BR102022006725A2 - Sistema de autenticação - Google Patents

Sistema de autenticação Download PDF

Info

Publication number
BR102022006725A2
BR102022006725A2 BR102022006725-2A BR102022006725A BR102022006725A2 BR 102022006725 A2 BR102022006725 A2 BR 102022006725A2 BR 102022006725 A BR102022006725 A BR 102022006725A BR 102022006725 A2 BR102022006725 A2 BR 102022006725A2
Authority
BR
Brazil
Prior art keywords
service
server
user
authentication
terminal device
Prior art date
Application number
BR102022006725-2A
Other languages
English (en)
Inventor
Naoya Oka
Hitoshi Kageyama
Feng Xu
Dai Sasaki
Bharath TV
Original Assignee
Toyota Jidosha Kabushiki Kaisha
Toyota Financial Services Corporation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Jidosha Kabushiki Kaisha, Toyota Financial Services Corporation filed Critical Toyota Jidosha Kabushiki Kaisha
Publication of BR102022006725A2 publication Critical patent/BR102022006725A2/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • G06Q50/30
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/186Processing of subscriber group data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Um sistema de autenticação (1) inclui sistemas de prestação de serviço (10, 20, 30, 40), uma plataforma de ID global (50) e um dispositivo terminal (70) possuído por um usuário. O primeiro sistema de prestação de serviço (10) inclui um primeiro servidor de autenticação (11) e um primeiro servidor de back-end (12). O primeiro servidor de back-end (12) fornece um primeiro serviço. O segundo sistema de prestação de serviço (20) inclui um segundo servidor de autenticação (21) e um segundo servidor de back-end (22). O segundo servidor de back-end (22) fornece um terceiro serviço. O usuário é um membro do primeiro serviço e possui um ID de usuário do primeiro serviço. Quando o usuário solicita um acesso global ao terceiro serviço, a plataforma de ID global (50) retransmite a solicitação a partir do segundo servidor de autenticação (21) para o primeiro servidor de autenticação (11) e retransmite um resultado de autenticação, retornado pelo servidor de autenticação (11) para a solicitação, a partir do primeiro servidor de autenticação (11) para o segundo servidor de autenticação (21).

Description

SISTEMA DE AUTENTICAÇÃO ANTECEDENTES DA INVENÇÃO 1. Campo da Invenção
[001] A presente invenção refere-se a um sistema de autenticação.
2. Descrição da Técnica Relacionada
[002] A Publicação de Pedido de Patente Japonesa Não Examinada Nº 2020-036234 (JP2020-036234 A) descreve um sistema de autorização que inclui um servidor de autenticação e de autorização, um servidor de recursos que fornece serviços da web e um aparelho cliente. No sistema de autorização, um cliente recebe a prestação de um serviço da web a partir do servidor de recursos ao utilizar um token de acesso adquirido a partir do servidor de autenticação e de autorização.
SUMÁRIO DA INVENÇÃO
[003] Nos últimos anos, a interligação de ID, que permite a um cliente acessar vários serviços em uma rede ao utilizar um ID, tornouse um foco de atenção. A interligação de ID é alcançada ao utilizar-se um protocolo, tal como o OpenID Connect (OIDC).
[004] Se existir um grande número de serviços com os quais os IDs estão interligados, também existe um grande número de servidores de autenticação correspondendo aos servidores de serviço. Por essa razão, quando se pretende que os servidores de autenticação sejam interligados ao utilizar-se um protocolo do OIDC, o sistema pode ficar complicado. Um sistema complicado leva a um aumento no tempo e no custo requeridos para desenvolver e manter o sistema.
[005] A divulgação implementa a interligação entre servidores de autenticação com uma configuração relativamente fácil.
[006] Um aspecto da divulgação se relaciona com um sistema de autenticação. O sistema de autenticação inclui um dispositivo terminal configurado para ser operado por um usuário, um primeiro servidor configurado para armazenar informação de identificação para identificar o usuário, um segundo servidor configurado para não armazenar a informação de identificação, e uma plataforma configurada para retransmitir informação entre o primeiro servidor e o segundo servidor. A plataforma é configurada para, quando existir uma solicitação de autenticação do usuário a partir do dispositivo terminal para o segundo servidor, retransmitir a solicitação de autenticação a partir do segundo servidor para o primeiro servidor, e retransmitir um resultado da autenticação, retornado pelo primeiro servidor para a solicitação de autenticação, a partir do primeiro servidor para o segundo servidor
[007] Com a configuração acima, a plataforma retransmite informação entre o primeiro servidor e o segundo servidor. Portanto, o sistema no qual cada um dentre o primeiro servidor e o segundo servidor está apto a trocar informação com a plataforma precisa apenas ser construído. Assim, em comparação com o caso em que um sistema no qual servidores trocam informações uns com os outros é construído, o sistema de autenticação possui uma configuração fácil.
[008] No aspecto acima, o dispositivo terminal pode incluir uma unidade de exibição. O dispositivo terminal pode ser configurado para exibir uma página para autenticação na unidade de exibição, e a página pode conter um primeiro botão e um segundo botão. Quando o primeiro botão é pressionado, a autenticação do usuário pode ser executada pelo segundo servidor. Quando o segundo botão é pressionado, a solicitação de autenticação pode ser retransmitida pela plataforma a partir do segundo servidor para o primeiro servidor, e a autenticação do usuário pode ser executada pelo primeiro servidor.
[009] Com a configuração acima, o primeiro botão para direcionar a autenticação pelo segundo servidor e o segundo botão para autenticação pelo primeiro servidor por meio da retransmissão de informação pela plataforma são exibidos na unidade de exibição do dispositivo terminal. O usuário está apto a reconhecer visualmente que existem dois métodos de autenticação e, assim, é possível aprimorar a capacidade de utilização do usuário.
[0010] No aspecto acima, o primeiro servidor pode ser configurado para armazenar informações do usuário em relação ao usuário, e o segundo servidor pode ser configurado para não armazenar as informações do usuário. A plataforma pode ser configurada para, quando o resultado da autenticação indicar que a autenticação tem sucesso, transmitir, para o dispositivo terminal, uma solicitação de consentimento para consentir o compartilhamento das informações do usuário com o segundo servidor, e, quando o consentimento para a solicitação de consentimento é obtido a partir do dispositivo terminal, retransmitir as informações do usuário do primeiro servidor para o segundo servidor.
[0011] Com a configuração acima, a plataforma também retransmite a transmissão das informações do usuário. Com a configuração na qual a plataforma retransmite as informações trocadas entre o primeiro servidor e o segundo servidor, o sistema de autenticação possui uma configuração fácil se comparada com o caso em que é construído o sistema no qual os servidores trocam informações uns com os outros.
[0012] No aspecto acima, o segundo servidor pode ser configurado para, quando o consentimento para a solicitação de consentimento é obtido a partir do dispositivo terminal, transmitir um código de autorização para o dispositivo terminal.
[0013] No aspecto acima, o dispositivo terminal pode ser configurado para transmitir o código de autorização para o segundo servidor e adquirir um token a partir do segundo servidor. O token pode incluir pelo menos um token de acesso e um token de ID.
[0014] De acordo com o aspecto da divulgação, a interligação entre servidores de autenticação é implementada com uma configuração relativamente fácil.
BREVE DESCRIÇÃO DOS DESENHOS
[0015] Características, vantagens e significado técnico e industrial das modalidades ilustrativas da invenção serão descritos abaixo com referência aos desenhos acompanhantes, nos quais sinais iguais denotam elementos iguais e onde:
[0016] A Figura 1 é um diagrama apresentando a configuração esquemática de um sistema de autenticação de acordo com uma modalidade;
[0017] A Figura 2 é um diagrama para ilustrar a configuração de um servidor de autenticação;
[0018] A Figura 3 é um diagrama para ilustrar a configuração de outro servidor de autenticação;
[0019] A Figura 4 é um fluxograma (parte 1) apresentando o procedimento de um processo de acesso a um primeiro serviço (servidor de back-end);
[0020] A Figura 5 é um fluxograma (parte 2) apresentando o procedimento do processo de acesso ao primeiro serviço (servidor de back-end);
[0021] A Figura 6 é uma vista apresentando um exemplo de uma tela de acesso ao primeiro serviço, exibida em um dispositivo terminal;
[0022] A Figura 7 é um fluxograma (parte 1) apresentando o procedimento de um processo de acesso global;
[0023] A Figura 8 é um fluxograma (parte 2) apresentando o procedimento do processo de acesso global;
[0024] A Figura 9 é um fluxograma (parte 3) apresentando o procedimento do processo de acesso global;
[0025] A Figura 10 é uma vista apresentando um exemplo de uma tela de acesso para um terceiro serviço, exibida no dispositivo terminal;
[0026] A Figura 11 é uma vista apresentando um exemplo de uma página de seleção exibida no dispositivo terminal; e
[0027] A Figura 12 é um diagrama esquematicamente apresentando a configuração de um sistema de prestação de serviço, de acordo com uma primeira modificação.
DESCRIÇÃO DETALHADA DE MODALIDADES
[0028] Daqui para frente, uma modalidade da divulgação será descrita em detalhes com referência aos desenhos acompanhantes. Sinais de referência iguais denotam as mesmas partes ou partes correspondentes nos desenhos e a descrição das mesmas não será repetida.
[0029] A Figura 1 é um diagrama apresentando uma configuração esquemática de um sistema de autenticação 1, de acordo com a presente modalidade. O sistema de autenticação 1, de acordo com a presente modalidade, é um sistema para interconectar IDs (IDs de usuário) entre serviços operados em diferentes países. O sistema de autenticação 1 permite a interligação de IDs com uma configuração relativamente fácil por trocar informações via uma plataforma comum entre os servidores de autenticação em diferentes países.
[0030] Como apresentado na Figura 1, o sistema de autenticação 1 inclui os sistemas de prestação de serviço 10, 20, 30, 40, uma plataforma de ID global 50 e um dispositivo terminal 70 possuído por um usuário 71. Os sistemas de prestação de serviço 10, 20, 30, 40, a plataforma de ID global 50 e o dispositivo terminal 70 são conectados via uma rede 60, tal como a internet, de modo a estarem aptos a se comunicarem uns com os outros.
[0031] Os sistemas de prestação de serviço 10, 20, 30, 40 são sistemas que, respectivamente, proporcionam serviços em veículos nos países A a D.
[0032] O sistema de prestação de serviço 10 fornece serviços em veículos no país A. Na presente modalidade, o sistema de prestação de serviço 10 fornece dois tipos de serviços, ou seja, um primeiro serviço e um segundo serviço. O primeiro serviço é um serviço de assinatura com o qual um usuário fica apto a utilizar um veículo durante o termo de um contrato pelo qual o usuário paga uma quantia fixa todo mês. A quantia fixa para o primeiro serviço inclui, por exemplo, a taxa de manutenção e a taxa de seguro de um veículo. O segundo serviço é um serviço de compartilhamento de carros, com o qual os membros compartilham veículos específicos. Os serviços fornecidos pelo sistema de prestação de serviço 10 não estão limitados ao primeiro serviço e ao segundo serviço. O sistema de prestação de serviço 10 pode proporcionar outro serviço em adição ao primeiro serviço e ao segundo serviço, ao invés do primeiro serviço e do segundo serviço, ou ao invés de qualquer um dentre o primeiro serviço e o segundo serviço.
[0033] O sistema de prestação de serviço 10 inclui um servidor de autenticação 11 e servidores de back-end 12, 13. O servidor de autenticação 11 é um servidor que executa autenticação de usuários que são membros do primeiro serviço e/ou do segundo serviço. O servidor de autenticação 11 possui uma função de um provedor de ID aberto. A configuração detalhada do servidor de autenticação 11 será descrita posteriormente com referência à Figura 2. O servidor de autenticação 11 corresponde a um exemplo de um primeiro servidor de acordo com a divulgação.
[0034] O servidor de back-end 12 é um servidor que fornece o primeiro serviço. Um prestador de serviço (não apresentado) do servidor de back-end 12 fornece um aplicativo 73 para receber a prestação do primeiro serviço em um mercado ou similar. O servidor de back-end 12 recebe a operação do usuário via aplicativo 73 a partir de um dispositivo terminal (por exemplo, um smartphone, um computador pessoal ou similar), no qual o aplicativo 73 está instalado e executa um processo para fornecer um serviço de acordo com a operação.
[0035] O servidor de back-end 13 é um servidor que fornece o segundo serviço. Um prestador de serviço (não apresentado) do servidor de back-end 13 fornece um aplicativo (não apresentado) para receber a prestação do segundo serviço em um mercado ou similar. O servidor de back-end 13 recebe operação do usuário via aplicativo a partir de um dispositivo terminal no qual o aplicativo, para receber a prestação do segundo serviço, está instalado e executa um processo para fornecer um serviço de acordo com a operação.
[0036] O dispositivo terminal 70 é um smartphone possuído pelo usuário 71. O dispositivo terminal 70 não está limitado a um smartphone e pode ser, por exemplo, um computador pessoal (PC) de mesa, um PC notebook, um terminal tablet ou outro terminal de processamento de informação que possua uma função de comunicação. O aplicativo 73, para utilizar o primeiro serviço, é instalado no dispositivo terminal 70, de acordo com a presente modalidade.
[0037] O usuário 71 é um usuário que é um membro do primeiro serviço fornecido pelo servidor de back-end 12. O usuário 71 possui um ID (ID de usuário) e uma senha para acesso ao primeiro serviço. A senha é, por exemplo, estabelecida pelo usuário 71 no momento da assinatura para se tornar um membro do primeiro serviço. O usuário 71 inicia o aplicativo 73 no dispositivo terminal 70, abre uma tela de acesso ao primeiro serviço (servidor de back-end 12) e informa o ID de usuário e a senha na tela de acesso exibida. As informações de entrada são enviadas para o servidor de autenticação 11. Um processo de autenticação do ID de usuário é executado pelo servidor de autenticação 11. Quando a autenticação tem sucesso, o usuário 71 tem a permissão de receber a prestação do primeiro serviço a partir do servidor de back-end 12.
[0038] O sistema de prestação de serviço 20 fornece serviços em veículos no país B. Na presente modalidade, o sistema de prestação de serviço 20 fornece três tipos de serviços, ou seja, um terceiro serviço, um quarto serviço e um quinto serviço. O terceiro serviço é um serviço de assinatura similar ao primeiro serviço. O quarto serviço é um serviço de compartilhamento de carros similar ao segundo serviço. O quinto serviço é um serviço de carona solidária no qual várias pessoas compartilham um veículo durante um tempo de deslocamento para o trabalho ou similar. Os serviços fornecidos pelo sistema de prestação de serviço 20 não estão limitados ao terceiro serviço, ao quarto serviço e ao quinto serviço. O sistema de prestação de serviço 20 pode fornecer outro serviço em adição ao terceiro serviço, ao quarto serviço e ao quinto serviço, ao invés do terceiro serviço, do quarto serviço e do quinto serviço, ou ao invés de qualquer um dentre o terceiro serviço, o quarto serviço e o quinto serviço.
[0039] O sistema de prestação de serviço 20 inclui um servidor de autenticação 21 e servidores de back-end 22, 23, 24. O servidor de autenticação 21 é um servidor que executa autenticação de usuários que são membros do terceiro serviço, do quarto serviço e/ou do quinto serviço. O servidor de autenticação 21 tem uma função de um provedor de ID aberto. A configuração detalhada do servidor de autenticação 21 será descrita posteriormente com referência à Figura 3. O servidor de autenticação 21 corresponde a um exemplo de um segundo servidor, de acordo com a divulgação.
[0040] O servidor de back-end 22 é um servidor que fornece o terceiro serviço. Um prestador de serviço (não apresentado) do servidor de back-end 22 fornece um aplicativo 74 para receber a prestação do terceiro serviço em um mercado ou similar. O servidor de back-end 22 recebe operação do usuário via aplicativo 74 a partir de um dispositivo terminal no qual o aplicativo 74 está instalado e executa um processo para fornecer um serviço de acordo com a operação.
[0041] O servidor de back-end 23 é um servidor que fornece o quarto serviço. Um prestador de serviço (não apresentado) do servidor de back-end 23 fornece um aplicativo (não apresentado) para receber a prestação do quarto serviço em um mercado ou similar. O servidor de back-end 23 recebe a operação do usuário via um aplicativo a partir de um dispositivo terminal no qual o aplicativo, para receber a prestação do quarto serviço, é instalado e executa um processo para fornecer um serviço de acordo com a operação.
[0042] O servidor de back-end 24 é um servidor que fornece o quinto serviço. Um prestador de serviço (não apresentado) do servidor de back-end 24 fornece um aplicativo (não apresentado) para receber a prestação do quinto serviço em um mercado ou similar. O servidor de back-end 24 recebe a operação do usuário via um aplicativo a partir de um dispositivo terminal no qual o aplicativo, para receber a prestação do quinto serviço, é instalado e executa um processo para fornecer um serviço de acordo com a operação.
[0043] O sistema de prestação de serviço 30 fornece serviços em veículos no país C. O sistema de prestação de serviço 30 inclui um servidor de autenticação e pelo menos um servidor de back-end, embora esses não sejam apresentados
[0044] O sistema de prestação de serviço 40 fornece serviços em veículos no país D. O sistema de prestação de serviço 40 inclui um servidor de autenticação e pelo menos um servidor de back-end, embora esses não sejam apresentados.
[0045] A Figura 2 é um diagrama para ilustrar a configuração do servidor de autenticação 11. Como apresentado na Figura 2, o servidor de autenticação 11 inclui um controlador 111, uma memória somente leitura (ROM) 112, uma memória de acesso aleatório (RAM) 113, um dispositivo de comunicação 114 e um dispositivo de armazenamento 115. O controlador 111, a ROM 112, a RAM 113, o dispositivo de comunicação 114 e o dispositivo de armazenamento 115 são conectados com um barramento 117.
[0046] O controlador 111 é constituído, por exemplo, de um circuito integrado que inclui uma unidade central de processamento (CPU). O controlador 111 expande vários programas armazenados na ROM 112 para a RAM 113 e executa os programas. Vários programas incluem um sistema operacional e similares. A RAM 113 funciona como uma memória de trabalho e temporariamente armazena vários dados requeridos para executar vários programas. O controlador 111, por exemplo, gerencia informações em relação aos usuários (daqui para frente, também referidas como "informação de usuário") que são membros do primeiro serviço ou do segundo serviço, executa um processo de autenticação, ou executa um processo de autorização.
[0047] O dispositivo de comunicação 114 inclui uma interface para conexão com a rede 60 e é configurado para ser capaz de se comunicar com dispositivos externos via rede 60. Exemplos dos dispositivos externos incluem a plataforma de ID global 50 e o dispositivo terminal 70.
[0048] O dispositivo de armazenamento 115 é configurado para incluir um meio de armazenamento, tal como uma unidade de disco rígido e uma memória flash. O dispositivo de armazenamento 115 armazena pedaços de informação de usuário 1151, 1152. A informação de usuário 1151 é informação sobre usuários que são membros do primeiro serviço. A informação de usuário 1152 é informação sobre usuários que são membros do segundo serviço. A informação de usuário 1151 inclui IDs de usuário atribuídos no momento da assinatura para se tornarem membros do primeiro serviço, e informações privadas informadas pelos usuários no momento da assinatura para se tornarem membros. As informações privadas incluem pedaços de informação, tais como nome, endereço de e-mail, número de telefone, endereço e senha. Uma senha é, por exemplo, estabelecida por um usuário ou estabelecida pelo controlador 111 no momento da assinatura para se tornar um membro. A informação de usuário 1152 inclui IDs de usuário atribuídos no momento da assinatura para se tornarem membros do segundo serviço, e informações privadas informadas por usuários no momento da assinatura para se tornarem membros. Um dispositivo de armazenamento que armazena a informação de usuário 1151 e um dispositivo de armazenamento que armazena a informação de usuário 1152 podem ser fornecidos separadamente.
[0049] O controlador 111 inclui a unidade de gerenciamento de informação de usuário 1111, uma unidade de autenticação e de autorização 1112 e uma unidade de autenticação global 1113. O controlador 111, por exemplo, funciona como a unidade de gerenciamento de informação de usuário 1111, como a unidade de autenticação e de autorização 1112 e a unidade de autenticação global 1113 por executar programas armazenados na ROM 112. A unidade de gerenciamento de informação de usuário 1111, a unidade de autenticação e de autorização 1112 e a unidade de autenticação global 1113 podem ser implementadas, por exemplo, por hardware dedicado (circuito eletrônico).
[0050] Uma unidade de gerenciamento de informação de usuário 1111 atribui um ID de usuário a um usuário que é um membro do primeiro serviço ou do segundo serviço de acordo com um serviço (o primeiro serviço ou o segundo serviço). Mais especificamente, a unidade de gerenciamento de informação de usuário 1111 atribui um ID de usuário para o primeiro serviço a um usuário que é um membro do primeiro serviço. A unidade de gerenciamento de informação de usuário 1111 armazena o ID de usuário atribuído para o primeiro serviço e 115 como a informação de usuário 1151. A unidade de gerenciamento de informação de usuário 1111 atribui um ID de usuário para o segundo serviço a um usuário que é um membro do segundo serviço. A unidade de gerenciamento de informação de usuário 1111 armazena o ID de usuário atribuído para o segundo serviço e as informações privadas informadas no dispositivo de armazenamento 115 como a informação de usuário 1152.
[0051] A unidade de gerenciamento de informação de usuário 1111 determina se um usuário assina para se tornar um membro do primeiro serviço ou um membro do segundo serviço de acordo com qual aplicativo, se o aplicativo 73 correspondendo ao primeiro serviço e o aplicativo correspondendo ao segundo serviço, é utilizado para assinatura para se tornar um membro. Quando, por exemplo, o aplicativo 73 correspondendo ao primeiro serviço é utilizado para assinatura para se tornar um membro, a unidade de gerenciamento de informação de usuário 1111 determina que ele deve assinar para se tornar um membro do primeiro serviço e armazena as informações inseridas como informação de usuário 1151. Para determinar a relação de correspondência entre um aplicativo e um serviço, um ID de serviço para identificar cada um dentre o primeiro e o segundo serviços pode ser introduzido, e o ID de serviço pode ser atribuído para o aplicativo, serviço e informações de usuário associados. Nesse caso, a unidade de gerenciamento de informação de usuário 1111 é capaz de identificar um serviço a ser assinado para se tornar um membro a partir do ID de serviço atribuído para o aplicativo utilizado para assinar para se tornar um membro.
[0052] Quando o usuário 71 opera para acessar o primeiro serviço ou o segundo serviço via um dos aplicativos correspondentes, a unidade de autenticação e de autorização 1112 verifica a validade do ID de usuário informado. Quando, por exemplo, a unidade de autenticação e de autorização 1112 recebe uma solicitação de acesso ao primeiro serviço via aplicativo 73 a partir do dispositivo terminal 70 (navegador) do usuário 71, a unidade de autenticação e de autorização 1112 faz com que o dispositivo terminal 70 exiba uma tela de acesso ao primeiro serviço. Quando um ID de usuário e uma senha são informados na tela de acesso, a unidade de autenticação e de autorização 1112 executa a autenticação do usuário 71 (ID de usuário) ao consultar a informação de usuário 1151 armazenada no dispositivo de armazenamento 115 para o ID de usuário e a senha, e executa autenticação do usuário 71 (ID de usuário). A unidade de autenticação e de autorização 1112 pode reconhecer que a informação de usuário a ser consultada é a informação de usuário 1151 por identificar um ID de serviço baseado no aplicativo 73 operado pelo usuário 71.
[0053] Quando a unidade de autenticação e de autorização 1112 determina a validade do ID de usuário, a unidade de autenticação e de autorização 1112 retorna um código de autorização para o dispositivo terminal 70. Quando a unidade de autenticação e de autorização 1112 recebe uma solicitação de token anexa ao código de autorização a partir do dispositivo terminal 70, a unidade de autenticação e de autorização 1112 retorna um token para o aplicativo. O token inclui, por exemplo, um token de acesso, um token de ID e um token de atualização. Por exemplo, o aplicativo 73, tendo recebido um token, está apto a acessar o servidor de back-end 12 por utilizar o token de acesso e o token de ID. Assim, o usuário 71 está apto a receber a prestação do primeiro serviço.
[0054] A unidade de autenticação global 1113 funciona para interligar IDs entre um serviço fornecido pelo sistema de prestação de serviço 10 (o primeiro serviço ou o segundo serviço) e serviços fornecidos pelos outros sistemas de prestação de serviço 20, 30, 40. Embora descrito em detalhes posteriormente, quando existe uma solicitação para acessar serviços fornecidos pelos outros sistemas de prestação de serviço 20, 30, 40 por utilizar o ID de usuário do serviço (o primeiro serviço ou o segundo serviço) fornecido pelo sistema de prestação de serviço 10, a unidade de autenticação global 1113 verifica a validade do ID de usuário. Na descrição seguinte, um aceso a um serviço fornecido por um sistema de prestação de serviço por utilizar um ID de usuário de outro serviço fornecido por outro sistema de prestação de serviço também é referido como acesso global.
[0055] A Figura 3 é um diagrama para ilustrar a configuração do servidor de autenticação 21. Como apresentado na Figura 3, o servidor de autenticação 21 inclui um controlador 211, uma memória somente leitura (ROM) 212, uma memória de acesso aleatório (RAM) 213, um dispositivo de comunicação 214 e um dispositivo de armazenamento 215. O controlador 211, a ROM 212, a RAM 213, o dispositivo de comunicação 214 e o dispositivo de armazenamento 215 estão conectados a um barramento 217. O controlador 211, a ROM 212, a RAM 213, o dispositivo de comunicação 214 e o dispositivo de armazenamento 215 são basicamente, respectivamente, similares ao controlador 111, à ROM 112, à RAM 113, ao dispositivo de comunicação 114 e ao dispositivo de armazenamento 115 do servidor de autenticação 11, exceto pela informação armazenada no dispositivo de armazenamento 215, de modo que a descrição dos mesmos não será repetida
[0056] O dispositivo de armazenamento 215 armazena pedaços de informação de usuário 2151, 2152, 2153. A informação de usuário 2151 é informação sobre usuários que são membros do terceiro serviço. A informação de usuário 2152 é informação sobre usuários que são membros do quarto serviço. A informação de usuário 2153 é informação sobre usuários que são membros do quinto serviço.
[0057] Cada um dos servidores de autenticação dos sistemas de prestação de serviço 30, 40 basicamente possui uma configuração similar a essa dos servidores de autenticação 11, 21 dos sistemas de prestação de serviço 10, 20. Portanto, a descrição detalhada do servidor de autenticação de cada um dos sistemas de prestação de serviço 30, 40 não será repetida.
[0058] A seguir, o procedimento no qual o usuário 71, que é um membro do primeiro serviço, acessa o primeiro serviço será descrito. O usuário 71 inicia o aplicativo 73 no dispositivo terminal 70, no qual o aplicativo 73 está instalado, e acessa o primeiro serviço
[0059] A Figura 4 e a Figura 5 são fluxogramas apresentando o procedimento de um processo de acesso ao primeiro serviço (servidor de back-end 12). Os processos dos fluxogramas da Figura 4 e da Figura 5 são iniciados quando o usuário 71 inicia o aplicativo 73 no dispositivo terminal 70. As etapas (daqui para frente, etapa é abreviada como "S") nos fluxogramas apresentados na Figura 4 e na Figura 5 ilustram o caso implementado pelo processamento de software no dispositivo terminal 70, pelo servidor de autenticação 11 (a unidade de gerenciamento de informação de usuário 1111 e a unidade de autenticação e autorização 1112) e pelo servidor de back-end 12. Alternativamente, uma ou algumas ou todas as etapas podem ser implementadas por hardware (circuito eletrônico) preparado no dispositivo terminal 70, no servidor de autenticação 11 e no servidor de back-end 12.
[0060] Em S1, o usuário 71 inicia o aplicativo 73 ao operar o dispositivo terminal 70 e executa uma operação para exibir uma tela de acesso (uma página para transmitir uma solicitação de autenticação) na tela de vídeo do dispositivo terminal 70. O aplicativo 73 recebe a operação.
[0061] Quando o aplicativo 73 recebe a operação para exibir a tela de acesso em S2 e S3, o aplicativo 73 faz uma solicitação do servidor de autenticação 11 para exibir a tela de acesso via um navegador do dispositivo terminal 70. Especificamente, em S2, o aplicativo 73 abre o navegador do dispositivo terminal 70 e redireciona o navegador para um ponto final de autorização do servidor de autenticação 11. Em S3, o navegador faz uma solicitação do ponto final de autorização do servidor de autenticação 11 para exibir a tela de acesso.
[0062] Em S4, o servidor de autenticação 11 verifica os detalhes da solicitação e retorna a tela de acesso para o navegador. Assim, a tela de acesso ao primeiro serviço (servidor de back-end 12) é exibida no navegador.
[0063] Em S5, o usuário 71 informa um ID de usuário e uma senha na tela de acesso e pressiona um botão de acesso. Assim, junto com o ID de usuário e a senha, uma solicitação de autenticação é enviada a partir do navegador para o servidor de autenticação 11.
[0064] A Figura 6 é uma vista apresentando um exemplo da tela de acesso ao primeiro serviço, exibida no dispositivo terminal 70. Um campo de entrada de ID de usuário 81, um campo de entrada de senha 82, um botão de acesso 83 e um botão de acesso global 84 são exibidos em uma unidade de exibição 80 do dispositivo terminal 70. O usuário 71 informa um ID de usuário e uma senha respectivamente no campo de entrada de ID de usuário 81 e no campo de entrada de senha 82, e pressiona o botão de acesso 83. Assim, junto com o ID de usuário e senha informados, uma solicitação de autenticação é enviada a partir do navegador para o servidor de autenticação 11. Em outras palavras, o botão de acesso 83 é um botão para autenticação direta pelo servidor de autenticação 11.
[0065] O botão de acesso global 84 é utilizado quando uma solicitação para acessar o primeiro serviço utilizando o ID de usuário de um serviço diferente do primeiro serviço é emitida. Os detalhes do botão de acesso global 84 serão descritos posteriormente. Em outras palavras, o botão de acesso global 84 é um botão para autenticação por um servidor de autenticação diferente do servidor de autenticação 11. O botão de acesso 83 corresponde a um exemplo de um primeiro botão de acordo com a divulgação. O botão de acesso global 84 corresponde a um exemplo de um segundo botão de acordo com a divulgação.
[0066] Referindo-se de volta à Figura 4 e à Figura 5, em S6, o servidor de autenticação 11 verifica o ID de usuário e a senha informados. Como resultado da verificação, quando pelo menos um dentre o ID de usuário e a senha está incorreto, o servidor de autenticação 11 executa o processo de S7. Como resultado da verificação, quando o ID de usuário e a senha estão corretos, o servidor de autenticação 11 executa o processo de S8.
[0067] Em S7, o servidor de autenticação 11 retorna, para o navegador, uma página apresentando que pelo menos um dentre o ID de usuário e a senha está incorreto. Quando a página é exibida no navegador, o usuário 71 está apto a reconhecer a entrada incorreta.
[0068] Em S8, o servidor de autenticação 11 redireciona o navegador para um URL de chamada de volta com um código de autorização. Um destino de transição do URL de chamada de volta é o aplicativo 73.
[0069] Em S9, o navegador acessa o aplicativo 73 que é o destino de transição do URL de chamada de volta com o código de autorização. Assim, o código de autorização é transferido para o aplicativo 73.
[0070] Em S10, o aplicativo 73 envia uma solicitação de token para um ponto final do token do servidor de autenticação 11 com o código de autorização recebido em S9.
[0071] Em S11, o servidor de autenticação 11 verifica os detalhes da solicitação de token e transmite tokens para o aplicativo 73. Os tokens enviados a partir do servidor de autenticação 11 para o aplicativo 73 incluem, por exemplo, um token de acesso, um token de ID e um token de atualização
[0072] Em S12, o aplicativo 73 faz uma solicitação ao servidor de back-end 12 para a prestação do primeiro serviço com o token de acesso e o token de ID.
[0073] Em S13, à medida que o servidor de back-end 12 recebe o token de acesso e o token de ID, o servidor de back-end 12 transmite o token de acesso e o token de ID para um ponto final de informação de usuário do servidor de autenticação 11.
[0074] Em S14, o servidor de autenticação 11 verifica o token de acesso e o token de ID e retorna informação de usuário para o servidor de back-end 12.
[0075] Em S15, o servidor de back-end 12 inicia a prestação do serviço para o usuário 71.
[0076] Quando o usuário 71 recebe autenticação a partir do servidor de autenticação 11, conforme descrito acima, o usuário 71 fica apto a acessar o primeiro serviço do qual o usuário 71 é um membro e receber a prestação do primeiro serviço a partir do servidor de backend 12
[0077] Referindo-se de volta à Figura 1, a plataforma de ID global 50 é uma plataforma para interligar IDs entre vários serviços através de países. A plataforma de ID global 50 possui uma função de retransmitir informações. A informação de correspondência que associa um serviço (servidor de back-end) com um servidor de autenticação é armazenada na plataforma de ID global 50. A informação de correspondência é informação que associa um serviço com um servidor de autenticação que autentica um usuário que faz uma solicitação de acessar o serviço. Especificamente, na informação de correspondência, o primeiro serviço e o servidor de autenticação 11 estão associados um com o outro. Na informação de correspondência, o segundo serviço e o servidor de autenticação 11 estão associados um com o outro. Na informação de correspondência, o terceiro serviço e o servidor de autenticação 21 estão associados um com o outro. Na informação de correspondência, o quarto serviço e o servidor de autenticação 21 estão associados um com o outro. Na informação de correspondência, o quinto serviço e o servidor de autenticação 21 estão associados um com o outro. A plataforma de ID global 50 identifica um destino para retransmitir informação baseada na informação de correspondência.
[0078] A plataforma de ID global 50 permite um acesso (acesso global) a um serviço fornecido por um sistema de prestação de serviço por utilizar um ID de usuário de outro serviço fornecido por outro sistema de prestação de serviço por retransmitir informação entre cada um dos sistemas de prestação de serviço 10, 20, 30, 40 e o dispositivo terminal 70. Em outras palavras, uma vez que o usuário 71 assina para se tornar um membro de um serviço fornecido por um sistema de prestação de serviço, o usuário 71 está apto a acessar um serviço fornecido por outro sistema de prestação de serviço ao utilizar o ID de usuário e utilizar o serviço sem assinar para se tornar um membro do serviço fornecido pelo outro sistema de prestação de serviço.
[0079] Por exemplo, para que o usuário 71 utilize o terceiro serviço fornecido pelo sistema de prestação de serviço 20 no país B, quando o usuário 71 visitar o país B, o usuário 71 precisa instalar o aplicativo 74 associado com o terceiro serviço no dispositivo terminal 70, inserir informação privada do usuário 71 em uma página de assinatura de membro, e assinar para se tornar um membro do terceiro serviço. Assinar para se tornar um membro de cada serviço para utilização é oneroso para o usuário 71, acarreta em tempo e esforço, e prejudica a conveniência do usuário 71.
[0080] Por exemplo, é concebível interligar IDs entre servidores de autenticação de sistemas de prestação de serviço ao construir um sistema para interligação de IDs entre os servidores de autenticação dos sistemas de prestação de serviço utilizando um protocolo, tal como o OIDC. Entretanto, à medida que um grande número de servidores de autenticação estão interligados, o sistema pode ficar complicado. Um sistema complicado leva a um aumento no tempo e no custo requeridos para desenvolver e manter o sistema.
[0081] Portanto, no sistema de autenticação 1, de acordo com a presente modalidade, um acesso global que omite uma troca direta de informações entre servidores de autenticação é permitido pelo fornecimento da plataforma de ID global 50, que retransmite as informações. Com essa configuração, para um servidor de autenticação de um sistema de prestação de serviço, o servidor de autenticação tem a permissão de interligar IDs com outros servidores de autenticação por meio do processamento de informação com a plataforma de ID global 50. Em outras palavras, um sistema capaz de trocar informações entre cada servidor de autenticação e a plataforma de ID global 50 apenas precisa ser construído, então é possível simplificar a configuração do sistema se comparado com quando um sistema que interliga IDs ao trocar informações diretamente entre servidores de autenticação de sistemas de prestação de serviço é construído. Daqui para frente, um acesso global será especificamente descrito. Daqui para frente, como um exemplo, um exemplo no qual o usuário 71 acessa o terceiro serviço fornecido pelo sistema de prestação de serviço 20 ao utilizar o ID de usuário para o primeiro serviço é presumido. O usuário 71 não é um membro do terceiro serviço. Portanto, o ID de usuário para o terceiro serviço não foi emitido para o usuário 71.
[0082] Inicialmente, o usuário 71 instala o aplicativo 74 para utilizar o terceiro serviço no dispositivo terminal 70. Quando o usuário 71 ativa o aplicativo 74 no dispositivo terminal 70, processos apresentados na Figura 7 à Figura 9 são iniciados.
[0083] A Figura 7 à Figura 9 são fluxogramas apresentando o procedimento de um processo de acesso global. Os processos dos fluxogramas da Figura 7 à Figura 9 são iniciados quando o usuário 71 inicia o aplicativo 74 no dispositivo terminal 70. As etapas nos fluxogramas apresentadas na Figura 7 à Figura 9 ilustram o caso implementado por processamento de software no dispositivo terminal 70, no servidor de autenticação 11 (a unidade de gerenciamento de informação de usuário 1111 e a unidade de autenticação e autorização 1112), no servidor de autenticação 21 (unidade de autenticação global 2113), no servidor de back-end 22 e na plataforma de ID global 50. Alternativamente, uma ou algumas ou todas as etapas podem ser implementadas por hardware (circuito eletrônico) preparado no dispositivo terminal 70, no servidor de autenticação 11, no servidor de autenticação 21, no servidor de back-end 22 e na plataforma de ID global 50.
[0084] Em S20, o usuário 71 inicia o aplicativo 74 ao operar o dispositivo terminal 70 e executa uma operação para exibir uma tela de acesso na tela de exibição do dispositivo terminal 70. O aplicativo 74 recebe a operação.
[0085] Quando o aplicativo 74 recebe a operação para exibir a tela de acesso em S21 e S22, o aplicativo 74 faz uma solicitação ao servidor de autenticação 21 do sistema de prestação de serviço 20 para exibir a tela de acesso via navegador do dispositivo terminal 70. Especificamente, em S21, o aplicativo 74 abre o navegador do dispositivo terminal 70 e redireciona o navegador para um ponto final de autorização do servidor de autenticação 21. Em S22, o navegador faz uma solicitação ao ponto final de autorização do servidor de autenticação 21 para exibir a tela de acesso.
[0086] Em S23, o servidor de autenticação 21 verifica os detalhes da solicitação e retorna a tela de acesso ao navegador.
[0087] Em S24, o usuário 71 seleciona um botão de acesso global 88 na tela de acesso. Assim, uma solicitação por acesso global é enviada a partir do navegador para o servidor de autenticação 21.
[0088] A Figura 10 é uma vista apresentando um exemplo da tela de acesso para o terceiro serviço exibida no dispositivo terminal 70. Na presente modalidade, a configuração de exibição da tela de acesso para o terceiro serviço é basicamente similar à configuração de exibição da tela de acesso para o primeiro serviço. Um campo de entrada de ID de usuário 85, um campo de entrada de senha 86, um botão de acesso 87 e o botão de acesso global 88 são exibidos na unidade de exibição do dispositivo terminal 70. O campo de entrada de ID de usuário 85, o campo de entrada de senha 86 e o botão de acesso 87 são similares a esses ilustrados na Figura 6 e são utilizados quando o usuário 71 acessa o terceiro serviço utilizando o ID de usuário e senha emitidos para utilizar o terceiro serviço. Quando o usuário 71 é um membro do terceiro serviço, o usuário 71 insere o ID de usuário e a senha para o terceiro serviço, respectivamente, no campo de entrada de ID de usuário 85 e no campo de entrada de senha 86 e pressiona o botão de acesso 87. Em outras palavras, o botão de acesso 87 é um botão para direcionar autenticação pelo serviço de autenticação 21.
[0089] O botão de acesso global 88 é um botão para acesso ao terceiro serviço por utilizar a interligação de ID. Em outras palavras, o botão de acesso global 88 é um botão para acesso ao terceiro serviço ao utilizar o ID de usuário de outro serviço diferente do terceiro serviço. Em outras palavras, o botão de acesso global 88 é um botão para autenticação por um servidor de autenticação diferente do servidor de autenticação 21. Como no caso da presente modalidade, o botão de acesso global 88 é utilizado no momento em que o usuário 71, que não é um membro do terceiro serviço, pretende acessar o terceiro serviço. O botão de acesso 87 corresponde a um exemplo de um primeiro botão de acordo com a divulgação. O botão de acesso global 88 corresponde a um exemplo de um segundo botão de acordo com a divulgação
[0090] Referindo-se de volta à Figura 7 à Figura 9, em S25, quando o servidor de autenticação 21 recebe a solicitação por acesso global, o servidor de autenticação 21 redireciona o navegador para um ponto final de acesso global da plataforma de ID global 50.
[0091] Em S26, o navegador faz uma solicitação ao ponto final de acesso global da plataforma de ID global 50 para acesso global.
[0092] Em S27, a plataforma de ID global 50 verifica os detalhes da solicitação e retorna uma página de seleção para o navegador. A página de seleção é uma página para selecionar o ID de usuário utilizado para acesso global. Na presente modalidade, o usuário 71 informa o ID de usuário do primeiro serviço, de modo que o usuário 71 seleciona "País A" e "Primeiro Serviço" na página de seleção.
[0093] A Figura 11 é uma vista apresentando um exemplo da página de seleção exibida no dispositivo terminal 70. Um campo de seleção de país 91, um campo de seleção de serviço 92 e um botão de seleção (estabelecimento) 93 são exibidos na unidade de exibição 80 do dispositivo terminal 70. O usuário 71 seleciona o serviço cujo ID de serviço é utilizado para executar acesso global. Aqui, o usuário 71 executa acesso global ao terceiro serviço utilizando o ID de usuário do primeiro serviço no país A, de modo que o usuário 71 seleciona país A no campo de seleção de país 91, seleciona o primeiro serviço no campo de seleção de serviço 92 e pressiona o botão de seleção 93.
[0094] Referindo-se de volta à Figura 7 à Figura 9, em S28, a informação (país A e o primeiro serviço) inserida pelo usuário 71 é enviada para a plataforma de ID global 50 como uma solicitação.
[0095] Em S29, quando a plataforma de ID global 50 recebe a solicitação, a plataforma de ID global 50 identifica o servidor de autenticação, que executa a autenticação do ID de usuário utilizado para acesso global baseado nos detalhes da solicitação e redireciona o navegador para o servidor de autenticação. Especificamente, a plataforma de ID global 50 identifica o servidor de autenticação 11 do sistema de prestação de serviço 10, incluindo o servidor de back-end 12, que fornece o primeiro serviço, a partir da informação, ou seja, "País A" e "Primeiro Serviço". A plataforma de ID global 50 redireciona o navegador para o servidor de autenticação 11. Por exemplo, a plataforma de ID global 50 pode identificar o servidor de autenticação ao utilizar a informação de correspondência.
[0096] Em S30, o navegador faz uma solicitação ao servidor de autenticação 11 para exibir a tela de acesso para o primeiro serviço.
[0097] Em S31, o servidor de autenticação 11 verifica os detalhes da solicitação e retorna a tela de acesso para o primeiro serviço ao navegador.
[0098] Em S32, o usuário 71 informa o ID de usuário e a senha para o primeiro serviço na tela de acesso. Por exemplo, a tela da Figura 6 pode ser exibida como a tela de acesso, ou outra tela para acesso global pode ser exibida como a tela de acesso
[0099] Em S33, o servidor de autenticação 11 verifica o ID de usuário e a senha informados. Como resultado da verificação, quando o servidor de autenticação 11 determina que o ID de usuário e a senha estão corretos, o servidor de autenticação 11 retorna o resultado da verificação para a plataforma de ID global 50. Especificamente, o servidor de autenticação 11 redireciona o navegador para a plataforma de ID global 50.
[00100] Em S34, o navegador acessa a plataforma de ID global 50 com o resultado da verificação.
[00101] Em S33, quando pelo menos um dentre o ID de usuário e a senha está incorreto, o servidor de autenticação 11 retorna o resultado da verificação indicando que pelo menos um dentre o ID de usuário e a senha está incorreto para a plataforma de ID global 50.
[00102] Em S35, a plataforma de ID global 50 transmite, para o usuário 71 (navegador), uma solicitação de consentimento para transferir a informação de usuário 1151 a partir do servidor de autenticação 11 para o servidor de autenticação 21. Assim, por exemplo, uma tela para buscar autorização para transferir a informação de usuário 1151 é exibida na unidade de exibição 80 do dispositivo terminal 70. O usuário 71 está apto a consentir a transferência da informação de usuário 1151 ao pressionar um botão de consentimento (não apresentado) exibido na unidade de exibição 80.
[00103] Em S36, o usuário 71 consente transferir a informação de usuário 1151 e pressiona o botão de consentimento (não apresentado) exibido na unidade de exibição 80 do dispositivo terminal 70. Assim, a informação sobre o consentimento do usuário 71 é enviada a partir do navegador para a plataforma de ID global 50.
[00104] Em S37 e S38, a plataforma de ID global 50 transmite a informação de consentimento para o servidor de autenticação 21. Especificamente, em S37, a plataforma de ID global 50 redireciona o navegador para o servidor de autenticação 21. Em S38, o navegador acessa o servidor de autenticação 21 com a informação de consentimento.
[00105] Em S39, o servidor de autenticação 21 redireciona o navegador para um URL de chamada de volta com um código de autorização. Um destino de transição do URL de chamada de volta é o aplicativo 74.
[00106] Em S40, o navegador acessa o aplicativo 74 que está no destino de transição do URL de chamada de volta com o código de autorização. Assim, o código de autorização é transferido para o aplicativo 74.
[00107] Em S41, o aplicativo 74 envia uma solicitação de token para um ponto final de token do servidor de autenticação 21 com o código de autorização recebido em S40.
[00108] Em S42, o servidor de autenticação 21 verifica os detalhes da solicitação de token e transmite tokens para o aplicativo 74. Os tokens enviados a partir do servidor de autenticação 21 para o aplicativo 74 incluem, por exemplo, um token de acesso, um token de ID e um token de atualização.
[00109] Em S43, o aplicativo 74 faz uma solicitação para o servidor de back-end 22 para a prestação do terceiro serviço com o token de acesso e o token de ID.
[00110] Em S44, à medida que o servidor de back-end 22 recebe o token de acesso e o token de ID, o servidor de back-end 22 transmite o token de acesso e o token de ID para um ponto final de informação de usuário do servidor de autenticação 21.
[00111] Em S45, o servidor de autenticação 21 verifica o token de acesso e o token de ID, e retorna a informação de usuário 1151 do usuário 71 para o servidor de back-end 22.
[00112] Em S46, o servidor de back-end 22 inicia a prestação do serviço para o usuário 71. Desse modo, o usuário 71, que não é um membro do terceiro serviço, está apto a acessar o terceiro serviço ao utilizar o ID de usuário do primeiro serviço, do qual o usuário 71 é um membro.
[00113] A informação de usuário 1151 do usuário 71 é compartilhada com o servidor de autenticação 21 via plataforma de ID global 50 por meio dos processos de S50, S51 e S52 durante um período após a execução do processo de S36 e antes da execução do processo de S44. Durante o período após a execução do processo de S36 e antes da execução do processo de S44, a plataforma de ID global 50 adquire a informação de usuário 1151 do usuário 71 a partir do servidor de autenticação 11 e transmite a informação de usuário 1151 adquirida do usuário 71 para o servidor de autenticação 21.
[00114] Em S50, quando a informação sobre o consentimento do usuário 71 é obtida, a plataforma de ID global 50 faz uma solicitação para o servidor de autenticação 11 transmitir a informação de usuário 1151 do usuário 71.
[00115] Em S51, o servidor de autenticação 11 lê a informação de usuário 1151 do usuário 71 a partir do dispositivo de armazenamento 115 e transmite a informação de usuário 1151 lida do usuário 71 para a plataforma de ID global 50.
[00116] Em S52, a plataforma de ID global 50 transmite a informação de usuário 1151 do usuário 71 para o servidor de autenticação 21.
[00117] Os processos S50, S51 e S52 precisam apenas ser executados durante o período entre após a execução do processo de S36 e antes da execução do processo de S44. O tempo para executar os processos de S50, S51 e S52 não está limitado ao tempo apresentado na Figura 7 à Figura 9.
[00118] Conforme descrito acima, o sistema de autenticação 1, de acordo com a presente modalidade, inclui a plataforma de ID global 50, que retransmite informação e permite um acesso global que omite uma troca direta de informações entre servidores de autenticação. Assim, um sistema capaz de trocar informações entre cada servidor de autenticação e a plataforma de ID global 50 apenas precisa ser construído, de modo que é possível simplificar a configuração do sistema se comparada com quando um sistema que interliga IDs por diretamente trocar informações entre servidores de autenticação de sistemas de prestação de serviço é construído.
[00119] O botão de acesso (por exemplo, o botão de acesso 83 ou o botão de acesso 87) e o botão de acesso global (por exemplo, o botão de acesso global 84 ou o botão de acesso global 88) são exibidos na tela de acesso para cada serviço (por exemplo, o primeiro serviço ou o terceiro serviço) exibida na unidade de exibição 80 do dispositivo terminal 70. Desde que dois botões são exibidos, o usuário 71 está apto a visualmente reconhecer para pressionar o botão de acesso quando acessando um serviço do qual o usuário 71 é um membro e pressionar o botão de acesso global quando executando um acesso global a um serviço do qual o usuário 71 não é um membro. Desde que o botão de acesso e o botão de acesso global sejam exibidos na tela de acesso, é possível aprimorar a conveniência do usuário 71.
Primeira Modificação
[00120] Na modalidade, o exemplo no qual um servidor de autenticação armazena informação de usuário e gerencia a informação de usuário foi descrito. Entretanto, a função de gerenciar informação de usuário pode ser transmitida para um servidor diferente de um servidor de autenticação.
[00121] A Figura 12 é um diagrama apresentando esquematicamente a configuração de um sistema de prestação de serviço 10A de acordo com uma primeira modificação. O sistema de prestação de serviço 10A substitui o sistema de prestação de serviço 10 de acordo com a modalidade. Daqui para frente, a configuração do sistema de prestação de serviço 10A será tipicamente descrita; entretanto, uma configuração similar pode ser empregada para os sistemas de prestação de serviço de países B a D.
[00122] O sistema de prestação de serviço 10A inclui um servidor de gerenciamento de informação 11A, um servidor de autenticação 11B e os servidores de back-end 12, 13.
[00123] O servidor de gerenciamento de informação 11A inclui um controlador 111A, uma ROM, uma RAM, um dispositivo de comunicação e um dispositivo de armazenamento 115A. Na Figura 12, a ROM, a RAM e o dispositivo de comunicação não são apresentados.
[00124] O controlador 111A inclui uma unidade de gerenciamento de informação de usuário 1111A. O controlador 111A, por exemplo, funciona como a unidade de gerenciamento de informação de usuário 1111A por executar um programa armazenado na ROM. A unidade de gerenciamento de informação de usuário 1111A pode ser implementada, por exemplo, por hardware dedicado (circuito eletrônico).
[00125] A unidade de gerenciamento de informação de usuário 1111A possui uma função similar à unidade de gerenciamento de informação de usuário 1111, de acordo com a modalidade.
[00126] O dispositivo de armazenamento 115A é similar ao dispositivo de armazenamento 115, de acordo com a modalidade. O dispositivo de armazenamento 115A armazena os pedaços de informação de usuário 1151, 1152.
[00127] O servidor de autenticação 11B inclui um controlador 111B, uma ROM, uma RAM, um dispositivo de comunicação e um dispositivo de armazenamento. Na Figura 12, a ROM, a RAM, o dispositivo de comunicação e o dispositivo de armazenamento não são apresentados. O dispositivo de armazenamento do servidor de autenticação 11B não armazena os pedaços de informação de usuário 1151, 1152.
[00128] O controlador 111B inclui uma unidade de autenticação e de autorização 1112B e uma unidade de autenticação global 1113B. O controlador 111B, por exemplo, funciona como a unidade de autenticação e de autorização 1112B e a unidade de autenticação global 1113B por executar programas armazenados na ROM. A unidade de autenticação e de autorização 1112B e a unidade de autenticação global 1113B podem ser implementadas, por exemplo, por hardware dedicado (circuito eletrônico).
[00129] A unidade de autenticação e de autorização 1112B e a unidade de autenticação global 1113B respectivamente possuem funções similares à unidade de autenticação e de autorização 1112 e à unidade de autenticação global 1113 de acordo com a modalidade.
[00130] Quando a configuração do sistema de prestação de serviço 10A é empregada igualmente no sistema de autenticação 1, efeitos vantajosos similares a estes da modalidade são obtidos.
Segunda Modificação
[00131] Na modalidade, o exemplo no qual um servidor de autenticação (por exemplo, o servidor de autenticação 11) é fornecido para vários servidores de back-end (por exemplo, os servidores de backend 12, 13) foi descrito; entretanto, um servidor de autenticação pode ser fornecido para cada servidor de back-end. Nesse caso, igualmente, cada servidor de autenticação troca informação com outro servidor de autenticação via uma plataforma de ID global, de modo que efeitos vantajosos similares a esses da modalidade são obtidos.
[00132] A modalidade descrita acima é ilustrativa e não restritiva em todos os respeitos. O escopo da divulgação não é definido pela descrição das modalidades descritas acima e é definido pelas reivindicações anexas. O escopo da divulgação é pretendido para abranger todas as modificações dentro do escopo das reivindicações anexas de seus equivalentes.

Claims (5)

  1. Sistema de autenticação (1), caracterizado pelo fato de que compreende: um dispositivo terminal (70) configurado para ser operado por um usuário; um primeiro servidor (11) configurado para armazenar informação de identificação para identificar o usuário; um segundo servidor (21) configurado para não armazenar informação de identificação; e uma plataforma (50) configurada para retransmitir informação entre o primeiro servidor (11) e o segundo servidor (21), em que a plataforma (50) é configurada para, quando existe uma solicitação de autenticação do usuário a partir do dispositivo terminal (70) para o segundo servidor (21), retransmitir a solicitação de autenticação a partir do segundo servidor (21) para o primeiro servidor (11), e retransmitir um resultado de autenticação, retornado pelo primeiro servidor (11) para a solicitação de autenticação, a partir do primeiro servidor (11) para o segundo servidor (21).
  2. Sistema de autenticação (1), de acordo com a reivindicação 1, caracterizado pelo fato de que: o dispositivo terminal (70) inclui uma unidade de exibição (80); o dispositivo terminal (70) é configurado para exibir uma página para autenticação na unidade de exibição (80); a página contém um primeiro botão (83, 87) e um segundo botão (84, 88); quando o primeiro botão (83, 87) é pressionado, a autenticação do usuário é executada pelo segundo servidor (21); e quando o segundo botão (84, 88) é pressionado, a solicitação de autenticação é retransmitida pela plataforma (50) a partir do segundo servidor (21) para o primeiro servidor (11), e a autenticação do usuário é executada pelo primeiro servidor (11).
  3. Sistema de autenticação (1), de acordo com qualquer uma das reivindicações 1 ou 2, caracterizado pelo fato de que: o primeiro servidor (11) é configurado para armazenar informação de usuário no usuário; o segundo servidor (21) é configurado para não armazenar a informação de usuário; e a plataforma (50) é configurada para, quando o resultado de autenticação indica que a autenticação tem sucesso, transmitir, para o dispositivo terminal (70), uma solicitação de consentimento para consentir o compartilhamento da informação de usuário com o segundo servidor (21), e quando o consentimento para a solicitação de consentimento é obtido a partir do dispositivo terminal (70), retransmitir a informação de usuário a partir do primeiro servidor (11) para o segundo servidor (21).
  4. Sistema de autenticação (1), de acordo com a reivindicação 3, caracterizado pelo fato de que o segundo servidor (21) é configurado para, quando o consentimento para a solicitação de consentimento é obtido a partir do dispositivo terminal (70), transmitir um código de autorização para o dispositivo terminal (70).
  5. Sistema de autenticação (4), de acordo com a reivindicação 4, caracterizado pelo fato de que: o dispositivo terminal (70) é configurado para transmitir o código de autorização para o segundo servidor (21) e adquirir um token a partir do segundo servidor (21); e o token inclui pelo menos um token de acesso e um token de ID.
BR102022006725-2A 2021-04-20 2022-04-07 Sistema de autenticação BR102022006725A2 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2021-070925 2021-04-20
JP2021070925A JP7453179B2 (ja) 2021-04-20 2021-04-20 認証システム

Publications (1)

Publication Number Publication Date
BR102022006725A2 true BR102022006725A2 (pt) 2022-11-01

Family

ID=81325543

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102022006725-2A BR102022006725A2 (pt) 2021-04-20 2022-04-07 Sistema de autenticação

Country Status (5)

Country Link
US (1) US20220337583A1 (pt)
EP (1) EP4080820A1 (pt)
JP (2) JP7453179B2 (pt)
CN (1) CN115225306A (pt)
BR (1) BR102022006725A2 (pt)

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006011989A (ja) 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
JP4946564B2 (ja) 2007-03-27 2012-06-06 富士通株式会社 認証処理方法及びシステム
US8489736B2 (en) 2009-03-24 2013-07-16 Nec Corporation Mediation device, mediation method and mediation system
JP5644565B2 (ja) 2011-02-08 2014-12-24 三菱電機株式会社 認証システム及び認証方法
CN103139181B (zh) * 2011-12-01 2016-03-30 华为技术有限公司 一种开放式认证的授权方法、装置和系统
US8555079B2 (en) * 2011-12-06 2013-10-08 Wwpass Corporation Token management
US9774581B2 (en) * 2012-01-20 2017-09-26 Interdigital Patent Holdings, Inc. Identity management with local functionality
JP2017220113A (ja) * 2016-06-09 2017-12-14 キヤノン株式会社 認可サーバー、制御方法、およびプログラム。
US11159498B1 (en) * 2018-03-21 2021-10-26 Amazon Technologies, Inc. Information security proxy service
US10931656B2 (en) * 2018-03-27 2021-02-23 Oracle International Corporation Cross-region trust for a multi-tenant identity cloud service
JP7228977B2 (ja) 2018-08-30 2023-02-27 キヤノン株式会社 情報処理装置及び認可システムと検証方法
WO2020232336A1 (en) * 2019-05-15 2020-11-19 Traitware, Inc. System and methods for using a trusted single web portal for accessing multiple web services
US11599623B2 (en) * 2019-12-03 2023-03-07 Aetna Inc. Global identity for use in a hybrid cloud network architecture
JP2022144003A (ja) * 2021-03-18 2022-10-03 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Also Published As

Publication number Publication date
US20220337583A1 (en) 2022-10-20
JP2022165546A (ja) 2022-11-01
CN115225306A (zh) 2022-10-21
JP7453179B2 (ja) 2024-03-19
EP4080820A1 (en) 2022-10-26
JP2024051139A (ja) 2024-04-10

Similar Documents

Publication Publication Date Title
US11106818B2 (en) Patient identification systems and methods
US20090044259A1 (en) Mobility device platform paradigm
JP5927864B2 (ja) 遠隔画像システム
US20100169219A1 (en) Pluggable health-related data user experience
US20040122774A1 (en) Method and system for executing applications on a mobile device
US20140019149A1 (en) Scheduling a Patient for a Remote, Virtual Consultation
US20040181428A1 (en) Healthcare provider-patient online consultation system
BR122014007863A2 (pt) método de autenticar um usuário em um aparelho periférico, programa, meio de armazenamento, dispositivo móvel e aparelho periférico
US20050228877A1 (en) System for managing a device
US20220286297A1 (en) Terminal registration system and terminal registration method
US11055434B2 (en) Process for collecting electronic protected health information without a login
US20020087356A1 (en) Method and system for information retrieval and transfer
JPWO2010050406A1 (ja) サービス提供システム
US9177173B2 (en) Handling repeated requests for the same user data
BR102022006725A2 (pt) Sistema de autenticação
US20080256089A1 (en) Supporting multiple security mechanisms in a database driver
JP2020166601A (ja) 仲介サーバ、プログラム、及び情報処理方法
US20200145418A1 (en) Authentication method, an authentication device and a system comprising the authentication device
US7093281B2 (en) Casual access application with context sensitive pin authentication
JP7435890B1 (ja) ユーザ認証システム、ユーザ認証装置、ユーザ認証方法、およびプログラム
Vasanthi et al. Security Model for Healthcare Application In Cloud Computing
CN106664313A (zh) 认证中心的系统或方法
US20230007880A1 (en) System and Method for Managing Multiple Transactional Workflows
JP2004038646A (ja) 認証システム、及びこの認証システムに用いる認証装置とサイト提供装置
TWM636124U (zh) 具識別身分的快速便捷線上開戶系統

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]