CN105593869A - 认证系统、方法以及程序 - Google Patents
认证系统、方法以及程序 Download PDFInfo
- Publication number
- CN105593869A CN105593869A CN201480054232.3A CN201480054232A CN105593869A CN 105593869 A CN105593869 A CN 105593869A CN 201480054232 A CN201480054232 A CN 201480054232A CN 105593869 A CN105593869 A CN 105593869A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- authentication
- sso
- certification
- account information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
实施方式的认证系统具备服务提供者装置、IDaaS运营商装置以及认证代理装置。具有如下认证帐户信息的上述认证代理装置基于从用户终端发送的用户ID以及SSO请求执行用户的认证处理,上述认证帐户信息经由第二协作ID而与包含了与该用户ID一致的SSO帐户标识符在内的SSO帐户信息建立了关联的。在上述认证处理的结果为成功时,具有包含了与该用户ID一致的SSO帐户标识符在内的SSO帐户信息的IDssS运营商装置,允许针对如下服务的SSO认证,上述服务是经由第一协作ID而与该SSO帐户信息建立了关联的服务帐户信息中包含的服务帐户标识符的服务。上述服务提供装置向上述用户终端发送与上述服务相关的信息。
Description
技术领域
本发明的实施方式涉及认证系统、方法以及程序。
背景技术
近年来,企业或者供应商等服务提供者对用户的ID以及密码进行认证,向用户提供服务。
因此,用户需要按照每个服务来管理ID以及密码。另外,出于安全强化的观点,各服务提供者要求用户定期地更新密码、或使用复杂且较长的密码。
这里,当在线利用金融机构时,为了进行本人确认,推荐使用随机数卡或一次性密码等。在该情况下,用户需要按照每个服务管理一次性密码的设备、随机数表。
另一方面,服务提供者按照每个用户管理以及认证ID以及密码,并提供服务。另外,出于成本、运用方面的考虑,服务提供者通过一次性密码的设备、随机数表的使用等维持每个用户的安全强度。由于这些一次性密码的设备、随机数表维持安全强度,因此不能与其他服务提供者共同地使用。
如以上那样,用户以及服务提供者需要管理密码、一次性密码的设备或者随机数表等。关于这种管理,按照用户与服务的每个组合而管理对象增加,因此变得繁琐,导致便利性降低。出于阻止这种便利性降低的观点,实现了基于通过一次认证使多个服务能够使用的单点登录(SSO)的认证协作(federation)。
为了使用单点登录,需要多个服务提供者相互建立信赖关系,并且在各服务提供者的系统之间进行认证协作。
现有技术文献
专利文献
专利文献1:日本专利第4956096号公报
专利文献2:日本特开2001-273421号公报
专利文献3:日本特开2001-197055号公报
发明内容
发明要解决的课题
然而,对于以上那种认证协作,由于产生了由各服务提供者监视其他服务提供者的系统的需要,因此运用复杂化,导致服务提供者的便利性降低。
另外,对于以上那种认证协作,在系统之间的认证的强度不同的情况下,用户难以安全地使用单点登录,导致用户的便利性降低。
另外,由于服务提供者不能容易地准备生物体认证等的高安全环境,因此持续使用暂时构建的环境的可能性较高。因此,提供给用户的认证方法被固定。
另外,已知有服务提供者承包用户的ID管理的IDaaS(IdentityasaService,身份认证即服务)运营商。
本发明要解决的课题在于,提供一种能够在提高用户以及服务提供者的便利性的同时容易地变更认证方式的认证系统、方法以及程序。
用于解决课题的手段
实施方式的认证系统具备能够与由用户操作的用户终端进行通信的服务提供者装置、IDaaS运营商装置以及认证代理装置。
上述服务提供者装置具备服务帐户信息存储机构。
上述服务帐户信息存储机构存储有服务帐户信息,该服务帐户信息包含用于识别该服务提供者装置所提供的服务的帐户的服务帐户标识符以及第一协作ID。
上述IDaaS运营商装置具备SSO帐户信息存储机构。
上述SSO帐户信息存储机构存储SSO帐户信息,该SSO帐户信息包含与用于识别上述用户的用户ID一致的单点登录(SSO)帐户标识符、与上述第一协作ID一致的第一协作ID以及与上述第一协作ID不同的第二协作ID。
上述认证代理装置具备认证帐户信息存储机构。
上述认证帐户信息存储机构存储有认证帐户信息,该认证帐户信息包含用于识别针对上述用户的认证处理的帐户的认证帐户标识符、与上述第二协作ID一致的第二协作ID以及表示该认证处理的方式的认证类别。
具有如下认证帐户信息的上述认证代理装置基于从上述用户终端发送的用户ID以及SSO请求,执行操作上述用户终端的用户的认证处理,上述认证帐户信息经由第二协作ID而与包含与该用户ID一致的SSO帐户标识符在内的SSO帐户信息建立了关联。
在上述认证处理的结果为成功时,具有包含了与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符在内的SSO帐户信息的IDssS运营商装置,允许针对如下服务的SSO认证,上述服务是经由第一协作ID而与该SSO帐户信息建立了关联的服务帐户信息中包含的服务帐户标识符所识别出的服务。
提供被允许了上述SSO认证的服务的上述服务提供装置对发送了上述用户ID以及上述SSO请求的用户终端发送与上述服务相关的信息。
附图说明
图1是表示第一实施方式的认证系统的构成的示意图。
图2是用于说明该实施方式中的各装置的帐户信息等的示意图。
图3是用于说明该实施方式中的各帐户信息的示意图。
图4是用于说明该实施方式中的动作的一个例子的示意图。
图5是表示该实施方式中的业务顺序的一个例子的顺序图。
图6是表示该实施方式中的业务顺序的一个例子的顺序图。
图7是用于说明该实施方式中的动作的一个例子的流程图。
图8是用于说明该实施方式中的动作的一个例子的流程图。
图9是用于说明该实施方式中的动作的一个例子的示意图。
图10是用于说明应用于第二实施方式的认证系统中的各管理表的示意图。
图11是用于说明该实施方式中的各帐户信息的示意图。
图12是用于说明该实施方式中的动作的一个例子的示意图。
图13是表示该实施方式中的认证等级的管理例的示意图。
图14是用于说明该实施方式中的动作的一个例子的流程图。
图15是用于说明该实施方式中的动作的一个例子的流程图。
图16是用于说明该实施方式中的动作的一个例子的流程图。
图17是用于说明该实施方式中的动作的一个例子的流程图。
图18是用于说明该实施方式中的动作的一个例子的流程图。
图19是用于说明该实施方式中的动作的一个例子的流程图。
图20是表示该实施方式中的认证等级变更时的方针的一个例子的示意图。
图21是表示该实施方式中的认证等级变更时的方针的一个例子的示意图。
具体实施方式
以下,使用附图说明各实施方式,在这之前,叙述各实施方式的概要。
第一实施方式涉及一种认证系统,该认证系统具备能够与由用户操作的用户终端进行通信的服务提供者装置、IDaaS运营商装置以及认证代理装置。此外,认证系统也可以采用如下构成:具备能够分别与由用户操作的用户终端以及用于对该用户提供服务的服务提供者装置进行通信的IDaaS运营商装置以及认证代理装置。
服务提供者装置具备服务帐户信息存储机构。服务帐户信息存储机构存储服务帐户信息,该服务帐户信息包含用于识别服务提供者装置所提供的服务的帐户的服务帐户标识符以及第一协作ID。
IDaaS运营商装置具备单点登录(SSO)帐户信息存储机构。SSO帐户信息存储机构存储SSO帐户信息,该SSO帐户信息包含与用于识别用户的用户ID一致的单点登录(SSO)帐户标识符、与第一协作ID一致的第一协作ID以及与第一协作ID不同的第二协作ID。
认证代理装置具备认证帐户信息存储机构。认证帐户信息存储机构存储认证帐户信息,该认证帐户信息包含用于识别针对用户的认证处理的帐户的认证帐户标识符、与第二协作ID一致的第二协作ID以及表示该认证处理的方式的认证类别。
这里,认证代理装置基于从用户终端发送的用户ID以及SSO请求,执行操作用户终端的用户的认证处理,该认证代理装置具有经由第二协作ID而与如下SSO帐户信息建立了关联的认证帐户信息,上述SSO帐户信息包含与该用户ID一致的SSO帐户标识符。
在认证处理的结果为成功时,具有包含了与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符在内的SSO帐户信息的IDssS运营商装置,允许针对如下服务的SSO认证,上述服务是经由第一协作ID而与该SSO帐户信息建立了关联的服务帐户信息中包含的服务帐户标识符所识别出的服务。
提供被允许了SSO认证的服务的服务提供装置对发送用户ID以及SSO请求的用户终端发送与服务相关的信息。
根据以上那种第一实施方式,各服务提供者无需监视其他服务提供者的系统,运用变得容易,服务提供者的便利性提高。
另外,关于以上那种认证协作,由于由与IDaaS运营商装置协作的认证代理装置执行认证,因此用户易于安全地使用单点登录,用户的便利性提高。
另外,由于服务提供者无需准备生物体认证等的高安全环境,因此能够容易地变更对用户提供的认证方法。
根据这种第一实施方式,能够在使用户以及服务提供者的便利性提高的同时容易地变更认证方式。
另外,在第一实施方式中,认证代理装置具备第一表存储机构,该第一表存储机构存储有认证类别管理表,上述认证类别管理表将表示认证处理的方式的认证类别以及表示该认证处理的等级的认证等级建立关联地记述。
SSO帐户信息存储机构包含认证等级。
这里,在认证处理产生问题、该认证处理的等级降低的情况下,认证代理装置以使该认证处理的认证等级降低的方式更新认证类别管理表,将降低后的该认证等级以及在认证帐户信息内与该认证等级建立了关联的认证类别发送到IDaaS运营商装置。
IDaaS运营商装置在从认证代理装置接收到认证等级和认证类别时,基于接收到的该认证类别,检索SSO帐户信息,以使通过该检索获得的认证等级降低至接收到的该认证等级的方式,更新SSO帐户信息。
因此,根据第一实施方式,在认证处理产生问题、该认证处理的等级降低的情况下,能够使认证等级降低,因此能够维持认证处理的可靠性。
接下来,在第二实施方式中,认证代理装置具备第一表存储机构。第一表存储机构存储有认证类别管理表,该认证类别管理表将表示认证处理的方式的认证类别、表示该认证处理的等级的认证等级以及包含该认证类别的认证代理运营商名的认证类别索引建立关联地记述。
IDaaS运营商装置具备第二表存储机构,该第二表存储机构存储有将认证等级以及认证类别索引建立关联地记述的认证等级管理表。
这里,在认证处理产生问题、该认证处理的等级降低的情况下,认证代理装置以使该认证处理的认证等级降低的方式更新认证类别管理表,将在该认证类别管理表内降低后的认证等级以及与该认证等级建立了关联的认证类别索引发送到IDaaS运营商装置。
IDaaS运营商装置在从认证代理装置接收到认证等级和认证类别索引时,基于接收到的该认证类别索引,检索认证等级管理表。IDaaS运营商装置以使通过该检索获得的认证等级降低至接收到的该认证等级的方式,更新认证等级管理表。
因此,根据第二实施方式,在认证处理产生问题、该认证处理的等级降低的情况下,能够使认证等级降低,因此能够维持认证处理的可靠性。另外,根据第二实施方式,在使认证等级降低时,IDaaS运营商装置无需更新每个用户ID的SSO帐户信息,而是更新认证等级管理表即可,因此能够大幅度地减轻认证等级的降低所需的负载。
以上是各实施方式的概要。接着,具体地说明各实施方式。
<第一实施方式>
图1是表示第一实施方式的认证系统的构成的示意图,图2以及图3是用于说明各装置的帐户信息等的示意图。
该认证系统中,由用户U操作的用户终端10、服务提供者装置20、IDaaS运营商装置30以及认证代理装置40能够进行通信。虽然这些用户U、用户终端10、服务提供者装置20、IDaaS运营商装置30以及认证代理装置40重复存在,但在附图中各示出一台。另外,各装置10、20、30、40分别能够以硬件构成、或者硬件资源与软件的组合构成中的某个构成来实施。作为组合构成的软件,使用了用于预先从网络或者非易失性计算机可读取的存储介质(non-transitorycomputer-readablestoragemedium)M1、M2、M3、M4安装于计算机、并由该计算机的处理器执行进而实现各装置10、20、30、40的各功能的程序。
用户U是使用服务的个人用户或者企业用户。在该图中,以进行登录认证而接受服务为前提。用户U表示个人/企业/公共等的使用者。
用户终端10是例如具有能够使用Web浏览器访问其他装置20、30、40的通常的计算机功能的终端装置。作为用户终端10,例如能够使用笔记本PC(personalcomputer:个人计算机)、台式机PC或者移动终端等任意的终端装置。
这里,用户终端10例如具备存储器11、Web浏览器部12以及认证客户部13。此外,Web浏览器部12是通过由用户终端10内的处理器(未图示)执行存储器11内的浏览器用应用程序来实现的功能部。同样,认证客户部13是通过由用户终端10内的处理器(未图示)执行存储器11内的认证用应用程序来实现的功能部。
服务提供者装置20是服务提供者所运营的装置,并且是公共或企业的服务站点。服务提供者装置20是基于从用户终端10接收的请求来提供服务的一般的Web服务的提供源。
这里,服务提供者装置20具备例如存储器21以及安全的Web处理部22。Web处理部22是通过由服务提供者装置20内的处理器(未图示)执行存储器21内的安全处理用应用程序来实现的功能部。存储器21是如图2以及图3所示那样存储服务帐户信息ac1等的信息的存储装置。
如图3所示,服务帐户信息ac1包含服务帐户标识符以及第一IDaaS协作信息。此外,服务帐户信息ac1也可以还包含服务履历等与服务相关的属性信息。
服务帐户标识符是用于识别基于服务提供者的每个用户的服务的帐户的标识符。
第一IDaaS协作信息包含表示协作对方的IDaaS运营商的协作对方IDaaS名、以及作为服务提供者装置20与IDaaS运营商装置30为了协作而共享的识别信息的第一协作ID。
此外,从用户U的角度看的用户ID的管理者是服务提供者,服务提供者将用户ID的管理外包给IDaaS运营商。因此,用户ID的实体存在于IDaaS运营商管理的区域。
IDaaS运营商装置30是从服务提供者承包用户的ID管理的IDaaS运营商所运营的装置。此外,“IDaaS运营商”也可以改称作“ID供应商”。
这里,如图1所示,IDaaS运营商装置30具备例如存储器31、认证服务部32以及ID管理部33。认证服务部32是通过由IDaaS运营商装置30内的处理器(未图示)执行存储器31内的认证服务用应用程序来实现的功能部。ID管理部33是通过由IDaaS运营商装置30内的处理器(未图示)执行存储器31内的认证服务用应用程序来实现的功能部。ID管理部33如图2以及图3所示那样制作SSO帐户信息ac2,并将其与ID建立关联。另外,ID管理部33也能够设定通过SSO帐户信息ac2进行认证的方法。存储器31是存储SSO(SingleSign-On:单点登录)帐户信息ac2等的信息的存储装置。
如图3所示,SSO帐户信息ac2包含SSO帐户标识符、SP协作信息以及AP协作信息。此外,SSO帐户信息ac2也可以还包含与作为SSO帐户标识符的值的用户ID建立了关联的用户管理信息。作为用户管理信息,例如能够适当地使用用户U的姓名、住址、年龄、邮件地址、电话号码、密码等。另外,SP是服务提供者(ServiceProvider)的简称,AP是认证代理运营商(AuthenticationProvider)的简称。
SSO帐户标识符是用于识别基于IDaaS运营商的每个用户的单点登录的帐户的标识符,并且使用了用户ID作为值。
SP协作信息包含表示协作对方的服务提供者的协作对方SP名、以及作为为了协作而与服务提供者装置20共享的识别信息的第一协作ID。
AP协作信息包含表示协作对方的认证代理运营商的协作对方AP名、作为为了协作而与认证代理装置40共享的识别信息的第二协作ID、以及表示基于认证代理装置40的认证处理的等级的认证等级。
认证代理装置40是从IDaaS运营商承包认证的认证代理运营商所运营的装置。例如,利用ISO/IEC24761所规定的ACBio(AuthenticationContextforBiometrics:生物特征识别技术)技术,能够提供不会将生物体认证流出到网络上而进行本人认证的认证代理服务。
这里,如图1所示,认证代理装置40例如具备存储器41、认证代理部42以及证书发行部43。认证代理部42是通过由认证代理装置40内的处理器(未图示)执行存储器41内的认证代理用应用程序来实现的功能部。认证代理部42在这里代理ACBio认证。证书发行部43是通过由认证代理装置40内的处理器(未图示)执行存储器41内的证书发行用应用程序来实现的功能部。证书发行部43预先发行在认证代理部42进行验证时确认的BRT证书(BiometricReferenceTemplateCertificate:生物特征参考模板证书)。此外,BRT证书是在ACBio认证中与生物体认证的结果一起从使用的客户端发送的证书。存储器41是如图3以及图2所示那样存储认证帐户信息ac3以及认证类别管理表T1的存储装置。
如图3所示,认证帐户信息ac3包含认证帐户标识符、第二IDaaS协作信息以及认证信息。
认证帐户标识符是用于识别基于认证代理运营商的每个用户的认证的帐户的标识符。
第二IDaaS协作信息包含表示协作对方的IDaaS运营商的协作对方IDaaS名、以及作为认证代理装置40与IDaaS运营商装置30为了协作而共享的识别信息的第二协作ID。
认证信息包含用于确定基于认证代理装置40的认证处理的执行所需的信息的认证类别、以及在该认证处理中使用的每个用户的凭证信息。
认证类别是各用户共通的、用于确定认证处理的执行所需的信息的信息,例如包含认证处理的方式。例如,图示的信息“acbio-finger-vein”表示认证处理的方式是ACBio技术的指静脉(finger-vein)认证。
凭证信息是按照每个用户而执行认证处理所需的信息,例如,在是ACBio技术的情况下,包含BRT证书或者BRT证书的识别信息。此外,BRT证书是对生物体参照信息的哈希值实施发行者(例如IDaaS运营商或者第三者机构)的数字签名而得的数据。生物体参照信息(BiometricReferenceTemplate)是成为用户的生物体认证的真实性的基准的凭证。
认证类别管理表T1将表示基于认证代理装置40的认证处理的等级的认证等级、以及用于确定基于认证代理装置40的认证处理的执行所需的信息的认证类别建立关联地记述。
接下来,使用图4至图9说明如以上那样构成的认证系统的动作。
首先,作为预先准备,如图4所示,预先执行保存各帐户信息ac1~ac3等的步骤ST1~ST4。此外,步骤ST2~ST4是作为认证处理的一个例子的、与ACBio认证相关的处理,在使用其他认证处理的情况下可适当地变更。
在步骤ST1中,IDaaS运营商装置内的ID管理部33制作SSO帐户信息ac2,将该SSO帐户信息ac2保存于存储器31。ID管理部33将SSO帐户信息与用户ID建立关联。同样,ID管理部33制作服务帐户信息ac1,将该服务帐户信息ac1保存于存储器21。
在步骤ST2中,ID管理部33制作认证帐户信息ac3,将该认证帐户信息ac3保存于存储器41。认证帐户信息ac3与SSO帐户信息ac2建立关联。
在步骤ST3中,在用户终端10内的认证客户部13与认证代理装置40内的证书发行部43之间执行BRT证书的发行手续。
在步骤ST4中,从证书发行部43,将发行的BRT证书登记于认证帐户信息ac3。
在预先准备结束之后,能够如以下的步骤ST10~ST19所示那样进行单点登录(SSO)认证。
在步骤ST10中,用户终端10内的Web浏览器部12将用户ID以及SSO请求发送到IDaaS运营商装置30。
在步骤ST11中,IDaaS运营商装置30内的认证服务部32从存储器内的SSO帐户信息ac2中确认单点登录的帐户、认证等级。
在步骤ST12中,认证服务部32向Web浏览器部12发送认证用的登录画面数据,请求认证信息。
在步骤ST13中,Web浏览器部12将ACBio认证委托送出到认证客户部13。
在步骤ST14中,认证客户部13将ACBio认证请求发送到认证代理装置40。认证代理装置40内的认证代理部42从登记于存储器41内的认证帐户信息ac3的BRT证书取出信息,基于ACBio认证请求执行ACBio认证。
在这样的步骤ST14中,认证代理装置40基于从用户终端10发送的用户ID以及SSO请求,执行操作用户终端10的用户的认证处理,该认证代理装置40具有经由第二协作ID而与如下SSO帐户信息建立了关联的认证帐户信息ac3,上述SSO帐户信息包含与该用户ID一致的SSO帐户标识符。
在步骤ST15中,认证客户部13在发送步骤ST15的ACBio认证请求之后,使控制返回Web浏览器部12。
在步骤ST16中,Web浏览器部12将认证结果发送到认证服务部32。
在步骤ST17中,认证服务部32从认证代理部42确认认证结果。
在步骤ST18中,认证服务部32确认认证结果正确,向Web浏览器部12回复SSO认证的允许。
在这样的步骤ST18中,在认证处理的结果为成功时,具有如下SSO帐户信息ac2的IDssS运营商装置30允许针对经由第一协作ID而与该SSO帐户信息ac2建立了关联的服务帐户信息ac1中包含的服务帐户标识符所识别的服务的SSO认证,该SSO帐户信息ac2包含与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符。
在步骤ST19中,通过单点登录认证,Web浏览器部12向在SSO中协作的服务提供者装置20进行单点登录。
在步骤ST19之后,提供被允许了SSO认证的服务的服务提供装置20对步骤ST10中发送了用户ID以及SSO请求的用户终端10发送与服务相关的信息。
图5是表示服务提供者向IDaaS运营商请求ID的外包以及SSO的应对的情况下的业务顺序的一个例子的顺序图。该业务顺序能够采用在线、离线或者混合这两者的方式中的某个来实现。
在步骤ST20中,服务提供者装置将委托(探寻)ID的外包业务的ID外包请求发送到IDaaS运营商装置。
在步骤ST21中,IDaaS运营商装置按照该ID外包请求,将表示IDaaS服务的内容、价格等的使用菜单发送到服务提供者装置20。
在步骤ST22中,服务提供者装置20将服务提供者从该使用菜单中选择的IDaaS服务通知给IDaaS运营商。
在步骤ST23中,将与通知的IDaaS服务相当的认证代理服务的使用申请发送到认证代理装置40。
在步骤ST24中,认证代理装置40基于该使用申请对IDaaS运营商装置30执行缔结合同的处理。
在步骤ST25中,IDaaS运营商装置30基于步骤ST24的处理,对服务提供者装置20执行缔结合同的处理。
在步骤ST26中,服务提供者装置20向用户终端10通知SSO服务的使用开始。该通知例如包含能够进行SSO的服务和SSO的认证方法。
在步骤ST27中,用户终端10将SSO使用申请发送到服务提供者装置20,该SSO使用申请包含从步骤ST26的通知中选择的能够进行SSO的服务和该选择的认证方法。
在步骤ST28中,服务提供者装置20将该SSO使用申请发送到IDaaS运营商装置30。
在步骤ST29中,IDaaS运营商装置30基于该SSO使用申请,将代理认证的认证代理申请发送到认证代理装置40。
图6是表示服务提供者向IDaaS运营商请求ID的外包以及SSO的应对的情况下的业务顺序的一个例子的示意图。该业务顺序能够采用在线、离线或者混合这两者的方式中的某个来实现。
在步骤ST30中,服务提供者装置20向用户终端10发送请求服务使用费的服务使用费请求。该服务使用费请求是请求包含步骤ST27的SSO使用申请等中申请的服务的使用费在内的费用(服务使用费)的帐单数据。
在步骤ST31中,用户终端10的用户基于该服务使用费请求,将服务使用费支付给服务提供者。作为支付方法,例如能够使用如银行扣款等那样任意的支付方法。
在步骤ST32中,IDaaS运营商装置30向服务提供者装置20发送请求包含用户ID的管理费在内的费用(ID管理费)的ID管理费请求。
在步骤ST33中,运营服务提供者装置20的服务提供者基于该ID管理费请求,将ID管理费支付给IDaaS运营商。
在步骤ST34中,认证代理装置40向IDaaS运营商装置30发送请求包含认证代理服务的使用费在内的费用(认证代理费)的认证代理费请求。
在步骤ST35中,运营IDaaS运营商装置30的IDaaS运营商基于该认证代理费请求将认证代理费支付给认证代理运营商。
图7以及图8是用于说明从用户向服务提供者的Web站点请求登录到进行登录为止的动作的一个例子的流程图。在该例子中,服务提供者将ID管理外包给IDaaS运营商。IDaaS运营商使用认证代理运营商。另外,以认证代理运营商使用不会将生物体信息流出到网络上的在线认证ACBio为前提。
在步骤ST41中,用户终端10按照用户U的操作,请求向Web站点连接的Web连接。
在步骤ST42中,在步骤ST41中动作的Web应用向IDaaS运营商装置30发送连接于Web站点的用户ID和连接请求。此外,连接请求也可以改称作SSO请求。
在步骤ST43中,IDaaS运营商装置30接收用户ID以及连接请求。
在步骤ST44中,IDaaS运营商装置30在接收到连接请求时,从存储器31读取SSO帐户信息ac2。
在步骤ST45中,IDaaS运营商装置30基于该读取的SSO帐户信息,执行对步骤ST43中接收的用户ID是否正确进行判断的ID认证。
在步骤ST46中,在步骤ST45的判断的结果是否的情况下,IDaaS运营商装置30执行错误处理。
在步骤ST47中,在步骤ST45的判断的结果是正确的情况下,IDaaS运营商装置30基于SSO帐户信息ac2,判断该用户ID所示的用户是否为在线生物体认证的对象。在该例子中,设该用户为在线生物体认证的对象。因此,对于步骤ST47的判断结果为否的情况,省略记载。
在步骤ST48中,IDaaS运营商装置30将在线生物体认证请求以及SSO帐户信息ac2发送到认证代理装置40。
在这样的步骤ST43~ST48中,执行由IDaaS运营商装置30基于从用户终端10发送的用户ID以及SSO请求而向认证代理装置40发送认证请求的步骤,该认证代理装置40具有经由第二协作ID而与包含了与该用户ID一致的SSO帐户标识符的SSO帐户信息ac2建立了关联的认证帐户信息ac3。
在步骤ST49中,认证代理装置40接收该在线生物体认证请求以及帐户。
在步骤ST50中,认证代理装置40基于该SSO帐户信息ac2,从存储器41中读取AP帐户信息ac3。
在步骤ST51中,当步骤ST50中确认了AP帐户信息ac3之后,认证代理装置40生成ACBio认证所需的质询(challenge)编码。
在步骤ST52中,认证代理装置40将ACBio的认证请求与该质询编码一起发送到用户终端10。
在步骤ST53中,用户终端10接收质询编码以及认证请求。
在步骤ST54中,用户终端10通过作为认证客户部13安装的生物体认证协作的ACBio应用程序,生成ACBio实例。ACBio实例包含生物体认证的结果信息、质询编码以及BRT证书等。
在步骤ST55中,用户终端10将该生成的ACBio实例发送到认证代理装置40。
在步骤ST56中,认证代理装置40接收该ACBio实例。
在步骤ST57中,认证代理装置40验证该接收的ACBio实例。这里,验证例如ACBio实例所包含的生物体认证的结果信息、质询编码以及BRT证书等。
在步骤ST58中,认证代理装置40将ACBio实例的验证结果和步骤ST49中接收的SSO帐户信息ac2发送到IDaaS运营商装置30。
在这样的步骤ST49~ST52、ST56~ST58中,执行由认证代理装置40基于从IDaaS运营商装置30接收的认证请求、执行操作用户终端10的用户的认证处理、并将该认证处理的结果发送到IDaaS运营商装置30的步骤。
在步骤ST59中,IDaaS运营商装置30从认证代理装置40接收ACBio实例的验证结果和SSO帐户信息ac2。
在步骤ST60中,IDaaS运营商装置30判断ACBio的认证结果是否成功。
在步骤ST61中,在步骤ST60的判断的结果为否的情况下,IDaaS运营商装置30执行错误处理。
在步骤ST62中,在步骤ST60的判断的结果为成功的情况下,IDaaS运营商装置30从步骤ST59中接收的SSO帐户信息ac2中提取用户ID,将该用户ID以及表示认证成功的认证信息通知给服务提供者装置20。
在这样的步骤ST59~ST62中,执行如下步骤:在认证处理的结果为成功时,IDaaS运营商装置30允许针对如下服务的SSO认证,并将该允许发送到服务提供者装置20,上述服务是经由第一协作ID而与如下SSO帐户信息ac2建立了关联的服务帐户信息ac3中包含的服务帐户标识符所识别的服务,上述SSO帐户信息ac2包含与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符。
在步骤ST63中,服务提供者装置20接收用户ID以及认证信息,允许基于用户ID的认证。
在步骤ST64中,服务提供者装置20基于在步骤ST43中接收的用户ID以及连接请求,分别允许向Web网页的连接以及显示。
在这样的步骤ST63~ST64中,执行如下步骤:服务提供者装置20对步骤ST42中发送了用户ID以及SSO请求的用户终端10发送与被允许了SSO认证的服务相关的信息。
在步骤ST65中,由于登录的成功,用户终端10显示能够连接的Web网页。
接下来,说明由于脆弱性报告等外部要因而认证代理供应商的管理者变更确定的认证方式的等级的情况。此外,认证代理装置40将认证类别管理表T1存储于存储器41,该认证类别管理表T1将表示认证处理的方式的认证类别以及表示该认证处理的等级的认证等级建立关联地记述的。另外,SSO帐户信息ac2包含认证等级。
在认证处理产生问题、该认证处理的等级降低的情况下,认证代理装置40以使该认证处理的认证等级降低的方式更新认证类别管理表T1,将降低后的该认证等级以及在认证帐户信息ac3内与该认证等级建立了关联的认证类别发送到IDaaS运营商装置30。
IDaaS运营商装置30在从认证代理装置40接收到认证等级和认证类别时,基于该接收认证类别,检索SSO帐户信息ac2,以使通过该检索获得的认证等级降低至该接收的认证等级的方式更新SSO帐户信息ac2。
例如,如图9所示,在将认证类别管理表T1内的认证类别“acbio-finger-vein”的认证等级“等级4”变更为“等级3”的情况下,认证代理装置40将包含变更后的认证等级“等级3”以及协作ID“f7asiiu218j8”的认证等级变更通知发送到IDaaS运营商装置30。
IDaaS运营商装置30基于该认证等级变更通知,将每个用户ID的SSO帐户信息ac2所包含的AP协作信息内的认证等级“等级4”变更为“等级3”。
如上述那样,根据第一实施方式,具有如下认证帐户信息ac3的认证代理装置40基于从用户终端10发送的用户ID以及SSO请求,执行操作用户终端10的用户的认证处理,上述认证帐户信息ac3经由第二协作ID而与包含了与该用户ID一致的SSO帐户标识符在内的SSO帐户信息ac2建立关联的。
在认证处理的结果为成功时,具有如下SSO帐户信息ac2的IDssS运营商装置30允许针对如下服务帐户信息ac3中包含的服务帐户标识符所识别的服务的SSO认证,上述SSO帐户信息ac2包含与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符,上述服务帐户信息ac3经由第一协作ID而与该SSO帐户信息ac2建立了关联。
提供被允许了SSO认证的服务的服务提供装置20对发送用户ID以及SSO请求的用户终端10发送与服务相关的信息。
第一实施方式通过这种构成,能够在提高用户以及服务提供者的便利性的同时容易地变更认证方式。
另外,根据第一实施方式,在认证处理产生问题、该认证处理的等级降低的情况下,认证代理装置40以使该认证处理的认证等级降低的方式更新认证类别管理表T1,将降低后的该认证等级以及在认证帐户信息ac3内与该认证等级建立了关联的认证类别发送到IDaaS运营商装置30。另外,IDaaS运营商装置30在从认证代理装置40接收到认证等级和认证类别时,基于接收到的该认证类别,检索SSO帐户信息ac2,以使通过该检索获得的认证等级降低至接收到的该认证等级的方式,更新SSO帐户信息ac2。第一实施方式通过这种构成,能够在认证处理产生问题、该认证处理的等级降低的情况下使认证等级降低,因此能够维持认证处理的可靠性。
对以上那种第一实施方式的效果进行补充说明。
在本实施方式中,通过针对IDaaS运营商,将认证服务进行认证代理,能够使服务提供者的用户使用IDaaS作为选项而选择认证方式。
由此,能够提高作为最初目的的、用户以及服务提供者的便利性,给用户、服务提供者带来安全服务的选择自由度。
另外,通过在IDaaS管理ID而认证代理仅进行认证但不管理ID的方法中进行疏结合,从而使认证的管理·运用方法变得简单。
另外,在本实施方式中,通过将认证服务与IDaaS分离,能够获得以下的效果(a)~(d)。
(a)对于服务提供者的效果
服务提供者通过将ID管理外包给IDaaS运营商,能够在运用方面获得以下这种效果。
服务提供者无需与ID供应商、其他服务提供者建立信赖关系而协作或管理用户信息。
服务提供者不需要对ID管理的状况进行适时的监视。
这是因为,若存在多个一般来说建立信赖关系的系统,则需要分别进行设定,系统或运用的复杂度增加,但是能够将包含系统或运用的复杂管理外包。
服务提供者通过外包ID管理,能够消除自己公司进行ID管理所带来的、泄漏ID信息的风险。
服务提供者能够选择由IDaaS运营商进行选项提供的认证方法。这里,服务提供者能够简单地导入在通过自己公司准备时需要进行的大量准备、运用研究的生物体认证。服务提供者无需在自己公司调整安全管理环境。
服务提供者在导入生物体认证的情况下,能够减少因忘记用户的认证信息而损失服务使用的机会的情况。
即使是一部分为自服务中需要安全性能较高的认证的用户的情况,在SSO认证中使用IDaaS的其他服务提供者的用户整体的数量较多的情况下,服务提供者也能够向用户提供安全性能较高的认证(生物体认证等)。
(b)对于IDaaS运营商的效果
IDaaS运营商通过将认证代理服务外包给认证代理运营商,能够获得对服务提供者以及用户提高使用服务的效果。
IDaaS运营商通过外包认证方式,增加对于ID的认证方法的选项,并且能够通过疏结合而分离,从而能够选定与用户以及服务提供者的请求相应的、更安全的认证方法。同样,IDaaS运营商能够迅速地应对安全效果较高的认证方式。
IDaaS运营商即使对于如生物体认证等那样的、使用认证方式或管理的难易度较高的管理方法的资源,也不用亲自进行准备,而能够使用已经完成的资源。
由于IDaaS运营商通过来自多个服务提供者的请求实施认证,因此即使对于小规模的服务提供者的组来说,也能够提供高安全性的服务。
(c)对于认证代理运营商的效果
认证代理运营商通过进行IDaaS运营商的认证代理服务,能够获得提供专注于专业性的安全认证的效果。
由于IDaaS运营商持有附带于ID的用户信息,因此认证代理运营商无需管理用户信息。
认证代理运营商不仅能够对服务提供者提供认证代理服务,还能从IDaaS对不特定多数的希望者提供认证代理服务。
(d)对于用户的效果
用户能够如以下那样获得便利性提高的效果。即,用户能够使用IDaaS所提供的认证服务。另外,用户在希望安全性的情况下使用生物体认证等,选项增加。进而,用户使用IDaaS进行单点登录(SSO),从而无需分别按照每个服务提供者来记住登记的用户ID。
<第二实施方式>
接下来,参照图1对第二实施方式的认证系统进行说明。
第二实施方式是第一实施方式的变形例,并且是减少了认证等级的变更所需的负载的方式。
例如,在第一实施方式中,在变更认证等级的情况下,必须变更所有用户的SSO帐户信息ac2的属性(支持认证等级)。因此,第一实施方式中,若帐户数量增大,则基于认证等级变更的负载较大。
与此相对,在第二实施方式中,如图10所示,IDaaS运营商装置30将认证等级管理表T2存储于存储器31,该认证等级管理表T2将认证等级和认证类别索引建立关联地记述。这里,认证类别索引是表示认证代理运营商名(AP名)与认证类别的索引。
另外,认证代理装置40将认证类别管理表T1存储于存储器41,该认证类别管理表T1将表示认证处理的方式的认证类别、表示该认证处理的等级的认证等级以及包含该认证类别的认证代理运营商名的认证类别索引建立关联地记述。
伴随于此,如图11所示,在IDaaS运营商装置30所管理的SSO帐户信息ac2中,成为AP协作信息包含认证类别索引来取代认证等级的构成。
在这种第二实施方式中,如图12所示,在变更认证等级的情况下,只要改写两表T1、T2即可,不需要改写SSO帐户信息ac2。
详细地说,在认证处理产生问题、该认证处理的等级降低的情况下,认证代理装置40以使该认证处理的认证等级降低的方式更新认证类别管理表T1,将在该认证类别管理表T1内降低后的认证等级以及与该认证等级建立了关联的认证类别索引发送到IDaaS运营商装置30。
IDaaS运营商装置30在从认证代理装置40接收到认证等级和认证类别索引时,基于接收到的该认证类别索引,检索认证等级管理表T2,以使通过该检索获得的认证等级降低至接收到的该认证等级的方式,更新认证等级管理表T2。
这样,执行了两表T1、T2的改写。此外,也可以将两表T1、T2的改写变形为,在IDaaS运营商装置30改写认证等级管理表T2之后,认证代理装置40改写认证类别管理表T1。在后述的步骤ST91-3中叙述该变形例。
与第一实施方式相同地执行认证处理。
接下来,对如以上那样构成的认证系统的动作进行说明。
图13是表示基于IDaaS运营商的认证等级的管理例的示意图。
虽然用户终端10、服务提供者装置20、IDaaS运营商装置30以及认证代理装置40存在多个,但在图13中,出于简洁地说明的观点,记载了各装置10~40各为一台。
在图13所示的例子的情况下,用户U1、U2按照每个希望使用SSO认证的服务而具有所希望的认证等级。
用户终端10能够按照用户U1、U2的操作,自由地选择从服务提供者装置20提供的服务的认证等级。
服务提供者装置20能够按照每个服务将可提供的认证等级提示给用户。另外,服务提供者装置20能够按照每个服务从IDaaS运营商装置30选择或决定与提示的认证等级相符的认证等级。
在IDaaS运营商装置30中,能够向服务提供者装置20提示可由认证代理装置40代理的认证处理中的多个认证等级。
在IDaaS运营商装置30中,按照每个用户ID管理服务提供装置30的服务和认证类别索引。在IDaaS运营商装置30中,能够通过认证等级管理表T2将认证等级和认证类别索引建立关联地管理。
在认证代理装置40中,能够通过认证类别管理表T1将认证等级、认证类别以及认证类别索引建立关联地管理。
因此,在使用IDaaS运营商装置30统一管理的范围内,使用用户终端10的用户U1、U2不会通过SSO认证而意识到每个服务的ID。
另外,当网络上产生问题时,通过降低两表T1、T2内的认证等级,能够限制向服务提供者装置20的访问。在解决了问题的情况下,能够提高两表T1、T2内的认证等级。
也能够采用暂时停止基于认证代理装置40的认证等的紧急措置。
IDaaS运营商装置30能够使用认证代理装置40作为执行向服务提供者装置20或用户终端10提供的认证处理的认证装置。因此,IDaaS运营商装置30无需自己构建生物体认证等的环境。
认证代理装置40按照代理的每个认证来具有认证等级。
认证代理装置40不管理用户ID以及用户信息。
将全部的装置10~40复用,并以疏结合的方式加以认证。
图14是用于说明基于IDaaS运营商装置30的SSO协作的动作的一个例子的流程图。图14左方的步骤ST71~ST75表示现有的SSO协作的动作。
在步骤ST71中,制作SSO。
在步骤ST72中,协作SSO。
在步骤ST73中,使用SSO。
在步骤ST74中,解除SSO的协作。
步骤ST75中,删除SSO。
图14右方的步骤ST81~ST94表示本实施方式中的SSO协作的动作的一个例子。
在步骤ST81中,IDaaS运营商选定SSO的认定等级。
在步骤ST82中,IDaaS运营商装置30进行SSO协作对方的确定(审查)。
在步骤ST83中,认证系统制作SSO。
在步骤ST84中,认证系统协作SSO。
在步骤ST85中,用户使用初次连接的SP(服务提供者)。此外,在使用第二次连接的SP的情况下,进入步骤ST88而非步骤85。
在步骤ST86中,用户初次在SSO以外接受SP站点的认证。
在步骤ST87中,在用户被SP认证后的情况下,开始SSO的使用。
在步骤ST89中,用户使用SSO。
在步骤ST90中,由IDaaS运营商判断为因认证方式产生问题,导致认证方式的等级降低。
在步骤ST91中,IDaaS运营商装置30以及认证代理装置40降低认证等级。
在步骤ST92中,由于解决了认证方式的问题,从而IDaaS运营商装置30以及认证代理装置40使认证方式的等级恢复,使认证等级复原。
在步骤ST93中,认证系统解除SSO。
在步骤ST94中,认证系统删除SSO。
接下来,使用图15~图19的流程图说明以上那种本实施方式中的步骤ST81~ST92。此外,图15以及图16用于步骤ST81~ST84的说明,图17用于步骤ST85~ST87、ST89的说明。图18用于步骤ST88~ST89的说明,图19用于步骤ST90~ST92的说明。
在步骤ST81-1中,IDaaS运营商选定面向SP的SSO认证的选项服务。这里,作为选项服务,除了通常的密码以外,能够适当地使用例如一次性密码(OTP)、生物体认证、生物体认证+ACBio等的认证处理。此时,IDaaS运营商确定认证等级,将该认证等级登记于认证等级管理表T1。
在步骤ST82-1中,IDaaS运营商装置30关于IDaaS运营商希望协作的服务提供者,邀请(征集)面向SP的SSO协作。
在步骤ST82-2中,服务提供者装置20将SSO的协作请求发送到IDaaS运营商装置30。
在步骤ST82-3中,IDaaS运营商装置30受理该SSO的协作请求。
在步骤ST82-4中,IDaaS运营商装置30向服务提供者装置20回答SSO的协作请求受理结果。IDaaS运营商装置30为了在SSO中协作的SP之间的安全性,对协作对方进行详查。
在步骤ST82-5中,服务提供者装置20接受SSO的协作请求的结果。
在步骤ST82-6中,IDaaS运营商装置30将SP协作信息向存储器31登记。
在步骤ST82-7中,IDaaS运营商装置30面向用户执行SSO服务开始的联系、广告处理。
在步骤ST83-1中,用户终端10按照用户的操作,向IDaaS运营商装置30发送SSO的ID登记委托。作为运用,也能够使用IDaaS运营商的ID或原ID。
在步骤ST83-2中,IDaaS运营商装置30受理该SSO的ID登记委托,登记新的ID。
在步骤ST83-3中,IDaaS运营商装置30将用于使用户确认认证方法的菜单信息发送到用户终端10。
在步骤ST83-4中,用户终端10按照用户的操作,从该菜单信息中选择并指定认证方法。在该例子中,用户选择、指定IDaaS运营商装置30提供的认证代理装置40所提供的ACBio认证。
在步骤ST83-5中,IDaaS运营商装置30从用户终端10受理认证方法。
在步骤ST83-6中,在该受理的认证方法使用认证代理装置40的情况下,IDaaS运营商装置30向认证代理装置40发送认证使用申请。
※IDaaS运营商装置30将与面向认证代理装置40的SSO关联的帐户合并发行并交付。
在步骤ST83-7中,认证代理装置40通过从IDaaS运营商装置30接收的帐户信息,将认证信息的登记请求发送到用户终端10。该认证信息的登记请求包含质询编码。
在步骤ST83-8中,用户终端10基于该认证信息的登记请求,采取用户的生物体信息,生成包含该生物体信息的哈希值和登记请求内的质询编码的ACBio实例。另外,用户终端10将生成的ACBio实例发送到认证代理装置40。
在步骤ST83-9中,认证代理装置40基于该ACB实例,发行ACBio的BRT证书,将该BRT证书发送到用户终端10。
在步骤ST83-10中,用户终端10登记包含该BRT证书的认证信息,将登记结束通知发送到认证代理装置40。
在步骤ST83-11中,认证代理装置40受理该登记结束通知。
在步骤ST83-12中,认证代理装置40登记包含BRT证书的认证信息,与帐户进行协作。在确认帐户的协作之后,认证代理装置40将认证登记的结果发送到IDaaS运营商装置30。在该例子中,设认证登记的结果为正常。此外,在异常的情况下,例如再次试行步骤ST83-7~ST83-11的处理即可。
在步骤ST83-13中,IDaaS运营商装置30受理认证登记的结果,确认已受理认证的使用申请,向用户终端10通知SSOID的登记结束。
在步骤ST83-14中,用户终端10受理该SSOID的登记结束的通知。
在步骤ST84-1中,IDaaS运营商装置30将SSOID的信息登记于存储器31,更新对应的用户的用户管理信息。
在步骤ST85-1中,用户终端10按照用户的操作,使用SSOID进行登录。
在步骤ST85-2中,IDaaS运营商装置30对从用户终端10接收的SSOID进行认证。
在步骤ST85-3中,IDaaS运营商装置30将密码认证请求或者ACBio认证请求发送到认证代理装置40。这里,以发送在线生物体认证ACBio的认证请求的情况为例进行叙述。
在步骤ST85-4中,认证代理装置40受理该认证请求。
在步骤ST85-5中,认证代理装置40基于该受理的认证请求,向用户终端10发送认证请求。
在步骤ST85-6中,用户终端10接收该认证请求。
在步骤ST85-7中,用户终端10按照该接收的认证请求,执行用户的生物体认证,生成包含认证结果的ACBio实例。
在步骤ST85-8中,将该生成的ACBio实例发送到认证代理装置40。
在步骤ST85-9中,认证代理装置40接收ACBio实例。
在步骤ST85-10中,认证代理装置40对该ACBio实例的内容进行验证,将验证结果发送到IDaaS运营商装置30。
在步骤ST85-11中,IDaaS运营商装置30从认证代理装置40接收验证结果。
在步骤ST86-1中,IDaaS运营商装置30向服务提供者装置20发送在SSO中初次时连接于服务提供者装置20的情况下的初次认证请求。
在步骤ST86-2中,服务提供者装置20基于该初次认证请求,将初次的认证请求发送到用户终端10,该初次的认证请求包含表示基于SSO的、向服务提供者装置20的初次连接的信息。
在步骤ST86-3中,用户终端10从服务提供者装置20接收初次的认证请求。
在步骤ST86-4中,用户终端10向用户催促认证信息向服务提供者装置20的输入,并将输入的认证信息发送到服务提供者装置20。
在步骤ST86-5中,服务提供者装置20从用户终端10接收认证信息作为对于步骤ST86-2的认证请求的应答。
在步骤ST86-6中,服务提供者装置20对该接收的认证信息进行验证。在该例子中,设验证为成功。
在步骤ST87-1中,服务提供者装置20将表示初次的认证已成功的验证结果发送到IDaaS运营商装置30。
在步骤ST87-2中,IDaaS运营商装置30从服务提供者装置20接收验证结果。
在步骤ST87-3中,IDaaS运营商装置30基于该接收的验证结果,对存储器31内的SSO帐户信息以及用户管理信息进行更新。
在步骤ST89-1中,在结束了步骤ST86-6的验证之后,服务提供者装置20开始向用户提供服务。
在步骤ST89-2中,用户终端10开始来自服务提供者装置20的服务提供,并允许继续操作。
图18是表示在SSO中第二次之后连接于服务提供者装置20的情况下的流程的示意图。
与上述步骤ST85-1~ST85-10相同地执行步骤ST88-1~ST88-10的处理。此外,在步骤ST88-10中,认证代理装置40验证该ACBio实例的内容,并将验证结果发送到IDaaS运营商装置30。
在步骤ST88-11a中,IDaaS运营商装置30从认证代理装置40接收验证结果,向服务提供者装置20发送步骤ST88-10的验证的结束。
在步骤ST89-1a中,在结束了步骤ST88-10的验证之后,服务提供者装置20开始向用户提供服务。
在步骤ST89-2中,用户终端10开始来自服务提供者装置20的服务提供,并允许继续操作。
图19是用于说明降低IDaaS的认证等级的动作和复原认证等级的动作的流程图。
在步骤ST90-1中,IDaaS运营商受理基于外部要因的问题认知。
在步骤ST91-1中,IDaaS运营商确认安全的状况,操作IDaaS运营商装置30。IDaaS运营商装置30按照IDaaS运营商的操作,将降低认证等级的通知发送到认证代理装置40。
在步骤ST91-2中,显示认证代理装置40降低认证等级的通知,向认证代理运营商催促状况的确认。认证代理运营商确认该状况,对降低认证等级的情况进行确认。此外,通过预先确定的操作执行步骤ST91-1~ST91-2的处理。
在步骤ST91-3中,IDaaS运营商装置30降低认证代理装置40的与对象的认证类别对应的认证类别管理表T1内的认证等级。另外,IDaaS运营商装置30降低与对象的认证类别对应的认证等级管理表T2内的认证等级。在该例子中,使认证等级“等级2”降低至“等级1”。另外,IDaaS运营商装置30将表示已变更(降低)认证等级的认证等级变更通知发送到服务提供者装置20。
在这样的步骤ST91-3中,在认证处理产生问题、该认证处理的等级降低的情况下,IDaaS运营商装置30以使该认证处理的认证等级降低的方式更新认证等级管理表T2,将在该认证等级管理表T2内降低后的认证等级以及与该认证等级建立了关联的认证类别索引发送到认证代理装置40。
认证代理装置40在从IDaaS运营商装置30接收到认证等级和认证类别索引时,基于接收到的该认证类别索引,检索认证类别管理表T1,以使通过该检索获得的认证等级降低至接收到的该认证等级的方式更新认证类别管理表T1。
另外,IDaaS运营商装置30将认证等级变更通知发送到服务提供者装置20。
在步骤ST91-4中,服务提供者装置20受理认证等级变更通知。该认证等级变更通知例如被发送到未图示的服务提供者终端,并从该服务提供者终端显示输出。
在步骤ST91-5中,服务提供者视觉确认该认证等级变更通知,按照例如图20所示的方针p1进行对策处置的手续。
在步骤ST91-5之后,设使认证等级降低的问题消除,安全状况复原。
在步骤ST92-1中,IDaaS运营商受理基于外部要因的问题恢复。
在步骤ST92-2中,IDaaS运营商确认安全的状况,操作IDaaS运营商装置30。IDaaS运营商装置30按照IDaaS运营商的操作,将使认证等级复原的通知发送到认证代理装置40。
在步骤ST92-3中,显示认证代理装置40复原认证等级的通知,向认证代理运营商催促状况的确认。认证代理运营商确认该状况,确认使认证等级复原的情况。此外,通过预先确定的操作执行步骤ST92-2~ST92-3的处理。
在步骤ST92-4中,IDaaS运营商装置30使认证代理装置40的与对象的认证类别对应的认证类别管理表T1内的认证等级复原(恢复)。另外,IDaaS运营商装置30使与对象的认证类别对应的认证等级管理表T2内的认证等级复原(恢复)。在该例子中,使认证等级“等级1”返回到“等级2”。另外,IDaaS运营商装置30将表示已复原(变更)认证等级的认证等级恢复通知发送到服务提供者装置20。
在步骤ST92-5中,服务提供者装置20受理认证等级恢复通知。该认证等级恢复通知例如被发送到未图示的服务提供者终端,并从该服务提供者终端显示输出。
在步骤ST92-6中,服务提供者视觉确认该认证等级恢复通知,按照例如图21所示的方针p2进行恢复处置的手续。
如上述那样,根据第二实施方式,在认证处理产生问题、该认证处理的等级降低的情况下,认证代理装置40以使该认证处理的认证等级降低的方式更新认证类别管理表T1,并将降低后的该认证等级以及与该认证等级建立了关联的认证类别索引发送到IDaaS运营商装置30。
IDaaS运营商装置30在从认证代理装置40接收到认证等级和认证类别索引时,基于接收到的该认证类别索引,检索认证等级管理表T1,以使通过该检索获得的认证等级降低至该接收的认证等级的方式更新认证等级管理表T1。
关于第二实施方式,根据这种构成,除了第一实施方式的效果之外,在使认证等级降低时,IDaaS运营商装置30无需更新每个用户ID的SSO帐户信息,只要更新认证等级管理表T2即可,因此能够使认证等级的降低所需的负载大幅度地减少。
根据以上说明的至少一个实施方式,通过经由各帐户信息ac1~ac3内的各协作ID使服务提供者装置20、IDaaS运营商装置30以及认证代理装置40协作的构成,能够在提高用户以及服务提供者的便利性的同时容易地变更认证方式。
此外,关于记载于上述的各实施方式的方法,也能够作为能够由计算机执行的程序,储存于磁盘(软(注册商标)盘、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等的存储介质并进行分发。
另外,作为该存储介质,只要是能够存储程序、并且计算机能够读取的存储介质即可,其存储形式也可以是任意的方式。
另外,基于从存储介质安装于计算机的程序的指示而在计算机上工作的OS(操作系统)、或数据库管理软件、网络软件等的MW(中间件)等也可以执行用于实现上述实施方式的各处理的一部分。
而且,各实施方式中的存储介质并不局限于与计算机独立的介质,也包含将通过LAN、网络等传送的程序下载并存储或者暂时存储的存储介质。
另外,存储介质并不局限于一个,从多个介质执行上述的各实施方式中的处理的情况也包含于本发明中的存储介质,介质构成也可以是任意的构成。
此外,各实施方式中的计算机基于存储于存储介质的程序执行上述的各实施方式中的各处理,也可以是由一台个人计算机等构成的装置、多个装置进行网络连接的系统等的任意的构成。
另外,各实施方式中的计算机并不局限于个人计算机,也包括信息处理设备所包含的运算处理装置、微机等,是对能够通过程序实现本发明的功能的设备、装置的总称。
此外,虽然说明了本发明的几个实施方式,但这些实施方式作为例子而提示,并非意图限定发明的范围。这些新的实施方式能够通过其他的各种方式来实施,在不脱离发明的主旨的范围,能够进行各种省略、替换、变更。这些实施方式、其变形包含于发明的范围、主旨中,并且包含在权利请求书所记载的发明与其均等的范围内。
Claims (6)
1.一种认证系统,其特征在于,具备能够与由用户操作的用户终端进行通信的服务提供者装置、IDaaS运营商装置以及认证代理装置,
上述服务提供者装置具备存储服务帐户信息的服务帐户信息存储机构,上述服务帐户信息包含用于识别该服务提供者装置所提供的服务的帐户的服务帐户标识符以及第一协作ID,
上述IDaaS运营商装置具备存储SSO帐户信息的SSO帐户信息存储机构,上述SSO帐户信息包含与用于识别上述用户的用户ID一致的单点登录SSO帐户标识符、与上述第一协作ID一致的第一协作ID以及与上述第一协作ID不同的第二协作ID,
上述认证代理装置具备存储认证帐户信息的认证帐户信息存储机构,上述认证帐户信息包含用于识别针对上述用户的认证处理的帐户的认证帐户标识符、与上述第二协作ID一致的第二协作ID以及表示该认证处理的方式的认证类别,
具有如下认证帐户信息的上述认证代理装置基于从上述用户终端发送的用户ID以及SSO请求,执行操作上述用户终端的用户的认证处理,上述认证帐户信息经由第二协作ID而与包含与该用户ID一致的SSO帐户标识符在内的SSO帐户信息建立了关联,
在上述认证处理的结果为成功时,具有包含了与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符在内的SSO帐户信息的IDssS运营商装置,允许针对如下服务的SSO认证,上述服务是经由第一协作ID而与该SSO帐户信息建立了关联的服务帐户信息中包含的服务帐户标识符所识别出的服务,
提供被允许了上述SSO认证的服务的上述服务提供装置对发送了上述用户ID以及上述SSO请求的用户终端发送与上述服务相关的信息。
2.根据权利请求1所述的认证系统,其特征在于,
上述认证代理装置具备存储认证类别管理表的第一表存储机构,上述认证类别管理表将表示上述认证处理的方式的认证类别以及表示该认证处理的等级的认证等级建立关联地记述,
上述SSO帐户信息存储机构包含上述认证等级,
在上述认证处理产生问题、该认证处理的等级降低的情况下,上述认证代理装置以使该认证处理的认证等级降低的方式更新上述认证类别管理表,将降低后的上述认证等级以及在上述认证帐户信息内与该认证等级建立了关联的认证类别发送到上述IDaaS运营商装置,
上述IDaaS运营商装置在从上述认证代理装置接收到认证等级和认证类别时,基于接收到的该认证类别,检索上述SSO帐户信息,以使通过该检索获得的认证等级降低至接收到的该认证等级的方式更新上述SSO帐户信息。
3.根据权利请求1所述的认证系统,其特征在于,
上述认证代理装置具备存储认证类别管理表的第一表存储机构,该认证类别管理表将表示上述认证处理的方式的认证类别、表示该认证处理的等级的认证等级以及包含该认证类别的认证代理运营商名的认证类别索引建立关联地记述,
上述SSO帐户信息存储机构不包含上述认证等级,而是包含上述认证类别索引,
上述IDaaS运营商装置具备存储认证等级管理表的第二表存储机构,上述认证等级管理表将上述认证等级以及上述认证类别索引建立关联地记述,
在上述认证处理产生问题、该认证处理的等级降低的情况下,上述认证代理装置以使该认证处理的认证等级降低的方式更新上述认证类别管理表,将上述认证类别管理表内降低后的认证等级以及与该认证等级建立了关联的认证类别索引发送到上述IDaaS运营商装置,
上述IDaaS运营商装置在从上述认证代理装置接收到认证等级和认证类别索引时,基于接收到的该认证类别索引,检索上述认证等级管理表,以使通过该检索获得的认证等级降低至接收到的该认证等级的方式更新上述认证等级管理表。
4.一种认证系统,其特征在于,具备能够分别与由用户操作的用户终端以及用于向上述用户提供服务的服务提供者装置进行通信的IDaaS运营商装置以及认证代理装置,
上述服务提供者装置存储有服务帐户信息,上述服务帐户信息包含用于识别上述服务的帐户的服务帐户标识符以及第一协作ID,
上述IDaaS运营商装置具备存储SSO帐户信息的SSO帐户信息存储机构,上述SSO帐户信息包含与用于识别上述用户的用户ID一致的单点登录SSO帐户标识符、与上述第一协作ID一致的第一协作ID以及与上述第一协作ID不同的第二协作ID,
上述认证代理装置具备存储认证帐户信息的认证帐户信息存储机构,上述认证帐户信息包含用于识别针对上述用户的认证处理的帐户的认证帐户标识符、与上述第二协作ID一致的第二协作ID以及表示该认证处理的方式的认证类别,
具有如下认证帐户信息的上述认证代理装置基于从上述用户终端发送的用户ID以及SSO请求,执行操作上述用户终端的用户的认证处理,上述认证帐户信息经由第二协作ID而与包含与该用户ID一致的SSO帐户标识符在内的SSO帐户信息建立了关联,
在上述认证处理的结果为成功时,具有包含了与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符在内的SSO帐户信息的IDssS运营商装置,允许针对如下服务的SSO认证,上述服务是经由第一协作ID而与该SSO帐户信息建立了关联的服务帐户信息中包含的服务帐户标识符所识别出的服务,
提供被允许了上述SSO认证的服务的上述服务提供装置对发送了上述用户ID以及上述SSO请求的用户终端发送与上述服务相关的信息。
5.一种认证方法,由认证系统执行,其特征在于,上述认证系统具备:
服务提供装置,具备存储服务帐户信息的服务帐户信息存储机构,上述服务帐户信息包含用于识别服务的帐户的服务帐户标识符以及第一协作ID,上述服务被提供给操作用户终端的用户;
IDaaS运营商装置,具备存储SSO帐户信息的SSO帐户信息存储机构,上述SSO帐户信息包含与用于识别上述用户的用户ID一致的单点登录SSO帐户标识符、与上述第一协作ID一致的第一协作ID以及与上述第一协作ID不同的第二协作ID;以及
认证代理装置,具备存储认证帐户信息的认证帐户信息存储机构,上述认证帐户信息包含用于识别针对上述用户的认证处理的帐户的认证帐户标识符、与上述第二协作ID一致的第二协作ID以及表示该认证处理的方式的认证类别;
上述认证方法包括:
通过上述IDaaS运营商装置,基于从上述用户终端发送的用户ID以及SSO请求,向具有如下认证帐户信息的上述认证代理装置发送认证请求,上述认证帐户信息经由第二协作ID而与包含了与该用户ID一致的SSO帐户标识符在内的SSO帐户信息建立了关联;
通过上述认证代理装置,基于从上述IDaaS运营商装置接受的认证请求,执行操作上述用户终端的用户的认证处理,并将该认证处理的结果发送到上述IDaaS运营商装置;
在上述认证处理的结果为成功时,通过上述IDaaS运营商装置允许针对如下服务帐户信息中包含的服务帐户标识符所识别出的服务的SSO认证,并将该允许发送到上述服务提供者装置,上述服务帐户信息经由第一协作ID而与包含了与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符在内的SSO帐户信息建立了关联;
通过上述服务提供者装置,对发送了上述用户ID以及上述SSO请求的用户终端发送与被允许了上述SSO认证的服务相关的信息。
6.一种程序,其特征在于,在认证系统内用于IDaaS运营商装置,并存储于计算机可读取的存储介质中,上述认证系统具备:
服务提供装置,存储有服务帐户信息,上述服务帐户信息包含用于识别服务的帐户的服务帐户标识符以及第一协作ID,上述服务被提供给操作用户终端的用户;
上述IDaaS运营商装置,具备存储SSO帐户信息的SSO帐户信息存储机构,上述SSO帐户信息包含与用于识别上述用户的用户ID一致的单点登录SSO帐户标识符、与上述第一协作ID一致的第一协作ID以及与上述第一协作ID不同的第二协作ID;以及
认证代理装置,存储有认证帐户信息,上述认证帐户信息包含用于识别上述认证处理的帐户的认证帐户标识符、与上述第二协作ID一致的第二协作ID以及表示该认证处理的方式的认证类别;
上述程序包括:
第一程序编码,基于从上述用户终端发送的用户ID以及SSO请求,使上述IDaaS运营商装置执行向具有如下认证帐户信息的上述认证代理装置发送认证请求的处理,上述认证帐户信息经由第二协作ID而与包含了与该用户ID一致的SSO帐户标识符在内的SSO帐户信息建立了关联;以及
第二程序编码,在上述认证代理装置基于上述认证请求执行了上述用户的认证处理的情况下,在上述认证处理的结果为成功时,使上述IDaaS运营商装置执行允许针对如下服务帐户信息中包含的服务帐户标识符所识别出的服务的SSO认证、并将该允许发送到上述服务提供者装置的处理,上述服务帐户信息经由第一协作ID而与包含了与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符内在的SSO帐户信息建立了关联;
上述程序使上述服务提供者装置向发送了上述用户ID以及上述SSO请求的用户终端发送与被允许了上述SSO认证的服务相关的信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013-230647 | 2013-11-06 | ||
| JP2013230647A JP6071847B2 (ja) | 2013-11-06 | 2013-11-06 | 認証システム、方法及びプログラム |
| PCT/JP2014/079238 WO2015068694A1 (ja) | 2013-11-06 | 2014-11-04 | 認証システム、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105593869A true CN105593869A (zh) | 2016-05-18 |
| CN105593869B CN105593869B (zh) | 2019-01-29 |
Family
ID=53041471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480054232.3A Active CN105593869B (zh) | 2013-11-06 | 2014-11-04 | 认证系统、方法以及存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10178081B2 (zh) |
| JP (1) | JP6071847B2 (zh) |
| CN (1) | CN105593869B (zh) |
| WO (1) | WO2015068694A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023174006A1 (zh) * | 2022-03-17 | 2023-09-21 | 华为云计算技术有限公司 | 一种服务集成方法及相关设备 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10547612B2 (en) * | 2016-09-21 | 2020-01-28 | International Business Machines Corporation | System to resolve multiple identity crisis in indentity-as-a-service application environment |
| US10437928B2 (en) * | 2016-12-30 | 2019-10-08 | Google Llc | Device identifier dependent operation processing of packet based data communication |
| US10957326B2 (en) | 2016-12-30 | 2021-03-23 | Google Llc | Device identifier dependent operation processing of packet based data communication |
| KR102017057B1 (ko) * | 2017-02-20 | 2019-09-02 | (주)이스톰 | 인증 관리 방법 및 시스템 |
| CN107395566B (zh) * | 2017-06-16 | 2020-10-23 | 北京小米移动软件有限公司 | 认证方法及装置 |
| US20190089692A1 (en) | 2017-09-15 | 2019-03-21 | Pearson Education, Inc. | Time-based degradation of digital credentials in a digital credential platform |
| CN111937348B (zh) | 2018-04-09 | 2024-02-09 | 三菱电机株式会社 | 认证系统及计算机可读取的记录介质 |
| SG11202007876QA (en) | 2018-04-09 | 2020-09-29 | Mitsubishi Electric Corp | Authentication system and authentication program |
| CN109450877B (zh) * | 2018-10-25 | 2021-05-25 | 北京九州云腾科技有限公司 | 基于区块链的分布式IDaaS身份统一认证系统 |
| US11356436B2 (en) | 2019-09-13 | 2022-06-07 | Sony Corporation | Single sign-on authentication via multiple authentication options |
| JP7395938B2 (ja) | 2019-10-09 | 2023-12-12 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム及びプログラム |
| JP7291113B2 (ja) * | 2020-11-19 | 2023-06-14 | 三菱電機インフォメーションシステムズ株式会社 | 保険仲介装置、保険仲介方法、保険仲介プログラム及び保険仲介システム |
| JP7124174B1 (ja) * | 2021-06-14 | 2022-08-23 | 株式会社インターネットイニシアティブ | 多要素認証のための方法および装置 |
| WO2023248445A1 (ja) * | 2022-06-23 | 2023-12-28 | 日本電気株式会社 | システム、端末、端末の制御方法及び記憶媒体 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007257426A (ja) * | 2006-03-24 | 2007-10-04 | Nomura Research Institute Ltd | 認証強度の異なるサーバに対応した連携型認証方法及びシステム |
| US20110209202A1 (en) * | 2010-02-19 | 2011-08-25 | Nokia Corporation | Method and apparatus for identity federation gateway |
| CN102480354A (zh) * | 2010-11-30 | 2012-05-30 | 北大方正集团有限公司 | 一种统一认证服务系统及统一认证的方法 |
| CN102739400A (zh) * | 2011-03-30 | 2012-10-17 | 株式会社日立制作所 | 认证协作系统及认证协作方法 |
| JP2013171349A (ja) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | 認証連携システム、idプロバイダ装置およびプログラム |
| CN103282909A (zh) * | 2011-12-27 | 2013-09-04 | 株式会社东芝 | 认证联合系统及id提供者装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4508331B2 (ja) | 2000-01-07 | 2010-07-21 | 新日鉄ソリューションズ株式会社 | 認証代行装置、認証代行方法、認証代行サービスシステム、及びコンピュータ読取可能な記録媒体 |
| JP2001273421A (ja) | 2000-03-27 | 2001-10-05 | Nec Corp | 認証代行システム、認証代行方法およびコンピュータ読み取り可能な記録媒体 |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US8108920B2 (en) * | 2003-05-12 | 2012-01-31 | Microsoft Corporation | Passive client single sign-on for web applications |
| JP4956096B2 (ja) | 2006-08-30 | 2012-06-20 | 株式会社東芝 | 認証システム及び装置 |
| US20080168539A1 (en) * | 2007-01-05 | 2008-07-10 | Joseph Stein | Methods and systems for federated identity management |
| US8434129B2 (en) * | 2007-08-02 | 2013-04-30 | Fugen Solutions, Inc. | Method and apparatus for multi-domain identity interoperability and compliance verification |
| KR100953092B1 (ko) * | 2007-11-06 | 2010-04-19 | 한국전자통신연구원 | Sso서비스 방법 및 시스템 |
| US8141139B2 (en) * | 2007-11-14 | 2012-03-20 | International Business Machines Corporation | Federated single sign-on (F-SSO) request processing using a trust chain having a custom module |
| US8886817B2 (en) * | 2008-05-22 | 2014-11-11 | Yahoo! Inc. | Federation and interoperability between social networks |
| US8955041B2 (en) | 2012-02-17 | 2015-02-10 | Kabushiki Kaisha Toshiba | Authentication collaboration system, ID provider device, and program |
-
2013
- 2013-11-06 JP JP2013230647A patent/JP6071847B2/ja active Active
-
2014
- 2014-11-04 CN CN201480054232.3A patent/CN105593869B/zh active Active
- 2014-11-04 WO PCT/JP2014/079238 patent/WO2015068694A1/ja active Application Filing
-
2016
- 2016-05-06 US US15/148,058 patent/US10178081B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007257426A (ja) * | 2006-03-24 | 2007-10-04 | Nomura Research Institute Ltd | 認証強度の異なるサーバに対応した連携型認証方法及びシステム |
| US20110209202A1 (en) * | 2010-02-19 | 2011-08-25 | Nokia Corporation | Method and apparatus for identity federation gateway |
| CN102480354A (zh) * | 2010-11-30 | 2012-05-30 | 北大方正集团有限公司 | 一种统一认证服务系统及统一认证的方法 |
| CN102739400A (zh) * | 2011-03-30 | 2012-10-17 | 株式会社日立制作所 | 认证协作系统及认证协作方法 |
| CN103282909A (zh) * | 2011-12-27 | 2013-09-04 | 株式会社东芝 | 认证联合系统及id提供者装置 |
| JP2013171349A (ja) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | 認証連携システム、idプロバイダ装置およびプログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023174006A1 (zh) * | 2022-03-17 | 2023-09-21 | 华为云计算技术有限公司 | 一种服务集成方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10178081B2 (en) | 2019-01-08 |
| JP6071847B2 (ja) | 2017-02-01 |
| US20160248759A1 (en) | 2016-08-25 |
| WO2015068694A1 (ja) | 2015-05-14 |
| CN105593869B (zh) | 2019-01-29 |
| JP2015090620A (ja) | 2015-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105593869A (zh) | 认证系统、方法以及程序 | |
| KR101125088B1 (ko) | 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체 | |
| CN103258266A (zh) | 使用移动装置结算支付的装置和方法 | |
| JP2015537399A (ja) | モバイル決済のためのアプリケーションシステム及びモバイル決済手段を提供する及び用いるための方法 | |
| KR20070092400A (ko) | 닉네임을 이용한 지불결제 처리 방법 및 시스템 | |
| KR101106992B1 (ko) | 전자화폐 운용계좌를 이용한 지급결제 처리방법 및 시스템과 이를 위한 기록매체 | |
| CN111553678A (zh) | 基于手机名片的二维码支付方法及其系统 | |
| KR101024370B1 (ko) | 개인자산관리 시스템을 이용한 통합 메신저 뱅킹 방법 | |
| KR100822939B1 (ko) | 닉네임을 이용한 비대면 채널 유저인터페이스 제공방법 및시스템과 이를 위한 프로그램 기록매체 | |
| KR100833625B1 (ko) | 메신저를 이용한 공과금 납부 처리 방법과 이를 위한 기록매체 | |
| KR101703342B1 (ko) | 비대면 금융거래를 위한 정보 검증 방법 | |
| KR100822957B1 (ko) | 금융거래 처리용 프로그램을 기록한 것을 특징으로 하는기록매체와, 이를 이용한 금융거래 처리방법 및 시스템 | |
| KR101061716B1 (ko) | 탄소배출권 예치 계정 운영 방법 및 시스템 | |
| KR100963917B1 (ko) | 그래픽 사용자 인터페이스를 이용한 계좌이체 처리시스템과 이를 위한 프로그램 기록매체 | |
| KR101093127B1 (ko) | 수입금융 대표한도 설정 방법 | |
| KR20090002045A (ko) | 사회공헌활동 기여 촉진형 금융상품 운영방법 및 시스템과이를 위한 프로그램 기록매체 | |
| KR20160006652A (ko) | 결제계좌와 결제수단 연계 방법 | |
| KR20090057198A (ko) | 개인자산관리 시스템을 이용한 통합 메신저 뱅킹 시스템 | |
| KR20090082623A (ko) | 부동산 종합관리계좌 운용방법 및 시스템과 이를 위한기록매체 | |
| KR100821850B1 (ko) | 외환송금 방법과 이를 위한 기록매체 | |
| KR20080036563A (ko) | 외환송금 방법 | |
| KR20090002044A (ko) | 국외 인터넷뱅킹 서비스 제한방법 및 시스템과 이를 위한프로그램 기록매체 | |
| KR20090009364A (ko) | 무역거래 서비스 통합 결제 방법 및 시스템과 이를 위한기록매체 | |
| KR20090019033A (ko) | 뱅킹 채널별 대출금리 차등 산정방법 및 시스템과 이를위한 기록매체 | |
| KR20090096591A (ko) | 어린이 고객 경제레벨을 이용한 게임 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |