CN100444544C - 验证系统,服务器和验证方法及程序 - Google Patents

验证系统,服务器和验证方法及程序 Download PDF

Info

Publication number
CN100444544C
CN100444544C CNB2004100563154A CN200410056315A CN100444544C CN 100444544 C CN100444544 C CN 100444544C CN B2004100563154 A CNB2004100563154 A CN B2004100563154A CN 200410056315 A CN200410056315 A CN 200410056315A CN 100444544 C CN100444544 C CN 100444544C
Authority
CN
China
Prior art keywords
service
client
supplier
request
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB2004100563154A
Other languages
English (en)
Other versions
CN1581771A (zh
Inventor
佐藤史子
伊藤贵之
寺口正义
山口裕美
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN1581771A publication Critical patent/CN1581771A/zh
Application granted granted Critical
Publication of CN100444544C publication Critical patent/CN100444544C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

一种验证系统、服务器和验证方法及程序。本发明的目的是向验证系统提供对服务性能影响较小的一次性登录,以便通过网络提供服务。验证系统包括提供服务的提供者(20),安全性权标服务(40),和置于安全性权标服务(40)和提供者(20)之间的代理服务(30)。代理服务(30)保存安全性权标服务(40)的验证结果,并在某些条件下,可在不把从提供者(20)接收的验证请求传送给安全性权标服务(40)的情况下,根据自己保存的验证结果,代理执行客户验证。此外,当根据提供者(20)自己保存的客户(10)的服务使用历史,显然可向客户提供服务时,提供者(20)向客户(10)提供服务,而不必发出验证请求。

Description

验证系统,服务器和验证方法及程序
技术领域
本发明涉及被执行,以便通过网络提供服务的用户验证,更具体地说,涉及利用一次性登录(single sign on)执行用户验证的系统和方法。
背景技术
当采用在因特网上提供的来自多个提供者的付费服务时,通常要求验证接受服务的客户,以便管理付款额和帐户。按照惯例,由于每个提供者通常利用不同的方法完成客户验证,因此对于相应的服务,独立地完成客户验证。但是,为了更自由地利用服务,更可取的是利用在多个提供者之间共同的客户验证,实现一次性登录。
作为实现一次性登录的手段,考虑引入整体管理多个提供者的代理服务和实现客户验证的安全性权标服务(Security Token Service)。这里,安全性权标服务指示独立于任意客户、提供者和代理服务存在的,验证客户的机构。存在这种类型的一种常规技术,其中代理服务被置于客户和提供者之间,并且代替客户,代理服务请求客户验证,从而关于多个提供者实现一次性登录(例如,参见专利文献1和2)。
按照惯例,提供了在不引入代理服务的情况下,实现一次性登录的模型,其中围绕多个提供者,定制在预定提供者中曾经完成的客户验证(例如,参见专利文献3)。在这种传统的技术中,当客户持有提供者A发布的验证权标,并且希望通过呈递验证权标,与提供者B连接时,提供者B请求发布者的提供者A检查验证权标。
[专利文献1]
公开的未经审查的专利申请No.2002-288139
[专利文献2]
公开的未经审查的专利申请No.2002-32340
[专利文献3]
公开的未经审查的专利申请No.2002-335239
如上所述,已提供了实现一次性登录,以便在网络上高效实现客户验证的方法。但是,在其中置于客户和提供者之间的代理服务请求代理执行客户验证的常规技术中,如专利文献1和2中所述,当客户或提供者是处理能力低的便携式终端,或者应用对处理要求较大负载的电子签名或加密时,代理服务变成瓶颈,导致系统的整体性能低下。
另外,在其中源于预定提供者的客户验证被转向其它一些提供者的常规技术中,当客户与不同于在先提供者(或者完成验证的预定提供者)的另一提供者连接时,从预定提供者把验证结果通知另一提供者,导致提供服务所需的通信的数目增大,降低性能,如专利文献3中所述。
从而,鉴于上述问题,本发明的目的是实现对性能影响较小的一次性登录,以便通过网络提供要求客户验证的服务。
发明内容
为了实现上述目的,本发明被实现成一种通过总体管理经网络提供预定服务的多个提供者,借助一次性登录实现客户验证的验证系统,所述验证系统被如下配置。所述验证系统包括通过网络提供预定服务的提供者,对向提供者发出服务请求的客户进行验证的验证服务器(安全性权标服务),和管理提供者向验证服务器发出的验证请求的代理服务器(代理服务),所述代理服务器被置于验证服务器和提供者之间。代理服务器保存验证服务器的验证结果,并且在所述验证结果有效时,在不把从提供者接收的验证请求传送给验证服务器的情况下,根据保存的验证结果,代理执行针对客户的验证。
最好,提供者保存客户的服务使用历史,当根据服务使用历史,显然可向客户提供服务时,在不发出验证请求的情况下,向客户提供服务。另外,代理服务器从提供者获得并管理客户的服务使用历史,并响应来自预定提供者的验证请求,根据来自验证服务器的验证结果和服务使用历史,确定是否可向客户提供服务。此外,代理服务器通过围绕多个提供者循环,累积供比较的每个客户的服务使用历史,选择最新的内容,并用最新的内容更新每个提供者中每个客户的服务使用历史。
另外,本发明的另一验证系统包括通过网络提供预定服务的多个提供者,验证向所述提供者发出服务请求的客户的验证服务器,和响应来自预定提供者的核实请求,确定是否可向对预定提供者发出服务请求的客户提供服务的核实服务器(代理服务)。提供者保存客户的服务使用历史,核实服务器产生包括客户的验证信息和客户的服务使用次数(service use number)信息在内的编码数据,以便把编码信息提供给客户,并从提供者获得和管理服务使用历史,其中当预定客户采用编码数据,向预定提供者发出服务请求时,响应来自提供者的核实请求,核实服务器通过对比编码数据和客户的服务使用历史,确定是否可提供服务;当所述对比结果为“假”时,根据所述客户的验证信息,确定是否可向所述客户提供服务;以及在所述验证信息有效时,在不把从所述提供者接收的所述验证请求传送给所述验证服务器的情况下,根据所述验证信息,执行针对所述客户的验证。
这里,当预定客户采用编码数据,发出服务请求时,如果通过对比编码数据和服务使用历史,显然可向该客户提供服务,那么提供者向该客户提供服务,而不必向核实服务器发出核实请求。另外,核实服务器通过围绕多个提供者循环,累积用于比较的每个客户的服务使用历史,选择最新的内容,并用最新内容更新每个提供者中每个客户的服务使用历史。
此外,为了实现上述目的,另一发明被实现成通过总体管理经网络提供预定服务的多个提供者,实现一次性登录的服务器(代理服务器),所述服务器被如下配置。即,该服务器包括保存提供者中预定客户的服务使用历史的使用历史存储装置,保存通过请求预定验证服务器获得的关于预定客户的验证结果的验证结果存储装置,和响应来自提供者的查询,采用服务使用历史和验证结果,确定是否可向预定客户提供服务的核实装置。当保存在验证结果存储装置中的验证结果无效时,核实装置请求验证服务器进行客户验证,以确定是否可提供服务。
此外,另一发明被实现为一种方法,用于通过总体管理经网络提供预定服务的多个提供者来借助一次性登录执行客户验证,所述方法包括:保存所述提供者中预定客户的服务使用历史;保存通过请求预定验证服务器获得的针对所述预定客户的验证结果;和响应来自所述提供者的查询,采用所述服务使用历史和所述验证结果,确定是否可向所述预定客户提供服务;其中当所述验证结果无效时,请求所述验证服务器进行客户验证,以确定是否可提供服务。
这里,该服务器还包括通过围绕受管理的多个提供者循环,累积每个客户的服务使用历史,并把最新的服务使用历史分配给每个提供者的使用历史累积或分配装置。使用历史累积或分配装置优先围绕长时间未进行任何联系,以查询是否能够提供服务的提供者,具有与使用历史累积装置关于其累积最新服务使用历史的客户的最大通信次数的提供者,或者具有与客户的较大通信总量的提供者循环。
另外,该服务器还包括编码数据产生装置,用于产生包括客户的验证信息和客户的服务使用次数信息的编码数据,其中当预定客户采用编码数据向预定提供者发出服务请求时,核实装置通过对比编码数据和保存在使用历史存储装置中的客户的服务使用历史,确定是否可提供服务。
此外,本发明被实现成采用计算机,验证向提供者发出服务请求的客户的验证方法。即,该验证方法包括对比其中对客户的服务使用历史编码的编码数据和保存在预定存储装置中的客户的服务使用历史信息的第一步骤,当第一步骤的对比结果为“假”时,根据保存在预定存储装置中的客户的验证信息,确定是否可向客户提供服务的第二步骤,和当供在第二步骤使用的验证信息无效时,请求预定的验证服务器验证客户,并根据获得的验证结果,确定是否可向客户提供服务的第三步骤。
该验证方法还可包括当在第一步骤的对比结果为“真”时,确定可向客户提供服务的步骤,和把在第三步骤获得的验证结果作为供在第二步骤使用的验证结果保存在预定存储装置中的步骤。
另外,本发明被实现成一种控制计算机起服务器(代理服务)的作用,或者使计算机能够执行对应于上述验证方法中每个步骤的处理的程序。该程序在磁盘、光盘、半导体存储器或其它记录介质中被保存和传递,或者通过网络分发和提供。
在如上构成的发明中,总体管理提供者的代理服务可位于提供者的上层上,从而代理服务不会变成进行验证过程中的瓶颈。另外,在某些条件下,可省略利用安全性权标服务或代理服务的客户验证,从而省略代理服务和安全性权标服务之间的通信,或者提供者和代理服务之间的通信,产生避免当提供者提供服务时,性能低下的效果。
另外,在本发明中,代理服务通过围绕受管理的提供者循环,累积客户验证所需的信息,并把最新信息分配给每个提供者,从而存在能够省略借助安全性权标服务或代理服务的客户验证的更多机会,产生获得整个系统的更高性能的效果。
附图说明
图1是表示根据本发明的一个实施例,实现一次性登录的系统的整体结构的方框图;
图2是表示根据本实施例,适合于实现构成一次性登录系统的每个组件的计算机设备的硬件结构的例子的方框图;
图3表示理解为根据本实施例的客户验证系统的提供者,代理服务和安全性权标服务的功能结构;
图4表示根据本实施例,一次性登录中的客户验证程序;
图5是说明根据本实施例的客户验证程序的流程图;
图6是说明根据本实施例,由提供者执行的客户的服务使用历史的对比过程的流程图;
图7是说明根据本实施例,利用代理服务的客户核实的程序的流程图;
图8是说明根据本实施例,通过围绕提供者循环,累积和分配每个客户的服务使用历史的代理服务的操作的流程图;
图9表示根据本实施例,当客户购买PayWord优待票时,客户,提供者和代理服务的操作;
图10表示根据本实施例,应对提供者的第一请求,客户,提供者和代理服务的操作;
图11表示根据本实施例,应对相同提供者的连续请求,客户,提供者和代理服务的操作;和
图12表示根据本实施例,在请求另一提供者之后,再次对前一提供者发出请求时,客户,提供者和代理服务的操作。
附图标记说明
10…客户机
20…提供者
21、31、41…通信控制部分
22…服务执行部分
23、32、42…验证执行部分
30…代理服务
33…使用历史分配/累计部分
40…安全性权标服务
101…CPU(中央处理单元)
103…主存储器
105…磁盘驱动器(HDD)
106…网络接口
具体实施方式
下面参考附图,详细说明实现本发明的最佳方式(即实施例)。
图1是表示根据本发明的一个实施例,实现一次性登录的系统的整体结构的方框图。
如图1中所示,本实施例的系统包括下述组件:客户10,提供者20,代理服务30和安全性权标服务40。这些组件被如下定义。
客户10是向提供者请求服务的组件。
提供者20是向客户10提供服务,并高速缓存客户10的使用历史的组件。
代理服务30是高速缓存客户10的验证结果,并管理每个提供者20中,客户10的使用历史的组件。
安全性权标服务40是验证客户10的组件。
在本实施例的系统中引入了总体管理所有提供者20和所有客户10的信息的代理服务30,和用作客户验证机构的安全性权标服务40。客户10、提供者20和代理服务30中的任意之一向安全性权标服务40发送客户验证请求,但是安全性权标服务40的客户验证结果由客户10自己保持不太可取。因此,在下面的说明中,假设客户验证请求由代理服务30发送给安全性权标服务40。
如图1中所示,在本实施例中,置于多个提供者上层的代理服务30总体管理每个提供者20的信息和客户信息,例如客户验证的结果,并把客户信息提供给每个提供者20。此外,代理服务30采用安全性权标服务40的客户验证结果,确定服务是否可被提供(下面称为客户核实),并把确定结果传送给提供者20。
图2是表示根据本实施例,适合于实现构成一次性登录系统的每个组件的计算机设备的硬件结构的例子的方框图。
如图2中所示的计算机设备包括作为操作装置的CPU(中央处理器)101,通过M/B(主板)芯片集102和CPU总线与CPU 101连接的主存储器103,通过M/B芯片集102和AGP(加速图形端口)与CPU 101连接的视频卡104,通过PCI(外设部件互连)总线与M/B芯片集102连接的磁盘驱动器(HDD)105,网络接口106,和通过PCI总线,桥接电路107和诸如ISA(工作标准结构)总线之类低速总线,与M/B芯片集102连接的软盘驱动器108和键盘/鼠标109。
图2只图解说明了实现本实施例的计算机设备的硬件结构,但是可做出各种其它变化,只要该实施例适用。例如,代替提供视频卡104,只以只安装视频存储器,以便在CPU 101中处理图像数据,或者通过诸如ATA(AT配件)或SCSI(小型计算机系统接口)之类接口,可提供诸如CD-R(可记录光盘)或DVD-ROM(数字通用视盘随机存取存储器)之类外部存储单元。另外,客户10可以是如图2中所示的计算机设备,或者如前所述的诸如具有网络功能的PDA(个人数字助手)或便携式电话机之类信息设备。
图3表示理解为根据本实施例的客户10的验证系统的提供者20,代理服务30和安全性权标服务40的功能结构。
如图3中所示,在本实施例中,提供者20包括与客户10和代理服务30进行数据通信的通信控制部分21,向客户10提供预定服务的服务执行部分22,和只是进行客户验证的验证执行部分23。提供者20的验证执行部分23进行的客户验证的细节将在后面说明。
在上面的结构中,通信控制部分21由如图2中所示的计算机设备中受程序控制的CPU 101和网络接口106实现。服务执行部分22和验证执行部分23由如图2中所示的计算机设备中受程序控制的CPU 101实现。在CPU 101中实现通信控制部分21,服务执行部分22和验证执行部分23的功能的程序可在磁盘、光盘、半导体存储器或其它记录介质中保存和传递,或者可通过网络分发。
代理服务30包括实现提供者20和安全性权标服务40之间的数据通信的通信控制部分31,不考虑安全性权标服务40,实现客户验证的验证执行部分32,和分发或累积用于验证执行部分32进行的客户验证的客户10的服务使用历史的使用历史分发或累积部分33。由于使用历史分发或累积部分33的缘故,代理服务30能够通过围绕受管理的提供者20循环,累积用于比较的每个客户的服务使用历史,并且始终保留单个客户10的最新使用历史。另外,在围绕提供者20循环的过程中,最新的使用历史被分发给每个提供者20。代理服务30中的验证执行部分32进行的客户验证的细节将在后面说明。
在上面的结构中,通信控制部分31由如图2中所示的计算机设备中受程序控制的CPU 101和网络接口106实现。验证执行部分32和使用历史分发或累积部分33由如图2中所示的计算机设备中受程序控制的CPU 101实现。在CPU 101中实现通信控制部分31,验证执行部分32和使用历史分发或累积部分33的功能的程序可在磁盘、光盘、半导体存储器或其它记录介质中保存和传递,或者可通过网络分发。
安全性权标服务40包括实现与代理服务30的数据通信的通信控制部分41,和实现客户验证的验证执行部分42。安全性权标服务40中的验证执行部分42进行的客户验证可由使用口令或客户ID信息的各种众所周知的验证方法实现。
在上面的结构中,通信控制部分41由如图2中所示的计算机设备中受程序控制的CPU 101和网络接口106实现。验证执行部分42由如图2中所示的计算机设备中受程序控制的CPU 101实现。在CPU101中实现通信控制部分41和验证执行部分42的功能的程序可在磁盘、光盘、半导体存储器或其它记录介质中保存和传递,或者可通过网络分发。
图4表示根据本实施例,一次性登录中的客户验证程序。
在如图4中所示的模型1中,如果客户10向预定服务器20发出服务请求,那么提供者20请求代理服务30进行客户核实,确定是否可向发出服务请求的客户10提供服务。
代理服务30请求安全性权标服务40验证客户10,响应该请求,获得验证结果。代理服务30根据获得的验证结果,确定是否可向客户10提供服务,并把确定结果(客户核实结果)通知提供者20。
如果根据从代理服务30接收的客户核实结果,可提供服务,那么提供者20向客户10提供服务。
上述关于模型1的客户验证程序是本实施例中客户验证的最基本原理。借助模型1,安全性权标服务40决定客户验证方法,客户验证结果由代理服务30总体管理,从而易于实现多个提供者20的服务的一次性登录。
但是,在模型1中,每次客户10连接某一提供者20时,遵循提供者20请求代理服务30进行客户核实,代理服务30请求安全性权标服务40进行客户验证的程序。这种情况下,对于客户10的服务请求来说,除了客户10和提供者20之间的通信之外,还需要提供者20和代理服务30之间,代理服务30和安全性权标服务40之间的两次通信。因此,和不是一次性登录,但是只通过客户10和提供者20之间的通信即完成的客户验证相比,它需要较长的通信时间来完成两次通信。
从而,根据位于客户10的服务使用历史,简化客户验证,能够省略提供服务所需的通信。
如图4中所示的模型2代表通过省略代理服务30和安全性权标服务40之间的通信,简化的客户验证程序。模型3代表通过省略代理服务30和安全性权标服务40之间的通信,以及代理服务30和提供者20之间的通信,简化的客户验证程序。
为了利用模型2和3,实现简化的客户验证,本实施例的提供者20和代理服务30具有下述结构。
提供者20的验证执行部分23保持使用服务的每个客户10的服务使用历史。该使用历史被保存在如图2中所示的计算机设备的主存储器103或磁盘单元105中。
另外,代理服务30的验证执行部分32高速缓存通过请求安全性权标服务40获得的客户验证结果。客户验证结果具有明确的有效期。客户验证结果被保存在如图2中所示的计算机设备的主存储器103或磁盘单元105中。
另外,代理服务30保持请求客户验证的提供者20的ID信息。该ID信息保存在如图2中所示的计算机设备的主存储器103或磁盘单元105中。
·当发生从客户10到提供者20的第一服务请求时,以及
·当超过在代理服务30中高速缓存的客户验证结果的有效期时按照模型1执行客户验证。另外,
·当保持在代理服务30中的客户验证结果被有效高速缓存时按照模型2执行客户验证。另外,
.当利用保持在提供者20中的客户10的服务使用历史,进行客户核实时,
按照模型3执行客户验证。
当产生从客户10到预定提供者20的服务请求时,动态地选择用于客户验证的模型。
下面说明根据本实施例的客户验证的整个过程。
图5是说明根据本实施例的客户验证程序的流程图。
作为一个前提,假定客户10保持根据采用过去服务(一次性登录涵盖的每个提供者20提供的服务)的服务使用历史编码的数据。编码数据在代理服务器30中产生,并被提供给客户10。编码数据的细节将在后面说明。
如图5中所示,在产生新的服务请求的过程中,或者响应来自提供者20的请求,客户10把关于服务使用历史的编码数据传送给提供者20(步骤501)。
提供者20对比从客户10接收的使用历史的编码数据和提供者20保持的使用历史(步骤502)。对比过程的细节后面说明。如果对比结果为“真”,那么确定能够提供服务,认为客户10的使用历史的核实被完成。省略对代理服务器30的客户核实请求(步骤503)。此时,应用模型3的客户验证。
如果步骤503的对比结果为“假”,那么提供者20把客户10的使用历史和编码数据传送给代理服务器30,请求客户核实(步骤504)。步骤503的对比结果为“假”的原因是下述任意之一。
·客户10刚刚向另一提供者发出服务请求,从而目前在通信过程中,提供者20持有的使用历史是陈旧的使用历史(原因1)。
·发生客户的第一服务请求,从而对应的使用历史未被保持(原因2)。
·客户10伪造使用历史的信息(原因3)。
借助服务30接收来自提供者20的客户核实请求,随后对比包括在客户核实请求中的编码数据和代理服务30持有的使用历史(步骤505)。由于在代理服务30中管理的使用历史具有从每个提供者20累积的最新内容,因此当步骤503中,对比结果为“假”的原因是原因1时,这里对比结果为“真”。该对比过程的细节后面说明。如果在步骤506的对比结果为“真”,那么确定能够提供服务,从而客户10的使用历史的核实被完成。对安全性权标服务40的客户验证请求被省略(步骤506)。此时,应用模型2的客户验证。
如果步骤506的对比结果为“假”,那么代理服务30检查客户10的客户验证结果是否为它自己被高速缓存(即,客户10被首次要求核实)(步骤507)。如果对应的客户验证结果未被高速缓存,那么向安全性权标服务40发生客户验证请求,获得验证结果,因为在步骤503,对比结果为“假”的原因是原因2。代理服务30根据安全性权标服务40的客户验证结果,确定是否可向客户10提供服务,并把客户核实结果传送给提供者20(步骤508)。此时,应用模型1的客户验证。
如果在步骤507的对应验证结果被高速缓存,那么代理服务30把客户核实失败的核实结果返回给提供者20,因为在步骤503的对比结果为“假”的原因被认为是原因3(步骤509)。这种情况下,省略对安全性权标服务40的验证请求,从而客户验证的程序对应于模型2。
图6是说明提供者20执行的客户10的服务使用历史的对比过程的流程图。
如图6中所示,如果提供者20从客户10接收服务请求,以及服务使用历史,那么验证执行部分23检索对应的服务使用历史是否被保存(步骤601)。如果对应的服务使用历史被保存,那么验证执行部分23对比服务使用历史和从客户10接收的服务使用历史(步骤602,603)。如果对比结果为“真”,那么确定能够提供服务,类似于客户核实,从而服务执行部分22向客户10提供服务(步骤604)。
如果在步骤602,未检测到对应的服务使用历史,并且如果在步骤603,对比结果为“假”,那么向代理服务30传送客户核实请求(步骤605)。从代理服务30获得客户核实结果(步骤606)。如果根据客户核实结果,确定服务可被提供给客户10,那么服务执行部分22向客户10提供服务(步骤607,604)。另一方面,如果确定不能向客户10提供服务,那么执行出错处理(向客户10传送拒绝服务的消息),处理结束(步骤608)。
图7是说明利用代理服务的客户核实程序的流程图。
如图7中所示,如果代理服务30从提供者20收到客户核实请求,那么验证执行部分32检索作为客户核实请求的对象的客户10的客户验证是否被高速缓存(步骤701)。如果对应的高速缓存数据存在,那么验证执行部分32检查高速缓存数据是否有效(已超过有效期)(步骤702,703)。如果高速缓存数据有效,那么验证执行部分32根据高速缓存数据的客户验证结果,核实客户10的服务使用历史(步骤704)。
如果在步骤702,不存在对应的高速缓存数据,或者如果在步骤703,确定高速缓存数据无效,那么把客户验证请求传送给安全性权标服务40(步骤705)。从安全性权标服务40获得客户验证结果(步骤706)。如果根据验证结果确定客户10有效,那么验证结果被验证执行部分32高速缓存(步骤707、708)。验证执行部分32根据最新高速缓存的验证结果,核实客户10的服务使用历史(步骤704)。
如果作为核实客户10的服务使用历史的结果,使用历史有效,那么提供向提供者20传送指示可向客户10提供服务的客户核实结果和核实的服务使用历史(步骤709、710)。
如果在步骤709确定服务使用历史无效,并且如果在步骤707,获得指示用户无效的验证结果,那么向提供者20传送指示不能向客户10提供服务的客户核实结果(步骤711)。
顺便提及,通过根据客户10发出服务请求时的情况,动态选择模型1、2和3中的任意之一,执行客户验证,从而提高了提供者20提供服务的性能。但是,为了表现出把性能提高到极限的效果,最好尽可能地应用模型3。在提供者20之间进行信息交换,以致在任意时候,保留在客户10与之连接的提供者20中的客户10的使用历史是最新的,从而增大应用模型3的机会。
从而,认为客户10的最新使用历史被有效地分配给多个提供者20。本实施例中,代理服务30在提供者20中循环,并累积(获得)在提供者20中保存的客户10的最新使用历史,同时,当在提供者20中保存陈旧的使用历史时,分配最新的使用历史,以便更新(供给)使用历史,从而可分配最新的使用历史,以改变提供者20。
本实施例中,代理服务30采用根据下述标准计算的提供者20的分数,尽可能有效地从提供者20累积客户10的使用历史,或者把最新的使用历史分配给提供者20。
标准1:长时间未与代理服务30联系的提供者20可能具有客户10的陈旧使用历史,其中必须通过尽早从代理服务30分发最新的使用历史,用最新的使用历史更新陈旧的使用历史。因此,这样的提供者20被给予较高的分数。
标准2:当代理服务30从提供者20累积客户10的最新使用历史时,考虑向哪个提供者20分配该最新使用历史更有效。最有效的选择是把最新使用历史分配给具有与从其累积最新使用历史的客户10的较大通信次数的提供者20。从而,这样的提供者20被赋予较高的分数。
标准3:注意使用历史的累积,选择具有更大数量的最新使用历史的提供者20的一种简单标准是具有与客户10的较大通信总量的提供者20具有较大数量的最新使用历史。从而,这样的提供者20被赋予较高的分数。
下面的数值表达式1是关于预定提供者i,评估上述标准1、2和3的分数计算表达式的一个例子。
Si1=Δti
S i 2 = Σ j n i , j
Si3=mi
这里Δti是提供者i中,自从与代理服务30最后一次通信以来过去的时间,ni,j是提供者i和客户j(只是关于其,代理服务30拥有最新使用历史的客户10)之间的通信次数,mi是提供者i中,与客户10的通信总数。
这三个值的加权和
Si=aSi1+bSi2+cSi3(a,b,c是恰当的系数)
是提供者i的分数。
代理服务30计算每个提供者20的分数,通过围绕提供者20循环,按照较高分数的顺序选择提供者20。对于代理服务30在其中循环的提供者20,累积每个提供者20拥有的使用历史,代理服务30拥有的最新使用历史被分配给每个提供者20。从而,客户10的最新使用历史保持在客户10向其发出服务请求的提供者20中的可能性较大,增大了模型3适用的机会。并且提供服务所需的连接次数的平均值被降低,提供服务时整个系统的性能被增强。
图8是说明通过围绕提供者20循环,累积和分配每个客户10的服务使用历史的代理服务30的操作的流程图。
代理服务30的使用历史分配或累积部分33在预定的计时(例如定期地)计算受管理的每个提供者20的分数,并确定代理服务30围绕其循环的提供者20(步骤801)。代理服务连接循环目的地(即具有最大分数)的提供者20(步骤802),并比较提供者20拥有的服务使用历史中,与一个客户10相关的使用历史和代理服务30拥有的客户10的使用历史(步骤803)。
作为比较的结果,当提供者20具有比代理服务30更新的使用历史时,使用历史分配或累积部分33用提供者20的使用历史更新代理服务30的使用历史(步骤804、805)。另一方面,当代理服务30具有比提供者20更新的使用历史时,使用历史分配或累积部分33用代理服务30的使用历史更新提供者20的使用历史(步骤804、806)。
随后,检查使用历史分配或累积部分33是否关于连接的提供者20拥有的所有客户10的使用历史执行了步骤803-806,如果存在任意未处理的使用历史,那么通过依次留意每个客户10,对该使用历史重复步骤803-806。如果通过依次留意每个客户的使用历史,更新了所有客户10的使用历史,那么结束关于提供者20的循环过程(步骤807)。
作为本实施方式中的一个例子,以下将说明使用PayWord作为包括客户10中的服务使用历史信息的编码数据的一个验证系统。
在产生服务请求的过程中,PayWord可被用作客户10使用的优待票。另外,通过核实PayWord的使用历史,指定发出服务请求的客户10,为客户核实作好准备。通过利用PayWord,完成客户核实和关于使用历史的管理,从而代理服务30还扮演关于客户10的记帐管理的角色。但是,完成客户核实需要最后使用的PayWord的使用历史(最新使用历史)。
下面,说明用作单向编码优待票的一个例子的PayWord的细节。
PayWord涉及通过利用根据单向散列函数和任意随机数计算的散列值,实现提供者20和客户10之间的验证的方法。
为了利用PayWord完成验证,假定发布客户10的证书的CA(认证机构)的存在。首先,将说明利用PayWord的CA,客户10和提供者20的预先准备,以及PayWord的使用。另外,假定客户10和提供者20事先知道相同的单向散列函数。
[预先准备]
1.CA发布客户10的具有CA签名的证书Cu。
2.客户10首先确定乘以可用度n和任意随机数的单向散列函数的值Wn。把散列函数h和Wn相乘n次,从而获得n个散列值W0-Wn-1。即,
Wi-1=h(Wi)              i=1,…,n
3.客户10签署证书Cu和用作PayWord的路由值的值W0,并把它们传送给提供者20。
4.提供者20根据传送的证书Cu验证客户10,并保存值W0
[第一次使用(第一次付款)]
1.客户10把使用频率j和对应的Wj传送给提供者20。这里,要传送的一对j和被定义为PayWord。
2.提供者20把散列函数和传送的Wj相乘j次,并比较获得的散列函数的值与持有的PayWord的路由值W0
3.如果这些值匹配,那么客户10等同于先前验证的客户10,从而提供者20提供服务。
4.提供者20为下次的服务请求保存Wj
[第二次使用(第二次付款)]
1.客户10把使用频率k和对应的Wj+K传送给提供者20。
2.提供者20把散列函数和传送的Wj+k相乘k次,并比较获得的散列函数的值与持有的值Wj
3.如果这些值匹配,那么提供服务,并且保存Wj+k
通过重复相同的操作,允许使用PayWord n次。PayWord的特征如下:
·只有通过计算散列值,才能实现客户10的客户验证和使用历史的管理。
·采用由单向散列函数计算的值,从而防止非法使用。
·在预先准备中,只有当客户10向提供者20传送证书Cu时,才需要客户10的电子签名,当发出服务请求时,不需要客户10的签名。
·如同指出的一样,以比电子签名约快10000倍的处理速度执行散列值的计算。
在本实施例的具有利用这种PayWord的一次性登录的系统中,PayWord的使用历史被用作客户10的服务使用历史。代理服务30用于高速缓存客户验证结果和客户10的使用历史,并发布PayWord。利用PayWord管理客户10的服务使用历史,从而在客户10和提供者20之间容易地实现客户核实,以便在多个提供者20之间共用相同的PayWord优待票。
下面将说明执行一次性登录的程序。这里,假定在客户10、提供者20和代理服务30中预先共享供PayWord使用的散列函数。
[购买优待票]
首先,客户10购买在发出服务请求中使用的优待票。
图9表示当客户10购买PayWord优待票时,客户10,提供者20和代理服务30的操作。
如图9中所示,首先,客户10把“购买10张优待票”的购买请求和具有电子签名的安全性权标(客户ID和口令)传送给代理服务30(图9中的操作(0-1))。这种情况下,为了更安全地传送,消息最好被加密。
响应来自客户10的购买请求,代理服务30把客户10的安全性权标呈递给安全性权标服务40,并产生客户验证请求和优待票购买请求(图9中的操作(0-2))。
安全性权标服务40核实从代理服务30传来的客户10的安全性权标,并向代理服务30发出包括“购买10张优待票”的属性的客户验证(图9中的操作(0-3))。
代理服务30通过查阅从安全性权标服务40接收的属性内容,产生10张优待票的PayWord,并把10个PayWord值和路由值W0返回给客户10(图9中的操作(0-4))。这里,代理服务30接收的验证结果与产生的10个PayWord值和路由值W0,以及客户ID相关,并且持续优待票的有效期被高速缓存。
通过按照上述方式,采用从代理服务30接收的PayWord,客户10能够接受服务。这里,代理服务30独自知道实际客户ID和在发出服务请求过程中,用于客户验证的路由值W0之间的对应性,并保存对于所有提供者20,该客户的使用历史,从而通过每隔一定时间,发出支付请求,代理服务30能够实现记帐管理。
下面将说明从提供者20向客户10提供服务的执行程序。
首先,列举决定所述执行程序的基本条件。
·通过利用在提供者20中保持的PayWord的使用历史,核实从客户10传送的PayWord,执行客户10和提供者20之间的客户核实。
·当关于PayWord的客户核实成功时,可省略提供者20和代理服务30之间的连接。
·只有当关于PayWord的客户核实失败时,提供者20才联系代理服务30请求核实。下述任意因素可导致客户核实的失败。
因素1:客户10的第一次服务请求。
因素2:客户10刚刚向另一提供者20发出服务请求。
因素3:客户10伪造信息。
因素4:客户10还没有购买优待票。
·如果代理服务30的核实指出失败的原因是因素1和2,那么提供者20提供服务。
在上述条件下,将在如下所示的三种情况下说明服务提供程序。
情况1:第一次向预定提供者20发出服务请求。
情况2:连续地向提供者20A发出服务请求。
情况3:在从另一提供者20B接收服务之后,再次向提供者20A发出服务请求。
在该操作说明中,当需要区分单个提供者20时,把大写字母附在客户20后面,例如提供者20A、20B。
[情况1:第一次请求提供者20A]
图10表示在情况1下,客户10,提供者20和代理服务30的操作。
根据从代理服务30接收的PayWord,客户10向提供者20A发出服务请求(图10中的操作(1-1))。同时,客户10把客户ID和与必需数目的优待票对应的PayWord W1传送给提供者20A。这里,当PayWord被用于单向编码优待票时,提供者20A可采用PayWord的路由值W0,而不是客户ID来识别客户10。这种情况下,W0被用作只在优待票的有效期内有效的临时客户ID。另外,提供者20A不需要知道固有的客户ID,难以根据W0猜想客户10,和直接采用客户ID识别客户10相比,PayWord的路由值W0更安全。此外,通过和客户10的签名及加密一起应用W0,消息具有更高的安全性。
此时,由于对提供者20A的第一次服务请求的缘故,提供者20A并不持有客户10的使用历史。从而,提供者20A把客户10的信息呈递给代理服务30,请求代理服务30进行PayWord Wi的客户验证和有效性核实(图10中的操作(1-2))。
高速缓存当客户10购买优待票时获得的客户验证结果的代理服务30根据高速缓存结果,以客户核实的形式确认PayWord Wi的有效性。如果Wi有效,那么代理服务30把客户核实结果传送给提供者20A(图10中的操作(1-3))。如果在代理服务30中高速缓存的客户验证结果在有效期内,那么传送该客户验证结果,代理服务30不需要再次发出客户验证请求。因此,可省略代理服务30和安全性权标服务40之间的连接。
另外,代理服务30把值Wi高速缓存为在进行客户核实过程中,客户10的优待票的使用历史。
提供者20A信任接收的客户核实结果,并向客户10提供服务(图10中的操作(1-4))。提供者20A还把路由值W0和路由值Wi高速缓存为客户10的使用历史。从而,当提供者20A连续地与该客户10通信时,提供者20A自己进行客户核实,可省略与代理服务30的连接。
[情况2:连续请求提供者20A]
图11表示在情况2下,客户10,提供者20A和代理服务30的操作。
当客户10连续地向提供者20A发出服务请求,而不使用其它提供者20A的服务时,如上所述,可省略代理服务30和提供者20之间的连接。
首先,和关于第一次请求的情况1类似,客户10向提供者20A发出服务请求,以及与必需数目的优待票对应的PayWord Wj和路由值W0(图11中的操作(2-1))。
高速缓存客户10的使用历史的提供者20A能够核实PayWordWj的有效性。如果提供者20A自己确认Wj的有效性,那么向客户10提供服务(图11中的操作(2-2))。这样,如果采用PayWord,那么相同提供者20A和客户10之间的验证不需要第三方(代理服务30或安全性权标服务40),从而只通过双方之间的通信提供服务。另外粗略地估计,众所周知,和RSA加密方法应用的电子签名相比,散列函数的计算快10000倍。因此,能够极大地减轻客户10和提供者20A上的负载,并减少通信时间。
[情况3:在请求提供者20B之后,请求提供者20A]
图12表示在情况3下,客户10,提供者20A和代理服务30的操作。
客户10也可把具有相同PayWord的优待票用于其它提供者20B。当在根据情况1的程序,使用提供者20B的服务之后,再次采用提供者20A的服务时,通过利用PayWord优待票,客户10把PayWord Wk和路由值W0呈递给提供者20A,并请求服务(图12中的操作(3-1))。
由于代理服务30通过围绕提供者20循环,分配并累积客户10的最新使用历史,因此当提供者20A知道提供者20B中客户10的最新使用历史时,类似于情况2,在双方之间提供服务。但是,当提供者20A不知道提供者20B中客户10的最新使用历史时,由于Wk的核实,产生矛盾(对比结果为“假”)。从而,单独在这种情况下,向代理服务30请求Wk的核实(图12中的操作(3-2))。
高速缓存提供者20B中客户10的使用历史的代理服务30核实PayWord Wk的有效性,并把核实结果通知提供者20A(图12中的操作(3-3))。
提供者20A信任代理服务30的客户核实结果,向客户10提供服务(图12中的操作(3-4))。这种情况下,代理服务30和提供者20A更新客户10的使用历史。这样,代理服务30高速缓存每个提供者20中客户10的使用历史,从而在多个提供者20A间分享优待票,实现借助一次性登录的客户验证。
如同在上述情况1-3中所述,在发出服务请求的过程中,客户10只需要传送相同的路由值W0和PayWord值,不需要自己请求客户验证。另外,当向相同的提供者20发出服务请求时,提供者20不必每次发出客户核实请求,相反能够自己利用PayWord,进行客户核实。因此,当更频繁地应用情况3时,可利用较少的平均连接次数提供服务,从而能够实现对多个提供者20的一次性登录。
当依据参考图8的流程图说明的方法,通过围绕受管理的提供者20循环,分配或累积客户10的最新使用历史时,更频繁地应用情况3,从而提高了提供者20提供服务的性能。
客户10可能通过伪造使用历史,非法接受服务,但是如果代理服务30累积在前次循环之后执行的客户10的所有使用历史,那么能够防止这种非法使用。于是,提供者20保持客户10的使用历史中,未被代理服务30累积的最新使用历史。从而如果检测到非法使用(即使有的话),代理服务30整体确认最新使用历史。如果检测到非法使用,那么代理服务30修改客户10的最新使用历史,并把修改的历史分配给多个提供者20。
另外,如前所述,通过利用PayWord,实现采用服务的客户的记帐管理,但是,不仅可根据PayWord,而且可根据众所周知的其它记帐方法,实现记帐管理。
作为本实施例的另一例子,下面说明把一次性口用作包括客户10的服务使用历史的信息的编码数据的验证系统。
当客户10登录提供者20时,每次采用不同的口令(一次性口令)。这种情况下,代理服务30把客户10登录时使用的信息预先分配给具有登录可能性的提供者20。从而,虽然客户10每次采用不同的口令,但是借助提供者20和客户10双方之间的通信,能够实现客户验证。
考虑两种一次性口令,包括
·根据产生的预定固定口令和临时信息(nonce)(只适用于一次性使用的信息),以及口令产生次数(time)的值,产生的一次性口令,和
·具有在代理服务30和客户10之间共享的硬件权标的一次性口令。
在下面的说明中,根据固定口令产生的一次性口令被用作一个例子。
[产生固定口令和临时信息]
首先,客户10请求代理服务30产生临时信息。响应该请求,代理服务30产生和客户10使用的临时信息对应的多个值(例如n1,n2,n3,…n10),并把它们传送给客户10。另外,为了登录预定的提供者20A和另一提供者20B,客户10建立相应的固定口令(例如,PWDa,PWDb)。
按照和使用PayWord的上述例子相同的方式考虑情况1、2和3。
[情况1:第一次请求提供者20A]
在连接提供者20A的过程中,客户10传送ID和一次性口令PWD。这里,利用临时信息和产生次数c1,口令PWD被计算为PWD=SHAI(n1+c1+PWDa)。在向提供者20A发出第一次请求的过程中,提供者20A把ID和PWD传送给代理服务30,并请求客户验证。在知道临时信息的值n1的情况下,代理服务30使用n1和c1计算PWD。因此,如果从提供者20A传送的PWD的值和利用n1和c1计算的PWD的值相同,那么从安全性权标服务40获得的客户验证结果和将在下次产生一次性口令中使用的临时信息n2被传送给提供者20A。如果从代理服务30获得的客户验证结果没有任何问题,那么提供者20A向客户10提供服务。
另外,代理服务30把客户10用于产生下一口令的临时信息的值n2分配给另一提供者20。
[情况2:连续请求提供者20A]
客户10把ID和PWD=SHAI(n2+c2LPWDa)传送给提供者20A。提供者20A利用从代理服务30获得的n2,计算PWD,以便核实客户10。这样,当连续向提供者20A发出请求时,提供者20A自己进行客户核实,而不连接代理服务30。
当围绕提供者20A循环时,代理服务30累积来自提供者20A的n2,并把客户10下次采用的n3分配给另一提供者20。
[情况3:在请求提供者20B之后,请求提供者20A]
假定在连接提供者20B的过程中,客户10采用临时信息n3产生PWD。之后,为了再次连接提供者20A,客户10把ID和PWD=SHAI(n4+c4+PWDa)传送给提供者20A。
如果代理服务30恰当地围绕受管理的提供者20循环,那么提供者20A已知道临时信息n4,从而核实口令PWD。
当对于客户10的服务请求来说,代理服务30的循环不及时时,提供者20A不能核实口令PWD,请求代理服务30核实PWD。作为核实的结果,如果PWD正确,那么提供者20A向客户10提供服务。
如上所述,代理服务30事先把临时信息分配给提供者20,以便计算客户10下次采用的一次性口令。从而,提供者20在不查询代理服务30的情况下核实口令PWD,由此提供服务。
当代替采用根据固定口令和临时信息,以及口令产生次数的值产生的一次性口令,采用具有硬件权标的一次性口令时,在代理服务30和客户10之间布置硬件权标发生器,代理服务30把客户10下次可能采用的口令分配给提供者20。这样,提供者20能够利用一次性口令登录,并借助一次性登录实现客户验证,而不必为每个客户10布置硬件权标发生器。
当客户10用于产生口令PWD的临时信息被使用到n10时,可采取再次返回n1,或者请求代理服务30重新产生临时信息的措施,以便产生下一次的口令PWD。

Claims (21)

1、一种验证系统,用于通过总体管理经网络提供预定服务的多个提供者来借助一次性登录执行客户验证,所述验证系统包括:
通过网络提供预定服务的提供者;
验证向所述提供者发出服务请求的客户的验证服务器;和
管理所述提供者向所述验证服务器发出的验证请求的代理服务器,所述代理服务器被置于所述验证服务器和所述提供者之间;
其中所述代理服务器保存所述验证服务器的验证结果,并且在所述验证结果有效时,在不把从所述提供者接收的所述验证请求传送给所述验证服务器的情况下,根据所述保存的验证结果,代理执行针对所述客户的验证。
2、按照权利要求1所述的验证系统,其中所述提供者保存所述客户的服务使用历史,并且当根据所述服务使用历史确定可向所述客户提供服务时,在不发出所述验证请求的情况下,向所述客户提供服务。
3、按照权利要求2所述的验证系统,其中所述代理服务器从所述提供者获得并管理所述客户的服务使用历史,并响应来自提供者的验证请求,根据来自所述验证服务器的验证结果和所述服务使用历史,确定是否可向所述客户提供服务。
4、按照权利要求2所述的验证系统,其中所述代理服务器通过在多个提供者间循环,累积所述每个客户的服务使用历史以进行比较,选择最新内容,并用所述最新内容更新所述每个提供者中所述每个客户的服务使用历史。
5、一种验证系统,包括:
通过网络提供预定服务的多个提供者;
验证向所述提供者发出服务请求的客户的验证服务器;和
与所述多个提供者和所述验证服务器耦接的核实服务器,所述核实服务器响应来自预定提供者的核实请求,确定是否可向对所述预定提供者发出服务请求的客户提供服务;其中
所述提供者保存所述客户的服务使用历史;
所述核实服务器产生包括所述客户的验证信息和所述客户的服务使用次数信息的编码数据,以便把所述编码信息提供给所述客户,并从所述提供者获得并管理所述服务使用历史,其中当预定客户采用所述编码数据,向预定提供者发出服务请求时,响应来自所述提供者的核实请求,所述核实服务器通过对比所述编码数据和所述客户的服务使用历史,确定是否可提供服务;当所述对比结果为“假”时,根据所述客户的验证信息,确定是否可向所述客户提供服务;以及在所述验证信息有效时,在不把从所述提供者接收的所述验证请求传送给所述验证服务器的情况下,根据所述验证信息,执行针对所述客户的验证。
6、按照权利要求5所述的验证系统,其中当预定客户采用所述编码数据,发出服务请求时,如果通过对比所述编码数据和所述服务使用历史确定可向所述客户提供服务,那么所述提供者向所述客户提供服务,而不必向所述核实服务器发出核实请求。
7、按照权利要求5所述的验证系统,其中所述核实服务器通过在多个提供者间循环,累积所述每个客户的服务使用历史以进行比较,选择最新内容,并用所述最新内容更新所述每个提供者中所述每个客户的服务使用历史。
8、一种服务器,用于通过总体管理经网络提供预定服务的多个提供者来借助一次性登录执行客户验证,所述服务器包括:
保存所述提供者中预定客户的服务使用历史的使用历史存储装置;
保存通过请求预定验证服务器获得的关于所述预定客户的验证结果的验证结果存储装置;和
响应来自所述提供者的查询,采用保存在所述使用历史存储装置中的所述服务使用历史和保存在所述验证结果存储装置中的所述验证结果,确定是否可向所述预定客户提供服务的核实装置;
其中当保存在所述验证结果存储装置中的验证结果无效时,所述核实装置请求所述验证服务器进行客户验证,以确定是否可提供服务。
9、按照权利要求8所述的服务器,还包括通过在多个提供者间循环,累积所述每个客户的服务使用历史,选择最新内容并将其保存在所述使用历史存储装置中的使用历史累积装置。
10、按照权利要求9所述的服务器,其中所述使用历史累积装置通过优先围绕具有与客户的较大通信总量的提供者循环,累积服务使用历史。
11、按照权利要求8所述的服务器,还包括编码数据产生装置,用于产生包括所述客户的验证信息和所述客户的服务使用次数的编码数据,其中当预定客户采用所述编码数据向预定提供者发出服务请求时,所述核实装置通过对比所述编码数据和保存在所述使用历史存储装置中的所述客户的服务使用历史,确定是否可提供服务。
12、一种验证方法,用于采用计算机来验证向提供者发出服务请求的客户,所述验证方法包括:
对比编码数据和保存在预定存储装置中的所述客户的服务使用历史信息的第一步骤,其中在所述编码数据中,所述客户的服务使用历史被编码;
当所述第一步骤的对比结果为“假”时,根据保存在所述预定存储装置中的所述客户的验证信息,确定是否可向所述客户提供服务的第二步骤;和
当供在所述第二步骤使用的所述验证信息无效时,请求预定的验证服务器验证所述客户,并根据所述获得的验证结果,确定是否可向所述客户提供服务的第三步骤。
13、按照权利要求12所述的验证方法,还包括当在所述第一步骤的对比结果为“真”时,确定可向所述客户提供服务的步骤。
14、按照权利要求12所述的验证方法,还包括把在所述第三步骤获得的所述验证结果作为供在所述第二步骤使用的所述验证信息,保存在预定存储装置中的步骤。
15、一种方法,用于通过总体管理经网络提供预定服务的多个提供者来借助一次性登录执行客户验证,所述方法包括:
在所述提供者中保存预定客户的服务使用历史;
在代理服务器中保存通过请求预定验证服务器获得的针对所述预定客户的验证结果;和
所述代理服务器响应来自所述提供者的查询,采用所述服务使用历史和所述验证结果,确定是否可向所述预定客户提供服务;
其中当所述验证结果无效时,所述代理服务器请求所述验证服务器进行客户验证,以确定是否可提供服务。
16、按照权利要求15所述的方法,其中保存所述提供者中预定客户的服务使用历史的步骤还包括通过在多个提供者间循环,累积所述每个客户的服务使用历史,选择最新内容并将其保存在所述代理服务器的使用历史存储装置中。
17、按照权利要求16所述的方法,还包括通过优先围绕具有与客户的较大通信总量的提供者循环,累积服务使用历史。
18、按照权利要求16所述的方法,还包括把保存在所述使用历史存储装置中的所述最新服务使用历史分配给所述提供者。
19、按照权利要求18所述的方法,还包括通过优先围绕长时间未进行任何连接以查询是否能够提供服务的提供者循环,把所述最新服务使用历史分配给所述提供者。
20、按照权利要求18所述的方法,还包括通过优先围绕具有与所述使用历史累积装置累积其所述最新服务使用历史的客户的最大通信次数的提供者循环,把所述最新服务使用历史分配给所述提供者。
21、按照权利要求15所述的方法,还包括产生包括所述客户的验证信息和所述客户的服务使用次数信息的编码数据,并且当预定客户采用所述编码数据向预定提供者发出服务请求时,通过对比所述编码数据和所述服务使用历史,确定是否可提供服务。
CNB2004100563154A 2003-08-14 2004-08-06 验证系统,服务器和验证方法及程序 Expired - Fee Related CN100444544C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003293643A JP4039632B2 (ja) 2003-08-14 2003-08-14 認証システム、サーバおよび認証方法並びにプログラム
JP293643/2003 2003-08-14

Publications (2)

Publication Number Publication Date
CN1581771A CN1581771A (zh) 2005-02-16
CN100444544C true CN100444544C (zh) 2008-12-17

Family

ID=34131765

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100563154A Expired - Fee Related CN100444544C (zh) 2003-08-14 2004-08-06 验证系统,服务器和验证方法及程序

Country Status (3)

Country Link
US (1) US20050039054A1 (zh)
JP (1) JP4039632B2 (zh)
CN (1) CN100444544C (zh)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7917468B2 (en) * 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US8468126B2 (en) 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
KR100639992B1 (ko) 2004-12-14 2006-10-31 한국전자통신연구원 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법
US7574500B2 (en) * 2005-02-14 2009-08-11 Reactivity, Inc. Establishing a cache expiration time to be associated with newly generated output by determining module- specific cache expiration times for a plurality of processing modules
JP2006260321A (ja) * 2005-03-18 2006-09-28 Nec Corp サービス提供システムおよびそのユーザ認証方法
US20190268430A1 (en) 2005-08-01 2019-08-29 Seven Networks, Llc Targeted notification of content availability to a mobile device
US8032657B2 (en) * 2005-09-12 2011-10-04 Microsoft Corporation Preservation of type information between a client and a server
JP4760305B2 (ja) * 2005-10-31 2011-08-31 コニカミノルタビジネステクノロジーズ株式会社 サーバ、サーバシステム、ユーザ認証方法
JP4960685B2 (ja) 2005-11-22 2012-06-27 株式会社リコー サービス処理システムおよびサービス処理制御方法
EP1961149B1 (en) * 2005-11-24 2018-08-08 Synchronica plc Method for securely associating data with http and https sessions
US20070168297A1 (en) * 2006-01-18 2007-07-19 Cheng Siu L Efficient method and system for secure business-to-business transaction
JP4742903B2 (ja) * 2006-02-17 2011-08-10 日本電気株式会社 分散認証システム及び分散認証方法
US20070245414A1 (en) * 2006-04-14 2007-10-18 Microsoft Corporation Proxy Authentication and Indirect Certificate Chaining
JP4867482B2 (ja) * 2006-06-06 2012-02-01 富士ゼロックス株式会社 制御プログラムおよび通信システム
US20080086766A1 (en) * 2006-10-06 2008-04-10 Microsoft Corporation Client-based pseudonyms
US8656472B2 (en) 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
WO2009001447A1 (ja) * 2007-06-27 2008-12-31 Fujitsu Limited 認証方法、認証システム、認証装置及びコンピュータプログラム
KR101152782B1 (ko) * 2007-08-16 2012-06-12 삼성전자주식회사 통신 중계 방법 및 그 장치와, 통신 중계 제어 방법 및 그장치
KR101467174B1 (ko) * 2007-08-16 2014-12-01 삼성전자주식회사 통신 수행 방법 및 그 장치와, 통신 수행 제어 방법 및 그장치
JP2009122915A (ja) * 2007-11-14 2009-06-04 Hitachi Ltd 情報端末装置およびその運用方法
JP5423397B2 (ja) * 2007-12-27 2014-02-19 日本電気株式会社 アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US7600253B1 (en) * 2008-08-21 2009-10-06 International Business Machines Corporation Entity correlation service
JP5261764B2 (ja) * 2008-08-26 2013-08-14 日本電信電話株式会社 連携サービス提供システム、サービス管理装置、及び、情報共有方法
JP5336262B2 (ja) * 2009-05-26 2013-11-06 日本電信電話株式会社 ユーザ認証システムおよびユーザ認証方法
US8549601B2 (en) * 2009-11-02 2013-10-01 Authentify Inc. Method for secure user and site authentication
KR101286922B1 (ko) * 2009-12-01 2013-07-23 한국전자통신연구원 간이 인증을 이용한 서비스 접속 방법, 장치, 사용자 인증 장치 및 단말
JP5660050B2 (ja) * 2009-12-28 2015-01-28 日本電気株式会社 ユーザ情報活用システム、装置、方法およびプログラム
US8869258B2 (en) * 2010-03-12 2014-10-21 Microsoft Corporation Facilitating token request troubleshooting
US8881247B2 (en) * 2010-09-24 2014-11-04 Microsoft Corporation Federated mobile authentication using a network operator infrastructure
JP2012212211A (ja) * 2011-03-30 2012-11-01 Hitachi Ltd 認証連携システム、および、認証連携方法
FR2973626A1 (fr) * 2011-03-31 2012-10-05 France Telecom Mecanisme de redirection entrante sur un proxy inverse
JP5485246B2 (ja) 2011-11-05 2014-05-07 京セラドキュメントソリューションズ株式会社 画像形成装置
KR101306442B1 (ko) 2011-11-30 2013-09-09 에스케이씨앤씨 주식회사 휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템
JP5875351B2 (ja) * 2011-12-01 2016-03-02 キヤノン株式会社 情報処理システム、情報処理装置、認証方法、及びコンピュータプログラム
US8972729B2 (en) * 2012-10-24 2015-03-03 Verizon Patent And Licensing Inc. Secure information delivery
JP6255858B2 (ja) 2012-10-31 2018-01-10 株式会社リコー システム及びサービス提供装置
CN103036883B (zh) * 2012-12-14 2015-11-04 公安部第一研究所 一种安全服务器的安全通讯方法与系统
JP5429414B2 (ja) * 2013-01-15 2014-02-26 富士通株式会社 識別情報統合管理システム,識別情報統合管理サーバ及び識別情報統合管理プログラム
JP6102296B2 (ja) * 2013-02-06 2017-03-29 株式会社リコー 情報処理システム、情報処理装置、認証方法及びプログラム
KR101436404B1 (ko) 2013-02-15 2014-09-01 주식회사 안랩 사용자 인증 장치 및 방법
WO2016129863A1 (en) 2015-02-12 2016-08-18 Samsung Electronics Co., Ltd. Payment processing method and electronic device supporting the same
US10193700B2 (en) 2015-02-27 2019-01-29 Samsung Electronics Co., Ltd. Trust-zone-based end-to-end security
KR102460459B1 (ko) 2015-02-27 2022-10-28 삼성전자주식회사 전자 장치를 이용한 카드 서비스 방법 및 장치
US20160253664A1 (en) * 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd Attestation by proxy
WO2016137277A1 (en) 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd. Electronic device providing electronic payment function and operating method thereof
JP6843653B2 (ja) * 2017-03-06 2021-03-17 キヤノン株式会社 サーバ装置、情報処理方法及びプログラム
US10623414B2 (en) * 2017-04-26 2020-04-14 International Business Machines Corporation Authenticating multi-facets of a user through unaware third-party services
CN112527835B (zh) * 2020-12-04 2023-07-11 平安科技(深圳)有限公司 基于缓存的认证请求处理方法、装置及相关设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6198824B1 (en) * 1997-02-12 2001-03-06 Verizon Laboratories Inc. System for providing secure remote command execution network
JP2002032340A (ja) * 2000-07-14 2002-01-31 Nec Corp Webサイトに対するシングルサインオンシステム及び方法並びに記録媒体
JP2002288139A (ja) * 2001-03-28 2002-10-04 Novell Japan Ltd 携帯電話機用シングルサインオンシステムおよび方法
JP2002335239A (ja) * 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6601170B1 (en) * 1999-12-30 2003-07-29 Clyde Riley Wallace, Jr. Secure internet user state creation method and system with user supplied key and seeding
US7174454B2 (en) * 2002-11-19 2007-02-06 America Online, Inc. System and method for establishing historical usage-based hardware trust

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6198824B1 (en) * 1997-02-12 2001-03-06 Verizon Laboratories Inc. System for providing secure remote command execution network
JP2002032340A (ja) * 2000-07-14 2002-01-31 Nec Corp Webサイトに対するシングルサインオンシステム及び方法並びに記録媒体
JP2002288139A (ja) * 2001-03-28 2002-10-04 Novell Japan Ltd 携帯電話機用シングルサインオンシステムおよび方法
JP2002335239A (ja) * 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置

Also Published As

Publication number Publication date
CN1581771A (zh) 2005-02-16
JP2005062556A (ja) 2005-03-10
US20050039054A1 (en) 2005-02-17
JP4039632B2 (ja) 2008-01-30

Similar Documents

Publication Publication Date Title
CN100444544C (zh) 验证系统,服务器和验证方法及程序
KR102044751B1 (ko) 블록체인 기반 사용자 인증에 따른 보상을 제공하는 방법
CN101764819B (zh) 用于检测浏览器中间人攻击的方法和系统
US7085840B2 (en) Enhanced quality of identification in a data communications network
US7496751B2 (en) Privacy and identification in a data communications network
US7275260B2 (en) Enhanced privacy protection in identification in a data communications network
US10091230B1 (en) Aggregating identity data from multiple sources for user controlled distribution to trusted risk engines
US7729992B2 (en) Monitoring of computer-related resources and associated methods and systems for disbursing compensation
CN101146108B (zh) 用于认证试图进行电子服务请求的用户的方法和系统
US7266840B2 (en) Method and system for secure, authorized e-mail based transactions
US8544066B2 (en) Access right management system, access right management method, and access right management program
US20170244709A1 (en) Application programming interface access controls
CN103220344B (zh) 微博授权使用方法和系统
CN107480964B (zh) 数字资产的定向转让方法、中央服务器及存储介质
US20030084302A1 (en) Portability and privacy with data communications network browsing
US20040255143A1 (en) Data integrity
US20220261461A1 (en) Secure resource management to prevent fraudulent resource access
US20080148376A1 (en) Computer readable medium, authenticating method, computer data signal, authentication server, and single sign-on authentication system
CN110235410A (zh) 使用基于utxo的协议的区块链数据库并通过基于pki的认证取代用户的登录的方法及利用其的服务器
US20140380440A1 (en) Authentication information management of associated first and second authentication information for user authentication
JP2005531823A (ja) データ通信ネットワーク上に分布された資源へのユーザアクセスの制御
US20030229792A1 (en) Apparatus for distributed access control
US10692087B2 (en) Electronic financial service risk evaluation
CN110069909A (zh) 一种免密登录第三方系统的方法及装置
CN110489957B (zh) 访问请求的管理方法和计算机存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20081217