JP2000347994A - 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン - Google Patents
複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオンInfo
- Publication number
- JP2000347994A JP2000347994A JP2000121905A JP2000121905A JP2000347994A JP 2000347994 A JP2000347994 A JP 2000347994A JP 2000121905 A JP2000121905 A JP 2000121905A JP 2000121905 A JP2000121905 A JP 2000121905A JP 2000347994 A JP2000347994 A JP 2000347994A
- Authority
- JP
- Japan
- Prior art keywords
- server
- client
- authentication information
- module
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
使用して多数のサーバにサインオンできるが、単一のマ
スタパスワードを覚えてさえいれば良いように、クライ
アントサーバシステムでユーザを認証するための方法お
よびシステムを提供する。 【解決手段】クライアントは、クライアントで記憶され
ているマスタ認証情報と、第1サーバに関連するデータ
とに基づき、第1サーバのためにサーバ特有の認証情報
のセットを作成する(ステップ200〜212)。そし
て、クライアントは、第1サーバによって制御されてい
る限定リソースにアクセスするために、第1サーバ特有
の認証情報を第1サーバに供給する(ステップ21
4)。また、第1サーバ特有の認証情報とマスタ認証情
報とは異なる。これにより、種々のサーバの管理者は、
他のサーバでユーザのアカウントにアクセスできるよう
にする情報を持っていない。
Description
れたコンピュータシステムに関し、より特定的には、複
数の別々に制御されている限定アクセスリソースを含む
ネットワークシステムにおけるユーザ認証に関する。
ターネット上に、そのそれぞれが1つまたは複数のHT
ML(ハイパーテキストマーク付け言語)ページと関連
しているサーバのネットワークを含む。サーバに関連す
るHTMLページは、情報と、そのサーバおよび(通
常)それ以外のサーバ上のほかの文書に対するハイパー
テキストリンクとを提供する。サーバは、ハイパーテキ
スト転送プロトコル(HTTP)を使用することによっ
て、クライアントと通信する。サーバは、クライアント
からのそのHTMLページに対する要求がないか聞くた
め、多くの場合「リスナー」と呼ばれる。
ザと呼ばれているクライアントプログラムを使用し、リ
スナーからの情報を要求、復号、および表示する。ブラ
ウザのユーザがHTMLページでリンクを選択すると、
そのページを表示しているブラウザがインターネット上
で、リンク内で指定されているUniversal Resource Loc
ator(URL)と関連しているリスナーに要求を送る。
要求に応えて、リスナーは要求されたデータを要求を発
行したブラウザに伝送する。ブラウザは情報を受信し、
受信された情報をユーザに提示し、次のユーザ要求を待
機する。
不能のクライアントによってアクセスできるため、限定
情報に対する無許可アクセスから保護するために複数の
保護機構が開発されてきた。限定情報への無許可アクセ
スを妨げるために使用されている1つのアプローチは、
クライアントに、彼らが特定のサーバで情報へのアクセ
スができるようになる前に一定の認証情報の提供を要求
することである。この認証情報は、典型的には、use
rid(ユーザID)/パスワードの組み合わせ、特定
のIPアドレス、特定のドメイン名または情報にアクセ
スしようとする特定のユーザおよび/または機械を識別
できるその他の情報などのアイテムから成り立ってい
る。
様な種類の認証情報の内、userid/パスワードの
組み合わせは、特定の機械やサービスプロバイダに結び
付けられていないため、多くの場合好まれる。したがっ
て、ユーザがそのuseridとパスワードを覚えてい
る限り、彼らはインターネットに接続されている任意の
機械から限定サイトへのアクセスを獲得することができ
る。認証情報がuserid/パスワードの組み合わせ
から成り立っている場合、ユーザは、ウェブサーバがユ
ーザに限定情報を提供する前に、そのuserid/パ
スワードの組み合わせを何らかの方法でウェブサーバに
提供する。
ると、サーバは、そのユーザが実際に限定情報にアクセ
スすることを許可されているかどうかを判断する。サー
バが、そのユーザが限定情報にアクセスすることを許可
されていると判断する場合には、限定情報がユーザに送
られる。それ以外の場合には、ユーザは限定情報へのア
クセスを許されない。
のオンラインサービスプロバイダの限定リソースにアク
セスするためには、頻繁に認証情報が必要とされる。そ
れぞれの別々に制御されているウェブサーバは、その製
品またはサービスへのアクセスを許す前に、ユーザに、
認証情報(例えば、userid/パスワードの組み合
わせ)を提供するように要求する。したがって、ユーザ
が、例えば新規プロバイダと金融サービスプロバイダな
どの2つの別々に制御されているオンラインサーバに加
入している場合、各プロバイダが、そのサービスへのユ
ーザアクセスを許す前に、userid/パスワードの
組み合わせを要求するだろう。
定リソースごとにパスワードを思い出さなければならな
いため、ユーザにとっての問題を生じさせる。すなわ
ち、任意の指定ユーザが多数のこのようなサービスに加
入すると、ユーザは多数のパスワードを覚えなければな
らない。その結果、ユーザは多数の別個のパスワードを
自らの記憶に保持する必要を回避するために多様な技法
を採用してきた。
アプローチとは、ユーザが、その認証情報の文書による
コピーを自分のコンピュータの上または近くに保持して
おくことである。このようにして、そのuserid/
パスワードの組み合わせを要求されると、彼らはそれを
記憶から思い起こす代わりに、それを読むだけでよい。
しかしながら、第三者が、文書によるメモから認証情報
を容易に取得し、それによって一覧表示されているサー
ビスプロバイダのすべてへの無許可アクセスを得る可能
性があるため、このアプローチは機密保護を危険にさら
す。
ローチにおいては、ユーザはそのサービスプロバイダの
すべてに同じパスワードを使用する。あるサービスプロ
バイダの従業員が別のサービスプロバイダによって制御
されている限定リソースへの無許可アクセスのためにユ
ーザのパスワードを使用しようと試みる可能性があるた
め、再び、このアプローチは機密保護を危険にさらす。
例えば、ユーザが、スポーツニュースを読むためにある
サイトにアクセスするために、そしてユーザの銀行口座
を管理するために別々に制御されているサイトにアクセ
スするためにもパスワード「mypass」を使用する
可能性がある。スポーツニュースサイトのプロバイダの
従業員は、スポーツニュースサイト用のユーザのパスワ
ードを知り、同じパスワードを使用してユーザの銀行口
座へアクセスを試みる可能性がある。ユーザは両方のサ
ービスに同じパスワードを使用するため、スポーツニュ
ースの従業員はユーザの銀行口座の中に押し入ることが
できる。
にさらさずに複数のパスワードを記憶する必要を回避で
きる方法を提供することが望ましい。
ムを、ユーザがサーバごとに異なるパスワードを使用し
て多数のサーバにサインオンできるが、単一のマスタパ
スワードだけを覚えさえすれば良いように、クライアン
トサーバシステムでユーザを認証するための方法および
システムが提供される。
トは、クライアントに記憶されているマスタ認証情報
と、第1サーバに関連しているデータとに基づき、第1
サーバのためにサイト特有の認証情報の第1セットを作
成する。それから、クライアントは、第1サーバによっ
て制御されている限定リソースにアクセスするために、
第1サーバに対し第1サイト特有の認証情報を供給す
る。クライアントは、同じマスタ認証情報に基づき、第
2サーバのために第2サイト特有の認証情報の第2セッ
トを作成する。しかしながら、第2サーバのためのサイ
ト特有の認証情報を作成するために、マスタリソース情
報は、第2サーバと関連するデータと結合される。クラ
イアントは、第2サーバによって制御されている限定リ
ソースにアクセスするために、第2サイト特有の認証情
報を第2サーバに供給する。
有の認証情報の両方とも、マスタ認証情報とは異なり、
第1サイト特有の認証情報は第2サイト特有の認証情報
とは異なる。したがって、多様なサーバの管理者は、彼
らが、他のサーバでユーザのアカウントにアクセスでき
るようにする情報を持たない。
指す添付図面の図の中で、制限によってではなく、例に
よって示されている。
に制御されている限定アクセスリソースを含むネットワ
ークシステムに対する単一サインオン用の方法および機
器が説明される。以下の説明の中では、説明の目的のた
めに、多数の特殊な詳細が、本発明の徹底的な理解を提
供するために述べられている。しかしながら、当業者に
とっては、本発明が、これらの特定の詳細なしに実践さ
れてよいことが明らかだろう。その他の例では、周知の
構造およびデバイスが、本発明を不必要に分かりにくく
するのを避けるためにブロック図形式で示されている。
タシステム100を示すブロック図である。コンピュー
タシステム100は、情報を通信するためのバス102
またはそれ以外の通信機構、および情報を処理するため
にバス102と結合されているプロセッサ104を含
む。コンピュータシステム100は、情報とプロセッサ
104によって実行される命令を記憶するためにバス1
02に結合されている、ランダムアクセスメモリ(RA
M)またはその他の動的(dynamic)記憶装置な
どのメインメモリ106を含む。メインメモリ106
は、プロセッサ104によって実行される命令の実行
中、一時的な変数またはその他の中間情報を記憶するた
めにも使用されてよい。コンピュータシステム100
は、さらに、読取り専用メモリ(ROM)108または
プロセッサ104用の情報と命令を記憶するためにバス
102に結合されているその他の静的(static)
記憶装置を含む。磁気ディスクまたは光ディスクなどの
記憶装置110が提供され、情報と命令を記憶するため
にバス102に結合される。
ンピュータユーザに表示するために、陰極線管表示装置
(CRT)などのディスプレイ112にバス102を介
して結合されてよい。英数字キーとその他のキーを含む
入力装置114は、情報とコマンドの選択をプロセッサ
104に通信するためにバス102に結合される。別の
種類のユーザ入力装置は、方向情報およびコマンド選択
をプロセッサ104に通信するため、およびディスプレ
イ112の上でカーソル移動を制御するためのマウス、
トラックボール、またはカーソル方向キーなどのカーソ
ルコントロール116である。この入力装置は、典型的
には、装置が平面内で位置を指定できるようにする、第
1軸(例えば、x)および第2軸(例えば、y)という
2つの軸の中に2つの自由度を有する。
して限定サービスにサインオンするためのコンピュータ
システム100の使用に関する。発明の1つの実施態様
に従って、単一サインオン機構が、メインメモリ106
の中に記憶されている1つまたは複数の命令の1つまた
は複数のシーケンスを実行するプロセッサ104に答え
て提供される。このような命令は、記憶装置110など
の別のコンピュータ読取り可能媒体からメインメモリ1
06の中に読み込まれてよい。メインメモリ106に記
憶されている命令のシーケンスの実行は、プロセッサ1
04に、ここに説明されているプロセスステップを実行
させる。代替実施態様においては、結線による回路が、
本発明を実現するために、ソフトウェア命令の代わり
に、またはソフトウェア命令と組み合わせて使用されて
よい。したがって、本発明の実施態様は、ハードウェア
回路とソフトウェアの特定の組み合わせに制限されな
い。
り可能媒体」という用語は、実行のために、プロセッサ
104に命令を提供することに関与する媒体を指す。こ
のような媒体は、不揮発性媒体、揮発性媒体、および伝
送媒体を含むが、それらに制限されない多くの形を取っ
てよい。不揮発性媒体は、例えば、記憶装置110など
の光ディスクまたは磁気ディスクを含む。揮発性媒体
は、メインメモリ106などの動的メモリを含む。伝送
媒体は、バス102を備えるワイヤを含む同軸ケーブ
ル、銅線、および光ファイバを含む。伝送媒体は、無線
電波データ通信および赤外線データ通信の間に生成され
るものなどの可聴電波または光波の形を取ることもあ
る。
体は、例えば、フロッピー(登録商標)ディスク、フレ
キシブルディスク、ハードディスク、磁気テープ、それ
以外の磁気媒体、CD−ROM、任意のそれ以外の光媒
体、パンチカード、紙テープ、または任意のそれ以外の
穴のパターン付きの物理的な媒体、RAM、PROM、
およびEPROM、FLASH−EPROM、それ以外
の任意のメモリチップ、またはカートリッジ、後述され
る搬送波、あるいはコンピュータがその中から読み取る
ことができる任意のそれ以外の媒体を含む。
実行のためにプロセッサ104に1つまたは複数の命令
の1つまたは複数のシーケンスを搬送することに関わっ
てよい。例えば、命令は、最初に、遠隔コンピュータの
磁気ディスク上で実行されてよい。遠隔コンピュータ
は、命令をその動的メモリにロードし、モデムを使用し
て電話回線上で命令を送ることができる。コンピュータ
システム100にローカルなモデムは、電話回線上でデ
ータを受信し、そのデータを赤外線信号に変換するため
に赤外線送信機を使用できる。赤外線検出器は、赤外線
信号で搬送されるデータを受信し、適切な回路がデータ
をバス102の上に載せることができる。バス102
は、データをメインメモリ106に搬送し、そこからプ
ロセッサ104が命令を検索し、実行する。メインメモ
リ106によって受け取られる命令は、任意に、プロセ
ッサ104による命令の前または後のどちらかに記憶装
置110の上で記憶されてもよい。
2に結合されている通信インタフェース118も含む。
通信インタフェース118は、ローカルネットワーク1
22に接続されているネットワークリンク120に結合
する双方向データ通信を提供する。例えば、通信インタ
フェース118は、データ通信コネクションを対応する
型の電話回線に提供するためにデジタル総合サービス網
(ISDN)カードまたはモデムであってもよい。別の
例として、通信インタフェース118は、互換性のある
LANにデータ通信コネクションを提供するためのロー
カルエリアネットワーク(LAN)カードであってもよ
い。無線リンクも、実現されてもよい。このようなイン
プリメンテーションにおいて、通信インタフェース11
8は、多様な種類の情報を表しているデジタルデータス
トリームを搬送する電気信号、電磁信号、または光信号
を送受する。
は、1つまたは複数のネットワークを通してそれ以外の
データデバイスにデータ通信を提供する。例えば、ネッ
トワークリンク120は、ローカルネットワーク122
を通して、インターネットサービスプロバイダ(IS
P)126によって運用されているホストコンピュータ
124またはデータ装置へコネクションを提供してもよ
い。ISP126は、代わりに、現在では一般的に「イ
ンターネット」128と呼ばれているワールドワイドパ
ケットデータ通信網を通してデータ通信サービスを提供
する。ローカルネットワーク122およびインターネッ
ト128の両方とも、デジタルデータストリームを搬送
する電気信号、電磁信号または光信号を使用する。コン
ピュータシステム100に、および、コンピュータシス
テム100から、デジタルデータを搬送する、多様なネ
ットワークを通る信号と、ネットワークリンク120上
の信号および通信インタフェース118を通る信号と
は、情報をトランスポートする搬送波の例示的な形式で
ある。
ジを送り、プログラムコードを含むデータを、ネットワ
ーク(複数の場合がある)、ネットワークリンク120
および通信インタフェース118を通して受け取る。イ
ンターネットの例では、サーバ130が、インターネッ
ト128、ISP126、ローカルネットワーク12
2、および通信インタフェース118を通してアプリケ
ーションプログラムに対し要求されたコードを伝送する
可能性がある。本発明に従って、1つのこのようなダウ
ンロード済みのアプリケーションが、ここに説明されて
いるような単一サインオン機構に対処する。
および/または実行のために記憶装置110、またはそ
れ以外の不揮発性記憶装置の中に記憶されるときにプロ
セッサ104によって実行されてよい。このようにし
て、コンピュータシステム100は、搬送波の形を取る
アプリケーションコードを取得してよい。
供できるが、単一の「マスタ」パスワードを覚えさえす
れば良い単一サインオン機構が提供される。一般的に
は、ユーザは、マスタパスワードを、パスワードを限定
サイトに提供することを担当するクライアント側モジュ
ールに入力する。限定サイトがパスワードを要求する
と、クライアント側モジュールは、(1)マスタパスワ
ードと、(2)サイト特有の情報から引き出されるサイ
ト特有のパスワードとを作成する。1つの実施態様に従
って、サイト特有のパスワードを引き出すために使用さ
れる技法は、「マスタパスワード」をサイト特有のパス
ワードに基づいて判断できないようにするものである。
クライアント側モジュールは、限定サイトでユーザを認
証するために、サイト特有のパスワードを限定サイトに
提供する。このプロセスは任意の数または限定サイトで
繰り返されてもよく、その場合、各サイトには、異なる
サイト特有のパスワードが与えられる。さまざまなサイ
トに供給されるサイト特有のパスワードは、それらが、
部分的には異なるサイト特有の情報から引き出されるた
めに異なる。異なるサイト特殊パスワードが異なる限定
サイトに与えられるため、任意の指定限定サイトの管理
者は、ユーザの他の限定サイトでのパスワードを知らな
いだろうし、推論することはできないだろう。
スワードを覚えさえすればいいだけではなく、ユーザは
セッションごとに一度マスタパスワードだけを提供する
必要がある。マスタパスワードを提供した後、認証プロ
セスが、ユーザにトランスペアレントな方法でクライア
ント側モジュールによって各限定サイトで実行される。
ト側モジュールは、それ自体、サーバからクライアント
に送られてもよい。このようにして伝送されたクライア
ント側モジュールは、クライアントでの類似したクライ
アント側モジュールの存在を検出する場合に、新規に到
着したクライアント側モジュールは、第1到着クライア
ント側モジュールに、第1到着クライアントモジュール
でユーザによってすでに入力されているマスタパスワー
ドに基づいて、サイト特有のパスワードをサーバに送ら
せる。他方、クライアント側モジュールが同様のクライ
アント側モジュールの存在を検出しない場合には、クラ
イアント側モジュールはユーザからマスタパスワードを
要求し、マスタパスワードとサイト特有の情報に基づい
てサーバにサイト特有のパスワードを送る。
オンするためのステップを示すフローチャートである。
説明のために、サインオン技法は、ワールドワイドウェ
ブのコンテキストでここに説明されるだろう。このコン
テキストでは、クライアント上で実行しているブラウザ
が、ユーザからの入力に応えてウェブサーバから情報を
要求する。要求は、典型的には、ユーザがアクセスを希
望するリソースを識別するUniversal Resource Locator
(URL)を含む。
に限定されていないことが注記されなければならない。
むしろ、それは、ユーザが複数の機構、モジュール、サ
ーバまたはシステムによって認証されなければならない
任意の環境で利用されてよい。本発明は、特に、ユーザ
がそれをもって認証されなければならない機構、モジュ
ール、サーバ、またはシステムが同じソースによって制
御されないときに、特に貴重である。
ーザは、限定ウェブサイトにアクセスするために要求を
送る。このステップは、例えば、限定サイトの「ログオ
ン」ページのクライアント(つまり、ブラウザ)への送
達を要求するユーザによって達成されてよい。ユーザ
は、過去に検索されたウェブページに常駐するハイパー
リンクを選択し、限定ウェブサイトのURLをブラウザ
上のテキストボックスの中に入力するか、あるいは多様
なそれ以外のサイト選択機構の任意の1つを使用するこ
とによってこのような要求を発行する。
制御するウェブサーバが、ウェブサイトに対するアクセ
スを要求したブラウザにサインオンモジュールを送る。
本発明の1つの実施態様に従って、サインオンモジュー
ルは、JAVAアプレット、ActiveXコントロー
ル、またはブラウザ「プラグイン」などのアクティブコ
ンテンツ構成要素である。説明の目的のため、サインオ
ンモジュールがログオンページに埋め込まれ、JAVA
バイトコードの形でブラウザに伝送されるJAVAアプ
レットであると仮定されるものとする。ブラウザ内のJ
AVA仮想機械が、JAVAバイトコードを、それを受
信すると実行する。残りのステップ204、206,2
08,210,212および214は、それがクライア
ント上のJAVA仮想機械内で実行するときに、サイン
オンアプレットによって実行される。
トが、クライアント上ですでに実行しているサインオン
アプレットの別のインスタンスがあるかどうかを判断す
る。サインオンアプレットの別のインスタンスがクライ
アント上ですでに実行していない場合、制御は、サイン
オンアプレットがユーザからマスタパスワードを要求す
るステップ208に移る。他方、サインオンアプレット
の別のインスタンスがクライアント上ですでに実行して
いる場合には、ユーザは過去に存在していたサインオン
アプレットの中にすでにマスタパスワードを入力済みで
あり、制御はステップ206に移る。ステップ206で
は、新規に到着したサインオンアプレットが過去に存在
していたサインオンアプレットからマスタパスワードを
取得する。
トがサイト特有のデータを取得する。サイト特有のデー
タは、ユーザがアクセスを求めているサイトを特に識別
する任意のデータであってよい。例えば、サイト特有の
データは、ユーザがアクセスを試みているウェブサイト
のURLであってよい。代わりに、サイト特有のデータ
は、ユーザがアクセスを試みているサイトのIPアドレ
ス、またはサイトのURLアドレスとIPアドレスの組
み合わせであってもよい。多様なそれ以外の形式のサイ
ト特有のデータが使用されてもよい。その結果、本発明
は、任意のタイプのサイト特有のデータに制限されな
い。
ータが、アプレットのCodeBaseで符号化され
る。このような実施態様においては、サイト特有のデー
タは、アプレットのCodeBaseを抽出することに
よって、ステップ210で得られてよい。
タパスワードおよびサイト特有のデータに基づき、サイ
ト特有のパスワードを引き出す。このステップは、以下
の公式によって表されてよく、 SP=H[PW+CB] ここでは、SPはサイト特有のパスワードであり、PW
はマスタパスワードであり、CBはアプレットのCod
eBaseであり、H[]は、安全な片方向ハッシュ関
数であり、「+」はPWとCBを結合する演算を表す。
ッシュ関数H[]を適用する前に結合するために使用さ
れる結合演算は、単純なバイナリ連結演算であり、ハッ
シュ関数H[]は、国立規格技術研究所(Nation
al Instituteof Standards
and Technology)によって発行されてい
る連邦情報処理規格公報第180−1号に記載されてい
る安全ハッシュ関数SHA−1である。しかしながら、
多様なハッシュ関数および結合演算が、アプレットによ
って代わりに使用されてよく、本発明は、任意の特定の
種類のハッシュ関数または結合演算に制限されない。例
えば、H[]は、代わりに、B.Schneierの
「応用暗号法(Applied Cryptograp
hy)」(ニューヨーク(New York):ジョン
ウィリーアンドサンズ(JohnWiley&Son
s,Inc.)第2版1996年)の429ページから
431ページと436ページから441ページに詳説さ
れているMD5ハッシュ関数であってよい。
成されたサイト特有のパスワードが、限定アクセスウェ
ブサイトを制御するウェブサイトに伝送される。パスワ
ードを提出するプロセスは、例えば、(1)サイト特有
のパスワードを符号化する新規URLを構築し、(2)
ブラウザに新規URLまでナビゲーションさせるアプレ
ットによって達成されてよい。限定アクセスウェブサイ
トを制御するウェブサーバは、それからサイト特有のパ
スワードをそのユーザベースと比較し、ユーザが限定サ
イトへのアクセスを許されているかどうかを判断する。
ユーザが限定アクセスウェブサイトにアクセスする許可
を得ていると仮定すると、ウェブサーバは、限定リソー
スを供給することによって応答するだろう。例えば、限
定リソースがウェブページである場合、ウェブサーバは
限定ウェブページをブラウザに送ることによって応答す
るだろう。
限定ウェブサイトへのアクセスを試みるたびに繰り返さ
れる。セッション中に第1限定ウェブサイトにアクセス
した後、アプレットのコピーがクライアントに存在する
だろう。その結果、ユーザがマスタパスワードを入力す
るようにプロンプトを出されるステップ206は、ユー
ザがそれ以降の限定ウェブサイトにアクセスを試みると
繰り返されないだろう。このようにしてそれらのそれ以
降のサーバのために実行されるサインオンプロセスは、
ユーザにトランスペアレントになるだろう。
ンモジュールは、ユーザが限定サイトにログオンしよう
と試みるたびにブラウザに送られるJAVAアプレット
である。本発明の1つの実施態様に従って、サインオン
モジュールは、「常駐」構成要素と「一時」構成要素と
いう2つの構成要素を有する。サインオンモジュールの
常駐構成要素は、ユーザがサインオンモジュールを伝送
したサイトとは異なるウェブサイトにナビゲーションし
た後にもブラウザ内に留まる。
入力するようにユーザにプロンプトを出す小型ログイン
ウィンドウである。ユーザがマスタユーザ名/パスワー
ドの組み合わせをログインウィンドウの中に入力する
と、一時構成要素が、マスタユーザ名/パスワードと、
サインオンモジュールのCodeBaseで符号化され
ているサイト特有のデータとに基づいて、サイト特有の
パスワードを作成する。サイト特有のパスワードを作成
した後、サインオンモジュールは、サイト特有のパスワ
ードをウェブサーバに送る。さらに、一時構成要素が、
マスタユーザ名/パスワードの組み合わせのコピーをサ
インオンモジュールの常駐構成要素に送る。サインオン
モジュールの常駐構成要素は、クライアントのメモリの
中にユーザ名/パスワードを記憶する。
するとき、新規サイトを制御するウェブサーバは、サイ
ンオンモジュールの別のインスタンスをユーザのブラウ
ザに伝送する。第2サイトオンモジュールは、Code
Baseが、第2限定サイトのサイト特有のサイトを符
号化するという点で、第1サインオンモジュールとは異
なる。サインオンモジュールの過去に送達されたインス
タンスの常駐構成要素の存在を検出すると、第2サイン
オンモジュールは、ユーザにログオンウィンドウを提示
しない。むしろ、第2サインオンモジュールは、事前に
存在した常駐構成要素からマスタユーザ名/パスワード
を検索する。それから、第2サインオンモジュールは、
先に進み、第2サイトのサイト特有のパスワードを作成
し、トランスペアレントにユーザを第2サイトにサイン
オンする。
モジュールは、本発明の1つの実施態様に従って「署
名」される。すなわち、それらはサインオンモジュール
のソース(つまり、開発者)を識別するシグナチャ(s
ignature)を符号化する。ユーザのブラウザに
送達されたサインオンモジュールがユーザによって信頼
されているソースからではない場合には、ユーザは、サ
インオンモジュールが、実行するのを妨げることができ
るか、単にマスタユーザ名/パスワード情報を供給する
のを拒絶してよい。同様に、サインオンモジュールの事
前に存在した常駐構成要素は、それ以降到着するサイン
オンモジュールのシグナチャが信頼されているソースを
識別しない限り、マスタユーザ名/パスワード情報をそ
れ以降到着するサインオンモジュールに送達しないだろ
う。1つの実施態様に従って、多様な別々に制御されて
いる限定サイトによって使用されるサインオンモジュー
ルは、同じソースからとなり、それらのサインオンモジ
ュールは、同じソースからの他のサインオンモジュール
を信頼するだけだろう。
されている限定サイトによって使用されるサインオンモ
ジュールは、さまざまなソースからでよく、異なるハッ
シュ関数を実現してよく、さまざまな形式のアクティブ
コンテンツを使用して実現されてよい。ただし、それら
は、マスタ認証情報を記憶しているサインオンモジュー
ルの上で互いにマスタ認証情報を供給するために構成さ
れてよく、マスタ認証情報を必要とするサインオンモジ
ュールは信頼されているソースからであることを検証す
る。
態様に関して説明されてきた。しかしながら、多様な修
正および変更が、本発明のさらに広い精神および範囲か
ら逸脱することなくそれに加えられてよいことは明らか
だろう。明細書および図面は、したがって、限定的な意
味よりむしろ説明的な意味で考えられるべきである。
タシステムのブロック図である。
オンするためのステップを示すフローチャートである。
Claims (42)
- 【請求項1】クライアントサーバシステムでユーザを認
証するための方法であって、 クライアントが、前記クライアントで記憶されているマ
スタ認証情報と、前記第1サーバに関連するデータとに
基づいて、第1サーバのために第1サーバ特有の認証情
報を作成するステップと、 前記クライアントが、前記第1サーバによって制御され
ている限定リソースにアクセスするために前記第1サー
バ特有の認証情報を前記第1サーバに供給するステップ
とを備え、 前記第1サーバ特有の認証情報が前記マスタ認証情報と
は異なる、方法。 - 【請求項2】さらに、 前記クライアントが、前記認証情報と、前記第2サーバ
に関連するデータとに基づいて、前記第2サーバのため
に第2サーバ特有の認証情報を作成するステップと、 前記クライアントが、前記第2サーバによって制御され
ている限定リソースにアクセスするために、前記第2サ
ーバに前記第2サーバ特有の認証情報を供給するステッ
プとを備え、 前記第2サーバ特有の認証情報が、前記マスタ認証情報
とは異なり、 前記第1サーバ特有の認証情報が、前記第2サーバ特有
の認証情報と異なる、請求項1に記載の方法。 - 【請求項3】さらに、前記第1サーバ特有の認証情報を
前記クライアントから要求する前記第1サーバに応え
て、ユーザに前記マスタ認証情報を前記クライアントに
供給するように要求するステップを備える、請求項1に
記載の方法。 - 【請求項4】さらに、 前記クライアントが、前記クライアントが現在マスタ認
証情報を記憶しているかどうかを判断することによっ
て、前記第1サーバ特有の情報からの要求に応えるステ
ップと、 前記クライアントが、前記クライアントが現在マスタ認
証情報を記憶していると判断する場合に、前記クライア
ントが、前記マスタ認証情報をユーザから要求しない
で、前記第1サーバ特有の認証情報を作成するステップ
を実行するステップと、 前記クライアントが、前記クライアントが現在マスタ認
証情報を記憶していないと判断する場合に、前記クライ
アントが、前記ユーザに前記マスタ認証情報を提供する
ように要求し、前記マスタ認証情報を前記ユーザから受
け取ることに応えて前記マスタ情報を記憶するステップ
とを備える、請求項1に記載の方法。 - 【請求項5】さらに、 前記クライアントが、前記第1サーバ特有の認証情報の
ために前記第1サーバから第1要求を受け取るステップ
と、 前記クライアントが、前記第1要求に応えて、ユーザ
に、前記マスタ認証情報を供給するように要求するステ
ップと、 前記クライアントが、前記ユーザから前記マスタ認証情
報を受け取ることに応えて、前記認証情報を記憶するス
テップと、 前記クライアントが、前記第2サーバ特有の認証情報の
ために前記第2サーバから第2要求を受け取るステップ
と、 前記クライアントが、再び、前記ユーザに、前記マスタ
認証情報を供給するように要求しなくても、前記マスタ
認証情報を供給するステップ、前記第2サーバ特有の認
証情報を作成するステップ、および前記第2サーバ特有
の認証情報を前記第2サーバに供給するステップを実行
するステップと、 を備える、請求項2に記載の方法。 - 【請求項6】さらに、 前記クライアントが、サーバから第1クライアント側サ
インオンモジュールを受け取るステップを備え、 前記第1クライアント側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
を作成するステップと、 前記第1サーバに前記第1サーバ特有の認証情報を供給
するステップとを実行する、請求項1に記載の方法。 - 【請求項7】前記第1クライアント側サインオンモジュ
ールを受け取るステップが、前記第1サーバから前記ク
ライアント要求限定リソースに応えて、前記第1クライ
アント側サインオンモジュールを前記第1サーバから受
け取ることによって実行される、請求項6に記載の方
法。 - 【請求項8】さらに、 前記クライアントが、前記第1サーバから第1クライア
ント側サインオンモジュールを受け取るステップと、 前記クライアントが、前記第2サーバから第2クライア
ント側サインオンモジュールを受け取るステップとを備
え、 前記第1サーバから第1クライアント側サインオンモジ
ュールを受け取るステップでは、前記第1クライアント
側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
を作成するステップと、 前記第1サーバ特有の認証情報を前記第1サーバに供給
するステップとを実行し、 前記第2サーバから第2クライアント側サインオンモジ
ュールを受け取るステップでは、前記第2クライアント
側サインオンモジュールが、 前記第2サーバのために前記第2サーバ特有の認証情報
を作成するステップと、 前記第2サーバに、前記第2サーバ特有の認証情報を供
給するステップとを実行する、請求項2に記載の方法。 - 【請求項9】さらに、 前記第1クライアント側サインオンモジュールが、ユー
ザからマスタ認証情報を要求するステップと、 前記第1クライアント側サインオンモジュールが、前記
ユーザから前記マスタ認証情報を受け取ることに応え
て、前記クライアント上のメモリに前記マスタ認証情報
を記憶するステップとを備える、請求項8に記載の方
法。 - 【請求項10】さらに、 前記第2クライアント側サインオンモジュールが、前記
クライアント内で前記第1クライアント側サインオンモ
ジュールを検出するステップと、 前記第2クライアント側サインオンモジュールが、前記
マスタ認証情報を、前記第1クライアント側サインオン
モジュールから要求するステップとを備える、請求項9
に記載の方法。 - 【請求項11】前記クライアントがマスタ認証情報を記
憶するステップが、ユーザ名、IPアドレス、およびマ
スタパスワードの1つまたは複数を記憶するステップを
含む、請求項1に記載の方法。 - 【請求項12】前記第1サーバ特有の認証情報を作成す
るステップが、安全な片方向ハッシュ関数に基づき前記
第1サーバ特有の認証情報を作成することを含む、請求
項1に記載の方法。 - 【請求項13】第1クライアント側サインオンモジュー
ルが、アクティブコンテンツモジュールを受け取ること
を含み、そこでは、アクティブコンテンツモジュール
が、プラグインモジュール、JAVAアプレット、およ
びActiveX構成要素の1つまたは複数を含む、請
求項6に記載の方法。 - 【請求項14】前記第1サーバに関連する前記データ
が、URL、IPアドレス、ソフトウェアベンダー番号
および独自のサーバ識別子の内の1つまたは複数を含
む、請求項1に記載の方法。 - 【請求項15】前記サーバがウェブサーバであり、 前記ウェブサーバが、ワールドワイドウェブ上で、ウェ
ブサーバによって制御されている限定ウェブページを識
別するURLを伝送するクライアント上のブラウザに応
えて、前記第1サーバ特有の認証情報を要求し、 前記第1サーバ特有の認証情報を供給するステップが、
ウェブサーバに第1サーバ特有の認証情報を伝送するこ
とによって実行される、請求項1に記載の方法。 - 【請求項16】さらに、 第1クライアント側サインオンモジュールが、前記第2
クライアント側サインオンモジュールに関連するシグナ
チャが、前記第2クライアント側サインオンモジュール
が信頼されているソースからであることを示すかどうか
を判断することによって、前記第2クライアント側サイ
ンオンモジュールに応えるステップと、 前記第2クライアント側サインオンモジュールと関連す
る前記シグナチャが、前記第2クライアント側サインオ
ンモジュールが信頼されているソースからであることを
示す場合には、前記第1クライアント側サインオンモジ
ュールが前記第2クライアント側サインオンモジュール
に前記マスタ認証情報を供給するステップとを備える、
請求項10に記載の方法。 - 【請求項17】前記第1クライアント側サインオンモジ
ュールが、前記第1クライアント側サインオンモジュー
ルのCodeBaseから前記第1サーバに関連する前
記データを抽出した後に、前記第1サイトに関連するデ
ータに基づき、前記第1サーバ特有の認証情報を作成す
るステップを実行する、請求項6に記載の方法。 - 【請求項18】クライアントサーバシステムでユーザを
認証するための方法であって、 サーバが、クライアントから限定リソースに対する要求
を受け取るステップと、 前記サーバが、前記クライアントで実行されると、前記
サーバに関連するデータと前記クライアントに記憶され
ているマスタ認証情報とに基づき、サーバ特有の認証情
報を作成するクライアント側サインオンモジュールを、
前記クライアントに伝送するステップと、 前記サーバが、前記クライアント側サインオンモジュー
ルが前記クライアントで実行するときに前記クライアン
ト側サインオンモジュールから前記サーバ特有の認証情
報を受け取るステップとを備える、方法。 - 【請求項19】前記クライアント側サインオンモジュー
ルを伝送するステップは、そのCodeBaseで、前
記サーバ特有の認証情報を作成するために、前記マスタ
認証情報との組み合わせで使用される前記サーバに関連
するデータを符号化したクライアント側モジュールを伝
送することを含む、請求項21に記載の方法。 - 【請求項20】前記サインオンモジュールが、過去に存
在したサインオンモジュールが前記クライアントで検出
されない場合に前記クライアントのユーザに前記マスタ
認証情報を要求し、過去に存在したサインオンモジュー
ルが前記クライアントで検出される場合に前記マスタ認
証情報を前記過去に存在したサインオンモジュールに要
求するように構成される、請求項21に記載の方法。 - 【請求項21】クライアントサーバシステムでユーザを
認証するために1つまたは複数の命令のシーケンスを搬
送するコンピュータ読取り可能媒体であって、 1台または複数台のプロセッサによる1つまたは複数の
命令のシーケンスの実行が、1台または複数台のプロセ
ッサに、 クライアントが、前記クライアントに記憶されているマ
スタ認証情報と前記第1サーバに関連するデータに基づ
き、第1サーバのために第1サーバ特有の認証情報を作
成するステップと、 前記クライアントが、前記第1サーバによって制御され
ている限定リソースにアクセスするために、前記第1サ
ーバに前記第1サーバ特有の認証情報を供給するステッ
プとを実行させ、 前記第1サーバ特有の認証情報が、前記マスタ認証情報
とは異なる、コンピュータ読取り可能媒体。 - 【請求項22】さらに、 前記クライアントが、前記マスタ認証情報と前記第2サ
ーバに関連するデータとに基づき、前記第2サーバのた
めに第2サーバ特有の認証情報を作成するステップと、 前記クライアントが、前記第2サーバによって制御され
ている限定リソースにアクセスするために、前記第2サ
ーバに前記第2サーバ特有の認証情報を供給するステッ
プとを実行するための命令を備え、 前記第2サーバ特有の認証情報が、前記マスタ認証情報
と異なり、 前記第1サーバ特有の認証情報が、前記第2サーバ特有
の認証情報と異なる、請求項24に記載のコンピュータ
読取り可能媒体。 - 【請求項23】さらに、前記クライアントから前記第1
サーバ特有の認証情報を要求する前記第1サーバに応え
て、ユーザに、前記マスタ認証情報を前記クライアント
に供給するように要求するステップを実行するための命
令を備える、請求項24に記載のコンピュータ読取り可
能媒体。 - 【請求項24】さらに、 前記クライアントが、クライアントが現在マスタ認証情
報を記憶しているかどうかを判断することによって、前
記第1サーバ特有の情報に前記第1サーバからの要求に
応えるステップと、 前記クライアントが、前記クライアントが現在マスタ認
証情報を記憶していると判断する場合には、前記クライ
アントが、前記マスタ認証情報をユーザから要求しない
で、前記第1サーバ特有の認証情報を作成するステップ
を実行するステップと、 前記クライアントが、前記クライアントが現在マスタ認
証情報を記憶していないと判断する場合に、前記クライ
アントが、前記ユーザに、前記マスタ認証情報を提供す
るように要求するステップと、 前記ユーザから前記マスタ認証情報を受け取ることに応
えて、前記マスタ認証を記憶するステップと、を実行す
るための命令を備える、請求項24に記載のコンピュー
タ読取り可能媒体。 - 【請求項25】さらに、 前記クライアントが、前記第1サーバ特有の認証情報に
前記第1サーバからの第1要求を受け取るステップと、 前記クライアントが、ユーザに、前記第1要求に応え
て、前記マスタ認証情報を供給するように要求するステ
ップと、 前記クライアントが、前記ユーザから前記マスタ認証情
報を受け取ることに応えて、前記認証情報を記憶するス
テップと、 前記クライアントが、前記第2サーバ特有の認証情報に
前記第2サーバから第2要求を受け取るステップと、 前記クライアントが、再び前記ユーザに前記マスタ認証
情報を供給するように要求しないで、前記第2サーバ特
有の認証情報を作成するステップおよび前記第2サーバ
特有の認証情報を前記第2サーバに供給するステップを
実行するステップと、 を実行するための命令を備える、請求項25に記載のコ
ンピュータ読取り可能媒体。 - 【請求項26】さらに、 前記クライアントが、第1クライアント側サインオンモ
ジュールをサーバから受け取るステップを実行するため
の命令を備え、 前記第1クライアント側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
を作成するステップと、 前記第1サーバ特有の認証情報を前記第1サーバに供給
するステップと、 を実行する、請求項24に記載のコンピュータ読取り可
能媒体。 - 【請求項27】前記第1クライアント側サインオンモジ
ュールを受け取るステップが、前記第1サーバから限定
リソースを要求する前記クライアントに応えて前記第1
サーバから前記第1クライアント側サインオンモジュー
ルを受け取ることによって実行される、請求項29に記
載のコンピュータ読取り可能媒体。 - 【請求項28】さらに、 前記クライアントが、第1クライアント側サインオンモ
ジュールを前記第1サーバから受け取るステップと、 前記クライアントが、前記第2サーバから第2クライア
ント側サインオンモジュールを受け取るステップとを実
行するための命令を備え、 第1クライアント側サインオンモジュールを前記第1サ
ーバから受け取るステップでは、前記第1クライアント
側サインオンモジュールが、 前記第1サーバのために前記第1サーバ特有の認証情報
を作成するステップと、 前記第1サーバ特有の認証情報を前記第1サーバに供給
するステップとを実行し、 前記第2サーバから第2クライアント側サインオンモジ
ュールを受け取るステップでは、前記第2クライアント
側サインオンモジュールが、 前記第2サーバのために前記第2サーバ特有の認証情報
を作成するステップと、 前記第2サーバ特有の認証情報を前記第2サーバに供給
するステップとを実行する、請求項25に記載のコンピ
ュータ読取り可能媒体。 - 【請求項29】さらに、 前記第1クライアント側サインオンモジュールが、ユー
ザからマスタ認証情報を要求するステップと、 前記第1クライアント側サインオンモジュールが、前記
ユーザから前記マスタ認証情報を受け取ることに応え
て、前記クライアント上のメモリ内に前記マスタ認証情
報を記憶するステップと、を実行するための命令を備え
る、請求項31に記載のコンピュータ読取り可能媒体。 - 【請求項30】さらに、 前記第2クライアント側サインオンモジュールが、前記
クライアント内で前記第1クライアント側サインオンモ
ジュールを検出するステップと、 前記第2クライアント側サインオンモジュールが、前記
第1クライアント側サインオンモジュールから前記マス
タ認証情報を要求するステップと、を実行するための命
令を備える、請求項32に記載のコンピュータ読取り可
能媒体。 - 【請求項31】前記クライアントが、マスタ認証情報を
記憶するステップが、前記クライアントがユーザ名、I
Pアドレス、およびマスタパスワードの1つまたは複数
を記憶するステップを含む、請求項24に記載のコンピ
ュータ読取り可能媒体。 - 【請求項32】前記第1サーバ特有の認証情報を作成す
るステップが、安全な片方向ハッシュ関数に基づき、前
記第1サーバ特有の認証情報を作成することを含む、請
求項24に記載のコンピュータ読取り可能媒体。 - 【請求項33】第1クライアント側サインオンモジュー
ルを受け取るステップが、アクティブコンテンツモジュ
ールを受け取ることを含み、アクティブコンテンツモジ
ュールが、プラグインモジュール、JAVAアプレッ
ト、およびActiveX構成要素の1つまたは複数を
含む、請求項29に記載のコンピュータ読取り可能媒
体。 - 【請求項34】前記第1サーバに関連する前記データ
が、URL、IPアドレス、ソフトウェアベンダー番
号、独自のサーバ識別子の1つまたは複数を含む、請求
項24に記載のコンピュータ読取り可能媒体。 - 【請求項35】前記第1サーバがウェブサーバであり、 前記ウェブサーバが、ワールドワイドウェブ上で、ウェ
ブサーバによって制御されている限定ウェブページを識
別するURLを伝送するクライアント上のブラウザに応
えて、前記第1サーバ特有の認証情報を要求し、 前記第1サーバ特有の認証情報を供給するステップが、
第1サーバ特有の認証情報をウェブサーバに伝送するこ
とによって実行される、請求項24に記載のコンピュー
タ読取り可能媒体。 - 【請求項36】さらに、 第1クライアント側サインオンモジュールが、前記第2
クライアント側サインオンモジュールに関連するシグナ
チャが、前記第2クライアント側サインオンモジュール
が信頼されているソースからであることを示すかどうか
を判断することによって、前記第2クライアント側サイ
ンオンモジュールに応答するステップと、 前記第2クライアント側サインオンモジュールに関連す
る前記シグナチャが、前記第2クライアント側サインオ
ンモジュールが信頼されているソースからであることを
示す場合には、前記第1クライアント側サインオンモジ
ュールが、前記第2クライアント側サインオンモジュー
ルに前記マスタ認証情報を供給するステップと、を実行
するための命令を備える、請求項33に記載のコンピュ
ータ読取り可能媒体。 - 【請求項37】第1クライアント側サインオンモジュー
ルが、前記第1クライアント側サインオンモジュールの
CodeBaseから前記第1サーバに関連する前記デ
ータを抽出した後に、前記第1サイトに関連するデータ
に基づき前記第1サーバ特有の認証情報を作成するステ
ップを実行する、請求項29に記載のコンピュータ読取
り可能媒体。 - 【請求項38】クライアントサーバシステムでユーザを
認証するための命令の1つまたは複数のシーケンスを搬
送するコンピュータ読取り可能媒体であって、 1台または複数台のプロセッサによる1つまたは複数の
命令のシーケンスの実行が、1台または複数台のプロセ
ッサに、 サーバが、前記クライアントで実行時に、前記サーバに
関連するデータおよび前記クライアントに記憶されてい
るマスタ認証情報に基づき、サーバ特有の認証情報を作
成するクライアント側サインオンモジュールをクライア
ントに伝送するステップと、 前記サーバが、前記クライアント側サインオンモジュー
ルが前記クライアントで実行するときに前記クライアン
ト側サインオンモジュールから前記サーバ特有の認証情
報を受け取るステップとを実行させる、コンピュータ読
取り可能媒体。 - 【請求項39】前記クライアント側サインオンモジュー
ルを伝送するステップが、そのCodeBaseで、前
記サーバ特有の認証情報を作成するために、前記マスタ
認証情報と組み合わせて使用される、前記サーバに関連
するデータを符号化したクライアント側モジュールを伝
送することを含む、請求項44に記載のコンピュータ読
取り可能媒体。 - 【請求項40】前記サインオンモジュールが、過去に存
在していたサインオンモジュールが前記クライアントで
検出されない場合に前記マスタ認証情報を前記クライア
ントのユーザに要求し、過去に存在していたサインオン
モジュールが前記クライアントで検出される場合に、前
記マスタ認証情報を前記過去に存在したサインオンモジ
ュールに要求するように構成される、請求項44に記載
のコンピュータ読取り可能媒体。 - 【請求項41】クライアントと、 複数のサーバと、 前記クライアントと前記複数のサーバ間の通信を可能に
するために、前記クライアントを前記複数のサーバに動
作できるように接続するネットワークと、 前記クライアントにサインオンモジュールを送ることに
よって前記クライアントによって発行されるリソース要
求に応答するように構成されている少なくとも第1サー
バを含む前記複数のサーバとを備え、 前記サインオンモジュールが、前記クライアント上で実
行中に、以下の前記クライアントに記憶されているマス
タ認証情報を検索するステップと、 前記マスタ認証情報をサーバ特有のデータと結合するス
テップと、 前記マスタ認証情報とサーバ特有のデータに基づきサー
バ特有の認証情報を作成するステップと、 前記複数のサーバの内のある特定のサーバに前記サーバ
特有の認証情報を伝送するステップとを実行するように
構成されている、クライアントサーバシステム。 - 【請求項42】前記特定のサーバが前記第1サーバであ
る、請求項28に記載のクライアントサーバシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/301,642 US6629246B1 (en) | 1999-04-28 | 1999-04-28 | Single sign-on for a network system that includes multiple separately-controlled restricted access resources |
US09/301642 | 1999-04-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2000347994A true JP2000347994A (ja) | 2000-12-15 |
JP4639297B2 JP4639297B2 (ja) | 2011-02-23 |
Family
ID=23164250
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000121905A Expired - Lifetime JP4639297B2 (ja) | 1999-04-28 | 2000-04-24 | 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン |
Country Status (5)
Country | Link |
---|---|
US (1) | US6629246B1 (ja) |
EP (1) | EP1081914B1 (ja) |
JP (1) | JP4639297B2 (ja) |
DE (1) | DE60027971T2 (ja) |
IL (1) | IL135802A0 (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4780915B2 (ja) * | 2001-11-01 | 2011-09-28 | ヤフー! インコーポレイテッド | インターネットブラウザを用いてオンライン・ショッピングを簡便化する方法およびシステム |
US8561141B2 (en) | 2010-03-11 | 2013-10-15 | Fuji Xerox Co., Ltd. | Information input assistance device, computer-readable medium, and information input assistance method |
JP2014509760A (ja) * | 2011-03-14 | 2014-04-21 | クゥアルコム・インコーポレイテッド | ハイブリッドネットワーキングマスターパスフレーズ |
JP2015509632A (ja) * | 2012-03-02 | 2015-03-30 | テンセント テクノロジー (シェンジェン) カンパニー リミテッド | ログイン方法及びログイン装置、端末並びにネットワークサーバー |
JP2017033583A (ja) * | 2012-02-01 | 2017-02-09 | アマゾン テクノロジーズ インク | 多数のネットワークサイトのためのアカウント管理 |
US10362019B2 (en) | 2011-07-29 | 2019-07-23 | Amazon Technologies, Inc. | Managing security credentials |
US10475018B1 (en) | 2013-11-29 | 2019-11-12 | Amazon Technologies, Inc. | Updating account data for multiple account providers |
US10505914B2 (en) | 2012-02-01 | 2019-12-10 | Amazon Technologies, Inc. | Sharing account information among multiple users |
US11444936B2 (en) | 2011-07-29 | 2022-09-13 | Amazon Technologies, Inc. | Managing security credentials |
JP7316714B1 (ja) * | 2023-02-13 | 2023-07-28 | 株式会社フレアリンク | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム |
Families Citing this family (66)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001022702A (ja) * | 1999-07-12 | 2001-01-26 | Fujitsu Ltd | 認証制御装置、認証制御システムおよび認証制御方法並びに記録媒体 |
AU2001245481A1 (en) * | 2000-03-07 | 2001-09-17 | Hotlens.Com Inc. | Server-side web browsing and multiple lens system, method and apparatus |
AU2001247591A1 (en) * | 2000-03-20 | 2001-10-03 | Hotlens.Com Inc. | Transparent user and session management for web applications |
US7150038B1 (en) * | 2000-04-06 | 2006-12-12 | Oracle International Corp. | Facilitating single sign-on by using authenticated code to access a password store |
US6801946B1 (en) * | 2000-06-15 | 2004-10-05 | International Business Machines Corporation | Open architecture global sign-on apparatus and method therefor |
US7010582B1 (en) * | 2000-06-26 | 2006-03-07 | Entrust Limited | Systems and methods providing interactions between multiple servers and an end use device |
US6934848B1 (en) * | 2000-07-19 | 2005-08-23 | International Business Machines Corporation | Technique for handling subsequent user identification and password requests within a certificate-based host session |
US6976164B1 (en) * | 2000-07-19 | 2005-12-13 | International Business Machines Corporation | Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session |
US8020199B2 (en) * | 2001-02-14 | 2011-09-13 | 5th Fleet, L.L.C. | Single sign-on system, method, and access device |
US7350229B1 (en) * | 2001-03-07 | 2008-03-25 | Netegrity, Inc. | Authentication and authorization mapping for a computer network |
US20060288212A1 (en) * | 2001-03-20 | 2006-12-21 | Gutenberg Printing Llc | Transparent user and session management for web applications |
GB2396037B (en) * | 2001-05-29 | 2005-08-24 | Xenobit Corp | Method and system for logging into and providing access to a computer system via a communications network |
US7743404B1 (en) * | 2001-10-03 | 2010-06-22 | Trepp, LLC | Method and system for single signon for multiple remote sites of a computer network |
US7412720B1 (en) * | 2001-11-02 | 2008-08-12 | Bea Systems, Inc. | Delegated authentication using a generic application-layer network protocol |
US7246230B2 (en) * | 2002-01-29 | 2007-07-17 | Bea Systems, Inc. | Single sign-on over the internet using public-key cryptography |
US7228417B2 (en) | 2002-02-26 | 2007-06-05 | America Online, Inc. | Simple secure login with multiple-authentication providers |
US20030182551A1 (en) * | 2002-03-25 | 2003-09-25 | Frantz Christopher J. | Method for a single sign-on |
US7500262B1 (en) | 2002-04-29 | 2009-03-03 | Aol Llc | Implementing single sign-on across a heterogeneous collection of client/server and web-based applications |
US7793342B1 (en) * | 2002-10-15 | 2010-09-07 | Novell, Inc. | Single sign-on with basic authentication for a transparent proxy |
US8032931B2 (en) * | 2002-10-30 | 2011-10-04 | Brocade Communications Systems, Inc. | Fabric manager multiple device login |
US8695019B2 (en) * | 2003-02-14 | 2014-04-08 | Actividentity (Australia) Pty Ltd | System and method for delivering external data to a process running on a virtual machine |
JP4881538B2 (ja) * | 2003-06-10 | 2012-02-22 | 株式会社日立製作所 | コンテンツ送信装置およびコンテンツ送信方法 |
US7283831B2 (en) * | 2003-07-24 | 2007-10-16 | Lucent Technologies Inc. | Single sign-on service for communication network messaging |
US20050144482A1 (en) * | 2003-12-17 | 2005-06-30 | David Anuszewski | Internet protocol compatible access authentication system |
JP4982031B2 (ja) * | 2004-01-16 | 2012-07-25 | 株式会社日立製作所 | コンテンツ送信装置、コンテンツ受信装置およびコンテンツ送信方法、コンテンツ受信方法 |
US7490242B2 (en) * | 2004-02-09 | 2009-02-10 | International Business Machines Corporation | Secure management of authentication information |
US20050204174A1 (en) * | 2004-03-11 | 2005-09-15 | International Business Machines Corporation | Password protection mechanism |
US20050240671A1 (en) * | 2004-04-23 | 2005-10-27 | Loraine Beyer | IP-based front-end web server |
JP4465387B2 (ja) | 2004-04-30 | 2010-05-19 | リサーチ イン モーション リミテッド | データ伝送を処理するシステムおよび方法 |
US20060075224A1 (en) * | 2004-09-24 | 2006-04-06 | David Tao | System for activating multiple applications for concurrent operation |
US7941671B2 (en) * | 2004-10-14 | 2011-05-10 | Oracle International Corporation | Method and apparatus for accommodating multiple verifier types with limited storage space |
US7478123B2 (en) * | 2004-12-29 | 2009-01-13 | International Business Machines Corporation | Effortless registration with content providers and methods thereof |
US20060185004A1 (en) * | 2005-02-11 | 2006-08-17 | Samsung Electronics Co., Ltd. | Method and system for single sign-on in a network |
US20060206926A1 (en) * | 2005-03-14 | 2006-09-14 | Agfa Inc. | Single login systems and methods |
TWI296477B (en) * | 2005-03-23 | 2008-05-01 | Quanta Comp Inc | Single logon method on a server system and a server system with single logon functionality |
US8078740B2 (en) | 2005-06-03 | 2011-12-13 | Microsoft Corporation | Running internet applications with low rights |
US8245270B2 (en) * | 2005-09-01 | 2012-08-14 | Microsoft Corporation | Resource based dynamic security authorization |
US20070074038A1 (en) * | 2005-09-29 | 2007-03-29 | International Business Machines Corporation | Method, apparatus and program storage device for providing a secure password manager |
US20070165582A1 (en) * | 2006-01-18 | 2007-07-19 | Puneet Batta | System and method for authenticating a wireless computing device |
US20070226783A1 (en) * | 2006-03-16 | 2007-09-27 | Rabbit's Foot Security, Inc. (A California Corporation) | User-administered single sign-on with automatic password management for web server authentication |
US8185737B2 (en) | 2006-06-23 | 2012-05-22 | Microsoft Corporation | Communication across domains |
US10019570B2 (en) | 2007-06-14 | 2018-07-10 | Microsoft Technology Licensing, Llc | Protection and communication abstractions for web browsers |
US8189756B2 (en) * | 2008-01-02 | 2012-05-29 | International Business Machines Corporation | Telephone menu selection |
US8621561B2 (en) * | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
US20090320125A1 (en) * | 2008-05-08 | 2009-12-24 | Eastman Chemical Company | Systems, methods, and computer readable media for computer security |
US10146926B2 (en) * | 2008-07-18 | 2018-12-04 | Microsoft Technology Licensing, Llc | Differentiated authentication for compartmentalized computing resources |
US8910256B2 (en) * | 2008-08-08 | 2014-12-09 | Microsoft Corporation | Form filling with digital identities, and automatic password generation |
US8276196B1 (en) * | 2008-08-18 | 2012-09-25 | United Services Automobile Association (Usaa) | Systems and methods for implementing device-specific passwords |
US20100064353A1 (en) * | 2008-09-09 | 2010-03-11 | Facetime Communications, Inc. | User Mapping Mechanisms |
US8484338B2 (en) * | 2008-10-02 | 2013-07-09 | Actiance, Inc. | Application detection architecture and techniques |
US20100174758A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machines Corporation | Automatic management of single sign on passwords |
US8789152B2 (en) * | 2009-12-11 | 2014-07-22 | International Business Machines Corporation | Method for managing authentication procedures for a user |
US20110239281A1 (en) * | 2010-03-26 | 2011-09-29 | Nokia Corporation | Method and apparatus for authentication of services |
US20110239282A1 (en) * | 2010-03-26 | 2011-09-29 | Nokia Corporation | Method and Apparatus for Authentication and Promotion of Services |
US9183560B2 (en) | 2010-05-28 | 2015-11-10 | Daniel H. Abelow | Reality alternate |
US9497220B2 (en) | 2011-10-17 | 2016-11-15 | Blackberry Limited | Dynamically generating perimeters |
US9161226B2 (en) | 2011-10-17 | 2015-10-13 | Blackberry Limited | Associating services to perimeters |
US9613219B2 (en) | 2011-11-10 | 2017-04-04 | Blackberry Limited | Managing cross perimeter access |
US8799227B2 (en) | 2011-11-11 | 2014-08-05 | Blackberry Limited | Presenting metadata from multiple perimeters |
US9369466B2 (en) | 2012-06-21 | 2016-06-14 | Blackberry Limited | Managing use of network resources |
CN103546432B (zh) | 2012-07-12 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 实现跨域跳转的方法和***以及浏览器、域名服务器 |
US20140280698A1 (en) * | 2013-03-13 | 2014-09-18 | Qnx Software Systems Limited | Processing a Link on a Device |
EP2953312A1 (en) * | 2014-06-02 | 2015-12-09 | Alcatel Lucent | System to handle passwords for service authentication |
EP3743841A4 (en) * | 2018-07-31 | 2021-07-07 | Hewlett-Packard Development Company, L.P. | PASSWORD UPDATES |
EP3879422A1 (en) | 2020-03-09 | 2021-09-15 | Carrier Corporation | Network identifier and authentication information generation for building automation system controllers |
US20240061925A1 (en) * | 2020-12-23 | 2024-02-22 | Schlumberger Technology Corporation | Securely sharing data across isolated application suites |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996007256A1 (fr) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Systeme de certification |
US5684950A (en) * | 1996-09-23 | 1997-11-04 | Lockheed Martin Corporation | Method and system for authenticating users to multiple computer servers via a single sign-on |
JPH1125051A (ja) * | 1997-07-09 | 1999-01-29 | Hitachi Ltd | 情報システム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5537544A (en) * | 1992-09-17 | 1996-07-16 | Kabushiki Kaisha Toshiba | Portable computer system having password control means for holding one or more passwords such that the passwords are unreadable by direct access from a main processor |
GB2281645A (en) * | 1993-09-03 | 1995-03-08 | Ibm | Control of access to a networked system |
US5719941A (en) * | 1996-01-12 | 1998-02-17 | Microsoft Corporation | Method for changing passwords on a remote computer |
US6209104B1 (en) * | 1996-12-10 | 2001-03-27 | Reza Jalili | Secure data entry and visual authentication system and method |
US6308273B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
-
1999
- 1999-04-28 US US09/301,642 patent/US6629246B1/en not_active Expired - Lifetime
-
2000
- 2000-04-20 EP EP00303400A patent/EP1081914B1/en not_active Expired - Lifetime
- 2000-04-20 DE DE60027971T patent/DE60027971T2/de not_active Expired - Lifetime
- 2000-04-24 IL IL13580200A patent/IL135802A0/xx not_active IP Right Cessation
- 2000-04-24 JP JP2000121905A patent/JP4639297B2/ja not_active Expired - Lifetime
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996007256A1 (fr) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Systeme de certification |
US5684950A (en) * | 1996-09-23 | 1997-11-04 | Lockheed Martin Corporation | Method and system for authenticating users to multiple computer servers via a single sign-on |
JPH1125051A (ja) * | 1997-07-09 | 1999-01-29 | Hitachi Ltd | 情報システム |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4780915B2 (ja) * | 2001-11-01 | 2011-09-28 | ヤフー! インコーポレイテッド | インターネットブラウザを用いてオンライン・ショッピングを簡便化する方法およびシステム |
US8561141B2 (en) | 2010-03-11 | 2013-10-15 | Fuji Xerox Co., Ltd. | Information input assistance device, computer-readable medium, and information input assistance method |
JP2014509760A (ja) * | 2011-03-14 | 2014-04-21 | クゥアルコム・インコーポレイテッド | ハイブリッドネットワーキングマスターパスフレーズ |
US10362019B2 (en) | 2011-07-29 | 2019-07-23 | Amazon Technologies, Inc. | Managing security credentials |
US11444936B2 (en) | 2011-07-29 | 2022-09-13 | Amazon Technologies, Inc. | Managing security credentials |
JP2017033583A (ja) * | 2012-02-01 | 2017-02-09 | アマゾン テクノロジーズ インク | 多数のネットワークサイトのためのアカウント管理 |
US10505914B2 (en) | 2012-02-01 | 2019-12-10 | Amazon Technologies, Inc. | Sharing account information among multiple users |
US11381550B2 (en) | 2012-02-01 | 2022-07-05 | Amazon Technologies, Inc. | Account management using a portable data store |
JP2015509632A (ja) * | 2012-03-02 | 2015-03-30 | テンセント テクノロジー (シェンジェン) カンパニー リミテッド | ログイン方法及びログイン装置、端末並びにネットワークサーバー |
US10475018B1 (en) | 2013-11-29 | 2019-11-12 | Amazon Technologies, Inc. | Updating account data for multiple account providers |
US11004054B2 (en) | 2013-11-29 | 2021-05-11 | Amazon Technologies, Inc. | Updating account data for multiple account providers |
JP7316714B1 (ja) * | 2023-02-13 | 2023-07-28 | 株式会社フレアリンク | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム |
Also Published As
Publication number | Publication date |
---|---|
DE60027971D1 (de) | 2006-06-22 |
US6629246B1 (en) | 2003-09-30 |
EP1081914B1 (en) | 2006-05-17 |
JP4639297B2 (ja) | 2011-02-23 |
EP1081914A3 (en) | 2002-01-16 |
EP1081914A2 (en) | 2001-03-07 |
DE60027971T2 (de) | 2007-01-04 |
IL135802A0 (en) | 2001-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4639297B2 (ja) | 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン | |
US5586260A (en) | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms | |
KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
US7296077B2 (en) | Method and system for web-based switch-user operation | |
US7774612B1 (en) | Method and system for single signon for multiple remote sites of a computer network | |
US6339423B1 (en) | Multi-domain access control | |
JP4867663B2 (ja) | ネットワーク通信システム | |
US6986047B2 (en) | Method and apparatus for serving content from a semi-trusted server | |
JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
EP2232401B1 (en) | System, method and program product for consolidated authentication | |
US7356833B2 (en) | Systems and methods for authenticating a user to a web server | |
US20030177388A1 (en) | Authenticated identity translation within a multiple computing unit environment | |
US20090007243A1 (en) | Method for rendering password theft ineffective | |
US20060264202A1 (en) | System and method for authenticating clients in a client-server environment | |
US20030065956A1 (en) | Challenge-response data communication protocol | |
US20030163691A1 (en) | System and method for authenticating sessions and other transactions | |
US20030005333A1 (en) | System and method for access control | |
US20040064687A1 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
JP2002334056A (ja) | ログイン代行システム及びログイン代行方法 | |
WO1999066384A2 (en) | Method and apparatus for authenticated secure access to computer networks | |
CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和*** | |
JP2002342270A (ja) | リモートアクセス制御方法、リモートアクセス制御プログラム | |
JP2007520791A (ja) | サーバベースのコンピュータシステムにおけるリモート認証のための方法および装置 | |
JP2005293088A (ja) | 認証システム及び認証方法 | |
JP2004078622A (ja) | ユーザ認証の統合管理 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070412 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100915 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101012 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101026 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4639297 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131210 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |