DE69838262T2 - Allgemeine benutzer-authentifizierung für netz-rechner - Google Patents

Allgemeine benutzer-authentifizierung für netz-rechner Download PDF

Info

Publication number
DE69838262T2
DE69838262T2 DE69838262T DE69838262T DE69838262T2 DE 69838262 T2 DE69838262 T2 DE 69838262T2 DE 69838262 T DE69838262 T DE 69838262T DE 69838262 T DE69838262 T DE 69838262T DE 69838262 T2 DE69838262 T2 DE 69838262T2
Authority
DE
Germany
Prior art keywords
user
user data
program
web
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69838262T
Other languages
English (en)
Other versions
DE69838262D1 (de
Inventor
Patrick Samuel Rochester BOTZ
Thomas Michael Rochester MOSKALIK
Devon Daniel Rochester SNYDER
Carol Jean Rochester WOODBURY
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE69838262D1 publication Critical patent/DE69838262D1/de
Application granted granted Critical
Publication of DE69838262T2 publication Critical patent/DE69838262T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf Netzwerksysteme, die Internet-Technologie nutzen. Insbesondere bezieht sie sich auf die Identitätsprüfung von Benutzern, die Anforderungen für einen Auftrag von Web-Clients aus einsenden.
  • HINTERGRUND DER ERFINDUNG
  • Eine derzeitige Entwicklung bei der Netzwerk-Datenverarbeitung geht dahin, kostengünstigere Arbeitsplatzrechner bereitzustellen, ohne Einbußen bei den Funktionen für die Endbenutzer in Kauf nehmen zu müssen. Derartige Arbeitsplatzrechner werden durch die Nutzung der neuen Internet-Technologien verfügbar, die in einem ständigen Entwicklungsprozess begriffen sind. Insbesondere machen sich neue Netzwerklösungen wie beispielsweise die IBM Network Station eine World-Wide-Web-Umgebung zunutze, in der sich jeder Client-Arbeitsplatzrechner wie ein Web-Client verhält (d.h. einen Web-Browser verwendet), der mit einem HTTP-Server (Hypertext Transfer Protocol) verbunden ist. Obwohl diese neuen Arbeitsplatzrechner in der Regel weniger Rechenleistung als herkömmliche Personalcomputer oder UNIX-Arbeitsplatzrechner aufweisen (und damit geringere Kosten verursachen), erlauben sie eine bessere Nutzung der verschiedenen Anwendungen auf Dateiservern wie z.B. dem IBM AS/400, PC-Servern, RS/6000, System/390 usw.
  • Web-basierte Anwendungen auf Web-Servern werden über CGI-Programme (Common Gateway Interface, Allgemeine Verbindungsrechner-Schnittstelle), Skripts oder eine andere Art von Anwendungsprogrammschnittstelle (Application Program Interface, API) wie beispielsweise NetscapeTM NSAP, MicrosoftTM ISAPI oder die Java Servlet API realisiert. Vergleichbar dem Abrufen von HTML-Dokumenten (Hypertext Markup Language, Hypertext-Übertragungsprotokoll) auf Web-Servern von Web-Clients aus, stellen CGI-Programme die Mittel bereit, mit denen Web-Clients Anwendungen in Echtzeit auf Web-Servern ausführen und dynamisch erzeugte Ausgabedaten empfangen können. CGI-Programme werden immer dann ausgeführt, wenn ein Client eine URL (Uniform Resource Locator, Verweisadresse) anfordert, die dem CGI-Programm entspricht. Dabei unterliegt die Ausführung von CGI-Programmen der Einschränkung, dass ein Web-basierter Server üblicherweise nicht verfolgt bzw. weiß, welcher Benutzer ein gegebenes CGI-Programm ausführt. Dies kann insbesondere dann zu Sicherheitsproblemen führen, wenn sich Programme abhängig vom Berechtigungsniveau des Benutzers unterschiedlich verhalten sollen.
  • Somit ist es bei derartigen Systemen, die Internet-Technologien nutzen, besonders wichtig, ein Mittel für die Überprüfung der Benutzeridentität bereitzustellen. Im Gegensatz zu bestehenden Netzwerktechnologie zur Emulation von Datenstationen ist es Web-basierten Systemen nicht notwendigerweise bekannt bzw. ist es für sie nicht unbedingt von Belang, wer der Benutzer ist, der ein bestimmtes CGI-Programm ausführen möchte, oder wie das Berechtigungsniveau des Benutzers lautet. Wie bereits erwähnt, kann dies eine ernsthafte Einschränkung darstellen, wenn es sich bei einem Endbenutzer um einen Systemadministrator handelt und wenn der Endbenutzer Systemkonfigurierungsfunktionen von einem entfernten Arbeitsplatzrechner aus durchführen muss. So sollte ein Systemadministrator beispielsweise in der Lage sein, nicht standardmäßige Bildschirmanzeigen aufzurufen und geschützte Programme auszuführen, die allgemeinen Benutzern nicht zugänglich sind. (So sollten z.B. bestimmte Menüoptionen wie die Option für die Bearbeitung einer Kennwortdatei nicht jedem Benutzer zur Verfügung stehen.)
  • Obwohl CGI-Programme je nach Benutzerprofil oder -kennung, das bzw. die dem Betriebssystem zur Verfügung gestellt wurde, bekanntermaßen verschieden ausgeführt werden können, lässt sich dies offensichtlich nur dann realisieren, wenn das Betriebssystem die Identität (und womöglich das Kennwort) des Endbenutzers kennt. Wie weiter oben bereits erwähnt, stellen die meisten Web-basierten Dateiserver kein integriertes System für die Erkennung von Web-Benutzern bereit. Obwohl es prinzipiell möglich ist, bei jeder Ausführung eines Teilsatzes von CGI-Programmen eine Benutzerkennung und ein Benutzerkennwort abzufragen, würde ein derartiges System einen viel zu großen Mehraufwand verursachen, da die Anzahl der Programme, die eine Überprüfung von Benutzerkennung oder -profil benötigen, extrem groß sein kann. Daher ist einem System der Vorzug zu geben, das bei jeder Ausführung eines CGI-Programms erfasst, wer der Benutzer ist, und das dann entsprechend handelt.
  • Bekanntermaßen beinhalten einige HTTP-Server Prozesse für die Durchführung sehr beschränkter Formen der grundlegenden Überprüfung der Benutzeridentität. Bei diesen Servern muss der Web-Benutzer bei jeder Weiterleitung des Client an einen neuen Server ein Kennwort eingeben. Angesichts der Anzahl von Servern, die zu einem Web-basierten Netzwerk gehören können, stellt dies eine ernsthafte Einschränkung dar. Somit wird ein System benötigt, das eine Überprüfung der Benutzeridentität in einem vollständigen Web-basierten Netzwerk bereitstellen kann.
  • WO 96/30846 beschreibt eine Client-Server-Entwicklungsplattform für die verteilte Veröffentlichung und Verwaltung von Hypermedien über weiträumige Netze (Wide Area Networks, WANs), welche die Entwicklung von formulargestützten (d.h. nicht auf CGI basierenden) interaktiven Dienstleistungen unterstützt. Dabei können die Veröffentlicher der Medien den Zugriff auf ihre WAN-Dokumente steuern.
  • T. Berners-Lee und D. Connolly beschreiben in „HyperText Markup Language- 2.0", IETF, Seiten 1 bis 77, November 1995, XP015007650, The Network Working Group's Request for Comments 1866, den IETF-Standard für die Erzeugung von plattformunabhängigen Hypertext-Dokumenten.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Es ist eine Aufgabe der Erfindung, eine Methode bereitzustellen, mit der sich die obigen Nachteile vermeiden lassen.
  • Gemäß der vorliegenden Erfindung wird ein Netzwerk nach Anspruch 1 bereitgestellt.
  • Weiterhin wird gemäß der Erfindung ein System nach Nebenanspruch 16 bereitgestellt.
  • Des Weiteren wird gemäß der Erfindung ein Verfahren nach Nebenanspruch 22 bereitgestellt.
  • Gemäß einem ersten Aspekt beinhaltet die Erfindung ein Netzwerksystem mit einem Web-Server wie beispielsweise einem HTTP-Server, mindestens einem Web-Client, der einen Mechanismus für das Senden von Benutzerdaten zusammen mit CGI-Ausführungsanforderungen an den Web-Server sowie mindestens ein sich selbst ausweisendes CGI-Programm beinhaltet, das ursprünglich in einem Standard-Benutzermodus oder mit einer Standard-Benutzerkennung ausführbar ist. Das CGI-Programm beinhaltet ein Mittel für die Überprüfung der Benutzerdaten, ein Mittel für die Ermittlung des Berechtigungsniveaus des Benutzers, ein Mittel, mit dem veranlasst wird, dass das Programm in einem nicht standardmäßigen Modus ausgeführt wird, ein Mittel für das Speichern und Zurückgeben von Benutzerdaten an den Web-Client sowie ein Mittel für das Zurücksetzen des CGI-Programms in einen Standard-Benutzermodus.
  • Gemäß einem zweiten Aspekt stellt die vorliegende Erfindung ein Verfahren für die Überprüfung der Benutzeridentität bereit, das die Schritte des Bereitstellens eines Web-Servers beinhaltet, der während einer einmaligen Anmeldeprozedur zunächst Benutzerdaten von dem Endbenutzer erhält. Danach speichert der Web-Server Kennwortdaten für den Benutzer in einem Sicherheitsobjekt auf dem Web-Server sowie andere Benutzerdaten in versteckten Variablen und sendet die Benutzerdaten in einem HTML-Formular zurück an den Web-Client. Alle darauffolgenden CGI-Ausführungsanforderungen von dem Web-Client beinhalten die folgenden Schritte: Zunächst werden die Benutzerdaten mit der Ausführungsanforderung in den versteckten HTML-Variablen an den Web-Server zurückgegeben.
  • Danach wird in einem Standard-Benutzermodus bzw. mit einer Standard-Benutzerkennung mit der Ausführung des CGI-Programms auf dem Web-Server begonnen. Daraufhin werden die mit der Ausführungsanforderung empfangenen Benutzerdaten überprüft, und das Berechtigungsniveau des Benutzers wird ermittelt. Dabei kann das Berechtigungsniveau des Benutzers ermittelt werden, indem Kennwortdaten aus dem Sicherheitsobjekt erhalten werden. Als Nächstes gibt das CGI-Programm die notwendigen Systemaufrufe aus, um zu veranlassen, dass es in einem nicht standardmäßigen Benutzermodus bzw. mit einer nicht standardmäßigen Benutzerkennung ausgeführt wird. Danach werden die Benutzerdaten wiederum in versteckten HTML-Variablen gespeichert und zusammen mit den Ergebnissen der Ausführung des CGI-Programms an den Web-Client zurückgegeben. Schließlich gibt das CGI-Programm die notwendigen Systemaufrufe aus, um zu veranlassen, dass es wieder in seinem Standard-Benutzermodus ausgeführt wird.
  • Ergänzend sollte klar sein, dass eine bevorzugte Ausführungsform der vorliegenden Erfindung ein Netzwerksystem mit vielen HTTP-Servern beinhaltet, von denen jeder ein generisches oder allgemeines Protokoll für die Realisierung des hier beschriebenen Systems und Verfahrens für die Überprüfung der Benutzeridentität umfasst.
  • Obwohl sich diese Beschreibung auf eine Realisierung unter Verwendung von CGI-Programmen konzentriert, sollte schließlich ersichtlich sein, dass die hier beschriebenen Systeme und Verfahren auch beliebige andere Programmtypen beinhalten könnten, die von einem Web-Server aufgerufen werden. So könnte das hier beschriebene CGI-Programm durch eine beliebige Web-Server-API wie z.B. NetscapeTM NSAP, MicrosoftTM ISAPI oder die Java Servlet API bzw. durch eine beliebige andere Art von Web-Programmschnittstelle ersetzt werden.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt ein Blockschaubild eines Web-basierten Client-Server-Netzwerks gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung.
  • 2 zeigt Pseudocode eines CGI-Programms und zugehöriger Teilroutinen gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung.
  • 3 zeigt ein Ablaufdiagramm eines Verfahrens für die Realisierung der Benutzeridentitätsprüfung gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM
  • Mit Blick auf die Figuren zeigt 1 ein Web-basiertes Client-Server-Netzwerk 10. Es beinhaltet einen Dateiserver 16, der einen HTTP-Server 18, eine Vielzahl von CGI-Programmen 20, ein Sicherheitsobjekt 22 und eine Speichereinheit 21 beinhaltet. Ebenfalls abgebildet ist ein Web-Client 12, der einen Web-Browser 14 ausführt, welcher mit dem Dateiserver 16 Daten austauscht. Die Datenübertragungsleitung zwischen dem Web-Client 12 und dem Dateiserver 16 kann mit einer beliebigen Art von Übertragungsleitung, z.B. einer Ethernet-Verbindung, einer Leitung mit verdrilltem Aderpaar, einer Token-Ring-Leitung, Telefonleitungen, Lichtwellenleiter, einem Koaxialkabel und/oder einem Funk-Übertragungssystem, realisiert werden.
  • Das Netzwerksystem 10 arbeitet wie folgt: Wenn ein Web-Client 12 ein CGI-Programm auf dem Dateiserver 16 ausführen möchte, sendet er eine CGI-Ausführungsanforderung 24 an den HTTP-Server 18. Gemäß dieser Erfindung und in Übereinstimmung mit der Ausführungsanforderung wird auch ein Satz von Benutzerdaten 29 gesendet, der eine Benutzerkennung 13, eine IP-Adresse (Internetprotokoll-Adresse) 15 und eine (unten beschriebene) Administrator-Benutzer-Markierung 17 beinhaltet. Dabei sollte klar sein, dass zusätzliche Benutzerdaten wie ein verschlüsseltes Kennwort, eine Teilenummer, Zeit- und Datumsangaben usw. ebenfalls enthalten sein können.
  • Wenn der HTTP-Server die Anforderung empfängt, startet er die Ausführung eines bestimmten CGI-Programms 20 mit einem Standard-Ausführungsprofil oder -modus 25. Das CGI-Programm, mit dessen Ausführung im Standardmodus dann begonnen wird, startet eine Reihe von neuartigen Prozeduraufrufen, welche die Überprüfung der Benutzeridentität durchführen. Die Prozeduren beinhalten einen Mechanismus für die Überprüfung der Benutzerdaten, einen Mechanismus für die Ermittlung des Berechtigungsniveaus des Benutzers, einen Mechanismus, mit dem veranlasst wird, dass das CGI-Programm mit einem nicht standardmäßigen Benutzerprofil 23 ausgeführt wird, einen Mechanismen für die Rückgabe der Benutzerdaten an den Web-Client (üblicherweise mit den Ergebnissen der CGI-Ausführung) sowie einen Mechanismus, mit dem der CGI-Auftrag wieder in seinen Standardmodus bzw. auf sein Standardprofil 25 zurückgesetzt wird. Der Code für die Ausführung dieser Aufgaben kann in den eigentlichen CGI-Programmen 20 enthalten oder an anderer Stelle innerhalb bzw. in der Nähe des Dateiservers 16 gespeichert sein.
  • Die Überprüfung der Benutzeridentität und/oder der Benutzerberechtigung erfolgt somit 1) durch das Bereitstellen eines transparenten Mittels, mit dem Benutzerdaten immer dann, wenn ein CGI-Programm ausgeführt wird, fortlaufend von dem Web-Browser 14 erhalten und an ihn zurückgegeben werden können; und 2) durch das Bereitstellen eines Mittels, mit dem CGI-Programme ihr eigenes Ausführungsprofil innerhalb des Server-Betriebssystems dynamisch andern können.
  • Bei dieser bevorzugten Ausführungsform werden die Benutzerdaten 29 zwischen dem Client 12 und dem Server 16 übertragen, wobei bei jeder CGI-Ausführung verborgene Codes oder versteckte HTML-Variablen zum Einsatz kommen. Es folgt ein Beispiel für einen HTML-Codeabschnitt, der versteckte Variablen innerhalb eines HTML-Formulars verwendet.
  • Figure 00090001
  • Versteckte Variablen bilden einen definierten Mechanismus der HTML-Programmiersprache, der als Teil eines Formulars 19 in einem HTML-Dokument enthalten sein kann. Versteckte Variablen innerhalb eines Formulars sind Variablen, die für den Benutzer unter normalen Anzeigebedingungen transparent sind. Formulare werden in Web-basierten HTML-Anwendungen als Verfahren für die Übertragung von Daten zwischen einem Client 12 und einem Server 16 verwendet. (Auf diese Weise können Formulare verwendet werden, um Daten von einem Benutzer zu erhalten und an einen Server zurückzugeben, z.B. wenn ein Benutzer zur Eingabe von Daten aufgefordert wird oder um Daten an einen Benutzer zurückzugeben, z.B. wenn ein HTML-Dokument von einem CGI-Programm an den Browser zurückgegeben wird.) In diesem Fall dienen versteckte Variablen dazu, eine (in NSM_TAG_NSMUSER gespeicherte) Benutzerkennung „DEVON", eine (in NSM_TAG_NSMAPADDR gespeicherte) IP-Adresse 9.5.100.109, einen (in NSM_TAG_NSMADMIN gespeicherten) Administrator-Benutzer-Wert „YES" und eine Vielzahl von zusätzlichen Daten zu speichern.
  • Wie weiter oben bereits erwähnt, werden die Benutzerdaten 29 während jeder CGI-Ausführungsanforderung 24 auf den Server 24 hochgeladen und mit den Ergebnissen eines jeden CGI-Programms 26 an den Client zurückgegeben. Da der Server die Benutzerdaten empfängt und sofort zurückgibt, entfällt in der Regel die mit der langfristigen Speicherung und Verwaltung von Benutzerdaten 29 auf dem Server verbundene Problematik. Auf der Client-Seite kann der Web-Browser 14 jedoch ein Mittel für das Speichern und Verwalten der Benutzerdaten 29 beinhalten, bis die nächste CGI-Anforderung durch den Browser 14 erfolgt.
  • Dabei versteht sich, dass ein beliebiges alternatives Mittel ebenfalls im Geltungsumfang dieser Erfindung liegt, obwohl die bevorzugte Ausführungsform die Übertragung der Benutzerdaten 29 mit versteckten HTML-Variablen verarbeitet. So kann die Übertragung von Benutzerdaten beispielsweise auch mit Cookies 11 erfolgen. Cookies sind kleine Dateneinheiten, die von einem Web-Server 16 an den Browser 14 gesendet werden. Ein Cookie 11 kann beliebige Datentypen enthalten. Cookies 11 werden an den Server 16 zurückgegeben, wenn sich die betreffende Sprungmarke (oder URL) in der Cookie-Datenbank befindet.
  • Obwohl bei der bevorzugten Ausführungsform kein Kennwort im eigentlichen Sinne zwischen dem Client und dem Server übertragen wird, stellt dies eine mögliche alternative Ausführungsform dieser Erfindung dar und wird weiter unten beschrieben. Bei der bevorzugten Ausführungsform wird zunächst ein Benutzerkennwort 27 erhalten und in einem Sicherheitsobjekt 22 gespeichert. (Dies findet üblicherweise im Rahmen einer anfänglichen Anmeldeprozedur statt.) Auf der Grundlage der Benutzerdaten 29 kann ein Server 16 das Kennwort 27 dann später problemlos von dem Sicherheitsobjekt 22 zurückerhalten. Diese Ausführung sorgt für eine erhöhte Sicherheit, da die Kennwortdaten nie zurück an den Browser 14 übertragen werden.
  • Wie bereits erwähnt, beinhaltet eine alternative Ausführungsform ein verschlüsseltes Kennwort in den Benutzerdaten 29, das von dem Client 12 an den Server 16 übertragen werden kann. Auf diese Weise kann auf das Sicherheitsobjekt 22 auf dem Server 16 verzichtet werden, da jedes Kennwort während jeder CGI-Ausführungsanforderung 24 direkt an den Server 16 übertragen wird. Obwohl dieses System unter Umständen weniger sicher ist, lässt es sich in einem Netzwerk mit einer großen Anzahl von Servern (z.B. dem World Wide Web) leichter realisieren.
  • Der Mechanismus, mit dem die Berechtigung des Endbenutzers ermittelt wird, wird realisiert, indem zunächst anhand der Benutzerkennung 13 das Kennwort 27 des Benutzers von dem Sicherheitsobjekt 22 abgerufen wird. Dieser Abrufprozess kann durch einen Systemaufruf aus dem CGI-Programm 20 heraus veranlasst werden. Mit dem Kennwort 27 kann das CGI-Programm veranlassen, dass das Betriebssystem das Programm mit einem nicht standardmäßigen Benutzerprofil 23 ausführt. Auf diese Weise kann sich das CGI-Programm je nach Berechtigung des Endbenutzers unterschiedlich verhalten und somit die Berechtigungsprüfung für das System bereitstellen. Das Besondere an dieser Ausführungsform ist der Einschluss eines Mechanismus oder Systemaufrufs aus dem CGI-Programm 20 heraus, wodurch das CGI-Programm 20 veranlasst wird, den Modus bzw. das Profil von einem Standardprofil 25 auf ein spezifisches Benutzerprofil 23 umzustellen.
  • Die CGI-Programme 20 und das Sicherheitsobjekt 22 werden üblicherweise auf oder in der Nähe des Servers in der Speichereinheit 21 gespeichert. Dabei kann die Speichereinheit eine beliebige bekannte Einheit sein, die in der Lag ist, computerlesbare Daten zu speichern. Zu Beispielen für Speichereinheiten zählen CD-ROMS, magnetische Disketten, Bänder, Übertragungsmedien usw.
  • Weiter verbessert wird dieses System und Verfahren durch die Übertragung einer Administrator-Benutzer-Markierung 17, die festlegt, welche Bildschirmanzeigen dem Endbenutzer bereitgestellt werden. Wenn der Benutzer beispielsweise ein Systemadministrator ist, können Bildschirmanzeigen auf den Client-Arbeitsplatzrechner heruntergeladen werden, die Menüoptionen enthalten, welche anderen Benutzern nicht zur Verfügung stehen. Wenn der Endbenutzer ein Systemadministrator ist, können mit seinem spezifischen, nicht standardmäßigen Benutzerprofil 23 im Anschluss daran relevante CGI-Programme 20 ausgeführt werden (wodurch z.B. die Fernkonfiguration ermöglicht wird). Nachdem die Programmfunktionen ausgeführt wurden, wird der CGI-Auftrag wieder auf die Ausführung mit dem Standardprofil 25 zurückgesetzt.
  • Mit Blick auf 2 wird ein Beispiel für ein CGI-Programm 28 (bei dem es sich um eine Instanz der CGI-Programme 20 auf dem Dateiserver 16 aus 1 handeln kann) in Pseudocode mit den zugehörigen Prozeduren SWAP_PROFILE 30 und SWAP_BACK 32 gezeigt. Dabei ist ersichtlich, dass jedes CGI-Programm 28 zunächst aus den versteckten Variablen eines HTML-Formulars 19 Benutzerdaten 29 erhält, die in der Regel eine Benutzerkennung 13 und IP-Adresse 15 beinhalten. Danach ruft das Programm 28 die Prozedur SWAP_PROFILE 30 auf, die das Benutzerkennwort 27 aus dem Sicherheitsobjekt 22 abruft und anschließend veranlasst, dass das CGI-Programm 28 mit einem nicht standardmäßigen Benutzerprofil 23 ausgeführt wird. Nachdem der Hauptteil des CGI-Programms 28 abgeschlossen wurde, werden die Benutzerkennung und die IP-Adresse gemeinsam mit einer Administrator-Benutzer-Kennung 17 in den nächsten versteckten HTML-Variablen in einem HTML-Formular gespeichert und mit den Ergebnissen der Ausführung an den Benutzer zurückgegeben. Auf diese Weise wird ein fortlaufendes Mittel für die Übertragung von Benutzerdaten zwischen dem Client 12 und dem Server 16 bereitgestellt. Schließlich wird die Teilroutine SWAP_BACK 32 aufgerufen, die den Auftrag wieder auf einen Standard-Benutzermodus 25 zurücksetzt. Dabei sollte klar sein, dass diese Prozeduren problemlos verallgemeinert werden können, um eine allgemeine Identitätsprüfung von Benutzern für ein beliebiges Dateiserversystem bereitzustellen.
  • Mit Blick auf 3 zeigt ein Ablaufdiagramm ein typisches Realisierungsverfahren. Zunächst werden Benutzerdaten 29 (z.B. Benutzerkennung, Kennwort, IP-Adresse) während einer Anmeldeprozedur an einem Client-Standort 12 von einem Endbenutzer erhalten. Diese Daten 29 werden anschließend an den Web-Server 16 weitergeleitet. Dabei ist festzuhalten, dass dieser Vorgang nur ein einziges Mal notwendig ist. Als Nächstes wird das Kennwort 27 in einem Sicherheitsobjekt 22 gespeichert, und die übrigen Benutzerdaten werden in versteckte Variablen in ein Formular aufgenommen und zur künftigen Verwendung an den Web-Client 12 zurückgeschickt. Ab diesem Punkt beinhalten sämtliche darauffolgenden CGI-Ausführungsanforderungen durch einen Web-Client 12 die folgenden Schritte: Zunächst veranlasst der Web-Client 12, dass die Benutzerdaten 29 mit etwaigen CGI-Ausführungsanforderungen 24 an den Web-Server zurückgegeben werden. Nachdem eine Ausführungsanforderung empfangen wurde, veranlasst der HTTP-Server 18, dass das CGI-Programm in einem Standard-Benutzermodus 25 auf dem Web-Server 25 gestartet wird. Das CGI-Programm 20 gibt daraufhin die notwendigen Systemaufrufe aus, um die mit der Ausführungsanforderung 24 empfangenen Benutzerdaten zu überprüfen. Aus diesen Daten 29 ermittelt das CGI-Programm 20 das Berechtigungsniveau des Benutzers. Danach gibt das CGI-Programm 20 zusätzliche Systemaufrufe aus, um zu veranlassen, dass der HTTP-Server 18 das CGI-Programm gegebenenfalls in einem nicht standardmäßigen Benutzermodus 23 ausführt (d.h., das Programm wird mit einer aktuellen Benutzerkennung oder einem aktuellen Benutzerprofil ausgeführt). Im Anschluss daran veranlasst das CGI-Programm 20, dass die Benutzerdaten 29 wieder in versteckten HTML-Variablen gespeichert und mit den Ergebnissen der Ausführung 26 an den Web-Client zurückgegeben werden. Schließlich gibt das CGI-Programm die entsprechenden Systemaufrufe aus, um zu veranlassen, dass der HTTP-Server das CGI-Programm wieder in den Standardmodus 25 zurücksetzt. Wie erwähnt, wird diese Abfolge von Schritten danach für jede weitere folgende CGI-Ausführungsanforderung 24 wiederholt.
  • Obwohl sich die oben erläuterten Ausführungsformen in erster Linie auf ein herkömmliches Web-basiertes Netzwerk beziehen, sollte klar sein, dass diese Erfindung über sehr viel umfangreichere Anwendungen verfügt. So kann diese Erfindung beispielsweise ein Gebäudesicherheitssystem abdecken, bei dem jeder Client (z.B. eine Gebäudealarmvorrichtung) mit einem Server (z.B. einer Sicherheitsfirma) vernetzt sein kann. Sie kann Web-TV-Anwendungen, Verbraucherelektronik und Fahrzeugsysteme abdecken. So können elektronische Einheiten z.B. so konfiguriert werden, dass sie automatisch Web-Seiten auf Garantie-Informationen durchsuchen. Fahrzeuge können ein Netzwerk anwählen, um Navigationsdaten zu erhalten. Auf diese Weise kann eine beliebige Client-Server-Umgebung, für die eine Berechtigungsprüfung benötigt wird, in den Geltungsumfang dieser Erfindung fallen.
  • Darüber hinaus sollte deutlich sein, dass – obwohl HTML die branchenweit anerkannte Standard-Skriptsprache für Web-Systeme ist – hier auch jede andere bekannte oder künftige Skriptsprache verwendet werden könnte. Schließlich wurden die hier beschriebenen Ausführungsformen und Beispiele dargelegt, um die vorliegende Erfindung und ihre praktische Anwendung optimal erläutern zu können und um dem Fachmann die Herstellung und Verwendung der Erfindung zu ermöglichen. Dabei dürfte der Fachmann jedoch auch erkennen, dass die obige Beschreibung und die obigen Beispiele lediglich zu Darstellungs- und Beispielzwecken gedacht sind. Die hier enthaltene Beschreibung ist nicht als vollständig bzw. als Beschränkung der Erfindung auf die hier beschriebene Form zu verstehen. Vielmehr sind mit Blick auf die obigen Lehren eine Vielzahl von Abänderungen und Varianten möglich, ohne dass dadurch vom Sinn und Geltungsumfang der folgenden Ansprüche abgewichen würde.
  • VORZÜGE
  • Ein Vorzug der vorliegenden Erfindung besteht somit darin, eine Identitätsprüfung von Benutzern in einer Web-basierten Netzwerkumgebung bereitzustellen.
  • Ein weiterer Vorzug der vorliegenden Erfindung besteht in der Verwendung eines HTML-Formulars, um Benutzerdaten zwischen dem Client und dem Server zu übertragen, wodurch die Aufforderung zur Eingabe von Benutzerdaten überflüssig ist.
  • Ein weiterer Vorzug der vorliegenden Erfindung besteht in der Bereitstellung eines Mittels, mit dem CGI-Programme ausgehend von einem Berechtigungsniveau eines Endbenutzers Ausführungsarten in einer HTTP-Server-Umgebung ändern können.
  • Ein weiterer Vorzug der vorliegenden Erfindung besteht in der Bereitstellung eines Sicherheitsobjekts auf einem Web-Server für die vorübergehende Speicherung von Kennwortdaten für Benutzer, die in dem Netzwerk angemeldet sind.

Claims (29)

  1. Netzwerk (10) mit einem System für die Identitätsprüfung von Benutzern, wobei das Netzwerk Folgendes umfasst: einen Web-Server (16) mit einem Betriebssystem, das für die Ausführung von Programmen in einer Vielzahl von Benutzermodi geeignet ist, und dadurch gekennzeichnet, dass das Netzwerk weiter Folgendes umfasst: einen Web-Client (12) mit einem Mechanismus, der für das Senden von Benutzerdaten (29) und Programmausführungsanforderungen (24) an den Web-Server geeignet ist; und wobei der Web-Server (16) über ein Programmmittel verfügt, das so gestaltet ist, dass es anfänglich in einem Standard-Benutzermodus ausführbar ist, wobei das Programmmittel über einen ersten Mechanismus, der für die Überprüfung der Benutzerdaten geeignet ist, um so ein Berechtigungsniveau des Web-Client-Benutzers zu ermitteln, sowie über einen zweiten Mechanismus verfügt, der so gestaltet ist, dass das Berechtigungsniveau des Web-Client-Benutzers verwendet wird, um das Betriebssystem auf dem Web-Server dynamisch dazu zu veranlassen, das Programm in einem nicht standardmäßigen Benutzermodus auszuführen.
  2. Netzwerk nach Anspruch 1, wobei die Benutzerdaten eine Benutzerkennung (13) beinhalten.
  3. Netzwerk nach Anspruch 1, wobei die Benutzerdaten eine IP-Adresse (15) beinhalten.
  4. Netzwerk nach Anspruch 1, wobei das Programm eine Allgemeine Verbindungsrechner-Schnittstelle umfasst.
  5. Netzwerk nach Anspruch 1, wobei das Programm weiter einen dritten Mechanismus beinhaltet, der das Betriebssystem auf dem Web-Server dynamisch dazu veranlasst, das Programm wieder in dem Standard-Benutzermodus auszuführen.
  6. Netzwerk nach Anspruch 1, das weiter ein System umfasst, das die Benutzerdaten während einer Anmeldeprozedur von einem Benutzer erhält.
  7. Netzwerk nach Anspruch 1, wobei das Programm weiter ein System beinhaltet, das einen neuen Satz von Benutzerdaten an den Web-Client zurückgibt.
  8. Netzwerk nach Anspruch 1, wobei das Programm eine Web-Server-Anwendungsprogrammschnittstelle beinhaltet.
  9. Netzwerk nach Anspruch 1, wobei die Benutzerdaten in versteckten html-Variablen gespeichert werden.
  10. Netzwerk nach Anspruch 1, wobei die Benutzerdaten in einem Cookie gespeichert werden.
  11. Netzwerk nach Anspruch 1, wobei die Benutzerdaten für den Benutzer transparent sind.
  12. Programmprodukt, das Folgendes umfasst: ein aufzeichnungsfähiges Medium; und ein Programm, das auf dem aufzeichnungsfähigen Medium aufgezeichnet wurde und das anfänglich von einem Betriebssystem, das auf einem Web-basierten Server (16) ausgeführt wird, in einem Standard-Benutzermodus ausgeführt werden kann, das dadurch gekennzeichnet ist, dass das Programm einen ersten Mechanismus, der die von einem Web-Client (12) gesendeten Benutzerdaten (29) überprüft, um ein Berechtigungsniveau des Web-Client-Benutzers zu ermitteln, sowie einen zweiten Mechanismus umfasst, der das Berechtigungsniveau des Web-Client-Benutzers verwendet, um das Betriebssystem dazu zu veranlassen, das Programm in einem nicht standardmäßigen Benutzermodus auszuführen.
  13. Programmprodukt nach Anspruch 12, das weiter einen Mechanismus umfasst, der Benutzerdaten in versteckten Variablen in einem zweiten html-Formular speichert und der die Benutzerdaten an den Web-Client zurückgibt.
  14. Programmprodukt nach Anspruch 12, das weiter einen Mechanismus umfasst, der ausgehend von den Benutzerdaten ein Benutzerkennwort von dem Server abruft.
  15. Programmprodukt nach Anspruch 12, wobei die Benutzerdaten eine Benutzerkennung und eine IP-Adresse beinhalten.
  16. System (16) für die Erkennung und Reaktion auf ein Berechtigungsniveau eines Benutzers in einem Web-basierten Netzwerk (10), wobei das System Folgendes umfasst: einen Mechanismus (18), der für das Senden und Empfangen von Benutzerdaten (29) zwischen einem Web-Client (12) und einem Web-Server (18) geeignet ist; einen Web-Server (16), der über ein Programmmittel verfügt, das so gestaltet ist, dass es anfänglich in einem Standard-Benutzermodus ausführbar ist; dadurch gekennzeichnet, dass der Web-Server (16) weiter Folgendes umfasst: ein erstes Teilroutinen-Mittel, das so gestaltet ist, dass es von jedem der Programmmittel aufgerufen werden kann, wobei das erste Teilroutinen-Mittel für die Überprüfung der Benutzerdaten geeignet ist, die von dem Web-Client gesendet wurden; ein zweites Teilroutinen-Mittel, das so gestaltet ist, dass es von jedem der Programmmittel aufgerufen werden kann, wobei das zweite Teilroutinen-Mittel so gestaltet ist, dass es die Benutzerdaten dazu verwendet, um das Berechtigungsniveau des Benutzers auf dem Web-Client zu ermitteln; und ein drittes Teilroutinen-Mittel, das so gestaltet ist, dass es von jedem der Programmmittel aufgerufen werden kann, wobei das dritte Teilroutinen-Mittel so gestaltet ist, dass es das Berechtigungsniveau des Benutzers verwendet, um zu veranlassen, dass jedes der Programme in einem nicht standardmäßigen Benutzermodus ausgeführt wird.
  17. System nach Anspruch 16, das weiter eine vierte Teilroutine umfasst, die von jedem der Programme aufgerufen werden kann, wobei die vierte Teilroutine veranlasst, dass jedes der Programme wieder in einem Standard-Benutzermodus auf dem Web-Server ausgeführt wird.
  18. System nach Anspruch 16, wobei die zweite Teilroutine einen Mechanismus beinhaltet, der ein Kennwort für den Benutzer von dem Web-Server abruft, um so das Berechtigungsniveau des Benutzers zu ermitteln.
  19. System nach Anspruch 16, wobei das Kennwort während einer Anmeldeprozedur in einem Sicherheitsobjekt auf dem Web-Server gespeichert wird.
  20. System nach Anspruch 16, wobei die Benutzerdaten in versteckten html-Variablen gespeichert werden.
  21. System nach Anspruch 16, wobei die Benutzerdaten in einem Cookie gespeichert werden.
  22. Verfahren für die automatische Identitätsprüfung eines Benutzers in einem Web-basierten Netzwerk während der Ausführung von Programmen auf einem Web-Server beim Senden von einem Web-Client, das die folgenden Schritte umfasst: Senden von Benutzerdaten an den Web-Client, sobald ein Programm nicht mehr auf dem Web-Server ausgeführt wird; Zurückgeben der Benutzerdaten von dem Web-Client an den Web-Server während einer neuen Ausführungsanforderung durch den Web-Client; Starten eines neuen Programms in einem Standard-Benutzermodus auf dem Web-Server; Überprüfen der mit der Ausführungsanforderung empfangenen Benutzerdaten; Ermitteln eines Berechtigungsniveaus des Benutzers auf Grundlage der Benutzerdaten; und Verwenden des Berechtigungsniveaus, um zu veranlassen, dass das neue Programm in einem nicht standardmäßigen Benutzermodus ausgeführt wird.
  23. Verfahren nach Anspruch 22, das weiter den einmaligen Anfangsschritt des Erfassens von Benutzerdaten während einer Anmeldeprozedur umfasst.
  24. Verfahren nach Anspruch 22, das weiter den Schritt des Speicherns eines Benutzerkennworts in einem Sicherheitsobjekt auf dem Web-Server während der Anmelde-Prozedur umfasst.
  25. Verfahren nach Anspruch 22, das weiter die Schritte des Zurückgebens eines neuen Satzes von Benutzerdaten an den Web-Client umfasst.
  26. Verfahren nach Anspruch 22, das weiter den Schritt umfasst, mit dem veranlasst wird, dass das neue Programm wieder in dem Standard-Benutzermodus ausgeführt wird.
  27. Verfahren nach Anspruch 24, wobei der Schritt des Ermittelns des Berechtigungsniveaus des Benutzers auf Grundlage der Benutzerdaten den Schritt des Verwendens der Benutzerdaten beinhaltet, um das in dem Sicherheitsobjekt gespeicherte Kennwort abzurufen.
  28. Verfahren nach Anspruch 24, wobei die Benutzerdaten in versteckten html-Variablen gespeichert werden.
  29. Verfahren nach Anspruch 24, wobei die Benutzerdaten in einem Cookie gespeichert werden.
DE69838262T 1997-02-14 1998-01-06 Allgemeine benutzer-authentifizierung für netz-rechner Expired - Lifetime DE69838262T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US800485 1997-02-14
US08/800,485 US5908469A (en) 1997-02-14 1997-02-14 Generic user authentication for network computers
PCT/US1998/000450 WO1998038759A2 (en) 1997-02-14 1998-01-06 Generic user authentication for network computers

Publications (2)

Publication Number Publication Date
DE69838262D1 DE69838262D1 (de) 2007-09-27
DE69838262T2 true DE69838262T2 (de) 2008-05-15

Family

ID=25178518

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69838262T Expired - Lifetime DE69838262T2 (de) 1997-02-14 1998-01-06 Allgemeine benutzer-authentifizierung für netz-rechner

Country Status (7)

Country Link
US (1) US5908469A (de)
EP (1) EP1055164B1 (de)
JP (1) JP2000508153A (de)
KR (1) KR100331525B1 (de)
DE (1) DE69838262T2 (de)
TW (1) TW498278B (de)
WO (1) WO1998038759A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202016001794U1 (de) 2016-03-21 2016-04-07 KC Management AG 2-Faktor-Authentifizierung mittels Mutual Factor

Families Citing this family (141)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5774670A (en) * 1995-10-06 1998-06-30 Netscape Communications Corporation Persistent client state in a hypertext transfer protocol based client-server system
US6070185A (en) * 1997-05-02 2000-05-30 Lucent Technologies Inc. Technique for obtaining information and services over a communication network
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6571290B2 (en) * 1997-06-19 2003-05-27 Mymail, Inc. Method and apparatus for providing fungible intercourse over a network
US8516132B2 (en) 1997-06-19 2013-08-20 Mymail, Ltd. Method of accessing a selected network
US6049877A (en) * 1997-07-16 2000-04-11 International Business Machines Corporation Systems, methods and computer program products for authorizing common gateway interface application requests
JP3922482B2 (ja) * 1997-10-14 2007-05-30 ソニー株式会社 情報処理装置および方法
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6012098A (en) * 1998-02-23 2000-01-04 International Business Machines Corp. Servlet pairing for isolation of the retrieval and rendering of data
JP3645085B2 (ja) * 1998-03-12 2005-05-11 富士通株式会社 端末操作システム及び記録媒体
US6098093A (en) * 1998-03-19 2000-08-01 International Business Machines Corp. Maintaining sessions in a clustered server environment
US6154751A (en) * 1998-05-14 2000-11-28 International Business Machines Corporation Method for executing a user-requested CGI program in a new authentication context while protecting operation of a default web server program
US6211874B1 (en) 1998-05-15 2001-04-03 International Business Machines Corporation Method for parallel selection of URL's
US6314573B1 (en) * 1998-05-29 2001-11-06 Diva Systems Corporation Method and apparatus for providing subscription-on-demand services for an interactive information distribution system
WO1999062261A1 (en) * 1998-05-29 1999-12-02 Diva Systems Corporation Interactive information distribution system and method
EP1086560A1 (de) 1998-06-19 2001-03-28 Netsafe, Inc. Verfahren und einrichtung zur herstellung von verbindungen über ein netz
US6237030B1 (en) * 1998-06-30 2001-05-22 International Business Machines Corporation Method for extracting hyperlinks from a display document and automatically retrieving and displaying multiple subordinate documents of the display document
US6212564B1 (en) * 1998-07-01 2001-04-03 International Business Machines Corporation Distributed application launcher for optimizing desktops based on client characteristics information
US6308275B1 (en) * 1998-07-10 2001-10-23 At Home Corporation Web host providing for secure execution of CGI programs and method of doing the same
US6389543B1 (en) * 1998-08-31 2002-05-14 International Business Machines Corporation System and method for command routing and execution in a multiprocessing system
US6311278B1 (en) * 1998-09-09 2001-10-30 Sanctum Ltd. Method and system for extracting application protocol characteristics
US6470453B1 (en) * 1998-09-17 2002-10-22 Cisco Technology, Inc. Validating connections to a network system
US6289378B1 (en) * 1998-10-20 2001-09-11 Triactive Technologies, L.L.C. Web browser remote computer management system
US7765279B1 (en) 1998-10-28 2010-07-27 Verticalone Corporation System and method for scheduling harvesting of personal information
US20070255810A1 (en) * 1998-10-30 2007-11-01 Shuster Brian M Modifying apparent browser operation
US6389458B2 (en) * 1998-10-30 2002-05-14 Ideaflood, Inc. Method, apparatus and system for directing access to content on a computer network
US8069407B1 (en) 1998-12-08 2011-11-29 Yodlee.Com, Inc. Method and apparatus for detecting changes in websites and reporting results to web developers for navigation template repair purposes
US7085997B1 (en) 1998-12-08 2006-08-01 Yodlee.Com Network-based bookmark management and web-summary system
US7672879B1 (en) 1998-12-08 2010-03-02 Yodlee.Com, Inc. Interactive activity interface for managing personal data and performing transactions over a data packet network
US6654814B1 (en) 1999-01-26 2003-11-25 International Business Machines Corporation Systems, methods and computer program products for dynamic placement of web content tailoring
WO2000062136A1 (en) * 1999-04-09 2000-10-19 Steen Henry B Iii Remote data access and system control
US7146505B1 (en) * 1999-06-01 2006-12-05 America Online, Inc. Secure data exchange between date processing systems
US7752535B2 (en) 1999-06-01 2010-07-06 Yodlec.com, Inc. Categorization of summarized information
US8065155B1 (en) 1999-06-10 2011-11-22 Gazdzinski Robert F Adaptive advertising apparatus and methods
US6442696B1 (en) * 1999-10-05 2002-08-27 Authoriszor, Inc. System and method for extensible positive client identification
GB2355904B (en) * 1999-10-05 2002-03-20 Authoriszor Ltd System and method for managing pseudo uniform resource locators in a security system
GB2355905B (en) * 1999-10-05 2002-03-20 Authoriszor Ltd System and method for providing security for a network site
US6763379B1 (en) 1999-10-14 2004-07-13 Ideaflood, Inc. System, apparatus and method for presenting and displaying content on a wide area network
US7401115B1 (en) 2000-10-23 2008-07-15 Aol Llc Processing selected browser requests
EP1232425B1 (de) * 1999-10-25 2008-06-18 Nternational Business Machines Corporation Verfahren und system zur prüfung der anforderung eines klienten
US7293281B1 (en) * 1999-10-25 2007-11-06 Watchfire Corporation Method and system for verifying a client request
GB2357226B (en) 1999-12-08 2003-07-16 Hewlett Packard Co Security protocol
GB2357227B (en) 1999-12-08 2003-12-17 Hewlett Packard Co Security protocol
GB2357228B (en) 1999-12-08 2003-07-09 Hewlett Packard Co Method and apparatus for discovering a trust chain imparting a required attribute to a subject
GB2357225B (en) 1999-12-08 2003-07-16 Hewlett Packard Co Electronic certificate
GB2357229B (en) 1999-12-08 2004-03-17 Hewlett Packard Co Security protocol
US7099956B2 (en) * 2000-01-31 2006-08-29 Ideaflood, Inc. Method and apparatus for conducting domain name service
US20030018578A1 (en) * 2000-02-03 2003-01-23 Schultz Roger Stephen Product registration using an electronically read serial number
US20010029484A1 (en) * 2000-02-03 2001-10-11 Schultz R. Steven Electronic transaction receipt system and method
US7742989B2 (en) * 2000-02-03 2010-06-22 Afterbot, Inc. Digital receipt generation from information electronically read from product
US7552087B2 (en) * 2000-02-03 2009-06-23 Afterbot, Inc. Electronic transaction receipt system and method
WO2001065330A2 (en) * 2000-03-03 2001-09-07 Sanctum Ltd. System for determining web application vulnerabilities
IL135571A0 (en) * 2000-04-10 2001-05-20 Doron Adler Minimal invasive surgery imaging system
US20020019800A1 (en) * 2000-05-16 2002-02-14 Ideaflood, Inc. Method and apparatus for transacting divisible property
US6823463B1 (en) * 2000-05-16 2004-11-23 International Business Machines Corporation Method for providing security to a computer on a computer network
US7478434B1 (en) 2000-05-31 2009-01-13 International Business Machines Corporation Authentication and authorization protocol for secure web-based access to a protected resource
US7124203B2 (en) * 2000-07-10 2006-10-17 Oracle International Corporation Selective cache flushing in identity and access management systems
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
US7464162B2 (en) * 2000-07-10 2008-12-09 Oracle International Corporation Systems and methods for testing whether access to a resource is authorized based on access information
US7249369B2 (en) * 2000-07-10 2007-07-24 Oracle International Corporation Post data processing
US7007092B2 (en) * 2000-10-05 2006-02-28 Juniper Networks, Inc. Connection management system and method
US7263550B1 (en) 2000-10-10 2007-08-28 Juniper Networks, Inc. Agent-based event-driven web server architecture
US7185364B2 (en) * 2001-03-21 2007-02-27 Oracle International Corporation Access system interface
KR100422327B1 (ko) * 2001-03-09 2004-03-10 문지환 사용자 브라우저의 실시간 제어 시스템 및 방법
US7882555B2 (en) * 2001-03-16 2011-02-01 Kavado, Inc. Application layer security method and system
US7313822B2 (en) * 2001-03-16 2007-12-25 Protegrity Corporation Application-layer security method and system
US7110858B2 (en) * 2001-04-09 2006-09-19 Koninklijke Philips Electronics N.V. Object identification uses prediction of data in distributed network
WO2002097551A2 (en) * 2001-05-30 2002-12-05 Endress+Hauser Wetzer Gmbh+Co. Kg Paperless recorder for tamper-proof recording of product process information
US7231661B1 (en) * 2001-06-21 2007-06-12 Oracle International Corporation Authorization services with external authentication
US6973625B1 (en) 2001-07-06 2005-12-06 Convergys Cmg Utah Method for creating browser-based user interface applications using a framework
US8346848B2 (en) * 2001-08-16 2013-01-01 Juniper Networks, Inc. System and method for maintaining statefulness during client-server interactions
US7472091B2 (en) * 2001-10-03 2008-12-30 Accenture Global Services Gmbh Virtual customer database
US7441016B2 (en) * 2001-10-03 2008-10-21 Accenture Global Services Gmbh Service authorizer
US7225256B2 (en) * 2001-11-30 2007-05-29 Oracle International Corporation Impersonation in an access system
US6993596B2 (en) * 2001-12-19 2006-01-31 International Business Machines Corporation System and method for user enrollment in an e-community
JP3931710B2 (ja) * 2002-03-22 2007-06-20 ヤマハ株式会社 サーバ装置、通信端末装置、配信システム及び配信プログラム
US7430590B1 (en) 2002-04-17 2008-09-30 Everdream Corporation Method and system to manage services for multiple managed computer systems
IL149583A0 (en) * 2002-05-09 2003-07-06 Kavado Israel Ltd Method for automatic setting and updating of a security policy
US7356711B1 (en) 2002-05-30 2008-04-08 Microsoft Corporation Secure registration
US7801945B1 (en) 2002-07-03 2010-09-21 Sprint Spectrum L.P. Method and system for inserting web content through intermediation between a content server and a client station
US7568002B1 (en) 2002-07-03 2009-07-28 Sprint Spectrum L.P. Method and system for embellishing web content during transmission between a content server and a client station
US7360210B1 (en) 2002-07-03 2008-04-15 Sprint Spectrum L.P. Method and system for dynamically varying intermediation functions in a communication path between a content server and a client station
US7448066B2 (en) * 2002-09-19 2008-11-04 International Business Machines Corporation Application server object-level security for distributed computing domains
US7793342B1 (en) 2002-10-15 2010-09-07 Novell, Inc. Single sign-on with basic authentication for a transparent proxy
US20040123112A1 (en) * 2002-12-19 2004-06-24 International Business Machines Corporation Security object providing encryption scheme and key
US7114006B2 (en) * 2003-01-06 2006-09-26 International Business Machines Corporation Apparatus and method to remotely change IP address of server
US20040148372A1 (en) * 2003-01-27 2004-07-29 Campbell David N Web-browser based heterogeneous systems management tool
US7627902B1 (en) 2003-02-20 2009-12-01 Dell Marketing Usa, L.P. Method of managing a software item on a managed computer system
US7275259B2 (en) 2003-06-18 2007-09-25 Microsoft Corporation System and method for unified sign-on
US7392536B2 (en) * 2003-06-18 2008-06-24 Microsoft Corporation System and method for unified sign-on
US7251732B2 (en) * 2003-06-18 2007-07-31 Microsoft Corporation Password synchronization in a sign-on management system
US7356697B2 (en) * 2003-06-20 2008-04-08 International Business Machines Corporation System and method for authentication to an application
TWI237484B (en) * 2003-07-25 2005-08-01 Hon Hai Prec Ind Co Ltd Systems and method of authentication network
US7370195B2 (en) * 2003-09-22 2008-05-06 Microsoft Corporation Moving principals across security boundaries without service interruption
US7904487B2 (en) 2003-10-09 2011-03-08 Oracle International Corporation Translating data access requests
US7882132B2 (en) 2003-10-09 2011-02-01 Oracle International Corporation Support for RDBMS in LDAP system
US8234373B1 (en) 2003-10-27 2012-07-31 Sprint Spectrum L.P. Method and system for managing payment for web content based on size of the web content
US7427024B1 (en) 2003-12-17 2008-09-23 Gazdzinski Mark J Chattel management apparatus and methods
KR100830725B1 (ko) * 2004-01-07 2008-05-20 노키아 코포레이션 인증 방법
US7752322B2 (en) * 2004-03-19 2010-07-06 Sony Corporation System for ubiquitous network presence and access without cookies
US9172679B1 (en) 2004-04-14 2015-10-27 Sprint Spectrum L.P. Secure intermediation system and method
US7853782B1 (en) 2004-04-14 2010-12-14 Sprint Spectrum L.P. Secure intermediation system and method
US20060005234A1 (en) * 2004-06-30 2006-01-05 International Business Machines Corporation Method and apparatus for handling custom token propagation without Java serialization
US7634803B2 (en) * 2004-06-30 2009-12-15 International Business Machines Corporation Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework
US20060181026A1 (en) * 2005-02-14 2006-08-17 Wong Jacob Y Chinese poker deck
ATE550423T1 (de) * 2004-08-30 2012-04-15 Theregen Inc Dreidimensionale kultivierte gewebe und deren verwendung
US7512973B1 (en) 2004-09-08 2009-03-31 Sprint Spectrum L.P. Wireless-access-provider intermediation to facilliate digital rights management for third party hosted content
US7630974B2 (en) 2004-09-28 2009-12-08 Oracle International Corporation Multi-language support for enterprise identity and access management
US7600011B1 (en) 2004-11-04 2009-10-06 Sprint Spectrum L.P. Use of a domain name server to direct web communications to an intermediation platform
US8051484B2 (en) 2005-06-14 2011-11-01 Imperva, Inc. Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
US8688813B2 (en) 2006-01-11 2014-04-01 Oracle International Corporation Using identity/resource profile and directory enablers to support identity management
US7606752B2 (en) 2006-09-07 2009-10-20 Yodlee Inc. Host exchange in bill paying services
US8127235B2 (en) 2007-11-30 2012-02-28 International Business Machines Corporation Automatic increasing of capacity of a virtual space in a virtual world
US20090164919A1 (en) 2007-12-24 2009-06-25 Cary Lee Bates Generating data for managing encounters in a virtual world environment
US8726358B2 (en) * 2008-04-14 2014-05-13 Microsoft Corporation Identity ownership migration
US8261334B2 (en) 2008-04-25 2012-09-04 Yodlee Inc. System for performing web authentication of a user by proxy
ATE522074T1 (de) * 2008-11-28 2011-09-15 Alcatel Lucent Verfahren zur bereitstellung von zugriff auf einen webserver, webserver und computer
US8555359B2 (en) 2009-02-26 2013-10-08 Yodlee, Inc. System and methods for automatically accessing a web site on behalf of a client
CN102013991B (zh) 2009-09-08 2012-10-17 华为技术有限公司 自动扩容的方法、管理设备及系统
JP2014042095A (ja) * 2012-08-21 2014-03-06 Yokogawa Electric Corp 認証システム及び方法
US10137376B2 (en) 2012-12-31 2018-11-27 Activision Publishing, Inc. System and method for creating and streaming augmented game sessions
KR101439928B1 (ko) * 2013-03-27 2014-09-12 주식회사 다음커뮤니케이션 사용자 단말의 식별 정보와 웹 브라우저의 식별 정보의 매칭 방법 및 서비스 제공 서버
US9595023B1 (en) 2014-05-21 2017-03-14 Plaid Technologies, Inc. System and method for facilitating programmatic verification of transactions
US9449346B1 (en) 2014-05-21 2016-09-20 Plaid Technologies, Inc. System and method for programmatically accessing financial data
CN104283876A (zh) * 2014-09-29 2015-01-14 小米科技有限责任公司 操作授权方法及装置
US9892249B2 (en) 2014-09-29 2018-02-13 Xiaomi Inc. Methods and devices for authorizing operation
US11351466B2 (en) 2014-12-05 2022-06-07 Activision Publishing, Ing. System and method for customizing a replay of one or more game events in a video game
KR102465572B1 (ko) * 2015-06-02 2022-11-11 주식회사 콤피아 앱 표시 방법
AU2016321166B2 (en) 2015-09-08 2021-07-15 Plaid Inc. Secure permissioning of access to user accounts, including secure deauthorization of access to user accounts
US10245509B2 (en) 2015-10-21 2019-04-02 Activision Publishing, Inc. System and method of inferring user interest in different aspects of video game streams
US10376781B2 (en) 2015-10-21 2019-08-13 Activision Publishing, Inc. System and method of generating and distributing video game streams
US10232272B2 (en) 2015-10-21 2019-03-19 Activision Publishing, Inc. System and method for replaying video game streams
US10726491B1 (en) 2015-12-28 2020-07-28 Plaid Inc. Parameter-based computer evaluation of user accounts based on user account data stored in one or more databases
US10984468B1 (en) 2016-01-06 2021-04-20 Plaid Inc. Systems and methods for estimating past and prospective attribute values associated with a user account
US10300390B2 (en) 2016-04-01 2019-05-28 Activision Publishing, Inc. System and method of automatically annotating gameplay of a video game based on triggering events
US10878421B2 (en) 2017-07-22 2020-12-29 Plaid Inc. Data verified deposits
US11468085B2 (en) 2017-07-22 2022-10-11 Plaid Inc. Browser-based aggregation
CN108650300A (zh) * 2018-04-13 2018-10-12 三维通信股份有限公司 基于https嵌入式通信设备的安全性实现方法
US11316862B1 (en) 2018-09-14 2022-04-26 Plaid Inc. Secure authorization of access to user accounts by one or more authorization mechanisms
US11887069B2 (en) 2020-05-05 2024-01-30 Plaid Inc. Secure updating of allocations to user accounts
US11327960B1 (en) 2020-10-16 2022-05-10 Plaid Inc. Systems and methods for data parsing

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
DE69029759T2 (de) * 1989-05-15 1997-07-17 Ibm Flexible Schnittstelle für Beglaubigungsdienste in einem verteilten Datenverarbeitungssystem
EP0451384B1 (de) * 1990-04-10 1997-09-24 International Business Machines Corporation Hypertextdatenverarbeitungssystem und Verfahren
JP2519390B2 (ja) * 1992-09-11 1996-07-31 インターナショナル・ビジネス・マシーンズ・コーポレイション デ―タ通信方法及び装置
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5655077A (en) * 1994-12-13 1997-08-05 Microsoft Corporation Method and system for authenticating access to heterogeneous computing services
US5530852A (en) * 1994-12-20 1996-06-25 Sun Microsystems, Inc. Method for extracting profiles and topics from a first file written in a first markup language and generating files in different markup languages containing the profiles and topics for use in accessing data described by the profiles and topics
US5870552A (en) * 1995-03-28 1999-02-09 America Online, Inc. Method and apparatus for publishing hypermedia documents over wide area networks
US5572643A (en) * 1995-10-19 1996-11-05 Judson; David H. Web browser with dynamic display of information objects during linking
US5737523A (en) * 1996-03-04 1998-04-07 Sun Microsystems, Inc. Methods and apparatus for providing dynamic network file system client authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202016001794U1 (de) 2016-03-21 2016-04-07 KC Management AG 2-Faktor-Authentifizierung mittels Mutual Factor

Also Published As

Publication number Publication date
EP1055164A2 (de) 2000-11-29
JP2000508153A (ja) 2000-06-27
DE69838262D1 (de) 2007-09-27
TW498278B (en) 2002-08-11
US5908469A (en) 1999-06-01
WO1998038759A2 (en) 1998-09-03
WO1998038759A3 (en) 1999-02-25
EP1055164B1 (de) 2007-08-15
EP1055164A4 (de) 2005-07-06
KR20000069947A (ko) 2000-11-25
KR100331525B1 (ko) 2002-04-06

Similar Documents

Publication Publication Date Title
DE69838262T2 (de) Allgemeine benutzer-authentifizierung für netz-rechner
DE69832786T2 (de) Vorrichtung und verfahren zur identifizierung von klienten die an netzwer-sites zugreifen
DE69912317T2 (de) Vorrichtung und verfahren zur bestimmung einer programmnachbarschaft für einen kundenknoten in einem kundenbedienernetzwerk
DE69818008T2 (de) Datenzugriffssteuerung
DE60029321T2 (de) Verfahren und vorrichtung zur fernbedienung eines hausnetzwerks von einem externen kommunikationsnetz
DE60308700T2 (de) Dynamische fernkonfiguration eines webservers zur bereitstellung von kapazität auf anfrage
DE60218069T2 (de) Bereitstellung von gekoppelten diensten in einer verteilten rechnerumgebung
EP2340485A1 (de) Verfahren zur konfiguration einer applikation
DE60118487T2 (de) Kommunikationsystem auf Basis von WDSL Sprache
DE60009309T2 (de) System und verfahren zum presentieren von kanalisierten daten
DE69728182T2 (de) Verfahren und gerät zum entfernten netzwerkzugriffseintrag und netzwerkzugriffsbericht
DE60027971T2 (de) Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält
DE60308489T2 (de) Anwendungsfensterschließung als Reaktion auf ein Ereignis in einem Parent-Fenster
WO2003105434A1 (de) Verfahren und vorrichtung zum senden und/oder zum empfang von informationen in verbindung mit einem fahrzeug
DE10320615A1 (de) Verwendung erweiterbarer Markup-Sprache in einem System und Verfahren zum Beeinflussen einer Position auf einer Suchergebnisliste, die von einer Computernetzwerksuchmaschine erzeugt wird
DE10295699T5 (de) Eine Anordnung und ein Verfahren in Bezug auf Sitzungsverwaltung in einer Portalstruktur
EP1241603A1 (de) Internet-Banner
DE602004001283T2 (de) Apparat und Verfahren um separate Netzwerke zu verbinden
DE60105994T2 (de) Verfahren und system zum schieben von informationen
DE60218185T2 (de) Verfahren und Vorrichtung zum Wiederauffinden von Informationen in einem Netzwerk
DE10118064B4 (de) Erweiterung Browser-bezogener Internetseiteninhaltskennzeichen und Kennwortüberprüfung auf Kommunikationsprotokolle
DE112012007196T5 (de) Parametereinstellungssystem, Programmverwaltungsvorrichtung, und Informationsverarbeitungsvorrichtung
DE112006001427T5 (de) Sicherheitssystem für ein persönliches Internetkommunikationsgerät
DE60118327T2 (de) Verfahren und Gerät zum Bereitstellen eines Fernhilfsdienstes
DE10260926B4 (de) Kommunikationsverfahren

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)
R082 Change of representative

Ref document number: 1055164

Country of ref document: EP

Representative=s name: PFENNING MEINIG & PARTNER GBR, 10719 BERLIN, DE