A method and apparatus for authenticating and authorizing online
transactions. An authentication cookie is transmitted to a client system.
The authentication cookie includes a user encryption key and an encrypted
buffer that contains user identification data and a profile code.
Subsequent requests for the particular service use the authentication
cookie to generate a query that includes the encrypted buffer and user
identification data entered by the user. Portions of the query are
encrypted using the user encryption key. Queries received at each
authentication and authorization server are authenticated by
reconstructing the user encryption key using information transmitted in
the clear and decrypting the query using both the reconstructed user
encryption key and the secret key. The user identification data entered by
the user is then compared with the user identification data in the
encrypted buffer for further authentication. The profile code is analyzed
for determining authorization. If the query is authenticated and
authorized, the authentication and authorization server forwards the
request to a server that provides the desired service.
Une méthode et un appareil pour des transactions en ligne d'authentification et d'autorisation. Un biscuit d'authentification est transmis à un système de client. Le biscuit d'authentification inclut une clef de chiffrage d'utilisateur et un amortisseur chiffré qui contient des descriptions d'utilisateur et un code de profil. Les demandes suivantes du service particulier emploient le biscuit d'authentification pour produire d'une question qui inclut les descriptions chiffrées d'amortisseur et d'utilisateur saisies par l'utilisateur. Des parties de la question sont chiffrées en utilisant la clef de chiffrage d'utilisateur. Des questions reçues à chaque serveur d'authentification et d'autorisation sont authentifiées en reconstruisant l'information employante principale de chiffrage d'utilisateur transmise dans l'espace libre et en déchiffrant la question en utilisant la clef reconstruite de chiffrage d'utilisateur et la clef secrète. La description d'utilisateur saisie par l'utilisateur est alors comparée aux descriptions d'utilisateur dans l'amortisseur chiffré pour davantage d'authentification. Le code de profil est analysé pour déterminer l'autorisation. Si la question est authentifiée et autorisée, le serveur d'authentification et d'autorisation fait suivre à la demande un serveur qui fournit le service désiré.
