CN103067338B - 第三方应用的集中式安全管理方法和系统及相应通信系统 - Google Patents
第三方应用的集中式安全管理方法和系统及相应通信系统 Download PDFInfo
- Publication number
- CN103067338B CN103067338B CN201110319068.2A CN201110319068A CN103067338B CN 103067338 B CN103067338 B CN 103067338B CN 201110319068 A CN201110319068 A CN 201110319068A CN 103067338 B CN103067338 B CN 103067338B
- Authority
- CN
- China
- Prior art keywords
- party application
- access
- license
- authorization server
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了对第三方应用进行集中式安全管理的方法和系统以及包括至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用和集中式安全管理系统的通信系统,其中,由第三方应用的集中式安全管理系统负责验证第三方应用的安全性并且对其进行数字签名,并且发放使得该集中式安全管理系统能够认证该第三方应用的认证凭证。该方法包括:第三方应用将其身份标识、认证凭证和访问授权许可以可区分的方式发送至集中式安全管理系统;该集中式安全管理系统在成功认证该第三方应用后将身份标识、访问授权许可转发给授权服务器;如果该访问授权许可有效,则该授权服务器经由该集中式安全管理系统向该第三方应用发放用于访问受保护资源的访问令牌。
Description
技术领域
本发明涉及通信领域,具体地,涉及对于要访问用户的受保护资源的第三方应用/客户端进行集中式安全管理的技术。
背景技术
目前,互联网服务之间的整合已经成为必然趋势。许多服务提供商为了给自己的用户提供更好的服务,允许第三方应用/客户端通过调用“开放网络API(ApplicationProgramming Interface)”为用户提供更多应用。开放平台的核心问题在于用户认证、授权以及第三方应用/客户端安全地使用开放的网络API接口。对于用户来说,一般不会希望第三方直接使用自己的用户名和密码来访问用户受保护的网络资源,除非双方具有很强的信任关系。OAuth(Open Authorization)协议正是为了解决服务整合时的“认证和授权”这一根本问题而生的。
由IETF(互联网工程任务组)开发的OAuth协议是目前国际通用的授权方式,其为第三方应用/客户端提供了一种代表资源拥有者访问受保护资源的方法。在第三方应用/客户端访问受保护资源之前,它必须先从资源拥有者获取授权,即访问授权许可(访问授权许可代表资源拥有者提供的授权,其类型取决于第三方应用/客户端使用的获取方式和授权服务器所支持的方式),然后用访问许可交换访问令牌(代表访问授权许可的作用域、持续时间和其它属性)。第三方应用/客户端通过向资源服务器出示访问令牌来访问受保护资源。
OAuth协议的最新版本OAuth 2.0以简化实现为原则,并对更多的接入形式予以支持,如同时支持“Web应用、桌面应用、移动终端、家庭设备”等等。OAuth 2.0允许用户授权第三方网站或应用/客户端访问用户的受保护资源,而无须揭露其长期认证凭证或身份信息。这样,用户敏感信息的私密性得到保护。
为此,服务提供商需要管理用户的资源并且构建IETF OAuth 2.0中定义的授权服务器,该授权服务器负责:
-管理用户;
-管理第三方应用/客户端;
-发放访问授权许可(参见IETF OAuth 2.0中的定义),第三方应用/客户端利用该访问授权许可来申请访问令牌;
-授权服务器与用户之间相互认证;
-授权服务器与第三方应用/客户端之间相互认证;
-验证访问授权许可;
-发放访问令牌,第三方应用/客户端利用该访问令牌访问用户的受保护资源。
图1示意性地示出了根据IETF OAuth 2.0的系统和工作流。
图1所示的工作流如下:
1.第三方应用/客户端计划访问存储于资源服务器中的用户的受保护资源;
2.资源服务器发现该第三方应用/客户端不具有有效的访问令牌,并且重定向该第三方应用/客户端到用户代理以获得用户的授权;
3.在用户授权第三方应用/客户端之前,用户必须经由授权服务器的认证,同时有可能用户还需要认证授权服务器;
4.授权服务器经由用户代理发送访问授权许可给第三方应用/客户端;
5.第三方应用/客户端提交身份标识、访问授权许可和它自己的认证凭证给授权服务器以申请访问令牌;
6.在授权服务器与第三方应用/客户端相互认证并且验证了授权访问许可之后,授权服务器发放访问令牌给第三方应用/客户端;
7.第三方应用/客户端提交访问令牌给资源服务器以访问用户资源;
8.如果访问令牌有效,则资源服务器对第三方应用/客户端响应以数据。
然而,IETF OAuth 2.0仅对于大型服务提供商是非常有利的,因为他们能够自己承担对第三方网站或应用/客户端的管理,例如身份标识、认证、认证凭证管理等。其对于中小型服务提供商而言却并不容易,因为他们必须付出高昂的成本来管理第三方应用/客户端。此外,如果大型服务提供商已经在内部部署了分离的资源服务器,则他们必须开发和部署重叠的组件来管理第三方网站和应用/客户端。
此外,由于存在许多第三方应用/客户端,其中一些可能是由个人开发和提供的,因此,攻击者有可能开发恶意的网络API来滥用网络API进行非法访问用户的资源。因此,在许可第三方应用/客户端访问用户的受保护资源之前,确保所有第三方应用/客户端都安全可信并非易事。
发明内容
为了解决上述现有技术中的问题,根据本发明的一个方面,提出了一种用于对于要访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的方法。根据该方法,由用于集中管理所述第三方应用的集中式安全管理系统负责验证所述第三方应用的安全性并且在发布所述第三方应用之前对其进行数字签名,并且发放用于使得所述集中式安全管理系统能够认证该第三方应用的认证凭证。该方法包括:所述第三方应用将它的身份标识、认证凭证和所述访问授权许可以可区分的方式发送至所述集中式安全管理系统;所述集中式安全管理系统在成功认证所述第三方应用之后,将所述访问授权许可转发给所述授权服务器;以及如果授权服务器验证所述访问授权许可成功且有效,则所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放用于访问所述用户的受保护资源的访问令牌。
根据本发明的另一个方面,提出了一种用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统,其包括:第一接收装置,用于接收由所述第三方应用以可区分的方式发送的该第三方应用的身份标识、认证凭证和所述访问授权许可;第一认证装置,用于在接收所述身份标识、认证凭证和所述访问授权许可之后使用所述身份标识和认证凭证认证所述第三方应用;第一转发装置,用于在成功认证所述第三方应用之后将来自所述第三方应用的访问授权许可转发给所述授权服务器;和第二转发装置,用于将由所述授权服务器所发放的访问令牌转发给所述第三方应用。
优选地,根据本发明的系统还可以包括:第二接收装置,用于接收来自个人开发者或业务提供商开发的并使用个人开发者或业务提供商的私钥进行数字签名的第三方应用;第二认证装置,用于使用个人开发者或业务提供商的数字证书认证经由所述第二接收装置接收到的第三方应用的数字签名;安全检查装置,用于在所述第二认证装置成功认证后检测所述第三方应用是否包含恶意代码或病毒;数字签名装置,用于在成功地对所述第三方应用进行安全检查后,使用所述系统的私钥对该第三方应用进行数字签名;第三方应用注册和管理装置,用于对所述第三方应用进行统一分配身份标识、认证凭证及其相关属性管理;和证书管理装置,用于对所有相关数字证书进行生成、分发、撤销等统一管理。
根据本发明的又另一个方面,提出了一种通信系统,其包括:至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用以及根据本发明的用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统。
附图说明
通过阅读下面结合附图对本发明具体实施例的说明,本发明的上述及其他特征和优点将变得更加明显。其中:
图1示意性地示出了现有技术中的IETF OAuth2.0的系统和工作流程;
图2示意性地示出了根据本发明的对第三方应用的集中式安全管理的系统和工作流程;
图3示是根据本发明一个实施例的用于第三方应用的集中式安全管理的方法的流程图;和
图4是根据本发明一个实施例的用于第三方应用的集中式安全管理的系统的框图。
具体实施方式
本发明的基本思想是对于要访问存储于资源服务器中的用户的受保护资源的第三方应用/客户端进行集中式安全管理。为了简洁,下文中将“第三方应用/客户端”统称为“第三方应用”。图2示意性地示出了对第三方应用的集中式安全管理的系统和工作流。如图2所示,与图1中的现有技术方案相比较,添加了一个集中式安全管理系统,该系统能够执行如下功能:
-在官方发布第三方应用之前:
◆使用个人开发者或业务提供商的数字证书验证经由个人开发者
或业务提供商的私钥进行签名的第三方应用,以确保第三方应用的可溯源性;
◆验证该第三方应用是否安全,例如检查防病毒/防恶意软件,
◆以其私钥签署第三方应用以使得服务提供商或终端用户在安装该第三方应用之前能够使用其数字证书检验该第三方应用安全性、真实性和可靠性,
◆向第三方应用发放用于认证的凭证,例如数字证书或密钥;
-官方发布该第三方应用;
-在该第三方应用访问用户的受保护资源之前:
◆该集中式安全管理系统与该第三方应用之间的相互认证,
◆管理第三方应用的身份信息及其认证凭证。
与图1所示的现有技术相比,图2中的第三方应用有可能需要将其身份标识、认证凭证和访问授权许可分别打包或者通过分别标记该身份标识、认证凭证和访问授权许可,以使得根据本发明的集中式安全管理服务器能够分别识别出它们。
在图2中,授权服务器_1/资源服务器_1、授权服务器_2/资源服务器_2和授权服务器_n/资源服务器_n可能属于:
◆不同的中小型服务提供商,或
◆分离地部署若干资源服务器的同一个大型服务提供商。
与图1所示的现有技术相比,图2中的授权服务器_i需要能够区分直接来自第三方应用或者来自集中式安全管理系统的如图所示的步骤5中的消息,该区分例如可以通过一个标记来实现。如果该步骤5中的消息直接来自第三方应用,则授权服务器_i应当认证该第三方应用并验证访问授权许可;如果该步骤5中的消息来自集中式安全管理系统,则授权服务器_i应当仅验证访问授权许可。
与图1中的现有技术方案相比,图2中的工作流程存在如下更改:
-在步骤5中,第三方应用的身份标识、认证凭证和访问授权许可以可区分的方式被发送给集中式安全管理系统,其中,可区分的方式是指该身份标识、认证凭证和访问授权许可或者是被分别打包,或者是被分别标记,以使得所述集中式安全管理系统能够区分出它们。
-在步骤6中,包括以下两个子步骤:
◆6-1:在成功认证第三方应用之后,集中式安全管理系统将访问授权许可转发给授权服务器_n。如果该访问授权许可有效,则授权服务器_n将为第三方应用发放的访问令牌发送给集中式安全管理系统。在本发明中,所述访问授权许可和所述访问令牌例如符合由IETF定义的授权协议OAuth2.0。
◆6-2:集中式安全管理系统将访问令牌转发给第三方应用。
此外,根据本发明的方案,如果第三方应用不具有有效的访问令牌,则资源服务器将该第三方应用的访问请求重定向至所述用户代理。
应当指出,根据本发明的集中式安全管理系统包括一个服务器群,该服务器群可以包括例如证书发放管理服务器、第三方应用的安全性检查服务器、第三方应用的注册管理服务器、第三方应用的认证服务器,第三方应用存储与发布服务器,等等。
还应当指出,在本发明中,假定用户同意第三方应用访问其受保护资源。用户在授权所述第三方应用访问其受保护资源之前必须通过授权服务器的认证以确认该用户身份真实且具有权限授予第三方应用访问其受保护的网络资源,从而使得该第三方应用获得访问授权许可继而获得访问令牌。根据本发明的方案,进行用户认证既可以是由用户代理直接与授权服务器通信,也可以是由用户代理经由所述集中式安全管理系统重定向到授权服务器。
同样地,所述访问授权许可既可以由授权服务器经由用户代理向第三方应用发送,也可以由授权服务器经由所述集中式安全管理系统和用户代理向第三方应用发送。
此外,根据本发明的集中式安全管理系统还能够执行以下功能:
-当收到由个人开发者或业务提供商开发并用该个人开发者或业务提供商的私钥签名的第三方应用时,使用个人开发者或业务提供商的数字证书认证该第三方应用的数字签名,以确保该第三方应用的可溯源性;
-在认证成功后检测该第三方应用是否包含恶意代码或病毒;
-在成功地对该第三方应用进行安全检测后,使用该集中式安全管理系统的私钥来对该第三方应用进行数字签名,以便在安装该第三方应用时能够确其真实、安全、可靠性;
-对该第三方应用进行统一分配身份标识、认证凭证及其相关属性管理;
-对所有涉及到的数字证书进行统一管理,如生成、发放、撤销等管理。
通过使用本发明的集中式安全管理系统,可以为中小型服务提供商节约大量成本并且减轻其负荷(即只需负责管理用户及其受保护的资源),同时也能够使得大型服务提供商为其分离部署的多个内部资源服务器提供对第三方应用的集中式管理。此外,通过使用本发明的方案,还能够确保第三方应用更加安全和可信,因为第三方应用是由可信的第三方机构(即本发明的集中式安全管理系统)来进行安全管理的。
下面参照图3来描述根据本发明一个实施例的用于对第三方应用进行集中式安全管理的方法。本实施例的方法可以适用于例如前面图2所示的系统,关于上述系统的描述在此不再重复。
如图3所示,首先,在步骤301中,所述第三方应用将它的身份标识、认证凭证和所述访问授权许可以可区分的方式发送至所述集中式安全管理系统。在这里,所述认证凭证可以例如是数字证书、密码或口令,所述访问授权许可例如符合由IETF定义的授权协议OAuth2.0。所述可区分的方式是指所述身份标识、所述认证凭证和所述访问授权许可或者是被分别打包,或者是被分别标记,以使得所述集中式安全管理系统能够区分出它们。如前文所述,在本实施例中,假定所述用户同意所述第三方应用访问其受保护资源。当所述第三方应用请求访问所述资源服务器中的所述用户的受保护资源时,如果所述第三方应用不具有有效的访问令牌,则所述资源服务器将该第三方应用的访问请求重定向至所述用户代理。
应当指出,所述用户在授权所述第三方应用访问之前必须由所述授权服务器认证,以使得所述第三方应用获得访问授权许可从而凭借该访问授权许可获得访问令牌,其中,所述授权服务器对所述用户的认证既可以由所述用户代理直接向该授权服务器进行认证来实现,也可以由所述用户代理经由所述集中式安全管理系统重定向到该授权服务器进行认证来实现。
还应当指出,所述第三方应用是在所述授权服务器向所述第三方应用发送访问授权许可之后向所述集中式安全管理系统发送该第三方应用的身份标识、认证凭证和所述访问授权许可的,其中,所述访问授权许可既可以由所述授权服务器经由所述用户代理向所述第三方应用发送,也可以由所述授权服务器经由所述集中式安全管理系统和所述用户代理向所述第三方应用发送。
接着,在步骤302中,所述集中式安全管理系统在成功认证所述第三方应用之后,将所述访问授权许可转发给所述授权服务器。在这里,所述访问授权许可例如符合由IETF定义的OAuth2.0。
接着,在步骤303中,如果所述访问授权许可有效,则所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放用于访问所述用户的受保护资源的访问令牌。在这里,所述访问令牌例如符合由IETF定义的OAuth2.0。由此,所述第三方应用可以通过将所述访问令牌提交给所述资源服务器来访问所述用户的受保护资源。
在本实施例中,所述集中式安全管理系统、所述用户代理、所述第三方应用、所述授权服务器以及所述资源服务器之间的交互过程可以遵循现有的和将来的任何解决方案、标准、规范等的方式,例如但不限于前面所述的OAuth2.0。
通过以上描述可知,采用本实施例的用于对第三方应用进行集中式安全管理的方法,通过在现有系统中添加新的集中式安全管理系统,能够为中小型服务提供商节约大量成本并且减轻其负荷(即只需负责管理用户的受保护资源),同时也能够使得大型服务提供商为其分离部署的多个内部资源服务器提供对第三方应用的集中式管理。此外,通过使用本发明的方案,还能够确保第三方应用更加安全和可信,因为第三方应用是由可信的第三方机构(即本发明的集中式安全管理系统)来进行安全管理的。
在同一发明构思下,根据本发明的另一个方面,提供了一种用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统。下面就结合附图对其进行说明。
图4示出了根据本发明一个实施例的集中式安全管理系统400。该系统400包括接收装置401、认证装置402、第一转发装置403和第二转发装置404。同样地,假定所述用户同意所述第三方应用访问其受保护资源。具体地,当所述第三方应用请求访问受保护资源时,在所述授权服务器成功认证所述用户并且向所述第三方应用发送访问授权许可之后,所述接收装置401接收由所述第三方应用以可区分的方式发送的该第三方应用的身份标识、认证凭证和所述访问授权许可。所述可区分的方式是指所述身份标识、所述认证凭证和所述访问授权许可或者是被分别打包,或者是被分别标记,以使得所述集中式安全管理系统能够区分出它们。在接收所述身份标识、认证凭证和所述访问授权许可之后,所述认证装置402使用所述身份标识、认证凭证认证所述第三方应用。在成功认证所述第三方应用之后,所述第一转发装置403将来自所述第三方应用的访问授权许可转发给所述授权服务器,并且所述第二转发装置404将由所述授权服务器所发放的访问令牌转发给所述第三方应用。由此,所述第三方应用可以通过将所述访问令牌提交给所述资源服务器来访问所述用户的受保护资源。
如前文所述,所述集中式安全管理系统400还执行以下功能:
-当收到由个人开发者或业务提供商开发并用该个人开发者或业务提供商的私钥签名的第三方应用时,使用个人开发者或业务提供商的数字证书认证该第三方应用的数字签名,以确保该第三方应用的可溯源性;
-在认证成功后检测该第三方应用是否包含恶意代码或病毒;
-在成功地对该第三方应用进行安全检测后,使用该集中式安全管理系统的私钥来对该第三方应用进行数字签名,以便在安装该第三方应用时能够使用该集中式安全管理系统的数字证书来确保第三方应用的真实、安全、可靠性;
-对该第三方应用进行统一分配身份标识、认证凭证及其相关属性管理;
-对所有涉及到的数字证书进行统一管理,如生成、发放、撤销等管理。
应当指出,所述集中式安全管理系统对第三方应用的安全性检测可以遵循现有的和将来的任何解决方案、标准、规范等的方式。
在实施上,本实施例的集中式安全管理系统400以及其包含的接收装置401、认证装置402、第一转发装置403和第二转发装置404,可以以软件、硬件或软件和硬件组合的方式来实现。例如,本领域技术人员熟悉多种可用来实现这些部件的设备,诸如微处理器、微控制器、专用集成电路(ASIC)、可编程逻辑设备(PLD)和/或现场可编程门阵列(FPGA)等。本实施例的集中式安全管理系统的各个组成部分也可以物理地分开实现而操作上地相互连接。
在操作上,上述结合图4说明的实施例的用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统,可以实现前面描述的用于对第三方应用进行集中式安全管理的方法。通过使用该系统,能够为中小型服务提供商节约大量成本并且减轻其负荷(即只需负责管理用户的受保护资源),同时也能够使得大型服务提供商为其分离部署的多个内部资源服务器提供对第三方应用的集中式管理。此外,还能够确保第三方应用更加安全和可信,因为第三方应用是由可信的第三方机构(即所述集中式安全管理系统)来进行安全管理的。
在同一发明构思下,根据本发明的又另一方面,还提出了一种通信系统,该通信系统包括至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用以及根据本发明的集中式安全管理系统。此外,所述通信系统还可以包括其他网络单元,例如路由器等。
以上虽然通过一些示例性的实施例对本发明的用于对第三方应用进行集中式安全管理的方法、用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统、以及包括至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用以及根据本发明的集中式安全管理系统的通信系统进行了详细的描述,但是以上这些实施例并不是穷举的,本领域技术人员可以在本发明的精神和范围内实现各种变化和修改。因此,本发明并不限于这些实施例,本发明的范围仅由所附权利要求为准。
Claims (15)
1.一种用于对于要访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的方法,其特征在于,由用于集中管理所述第三方应用的集中式安全管理系统负责检测所述第三方应用是否包含恶意代码或病毒并且对所述第三方应用进行数字签名,并且发放用于使得所述集中式安全管理系统能够认证该第三方应用的认证凭证,该方法包括下列步骤:
-所述集中式安全管理系统从所述第三方应用接收以可区分的方式至所述集中式安全管理系统的所述第三方应用的身份标识、认证凭证和访问授权许可,所述可区分的方式允许授权服务器区分所述身份标识、认证凭证和访问授权许可是从所述集中式安全管理系统接收的还是直接从所述第三方应用接收的;
-在接收所述身份标识、认证凭证和所述访问授权许可之后,所述集中式安全管理系统使用所述身份标识和认证凭证认证所述第三方应用;
-在成功认证所述第三方应用之后,所述集中式安全管理系统将所述身份标识和访问授权许可转发给所述授权服务器;以及
-所述集中式安全管理系统将由所述授权服务器向所述第三方应用发放用于访问所述用户的受保护资源的访问令牌转发给所述第三方应用。
2.根据权利要求1所述的方法,其中,
-所述访问授权许可和所述访问令牌符合由IETF定义的授权协议OAuth2.0;和/或
-所述认证凭证是数字证书、密钥或口令中的一个。
3.根据权利要求2所述的方法,其中:
-所述用户在授权所述第三方应用访问之前必须由所述授权服务器认证,以使得所述第三方应用获得访问授权许可从而凭借该访问授权许可获得访问令牌;和/或
-所述第三方应用是在所述授权服务器向所述第三方应用发送访问授权许可之后向所述集中式安全管理系统发送该第三方应用的身份标识、认证凭证和所述访问授权许可的。
4.根据权利要求1至3中任意一项所述的方法,还包括:
-当所述第三方应用请求访问所述资源服务器中的所述用户的受保护资源时,如果所述第三方应用不具有有效的访问令牌,则所述资源服务器将该第三方应用的访问请求重定向至用户代理;和/或
-在所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放所述访问令牌之后,所述第三方应用将所述访问令牌提交给所述资源服务器以访问所述用户的受保护资源。
5.根据权利要求3所述的方法,其中:
-所述授权服务器对所述用户的认证是由用户代理直接向该授权服务器进行认证来实现的;以及
-所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
6.根据权利要求3所述的方法,其中:
-所述授权服务器对所述用户的认证是由用户代理经由所述集中式安全管理系统重定向到该授权服务器进行认证来实现的;以及
-以下中的至少一个:所述访问授权许可是由所述授权服务器经由所述集中式安全管理系统和所述用户代理向所述第三方应用发送的,或所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
7.根据权利要求1至3中任意一项所述的方法,其中,所述可区分的方式包括以下中的至少一个:所述第三方应用将所述身份标识、所述认证凭证和所述访问授权许可分别打包,或者所述第三方应用分别标记所述身份标识、所述认证凭证和所述访问授权许可。
8.一种用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统,其特征在于,所述系统负责检测所述第三方应用是否包含恶意代码或病毒并且对所述第三方应用进行数字签名,并且发放用于使得该系统能够认证该第三方应用的认证凭证,所述系统包括:
-第一接收装置,用于接收由所述第三方应用以可区分的方式发送的该第三方应用的身份标识、认证凭证和访问授权许可,所述可区分的方式允许授权服务器区分所述身份标识、认证凭证和访问授权许可是从所述集中式安全管理系统接收的还是直接从所述第三方应用接收的;
-第一认证装置,用于在接收所述身份标识、认证凭证和所述访问授权许可之后使用所述身份标识和认证凭证认证所述第三方应用;
-第一转发装置,用于在成功认证所述第三方应用之后将来自所述第三方应用的身份标识和所述访问授权许可转发给所述授权服务器;和
-第二转发装置,用于将由所述授权服务器所发放的访问令牌转发给所述第三方应用。
9.根据权利要求8所述的系统,还包括:
-第二接收装置,用于接收来自个人开发者或业务提供商开发的并使用个人开发者或业务提供商的私钥进行数字签名的第三方应用;
-第二认证装置,用于使用个人开发者或业务提供商开发的数字证书认证经由所述第二接收装置接收到的第三方应用的数字签名;
-安全检查装置,用于在所述第二认证装置成功认证后检测所述第三方应用是否包含恶意代码或病毒;
-数字签名装置,用于在成功地对所述第三方应用进行安全检查后,使用所述系统的私钥对该第三方应用进行数字签名;
-第三方应用注册和管理装置,用于对所述第三方应用进行统一分配身份标识、认证凭证及其相关属性管理;
-证书管理装置,用于对所有相关数字证书进行统一管理。
10.根据权利要求9所述的系统,其中:
-所述访问授权许可和所述访问令牌符合由IETF定义的授权协议OAuth2.0;和/或
-所述认证凭证是数字证书、密钥或口令中的一个;和/或
-所述证书管理装置对所述数字证书的管理包括生成、发放和撤销。
11.根据权利要求8至10中任意一项所述的系统,其中:
-对所有相关数字证书进行统一管理包括生成、发放和撤销;和/或
-所述第三方应用是在所述授权服务器向所述第三方应用发送访问授权许可之后向所述系统发送该第三方应用的身份标识、认证凭证和所述访问授权的;和/或
-所述用户通过用户代理在授权所述第三方应用访问之前必须由所述授权服务器认证,以使得所述第三方应用获得访问授权许可从而凭借所述访问授权许可获得访问令牌;和/或
-当所述第三方应用请求访问所述资源服务器中的所述用户的受保护资源时,如果所述第三方应用不具有有效的访问令牌,则所述资源服务器将该第三方应用的访问请求重定向至所述用户代理;和/或
-在所述授权服务器经由所述系统向所述第三方应用发放所述访问令牌之后,所述第三方应用将所述访问令牌提交给所述资源服务器以访问所述用户的受保护资源。
12.根据权利要求11所述的系统,其中:
-所述授权服务器对所述用户的认证是由所述用户代理直接向该授权服务器进行认证来实现的;以及
-所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
13.根据权利要求11所述的系统,其中;
-所述授权服务器对所述用户的认证是由所述用户代理经由所述系统重定向到该授权服务器进行认证来实现的;以及
-以下中的至少一个:所述访问授权许可是由所述授权服务器经由所述系统和所述用户代理向所述第三方应用发送的,或所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
14.根据权利要求8至10中任意一项所述的系统,其中,所述可区分的方式包括以下中的至少一个:所述第三方应用将所述身份标识、所述认证凭证和所述访问授权许可分别打包,或者所述第三方应用分别标记所述身份标识、所述认证凭证和所述访问授权许可。
15.一种通信系统,包括:
-至少一个授权服务器;
-至少一个资源服务器;
-用户代理;
-第三方应用;以及
-根据权利要求8至14任一项所述的用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110319068.2A CN103067338B (zh) | 2011-10-20 | 2011-10-20 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
JP2014536106A JP2014531163A (ja) | 2011-10-20 | 2012-10-19 | サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム |
EP12842606.1A EP2770662A4 (en) | 2011-10-20 | 2012-10-19 | METHOD AND SYSTEM FOR CENTRALIZED SECURITY MANAGEMENT FOR THIRD-PARTY APPLICATION AND CORRESPONDING COMMUNICATION SYSTEM |
US14/351,925 US20140245417A1 (en) | 2011-10-20 | 2012-10-19 | Centralized secure management method of third-party application, system and corresponding communication system |
KR1020147013401A KR20140084217A (ko) | 2011-10-20 | 2012-10-19 | 제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템 |
PCT/CN2012/083219 WO2013056674A1 (zh) | 2011-10-20 | 2012-10-19 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110319068.2A CN103067338B (zh) | 2011-10-20 | 2011-10-20 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103067338A CN103067338A (zh) | 2013-04-24 |
CN103067338B true CN103067338B (zh) | 2017-04-19 |
Family
ID=48109804
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110319068.2A Active CN103067338B (zh) | 2011-10-20 | 2011-10-20 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20140245417A1 (zh) |
EP (1) | EP2770662A4 (zh) |
JP (1) | JP2014531163A (zh) |
KR (1) | KR20140084217A (zh) |
CN (1) | CN103067338B (zh) |
WO (1) | WO2013056674A1 (zh) |
Families Citing this family (53)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9264415B1 (en) | 2012-07-11 | 2016-02-16 | Microstrategy Incorporated | User credentials |
US9887992B1 (en) | 2012-07-11 | 2018-02-06 | Microstrategy Incorporated | Sight codes for website authentication |
US8775807B1 (en) | 2012-10-26 | 2014-07-08 | Microstrategy Incorporated | Credential tracking |
US9640001B1 (en) | 2012-11-30 | 2017-05-02 | Microstrategy Incorporated | Time-varying representations of user credentials |
US20140208407A1 (en) * | 2013-01-19 | 2014-07-24 | Lenovo (Singapore) Pte. Ltd. | Single sign-on between device application and browser |
US9154303B1 (en) * | 2013-03-14 | 2015-10-06 | Microstrategy Incorporated | Third-party authorization of user credentials |
CN104283841B (zh) * | 2013-07-02 | 2018-05-22 | 阿里巴巴集团控股有限公司 | 对第三方应用进行服务访问控制的方法、装置及系统 |
US11397520B2 (en) | 2013-08-01 | 2022-07-26 | Yogesh Chunilal Rathod | Application program interface or page processing method and device |
WO2015015251A1 (en) * | 2013-08-01 | 2015-02-05 | Yogesh Chunilal Rathod | Presenting plurality types of interfaces and functions for conducting various activities |
US9397990B1 (en) * | 2013-11-08 | 2016-07-19 | Google Inc. | Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud |
US20150150109A1 (en) * | 2013-11-27 | 2015-05-28 | Adobe Systems Incorporated | Authenticated access to a protected resource using an encoded and signed token |
IN2013CH05960A (zh) * | 2013-12-20 | 2015-06-26 | Samsung R & D Inst India Bangalore Private Ltd | |
US10404699B2 (en) * | 2014-02-18 | 2019-09-03 | Oracle International Corporation | Facilitating third parties to perform batch processing of requests requiring authorization from resource owners for repeat access to resources |
CN104869102B (zh) * | 2014-02-24 | 2019-04-02 | 腾讯科技(北京)有限公司 | 基于xAuth协议的授权方法、装置和系统 |
CN104954330B (zh) * | 2014-03-27 | 2018-03-16 | 华为软件技术有限公司 | 一种对数据资源进行访问的方法、装置和系统 |
SE539192C2 (en) * | 2014-08-08 | 2017-05-09 | Identitrade Ab | Method and a system for authenticating a user |
US9843451B2 (en) * | 2014-10-30 | 2017-12-12 | Motorola Solutions, Inc. | Apparatus and method for multi-state code signing |
US10148522B2 (en) | 2015-03-09 | 2018-12-04 | Avaya Inc. | Extension of authorization framework |
EP3231133B1 (en) * | 2015-04-07 | 2020-05-27 | Hewlett-Packard Development Company, L.P. | Providing selective access to resources |
US9350556B1 (en) | 2015-04-20 | 2016-05-24 | Google Inc. | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key |
CN106209751B (zh) * | 2015-05-08 | 2019-05-03 | 中标软件有限公司 | 基于操作系统授权证书的面向服务的接口认证方法 |
US10044718B2 (en) | 2015-05-27 | 2018-08-07 | Google Llc | Authorization in a distributed system using access control lists and groups |
CN105592048B (zh) * | 2015-09-02 | 2019-03-01 | 新华三技术有限公司 | 一种认证的方法及装置 |
US10311036B1 (en) * | 2015-12-09 | 2019-06-04 | Universal Research Solutions, Llc | Database management for a logical registry |
EP3345370B1 (en) | 2016-01-29 | 2019-03-13 | Google LLC | Device access revocation |
JP2017228145A (ja) * | 2016-06-23 | 2017-12-28 | 株式会社リコー | 認証システム、通信システム、認証認可方法、及びプログラム |
EP3433784B1 (en) | 2016-07-12 | 2022-02-23 | Hewlett-Packard Development Company, L.P. | Credential for a service |
JP2018157398A (ja) * | 2017-03-17 | 2018-10-04 | 株式会社リコー | 情報端末、情報処理装置、情報処理システム、情報処理方法及びプログラム |
CN107241341B (zh) * | 2017-06-29 | 2020-07-07 | 北京五八信息技术有限公司 | 访问控制方法及装置 |
CN107332861B (zh) * | 2017-08-11 | 2020-11-10 | 杭州奇亿云计算有限公司 | 一种基于OAuth协议的开放平台架构系统 |
US10514935B2 (en) * | 2017-10-31 | 2019-12-24 | Salesforce.Com, Inc. | System and method for third party application enablement |
CN107590662B (zh) * | 2017-11-03 | 2021-01-15 | 中国银行股份有限公司 | 一种调用网银系统的认证方法及认证服务器、系统 |
CN110704830A (zh) * | 2018-07-09 | 2020-01-17 | 上海铠射信息科技有限公司 | 一种新型的终端数字证书授权使用的方法与装置 |
CN109639433B (zh) * | 2018-12-05 | 2020-06-30 | 珠海格力电器股份有限公司 | 多个系统账户之间相互授权的方法、存储介质和处理器 |
CN109672675B (zh) * | 2018-12-20 | 2021-06-25 | 成都三零瑞通移动通信有限公司 | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 |
CN110175466B (zh) * | 2019-04-16 | 2024-03-08 | 平安科技(深圳)有限公司 | 开放平台的安全管理方法、装置、计算机设备及存储介质 |
US11405207B2 (en) | 2019-07-31 | 2022-08-02 | The Toronto-Dominion Bank | Dynamic implementation and management of hash-based consent and permissioning protocols |
CN110730174B (zh) * | 2019-10-16 | 2021-12-31 | 东软集团股份有限公司 | 一种网络访问控制方法、装置、设备及介质 |
CN111222868A (zh) * | 2019-11-19 | 2020-06-02 | 广东小天才科技有限公司 | 一种基于家教设备的代付方法和家教设备、支付系统 |
CN111159736B (zh) * | 2019-12-25 | 2022-03-25 | 联通(广东)产业互联网有限公司 | 一种区块链的应用管控方法及系统 |
US11757635B2 (en) * | 2020-03-13 | 2023-09-12 | Mavenir Networks, Inc. | Client authentication and access token ownership validation |
US11687656B2 (en) * | 2020-04-16 | 2023-06-27 | American Express Travel Related Services Company, Inc. | Secure application development using distributed ledgers |
CN111835722A (zh) * | 2020-06-10 | 2020-10-27 | 郑州泰来信息科技有限公司 | 安全的OAuth代理与可信域混合的授权方法 |
CN112291198B (zh) * | 2020-09-29 | 2024-06-28 | 西安万像电子科技有限公司 | 通信方法及终端设备、服务器 |
KR102651448B1 (ko) * | 2021-03-16 | 2024-03-25 | 포항공과대학교 산학협력단 | 블록 체인 기반 탈중앙화 인가 프로토콜 방법 및 장치 |
CN113726728B (zh) * | 2021-07-13 | 2023-10-17 | 上海数慧系统技术有限公司 | 一种安全防护系统及应用系统改造处理方法、装置 |
US11785018B2 (en) | 2021-07-29 | 2023-10-10 | Bank Of America Corporation | Mobile device management system for securely managing device communication |
CN113612770A (zh) * | 2021-08-02 | 2021-11-05 | 中国科学院深圳先进技术研究院 | 一种跨域安全交互方法、系统、终端以及存储介质 |
CN114070589A (zh) * | 2021-11-03 | 2022-02-18 | 浪潮云信息技术股份公司 | 一种简化JWT后的OAuth2.0认证方法 |
CN114488974B (zh) * | 2021-12-31 | 2023-11-03 | 江苏扬子净化工程有限公司 | 一种基于洁净车间plc控制的集成管理系统 |
CN114465806A (zh) * | 2022-02-21 | 2022-05-10 | 深圳市世强元件网络有限公司 | 多方数据接入安全管理方法及系统 |
CN115174200B (zh) * | 2022-06-30 | 2024-03-08 | 青岛海信网络科技股份有限公司 | 一种第三方认证方法、装置及设备 |
CN115695018B (zh) * | 2022-11-02 | 2024-07-23 | 四川启睿克科技有限公司 | 基于jwt的对接第三方可配置认证方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
WO2008036569A1 (en) * | 2006-09-20 | 2008-03-27 | Sprint Communications Company L.P. | Centralized security management system |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
CN102185715A (zh) * | 2011-05-04 | 2011-09-14 | 成都勤智数码科技有限公司 | 一种分布式数据集中的方法 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11282804A (ja) * | 1998-03-31 | 1999-10-15 | Secom Joho System Kk | ユーザ認証機能付き通信システム及びユーザ認証方法 |
JP2000339153A (ja) * | 1999-05-25 | 2000-12-08 | Nippon Telegr & Teleph Corp <Ntt> | プログラム検証方法及び装置及びプログラム検証プログラムを格納した記憶媒体 |
JP2003318889A (ja) * | 2002-04-26 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置 |
EP1636937B1 (en) * | 2003-06-24 | 2010-02-24 | International Business Machines Corporation | Method and system for authenticating servers in a distributed application environment |
US20050108575A1 (en) * | 2003-11-18 | 2005-05-19 | Yung Chong M. | Apparatus, system, and method for faciliating authenticated communication between authentication realms |
US20060282886A1 (en) * | 2005-06-09 | 2006-12-14 | Lockheed Martin Corporation | Service oriented security device management network |
CN100461690C (zh) * | 2005-07-21 | 2009-02-11 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
CN101207485B (zh) * | 2007-08-15 | 2010-12-01 | 深圳市同洲电子股份有限公司 | 对用户进行统一身份安全认证的系统及其方法 |
CN101136928B (zh) * | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
JP4993122B2 (ja) * | 2008-01-23 | 2012-08-08 | 大日本印刷株式会社 | プラットフォーム完全性検証システムおよび方法 |
KR20090109154A (ko) * | 2008-04-15 | 2009-10-20 | 한국전자통신연구원 | 악성코드 차단 장치, 시스템 및 방법 |
US8683554B2 (en) * | 2009-03-27 | 2014-03-25 | Wavemarket, Inc. | System and method for managing third party application program access to user information via a native application program interface (API) |
EP3832975A1 (en) * | 2009-05-29 | 2021-06-09 | Alcatel Lucent | System and method for accessing private digital content |
WO2011006231A1 (en) * | 2009-07-17 | 2011-01-20 | Boldstreet Inc. | Hotspot network access system and method |
JP5509334B2 (ja) * | 2009-10-22 | 2014-06-04 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | コンピュータネットワーク内の保護リソースへのアクセスを管理するための方法と、そのための物理エンティティおよびコンピュータプログラム |
KR20120005364A (ko) * | 2010-07-08 | 2012-01-16 | 정보통신산업진흥원 | 전자 주소, 및 전자문서 유통 시스템 |
ES2694423T3 (es) * | 2011-03-08 | 2018-12-20 | Telefónica S.A. | Un método para proporcionar acceso autorizado a una aplicación de servicio con el fin de usar un recurso protegido de un usuario final |
-
2011
- 2011-10-20 CN CN201110319068.2A patent/CN103067338B/zh active Active
-
2012
- 2012-10-19 WO PCT/CN2012/083219 patent/WO2013056674A1/zh active Application Filing
- 2012-10-19 KR KR1020147013401A patent/KR20140084217A/ko not_active Application Discontinuation
- 2012-10-19 EP EP12842606.1A patent/EP2770662A4/en not_active Withdrawn
- 2012-10-19 JP JP2014536106A patent/JP2014531163A/ja not_active Ceased
- 2012-10-19 US US14/351,925 patent/US20140245417A1/en not_active Abandoned
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
WO2008036569A1 (en) * | 2006-09-20 | 2008-03-27 | Sprint Communications Company L.P. | Centralized security management system |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
CN102185715A (zh) * | 2011-05-04 | 2011-09-14 | 成都勤智数码科技有限公司 | 一种分布式数据集中的方法 |
Non-Patent Citations (1)
Title |
---|
The OAuth 2.0 Protocol Framework draft-ietf-oauth-v2-11;Internet Engineering Task Force (IETF);《Internet-Draft》;20110604;第7页第10行至第10页第8行,第17页第7行至第20页第1行 * |
Also Published As
Publication number | Publication date |
---|---|
CN103067338A (zh) | 2013-04-24 |
WO2013056674A1 (zh) | 2013-04-25 |
EP2770662A1 (en) | 2014-08-27 |
EP2770662A4 (en) | 2015-09-16 |
US20140245417A1 (en) | 2014-08-28 |
KR20140084217A (ko) | 2014-07-04 |
JP2014531163A (ja) | 2014-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103067338B (zh) | 第三方应用的集中式安全管理方法和系统及相应通信系统 | |
CN107925668B (zh) | 资源驱动的动态授权框架 | |
CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
US9578025B2 (en) | Mobile network-based multi-factor authentication | |
US10432598B2 (en) | System and method for providing controlled application programming interface security | |
KR101648521B1 (ko) | 스마트 카드들로의 브라우저-기반의 액세스에 보안을 제공하는 시스템 및 방법 | |
CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
US9087183B2 (en) | Method and system of securing accounts | |
JP2014531163A5 (zh) | ||
US20150012977A1 (en) | Method and apparatus for security in cloud computing service | |
USRE47533E1 (en) | Method and system of securing accounts | |
CN106911627A (zh) | 一种基于eID的真实身份安全控制方法及其系统 | |
CN103384198A (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
CN104821951B (zh) | 一种安全通信的方法和装置 | |
KR101197213B1 (ko) | 위치 정보 기반 인증시스템 및 방법 | |
KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 | |
US20160269420A1 (en) | Apparatus for verifying safety of resource, server thereof, and method thereof | |
Jayasri et al. | Verification of oauth 2.0 using uppaal | |
Göçer et al. | An authorization framework with oauth for fintech servers | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
US8250649B2 (en) | Securing system and method using a security device | |
CN113032761A (zh) | 保护远程认证 | |
CN114765554A (zh) | 一种确定信任终端的方法及相关装置 | |
KR102199747B1 (ko) | Otp 기반의 가상키보드를 이용한 보안 방법 및 시스템 | |
Yoon et al. | Delegation of TLS Authentication to CDNs using Revocable Delegated Credentials |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |