JP5030967B2 - 認証方法を拡張するための方法及びシステム - Google Patents

認証方法を拡張するための方法及びシステム Download PDF

Info

Publication number
JP5030967B2
JP5030967B2 JP2008544993A JP2008544993A JP5030967B2 JP 5030967 B2 JP5030967 B2 JP 5030967B2 JP 2008544993 A JP2008544993 A JP 2008544993A JP 2008544993 A JP2008544993 A JP 2008544993A JP 5030967 B2 JP5030967 B2 JP 5030967B2
Authority
JP
Japan
Prior art keywords
authentication
user
session management
management server
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008544993A
Other languages
English (en)
Other versions
JP2009519529A (ja
Inventor
ハーモン、ベンジャミン、ブルーアー
ヒントン、ヘザー、マリア
モラン、アンソニー、スコット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009519529A publication Critical patent/JP2009519529A/ja
Application granted granted Critical
Publication of JP5030967B2 publication Critical patent/JP5030967B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、改良されたデータ処理システムに係り、具体的には、マルチコンピュータ間でデータを転送するための方法及び装置に係る。さらに詳細に説明すれば、本発明は、コンピュータ・システム内の認証方法に係る。
電子商取引ウェブ・サイト及びウェブ・アプリケーションは、ユーザの代わりに、コンピュータ・ネットワークを介してトランザクションを実行する。通常、ユーザは、セキュリティのために確実なレベルでユーザのアイデンティティを証明するために、認証手順を通過しなければならない。電子商取引ウェブ・ベースの環境では、コンピュータ・システムは、通常、ウェブ・サイトにアクセスするための玄関口又は歩哨ゲートの形式として認証サービスを実装する。これらの認証サービスは、ユーザが任意の資源にアクセスする前にユーザを認証することを保証するために、アプリケーションの前、すなわち、ユーザとアプリケーションの間に置かれる。これらの認証サービスは、ウェブ・サーバのプラグ・イン、リバース・プロキシ又は他の同様の技術として実装することができる。
一般に、企業は、インターネットを含む種々のネットワークを通して、ユーザ・フレンドリーな態様で、許可されたユーザに保護資源(protected resource)へのセキュアなアクセスを提供することを望んでいる。セキュアな認証機構の提供は、保護資源への無許可アクセスというリスクを減少させるが、かかる認証機構は、保護資源にアクセスする際の障壁になることがある。一般に、ユーザは、それぞれのアプリケーションをサポートする各システムを保護する認証障壁を顧慮せずに、1つのアプリケーションから他のアプリケーションに対話の相手を変える能力を望んでいる。
高度化したユーザは、その負担が減少されるように、コンピュータ・システムがそれぞれのアクションを調整することを期待する。これらの期待は、認証プロセスにも当てはまる。一旦、ユーザが特定のコンピュータ・システムにより認証された場合、ユーザは、ユーザには殆ど見えない種々のコンピュータ・アーキテクチャ境界を顧慮せずに、この認証が、ユーザの作業セッションの全期間中にわたって、又は少なくとも特定の期間にわたって、有効であると想定することがある。一般に、企業は、ユーザを懐柔するだけでなく、(ユーザの効率が従業員の生産性又は顧客満足と関係があるか否かに拘わらず)ユーザの効率を増加させるために、企業の展開したシステムの動作特性中にこれらの期待を実現することを試みる。
多くのコンピュータ・システムは、異なるレベルのセキュリティについて異なるタイプの認証を有する。例えば、ユーザが正確なユーザ名及びパスワードの組み合わせを提供することを必要とする第1レベルの認証が成功裏に完了した後、システムは、ウェブ・サイト上の特定セットの資源へのアクセスを提供することができる。第2レベルの認証は、ユーザがハードウェア・トークン(例えば、スマート・カード)を提示することを必要とすることがあり、その後、ユーザはウェブ・サイト上の比較的厳重に制御された資源へのアクセスを提供される。第3レベルの認証は、ユーザが(例えば、指紋走査又は網膜走査を通して)特定形式のバイオメトリック・データを提供することを必要とすることがあり、その後、システムは、ウェブ・サイト上の非常に機密性が高い資源へのアクセスを提供する。1つの認証レベルから次の認証レベルに上昇するプロセスは、「ステップアップ認証」又は「強制再認証」と呼ばれる。換言すれば、より機密性が高い資源へのアクセスを獲得するために、ユーザは、1つの認証レベルから、システムが必要とするより高い認証レベルにステップする。
認証は、既知の認証方法で実施することができる。しかし、多数のカストム方法のサポートは、容易に実施することができない。一般に、代表的なリバース・プロキシ内の認証方法は、すぐに使用可能なサポート済み方法、例えば、相互に認証済みのSSL(セキュア・ソケット・レイヤ)又は種々のカスタム方法に制限されている。新しい認証方法のサポートを追加することは、単純なプロセスではない。というのは、一般に、新しい認証方法は、サーバにおいて内部化されているからである。新しい認証方法を外部アプリケーションにより追加するためのサポートを有するシステムであっても、かかるサポートは制限されている。すなわち、外部化された認証情報に基づいてユーザ用のセッションを作成することができるが、(例えば、他の認証動作の完了を反映するように)ユーザの現在のセッション証明書を更新することができないからである。
この制限に対処するための現在の解決方法は、ユーザの現在のセッションを取り消し、新しいセッション情報及び証明書情報内に含まれる新しい認証方法で新しいセッションを確立する、というものである。システムは、ユーザには見えない態様で新しいセッションを確立することを試みることにより、新しいセッションの認識がユーザにとって必須でない場合は、かかる認識に係るユーザの負担を減少させることができる。しかし、依然として残る問題は、ユーザの最初のセッションから状態情報がある程度失われるということである。換言すれば、ダウンストリーム・アプリケーション又は保護資源は、古いセッションから新しいセッションへの変更に関し、予期しない問題を有することがある。
従って、ユーザ用の新しいセッションの確立を必要とすることなく、ユーザの認証証明書(以下「ユーザ証明書」とも称する)を更新可能な外部化されたアプリケーションにまで、認証方法を拡張することができる方法及びシステムを有することが有利である。そのようにすれば、或る目的のために認証サービス又は保護資源によって必要とされる、より高いセキュリティ・レベルを獲得することができるからである。
ユーザ用の認証証明書(authentication credential)を管理するための方法、システム、コンピュータ・プログラム製品及び装置が提供される。ユーザ用の認証証明書を管理するための方法が提供される。セッション管理サーバは、保護資源を含むドメインのためにユーザに関するセッション管理を実行する。前記セッション管理サーバは、前記保護資源にアクセスするための要求を受信する。前記保護資源は、第1のタイプの認証コンテキストのために生成された認証証明書を必要とする。前記ユーザ用の認証証明書が第2のタイプの認証コンテキストのために生成されたことを決定することに応答して、前記セッション管理サーバは、前記ユーザ用の認証証明書及び前記第1のタイプの認証コンテキスト用の標識を保持する、第1のメッセージを認証プロキシ・サーバに送信する。その後、前記セッション管理サーバは、前記ユーザ用の更新済みの認証証明書を保持する第2のメッセージを受信する。前記ユーザ用の更新済みの認証証明書は、当該更新済みの認証証明書が前記第1のタイプの認証コンテキストのために生成されたことを指示する。
一般に、本発明を構成するか又は本発明に関係する装置は、種々のデータ処理技術を含む。従って、本発明を詳細に説明する前に、その背景として、分散データ処理システム内のハードウェア及びソフトウェア・コンポーネントの代表的な編成を説明する。
図1は、各データ処理システムが本発明の一部を実装することができる、複数のデータ処理システムの代表的なネットワークを示す。分散データ処理システム100内のネットワーク101は、分散データ処理システム100内で相互に接続される種々の装置及びコンピュータの間の通信リンクを提供するために使用することができる媒体である。ネットワーク101は、有線又は光ファイバ・ケーブルのような永久的な接続、或いは電話又は無線通信を通して作られる一時的な接続を含むことができる。サーバ102及び103は、ストレージ装置104とともに、ネットワーク101に接続される。また、クライアント105〜107は、ネットワーク101に接続される。クライアント105〜107及びサーバ102及び103は、メインフレーム、パーソナル・コンピュータ、携帯情報端末(PDA)等の、種々の計算装置により表すことができる。分散データ処理システム100は、図示されていない追加のサーバ、クライアント、ルータ、他の装置及びピア・ツー・ピア・アーキテクチャを含むことができる。
分散データ処理システム100は、互いに通信するために種々のプロトコルを使用するネットワーク及びゲートウェイの世界的な集合体を表す、ネットワーク101を有するインターネットを含むことができる。かかるプロトコルは、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)、伝送制御プロトコル/インターネット・プロトコル(TCP/IP)、ファイル転送プロトコル(FTP)、ハイパーテキスト転送プロトコル(HTTP)、無線アプリケーション・プロトコル(WAP)等を含む。また、分散データ処理システム100は、イントラネット、ローカル・エリア・ネットワーク(LAN)又は広域ネットワーク(WAN)のような、多くの異なるタイプのネットワークを含むことができる。例えば、サーバ102は、クライアント109及び無線通信リンクを包含するネットワーク110を直接にサポートする。ネットワーク対応の携帯電話111は、無線リンク112を通してネットワーク110に接続し、PDA 113は、無線リンク114を通してネットワーク110に接続する。また、携帯電話111及びPDA 113は、パーソナル・エリア・ネットワーク(PAN)又はパーソナル・アドホック・ネットワークを構築するために、Bluetooth(商標)のような適切な技術を使用することにより、無線リンク115を介してそれら自身の間でデータを直接に転送することができる。同様に、PDA 113は、無線通信リンク116を介してPDA 107にデータを転送することができる。
本発明は、種々のハードウェア・プラットフォーム上で実装することができる。図1は、異機種コンピューティング環境を例示するためのものであって、本発明のアーキテクチャ上の制限を意図するものではない。
図2は、図1に示すデータ処理システムのうち、その内部で本発明を実装することができる、データ処理システム120の代表的なコンピュータ・アーキテクチャを示す。データ処理システム120の1つ以上の中央処理装置(CPU)122は、内部システム・バス123に接続される。システム・バス123は、ランダム・アクセス・メモリ(RAM)124、読み取り専用メモリ(ROM)126及び入出力アダプタ128を相互接続する。入出力アダプタ128は、プリンタ130、ディスク装置132等の、種々の入出力装置をサポートする。また、システム・バス123は、通信リンク136へのアクセスを提供する通信アダプタ134を接続する。ユーザ・インタフェース・アダプタ148は、キーボード140、マウス142等の、種々のユーザ装置を接続する、ディスプレイ・アダプタ144は、システム・バス123をディスプレイ装置146に接続する。
図2のハードウェアは、システム120の実装に依存して変わることがある。例えば、システム120は、インテル社の「ペンティアム」(商標)のような1つ以上のプロセッサ、デジタル信号プロセッサ(DSP)、並びに1つ以上のタイプの揮発性及び不揮発性メモリを有することができる。また、図2に示すハードウェアに加えて又はそのハードウェアの代わりに、他の周辺装置を使用することができる。図示の例は、本発明に関するアーキテクチャ上の制限を暗示するものではない。
本発明は、種々のハードウェア・プラットフォーム上で実装可能であることに加えて、種々のソフトウェア環境内でも実装することができる。代表的なオペレーティング・システムを使用して、各データ処理システム内のプログラム実行を制御することができる。例えば、1つの装置がUNIX(商標)オペレーティング・システムを稼働させることができるのに対し、他の装置は簡単なJavaランタイム環境を含むことができる。代表的なコンピュータ・プラットフォームは、ブラウザを含むことができる。ブラウザは、拡張可能マークアップ言語(XML)、ハイパー・テキスト・マークアップ言語(HTML)、ハンドヘルド・デバイス・マークアップ言語(HDML)、無線マークアップ言語(WML)等でフォーマットされた、図形ファイル、ワード処理ファイル等の文書にアクセスするための周知のソフトウェア・アプリケーションである。
図1及び図2に関連して説明したように、本発明は、種々のハードウェア及びソフトウェア・プラットホーム上で実装することができる。もっとも、本発明は、改良されたデータ処理環境に向けられている。本発明を詳細に説明する前に、代表的なデータ処理環境の幾つかの側面を説明する。
図面の記載は、クライアント又はクライアントのユーザの何れかによる特定のアクションを含むことがある。クライアントと授受される応答及び/又は要求は、或る状況では、ユーザにより開始され、他の状況では、クライアントのユーザの代わりに、クライアントにより自動的に開始される。従って、図面の記載においてクライアント又はクライアントのユーザが言及されている場合は、説明中のプロセスの意味に著しく影響せずに、「クライアント」及び「ユーザ」という用語を交換可能に使用することができる。
以下では、特定の計算タスクが、機能単位により実行されるものとして説明する。機能単位は、ルーチン、サブルーチン、プロセス、サブプロセス、手順、機能、メソッド、オブジェクト指向のオブジェクト、ソフトウェア・モジュール、アプレット、プラグ・イン、ActiveX(商標)コントロール、スクリプト又は計算タスクを実行するためのファームウェア若しくはソフトウェアの他のコンポーネントにより表すことができる。
また、図面の記載は、種々のコンポーネント間の情報の交換を含み、この情報の交換がメッセージの交換(例えば、要求メッセージ及びこれに続く応答メッセージ)を介して実装されるものとして説明することがある。適切な場合、同期的又は非同期的な要求/応答の交換を含むことがある、計算コンポーネント間の情報の交換は、メッセージ、メソッド呼び出し、リモート・プロシージャ・コール、イベント・シグナリング等の種々のデータ交換機構を介して、同様に実装することができる。
図3は、代表的な企業用データ処理システムを示すブロック図である。図1が、クライアント及びサーバを備えた代表的なデータ処理システムを示すのとは対照的に、図3は、ネットワーク内のクライアントを、資源にアクセスするためのクライアント要求をサポートするのに使用することができる、サーバ側の幾つかのエンティティと関連付けて示している。代表的なコンピューティング環境内のように、ユーザ202は、例えば、クライアント206のブラウザ・アプリケーション204を使用し、ネットワーク208を通して、企業ドメイン200がホストする資源にアクセスすることができる。ネットワーク208は、図1に示すように、インターネット、イントラネット又は他のネットワークとすることができる。
企業ドメイン200は、複数のサーバをサポートする。アプリケーション・サーバ210は、ウェブ・ベースのアプリケーション又はレガシ・アプリケーションを含む他のタイプのバックエンド・アプリケーションを通して、保護資源及び/又は非保護資源をサポートする。リバース・プロキシ・サーバ214、すなわちプロキシ・サーバ214は、企業ドメイン200のために広範囲の機能を実行する。例えば、プロキシ・サーバ214は、アプリケーション・サーバからのコンテンツを複製するために、ウェブ・ページをキャッシュすることができる。入力及び出力データ・ストリームは、入力データ・ストリーム・フィルタ216及び出力データ・ストリーム・フィルタ218により、それぞれ処理することができる。これらのフィルタ216及び218は、種々のポリシ内で指定された目標及び条件に従って、又は展開済みのソフトウェア・モジュールの構成に従って、着信要求及び発信応答について種々の処理タスクを実行する。
セッション管理装置220は、プロキシ・サーバ214によって認識されるようなセッションに関して、セッション識別子、キャッシュされた証明書又は他の情報を管理する。一般に、ウェブ・ベースのアプリケーションは、種々の手段を利用することにより、認証情報(例えば、HTML形式のユーザ名/パスワードの組み合わせ)を入力するように、ユーザにプロンプトを出す。図3の例では、クライアント206が資源にアクセスする前に、ユーザ202を認証することが必要であり、その後に、クライアント206のためのセッションを確立することができる。代替実施形態では、ドメイン200上の資源へのアクセスをユーザに提供する前に、認証及び許可動作は実行されない。この場合、ユーザ・セッションは、認証動作を伴うことなく作成することができる。
企業ドメイン200内の前述のエンティティは、多くのコンピューティング環境内の代表的なエンティティを表す。しかし、多くの企業ドメインは、保護された計算資源へのアクセスを制御するためのセキュリティ機能を有する。計算資源は、アプリケーション、オブジェクト、文書、ウェブ・ページ、ファイル、実行可能なコード・モジュール又は他の計算資源若しくは通信タイプの資源とすることができる。保護資源は、要求元のクライアント又は要求元のユーザが認証され及び/又は許可される場合にのみ、アクセス可能又は検索可能な資源である。或る場合には、認証されたユーザは、デフォルトにより、許可されたユーザとなる。認証サーバ222は、ユーザ名/パスワード、X.509証明書又はセキュア・トークンのような、種々の認証機構をサポートすることができる。この場合、複数の認証サーバを特定の認証方法に専用化することができる。許可サーバ224が使用する許可データベース226は、アクセス制御リスト228、許可ポリシ230、ユーザ・グループ又はその役割に関する情報232、及び特定の管理グループ内の管理ユーザに関する情報234のような情報を保持する。許可サーバ224は、この情報を使用することにより、特定の要求の進行を許すべきか否か、例えば、クライアント206からの要求に応答して保護資源へのアクセス権を付与すべきであるか否かという指示を、プロキシ・サーバ214に提供する。本発明は、種々の認証及び許可アプリケーションに関連して実装することができる。従って、本明細書に記載される本発明の実施形態は、認証及び許可サービスの構成に関して、本発明の範囲を制限するものとして解釈すべきでない。
図4は、クライアントがサーバにおける保護資源にアクセスすることを試みる場合に使用することができる、代表的な認証プロセスを示すデータ・フロー図である。図示のように、クライアント300におけるユーザは、クライアント300上で実行中のユーザのウェブ・ブラウザを使用し且つコンピュータ・ネットワークを介して、サーバ302上の保護資源へのアクセスを求める。保護資源は、ユニフォーム・リソース・ロケータ(URL)、又は一般化して説明すれば、認証され且つ許可されるユーザのみにアクセス可能なユニフォーム・リソース識別子(URI)により識別することができる。
図4の認証プロセスが開始するのは、ユーザが、サーバ側の保護資源、例えば、ドメイン「ibm.com」内のウェブ・ページを要求する場合である(ステップ304)。「サーバ側」及び「クライアント側」という用語は、ネットワーク化された環境内のサーバ又はクライアントにおけるアクション又はエンティティをそれぞれ意味する。ウェブ・ブラウザ(又は関連するアプリケーション若しくはアプレット)が生成するHTTP要求は、ドメイン「ibm.com」をホストするウェブ・サーバに送信される(ステップ306)。「要求」及び「応答」という用語は、メッセージ、通信プロトコル情報又は他の関連する情報のように、特定の動作に関係する情報の転送に適切なデータ・フォーマットを意味する。
サーバ302は、クライアント300のためのアクティブなセッションを有していないことを決定するから(ステップ308)、サーバ302は、クライアント300に或るタイプの認証チャレンジを送信することにより、ユーザが認証プロセスを実行することを要求する(ステップ310)。認証チャレンジは、HTML形式のような種々のフォーマットを有することができる。次に、ユーザは、ユーザ識別子及び関連するパスワードのような、要求された情報を提供する(ステップ312)。或いは、クライアント300は、ディジタル証明書のような特定の情報を自動的に戻すことができる。
認証応答情報がサーバに送信された時点で(ステップ314)、サーバ302は、例えば、以前に提出された登録情報を検索し且つ提示された認証情報をユーザの格納済み情報と突き合わせることにより、ユーザ又はクライアント300を認証する(ステップ316)。かかる認証が成功するものと仮定すると、認証済みのユーザ又はクライアント300のためにアクティブなセッションが確立される。
次に、サーバ302は、要求されたウェブ・ページを検索し、HTTP応答メッセージをクライアント300に送信する(ステップ318)。その時点において、ユーザは、ブラウザ内のハイパーテキスト・リンクをクリックすることにより、「ibm.com」内の他のページを要求することができる(ステップ320)。これに応じて、ブラウザは、他のHTTP要求メッセージをサーバ302に送信する(ステップ322)。その時点において、サーバ302は、サーバ302により維持されるセッション状態情報に基づいて、ユーザがアクティブなセッションを有することを認識する(ステップ324)。例えば、サーバ302は、クライアント300がHTTP要求メッセージ内のセッションIDを戻すので、要求元ユーザのための適切なセッション状態情報を認識する。サーバ302は、キャッシュ済みのユーザ・セッション情報に基づき、例えば、ユーザ証明書のコピーが使用可能であることに基づき、ユーザが既に認証されているものと決定する。この場合、サーバ302は、ユーザの要求を満たす前に、認証動作のような特定の動作を実行する必要はないことを決定することができる。サーバ302は、要求されたウェブ・ページを他のHTTP応答メッセージに入れてクライアント300に送信することにより(ステップ326)、保護資源に対するユーザの最初の要求を満たす。
前述のように、図3は、代表的なデータ処理システムを示し、図4は、クライアントがサーバにおける保護資源にアクセスすることを試みる場合に使用することができる代表的な認証プロセスを示す。もっとも、本発明は、他の図面に示すように、ユーザ用の新しいセッションの確立を必要とすることなく、ユーザ証明書を更新可能な外部化されたアプリケーションにまで、認証動作を拡張する改良された認証インフラストラクチャに向けられている。
図5は、本発明に従った、拡張認証動作を実行するためのデータ処理システムの一部を示すブロック図である。図5のデータ処理システムは、図3のデータ処理システムに類似する。例えば、クライアント402はクライアント206に類似し、セッション管理サーバ404はプロキシ・サーバ214に類似し、保護資源406はアプリケーション・サーバ210及び他のタイプの保護資源を表すことができる。
セッション管理サーバ404は、計算DMZ(非武装地帯)内に存在することが好ましい。このようにすると、セッション管理サーバ404と授受されるデータが、ファイア・ウォール408及び410を通過しなければならないからである。セッション管理サーバ404は、保護資源406を含むセキュア・ドメイン内で作成されるユーザ・セッションに関するセッション管理に責任がある。セッション管理サーバ404は、可能な場合、認証動作を実行するために認証サービス405に依存する。認証サービス405が認証動作を実行できない場合、セッション管理サーバ404は、後述するように、認証プロキシ・サーバ412に依存する。
セッション管理サーバ404及び保護資源406は、信頼できるネットワーク内に存在することができる。信頼できるネットワークは、図3の企業ドメイン200に類似する企業ドメイン内の計算資源を表すことができる。しかし、種々のコンポーネント、特に認証プロキシ・サーバ412は、他のセキュア・ドメイン内でホストすることができる。
図5は、本発明の実装を説明するための諸コンポーネントを示す。本発明の実装では、認証動作をドメインのためのセッション管理を実行するセッション管理サーバに外部化することができ、そしてこの認証動作は、ユーザ用の新しいセッションの確立を必要とすることなく、ユーザ証明書を更新する。また、図5は、クライアント/ユーザと、クライアント/ユーザによりアクセスされる保護資源をサポートするコンポーネントとの間のデータフローを例示する。セッション管理サーバ404との例示的なデータフローは、クライアントを通して宛先変更されるものとして示されている。しかし、セッション管理サーバ404とのデータフローは、セッション管理サーバ404と授受される種々の送信メッセージ、並びにセッション管理サーバ404と授受されるデータをプッシュ又はプルする他のデータ転送機構を通して実行できることに留意されたい。
或る時点では、クライアント402のユーザがセッション管理サーバ404を介して既に認証プロセスを完了しており、その結果、セッション管理サーバ404がユーザ証明書を有することがある。この場合、セッション管理サーバ404は、ユーザ証明書を使用し、例えば、ユーザの資源要求414を保護資源406に転送又は送信することにより、ユーザに対し保護資源406へのアクセス権を提供する。多くの場合、セッション管理サーバ404が保護資源406にアクセスするための資源要求414を受信し、要求元のユーザ証明書が十分であることを決定するとき、セッション管理サーバ404は、現在のユーザ証明書を修正することなく、ユーザの資源要求414を転送又は送信する。
しかし、図5の例では、資源要求414がセッション管理サーバ404により受信されるとき、資源要求414は、例えば、仮定的な転送要求416として保護資源406に転送されない。この場合、セッション管理サーバ404は、資源要求414が保護資源406にアクセスするための要求であること、そしてユーザ証明書が特定の認証コンテキスト内のアサーションについて有効であることを保護資源406が必要とすることを認識する。図5の例では、セッション管理サーバ404は、現在のユーザ証明書が、保護資源406が必要とする認証コンテキストについて無効であることを認識する。
認証コンテキストは、その内部で又はそのために認証証明書が作成されるか又は使用を意図される、1セットの基準又は制限である。認証コンテキストは、認証対象がどのように認証されたのか、認証対象がどの認証エンティティで認証されたのか、及び/又は認証証明書の使用範囲はどのようなものであったのかを指示することができる。例えば、ユーザの認証証明書内には、この認証証明書を生成した特定の認証エンティティのアイデンティティが指示されることがある。換言すれば、この例におけるユーザの認証証明書は、このユーザを認証した特定の認証エンティティを指示することができる。他の例として、ユーザの認証証明書内には、この認証証明書の生成に関与した特定のタイプ、クラス又はカテゴリの認証動作のアイデンティティ(例えば、ユーザ名/パスワード、ハードウェア・トークン、バイオメトリック情報等)が指示されることがある。換言すれば、この例におけるユーザの認証証明書は、このユーザがどのように認証されたかを指示することができる。さらに他の例として、ユーザの認証証明書内には、この認証証明書の有効期間、(例えば、バンキング・トランザクションのみ又は購入トランザクションのみのように)この認証証明書を有効に使用することができるトランザクション・コンテキスト、この認証証明書が当事者間で委譲可能であるか否か等の、意図した制限事項が指示されることがある。
従って、図5の例では、現在のユーザ証明書は、種々の特性にわたって、無効性を指示することがある。例えば、現在のユーザ証明書の発行機関は、保護資源406のオペレータによって認識されないことがある。しかし、保護資源406のオペレータによって認識される他の発行機関が存在することもある。当該他の発行機関は、現在のユーザ証明書内に指示される発行機関を認識し、このユーザ証明書の検証に基づいて、ユーザ証明書を喜んで再発行することがある。他の例として、現在のユーザ証明書は、このユーザによるユーザ名/パスワード・ペアの成功裏のアサーションの検証に基づく認証動作に応答して、このユーザ証明書が生成されたことを指示することがある。しかし、保護資源406のオペレータは、このユーザによるバイオメトリック・アサーションの検証に基づく認証動作に応答して生成されたユーザ証明書を必要とすることがある。
セッション管理サーバ404は、保護資源406にアクセスするための資源要求414をこの時点で転送するのではなく、これに代えて、メッセージ418を認証プロキシ・サーバ412に送信する。このメッセージは、ユーザが以前に獲得したものとは異なる認証コンテキストについて更新済みのユーザ証明書を要求するための情報を保持する。認証プロキシ・サーバ412は、この着信要求を適切な1つのバックエンド認証サーバ420に転送し、当該認証サーバ420は、メッセージ418内に含まれていた現在のユーザ証明書情報に基づき更新済みのユーザ証明書を生成する。
認証サーバ420が表すことができる認証サーバ、サーブレット又は他のタイプの計算コンポーネントの各々は、異なるタイプの認証動作及び/又は異なる認証コンテキスト内の認証動作を実行するためのサポートを提供することにより、特定の認証コンテキストについて有効なユーザ証明書を生成する。認証サーバは、このように実装された動作に依存して、更新済みのユーザ証明書を確立する情報を収集するためにユーザ/クライアントとの相互作用422を必要とすることがある。
前述のように、認証コンテキストは、1セットの基準又は制限を含み、その各々は単純又は複雑なものとすることができる。従って、1つの認証サーバ420により実装される認証動作は、これに対応して単純又は複雑になることがある。例えば、もし、更新済みのユーザ証明書を新しい発行機関により発行することが必要であれば、認証動作は、追加のエンティティ又はオペレータとの長いダウンストリーム・プロセスを含むことがある。この例では、保護資源406のオペレータが必要とするように、更新済みのユーザ証明書が特定の発行機関により発行された後、更新済みのユーザ証明書は、保護資源406が必要とする認証コンテキストのために生成されたと云われる。
他の例では、もし、現在のユーザ証明書が1時間前に満了したばかりであり、そして認証サーバが、ユーザ証明書の存続時間を1時間だけ延長する権限を有するならば、認証動作は、更新済みのユーザ証明書内の有効期間を修正するだけとなることがある。もっとも、これに付随して、ユーザ証明書内のディジタル・チェックサム又は他のデータ項目の修正を必要とすることがある。この例では、保護資源406のオペレータが必要とするように、更新済みのユーザ証明書が現在の期間にわたって有効となるように認証サーバにより生成された後、更新済みのユーザ証明書は、保護資源406が必要とする認証コンテキストのために生成されたと云われる。
次に、認証プロキシ・サーバ412は、着信メッセージ424をクライアント402に送信することにより更新済みのユーザ証明書を戻し、クライアント402は、これをセッション管理サーバ404に適切に転送する。次に、セッション管理サーバ404、更新済みのユーザ証明書をキャッシュし、格納し、さもなければ更新済みのユーザ証明書に関するユーザの現在のセッション状態情報を更新し、関連付け、又は修正する。
次に、セッション管理サーバ404は、ユーザの最初の要求を保護資源406に送信する。その要求には、保護資源406が必要とする適切な認証コンテキストを指示する、更新済みのユーザ証明書が伴うことがある。或いは、更新済みのユーザ証明書は、必要に応じて、ダウンストリーム・エンティティによる検索のために利用可能に留まる。何れの場合も、ユーザは、ユーザがアクセスすることを試みている保護資源406が必要とする認証コンテキスト内で有効なユーザ証明書を獲得したことになる。但し、保護資源406が必要とする認証コンテキスト内で有効なユーザ証明書をユーザが所有することは、保護資源406にアクセスするためのユーザの要求に対しアクセス権が付与されること又はそのようなアクセスが成功することを必ずしも保証しないことに留意されたい。例えば、種々のエラーが生じることがあり、或いは、保護資源406が必要とする認証コンテキスト内に含まれると考えられなかった制限的ポリシをダウンストリーム・エンティティがアサートする場合のように、種々の他の制限に基づいて、ユーザの要求が否定されるか又は拒絶されることがあるからである。
図6は、本発明に従った拡張認証動作をサポートする、セッション管理サーバによって管理される一部の情報を示すブロック図である。セッション管理サーバ500は、図5のセッション管理サーバ404に類似する。セッション管理サーバ500は、ユーザ・セッションを管理するための情報をセッション・データ構造502内に格納する。テーブル等のセッション・データ構造502は、セッション・エントリ504のような複数のセッション・エントリを保持する。セッション・エントリ504は、セッションの一意の識別子である、セッション識別子506を保持する。また、セッション・エントリ504は、ユーザの一意の識別子である、ユーザ識別子508を格納することができる。このユーザは、セッション管理サーバ500を含む企業ドメイン内で当該セッションを開始したクライアントに対応する。追加のセッション状態変数510は、各セッション・エントリ504内にローカルに格納することができる。
また、セッション・エントリ504は、ユーザ証明書512を保持する。ユーザ証明書512は、必要に応じて、保護資源にアクセスするために当該証明書を所有するユーザを許可するのに使用される。ユーザ証明書512は、当該証明書が生成された少なくとも1つの認証コンテキスト514を指示する。また、セッション・エントリ504は、キャッシュされた要求メッセージ516を保持することができる。キャッシュされた要求メッセージ516は、更新済みのユーザ証明書を獲得するために認証動作の実行を開始する、クライアント/ユーザからの最初の要求メッセージの格納済みコピーである。
また、セッション管理サーバ500は、特定の認証コンテキストを必要とする保護資源を指示する、構成可能なテーブル518又は同様のデータ構造を格納する。各保護資源は、そのURIにより識別することができ、その必要とする認証コンテキストは、URIと関連付けて格納することができる。その結果、表される各保護資源ごとに、URI 520及び認証コンテキスト標識522を有するキー値ペアが形成される。認証コンテキストの実装に依存して、認証コンテキスト標識522は、1セットのデータ項目とすることができる。
また、セッション管理サーバ500は、認証プロキシ・サーバの位置を指示する、認証プロキシ・サーバの構成可能なURI 524を格納する。構成可能なURI 524及び構成可能なテーブル518は、セッション管理サーバ500の初期化段階中に、構成ファイルからの検索後にメモリ内でキャッシュすることができる。
図7は、本発明に従った認証動作をサポートする、認証プロキシ・サーバによって管理される一部の情報を示すブロック図である。認証プロキシ・サーバ600は、図5の認証プロキシ・サーバ412に類似する。認証プロキシ・サーバ600は、要求された認証コンテキストから、関連する認証コンテキストについて有効なユーザ証明書を生成することができる認証動作にマッピングするための情報を格納する。例えば、構成可能なテーブル等のデータ構造602は、キー値ペアを保持する。すなわち、認証コンテキスト604の各標識が、認証動作606とペアを形成する。認証コンテキストの実装に依存して、認証コンテキストの標識604は、1セットのデータ項目とすることができる。
また、認証プロキシ・サーバ600は、認証要求の送信元及び/又は認証応答の返送先に相当するセッション管理サーバの位置を指示する、セッション管理サーバの構成可能なURI 608を格納する。構成可能なURI 608及び構成可能なテーブル602は、認証プロキシ・サーバ600の初期化段階中に、構成ファイルからの検索後にメモリ内でキャッシュすることができる。
図8は、本発明に従った、セッション管理サーバから認証プロキシ・サーバに送信される、認証要求メッセージ内に保持することができる一部の情報を示す。認証要求メッセージ702は、現在のユーザ証明書704のコピーを保持する。現在のユーザ証明書704は、バックエンド認証方法/サーバにより必要とされるように、更新済みのユーザ証明書を生成するために使用される。要求された認証コンテキスト706は、認証動作を開始したセッション管理サーバによって決定されるように、更新済みのユーザ証明書が必要とされる認証コンテキストを指示する。或る場合には、認証動作を完了するために、バックエンド認証方法/サーバが、ユーザと対話することを必要とすることがある。それらの場合については、カスタマイズ情報708が認証要求メッセージ702内に含まれる。認証要求メッセージ702によって表される諸情報項目は、互いに関連付けて格納及び/又は送信され、そしてこれらの情報項目は、他のメッセージ内のコンテンツとして埋め込まれることを含む、種々のデータ・フォーマットで実装することができる点に留意されたい。
カスタマイズ情報708は、ユーザが認証動作を完了するために対話することを要求されている場合に、ユーザのクライアントと交換される情報をカスタマイズするために使用することができる。ユーザ名又は他のコンテキスト情報を提供することにより、認証動作は、認証動作の必要性に関してよりユーザ・フレンドリー又はより有益になることができる。例えば、ユーザが要求したトランザクションが、ユーザにとっては既知の他のウェブ・サイトとの対話をしなければならないという理由で、追加のセキュリティ手順の必要性を指示するということである。
図9は、本発明に従った認証プロキシ・サーバからセッション管理サーバに返送される、認証応答メッセージ内に保持される一部の情報を示すブロック図である。認証応答メッセージ802は、更新済みのユーザ証明書804のコピーを保持する。この更新済みのユーザ証明書は、認証動作を通して当該更新済みのユーザ証明書を最初に要求したセッション管理サーバにより受信されるとき、キャッシュされるであろう。例えば、この更新済みの認証証明書は、保護資源にアクセスするために後で使用するのに備えて、適切なユーザのセッション・エントリ情報内にキャッシュすることができる。認証応答メッセージ802によって表される諸情報項目は、互いに関連付けて格納及び/又は送信され、そしてこれらの情報項目は、他のメッセージ内のコンテンツとして埋め込まれることを含む、種々のデータ・フォーマットで実装することができる点に留意されたい。
図10は、セッション管理サーバが本発明に従った認証動作を開始するプロセスを示すフローチャートである。このプロセスが開始するのは、図5のセッション管理サーバ404のようなセッション管理サーバが、保護資源にアクセスするための要求を受信する場合である(ステップ902)。その要求は、その後の検索に備えて、ユーザのセッション情報内にキャッシュすることができる。セッション管理サーバは、着信要求メッセージから保護資源の要求されたURIを抽出し(ステップ904)、保護資源が必要とする認証コンテキストを獲得するために当該抽出済みのURIを使用して、ルックアップ動作を実行する(ステップ906)。このルックアップ動作は、図6のテーブルのような構成可能なテーブル又は他のデータ・ストアを使用して実行される。この例では、セッション管理サーバは、ユーザ証明書が保護資源によって必要とされる認証コンテキストを欠くことを決定する(ステップ908)。換言すれば、現在のユーザ証明書は、ユーザがアクセスすることを試みている保護資源が必要とする認証コンテキストについて無効である。従って、セッション管理サーバは、ユーザ証明書を更新するために認証動作が必要とされることを決定する。もし、ユーザ証明書が、保護資源用の特定の認証コンテキストの要件を満たすならば、ユーザの要求は、それ以上の処理を実行することなく、保護資源にアクセスすることを試みるために必要なように転送することができる(図示せず)。
セッション管理サーバは、認証要求を生成する(ステップ910)。この認証要求は、現在のユーザ証明書及び保護資源が必要とする認証コンテキストの指示を含む。次に、セッション管理サーバは、生成済みの認証要求を保持するメッセージを、認証プロキシ・サーバに送信し(ステップ912)、このプロセスが終了する。認証プロキシ・サーバのURIは、図6に示すような適切なデータ・ストアからセッション管理サーバにより検索される、構成可能な値とすることができる。
図11は、認証プロキシ・サーバが本発明に従った認証動作を管理するプロセスを示すフローチャートである。このプロセスが開始するのは、認証プロキシ・サーバが認証要求を受信する場合である(ステップ1002)。この着信要求は、当該着信要求内に指示されるような認証コンテキストの特定タイプに関して、現在のユーザ証明書に対する更新が必要とされていることを特定の方法で指示する。認証プロキシ・サーバは、着信要求から指示された認証コンテキストを抽出し(ステップ1004)、当該指示された認証コンテキストを使用してルックアップ動作を実行することにより、当該認証コンテキストに関連付けられた認証動作を獲得する(ステップ1006)。このルックアップ動作は、図7のテーブルのような構成可能なテーブル又は他のデータ・ストアを使用して、実行される。
依然として現在のユーザ証明書を保持する認証要求は、ルックアップ動作から決定されるような、適切なバックエンド認証サーバに転送又は送信される(ステップ1008)。認証サーバは、必要に応じて、ユーザと対話して追加の情報を獲得するか、又はユーザに関して必要とされる認証動作を完了する(ステップ1010)。認証サーバは、更新済みのユーザ証明書を生成する(ステップ1012)。更新済みのユーザ証明書は、特定の方法で認証プロキシ・サーバに提供又は送信される。認証プロキシ・サーバは、更新済みのユーザ証明書を要求元のセッション管理サーバへのメッセージ内の認証応答として送信することにより(ステップ1014)、このプロセスを終了する。要求元のセッション管理サーバのURIは、図7に示すような適切なデータ・ストアから認証プロキシ・サーバにより検索される、構成可能な値とすることができる。
図12は、セッション管理サーバが本発明に従った認証動作を完了するプロセスを示すフローチャートである。このプロセスが開始するのは、認証動作を開始したセッション管理サーバが、その要求に対する応答を受信する場合である(ステップ1102)。引き続いて、更新済みのユーザ証明書が当該応答から抽出され(ステップ1104)、後の使用に備えてキャッシュされる(ステップ1106)。次に、保護資源にアクセスするためのユーザの最初の要求が、例えば、ユーザのセッション情報から検索され、適切な方法で保護資源に送信され(ステップ1108)、その結果、このプロセスが終了する。その要求には、保護資源が必要とするような適切な認証コンテキストを指示する、更新済みのユーザ証明書が伴うことがある。或いは、更新済みのユーザ証明書は、必要に応じて、ダウンストリーム・エンティティによる検索に利用可能なままに留まる。
本発明の利点は、前述の本発明の詳細な説明に照らして明白である。保護資源は、保護資源のURIに関連付けられた構成可能な認証コンテキスト標識によって指示されるように、ユーザが特定の認証コンテキスト内で認証証明書を獲得したことを必要とすることができる。保護資源にアクセスするための要求が受信される場合、要求された保護資源が必要とする認証コンテキストが、その中で又はそのためにユーザ証明書が生成された認証コンテキスト(例えば、ユーザ証明書内で指示される)と比較される。もし、ユーザがこの認証コンテキスト内で認証されていなければ、すなわち、ユーザ証明書が適切な認証コンテキストを指示しなければ、本発明は、保護資源が必要とする認証コンテキストについて適切な認証動作を使用して、ユーザの再認証をトリガする。
本発明は、単一の認証プロキシ・サーバの背後にある認証動作又はサーバを展開させることにより、システム管理者が、データ処理システム内で使用可能な認証動作を効率的に拡張することを可能にする。従って、セッション管理サーバの構成は、単一の認証プロキシ・サーバ用の単一のURIを指定することにより、容易に実行することができる。その後、認証を必要とする全ての着信要求は、セッション管理サーバにより同等に処理される。セッション管理サーバは、更新済みのユーザ証明書用の新しいセッションを確立することなく、更新済みのユーザ証明書と関連付けられるようになる既存のユーザ・セッションを維持する。
以上では、本発明を完全に機能するデータ処理システムに関連付けて説明したが、本発明のプロセスは、コンピュータ可読媒体及び他のタイプの信号担持媒体内の命令という形態でも分配することができる。コンピュータ可読媒体の例は、EPROM、ROM、テープ、紙、フレキシブル・ディスク、ハード・ディスク・ドライブ、RAM及びCD−ROM、並びにディジタル及びアナログ通信リンクのような伝送型媒体を含む。
一般に、方法とは、所望の結果に帰着する、複数ステップの首尾一貫したシーケンスであると考えられている。これらのステップは、物理量の物理的な操作を必要とする。通常、これらの量は電気的又は磁気信号の形式を取り、その場合には、これらの量を格納し、転送し、結合し、比較し又は操作することができる。主として一般的な用法に従って、これらの信号をビット、値、パラメータ、項目、要素、オブジェクト、シンボル、文字、項、数等と称することが便利である。しかし、これらの用語及びこれに類似する用語の全ては、適切な物理量と関連付けられていて、これらの量に付された便宜的なラベルであるに過ぎないことに留意されたい。
本発明に関する記述は、例示及び説明を目的として与えられたものであって、網羅的であること及び開示された実施形態に本発明を限定することを意図するものではない。当業者にとって、多くの修正及び変形が明らかであろう。実施形態は、本発明の原理及び実際的な応用を最もよく説明し、考えられる特定の用途に適するような種々の修正を伴う種々の実施形態に関して当業者が本発明を理解することを可能にするために、選択され説明されたものである。
各データ処理システムが本発明を実装することができる、複数のデータ処理システムの代表的なネットワークを示す図である。 本発明を実装することができる、データ処理システムの代表的なコンピュータ・アーキテクチャを示す図である。 代表的な企業用データ処理システムを示すブロック図である。 クライアントがサーバにおける保護資源にアクセスすることを試みる場合に使用することができる、代表的な認証プロセスを示すデータ・フロー図である。 拡張認証動作を実行するためのデータ処理システムの一部を示すブロック図である。 拡張認証動作をサポートする、セッション管理サーバによって管理される一部の情報を示すブロック図である。 認証動作をサポートする、認証プロキシ・サーバによって管理される一部の情報を示すブロック図である。 セッション管理サーバから認証プロキシ・サーバに送信される、認証要求メッセージ内に保持することができる一部の情報を示すブロック図である。 認証プロキシ・サーバからセッション管理サーバに返送される、認証応答メッセージ内に保持される一部の情報を示すブロック図である。 セッション管理サーバが認証動作を開始するプロセスを示すフローチャートである。 認証プロキシ・サーバが認証動作を管理するプロセスを示すフローチャートである。 セッション管理サーバが認証動作を完了するプロセスを示すフローチャートである。

Claims (8)

  1. データ処理システム内でユーザ用の認証証明書を管理するためのコンピュータ実装方法にして、
    セッション管理サーバにおいて、保護資源にアクセスするための要求をユーザの代わりにクライアントから受信するステップを含み、
    前記セッション管理サーバは、前記保護資源を含むドメインのために前記ユーザに関するセッション管理を実行し、前記保護資源へのアクセスは、第1のタイプの認証コンテキストのために生成された認証証明書を必要とし、
    前記セッション管理サーバにより、前記ユーザ用の認証証明書が第2のタイプの認証コンテキストのために生成されたことを当該認証証明書が指示することを決定することに応答して、前記ユーザ用の認証証明書及び前記第1のタイプの認証コンテキスト用の標識を保持する第1のメッセージを、前記セッション管理サーバから認証プロキシ・サーバに送信するステップと、
    前記セッション管理サーバにおいて、前記ユーザ用の更新済みの認証証明書を保持する第2のメッセージを、前記認証プロキシ・サーバから受信するステップと、
    前記認証プロキシ・サーバにより、前記第1のメッセージから前記第1のタイプの認証コンテキスト用の前記標識を抽出するステップと、
    前記第1のタイプの認証コンテキスト用の前記抽出済みの標識に基づいてルックアップ動作を実行することにより、前記ユーザ用の前記認証証明書を更新するために使用すべき認証方法を決定するステップとをさらに含み、
    前記更新済みの認証証明書が前記第1のタイプの認証コンテキストのために生成されたことを当該認証証明書が指示する、方法。
  2. 前記ユーザ用の新しいセッションの確立を必要とすることなく、前記更新済みの認証証明書を前記ユーザ用の既存のセッションに関連付けるステップをさらに含む、請求項1記載の方法。
  3. 前記更新済みの認証証明書を受信した後に、前記ユーザの代わりに前記セッション管理サーバから前記保護資源にアクセスするための前記要求を送信するステップをさらに含む、請求項1記載の方法。
  4. 前記セッション管理サーバにより、前記保護資源にアクセスするための前記要求から前記保護資源用のURIを抽出するステップと、
    前記抽出済みのURIに基づいてルックアップ動作を実行することにより、前記第1のタイプの認証コンテキストを獲得するステップをさらに含む、請求項1記載の方法。
  5. 前記セッション管理サーバにより、構成可能な情報から前記認証プロキシ・サーバ用のURIを検索するステップと、
    前記セッション管理サーバからの各要求ごとに前記認証プロキシ・サーバ用の前記検索済みのURIを使用することにより、更新済みの認証証明書を獲得するステップとをさらに含む、請求項1記載の方法。
  6. 前記認証プロキシ・サーバにより、構成可能な情報から前記セッション管理サーバ用のURIを検索するステップと、
    認証プロキシ・サーバからの各応答ごとに前記セッション管理サーバ用の前記検索済みのURIを使用することにより、更新済みの認証証明書を戻すステップとをさらに含む、請求項1記載の方法。
  7. 請求項1〜6の何れか1つに記載の方法の各ステップをコンピュータに実行させる、コンピュータ・プログラム。
  8. データ処理システム内でユーザ用の認証証明書を管理するための装置にして、
    セッション管理サーバにおいて、保護資源にアクセスするための要求をユーザの代わりにクライアントから受信する手段を備え、
    前記セッション管理サーバは、前記保護資源を含むドメインのために前記ユーザに関するセッション管理を実行し、前記保護資源へのアクセスは、第1のタイプの認証コンテキストのために生成された認証証明書を必要とし、
    前記セッション管理サーバにより、前記ユーザ用の認証証明書が第2のタイプの認証コンテキストのために生成されたことを当該認証証明書が指示することを決定することに応答して、前記ユーザ用の認証証明書及び前記第1のタイプの認証コンテキスト用の標識を保持する第1のメッセージを、前記セッション管理サーバから認証プロキシ・サーバに送信する手段と、
    前記セッション管理サーバにおいて、前記ユーザ用の更新済みの認証証明書を保持する第2のメッセージを、前記認証プロキシ・サーバから受信する手段と、
    前記認証プロキシ・サーバにより、前記第1のメッセージから前記第1のタイプの認証コンテキスト用の前記標識を抽出する手段と、
    前記第1のタイプの認証コンテキスト用の前記抽出済みの標識に基づいてルックアップ動作を実行することにより、前記ユーザ用の前記認証証明書を更新するために使用すべき認証方法を決定する手段とをさらに備え、
    前記更新済みの認証証明書が前記第1のタイプの認証コンテキストのために生成されたことを当該認証証明書が指示する、装置。
JP2008544993A 2005-12-16 2006-12-13 認証方法を拡張するための方法及びシステム Active JP5030967B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/305,646 2005-12-16
US11/305,646 US8006289B2 (en) 2005-12-16 2005-12-16 Method and system for extending authentication methods
PCT/EP2006/069651 WO2007068715A1 (en) 2005-12-16 2006-12-13 Method and system for extending authentication methods

Publications (2)

Publication Number Publication Date
JP2009519529A JP2009519529A (ja) 2009-05-14
JP5030967B2 true JP5030967B2 (ja) 2012-09-19

Family

ID=37909766

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008544993A Active JP5030967B2 (ja) 2005-12-16 2006-12-13 認証方法を拡張するための方法及びシステム

Country Status (6)

Country Link
US (1) US8006289B2 (ja)
EP (1) EP1964360B1 (ja)
JP (1) JP5030967B2 (ja)
CN (1) CN101331735B (ja)
TW (1) TW200810458A (ja)
WO (1) WO2007068715A1 (ja)

Families Citing this family (131)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181953B1 (en) 2013-09-16 2019-01-15 Amazon Technologies, Inc. Trusted data verification
US11818287B2 (en) 2017-10-19 2023-11-14 Spriv Llc Method and system for monitoring and validating electronic transactions
US8799639B2 (en) * 2006-07-25 2014-08-05 Intuit Inc. Method and apparatus for converting authentication-tokens to facilitate interactions between applications
EP1933522B1 (en) * 2006-12-11 2013-10-23 Sap Ag Method and system for authentication
US8424077B2 (en) * 2006-12-18 2013-04-16 Irdeto Canada Corporation Simplified management of authentication credentials for unattended applications
FI121646B (fi) * 2007-08-08 2011-02-15 Teliasonera Finland Oyj Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan
US20100043049A1 (en) * 2008-08-15 2010-02-18 Carter Stephen R Identity and policy enabled collaboration
US8327434B2 (en) * 2009-08-14 2012-12-04 Novell, Inc. System and method for implementing a proxy authentication server to provide authentication for resources not located behind the proxy authentication server
KR101278351B1 (ko) * 2009-12-15 2013-07-05 한국전자통신연구원 Dpi 기능을 이용한 끊김 없는 맞춤형 서비스 제공 시스템 및 방법
JP2012043154A (ja) * 2010-08-18 2012-03-01 Canon Inc 情報処理装置及びその制御方法
US9258312B1 (en) 2010-12-06 2016-02-09 Amazon Technologies, Inc. Distributed policy enforcement with verification mode
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
US11978052B2 (en) 2011-03-28 2024-05-07 Spriv Llc Method for validating electronic transactions
US8973108B1 (en) * 2011-05-31 2015-03-03 Amazon Technologies, Inc. Use of metadata for computing resource access
US8769642B1 (en) 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US8423650B2 (en) * 2011-06-30 2013-04-16 International Business Machines Corporation Transferring session data between network applications
US9183361B2 (en) * 2011-09-12 2015-11-10 Microsoft Technology Licensing, Llc Resource access authorization
US9197409B2 (en) 2011-09-29 2015-11-24 Amazon Technologies, Inc. Key derivation techniques
US9203613B2 (en) 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US9178701B2 (en) 2011-09-29 2015-11-03 Amazon Technologies, Inc. Parameter based key derivation
US8713646B2 (en) * 2011-12-09 2014-04-29 Erich Stuntebeck Controlling access to resources on a network
US9787655B2 (en) * 2011-12-09 2017-10-10 Airwatch Llc Controlling access to resources on a network
US9705813B2 (en) 2012-02-14 2017-07-11 Airwatch, Llc Controlling distribution of resources on a network
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US10257194B2 (en) 2012-02-14 2019-04-09 Airwatch Llc Distribution of variably secure resources in a networked environment
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
US20140157354A1 (en) * 2012-02-14 2014-06-05 SkySocket, LLC Securing Access to Resources on a Network
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US8739308B1 (en) 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
JP5968077B2 (ja) * 2012-05-22 2016-08-10 キヤノン株式会社 情報処理装置、その制御方法、プログラム、及び画像処理装置
KR101453154B1 (ko) * 2012-05-30 2014-10-23 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
KR101453155B1 (ko) * 2012-05-30 2014-10-23 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
US9258118B1 (en) 2012-06-25 2016-02-09 Amazon Technologies, Inc. Decentralized verification in a distributed system
US9660972B1 (en) 2012-06-25 2017-05-23 Amazon Technologies, Inc. Protection from data security threats
EP2878114B1 (en) * 2012-07-27 2020-06-03 Assa Abloy Ab Presence-based credential updating
US9240886B1 (en) 2012-08-20 2016-01-19 Amazon Technologies, Inc. Authentication adaptation
US9032490B1 (en) 2012-09-12 2015-05-12 Emc Corporation Techniques for authenticating a user with heightened security
US8949953B1 (en) * 2012-09-12 2015-02-03 Emc Corporation Brokering multiple authentications through a single proxy
US9247432B2 (en) 2012-10-19 2016-01-26 Airwatch Llc Systems and methods for controlling network access
JP6255858B2 (ja) 2012-10-31 2018-01-10 株式会社リコー システム及びサービス提供装置
US8862868B2 (en) 2012-12-06 2014-10-14 Airwatch, Llc Systems and methods for controlling email access
US9021037B2 (en) 2012-12-06 2015-04-28 Airwatch Llc Systems and methods for controlling email access
US8832785B2 (en) 2012-12-06 2014-09-09 Airwatch, Llc Systems and methods for controlling email access
US8826432B2 (en) 2012-12-06 2014-09-02 Airwatch, Llc Systems and methods for controlling email access
US8978110B2 (en) 2012-12-06 2015-03-10 Airwatch Llc Systems and methods for controlling email access
US9100387B2 (en) 2013-01-24 2015-08-04 Oracle International Corporation State driven orchestration of authentication components in an access manager
US9223950B2 (en) 2013-03-05 2015-12-29 Intel Corporation Security challenge assisted password proxy
US9473417B2 (en) 2013-03-14 2016-10-18 Airwatch Llc Controlling resources used by computing devices
US20140280955A1 (en) 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9275245B2 (en) 2013-03-15 2016-03-01 Airwatch Llc Data access sharing
US9378350B2 (en) 2013-03-15 2016-06-28 Airwatch Llc Facial capture managing access to resources by a device
US9203820B2 (en) 2013-03-15 2015-12-01 Airwatch Llc Application program as key for authorizing access to resources
US9401915B2 (en) 2013-03-15 2016-07-26 Airwatch Llc Secondary device as key for authorizing access to resources
US9819682B2 (en) 2013-03-15 2017-11-14 Airwatch Llc Certificate based profile confirmation
US8997187B2 (en) 2013-03-15 2015-03-31 Airwatch Llc Delegating authorization to applications on a client device in a networked environment
US9148416B2 (en) 2013-03-15 2015-09-29 Airwatch Llc Controlling physical access to secure areas via client devices in a networked environment
US10652242B2 (en) 2013-03-15 2020-05-12 Airwatch, Llc Incremental compliance remediation
US9787686B2 (en) 2013-04-12 2017-10-10 Airwatch Llc On-demand security policy activation
US10754966B2 (en) 2013-04-13 2020-08-25 Airwatch Llc Time-based functionality restrictions
US8914013B2 (en) 2013-04-25 2014-12-16 Airwatch Llc Device management macros
US9123031B2 (en) 2013-04-26 2015-09-01 Airwatch Llc Attendance tracking via device presence
US9426162B2 (en) 2013-05-02 2016-08-23 Airwatch Llc Location-based configuration policy toggling
US9246918B2 (en) 2013-05-10 2016-01-26 Airwatch Llc Secure application leveraging of web filter proxy services
US9058495B2 (en) 2013-05-16 2015-06-16 Airwatch Llc Rights management services integration with mobile device management
US9584437B2 (en) 2013-06-02 2017-02-28 Airwatch Llc Resource watermarking and management
US9900261B2 (en) 2013-06-02 2018-02-20 Airwatch Llc Shared resource watermarking and management
US20140358703A1 (en) 2013-06-04 2014-12-04 SkySocket, LLC Item Delivery Optimization
US9270777B2 (en) 2013-06-06 2016-02-23 Airwatch Llc Social media and data sharing controls for data security purposes
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
US8924608B2 (en) 2013-06-25 2014-12-30 Airwatch Llc Peripheral device management
US9535857B2 (en) 2013-06-25 2017-01-03 Airwatch Llc Autonomous device interaction
US8775815B2 (en) 2013-07-03 2014-07-08 Sky Socket, Llc Enterprise-specific functionality watermarking and management
US8806217B2 (en) 2013-07-03 2014-08-12 Sky Socket, Llc Functionality watermarking and management
US8756426B2 (en) 2013-07-03 2014-06-17 Sky Socket, Llc Functionality watermarking and management
US9521000B1 (en) 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
US9112749B2 (en) 2013-07-25 2015-08-18 Airwatch Llc Functionality management via application modification
US9226155B2 (en) 2013-07-25 2015-12-29 Airwatch Llc Data communications management
EP3025525B1 (en) 2013-07-25 2018-12-12 Convida Wireless, LLC End-to-end m2m service layer sessions
US9665723B2 (en) 2013-08-15 2017-05-30 Airwatch, Llc Watermarking detection and management
US9516005B2 (en) 2013-08-20 2016-12-06 Airwatch Llc Individual-specific content management
US10129242B2 (en) 2013-09-16 2018-11-13 Airwatch Llc Multi-persona devices and management
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US9237019B2 (en) 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
CN103501230B (zh) * 2013-09-29 2017-04-12 北大医疗信息技术有限公司 数据认证***和数据认证方法
US9857974B2 (en) * 2013-10-03 2018-01-02 International Business Machines Corporation Session execution decision
US10243945B1 (en) 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US9258301B2 (en) 2013-10-29 2016-02-09 Airwatch Llc Advanced authentication techniques
US9544306B2 (en) 2013-10-29 2017-01-10 Airwatch Llc Attempted security breach remediation
US9420007B1 (en) 2013-12-04 2016-08-16 Amazon Technologies, Inc. Access control using impersonization
US9374368B1 (en) 2014-01-07 2016-06-21 Amazon Technologies, Inc. Distributed passcode verification system
US9369461B1 (en) 2014-01-07 2016-06-14 Amazon Technologies, Inc. Passcode verification using hardware secrets
US9292711B1 (en) 2014-01-07 2016-03-22 Amazon Technologies, Inc. Hardware secret usage limits
US9262642B1 (en) 2014-01-13 2016-02-16 Amazon Technologies, Inc. Adaptive client-aware session security as a service
US9225689B2 (en) * 2014-02-28 2015-12-29 Sap Se Hardware security agent for network communications
US10771255B1 (en) 2014-03-25 2020-09-08 Amazon Technologies, Inc. Authenticated storage operations
US9258117B1 (en) 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
CN104202164B (zh) * 2014-08-28 2018-08-31 西安宙合网络科技有限公司 一种采用数字证书保护云服务信息的方法及云服务器
US10021084B2 (en) * 2014-10-28 2018-07-10 Open Text Sa Ulc Systems and methods for credentialing of non-local requestors in decoupled systems utilizing a domain local authenticator
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
US9413754B2 (en) 2014-12-23 2016-08-09 Airwatch Llc Authenticator device facilitating file security
US10218700B2 (en) * 2015-02-23 2019-02-26 Ca, Inc. Authorizations for computing devices to access a protected resource
US9686273B2 (en) * 2015-02-24 2017-06-20 Avatier Corporation Aggregator technology without usernames and passwords
US10735404B2 (en) 2015-02-24 2020-08-04 Avatier Corporation Aggregator technology without usernames and passwords implemented in a service store
US11062016B2 (en) 2015-04-24 2021-07-13 Splunk Inc. Systems and methods for verifying user credentials for search
US9654477B1 (en) * 2015-05-05 2017-05-16 Wells Fargo Bank, N. A. Adaptive authentication
CN106302332B (zh) * 2015-05-22 2019-10-15 阿里巴巴集团控股有限公司 用户数据的访问控制方法、装置及***
US10122692B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Handshake offload
US10122689B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Load balancing with handshake offload
MX2018003580A (es) * 2015-09-23 2018-08-24 Viasat Inc Aceleracion de la verificacion del estado de un certificado en linea con un servicio de sugerencias de internet.
US10616196B1 (en) * 2015-09-24 2020-04-07 EMC IP Holding Company LLC User authentication with multiple authentication sources and non-binary authentication decisions
US10666637B2 (en) * 2015-12-14 2020-05-26 Amazon Technologies, Inc. Certificate renewal and deployment
GB201600449D0 (en) 2016-01-11 2016-02-24 Osirium Ltd Password maintenance in computer networks
US9917862B2 (en) 2016-04-14 2018-03-13 Airwatch Llc Integrated application scanning and mobile enterprise computing management system
US9916446B2 (en) 2016-04-14 2018-03-13 Airwatch Llc Anonymized application scanning for mobile devices
EP3472960A1 (en) 2016-06-15 2019-04-24 Convida Wireless, LLC Grant-less uplink transmission for new radio
US11503314B2 (en) 2016-07-08 2022-11-15 Interdigital Madison Patent Holdings, Sas Systems and methods for region-of-interest tone remapping
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
CN115632686A (zh) 2016-11-03 2023-01-20 康维达无线有限责任公司 Nr中的帧结构
US11765406B2 (en) 2017-02-17 2023-09-19 Interdigital Madison Patent Holdings, Sas Systems and methods for selective object-of-interest zooming in streaming video
CN107786344B (zh) * 2017-10-30 2020-05-19 阿里巴巴集团控股有限公司 数字证书申请、使用的实现方法和装置
DE102018101893A1 (de) * 2018-01-29 2019-08-01 Fresenius Medical Care Deutschland Gmbh Überwachung von Bedienaktionen für ein Dialysegerät
WO2020068251A1 (en) 2018-09-27 2020-04-02 Convida Wireless, Llc Sub-band operations in unlicensed spectrums of new radio
TWI706281B (zh) * 2019-02-19 2020-10-01 華東科技股份有限公司 裝置驗證方法
JP2021089469A (ja) * 2019-12-02 2021-06-10 富士フイルムビジネスイノベーション株式会社 情報処理装置およびプログラム
US11470090B2 (en) * 2020-03-31 2022-10-11 LendingClub Bank, National Association Dynamically-tiered authentication
US11522867B2 (en) 2020-03-31 2022-12-06 LendingClub Bank, National Association Secure content management through authentication
US11483312B2 (en) * 2020-03-31 2022-10-25 LendingClub Bank, National Association Conditionally-deferred authentication steps for tiered authentication
US20230032139A1 (en) * 2021-07-30 2023-02-02 RackTop Systems, Inc. High speed trust evaluation for file activity
CN114915482B (zh) * 2022-05-25 2023-09-26 国网江苏省电力有限公司扬州供电分公司 用于配网互操作协议的安全电力资源接入***工作方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US20040123144A1 (en) * 2002-12-19 2004-06-24 International Business Machines Corporation Method and system for authentication using forms-based single-sign-on operations
US20040128542A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for native authentication protocols in a heterogeneous federated environment
US7711832B1 (en) * 2003-09-22 2010-05-04 Actional Corporation Enabling existing desktop applications to access web services through the use of a web service proxy

Also Published As

Publication number Publication date
EP1964360B1 (en) 2013-05-15
WO2007068715A1 (en) 2007-06-21
JP2009519529A (ja) 2009-05-14
CN101331735B (zh) 2012-07-18
US20080134305A1 (en) 2008-06-05
US8006289B2 (en) 2011-08-23
EP1964360A1 (en) 2008-09-03
CN101331735A (zh) 2008-12-24
TW200810458A (en) 2008-02-16

Similar Documents

Publication Publication Date Title
JP5030967B2 (ja) 認証方法を拡張するための方法及びシステム
US8095658B2 (en) Method and system for externalizing session management using a reverse proxy server
US9143502B2 (en) Method and system for secure binding register name identifier profile
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
JP4988701B2 (ja) ランタイム・ユーザ・アカウント作成オペレーションのための方法、装置、およびコンピュータ・プログラム
JP4886508B2 (ja) 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム
US8844053B2 (en) Method and system for creating a protected object namespace for a WSDL resource description
US20060021004A1 (en) Method and system for externalized HTTP authentication
JP4370258B2 (ja) ユーザ・セッションを管理するための方法、データ処理システム、およびコンピュータ・プログラム(異機種連携環境における統合サインオフのための方法およびシステム)
CA2633311C (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
JP4726492B2 (ja) 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム
WO2008003593A1 (en) Method and system for policy-based initiation of federation management
JP5039053B2 (ja) マクロ・サポートによりhttpセキュリティ・メッセージ処理を外部化するための方法およびシステム
KR100992016B1 (ko) 데이터 프로세싱 시스템 내에 연합 기능성을 제공하는 방법및 장치

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090219

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120508

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120605

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120626

R150 Certificate of patent or registration of utility model

Ref document number: 5030967

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150706

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250