungssystem 100 dienen kann. Das Netz 101 kann ständige Verbindungen, zum Beispiel Draht- oder Lichtwellenleiterkabel, oder zeitweilige Verbindungen über Telefon oder drahtlose Kommunikation beinhalten. Bei dem dargestellten Beispiel sind ein Server 102 und ein Server 103 sowie eine Speichereinheit 104 mit dem Netz 101 verbunden. Außerdem sind die Clients 105 bis 107 mit dem Netz 101 verbunden. Die Clients 105 bis 107 und die Server 102 bis 103 können durch eine Vielzahl von Datenverarbeitungsgeräten dargestellt werden, zum Beispiel Großrechner, Personal Computer (PCs), Personal Digital Assistents (PDAs) usw. Das verteilte Datenverarbeitungssystem 100 kann weitere Server, Clients, Router, andere Einheiten und Peer-to-Peer-Architekturen beinhalten, die nicht dargestellt sind.
  • Bei dem gezeigten Beispiel kann das verteilte Datenverarbeitungssystem 100 das Internet beinhalten, wobei das Netz 101 eine weltweite Sammlung von Netzen und Gateways darstellt, die verschiedene Protokolle verwenden, zum Beispiel LDAP, TCP/IP, HTTP usw., um miteinander zu kommunizieren. Das verteilte Datenverarbeitungssystem 100 kann natürlich auch eine Anzahl verschiedener Arten von Netzen beinhalten, zum Beispiel ein Intranet, ein lokales Netz (Local Area Network, LAN) oder ein Weitverkehrsnetz (Wide Area Network, WAN). Der Server 102 unterstützt beispielsweise direkt den Client 109 und das Netz 110, das drahtlose Kommunikationsverbindungen umfasst. Das netzfähige Telefon 111 ist über eine drahtlose Verbindung 112 und der PDA 113 über eine drahtlose Verbindung 114 mit dem Netz 110 verbunden. Das Telefon 111 und der PDA 113 können auch untereinander Daten direkt über eine drahtlose Verbindung 115 mittels einer geeigneten Technologie übertragen, zum Beispiel mit der drahtlosen BluetoothTM-Technologie, und so genannte persönliche Netze oder persönliche Ad-hoc-Netze zu schaffen. Auf ähnliche Weise kann auch der PDA 113 Daten über die drahtlose Kommunikationsverbindung 116 an den PDA 107 übertragen.
  • Die vorliegende Erfindung kann auf einer Vielfalt von Hardwareplattformen und Softwareumgebungen implementiert werden. 1A dient als Beispiel für eine heterogene Computerumgebung und ist nicht als Beschränkung der Architektur der vorliegenden Erfindung zu verstehen.
  • 1B zeigt die Darstellung einer typischen Computerarchitektur eines Datenverarbeitungssystems, zum Beispiel des in 1A gezeigten Datenverarbeitungssystems, in dem die vorliegende Erfindung implementiert sein kann. Das Datenverarbeitungssystem 120 enthält eine oder mehrere Zentraleinheiten (Central Processing Units, CPUs) 122, die mit einem internen Systembus 123 verbunden sind, das einen Arbeitsspeicher (Random Access Memory, RAM) 124, einen Nur-Lese-Speicher (Read Only Memory, ROM) 126 und einen Ein-/Ausgabe-Adapter 128 zur Unterstützung verschiedener E/A-Einheiten, beispielsweise eines Druckers 130, Platteneinheiten 132 oder anderer nicht gezeigter Einheiten, zum Beispiel eines Audioausgabesystems usw. zeigt. Der Systembus 123 ist auch mit einem Kommunikationsadapter 134 verbunden, der den Zugriff auf eine Kommunikationsverbindung 136 ermöglicht. Der Benutzerschnittstellenadapter 148 stellt die Verbindung zu verschiedenen Peripherieeinheiten, zum Beispiel einer Tastatur 140 und einer Maus 142 oder anderen nicht gezeigten Einheiten, zum Beispiel zu einem Touchscreen (Tastbildschirm), einem Stift, einem Mikrofon usw. her. Der Bildschirmadapter 144 stellt eine Verbindung zwischen dem Systembus 123 und dem Bildschirm 146 her.
  • Dem Fachmann wird klar sein, dass die in 1B dargestellte Hardware entsprechend der Systemimplementierung variieren kann. Zum Beispiel kann das System einen oder mehrere Prozessoren, wie einen Intel® Pentium®-basierten Prozessor und einen digitalen Signalprozessor (Digital Signal Processor, DSP), und eine oder mehrere Arten von flüchtigen und nicht flüchtigen Speichern beinhalten. Zusätzlich zu oder anstelle der in 1B dargestellten Hardware können weitere Peripherieeinheiten verwendet werden. Die gezeigten Beispiele sind im Hinblick auf die vorliegende Erfindung nicht als Beschränkung der Architektur zu verstehen.
  • Die vorliegende Erfindung kann sowohl auf einer Vielfalt von Hardwareplattformen als auch in einer Vielfalt von Softwareumgebungen implementiert werden. Zur Steuerung der Programmausführung in jedem Datenverarbeitungssystem kann ein typisches Betriebssystem verwendet werden. Zum Beispiel kann eine Einheit auf einem Unix®-Betriebssystem laufen, während eine andere Einheit eine einfache Java®-Laufzeitumgebung enthält. Eine typische Computerplattform kann einen Browser beinhalten, eine wohlbekannte Softwareanwendung für den Zugriff auf Hypertextdokumente in einer Vielfalt von Formaten, zum Beispiel Grafikdateien, Textverarbeitungsdateien, XML (Extensible Markup Language), HTML (Hypertext Markup Language), HDML (Handheld Device Markup Language), WML (Wireless Markup Language) und verschiedenen anderen Formaten und Dateiarten. Zudem ist noch anzumerken, dass das in 1A gezeigte verteilte Datenverarbeitungssystem komplett in der Lage sein soll, eine Vielfalt von Peer-to-Peer-Teilnetzen und Peer-to-Peer-Services zu unterstützen.
  • 1C zeigt eine Netzdarstellung einer spezielleren und dennoch generischen webbasierten Umgebung, in der die vorliegende Erfindung implementiert werden kann. In dieser Umgebung verlangt ein Benutzer eines Browsers 152 am Client 150, auf eine geschützte Ressource auf dem Webanwendungsserver 154 in der DNS-Domäne 156 oder auf dem Webanwendungsserver 158 in der DNS-Domäne 160 zuzugreifen. Unter einer geschützten Ressource ist eine Ressource (eine Anwendung, ein Objekt, ein Dokument, eine Seite, eine Datei, ein ausführbarer Code oder eine andere Computer- oder Datenübertragungsressource usw.) zu verstehen, auf die nur dann zugegriffen oder die nur dann abgerufen werden kann, wenn der Browser des anfordernden Clients sowohl authentifiziert als auch autorisiert ist. Zu jeder DNS-Domäne kann ein entsprechender Authentifizierungsserver 162 gehören. Üblicherweise kann in einem Cookie-Cachespeicher des Browsers ein Cookie gesetzt und gespeichert werden, sobald der Benutzer durch den Authentifizierungsserver authentifiziert worden ist. Der anfordernde Client kann eine Anforderung nach einer geschützten Ressource innerhalb einer Domäne oder zwischen verschiedenen Domänen stellen. Unter einer Anforderung innerhalb einer Domäne (intra-domain) ist zu verstehen, dass sich die Zielressource auf demselben Server befindet, der die Authentifizierung durchführt. Unter einer Anforderung zwischen verschiedenen Domänen (inter-domain) ist zu verstehen, dass sich die Zielressource innerhalb derselben Internetdomäne, aber auf einem anderen Server als dem Authentifizierungs-Server befindet, der die Authentifizierung durchgeführt hat. Unter einer domänenübergreifenden (cross-domain) Anforderung ist zu verstehen, dass der Benutzer auf eine geschützte Ressource zugreifen möchte, die sich außerhalb der gerade vom Benutzer genutzten DNS-Domäne befindet.
  • 1D zeigt ein Datenflussdiagramm eines Prozesses nach dem Stand der Technik, das verwendet werden kann, wenn ein Client auf eine geschützte Ressource zuzugreifen versucht. Wie die Figur zeigt, versucht der Benutzer einer Client-Workstation 170 mittels seines auf der Client-Workstation laufenden Web-Browsers über ein Computernetz auf eine geschützte Ressource auf einem Server 172 zuzugreifen. Eine geschützte Ressource ist wie erwähnt durch eine Internetadresse (URL) gekennzeichnet, genauer gesagt, durch eine einheitliche Referenz-ID (Uniform Resource Identifier, URI), auf die nur ein authentifizierter und autorisierter Benutzer zugreifen kann. Als Computernetz kommen das Internet, ein Intranet oder ein anderes Netz gemäß 1A und 1B, und als Server ein Webanwendungsserver (WAS), eine Serveranwendung, ein Servlet-Prozess oder Ähnliches in Frage.
  • Der Prozess wird eingeleitet, wenn der Benutzer die geschützte Ressource anfordert, zum Beispiel eine Webseite in der Domäne „ibm.com" (Schritt 174). Der Webbrowser (oder eine entsprechende Anwendung oder ein Applet) erzeugt eine HTTP-Anforderung, die er an den Webserver sendet, auf dem die Domäne „ibm.com" betrieben wird (Schritt 176). Der Server stellt fest, dass es für den Client noch keine aktive Sitzung gibt (Schritt 178), daher fordert der Server den Benutzer zur Durchführung eines Authentifizierungsprozesses auf, indem er eine Art von Authentifizierungsaufforderung an den Client sendet (Schritt 180). Die Authentifizierungsaufforderung kann durch verschiedene Masken erfolgen, zum Beispiel durch eine HTML-Maske, in die der Benutzer geforderte Informationen wie beispielsweise eine Benutzer-ID und ein zugehöriges Passwort eingeben muss.
  • Die Antwort in Form der Authentifizierungsinformationen in der HTML-Maske wird an den Server gesendet (Schritt 184), wonach der Server die Authentizität des Benutzers durch Abrufen zuvor übermittelter Registrierungsdaten und Vergleichen der vorliegenden Authentifizierungsinformationen mit den für den Benutzer gespeicherten Informationen ermittelt. Sollte die Authentifizierung erfolgreich verlaufen, wird dem authentifizierten Benutzer eine SSL-Sitzung (Secure Socket Layer) mit einer eindeutigen Sitzungskennung (Sitzungs-ID) zugewiesen (Schritt 186).
  • Obwohl 1D einen typischen Prozess nach dem Stand der Technik darstellt, ist anzumerken, dass an dieser Stelle andere alternative Verfahren zur Verwaltung des Sitzungsstatus dargestellt werden können, zum Beispiel die Verwendung von Cookies zur Erkennung von Benutzern mit aktiven Sitzungen, wobei als Cookie möglicherweise dasselbe Cookie verwendet werden kann, das zur Authentifizierung verwendet wird.
  • Nun ruft der Server die angeforderte Webseite ab und sendet eine HTTP-Antwort an den Client (Schritt 188). In diesem Augenblick kann der Benutzer im Browser durch Anklicken eines Hypertext-Links eine andere Seite in der Domäne „ibm.com" anfordern (Schritt 190), woraufhin der Browser eine weitere HTTP-Anforderung an den Server sendet (Schritt 192). Zu diesem Zeitpunkt erkennt der Server, dass es für den Benutzer bereits eine aktive Sitzung gibt (Schritt 194), und sendet die angeforderte Webseite in einer weiteren HTTP-Antwort an den Client zurück (Schritt 196).
  • Wie oben erwähnt, kann die vorliegende Erfindung in einer Vielfalt von Netzen und Hardwareplattformen verwendet werden. Insbesondere stellt die vorliegende Erfindung jedoch eine Methodik bereit, durch die ein Benutzer beim Zugreifen auf geschützte Ressourcen innerhalb mehrerer miteinander verbundener Domänen nicht zur Authentifizierung aufgefordert wird. Dadurch kann sich der Benutzer zu einem bestimmten Grad frei zwischen Domänen bewegen, die an einem domänenübergreifenden Zusammenschluss oder einer Anordnung mit einmaliger Anmeldung beteiligt sind. Zum Beispiel kann ein großes Extranet über mehrere Domänen verfügen, denen jeweils eine eigene Gruppe von Benutzern und geschützten Ressourcen zugeordnet ist. Die geschützten Ressourcen können jedoch dem ganzen Unternehmen gemeinsam zugeordnet sein und es kann zu beträchtlichen Überlappungen zwischen den Benutzergruppen kommen. Ein Benutzer kann an Leistung oder Produktivität hinzugewinnen, wenn er beim Aufsuchen der einzelnen Domänen nicht mehrere Authentifizierungsaufforderungen durchlaufen muss. Somit versucht die vorliegende Erfindung, die Schranken, die der freien Bewegung durch die Websites entgegenstehen, zu beseitigen.
  • Insbesondere besteht, wie oben erwähnt, die Schwierigkeit bei einigen früheren Ansätzen zur verteilten Authentifizierung darin, dass diese Ansätze voraussetzten, dass ein Benutzer eine und nur eine Domäne hat, die in der Lage ist, den Benutzer zu authentifizieren, und jede vom Benutzer aufgesuchte Domäne zuvor über Kenntnisse von der Ursprungsdomäne verfügen und dieser vertrauen muss. Die vorliegende Erfindung hingegen gestattet einem Benutzer, Vereinbarungen mit einem oder mehreren Authentifizierungs-Serviceanbietern (Authentication Service Provider, ANSP) zu treffen. Der Benutzer unterhält eine Beziehung zu diesen ANSPs und lässt sich bei einem Authentifizierungs-Serviceanbieter authentifizieren. E-Commerce-Serviceanbieter (ECSPs), zum Beispiel Onlinebanken oder Onlinehändler, unterhalten ebenfalls eine Beziehung zu einem ASNP, sodass der E-Commerce-Serviceanbieter der im Auftrag des Benutzers vom ANSP bereitgestellten authentifizierten Identität eines Benutzers vertrauen kann. Der Benutzer kann jeden E-Commerce-Serviceanbieter aufsuchen, ohne vorher eine Beziehung zu einem bestimmten E-Commerce-Serviceanbieter hergestellt haben zu müssen. Solange die Domäne des E-Commerce-Serviceanbieters eine Beziehung zu mindestens einem der Authentifizierungs-Serviceanbieter des Benutzers unterhält, braucht sich der Benutzer lediglich einmal bei diesem E-Commerce-Serviceanbieter anzumelden.
  • Die vorliegende Erfindung erweitert den in der eingereichten (TBD) US-Patentanmeldung (Attorney Docket No. AUS920010769US1) mit dem Titel „System and method for user enrollment in an e-community" beschriebenen Anmeldeprozess dahingehend, dass ein Benutzer seine Anmeldung bei einer Site selbst anpassen kann. Mit anderen Worten, der Benutzer kann sich entscheiden, für die „Anmeldung" bei einer Site dieser den Standort eines vertrauenswürdigen Dritten mitzuteilen, der die authentifizierte Identität des Benutzers bestätigen kann. Dieser Prozess kann dazu führen, dass ein Domänen-ID-Cookie gesetzt wird, was in der US-Patentanmeldung (Attorney Docket No. AUS920010769US1) beschrieben wurde. Alternativ kann sich ein Benutzer gegen das Setzen eines Domänen-ID-Cookies entscheiden sodass der Benutzer bei jedem Erstzugriff auf eine bestimmte Site, genauer gesagt, bei jedem Zugriff, bei dem es für den Benutzer noch keine laufende aktive Sitzung bei dieser Site gibt, den Standort des vertrauenswürdigen Dritten angeben muss. Diese und andere Merkmale der vorliegenden Erfindung werden im Folgenden in Verbindung mit den übrigen Figuren ausführlicher beschrieben.
  • 2 zeigt ein Blockdiagramm einer föderierten Umgebung, in der die vorliegende Erfindung implementiert werden kann. Föderierte Umgebungen wie die in 2 gezeigte umfassen Benutzer, E-Commerce-Serviceanbieter (ECSPs) und Authentifizierungs-Serviceanbieter (ANSPs). ECSPs entsprechen Wirtschaftseinheiten, die an einem Zusammenschluss beteiligt sind. ANSPs entsprechen Einheiten, bei denen sich ein Benutzer authentifizieren lässt und die dessen Authentifizierung den ECSPs gegenüber bestätigen. Innerhalb einer bestimmten E-Community können die Aufgaben des E-Commerce-Serviceanbieters und des Authentifizierungs-Serviceanbieters durch getrennte Einheiten oder durch eine einzige Einheit erfüllt werden.
  • Die föderierte Umgebung 200 umfasst Folgendes: einen Benutzer, der durch den Client 202 mit einer Browseranwendung 204 dargestellt ist; zwei E-Commerce-Serviceanbieter ECSP 210 und ECSP 212; und zwei Authentifizierungs-Serviceanbieter ANSP 214 und ANSP 216. Zwischen dem Benutzer und ANSP 216 besteht eine Authentifizierungsbeziehung 220. ECSP 210 unterhält eine vertrauenswürdige Beziehung 222 zu ANSP 214 und eine vertrauenswürdige Beziehung 224 zu ANSP 216. ECSP 212 unterhält eine vertrauenswürdige Beziehung 226 zu ANSP 216. Der Benutzer versucht über die Netzpfade 230 bzw. 232 auf ECSP 210 und ECSP 212 zuzugreifen.
  • Wie in diesem Beispiel gezeigt und im Folgenden ausführlich erläutert wird, geht die vorliegende Erfindung davon aus, dass der Benutzer vorher bereits eine Authentifizierungsbeziehung zu mindestens einem Authentifizierungs-Serviceanbieter und möglicherweise zu einer Vielzahl von Authentifizierungs-Serviceanbietern hergestellt hat, was überwiegend in einem „externen" (Out-of-Band) Prozess geschieht, durch den sich der Benutzer bei einem Authentifizierungs-Serviceanbieter registriert oder anmeldet. Ein Benutzer kann unterschiedlich strenge Authentifizierungsmaßnahmen vereinbaren, zum Beispiel Benutzername/Passwort, Chipkarte (Smart Card), biometrische Erkennung oder digitales Zertifikat; mit anderen Worten, die vorliegende Erfindung ist in der Lage, mit einer Vielfalt von zugrunde liegenden Authentifizierungsschemata zusammenzuarbeiten.
  • Die vorliegende Erfindung geht ferner davon aus, dass ein E-Commerce-Serviceanbieter vorher bereits eine vertrauenswürdige Beziehung zu mindestens einem Authentifizierungs-Serviceanbieter und möglicherweise zu einer Vielzahl von Authentifizierungs-Serviceanbietern hergestellt hat, was überwiegend in einem „externen" (Out-of-Band) Prozess geschieht, durch den der E-Commerce-Serviceanbieter und ein Authentifizierungs-Serviceanbieter die unterschiedlichsten Vereinbarungen zu den Pflichten jeder Seite bezüglich der Authentifizierungs- und Identitätsnachweis-Services treffen. Ein E-Commerce-Serviceanbieter kann unterschiedlich strenge Authentifizierungsmaßnahmen vereinbaren, und die vorliegende Erfindung ist in der Lage, mit einer Vielzahl von zugrunde liegenden Authentifizierungsmethoden zusammenzuarbeiten.
  • Zum Teil besteht der Prozess zur Herstellung einer vertrauenswürdigen Beziehung darin, dass der E-Commerce-Serviceanbieter und der Authentifizierungs-Serviceanbieter einen externen (Out-of-Band) Informationsaustausch zur Herstellung einer vertrauenswürdigen Beziehung durchführen, wozu ein gemeinsamer geheimer Schlüssel, digitale Zertifikate oder andere Arten von Informationen gehören können. Diese Informationen dienen dem Schutz der Identitätsnachweis-Informationen des Benutzers, welche der E-Commerce-Serviceanbieter während einer Benutzertransaktion dem Authentifizierungs-Serviceanbieter mitteilt. Dieser Informationsaustausch kann durch Verfahren mit öffentlichem Schlüssel abgewickelt werden, jedoch sollte, aufgrund der Beschränkungen von öffentlichen Schlüsseln und zugehörigen Zertifikaten sowie der an einen E-Commerce-Serviceanbieter gestellten Sicherheitsanforderungen hinsichtlich des Identitätsnachweises, geheimen Schlüsseln der Vorrang gegeben werden – obgleich die vorliegende Erfindung auch in einem Verfahren mit öffentlichem Schlüssel angewendet werden kann.
  • Anstatt eines Verfahrens mit öffentlichem Schlüssel wird bei einer bevorzugten Ausführungsart aus den folgenden Gründen ein Verfahren mit geheimem Schlüssel benutzt. Die Informationen über den Identitätsnachweis und/oder die authentifizierte Identität werden über die Clientanwendung des Benutzers, üblicherweise einen Browser, durch HTTP-Umleitungen vom Authentifizierungs-Serviceanbieter über das Internet zum E-Commerce-Serviceanbieter übertragen. In diesem Falle müssen die Informationen geschützt werden, was durch die Verschlüsselung des Tokens erfolgt, in dem die authentifizierten Identitätsinformationen und zusätzliche Informationen des Benutzers enthalten sind (zum Beispiel die Authentifizierungsverfahren, persönliche Daten usw.). Ein Verfahren mit geheimem Schlüssel ist vorzuziehen, da dieses effizienter als ein Verfahren mit öffentlichem Schlüssel ist. Wenn diese Daten beispielsweise mit dem öffentlichen Schlüssel des E-Commerce-Serviceanbieters verschlüsselt werden, gäbe es keinen Beweis, dass die Daten vom Authentifizierungs-Serviceanbieter kommen. Wenn die Daten mit dem privaten Schlüssel des Authentifizierungs-Serviceanbieters verschlüsselt werden, kann niemand, der eine Kopie des Tokens erhält, an dessen Entschlüsselung gehindert werden, sodass es möglicherweise zur Offenlegung vertraulicher Daten kommt. Das bedeutet, dass das Token doppelt verschlüsselt werden muss, einmal mit dem privaten Schlüssel des Authentifizierungs-Serviceanbieters und anschließend mit dem öffentlichen Schlüssel des E-Commerce-Serviceanbieters. Somit sind zum Schutz des Tokens zwei Verschlüsselungen und zu seiner Wiederherstellung zwei Entschlüsselungen erforderlich. Bei Verwendung eines Verfahrens mit geheimem Schlüssel sind jeweils nur eine Verschlüsselung und eine Entschlüsselung nötig.
  • Das Flussdiagramm in 3 zeigt einen Prozess, mit dessen Hilfe ein E-Commerce-Serviceanbieter versucht, von einem durch den Benutzer ausgewählten Authentifizierungs-Serviceanbieter eine authentifizierte Identität für einen Benutzer abzurufen, der auf eine kontrollierte/geschützte Ressource beim E-Commerce-Serviceanbieter zuzugreifen versucht. 3 zeigt einen Prozess, der eingeleitet wird, wenn ein Benutzer den Zugriff auf eine Ressource anfordert und ein E-Commerce-Serviceanbieter entschieden hat, dass über die Zugriffskontrolle entschieden werden muss. Zur Entscheidung über die Zugriffskontrolle benötigt der E-Commerce-Serviceanbieter eine authentifizierte Identität des Benutzers. Bei einer einmaligen Anmeldeoperation in einer föderierten Umgebung fordert der E-Commerce-Serviceanbieter den Benutzer nicht zu einem Identitätsnachweis auf, zum Beispiel durch Anmeldung mittels Benutzernamen/Passwort. Stattdessen versucht der E-Commerce-Serviceanbieter, von einem Authentifizierungs-Serviceanbieter eine authentifizierte Identität (oder einen Identitätsnachweis wie beispielsweise ein Bestätigungs-Token) abzurufen. Gemäß der vorliegenden Erfindung kann ein Benutzer die Authentifizierungsoperation einem der möglicherweise vielen Authentifizierungs-Serviceanbieter übertragen. Allerdings ist anzumerken, dass ein E-Commerce-Serviceanbieter einen Benutzer selbst authentifizieren kann, insbesondere wenn der E-Commerce-Serviceanbieter selbst die Ursprungsdomäne des Benutzers ist, obwohl sich ein E-Commerce-Serviceanbieter" zur Authentifizierung eines Benutzers normalerweise eines Authentifizierungs-Serviceanbieters bedient, wenn der E-Commerce-Serviceanbieter nicht selbst die Ursprungsdomäne des Benutzers ist.
  • Der Prozess in 3 beginnt damit, dass ein E-Commerce-Serviceanbieter eine Anforderung eines Benutzers für den Zugriff auf eine geschützte Ressource empfängt (Schritt 302). Dann wird ermittelt, ob beim E-Commerce-Serviceanbieter bereits eine authentifizierte Identität oder ein Berechtigungsnachweis für den Benutzer vorliegt (Schritt 304). Wenn dies nicht der Fall ist, ermittelt der E-Commerce-Serviceanbieter, ob bei ihm ein Langzeit-Token für den Benutzer vorliegt (Schritt 306). Das
  • Langzeit-Token kann möglicherweise ein ANSP-Identitäts-Cookie (AIDC) sein, das dem oben erwähnten Domänen-ID-Cookie ähnelt, aber den vom Benutzer bevorzugten Authentifizierungs-Serviceanbieter kennzeichnet. Der E-Commerce-Serviceanbieter könnte möglicherweise bereits über ein AIDC für den Benutzer verfügen, da im Browser des Benutzers vorher bereits ein Cookie gesetzt worden sein könnte, und da der Browser des Benutzers sicherstellt, dass das AIDC alle an die Domäne des E-Commerce-Serviceanbieters gerichteten Anforderungen begleitet, würde der E-Commerce-Serviceanbieter das Cookie empfangen haben, wenn dieses die Anforderung für den Zugriff auf die kontrollierte Ressource begleitet hat. Der E-Commerce-Serviceanbieter entnimmt dem Langzeit-Token die Identität des vom Benutzer bevorzugten Authentifizierungs-Serviceanbieters (Schritt 308) und erzeugt eine Bestätigungsanforderung für den angegebenen oder bevorzugten Authentifizierungs-Serviceanbieter (Schritt 310). Der E-Commerce-Serviceanbieter sendet die Bestätigungsanforderung durch eine HTTP-Umleitung über den Browser des Benutzers an den Authentifizierungs-Serviceanbieter (Schritt 312).
  • Die Wirksamkeit der vorliegenden Erfindung ergibt sich aus dem unter Bezug auf die Schritte 302 bis 312 beschriebenen Szenario. Obwohl der E-Commerce-Serviceanbieter noch nicht über eine(n) authentifizierte Identität/Berechtigungsnachweis für den Benutzer verfügt, d. h., dass der Benutzer eine neue Sitzungbeim E-Commerce-Serviceanbieter beginnt, kann der E-Commerce-Serviceanbieter bei dem vom Benutzer bevorzugten Authentifizierungs-Serviceanbieter ein Bestätigungs-Token für den Benutzer beantragen, obwohl der Benutzer während dieser betreffenden Sitzung nicht aufgefordert wurde, derartige Authentifizierungsdaten direkt an den E-Commerce-Serviceanbieter zu senden.
  • Ferner empfängt beim vorliegenden Beispiel der E-Commerce-Serviceanbieter zu einem bestimmten Zeitpunkt über den Browser des Benutzers durch HTTP-Umleitung die Bestätigungsantwort vom Authentifizierungs-Serviceanbieter (Schritt 314). Der E-Commerce-Serviceanbieter entpackt das Token, um die Antwort mit der Benutzerauthentifizierung zu erhalten (Schritt 316), und prüft, ob es sich um eine gültige Authentifizierung handelt (Schritt 318). Wenn dies der Fall ist, erzeugt der E-Commerce-Serviceanbieter die Sitzungsnachweise für den Benutzer (Schritt 320) und leitet die Entscheidungsoperation für die Zugriffskontrolle ein (Schritt 322). Es wird geprüft, ob der Benutzer autorisiert ist (Schritt 324), und wenn das Ergebnis der Entscheidung über die Zugriffskontrolle positiv ist, d. h., wenn der Benutzer autorisiert ist, gibt der E-Commerce-Serviceanbieter den Zugriff auf die geschützte Ressource frei (Schritt 326) und der Prozess ist abgeschlossen. Wenn beim E-Commerce-Serviceanbieter in Schritt 304 bereits eine authentifizierte Identität oder ein Berechtigungsnachweis für den Benutzer vorliegt, verzweigt der Prozess zu Schritt 322, in welchem der E-Commerce-Serviceanbieter sofort eine Entscheidung über die Zugriffskontrolle herbeiführt. Dieses Szenario kann eintreten, wenn der Benutzer bereits auf dieselbe oder eine ähnliche kontrollierte Ressource beim E-Commerce-Serviceanbieter zugegriffen hat.
  • Wenn in Schritt 306 beim E-Commerce-Serviceanbieter kein Langzeit-Token für den Benutzer vorliegt, verzweigt der Prozess, um einen in 5 gezeigten Unterprozess fertig zu stellen, der im Folgenden beschrieben wird.
  • Das Flussdiagramm in 4 zeigt einen Prozess, mit dessen Hilfe ein Authentifizierungs-Serviceanbieter ermittelt, ob er auf Anforderung eines E-Commerce-Serviceanbieters eine Bestätigung für einen Benutzer erteilen soll. Das Flussdiagramm in 4 zeigt die Ablaufsteuerung beim Authentifizierungs-Serviceanbieter, wenn der E-Commerce-Serviceanbieter eine Bestätigungsanforderung gemäß dem oben erwähnten Schritt 312 an den Authentifizierungs-Serviceanbieter sendet.
  • Der Prozess in 4 beginnt damit, dass ein bestimmter Authentifizierungs-Serviceanbieter von einem E-Commerce-Serviceanbieter eine Bestätigungsanforderung für einen bestimmten Benutzer empfängt (Schritt 402). Dann wird geprüft, ob beim Authentifizierungs-Serviceanbieter bereits eine aktive Sitzung für den Benutzer vorliegt (Schritt 404). Wenn beim Authentifizierungs-Serviceanbieter noch keine aktive oder laufende Sitzung für den Benutzer vorliegt, fordert der Authentifizierungs-Serviceanbieter den Benutzer auf, eine Art Authentifizierungsoperation durchzuführen (Schritt 406).
  • Dann wird geprüft, ob der Benutzer authentifiziert worden ist (Schritt 408). Wenn der Benutzer authentifiziert worden ist, erzeugt der Authentifizierungs-Serviceanbieter ein Authentifizierungs-Token, welches anzeigt, dass der Benutzer positiv authentifiziert worden ist (Schritt 410). Wenn der Benutzer nicht authentifiziert worden ist, erzeugt der Authentifizierungs-Serviceanbieter ein Authentifizierungs-Token, welches anzeigt, dass die Authentifizierungsoperation des Benutzers fehlgeschlagen ist (Schritt 412). In beiden Fällen sendet der Authentifizierungs-Serviceanbieter dann durch den Browser des Benutzers über eine HTTP-Umleitung eine das Authentifizierungs-Token enthaltende Bestätigungsmitteilung an den anfordernden E-Commerce-Serviceanbieter (Schritt 414), womit der Prozess abgeschlossen ist. Hierzu ist anzumerken, dass der Authentifizierungs-Serviceanbieter in beiden Fällen Pseudodaten einfügen oder den Inhalt der Bestätigungsmitteilung auf andere Weise maskieren kann, um zu verhindern, dass ein Spion zwischen positiven und negativen Bestätigungs-Token unterscheiden kann, was diesem Kenntnis über die Authentifizierungsversuche des Benutzers verschaffen würde.
  • Wenn in Schritt 404 beim Authentifizierungs-Serviceanbieter bereits eine aktive Sitzung für den Benutzer. vorliegt, verzweigt der Prozess zu Schritt 410, da der Authentifizierungs-Serviceanbieter sofort ein Authentifizierungs-Token erzeugen kann, welches anzeigt, dass der Benutzer positiv authentifiziert worden ist. Dieses Szenario tritt ein, wenn ein Benutzer den Nachweis für eine authentifizierte Identität bereits bei einem anderen E-Commerce-Serviceanbieter angefordert hat, der den Benutzer dann zum Ausführen einer Authentifizierungsoperation aufgefordert hätte. Der Authentifizierungs-Serviceanbieter erhält für den Benutzer eine Sitzung aufrecht, höchstwahrscheinlich mit einigen Einschränkungen, zum Beispiel in Form einer maximalen Zeitdauer, während der die Authentifizierungssitzung des Benutzers beim Authentifizierungs-Serviceanbieter gültig bleibt.
  • In 5 zeigt ein Flussdiagramm einen Prozess, mit dessen Hilfe ein E-Commerce-Serviceanbieter einem Benutzer gestattet, einen Authentifizierungs-Serviceanbieter und/oder zugehörige Optionen auszuwählen. Der in 3 dargestellte Prozess gelangt über Schritt 306 zu dem in 5 gezeigten Unterprozess. Wenn der E-Commerce-Serviceanbieter bei diesem Szenario nicht über ein Langzeit-Token für den Benutzer verfügt, verzweigt der Prozess, um den in 5 gezeigten Unterprozess abzuarbeiten.
  • Der in 5 dargestellte Prozess beginnt damit, dass der E-Commerce-Serviceanbieter dem Benutzer ein Menü mit einer Liste von ANSPs vorlegt, die vom E-Commerce-Serviceanbieter anerkannt werden (Schritt 502). Gemäß der vorliegenden Erfindung gestattet der E-Commerce-Serviceanbieter einem Benutzer, einen bevorzugten Authentifizierungs-Serviceanbieter auszuwählen, wobei es sich jedoch um einen Authentifizierungs-Serviceanbieter handeln muss, mit dem der E-Commerce-Serviceanbieter bereits eine vertrauenswürdige Beziehung unterhält. Wenn dies nicht der Fall ist, wird dem Benutzer die Gelegenheit gegeben, eine Beziehung zu einem Authentifizierungs-Serviceanbieter herzustellen, der vom E-Commerce-Serviceanbieter anerkannt wird, d. h. mit dem der E-Commerce-Serviceanbieter in der im Folgenden beschriebenen Weise eine vertrauenswürdige Beziehung unterhält.
  • Nach dem Vorlegen des Menüs, das die Form eines Dialogfensters oder eines anderen Benutzereingabemechanismus haben kann, empfängt der E-Commerce-Serviceanbieter die Benutzerauswahl (Schritt 504). Dann wird geprüft, ob der Benutzer den Abbruch der anstehenden Transaktion zu diesem Zeitpunkt angefordert hat (Schritt 506), und wenn dies der Fall ist, springt der Prozess wieder zurück zu Schritt 328 in 3, wo dem Benutzer der Zugriff auf die kontrollierte Ressource verweigert wird. Wenn der Benutzer den Abbruch der anstehenden Transaktion zu diesem Zeitpunkt hingegen nicht angefordert hat, wird geprüft, ob der Benutzer eine bestimmte Option ausgewählt hat, welche dem E-Commerce-Serviceanbieter mitteilt, dass der Benutzer stets einen bestimmten Authentifizierungs-Serviceanbieter nutzen will (Schritt 508). Wenn dies der Fall ist, erzeugt der E-Commerce- Serviceanbieter ein AIDC, welches den vom Benutzer ausgewählten Authentifizierungs-Serviceanbieter anzeigt (Schritt 510), der an anderer Stelle in der vom Dialogfenster des Benutzers empfangenen Benutzereingabe angezeigt wird. Bei dieser möglichen Ausführungsart kann durch Setzen eines Cookies im Browser des Benutzers ein AIDC erzeugt werden.
  • In beiden Fällen wird geprüft, ob der Benutzer eine Option zum Abrufen von Bestätigungsdaten von einem Authentifizierungs-Serviceanbieter ausgewählt hat (Schritt 512), dessen Identität anderswo in der vom Dialogfenster des Benutzers empfangenen Benutzereingabe angezeigt wird. Mit anderen Worten, der Benutzer hat einen bevorzugten Authentifizierungs-Serviceanbieter ausgewählt, den der E-Commerce-Serviceanbieter zur Authentifizierung des Benutzer verwenden soll, und der Prozess springt zurück zu Schritt 310, wo der E-Commerce-Serviceanbieter eine Bestätigungsanforderung für den ausgewählten Authentifizierungs-Serviceanbieter erzeugt.
  • Wenn der Benutzer die Option zum Abrufen von Bestätigungsdaten von einem Authentifizierungs-Serviceanbieter nicht ausgewählt hat, wird geprüft, ob der Benutzer eine Option zum Herstellen einer Beziehung zu einem Authentifizierungs-Serviceanbieter ausgewählt hat (Schritt 514). Wenn dies der Fall ist, sendet der E-Commerce-Serviceanbieter in einer bestimmten Form eine Anforderung zum Herstellen einer Beziehung an den ausgewählten Authentifizierungs-Serviceanbieter (Schritt 516), z. B. durch Umleiten des Browsers des Benutzers auf eine bestimmte Seite, die durch den vom Benutzer ausgewählten Authentifizierungs-Serviceanbieter unterstützt wird.
  • Wenn keine der oben genannten Optionen eingetreten ist, zeigt der E-Commerce-Serviceanbieter auf irgendeine Weise einen Verarbeitungsfehler an (Schritt 518) und der Prozess ist abgeschlossen.
  • Das Fenster einer grafischen Benutzeroberfläche in 6 zeigt die einem Benutzer zur Auswahl angebotenen Optionen für einen Prozess, mit dessen Hilfe ein E-Commerce-Serviceanbieter einem Benutzer die Auswahl eines Authentifizierungs-Serviceanbieters in Verbindung mit einer einmaligen Anmeldeoperation in einer föderierten Umgebung gestattet. Das Dialogfenster 600 zeigt drei runde Optionsfelder 602 bis 606, die mit den Kennungen dreier Authentifizierungs-Serviceanbieter beschriftet sind. Das Dialogfenster 600 kann einem Benutzer angezeigt werden, wenn ein E-Commerce-Serviceanbieter einem Benutzer die Möglichkeit zur Auswahl eines bevorzugten Authentifizierungs-Serviceanbieters gibt. In den meisten Webumgebungen sind die im Dialogfenster 600 gezeigten Steuerelemente zumeist in Form eines in HTML formatierten Dokuments, d. h. in Form einer Webseite, dargestellt.
  • Die Schaltfläche „Abbrechen" 608 gibt einem Benutzer die Möglichkeit, die anstehende Anforderung für den Zugriff auf eine kontrollierte Ressource abzubrechen, bevor er aufgefordert wird, die Authentifizierungsdaten einzugeben. Das Kontrollkästchen 610 ermöglicht es einem Benutzer, zu fordern, dass der ausgewählte Authentifizierungs-Serviceanbieter vom E-Commerce-Serviceanbieter stets verwendet werden soll, wenn der E-Commerce-Serviceanbieter zur Authentifizierung den Kontakt zu einem Authentifizierungs-Serviceanbieter aufnehmen muss. Die Schaltfläche 612 schließt das Dialogfenster und teilt dem E-Commerce-Serviceanbieter mit, dass der Benutzer wünscht, dass für Bestätigungsanforderungen durch den E-Commerce-Serviceanbieter der durch die runden Optionsfelder angezeigte Authentifizierungs-Serviceanbieter verwendet werden soll. Die Schaltfläche 614 schließt das Dialogfenster und teilt dem E-Commerce-Serviceanbieter mit, dass der Benutzer eine Beziehung zu dem durch die runden Optionsfelder angezeigten Authentifizierungs-Serviceanbieter herstellen möchte.
  • Der Prozess zur Bestätigung einer Benutzeridentität wird mitunter als „Übertragung von Authentifizierungszusicherungen" quer durch eine föderierte Umgebung oder eine E-Community bezeichnet. Die Ursprungsdomäne des Benutzers bestätigt einer anderen Domäne die Identität des Benutzers. Das bedeutet, dass jede an der föderierten Umgebung beteiligte Organisation für die Verwaltung der Benutzer in der Ursprungsdomäne und für die Bereitstellung eines Regelsatzes zur Zuordnung der bestätigten Identitäten von anderen Domänen zuständig ist.
  • Unter Bezugnahme auf die in 2 gezeigte föderierte Umgebung kann die vorliegende Erfindung genauer beschrieben werden. Der Bestätigungsprozess kommt zustande, wenn ein Benutzer eine Ressource von einer Domäne anfordert, mit welcher der Benutzer keine aktive, authentifizierte Sitzung hat, zum Beispiel von den durch ECSP 210 oder ECSP 212 unterstützten Domänen.
  • Angenommen, der Benutzer beim Client 202 versucht, auf eine Ressource von ECSP 210 zuzugreifen, auf dessen Ressourcen der Benutzer noch nie zugegriffen hat. Damit liegt beim Client 202 noch kein von ECSP 210 gesetztes AIDC vor und ECSP 210 fordert den Benutzer auf, die Identität eines bevorzugten Authentifizierungs-Serviceanbieters anzugeben. Ebenso wie bei der obigen Erörterung von 6 können dem Benutzer Optionen vorgelegt werden, zum Beispiel „bei ANSP-X authentifizieren" oder „bei ANSP-X anmelden". Mit der gesamten. Anforderung wäre außerdem auch noch die Option verbunden, immer einen ausgewählten Authentifizierungs-Serviceanbieter zu verwenden. Wenn der Benutzer diese Optionen ausgewählt hat, erzeugt der ECSP 210 ein entsprechendes Token, das an den vom Benutzer ausgewählten Authentifizierungs-Serviceanbieter gesendet wird.
  • Angenommen, der Benutzer hat eine Option zur Authentifizierung beim ANSP 214 ausgewählt. ECSP 210 erzeugt eine Bestätigungsanforderung für den ANSP 214 und sendet diese Anforderung durch Umleitung über den Browser des Clients 202 an den ANSP 214. Die Bestätigungsanforderung wird vom ANSP 214 empfangen und wenn bei diesem eine gültige laufende Sitzung mit dem Benutzer vorliegt, erzeugt der ANSP 214 eine Bestätigungsantwort und sendet diese durch HTTP-Umleitung über den Browser des Benutzers zurück zum ECSP 210. Wenn beim ANSP 214 gerade keine aktive Sitzung mit dem Benutzer vorliegt, fordert der ANSP 214 den Benutzer zur Eingabe von Authentifizierungsinformationen auf. Je nach dem Ergebnis der Authentifizierung erzeugt der ANSP 214 eine Bestätigungsantwort für den ECSP 210, wobei die Bestätigungsantwort entweder eine erfolgreiche oder eine fehlgeschlagene Authentifizierung anzeigen kann. Diese Bestätigungsantwort wird durch HTTP-Umleitung über den Browser des Benutzers zum ECSP 210 zurück gesendet.
  • Nach dem Empfangen des Bestätigungs-Tokens mit der Anzeige einer erfolgreichen Authentifizierung vom ANSP 214 aktiviert ECSP 210 eine Sitzung für den Client 202 und fällt anhand der Anforderung des Benutzers eine Entscheidung über die Zugriffskontrolle. Wenn der Benutzer die Option „immer diesen ANSP verwenden" ausgewählt hat, erzeugt ECSP 210 für den Benutzer ein ANSP-ID-Cookie (AIDC). Dieses Cookie kennzeichnet den vom Benutzer bevorzugten Authentifizierungs-Serviceanbieter. Weitere Zugriffe auf Ressourcen beim ECSP 210 erzeugen beim Fehlen einer gerade aktiven Sitzung automatisch eine Anforderung nach einem Bestätigungs-Token vom ANSP 214 über eine HTTP-Umleitung über den Browser des Benutzers.
  • Auf diese Weise werden Informationen von einer Ursprungsdomäne durch ein Bestätigungs-Token an andere Domänen in der föderierten Umgebung, d. h. der E-Community, weitergegeben. Das Bestätigungs-Token dient der Bestätigung der Authentizität der Benutzeridentität gegenüber anderen Organisationen in der föderierten Umgebung. Das Bestätigungs-Token wird für jede Domäne der E-Community nur auf Anforderung erzeugt und kann von keiner anderen als der gewünschten Domäne der E-Community genutzt werden. Das Bestätigungs-Token ist insofern vorzugsweise vorübergehend, als es nur zum Umleiten verwendet wird und nicht im persistenten oder im nicht persistenten Cookie-Speicher bleibt. Darüber hinaus ist das Bestätigungs-Token vorzugsweise durch Verschlüsselung geschützt. Das Bestätigungs-Token ist Bestandteil der Antwort, die wieder zur „anfordernden" Domäne der E-Community zurückgesendet wird. Wenn die anfordernde Front-End-Einheit bzw. die Domäne die Antwort empfängt, analysiert diese das Bestätigungs-Token, ordnet die Benutzeridentität einer lokalen Identität zu, erzeugt Berechtigungsnachweise für den Benutzer, fällt die Entscheidung über die Zugriffskontrolle und liefert die passende Antwort auf die Anforderung des Benutzers. Diese Front-End-Einheit kann dann die Identität des Benutzers innerhalb der Domäne bestätigen.
  • Die Vorteile der vorliegenden Erfindung werden aus der obigen detaillierten Beschreibung der Erfindung ersichtlich. Die vorliegende Erfindung gestattet einem Benutzer, Vereinbarungen mit einem oder mehreren Authentifizierungs-Serviceanbietern (ANSPs) zu treffen. Der Benutzer unterhält eine Beziehung zu diesen ANSPs und authentifiziert sich bei einem Authentifizierungs-Serviceanbieter. E-Commerce-Serviceanbieter (ECSPs), zum Beispiel Onlinebanken oder Onlinehändler, unterhalten ebenfalls eine Beziehung zu einem ANSP, sodass der E-Commerce-Serviceanbieter der im Auftrag des Benutzers vom ANSP bereitgestellten authentifizierten Identität eines Benutzers vertrauen kann. Der Benutzer kann einen beliebigen E-Commerce-Serviceanbieter aufsuchen, ohne vorher eine Beziehung zu diesem bestimmten E-Commerce-Serviceanbieter hergestellt haben zu müssen. Solange die Domäne des E-Commerce-Serviceanbieters eine Beziehung zu mindestens einem der Authentifizierungs-Serviceanbieter des Benutzers unterhält, braucht sich der Benutzer lediglich einmal bei diesem E-Commerce-Serviceanbieter anzumelden. Durch die vorliegende Erfindung wird der Benutzer unter bestimmten Bedingungen nicht zur Authentifizierung aufgefordert, wenn er auf eine geschützte Ressource auf einer zweiten Domäne innerhalb einer föderierten Umgebung zuzugreifen versucht. Dadurch wird die freie Beweglichkeit zwischen Domänen, die an einer domänenübergreifenden Föderation oder Anordnung mit einmaliger Anmeldung beteiligt sind, etwas erhöht. Der Benutzer kann seine Leistungsfähigkeit oder Produktivität steigern, da er sich nicht mehrmals authentifizieren lassen muss, was das freie Navigieren zwischen Websites einschränken kann.
  • Von Bedeutung ist, dass die vorliegende Erfindung zwar im Zusammenhang mit einem voll funktionstüchtigen Datenverarbeitungssystem beschrieben wurde, jedoch dem Fachmann klar sein wird, dass die Prozesse der vorliegenden Erfindung unabhängig von der jeweiligen Art des gerade zur Verteilung als Signalträger verwendeten Mediums in Form von Befehlen auf einem computerlesbaren Medium und in einer Vielfalt von anderen Formen verteilt werden können. Beispiele für computerlesbare Medien sind EPROM, ROM, Magnetband, Papier, Diskette, Festplattenlaufwerk, RAM und CD-ROMs sowie Datenübertragungsmedien wie digitale und analoge Datenübertragungsverbindungen.
  • Die Beschreibung der vorliegenden Erfindung dient der Veranschaulichung und ist nicht als erschöpfend oder auf die beschriebenen Ausführungsarten beschränkt anzusehen. Dem Fachmann wird klar sein, dass viele Modifikationen oder Variationen möglich sind. Die Ausführungsarten wurden zur Erläuterung der Prinzipien der Erfindung und ihrer praktischen Anwendungen gewählt und um die Erfindung Fachleuten verständlich zu machen, damit diese verschiedene Ausführungsarten mit verschiedenen Modifikationen realisieren können, die für weitere denkbare Anwendungszwecke geeignet sind.

Claims (10)

  1. Verfahren zur benutzerdefinierten Authentifizierung innerhalb einer föderierten Umgebung (200), die einen durch einen Client (202) dargestellten Benutzer, eine Vielzahl von E-Commerce-Serviceanbietern (210, 212) und eine Vielzahl von Authentifizierungs-Serviceanbietern (214, 216) umfasst, wobei das Verfahren die folgenden Schritte umfasst: Empfangen einer Anforderung (302) eines Clients an einem ersten Server für das Zugreifen auf eine durch den ersten Server kontrollierte Ressource; Ermitteln (304), ob der erste Server über einen gültigen Authentifizierungsnachweis für den Client am ersten Server verfügt; A: wenn der erste Server über einen gültigen Authentifizierungsnachweis verfügt: Herbeiführen einer Entscheidung über die Zugriffskontrolle (322) für die Anforderung eines Clients für den Zugriff (326) auf die kontrollierte Ressource ausgehend von dem Authentifizierungsnachweis für den Client am ersten Server; wenn der erste Server über keinen gültigen Authentifizierungsnachweis verfügt: Ermitteln (306), ob der erste Server über eine Identität eines zweiten Servers verfügt, um einen Authentifizierungsservice zu unterstützen, der vorher mit dem Client am ersten Server verbunden war; B: wenn der erste Server über eine Identität eines zweiten Servers verfügt: Senden einer Authentifizierungsanforderung (312) vom ersten Server an den zweiten Server; Empfangen (314, 316) des Authentifizierungsnachweises für den Client vom zweiten Server; und Fortfahren mit Schritt A; wenn der erste Server über keine Identität eines zweiten Servers verfügt: Vorlegen eines Menüs von Authentifizierungs-Serviceanbietern (502) für den Client; Empfangen einer Auswahl (504) einer Identität für den zweiten Server vom Client; und Fortfahren mit Schritt B.
  2. Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Ermitteln auf dem zweiten Server (404), ob der zweite Server über einen gültigen Authentifizierungsnachweis für den Client verfügt; und als Reaktion auf eine Ermittlung, dass der zweite Server über einen gültigen Authentifizierungsnachweis für den Client verfügt, Zurückgeben eines gültigen Authentifizierungsstatus (410) als Reaktion auf eine Authentifizierungsanforderung des ersten Servers.
  3. Verfahren nach Anspruch 1 oder Anspruch 2, das ferner Folgendes umfasst: Zuordnen (510) der Benutzerauswahl der Identität des zweiten Servers zum Client auf dem ersten Server.
  4. Verfahren nach Anspruch 3, das ferner Folgendes umfasst: Speichern (510) der Benutzerauswahl der Identität des zweiten Servers in einem persistenten Cookie beim Client.
  5. Verfahren nach Anspruch 3, das ferner umfasst, dass einem Benutzer gestattet wird, auszuwählen (508, 610), ob die Benutzerauswahl der Identität des zweiten Servers in einem Cookie beim Client gespeichert werden soll.
  6. Verfahren nach Anspruch 3, das ferner umfasst, dass einem Benutzer gestattet wird, auszuwählen (508, 610), ob die Benutzerauswahl der Identität des zweiten Servers dem Benutzer dauerhaft zugeordnet werden soll.
  7. Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Umleiten der Authentifizierungsanforderung per HTTP an den zweiten Server über den Client (312) auf dem ersten Server.
  8. Verfahren nach Anspruch 1, das eine Netzdatennachricht (302) verwendet, die Folgendes umfasst: einen Transportprotokollheader; eine einheitliche Referenz-ID (Uniform Resource Identifier, URI), die einer kontrollierten Ressource zugeordnet ist; und ein Token eines Authentifizierungs-Serviceanbieters, das eine Domänenidentität eines Authentifizierungs-Serviceanbieters angibt, wobei der Authentifizierungs-Serviceanbieter einer aus einer Vielzahl von Authentifizierungs-Serviceanbietern in einer föderierten Umgebung ist, der zum Antworten auf eine Anforderung für den Zugriff auf die kontrollierte Ressource verwendet werden kann.
  9. Computersystem, das Mittel umfasst, welche zum Ausführen der Schritte des Verfahrens nach einem der vorangehenden Ansprüche 1 bis 8 angepasst sind.
  10. Computerprogramm, das auf einem vom Computer verwendbaren Medium gespeichert ist, wobei das Computerprogramm computerlesbare Programmmittel umfasst, mit denen ein Computer zum Ausführen eines Verfahrens nach einem der vorangehenden Ansprüche 1 bis 8 veranlasst wird, wenn das Programm auf dem Computer läuft.
DE60308692T 2002-06-28 2003-06-24 Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung Expired - Lifetime DE60308692T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/184,664 US20040002878A1 (en) 2002-06-28 2002-06-28 Method and system for user-determined authentication in a federated environment
US184664 2002-06-28
PCT/EP2003/006604 WO2004004273A1 (en) 2002-06-28 2003-06-24 Method and system for user-determined authentication and single-sign-on in a federated environment

Publications (2)

Publication Number Publication Date
DE60308692D1 DE60308692D1 (de) 2006-11-09
DE60308692T2 true DE60308692T2 (de) 2007-08-16

Family

ID=29779416

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60308692T Expired - Lifetime DE60308692T2 (de) 2002-06-28 2003-06-24 Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung

Country Status (11)

Country Link
US (1) US20040002878A1 (de)
EP (1) EP1530860B1 (de)
JP (1) JP2005538434A (de)
KR (1) KR100800339B1 (de)
CN (1) CN1653781B (de)
AT (1) ATE341146T1 (de)
AU (1) AU2003238031A1 (de)
BR (1) BR0312228A (de)
CA (1) CA2488881A1 (de)
DE (1) DE60308692T2 (de)
WO (1) WO2004004273A1 (de)

Families Citing this family (126)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127328B2 (en) * 1994-12-30 2006-10-24 Power Measurement Ltd. System and method for federated security in an energy management system
CA2377706A1 (en) * 1999-06-18 2000-12-28 Echarge Corporation Method and apparatus for ordering goods, services and content over an internetwork using a virtual payment account
US6907395B1 (en) * 2000-10-24 2005-06-14 Microsoft Corporation System and method for designing a logical model of a distributed computer system and deploying physical resources according to the logical model
US7606898B1 (en) * 2000-10-24 2009-10-20 Microsoft Corporation System and method for distributed management of shared computers
US20070198432A1 (en) 2001-01-19 2007-08-23 Pitroda Satyan G Transactional services
CA2436319C (en) * 2002-08-02 2014-05-13 Calin A. Sandru Payment validation network
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
US20040123144A1 (en) * 2002-12-19 2004-06-24 International Business Machines Corporation Method and system for authentication using forms-based single-sign-on operations
US7689676B2 (en) * 2003-03-06 2010-03-30 Microsoft Corporation Model-based policy application
US8122106B2 (en) * 2003-03-06 2012-02-21 Microsoft Corporation Integrating design, deployment, and management phases for systems
US7890543B2 (en) 2003-03-06 2011-02-15 Microsoft Corporation Architecture for distributed computing system and automated design, deployment, and management of distributed applications
US7072807B2 (en) * 2003-03-06 2006-07-04 Microsoft Corporation Architecture for distributed computing system and automated design, deployment, and management of distributed applications
JP4485141B2 (ja) 2003-04-10 2010-06-16 株式会社日立製作所 ネットワーク上のサービス公開及び提供方法並びにそのプログラム
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US7636917B2 (en) * 2003-06-30 2009-12-22 Microsoft Corporation Network load balancing with host status information
US7606929B2 (en) * 2003-06-30 2009-10-20 Microsoft Corporation Network load balancing with connection manipulation
US7590736B2 (en) * 2003-06-30 2009-09-15 Microsoft Corporation Flexible network load balancing
US7590705B2 (en) 2004-02-23 2009-09-15 Microsoft Corporation Profile and consent accrual
US7778422B2 (en) * 2004-02-27 2010-08-17 Microsoft Corporation Security associations for devices
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
CA2561906C (en) 2004-03-30 2014-03-25 International Business Machines Corporation System, method and program for user authentication, and recording medium on which the program is recorded
US7607008B2 (en) * 2004-04-01 2009-10-20 Microsoft Corporation Authentication broker service
EP1735984B1 (de) * 2004-04-16 2014-01-15 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Verfahren und vorrichtung zur verwaltung von geteilten gebrauchermerkmalen zwischen dienstanbietern
US20050246529A1 (en) * 2004-04-30 2005-11-03 Microsoft Corporation Isolated persistent identity storage for authentication of computing devies
US7836484B2 (en) * 2004-05-11 2010-11-16 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing access to an identity service
US20050278333A1 (en) * 2004-05-26 2005-12-15 International Business Machines Corporation Method and system for managing privacy preferences
US7640574B1 (en) 2004-06-02 2009-12-29 Sun Microsystems, Inc. Method and system for resource based authentication
KR100992016B1 (ko) * 2004-07-21 2010-11-05 인터내셔널 비지네스 머신즈 코포레이션 데이터 프로세싱 시스템 내에 연합 기능성을 제공하는 방법및 장치
US8689276B2 (en) * 2004-08-25 2014-04-01 Adobe Systems Incorporated System and method for controlling access to files
US20060080730A1 (en) * 2004-10-12 2006-04-13 Conor Cahill Affiliations within single sign-on systems
US7702917B2 (en) 2004-11-19 2010-04-20 Microsoft Corporation Data transfer using hyper-text transfer protocol (HTTP) query strings
US20060123472A1 (en) * 2004-12-07 2006-06-08 Microsoft Corporation Providing tokens to access federated resources
US7603555B2 (en) * 2004-12-07 2009-10-13 Microsoft Corporation Providing tokens to access extranet resources
US7562382B2 (en) * 2004-12-16 2009-07-14 International Business Machines Corporation Specializing support for a federation relationship
US20060206926A1 (en) * 2005-03-14 2006-09-14 Agfa Inc. Single login systems and methods
US7802144B2 (en) 2005-04-15 2010-09-21 Microsoft Corporation Model-based system monitoring
US8489728B2 (en) 2005-04-15 2013-07-16 Microsoft Corporation Model-based system monitoring
US7797147B2 (en) 2005-04-15 2010-09-14 Microsoft Corporation Model-based system monitoring
JP4151978B2 (ja) * 2005-05-25 2008-09-17 インターナショナル・ビジネス・マシーンズ・コーポレーション サーバ装置、管理方法およびプログラム
US20070016393A1 (en) * 2005-06-29 2007-01-18 Microsoft Corporation Model-based propagation of attributes
US8549513B2 (en) 2005-06-29 2013-10-01 Microsoft Corporation Model-based virtual system provisioning
US20070011172A1 (en) * 2005-07-05 2007-01-11 Netfire1 Pty Ltd Managed e-community trading environments
FR2889388A1 (fr) * 2005-07-26 2007-02-02 France Telecom Procede et systeme de gestion securise de donnees entre un serveur et un client
US20130339232A1 (en) 2005-10-06 2013-12-19 C-Sam, Inc. Widget framework for securing account information for a plurality of accounts in a wallet
US10032160B2 (en) 2005-10-06 2018-07-24 Mastercard Mobile Transactions Solutions, Inc. Isolating distinct service provider widgets within a wallet container
US7941309B2 (en) * 2005-11-02 2011-05-10 Microsoft Corporation Modeling IT operations/policies
US8418234B2 (en) * 2005-12-15 2013-04-09 International Business Machines Corporation Authentication of a principal in a federation
US9065978B2 (en) 2005-12-19 2015-06-23 At&T Intellectual Property I, Lp Method for acquiring services on a multiplicity of devices
FR2898748A1 (fr) * 2006-03-17 2007-09-21 France Telecom Procede et dispositif de gestion des instances d'une application informatique
KR100773788B1 (ko) 2006-03-27 2007-11-12 (주)엔텔스 선불 사용자를 위한 유무선 연동 서비스 통합인증 방법,시스템 및 서버
JP4867486B2 (ja) * 2006-06-12 2012-02-01 富士ゼロックス株式会社 制御プログラムおよび通信システム
US8392587B2 (en) 2006-06-28 2013-03-05 International Business Machines Corporation Federated management framework for credential data
US20080027939A1 (en) * 2006-07-31 2008-01-31 Chalasani Nanchariah R Method, system, and program product for controlling access to personal attributes across enterprise domains
JP4946564B2 (ja) * 2007-03-27 2012-06-06 富士通株式会社 認証処理方法及びシステム
US8572716B2 (en) 2007-04-23 2013-10-29 Microsoft Corporation Integrating operating systems with content offered by web based entities
US20080288622A1 (en) * 2007-05-18 2008-11-20 Microsoft Corporation Managing Server Farms
US8527757B2 (en) * 2007-06-22 2013-09-03 Gemalto Sa Method of preventing web browser extensions from hijacking user information
US8655719B1 (en) * 2007-07-25 2014-02-18 Hewlett-Packard Development Company, L.P. Mediating customer-driven exchange of access to personal data for personalized merchant offers
CN101420416B (zh) * 2007-10-22 2013-03-13 ***通信集团公司 身份管理平台、业务服务器、登录***及方法、联合方法
US8397168B2 (en) 2008-04-05 2013-03-12 Social Communications Company Interfacing with a spatial virtual communication environment
KR101527993B1 (ko) 2008-04-05 2015-06-10 소우셜 커뮤니케이션즈 컴퍼니 가상 환경과의 인터페이스 방법
JP4336766B1 (ja) * 2008-04-18 2009-09-30 日本電気株式会社 無線通信システム、認証処理部選択方法
US9348991B2 (en) 2008-05-20 2016-05-24 International Business Machines Corporation User management of authentication tokens
US8312033B1 (en) 2008-06-26 2012-11-13 Experian Marketing Solutions, Inc. Systems and methods for providing an integrated identifier
US8151333B2 (en) * 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
JP5153591B2 (ja) * 2008-11-26 2013-02-27 株式会社日立製作所 認証仲介サーバ、プログラム、認証システム及び選択方法
CN102362283A (zh) 2008-12-05 2012-02-22 社会传播公司 管理网络通信环境中的交互
CN101902327B (zh) * 2009-06-01 2012-05-23 ***通信集团公司 一种实现单点登录的方法、设备及其***
US20110030039A1 (en) * 2009-07-31 2011-02-03 Eric Bilange Device, method and apparatus for authentication on untrusted networks via trusted networks
CN101998360B (zh) * 2009-08-11 2015-05-20 中兴通讯股份有限公司 建立身份管理信任的方法及身份提供方和业务提供方
US9407959B2 (en) 2009-09-21 2016-08-02 Adobe Systems Incorporated Monitoring behavior with respect to a software program
US20110161473A1 (en) * 2009-12-30 2011-06-30 Motorola, Inc. Analytics-based binding of identifiers across information domains while maintaining confidentiality
US9595039B2 (en) * 2009-12-30 2017-03-14 Motorola Solutions, Inc. Stimulus/response-based binding of identifiers across information domains while maintaining confidentiality
US8972540B2 (en) * 2009-12-30 2015-03-03 Motorola Solutions, Inc. Incenting divulgence of information for binding identifiers across information domains while maintaining confidentiality
US20110161474A1 (en) * 2009-12-30 2011-06-30 Motorola, Inc. Brokering information across information domains while maintaining confidentiality
US20110161472A1 (en) * 2009-12-30 2011-06-30 Motorola, Inc. Client-based binding of identifiers across information domains while maintaining confidentiality
US20110166943A1 (en) * 2010-01-07 2011-07-07 Oracle International Corporation Policy-based advertisement engine
US9509791B2 (en) 2010-01-07 2016-11-29 Oracle International Corporation Policy-based exposure of presence
US20110167479A1 (en) * 2010-01-07 2011-07-07 Oracle International Corporation Enforcement of policies on context-based authorization
US9467858B2 (en) 2010-02-05 2016-10-11 Oracle International Corporation On device policy enforcement to secure open platform via network and open network
US9495521B2 (en) * 2010-02-05 2016-11-15 Oracle International Corporation System self integrity and health validation for policy enforcement
US20110196728A1 (en) * 2010-02-05 2011-08-11 Oracle International Corporation Service level communication advertisement business
US9530166B2 (en) * 2010-04-21 2016-12-27 Facebook, Inc. Social graph that includes web pages outside of a social networking system
US8250145B2 (en) * 2010-04-21 2012-08-21 Facebook, Inc. Personalizing a web page outside of a social networking system with content from the social networking system
US20110283341A1 (en) * 2010-05-13 2011-11-17 Nikhil Sanjay Palekar Facilitating Secure Communications
US9152727B1 (en) 2010-08-23 2015-10-06 Experian Marketing Solutions, Inc. Systems and methods for processing consumer information for targeted marketing applications
KR20130077877A (ko) 2010-09-11 2013-07-09 소우셜 커뮤니케이션즈 컴퍼니 가상 영역 컨텍스트에서 관계 기반 존재 표시
CN102546570B (zh) * 2010-12-31 2014-12-24 国际商业机器公司 用于单点登录的处理方法和***
JP5289480B2 (ja) * 2011-02-15 2013-09-11 キヤノン株式会社 情報処理システム、情報処理装置の制御方法、およびそのプログラム。
US9665854B1 (en) 2011-06-16 2017-05-30 Consumerinfo.Com, Inc. Authentication alerts
CN102882763B (zh) 2011-07-12 2018-02-06 中兴通讯股份有限公司 一种实现社区联合的方法和装置
US8613068B2 (en) 2011-08-04 2013-12-17 Microsoft Corporation Cross-domain session refresh
US8849721B2 (en) 2011-09-21 2014-09-30 Facebook, Inc. Structured objects and actions on a social networking system
CN103023638B (zh) * 2011-09-22 2016-03-30 阿里巴巴集团控股有限公司 一种基于移动终端的身份验证方法及装置
EP2767110A4 (de) 2011-10-12 2015-01-28 C Sam Inc Plattform für mehrstufige sichere mobile transaktionen
CN103067337B (zh) * 2011-10-19 2017-02-15 中兴通讯股份有限公司 一种身份联合的方法、IdP、SP及***
US9792451B2 (en) 2011-12-09 2017-10-17 Echarge2 Corporation System and methods for using cipher objects to protect data
CN103188281B (zh) 2011-12-27 2016-05-25 腾讯科技(深圳)有限公司 一种网站更新回复的方法及***
US20130254300A1 (en) * 2012-03-22 2013-09-26 Adam Berk Computer-based Methods and Systems for Verifying User Affiliations for Private or White Label Services
US8813206B2 (en) 2012-11-27 2014-08-19 Hong Kong Applied Science and Technology Research Institute Company Limited Anonymous personal content access with content bridge
US9251331B2 (en) 2013-01-22 2016-02-02 Canon Information And Imaging Solutions, Inc. Simplified user registration
US9633322B1 (en) 2013-03-15 2017-04-25 Consumerinfo.Com, Inc. Adjustment of knowledge-based authentication
US10664936B2 (en) 2013-03-15 2020-05-26 Csidentity Corporation Authentication systems and methods for on-demand products
US9721147B1 (en) 2013-05-23 2017-08-01 Consumerinfo.Com, Inc. Digital identity
CN103839138A (zh) * 2014-03-08 2014-06-04 成都文昊科技有限公司 用于支撑多个异构***交互的***
US10373240B1 (en) 2014-04-25 2019-08-06 Csidentity Corporation Systems, methods and computer-program products for eligibility verification
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US9875468B2 (en) * 2014-11-26 2018-01-23 Buy It Mobility Networks Inc. Intelligent authentication process
CN104639548B (zh) * 2015-02-03 2018-09-18 北京羽乐创新科技有限公司 一种登陆应用的方法和装置
US9779233B2 (en) * 2015-03-05 2017-10-03 Ricoh Co., Ltd. Broker-based authentication system architecture and design
CN106161361B (zh) * 2015-04-03 2018-10-02 北京神州泰岳软件股份有限公司 一种跨域资源的访问方法及装置
US11954671B2 (en) * 2015-04-27 2024-04-09 Paypal, Inc. Unified login across applications
US9922475B2 (en) 2015-09-11 2018-03-20 Comcast Cable Communications, Llc Consensus based authentication and authorization process
US9923888B2 (en) * 2015-10-02 2018-03-20 Veritas Technologies Llc Single sign-on method for appliance secure shell
WO2017152037A1 (en) 2016-03-04 2017-09-08 1Usf, Inc. Systems and methods for media codecs and containers
GB2551978A (en) * 2016-06-30 2018-01-10 Ipco 2012 Ltd A method, apparatus, computer program product, computer readable storage medium, information processing apparatus and server
US10171467B2 (en) 2016-07-21 2019-01-01 International Business Machines Corporation Detection of authorization across systems
US11010730B2 (en) * 2016-09-15 2021-05-18 Paypal, Inc. Scope-delimited sharing of encoded sensitive data
US20190327226A1 (en) * 2018-04-19 2019-10-24 Averon Us, Inc. Using identity-linked device information for user identification and transaction personalization via mobile tagging
US10911234B2 (en) 2018-06-22 2021-02-02 Experian Information Solutions, Inc. System and method for a token gateway environment
US11223622B2 (en) * 2018-09-18 2022-01-11 Cyral Inc. Federated identity management for data repositories
US11477197B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Sidecar architecture for stateless proxying to databases
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11941065B1 (en) 2019-09-13 2024-03-26 Experian Information Solutions, Inc. Single identifier platform for storing entity data
CA3105899A1 (en) * 2020-01-15 2021-07-15 IDENTOS Inc. Computer-implemented systems for distributed authorization and federated privacy exchange
EP3859574A1 (de) * 2020-01-28 2021-08-04 Siemens Aktiengesellschaft Verfahren zur universellen einmalanmeldung, single-sign-on und vorrichtung

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5729537A (en) * 1996-06-14 1998-03-17 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing anonymous data transfer in a communication system
CN1124766C (zh) * 1997-08-01 2003-10-15 夸尔柯姆股份有限公司 在无线通信中防止应答攻击的***和方法
EP0940960A1 (de) * 1998-03-02 1999-09-08 Hewlett-Packard Company Authentifizierung zwischen Anbietern
US6240512B1 (en) * 1998-04-30 2001-05-29 International Business Machines Corporation Single sign-on (SSO) mechanism having master key synchronization
DE60031755T2 (de) * 1999-09-24 2007-09-06 Citicorp Development Center, Inc., Los Angeles Verfahren und Vorrichtung für authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
WO2002014974A2 (en) * 2000-08-14 2002-02-21 Comsense Technologies, Ltd. Multi-server authentication
AU2002212345A1 (en) * 2000-11-09 2002-05-21 International Business Machines Corporation Method and system for web-based cross-domain single-sign-on authentication

Also Published As

Publication number Publication date
CN1653781B (zh) 2011-06-15
EP1530860B1 (de) 2006-09-27
DE60308692D1 (de) 2006-11-09
CN1653781A (zh) 2005-08-10
JP2005538434A (ja) 2005-12-15
KR100800339B1 (ko) 2008-02-04
EP1530860A1 (de) 2005-05-18
AU2003238031A1 (en) 2004-01-19
US20040002878A1 (en) 2004-01-01
ATE341146T1 (de) 2006-10-15
CA2488881A1 (en) 2004-01-08
WO2004004273A1 (en) 2004-01-08
BR0312228A (pt) 2005-04-12
KR20050013559A (ko) 2005-02-04

Similar Documents

Publication Publication Date Title
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE60130037T2 (de) Verfahren und system zur web-basierten cross-domain berechtigung mit einmaliger anmeldung
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE602005003314T2 (de) Spezialisierung der Unterstützung für eine Verbandsbeziehung
DE60308733T2 (de) Dienstanbieteranonymisierung in einem single sign-on system
DE60027971T2 (de) Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
US8095658B2 (en) Method and system for externalizing session management using a reverse proxy server
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE602005001613T2 (de) Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen
DE60220718T2 (de) Verfahren und system zur sicheren behandlung von elektronischen geschäften im internet
DE69835416T2 (de) Verfahren zur sicheren ausführung eines fernmeldebefehls
KR100946110B1 (ko) 기존 ssl 세션을 브레이킹하지 않고 인증서-기반 인증으로 스텝 업하는 방법 및 시스템
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
US8006289B2 (en) Method and system for extending authentication methods
DE60315914T2 (de) Ad hoc Sicherheitszugriff auf Dokumente und Dienste
EP1358533B1 (de) Verfahren, anordnung und sicherheitsmedium zur authentifizierung eines benutzers
DE60312911T2 (de) System für mobile Authentifizierung mit reduzierten Authentifizierungsverzögerung
DE60031755T2 (de) Verfahren und Vorrichtung für authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
EP1777907B1 (de) Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
EP3764614B1 (de) Verteiltes authentifizierungssystem
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
US20060218629A1 (en) System and method of tracking single sign-on sessions
DE602004012300T2 (de) Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)