DE60027971T2 - Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält - Google Patents

Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält Download PDF

Info

Publication number
DE60027971T2
DE60027971T2 DE60027971T DE60027971T DE60027971T2 DE 60027971 T2 DE60027971 T2 DE 60027971T2 DE 60027971 T DE60027971 T DE 60027971T DE 60027971 T DE60027971 T DE 60027971T DE 60027971 T2 DE60027971 T2 DE 60027971T2
Authority
DE
Germany
Prior art keywords
server
client
authentication information
login module
master
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60027971T
Other languages
English (en)
Other versions
DE60027971D1 (de
Inventor
Gadi Guy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Application granted granted Critical
Publication of DE60027971D1 publication Critical patent/DE60027971D1/de
Publication of DE60027971T2 publication Critical patent/DE60027971T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf vernetzte Computersysteme und insbesondere auf die Anwenderauthentifizierung in einem Netzsystem, das mehrere getrennt gesteuerte Betriebsmittel mit beschränktem Zugriff enthält.
  • HINTERGRUND DER ERFINDUNG
  • Das World Wide Web enthält ein Netz von Servern im Internet, wovon jedem eine oder mehrere HTML-Seiten (Hypertext-Markup-Language-Seiten) zugeordnet sind. Die HTML-Seiten, die einem Server zugeordnet sind, liefern Informationen und Hypertext-Verknüpfungen zu anderen Dokumenten auf diesem Server und (üblicherweise) auf anderen Servern. Die Server kommunizieren mit Clients unter Verwendung des Hypertext Transfer Protocol (HTTP). Die Server hören auf Anforderungen von Clients für ihre HTML-Seiten und werden somit häufig als "Hörer" bezeichnet.
  • Die Anwender des World Wide Web verwenden ein Client-Programm, das als ein Browser bezeichnet wird, um Informationen von den Hörern anzufordern, zu decodieren und anzuzeigen. Wenn ein Anwender eines Browsers eine Verknüpfung auf einer HTML-Seite auswählt, sendet der Browser, der die Seite anzeigt, zu dem Hörer über das Internet eine Anforderung, der der in der Verknüpfung spezifizierte Universal Resource Locator (URL) zugeordnet ist. Der Hörer sendet die angeforderten Informationen in Reaktion auf die Anforderung zu dem Browser, der die Anforderung ausgegeben hat. Der Browser empfängt die Informationen, stellt dem Anwender die empfangenen Informationen dar und wartet auf die nächste Anwenderanforderung.
  • Da auf Server im Internet durch eine Vielzahl unidentifizierbarer Clients zugegriffen werden kann, sind mehrere Schutzsysteme entwickelt worden, um vor unberechtigtem Zugriff auf beschränkte Informationen zu schützen. Ein Zugang, der dazu verwendet wird, einen unberechtigten Zugriff auf beschränkte Informationen zu verhindern, ist, zu fordern, dass die Clients bestimmte Berechtigungsinformationen liefern, bevor sie Zugriff auf Informationen auf einem besonderen Server erlangen können. Diese Berechtigungsinformationen bestehen typisch aus solchen Positionen wie etwa einer Anwenderidentifizierungs-/Passwort-Kombination, einer besonderen IP-Adresse, einem spezifischen Domänennamen oder anderen Informationen, die einen besonderen Anwender und/oder eine besondere Maschine, der/die auf Informationen zuzugreifen versucht, identifizieren können.
  • Von den verschiedenen Berechtigungsinformationstypen, die zum Authentifizieren eines Anwenders verwendet werden können, wird die Anwenderidentifizierungs/Passwort-Kombination häufig bevorzugt, da sie nicht an eine besondere Maschine oder an einen besonderen Diensteanbieter gebunden ist. Somit können Anwender, so lange sie sich an ihre Anwenderidentifizierungen und Passwörter erinnern können, von irgendeiner mit dem Internet verbundenen Maschine aus Zugriff auf beschränkte Sites erlangen. Wenn die Berechtigungsinformationen aus einer Anwenderidentifizierungs-/Passwort-Kombination bestehen, liefert der Anwender die Anwenderidentifizierungs-/Passwort-Kombination in irgendeiner Weise zu dem Web-Server, bevor der Web-Server die beschränkten Informationen zu dem Anwender liefert.
  • Wenn der Anwender die Berechtigungsinformationen an den Server übergeben hat, stellt der Server fest, ob der Anwender tatsächlich berechtigt ist, auf die beschränkten Informationen zuzugreifen. Falls der Server feststellt, dass der Anwender berechtigt ist, auf die beschränkten Informationen zuzugreifen, werden die beschränkten Informationen zu dem Anwender gesendet. Andernfalls wird nicht zugelassen, dass der Anwender auf die beschränkten Informationen zugreift.
  • Für irgendeinen gegebenen Anwender sind häufig Berechtigungsinformationen erforderlich, um auf die beschränkten Betriebsmittel zahlreicher Online-Diensteanbieter zuzugreifen. Jeder getrennt gesteuerte Web-Server fordert einen Anwender auf, Berechtigungsinformationen (z. B. eine Anwenderidentifizierungs-/Passwort-Kombination) zu liefern, bevor er Zugriff auf seine Produkte oder Dienste gewährt. Falls ein Anwender zwei getrennt gesteuert Online-Dienste wie etwa einen Nachrichtenanbieter und einen Finanzdiensteanbieter abonniert hat, fordert daher jeder Diensteanbieter eine Anwenderidentifizierungs-/Passwort-Kombination, bevor er dem Anwender Zugriff auf seine Dienste gewährt.
  • Dies erzeugt für die Anwender ein Problem, da sie sich für jedes getrennt gesteuerte beschränkte Betriebsmittel an das Passwort erinnern müssen. Das heißt, wenn irgendein gegebener Anwender eine Vielzahl dieser Dienste abonniert hat, muss er sich an eine Vielzahl von Passwörtern erinnern. Folglich wählen die Anwender verschiedene Techniken, um zu vermeiden, dass sie sich in ihrem Gedächtnis an eine Vielzahl verschiedener Passwörter erinnern müssen.
  • Ein Zugang, um das Erinnern an mehrere Passwörter zu vermeiden, ist, dass die Anwender eine schriftliche Kopie ihrer Berechtigungsinformationen an ihren Computerendgeräten oder in deren Nähe behalten. Somit können sie ihre Anwenderidentifizierungs-/Passwort-Kombination, wenn sie danach gefragt werden, eher einfach lesen, als sich aus dem Gedächtnis daran zu erinnern. Allerdings gefährdet dieser Zugang die Sicherheit, da Dritte leicht die Berechtigungsinformationen von den schriftlichen Notizen erhalten können und dadurch unberechtigten Zugang zu allen aufgeführten Diensteanbietern erlangen können.
  • In einem weiteren Zugang, das Erinnern an mehrere Passwörter zu vermeiden, verwenden Anwender für alle ihre Diensteanbieter dasselbe Passwort. Dieser Zugang gefährdet wieder die Sicherheit, da ein Angestellter eines Diensteanbieters versuchen kann, das Passwort eines Anwenders für den unberechtigten Zugriff auf beschränkte Betriebsmittel zu verwenden, die durch einen anderen Diensteanbieter gesteuert werden. Zum Beispiel kann ein Anwender das Passwort "mypass" verwenden, um auf eine Site zum Lesen von Sportnachrichten zuzugreifen, und es außerdem dazu verwenden, um auf eine getrennt gesteuerte Site für das Management des Bankkontos des Anwenders zuzugreifen. Ein Angestellter des Anbieters der Sportnachrichten-Site kennt das Passwort des Anwenders für die Sportnachrichten-Site und kann versuchen, unter Verwendung desselben Passworts auf das Bankkonto des Anwenders zuzugreifen. Da der Anwender für beide Dienste dasselbe Passwort verwendet, kann der Sportnachrichten-Angestellte in das Bankkonto des Anwenders einbrechen.
  • Anhand des Vorstehenden ist es erwünscht, einen Weg schaffen, der es Anwendern zu vermeiden ermöglicht, sich an mehrere Passwörter erinnern zu müssen, ohne dass die Sicherheit gefährdet wird.
  • In US-A-5 684 950 sind ein System und ein Verfahren zum Authentifizieren von Anwendern für mehrere Server über eine einzelne Anmeldung offenbart, wobei ein Dritter als ein vertrauenswürdiger Authentifizierungsmakler wirkt. Der Client sendet ein einziges Passwort zu dem Authentifizierungsmakler, und der Authentifizierungsmakler liefert an den Client die Daten, die für die Diensteanbieter erforderlich sind, um dem Client Zugriff auf ihre Dienste zu gewähren.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Gemäß der Erfindung wird ein Verfahren zum Authentifizieren von Anwendern in einem Client-Server-System geschaffen, wobei das Verfahren die folgenden Schritte umfasst: ein Client erzeugt erste serverspezifische Authentifizierungsinformationen für einen ersten Server anhand von bei dem Client gespeicherten Master-Authentifizierungsinformationen und anhand von dem ersten Server zugeordneten Daten; und der Client liefert die ersten serverspezifischen Authentifizierungsinformationen zu dem ersten Server, um auf beschränkte Betriebsmittel, die durch den ersten Server gesteuert werden, zuzugreifen; wobei die ersten serverspezifischen Authentifizierungsinformationen von den Master-Authentifizierungsinformationen verschieden sind.
  • Gemäß der Erfindung kann das Verfahren ferner die folgenden Schritte enthalten: der Client erzeugt zweite serverspezifische Authentifizierungsinformationen für den zweiten Server anhand der Master-Authentifizierungsinformationen und anhand von dem zweiten Server zugeordneten Daten; und der Client liefert die zweiten serverspezifischen Authentifizierungsinformationen und Daten, die dem zweiten Server zugeordnet sind; und der Client liefert die zweiten serverspezifischen Authentifizierungsinformationen zu dem zweiten Server, um auf beschränkte Betriebsmittel, die durch den zweiten Server gesteuert werden, zuzugreifen; wobei die zweiten serverspezifischen Authentifizierungsinformationen von den Master-Authentifizierungsinformationen verschiedenen sind; und wobei die ersten serverspezifischen Authentifizierungsinformationen von den zweiten serverspezifischen Authentifizierungsinformationen verschieden sind.
  • Ferner schafft die Erfindung ein Verfahren zum Authentifizieren von Anwendern in einem Client-Server-System, wobei das Verfahren die folgenden Schritte umfasst: ein Server empfängt eine Anforderung beschränkter Betriebsmittel von einem Client; der Server sendet zu dem Client ein clientseitiges Anmeldemodul, das, wenn es bei dem Client ausgeführt wird, anhand von Daten, die dem Server zugeordnet sind, und anhand von in dem Client gespeicherten Master-Authentifizierungsinformationen serverspezifische Authentifizierungsinformationen erzeugt; und der Server empfängt die serverspezifischen Authentifizierungsinformationen von dem clientseitigen Anmeldemodul, wenn das clientseitige Anmeldemodul auf dem Client ausgeführt wird.
  • Somit ermöglicht die vorliegende Erfindung, dass sich ein Anwender unter Verwendung eines anderen Passworts für jeden Server bei zahlreichen Servern anmeldet, während er sich dennoch nur an ein einziges Master-Passwort zu erinnern braucht. Darüber hinaus haben die Administratoren der verschiedenen Server keine Informationen, die ihnen ermöglichen, auf das Konto des Anwenders auf den anderen Servern zuzugreifen.
  • Ferner schafft die Erfindung ein Computerprogramm, das Computercode zum Ausführen der wie oben dargelegten Verfahren umfasst.
  • Darüber hinaus schafft die vorliegende Erfindung ein Client-Server-System, das umfasst: einen Client; mehrere Server; ein Netz, das den Client mit den mehreren Servern funktional verbindet, um eine Kommunikation zwischen dem Client und den mehreren Servern zu ermöglichen; wobei die mehreren Server wenigstens einen ersten Server enthalten, der so konfiguriert ist, dass er auf eine Betriebsmittelanforderung antwortet, die von dem Client ausgegeben wird, indem er zu dem Client ein Anmeldemodul schickt; wobei das Anmeldemodul so konfiguriert ist, dass es die folgenden Schritte ausführt, wenn es auf dem Client ausgeführt wird: Wiedergewinnen von in dem Client gespeicherten Master-Authentifizierungsinformationen und Kombinieren der Master-Authentifizierungsinformationen mit serverspezifischen Daten; Erzeugen von serverspezifischen Authentifizierungsinformationen anhand der Master-Authentifizierungsinformationen und der serverspezifischen Daten; und Senden der serverspezifischen Authentifizierungsinformationen zu einem bestimmten Server der mehreren Server.
  • KURZBESCHREIBUNG DER ZEICHNUNG
  • Die vorliegende Erfindung ist beispielhaft und nicht einschränkend in den Figuren der beigefügten Zeichnung veranschaulicht, in denen sich gleiche Bezugszeichen auf ähnliche Elemente beziehen und in denen:
  • 1 ein Blockschaltplan eines Computersystems ist, auf dem eine Ausführungsform der Erfindung implementiert werden kann; und
  • 2 ein Ablaufplan ist, der Schritte zum Anmelden bei beschränkten Sites gemäß einer Ausführungsform der Erfindung veranschaulicht.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM
  • Es werden ein Verfahren und eine Vorrichtung zum einzelnen Anmelden für ein Netzsystem beschrieben, das mehrere getrennt gesteuerte Betriebsmittel mit beschränktem Zugriff enthält. In der folgenden Beschreibung sind für Erläuterungszwecke zahlreiche spezifische Einzelheiten dargelegt, um ein gründliches Verständnis der vorliegenden Erfindung zu schaffen. Allerdings ist für den Fachmann auf dem Gebiet offensichtlich, dass die vorliegende Erfindung ohne diese spezifischen Einzelheiten verwirklicht werden kann. In anderen Fällen sind gut bekannte Strukturen und Vorrichtungen in Blockschaltbildform gezeigt, um eine unnötige Verschleierung der vorliegenden Erfindung zu vermeiden.
  • HARDWARE-ÜBERSICHT
  • 1 ist ein Blockschaltplan, der ein Computersystem 100 veranschaulicht, auf dem eine Ausführungsform der Erfindung realisiert werden kann. Das Computersystem 100 enthält einen Bus 102 oder einen anderen Kommunikationsmechanismus zum Übermitteln von Informationen und einen Prozessor 104, der mit dem Bus 102 gekoppelt ist, um Informationen zu verarbeiten. Außerdem enthält das Computersystem 100 einen Hauptspeicher 106 wie etwa einen Schreib-Lese-Speicher (RAM) oder eine andere dynamische Ablagevorrichtung, der/die mit dem Bus 102 gekoppelt ist, um Informationen und Anweisungen zu speichern, die durch den Prozessor 104 ausgeführt werden sollen. Außerdem kann der Hauptspeicher 106 zum Speichern temporärer Variablen oder anderer Zwischeninformationen während der Ausführung von Anweisungen verwendet werden, die durch den Prozessor 104 ausgeführt werden sollen. Ferner enthält das Computersystem 100 einen Nur-Lese-Speicher (ROM) 108 oder eine andere mit dem Bus 102 gekoppelte statische Ablagevorrichtung zum Speichern statischer Informationen und Anweisungen für den Prozessor 104. Es ist eine Ablagevorrichtung 110 wie etwa eine Magnetplatte oder eine optische Platte vorgesehen, die zum Speichen von Informationen und Anweisungen mit dem Bus 102 gekoppelt ist.
  • Das Computersystem 100 kann über den Bus 102 mit einer Anzeige 112 wie etwa mit einer Katodenstrahlenröhre (CRT) gekoppelt sein, um einem Computeranwender Informationen anzuzeigen. Mit dem Bus 102 ist eine Eingabevorrichtung 114 gekoppelt, die alphanumerische und andere Tasten enthält, um Informationen und Befehlsauswahlen zu dem Prozessor 104 zu übermitteln. Ein weiterer Typ einer Anwendereingabevorrichtung ist eine Cursor-Steuerung 116 wie etwa eine Maus, ein Trackball oder Cursor-Richtungstasten zum Übermitteln von Richtungsinformationen und Befehlsauswahlen zum Prozessor 104 und zum Steuern der Cursor-Bewegung auf der Anzeige 112. Diese Eingabevorrichtung hat typisch zwei Freiheitsgrade in zwei Achsen, einer ersten Achse (z. B. x) und einer zweiten Achse (z. B. y), die ermöglichen, dass die Vorrichtung Positionen in einer Ebene spezifiziert.
  • Die Erfindung bezieht sich auf die Verwendung des Computersystems 100 zum Anmelden bei beschränkten Diensten unter Verwendung der im Folgenden beschriebenen Techniken. Gemäß einer Ausführungsform der Erfindung wird in Reaktion darauf, dass der Prozessor 104 eine oder mehrere Folgen einer oder mehrerer im Hauptspeicher 106 enthaltener Anweisungen ausführt, ein einziger Anmeldemechanismus bereitgestellt. Diese Anweisungen können von einem weiteren computerlesbaren Medium wie etwa von einer Ablagevorrichtung 110 in den Hauptspeicher 106 gelesen werden. Die Ausführung der im Hauptspeicher 106 enthaltenen Folgen von Anweisungen veranlasst, dass der Prozessor 104 die hier beschriebenen Verfahrensschritte ausführt. In alternativen Ausführungsformen kann zur Realisierung der Erfindung anstelle von oder in Kombination mit Software-Anweisungen eine fest verdrahtete Schaltungsanordnung verwendet werden. Somit sind die Ausführungsformen der Erfindung nicht auf irgendeine spezifische Kombination aus Hardware-Schaltungsanordnung und Software beschränkt.
  • Der Begriff "computerlesbares Medium", wie er hier verwendet wird, bezieht sich auf irgendein Medium, das an der Bereitstellung von Anweisungen zur Ausführung für den Prozessor 104 beteiligt ist. Ein solches Medium kann viele Formen, einschließlich, aber nicht beschränkt auf, nichtflüchtige Medien, flüchtige Medien und Übertragungsmedien annehmen. Nichtflüchtige Medien enthalten z. B. optische Platten oder Magnetplatten wie etwa die Ablagevorrichtung 110. Flüchtige Medien enthalten dynamischen Speicher wie etwa den Hauptspeicher 106. Übertragungsmedien enthalten Koaxialkabel, Kupferdraht und Lichtwellenleiter einschließlich der Drähte, aus denen der Bus 102 besteht. Außerdem können die Übertragungsmedien die Form von akustischen Wellen oder Lichtwellen annehmen wie etwa jene, die während der Funkwellen- und Infrarotdatenkommunikation erzeugt werden.
  • Übliche Formen computerlesbarer Medien enthalten z. B. eine Diskette, eine flexible Platte, eine Festplatte, ein Magnetband oder irgendein anderes magnetisches Medium, eine CD-ROM, irgendein anderes optisches Medium, Lochkarten, ein Lochband, irgendein anderes physikalisches Medium mit Lochmustern, einen RAM, einen PROM und einen EPROM, einen FLASH-EPROM, irgendeinen anderen Speicherchip oder irgendeine andere Speicherkassette, eine wie im Folgenden beschriebene Trägerwelle oder irgendein anderes Medium, von dem ein Computer lesen kann.
  • An der Ausführung einer oder mehrerer Folgen einer oder mehrerer Anweisungen für den Computer 104 zur Ausführung können verschiedene Formen computerlesbarer Medien beteiligt sein. Zum Beispiel können die Anweisungen anfangs auf einer Magnetplatte eines fernen Computers getragen sein. Der ferne Computer kann die Anweisungen in seinen dynamischen Speicher laden und die Anweisungen unter Verwendung eines Modems über eine Telephonleitung senden. Ein Modem, das lokal zum Computersystem 100 ist, kann die Daten auf der Telephonleitung empfangen und einen Infrarotsender verwenden, um die Daten in ein Infrarotsignal umzusetzen. Ein Infrarotdetektor kann die in dem Infrarotsignal übermittelten Daten empfangen und eine geeignete Schaltungsanordnung kann die Daten auf dem Bus 102 anordnen. Der Bus 102 übermittelt die Daten zum Hauptspeicher 106, von dem der Prozessor 104 die Anweisungen wiedergewinnt und ausführt. Optional können die vom Hauptspeicher 106 empfangenen Anweisungen entweder vor oder nach der Ausführung durch den Prozessor 104 in der Ablagevorrichtung 110 gespeichert werden.
  • Außerdem enthält das Computersystem 100 eine mit dem Bus 102 gekoppelte Kommunikationsschnittstelle 118. Die Kommunikationsschnittstelle 118 stellt eine doppelt gerichtete Datenkommunikation bereit, die mit einer Netzverbindung 120 koppelt, die mit einem lokalen Netz 122 verbunden ist. Die Kommunikationsschnittstelle 118 kann z. B. eine Karte für das diensteintegrierende digitale Fernmeldenetz (ISDN-Karte) oder ein Modem zur Bereitstellung einer Datenkommunikationsverbindung mit einem entsprechenden Typ einer Telephonleitung sein. Als ein weiteres Beispiel kann die Kommunikationsschnittstelle 118 eine Karte für ein lokales Netz (LAN-Karte) zur Bereitstellung einer Datenkommunikationsverbindung mit einem kompatiblen LAN sein. Drahtlose Verbindungen können ebenfalls implementiert sein. In irgendeiner solchen Implementierung sendet und empfängt die Kommunikationsschnittstelle 118 elektrische, elektromagnetische oder optische Signale, die digitale Datenströme übermitteln, die verschiedene Informationstypen repräsentieren.
  • Die Netzverbindung 120 stellt typisch die Datenkommunikation über eines oder mehrere Netze zu anderen Datendiensten bereit. Zum Beispiel kann die Netzverbindung 120 über das lokale Netz 122 eine Verbindung zu einem Host-Computer 124 oder zu einer von einem Internetdiensteanbieter (ISP) 126 betriebenen Dateneinrichtung bereitstellen. Der ISP 126 kann wiederum Datenkommunikationsdienste über das jetzt üblicherweise als das "Internet" 128 bezeichnete weltweite Paketdaten-Kommunikationsnetz bereitstellen. Sowohl das lokale Netz 122 als auch das Internet 128 verwenden elektrische, elektromagnetische oder optische Signale, die digitale Datenströme übermitteln. Die Signale über die verschiedenen Netze und die Signale auf der Netzverbindung 120 und über die Kommunikationsschnittstelle 118, die die digitalen Daten zum und vom Computersystem 100 übermittelt, sind beispielhafte Formen von Trägerwellen, die die Informationen transportieren.
  • Das Computersystem 100 kann über das Netz bzw. über die Netze, über die Netzverbindung 120 und über die Kommunikationsschnittstelle 118 Nachrichten senden und Daten einschließlich Programmcode empfangen. Im Beispiel des Internet könnte ein Server 130 über das Internet 128, über den ISP 126, über das lokale Netz 122 und über die Kommunikationsschnittstelle 118 einen angeforderten Code für ein Anwendungsprogramm senden. In Übereinstimmung mit der Erfindung stellt eine solche heruntergeladene Anwendung einen wie hier beschriebenen einzigen Anmeldemechanismus bereit.
  • Der empfangene Code kann so, wie er empfangen wird, durch den Prozessor 104 ausgeführt werden und/oder in der Ablagevorrichtung 110 oder in einer anderen nichtflüchtigen Ablage zur späteren Ausführung gespeichert werden. Auf diese Weise kann das Computersystem 100 Anwendungscode in Form einer Trägerwelle erhalten.
  • FUNKTIONSÜBERSICHT
  • Es wird ein einziger Anmeldemechanismus geschaffen, der ermöglicht, dass ein Anwender verschiedene Passwörter für verschiedene Sites liefert, während er sich weiter nur an ein einziges "Master"-Passwort zu erinnern braucht. Im Allgemeinen gibt der Anwender das Master-Passwort in ein clientseitiges Modul ein, das für das Liefern von Passwörtern für beschränkte Sites verantwortlich ist. Wenn eine beschränkte Site ein Passwort anfordert, erzeugt das clientseitige Modul ein site-spezifisches Passwort, das (1) von dem Master-Passwort und (2) von site-spezifischen Informationen abgeleitet ist. Gemäß einer Ausführungsform sind die zum Ableiten des site-spezifischen Passworts verwendeten Techniken derart, dass das Master-Passwort anhand des site-spezifischen Passworts nicht festgestellt werden kann.
  • Nach Ableiten des site-spezifischen Passworts liefert das clientseitige Modul das site-spezifische Passwort an die beschränkte Site, um den Anwender bei der beschränkten Site zu authentifizieren. Dieser Prozess kann bei irgendeiner Anzahl beschränkter Sites wiederholt werden, wobei für jede Site ein anderes site-spezifisches Passwort geliefert wird. Die site-spezifischen Passwörter, die an verschiedene Sites geliefert werden, sind verschieden, da sie teilweise von verschiedenen site-spezifischen Informationen abgeleitet sind. Da an verschiedene beschränkte Sites verschiedene site-spezifische Passwörter geliefert werden, können die Administratoren irgendeiner gegebenen beschränkten Site das Passwort eines Anwenders bei anderen beschränkten Sites nicht kennen und es nicht folgern.
  • Gemäß einer Ausführungsform braucht sich der Anwender nicht nur nur an ein einziges Passwort zu erinnern, sondern braucht der Anwender das Master-Passwort nur einmal pro Sitzung zu liefern. Nachdem das Master-Passwort geliefert worden ist, wird der Authentifizierungsprozess bei jeder beschränkten Site durch das clientseitige Modul in einer für den Anwender transparenten Weise ausgeführt.
  • Gemäß einem Aspekt der Erfindung kann das clientseitige Modul selbst von einem Server zu dem Client gesendet werden. Falls ein somit gesendetes clientseitiges Modul das Vorhandensein eines ähnlichen clientseitigen Moduls bei dem Client erfasst, veranlasst das neu angekommene clientseitige Modul, dass das zuerst angekommene clientseitige Modul anhand des Master-Passworts, das bereits durch den Anwender in das zuerst angekommene Client-Modul eingegeben worden ist, ein site-spezifisches Passwort an einen Server sendet. Falls das clientseitige Modul dagegen nicht das Vorhandensein eines ähnlichen clientseitigen Moduls erfasst, fordert das clientseitige Modul von dem Anwender das Master-Passwort an und sendet anhand des Master-Passworts und site-spezifischer Informationen ein site-spezifisches Passwort an einen Server.
  • BEISPIELHAFTES ANMELDEVERFAHREN
  • 2 ist ein Ablaufplan, der Schritte zum Anmelden bei beschränkten Sites gemäß einer Ausführungsform der Erfindung veranschaulicht. Für Erläuterungszwecke werden die Anmeldetechniken hier im Kontext des World Wide Web beschrieben. In diesem Kontext fordert ein Browser, der auf einem Client ausgeführt wird, in Reaktion auf eine Eingabe von einem Anwender Informationen von Web-Servern an. Die Anforderungen enthalten typisch Universal Resource Locators (URLs), die die Betriebsmittel identifizieren, auf die der Anwender zuzugreifen wünscht.
  • Allerdings wird angemerkt, dass die vorliegende Erfindung nicht auf irgendeine besondere Umgebung beschränkt ist. Eher kann sie in irgendeiner Umgebung genutzt werden, in der ein Anwender durch mehr als einen Mechanismus und/oder durch mehr als ein Modul und/oder durch mehr als einen Server und/oder durch mehr als ein System authentifiziert werden muss. Besonders wertvoll ist die Erfindung, wenn die Mechanismen, Module, Server oder Systeme, mit denen der Anwender authentifiziert werden muss, nicht durch dieselbe Quelle gesteuert werden.
  • Anhand von 2 sendet ein Anwender in Schritt 200 eine Anforderung zum Zugreifen auf eine beschränkte Web-Site. Dieser Schritt kann z. B. dadurch ausgeführt werden, dass der Anwender die Lieferung einer "Anmelde"-Seite für die beschränkte Site zu dem Client (d. h. zu einem Browser) anfordert. Der Anwender kann diese Anforderung dadurch ausgeben, dass er einen Hyperlink auswählt, der in einer zuvor wiedergewonnenen Web-Seite liegt, indem er die URL der beschränkten Web-Site in ein Textfeld in dem Browser eingibt oder indem er irgendeinen der verschiedenen weiteren Site-Auswahlmechanismen verwendet.
  • In Schritt 202 schickt der Web-Server, der die beschränkte Web-Site steuert, ein Anmeldemodul zu dem Browser, der den Zugriff auf die Web-Site angefordert hat. Gemäß einer Ausführungsform der Erfindung ist das Anmeldemodul eine Kompo nente mit aktivem Inhalt wie etwa ein JAVA-Applet, eine ActiveX-Steuerung oder ein Browser-"Plugin". Für die Erläuterung wird angenommen, dass das Anmeldemodul ein JAVA-Applet ist, das in die Anmeldeseite eingebettet ist und das in Form von JAVA-Bytecode zu dem Browser gesendet wird. Eine virtuelle JAVA-Maschine in dem Browser führt den JAVA-Bytecode aus, wenn sie ihn empfängt. Die verbleibenden Schritte 204, 206, 208, 210, 212 und 214 werden durch das Anmelde-Applet ausgeführt, während es in der virtuellen JAVA-Maschine in dem Client ausgeführt wird.
  • In Schritt 204 stellt das Anmelde-Applet fest, ob in dem Client bereits eine weitere Instanz des Anmelde-Applets läuft. Falls in dem Client nicht bereits eine weitere Instanz des Anmelde-Applets läuft, wird die Steuerung an Schritt 208 übergeben, wo das Anmelde-Applet das Master-Passwort von dem Anwender anfordert. Falls dagegen auf dem Client bereits eine weitere Instanz des Anmelde-Applets läuft, hat der Anwender bereits das Master-Passwort in das zuvor vorhandene Anmelde-Applet eingegeben, wobei die Steuerung an Schritt 206 übergeben wird. In Schritt 206 erhält das neu angekommene Anmelde-Applet von dem zuvor vorhandenen Anmelde-Applet das Master-Passwort.
  • In Schritt 210 erhält das Anmelde-Applet site-spezifische Daten. Die site-spezifischen Daten können irgendwelche Daten sein, die genau die Site identifizieren, auf die der Anwender Zugriff wünscht. Zum Beispiel können die site-spezifischen Daten die URL der Web-Site sein, auf die der Anwender zuzugreifen versucht. Alternativ können die site-spezifischen Daten die IP-Adresse der Site, auf die der Anwender zuzugreifen versucht, oder eine Kombination der URL und der IP-Adresse der Site sein. Es können verschiedene andere Formen site-spezifischer Daten verwendet werden. Folglich ist die vorliegende Erfindung nicht auf irgendeinen besonderen Typ site-spezifischer Daten beschränkt.
  • Gemäß einer Ausführungsform sind die site-spezifischen Daten in der Code-Basis des Applets codiert. In dieser Ausführungsform können die site-spezifischen Daten in Schritt 210 durch Extrahieren der Code-Basis des Applets erhalten werden.
  • In Schritt 212 leitet das Applet anhand des Master-Passworts und der site-spezifischen Daten ein site-spezifisches Passwort ab. Dieser Schritt kann durch die folgende Formel dargestellt werden: SP = H[PW + CB] wobei SP das site-spezifische Passwort ist, PW das Master-Passwort ist, CB die Code-Basis des Applets ist, H[] eine sichere Einweg-Hash-Funktion ist und "+" eine Operation repräsentiert, die PW und CP kombiniert.
  • Gemäß einer Ausführungsform ist die Kombinationsoperation, die dazu verwendet wird, PW und CB vor Anwenden der Hash-Funktion H[] zu kombinieren, eine einfache Binärverkettungsoperation, während die Hash-Funktion H[] die in der Federal Information Processing Standards Publication 180-1, ausgegeben vom National Institute of Standards and Technology, beschriebene sichere Hash-Funktion SHA-1 ist. Allerdings können von dem Applet alternativ verschiedene Hash-Funktionen und Kombinationsoperationen verwendet werden, wobei die vorliegende Erfindung nicht auf irgendeinem besonderen Typ einer Hash-Funktion oder Kombinationsoperation beschränkt ist. Zum Beispiel kann H[] alternativ die MD5-Hash-Funktion sein, die ausführlich in B. Schneier, "Applied Cryptography" (New York: John Wiley & Sons, Inc., 2. Aufl. 1996), auf den S. 429-431 und S. 436-441 beschrieben ist.
  • In Schritt 214 wird das in Schritt 212 erzeugte site-spezifische Passwort zu dem Web-Server gesendet, der die Web-Site mit beschränktem Zugriff steuert. Der Prozess des Einreichens des Passworts kann z. B. dadurch ausgeführt werden, dass (1) das Applet eine neue URL konstruiert, die das site-spezifische Passwort codiert, und (2) veranlasst wird, dass der Browser zu der neuen URL navigiert. Der Web-Server, der die Web-Site mit beschränktem Zugriff steuert, vergleicht daraufhin das site-spezifische Passwort mit seiner Anwenderbasis und stellt fest, ob der Anwender berechtigt ist, auf die beschränkte Site zuzugreifen. Unter der Annahme, dass der Anwender berechtigt ist, auf die Web-Site mit beschränktem Zugriff zuzugreifen, antwortet der Web-Server, indem er ein beschränktes Betriebsmittel liefert. Zum Beispiel antwortet der Web-Server dann, wenn das beschränkte Betriebsmittel eine Web-Seite ist, damit, dass er die beschränkte Web-Seite zu dem Browser sendet.
  • Jedes Mal, wenn ein Anwender auf eine beschränkte Web-Site zuzugreifen versucht, werden die in 2 veranschaulichten Schritte wiederholt. Nach dem Zugreifen auf die erste beschränkte Web-Site in einer Sitzung ist in dem Client eine Kopie des Applets vorhanden. Folglich wird der Schritt 206, in dem der Anwender nach dem Master-Passwort abgefragt wird, nicht wiederholt, wenn der Anwender auf nachfolgende beschränkte Web-Sites zuzugreifen versucht. Somit ist der für diese nachfolgenden Server ausgeführte Anmeldeprozess für den Anwender transparent.
  • DAS ANMELDEMODUL
  • In der oben anhand von 2 diskutierten Ausführungsform ist das Anmeldemodul ein JAVA-Applet, das jedes Mal zu dem Browser gesendet wird, wenn sich der Anwender bei einer beschränkten Site anzumelden versucht. Gemäß einer Ausführungsform der Erfindung hat das Anmeldemodul zwei Komponenten: eine "residente" Komponente und eine "temporäre" Komponente. Die residente Komponente des Anmeldemoduls bleibt auch dann in dem Browser, nachdem der Anwender zu einer anderen Web-Site als der Site, die das Anmeldemodul gesendet hat, navigiert ist.
  • Die temporäre Komponente ist ein kleines Anmeldefenster, das den Anwender zu einem Anwendernamen und zu einem Passwort auffordert. Wenn der Anwender eine Master-Anwendername/Passwort-Kombination in das Anmeldefenster eingibt, erzeugt die temporäre Komponente anhand des Master-Anwendernamens/Passworts und site-spezifischer Daten, die in der Code-Basis des Anmeldemoduls codiert sind, das site-spezifische Passwort. Nachdem das site-spezifische Passwort erzeugt worden ist, sendet das Anmeldemodul das site-spezifische Passwort zu dem Web-Server. Außerdem sendet die temporäre Komponente eine Kopie der Master-Anwendername/Passwort-Kombination an die residente Komponente des Anmeldemoduls. Die residente Komponente des Anmeldemoduls speichert den Anwendernamen/das Passwort im Speicher des Clients.
  • Wenn der Anwender zu einer weiteren beschränkten Site navigiert, schickt der Web-Server, der die neue Site steuert, eine weitere Instanz des Anmeldemoduls zum Browser des Anwenders. Das zweite Anmeldemodul unterscheidet sich von dem ersten Anmeldemodul dadurch, dass seine Code-Basis eine site-spezifische Site für die zweite beschränkte Site codiert. Beim Erfassen des Vorhandenseins der residenten Komponente einer zuvor gelieferten Instanz des Anmeldemoduls stellt das zweite Anmeldemodul dem Anwender kein Anmeldefenster dar. Eher gewinnt das zweite Anmeldemodul den Master-Anwendernamen/das Master-Passwort von der bereits existierenden residenten Komponente wieder. Daraufhin fährt das zweite Anmeldemodul damit fort, ein site-spezifisches Passworts für die zweite Site zu erzeugen, und meldet den Anwender transparent bei der zweiten Site an.
  • Um die Sicherheit sicherzustellen, sind die Anmeldemodule gemäß einer Ausführungsform der Erfindung "signiert". Das heißt, sie codieren eine Signatur, die die Quelle (d. h. den Entwickler) des Anmeldemoduls identifiziert. Falls das zu dem Browser des Anwenders gelieferte Anmeldemodul nicht von einer für den Anwender vertrauenswürdigen Quelle kommt, kann der Anwender verhindern, dass das Anmeldemodul ausgeführt wird, oder einfach ablehnen, die Master-Anwendername/Passwort-Informationen zu liefern. Ähnlich liefert eine bereits existierende residente Komponente des Anmeldemoduls die Master-Anwendername/Passwort-Informationen erst an ein nachfolgend ankommendes Anmeldemodul, wenn die Signatur des nachfolgend ankommenden Anmeldemoduls eine vertrauenswürdige Quelle identifiziert. Gemäß einer Ausführungsform stammen die von verschiedenen getrennt gesteuerten beschränkten Sites verwendeten Anmeldemodule von derselben Quelle, wobei diese Anmeldemodule nur Anmeldemodulen von derselben Quelle trauen.
  • Gemäß einer alternativen Ausführungsform können die von verschiedenen getrennt gesteuerten beschränkten Sites verwendeten Anmeldemodule von verschiedenen Quellen stammen, verschiedene Hash-Funktionen realisieren und unter Verwendung verschiedener Formen von aktivem Inhalt realisiert sein. Allerdings können sie so konfiguriert sein, dass sie daraufhin, dass das Anmeldemodul, das die Master-Authentifizierungsinformationen speichert, verifiziert, dass das Anmeldemodul, das die Master-Authentifizierungsinformationen anfordert, von einer vertrauenswürdigen Quelle kommt, die Master-Authentifizierungsinformationen aneinander liefern.
  • In der vorstehenden Beschreibung ist die Erfindung anhand spezifischer Ausführungsformen davon beschrieben worden. Allerdings können daran offensichtlich verschiedene Abwandlungen und Änderungen vorgenommen werden, ohne von dem in den folgenden Ansprüchen dargelegten Umfang der Erfindung abzuweichen.

Claims (45)

  1. Verfahren zum Authentifizieren von Anwendern in einem Client-Server-System, wobei das Verfahren die folgenden Schritte umfasst: ein Client erzeugt erste serverspezifische Authentifizierungsinformationen für einen ersten Server anhand von bei dem Client gespeicherten Master-Authentifizierungsinformationen und anhand von dem ersten Server (212) zugeordneten Daten; und der Client liefert die ersten serverspezifischen Authentifizierungsinformationen zu dem ersten Server, um auf beschränkte Betriebsmittel, die durch den ersten Server (214) gesteuert werden, zuzugreifen; wobei die ersten serverspezifischen Authentifizierungsinformationen von den Master-Authentifizierungsinformationen verschieden sind.
  2. Verfahren nach Anspruch 1, das ferner die folgenden Schritte umfasst: der Client erzeugt zweite serverspezifische Authentifizierungsinformationen für einen zweiten Server anhand der Master-Authentifizierungsinformationen und anhand von dem zweiten Server (212) zugeordneten Daten; und der Client liefert die zweiten serverspezifischen Authentifizierungsinformationen zu dem zweiten Server, um auf beschränkte Betriebsmittel, die durch den zweiten Server (214) gesteuert werden, zuzugreifen; wobei die zweiten serverspezifischen Authentifizierungsinformationen von den Master-Authentifizierungsinformationen verschiedenen sind; und wobei die ersten serverspezifischen Authentifizierungsinformationen von den zweiten serverspezifischen Authentifizierungsinformationen verschieden sind.
  3. Verfahren nach Anspruch 1, das ferner den Schritt umfasst, bei dem in Reaktion auf die Anforderung der ersten serverspezifischen Authentifizierungsinformationen von dem Client durch den ersten Server ein Anwender aufgefordert wird, dem Client (208) die Master-Authentifizierungsinformationen zu liefern.
  4. Verfahren nach Anspruch 1, das ferner die folgenden Schritte umfasst: der Client antwortet auf eine Anforderung der ersten serverspezifischen Informationen von dem ersten Server durch Feststellen, ob der Client momentan Master-Authentifizierungsinformationen (204) speichert; falls der Client feststellt, dass der Client momentan Master-Authentifizie rungsinformationen speichert (206), führt der Client den Schritt des Erzeugens der ersten serverspezifischen Authentifizierungsinformationen aus, ohne die Master-Authentifizierungsinformationen von einem Anwender (212) anzufordern; und falls der Client feststellt, dass der Client momentan keine Master-Authentifizierungsinformationen speichert, fordert der Client den Anwender auf, die Master-Authentifizierungsinformationen bereitzustellen (208), und Speichern der Master-Authentifizierung in Reaktion auf den Empfang der Master-Authentifizierungsinformationen von dem Anwender.
  5. Verfahren nach Anspruch 2, das ferner die folgenden Schritte umfasst: der Client empfängt eine erste Anforderung der ersten serverspezifischen Authentifizierungsinformationen von dem ersten Server; der Client fordert in Reaktion auf die erste Anforderung einen Anwender auf, die Master-Authentifizierungsinformationen (208) zu liefern; der Client speichert die Authentifizierungsinformationen in Reaktion auf den Empfang der Master-Authentifizierungsinformationen von dem Anwender; der Client empfängt eine zweite Anforderung der zweiten serverspezifischen Authentifizierungsinformationen von dem zweiten Server; und der Client führt die folgenden Schritte aus, ohne den Anwender erneut aufzufordern, die Master-Authentifizierungsinformationen zu liefern: Erzeugen der zweiten serverspezifischen Authentifizierungsinformationen; und Liefern der zweiten serverspezifischen Authentifizierungsinformationen zu dem zweiten Server.
  6. Verfahren nach Anspruch 1, das ferner die folgenden Schritte umfasst: der Client empfängt von einem Server ein erstes clientseitiges Anmeldemodul von einem Server; wobei das erste clientseitige Anmeldemodul die folgenden Schritte ausführt: Erzeugen der ersten serverspezifischen Authentifizierungsinformationen für den ersten Server (212); und Liefern der ersten serverspezifischen Authentifizierungsinformationen zu dem ersten Server (214).
  7. Verfahren nach Anspruch 6, bei dem der Schritt des Empfangens des ersten clientseitigen Anmeldemoduls dadurch ausgeführt wird, dass das erste clientseitige Anmeldemodul von dem ersten Server in Reaktion darauf, dass der Client beschränkte Betriebsmittel von dem ersten Server (200) anfordert, empfängt.
  8. Verfahren nach Anspruch 2, das ferner die folgenden Schritte umfasst: der Client empfängt ein erstes clientseitiges Anmeldemodul von dem ersten Server; wobei das erste clientseitige Anmeldemodul die folgenden Schritte ausführt: Erzeugen der ersten serverspezifischen Authentifizierungsinformationen für den ersten Server (212); und Liefern der ersten serverspezifischen Authentifizierungsinformationen zu dem ersten Server (214); der Client empfängt ein zweites clientseitiges Anmeldemodul von dem zweiten Server; wobei das zweite clientseitige Anmeldemodul die folgenden Schritte ausführt: Erzeugen der zweiten serverspezifischen Authentifizierungsinformationen für den zweiten Server (212); und Liefern der zweiten serverspezifischen Authentifizierungsinformationen zu dem zweiten Server (214).
  9. Verfahren nach Anspruch 8, das ferner die folgenden Schritte umfasst: das erste clientseitige Anmeldemodul fordert von einem Anwender Master-Authentifizierungsinformationen an; das erste clientseitige Anmeldemodul speichert die Authentifizierungsinformationen in einem Speicher bei dem Client in Reaktion auf den Empfang der Master-Authentifizierungsinformationen von dem Anwender.
  10. Verfahren nach Anspruch 9, das ferner die folgenden Schritte umfasst: das zweite clientseitige Anmeldemodul erfasst das erste clientseitige Anmeldemodul in dem Client; und das zweite clientseitige Anmeldemodul fordert von dem ersten clientseitigen Anmeldemodul (206) die Master-Authentifizierungsinformationen an.
  11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Master-Authentifizierungsinformationen einen Anwendernamen und/oder eine IP-Adresse und/oder ein Master-Passwort enthalten.
  12. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Schritt des Erzeugens der ersten serverspezifischen Authentifizierungsinformationen (212) das Erzeugen der ersten serverspezifischen Authentifizierungsinformationen anhand einer sicheren Einweg-Hash-Funktion umfasst.
  13. Verfahren nach einem der Ansprüche 6 bis 10, bei dem der Schritt des Empfangens eines ersten clientseitigen Anmeldemoduls das Empfangen eines Moduls für aktiven Inhalt umfasst, wobei das Modul für aktiven Inhalt ein Plug-in-Modul und/oder ein JAVA-Applet und/oder ein ActiveX-Komponente umfasst.
  14. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die dem ersten Server zugeordneten Daten eine URL und/oder eine IP-Adresse und/oder eine Software-Verkäufernummer und/oder eine eindeutige Server-Kennung umfassen.
  15. Verfahren nach einem der vorhergehenden Ansprüche, bei dem: der erste Server (130) ein Web-Server ist; der Web-Server in Reaktion auf einen Browser bei dem Client (100), der über das World Wide Web (128) eine URL sendet, die eine beschränkte Web-Seite, die durch den Web-Server (130) gesteuert wird, identifiziert, die ersten serverspezifischen Authentifizierungsinformationen anfordert; und der Schritt des Lieferns der ersten serverspezifischen Authentifizierungsinformationen (214) durch Senden der ersten serverspezifischen Authentifizierungsinformationen zu den Web-Server ausgeführt wird.
  16. Verfahren nach Anspruch 10, das ferner die folgenden Schritte umfasst: das erste clientseitige Anmeldemodul antwortet auf das zweite clientseitige Anmeldemodul dadurch, dass es feststellt, ob eine dem zweiten clientseitigen Anmeldemodul zugeordnete Signatur angibt, dass das zweite clientseitige Anmeldemodul von einer vertrauenswürdigen Quelle stammt; falls die dem zweiten clientseitigen Anmeldemodul zugeordnete Signatur angibt, dass das zweite clientseitige Anmeldemodul von einer vertrauenswürdigen Quelle stammt, liefert das erste clientseitige Anmeldemodul an das zweite clientseitige Anmeldemodul die Master-Authentifizierungsinformationen (206).
  17. Verfahren nach einem der Ansprüche 6 bis 10, 13 und 16, bei dem das erste clientseitige Anmeldemodul den Schritt des Erzeugens der ersten serverspezifischen Authentifizierungsinformationen anhand der dem ersten Server (212) zugeordneten Daten ausführt, nachdem die dem ersten Server zugeordneten Daten aus der Code-Basis des ersten clientseitigen Anmeldemoduls (210) extrahiert worden sind.
  18. Verfahren zum Authentifizieren von Anwendern in einem Client-Server-System, wobei das Verfahren die folgenden Schritte umfasst: ein Server empfängt eine Anforderung beschränkter Betriebsmittel von einem Client; der Server sendet zu dem Client ein clientseitiges Anmeldemodul (202), das, wenn es bei dem Client ausgeführt wird, anhand von Daten, die dem Server zugeordnet sind, und anhand von in dem Client (212) gespeicherten Master-Authentifizierungsinformationen serverspezifische Authentifizierungsinformationen erzeugt; und der Server empfängt die serverspezifischen Authentifizierungsinformationen von dem clientseitigen Anmeldemodul, wenn das clientseitige Anmeldemodul auf dem Client ausgeführt wird.
  19. Verfahren nach Anspruch 18, bei dem der Schritt des Sendens des clientseitigen Anmeldemoduls (202) das Senden eines clientseitigen Moduls umfasst, in dessen Code-Basis die dem Server zugeordneten Daten codiert sind, die in Kombination mit den Master-Authentifizierungsinformationen verwendet werden, um die serverspezifischen Authentifizierungsinformationen zu erzeugen.
  20. Verfahren nach Anspruch 18 oder 19, bei dem das Anmeldemodul so konfiguriert ist, dass es einen Anwender des Clients nach den Master-Authentifizierungsinformationen (208) fragt, wenn bei dem Client kein bereits existierendes Anmeldemodul erfasst wird, und das bereits existierende Anmeldemodul nach den Master-Authentifizierungsinformationen (206) fragt, falls ein bereits existierendes Anmeldemodul bei dem Client erfasst wird.
  21. Computerlesbares Medium (106), das eine oder mehrere Folgen von Anweisungen zum Authentifizieren von Anwendern in einem Client-Server-System trägt, wobei die Ausführung der einen oder der mehreren Folgen von Anweisungen durch einen oder mehrere Prozessoren (104) den einen oder die mehreren Prozessoren (104) dazu veranlasst, die folgenden Schritte auszuführen: ein Client (100) erzeugt erste serverspezifische Authentifizierungsinformationen für einen ersten Server (130) anhand von bei dem Client gespeicherten Master-Authentifizierungsinformationen und anhand von dem ersten Server zugeordneten Daten; und der Client (100) liefert die ersten serverspezifischen Authentifizierungsinformationen zu dem ersten Server (130), um auf beschränkte Betriebsmittel, die durch den ersten Server gesteuert werden, zuzugreifen; wobei die ersten serverspezifischen Authentifizierungsinformationen von den Master-Authentifizierungsinformationen verschieden sind.
  22. Computerlesbares Medium (106) nach Anspruch 21, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: der Client (100) erzeugt zweite serverspezifische Authentifizierungsinformationen für einen zweiten Server (130) anhand der Master-Authentifizierungsinformationen und anhand von dem zweiten Server (130) zugeordneten Daten; und der Client (100) liefert die zweiten serverspezifischen Authentifizierungsinformationen zu dem zweiten Server (130), um auf beschränkte Betriebsmittel, die durch den zweiten Server gesteuert werden, zuzugreifen; wobei die zweiten serverspezifischen Authentifizierungsinformationen von den Master-Authentifizierungsinformationen verschieden sind; und wobei die ersten serverspezifischen Authentifizierungsinformationen von den zweiten serverspezifischen Authentifizierungsinformationen verschieden sind.
  23. Computerlesbares Medium nach Anspruch 21, das ferner Anweisungen enthält, um den Schritt auszuführen, bei dem in Reaktion auf die Anforderung der ersten serverspezifischen Authentifizierungsinformationen von dem Client durch den ersten Server ein Anwender aufgefordert wird, dem Client die Master-Authentifizierungsinformationen zu liefern.
  24. Computerlesbares Medium nach Anspruch 21, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: der Client antwortet auf eine Anforderung der ersten serverspezifischen Informationen von dem ersten Server durch Bestimmen, ob der Client momentan Master-Authentifizierungsinformationen speichert; falls der Client feststellt, dass der Client momentan Master-Authentifizierungsinformationen speichert, führt der Client den Schritt aus, bei dem die ersten serverspezifischen Authentifizierungsinformationen ohne Anfordern der Master-Authentifizierungsinformationen von einem Anwender erzeugt werden; und falls der Client feststellt, dass der Client momentan keine Master-Authentifi zierungsinformationen speichert, fordert der Client den Anwender auf, die Master-Authentifizierungsinformationen bereitzustellen, und Speichern der Master-Authentifizierungsinformationen in Reaktion auf den Empfang der Master-Authentifizierungsinformationen von dem Anwender.
  25. Computerlesbares Medium nach Anspruch 22, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: der Client empfängt eine erste Anforderung der ersten serverspezifischen Authentifizierungsinformationen von dem ersten Server; der Client fordert in Reaktion auf die erste Anforderung einen Anwender auf, die Master-Authentifizierungsinformationen zu liefern; der Client speichert in Reaktion auf den Empfang der Master-Authentifizierungsinformationen von dem Anwender die Authentifizierungsinformationen; der Client empfängt eine zweite Anforderung der zweiten serverspezifischen Authentifizierungsinformationen von dem zweiten Server; und der Client führt die folgenden Schritte aus, ohne erneut den Anwender aufzufordern, die Master-Authentifizierungsinformationen zu liefern: Erzeugen der zweiten serverspezifischen Authentifizierungsinformation; und Liefern der zweiten serverspezifischen Authentifizierungsinformationen zu dem zweiten Server.
  26. Computerlesbares Medium nach Anspruch 21, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: der Client empfängt ein erstes clientseitiges Anmeldemodul von einem Server; wobei das erste clientseitige Anmeldemodul die folgenden Schritte ausführt: Erzeugen der ersten serverspezifischen Authentifizierungsinformationen für den ersten Server; und Liefern der ersten serverspezifischen Authentifizierungsinformationen zu dem ersten Server.
  27. Computerlesbares Medium nach Anspruch 26, bei dem der Schritt des Empfangens des ersten clientseitigen Anmeldemoduls dadurch ausgeführt wird, dass das erste clientseitige Anmeldemodul von dem ersten Server in Reaktion darauf, dass der Client beschränkte Betriebsmittel von dem ersten Server anfor dert, empfangen wird.
  28. Computerlesbares Medium nach Anspruch 22, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: der Client empfängt ein erstes clientseitiges Anmeldemodul von dem ersten Server; wobei das erste clientseitige Anmeldemodul die folgenden Schritte ausführt: Erzeugen der ersten serverspezifischen Authentifizierungsinformationen für den ersten Server; und Liefern der ersten serverspezifischen Authentifizierungsinformationen zu dem ersten Server; der Client empfängt ein zweites clientseitiges Anmeldemodul von dem zweiten Server; wobei das zweite clientseitige Anmeldemodul die folgenden Schritte ausführt: Erzeugen der zweiten serverspezifischen Authentifizierungsinformationen für den zweiten Server; und Liefern der zweiten serverspezifischen Authentifizierungsinformationen zu dem zweiten Server.
  29. Computerlesbares Medium nach Anspruch 28, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: das erste clientseitige Anmeldemodul fordert Master-Authentifizierungsinformationen von einem Anwender an; das erste clientseitige Anmeldemodul speichert in Reaktion darauf, dass die Master-Authentifizierungsinformationen von dem Anwender empfangen werden, diese Master-Authentifizierungsinformationen in einem Speicher bei dem Client.
  30. Computerlesbares Medium nach Anspruch 29, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: das zweite clientseitige Anmeldemodul erfasst das erste clientseitige Anmeldemodul in dem Client; und das zweite clientseitige Anmeldemodul fordert die Master-Authentifizierungsinformationen von dem ersten clientseitigen Anmeldemodul an.
  31. Computerlesbares Medium nach einem der Ansprüche 21 bis 30, bei dem die Master-Authentifizierungsinformationen einen Anwendernamen und/oder eine IP-Adresse und/oder ein Master-Passwort enthalten.
  32. Computerlesbares Medium nach einem der Ansprüche 21 bis 31, bei dem der Schritt des Erzeugens der ersten serverspezifischen Authentifizierungsinformationen das Erzeugen der ersten serverspezifischen Authentifizierungsinformationen anhand einer sicheren Einweg-Hash-Funktion umfasst.
  33. Computerlesbares Medium nach einem der Ansprüche 26 bis 30, bei dem der Schritt des Empfangens des ersten clientseitigen Anmeldemoduls das Empfangen eines Moduls für aktiven Inhalt umfasst und bei dem das Modul für aktiven Inhalt ein Plug-in-Modul und/oder ein JAVA-Applet und/oder eine ActiveX-Komponente enthält.
  34. Computerlesbares Medium nach einem der Ansprüche 21 bis 33, bei dem die dem ersten Server zugeordneten Daten eine URL und/oder eine IP-Adresse und/oder eine Software-Verkäufernummer und/oder eine eindeutige Server-Kennung enthalten.
  35. Computerlesbares Medium nach den Ansprüchen 21 bis 34, bei dem: der erste Server (130) ein Web-Server ist; der Web-Server die ersten serverspezifischen Authentifizierungsinformationen in Reaktion darauf anfordert, dass ein Browser im Client eine URL, die eine beschränkte Web-Seite, die durch den Web-Server gesteuert wird, identifiziert, über das World Wide Web (128) sendet; und der Schritt des Lieferns der ersten serverspezifischen Authentifizierungsinformationen durch Senden der ersten serverspezifischen Authentifizierungsinformationen zu dem Web-Server ausgeführt wird.
  36. Computerlesbares Medium nach Anspruch 30, das ferner Anweisungen enthält, um die folgenden Schritte auszuführen: das erste clientseitige Anmeldemodul antwortet auf das zweite clientseitige Anmeldemodul dadurch, dass es feststellt, ob eine dem zweiten clientseitigen Anmeldemodul zugeordnete Signatur angibt, dass das zweite clientseitige Anmeldemodul von einer vertrauenswürdigen Quelle stammt; falls die dem zweiten clientseitigen Anmeldemodul zugeordnete Signatur angibt, dass das zweite clientseitige Anmeldemodul von einer vertrauenswürdigen Quelle stammt, liefert das erste clientseitige Anmeldemodul die Master-Authentifizierungsinformationen zu dem zweiten clientseitigen Anmeldemodul.
  37. Computerlesbares Medium nach einem der Ansprüche 26, 30, 33 und 36, bei dem das erste clientseitige Anmeldemodul den Schritt des Erzeugens der ersten serverspezifischen Authentifizierungsinformationen anhand von Daten, die dem ersten Server zugeordnet sind, ausführt, nachdem die dem ersten Server zugeordneten Daten aus der Code-Basis des ersten clientseitigen Anmeldemoduls extrahiert worden sind.
  38. Computerlesbares Medium, das eine oder mehrere Folgen von Anweisungen trägt, um Anwender in einem Client-Server-System zu authentifizieren, wobei die Ausführung der einen oder der mehreren Folgen von Anweisungen durch einen oder mehrere Prozessoren den einen oder die mehreren Prozessoren dazu veranlasst, die folgenden Schritte auszuführen: ein Server sendet zu einem Client ein clientseitiges Anmeldemodul, das, wenn es bei dem Client ausgeführt wird, serverspezifische Authentifizierungsinformationen anhand von Daten, die dem Server zugeordnet sind, und anhand von Master-Authentifizierungsinformationen, die in dem Client gespeichert sind, erzeugt; und der Server empfängt die serverspezifischen Authentifizierungsinformationen von dem clientseitigen Anmeldemodul, wenn das clientseitige Anmeldemodul auf dem Client ausgeführt wird.
  39. Computerlesbares Medium nach Anspruch 38, bei dem der Schritt des Sendens des clientseitigen Anmeldemoduls das Senden eines clientseitigen Moduls, in dessen Code-Basis die dem Server zugeordneten Daten codiert sind, die in Kombination mit den Master-Authentifizierungsinformationen verwendet werden, um die serverspezifischen Authentifizierungsinformationen zu erzeugen, umfasst.
  40. Computerlesbares Medium nach Anspruch 38 oder 39, bei dem das Anmeldemodul so konfiguriert ist, dass es bei einem Anwender des Clients nach den Master-Authentifizierungsinformationen fragt, falls kein bereits existierendes Anmeldemodul in dem Client erfasst wird, und bei dem im bereits existierenden Anmeldemodul nach den Master-Authentifizierungsinformationen fragt, falls in dem Client ein bereits existierendes Anmeldemodul erfasst wird.
  41. Client-Server-System, das umfasst: einen Client (100); mehrere Server (130); ein Netz (120, 122, 128), das den Client mit den mehreren Servern funktional verbindet, um eine Kommunikation zwischen dem Client und den mehreren Servern zu ermöglichen; wobei die mehreren Server wenigstens einen ersten Server (130) enthalten, der so konfiguriert ist, dass er auf eine Betriebsmittelanforderung antwortet, die von dem Client (100) ausgegeben wird, indem er zu dem Client ein Anmeldemodul schickt; wobei das Anmeldemodul so konfiguriert ist, dass es die folgenden Schritte ausführt, wenn es auf dem Client ausgeführt wird: Wiedergewinnen von in dem Client gespeicherten Master-Authentifizierungsinformationen und Kombinieren der Master-Authentifizierungsinformationen mit serverspezifischen Daten; Erzeugen von serverspezifischen Authentifizierungsinformationen anhand der Master-Authentifizierungsinformationen und der serverspezifischen Daten; und Senden der serverspezifischen Authentifizierungsinformationen zu einem bestimmten Server der mehreren Server.
  42. Client-Server-System nach Anspruch 41, bei dem der bestimmte Server der erste Server ist.
  43. Computerprogramm, das Computer-Code enthält, um das Verfahren nach einem der Ansprüche 1 bis 20 auszuführen, wenn es auf einem Computer (100) abläuft.
  44. Client (100), der einen Prozessor (104) und einen mit dem Prozessor verbundenen Speicher (106) umfasst, wobei der Speicher Anweisungen speichert, um den Betrieb des Prozessors zu steuern, und wobei der Prozessor so beschaffen ist, dass er das Verfahren nach einem der Ansprüche 1 bis 17 ausführt, wenn die Anweisungen ausgeführt werden.
  45. Server (130), der einen Prozessor und einen mit dem Prozessor verbundenen Speicher umfasst, wobei der Speicher Anweisungen zum Steuern des Betriebs des Prozessors speichert und wobei der Prozessor so beschaffen ist, dass er das Verfahren nach einem der Ansprüche 18 bis 20 ausführt, wenn die Anweisungen ausgeführt werden.
DE60027971T 1999-04-28 2000-04-20 Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält Expired - Lifetime DE60027971T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US301642 1999-04-28
US09/301,642 US6629246B1 (en) 1999-04-28 1999-04-28 Single sign-on for a network system that includes multiple separately-controlled restricted access resources

Publications (2)

Publication Number Publication Date
DE60027971D1 DE60027971D1 (de) 2006-06-22
DE60027971T2 true DE60027971T2 (de) 2007-01-04

Family

ID=23164250

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60027971T Expired - Lifetime DE60027971T2 (de) 1999-04-28 2000-04-20 Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält

Country Status (5)

Country Link
US (1) US6629246B1 (de)
EP (1) EP1081914B1 (de)
JP (1) JP4639297B2 (de)
DE (1) DE60027971T2 (de)
IL (1) IL135802A0 (de)

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001022702A (ja) * 1999-07-12 2001-01-26 Fujitsu Ltd 認証制御装置、認証制御システムおよび認証制御方法並びに記録媒体
AU2001245481A1 (en) * 2000-03-07 2001-09-17 Hotlens.Com Inc. Server-side web browsing and multiple lens system, method and apparatus
WO2001071523A1 (en) * 2000-03-20 2001-09-27 Hotlens.Com Inc. Transparent user and session management for web applications
US7150038B1 (en) * 2000-04-06 2006-12-12 Oracle International Corp. Facilitating single sign-on by using authenticated code to access a password store
US6801946B1 (en) * 2000-06-15 2004-10-05 International Business Machines Corporation Open architecture global sign-on apparatus and method therefor
US7010582B1 (en) * 2000-06-26 2006-03-07 Entrust Limited Systems and methods providing interactions between multiple servers and an end use device
US6934848B1 (en) * 2000-07-19 2005-08-23 International Business Machines Corporation Technique for handling subsequent user identification and password requests within a certificate-based host session
US6976164B1 (en) * 2000-07-19 2005-12-13 International Business Machines Corporation Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session
US8020199B2 (en) * 2001-02-14 2011-09-13 5th Fleet, L.L.C. Single sign-on system, method, and access device
US7350229B1 (en) * 2001-03-07 2008-03-25 Netegrity, Inc. Authentication and authorization mapping for a computer network
US20060288212A1 (en) * 2001-03-20 2006-12-21 Gutenberg Printing Llc Transparent user and session management for web applications
AU2002344299A1 (en) * 2001-05-29 2002-12-09 Xenobit Corporation Method and system for logging into and providing access to a computer system via a communications network
US7743404B1 (en) * 2001-10-03 2010-06-22 Trepp, LLC Method and system for single signon for multiple remote sites of a computer network
JP4780915B2 (ja) * 2001-11-01 2011-09-28 ヤフー! インコーポレイテッド インターネットブラウザを用いてオンライン・ショッピングを簡便化する方法およびシステム
US7412720B1 (en) * 2001-11-02 2008-08-12 Bea Systems, Inc. Delegated authentication using a generic application-layer network protocol
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US7228417B2 (en) 2002-02-26 2007-06-05 America Online, Inc. Simple secure login with multiple-authentication providers
US20030182551A1 (en) * 2002-03-25 2003-09-25 Frantz Christopher J. Method for a single sign-on
US7500262B1 (en) 2002-04-29 2009-03-03 Aol Llc Implementing single sign-on across a heterogeneous collection of client/server and web-based applications
US7793342B1 (en) * 2002-10-15 2010-09-07 Novell, Inc. Single sign-on with basic authentication for a transparent proxy
US8032931B2 (en) * 2002-10-30 2011-10-04 Brocade Communications Systems, Inc. Fabric manager multiple device login
US8695019B2 (en) * 2003-02-14 2014-04-08 Actividentity (Australia) Pty Ltd System and method for delivering external data to a process running on a virtual machine
JP4881538B2 (ja) * 2003-06-10 2012-02-22 株式会社日立製作所 コンテンツ送信装置およびコンテンツ送信方法
US7283831B2 (en) * 2003-07-24 2007-10-16 Lucent Technologies Inc. Single sign-on service for communication network messaging
US20050144482A1 (en) * 2003-12-17 2005-06-30 David Anuszewski Internet protocol compatible access authentication system
JP4982031B2 (ja) * 2004-01-16 2012-07-25 株式会社日立製作所 コンテンツ送信装置、コンテンツ受信装置およびコンテンツ送信方法、コンテンツ受信方法
US7490242B2 (en) * 2004-02-09 2009-02-10 International Business Machines Corporation Secure management of authentication information
US20050204174A1 (en) * 2004-03-11 2005-09-15 International Business Machines Corporation Password protection mechanism
US20050240671A1 (en) * 2004-04-23 2005-10-27 Loraine Beyer IP-based front-end web server
AU2005239005A1 (en) 2004-04-30 2005-11-10 Research In Motion Limited System and method for handling data transfers
WO2006034476A1 (en) * 2004-09-24 2006-03-30 Siemens Medical Solutions Usa, Inc. A system for activating multiple applications for concurrent operation
US7941671B2 (en) * 2004-10-14 2011-05-10 Oracle International Corporation Method and apparatus for accommodating multiple verifier types with limited storage space
US7478123B2 (en) * 2004-12-29 2009-01-13 International Business Machines Corporation Effortless registration with content providers and methods thereof
US20060185004A1 (en) * 2005-02-11 2006-08-17 Samsung Electronics Co., Ltd. Method and system for single sign-on in a network
US20060206926A1 (en) * 2005-03-14 2006-09-14 Agfa Inc. Single login systems and methods
TWI296477B (en) * 2005-03-23 2008-05-01 Quanta Comp Inc Single logon method on a server system and a server system with single logon functionality
US8078740B2 (en) 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
US8245270B2 (en) * 2005-09-01 2012-08-14 Microsoft Corporation Resource based dynamic security authorization
US20070074038A1 (en) * 2005-09-29 2007-03-29 International Business Machines Corporation Method, apparatus and program storage device for providing a secure password manager
US20070165582A1 (en) * 2006-01-18 2007-07-19 Puneet Batta System and method for authenticating a wireless computing device
US20070226783A1 (en) * 2006-03-16 2007-09-27 Rabbit's Foot Security, Inc. (A California Corporation) User-administered single sign-on with automatic password management for web server authentication
US8185737B2 (en) 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
US10019570B2 (en) 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
US8189756B2 (en) * 2008-01-02 2012-05-29 International Business Machines Corporation Telephone menu selection
US8621561B2 (en) * 2008-01-04 2013-12-31 Microsoft Corporation Selective authorization based on authentication input attributes
US20090320125A1 (en) * 2008-05-08 2009-12-24 Eastman Chemical Company Systems, methods, and computer readable media for computer security
US10146926B2 (en) * 2008-07-18 2018-12-04 Microsoft Technology Licensing, Llc Differentiated authentication for compartmentalized computing resources
US8910256B2 (en) * 2008-08-08 2014-12-09 Microsoft Corporation Form filling with digital identities, and automatic password generation
US8276196B1 (en) * 2008-08-18 2012-09-25 United Services Automobile Association (Usaa) Systems and methods for implementing device-specific passwords
US20100064353A1 (en) * 2008-09-09 2010-03-11 Facetime Communications, Inc. User Mapping Mechanisms
US8484338B2 (en) * 2008-10-02 2013-07-09 Actiance, Inc. Application detection architecture and techniques
US20100174758A1 (en) * 2009-01-05 2010-07-08 International Business Machines Corporation Automatic management of single sign on passwords
US8789152B2 (en) * 2009-12-11 2014-07-22 International Business Machines Corporation Method for managing authentication procedures for a user
JP5471632B2 (ja) * 2010-03-11 2014-04-16 富士ゼロックス株式会社 情報入力支援装置及びプログラム
US20110239282A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and Apparatus for Authentication and Promotion of Services
US20110239281A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and apparatus for authentication of services
US9183560B2 (en) 2010-05-28 2015-11-10 Daniel H. Abelow Reality alternate
JP5632102B2 (ja) * 2011-03-14 2014-11-26 クゥアルコム・インコーポレイテッドQualcomm Incorporated ハイブリッドネットワーキングマスターパスフレーズ
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9497220B2 (en) 2011-10-17 2016-11-15 Blackberry Limited Dynamically generating perimeters
US9161226B2 (en) 2011-10-17 2015-10-13 Blackberry Limited Associating services to perimeters
US9613219B2 (en) 2011-11-10 2017-04-04 Blackberry Limited Managing cross perimeter access
US8799227B2 (en) 2011-11-11 2014-08-05 Blackberry Limited Presenting metadata from multiple perimeters
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
CA2861384C (en) * 2012-02-01 2017-10-31 Amazon Technologies, Inc. Account management for multiple network sites
CN103297408B (zh) * 2012-03-02 2016-04-06 腾讯科技(深圳)有限公司 登录方法和装置以及终端、网络服务器
US9369466B2 (en) 2012-06-21 2016-06-14 Blackberry Limited Managing use of network resources
CN103546432B (zh) 2012-07-12 2015-12-16 腾讯科技(深圳)有限公司 实现跨域跳转的方法和系统以及浏览器、域名服务器
US20140280698A1 (en) * 2013-03-13 2014-09-18 Qnx Software Systems Limited Processing a Link on a Device
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
EP2953312A1 (de) * 2014-06-02 2015-12-09 Alcatel Lucent System zur Handhabung von Passwörtern für Dienstauthentifizierung
US11500978B2 (en) * 2018-07-31 2022-11-15 Hewlett-Packard Development Company, L.P. Password updates
EP3879422A1 (de) 2020-03-09 2021-09-15 Carrier Corporation Netzwerkkennung und authentifizierungsinformationserzeugung für gebäudeautomatisierungssystemsteuerungen
US20240061925A1 (en) * 2020-12-23 2024-02-22 Schlumberger Technology Corporation Securely sharing data across isolated application suites
JP7316714B1 (ja) 2023-02-13 2023-07-28 株式会社フレアリンク 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5537544A (en) * 1992-09-17 1996-07-16 Kabushiki Kaisha Toshiba Portable computer system having password control means for holding one or more passwords such that the passwords are unreadable by direct access from a main processor
GB2281645A (en) * 1993-09-03 1995-03-08 Ibm Control of access to a networked system
DE69533328T2 (de) * 1994-08-30 2005-02-10 Kokusai Denshin Denwa Co., Ltd. Beglaubigungseinrichtung
US5719941A (en) * 1996-01-12 1998-02-17 Microsoft Corporation Method for changing passwords on a remote computer
US5684950A (en) 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
US6209104B1 (en) * 1996-12-10 2001-03-27 Reza Jalili Secure data entry and visual authentication system and method
JPH1125051A (ja) * 1997-07-09 1999-01-29 Hitachi Ltd 情報システム
US6308273B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination

Also Published As

Publication number Publication date
EP1081914A2 (de) 2001-03-07
JP4639297B2 (ja) 2011-02-23
US6629246B1 (en) 2003-09-30
IL135802A0 (en) 2001-05-20
EP1081914B1 (de) 2006-05-17
DE60027971D1 (de) 2006-06-22
JP2000347994A (ja) 2000-12-15
EP1081914A3 (de) 2002-01-16

Similar Documents

Publication Publication Date Title
DE60027971T2 (de) Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE19722424C5 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60308733T2 (de) Dienstanbieteranonymisierung in einem single sign-on system
DE60130037T2 (de) Verfahren und system zur web-basierten cross-domain berechtigung mit einmaliger anmeldung
DE69832786T2 (de) Vorrichtung und verfahren zur identifizierung von klienten die an netzwer-sites zugreifen
DE69835416T2 (de) Verfahren zur sicheren ausführung eines fernmeldebefehls
DE69818008T2 (de) Datenzugriffssteuerung
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE69725952T2 (de) Benutzerkontrollierter Browser
DE60031755T2 (de) Verfahren und Vorrichtung für authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE69830726T2 (de) Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system
DE69932003T2 (de) System und Verfahren zur Kontrolle einer Netzwerkverbindung
DE60025326T2 (de) Schutz von biometrischen daten mittels schlüsselabhängiger abtastung
DE60220959T2 (de) Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
EP2338255B1 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
DE60320612T2 (de) Dienstleistungssystem, in dem Dienste über ein Netzwerk von einer Dienstleistervorrichtung einer Dienstnehmervorrichtung zur Verfügung gestellt werden
DE60221113T3 (de) Verfahren und system für die fernaktivierung und -verwaltung von personal security devices
DE60319056T2 (de) Methode und Gerät zur Bereitstellung von Informationen und Diensten bei Verhinderung des Missbrauchs derselben
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE102016123651A1 (de) Autorisierungsserver, authentisierungskooperationssystem und programm
WO2011006895A1 (de) Verfahren zum lesen von attributen aus einem id-token

Legal Events

Date Code Title Description
8364 No opposition during term of opposition