CN103971047A - 认证服务器和用于认证应用的方法 - Google Patents
认证服务器和用于认证应用的方法 Download PDFInfo
- Publication number
- CN103971047A CN103971047A CN201310734037.2A CN201310734037A CN103971047A CN 103971047 A CN103971047 A CN 103971047A CN 201310734037 A CN201310734037 A CN 201310734037A CN 103971047 A CN103971047 A CN 103971047A
- Authority
- CN
- China
- Prior art keywords
- application
- information
- authentication
- request
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种认证服务器和用于认证应用的方法。数据服务器和应用服务器执行如下处理:从在通信终端上运行的应用接受包含应用相关信息和重定向信息的访问请求;当判断出重定向信息合法时,将作为对访问请求的响应并且包含对应于应用相关信息的应用识别信息的访问响应发送至包括对应于重定向信息的重定向目的地的通信终端。
Description
技术领域
本文所讨论的实施例涉及认证服务器等。
背景技术
在近年来在因特网上所提供的服务中,服务并不是经由通用的应用(application)诸如网络浏览器来提供的,而是经由专用于这些服务的应用来提供的。在这样的服务提供中,服务提供侧除了执行许可用户通过使用应用来连接至服务的认证(用户认证)之外还执行许可应用访问的认证(应用认证)。
例如,在许可应用访问的认证中,应用的提供者或创建者将用户所使用的应用的认证信息预登记在服务提供侧,并且服务提供侧发布应用的识别ID和密码。一旦应用连接至服务,服务提供侧利用应用的识别ID和密码来执行认证。当认证完成时,服务提供侧发布令牌。应用响应于用户的操作使用该令牌访问服务。OAuth2称为应用认证方法(参见日本公开专利公报No.2012-194722)。
在某些情况下,服务提供侧在多个站点上提供服务,并且在该多个站点之间不共享应用的认证信息。在这种情况下,例如,应用的提供者将要使用的应用的认证信息登记在要使用的每个站点,因此存在应用认证变得复杂的问题。
将在这里参考图11和图12来描述应用认证变得复杂的问题。图11是例示利用OAuth2的服务的示图。图12是例示应用认证变得复杂的问题的示图。
例如,如图11中所示,在利用OAuth2的服务中,服务提供侧的应用提供者将例如应用列表作为应用A、B、C以及D的认证信息登记在认证服务器。认证服务器能够通过OAuth2执行应用A、B、C以及D之中的应用的应用认证。
如图12中所示,可以在服务提供侧的多个站点提供服务。例如,如果在多个站点的认证服务器之间不共享认证信息,则在服务提供侧的应用提供者需要将所使用的应用注册在每个认证服务器,这导致了复杂的应用认证。
如果服务提供侧不具有应用的认证信息以避免应用认证的复杂化,则存在的问题是用户觉察不到用户正使用的应用不能执行合法通信。例如,用户可能被非法应用所欺骗。将参考图13描述被非法应用所欺骗的情况的示例。图13是例示被非法应用所欺骗的情况的示例的示图。
在图13的左边例示的画面是合法应用所显示的画面。在图3的右边例示的画面是假装成合法应用的非法应用(钓鱼应用)所显示的画面。它们之间的差异仅在于它们的URL,而它们的显示内容相同。因此,用户可能在不注意的情况下输入他的/她的密码。换言之,用户未察觉该应用不执行合法通信。
发明内容
根据实施例的方面,用于认证在计算机上执行的应用的方法包括:从在终端上运行的应用接受包含应用相关信息和重定向信息的访问请求;以及当判断出重定向信息合法时,将作为对访问请求的响应并且包含对应于应用相关信息的应用识别信息的访问响应发送至对应于重定向信息的重定向目的地。
附图说明
图1是例示根据实施例的数据参考系统的总体配置的框图;
图2是例示应用识别信息的内容的示例的示图;
图3是例示根据实施例的在通信终端侧的处理的流程的示图;
图4是例示根据实施例的在数据服务器侧的处理的流程图的示图;
图5是例示根据实施例的在应用服务器侧的处理的流程图的示图;
图6是例示根据实施例的应用认证处理的序列的示图;
图7是例示根据实施例的应用认证处理的变形例的序列的示图;
图8A是例示非法应用请求认证的示例的示图(1);
图8B是例示非法应用请求认证的示例的示图(2);
图8C是例示非法应用请求认证的示例的示图(3);
图9是例示服务器的硬件配置的示例的示图;
图10是例示通信终端的硬件配置的示例的示图;
图11是例示利用OAuth2的服务的示图;
图12是例示应用认证变得复杂的问题的示图;以及
图13是例示被非法应用所欺骗的情况的示例的示图。
具体实施方式
将参考附图来解释本发明的优选实施例。本发明不受实施例的限制。
数据参考系统的配置
图1是例示根据实施例的数据参考系统的总体配置的框图。如图1中所例示,数据参考系统9包括通信终端1、多个应用服务器2、以及多个数据服务器3。通信终端1经由表示因特网的网络4分别连接至该多个应用服务器2和该多个数据服务器3。
通过利用应用来向通信终端1提供服务。该应用允许应用服务器2提供服务。数据服务器3对伴随着服务而产生的数据进行管理。换言之,数据参考系统9允许通信终端1在访问由通信终端1的用户指定的数据服务器3并且集中管理在上述数据服务器3中的用户个人数据的同时使用由多个应用服务器2分别提供的应用。以这种方式,数据参考系统9采用了一种将应用服务器2与数据服务器3分开并因此使通信终端1的用户能够在他的/她的控制下集中管理数据的配置。
应用10和浏览器11存储在通信终端1中。只要通信终端1是能够通信的通信终端例如智能电话、PHS(个人手持电话系统,PersonalHandyphone System)、PDA(个人数字助理,Personal Digital Assistant)或者PC(个人电脑,Personal Computer)就可以。
应用10是允许通信终端1接收应用服务器2提供的服务的软件。通信终端1获取对应于如下服务的应用,该服务是用户期望从提供该服务的应用服务器2接收的服务,并且通信终端1将该服务存储在例如RAM(随机存取存储器,Random Access Memory)或HDD(硬盘驱动器,Hard DiskDrive)中。
应用10将其自己的认证请求发送至用户的数据服务器3。例如,应用10发送其中应用相关信息和重定向信息已指定到用户的数据服务器3的认证请求。这里的应用相关信息是与应用10对应的应用服务器2的URL,并且重定向信息是应用服务器2上的令牌检索页面的URL(重定向URL)。应用服务器2的URL和应用服务器2上的令牌检索页面的URL嵌入在应用10的预定区域中。
此外,应用10从浏览器11获取作为对认证请求的响应的令牌,这将在下面进行描述。因此,应用10能够通过该令牌访问用户的数据服务器3。
浏览器11是下载预定信息、分析其布局并且显示该信息的软件。例如,浏览器11从数据服务器3(已向其发送了认证请求)获取用于用户询问认证请求的画面,并且显示所获取的画面。此外,浏览器11从应用服务器2的URL获取应用10的识别信息(下面要描述的应用识别信息)并且在用于询问认证请求的画面上显示所获取的应用识别信息。结果,浏览器11显示应用10的应用识别信息并因此能够向用户交代(relegate)应用10的合法性。换言之,用户可视地确认浏览器11所显示的应用识别信息并因此能够确定应用10的合法性。此外,浏览器11从数据服务器3获取对认证请求的响应并且从所获取的响应中所包含的在应用服务器2上的令牌检索页面的URL下载令牌检索页面212。然后浏览器11执行所下载的令牌检索页面并且检查是否能检索到令牌。如果能够检索到令牌,则浏览器11将所检索的令牌作为对认证请求的响应返回应用10。
应用服务器2根据每个服务来进行划分,换言之,每个应用实现一个服务。此外,应用服务器2包括存储单元21和呈现单元22。
存储单元21对应于例如非易失性半导体存储器装置等,诸如,闪存(快闪存储器,Flash Memory)、FRAM(注册商标)(铁电随机存取存储器,Ferroelectric Random Access Memory),或者诸如硬盘的存储装置。存储单元21包括应用210、应用识别信息211以及令牌检索页面212。应用210是提供服务的软件,并且在通信终端1的请求下被分发给通信终端1。令牌检索页面212是当在通信终端1侧检索令牌时使用的脚本。
应用识别信息211是用于应用210的识别的信息。将在这里参考图2来描述应用识别信息211的内容。图2是例示应用识别信息的内容的示例的示图。如图2中所例示的,标志a1、应用名称a2、以及说明a3是相关联的并且在应用识别信息中被设定。标志a1表示应用210的标志。标志a1可包含例如创建应用210的公司的名称和应用210所提供的服务的服务名称。应用名称a2表示应用210的名称。应用名称a2可包含版本信息。在说明a3中设定应用210的功能等的说明。
返回图1,如果呈现单元22从浏览器11接收到针对与其自己的应用服务器2对应的应用识别信息211的获取请求,则呈现单元22向浏览器11呈现在存储单元21中所存储的应用识别信息211。因此,浏览器11能够显示已请求认证的应用10的应用识别信息211,这使用户能够判断应用10的合法性。
数据服务器3按照通信终端1的用户单元来进行划分。此外,数据服务器3包括存储单元31、认证单元32以及控制单元33。
存储单元31对应于例如非易失性半导体存储器装置等,诸如,闪存(快闪存储器,Flash Memory)、FRAM(注册商标,registered trademark)(铁电随机存取存储器,Ferroelectric Random Access Memory),或者诸如硬盘的存储装置。存储单元31包括对应于服务的数据区域。这里所指的服务指应用服务器2所提供并且由应用10来实现的服务。例如,可以假设,用户100的通信终端1接收服务A的应用10的服务提供。如果服务A的应用10的认证成功,则用户100的通信终端1能够访问在对应于用户100的数据服务器3的存储区域中的对应于服务A的数据区域。
如果从在通信终端1上运行的应用10接收了其中已指定应用相关信息和重定向信息的认证请求,则认证单元32开始应用10的认证。这里应用相关信息是对应于应用10的应用服务器2的URL。重定向信息是应用服务器2上的令牌检索页面的URL。例如,认证单元32将用于询问用户关于认证请求的画面作为对来自应用10的认证请求的响应发送至通信终端1。
此外,认证单元32确定重定向信息是否合法。例如,如果作为已询问用户关于认证请求的结果通信终端1登录至数据服务器3,则认证单元32确定重定向信息是否从属于(subordinate to)应用相关信息。换言之,认证单元32确定应用服务器2上的令牌检索页面的URL中的子字符串是否包括在对应于应用10的应用服务器2的URL的字符串中。作为示例,如果子字符串是域的字符串,则认证单元32确定令牌检索页面的URL中的域的字符串是否包括在应用服务器2的URL中的字符串中。如果确定出重定向信息从属于应用相关信息,则认证单元32判断重定向信息是合法的。另一方面,如果确定出重定向信息并不从属于应用相关信息,则认证单元32判断重定向信息是非法的。因此,认证单元32能够验证从非法应用10做出了认证请求。
此外,如果重定向信息是合法的,则认证单元32发布令牌,将发布的令牌分配给重定向信息,并且将重定向信息作为认证请求的响应返回浏览器11。例如,认证单元32将发布的令牌的片段分配给在应用服务器2上的令牌检索页面的URL。然后认证单元32指定所分配并且所获得的信息作为定位首部并且将该信息返回浏览器11。将在这里描述指定为定位首部的信息的示例。假设在应用服务器2上的令牌检索页面的URL是“https://hoge.example.com/{token_parse_script}”。则已分配有令牌的片段的信息是:“https://hoge.example.com/{token_parse_script}#{token}”。此外,指定的定位首部是:
“Location:https://hoge.example.com/{token_parse_script}#{token}”。因此,如果在通信终端1侧接收定位首部,则自动执行重定向。如果检索该令牌,则检索到的令牌使通信终端1能够访问与要通过应用10实现的服务对应的数据的访问目的地。
控制单元33基于从通信终端1接收的令牌控制通信终端1的应用10对数据的访问。
通信终端侧的处理的过程
接下来,将参考图3描述在通信终端1侧的处理的过程。图3是例示根据实施例的在通信终端侧的处理的流程图的示图。假定,在通信终端1中认证实现服务A的应用10。
首先,通信终端1启动通过用户输入指定的应用10(步骤S11)。然后,应用10将其自己的认证请求发送至用户的数据服务器3(步骤S12)。例如,应用10将对应于应用10的应用服务器2的URL和在应用服务器2上的令牌检索页面的URL(重定向URL)发送至用户的数据服务器3。应用服务器2的URL和重定向URL嵌入在应用10的预定区域中。
接下来,浏览器11显示在来自数据服务器3的响应中的用于询问认证请求的画面(步骤S13)。然后,浏览器11将针对对应于应用10的应用识别信息211的获取请求发送至应用服务器2的URL(步骤S14)。
浏览器11随后确定是否已从应用服务器2接收对应于应用10的应用识别信息211(步骤S15)。如果确定出没有接收到对应于应用10的应用识别信息211(步骤S15;否)。则浏览器11转移至步骤S22,以输出指示应用认证以失败结束的认证结果。
另一方面,如果确定出已接收了对应于应用10的应用识别信息211(步骤S15,是),则浏览器11在用于询问认证请求的画面上显示所接收的应用识别信息211(步骤S16)。因此,浏览器11显示应用10的应用识别信息并因此能够向用户交代应用10的合法性。换言之,用户可视地确认浏览器11所显示的应用识别信息并因此能够确定应用10的合法性。
接下来,浏览器11确定是否已获取了用户输入的用户名称和密码(步骤S17)。换言之,浏览器11确定用户是否已登录至数据服务器3。如果确定出还没有获取用户名称和密码(步骤S17;否),则浏览器11转移至步骤S22,以输出指示应用认证以失败结束的认证结果。
另一方面,如果确定出已获取了用户名称和密码(步骤S17,是),则浏览器11将用户名称和密码发送至用户的数据服务器3(步骤S18)。
浏览器11随后确定是否已从数据服务器3接收对认证请求的响应(步骤S19)。如果确定出没有接收到对认证请求的响应(步骤S19;否),则浏览器11转移至步骤S22,以输出指示应用认证以失败结束的认证结果。
另一方面,如果确定出已接收了对认证请求的响应(步骤S19,是),则浏览器11从在响应中所包含的在应用服务器2上的令牌检索页面的URL下载令牌检索页面(步骤S20)。例如,将对认证请求的响应指定为定位首部。作为示例,假定指定为定位首部的响应是“Location:https://hoge.example.com/{token_parse_script}#{token}”。浏览器11从“https://hoge.example.com/{token_parse_script}”下载令牌检索页面。
然后,浏览器11执行下载的令牌检索页面并且检查是否能够检索令牌(步骤S21)。
具体地,浏览器11在执行该响应中所包含的令牌检索页面时确定令牌检索页面的URL及应用的URL的管理者是否彼此一致。例如,作为用于确定管理者是否彼此一致的方法,通过分析URL的字符串来确定出作为响应传递的令牌检索页面的URL是否是处于这样的关系,即位于与应用的URL相同的层中或者位于应用的URL的从属层中。可选地,通过用浏览器11的功能来检查在对应于令牌检索页面的URL的页面显示中所包括的脚本是否能从对应于应用的URL的页面显示执行,可以确定域是否彼此一致。如果确定出与认证请求的重定向URL对应的令牌检索页面的URL及应用的URL的管理者彼此一致(步骤S21;是),则浏览器11能够从令牌检索页面获取令牌。因此,应用10的认证完成,然后浏览器11将令牌传递至应用10(步骤S23)。应用10可向例如监视器输出指示应用认证成功的认证结果。然后结束通信终端1侧的处理。
另一方面,如果确定出响应中所包含的令牌检索页面的URL及应用的URL的管理者彼此不一致(步骤S21;否),则浏览器11不将令牌传递至应用10。在对此的响应中,应用10转移至步骤S22,以输出应用认证以失败结束的认证结果。例如,如果应用10即使经过一段固定时间仍没有接收到令牌,或者如果应用10从浏览器11接收到认证失败的通知,则应用10转移至步骤S22。在步骤S22,通信终端1向例如监视器输出指示应用认证以失败结束的认证结果(步骤S22)。然后,在通信终端1侧的处理结束。
在数据服务器侧的处理的过程
接下来,将参考图4描述在数据服务器3侧的处理的过程。图4是例示根据实施例的在数据服务器侧的处理的流程图的示图。假定,从通信终端1发送实现服务A的应用10的认证请求。
首先,认证单元32确定是否已接收到来自应用的认证请求(步骤S31)。该认证请求包含与应用对应的应用服务器2的URL和应用服务器2上的令牌检索页面的URL(重定向URL)。如果确定出没有从应用接收到认证请求(步骤S31,否),则认证单元32重复确定处理直到接收到认证请求。
另一方面,如果确定出已从应用接收到认证请求(步骤S31,是),则认证单元32向通信终端1发送用于询问认证请求的画面(步骤S32)。这里假定认证单元已从应用10接收到认证请求。
认证单元32随后确定是否已从通信终端1接收到用户名称和密码(步骤S33)。如果确定出没有从通信终端1接收到用户名称和密码(步骤S33;否),则认证单元32转移至步骤S39,以发送指示应用认证以失败结束的认证结果。
另一方面,如果确定出已从通信终端1接收了用户名称和密码(步骤S33;是),则认证单元32尝试利用用户名称和密码登录至其自己的数据服务器3(步骤S34)。认证单元32确定登录是否成功(步骤S35)。如果确定出登录失败(步骤S35,否),则认证单元32转移至步骤S39,以发送指示应用认证以失败结束的认证结果。
另一方面,如果确定出登录成功(步骤S35,是),则认证单元32确定重定向URL是否从属于应用服务器2的URL(步骤S36)。例如,认证单元32确定重定向URL的字符串中的子字符串是否包括在应用服务器2的URL的字符串中。如果确定出重定向URL不从属于应用服务器2的URL(步骤S36;否),则认证单元32转移至步骤S39,以发送指示应用认证以失败结束的认证结果。因此,认证单元32能够验证从非法应用10做出了认证请求。
在步骤S39中,认证单元32向已请求认证的通信终端1发送指示应用认证以失败结束的认证结果(步骤S39)。然后,结束数据服务器侧的处理。
另一方面,如果确定出重定向URL从属于应用服务器2的URL(步骤S36;是),则认证单元32发布令牌(步骤S37)。然后,认证单元32将发布的令牌的片段分配给重定向URL。然后,认证单元32指定所分配并且所获得的信息作为定位首部并且将该信息返回浏览器11(步骤S38)。然后,在数据服务器侧的处理结束。
应用服务器侧的处理的过程
接下来,将参考图5描述应用服务器2侧的处理的过程。图5是例示根据实施例的在应用服务器上的处理的流程图的示图。假定,通信终端1已请求实现服务A的应用10的认证。
首先,呈现单元22确定是否从通信终端1接收到针对应用识别信息211的获取请求(步骤S41)。如果确定出没有从通信终端1接收到针对应用识别信息211的获取请求(步骤S41;否),则呈现单元22重复确定处理直到接收到针对应用识别信息211的获取请求。
另一方面,如果确定出已从通信终端1接收到针对应用识别信息211的获取请求(步骤S41,是),则呈现单元22向通信终端1发送应用识别信息211(步骤S42)。换言之,与应用服务器2的URL(在认证请求中已指定的URL)对应的应用服务器2的呈现单元22将其自己的存储单元21中所存储的应用识别信息211发送至通信终端1。因此,呈现单元22能够向通信终端1呈现应用识别信息211,这使得通信终端1的用户能判断应用10的合法性。然后,应用服务器2侧的处理结束。
应用认证处理的序列
接下来,将参考图6描述应用认证处理的序列。图6是例示根据实施例的应用认证处理的序列的示图。在图6中假定,用户U的通信终端1请求认证应用A。应用A提供服务A。
如果用户U启动通信终端1的应用A(步骤S91),则启动的应用A向用户U的数据服务器3发送认证请求(步骤S92)。在该认证请求中指定了应用服务器2的URL和在应用服务器2上的令牌检索页面的URL(重定向URL)。
在用户U的数据服务器3侧,已接收到认证请求的认证单元32向通信终端1发送用于询问该认证请求的画面(步骤S93)。结果,在通信终端1侧,浏览器11显示用于询问该认证请求的画面。然后,浏览器11将针对应用识别信息211的获取请求发送至应用服务器2的URL,即,已在认证请求中指定的URL(步骤S94)。这里假定应用服务器2的URL是对应于服务A的应用服务器2。
在对应于服务A的应用服务器2侧,已接收到针对应用识别信息211的获取请求的呈现单元22将在其自己的存储单元21中所存储的应用识别信息211发送至作为该获取请求源头的通信终端1(步骤S95)。结果,在通信终端1侧,浏览器11在用于询问该认证请求的画面上显示应用识别信息211。在浏览器11上,在用于询问该认证请求的画面上显示应用A的应用识别信息211。换言之,对应用A的标志、应用A的名称以及应用A的说明进行显示。
如果判断出所显示的应用识别信息211是对应于应用A的合法信息,则用户U在浏览器11中输入用户的认证信息并且登录至数据服务器3。这里假定用户U判断出所显示的应用识别信息211是对应于应用A的合法信息并且将他的/她的名称和密码作为用户的认证信息输入(步骤S96)。然后,浏览器11将输入的用户名称和密码发送至用户U的数据服务器3(步骤S97)。
在用户U的数据服务器3侧,已接收到该用户名称和密码的认证单元32用该用户名称和密码进行登录。如果登录成功并且重定向URL从属于应用服务器2的URL,则认定单元32发布令牌。然后,认证单元32将发布的令牌的片段分配给作为重定向URL的在应用服务器2上的令牌检索页面的URL。然后,认证单元32指定所分配并且所获得的信息作为定位首部并且将该信息作为对认证请求的响应返回通信终端1的浏览器11(步骤S98)。
通信终端1的浏览器11从在响应中包含的在应用服务器2上的令牌检索页面的URL下载令牌检索页面212(步骤S99)。然后,浏览器11执行所下载的令牌检索页面并且检查是否能够检索到令牌。如果能够检索到令牌,则浏览器11将检索到的令牌作为对认证请求的响应返回至应用A(步骤S100)。
如果从浏览器11接收了作为对认证请求的响应的令牌,则通信终端1的应用A能够利用该令牌访问用户U的数据服务器3。
在本实施例中,浏览器11设定成从认证请求中所指定的应用服务器2的URL获取与上面的应用服务器2的URL对应的应用识别信息211。然而,该实施例不限于此,而是可以是这样的情况:数据服务器3从通过应用请求指定的应用服务器2的URL获取与上面的应用2的URL对应的应用识别信息211。在这种情况下,数据服务器3将所获取的应用识别信息211和用于询问用户关于认证请求的画面发送至通信终端1的浏览器11。
因此,将描述作为应用认证处理的变形例的情况:数据服务器3从通过认证请求指定的应用服务器2的URL获取与上面的应用服务器2的URL对应的应用识别信息211。
应用认证处理的变形例的序列
图7是例示根据实施例的应用认证处理的变形例的序列的示图。在图7中,相同的附图标记分配给与图6中例示的应用认证处理的序列相同的操作并且重复的操作将简略描述。在图7中,还假定,用户U的通信终端1请求如图6中一样的应用A的认证。应用A提供服务A。
用户U启动通信终端1的应用A(步骤S91)。启动的应用A向用户U的数据服务器3发送认证请求(步骤S92)。在该认证请求中指定了应用服务器2的URL和在应用服务器2上的令牌检索页面的URL(重定向URL)。
在用户U的数据服务器3侧,已接收到认证请求的认证单元32向在认证请求中所指定的应用服务器2的URL发送针对应用识别信息211的获取请求(步骤S93A)。这里假定应用服务器2的URL是与服务A对应的应用服务器2。
在对应于服务A的应用服务器2侧,已接收了针对应用识别信息211的获取请求的呈现单元22将在其自己的存储单元21中所存储的应用识别信息211发送至用户U的作为获取请求源头的数据服务器3(步骤S93B)。在用户U的数据服务器3侧,已获取了应用识别信息211的认证单元32向通信终端1发送应用识别信息211和用于询问该认证请求的画面(步骤S93C)。
结果,在通信终端1侧,浏览器11在用于询问该认证请求的画面上显示应用识别信息211。在浏览器11上在用于询问该识别请求的画面上显示应用A的应用识别信息211。换言之,显示了应用A的标志、应用A的名称以及应用A的说明。
这里假定,用户U判断出所显示的应用识别信息211是对应于应用A的合法信息,并且输入了他的/她的用户名称和密码作为用户的认证信息(步骤S96)。然后浏览器11将输入的用户名称和密码发送至用户U的数据服务器3(步骤S97)。
在用户U的数据服务器3侧,已接收了用户名称和密码的认证单元32使用该用户名称和密码登录。如果登录成功并且重定向URL从属于应用服务器2的URL,则认证单元32发布令牌。然后认证单元32将所发布的令牌的片段分配给作为重定向URL的在应用服务器2上的令牌检索页面的URL。然后,认证单元32指定所分配并且所获得的信息作为定位首部并且将该信息作为对认证请求的响应返回到通信终端1的浏览器11(步骤S98)。
通信终端1的浏览器11从在应用服务器2上的令牌检索页面的URL(响应中所包含的URL)下载令牌检索页面212(步骤S99)。然后,浏览器11执行所下载的令牌检索页面并且检查是否能够检索到令牌。如果能够检索到令牌,则浏览器11将检索到的令牌作为对认证请求的响应返回至应用A(步骤S100)。
如果从浏览器11接收到作为对认证请求的响应的令牌,则通信终端1的应用A能够利用该令牌访问用户U的数据服务器3。
应用认证处理
接下来,将参考图8A至图8C来描述非法应用请求认证的情况。8A至图8C是例示非法应用请求认证的示例的示图。在图8A至图8C中,应用简称为“应用(app)”并且应用服务器简称为“应用服务器(app服务器)”。此外,假定应用B是非法应用,并且试图模仿合法应用A访问对应于应用A的服务A的存储区域。
如图8A中例示的,应用B向用户U的数据服务器3发送认证请求。在认证请求中指定了与由应用B实现的服务B对应的应用服务器(下文中称为应用服务器B)的URL和在应用服务器B上的令牌检索页面的URL(重定向URL)。
在这种情况下,用户U的数据服务器3向通信终端1发送用于询问认证请求的画面,并且浏览器11显示用于询问认证请求的画面。然后,浏览器11从在该认证请求中指定的应用服务器B的URL获取应用识别信息211并且显示所获取的应用识别信息211。这里,应用识别信息211是应用B的识别信息。换言之,浏览器11显示应用B的识别信息。结果,用户U可视地确认所显示的应用B的识别信息并且因此能够确定非法应用B正在运行。结果,应用认证处理能够避免应用B访问与应用A对应的服务A的存储区域。
如图8B中所例示的,应用B向用户U的数据服务器3发送认证请求。在该认证请求中指定与通过A实现的服务A对应的应用服务器(在下文中称为应用服务器A)的URL和在应用服务器B上的令牌检索页面的URL(重定向URL)。
在这种情况下,如果重定向URL从属于应用服务器A的URL,则用户U的数据服务器3发布令牌并且向浏览器11返回已将所发布的令牌的片段分配给重定向URL的信息。然而,重定向URL是在应用服务器B上的令牌检索页面的URL并且因此重定向URL并不从属于应用服务器A的URL。结果,数据服务器3并不向浏览器11返回响应,因此能够避免应用B随后访问与应用A对应的服务A的存储区域。
如图8C中所例示的,应用B向用户U的数据服务器3发送认证请求。在该认证请求中指定了与通过应用A实现的服务A对应的应用服务器A的URL和在应用服务器A上的令牌检索页面的URL(重定向URL)。
在这种情况下,用户U的数据服务器3向通信终端1发送用于询问认证请求的画面并且浏览器11显示用于询问该认证请求的画面。然后,浏览器11从在该认证请求中所指定的应用服务器A的URL获取应用识别信息211并且显示所获取的应用识别信息211。这里,应用识别信息211是应用A的识别信息。换言之,浏览器11显示应用A的识别信息。
假定,用户U可视地确认所显示的应用A的识别信息并且登录用户U的数据服务器3。重定向URL从属于应用服务器A的URL。因此,用户U的数据服务器3发布令牌。然后,数据服务器3将所发布的令牌的片段分配给作为重定向URL的在应用服务器A上的令牌检索页面的URL。然后,数据服务器3指定所分配并且所获得的信息作为定位首部并且向浏览器11返回作为对认证请求的响应的信息。
浏览器11从该响应中所包含的在应用服务器A上的令牌检索页面的URL下载令牌检索页面212。然后,浏览器11执行所下载的令牌检索页面并且检查是否能够检索到该令牌。例如,浏览器11通过分析URL的脚本来确定作为响应传递的令牌检索页面的URL是否处于这样的关系,即,位于与应用的URL相同的层或者位于应用的URL的从属层。应用服务器A的URL处于这样的关系,即,位于与应用服务器A的令牌检索页面的URL相同的层或者位于应用服务器A的令牌检索页面的URL的从属层,因此确认能够检索到令牌。然而,即使检索到令牌,浏览器11仍要将检索到的令牌作为对认证请求的响应传递至应用A。结果,对认证请求的响应的递送目的地并不是应用B。因此,应用B不能访问与应用A对应的服务A的存储区域。换言之,应用认证处理能够避免应用B访问与应用A对应的服务A的存储区域。
以这种方式,即使在图8A至图8C中的任何一种情况下,应用认证处理能够避免非法应用B访问与应用A对应的服务A的存储区域。
认证单元32确定重定向信息是否从属于应用相关信息。在实施例中,已给出了这样的描述,即,认证单元32确定在应用服务器2上的令牌检索页面的URL中的子字符串是否包括在与应用10对应的应用服务器2的URL的字符串中。然而,认证单元32不限于此,而是可以设置为向另一服务器询问重定向信息是否从属于应用相关信息。在这样的情况下,认证单元32向其他服务器传递在应用服务器2上的令牌检索页面的URL和与应用10对应的应用服务器2的URL。然后,其他服务器确定在应用服务器2上的令牌检索页面的URL是否从属于与应用10对应的应用服务器2的URL并且将确定结果返回认证单元32。结果,认证单元32能够根据在认证请求中指定的应用相关信息与重定向信息之间的关系来检测非法令牌检索页面的URL。
此外,已给出了这样的描述,其中,如果通信终端1登录至数据服务器3,则认证单元32确定重定向信息是否从属于应用相关信息。然而,认证单元32不限于此,而是从在通信终端1上正运行的应用10接收其中已指定重定向信息和应用相关信息的认证请求。认证单元32可确定在认证请求中所指定的重定向信息是否从属于在认证请求中所指定的应用相关信息。结果,认证单元32能够根据重定向信息与应用相关信息之间的关系在早期阶段就较早地检测到非法重定向信息。
实施例的效果
根据实施例,认证单元32从在通信终端1上正运行的应用10接受认证请求,该认证请求包含对应于应用10的应用服务器2的URL和在应用服务器2上的令牌检索页面的URL。如果判断出令牌检索页面的URL是合法的,则认证单元32将对认证请求(包含与应用服务器2的URL对应的应用识别信息211)的响应发送至与令牌检索页面的URL对应的重定向目的地。根据这种配置,认证单元32将应用识别信息211发送至与令牌检索页面的URL对应的重定向目的地并且因此能够向在该重定向目的地的用户交代应用10的合法性的判断。结果,即使与应用的认证有关的信息并没有登记于每个数据服务器3,数据参考系统9仍能够确定应用10的合法性。
此外,根据实施例,认证单元32向通信终端1发送与应用服务器2的URL对应的应用识别信息211作为对认证请求的响应。如果从通信终端1接受到用户的认证信息,则认证单元32发布令牌并且将所发布的令牌作为对认证请求的响应发送至与重定向信息对应的重定向目的地。根据这种配置,认证单元32将应用识别信息211作为对认证请求的响应来发送,随后发送令牌。因此能够逐步地确定应用10的合法性。
此外,根据实施例,如果接受认证请求,则认证单元32确定重定向信息是否从属于应用相关信息并因此判断重定向信息的合法性。根据这种配置,认证单元32能够检测非法重定向信息。换言之,认证单元32能够检测出已请求认证的应用10不合法。
此外,根据实施例,应用10向数据服务器3发送包含与应用10对应的应用服务器2的URL和在应用服务器2上的令牌检索页面的URL的认证请求。如果从数据服务器3接收到对认证请求的响应,则浏览器11显示与该响应中所包含的应用服务器2的URL对应的应用识别信息211。如果从数据服务器3接收到对认证请求的响应,则应用10基于响应的重定向目的地信息和认证请求中所包含的信息来验证该响应的合法性。根据这种配置,浏览器11显示与应用服务器2的URL对应的应用识别信息211,这使用户能够判断与应用2的URL对应的应用10的合法性。此外,关于应用10,基于响应的重定向目的地信息和认证请求中所包含的信息来验证该响应的合法性。因此,能够确定已指令导致响应的认证请求的应用的合法性。
应用服务器2能够通过结合在已知信息处理设备诸如个人计算机或工作站中的存储单元21、呈现单元22等的功能来实现。此外,数据服务器3能够通过结合在已知信息处理设备例如个人计算机或工作站中的存储单元31、认证单元32等的功能来实现。
此外,设备的例示性组件不一定需要如所例示的那样来物理地配置。换言之,每个装置的分布/集成的具体方面不限于例示,并且其全部或者其一部分能够根据各种负载和使用模式等通过以任意单元的功能性或物理上的分布/集成来进行配置。例如,认证单元32和控制单元33可以集成为一个单元。另一方面,认证单元32可以分布为确定重定向信息的合法性的第一认证单元和认证用户的合法性的第二认证单元。此外,存储单元21可以经由网络4作为应用服务器2的外部装置来连接。
服务器的硬件配置
图9是例示服务器的硬件配置的示例的示图。这里所称的服务器指应用服务器2和数据服务器3。如图9中所例示的,服务器1000包括RAM1010、网络接口装置1020、HDD1030、CPU1040、介质读取装置1050以及总线1060。RAM1010、网络接口装置1020、HDD1030、CPU1040、介质读取装置1050通过总线1060进行连接。
在数据服务器3的情况中,实现图1中所例示的认证单元32和控制单元33的功能的诸如应用认证程序的程序存储在HDD1030中。此外,在图1中例示的存储单元31中所存储的对应于诸如服务A和B的各种服务的数据存储在HDD1030中。CPU1040从HDD1030读取应用认证程序并且将该应用认证程序加载进RAM1010。因此,应用认证程序用作应用认证处理。应用认证处理将从HDD1030读取的信息等加载进RAM1010上的适当分配给它自己的区域中并且基于所加载的数据等来执行各种数据处理。
此外,在应用服务器2的情况中,实现图1中例示的呈现单元22的功能的诸如应用认证程序的程序存储在HDD1030中。此外,诸如在图1中例示的存储单元21中所存储的应用210和应用识别信息211的各种数据存储在HDD1030中。CPU1040从HDD1030读取应用认证程序并且将该应用认证程序加载进RAM1010。因此,该应用认证程序用作应用认证处理。该应用认证处理将从HDD1030读取的信息等加载进在RAM1010上的适当地分配给它自己的区域中并且基于所加载的数据等来执行各种数据处理。
即使诸如应用认证程序的程序并没有存储在HDD1030中,介质读取装置1050仍能从用于对程序进行存储的介质读取诸如应用认证程序的程序等。介质读取装置1050例如是CD-ROM或者光盘装置。
网络接口装置1020是经由网络连接至外部装置的装置,并且是兼容无线或有线的装置。
通信终端的硬件配置
图10是例示通信终端的硬件配置的示例的示图。如图10中所例示的,通信终端900包括无线通信单元910、显示单元920、音频输入/输出单元930、输入单元940、处理器950、以及存储单元960。无线通信单元910、显示单元920、音频输入/输出单元930、输入单元940、以及存储单元960分别连接至处理器950。
存储单元960包括程序存储单元961、数据存储单元962以及RAM(随机存取存储器,Random Access Memory)963。包含图1中例示的应用10和浏览器11的应用认证程序存储在程序存储单元961中。从数据服务器3和应用服务器2发送的各种数据例如用于询问认证请求的画面和应用识别信息211存储在数据存储单元962中。存储单元960例如是诸如RAM或闪存(快闪存储器)的半导体存储器装置或者诸如硬盘(HDD:硬盘驱动器)或光盘的存储装置。
处理器950例如是诸如ASIC(专用集成电路,Application SpecificIntegrated Circuit)或FPGA(现场可编程门阵列,Field ProgrammableGate Array)的集成电路,或者诸如CPU(中央处理器,Central ProcessingUnit)或MPU(微处理单元,Micro Processing Unit)的电子电路。处理器950从存储单元960读取应用认证程序并且将该应用认证程序加载进RAM963。因此,诸如应用认证程序的程序用作诸如应用认证处理的处理。应用认证处理然后将从数据存储单元962读取的信息等加载进RAM963上的适当地分配给它自己的区域中并且基于所加载的数据等来执行各种数据处理。
应用认证程序可以存储在经由公共网络、因特网、LAN、WAN(广域网,Wide Area Network)等连接至服务器1000和通信终端900的另一计算机(或服务器)中。在这种情况下,服务器1000经由网络接口装置1020从该另一计算机等读取并且执行应用认证程序。通信终端900经由无线通信单元910从该另一计算机等读取并且执行应用认证程序。
本申请中所公开的应用认证程序的一个方面能够确定应用的合法性。
Claims (5)
1.一种用于认证在计算机上执行的应用的方法,所述方法包括:
从利用处理器在终端上运行的应用接受包含应用相关信息和重定向信息的访问请求;以及
当判断出所述重定向信息合法时,利用处理器将作为对所述访问请求的响应并且包含对应于所述应用相关信息的应用识别信息的访问响应发送至对应于所述重定向信息的重定向目的地。
2.根据权利要求1所述的方法,其中,所述发送至所述重定向目的地包括:
发送对应于所述应用相关信息的所述应用识别信息作为对所述访问请求的响应;以及
当从所述终端接受用户的认证信息时,发送令牌作为对所述访问请求的响应。
3.根据权利要求1所述的方法,所述方法进一步包括:
当接受了所述访问请求时,利用处理器基于所述重定向信息是否从属于所述应用相关信息来判断所述重定向信息的合法性。
4.一种认证服务器,包括:
处理器;
存储器,其中所述处理器执行如下步骤:
从在终端上运行的应用接受包含应用相关信息和重定向信息的访问请求;
基于在所述访问请求中所包含的信息来确定所述重定向信息是否合法;以及
当所述确定确定出所述重定向信息合法时,将作为对所述访问请求的响应并且包含对应于所述应用相关信息的应用识别信息的访问响应发送至对应于所述重定向信息的重定向目的地。
5.一种用于在包括终端和认证服务器的数据参考系统中认证应用的方法,所述方法包括:
利用所述终端的处理器,将包含应用相关信息和重定向信息的访问请求从在所述终端上运行的应用发送至所述认证服务器;
从在所述终端上运行的所述应用接受包含所述应用相关信息和所述重定向信息的所述访问请求,并且当判断出所述重定向信息合法时,利用所述认证服务器的处理器将作为对所述访问请求的响应并且包含对应于所述应用相关信息的应用识别信息的访问响应发送至包括对应于所述重定向信息的重定向目的地的终端;以及
当从所述认证服务器接收了所述访问响应时,利用所述终端的处理器来显示在所述访问响应中所包含的对应于所述应用相关信息的所述应用识别信息并且基于所述访问响应的重定向目的地信息和所述应用的访问请求信息来验证所述访问响应的合法性。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013-016251 | 2013-01-30 | ||
JP2013016251A JP6311214B2 (ja) | 2013-01-30 | 2013-01-30 | アプリケーション認証プログラム、認証サーバ、端末およびアプリケーション認証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103971047A true CN103971047A (zh) | 2014-08-06 |
CN103971047B CN103971047B (zh) | 2018-04-10 |
Family
ID=51224568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310734037.2A Active CN103971047B (zh) | 2013-01-30 | 2013-12-26 | 认证服务器和用于认证应用的方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10044694B2 (zh) |
JP (1) | JP6311214B2 (zh) |
CN (1) | CN103971047B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9106642B1 (en) * | 2013-09-11 | 2015-08-11 | Amazon Technologies, Inc. | Synchronizing authentication sessions between applications |
CN106533687B (zh) | 2015-09-14 | 2019-11-08 | 阿里巴巴集团控股有限公司 | 一种身份认证方法和设备 |
CN111526152B (zh) | 2016-08-12 | 2022-02-11 | 创新先进技术有限公司 | 一种认证方法、设备以及认证客户端 |
US10769267B1 (en) * | 2016-09-14 | 2020-09-08 | Ca, Inc. | Systems and methods for controlling access to credentials |
KR101820043B1 (ko) * | 2016-12-15 | 2018-01-18 | 주식회사 수산아이앤티 | 모바일 단말 식별 및 이를 이용한 비즈니스 모델 |
US10782951B2 (en) * | 2018-02-23 | 2020-09-22 | Digital Turbine, Inc. | Instant installation of apps |
WO2020219641A1 (en) * | 2019-04-24 | 2020-10-29 | Uns Project Inc. | User authentication system |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070244973A1 (en) * | 2006-04-13 | 2007-10-18 | Sbc Knowledge Ventures, L.P. | Accessing web based email applications |
CN101090319A (zh) * | 2006-06-12 | 2007-12-19 | 富士施乐株式会社 | 控制装置、通信系统及存储有控制程序的计算机可读介质 |
US20090150287A1 (en) * | 2007-12-06 | 2009-06-11 | Bottomline Technologies (De) Inc. | System and method for providing supplemental transaction processing services to users of a primary financial services system |
US20120117626A1 (en) * | 2010-11-10 | 2012-05-10 | International Business Machines Corporation | Business pre-permissioning in delegated third party authorization |
US20120240214A1 (en) * | 2011-03-16 | 2012-09-20 | Fujitsu Limited | System, method of authenticating information management, and computer-readable medium storing program |
CN102893552A (zh) * | 2010-06-25 | 2013-01-23 | 国际商业机器公司 | 用于聚合第三方安全服务的工作流的安全模型 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110179477A1 (en) * | 2005-12-09 | 2011-07-21 | Harris Corporation | System including property-based weighted trust score application tokens for access control and related methods |
JP5008466B2 (ja) * | 2007-06-13 | 2012-08-22 | 株式会社日本総合研究所 | ウエブサイト誘導システム及びウエブサイト誘導方法 |
US8650622B2 (en) * | 2011-07-01 | 2014-02-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for authorizing and authentication interworking |
US9338007B1 (en) * | 2012-10-26 | 2016-05-10 | Google Inc. | Secure delegated authentication for applications |
-
2013
- 2013-01-30 JP JP2013016251A patent/JP6311214B2/ja active Active
- 2013-12-12 US US14/104,309 patent/US10044694B2/en active Active
- 2013-12-26 CN CN201310734037.2A patent/CN103971047B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070244973A1 (en) * | 2006-04-13 | 2007-10-18 | Sbc Knowledge Ventures, L.P. | Accessing web based email applications |
CN101090319A (zh) * | 2006-06-12 | 2007-12-19 | 富士施乐株式会社 | 控制装置、通信系统及存储有控制程序的计算机可读介质 |
US20090150287A1 (en) * | 2007-12-06 | 2009-06-11 | Bottomline Technologies (De) Inc. | System and method for providing supplemental transaction processing services to users of a primary financial services system |
CN102893552A (zh) * | 2010-06-25 | 2013-01-23 | 国际商业机器公司 | 用于聚合第三方安全服务的工作流的安全模型 |
US20120117626A1 (en) * | 2010-11-10 | 2012-05-10 | International Business Machines Corporation | Business pre-permissioning in delegated third party authorization |
US20120240214A1 (en) * | 2011-03-16 | 2012-09-20 | Fujitsu Limited | System, method of authenticating information management, and computer-readable medium storing program |
Non-Patent Citations (1)
Title |
---|
罗塞尔: "《社交网站的数据挖掘与分析》", 29 February 2012 * |
Also Published As
Publication number | Publication date |
---|---|
CN103971047B (zh) | 2018-04-10 |
JP6311214B2 (ja) | 2018-04-18 |
US20140215565A1 (en) | 2014-07-31 |
JP2014149561A (ja) | 2014-08-21 |
US10044694B2 (en) | 2018-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109617907B (zh) | 认证方法、电子装置及计算机可读存储介质 | |
US10880287B2 (en) | Out of box experience application API integration | |
US11921839B2 (en) | Multiple device credential sharing | |
CN103971047A (zh) | 认证服务器和用于认证应用的方法 | |
US9053306B2 (en) | Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium | |
EP3203709B1 (en) | Cloud service server and method for managing cloud service server | |
CN109478149A (zh) | 混合云计算系统中的访问服务 | |
US9166786B2 (en) | Personal portable secured network access system | |
CN102929659B (zh) | 用于在应用程序的预定数量的执行方法之间选择的方法 | |
US20160182479A1 (en) | No password user account access | |
US20100058435A1 (en) | System and method for virtual information cards | |
JP2008015936A (ja) | サービスシステムおよびサービスシステム制御方法 | |
US20110083177A1 (en) | Software license management | |
US20140150055A1 (en) | Data reference system and application authentication method | |
CN111177735A (zh) | 身份认证方法、装置、系统和设备以及存储介质 | |
CN109413203A (zh) | 一种交易数据获取方法及装置 | |
US9355232B2 (en) | Methods for governing the disclosure of restricted data | |
JP2008015733A (ja) | ログ管理計算機 | |
US9455972B1 (en) | Provisioning a mobile device with a security application on the fly | |
AU2010207022A1 (en) | Personal portable secured network access system | |
EP3975015B9 (en) | Applet package sending method and device and computer readable medium | |
CN110401674B (zh) | 数据访问方法、装置、系统、电子设备及计算机可读介质 | |
KR20030060658A (ko) | 운영체제 로그인 정보를 이용한 웹 사이트 자동 인증시스템 및 방법 | |
CN113765876B (zh) | 报表处理软件的访问方法和装置 | |
KR101351243B1 (ko) | 애플리케이션 인증 방법 및 그 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1195956 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |