ユーザとウェッブ・サイトの認証方法及び装置
システムと方法によりユーザはウェッブ・サイトを認証でき、ウェッブ・サイトはユーザを認識でき、またはこれら両者が可能となる。ユーザがウェッブ・サイトからウェッブ・ページを要求すると、ユーザに認識可能なカスタマイゼーション情報が提供されて、ユーザはこのウェッブ・サイトを認証することができる。ユーザ・システムに記憶された署名され暗号化されたクッキーによりウェッブ・サイトはユーザを認証することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータのセキュリティに関し、特に、ワールド・ワイド・ウェッブ(WWW)用のコンピュータ・セキュリティに関する。
【背景技術】
【0002】
インターネットとワールド・ワイド・ウェッブによって、ユーザはこのウェッブ上の種々のサイトで動作するソフトウエアと通信することができる。しかし、これらの存在の一方と実際に通信する他方は本当にその他方であるということを、これら存在の一方または両方が保証できることが有益であろう。
【0003】
もしウェッブ・サイトは、一つの存在と通信していると信じているが、実際には別の存在と通信している場合、そのウェッブ・サイトは通信していると誤って信じる相手方の機密情報にアクセスする可能性がある。ウェッブ・サイトは、このウェッブ・サイトが通信していると信じる相手方の名前でその別の存在に対してセキュリティの転送、製品の出荷またはサービスの配信などを行わせる可能性がある。例えば、ウェッブ・サイトに対して自分を偽って登録ユーザとして関与する窃盗者に対し、製品の出荷、現金または他のセキュリティの転送によりかなりの額の金額を失う、ウェッブ・サイトのオペレータがいる。
【0004】
これら窃盗者の多くはユーザを騙し、あたかもこの窃盗者により操作されるウェッブ・サイトが実際にユーザが登録したウェッブ・サイトであるかのようにユーザに思わせて、この窃盗者が登録ユーザとして窃盗者自身が関与して使用可能な秘密情報を提供させる。例えば、窃盗者は、ウェッブ・サイトのpaypai.comへのリンクでユーザをpaypal.comに誘ってログオンさせる一群のEメールを送り、Eメールの受信者が金融のウェッブ・サイトのpaypal.comに登録されることを望む可能性がある。
【0005】
しかし、窃盗者は、paypal.comを読むために自分のサイトの最後の文字を大文字にして、「I」が「paypal」における小文字の最後の文字「l」のように見えることを望む。ウェッブ・サイトのpaypai.comにより提供されるウェッブ・ページをウェッブ・サイトのpaypal.comのように見させて、ユーザがログインしようとする時、ユーザのユーザ名とパスワードはこの窃盗者のウェッブ・サイトにより取り込まれる。次に窃盗者は、こうして得られたユーザのユーザネームとパスワードを使用してpaypal.comにログインし、ユーザの口座から金を窃盗者の管理する口座に振り込ませる。
【0006】
この詐欺の別の形では、窃盗者はユーザに対して、本当のサイトのURLのように思われるが、実際には、その窃盗者のサイトへのログ命令であるものを含むリンクを提供する。例えば、「www.paypal.com/%sdafghdgk%fdsgsdhdsh...」に付加された「http://」と読めるリンクは、ユーザのブラウザにおけるURLウインドウの最後から離れて伸びる長リストのパラメータを備えたpaypal.comに対する本当のリンクであるように見える可能性がある。ユーザには知られないが、上記のリンクは実際には「...@paypal.com」で終わり、これにより、ユーザはユーザネームとして「@」の記号の左方の一組の文字を使用してウェッブ・サイトのpaypai.comにログインさせられる。
【0007】
ウェッブ・サイトのpaypai.comにより、このようなどのユーザネームもウェッブ・サイトにログインさせることができ、そして上記のように動作して、(電話のユーザ名がリンクを介して提供されたとしても)ユーザがログオンすることができるpaypal.comのユーザ・インターフェイスの複製をユーザに提供する。次に、この場合、この窃盗者のウェッブ・サイトのアプリケーション・ソフトウエアは本当のpaypal.comウェッブ・サイトにログオンして前記転送を行うためにそのように得られたユーザネームとパスワードを使用する。
【0008】
この問題と取り組むために、一部ウェッブ・サイトは、このウェッブ・サイトが本物であるということをユーザが証明できる証明書を提供するが、この認証を行う手続きは複雑で、厄介で大部分のユーザには知られていない。従って、ウェッブ・サイトをユーザが認証できるために使用できる従来の方法は、使用が難し過ぎるので効果的ではない。
【0009】
ウェッブ・サイトの不正なオペレータが、ユーザを迷わせてウェッブ・サイトが本物であるということを信じ込ませることができるばかりでなく、不正なユーザは本物のウェッブ・サイトを迷わせてこの不正なユーザが本物であるということを信じさせることができる。上記のように、ユーザからの秘密情報は、取り込まれてウェッブ・サイトにそのユーザと取り引きすると信じ込ませるために使用することができる。一部のウェッブ・サイトは、ユーザのコンピュータにクッキーを置いて、このクッキーをログインしようとする人が本当にその人である可能性を証明しようとするために使用することができる。しかし、クッキーは、窃盗者により偽造されて、窃盗者のコンピュータ・システムがその窃盗者がなりすまそうとするユーザのコンピュータ・システムであるということを示す。
【発明の開示】
【発明が解決しようとする課題】
【0010】
必要なことは、ユーザをウェッブ・サイトに対し確実に認証することができ、ユーザが複雑な認証手続きを使用せずにウェッブ・サイトを容易に認証でき、またはこの両者が可能なシステムと方法である。
【0011】
システムと方法は、ウェッブ・サイトがユーザを識別し認証することができるための暗号化され署名されたクッキーをユーザのコンピュータ・システムに提供する。更に、または、カスタマイゼーション情報はウェッブ・サイトが本物であるということをユーザが認識できるためにユーザの識別子に関連づけられる。ユーザがウェッブ・ページを要求すると、クッキーはウェッブ・サイトにより検索され、署名はユーザを認証するためにチェックされてもよい。ユーザを識別し、ユーザが認識可能なカスタマイゼーション情報をウェッブ・サイトが提供してウェッブ・サイトを認証できるようにするためにクッキーの識別子を使用してもよい。
【0012】
次に、ユーザは、ユーザが期待するカスタマイゼーション情報を提供するサイトを使用することができる。カスタマイゼーション情報が紛失し、または別のものである場合、ユーザはそのウェッブ・サイトに対する秘密情報の提供を拒否でき、またはそのウェッブ・サイトにより提供された情報を信ずることを拒否でき、これにより、自分のユーザネームとパスワード及び他の秘密情報を窃盗者から保護することができる。
【実施例1】
【0013】
本発明は、従来のコンピュータ・システムでコンピュータ・ソフトウエアとして実施されてもよい。次に図1を見ると、本発明を実施する従来のコンピュータ・システム150が示してある。プロセッサ160は、メモリのような記憶装置162に記憶されたソフトウエア命令を検索し実行する。記憶装置162はランダム・アクセス・メモリ(RAM)であってもよく、本発明を実施するための他の要素を制御するものであってもよい。記憶装置162は、プログラム命令またはデータまたはこの両方を記憶するために使用されてもよい。コンピュータ・ディスク・ドライブまたは他の不揮発性記憶装置のような記憶装置164は、データまたはプログラム命令を記憶してもよい。一実施例では、記憶装置164は命令及びデータの長期の記憶を行い、記憶装置162は、記憶装置164の時間よりも短い時間必要とされるだけでもよいデータまたは命令用の記憶装置を提供する。
【0014】
コンピュータ・キーボードまたはマウスまたはこの両方のような入力装置166によりユーザは、コンピュータ・システム150に入力を与えることができる。ディスプレイまたはプリンタのような出力装置168により、コンピュータ・システム150はこのコンピュータ・システム150のユーザに対し命令、データまたは他の情報のような情報を提供することができる。従来のフロッピー(登録商標)・ディスク・ドライブまたはCD−ROMドライブのような記憶入力装置170は、コンピュータ命令またはデータをコンピュータ・システム150の送信に使用可能な従来のフロッピー(登録商標)・ディスクまたはCD−ROMまたは不揮発性記憶メディアのようなコンピュータ・プログラム製品174を入力装置172を介して容認する。コンピュータ・プログラム製品174は、コンピュータ・システム150を設定して以下に記載するように動作させるために、プログラム命令、データまたはこれら両者として符号化された、フロッピー(登録商標)・ディスクの場合には磁荷、またはCD−ROMの場合には光学的エンコーディング、のようなコンピュータが読み取り可能なプログラム・コード装置176をそれ自体に符号化している。
【0015】
一実施例では、各コンピュータ・システム150は、カリフォルニア州のマウンテン・ビューのサン・マイクロシステムズ社から市販されているソーラリス(SOLARIS)オペレーティング・システムを動作させる従来のサン・マイクロシステムズ・ウルトラ(SUN MICRO SYSTEMS ULTRA)10ワークステーション、レドモンド・ワシントンのマイクロソフト・コーポレーションから市販されている(95、98、Me、XP、NTまたは2000)のようなウインドウズ・オペレーティング・システムのバージョンを動作させるテキサス州ラウンド・ロックのデル・コンピュータ・コーポレーションから入手可能なようなペンティアム(登録商標)−コンパチブル・パーソナル・コンピュータ・システム、
【0016】
カリフォルニア州のカパーチノのアップル・コンピュータ・コーポレーションから市販されているマコス(MACOS)またはオープンステップ(OPEN STEP)オペレーティング・システムを動作させるマッキントッシュ・コンピュータ・システム、及びカリフォルニア州のマウンテン・ビューのネットスケープ・コミュニケーションズ・コーポレーションから市販されているネットスケープ・ブラウザまたは上記のマイクロソフトから市販されているインターネット・エクスプローラ・ブラウザであるが、他のシステムも使用してよい。
【0017】
次に図2を見ると、ユーザがウェッブ・サイトを認証することができ、かつウェッブ・サイトがユーザを認証することができるシステム200が、本発明の一実施例により示されている。これらの機能の両方はここに記載するが、一実施例では、これらの機能の一つは他の機能なしで使用してもよい。つまり、本発明による両機能を使用することは必要ではないが、他の実施例は両機能を使用する。
【0018】
システム200は、一つ以上のサーバと一つ以上のクライアントを有しており、代表的なサーバ202とクライアント260が示してあるが、多くのクライアントはサーバ202に同時にまたは異なる時にアクセスしてもよく、多くのサーバは同時に使用されてもよい。サーバ200は、大きな1組の要素で示され、そして多くのサーバが存在してもよく、この各サーバは図示の大きな1組の要素または小さな1組の要素を備えている。
【0019】
一実施例では、ここに記載したサーバ202への全ての通信またはサーバ202からの全ての通信は、インターネットまたはローカル・エリア・ネットワークまたはこの両者のようなネットワーク254に接続された通信インターフェイス210の入力/出力部208を介して行われる。通信インターフェイス210は、イーサネット(登録商標)、TCP/IPまたは他の通信プロトコルをサポートする従来の通信インターフェイスである。
【0020】
クライアント260への通信及びクライアント260からの通信は、通信インターフェイス262の入力/出力部258を介して行われ、この通信インターフェイス262は、通信インターフェイス210に類似またはこれと同一の従来の通信インターフェイスを有しているが、従来のキーボード/モニタ/マウス(図示せず)または他の類似の従来の入力/出力装置に対し入力/出力部256を介して接続される従来の回路を含んでいてもよい。通信インターフェイス262は、この一部でもある入力/出力部258部に接続されたモデムを介してネットワーク254に接続されてもよい。
【0021】
一実施例では、更に詳しく以下に記載するように、ウェッブ・サイトをユーザが知覚認証できるようにユーザごとのカスタマイゼーション情報を識別するために登録処理が行われる。この知覚認証には、1ページ以上のウェッブ・ページの一見付随的に設けた1つ以上のサウンド、匂い、感触または趣向のような、ユーザにより検出可能な何物をも含んでよい。例えば、ユーザの写真は、ページが本物であるということをユーザに示すために、初期のウェッブ・サイトのログオン・ページに、またはオプションで続くページに表現されるようにしてもよい。写真の代わりに、または、写真の他に、特定のテキスト文を使用してもよい。ユーザの知っている音をこれらのいずれかの他に、またはこれらのいずれかの代わりに使用してもよい。
【0022】
上記の登録処理は、次に記載するように、ユーザがウェッブ・サイトを認証できるようにユーザに提供されるカスタマイゼーション情報に対しユーザの識別子を関連付ける。一実施例では、ユーザは、このカスタマイゼーション情報を提供または選択するが、他の実施例ではシステム管理部がこの機能を実施し、ユーザに対してそのカスタマイゼーション情報を通知する。
【0023】
一実施例では、ユーザは通信インターフェイス210を介して受信されたウェッブ・ページの要求を介してサーバ202にログインするために従来のブラウザ264、通信インターフェイス262及びネットワーク254を使用する。この要求は、この要求のポート番号に基づいてウェッブ・アプリケーション240に提供される。ブラウザ264は、ここに記載されたように使用されるが、他の実施例はオペレーティング・システム・ソフトウエア、サーヴレット(servlet)または他のアプリケーション・ソフトウエアを使用してもよい。
【0024】
ウェッブ・アプリケーション240は、サーバ202(またはここに記載したサーバ202と類似または同一の別のサーバ)のセキュア・ソケット・レイヤ(SSL)・ポートにユーザのブラウザを向け直し、ユーザのブラウザ264は、通信インターフェイス210が提供するセキュア・ソケット・レイヤ接続を介して、暗号化された通信マネージャ212に要求を送り直す。暗号化された通信マネージャ212は、その接続を確立し、要求を受信し及びこの要求を解読するための従来のSSL処理技術を使用し、解読された要求をウェブ・アプリケーション240に提供する。
【0025】
ウェブ・アプリケーション240は、クッキー記憶装置266に記憶されていてもよく、もしそのように記憶されていれば、接続の一部としてブラウザ264によりサーバ202に提供されたクッキーを読み取ろうとする。一実施例では、(または他の実施例では全ての場合に)クッキーが存在しない場合、ウェブ・アプリケーション240は、登録マネージャ222により提供された登録ページへのリンクを有する(以下に記載するようにユーザがログインしてもよい)ウェブ・ページを形成する。ユーザがリンクをクリックすると、ユーザのブラウザ264は登録ページを要求する。この登録ページは上記のSSL接続かまたは別のSSL接続を使用してもよい。通信インターフェイス210は、その要求を受信し、それを登録マネージャ222に対しSSL接続を介し暗号化通信マネージャ212を介して提供し、登録マネージャ222は通信インターフェイス210及びSSL接続を使用する暗号化通信マネージャ212を介してそのページを提供する。
【0026】
ユーザは自分が実際に自分だということを示すための十分な証拠を提供してもよい。この処理は登録マネージャ222により実施されるが、種々の方法で行ってもよい。
【0027】
一実施例では、登録マネージャ222により提供されるウェッブ・ページは、相手方の同一性を証明した人のユーザネーム及び/パスワードを登録のために必要とする。その登録マネージャ222は、提供されたユーザネーム及び/またはパスワードが登録マネージャ222により一組の認可されたユーザネーム及びパスワードと比較してユーザが自分の同一性の十分な証拠を提供していたか否かを決定できるように、ユーザネーム及びパスワードをデータベース224に前もって記憶している。他の実施例では、登録マネージャ222は、メール、ファックスまたは電話のような帯域外(out−of−band)手段を介して、または他のウェッブ接続またはEメールメッセージを介してユーザに提供されており、そして、以前に発生されて登録マネージャ222によりユーザに提供された1つ以上の識別子よりなる他の1組をユーザに入力するよう催促する。
【0028】
ウェッブ・サイトのセキュリティの必要性に基づいて、ユーザは前記の他のシステムにより提供された情報なしで、前記の同一性の十分な証拠を提供してもよい。これは、ユーザの識別子とパスワードであってもよいが、母の旧姓またはユーザまたは他のソースから前もって集められてデータベース224に記憶されていた他の情報であってもよい。また、1つ以上の質問が不規則に選択されて登録マネージャ222によりユーザに提供され、登録マネージャ222がその答えを受信してその質問(例えば、ペット・ネーム)に対する答えを、登録マネージャ222により提供された同一のウェッブ・ページ形態または異なるウェッブ・ページ形態を介して登録マネージャ222にユーザより提供もされたユーザネーム(及びオプションのパスワード)に対応するデータベース224の記録と比較するチャレンジ応答装置を使用してもよい。
【0029】
他の実施例では、要求に応じて登録マネージャ222が発生するウェッブ・ページ形態を介して登録マネージャ222に対しユーザにより提供されたユーザネームまたはユーザネームとパスワードは、十分な識別証拠となろう。更に他の実施例では、ユーザは、登録マネージャ222に対し自分自身を認証させる必要はない。この実施例では十分な識別証拠は、特定のIPアドレスからまたは別の方法で一定の時に相手がウェッブ・サイトに接続されると言う事実である。
【0030】
登録マネージャ222は、一度ユーザから充分な識別証拠を受信すると、(ユーザネームと同一またはユーザにより提供された他の識別子、またはユーザのための他の情報を保持するデータベース224の記録に対応するものであってもよい)ユーザ用の識別子を発生し、または現存の識別子を使用し、この識別子がこのユーザのために既に存在の可能性のある任意の前記記録内にまだ記録されていない場合にはデータベース224のユーザ用の記録内にこの識別子を記憶する。
【0031】
ユーザは、カスタマイゼーション情報を提供する。
ユーザがユーザの同一性の十分な証拠を提供した後、ユーザが秘密のまたは他の情報をウェッブ・サイトに提供するよう要求された時に、登録マネージャ222は、あらかじめ定義したリストから選択しまたはユーザに一部または全てを提供することができるカスタマイゼーション情報を提供するようユーザに催促する。上記のように、他の実施例の場合にシステム管理部はユーザに対しカスタマイゼーション情報を選択または提供することができる。
【0032】
カスタマイゼーション情報は、ウェッブ・サイトが本物であるということを認識するためにユーザが使用することができるものは何物でもよい。それは、次の物、すなわち、写真、グラフィック、カラー、レイアウト、メッセージ、音、匂い、または感触により検出される可能性のある物の内のいずれのどんな番号であってもよい。カスタマイゼーション情報は、リストから選択してもよく、または自分自身のデジタル写真のようなウェッブ・サイトの真正さを識別するためにユーザにより使用され提供される元の情報であってもよい。カスタマイゼーション情報は静的である必要はない、すなわち、それは「@date」がその日の日時により置き換えられる「本日は@date」、または5月の次の5日までの日数が「(@5May-Today)」の代わりに使用される(あなたの誕生日までのわずか(@55May-today)日」のような決まり文句であってもよい。
【0033】
登録マネージャ222は、上記の品目の内のいずれかのどんな番号をも選択または提供することを可能にするウェッブ・ページを提供し、データベース224内のユーザ用のデータベース記録に上記品目またはこれらの品目の表示を記憶する。更に他の実施例では、登録マネージャ222はこのカスタマイゼーション情報を(すなわち、不規則に)発生または選択してそれをユーザに提供し、それをデータベース記録に記憶する。カスタマイゼーション情報は、上記のようにウェッブ・ページを介しまたは帯域外で提供されてもよい。
【0034】
一実施例では、登録マネージャ222は、カスタマイゼーション情報を提供または催促及び受信して他人がこのカスタマイゼーション情報を傍受するのを防止するためにSSL暗号化通信のような確実な通信チャネルを開始し使用する暗号化通信チャネル212を介してカスタマイゼーション情報を提供し、または催促し及び受信する。
【0035】
クッキーは暗号化され、証明され、そして記憶される。
登録マネージャ222は、署名され暗号化されたクッキーのユーザのコンピュータ・システムへの記憶をも開始もする。この記憶は、上記のようにユーザの同一性の十分な証拠をユーザが提供した後いつでも行ってよく、上記のカスタマイゼーション情報の識別の前、後、または、この代わりに行ってよい。
【0036】
このクッキーを形成し記憶するために、登録マネージャ224は、上記のようにデータベース224のユーザの記録に記憶されたユーザの識別子をクッキー形成部230に提供する。クッキー形成部230は、クッキー中にユーザの識別子を有し、他の状態情報をクッキーに加えてもよく、そして識別子及び他の情報をクッキー署名部232に提供する。クッキー署名部232は、識別子をハッシング(hashing)するような従来の暗号化技術を使用してクッキーに署名し、またはオプションで、クッキーの署名と呼ばれるハッシュ結果を生じさせるための秘密のハッシュ・キーを使用して他の情報に署名する。クッキー署名部232は、クッキーと集合的に称されるクッキー署名、識別子及びオプションの他の情報をクッキー暗号化部234に提供する。このクッキー暗号化部234は、公開キー/秘密キーの対の内の公開キーを使用するか対称キーを使用するような従来の暗号化技術を使用してクッキーを暗号化する。
【0037】
次に、クッキー暗号化部234によりブラウザ264は、上記のように登録のために使用される接続部のようなSSL接続をオプションで使用し、暗号化通信マネージャ212、通信インターフェイス210、ネットワーク254、通信インターフェイス262を介してユーザのクライアント・コンピュータ・システム260にあるクッキー記憶装置266に暗号化クッキーを記憶する。クッキー記憶装置266は、従来のメモリまたはディスク記憶装置であってもよく、クッキーの記憶のために使用されるその一部であってもよく、クライアント・コンピュータ・システム260の一部であってもよく、またはスマート・カード、USBメモリ・トークン(テキサス州のラウンド・ロックのデル・コンピュータ・システムズから市販されているUSBメモリ・キーのようなUSBポートを介してパーソナル・コンピュータにインターフェイス接続する携帯メモリ装置)のような着脱自在の装置に存在するものであってもよい。ここに記載したようにクッキーは使用されるが、他の実施例は種々の種類の暗号化ファイル、証明書または他の類似のデータ構造を使用してもよい。
【0038】
一実施例では、ユーザのクライアント・コンピュータ・システム260は、初期登録に使用される必要はない。その代わり、登録処理は2つの部分で行われてもよい。その第1の部分により、ユーザは公知のIPアドレスを有するかシステム管理部のユーザ、識別子及びパスワードを使用して認証された特定の組のブラウザから上記のようにカスタマイゼーション情報を選択することができる。また第2の部分により、ユーザは自分の所有するブラウザから上記のようにユーザの同一性の証拠を使用してログインすることができ、この時に、暗号化されたクッキーはユーザのクライアント・コンピュータ・システム260に配置される。
【0039】
ウェッブ・ページ及び/またはユーザの同一性の証明
上記のようなクッキーの受信に続いて、ユーザがウェッブ・サイトからウェッブ・ページを要求する時、ユーザはその要求をサーバ202に送るために自分のウェッブ・ブラウザ264を使用する。ブラウザ264は、通信インターフェイス262と210及びネットワーク254を介してその要求をサーバ202に送る。通信インターフェイス210は、この要求をウェッブ・アプリケーション240に送る。ウェッブ・アプリケーション240は、ここに記載したように変形された従来のウェッブ・アプリケーション・プログラムである。ウェッブ・アプリケーション240は、ユーザを認証し、次に記載するように、ユーザがウェッブ・サイトを認証できるようにカスタマイゼーション情報を提供するか、または両者を行ってもよい。
【0040】
ユーザを認証するために、ウェッブ・アプリケーション240は、クッキー記憶装置266からブラウザ264により提供された暗号化クッキーを読み取る。この暗号化クッキーは、ここに記載したようにクッキー記憶装置266に配置されている。ウェッブ・アプリケーション240は、この暗号化クッキーをユーザ認証部242に送る。このユーザ認証部242は、この暗号化クッキーを解読し、このクッキーの残りから署名を分離する。
【0041】
ユーザ認証部242は、(例えば、署名を形成するために使用された同一のハッシュ・アルゴリズム及びハッシュ・キーを使用してクッキーの残りをハッシュし直し、このハッシュの結果を署名と比較することにより)署名がクッキーの残部に対応するということを証明し、そしてユーザ認証部242が署名を介してユーザを認証する場合(例えば、ユーザ認証部242が発生するハッシュの結果が署名に一致する場合)クッキーに記憶されている可能性のあるユーザの識別子及び他の情報をウェッブ・アプリケーション240に提供するか、または(例えば、ユーザ認証部242が発生するハッシュの結果が署名に符号しない場合)クッキーは有効でないということを示す。
【0042】
ユーザ認証部242がクッキーは有効でないということを示す場合、ウェッブ・アプリケーション240は、ウェッブ・サイトの一部または全部へのアクセスを拒否してもよい。さもなければ、ウェッブ・アプリケーション240はユーザ識別子を受信してウェッブ・アプリケーション240を動作させるために及び/またはここに記載したように選択されたカスタマイゼーション情報をユーザに提供するためにユーザ識別子を使用する。
【0043】
カスタマイゼーション情報は、ウェッブ・アプリケーション240により提供されることごとくのウェッブ・ページ、ユーザに秘密情報を提供するために表示されるウェッブ・ページ、一部のウェッブ・ページ、ユーザから任意の情報を要求するために使用されるウェッブ・ページ、またはユーザから秘密情報を要求するために使用されるウェッブ・ページまたはこれらのウェッブ・ページの一部または全ての任意の組み合わせを備えていてもよい。秘密情報は、ウェッブ・サイトのオペレータの金融資源または他の資源へのアクセスに使用することができる情報、またはユーザが他人に知られたくない可能性ある他の情報を含んでもよい。
【0044】
カスタマイゼーション情報は、上記のウェッブ・ページの一部として提供されてもよく、または別々に提供されてもよい。上記のウェッブ・ページの任意のものを備えたカスタマイゼーション情報を提供するために、ウェッブ・アプリケーション240は、カスタマイゼーション情報プロバイダ244に対して上記のように受信されたユーザ識別子と、カスタマイゼーション情報を省略したウェッブ・ページのコンテンツとを提供する。このウェッブ・ページは、オプションとして、カスタマイゼーション情報を如何にそしてこのウェッブ・ページの何処に挿入すべきかを記載するこのウェッブ・ページにおける一つ以上の表示を、ユーザのIPアドレスやウェッブ・ページにアドレスするために使用することができる他の情報と共に有している。
【0045】
カスタマイゼーション情報プロバイダ244は、データベース244からユーザ識別子に対応する記録内に記憶されたカスタマイゼーション情報を検索して、例えば、ウェッブ・ページで、またはこのウェッブ・ページの一部として、受信された命令に従ってそのカスタマイゼーション情報プロバイダ244がウェッブ・アプリケーション240から受信するウェッブ・ページにこのカスタマイゼーション情報を加えることにより、またはそのカスタマイゼーション情報をウェッブ・ページの一定の場所に提供することによってそのカスタマイゼーション情報を提供する。更に、このカスタマイゼーション情報プロバイダ244が受信するユーザのIPアドレスを使用してこのカスタマイゼーション情報プロバイダ244が受信するどのようなウェッブ・ページをも持つカスタマイゼーション情報をユーザに提供する。
【0046】
一実施例では、カスタマイゼーション情報は、ユーザのモバイル電話を呼び出して、ユーザの音声、好きな歌、あらかじめ記憶したメッセージの記録を再生することにより、または別な方法によりウェッブ・ページが本物であるということをユーザに指示するなどして、帯域外でカスタマイゼーション情報プロバイダ244により提供されてもよい。この帯域外カスタマイゼーション情報は、出力部243を介して提供することができ、この出力部243は従来の電話線に接続されてもよい。カスタマイゼーション情報プロバイダ244は、適当なインターフェイスを有している。
【0047】
例えば、ブラウザ264と入力/出力部256に接続されたモニタを介してまたは帯域外でカスタマイゼーション情報をユーザが受信すると、ユーザはウェッブ・サイトを認証するためにそれを使用し、カスタマイゼーションが紛失し、または上記のようにユーザが選択しまたは提供したカスタマイゼーション情報とは異なる場合、情報提供またはウェッブ・サイトの使用を抑えてもよい。カスタマイゼーション情報がここに記載したように登録されたものである場合、ユーザはウェッブ・アプリケーション240により提供されたウェッブ・ページを介して秘密情報を提供し、ウェッブ・アプリケーション240から受信した情報を信じ、またはこれら両方を行ってもよい。
【0048】
カスタマイゼーション情報は、ユーザ毎に単一であるとして本明細書に記載されたが、異なるカスタマイゼーション情報はユーザの一部または全ての各々について登録されてもよく、この場合、カスタマイゼーション情報はそれぞれ異なる意味を有している。例えば、一つの場合は、ユーザが確実な情報を提供することはOKであるということを意味してもよく、更に別の場合、ウェッブ・ページに関する情報は確実なソースから提供されたものとして確認されたということを同一のユーザが意味するカスタマイゼーション情報がある。カスタマイゼーション情報の各場合のユーザの識別子への関連付けは、この場合の識別子と共に本明細書に記載したように行うことができ、ユーザにとってのカスタマイゼーション情報の各場合は、このユーザにとっての他の場合とは知覚的に異なってもよい。
【0049】
次に、ウェッブ・アプリケーション240は、カスタマイゼーション情報プロバイダ244に対してユーザの識別子と、提供されるべきカスタマイゼーション情報の場合の識別子とを提供し、カスタマイゼーション情報プロバイダ244は、各ユーザのカスタマイゼーション情報の単一の場合について上記と同じ方法でカスタマイゼーション情報の適切な場合を検索してユーザに提供するためにユーザの識別子と前記カスタマイゼーション情報の場合の識別子を使用する。
【0050】
データベースは、集中化してもよい。
一実施例では、データベース224はサーバ202に存在せずに、ネットワーク254を介して1つ以上のサーバ202にアクセスできるデータベース224Aにより置き換えられ、そして、さもなければ、データベース224として動作する。この一つ以上のサーバの各々は、同一のウェッブ・サイトに対してサーバ202または別のウェッブ・サイトとして役立つものであってもよい。この実施例では、1つ以上のサーバ202が存在し、各サーバはユーザを登録して上記のようにカスタマイゼーション情報を提供するが、データベース224の代わりに中央データベース224Aを共有するか、サーバ202の一部だけがユーザを登録し、他のサーバはユーザがこの登録サーバを識別しまたはこの登録サーバに提供するカスタマイゼーション情報または上記のように登録サーバにより提供されるカスタマイゼーション情報を利用する。
【0051】
一実施例では、各サーバ202は、データベース224Aにおけるユーザの記録にアクセスするために同一のユーザに対する種々のサーバ間で独特な番号、例えば、ユーザ識別子に添付されたウェッブ・サイト番号またはサーバ番号、例えば、ユーザの社会的セキュリティ番号を使用する。この実施例では、多数のサーバ202にアクセス可能なカスタマイゼーション情報プロバイダ244Aは、サーバ202がユーザのカスタマイゼーション情報にアクセスしないようにカスタマイゼーション情報プロバイダ244の代わりに使用してもよい。カスタマイゼーション情報プロバイダ244Aは、ユーザに対してウェッブ・ページを備えたカスタマイゼーション情報を送るためにカスタマイゼーション情報プロバイダ244と同じ方法で動作する。
【0052】
一実施例では、データベース224Aとカスタマイゼーション情報プロバイダ224Aのいずれか一方と、ウェッブ・アプリケーション240またはカスタマイゼーション情報プロバイダ224は、カスタマイゼーション情報の要求またはカスタマイゼーション情報を持つウェッブ・ページを送る要求を認証する従来の認証技術を使用する。この認証技術には、パスワード、デジタル証明書または他の従来技術を含んでもよい。これらの要求は、従来のSSL接続がセキュリティを高めるために使用できるように暗号化通信マネージャ212を介して送ってもよい。
【0053】
次に図3A、すなわち、ユーザがウェッブ・サイトを認証でき、ウェッブ・サイトがユーザを認証できまたはこれら両者が可能となるためにユーザを登録する方法を示すフローチャートが本発明の一実施例にしたがって示されている。
【0054】
ユーザの同一性の証拠は、上記のようにステップ310で生成されて提供されてもよい。ステップ310で提供された証拠は、一実施例では上記のようにインターネットを介してまたは帯域外で(例えば、インターネットを介さずに)提供されてもよく、他の実施例では、ステップ310は省略してもよい。確実な通信は312でユーザに対しオプションで確立される。314でユーザの同一性の十分な証拠は要求され、ユーザの同一性の証拠は受信される。316でこの証拠が十分でない場合、図3Aのステップの残りの一部または全てへのアクセスは318で否定される。この方法は、ステップ314で続行する。316で否定されなければ、この方法はステップ320で続行する。
【0055】
ステップ320でユーザは、上記のようにカスタマイゼーション情報を選択または提供するよう催促され、そしてカスタマイゼーション情報が受信される。ステップ320は、ステップ312で確立されたSSL暗号化インターネット接続のような確実な通信チャネルを介して行われてもよい。カスタマイゼーション情報は、ユーザ提供のコンテンツまたはユーザの識別子に関連する1つ以上のサーバ提供のコンテンツの表示を含んでもよい。カスタマイゼーション情報は、322でユーザの識別子と記憶され、このユーザの識別子はユーザにより提供され、ステップ314で受信した証拠から調べられまたは322の一部として発生されてもよい。
クッキーは、上記のようにユーザ識別子を使用して作成され324、クッキーは326で証明され、330でユーザ・システムに記憶される。この方法はステップ310で続行する。
【0056】
次に図3Bを見ると、ウェッブ・サイトがユーザを認証することができ及び/またはユーザがウェッブ・サイトを認証することができる方法を示すフローチャートが本発明の一実施例に従って示されている。図3Bのステップは、図3Aのステップの一部または全ての後で実施されてもよい。ウェッブ・ページに対する要求は340で受信され、暗号化されたクッキーは、要求が受信され、そして、クッキーは解読された装置から342で読み取られる。この解読されたクッキーにおける署名は上記のように344でチェックされ、そしてクッキーが本物でないということを346でクッキーの署名が示す場合、この要求されたウェッブ・ページへのアクセスは348で拒否されてもよく、そして、この方法はステップ340で続行する。346で否定されなければ、この方法はステップ350で続行する。
【0057】
ステップ350で、要求が秘密情報を要求せず、またはユーザが認証の証拠を欲する可能性のある情報を提供しないウェッブ・ページの要求である場合、この要求されたウェッブ・ページは352で提供されてもよい。そしてこの方法はステップ340で続行する。350で否定されなければ、方法はステップ354で続行する。図中において破線で示した他の実施例では、ステップ350のテストは行われず、ステップ354は無条件でステップ350の「OK」ブランチに続く。
【0058】
ステップ354では、ステップ342で検索されたクッキーに記憶のユーザ識別子は上記のようにそのユーザ識別子に関連したカスタマイゼーション情報を検索するために使用される。カスタマイゼーション情報はオプションでその要求されたウェッブ・ページ356に組み込まれてもよく、このウェッブ・ページとカスタマイゼーション情報は、このカスタマイゼーション情報がウェッブ・ページと同一の接続部を介して提供される場合、確実なコネクションを介して提供されるか、または上記のように帯域外で提供されてもよい358。
【0059】
次に図4を見ると、ユーザによりウェッブ・サイトの一部または全てを認証する方法が本発明の一実施例に従って示してある。同一性の十分な証拠は、上記のようにオプションで受信され(例えば、帯域外で)410で提供される。カスタマイゼーション情報は識別されて、例えば、上記のようにそれを提供し、それを選択し、またはそれを412で受信する。暗号化され署名されたクッキーは、上記のように受信されて414で記憶されてもよい。ウェッブ・ページへの要求は提供され、オプションで、暗号化され署名されたクッキーが416で提供される。ウェッブ・ページとオプションの一定のカスタマイゼーション情報は、418で受信され、このカスタマイゼーション情報はステップ412で提供されまたは選択されたものと420で比較される。
【0060】
受信されたカスタマイゼーション情報がステップ412で識別されたものに422で対応すると(例えば、それが符合するので)、情報は426で受信されて信じられ、または提供されてもよい。さもなければ、ユーザはこの受信された情報を受け取るかまたは信ずることを拒否し、またはこの要求された情報を提供することを426で拒否してもよい。
【図面の簡単な説明】
【0061】
【図1】従来のコンピュータ・システムの簡略ブロック図である。
【図2】本発明の一実施例に従ってユーザがウェッブ・サイトを認証することができると共に、ウェッブ・サイトがユーザを認証することができるシステムの簡略ブロック図である。
【図3A】本発明の一実施例に従ってユーザがウェッブ・サイトを認証することができ、ウェッブ・サイトがユーザを認証することができるようにするためのユーザを登録する方法を示すフローチャートである。
【図3B】本発明の一実施例に従って、ウェッブ・サイトがユーザを認証することができ、および/またはユーザがウェッブ・サイトを認証することができる方法を示すフローチャートである。
【図4】本発明の一実施例従ってユーザによりウェッブ・サイトの一部または全部を認証する方法を示すフローチャートである。
【技術分野】
【0001】
本発明は、コンピュータのセキュリティに関し、特に、ワールド・ワイド・ウェッブ(WWW)用のコンピュータ・セキュリティに関する。
【背景技術】
【0002】
インターネットとワールド・ワイド・ウェッブによって、ユーザはこのウェッブ上の種々のサイトで動作するソフトウエアと通信することができる。しかし、これらの存在の一方と実際に通信する他方は本当にその他方であるということを、これら存在の一方または両方が保証できることが有益であろう。
【0003】
もしウェッブ・サイトは、一つの存在と通信していると信じているが、実際には別の存在と通信している場合、そのウェッブ・サイトは通信していると誤って信じる相手方の機密情報にアクセスする可能性がある。ウェッブ・サイトは、このウェッブ・サイトが通信していると信じる相手方の名前でその別の存在に対してセキュリティの転送、製品の出荷またはサービスの配信などを行わせる可能性がある。例えば、ウェッブ・サイトに対して自分を偽って登録ユーザとして関与する窃盗者に対し、製品の出荷、現金または他のセキュリティの転送によりかなりの額の金額を失う、ウェッブ・サイトのオペレータがいる。
【0004】
これら窃盗者の多くはユーザを騙し、あたかもこの窃盗者により操作されるウェッブ・サイトが実際にユーザが登録したウェッブ・サイトであるかのようにユーザに思わせて、この窃盗者が登録ユーザとして窃盗者自身が関与して使用可能な秘密情報を提供させる。例えば、窃盗者は、ウェッブ・サイトのpaypai.comへのリンクでユーザをpaypal.comに誘ってログオンさせる一群のEメールを送り、Eメールの受信者が金融のウェッブ・サイトのpaypal.comに登録されることを望む可能性がある。
【0005】
しかし、窃盗者は、paypal.comを読むために自分のサイトの最後の文字を大文字にして、「I」が「paypal」における小文字の最後の文字「l」のように見えることを望む。ウェッブ・サイトのpaypai.comにより提供されるウェッブ・ページをウェッブ・サイトのpaypal.comのように見させて、ユーザがログインしようとする時、ユーザのユーザ名とパスワードはこの窃盗者のウェッブ・サイトにより取り込まれる。次に窃盗者は、こうして得られたユーザのユーザネームとパスワードを使用してpaypal.comにログインし、ユーザの口座から金を窃盗者の管理する口座に振り込ませる。
【0006】
この詐欺の別の形では、窃盗者はユーザに対して、本当のサイトのURLのように思われるが、実際には、その窃盗者のサイトへのログ命令であるものを含むリンクを提供する。例えば、「www.paypal.com/%sdafghdgk%fdsgsdhdsh...」に付加された「http://」と読めるリンクは、ユーザのブラウザにおけるURLウインドウの最後から離れて伸びる長リストのパラメータを備えたpaypal.comに対する本当のリンクであるように見える可能性がある。ユーザには知られないが、上記のリンクは実際には「...@paypal.com」で終わり、これにより、ユーザはユーザネームとして「@」の記号の左方の一組の文字を使用してウェッブ・サイトのpaypai.comにログインさせられる。
【0007】
ウェッブ・サイトのpaypai.comにより、このようなどのユーザネームもウェッブ・サイトにログインさせることができ、そして上記のように動作して、(電話のユーザ名がリンクを介して提供されたとしても)ユーザがログオンすることができるpaypal.comのユーザ・インターフェイスの複製をユーザに提供する。次に、この場合、この窃盗者のウェッブ・サイトのアプリケーション・ソフトウエアは本当のpaypal.comウェッブ・サイトにログオンして前記転送を行うためにそのように得られたユーザネームとパスワードを使用する。
【0008】
この問題と取り組むために、一部ウェッブ・サイトは、このウェッブ・サイトが本物であるということをユーザが証明できる証明書を提供するが、この認証を行う手続きは複雑で、厄介で大部分のユーザには知られていない。従って、ウェッブ・サイトをユーザが認証できるために使用できる従来の方法は、使用が難し過ぎるので効果的ではない。
【0009】
ウェッブ・サイトの不正なオペレータが、ユーザを迷わせてウェッブ・サイトが本物であるということを信じ込ませることができるばかりでなく、不正なユーザは本物のウェッブ・サイトを迷わせてこの不正なユーザが本物であるということを信じさせることができる。上記のように、ユーザからの秘密情報は、取り込まれてウェッブ・サイトにそのユーザと取り引きすると信じ込ませるために使用することができる。一部のウェッブ・サイトは、ユーザのコンピュータにクッキーを置いて、このクッキーをログインしようとする人が本当にその人である可能性を証明しようとするために使用することができる。しかし、クッキーは、窃盗者により偽造されて、窃盗者のコンピュータ・システムがその窃盗者がなりすまそうとするユーザのコンピュータ・システムであるということを示す。
【発明の開示】
【発明が解決しようとする課題】
【0010】
必要なことは、ユーザをウェッブ・サイトに対し確実に認証することができ、ユーザが複雑な認証手続きを使用せずにウェッブ・サイトを容易に認証でき、またはこの両者が可能なシステムと方法である。
【0011】
システムと方法は、ウェッブ・サイトがユーザを識別し認証することができるための暗号化され署名されたクッキーをユーザのコンピュータ・システムに提供する。更に、または、カスタマイゼーション情報はウェッブ・サイトが本物であるということをユーザが認識できるためにユーザの識別子に関連づけられる。ユーザがウェッブ・ページを要求すると、クッキーはウェッブ・サイトにより検索され、署名はユーザを認証するためにチェックされてもよい。ユーザを識別し、ユーザが認識可能なカスタマイゼーション情報をウェッブ・サイトが提供してウェッブ・サイトを認証できるようにするためにクッキーの識別子を使用してもよい。
【0012】
次に、ユーザは、ユーザが期待するカスタマイゼーション情報を提供するサイトを使用することができる。カスタマイゼーション情報が紛失し、または別のものである場合、ユーザはそのウェッブ・サイトに対する秘密情報の提供を拒否でき、またはそのウェッブ・サイトにより提供された情報を信ずることを拒否でき、これにより、自分のユーザネームとパスワード及び他の秘密情報を窃盗者から保護することができる。
【実施例1】
【0013】
本発明は、従来のコンピュータ・システムでコンピュータ・ソフトウエアとして実施されてもよい。次に図1を見ると、本発明を実施する従来のコンピュータ・システム150が示してある。プロセッサ160は、メモリのような記憶装置162に記憶されたソフトウエア命令を検索し実行する。記憶装置162はランダム・アクセス・メモリ(RAM)であってもよく、本発明を実施するための他の要素を制御するものであってもよい。記憶装置162は、プログラム命令またはデータまたはこの両方を記憶するために使用されてもよい。コンピュータ・ディスク・ドライブまたは他の不揮発性記憶装置のような記憶装置164は、データまたはプログラム命令を記憶してもよい。一実施例では、記憶装置164は命令及びデータの長期の記憶を行い、記憶装置162は、記憶装置164の時間よりも短い時間必要とされるだけでもよいデータまたは命令用の記憶装置を提供する。
【0014】
コンピュータ・キーボードまたはマウスまたはこの両方のような入力装置166によりユーザは、コンピュータ・システム150に入力を与えることができる。ディスプレイまたはプリンタのような出力装置168により、コンピュータ・システム150はこのコンピュータ・システム150のユーザに対し命令、データまたは他の情報のような情報を提供することができる。従来のフロッピー(登録商標)・ディスク・ドライブまたはCD−ROMドライブのような記憶入力装置170は、コンピュータ命令またはデータをコンピュータ・システム150の送信に使用可能な従来のフロッピー(登録商標)・ディスクまたはCD−ROMまたは不揮発性記憶メディアのようなコンピュータ・プログラム製品174を入力装置172を介して容認する。コンピュータ・プログラム製品174は、コンピュータ・システム150を設定して以下に記載するように動作させるために、プログラム命令、データまたはこれら両者として符号化された、フロッピー(登録商標)・ディスクの場合には磁荷、またはCD−ROMの場合には光学的エンコーディング、のようなコンピュータが読み取り可能なプログラム・コード装置176をそれ自体に符号化している。
【0015】
一実施例では、各コンピュータ・システム150は、カリフォルニア州のマウンテン・ビューのサン・マイクロシステムズ社から市販されているソーラリス(SOLARIS)オペレーティング・システムを動作させる従来のサン・マイクロシステムズ・ウルトラ(SUN MICRO SYSTEMS ULTRA)10ワークステーション、レドモンド・ワシントンのマイクロソフト・コーポレーションから市販されている(95、98、Me、XP、NTまたは2000)のようなウインドウズ・オペレーティング・システムのバージョンを動作させるテキサス州ラウンド・ロックのデル・コンピュータ・コーポレーションから入手可能なようなペンティアム(登録商標)−コンパチブル・パーソナル・コンピュータ・システム、
【0016】
カリフォルニア州のカパーチノのアップル・コンピュータ・コーポレーションから市販されているマコス(MACOS)またはオープンステップ(OPEN STEP)オペレーティング・システムを動作させるマッキントッシュ・コンピュータ・システム、及びカリフォルニア州のマウンテン・ビューのネットスケープ・コミュニケーションズ・コーポレーションから市販されているネットスケープ・ブラウザまたは上記のマイクロソフトから市販されているインターネット・エクスプローラ・ブラウザであるが、他のシステムも使用してよい。
【0017】
次に図2を見ると、ユーザがウェッブ・サイトを認証することができ、かつウェッブ・サイトがユーザを認証することができるシステム200が、本発明の一実施例により示されている。これらの機能の両方はここに記載するが、一実施例では、これらの機能の一つは他の機能なしで使用してもよい。つまり、本発明による両機能を使用することは必要ではないが、他の実施例は両機能を使用する。
【0018】
システム200は、一つ以上のサーバと一つ以上のクライアントを有しており、代表的なサーバ202とクライアント260が示してあるが、多くのクライアントはサーバ202に同時にまたは異なる時にアクセスしてもよく、多くのサーバは同時に使用されてもよい。サーバ200は、大きな1組の要素で示され、そして多くのサーバが存在してもよく、この各サーバは図示の大きな1組の要素または小さな1組の要素を備えている。
【0019】
一実施例では、ここに記載したサーバ202への全ての通信またはサーバ202からの全ての通信は、インターネットまたはローカル・エリア・ネットワークまたはこの両者のようなネットワーク254に接続された通信インターフェイス210の入力/出力部208を介して行われる。通信インターフェイス210は、イーサネット(登録商標)、TCP/IPまたは他の通信プロトコルをサポートする従来の通信インターフェイスである。
【0020】
クライアント260への通信及びクライアント260からの通信は、通信インターフェイス262の入力/出力部258を介して行われ、この通信インターフェイス262は、通信インターフェイス210に類似またはこれと同一の従来の通信インターフェイスを有しているが、従来のキーボード/モニタ/マウス(図示せず)または他の類似の従来の入力/出力装置に対し入力/出力部256を介して接続される従来の回路を含んでいてもよい。通信インターフェイス262は、この一部でもある入力/出力部258部に接続されたモデムを介してネットワーク254に接続されてもよい。
【0021】
一実施例では、更に詳しく以下に記載するように、ウェッブ・サイトをユーザが知覚認証できるようにユーザごとのカスタマイゼーション情報を識別するために登録処理が行われる。この知覚認証には、1ページ以上のウェッブ・ページの一見付随的に設けた1つ以上のサウンド、匂い、感触または趣向のような、ユーザにより検出可能な何物をも含んでよい。例えば、ユーザの写真は、ページが本物であるということをユーザに示すために、初期のウェッブ・サイトのログオン・ページに、またはオプションで続くページに表現されるようにしてもよい。写真の代わりに、または、写真の他に、特定のテキスト文を使用してもよい。ユーザの知っている音をこれらのいずれかの他に、またはこれらのいずれかの代わりに使用してもよい。
【0022】
上記の登録処理は、次に記載するように、ユーザがウェッブ・サイトを認証できるようにユーザに提供されるカスタマイゼーション情報に対しユーザの識別子を関連付ける。一実施例では、ユーザは、このカスタマイゼーション情報を提供または選択するが、他の実施例ではシステム管理部がこの機能を実施し、ユーザに対してそのカスタマイゼーション情報を通知する。
【0023】
一実施例では、ユーザは通信インターフェイス210を介して受信されたウェッブ・ページの要求を介してサーバ202にログインするために従来のブラウザ264、通信インターフェイス262及びネットワーク254を使用する。この要求は、この要求のポート番号に基づいてウェッブ・アプリケーション240に提供される。ブラウザ264は、ここに記載されたように使用されるが、他の実施例はオペレーティング・システム・ソフトウエア、サーヴレット(servlet)または他のアプリケーション・ソフトウエアを使用してもよい。
【0024】
ウェッブ・アプリケーション240は、サーバ202(またはここに記載したサーバ202と類似または同一の別のサーバ)のセキュア・ソケット・レイヤ(SSL)・ポートにユーザのブラウザを向け直し、ユーザのブラウザ264は、通信インターフェイス210が提供するセキュア・ソケット・レイヤ接続を介して、暗号化された通信マネージャ212に要求を送り直す。暗号化された通信マネージャ212は、その接続を確立し、要求を受信し及びこの要求を解読するための従来のSSL処理技術を使用し、解読された要求をウェブ・アプリケーション240に提供する。
【0025】
ウェブ・アプリケーション240は、クッキー記憶装置266に記憶されていてもよく、もしそのように記憶されていれば、接続の一部としてブラウザ264によりサーバ202に提供されたクッキーを読み取ろうとする。一実施例では、(または他の実施例では全ての場合に)クッキーが存在しない場合、ウェブ・アプリケーション240は、登録マネージャ222により提供された登録ページへのリンクを有する(以下に記載するようにユーザがログインしてもよい)ウェブ・ページを形成する。ユーザがリンクをクリックすると、ユーザのブラウザ264は登録ページを要求する。この登録ページは上記のSSL接続かまたは別のSSL接続を使用してもよい。通信インターフェイス210は、その要求を受信し、それを登録マネージャ222に対しSSL接続を介し暗号化通信マネージャ212を介して提供し、登録マネージャ222は通信インターフェイス210及びSSL接続を使用する暗号化通信マネージャ212を介してそのページを提供する。
【0026】
ユーザは自分が実際に自分だということを示すための十分な証拠を提供してもよい。この処理は登録マネージャ222により実施されるが、種々の方法で行ってもよい。
【0027】
一実施例では、登録マネージャ222により提供されるウェッブ・ページは、相手方の同一性を証明した人のユーザネーム及び/パスワードを登録のために必要とする。その登録マネージャ222は、提供されたユーザネーム及び/またはパスワードが登録マネージャ222により一組の認可されたユーザネーム及びパスワードと比較してユーザが自分の同一性の十分な証拠を提供していたか否かを決定できるように、ユーザネーム及びパスワードをデータベース224に前もって記憶している。他の実施例では、登録マネージャ222は、メール、ファックスまたは電話のような帯域外(out−of−band)手段を介して、または他のウェッブ接続またはEメールメッセージを介してユーザに提供されており、そして、以前に発生されて登録マネージャ222によりユーザに提供された1つ以上の識別子よりなる他の1組をユーザに入力するよう催促する。
【0028】
ウェッブ・サイトのセキュリティの必要性に基づいて、ユーザは前記の他のシステムにより提供された情報なしで、前記の同一性の十分な証拠を提供してもよい。これは、ユーザの識別子とパスワードであってもよいが、母の旧姓またはユーザまたは他のソースから前もって集められてデータベース224に記憶されていた他の情報であってもよい。また、1つ以上の質問が不規則に選択されて登録マネージャ222によりユーザに提供され、登録マネージャ222がその答えを受信してその質問(例えば、ペット・ネーム)に対する答えを、登録マネージャ222により提供された同一のウェッブ・ページ形態または異なるウェッブ・ページ形態を介して登録マネージャ222にユーザより提供もされたユーザネーム(及びオプションのパスワード)に対応するデータベース224の記録と比較するチャレンジ応答装置を使用してもよい。
【0029】
他の実施例では、要求に応じて登録マネージャ222が発生するウェッブ・ページ形態を介して登録マネージャ222に対しユーザにより提供されたユーザネームまたはユーザネームとパスワードは、十分な識別証拠となろう。更に他の実施例では、ユーザは、登録マネージャ222に対し自分自身を認証させる必要はない。この実施例では十分な識別証拠は、特定のIPアドレスからまたは別の方法で一定の時に相手がウェッブ・サイトに接続されると言う事実である。
【0030】
登録マネージャ222は、一度ユーザから充分な識別証拠を受信すると、(ユーザネームと同一またはユーザにより提供された他の識別子、またはユーザのための他の情報を保持するデータベース224の記録に対応するものであってもよい)ユーザ用の識別子を発生し、または現存の識別子を使用し、この識別子がこのユーザのために既に存在の可能性のある任意の前記記録内にまだ記録されていない場合にはデータベース224のユーザ用の記録内にこの識別子を記憶する。
【0031】
ユーザは、カスタマイゼーション情報を提供する。
ユーザがユーザの同一性の十分な証拠を提供した後、ユーザが秘密のまたは他の情報をウェッブ・サイトに提供するよう要求された時に、登録マネージャ222は、あらかじめ定義したリストから選択しまたはユーザに一部または全てを提供することができるカスタマイゼーション情報を提供するようユーザに催促する。上記のように、他の実施例の場合にシステム管理部はユーザに対しカスタマイゼーション情報を選択または提供することができる。
【0032】
カスタマイゼーション情報は、ウェッブ・サイトが本物であるということを認識するためにユーザが使用することができるものは何物でもよい。それは、次の物、すなわち、写真、グラフィック、カラー、レイアウト、メッセージ、音、匂い、または感触により検出される可能性のある物の内のいずれのどんな番号であってもよい。カスタマイゼーション情報は、リストから選択してもよく、または自分自身のデジタル写真のようなウェッブ・サイトの真正さを識別するためにユーザにより使用され提供される元の情報であってもよい。カスタマイゼーション情報は静的である必要はない、すなわち、それは「@date」がその日の日時により置き換えられる「本日は@date」、または5月の次の5日までの日数が「(@5May-Today)」の代わりに使用される(あなたの誕生日までのわずか(@55May-today)日」のような決まり文句であってもよい。
【0033】
登録マネージャ222は、上記の品目の内のいずれかのどんな番号をも選択または提供することを可能にするウェッブ・ページを提供し、データベース224内のユーザ用のデータベース記録に上記品目またはこれらの品目の表示を記憶する。更に他の実施例では、登録マネージャ222はこのカスタマイゼーション情報を(すなわち、不規則に)発生または選択してそれをユーザに提供し、それをデータベース記録に記憶する。カスタマイゼーション情報は、上記のようにウェッブ・ページを介しまたは帯域外で提供されてもよい。
【0034】
一実施例では、登録マネージャ222は、カスタマイゼーション情報を提供または催促及び受信して他人がこのカスタマイゼーション情報を傍受するのを防止するためにSSL暗号化通信のような確実な通信チャネルを開始し使用する暗号化通信チャネル212を介してカスタマイゼーション情報を提供し、または催促し及び受信する。
【0035】
クッキーは暗号化され、証明され、そして記憶される。
登録マネージャ222は、署名され暗号化されたクッキーのユーザのコンピュータ・システムへの記憶をも開始もする。この記憶は、上記のようにユーザの同一性の十分な証拠をユーザが提供した後いつでも行ってよく、上記のカスタマイゼーション情報の識別の前、後、または、この代わりに行ってよい。
【0036】
このクッキーを形成し記憶するために、登録マネージャ224は、上記のようにデータベース224のユーザの記録に記憶されたユーザの識別子をクッキー形成部230に提供する。クッキー形成部230は、クッキー中にユーザの識別子を有し、他の状態情報をクッキーに加えてもよく、そして識別子及び他の情報をクッキー署名部232に提供する。クッキー署名部232は、識別子をハッシング(hashing)するような従来の暗号化技術を使用してクッキーに署名し、またはオプションで、クッキーの署名と呼ばれるハッシュ結果を生じさせるための秘密のハッシュ・キーを使用して他の情報に署名する。クッキー署名部232は、クッキーと集合的に称されるクッキー署名、識別子及びオプションの他の情報をクッキー暗号化部234に提供する。このクッキー暗号化部234は、公開キー/秘密キーの対の内の公開キーを使用するか対称キーを使用するような従来の暗号化技術を使用してクッキーを暗号化する。
【0037】
次に、クッキー暗号化部234によりブラウザ264は、上記のように登録のために使用される接続部のようなSSL接続をオプションで使用し、暗号化通信マネージャ212、通信インターフェイス210、ネットワーク254、通信インターフェイス262を介してユーザのクライアント・コンピュータ・システム260にあるクッキー記憶装置266に暗号化クッキーを記憶する。クッキー記憶装置266は、従来のメモリまたはディスク記憶装置であってもよく、クッキーの記憶のために使用されるその一部であってもよく、クライアント・コンピュータ・システム260の一部であってもよく、またはスマート・カード、USBメモリ・トークン(テキサス州のラウンド・ロックのデル・コンピュータ・システムズから市販されているUSBメモリ・キーのようなUSBポートを介してパーソナル・コンピュータにインターフェイス接続する携帯メモリ装置)のような着脱自在の装置に存在するものであってもよい。ここに記載したようにクッキーは使用されるが、他の実施例は種々の種類の暗号化ファイル、証明書または他の類似のデータ構造を使用してもよい。
【0038】
一実施例では、ユーザのクライアント・コンピュータ・システム260は、初期登録に使用される必要はない。その代わり、登録処理は2つの部分で行われてもよい。その第1の部分により、ユーザは公知のIPアドレスを有するかシステム管理部のユーザ、識別子及びパスワードを使用して認証された特定の組のブラウザから上記のようにカスタマイゼーション情報を選択することができる。また第2の部分により、ユーザは自分の所有するブラウザから上記のようにユーザの同一性の証拠を使用してログインすることができ、この時に、暗号化されたクッキーはユーザのクライアント・コンピュータ・システム260に配置される。
【0039】
ウェッブ・ページ及び/またはユーザの同一性の証明
上記のようなクッキーの受信に続いて、ユーザがウェッブ・サイトからウェッブ・ページを要求する時、ユーザはその要求をサーバ202に送るために自分のウェッブ・ブラウザ264を使用する。ブラウザ264は、通信インターフェイス262と210及びネットワーク254を介してその要求をサーバ202に送る。通信インターフェイス210は、この要求をウェッブ・アプリケーション240に送る。ウェッブ・アプリケーション240は、ここに記載したように変形された従来のウェッブ・アプリケーション・プログラムである。ウェッブ・アプリケーション240は、ユーザを認証し、次に記載するように、ユーザがウェッブ・サイトを認証できるようにカスタマイゼーション情報を提供するか、または両者を行ってもよい。
【0040】
ユーザを認証するために、ウェッブ・アプリケーション240は、クッキー記憶装置266からブラウザ264により提供された暗号化クッキーを読み取る。この暗号化クッキーは、ここに記載したようにクッキー記憶装置266に配置されている。ウェッブ・アプリケーション240は、この暗号化クッキーをユーザ認証部242に送る。このユーザ認証部242は、この暗号化クッキーを解読し、このクッキーの残りから署名を分離する。
【0041】
ユーザ認証部242は、(例えば、署名を形成するために使用された同一のハッシュ・アルゴリズム及びハッシュ・キーを使用してクッキーの残りをハッシュし直し、このハッシュの結果を署名と比較することにより)署名がクッキーの残部に対応するということを証明し、そしてユーザ認証部242が署名を介してユーザを認証する場合(例えば、ユーザ認証部242が発生するハッシュの結果が署名に一致する場合)クッキーに記憶されている可能性のあるユーザの識別子及び他の情報をウェッブ・アプリケーション240に提供するか、または(例えば、ユーザ認証部242が発生するハッシュの結果が署名に符号しない場合)クッキーは有効でないということを示す。
【0042】
ユーザ認証部242がクッキーは有効でないということを示す場合、ウェッブ・アプリケーション240は、ウェッブ・サイトの一部または全部へのアクセスを拒否してもよい。さもなければ、ウェッブ・アプリケーション240はユーザ識別子を受信してウェッブ・アプリケーション240を動作させるために及び/またはここに記載したように選択されたカスタマイゼーション情報をユーザに提供するためにユーザ識別子を使用する。
【0043】
カスタマイゼーション情報は、ウェッブ・アプリケーション240により提供されることごとくのウェッブ・ページ、ユーザに秘密情報を提供するために表示されるウェッブ・ページ、一部のウェッブ・ページ、ユーザから任意の情報を要求するために使用されるウェッブ・ページ、またはユーザから秘密情報を要求するために使用されるウェッブ・ページまたはこれらのウェッブ・ページの一部または全ての任意の組み合わせを備えていてもよい。秘密情報は、ウェッブ・サイトのオペレータの金融資源または他の資源へのアクセスに使用することができる情報、またはユーザが他人に知られたくない可能性ある他の情報を含んでもよい。
【0044】
カスタマイゼーション情報は、上記のウェッブ・ページの一部として提供されてもよく、または別々に提供されてもよい。上記のウェッブ・ページの任意のものを備えたカスタマイゼーション情報を提供するために、ウェッブ・アプリケーション240は、カスタマイゼーション情報プロバイダ244に対して上記のように受信されたユーザ識別子と、カスタマイゼーション情報を省略したウェッブ・ページのコンテンツとを提供する。このウェッブ・ページは、オプションとして、カスタマイゼーション情報を如何にそしてこのウェッブ・ページの何処に挿入すべきかを記載するこのウェッブ・ページにおける一つ以上の表示を、ユーザのIPアドレスやウェッブ・ページにアドレスするために使用することができる他の情報と共に有している。
【0045】
カスタマイゼーション情報プロバイダ244は、データベース244からユーザ識別子に対応する記録内に記憶されたカスタマイゼーション情報を検索して、例えば、ウェッブ・ページで、またはこのウェッブ・ページの一部として、受信された命令に従ってそのカスタマイゼーション情報プロバイダ244がウェッブ・アプリケーション240から受信するウェッブ・ページにこのカスタマイゼーション情報を加えることにより、またはそのカスタマイゼーション情報をウェッブ・ページの一定の場所に提供することによってそのカスタマイゼーション情報を提供する。更に、このカスタマイゼーション情報プロバイダ244が受信するユーザのIPアドレスを使用してこのカスタマイゼーション情報プロバイダ244が受信するどのようなウェッブ・ページをも持つカスタマイゼーション情報をユーザに提供する。
【0046】
一実施例では、カスタマイゼーション情報は、ユーザのモバイル電話を呼び出して、ユーザの音声、好きな歌、あらかじめ記憶したメッセージの記録を再生することにより、または別な方法によりウェッブ・ページが本物であるということをユーザに指示するなどして、帯域外でカスタマイゼーション情報プロバイダ244により提供されてもよい。この帯域外カスタマイゼーション情報は、出力部243を介して提供することができ、この出力部243は従来の電話線に接続されてもよい。カスタマイゼーション情報プロバイダ244は、適当なインターフェイスを有している。
【0047】
例えば、ブラウザ264と入力/出力部256に接続されたモニタを介してまたは帯域外でカスタマイゼーション情報をユーザが受信すると、ユーザはウェッブ・サイトを認証するためにそれを使用し、カスタマイゼーションが紛失し、または上記のようにユーザが選択しまたは提供したカスタマイゼーション情報とは異なる場合、情報提供またはウェッブ・サイトの使用を抑えてもよい。カスタマイゼーション情報がここに記載したように登録されたものである場合、ユーザはウェッブ・アプリケーション240により提供されたウェッブ・ページを介して秘密情報を提供し、ウェッブ・アプリケーション240から受信した情報を信じ、またはこれら両方を行ってもよい。
【0048】
カスタマイゼーション情報は、ユーザ毎に単一であるとして本明細書に記載されたが、異なるカスタマイゼーション情報はユーザの一部または全ての各々について登録されてもよく、この場合、カスタマイゼーション情報はそれぞれ異なる意味を有している。例えば、一つの場合は、ユーザが確実な情報を提供することはOKであるということを意味してもよく、更に別の場合、ウェッブ・ページに関する情報は確実なソースから提供されたものとして確認されたということを同一のユーザが意味するカスタマイゼーション情報がある。カスタマイゼーション情報の各場合のユーザの識別子への関連付けは、この場合の識別子と共に本明細書に記載したように行うことができ、ユーザにとってのカスタマイゼーション情報の各場合は、このユーザにとっての他の場合とは知覚的に異なってもよい。
【0049】
次に、ウェッブ・アプリケーション240は、カスタマイゼーション情報プロバイダ244に対してユーザの識別子と、提供されるべきカスタマイゼーション情報の場合の識別子とを提供し、カスタマイゼーション情報プロバイダ244は、各ユーザのカスタマイゼーション情報の単一の場合について上記と同じ方法でカスタマイゼーション情報の適切な場合を検索してユーザに提供するためにユーザの識別子と前記カスタマイゼーション情報の場合の識別子を使用する。
【0050】
データベースは、集中化してもよい。
一実施例では、データベース224はサーバ202に存在せずに、ネットワーク254を介して1つ以上のサーバ202にアクセスできるデータベース224Aにより置き換えられ、そして、さもなければ、データベース224として動作する。この一つ以上のサーバの各々は、同一のウェッブ・サイトに対してサーバ202または別のウェッブ・サイトとして役立つものであってもよい。この実施例では、1つ以上のサーバ202が存在し、各サーバはユーザを登録して上記のようにカスタマイゼーション情報を提供するが、データベース224の代わりに中央データベース224Aを共有するか、サーバ202の一部だけがユーザを登録し、他のサーバはユーザがこの登録サーバを識別しまたはこの登録サーバに提供するカスタマイゼーション情報または上記のように登録サーバにより提供されるカスタマイゼーション情報を利用する。
【0051】
一実施例では、各サーバ202は、データベース224Aにおけるユーザの記録にアクセスするために同一のユーザに対する種々のサーバ間で独特な番号、例えば、ユーザ識別子に添付されたウェッブ・サイト番号またはサーバ番号、例えば、ユーザの社会的セキュリティ番号を使用する。この実施例では、多数のサーバ202にアクセス可能なカスタマイゼーション情報プロバイダ244Aは、サーバ202がユーザのカスタマイゼーション情報にアクセスしないようにカスタマイゼーション情報プロバイダ244の代わりに使用してもよい。カスタマイゼーション情報プロバイダ244Aは、ユーザに対してウェッブ・ページを備えたカスタマイゼーション情報を送るためにカスタマイゼーション情報プロバイダ244と同じ方法で動作する。
【0052】
一実施例では、データベース224Aとカスタマイゼーション情報プロバイダ224Aのいずれか一方と、ウェッブ・アプリケーション240またはカスタマイゼーション情報プロバイダ224は、カスタマイゼーション情報の要求またはカスタマイゼーション情報を持つウェッブ・ページを送る要求を認証する従来の認証技術を使用する。この認証技術には、パスワード、デジタル証明書または他の従来技術を含んでもよい。これらの要求は、従来のSSL接続がセキュリティを高めるために使用できるように暗号化通信マネージャ212を介して送ってもよい。
【0053】
次に図3A、すなわち、ユーザがウェッブ・サイトを認証でき、ウェッブ・サイトがユーザを認証できまたはこれら両者が可能となるためにユーザを登録する方法を示すフローチャートが本発明の一実施例にしたがって示されている。
【0054】
ユーザの同一性の証拠は、上記のようにステップ310で生成されて提供されてもよい。ステップ310で提供された証拠は、一実施例では上記のようにインターネットを介してまたは帯域外で(例えば、インターネットを介さずに)提供されてもよく、他の実施例では、ステップ310は省略してもよい。確実な通信は312でユーザに対しオプションで確立される。314でユーザの同一性の十分な証拠は要求され、ユーザの同一性の証拠は受信される。316でこの証拠が十分でない場合、図3Aのステップの残りの一部または全てへのアクセスは318で否定される。この方法は、ステップ314で続行する。316で否定されなければ、この方法はステップ320で続行する。
【0055】
ステップ320でユーザは、上記のようにカスタマイゼーション情報を選択または提供するよう催促され、そしてカスタマイゼーション情報が受信される。ステップ320は、ステップ312で確立されたSSL暗号化インターネット接続のような確実な通信チャネルを介して行われてもよい。カスタマイゼーション情報は、ユーザ提供のコンテンツまたはユーザの識別子に関連する1つ以上のサーバ提供のコンテンツの表示を含んでもよい。カスタマイゼーション情報は、322でユーザの識別子と記憶され、このユーザの識別子はユーザにより提供され、ステップ314で受信した証拠から調べられまたは322の一部として発生されてもよい。
クッキーは、上記のようにユーザ識別子を使用して作成され324、クッキーは326で証明され、330でユーザ・システムに記憶される。この方法はステップ310で続行する。
【0056】
次に図3Bを見ると、ウェッブ・サイトがユーザを認証することができ及び/またはユーザがウェッブ・サイトを認証することができる方法を示すフローチャートが本発明の一実施例に従って示されている。図3Bのステップは、図3Aのステップの一部または全ての後で実施されてもよい。ウェッブ・ページに対する要求は340で受信され、暗号化されたクッキーは、要求が受信され、そして、クッキーは解読された装置から342で読み取られる。この解読されたクッキーにおける署名は上記のように344でチェックされ、そしてクッキーが本物でないということを346でクッキーの署名が示す場合、この要求されたウェッブ・ページへのアクセスは348で拒否されてもよく、そして、この方法はステップ340で続行する。346で否定されなければ、この方法はステップ350で続行する。
【0057】
ステップ350で、要求が秘密情報を要求せず、またはユーザが認証の証拠を欲する可能性のある情報を提供しないウェッブ・ページの要求である場合、この要求されたウェッブ・ページは352で提供されてもよい。そしてこの方法はステップ340で続行する。350で否定されなければ、方法はステップ354で続行する。図中において破線で示した他の実施例では、ステップ350のテストは行われず、ステップ354は無条件でステップ350の「OK」ブランチに続く。
【0058】
ステップ354では、ステップ342で検索されたクッキーに記憶のユーザ識別子は上記のようにそのユーザ識別子に関連したカスタマイゼーション情報を検索するために使用される。カスタマイゼーション情報はオプションでその要求されたウェッブ・ページ356に組み込まれてもよく、このウェッブ・ページとカスタマイゼーション情報は、このカスタマイゼーション情報がウェッブ・ページと同一の接続部を介して提供される場合、確実なコネクションを介して提供されるか、または上記のように帯域外で提供されてもよい358。
【0059】
次に図4を見ると、ユーザによりウェッブ・サイトの一部または全てを認証する方法が本発明の一実施例に従って示してある。同一性の十分な証拠は、上記のようにオプションで受信され(例えば、帯域外で)410で提供される。カスタマイゼーション情報は識別されて、例えば、上記のようにそれを提供し、それを選択し、またはそれを412で受信する。暗号化され署名されたクッキーは、上記のように受信されて414で記憶されてもよい。ウェッブ・ページへの要求は提供され、オプションで、暗号化され署名されたクッキーが416で提供される。ウェッブ・ページとオプションの一定のカスタマイゼーション情報は、418で受信され、このカスタマイゼーション情報はステップ412で提供されまたは選択されたものと420で比較される。
【0060】
受信されたカスタマイゼーション情報がステップ412で識別されたものに422で対応すると(例えば、それが符合するので)、情報は426で受信されて信じられ、または提供されてもよい。さもなければ、ユーザはこの受信された情報を受け取るかまたは信ずることを拒否し、またはこの要求された情報を提供することを426で拒否してもよい。
【図面の簡単な説明】
【0061】
【図1】従来のコンピュータ・システムの簡略ブロック図である。
【図2】本発明の一実施例に従ってユーザがウェッブ・サイトを認証することができると共に、ウェッブ・サイトがユーザを認証することができるシステムの簡略ブロック図である。
【図3A】本発明の一実施例に従ってユーザがウェッブ・サイトを認証することができ、ウェッブ・サイトがユーザを認証することができるようにするためのユーザを登録する方法を示すフローチャートである。
【図3B】本発明の一実施例に従って、ウェッブ・サイトがユーザを認証することができ、および/またはユーザがウェッブ・サイトを認証することができる方法を示すフローチャートである。
【図4】本発明の一実施例従ってユーザによりウェッブ・サイトの一部または全部を認証する方法を示すフローチャートである。
【特許請求の範囲】
【請求項1】
カスタマイゼーション情報をユーザ識別子に関連付け、
前記ユーザ識別子をクッキーに提供し、
前記クッキーを暗号化し、
ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶し、
前記ウェッブ・ページの要求に応答して前記記憶されたクッキーを読み取り、
前記要求されたウェッブ・ページを提供し、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供ために使用されたものとは異なる通信チャネルと、
から選択された少なくとも1つを介して前記カスタマイゼーション情報を提供する、ウェッブ・ページを提供する方法。
【請求項2】
前記記憶ステップより前に前記クッキーに対しこのクッキーの署名を加え、
前記読み取られたクッキーの署名を実証することを更に有する、請求項1記載の方法。
【請求項3】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項1記載の方法。
【請求項4】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時に、しかし、それとは別に提供される、請求項1記載の方法。
【請求項5】
前記カスタマイゼーション情報を提供するステップは、ネットワークを介してデータベースに対し、前記読み取られたクッキーから前記ユーザ識別子を提供することを含む、請求項1記載の方法。
【請求項6】
前記ユーザの認証の証拠を受信するステップを更に有し、
前記関連付けステップは前記証拠を受信するステップに応答する、請求項1記載の方法。
【請求項7】
前記証拠は、システム管理部パスワードを有している、請求項6記載の方法。
【請求項8】
ウェッブ・サイトの少なくとも一部を認証する方法であって、
前記ウェッブ・サイトに対し少なくとも1つのウェッブ・ページと暗号化したクッキーへの要求を提供し、
ウェッブ・ページとカスタマイゼーション情報を受信し、
前記受信されたカスタマイゼーション情報に応答する前記ウェッブ・サイトの前記少なくとも一部を認証する方法。
【請求項9】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として受信され、
前記ウェッブ・ページとカスタマイゼーション情報は、確実な接続部を介して提供される、請求項8記載の方法。
【請求項10】
前記カスタマイゼーション情報は、確実な接続部を介してユーザにより提供される、請求項8記載の方法。
【請求項11】
前記カスタマイゼーション情報は、前記ウェッブ・サイトを操作するもの以外のものにより操作されるデータベースに提供される、請求項10記載の方法。
【請求項12】
前記受信されたウェッブ・ページは、秘密情報を登録する形式を有している、請求項8記載の方法。
【請求項13】
データベース出力部に接続されたデータベースでカスタマイゼーション情報をユーザ識別子に関連付けてこのユーザ識別子を出力部に提供する登録マネージャと、
前記登録マネージャの出力部に接続された入力部を有し、クッキーにおける前記ユーザ識別子を出力部に提供するクッキー形成部と、
前記クッキー形成部の出力部に接続された入力部を有し、前記クッキーを暗号化してこの暗号化したクッキーを出力部に提供するクッキー暗号化部と、
前記クッキー暗号化部の出力部に接続された入力/出力部を有し、前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶するクッキー記憶装置と、
ウェッブ・ページへの要求を受信するために接続された入力部を有し、前記ウェッブ・ページへの要求に応答して、前記ウェッブ・アプリケーションの入力部を介して記憶された前記クッキーを読み取り、前記ウェッブ・ページの少なくとも一部を第1の出力部に提供し、前記読み取られたクッキーから前記ユーザ識別子を第2の出力部に提供するウェッブ・アプリケーションと、
前記ユーザ識別子を受信するために前記ウェッブ・アプリケーションの第2の出力部に接続された入力部を有し、自体に接続された入力部/出力部を介して前記データベースから前記カスタマイゼーション情報の少なくとも一部を検索し、
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものとは異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を出力部に提供するカスタマイゼーション情報プロバイダと、
を有する、ウェッブ・ページを提供するシステム。
【請求項14】
前記クッキー形成部の出力部と前記クッキー暗号化部の入力部との間に接続されて前記クッキーの署名を前記クッキーに加えるクッキー署名部と、
前記登録マネージャの認証出力部から前記クッキーを受信する入力部を備えていて、前記クッキーの署名を確認して前記クッキーの少なくとも一部と前記クッキーの署名とに応答して認証の表示を出力部に提供するユーザ認証部とを更に有し、
前記ウェッブ・アプリケーションは、前記ユーザ認証部の出力部に接続されたウェッブ・アプリケーション認証入力部で受信された表示に応答して前記ウェッブ・ページを提供する、請求項13記載のシステム。
【請求項15】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページの一部として統合されたカスタマイゼーション情報を提供する、請求項13記載のシステム。
【請求項16】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に前記カスタマイゼーション情報を提供する、請求項13記載のシステム。
【請求項17】
前記データベースは前記ウェッブ・アプリケーションとは関係のうすいネットワークでアクセスされる、請求項13記載のシステム。
【請求項18】
ウェッブ・ページを提供するために内部に具体化されたコンピュータが読み取り可能なプログラム・コードを有するコンピュータが使用可能な媒体を備えたコンピュータ・プログラム製品であって、
カスタマイゼーション情報をユーザ識別子に関連付け、
前記ユーザ識別子をクッキーに提供し、
前記クッキーを暗号化し、
前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶し、
前記ウェッブ・ページへの要求に応答して、前記記憶されたクッキーを読み取り、
前記要求されたウェッブ・ページを提供し、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものと異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を提供する、
動作をコンピュータにさせるよう設定された前記コンピュータが読み取り可能なプログラム・コード装置を有するコンピュータ・プログラム製品。
【請求項19】
前記コンピュータを動作させて、
前記記憶ステップより前に前記クッキーに対し前記クッキーの署名を加え、
前記読み取られたクッキーの署名を確認する、
ように設定された前記コンピュータが読み取り可能なプログラム・コード装置を更に有する、請求項18記載のコンピュータ・プログラム製品。
【請求項20】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項18記載のコンピュータ・プログラム製品。
【請求項21】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に提供される、請求項18記載のコンピュータ・プログラム製品。
【請求項22】
前記コンピュータに前記カスタマイゼーション情報ステップを提供させるように構成された前記コンピュータが読み取り可能なプログラム・コード装置は、ネットワークを介して前記読み取られたクッキーから前記ユーザ識別子をデータベースに提供させるように構成されたコンピュータが読み取り可能なプログラム・コード装置を有している、請求項18記載のコンピュータ・プログラム製品。
【特許請求の範囲】
【請求項1】
ウェッブ・ページを提供する方法であって、
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくともウェッブ・ページを知覚して認証できるようにするために少なくとも一部行われた登録処理の少なくとも一部として、カスタマイゼーション情報をユーザ識別子に関連付けるステップと、
前記ユーザ識別子をクッキーに提供するステップと、
前記クッキーを暗号化するステップと、
ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶するステップと、
前記ウェッブ・ページの要求に応答して前記記憶されたクッキーを読み取るステップと、
前記要求されたウェッブ・ページを提供するステップと、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものとは異なる通信チャネルと、
から選択された少なくとも1つを介して前記カスタマイゼーション情報を提供するステップと、
前記カスタマイゼーション情報を以前提供された情報と比較するステップを含む前記ウェッブ・ページを提供する方法。
【請求項2】
前記記憶ステップより前に前記クッキーに対しこのクッキーの署名を加えるステップと、
前記読み取られたクッキーの署名を実証するステップを更に有する、請求項1記載の前記方法。
【請求項3】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項1記載の前記方法。
【請求項4】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時に、しかし、それとは別に提供される、請求項1記載の前記方法。
【請求項5】
前記カスタマイゼーション情報を提供するステップは、ネットワークを介してデータベースに対し、前記読み取られたクッキーから前記ユーザ識別子を提供するステップを含む、請求項1記載の前記方法。
【請求項6】
前記ユーザの認証の証拠を受信するステップを更に有し、前記関連付けステップは前記証拠を受信するステップに応答する、請求項1記載の前記方法。
【請求項7】
前記証拠は、システム管理部パスワードを有している、請求項6記載の前記方法。
【請求項8】
ウェッブ・サイトの少なくとも一部を認証する方法であって、
前記ウェッブ・サイトを有するウェッブ・サーバに対し少なくとも1つのウェッブ・ページと暗号化したクッキーへの要求を電子的に提供するステップと、
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくとも前記ウェッブ・ページを知覚して認証することができるようにするために少なくとも一部行われた登録処理の少なくとも一部として以前受信されたウェッブ・ページとカスタマイゼーション情報を電子的に受信するステップと、
前記受信されたカスタマイゼーション情報に応答する前記ウェッブ・サイトの前記少なくとも一部を認証する前記方法。
【請求項9】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として受信され、
前記ウェッブ・ページとカスタマイゼーション情報は、確実な接続部を介して提供される、請求項8記載の前記方法。
【請求項10】
前記カスタマイゼーション情報は、確実な接続部を介してユーザにより提供される、請求項8記載の前記方法。
【請求項11】
前記カスタマイゼーション情報は、前記ウェッブ・サイトを操作するもの以外のものにより操作されるデータベースに提供される、請求項10記載の前記方法。
【請求項12】
前記受信されたウェッブ・ページは、秘密情報を登録する形式を有している、請求項8記載の前記方法。
【請求項13】
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくともウェッブ・ページを知覚して認証することができるようにするために少なくとも一部行われた登録処理の少なくとも一部として、データベース出力部に接続されたデータベースでカスタマイゼーション情報をユーザ識別子に関連付けてこのユーザ識別子を出力部に提供する登録マネージャと、
前記登録マネージャの出力部に接続された入力部を有し、クッキーにおける前記ユーザ識別子を出力部に提供するクッキー形成部と、
前記クッキー形成部の出力部に接続された入力部を有し、前記クッキーを暗号化してこの暗号化したクッキーを出力部に提供するクッキー暗号化部と、
前記クッキー暗号化部の出力部に接続された入力/出力部を有し、前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶するクッキー記憶装置と、
ウェッブ・ページへの要求を受信するために接続された入力部を有し、前記ウェッブ・ページへの要求に応答して、前記ウェッブ・アプリケーションの入力部を介して記憶された前記クッキーを読み取り、前記ウェッブ・ページの少なくとも一部を第1の出力部に提供し、前記読み取られたクッキーから前記ユーザ識別子を第2の出力部に提供するウェッブ・アプリケーションと、
前記ユーザ識別子を受信するために前記ウェッブ・アプリケーションの第2の出力部に接続された入力部を有し、自体に接続された入力部/出力部を介して前記データベースから前記カスタマイゼーション情報の少なくとも一部を検索し、前記ウェッブ・ページが秘密情報を要求するか、または前記ユーザが欲することができる認証の証拠に関する情報を提供することに応答して:
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものとは異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を出力部に提供するカスタマイゼーション情報プロバイダと、
を有するウェッブ・ページを提供するシステム。
【請求項14】
前記クッキー形成部の出力部と前記クッキー暗号化部の入力部との間に接続されて前記クッキーの署名を前記クッキーに加えるクッキー署名部と、
前記登録マネージャの認証出力部から前記クッキーを受信する入力部を備えていて、前記クッキーの署名を確認して前記クッキーの少なくとも一部と前記クッキーの署名とに応答して認証の表示を出力部に提供するユーザ認証部とを更に有し、
前記ウェッブ・アプリケーションは、前記ユーザ認証部の出力部に接続されたウェッブ・アプリケーション認証入力部で受信された表示に応答して前記ウェッブ・ページを提供する、請求項13記載の前記システム。
【請求項15】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページの一部として統合されたカスタマイゼーション情報を提供する、請求項13記載の前記システム。
【請求項16】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に前記カスタマイゼーション情報を提供する、請求項13記載の前記システム。
【請求項17】
前記データベースは前記ウェッブ・アプリケーションとは関係のうすいネットワークでアクセスされる、請求項13記載の前記システム。
【請求項18】
ウェッブ・ページを提供するために内部に具体化されたコンピュータが読み取り可能なプログラム・コードを有するコンピュータが使用可能な媒体を備えたコンピュータ・プログラム製品であって、
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくとも前記ウェッブ・ページを知覚して認証することができようにするために少なくとも一部行われた登録処理の少なくとも一部として、カスタマイゼーション情報をユーザ識別子に関連付け、
前記ユーザ識別子をクッキーに提供し、
前記クッキーを暗号化し、
前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶し、
前記ウェッブ・ページへの要求に応答して、前記記憶されたクッキーを読み取り、
前記要求されたウェッブ・ページを提供し、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものと異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を提供し、
前記カスタマイゼーション情報を以前提供された情報と比較する、
動作をコンピュータにさせるよう設定された前記コンピュータが読み取り可能なプログラム・コード装置を有するコンピュータ・プログラム製品。
【請求項19】
前記コンピュータを動作させて
前記記憶ステップより前に前記クッキーに対し前記クッキーの署名を加え、
前記読み取られたクッキーの署名を確認する、
ように設定された前記コンピュータが読み取り可能なプログラム・コード装置を更に有する、請求項18記載の前記コンピュータ・プログラム製品。
【請求項20】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項18記載の前記コンピュータ・プログラム製品。
【請求項21】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に提供される、請求項18記載の前記コンピュータ・プログラム製品。
【請求項22】
前記コンピュータに前記カスタマイゼーション情報ステップを提供させるように構成された前記コンピュータが読み取り可能なプログラム・コード装置は、ネットワークを介して前記読み取られたクッキーから前記ユーザ識別子をデータベースに提供させるように構成されたコンピュータが読み取り可能なプログラム・コード装置を有している、請求項18記載の前記コンピュータ・プログラム製品。
【請求項1】
カスタマイゼーション情報をユーザ識別子に関連付け、
前記ユーザ識別子をクッキーに提供し、
前記クッキーを暗号化し、
ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶し、
前記ウェッブ・ページの要求に応答して前記記憶されたクッキーを読み取り、
前記要求されたウェッブ・ページを提供し、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供ために使用されたものとは異なる通信チャネルと、
から選択された少なくとも1つを介して前記カスタマイゼーション情報を提供する、ウェッブ・ページを提供する方法。
【請求項2】
前記記憶ステップより前に前記クッキーに対しこのクッキーの署名を加え、
前記読み取られたクッキーの署名を実証することを更に有する、請求項1記載の方法。
【請求項3】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項1記載の方法。
【請求項4】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時に、しかし、それとは別に提供される、請求項1記載の方法。
【請求項5】
前記カスタマイゼーション情報を提供するステップは、ネットワークを介してデータベースに対し、前記読み取られたクッキーから前記ユーザ識別子を提供することを含む、請求項1記載の方法。
【請求項6】
前記ユーザの認証の証拠を受信するステップを更に有し、
前記関連付けステップは前記証拠を受信するステップに応答する、請求項1記載の方法。
【請求項7】
前記証拠は、システム管理部パスワードを有している、請求項6記載の方法。
【請求項8】
ウェッブ・サイトの少なくとも一部を認証する方法であって、
前記ウェッブ・サイトに対し少なくとも1つのウェッブ・ページと暗号化したクッキーへの要求を提供し、
ウェッブ・ページとカスタマイゼーション情報を受信し、
前記受信されたカスタマイゼーション情報に応答する前記ウェッブ・サイトの前記少なくとも一部を認証する方法。
【請求項9】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として受信され、
前記ウェッブ・ページとカスタマイゼーション情報は、確実な接続部を介して提供される、請求項8記載の方法。
【請求項10】
前記カスタマイゼーション情報は、確実な接続部を介してユーザにより提供される、請求項8記載の方法。
【請求項11】
前記カスタマイゼーション情報は、前記ウェッブ・サイトを操作するもの以外のものにより操作されるデータベースに提供される、請求項10記載の方法。
【請求項12】
前記受信されたウェッブ・ページは、秘密情報を登録する形式を有している、請求項8記載の方法。
【請求項13】
データベース出力部に接続されたデータベースでカスタマイゼーション情報をユーザ識別子に関連付けてこのユーザ識別子を出力部に提供する登録マネージャと、
前記登録マネージャの出力部に接続された入力部を有し、クッキーにおける前記ユーザ識別子を出力部に提供するクッキー形成部と、
前記クッキー形成部の出力部に接続された入力部を有し、前記クッキーを暗号化してこの暗号化したクッキーを出力部に提供するクッキー暗号化部と、
前記クッキー暗号化部の出力部に接続された入力/出力部を有し、前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶するクッキー記憶装置と、
ウェッブ・ページへの要求を受信するために接続された入力部を有し、前記ウェッブ・ページへの要求に応答して、前記ウェッブ・アプリケーションの入力部を介して記憶された前記クッキーを読み取り、前記ウェッブ・ページの少なくとも一部を第1の出力部に提供し、前記読み取られたクッキーから前記ユーザ識別子を第2の出力部に提供するウェッブ・アプリケーションと、
前記ユーザ識別子を受信するために前記ウェッブ・アプリケーションの第2の出力部に接続された入力部を有し、自体に接続された入力部/出力部を介して前記データベースから前記カスタマイゼーション情報の少なくとも一部を検索し、
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものとは異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を出力部に提供するカスタマイゼーション情報プロバイダと、
を有する、ウェッブ・ページを提供するシステム。
【請求項14】
前記クッキー形成部の出力部と前記クッキー暗号化部の入力部との間に接続されて前記クッキーの署名を前記クッキーに加えるクッキー署名部と、
前記登録マネージャの認証出力部から前記クッキーを受信する入力部を備えていて、前記クッキーの署名を確認して前記クッキーの少なくとも一部と前記クッキーの署名とに応答して認証の表示を出力部に提供するユーザ認証部とを更に有し、
前記ウェッブ・アプリケーションは、前記ユーザ認証部の出力部に接続されたウェッブ・アプリケーション認証入力部で受信された表示に応答して前記ウェッブ・ページを提供する、請求項13記載のシステム。
【請求項15】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページの一部として統合されたカスタマイゼーション情報を提供する、請求項13記載のシステム。
【請求項16】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に前記カスタマイゼーション情報を提供する、請求項13記載のシステム。
【請求項17】
前記データベースは前記ウェッブ・アプリケーションとは関係のうすいネットワークでアクセスされる、請求項13記載のシステム。
【請求項18】
ウェッブ・ページを提供するために内部に具体化されたコンピュータが読み取り可能なプログラム・コードを有するコンピュータが使用可能な媒体を備えたコンピュータ・プログラム製品であって、
カスタマイゼーション情報をユーザ識別子に関連付け、
前記ユーザ識別子をクッキーに提供し、
前記クッキーを暗号化し、
前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶し、
前記ウェッブ・ページへの要求に応答して、前記記憶されたクッキーを読み取り、
前記要求されたウェッブ・ページを提供し、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものと異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を提供する、
動作をコンピュータにさせるよう設定された前記コンピュータが読み取り可能なプログラム・コード装置を有するコンピュータ・プログラム製品。
【請求項19】
前記コンピュータを動作させて、
前記記憶ステップより前に前記クッキーに対し前記クッキーの署名を加え、
前記読み取られたクッキーの署名を確認する、
ように設定された前記コンピュータが読み取り可能なプログラム・コード装置を更に有する、請求項18記載のコンピュータ・プログラム製品。
【請求項20】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項18記載のコンピュータ・プログラム製品。
【請求項21】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に提供される、請求項18記載のコンピュータ・プログラム製品。
【請求項22】
前記コンピュータに前記カスタマイゼーション情報ステップを提供させるように構成された前記コンピュータが読み取り可能なプログラム・コード装置は、ネットワークを介して前記読み取られたクッキーから前記ユーザ識別子をデータベースに提供させるように構成されたコンピュータが読み取り可能なプログラム・コード装置を有している、請求項18記載のコンピュータ・プログラム製品。
【特許請求の範囲】
【請求項1】
ウェッブ・ページを提供する方法であって、
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくともウェッブ・ページを知覚して認証できるようにするために少なくとも一部行われた登録処理の少なくとも一部として、カスタマイゼーション情報をユーザ識別子に関連付けるステップと、
前記ユーザ識別子をクッキーに提供するステップと、
前記クッキーを暗号化するステップと、
ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶するステップと、
前記ウェッブ・ページの要求に応答して前記記憶されたクッキーを読み取るステップと、
前記要求されたウェッブ・ページを提供するステップと、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものとは異なる通信チャネルと、
から選択された少なくとも1つを介して前記カスタマイゼーション情報を提供するステップと、
前記カスタマイゼーション情報を以前提供された情報と比較するステップを含む前記ウェッブ・ページを提供する方法。
【請求項2】
前記記憶ステップより前に前記クッキーに対しこのクッキーの署名を加えるステップと、
前記読み取られたクッキーの署名を実証するステップを更に有する、請求項1記載の前記方法。
【請求項3】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項1記載の前記方法。
【請求項4】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時に、しかし、それとは別に提供される、請求項1記載の前記方法。
【請求項5】
前記カスタマイゼーション情報を提供するステップは、ネットワークを介してデータベースに対し、前記読み取られたクッキーから前記ユーザ識別子を提供するステップを含む、請求項1記載の前記方法。
【請求項6】
前記ユーザの認証の証拠を受信するステップを更に有し、前記関連付けステップは前記証拠を受信するステップに応答する、請求項1記載の前記方法。
【請求項7】
前記証拠は、システム管理部パスワードを有している、請求項6記載の前記方法。
【請求項8】
ウェッブ・サイトの少なくとも一部を認証する方法であって、
前記ウェッブ・サイトを有するウェッブ・サーバに対し少なくとも1つのウェッブ・ページと暗号化したクッキーへの要求を電子的に提供するステップと、
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくとも前記ウェッブ・ページを知覚して認証することができるようにするために少なくとも一部行われた登録処理の少なくとも一部として以前受信されたウェッブ・ページとカスタマイゼーション情報を電子的に受信するステップと、
前記受信されたカスタマイゼーション情報に応答する前記ウェッブ・サイトの前記少なくとも一部を認証する前記方法。
【請求項9】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として受信され、
前記ウェッブ・ページとカスタマイゼーション情報は、確実な接続部を介して提供される、請求項8記載の前記方法。
【請求項10】
前記カスタマイゼーション情報は、確実な接続部を介してユーザにより提供される、請求項8記載の前記方法。
【請求項11】
前記カスタマイゼーション情報は、前記ウェッブ・サイトを操作するもの以外のものにより操作されるデータベースに提供される、請求項10記載の前記方法。
【請求項12】
前記受信されたウェッブ・ページは、秘密情報を登録する形式を有している、請求項8記載の前記方法。
【請求項13】
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくともウェッブ・ページを知覚して認証することができるようにするために少なくとも一部行われた登録処理の少なくとも一部として、データベース出力部に接続されたデータベースでカスタマイゼーション情報をユーザ識別子に関連付けてこのユーザ識別子を出力部に提供する登録マネージャと、
前記登録マネージャの出力部に接続された入力部を有し、クッキーにおける前記ユーザ識別子を出力部に提供するクッキー形成部と、
前記クッキー形成部の出力部に接続された入力部を有し、前記クッキーを暗号化してこの暗号化したクッキーを出力部に提供するクッキー暗号化部と、
前記クッキー暗号化部の出力部に接続された入力/出力部を有し、前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶するクッキー記憶装置と、
ウェッブ・ページへの要求を受信するために接続された入力部を有し、前記ウェッブ・ページへの要求に応答して、前記ウェッブ・アプリケーションの入力部を介して記憶された前記クッキーを読み取り、前記ウェッブ・ページの少なくとも一部を第1の出力部に提供し、前記読み取られたクッキーから前記ユーザ識別子を第2の出力部に提供するウェッブ・アプリケーションと、
前記ユーザ識別子を受信するために前記ウェッブ・アプリケーションの第2の出力部に接続された入力部を有し、自体に接続された入力部/出力部を介して前記データベースから前記カスタマイゼーション情報の少なくとも一部を検索し、前記ウェッブ・ページが秘密情報を要求するか、または前記ユーザが欲することができる認証の証拠に関する情報を提供することに応答して:
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものとは異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を出力部に提供するカスタマイゼーション情報プロバイダと、
を有するウェッブ・ページを提供するシステム。
【請求項14】
前記クッキー形成部の出力部と前記クッキー暗号化部の入力部との間に接続されて前記クッキーの署名を前記クッキーに加えるクッキー署名部と、
前記登録マネージャの認証出力部から前記クッキーを受信する入力部を備えていて、前記クッキーの署名を確認して前記クッキーの少なくとも一部と前記クッキーの署名とに応答して認証の表示を出力部に提供するユーザ認証部とを更に有し、
前記ウェッブ・アプリケーションは、前記ユーザ認証部の出力部に接続されたウェッブ・アプリケーション認証入力部で受信された表示に応答して前記ウェッブ・ページを提供する、請求項13記載の前記システム。
【請求項15】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページの一部として統合されたカスタマイゼーション情報を提供する、請求項13記載の前記システム。
【請求項16】
前記カスタマイゼーション情報プロバイダは、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に前記カスタマイゼーション情報を提供する、請求項13記載の前記システム。
【請求項17】
前記データベースは前記ウェッブ・アプリケーションとは関係のうすいネットワークでアクセスされる、請求項13記載の前記システム。
【請求項18】
ウェッブ・ページを提供するために内部に具体化されたコンピュータが読み取り可能なプログラム・コードを有するコンピュータが使用可能な媒体を備えたコンピュータ・プログラム製品であって、
ユーザ用のカスタマイゼーション情報を認識して前記ユーザが少なくとも前記ウェッブ・ページを知覚して認証することができようにするために少なくとも一部行われた登録処理の少なくとも一部として、カスタマイゼーション情報をユーザ識別子に関連付け、
前記ユーザ識別子をクッキーに提供し、
前記クッキーを暗号化し、
前記ユーザにより操作されるコンピュータ・システムに前記クッキーを記憶し、
前記ウェッブ・ページへの要求に応答して、前記記憶されたクッキーを読み取り、
前記要求されたウェッブ・ページを提供し、
前記クッキーの読み取りに応答して
a)確実な接続部と、
b)前記ウェッブ・ページを提供するために使用されたものと異なる通信チャネルと、
から選ばれた少なくとも1つを介して前記カスタマイゼーション情報を提供し、
前記カスタマイゼーション情報を以前提供された情報と比較する、
動作をコンピュータにさせるよう設定された前記コンピュータが読み取り可能なプログラム・コード装置を有するコンピュータ・プログラム製品。
【請求項19】
前記コンピュータを動作させて
前記記憶ステップより前に前記クッキーに対し前記クッキーの署名を加え、
前記読み取られたクッキーの署名を確認する、
ように設定された前記コンピュータが読み取り可能なプログラム・コード装置を更に有する、請求項18記載の前記コンピュータ・プログラム製品。
【請求項20】
前記カスタマイゼーション情報は、前記ウェッブ・ページの一部として提供される、請求項18記載の前記コンピュータ・プログラム製品。
【請求項21】
前記カスタマイゼーション情報は、前記ウェッブ・ページとほぼ同時ではあるがそれとは別に提供される、請求項18記載の前記コンピュータ・プログラム製品。
【請求項22】
前記コンピュータに前記カスタマイゼーション情報ステップを提供させるように構成された前記コンピュータが読み取り可能なプログラム・コード装置は、ネットワークを介して前記読み取られたクッキーから前記ユーザ識別子をデータベースに提供させるように構成されたコンピュータが読み取り可能なプログラム・コード装置を有している、請求項18記載の前記コンピュータ・プログラム製品。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図2】
【図3A】
【図3B】
【図4】
【公表番号】特表2006−525563(P2006−525563A)
【公表日】平成18年11月9日(2006.11.9)
【国際特許分類】
【出願番号】特願2006−501305(P2006−501305)
【出願日】平成16年5月6日(2004.5.6)
【国際出願番号】PCT/US2004/014379
【国際公開番号】WO2004/102338
【国際公開日】平成16年11月25日(2004.11.25)
【出願人】(505414975)パスマーク セキュリティ、エルエルシー (1)
【Fターム(参考)】
【公表日】平成18年11月9日(2006.11.9)
【国際特許分類】
【出願日】平成16年5月6日(2004.5.6)
【国際出願番号】PCT/US2004/014379
【国際公開番号】WO2004/102338
【国際公開日】平成16年11月25日(2004.11.25)
【出願人】(505414975)パスマーク セキュリティ、エルエルシー (1)
【Fターム(参考)】
[ Back to top ]