JP2000347994A - 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン - Google Patents

複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン

Info

Publication number
JP2000347994A
JP2000347994A JP2000121905A JP2000121905A JP2000347994A JP 2000347994 A JP2000347994 A JP 2000347994A JP 2000121905 A JP2000121905 A JP 2000121905A JP 2000121905 A JP2000121905 A JP 2000121905A JP 2000347994 A JP2000347994 A JP 2000347994A
Authority
JP
Japan
Prior art keywords
server
client
authentication information
module
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000121905A
Other languages
English (en)
Other versions
JP4639297B2 (ja
Inventor
Gadei Gai
ガディ ガイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JP2000347994A publication Critical patent/JP2000347994A/ja
Application granted granted Critical
Publication of JP4639297B2 publication Critical patent/JP4639297B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 ユーザが、サーバごとに異なるパスワードを
使用して多数のサーバにサインオンできるが、単一のマ
スタパスワードを覚えてさえいれば良いように、クライ
アントサーバシステムでユーザを認証するための方法お
よびシステムを提供する。 【解決手段】クライアントは、クライアントで記憶され
ているマスタ認証情報と、第1サーバに関連するデータ
とに基づき、第1サーバのためにサーバ特有の認証情報
のセットを作成する(ステップ200〜212)。そし
て、クライアントは、第1サーバによって制御されてい
る限定リソースにアクセスするために、第1サーバ特有
の認証情報を第1サーバに供給する(ステップ21
4)。また、第1サーバ特有の認証情報とマスタ認証情
報とは異なる。これにより、種々のサーバの管理者は、
他のサーバでユーザのアカウントにアクセスできるよう
にする情報を持っていない。

Description

【発明の詳細な説明】
【0001】(技術分野)本発明は、ネットワーク化さ
れたコンピュータシステムに関し、より特定的には、複
数の別々に制御されている限定アクセスリソースを含む
ネットワークシステムにおけるユーザ認証に関する。
【0002】ワールドワイドウェブ(WWW)は、イン
ターネット上に、そのそれぞれが1つまたは複数のHT
ML(ハイパーテキストマーク付け言語)ページと関連
しているサーバのネットワークを含む。サーバに関連す
るHTMLページは、情報と、そのサーバおよび(通
常)それ以外のサーバ上のほかの文書に対するハイパー
テキストリンクとを提供する。サーバは、ハイパーテキ
スト転送プロトコル(HTTP)を使用することによっ
て、クライアントと通信する。サーバは、クライアント
からのそのHTMLページに対する要求がないか聞くた
め、多くの場合「リスナー」と呼ばれる。
【0003】ワールドワイドウェブのユーザは、ブラウ
ザと呼ばれているクライアントプログラムを使用し、リ
スナーからの情報を要求、復号、および表示する。ブラ
ウザのユーザがHTMLページでリンクを選択すると、
そのページを表示しているブラウザがインターネット上
で、リンク内で指定されているUniversal Resource Loc
ator(URL)と関連しているリスナーに要求を送る。
要求に応えて、リスナーは要求されたデータを要求を発
行したブラウザに伝送する。ブラウザは情報を受信し、
受信された情報をユーザに提示し、次のユーザ要求を待
機する。
【0004】インターネット上のサーバは、多数の識別
不能のクライアントによってアクセスできるため、限定
情報に対する無許可アクセスから保護するために複数の
保護機構が開発されてきた。限定情報への無許可アクセ
スを妨げるために使用されている1つのアプローチは、
クライアントに、彼らが特定のサーバで情報へのアクセ
スができるようになる前に一定の認証情報の提供を要求
することである。この認証情報は、典型的には、use
rid(ユーザID)/パスワードの組み合わせ、特定
のIPアドレス、特定のドメイン名または情報にアクセ
スしようとする特定のユーザおよび/または機械を識別
できるその他の情報などのアイテムから成り立ってい
る。
【0005】ユーザを認証するために使用されてよい多
様な種類の認証情報の内、userid/パスワードの
組み合わせは、特定の機械やサービスプロバイダに結び
付けられていないため、多くの場合好まれる。したがっ
て、ユーザがそのuseridとパスワードを覚えてい
る限り、彼らはインターネットに接続されている任意の
機械から限定サイトへのアクセスを獲得することができ
る。認証情報がuserid/パスワードの組み合わせ
から成り立っている場合、ユーザは、ウェブサーバがユ
ーザに限定情報を提供する前に、そのuserid/パ
スワードの組み合わせを何らかの方法でウェブサーバに
提供する。
【0006】一旦、ユーザが認証情報をサーバに提出す
ると、サーバは、そのユーザが実際に限定情報にアクセ
スすることを許可されているかどうかを判断する。サー
バが、そのユーザが限定情報にアクセスすることを許可
されていると判断する場合には、限定情報がユーザに送
られる。それ以外の場合には、ユーザは限定情報へのア
クセスを許されない。
【0007】任意の指定されているユーザの場合、多数
のオンラインサービスプロバイダの限定リソースにアク
セスするためには、頻繁に認証情報が必要とされる。そ
れぞれの別々に制御されているウェブサーバは、その製
品またはサービスへのアクセスを許す前に、ユーザに、
認証情報(例えば、userid/パスワードの組み合
わせ)を提供するように要求する。したがって、ユーザ
が、例えば新規プロバイダと金融サービスプロバイダな
どの2つの別々に制御されているオンラインサーバに加
入している場合、各プロバイダが、そのサービスへのユ
ーザアクセスを許す前に、userid/パスワードの
組み合わせを要求するだろう。
【0008】これは、ユーザが別々に制御されている限
定リソースごとにパスワードを思い出さなければならな
いため、ユーザにとっての問題を生じさせる。すなわ
ち、任意の指定ユーザが多数のこのようなサービスに加
入すると、ユーザは多数のパスワードを覚えなければな
らない。その結果、ユーザは多数の別個のパスワードを
自らの記憶に保持する必要を回避するために多様な技法
を採用してきた。
【0009】複数のパスワードの記憶を回避する1つの
アプローチとは、ユーザが、その認証情報の文書による
コピーを自分のコンピュータの上または近くに保持して
おくことである。このようにして、そのuserid/
パスワードの組み合わせを要求されると、彼らはそれを
記憶から思い起こす代わりに、それを読むだけでよい。
しかしながら、第三者が、文書によるメモから認証情報
を容易に取得し、それによって一覧表示されているサー
ビスプロバイダのすべてへの無許可アクセスを得る可能
性があるため、このアプローチは機密保護を危険にさら
す。
【0010】複数のパスワード記憶を回避する別のアプ
ローチにおいては、ユーザはそのサービスプロバイダの
すべてに同じパスワードを使用する。あるサービスプロ
バイダの従業員が別のサービスプロバイダによって制御
されている限定リソースへの無許可アクセスのためにユ
ーザのパスワードを使用しようと試みる可能性があるた
め、再び、このアプローチは機密保護を危険にさらす。
例えば、ユーザが、スポーツニュースを読むためにある
サイトにアクセスするために、そしてユーザの銀行口座
を管理するために別々に制御されているサイトにアクセ
スするためにもパスワード「mypass」を使用する
可能性がある。スポーツニュースサイトのプロバイダの
従業員は、スポーツニュースサイト用のユーザのパスワ
ードを知り、同じパスワードを使用してユーザの銀行口
座へアクセスを試みる可能性がある。ユーザは両方のサ
ービスに同じパスワードを使用するため、スポーツニュ
ースの従業員はユーザの銀行口座の中に押し入ることが
できる。
【0011】上記に基づき、ユーザが、機密保護を危険
にさらさずに複数のパスワードを記憶する必要を回避で
きる方法を提供することが望ましい。
【0012】(発明の要約)クライアントサーバシステ
ムを、ユーザがサーバごとに異なるパスワードを使用し
て多数のサーバにサインオンできるが、単一のマスタパ
スワードだけを覚えさえすれば良いように、クライアン
トサーバシステムでユーザを認証するための方法および
システムが提供される。
【0013】本発明の1つの態様に従って、クライアン
トは、クライアントに記憶されているマスタ認証情報
と、第1サーバに関連しているデータとに基づき、第1
サーバのためにサイト特有の認証情報の第1セットを作
成する。それから、クライアントは、第1サーバによっ
て制御されている限定リソースにアクセスするために、
第1サーバに対し第1サイト特有の認証情報を供給す
る。クライアントは、同じマスタ認証情報に基づき、第
2サーバのために第2サイト特有の認証情報の第2セッ
トを作成する。しかしながら、第2サーバのためのサイ
ト特有の認証情報を作成するために、マスタリソース情
報は、第2サーバと関連するデータと結合される。クラ
イアントは、第2サーバによって制御されている限定リ
ソースにアクセスするために、第2サイト特有の認証情
報を第2サーバに供給する。
【0014】第1サイト特有の認証情報と第2サイト特
有の認証情報の両方とも、マスタ認証情報とは異なり、
第1サイト特有の認証情報は第2サイト特有の認証情報
とは異なる。したがって、多様なサーバの管理者は、彼
らが、他のサーバでユーザのアカウントにアクセスでき
るようにする情報を持たない。
【0015】本発明は、類似の参照番号が類似の要素を
指す添付図面の図の中で、制限によってではなく、例に
よって示されている。
【0016】(好ましい実施の形態の説明)複数の別々
に制御されている限定アクセスリソースを含むネットワ
ークシステムに対する単一サインオン用の方法および機
器が説明される。以下の説明の中では、説明の目的のた
めに、多数の特殊な詳細が、本発明の徹底的な理解を提
供するために述べられている。しかしながら、当業者に
とっては、本発明が、これらの特定の詳細なしに実践さ
れてよいことが明らかだろう。その他の例では、周知の
構造およびデバイスが、本発明を不必要に分かりにくく
するのを避けるためにブロック図形式で示されている。
【0017】ハードウェア概要 図1は、その上で本発明が実現されてよい、コンピュー
タシステム100を示すブロック図である。コンピュー
タシステム100は、情報を通信するためのバス102
またはそれ以外の通信機構、および情報を処理するため
にバス102と結合されているプロセッサ104を含
む。コンピュータシステム100は、情報とプロセッサ
104によって実行される命令を記憶するためにバス1
02に結合されている、ランダムアクセスメモリ(RA
M)またはその他の動的(dynamic)記憶装置な
どのメインメモリ106を含む。メインメモリ106
は、プロセッサ104によって実行される命令の実行
中、一時的な変数またはその他の中間情報を記憶するた
めにも使用されてよい。コンピュータシステム100
は、さらに、読取り専用メモリ(ROM)108または
プロセッサ104用の情報と命令を記憶するためにバス
102に結合されているその他の静的(static)
記憶装置を含む。磁気ディスクまたは光ディスクなどの
記憶装置110が提供され、情報と命令を記憶するため
にバス102に結合される。
【0018】コンピュータシステム100は、情報をコ
ンピュータユーザに表示するために、陰極線管表示装置
(CRT)などのディスプレイ112にバス102を介
して結合されてよい。英数字キーとその他のキーを含む
入力装置114は、情報とコマンドの選択をプロセッサ
104に通信するためにバス102に結合される。別の
種類のユーザ入力装置は、方向情報およびコマンド選択
をプロセッサ104に通信するため、およびディスプレ
イ112の上でカーソル移動を制御するためのマウス、
トラックボール、またはカーソル方向キーなどのカーソ
ルコントロール116である。この入力装置は、典型的
には、装置が平面内で位置を指定できるようにする、第
1軸(例えば、x)および第2軸(例えば、y)という
2つの軸の中に2つの自由度を有する。
【0019】本発明は、これ以降説明される技法を使用
して限定サービスにサインオンするためのコンピュータ
システム100の使用に関する。発明の1つの実施態様
に従って、単一サインオン機構が、メインメモリ106
の中に記憶されている1つまたは複数の命令の1つまた
は複数のシーケンスを実行するプロセッサ104に答え
て提供される。このような命令は、記憶装置110など
の別のコンピュータ読取り可能媒体からメインメモリ1
06の中に読み込まれてよい。メインメモリ106に記
憶されている命令のシーケンスの実行は、プロセッサ1
04に、ここに説明されているプロセスステップを実行
させる。代替実施態様においては、結線による回路が、
本発明を実現するために、ソフトウェア命令の代わり
に、またはソフトウェア命令と組み合わせて使用されて
よい。したがって、本発明の実施態様は、ハードウェア
回路とソフトウェアの特定の組み合わせに制限されな
い。
【0020】ここに使用されている「コンピュータ読取
り可能媒体」という用語は、実行のために、プロセッサ
104に命令を提供することに関与する媒体を指す。こ
のような媒体は、不揮発性媒体、揮発性媒体、および伝
送媒体を含むが、それらに制限されない多くの形を取っ
てよい。不揮発性媒体は、例えば、記憶装置110など
の光ディスクまたは磁気ディスクを含む。揮発性媒体
は、メインメモリ106などの動的メモリを含む。伝送
媒体は、バス102を備えるワイヤを含む同軸ケーブ
ル、銅線、および光ファイバを含む。伝送媒体は、無線
電波データ通信および赤外線データ通信の間に生成され
るものなどの可聴電波または光波の形を取ることもあ
る。
【0021】一般的な形式のコンピュータ読取り可能媒
体は、例えば、フロッピー(登録商標)ディスク、フレ
キシブルディスク、ハードディスク、磁気テープ、それ
以外の磁気媒体、CD−ROM、任意のそれ以外の光媒
体、パンチカード、紙テープ、または任意のそれ以外の
穴のパターン付きの物理的な媒体、RAM、PROM、
およびEPROM、FLASH−EPROM、それ以外
の任意のメモリチップ、またはカートリッジ、後述され
る搬送波、あるいはコンピュータがその中から読み取る
ことができる任意のそれ以外の媒体を含む。
【0022】多様な形式のコンピュータ読取り媒体は、
実行のためにプロセッサ104に1つまたは複数の命令
の1つまたは複数のシーケンスを搬送することに関わっ
てよい。例えば、命令は、最初に、遠隔コンピュータの
磁気ディスク上で実行されてよい。遠隔コンピュータ
は、命令をその動的メモリにロードし、モデムを使用し
て電話回線上で命令を送ることができる。コンピュータ
システム100にローカルなモデムは、電話回線上でデ
ータを受信し、そのデータを赤外線信号に変換するため
に赤外線送信機を使用できる。赤外線検出器は、赤外線
信号で搬送されるデータを受信し、適切な回路がデータ
をバス102の上に載せることができる。バス102
は、データをメインメモリ106に搬送し、そこからプ
ロセッサ104が命令を検索し、実行する。メインメモ
リ106によって受け取られる命令は、任意に、プロセ
ッサ104による命令の前または後のどちらかに記憶装
置110の上で記憶されてもよい。
【0023】コンピュータシステム100は、バス10
2に結合されている通信インタフェース118も含む。
通信インタフェース118は、ローカルネットワーク1
22に接続されているネットワークリンク120に結合
する双方向データ通信を提供する。例えば、通信インタ
フェース118は、データ通信コネクションを対応する
型の電話回線に提供するためにデジタル総合サービス網
(ISDN)カードまたはモデムであってもよい。別の
例として、通信インタフェース118は、互換性のある
LANにデータ通信コネクションを提供するためのロー
カルエリアネットワーク(LAN)カードであってもよ
い。無線リンクも、実現されてもよい。このようなイン
プリメンテーションにおいて、通信インタフェース11
8は、多様な種類の情報を表しているデジタルデータス
トリームを搬送する電気信号、電磁信号、または光信号
を送受する。
【0024】ネットワークリンク120は、典型的に
は、1つまたは複数のネットワークを通してそれ以外の
データデバイスにデータ通信を提供する。例えば、ネッ
トワークリンク120は、ローカルネットワーク122
を通して、インターネットサービスプロバイダ(IS
P)126によって運用されているホストコンピュータ
124またはデータ装置へコネクションを提供してもよ
い。ISP126は、代わりに、現在では一般的に「イ
ンターネット」128と呼ばれているワールドワイドパ
ケットデータ通信網を通してデータ通信サービスを提供
する。ローカルネットワーク122およびインターネッ
ト128の両方とも、デジタルデータストリームを搬送
する電気信号、電磁信号または光信号を使用する。コン
ピュータシステム100に、および、コンピュータシス
テム100から、デジタルデータを搬送する、多様なネ
ットワークを通る信号と、ネットワークリンク120上
の信号および通信インタフェース118を通る信号と
は、情報をトランスポートする搬送波の例示的な形式で
ある。
【0025】コンピュータシステム100は、メッセー
ジを送り、プログラムコードを含むデータを、ネットワ
ーク(複数の場合がある)、ネットワークリンク120
および通信インタフェース118を通して受け取る。イ
ンターネットの例では、サーバ130が、インターネッ
ト128、ISP126、ローカルネットワーク12
2、および通信インタフェース118を通してアプリケ
ーションプログラムに対し要求されたコードを伝送する
可能性がある。本発明に従って、1つのこのようなダウ
ンロード済みのアプリケーションが、ここに説明されて
いるような単一サインオン機構に対処する。
【0026】受け取られたコードは、それが受信され、
および/または実行のために記憶装置110、またはそ
れ以外の不揮発性記憶装置の中に記憶されるときにプロ
セッサ104によって実行されてよい。このようにし
て、コンピュータシステム100は、搬送波の形を取る
アプリケーションコードを取得してよい。
【0027】機能概要 ユーザが、さまざまなサイトへの異なるパスワードを提
供できるが、単一の「マスタ」パスワードを覚えさえす
れば良い単一サインオン機構が提供される。一般的に
は、ユーザは、マスタパスワードを、パスワードを限定
サイトに提供することを担当するクライアント側モジュ
ールに入力する。限定サイトがパスワードを要求する
と、クライアント側モジュールは、(1)マスタパスワ
ードと、(2)サイト特有の情報から引き出されるサイ
ト特有のパスワードとを作成する。1つの実施態様に従
って、サイト特有のパスワードを引き出すために使用さ
れる技法は、「マスタパスワード」をサイト特有のパス
ワードに基づいて判断できないようにするものである。
【0028】サイト特有のパスワードを引き出した後、
クライアント側モジュールは、限定サイトでユーザを認
証するために、サイト特有のパスワードを限定サイトに
提供する。このプロセスは任意の数または限定サイトで
繰り返されてもよく、その場合、各サイトには、異なる
サイト特有のパスワードが与えられる。さまざまなサイ
トに供給されるサイト特有のパスワードは、それらが、
部分的には異なるサイト特有の情報から引き出されるた
めに異なる。異なるサイト特殊パスワードが異なる限定
サイトに与えられるため、任意の指定限定サイトの管理
者は、ユーザの他の限定サイトでのパスワードを知らな
いだろうし、推論することはできないだろう。
【0029】1つの実施態様に従って、ユーザは単一パ
スワードを覚えさえすればいいだけではなく、ユーザは
セッションごとに一度マスタパスワードだけを提供する
必要がある。マスタパスワードを提供した後、認証プロ
セスが、ユーザにトランスペアレントな方法でクライア
ント側モジュールによって各限定サイトで実行される。
【0030】本発明の1つの態様に従って、クライアン
ト側モジュールは、それ自体、サーバからクライアント
に送られてもよい。このようにして伝送されたクライア
ント側モジュールは、クライアントでの類似したクライ
アント側モジュールの存在を検出する場合に、新規に到
着したクライアント側モジュールは、第1到着クライア
ント側モジュールに、第1到着クライアントモジュール
でユーザによってすでに入力されているマスタパスワー
ドに基づいて、サイト特有のパスワードをサーバに送ら
せる。他方、クライアント側モジュールが同様のクライ
アント側モジュールの存在を検出しない場合には、クラ
イアント側モジュールはユーザからマスタパスワードを
要求し、マスタパスワードとサイト特有の情報に基づい
てサーバにサイト特有のパスワードを送る。
【0031】例示的なサインオンプロセス 図2は、本発明の実施態様に従って限定サイトにサイン
オンするためのステップを示すフローチャートである。
説明のために、サインオン技法は、ワールドワイドウェ
ブのコンテキストでここに説明されるだろう。このコン
テキストでは、クライアント上で実行しているブラウザ
が、ユーザからの入力に応えてウェブサーバから情報を
要求する。要求は、典型的には、ユーザがアクセスを希
望するリソースを識別するUniversal Resource Locator
(URL)を含む。
【0032】しかしながら、本発明が任意の特定の環境
に限定されていないことが注記されなければならない。
むしろ、それは、ユーザが複数の機構、モジュール、サ
ーバまたはシステムによって認証されなければならない
任意の環境で利用されてよい。本発明は、特に、ユーザ
がそれをもって認証されなければならない機構、モジュ
ール、サーバ、またはシステムが同じソースによって制
御されないときに、特に貴重である。
【0033】図2を参照すると、ステップ200で、ユ
ーザは、限定ウェブサイトにアクセスするために要求を
送る。このステップは、例えば、限定サイトの「ログオ
ン」ページのクライアント(つまり、ブラウザ)への送
達を要求するユーザによって達成されてよい。ユーザ
は、過去に検索されたウェブページに常駐するハイパー
リンクを選択し、限定ウェブサイトのURLをブラウザ
上のテキストボックスの中に入力するか、あるいは多様
なそれ以外のサイト選択機構の任意の1つを使用するこ
とによってこのような要求を発行する。
【0034】ステップ202では、限定ウェブサイトを
制御するウェブサーバが、ウェブサイトに対するアクセ
スを要求したブラウザにサインオンモジュールを送る。
本発明の1つの実施態様に従って、サインオンモジュー
ルは、JAVAアプレット、ActiveXコントロー
ル、またはブラウザ「プラグイン」などのアクティブコ
ンテンツ構成要素である。説明の目的のため、サインオ
ンモジュールがログオンページに埋め込まれ、JAVA
バイトコードの形でブラウザに伝送されるJAVAアプ
レットであると仮定されるものとする。ブラウザ内のJ
AVA仮想機械が、JAVAバイトコードを、それを受
信すると実行する。残りのステップ204、206,2
08,210,212および214は、それがクライア
ント上のJAVA仮想機械内で実行するときに、サイン
オンアプレットによって実行される。
【0035】ステップ204では、サインオンアプレッ
トが、クライアント上ですでに実行しているサインオン
アプレットの別のインスタンスがあるかどうかを判断す
る。サインオンアプレットの別のインスタンスがクライ
アント上ですでに実行していない場合、制御は、サイン
オンアプレットがユーザからマスタパスワードを要求す
るステップ208に移る。他方、サインオンアプレット
の別のインスタンスがクライアント上ですでに実行して
いる場合には、ユーザは過去に存在していたサインオン
アプレットの中にすでにマスタパスワードを入力済みで
あり、制御はステップ206に移る。ステップ206で
は、新規に到着したサインオンアプレットが過去に存在
していたサインオンアプレットからマスタパスワードを
取得する。
【0036】ステップ210では、サインオンアプレッ
トがサイト特有のデータを取得する。サイト特有のデー
タは、ユーザがアクセスを求めているサイトを特に識別
する任意のデータであってよい。例えば、サイト特有の
データは、ユーザがアクセスを試みているウェブサイト
のURLであってよい。代わりに、サイト特有のデータ
は、ユーザがアクセスを試みているサイトのIPアドレ
ス、またはサイトのURLアドレスとIPアドレスの組
み合わせであってもよい。多様なそれ以外の形式のサイ
ト特有のデータが使用されてもよい。その結果、本発明
は、任意のタイプのサイト特有のデータに制限されな
い。
【0037】1つの実施態様に従って、サイト特有のデ
ータが、アプレットのCodeBaseで符号化され
る。このような実施態様においては、サイト特有のデー
タは、アプレットのCodeBaseを抽出することに
よって、ステップ210で得られてよい。
【0038】ステップ212では、アプレットが、マス
タパスワードおよびサイト特有のデータに基づき、サイ
ト特有のパスワードを引き出す。このステップは、以下
の公式によって表されてよく、 SP=H[PW+CB] ここでは、SPはサイト特有のパスワードであり、PW
はマスタパスワードであり、CBはアプレットのCod
eBaseであり、H[]は、安全な片方向ハッシュ関
数であり、「+」はPWとCBを結合する演算を表す。
【0039】1つの実施態様に従って、PWとCBをハ
ッシュ関数H[]を適用する前に結合するために使用さ
れる結合演算は、単純なバイナリ連結演算であり、ハッ
シュ関数H[]は、国立規格技術研究所(Nation
al Instituteof Standards
and Technology)によって発行されてい
る連邦情報処理規格公報第180−1号に記載されてい
る安全ハッシュ関数SHA−1である。しかしながら、
多様なハッシュ関数および結合演算が、アプレットによ
って代わりに使用されてよく、本発明は、任意の特定の
種類のハッシュ関数または結合演算に制限されない。例
えば、H[]は、代わりに、B.Schneierの
「応用暗号法(Applied Cryptograp
hy)」(ニューヨーク(New York):ジョン
ウィリーアンドサンズ(JohnWiley&Son
s,Inc.)第2版1996年)の429ページから
431ページと436ページから441ページに詳説さ
れているMD5ハッシュ関数であってよい。
【0040】ステップ214では、ステップ212で作
成されたサイト特有のパスワードが、限定アクセスウェ
ブサイトを制御するウェブサイトに伝送される。パスワ
ードを提出するプロセスは、例えば、(1)サイト特有
のパスワードを符号化する新規URLを構築し、(2)
ブラウザに新規URLまでナビゲーションさせるアプレ
ットによって達成されてよい。限定アクセスウェブサイ
トを制御するウェブサーバは、それからサイト特有のパ
スワードをそのユーザベースと比較し、ユーザが限定サ
イトへのアクセスを許されているかどうかを判断する。
ユーザが限定アクセスウェブサイトにアクセスする許可
を得ていると仮定すると、ウェブサーバは、限定リソー
スを供給することによって応答するだろう。例えば、限
定リソースがウェブページである場合、ウェブサーバは
限定ウェブページをブラウザに送ることによって応答す
るだろう。
【0041】図2に示されているステップは、ユーザが
限定ウェブサイトへのアクセスを試みるたびに繰り返さ
れる。セッション中に第1限定ウェブサイトにアクセス
した後、アプレットのコピーがクライアントに存在する
だろう。その結果、ユーザがマスタパスワードを入力す
るようにプロンプトを出されるステップ206は、ユー
ザがそれ以降の限定ウェブサイトにアクセスを試みると
繰り返されないだろう。このようにしてそれらのそれ以
降のサーバのために実行されるサインオンプロセスは、
ユーザにトランスペアレントになるだろう。
【0042】サインオンモジュール 図2に関して前述された実施態様においては、サインオ
ンモジュールは、ユーザが限定サイトにログオンしよう
と試みるたびにブラウザに送られるJAVAアプレット
である。本発明の1つの実施態様に従って、サインオン
モジュールは、「常駐」構成要素と「一時」構成要素と
いう2つの構成要素を有する。サインオンモジュールの
常駐構成要素は、ユーザがサインオンモジュールを伝送
したサイトとは異なるウェブサイトにナビゲーションし
た後にもブラウザ内に留まる。
【0043】一時構成要素は、ユーザ名とパスワードを
入力するようにユーザにプロンプトを出す小型ログイン
ウィンドウである。ユーザがマスタユーザ名/パスワー
ドの組み合わせをログインウィンドウの中に入力する
と、一時構成要素が、マスタユーザ名/パスワードと、
サインオンモジュールのCodeBaseで符号化され
ているサイト特有のデータとに基づいて、サイト特有の
パスワードを作成する。サイト特有のパスワードを作成
した後、サインオンモジュールは、サイト特有のパスワ
ードをウェブサーバに送る。さらに、一時構成要素が、
マスタユーザ名/パスワードの組み合わせのコピーをサ
インオンモジュールの常駐構成要素に送る。サインオン
モジュールの常駐構成要素は、クライアントのメモリの
中にユーザ名/パスワードを記憶する。
【0044】ユーザが別の限定サイトにナビゲーション
するとき、新規サイトを制御するウェブサーバは、サイ
ンオンモジュールの別のインスタンスをユーザのブラウ
ザに伝送する。第2サイトオンモジュールは、Code
Baseが、第2限定サイトのサイト特有のサイトを符
号化するという点で、第1サインオンモジュールとは異
なる。サインオンモジュールの過去に送達されたインス
タンスの常駐構成要素の存在を検出すると、第2サイン
オンモジュールは、ユーザにログオンウィンドウを提示
しない。むしろ、第2サインオンモジュールは、事前に
存在した常駐構成要素からマスタユーザ名/パスワード
を検索する。それから、第2サインオンモジュールは、
先に進み、第2サイトのサイト特有のパスワードを作成
し、トランスペアレントにユーザを第2サイトにサイン
オンする。
【0045】機密保護を確実にするために、サインオン
モジュールは、本発明の1つの実施態様に従って「署
名」される。すなわち、それらはサインオンモジュール
のソース(つまり、開発者)を識別するシグナチャ(s
ignature)を符号化する。ユーザのブラウザに
送達されたサインオンモジュールがユーザによって信頼
されているソースからではない場合には、ユーザは、サ
インオンモジュールが、実行するのを妨げることができ
るか、単にマスタユーザ名/パスワード情報を供給する
のを拒絶してよい。同様に、サインオンモジュールの事
前に存在した常駐構成要素は、それ以降到着するサイン
オンモジュールのシグナチャが信頼されているソースを
識別しない限り、マスタユーザ名/パスワード情報をそ
れ以降到着するサインオンモジュールに送達しないだろ
う。1つの実施態様に従って、多様な別々に制御されて
いる限定サイトによって使用されるサインオンモジュー
ルは、同じソースからとなり、それらのサインオンモジ
ュールは、同じソースからの他のサインオンモジュール
を信頼するだけだろう。
【0046】代替実施態様に従って、多様な別々に制御
されている限定サイトによって使用されるサインオンモ
ジュールは、さまざまなソースからでよく、異なるハッ
シュ関数を実現してよく、さまざまな形式のアクティブ
コンテンツを使用して実現されてよい。ただし、それら
は、マスタ認証情報を記憶しているサインオンモジュー
ルの上で互いにマスタ認証情報を供給するために構成さ
れてよく、マスタ認証情報を必要とするサインオンモジ
ュールは信頼されているソースからであることを検証す
る。
【0047】上記明細書中、本発明は、その特定の実施
態様に関して説明されてきた。しかしながら、多様な修
正および変更が、本発明のさらに広い精神および範囲か
ら逸脱することなくそれに加えられてよいことは明らか
だろう。明細書および図面は、したがって、限定的な意
味よりむしろ説明的な意味で考えられるべきである。
【図面の簡単な説明】
【図1】本発明の実施態様が実現されてよいコンピュー
タシステムのブロック図である。
【図2】本発明の実施態様に従って限定サイトへサイン
オンするためのステップを示すフローチャートである。

Claims (42)

    【特許請求の範囲】
  1. 【請求項1】クライアントサーバシステムでユーザを認
    証するための方法であって、 クライアントが、前記クライアントで記憶されているマ
    スタ認証情報と、前記第1サーバに関連するデータとに
    基づいて、第1サーバのために第1サーバ特有の認証情
    報を作成するステップと、 前記クライアントが、前記第1サーバによって制御され
    ている限定リソースにアクセスするために前記第1サー
    バ特有の認証情報を前記第1サーバに供給するステップ
    とを備え、 前記第1サーバ特有の認証情報が前記マスタ認証情報と
    は異なる、方法。
  2. 【請求項2】さらに、 前記クライアントが、前記認証情報と、前記第2サーバ
    に関連するデータとに基づいて、前記第2サーバのため
    に第2サーバ特有の認証情報を作成するステップと、 前記クライアントが、前記第2サーバによって制御され
    ている限定リソースにアクセスするために、前記第2サ
    ーバに前記第2サーバ特有の認証情報を供給するステッ
    プとを備え、 前記第2サーバ特有の認証情報が、前記マスタ認証情報
    とは異なり、 前記第1サーバ特有の認証情報が、前記第2サーバ特有
    の認証情報と異なる、請求項1に記載の方法。
  3. 【請求項3】さらに、前記第1サーバ特有の認証情報を
    前記クライアントから要求する前記第1サーバに応え
    て、ユーザに前記マスタ認証情報を前記クライアントに
    供給するように要求するステップを備える、請求項1に
    記載の方法。
  4. 【請求項4】さらに、 前記クライアントが、前記クライアントが現在マスタ認
    証情報を記憶しているかどうかを判断することによっ
    て、前記第1サーバ特有の情報からの要求に応えるステ
    ップと、 前記クライアントが、前記クライアントが現在マスタ認
    証情報を記憶していると判断する場合に、前記クライア
    ントが、前記マスタ認証情報をユーザから要求しない
    で、前記第1サーバ特有の認証情報を作成するステップ
    を実行するステップと、 前記クライアントが、前記クライアントが現在マスタ認
    証情報を記憶していないと判断する場合に、前記クライ
    アントが、前記ユーザに前記マスタ認証情報を提供する
    ように要求し、前記マスタ認証情報を前記ユーザから受
    け取ることに応えて前記マスタ情報を記憶するステップ
    とを備える、請求項1に記載の方法。
  5. 【請求項5】さらに、 前記クライアントが、前記第1サーバ特有の認証情報の
    ために前記第1サーバから第1要求を受け取るステップ
    と、 前記クライアントが、前記第1要求に応えて、ユーザ
    に、前記マスタ認証情報を供給するように要求するステ
    ップと、 前記クライアントが、前記ユーザから前記マスタ認証情
    報を受け取ることに応えて、前記認証情報を記憶するス
    テップと、 前記クライアントが、前記第2サーバ特有の認証情報の
    ために前記第2サーバから第2要求を受け取るステップ
    と、 前記クライアントが、再び、前記ユーザに、前記マスタ
    認証情報を供給するように要求しなくても、前記マスタ
    認証情報を供給するステップ、前記第2サーバ特有の認
    証情報を作成するステップ、および前記第2サーバ特有
    の認証情報を前記第2サーバに供給するステップを実行
    するステップと、 を備える、請求項2に記載の方法。
  6. 【請求項6】さらに、 前記クライアントが、サーバから第1クライアント側サ
    インオンモジュールを受け取るステップを備え、 前記第1クライアント側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
    を作成するステップと、 前記第1サーバに前記第1サーバ特有の認証情報を供給
    するステップとを実行する、請求項1に記載の方法。
  7. 【請求項7】前記第1クライアント側サインオンモジュ
    ールを受け取るステップが、前記第1サーバから前記ク
    ライアント要求限定リソースに応えて、前記第1クライ
    アント側サインオンモジュールを前記第1サーバから受
    け取ることによって実行される、請求項6に記載の方
    法。
  8. 【請求項8】さらに、 前記クライアントが、前記第1サーバから第1クライア
    ント側サインオンモジュールを受け取るステップと、 前記クライアントが、前記第2サーバから第2クライア
    ント側サインオンモジュールを受け取るステップとを備
    え、 前記第1サーバから第1クライアント側サインオンモジ
    ュールを受け取るステップでは、前記第1クライアント
    側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
    を作成するステップと、 前記第1サーバ特有の認証情報を前記第1サーバに供給
    するステップとを実行し、 前記第2サーバから第2クライアント側サインオンモジ
    ュールを受け取るステップでは、前記第2クライアント
    側サインオンモジュールが、 前記第2サーバのために前記第2サーバ特有の認証情報
    を作成するステップと、 前記第2サーバに、前記第2サーバ特有の認証情報を供
    給するステップとを実行する、請求項2に記載の方法。
  9. 【請求項9】さらに、 前記第1クライアント側サインオンモジュールが、ユー
    ザからマスタ認証情報を要求するステップと、 前記第1クライアント側サインオンモジュールが、前記
    ユーザから前記マスタ認証情報を受け取ることに応え
    て、前記クライアント上のメモリに前記マスタ認証情報
    を記憶するステップとを備える、請求項8に記載の方
    法。
  10. 【請求項10】さらに、 前記第2クライアント側サインオンモジュールが、前記
    クライアント内で前記第1クライアント側サインオンモ
    ジュールを検出するステップと、 前記第2クライアント側サインオンモジュールが、前記
    マスタ認証情報を、前記第1クライアント側サインオン
    モジュールから要求するステップとを備える、請求項9
    に記載の方法。
  11. 【請求項11】前記クライアントがマスタ認証情報を記
    憶するステップが、ユーザ名、IPアドレス、およびマ
    スタパスワードの1つまたは複数を記憶するステップを
    含む、請求項1に記載の方法。
  12. 【請求項12】前記第1サーバ特有の認証情報を作成す
    るステップが、安全な片方向ハッシュ関数に基づき前記
    第1サーバ特有の認証情報を作成することを含む、請求
    項1に記載の方法。
  13. 【請求項13】第1クライアント側サインオンモジュー
    ルが、アクティブコンテンツモジュールを受け取ること
    を含み、そこでは、アクティブコンテンツモジュール
    が、プラグインモジュール、JAVAアプレット、およ
    びActiveX構成要素の1つまたは複数を含む、請
    求項6に記載の方法。
  14. 【請求項14】前記第1サーバに関連する前記データ
    が、URL、IPアドレス、ソフトウェアベンダー番号
    および独自のサーバ識別子の内の1つまたは複数を含
    む、請求項1に記載の方法。
  15. 【請求項15】前記サーバがウェブサーバであり、 前記ウェブサーバが、ワールドワイドウェブ上で、ウェ
    ブサーバによって制御されている限定ウェブページを識
    別するURLを伝送するクライアント上のブラウザに応
    えて、前記第1サーバ特有の認証情報を要求し、 前記第1サーバ特有の認証情報を供給するステップが、
    ウェブサーバに第1サーバ特有の認証情報を伝送するこ
    とによって実行される、請求項1に記載の方法。
  16. 【請求項16】さらに、 第1クライアント側サインオンモジュールが、前記第2
    クライアント側サインオンモジュールに関連するシグナ
    チャが、前記第2クライアント側サインオンモジュール
    が信頼されているソースからであることを示すかどうか
    を判断することによって、前記第2クライアント側サイ
    ンオンモジュールに応えるステップと、 前記第2クライアント側サインオンモジュールと関連す
    る前記シグナチャが、前記第2クライアント側サインオ
    ンモジュールが信頼されているソースからであることを
    示す場合には、前記第1クライアント側サインオンモジ
    ュールが前記第2クライアント側サインオンモジュール
    に前記マスタ認証情報を供給するステップとを備える、
    請求項10に記載の方法。
  17. 【請求項17】前記第1クライアント側サインオンモジ
    ュールが、前記第1クライアント側サインオンモジュー
    ルのCodeBaseから前記第1サーバに関連する前
    記データを抽出した後に、前記第1サイトに関連するデ
    ータに基づき、前記第1サーバ特有の認証情報を作成す
    るステップを実行する、請求項6に記載の方法。
  18. 【請求項18】クライアントサーバシステムでユーザを
    認証するための方法であって、 サーバが、クライアントから限定リソースに対する要求
    を受け取るステップと、 前記サーバが、前記クライアントで実行されると、前記
    サーバに関連するデータと前記クライアントに記憶され
    ているマスタ認証情報とに基づき、サーバ特有の認証情
    報を作成するクライアント側サインオンモジュールを、
    前記クライアントに伝送するステップと、 前記サーバが、前記クライアント側サインオンモジュー
    ルが前記クライアントで実行するときに前記クライアン
    ト側サインオンモジュールから前記サーバ特有の認証情
    報を受け取るステップとを備える、方法。
  19. 【請求項19】前記クライアント側サインオンモジュー
    ルを伝送するステップは、そのCodeBaseで、前
    記サーバ特有の認証情報を作成するために、前記マスタ
    認証情報との組み合わせで使用される前記サーバに関連
    するデータを符号化したクライアント側モジュールを伝
    送することを含む、請求項21に記載の方法。
  20. 【請求項20】前記サインオンモジュールが、過去に存
    在したサインオンモジュールが前記クライアントで検出
    されない場合に前記クライアントのユーザに前記マスタ
    認証情報を要求し、過去に存在したサインオンモジュー
    ルが前記クライアントで検出される場合に前記マスタ認
    証情報を前記過去に存在したサインオンモジュールに要
    求するように構成される、請求項21に記載の方法。
  21. 【請求項21】クライアントサーバシステムでユーザを
    認証するために1つまたは複数の命令のシーケンスを搬
    送するコンピュータ読取り可能媒体であって、 1台または複数台のプロセッサによる1つまたは複数の
    命令のシーケンスの実行が、1台または複数台のプロセ
    ッサに、 クライアントが、前記クライアントに記憶されているマ
    スタ認証情報と前記第1サーバに関連するデータに基づ
    き、第1サーバのために第1サーバ特有の認証情報を作
    成するステップと、 前記クライアントが、前記第1サーバによって制御され
    ている限定リソースにアクセスするために、前記第1サ
    ーバに前記第1サーバ特有の認証情報を供給するステッ
    プとを実行させ、 前記第1サーバ特有の認証情報が、前記マスタ認証情報
    とは異なる、コンピュータ読取り可能媒体。
  22. 【請求項22】さらに、 前記クライアントが、前記マスタ認証情報と前記第2サ
    ーバに関連するデータとに基づき、前記第2サーバのた
    めに第2サーバ特有の認証情報を作成するステップと、 前記クライアントが、前記第2サーバによって制御され
    ている限定リソースにアクセスするために、前記第2サ
    ーバに前記第2サーバ特有の認証情報を供給するステッ
    プとを実行するための命令を備え、 前記第2サーバ特有の認証情報が、前記マスタ認証情報
    と異なり、 前記第1サーバ特有の認証情報が、前記第2サーバ特有
    の認証情報と異なる、請求項24に記載のコンピュータ
    読取り可能媒体。
  23. 【請求項23】さらに、前記クライアントから前記第1
    サーバ特有の認証情報を要求する前記第1サーバに応え
    て、ユーザに、前記マスタ認証情報を前記クライアント
    に供給するように要求するステップを実行するための命
    令を備える、請求項24に記載のコンピュータ読取り可
    能媒体。
  24. 【請求項24】さらに、 前記クライアントが、クライアントが現在マスタ認証情
    報を記憶しているかどうかを判断することによって、前
    記第1サーバ特有の情報に前記第1サーバからの要求に
    応えるステップと、 前記クライアントが、前記クライアントが現在マスタ認
    証情報を記憶していると判断する場合には、前記クライ
    アントが、前記マスタ認証情報をユーザから要求しない
    で、前記第1サーバ特有の認証情報を作成するステップ
    を実行するステップと、 前記クライアントが、前記クライアントが現在マスタ認
    証情報を記憶していないと判断する場合に、前記クライ
    アントが、前記ユーザに、前記マスタ認証情報を提供す
    るように要求するステップと、 前記ユーザから前記マスタ認証情報を受け取ることに応
    えて、前記マスタ認証を記憶するステップと、を実行す
    るための命令を備える、請求項24に記載のコンピュー
    タ読取り可能媒体。
  25. 【請求項25】さらに、 前記クライアントが、前記第1サーバ特有の認証情報に
    前記第1サーバからの第1要求を受け取るステップと、 前記クライアントが、ユーザに、前記第1要求に応え
    て、前記マスタ認証情報を供給するように要求するステ
    ップと、 前記クライアントが、前記ユーザから前記マスタ認証情
    報を受け取ることに応えて、前記認証情報を記憶するス
    テップと、 前記クライアントが、前記第2サーバ特有の認証情報に
    前記第2サーバから第2要求を受け取るステップと、 前記クライアントが、再び前記ユーザに前記マスタ認証
    情報を供給するように要求しないで、前記第2サーバ特
    有の認証情報を作成するステップおよび前記第2サーバ
    特有の認証情報を前記第2サーバに供給するステップを
    実行するステップと、 を実行するための命令を備える、請求項25に記載のコ
    ンピュータ読取り可能媒体。
  26. 【請求項26】さらに、 前記クライアントが、第1クライアント側サインオンモ
    ジュールをサーバから受け取るステップを実行するため
    の命令を備え、 前記第1クライアント側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
    を作成するステップと、 前記第1サーバ特有の認証情報を前記第1サーバに供給
    するステップと、 を実行する、請求項24に記載のコンピュータ読取り可
    能媒体。
  27. 【請求項27】前記第1クライアント側サインオンモジ
    ュールを受け取るステップが、前記第1サーバから限定
    リソースを要求する前記クライアントに応えて前記第1
    サーバから前記第1クライアント側サインオンモジュー
    ルを受け取ることによって実行される、請求項29に記
    載のコンピュータ読取り可能媒体。
  28. 【請求項28】さらに、 前記クライアントが、第1クライアント側サインオンモ
    ジュールを前記第1サーバから受け取るステップと、 前記クライアントが、前記第2サーバから第2クライア
    ント側サインオンモジュールを受け取るステップとを実
    行するための命令を備え、 第1クライアント側サインオンモジュールを前記第1サ
    ーバから受け取るステップでは、前記第1クライアント
    側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
    を作成するステップと、 前記第1サーバ特有の認証情報を前記第1サーバに供給
    するステップとを実行し、 前記第2サーバから第2クライアント側サインオンモジ
    ュールを受け取るステップでは、前記第2クライアント
    側サインオンモジュールが、 前記第2サーバのために前記第2サーバ特有の認証情報
    を作成するステップと、 前記第2サーバ特有の認証情報を前記第2サーバに供給
    するステップとを実行する、請求項25に記載のコンピ
    ュータ読取り可能媒体。
  29. 【請求項29】さらに、 前記第1クライアント側サインオンモジュールが、ユー
    ザからマスタ認証情報を要求するステップと、 前記第1クライアント側サインオンモジュールが、前記
    ユーザから前記マスタ認証情報を受け取ることに応え
    て、前記クライアント上のメモリ内に前記マスタ認証情
    報を記憶するステップと、を実行するための命令を備え
    る、請求項31に記載のコンピュータ読取り可能媒体。
  30. 【請求項30】さらに、 前記第2クライアント側サインオンモジュールが、前記
    クライアント内で前記第1クライアント側サインオンモ
    ジュールを検出するステップと、 前記第2クライアント側サインオンモジュールが、前記
    第1クライアント側サインオンモジュールから前記マス
    タ認証情報を要求するステップと、を実行するための命
    令を備える、請求項32に記載のコンピュータ読取り可
    能媒体。
  31. 【請求項31】前記クライアントが、マスタ認証情報を
    記憶するステップが、前記クライアントがユーザ名、I
    Pアドレス、およびマスタパスワードの1つまたは複数
    を記憶するステップを含む、請求項24に記載のコンピ
    ュータ読取り可能媒体。
  32. 【請求項32】前記第1サーバ特有の認証情報を作成す
    るステップが、安全な片方向ハッシュ関数に基づき、前
    記第1サーバ特有の認証情報を作成することを含む、請
    求項24に記載のコンピュータ読取り可能媒体。
  33. 【請求項33】第1クライアント側サインオンモジュー
    ルを受け取るステップが、アクティブコンテンツモジュ
    ールを受け取ることを含み、アクティブコンテンツモジ
    ュールが、プラグインモジュール、JAVAアプレッ
    ト、およびActiveX構成要素の1つまたは複数を
    含む、請求項29に記載のコンピュータ読取り可能媒
    体。
  34. 【請求項34】前記第1サーバに関連する前記データ
    が、URL、IPアドレス、ソフトウェアベンダー番
    号、独自のサーバ識別子の1つまたは複数を含む、請求
    項24に記載のコンピュータ読取り可能媒体。
  35. 【請求項35】前記第1サーバがウェブサーバであり、 前記ウェブサーバが、ワールドワイドウェブ上で、ウェ
    ブサーバによって制御されている限定ウェブページを識
    別するURLを伝送するクライアント上のブラウザに応
    えて、前記第1サーバ特有の認証情報を要求し、 前記第1サーバ特有の認証情報を供給するステップが、
    第1サーバ特有の認証情報をウェブサーバに伝送するこ
    とによって実行される、請求項24に記載のコンピュー
    タ読取り可能媒体。
  36. 【請求項36】さらに、 第1クライアント側サインオンモジュールが、前記第2
    クライアント側サインオンモジュールに関連するシグナ
    チャが、前記第2クライアント側サインオンモジュール
    が信頼されているソースからであることを示すかどうか
    を判断することによって、前記第2クライアント側サイ
    ンオンモジュールに応答するステップと、 前記第2クライアント側サインオンモジュールに関連す
    る前記シグナチャが、前記第2クライアント側サインオ
    ンモジュールが信頼されているソースからであることを
    示す場合には、前記第1クライアント側サインオンモジ
    ュールが、前記第2クライアント側サインオンモジュー
    ルに前記マスタ認証情報を供給するステップと、を実行
    するための命令を備える、請求項33に記載のコンピュ
    ータ読取り可能媒体。
  37. 【請求項37】第1クライアント側サインオンモジュー
    ルが、前記第1クライアント側サインオンモジュールの
    CodeBaseから前記第1サーバに関連する前記デ
    ータを抽出した後に、前記第1サイトに関連するデータ
    に基づき前記第1サーバ特有の認証情報を作成するステ
    ップを実行する、請求項29に記載のコンピュータ読取
    り可能媒体。
  38. 【請求項38】クライアントサーバシステムでユーザを
    認証するための命令の1つまたは複数のシーケンスを搬
    送するコンピュータ読取り可能媒体であって、 1台または複数台のプロセッサによる1つまたは複数の
    命令のシーケンスの実行が、1台または複数台のプロセ
    ッサに、 サーバが、前記クライアントで実行時に、前記サーバに
    関連するデータおよび前記クライアントに記憶されてい
    るマスタ認証情報に基づき、サーバ特有の認証情報を作
    成するクライアント側サインオンモジュールをクライア
    ントに伝送するステップと、 前記サーバが、前記クライアント側サインオンモジュー
    ルが前記クライアントで実行するときに前記クライアン
    ト側サインオンモジュールから前記サーバ特有の認証情
    報を受け取るステップとを実行させる、コンピュータ読
    取り可能媒体。
  39. 【請求項39】前記クライアント側サインオンモジュー
    ルを伝送するステップが、そのCodeBaseで、前
    記サーバ特有の認証情報を作成するために、前記マスタ
    認証情報と組み合わせて使用される、前記サーバに関連
    するデータを符号化したクライアント側モジュールを伝
    送することを含む、請求項44に記載のコンピュータ読
    取り可能媒体。
  40. 【請求項40】前記サインオンモジュールが、過去に存
    在していたサインオンモジュールが前記クライアントで
    検出されない場合に前記マスタ認証情報を前記クライア
    ントのユーザに要求し、過去に存在していたサインオン
    モジュールが前記クライアントで検出される場合に、前
    記マスタ認証情報を前記過去に存在したサインオンモジ
    ュールに要求するように構成される、請求項44に記載
    のコンピュータ読取り可能媒体。
  41. 【請求項41】クライアントと、 複数のサーバと、 前記クライアントと前記複数のサーバ間の通信を可能に
    するために、前記クライアントを前記複数のサーバに動
    作できるように接続するネットワークと、 前記クライアントにサインオンモジュールを送ることに
    よって前記クライアントによって発行されるリソース要
    求に応答するように構成されている少なくとも第1サー
    バを含む前記複数のサーバとを備え、 前記サインオンモジュールが、前記クライアント上で実
    行中に、以下の前記クライアントに記憶されているマス
    タ認証情報を検索するステップと、 前記マスタ認証情報をサーバ特有のデータと結合するス
    テップと、 前記マスタ認証情報とサーバ特有のデータに基づきサー
    バ特有の認証情報を作成するステップと、 前記複数のサーバの内のある特定のサーバに前記サーバ
    特有の認証情報を伝送するステップとを実行するように
    構成されている、クライアントサーバシステム。
  42. 【請求項42】前記特定のサーバが前記第1サーバであ
    る、請求項28に記載のクライアントサーバシステム。
JP2000121905A 1999-04-28 2000-04-24 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン Expired - Lifetime JP4639297B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/301,642 US6629246B1 (en) 1999-04-28 1999-04-28 Single sign-on for a network system that includes multiple separately-controlled restricted access resources
US09/301642 1999-04-28

Publications (2)

Publication Number Publication Date
JP2000347994A true JP2000347994A (ja) 2000-12-15
JP4639297B2 JP4639297B2 (ja) 2011-02-23

Family

ID=23164250

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000121905A Expired - Lifetime JP4639297B2 (ja) 1999-04-28 2000-04-24 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン

Country Status (5)

Country Link
US (1) US6629246B1 (ja)
EP (1) EP1081914B1 (ja)
JP (1) JP4639297B2 (ja)
DE (1) DE60027971T2 (ja)
IL (1) IL135802A0 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4780915B2 (ja) * 2001-11-01 2011-09-28 ヤフー! インコーポレイテッド インターネットブラウザを用いてオンライン・ショッピングを簡便化する方法およびシステム
US8561141B2 (en) 2010-03-11 2013-10-15 Fuji Xerox Co., Ltd. Information input assistance device, computer-readable medium, and information input assistance method
JP2014509760A (ja) * 2011-03-14 2014-04-21 クゥアルコム・インコーポレイテッド ハイブリッドネットワーキングマスターパスフレーズ
JP2015509632A (ja) * 2012-03-02 2015-03-30 テンセント テクノロジー (シェンジェン) カンパニー リミテッド ログイン方法及びログイン装置、端末並びにネットワークサーバー
JP2017033583A (ja) * 2012-02-01 2017-02-09 アマゾン テクノロジーズ インク 多数のネットワークサイトのためのアカウント管理
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US10505914B2 (en) 2012-02-01 2019-12-10 Amazon Technologies, Inc. Sharing account information among multiple users
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
JP7316714B1 (ja) * 2023-02-13 2023-07-28 株式会社フレアリンク 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001022702A (ja) * 1999-07-12 2001-01-26 Fujitsu Ltd 認証制御装置、認証制御システムおよび認証制御方法並びに記録媒体
AU2001245481A1 (en) * 2000-03-07 2001-09-17 Hotlens.Com Inc. Server-side web browsing and multiple lens system, method and apparatus
AU2001247591A1 (en) * 2000-03-20 2001-10-03 Hotlens.Com Inc. Transparent user and session management for web applications
US7150038B1 (en) * 2000-04-06 2006-12-12 Oracle International Corp. Facilitating single sign-on by using authenticated code to access a password store
US6801946B1 (en) * 2000-06-15 2004-10-05 International Business Machines Corporation Open architecture global sign-on apparatus and method therefor
US7010582B1 (en) * 2000-06-26 2006-03-07 Entrust Limited Systems and methods providing interactions between multiple servers and an end use device
US6934848B1 (en) * 2000-07-19 2005-08-23 International Business Machines Corporation Technique for handling subsequent user identification and password requests within a certificate-based host session
US6976164B1 (en) * 2000-07-19 2005-12-13 International Business Machines Corporation Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session
US8020199B2 (en) * 2001-02-14 2011-09-13 5th Fleet, L.L.C. Single sign-on system, method, and access device
US7350229B1 (en) * 2001-03-07 2008-03-25 Netegrity, Inc. Authentication and authorization mapping for a computer network
US20060288212A1 (en) * 2001-03-20 2006-12-21 Gutenberg Printing Llc Transparent user and session management for web applications
GB2396037B (en) * 2001-05-29 2005-08-24 Xenobit Corp Method and system for logging into and providing access to a computer system via a communications network
US7743404B1 (en) * 2001-10-03 2010-06-22 Trepp, LLC Method and system for single signon for multiple remote sites of a computer network
US7412720B1 (en) * 2001-11-02 2008-08-12 Bea Systems, Inc. Delegated authentication using a generic application-layer network protocol
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US7228417B2 (en) 2002-02-26 2007-06-05 America Online, Inc. Simple secure login with multiple-authentication providers
US20030182551A1 (en) * 2002-03-25 2003-09-25 Frantz Christopher J. Method for a single sign-on
US7500262B1 (en) 2002-04-29 2009-03-03 Aol Llc Implementing single sign-on across a heterogeneous collection of client/server and web-based applications
US7793342B1 (en) * 2002-10-15 2010-09-07 Novell, Inc. Single sign-on with basic authentication for a transparent proxy
US8032931B2 (en) * 2002-10-30 2011-10-04 Brocade Communications Systems, Inc. Fabric manager multiple device login
US8695019B2 (en) * 2003-02-14 2014-04-08 Actividentity (Australia) Pty Ltd System and method for delivering external data to a process running on a virtual machine
JP4881538B2 (ja) * 2003-06-10 2012-02-22 株式会社日立製作所 コンテンツ送信装置およびコンテンツ送信方法
US7283831B2 (en) * 2003-07-24 2007-10-16 Lucent Technologies Inc. Single sign-on service for communication network messaging
US20050144482A1 (en) * 2003-12-17 2005-06-30 David Anuszewski Internet protocol compatible access authentication system
JP4982031B2 (ja) * 2004-01-16 2012-07-25 株式会社日立製作所 コンテンツ送信装置、コンテンツ受信装置およびコンテンツ送信方法、コンテンツ受信方法
US7490242B2 (en) * 2004-02-09 2009-02-10 International Business Machines Corporation Secure management of authentication information
US20050204174A1 (en) * 2004-03-11 2005-09-15 International Business Machines Corporation Password protection mechanism
US20050240671A1 (en) * 2004-04-23 2005-10-27 Loraine Beyer IP-based front-end web server
JP4465387B2 (ja) 2004-04-30 2010-05-19 リサーチ イン モーション リミテッド データ伝送を処理するシステムおよび方法
US20060075224A1 (en) * 2004-09-24 2006-04-06 David Tao System for activating multiple applications for concurrent operation
US7941671B2 (en) * 2004-10-14 2011-05-10 Oracle International Corporation Method and apparatus for accommodating multiple verifier types with limited storage space
US7478123B2 (en) * 2004-12-29 2009-01-13 International Business Machines Corporation Effortless registration with content providers and methods thereof
US20060185004A1 (en) * 2005-02-11 2006-08-17 Samsung Electronics Co., Ltd. Method and system for single sign-on in a network
US20060206926A1 (en) * 2005-03-14 2006-09-14 Agfa Inc. Single login systems and methods
TWI296477B (en) * 2005-03-23 2008-05-01 Quanta Comp Inc Single logon method on a server system and a server system with single logon functionality
US8078740B2 (en) 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
US8245270B2 (en) * 2005-09-01 2012-08-14 Microsoft Corporation Resource based dynamic security authorization
US20070074038A1 (en) * 2005-09-29 2007-03-29 International Business Machines Corporation Method, apparatus and program storage device for providing a secure password manager
US20070165582A1 (en) * 2006-01-18 2007-07-19 Puneet Batta System and method for authenticating a wireless computing device
US20070226783A1 (en) * 2006-03-16 2007-09-27 Rabbit's Foot Security, Inc. (A California Corporation) User-administered single sign-on with automatic password management for web server authentication
US8185737B2 (en) 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
US10019570B2 (en) 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
US8189756B2 (en) * 2008-01-02 2012-05-29 International Business Machines Corporation Telephone menu selection
US8621561B2 (en) * 2008-01-04 2013-12-31 Microsoft Corporation Selective authorization based on authentication input attributes
US20090320125A1 (en) * 2008-05-08 2009-12-24 Eastman Chemical Company Systems, methods, and computer readable media for computer security
US10146926B2 (en) * 2008-07-18 2018-12-04 Microsoft Technology Licensing, Llc Differentiated authentication for compartmentalized computing resources
US8910256B2 (en) * 2008-08-08 2014-12-09 Microsoft Corporation Form filling with digital identities, and automatic password generation
US8276196B1 (en) * 2008-08-18 2012-09-25 United Services Automobile Association (Usaa) Systems and methods for implementing device-specific passwords
US20100064353A1 (en) * 2008-09-09 2010-03-11 Facetime Communications, Inc. User Mapping Mechanisms
US8484338B2 (en) * 2008-10-02 2013-07-09 Actiance, Inc. Application detection architecture and techniques
US20100174758A1 (en) * 2009-01-05 2010-07-08 International Business Machines Corporation Automatic management of single sign on passwords
US8789152B2 (en) * 2009-12-11 2014-07-22 International Business Machines Corporation Method for managing authentication procedures for a user
US20110239281A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and apparatus for authentication of services
US20110239282A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and Apparatus for Authentication and Promotion of Services
US9183560B2 (en) 2010-05-28 2015-11-10 Daniel H. Abelow Reality alternate
US9497220B2 (en) 2011-10-17 2016-11-15 Blackberry Limited Dynamically generating perimeters
US9161226B2 (en) 2011-10-17 2015-10-13 Blackberry Limited Associating services to perimeters
US9613219B2 (en) 2011-11-10 2017-04-04 Blackberry Limited Managing cross perimeter access
US8799227B2 (en) 2011-11-11 2014-08-05 Blackberry Limited Presenting metadata from multiple perimeters
US9369466B2 (en) 2012-06-21 2016-06-14 Blackberry Limited Managing use of network resources
CN103546432B (zh) 2012-07-12 2015-12-16 腾讯科技(深圳)有限公司 实现跨域跳转的方法和***以及浏览器、域名服务器
US20140280698A1 (en) * 2013-03-13 2014-09-18 Qnx Software Systems Limited Processing a Link on a Device
EP2953312A1 (en) * 2014-06-02 2015-12-09 Alcatel Lucent System to handle passwords for service authentication
EP3743841A4 (en) * 2018-07-31 2021-07-07 Hewlett-Packard Development Company, L.P. PASSWORD UPDATES
EP3879422A1 (en) 2020-03-09 2021-09-15 Carrier Corporation Network identifier and authentication information generation for building automation system controllers
US20240061925A1 (en) * 2020-12-23 2024-02-22 Schlumberger Technology Corporation Securely sharing data across isolated application suites

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996007256A1 (fr) * 1994-08-30 1996-03-07 Kokusai Denshin Denwa Co., Ltd. Systeme de certification
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
JPH1125051A (ja) * 1997-07-09 1999-01-29 Hitachi Ltd 情報システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5537544A (en) * 1992-09-17 1996-07-16 Kabushiki Kaisha Toshiba Portable computer system having password control means for holding one or more passwords such that the passwords are unreadable by direct access from a main processor
GB2281645A (en) * 1993-09-03 1995-03-08 Ibm Control of access to a networked system
US5719941A (en) * 1996-01-12 1998-02-17 Microsoft Corporation Method for changing passwords on a remote computer
US6209104B1 (en) * 1996-12-10 2001-03-27 Reza Jalili Secure data entry and visual authentication system and method
US6308273B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996007256A1 (fr) * 1994-08-30 1996-03-07 Kokusai Denshin Denwa Co., Ltd. Systeme de certification
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
JPH1125051A (ja) * 1997-07-09 1999-01-29 Hitachi Ltd 情報システム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4780915B2 (ja) * 2001-11-01 2011-09-28 ヤフー! インコーポレイテッド インターネットブラウザを用いてオンライン・ショッピングを簡便化する方法およびシステム
US8561141B2 (en) 2010-03-11 2013-10-15 Fuji Xerox Co., Ltd. Information input assistance device, computer-readable medium, and information input assistance method
JP2014509760A (ja) * 2011-03-14 2014-04-21 クゥアルコム・インコーポレイテッド ハイブリッドネットワーキングマスターパスフレーズ
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
JP2017033583A (ja) * 2012-02-01 2017-02-09 アマゾン テクノロジーズ インク 多数のネットワークサイトのためのアカウント管理
US10505914B2 (en) 2012-02-01 2019-12-10 Amazon Technologies, Inc. Sharing account information among multiple users
US11381550B2 (en) 2012-02-01 2022-07-05 Amazon Technologies, Inc. Account management using a portable data store
JP2015509632A (ja) * 2012-03-02 2015-03-30 テンセント テクノロジー (シェンジェン) カンパニー リミテッド ログイン方法及びログイン装置、端末並びにネットワークサーバー
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US11004054B2 (en) 2013-11-29 2021-05-11 Amazon Technologies, Inc. Updating account data for multiple account providers
JP7316714B1 (ja) * 2023-02-13 2023-07-28 株式会社フレアリンク 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム

Also Published As

Publication number Publication date
DE60027971D1 (de) 2006-06-22
US6629246B1 (en) 2003-09-30
EP1081914B1 (en) 2006-05-17
JP4639297B2 (ja) 2011-02-23
EP1081914A3 (en) 2002-01-16
EP1081914A2 (en) 2001-03-07
DE60027971T2 (de) 2007-01-04
IL135802A0 (en) 2001-05-20

Similar Documents

Publication Publication Date Title
JP4639297B2 (ja) 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン
US5586260A (en) Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
US7296077B2 (en) Method and system for web-based switch-user operation
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
US6339423B1 (en) Multi-domain access control
JP4867663B2 (ja) ネットワーク通信システム
US6986047B2 (en) Method and apparatus for serving content from a semi-trusted server
JP4782986B2 (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
EP2232401B1 (en) System, method and program product for consolidated authentication
US7356833B2 (en) Systems and methods for authenticating a user to a web server
US20030177388A1 (en) Authenticated identity translation within a multiple computing unit environment
US20090007243A1 (en) Method for rendering password theft ineffective
US20060264202A1 (en) System and method for authenticating clients in a client-server environment
US20030065956A1 (en) Challenge-response data communication protocol
US20030163691A1 (en) System and method for authenticating sessions and other transactions
US20030005333A1 (en) System and method for access control
US20040064687A1 (en) Providing identity-related information and preventing man-in-the-middle attacks
JP2002334056A (ja) ログイン代行システム及びログイン代行方法
WO1999066384A2 (en) Method and apparatus for authenticated secure access to computer networks
CN113411324B (zh) 基于cas与第三方服务器实现登录认证的方法和***
JP2002342270A (ja) リモートアクセス制御方法、リモートアクセス制御プログラム
JP2007520791A (ja) サーバベースのコンピュータシステムにおけるリモート認証のための方法および装置
JP2005293088A (ja) 認証システム及び認証方法
JP2004078622A (ja) ユーザ認証の統合管理

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100915

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101012

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101026

R150 Certificate of patent or registration of utility model

Ref document number: 4639297

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131210

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term