DE60214632T2 - Multidomäne Berechtigung und Authentifizierung - Google Patents

Multidomäne Berechtigung und Authentifizierung Download PDF

Info

Publication number
DE60214632T2
DE60214632T2 DE60214632T DE60214632T DE60214632T2 DE 60214632 T2 DE60214632 T2 DE 60214632T2 DE 60214632 T DE60214632 T DE 60214632T DE 60214632 T DE60214632 T DE 60214632T DE 60214632 T2 DE60214632 T2 DE 60214632T2
Authority
DE
Germany
Prior art keywords
user
information
meta
decision point
policy decision
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60214632T
Other languages
English (en)
Other versions
DE60214632D1 (de
Inventor
Nigel John Westbury-on-Trym Edwards
Jason Ft. Collins Rouault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Application granted granted Critical
Publication of DE60214632D1 publication Critical patent/DE60214632D1/de
Publication of DE60214632T2 publication Critical patent/DE60214632T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Description

  • Die vorliegende Erfindung bezieht sich auf ein System zum Durchführen einer Multi-Domänen-Autorisierung und -Authentifizierung in einem Computernetzwerk.
  • Auf dem Gebiet von Computernetzwerken wird der Begriff „Domäne" bzw. „Bereich" (engl.: domain) gemeinhin dazu verwendet, auf einen Teil eines oder ein gesamtes Computernetzwerk Bezug zu nehmen, für den bzw. für das eine Gruppe von Benutzern einen Zugriff (möglicherweise unterschiedliche Zugriffsebenen) hat. In einer einzigen Organisation kann ein Computernetzwerk eine Anzahl unterschiedlicher Domänen aufweisen, die beispielsweise einer Forschungsabteilungsdomäne, einer Marketingabteilungsdomäne und einer Buchhaltungsabteilungsdomäne entsprechen. In einem viel größeren Maßstab kann ein Computernetzwerk multinational sein und kann eine Domäne umfassen, die sich auf eine Online-Website von E-Geschäftsbereichen bezieht, als eine Domäne, sowie eine Domäne für einen Internet-Dienstanbieter, der unabhängig von der Website des E-Unternehmens ist, bezieht.
  • Damit autorisierte Benutzer einer Domäne auf Informationen zugreifen können, die in anderen Domänen unterhalten werden, oder damit sie mit Benutzern in anderen Domänen kommunizieren können, ist eine Multi-Domänen-Autorisierung und -Authentifizierung erforderlich. Jede Domäne kann eine Privilegsverwaltungsinfrastruktur (PMI – Privilege Management Infrastructure) aufweisen, mit der verwaltet wird, welche Benutzer in der Lage sind, auf bestimmte Informationen zuzugreifen. Eine PMI kann als Einsteckmodul in einen Web-Server implementiert sein, der in ein Datenbankverwaltungssystem integriert sein kann, um unterschiedlichen Benutzern und unterschiedlichen Benutzertypen unterschiedliche Autorisierungen zu verleihen.
  • Eine PMI kann in Form eines Strategieentscheidungspunktes (PDP – Policy Decision Point) verwendet werden, der dazu benutzt werden kann, Informationen zu speichern und/oder zu auf dieselben zuzugreifen und Entscheidungen über Benutzer einer bestimmten Domäne, die Rollen des Benutzers sowie Einträge darüber, auf welche Teile des Systems dieser Benutzer zugreifen kann, zu treffen. Ein PDP gibt, nachdem ihm ein bestimmter Satz von Kriterien für einen Benutzer geliefert wurde, eine Entscheidung darüber aus, ob der Benutzer dazu autorisiert ist, auf Informationen zuzugreifen, bezüglich derer er einen Zugriff angefragt bzw. angefordert hat. Die Entscheidung kann auf dynamisch bereitgestellten Informationen und auch auf manchen gespeicherten Informationen beruhen.
  • Eine Entscheidung von einem PDP wird an einen Strategiedurchsetzungspunkt (PEP – Policy Enforcement Point) geleitet, der in demselben Teil eines Computersystems befindlich sein könnte wie ein PDP und dazu verwendet wird, die Entscheidung des PDP auszuführen. Ein PEP befindet sich in der Komponente, wo die Entscheidung durchgesetzt werden muss, und somit wäre der PEP bei einer standardmäßigen externen Website in einem Computersystem außerhalb einer Firewall-Sicherheitsabschirmung angeordnet, wohingegen ein PDP in einem Computer innerhalb dieser Firewall angeordnet wäre.
  • Ein vorhandenes Verfahren eines Zugriffs über Domänengrenzen hinweg, das eine über Domänengrenzen hinweg erfolgende Anmeldungs- und -Sitzungssynchronisation verwendet, beruht auf einer Verwendung von Attributzertifikaten. Ein vereinbarter Standard ist der Internet-X.509-Standard [X.509-1988]CCITT Recommendation X.509: The Directory – Authentication Framework. 1988; [X.509-1997]ITU-T Recommendation X.509: The Directory – Authentication Framework. 1997; und [X.509-2000]ITU-T Recommendation X.509: The Directory – Public-Key and Attribute Certificate Frameworks. 2000. Das Format von X.509-Zertifikatanfragenachrichten ist bei The Internet Engineering Task Force (IETF) Request for Comments (RFC) Nummer 2511 vom März 1999 (siehe www.ietf.org/rfc/rfc2511.txt) offenbart. In jenem Dokument ist ein Zertifikatanfragenachrichtformat (CRMF – Certificate Request Message Format) beschrieben, das eine Syntax ist, die dazu verwendet wird, eine Anfrage bzw. Anforderung bezüglich eines Zertifikats von einer Zertifizierungsautorität (CA – Certification Authority) zum Zweck einer Erstellung eines X.509-Zertifikats zu übermitteln. Eine derartige Anfrage umfasst üblicherweise einen öffentlichen Schlüssel und zugeordnete Registrierungsinformationen (wie nachstehend erörtert wird).
  • Bei vorhandenen Multi-Domänen-Autorisierungs- und -Authentifizierungssystemen werden häufig Zertifikate benutzt, die die Verwendung einer Öffentlicher-Schlüssel-Kryptographie erfordern, was einen öffentlichen Schlüssel und einen privaten Schlüssel zur Verschlüsselung umfasst. Ein öffentlicher Schlüssel ist, wie sein Name sagt, öffentlich verfügbar und ist in einem Zertifikat enthalten. Der öffentliche Schlüssel wird dazu verwendet, eine durch einen Anfragenden ausgegebene Anfrage zu entschlüsseln und dadurch zu gewährleisten, dass die Anfrage durch einen Inhaber eines privaten Schlüssels, der dem öffentlichen Schlüssel zugeordnet ist, erstellt wurde. Umgekehrt kann eine mit dem öffentlichen Schlüssel verschlüsselte Meldung bzw. Nachricht lediglich durch den Inhaber des privaten Schlüssels entschlüsselt werden. Ein privater Schlüssel wird üblicherweise von dem Eigentümer des privaten Schlüssels an einem sicheren Ort aufbewahrt, möglicherweise auf einer Floppy-Disk, noch üblicher jedoch in einem bestimmten Teil des Computers eines Benutzers.
  • Gewöhnliche X.509-Zertifikate können für eine einzige Anmeldung verwendet werden. PMIs können Zertifikate an ihre Kunden bzw. Clients ausstellen, die noch kein Zertifikat haben.
  • Unter dem SAML-Standard (security assertion markup language – Sicherheitsaktivierung-Markup-Sprache) der OASIS (Organization for Advancement of Structural Information Standards – Organisation zur Förderung von strukturellen Informationsstandards) (ein XML-Format – siehe www.oasisopen.org/committees/security/index.shtml) würde alternativ dazu, wenn ein Benutzer eine Sitzung an einer Site beginnt, ein kurzlebiges Attributzertifikat (das Angaben bezüglich der Identität und bestimmter Informationen des Benutzers wie z. B. finanzielle Informationen oder Bankangaben, bei dem Beispiel einer Online-Einkaufs-Website, umfassen kann) ausgestellt, das Sitzungsinformationen erfasst, die während der Sitzung eingegeben werden, und sie anderen Sites zur Verfügung stellt.
  • Der OASIS-SAML-Standard verwendet das Konzept einer ausstellenden Behörde, die signierte Erklärungen (die auch als Attributzertifikate bezeichnet werden könnten) ausstellt, wobei diese Erklärungen durch einen PDP empfangen werden. Bei dem OASIS-Format ist ein PDP lediglich dafür verantwortlich, Entscheidungen zu treffen, nicht dafür, Erklärungen zu erzeugen. Bei der vorliegenden Erfindung ist die ausgebende Behörde mit dem PDP zusammengelegt. Jedoch könnte das beschriebene System gleichermaßen im Rahmen des OASIS SAML implementiert werden. Die nachfolgend beschriebene Implementierung verwendet X.509- und CRMF-Protokolle. OASIS verwenden XML-Codierung, für ein erfolgreiches Implementieren der Erfindung können jedoch beide verwendet werden.
  • Es wird anerkannt, dass ein attraktives Verfahren, bei dem ein Benutzer in der Lage wäre, auf mehrere Domänen in einem Computernetzwerk zuzugreifen, darin bestünde, dass ein Benutzer für mehrere Domänen eine einzige Anmeldung aufweist. Der Zweck einer einzigen Multi-Domänen-Anmeldung besteht darin, zu vermeiden, dass ein Benutzer aufwendige Handlungen vornehmen muss, um sich erneut zu authentifizieren, wenn sich der Benutzer von einer Site zu einer anderen Site in beispielsweise einem anderen Unternehmen bewegt. Stattdessen gewährleisten der Clientcomputerserver des Benutzers und die angeforderten Server, dass die für die neue Site benötigte Authentifizierung automatisch erfolgt. Dadurch wird das häufig auftretende Problem vermieden, dass man sich unterschiedliche Passwörter für unterschiedliche Sites merken muss. Dadurch wird das Benutzererlebnis deutlich verbessert. Eine Sitzungssynchronisation verbessert eine einzige Anmeldung dahin gehend, eine Unterstützung bezüglich eines Austauschs von Informationen zu umfassen, die der jüngsten Aktivität des Benutzers auf einer gegebenen Site zugeordnet sind.
  • Der Zweck einer Multi-Domänen-Autorisierung besteht darin, Domänen in die Lage zu versetzen, auf sichere Weise Informationen auszutauschen, die zur Autorisierung verwendet werden können. Ein PDP in einer Domäne muss vielleicht ein bestimmtes Attribut des Kunden bzw. Client wissen, das lediglich von einer anderen Domäne geliefert werden kann, beispielsweise den finanziellen Status des Kunden. Cookies wurden bereits vorgeschlagen und als Möglichkeit eines Transferierens von Authentifizierungs- und Sitzungsinformationen zwischen Sites verwendet. Dieser Lösungsansatz weist eine Reihe von Problemen auf. Cookies funktionieren nicht gut über Domänengrenzen hinweg, da ein Erzeugen eines Cookies in einer Site, das an eine andere Site gesendet werden soll, in Browsern nicht sehr unterstützt wird, da es ein Sicherheitsrisiko bedeutet. Außerdem können Cookies durch einen Angreifer im Transit (wenn sie nicht über eine sichere Serververknüpfung gesendet werden) und von der Platte des Computers eines Benutzers erfasst werden, um abgespielt zu werden. Der Angreifer sieht dann wie der legitime Kunde mit dem Cookie aus (dies wird als Täuschungsangriff bezeichnet).
  • Ein weiterer Lösungsansatz, der zum Transferieren von Authentifizierungs- und Sitzungsinformationen von einer Site zu einer anderen vorgeschlagen wird, ist das URL- Codieren (URL = Universal Resource Locator – Einheitsressourcenlokator). In diesem Fall erzeugt dann, wenn ein Benutzer einem Link von einer Site zu einer anderen Site folgt, die erste Site auf dynamische Weise den URL, der auf die zweite Site zeigt. Die zweite Site erkennt den dynamisch erzeugten URL von der ersten Site und ist in der Lage, aus demselben Sitzungs- und Authentifizierungsinformationen zu extrahieren. Dies erlegt dem Computer zusätzliche Leistungsanforderungen auf (um die URLs dynamisch zu erzeugen) und ist schwierig zu implementieren, wenn die Site viele statische HTML-Seiten (HTML = Hypertext Mark-up Language) aufweist, da die statischen Seiten durch den Server bearbeitet werden müssen, damit die Links dynamisch ersetzt werden.
  • Als Möglichkeit zum Implementieren von Multi-Domänen-Authentifizierung und -Autorisierungen wurden auch bereits Proxies vorgeschlagen. Proxies weisen zweifelhafte Skalierungseigenschaften auf, da alle Anfragen über den Proxy gesendet werden, der zu einer Engstelle werden könnte. Außerdem sind Unternehmen bezüglich ihrer Sicherheit nicht gerne von einem Proxy eines anderen Unternehmens abhängig. Es gibt schwierige Vertrauens- und Verwaltungsbelange. Außerdem ist der Proxy auch ein besonders wertvolles Ziel für einen potentiellen Angreifer.
  • Um eine einzige Multi-Domänen-Anmeldung ohne die Verwendung von Cookies, Proxies oder einer URL-Umschreibung zu erzielen, wird die Verwendung von X.509-Zertifikaten empfohlen. Dies erfordert, dass alle Benutzer ein X.509-Zertifikat aufweisen, das durch eine teilnehmende PMI ausgestellt und signiert sowie mit einer Zertifizierungsautorität (CA) verkettet ist. Alternativ dazu können die öffentlichen Schlüssel von Zertifikatausstellern als Teil der Unternehmenslogik des Systems in die PMIs konfiguriert sein. Der PEP jeder PMI könnte dann wählen, das Clientzertifikat des Endbenutzers zum Identifizieren des Benutzers zu verwenden, oder, auf der Basis der Unternehmenspolitik, verlangen, dass sich der Benutzer unter Verwendung eines alternativen Mechanismus (beispielsweise eines Tokens oder biometrischer Informationen) authentifiziert. Letzteres, was als Form von sekundärer oder/bzw. Erweiterungsauthentifizierung fungiert, wird nachstehend erörtert.
  • Für den Fall, dass ein Benutzer noch kein Clientzertifikat besitzt, sollte jede PMI die Möglichkeit liefern, auf eine Selbstregistrierung eines Benutzers hin ein X.509-Zertifikat auszustellen und zu signieren. Diese durch die PMI ausgestellten Zertifikate werden mit einer üblicherweise CA (oder einem Satz von CAs) in einer Kette von Zertifikaten verkettet, wobei jedes durch eine höhere CA bis zu einer Wurzel-CA authentifiziert wird.
  • In vielen Fällen kann eine Einzelanmeldung je nach der angefragten Ressource verschiedene Authentifizierungsarten erfordern. Beispielsweise kann der Benutzer, der auf Steuereinbehaltungsinformationen zugreift, eine Authentifizierung auf Zertifikatbasis benötigen, wohingegen derselbe Benutzer, der auf seine Gesundheitsunterlageninformationen zugreift, eine von biometrischer Authentifizierung benötigen mag. Unter vielen Umständen besteht die Art und Weise, wie eine PMI ein derartiges Szenario vielleicht handhabt, darin, dass, wenn der Benutzer zunächst auf die Steuereinbehaltungsinformationen zugreift, das Zertifikat des Benutzers dazu verwendet wird, die Person zu identifizieren. Wenn der Benutzer während der Sitzung einen Zugriff auf seine Gesundheitsunterlagen anfordert, wird er durch die PMI aufgefordert, sich unter Verwendung einer Biometrik erneut zu authentifizieren. Dies wird oft als „Erweiterungsauthentifizierung" („step-up authentication") bezeichnet.
  • Wenn PMIs eine Erweiterungsauthentifizierung in einer Multi-Domänen-Umgebung implementieren, wird es wichtig, über die Domänen hinweg mitzuteilen, wie sich der Benutzer authentifiziert hat, so dass die PMI den Benutzer nicht jedes Mal, wenn eine Authentifizierungsebene benötigt wird, die höher ist als ein bestimmtes Zertifikat erlaubt, den Benutzer erneut auffordert, einen Berechtigungsnachweis zu liefern. Dies bedeutet, dass irgendeine Form von Sitzungsinformationen, im Minimalfall des Authentifizierungstyps, über Domänen hinweg gemeinsam genutzt werden muss.
  • Ein Lösungsansatz bezüglich eines gemeinsamen Nutzens derartiger Sitzungsinformationen kann unter Verwendung einer PDP-zu-PDP-Kommunikation erzielt werden, die später erörtert wird. Der öffentliche Schlüssel in dem Zertifikat des Benutzers kann dazu verwendet werden, den Benutzer eindeutig zu identifizieren. Um die Sitzung des Benutzers eindeutig zu identifizieren (wenn man annimmt, dass die Entität mehrere Sitzungen unterstützt), ist eine eindeutige Sitzungs-ID nötig. Nachdem ein Benutzer unter Verwendung seines Zertifikats authentifiziert wurde, befähigt dies einen PDP in z. B. einer Domäne 1, einen PDP in z. B. einer Domäne 2 nach Sitzungsinformationen über diesen bestimmten Benutzer zu befragen. Der PDP der Domäne 1 kann den PDP der Domäne 2 fragen, wie sich der Benutzer authentifiziert hat. Der PDP der Domäne 1 kann dem PDP der Domäne 2 genügend Vertrauen entgegenbringen, um den Benutzer nicht zu bitten, erneut eine biometrische Authentifizierung vorzulegen, falls die Domäne 2 sagt, dass der Benutzer dies bereits getan hat. Somit fordert PDP1 das Zertifikat (das Sitzungsinformationen umfasst) von PDP2 an.
  • Man geht davon aus, dass jede PMI-Implementierung minimale Zustandsinformationen unterhält.
  • Ein Problem bei dem oben erörterten Lösungsansatz besteht darin, wie der PDP einer bestimmten Domäne bestimmt, mit welchen anderen Domänen (und deren PDPs) er in Bezug auf Sitzungsinformationen kommunizieren sollte. Eine mögliche Lösung dieses Problems besteht darin, Informationen über die Sitzung des Benutzers in dem X.509-Zertifikat (Attributzertifikat) des Benutzers zu speichern. Dem Benutzer würde dann nach jeder erfolgreichen Authentifizierung gegenüber einer PMI ein neues X.509-Attributzertifikat ausgestellt. Dieses Attributzertifikat würde derartige Dinge enthalten wie z. B. wie, wann und wo sich der Benutzer authentifiziert hat. Um jedoch ein derartiges Szenario zu unterstützen, würde dies erfordern, dass der Browser des Benutzers in der Lage ist, Attributzertifikate entsprechend zu verwalten. Beispielsweise würde das Erstellen eines neuen Attributzertifikats durch die PMI auf eine erfolgreiche Authentifizierung hin die Aktualisierung oder Überschreibung jeglicher zuvor ausgestellter Attributzertifikate erfordern.
  • Aktuelle handelsübliche Browser weisen begrenzte Zertifikatverwaltungsfähigkeiten auf. Browser wie z. B. Microsoft Internet Explorer und Netscape Navigator wären nicht in der Lage, eine derartige Verwaltung von X.509-Attributzertifikaten, wie sie oben umrissen wurde, zu unterstützen. Die einzige Möglichkeit, die Unzulänglichkeiten dieser Browser zu umgehen, wäre die Verwendung von clientseitigen Komponenten (d. h. eines Browser-Einsteckmoduls). Die Verwendung derartiger clientseitiger Komponenten ist nicht immer beliebt, da die meisten Endbenutzer nicht bereit sind, Software auf ihren Geräten zu installieren. Jedoch ist das Problem des Installierens einer derartigen Software in den Fällen, bei denen derartige clientseitigen Komponenten in der gesamten Branche verwendet und durch die gesamte Branche unterstützt werden, auf ein Minimum reduziert. Beispielsweise läuft der Adobe Acrobat Reader als Browser-Einsteckmodul, und die meisten Benutzer haben kein Problem damit, ihn zu installieren, da sie wissen, dass PDF-Dokumente in der Branche Standard sind und dass das Acrobat Reader-Einsteckmodul zum Einsehen dieser Dokumente erforderlich ist. Wenn zur Unterstützung einer Authentifizierung und Autorisierung über Domänengrenzen hinweg ein Browser-Einsteckmodul erforderlich wäre, wäre es nur dann akzeptabel, wenn es in der gesamten Branche angenommen würde.
  • Eine Einzelanmeldung auf der Basis einer Öffentlicher-Schlüssel-Verschlüsselung für Web-Browser ist für solche Benutzer problematisch, die nicht immer dasselbe physische Gerät verwenden, oder für Benutzer, die einen Zugriff auf ein physisches Gerät mit anderen gemeinsam nutzen. Es wird eine Möglichkeit benötigt, Schlüsselmaterial und Sicherheitsberechtigungsnachweise auf dynamische Weise herunterzuladen.
  • Das zuvor erwähnte Browser-Einsteckmodul wäre herunterladbar und wäre somit für mobile Benutzer problemlos von jeglichem physischem Gerät aus zu verwenden.
  • 1 zeigt schematisch, wie ein sicherer, über Domänengrenzen hinweg arbeitender Web-Server funktionieren kann.
  • Die Bezugszeichen in 1 beziehen sich auf die folgenden Ereignisse.
    • 1. Ein Benutzer 10 fordert eine geschützte Ressource in einer Domäne 1 an und wird aufgefordert, sich zu authentifizieren.
    • 2. Die PMI 11 in der Domäne 1 authentifiziert den Benutzer 10 und stellt dem Benutzer ein X.509-Attributzertifikat aus, das Sitzungsinformationen in Bezug darauf enthält, wie, wann und wo sich dieser Benutzer 10 authentifiziert hat.
    • 3. Der Browser des Benutzers 10 akzeptiert das neue Zertifikat, wobei er jegliches bereits vorhandene über Domänengrenzen hinweg vorliegende Authentifizierungs-/-Autorisierungszertifikat aktualisiert oder überschreibt.
    • 4. Der Benutzer 10 fordert eine geschützte Ressource in der Domäne 2 an, wobei er das neu erzeugte Attributzertifikat von der Domäne 1 weiterleitet.
    • 5. Die PMI 13 in der Domäne 2 bestimmt auf der Basis der in dem Attributzertifikat des Benutzers gespeicherten Sitzungsinformationen, ob für die angeforderte Ressource eine erneute Authentifizierung oder Erweiterungsauthentifizierung erforderlich ist.
    • 6. Wenn der Benutzer 10 in der Domäne 2 erneut authentifiziert wird, so wird ein neues Attributzertifikat erzeugt und dem Benutzer ausgestellt, andernfalls wird dem Benutzer vertraut, und es wird ihm ohne weitere erneute Authentifizierung Zugriff gewährt.
  • Der obige Lösungsansatz erlegt Browsern und Clients die folgenden Anforderungen auf. Das System muss in der Lage sein, Attributzertifikate zu unterstützen. Ferner muss das System in der Lage sein, ein vorhandenes Zertifikat zu ersetzen oder zu aktualisieren. Ferner ist es möglich, einen Browser oder Client von dem Web-Server zu treiben, um ihn dazu zu bringen, Schlüsselpaare zu erzeugen. Ferner können Clients und Server mehrere Zertifikate austauschen, wenn sie eine SSL-Protokollsitzung (SSL = Secure Socket Layer – Sicherheitssockelschicht) einrichten. Dies wurde in dem ursprünglichen SSL-Entwurf, der 1995 veröffentlicht wurde und der sich lediglich mit serverseitigen Zertifikaten beschäftigte, festgelegt. Er ist in TLS (Transport Level Security – Sicherheit auf der Transportebene), dem IETF-Standardspurprotokoll, das SSL ersetzen sollte, enthalten, siehe Request for Comments (RFC) (Anfrage nach Kommentaren) 2246 (z. B. bei www.ietf.org/rfc/rfc2246.txt) sowohl bezüglich Clients als auch Servern. Es ist nicht klar, wie verbreitet die Unterstützung dieses Merkmals tatsächlich ist. Insbesondere wissen wir einfach nicht, was geschieht, wenn Attributzertifikate in der Abfolge von präsentierten Zertifikaten enthalten sind. Zusätzlich zu dem oben Gesagten werden Servern und PMIs Anforderungen bezüglich dessen auferlegt, Zertifikate auszustellen und minimale Sitzungszustandsinformationen zu unterhalten.
  • Ein Lösungsansatz für den Austausch von Autorisierungsinformationen zwischen Domänen besteht darin, HTTP (hypertext transfer protocol – Hypertextübertragungsprotokoll) als Transport zu verwenden. Dies hat den Vorteil, dass die Protokollinfrastruktur bereits installiert ist, nachdem sie im Gebrauchm für das Internet in großem Umfang implementiert wurde. 2 zeigt ein einfaches Szenario, bei dem der PDP 11 in der Domäne 1 Strategieinformationen von dem PDP 13 in der Domäne 2 einholen muss. Die Art von Informationen, die benötigt werden könnte, könnte in dem Beispiel folgende sein: „Ist Joe für 100 $ gut"? bzw. Kann Joe 100 $ zahlen?" oder „Ist Joe ein Goldcard-Kunde?".
  • Die Bezugszeichen in 2 beziehen sich auf die folgenden Schritte:
    • 1. Anforderung von Joe durch den PDP 11 der Domäne 1 empfangen, der PDP 11 der Domäne 1 benötigt Strategieinformationen von der Domäne 2.
    • 2. Der PEP 15 der Domäne 1 fordert eine Autorisierung von dem PDP 11 der Domäne 1 an.
    • 3. Der PDP 11 der Domäne 1 fordert eine Autorisierung von der Domäne 2 an.
    • 4. Der PEP 17 der Domäne 2 erkennt die Autorisierungsanfrage (an) und leitet sie an den PDP 11 der Domäne 2 weiter.
  • Bei diesem Szenario liefert Joe 10, wenn er sich bei der Domäne 1 registriert, die URLs des Dritten (oder der Dritten), der relevante Informationen über ihn, z. B. seine Kreditwürdigkeit, liefern kann. Alternativ kann der URL in die Geschäftslogik der Domäne 1 eincodiert werden.
  • Dann beginnt Joe 10, die Site in der Domäne 1 zu nutzen, und er kommt an einen Punkt, wo der PDP 11 in der Domäne 1 wissen muss, ob Joe 10 in der Domäne 2 ein „Goldcard"-Kunde ist. Der PDP 11 der Domäne 1 erstellt ein unsigniertes Attributzertifikat, das das „Goldcard"-Attribut enthält, und sendet es unter Verwendung von HTTP an den URL für die Domäne 2. Dies könnte unter Verwendung des HTTP-Postverfahrens, das in der IETF RFC 1945 dokumentiert ist (siehe z. B. www.ietf.org/rfc/rfc1945.txt), implementiert werden, um Nachrichten vom Zertifikatanfragenachrichtformat (CRMF-Nachrichten) (gemäß der Offenbarung in der oben erwähnten RFC 2511) zu führen. Dies weist den Vorteil auf, dass die vorhandene HTTP-Autorisierungsinfrastruktur erneut verwendet werden kann, um zu steuern, wer Autorisierungsanfragen durchführen kann. Autorisierungsdaten können aufgrund von Datenschutzbelangen sensibel sein. Dies impliziert, dass die CRMF-Nachricht ebenfalls authentifiziert werden muss. Zusätzlich muss die CRMF-Nachricht verschlüsselt werden. Dies könnte unter Verwendung von HTTP/SSL (Hypertext Transfer Protocol/SSL) implementiert werden. Jedoch weist dieser Lösungsansatz einige Schwächen auf, wie nachfolgend erörtert wird.
  • Angenommen, Joe weist einen „Goldcard"-Status auf, und der PDP 11 der Domäne 1 ist autorisiert, eine derartige Anfrage in der Domäne 2 durchzuführen, so signiert ansprechend auf die Anfrage der PDP 13 der Domäne 2 das Zertifikat mit einem entsprechenden Gültigkeitszeitraum und sendet es zurück. Der PDP 11 in der Domäne 1 hat nun alle Informationen, die er benötigt, um Joe zu autorisieren, und er kann das Zertifikat auch zum Zweck einer späteren Nutzung speichern (bis es nicht mehr gültig ist). Der PDP 11 muss nun die Gültigkeit von durch Dritte ausgestellten Zertifikaten verwalten. Hierfür könnte OCSP (online certificate status protocol – Online-Zertifikatstatusprotokoll), wie es bei IETF RFC 2560 offenbart ist, verwendet werden (siehe z. B. www.ietf.org/rfc/rfc2560.txt). Alternativ dazu könnten die PDPs 11, 13 CRLs austauschen oder einfach warten, bis ein Zertifikat im Begriff ist, abzulaufen, und ein neues Zertifikat anfordern.
  • Wenn Joe in der Domäne 2 keinen „Goldcard"-Status aufweist, muss der PDP 13 der Domäne 2 eine Fehlermeldung zurücksenden. Wir können nicht von einer direkten SSL-Verbindung zwischen den PDPs 11, 13 ausgehen, und somit ist ein Zurücksenden einer einfachen Fehlermeldung (z. B. verwehrt) ohne Kontext nicht ausreichend. Ein Angreifer könnte eine zuvor aufgeschnappte Verwehrt-Nachricht abspielen, bevor der PDP 13 der Domäne 2 mit einem Zertifikat antwortet, das vielleicht einen Zugriff erlaubt. Auf diese Weise könnte der Angreifer einen Zugriff verwehren. Es gibt mehrere Optionen, eine Fehlermeldung zurückzusenden, einschließlich der folgenden:
    • – ein Zertifikat wird mit dem negierten Attribut, z. B. „Goldcard verwehrt", zurückgesendet. Der Gültigkeitszeitraum dieses Zertifikats könnte verwendet werden, um zu prüfen, dass es sich um eine aktuelle Information handelt;
    • – ein Zertifikat, das ein spezielles „Verwehrt"-Attribut enthält, wird zurückgesendet. Hierbei ist darauf zu achten, dass dies zu dem angeforderten Attribut passt – dies würde durch Verwendung des Hash-Werts der Anfrage als Identifizierer erfolgen.
  • Eine kryptographische Hash-Funktion ist ein Mechanismus eines Erzeugens eines eindeutigen Identifizierers (üblicherweise als Hash-Wert bezeichnet) aus einem Dokument (üblicherweise 128 Bits oder länger). Sie weisen die Eigenschaft auf, dass es extrem unwahrscheinlich ist, dass zwei Dokumente denselben Hash-Wert erzeugen. Außerdem ist es extrem schwierig, das Dokument ausgehend von dem Hash-Wert zu erzeugen. Dies bedeutet, dass es schwierig ist, ein anderes Dokument zu erzeugen, das denselben Hash-Wert aufweist wie ein gegebenes Dokument. Eine oft verwendete Analogie lautet, dass er der Fingerabdruck der Daten ist. In der Literatur sind mehrere hinreichend bekannte Hash-Algorithmen dokumentiert, die jedem Fachmann bekannt sind. Diese umfassen SHA-1 und MD5.
  • Nun sei angenommen, dass der PDP 11 der Domäne 1 ein dynamisches Attribut von Joe 10 bestätigen muss, beispielsweise kann er 100 $ zahlen? Man kann sich an genau dieselben Verfahrensweisen halten, wie sie oben beschrieben wurden. Der Unterschied besteht darin, dass das in dem Zertifikat enthaltene Attribut in diesem Fall „Kauf über 100 $" ist und dass das durch den PDP 13 der Domäne 2 zurückgesendete Zertifikat einen Null aufweisenden oder sehr kurzen Gültigkeitszeitraum aufweist. Man beachte, dass der PDP 13 der Domäne 2, obwohl er vielleicht nicht beabsichtigt, dass dieses Zertifikat wieder verwendet wird, nicht verhindern kann, dass es wieder verwendet wird. Wahrscheinlich ist beim Umgang hiermit besser, sich auf eine Anwendungslogik und soziale oder legale Protokolle zu stützen: Im Fall einer Streitigkeit bekommt die Domäne 1 vielleicht lediglich maximal 100 $ für jedes Zertifikat, das sie produzieren kann, bezahlt.
  • Man beachte, dass eine Konsequenz des Obigen darin besteht, dass der Kommunikationsfluss in Wirklichkeit folgendermaßen verläuft: von dem PDP 11 der Domäne 1 → Web-Server 19 der Domäne 2 → PEP 17 der Domäne 2 → PDP 13 der Domäne 2. Bei dieser Art von Fluss müsste der PEP 15, 17 wissen, wie auf eine Autorisierungsanfrage hin zu agieren ist, die von einem PDP 11, 13 in einer anderen Domäne kommt.
  • Autorisierungsinformationen können als vertraulich erachtet werden. In diesem Fall wäre es nicht wünschenswert, derartige Informationen unverschlüsselt auszutauschen. Das Einfachste wäre, eine HTTP/SSL-Verbindung von dem PDP 11 der Domäne 1 zu dem Web-Server 19 der Domäne 2 herzustellen.
  • Dies würde uns ermöglichen, die vorhandene Autorisierungsinfrastruktur zu nutzen, um zu gewährleisten, dass der PDP 11 der Domäne 1 autorisiert ist, diese Informationen zurückzugewinnen. Beispielsweise möchte ein Kreditkartenunternehmen vielleicht nicht jedem x-Beliebigen erlauben, abzufragen, ob einer seiner Karteninhaber für den Kauf von Waren im Wert von 100 $ gut ist oder eine Goldcard besitzt. Vielmehr möchte das Unternehmen diese Informationen vielleicht lediglich „anerkannten" Verkäufern gegenüber enthüllen.
  • Ferner ist zu beachten, dass Autorisierungsinformationen eventuell vor einer Wiedergabe geschützt werden müssen. Wenn wir es beispielsweise mit dynamischen Sitzungsinformationen zu tun haben, so könnten Angreifer, wenn sie die Autorisierung wiedergeben könnten, in der Lage sein, die Gültigkeit der Sitzung aufrechtzuerhalten, nachdem der Benutzer sie geschlossen hatte.
  • Wir gingen bisher davon aus, dass es nicht möglich oder wünschenswert ist, zwischen PDPs 11, 13 eine direkte TCP-Verbindung zu haben. Kunden möchten den PDP 11, 13 vielleicht nicht einer direkten Verbindung vom Internet aussetzen (noch sich mit der Öffnung zusätzlicher Tore in der Firewall beschäftigen). Deshalb wird eine Kommunikation zwischen PDPs 11, 13 durch Web-Server 19, 21 weitergeleitet. Ungünstigerweise ist dies aufgrund der Beschränkungen von HTTP/SSL keine Ende-zu-Ende-Lösung (PDP zu PDP). Stattdessen vertrauen wird dazwischenliegenden Web-Servern und PEPs 15, 17, dass sie die CRMF-Nachrichten oder -Antworten nicht enthüllen oder manipulieren.
  • Eine Ende-zu-Ende-Lösung erfordert ein Protokoll, das gegenüber SSL ähnliche Garantien liefert, jedoch in einer Mehrsprungumgebung arbeiten können. Hewlett-Packard hat ein derartiges Protokoll-„Sitzungsschichtsicherheit"-Protokoll (SLS-Protokoll – SLS = „session layer security", Sitzungsschichtsicherheit) als Bestandteil seiner e-Sprechen- Plattform entwickelt. Dieses Protokoll ist ein Offene-Quelle-Protokoll. Dieses Protokoll ermöglicht einen sicheren Austausch von Nachrichten zwischen den PDPs 11, 13, die durch dazwischenliegende Web-Server über HTTP weitergeleitet werden.
  • Die Verwendung von CRMF, um Autorisierungsanfragen zu senden, ermöglicht es uns, Autorisierungsanfragen zu bündeln (mehrere Zertifizierungsanfragen können in einer einzigen Nachricht vorgenommen werden). Eine einzige CRMF-Nachricht könnte durch mehrere PDPs 11, 13 geleitet werden, wobei jeder PDP 11, 13 eines oder mehrere der Zertifikate ausstellt. Ein derartiges Szenario ist bei IETF RFC 2905 (siehe z. B. www.ietf.org/rfc/rfc2905.txt) der Internet Society beschrieben. Mehrsprungszenarios wie dieses verwandeln PDPs 11, 13 in Weiterleitungsmaschinen für Autorisierungsanfragen. Dadurch entsteht eine Anfälligkeit für manche der Fallen des Weiterleitens gleichartiger Nachrichtenschleifen. Eine Sprungzählung könnte darin nützlich sein, diese zu vermeiden.
  • Außerdem könnte sich die Sicherheit bei einem Mehrsprungszenario als Herausforderung erweisen. Während die CRMF-Anfrage von dem PDP 11, 13 weitergeleitet wird, müssen einige der folgenden Belange betrachtet werden.
    • – sollten alle PDPs 11, 13 in der Lage sein, alle Elemente der CRMF-Anfrage zu sehen? Vielleicht sollten manche Elemente so verschlüsselt werden, dass lediglich bestimmte PDPs sie sehen können;
    • – wenn Zertifikate zu der Nachricht hinzugefügt werden, wie werden diese vor einer nicht-autorisierten Enthüllung oder vor einer nicht-autorisierten Beseitigung aus der Nachricht geschützt?;
    • – wie werden Routings- bzw. Weiterleitungsinformationen codiert?
  • Wenn zwei Sites eine große Menge an Autorisierungsinformationen austauschen, so stellen sie vielleicht fest, dass das Signieren jedes Zertifikats einen beträchtlichen Leistungszusatzaufwand bedeutet. Sie können wählen, eine sichere Sitzung (unter Verwendung eines entsprechenden Protokolls) einzurichten und unsignierte Zertifikate auszutauschen, wobei sie davon ausgehen, dass diese sicher sind, und sie so behandeln, als ob der andere Beteiligte sie signiert hat. Jedoch liefert dies keinen Schutz vor einer Nicht-Zurückweisung. Ein Beteiligter könnte unsignierte Autorisierungsinformationen senden und später das Senden derselben leugnen. Ein Kompromiss könnte darin bestehen, den Hash-Wert einer Abfolge von unsignierten Zertifikaten zu signieren.
  • Eines der Probleme bei dem oben erläuterten Lösungsansatz bezüglich einer Multi-Domänen-Autorisierung besteht darin, dass Joe nicht vergessen darf, die von ihm bereitgestellten Registrierungsinformationen jedes Mal dann, wenn sie sich ändern, beispielsweise wenn er die Bank wechselt, zu aktualisieren. Dies ist wahrscheinlich nicht allzu beschwerlich, wenn er bei einer einzigen Site registriert ist. Wenn er jedoch bei mehreren Sites registriert ist, vergisst er vielleicht, sie alle rechtzeitig zu aktualisieren.
  • Somit beschreibt das von OASIS online veröffentlichte Dokument HALLAM BAKER P: „Security Assertions Markup Language. Core assertion Architecture – Examples and Explanations" ein Computernetzwerksystem, das in jeder einer Mehrzahl von Domänen eine Privilegsverwaltungsinfrastruktur aufweist, die folgende Merkmale umfasst:
    zumindest einen Strategiedurchsetzungspunkt, an den ein Benutzer eine Anfrage bezüglich eines Zugriffs auf Informationen oder einen Dienst in dem Netzwerk richten kann, wobei diese Informationen oder dieser Dienst eine Autorisierung für einen Zugriff erfordern beziehungsweise erfordert, wobei dem Benutzer durch den Strategiedurchsetzungspunkt Zugriff auf die angefragten Informationen oder den angefragten Dienst gewährt wird, wenn die Anfrage akzeptiert wird; und
    zumindest einen Strategieentscheidungspunkt in dem Computernetzwerk, von dem ein Strategiedurchsetzungspunkt eine Autorisierung anfragen kann, damit der Benutzer auf die Informationen oder den Dienst zugreifen kann, wobei der Strategieentscheidungspunkt dazu angepasst ist, ein oder mehr Attributzertifikate, die dem Benutzer zugeordnet sind, zu verifizieren.
  • Diese Erfindung liefert ein System des oben beschriebenen Typs, gekennzeichnet durch
    zumindest einen Meta-Strategieentscheidungspunkt zum Zweck einer Multi-Domänen-Autorisierung und/oder -Authentifizierung, wobei sich der Meta-Strategieentscheidungspunkt bei einem von dem Benutzer unabhängigen Beteiligten befindet, in dem ein oder mehr Attributzertifikate des Benutzers und/oder Positionsadressen, von denen derartige Attributzertifikate angefragt werden können, vorab gespeichert und an einer dem Benutzer bereitgestellten Positionsadresse zugänglich sind, und mittels dessen die Strategieentscheidungspunkte dahingehend angeordnet sind, aus der Positionsadresse Attributzertifikate herauszusuchen, die benötigt werden, um eine Benutzeranfrage zu bearbeiten.
  • Das System kann eine Mehrzahl von Meta-Strategieentscheidungspunkten umfassen.
  • Das System kann einen dem Strategiedurchsetzungspunkt zugeordneten World-Wide-Web-Server umfassen, wobei die Anfrage des Benutzers an den World-Wide-Web-Server erfolgt.
  • Die Positionsadresse für die Autorisierungs-Authentifizierungsinformationen und/oder weitere Informationen des Benutzers ist vorzugsweise die Adresse des MPDP, am stärksten bevorzugt eine Unteradresse des MPDP, die einzig an den Benutzer vergeben ist.
  • Der MPDP kann ein oder mehrere digitale Zertifikate des Benutzers halten. Der MPDP kann ein oder mehrere Passwörter und/oder Benutzernamen des Benutzers zum Zweck eines Zugriffs auf Informationen oder Dienste halten. Der MPDP kann Schlüsselpaare für digitale Zertifikate halten.
  • Der MPDP kann persönliche Bankangaben und/oder Kreditkarten-/Chargecard-Angaben des Benutzers halten oder kann Adressangaben für einen Computer einer Bank eines Benutzers oder medizinische Informationen/andere persönliche Informationen des Benutzers halten.
  • Die in dem MPDP gehaltenen Informationen können durch den Benutzer verändert werden, beispielsweise um die Informationen zu aktualisieren.
  • Der MPDP kann Informationen in Bezug auf die Position eines anderen Computers, vorzugsweise eines PDP eines Computers, halten, der Autorisierungs-/Authentifizierungsinformationen oder eine Bestätigung von Autorisierungs-/Authentifizierungsinformationen liefern kann.
  • Der MPDP liefert vorteilhafterweise eine einzige Position für Autorisierungs-/Authentifizierungsinformationen eines Benutzers zur Lieferung an andere Computer in einem Computernetzwerk, zusammen mit einer einzigen Position für Online-Berechtigungsnachweise eines Benutzers, z. B. Bankangaben.
  • Der MPDP kann Informationen in Bezug darauf halten, welchen Beteiligten ein Benutzer Autorisierungs- /Authentifizierungsinformationen zu liefern bereit ist, wobei der MPDP durch den Benutzer dahin gehend programmierbar ist, die Beteiligten festzulegen.
  • Der MPDP kann Informationen darüber speichern, welche Dritten auf Informationen, die den Benutzer betreffen, von dem MPDP zugegriffen haben.
  • Der MPDP kann eine Zertifizierungsautorität (CA) sein, die Servern, die Dienst-/Informationsanbieter sein können, digitale Zertifikate ausstellen kann, um diesen Servern eine Zugehörigkeit zu einem Handelsplatz zu verleihen.
  • Der MPDP kann einen Berechtigungsentzug und eine erneute Validierung eines Benutzers erteilen. Der MPDP kann Informationen bezüglich eines Berechtigungsentzugs von einem Dienstanbieter empfangen und kann diese Informationen dazu verwenden, Autorisierungs-/Authentifizierungsinformationen eines Benutzers über den MPDP zu modifizieren.
  • Der oder jeder MPDP oder PDP kann sich hinter einer Firewall befinden.
  • Die Erfindung erstreckt sich auf einen Computer, der dahin gehend programmiert ist, die Funktion des oben beschriebenen MPDP zu erfüllen.
  • Die Erfindung erstreckt sich auf ein aufzeichnungsfähiges Medium, das ein Computerprogramm aufweist, das dahin gehend wirksam ist, die Funktionen des MPDP zu erfüllen.
  • Alle obigen Aspekte können in jeglicher Kombination mit jeglichen der hierin offenbarten Merkmale kombiniert werden.
  • Ein spezifisches Ausführungsbeispiel der vorliegenden Erfindung wird nun beispielhaft und unter Bezugnahme auf die beiliegenden Zeichnungen beschrieben, bei denen:
  • 1 eine schematische Darstellung einer Kommunikation zwischen einem Benutzer ist, der Informationen von zwei getrennten Domänen benötigt;
  • 2 eine schematische Darstellung eines Beispiels einer durch einen Benutzer vorgenommenen Anfrage ist, wobei die Anfrage an eine erste Domäne erfolgt und diese Anfrage Informationen von einer zweiten Domäne benötigt; und
  • 3 ein schematisches Diagramm ist, das eine Implementierung eines Meta-Strategieentscheidungspunktes (MPDP – Meta Policy Decision Point) zeigt, die die Interaktion zeigt, die verwendet wird, wenn ein Benutzer Informationen von einer ersten Domäne anfragt, wobei die Domäne Informationen von weiteren Domänen erfordert, durch eine Verwendung eines MPDP; und
  • 4 ein schematisches Diagramm eines Strategieauswerters, dem Vertrauen entgegengebracht wird, zur Fernauswertung von Zugriffssteuerungsstrategien ist.
  • Um dem Problem zu begegnen, dass sich ein Benutzer 10 mehrere Passwörter merken muss und daran denken muss, mehrere Seiten von Registrierungsinformationen zu aktualisieren, wird ein System zur Verwaltung der Online-Persona einer Person verwendet. Das System wird als Meta-Strategieentscheidungspunkt (MPDP) 12 bezeichnet (siehe 3).
  • Kurz gesagt, wenn sich ein Benutzer 10 bei der Domäne 1 registriert, liefert er den URL seines MPDP 12, statt die URLs (Einheitsressourcenlokatoren) für den Strategieentscheidungspunkt (PDP) seiner Bank zu liefern. Der Benutzer hat den URL seiner Bank bereits bei dem MPDP registriert.
  • Wenn eine erste Domäne, PDP 16 der Domäne 1, Autorisierungsinformationen von einem Dritten benötigt, sendet er/sie eine Zertifikatanfragenachrichtformat-Anfrage (CRMF-Anfrage, CRMF = certificate request message format), die die Attribute, die zu autorisieren sind, enthält, an den MPDP 12, den der Benutzer 10 angab, als er sich bei der Domäne 1 registrierte. Der MPDP 12 des Benutzers kann die Attribute entweder direkt zurücksenden oder kann die Anfrage an den entsprechenden PDP 18, 20 umleiten. Dies ist in 3 gezeigt. Es ist möglich, dass eine Umleitung eventuell keine Option ist, falls die CRMF-Nachricht mehrere Zertifizierungsanfragen enthält.
  • In 3 beziehen sich die Bezugszeichen auf die folgenden Anfragen und den folgenden Vorgang:
    • 1. Anfrage von Joe, der Strategieinformationen von der Domäne 2 benötigt.
    • 2. Der Strategiedurchsetzungspunkt (PEP) 24 der Domäne 1 fragt eine Autorisierung von dem PDP 16 der Domäne 1 an.
    • 3. Der PDP 16 der Domäne 1 fragt eine Autorisierung von dem MPDP 12 an.
    • 4. Der MPDP 12 fragt Autorisierungsinformationen von den Domänen 2 und 3 an.
    • 5. PEPs 26, 28 erkannten eine Anfrage bezüglich Autorisierungsinformationen und leiten sie an ihre jeweiligen PDPs 18, 20 weiter.
  • Das Protokoll zwischen dem PDP 16, 18, 20 und dem MPDP 12 sollte Integrität, Geheimhaltung gewährleisten und eine Authentifizierung beider Beteiligten ermöglichen. Dieses Protokoll sollte dasselbe sein wie das oben beschriebene PDP-zu-PDP-Protokoll – somit erfordert der MPDP 12 keine weitere Standardisierungsaktivität. Es ist wahrscheinlich, dass eine Autorisierung benötigt wird, bevor der MPDP 12 die CRMF-Anfrage akzeptiert. Ein Modell besteht darin, dass der MPDP lediglich Anfragen von PDPs akzeptiert, die der Benutzer ausdrücklich autorisiert hat – siehe unten.
  • Das Hauptkonzept hinter dem MPDP 12 besteht darin, dass er einen Ort liefert, an dem ein Benutzer 10 seine Online-Persona verwaltet. Wenn sich der Benutzer anfänglich bei dem MPDP 12 registriert, stellt er ihm ein Attributzertifikat aus, das seinen persönlichen URL enthält. Anschließend kann er das Zertifikat präsentieren, wenn er seine Identität verwalten möchte. Beispiele dieser Art von Informationen, die der Benutzer eventuell verwaltet, lauten:
    • – wer kann auf welche (Autorisierungs-) Informationen über ihn zugreifen;
    • – wer hat auf welche Autorisierungsinformationen über ihn zugegriffen;
    • – Ändern der URLs für PDPs, die Autorisierungsinformationen über ihn erzeugen.
  • Der MPDP 12 liefert auch einige zusätzliche nützliche Funktionen. Er könnte als Marktregulierungsbehörde agieren, die Zertifikate an Dienstanbieter ausstellt und ihnen dabei eine Zugehörigkeit zum Handelsplatz verleiht. Dienstanbieter könnten diese Zertifikate dazu verwenden, den Austausch von Sitzungsinformationen zu autorisieren, oder sie könnten sie zur Wiedergewinnung von Autorisierungsinformationen nutzen.
  • Eine natürliche Erweiterung besteht darin, dass der MPDP 12 eine sichere Speicherung für Zertifikate und Schlüsselpaare eines Benutzers liefert, so dass sie in jegliche beliebige Vorrichtung, die der Benutzer gerade zufällig benützt, heruntergeladen werden könnten. Innerhalb des IETF arbeitet eine neue Arbeitsgruppe (Securely Available Credentials (SACRED) – siehe z. B. www.ietf.org/html.charters/sacredcharter.html) daran, ein Protokoll zum Unterstützen des Obigen zu standardisieren. Dadurch wird eines der Hauptprobleme gelöst, das mit einer Verwendung von Zertifikaten für eine einzige Anmeldung verbunden ist, das nämlich darin besteht, dass gewisse Probleme entstehen können, wenn der Benutzer nicht immer dieselbe Vorrichtung verwendet oder eine gemeinsam genutzte Vorrichtung verwendet. Die vorliegende Erfindung löst diese Probleme.
  • Der Zusammenschluss der MPDPs 12 erfordert keine weitere Technologie. Die MPDPs 12 enthalten URLs, die auf PDPs oder andere MPDPs zeigen. Das Protokoll, anhand dessen mit PDPs 16, 18, 20 und MPDPs 12 gesprochen wird, ist dasselbe. Das System kann durch Verwendung der Sprache JAVA und XML implementiert werden. Alternativ dazu könnten das Obige und das nachstehend Beschriebene unter Verwendung des SAML-Rahmens implementiert werden, der von der Oasis-Organisation (oben erwähnt) vorgeschlagen wird – siehe z. B. www.oasis-open.org/index.shtml.
  • MPDPs 12 sind ferner in der Lage, auf sinnvolle Weise an einem Berechtigungsentzug und einer erneuten Validierung teilzunehmen. Ein MPDP 12 kann nicht nur Benutzern 10 ermöglichen, zu steuern, wer Zertifikate, die Informationen über sie enthalten, wiedergewinnen kann, der MPDP 12 kann außerdem Angehörige des Marktes davon benachrichtigen, wenn die Berechtigungsnachweise eines Benutzers 10 ungültig werden. Er kann dies beispielsweise tun, wenn Joe seinen „Goldcard"-Status verliert. Dies könnte durch die Verwendung einer Zertifikatentzugsliste (CRL – certificate revocation list) implementiert werden, wie sie in Bezug auf digitale Zertifikate bereits häufig eingesetzt wird.
  • Der MPDP 12 liefert als Dienst auch eine Berechtigungsnachweissammlung, indem er alle Zertifikate für einen einzigen Benutzer bündelt und sie validiert und eine einzige sig nierte Struktur ausstellt. Andere PDPs 16, 18, 20 können sich entscheiden, dem MPDP 12 dahin gehend zu vertrauen, dass er diese Art von Validierung für sie vornimmt. Einer der Vorteile hieraus besteht darin, dass die Verwaltung für die PDPs 16, 18, 20 dadurch leichter wird, da sie sich nicht darum kümmern müssen, Informationen über alle möglichen Ausstellungsbehörden auf dem neuesten Stand zu halten.
  • Der MPDP 12 kann statt lediglich einer Liste von Ressourcen, die für einen Benutzer zugänglich sind, allgemeine Attribute speichern. Die allgemeinen Attribute umfassen z. B. „Goldcard"-Status oder Angaben zur Kredithöchstgrenze usw.
  • Ob ein Beteiligter einem MPDP 12 bezüglich dieses letztgenannten Vorgangs vertraut oder nicht, ist eine Frage der Einschätzung. Es könnte Haftbarkeitsprobleme für den Betreiber des MPDP 12 in Bezug auf diesen Dienst geben. Ferner wäre es notwendig, zu fragen, wie vertrauenswürdig die Quellen der MPDP-Daten sind, es könnte eine Autorisierung von einer Vielzahl von Quellen ansammeln, von denen einige weniger vertrauenswürdig sind als andere. Beispielsweise könnte man sich vorstellen, dass der MPDP 12 in einer großen Organisation das Unternehmensverzeichnis als Informationsquelle verwendet.
  • Wenn sich ein Benutzer 10 bei einem Dienst eines MPDP 12 registriert, liefert er URLs von echten PDPs und möglicherweise andere Profilinformationen wie z. B. Bankkontonummern und dergleichen. Dabei gibt es Geheimhaltungsbelange. Der Benutzer 10 vertraut dem MPDP 12, dass er diese Informationen nicht missbraucht. Eine Lösung dieses Problems besteht darin, dass der Benutzer 10 die Informationen in dem MPDP 12 so verschlüsselt, dass der MPDP 12 sie nicht lesen kann. Als Bestandteil eines Registrierens bei einem Dienst oder Portal liefert der Benutzer 10 den oder die Schlüssel, die benötigt werden, um die Informationen zu entschlüsseln, die er in dem Eintrag des MPDP 12 des Benutzers sehen muss.
  • Eine Folge dieses Lösungsansatzes besteht darin, dass der MPDP 12 nicht mehr transparent wäre. Die PDPs 16, 18, 20 müssten ein anderes Protokoll zum Sprechen mit demselben verwenden.
  • Der vertrauenswürdige Strategieauswerter (TPE – Trusted Policy Evaluator) 30 ist eine vertrauenswürdige (Hardware-) Maschine zur Fernauswertung von Zugriffssteuerungsstrategien. Ein mögliches Szenario ist in 4 gezeigt.
  • Bei diesem Szenario lädt der Dienst S (bei Pfeil 1) seine Strategie für einen Zugriff auf den TPE 30, der sich in einer Domäne 32 eines Benutzers 10 befindet, hoch. Der TPE weist einen Zugriff auf die Berechtigungsnachweise des Benutzers sowie auf die Strategie für einen Zugriff auf S auf. Wenn die Berechtigungsnachweise des Benutzers mit der Strategie im Einklang stehen, stellt der TPE 30 dem Benutzer 10 ein Ticket (Zertifikat) für einen Zugriff auf S aus. S sieht niemals die Berechtigungsnachweise des Benutzers 10 direkt, und der Benutzer 10 sieht niemals die Strategie, die einen Zugriff auf S steuert (niemand in der Domäne des Benutzers sieht sie).
  • Der MPDP 12 könnte dies als Dienst Benutzern 10 und Dienstanbietern anbieten. Für diese Arbeit wäre eine gemeinsame Strategiesprache nötig sowie ein gemeinsames Format für Autorisierungsattribute. Dies bedeutet, dass der MPDP 12 (oder die MPDPs – wahrscheinlich sind es viele) sich darum kümmern müsste, alle Berechtigungsnachweise wiederzugewinnen und in Bezug auf Zugriffssteuerungsstrategien zu prüfen.
  • Ein alternatives Szenario besteht darin, zu argumentieren, dass es bei dem MPDP 12 im Grunde darum geht, wie Autorisierungsattribute zu finden und wiederzugewinnen sind. Bei dem TPE 30 geht es im Grunde darum, wie diese Attribute in Bezug auf Zugriffssteuerungsstrategien zu bewerten sind, während die Attribute und Strategien vertraulich behandelt werden. Der TPE 30 könnte den MPDP 12 dazu verwenden, Autorisierungsattribute wiederzugewinnen. Somit könnte der TPE 30 als separate Maschine neben dem MPDP 12 betrieben werden.
  • Es scheint, dass ein Betreiben eines TPE 30 in oder neben dem MPDP 12 ein natürlicher Entwicklungsschritt ist, nachdem die MPDPs 12 eingesetzt wurden.
  • Die Vorteile eines MPDP 12 für seine Benutzer 10 wären folgende:
    • – Bereitstellung eines Ortes, um Informationen wie z. B. Bankangaben, Informationen über das persönliche Profil usw. zu aktualisieren;
    • – ein Benutzer 10 kann steuern, wer auf Informationen über ihn von dem MPDP 12 zugreifen kann (einschließlich eines Entzugs dieses Privilegs);
    • – der Benutzer 10 kann sehen, wer auf welche Informationen über ihn zugreift;
    • – der Benutzer 10 kann seine digitale Persona (Schlüssel und Zertifikate) in jegliche Vorrichtung herunterladen, dies sorgt für Mobilität;
    • – der Benutzer 10 kann den MPDP 12 dazu verwenden, bestimmte Informationen für zielgerichtete Werbungszwecke (durch den MPDP 12) öffentlich verfügbar zu machen, beispielsweise kann er Informationen senden, die sein Interesse an bestimmten Produkten oder Diensten bekunden;
    • – der MPDP 12 kann sich schließlich zu einem persönlichen Portal entwickeln, das Email-Konten usw. liefert.
  • Es ist möglich, dass eine große Organisation, die vielleicht MPDPs 12 betreibt, um ihre interne PMI-Infrastruktur zu treiben, ihren Angestellten nicht erlaubt, über die gesamte oben erwähnte Steuerung zu verfügen.
  • Für den Betreiber des oben beschriebenen MPDP 12 bestehen die Vorteile darin, dass ein die Form eines Unternehmens aufweisender Betreiber eines MPDP 12 einen Ort zum Verwalten digitaler Identitäten hätte, um die PMIs in seinem Intranet zu treiben, und dass er ferner einen Platz zum Verwalten von Gültigkeits- und Entzugs- bzw. Widerrufsinformationen hätte.
  • Für einen Betreiber eines Internet-MPDP 12 würden die Vorteile darin bestehen, dass aus zielgerichteter Werbung Einkünfte hervorgehen; Gebühren könnten pro Autorisierung von Dienstanbietern verlangt werden, wenn sie den Dienst nutzen, um Autorisierungsinformationen einzuholen. Ferner könnte es Dienstanbietern bezüglich ausgestellter Zertifikate in Rechnung gestellt werden, dass sie Zugehörige des Handelsplatzes sind.
  • Die Vorteile für Dienstanbieter bestehen darin, dass ihren Benutzern eine angenehmere Erfahrung zuteil wird und dass eine bessere Regulierung des Handelsplatzes vorliegt, die durch einen Begriff einer Zugehörigkeit und den verwalteten Entzug und die verwaltete erneute Validierung von Multi-Domänen-Berechtigungsnachweisen geliefert wird.
  • Bei der Implementierung ist der MPDP 12 von gewöhnlichen PDPs 16, 18, 20 solange nicht zu unterscheiden, bis er beginnt, in einer Marktregulierungsrolle zu agieren, und/oder bis er beginnt, für Autorisierungsinformationen Gebühren zu verlangen. Bis zu diesem Zeitpunkt nehmen Dienstanbieter einen PDP wahr, an den sie CRMF-codierte Informationsanfragen senden.
  • Der oben beschriebene MPDP 12 soll als Sicherheits-E-Dienst verwendet werden. Der MPDP 12 erfordert keinen weiteren Standardisierungsaufwand. Er liefert einen einzigen Punkt zur Verwaltung von Gruppen von PMIs, indem er einen Weiterleitungsdienst für Autorisierungsanfragen bereitstellt; er weiß, wo die einem gegebenen Benutzer zugeordneten Autorisierungsinformationen zu bekommen sind. Er liefert einen einzigen Punkt zum Verwalten einer Online-Persona oder von Online-Berechtigungsnachweisen eines Benutzers. Er liefert Marktregulierungsdienste, wobei er Benutzern und Diensten bescheinigt, dass sie Zugehörige des Handelsplatzes sind, und indem er Informationen über den Entzug von Berechtigungen verteilt. Er könnte als Dienst im Intranet sowie im Internet eingesetzt werden. Die Funktion eines MPDP 12 könnte über die Sicherheit hinaus erweitert werden, beispielsweise könnten Benutzerprofilinformationen für zielgerichtete Werbung verkauft werden, vorbehaltlich der Einwilligung von Benutzern.
  • Man plant, dass es nicht einen einzigen MPDP geben wird, sondern dass viele Unternehmen MPDPs ohne zentrale Kontrolle bzw. Steuerung betreiben werden. Die MPDPs können gemäß der obigen Beschreibung zusammenarbeiten. Die Mehrzahl von getrennten MPDPs soll sich der sozialen, legalen und Vertrauenswürdigkeitsprobleme annehmen, die entstehen würden, wenn eine globale Autorität oder eine globale Unternehmung für die Verwaltung sensibler (Sicherheits-) Informationen verantwortlich wäre. Ferner wurde gezeigt, wie der MPDP eine der Barrieren bezüglich einer Verwendung einer Öffentlicher-Schlüssel-Verschlüsselung beseitigen könnte.
  • Im Obigen wurde ein Ziehen-Modell (engl.: pull model) für eine Autorisierung erörtert: ein PDP 16, 18, 20, der Autorisierungsinformationen von anderen PDPs 16, 18, 20 anfragt. Manchmal könnte ein Schieben-Modell (engl.: push model) Vorteile aufweisen, besonders bezüglich der Verwendung derselben Protokolle, um Sitzungsinformationen zu verteilen. Ein Schieben-Modell beinhaltet das Senden von Informa tionen an einen anderen PDP, ohne dass zuerst eine Anfrage von demselben empfangen wurde.

Claims (15)

  1. Ein Computernetzwerksystem, das in jeder einer Mehrzahl von Domänen eine Privilegsverwaltungsinfrastruktur aufweist, die folgende Merkmale umfasst: zumindest einen Strategiedurchsetzungspunkt (24, 26, 28), an den ein Benutzer (10) eine Anfrage bezüglich eines Zugriffs auf Informationen oder einen Dienst in dem Netzwerk richten kann, wobei diese Informationen oder dieser Dienst eine Autorisierung für einen Zugriff erfordern beziehungsweise erfordert, wobei dem Benutzer durch den Strategiedurchsetzungspunkt (24, 26, 28) Zugriff auf die angefragten Informationen oder den angefragten Dienst gewährt wird, wenn die Anfrage akzeptiert wird; und zumindest einen Strategieentscheidungspunkt (16, 18, 20) in dem Computernetzwerk, von dem ein Strategiedurchsetzungspunkt (24, 26, 28) eine Autorisierung anfragen kann, damit der Benutzer auf die Informationen oder den Dienst zugreifen kann, wobei der Strategieentscheidungspunkt (16, 18, 20) dazu angepasst ist, ein oder mehr Attributzertifikate, die dem Benutzer zugeordnet sind, zu verifizieren; wobei das System durch folgendes Merkmal gekennzeichnet ist: zumindest einen Meta-Strategieentscheidungspunkt (12) zum Zweck einer Multi-Domänen-Autorisierung und/oder -Authentifizierung, wobei sich der Meta-Strategieentscheidungspunkt bei einem von dem Benutzer (10) unabhängigen Beteiligten befindet, in dem ein oder mehr Attributzertifikate des Benutzers und/oder Positions adressen, von denen derartige Attributzertifikate angefragt werden können, vorab gespeichert und an einer dem Benutzer bereitgestellten Positionsadresse zugänglich sind, und mittels dessen die Strategieentscheidungspunkte (16, 18, 20) dahingehend angeordnet sind, aus der Positionsadresse Attributzertifikate herauszusuchen, die benötigt werden, um die Benutzeranfrage zu bearbeiten.
  2. Ein System gemäß Anspruch 1, das eine Mehrzahl von Meta-Strategieentscheidungspunkten umfasst.
  3. Ein System gemäß Anspruch 1 oder Anspruch 2, das einen dem Strategiedurchsetzungspunkt zugeordneten World-Wide-Web-Server umfasst, wobei die Anfrage des Benutzers an den World-Wide-Web-Server erfolgt.
  4. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem die dem Benutzer bereitgestellte Positionsadresse eine Unteradresse eines Meta-Strategieentscheidungspunktes ist, wobei die Unteradresse einzig an den Benutzer vergeben ist.
  5. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem der Meta-Strategieentscheidungspunkt persönliche Bankangaben und/oder Kreditkarten-/Chargecard-Angaben des Benutzers hält.
  6. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem der Meta-Strategieentscheidungspunkt Adressangaben für einen Computer einer Bank eines Benutzers oder medizinische Informationen/andere persönliche Informationen des Benutzers hält.
  7. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem die bei dem Meta-Strategieentscheidungspunkt gehaltenen Informationen durch den Benutzer veränderbar sind, um die Informationen zu aktualisieren.
  8. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem der Meta-Strategieentscheidungspunkt Informationen in Bezug darauf hält, welchen Beteiligten der Benutzer Autorisierungs-/Authentifizierungsinformationen zu liefern bereit ist.
  9. Ein System gemäß Anspruch 8, bei dem der Meta-Strategieentscheidungspunkt durch den Benutzer dahingehend programmierbar ist, die Beteiligten festzulegen.
  10. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem der Meta-Strategieentscheidungspunkt Informationen darüber speichert, welche Dritten auf Informationen, die den Benutzer betreffen, von dem Meta-Strategieentscheidungspunkt zugegriffen haben.
  11. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem der Meta-Strategieentscheidungspunkt eine Zertifizierungsautorität (CA) ist, die Servern digitale Zertifikate ausstellt, um diesen Servern eine Zugehörigkeit zu einem Handelsplatz zu verleihen.
  12. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem der Meta-Strategieentscheidungspunkt dazu angeordnet ist, einen Berechtigungsentzug und eine erneute Validierung eines Benutzers zu erteilen.
  13. Ein System gemäß einem der vorhergehenden Ansprüche, bei dem der Meta-Strategieentscheidungspunkt dazu angeordnet ist, Informationen für einen Berechtigungsentzug von einem Dienstanbieter zu empfangen, und diese Informationen dazu verwendet, Autorisierungs-/Authentifizierungsinformationen eines Benutzers an dem Meta-Strategieentscheidungspunkt zu modifizieren.
  14. Ein Computer, der dazu programmiert ist, die Funktion des in einem der Ansprüche 1 bis 13 definierten Meta-Strategieentscheidungspunkt zu erfüllen.
  15. Ein aufzeichnungsfähiges Medium, das ein Computerprogramm aufweist, das dahingehend wirksam ist, die Funktion des in einem der Ansprüche 1 bis 13 definierten Meta-Strategieentscheidungspunkt zu erfüllen.
DE60214632T 2001-07-27 2002-07-26 Multidomäne Berechtigung und Authentifizierung Expired - Lifetime DE60214632T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0118439A GB2378010A (en) 2001-07-27 2001-07-27 Mulit-Domain authorisation and authentication
GB0118439 2001-07-27

Publications (2)

Publication Number Publication Date
DE60214632D1 DE60214632D1 (de) 2006-10-26
DE60214632T2 true DE60214632T2 (de) 2007-04-26

Family

ID=9919372

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60214632T Expired - Lifetime DE60214632T2 (de) 2001-07-27 2002-07-26 Multidomäne Berechtigung und Authentifizierung

Country Status (4)

Country Link
US (1) US7444666B2 (de)
EP (1) EP1280317B1 (de)
DE (1) DE60214632T2 (de)
GB (1) GB2378010A (de)

Families Citing this family (150)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6965999B2 (en) * 1998-05-01 2005-11-15 Microsoft Corporation Intelligent trust management method and system
US7058817B1 (en) * 1999-07-02 2006-06-06 The Chase Manhattan Bank System and method for single sign on process for websites with multiple applications and services
AU3438401A (en) * 1999-11-04 2001-05-14 Jp Morgan Chase Bank System and method for automated financial project management
US7321864B1 (en) * 1999-11-04 2008-01-22 Jpmorgan Chase Bank, N.A. System and method for providing funding approval associated with a project based on a document collection
US10275780B1 (en) 1999-11-24 2019-04-30 Jpmorgan Chase Bank, N.A. Method and apparatus for sending a rebate via electronic mail over the internet
US8571975B1 (en) 1999-11-24 2013-10-29 Jpmorgan Chase Bank, N.A. System and method for sending money via E-mail over the internet
US7426530B1 (en) 2000-06-12 2008-09-16 Jpmorgan Chase Bank, N.A. System and method for providing customers with seamless entry to a remote server
US10185936B2 (en) * 2000-06-22 2019-01-22 Jpmorgan Chase Bank, N.A. Method and system for processing internet payments
US7246263B2 (en) * 2000-09-20 2007-07-17 Jpmorgan Chase Bank System and method for portal infrastructure tracking
US8335855B2 (en) * 2001-09-19 2012-12-18 Jpmorgan Chase Bank, N.A. System and method for portal infrastructure tracking
US8849716B1 (en) 2001-04-20 2014-09-30 Jpmorgan Chase Bank, N.A. System and method for preventing identity theft or misuse by restricting access
WO2002099598A2 (en) 2001-06-07 2002-12-12 First Usa Bank, N.A. System and method for rapid updating of credit information
US7266839B2 (en) * 2001-07-12 2007-09-04 J P Morgan Chase Bank System and method for providing discriminated content to network users
US7103576B2 (en) * 2001-09-21 2006-09-05 First Usa Bank, Na System for providing cardless payment
US20030065789A1 (en) * 2001-09-28 2003-04-03 Gopinath Meghashyam Seamless and authenticated transfer of a user from an e-business website to an affiliated e-business website
WO2003038561A2 (en) * 2001-11-01 2003-05-08 First Usa Bank, N.A. System and method for establishing or modifying an account with user selectable terms
US7987501B2 (en) 2001-12-04 2011-07-26 Jpmorgan Chase Bank, N.A. System and method for single session sign-on
US7318238B2 (en) * 2002-01-14 2008-01-08 Microsoft Corporation Security settings for markup language elements
US7941533B2 (en) * 2002-02-19 2011-05-10 Jpmorgan Chase Bank, N.A. System and method for single sign-on session management without central server
US7246324B2 (en) * 2002-05-23 2007-07-17 Jpmorgan Chase Bank Method and system for data capture with hidden applets
US7143174B2 (en) * 2002-06-12 2006-11-28 The Jpmorgan Chase Bank, N.A. Method and system for delayed cookie transmission in a client-server architecture
US7472171B2 (en) * 2002-06-21 2008-12-30 Jpmorgan Chase Bank, National Association Method and system for determining receipt of a delayed cookie in a client-server architecture
US7596804B2 (en) * 2002-07-02 2009-09-29 Aol Llc Seamless cross-site user authentication status detection and automatic login
US7234065B2 (en) * 2002-09-17 2007-06-19 Jpmorgan Chase Bank System and method for managing data privacy
US20040059941A1 (en) * 2002-09-19 2004-03-25 Myfamily.Com, Inc. Systems and methods for identifying users and providing access to information in a network environment
US7058660B2 (en) 2002-10-02 2006-06-06 Bank One Corporation System and method for network-based project management
US7568218B2 (en) * 2002-10-31 2009-07-28 Microsoft Corporation Selective cross-realm authentication
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
US8301493B2 (en) * 2002-11-05 2012-10-30 Jpmorgan Chase Bank, N.A. System and method for providing incentives to consumers to share information
US20040128559A1 (en) * 2002-12-31 2004-07-01 Zurko Mary Ellen Trusting security attribute authorities that are both cooperative and competitive
US20040153418A1 (en) * 2003-02-05 2004-08-05 Hanweck Gerald Alfred System and method for providing access to data from proprietary tools
US20040187021A1 (en) * 2003-02-10 2004-09-23 Rasanen Juha A. Mobile network having IP multimedia subsystem (IMS) entities and solutions for providing simplification of operations and compatibility between different IMS entities
US7454786B2 (en) * 2003-03-27 2008-11-18 International Business Machines Corporation Method for integrated security roles
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US7275259B2 (en) * 2003-06-18 2007-09-25 Microsoft Corporation System and method for unified sign-on
US20040268139A1 (en) * 2003-06-25 2004-12-30 Microsoft Corporation Systems and methods for declarative client input security screening
EP1649668A1 (de) * 2003-07-11 2006-04-26 Computer Associates Think, Inc. Verteilte richtliniendurchsetzung durch verwendung eines verteilten verzeichnisses
US7395424B2 (en) 2003-07-17 2008-07-01 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
US20050038887A1 (en) * 2003-08-13 2005-02-17 Fernando Cuervo Mechanism to allow dynamic trusted association between PEP partitions and PDPs
US7523484B2 (en) 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
US7299493B1 (en) 2003-09-30 2007-11-20 Novell, Inc. Techniques for dynamically establishing and managing authentication and trust relationships
US8015301B2 (en) * 2003-09-30 2011-09-06 Novell, Inc. Policy and attribute based access to a resource
US7467415B2 (en) * 2003-09-30 2008-12-16 Novell, Inc. Distributed dynamic security for document collaboration
US7316027B2 (en) 2004-02-03 2008-01-01 Novell, Inc. Techniques for dynamically establishing and managing trust relationships
US8190893B2 (en) 2003-10-27 2012-05-29 Jp Morgan Chase Bank Portable security transaction protocol
US20050138408A1 (en) * 2003-12-22 2005-06-23 International Business Machines Corporation Autonomic self-configuring alternate operating system environment which includes personalization
US7433892B2 (en) * 2004-03-05 2008-10-07 International Business Machines Corporation Method, system and program product for imposing policy modification constraints
WO2005101220A1 (ja) 2004-03-30 2005-10-27 Ibm Japan, Ltd. ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体
US7644270B1 (en) * 2004-05-10 2010-01-05 Sprint Communications Company L.P. Web services security architecture
KR100644616B1 (ko) * 2004-06-10 2006-11-10 세종대학교산학협력단 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
US20060036951A1 (en) * 2004-08-12 2006-02-16 International Business Machines Corporation Method of switching internet personas based on URL
US8689276B2 (en) * 2004-08-25 2014-04-01 Adobe Systems Incorporated System and method for controlling access to files
US7877608B2 (en) * 2004-08-27 2011-01-25 At&T Intellectual Property I, L.P. Secure inter-process communications
DE102004045147A1 (de) * 2004-09-17 2006-03-23 Fujitsu Ltd., Kawasaki Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
US7721328B2 (en) * 2004-10-01 2010-05-18 Salesforce.Com Inc. Application identity design
US20060080593A1 (en) * 2004-10-08 2006-04-13 Alexander Hudspith System and method for generating computer-readable documents
US20060190723A1 (en) * 2005-02-18 2006-08-24 Jp Morgan Chase Bank Payload layer security for file transfer
US8898308B2 (en) 2005-03-07 2014-11-25 Microsoft Corporation Methods, systems, and computer-readable mediums for configuring electronic messaging applications
EP1886461B1 (de) * 2005-05-19 2012-09-05 Adrea LLC Verfahren einer domänenautorisationsrichtlinie
US8078740B2 (en) * 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
US7743255B2 (en) * 2005-06-17 2010-06-22 Tanmoy Dutta Trust model for a database management system supporting multiple authorization domains
US8185877B1 (en) 2005-06-22 2012-05-22 Jpmorgan Chase Bank, N.A. System and method for testing applications
US7747597B2 (en) * 2005-06-29 2010-06-29 Microsoft Corporation Security execution context for a database management system
US7590733B2 (en) * 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
US8583926B1 (en) 2005-09-19 2013-11-12 Jpmorgan Chase Bank, N.A. System and method for anti-phishing authentication
US7702900B1 (en) 2005-09-20 2010-04-20 Sprint Communications Company L.P. Web services security test framework and method
US8775586B2 (en) * 2005-09-29 2014-07-08 Avaya Inc. Granting privileges and sharing resources in a telecommunications system
WO2007044500A2 (en) 2005-10-06 2007-04-19 C-Sam, Inc. Transactional services
US20130332343A1 (en) 2005-10-06 2013-12-12 C-Sam, Inc. Multi-tiered, secure mobile transactions ecosystem enabling platform comprising a personalization tier, a service tier, and an enabling tier
US10032160B2 (en) 2005-10-06 2018-07-24 Mastercard Mobile Transactions Solutions, Inc. Isolating distinct service provider widgets within a wallet container
WO2007047798A1 (en) * 2005-10-21 2007-04-26 Sensis Corporation Method and apparatus for providing secure access control for protected information
US7788328B2 (en) * 2005-11-10 2010-08-31 Microsoft Corporation Cross-forest sharing
US8095960B2 (en) * 2005-11-21 2012-01-10 Novell, Inc. Secure synchronization and sharing of secrets
US9118656B2 (en) 2006-01-26 2015-08-25 Imprivata, Inc. Systems and methods for multi-factor authentication
GB0601939D0 (en) * 2006-01-31 2006-03-15 Speed Trap Com Ltd Website monitoring and cookie setting
EP1979839B1 (de) * 2006-01-31 2014-01-08 Speed-trap.com Ltd. Website-überwachung und cookie-einstellung
US20070192500A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US20070192858A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Peer based network access control
US7739744B2 (en) * 2006-03-31 2010-06-15 Novell, Inc. Methods and systems for multifactor authentication
US8250082B2 (en) 2006-06-23 2012-08-21 Microsoft Corporation Cross domain communication
US8185737B2 (en) * 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
KR100860404B1 (ko) * 2006-06-29 2008-09-26 한국전자통신연구원 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
EP2036378B1 (de) * 2006-07-05 2015-02-25 Telefonaktiebolaget LM Ericsson (publ) Richtlinienverwaltung in mehrfachzugangsszenarien
US8151317B2 (en) * 2006-07-07 2012-04-03 International Business Machines Corporation Method and system for policy-based initiation of federation management
US7926089B2 (en) * 2006-07-14 2011-04-12 Hewlett-Packard Development Company, L.P. Router for managing trust relationships
US8793490B1 (en) 2006-07-14 2014-07-29 Jpmorgan Chase Bank, N.A. Systems and methods for multifactor authentication
US20080080714A1 (en) * 2006-09-29 2008-04-03 Charles Rodney Starrett Universal key authority point with key distribution/generation capability to any form of encryption
US8156516B2 (en) * 2007-03-29 2012-04-10 Emc Corporation Virtualized federated role provisioning
US8307404B2 (en) 2007-04-16 2012-11-06 Microsoft Corporation Policy-management infrastructure
US8473735B1 (en) 2007-05-17 2013-06-25 Jpmorgan Chase Systems and methods for managing digital certificates
US7987516B2 (en) * 2007-05-17 2011-07-26 International Business Machines Corporation Software application access method and system
US10019570B2 (en) 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
US20090037266A1 (en) * 2007-08-01 2009-02-05 Benjamin Weiss Method and system for providing relevant coupons to consumers based on financial transaction history and internet browsing activity
US8539568B1 (en) 2007-10-03 2013-09-17 Courion Corporation Identity map creation
US8601482B2 (en) * 2007-11-02 2013-12-03 Microsoft Corporation Delegation metasystem for composite services
US8601562B2 (en) * 2007-12-10 2013-12-03 Courion Corporation Policy enforcement using ESSO
US8112785B1 (en) * 2007-12-31 2012-02-07 Symantec Corporation Systems and methods for administering policies for physical locations
US20090187962A1 (en) * 2008-01-17 2009-07-23 International Business Machines Corporation Methods, devices, and computer program products for policy-driven adaptive multi-factor authentication
US8321682B1 (en) 2008-01-24 2012-11-27 Jpmorgan Chase Bank, N.A. System and method for generating and managing administrator passwords
US8220032B2 (en) * 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
KR100997802B1 (ko) * 2008-10-20 2010-12-01 한국전자통신연구원 정보 단말기의 보안 관리 장치 및 방법
US9986279B2 (en) 2008-11-26 2018-05-29 Free Stream Media Corp. Discovery, access control, and communication with networked services
US8180891B1 (en) 2008-11-26 2012-05-15 Free Stream Media Corp. Discovery, access control, and communication with networked services from within a security sandbox
US9154942B2 (en) 2008-11-26 2015-10-06 Free Stream Media Corp. Zero configuration communication between a browser and a networked media device
US10567823B2 (en) 2008-11-26 2020-02-18 Free Stream Media Corp. Relevant advertisement generation based on a user operating a client device communicatively coupled with a networked media device
US10880340B2 (en) 2008-11-26 2020-12-29 Free Stream Media Corp. Relevancy improvement through targeting of information based on data gathered from a networked device associated with a security sandbox of a client device
US9386356B2 (en) 2008-11-26 2016-07-05 Free Stream Media Corp. Targeting with television audience data across multiple screens
US10631068B2 (en) 2008-11-26 2020-04-21 Free Stream Media Corp. Content exposure attribution based on renderings of related content across multiple devices
US9026668B2 (en) 2012-05-26 2015-05-05 Free Stream Media Corp. Real-time and retargeted advertising on multiple screens of a user watching television
US9961388B2 (en) 2008-11-26 2018-05-01 David Harrison Exposure of public internet protocol addresses in an advertising exchange server to improve relevancy of advertisements
US10977693B2 (en) 2008-11-26 2021-04-13 Free Stream Media Corp. Association of content identifier of audio-visual data with additional data through capture infrastructure
US10334324B2 (en) 2008-11-26 2019-06-25 Free Stream Media Corp. Relevant advertisement generation based on a user operating a client device communicatively coupled with a networked media device
US10419541B2 (en) 2008-11-26 2019-09-17 Free Stream Media Corp. Remotely control devices over a network without authentication or registration
US9519772B2 (en) 2008-11-26 2016-12-13 Free Stream Media Corp. Relevancy improvement through targeting of information based on data gathered from a networked device associated with a security sandbox of a client device
WO2010090664A1 (en) 2009-02-05 2010-08-12 Wwpass Corporation Centralized authentication system with safe private data storage and method
US20100318791A1 (en) * 2009-06-12 2010-12-16 General Instrument Corporation Certificate status information protocol (csip) proxy and responder
US9608826B2 (en) 2009-06-29 2017-03-28 Jpmorgan Chase Bank, N.A. System and method for partner key management
US9817679B1 (en) * 2009-08-10 2017-11-14 Intuit Inc. Technique for collecting financial information
US8904169B2 (en) * 2009-09-15 2014-12-02 Symantec Corporation Just in time trust establishment and propagation
US8566917B2 (en) * 2010-03-19 2013-10-22 Salesforce.Com, Inc. Efficient single sign-on and identity provider configuration and deployment in a database system
US8539234B2 (en) * 2010-03-30 2013-09-17 Salesforce.Com, Inc. Secure client-side communication between multiple domains
WO2011162750A1 (en) * 2010-06-23 2011-12-29 Hewlett-Packard Development Company, L.P. Authorization control
US8539561B2 (en) 2010-08-24 2013-09-17 International Business Machines Corporation Systems and methods to control device endpoint behavior using personae and policies
US9342809B2 (en) 2010-08-25 2016-05-17 International Business Machines Corporation Method and apparatus to populate asset variant relationships in repositories
US20120144501A1 (en) * 2010-12-03 2012-06-07 Salesforce.Com, Inc. Regulating access to protected data resources using upgraded access tokens
US9413750B2 (en) * 2011-02-11 2016-08-09 Oracle International Corporation Facilitating single sign-on (SSO) across multiple browser instance
EP2767110A4 (de) 2011-10-12 2015-01-28 C Sam Inc Plattform für mehrstufige sichere mobile transaktionen
US9094208B2 (en) 2011-12-13 2015-07-28 Sharp Laboratories Of America, Inc. User identity management and authentication in network environments
US9191394B2 (en) * 2012-02-08 2015-11-17 Microsoft Technology Licensing, Llc Protecting user credentials from a computing device
US9230089B2 (en) 2012-07-16 2016-01-05 Ebay Inc. User device security manager
US9268931B2 (en) * 2012-06-12 2016-02-23 Microsoft Technology Licensing, Llc Gate keeper cookie
US9419957B1 (en) 2013-03-15 2016-08-16 Jpmorgan Chase Bank, N.A. Confidence-based authentication
US9667649B1 (en) * 2013-04-18 2017-05-30 Amazon Technologies, Inc. Detecting man-in-the-middle and denial-of-service attacks
BR112015027633A2 (pt) * 2013-04-30 2017-08-22 Token One Pty Ltd Autenticação de usuário
US20150020178A1 (en) * 2013-07-12 2015-01-15 International Business Machines Corporation Using Personalized URL for Advanced Login Security
US9386007B2 (en) * 2013-12-27 2016-07-05 Sap Se Multi-domain applications with authorization and authentication in cloud environment
US10769262B1 (en) * 2014-01-17 2020-09-08 Microstrategy Incorporated Enabling use of credentials
US10148726B1 (en) 2014-01-24 2018-12-04 Jpmorgan Chase Bank, N.A. Initiating operating system commands based on browser cookies
US10248796B2 (en) 2014-07-08 2019-04-02 Sap Se Ensuring compliance regulations in systems with dynamic access control
US9537893B2 (en) * 2014-07-09 2017-01-03 Sap Se Abstract evaluation of access control policies for efficient evaluation of constraints
US9948468B2 (en) * 2014-12-23 2018-04-17 Mcafee, Llc Digital heritage notary
US10205598B2 (en) * 2015-05-03 2019-02-12 Ronald Francis Sulpizio, JR. Temporal key generation and PKI gateway
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10594657B1 (en) * 2016-11-02 2020-03-17 F5 Networks, Inc. Methods for parameterized sub-policy evaluation for fine grain access control during a session and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11354399B2 (en) * 2017-07-17 2022-06-07 Hewlett-Packard Development Company, L.P. Authentication of entitlement certificates
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5818936A (en) * 1996-03-15 1998-10-06 Novell, Inc. System and method for automically authenticating a user in a distributed network system
US5815665A (en) 1996-04-03 1998-09-29 Microsoft Corporation System and method for providing trusted brokering services over a distributed network
US6052785A (en) * 1997-11-21 2000-04-18 International Business Machines Corporation Multiple remote data access security mechanism for multitiered internet computer networks
US6535917B1 (en) * 1998-02-09 2003-03-18 Reuters, Ltd. Market data domain and enterprise system implemented by a master entitlement processor
US6615350B1 (en) * 1998-03-23 2003-09-02 Novell, Inc. Module authentication and binding library extensions
US6519571B1 (en) * 1999-05-27 2003-02-11 Accenture Llp Dynamic customer profile management
US6339423B1 (en) * 1999-08-23 2002-01-15 Entrust, Inc. Multi-domain access control
US6578076B1 (en) * 1999-10-18 2003-06-10 Intel Corporation Policy-based network management system using dynamic policy generation
US6691227B1 (en) * 2000-09-08 2004-02-10 Reefedge, Inc. Location-independent packet routing and secure access in a short-range wireless networking environment
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks

Also Published As

Publication number Publication date
GB0118439D0 (en) 2001-09-19
EP1280317A1 (de) 2003-01-29
EP1280317B1 (de) 2006-09-13
GB2378010A (en) 2003-01-29
US20030023880A1 (en) 2003-01-30
US7444666B2 (en) 2008-10-28
DE60214632D1 (de) 2006-10-26

Similar Documents

Publication Publication Date Title
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
DE60315914T2 (de) Ad hoc Sicherheitszugriff auf Dokumente und Dienste
DE602005001613T2 (de) Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE69830726T2 (de) Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE60312911T2 (de) System für mobile Authentifizierung mit reduzierten Authentifizierungsverzögerung
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
DE60221880T2 (de) System und verfahren zur erzeugung eines gesicherten netzes unter verwendung von beglaubigungen von verfahrensgruppen
DE102008042262B4 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
DE60119857T2 (de) Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen
DE60200093T2 (de) Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk
DE69835416T2 (de) Verfahren zur sicheren ausführung eines fernmeldebefehls
EP2332313B1 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
EP1777907B1 (de) Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
DE10212620A1 (de) Sichere Benutzer- und Datenauthentisierung über ein Kommunikationsnetzwerk
DE10392208T5 (de) Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung
DE102007012749A1 (de) Verfahren und System zur Bereitstellung von Diensten für Endgeräte
DE602005003631T2 (de) Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe
WO2002095637A2 (de) Verfahren zum erbringen von diensten in einem datenübertragungsnetz und zugehörige komponenten
EP3540623B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
DE60311328T2 (de) Verfahren und vorrichtung zur netzwerksicherheit
DE60216056T2 (de) Verfahren und anordnung in einem kommunikationssystem
EP3958527A1 (de) Authentisierung eines kommunikationspartners an einem gerät
DE102021112754A1 (de) Ausstellen eines digitalen verifizierbaren Credentials

Legal Events

Date Code Title Description
8327 Change in the person/name/address of the patent owner

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

8328 Change in the person/name/address of the agent

Representative=s name: SCHOPPE, ZIMMERMANN, STOECKELER & ZINKLER, 82049 PU

8364 No opposition during term of opposition