CN106716918B - 用户认证方法和系统 - Google Patents
用户认证方法和系统 Download PDFInfo
- Publication number
- CN106716918B CN106716918B CN201580050752.1A CN201580050752A CN106716918B CN 106716918 B CN106716918 B CN 106716918B CN 201580050752 A CN201580050752 A CN 201580050752A CN 106716918 B CN106716918 B CN 106716918B
- Authority
- CN
- China
- Prior art keywords
- user
- service provider
- authentication
- authentication service
- central server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Abstract
用户认证方法包括下列步骤:a)提供中心服务器(101),该中心服务器(101)与至少两个认证服务提供方(110、120、130)以及至少一个用户服务提供方(150)进行通信;b)使每个认证服务提供方分别与至少一个可用的认证等级相关联;c)接收来自用户服务提供方的、对通过电子设备(170、180)访问用户服务提供方的特定用户进行认证的请求;d)识别最小认证等级;e)中心服务器识别所述认证服务提供方中所选择的认证服务提供方(110);f)直接将用户凭证数据提供给所选择的认证服务提供方,而不是将所述用户凭证数据提供给中心服务器,或者,确定所选择的认证服务提供方是否具有针对特定用户的有效认证会话;以及g)促使所选择的认证服务提供方对特定用户进行认证并提供认证应答。本发明还涉及一种系统。
Description
技术领域
本发明涉及用户认证方法和系统。特别地,本发明涉及通过用户操作的电子设备对用户进行远程认证。
背景技术
在很多情况下,用户需要被远程认证,以使远程配置一方能够核实连接该远程配置一方的用户的身份。特别地,在数字通信应用中,尤其是进行在线服务时,就是这种情况。例如,在电子商务、网上交易和银行业务、数字服务提供以及用户账户注册的领域中,通过互联网连接中心服务器的用户需要通过提供某些形式的能证明其身份的证明来被认证。
有很多常用技术能够提供上述认证,从安全性较低的选择,例如简单地输入用户名和密码的方式,到较为复杂的技术,例如基于公钥基础设施的系统,再到多因素认证解决方案,该多因素认证解决方案涉及发送至用户控制的移动电话的SMS(短消息服务)消息、甚至生物测量数据等等。
这些常用技术的问题在于,用户服务提供方要付出高昂的成本来提供这种认证程序。一般来说,为了提供足够的安全性和用户便利性,在很多情况下也需要提供复杂的或者不同的认证方法。尤其是对于小型用户服务提供方来说,这意味着庞大的实施成本。
这些常用技术的另一个问题在于,对于个人用户来说,很难记录用于不同的用户服务提供方的多种认证工具、登录凭证等。
前述问题的一个已知的解决方案为,允许诸如知名的大型公司的第三方代表用户服务提供方对用户进行认证。示例包括所谓的OpenID倡议,相应地,使用开放认证标准Oauth,其中,认证方使用该Oauth能够提供访问令牌,所述访问令牌的所有者使用该访问令牌能够获得对认证方提供的定义服务子集的访问。另一个示例为Facebook(注册商标)Connect(脸书连接)。
然而,这些现有方法通常将一些特定需求强加给用户,例如,第一次注册账户需要使用特定的认证服务提供方。对于服务提供方而言,则希望增加灵活性和可能性,以为每个特定的认证需求选取适用的认证类型,诸如,根据被提供的服务的类型或者用户使用的电子设备的类型。同时,能够以更低的成本获得认证服务也是服务提供方所希望的。
一个相关的问题在于,用户不希望在与各种服务提供方进行订单交易时重复地输入诸如账单地址之类的个人信息。同时,很多用户服务提供方(诸如在线供应商)希望在诸如网上购物的订单交易过程中尽可能早地获取更详细的用户信息。
另一个问题在于,需要提供一个简单有效的方式来允许认证服务提供方进行越界的用户认证,在这种情况下,不同规则下的协议访问和操作会对小型用户服务提供方增加庞大的成本负担。
发明内容
本发明用于解决上述问题。
因此,本发明涉及一种用户认证方法,其中,所述方法包括以下步骤:a)提供中心服务器,所述中心服务器与至少两个认证服务提供方以及至少一个用户服务提供方进行通信;b)使每个认证服务提供方分别与至少一个可用的认证等级相关联;c)在中心服务器处接收来自用户服务提供方的、对通过电子设备访问用户服务提供方的特定用户进行认证的请求;d)识别用于所述请求的最小认证等级;e)促使中心服务器识别所述认证服务提供方中所选择的认证服务提供方,所选择的认证服务提供方与至少一个可允许的认证等级相关联,所述可允许的认证等级至少高达所述最小认证等级,并且,所选择的认证服务提供方能够以所述可允许的认证等级对所述特定用户进行认证;f)直接将与所述特定用户相关联的用户凭证数据提供给所选择的认证服务提供方,而不是将所述用户凭证数据提供给所述中心服务器,或者,确定所选择的认证服务提供方是否具有针对所述特定用户的有效认证会话;以及g)促使所选择的认证服务提供方对所述特定用户进行认证,并提供认证应答。
此外,本发明涉及一种用户认证系统,其中,该系统包括中心服务器,所述中心服务器与至少两个认证服务提供方以及至少一个用户服务提供方进行通信,其中,所述系统还包括数据库,所述数据库包括每个认证服务提供方分别与至少一个可用的认证等级之间的关联关系,其中,所述中心服务器被配置为接收来自所述用户服务提供方的、对通过电子设备访问所述用户服务提供方的特定用户进行认证的请求,识别用于所述请求的最小认证等级,以及识别所述认证服务提供方中所选择的认证服务提供方,所选择的认证服务提供方与至少一个可允许的认证等级相关联,所述可允许的认证等级至少高达所述最小认证等级,并且所选择的认证服务提供方能够以所述可允许的认证等级对所述特定用户进行认证,其中,所述系统被配置为在此之后,直接将与所述特定用户相关联的用户凭证数据从所述用户服务提供方提供给所选择的认证服务提供方,而不是将所述用户凭证数据提供给所述中心服务器,或者,确定所选择的认证服务提供方是否具有针对所述特定用户的有效认证会话,以及其中,所述系统被配置为促使所选择的认证服务提供方对所述特定用户进行认证,并向所述用户服务提供方提供认证应答。
附图说明
在下文中,本发明将在一定程度上参考附图进行更详细地描述,其中:
图1为根据本发明的一种系统的概略图,该系统被配置为执行根据本发明的方法;
图2为示出了根据本发明的第一方面的方法的各个方法步骤的流程图;
图3为示出了根据本发明的第二方面的方法的各个方法步骤的流程图;以及
图4a–图4g示出了由网络浏览器在用户电子设备的显示屏上提供的各种界面。
所有附图中的相同部分共享相应的参考数字。
具体实施方式
图1示出了根据本发明的用于通过电子设备170、180对用户进行认证的系统100。该系统100还被配置为执行本文中根据本发明的各个方面所描述的方法。
在本发明的一个方面中,该系统100包括中心服务器101,该中心服务器101包括数据库102,或者能够与数据库102进行通信;至少一个(优选至少两个,优选多个)用户服务提供方150(图1中仅示出一个);以及至少一个(优选至少两个,优选多个)认证服务提供方110、120、130。在本发明的另一个方面中,该系统100仅包括中心服务器101、数据库102以及由中心服务器101向所连接的认证服务提供方110、120、130和用户服务提供方150提供的任何软件,而该认证服务提供方110、120、130与该用户服务提供方150不是系统100的一部分。
数据库102包括关于已注册的认证服务提供方110、120、130、用户服务提供方150以及用户的信息,例如不同情况所要求的最小允许认证等级。
用户服务提供方150可以为能够向用户远程提供服务的任何类型的提供方,例如在线供应商;公共服务供应方,例如图书馆、政府机构等;财政机构,例如网上银行;支付提供方;网络社区;通信服务;或者任何其他以需要用户身份来提供至少一个所提供的服务的方式向用户远程提供服务的供应方。优选地,用户通过数字通信网络(例如互联网)直接与服务提供方150进行通信。在下文中,当使用术语“互联网”时,可以理解为可以使用任何类型的可应用的数字通信网络,例如,有线或无线局域网,或广域网。
该认证服务提供方110、120、130还可以为任何类型的能够向用户远程提供认证服务、并且特别地被配置为执行用户认证的提供方,例如在线供应商;公共服务供应方,例如图书馆、政府机构等;财政机构,例如网上银行;支付提供方;网络社区;通信服务;或者任何其他要求用户的身份的供应方,该供应方与每个用户的关系由认证提供方110、120、130提供的用户认证功能安全地建立。优选地,该认证提供方110、120、130分别直接通过数字通信网络(例如互联网)与每个用户通信。
本文中使用的术语“认证服务”的含义为被远程提供的用于对用户进行认证的服务,包括以某个最小安全等级建立正确的用户身份。该最小安全等级(例如,最小确信等级(LOA))在本文中称为“认证等级”。该认证等级的示例为NIST(美国国家标准与科技研究所)提供的那些定义,根据该定义,存在至少四个基础确信等级,从仅测试是否为同一个用户在不同的场合访问服务这样的低安全性的程序(“第一等级”),一直到根据用户是否拥有强加密的密钥进行认证这样的高安全性的程序(“第四等级”)。如需更多信息,可以查阅www.nist.gov。本文中,优选地,每个认证服务提供方110、120、130明确地与一个或者数个可用的明确定义的认证等级相关联,该认证服务的要求得以满足,并且每个认证服务提供方分别与某个最小支持的认证等级相关联。可能的是,特定的认证服务提供方与不同的最小认证等级相关联,这与不同的用户有关。优选地,该信息存储在数据库102中,并且能够从该中心服务器101进行访问。该信息可以例如在每个认证服务提供方110、120、130的初始注册阶段被提供,并且在随后可以被更新,例如作为对与特定用户相关的新信息的回应。也可能的是,根据请求提供与特定用户相关的可用的认证等级,该请求由该中心服务器10向一个或数个认证服务提供方提出,该认证服务提供方已经被识别为可用于对该用户进行认证(见下文)。
应意识到的是,实体101、110、120、130、150中的每一个都可以实施为独立的、与互联网连接的服务器;分布式的或者虚拟的服务器集合;或者任何其他配置,只要该实体提供明确定义的界面以用于去往和来自该实体的通信。
每个用户使用电子设备与系统100通信,优选地,该电子设备被配置为通过诸如互联网的数字通信网络与该系统100进行通信。在图1中,该设备被示例为所谓的智能手机类型的移动电话170以及便携式电脑180。然而,该电子设备可以是任何能够与该系统100通信的设备,例如笔记本电脑或者机器对机器接口。优选地,该设备170、180为通用类型,并且优选地,该设备分别包括能够向同户提供交互式图形用户界面的显示屏171、181。
优选地,该用户为人类,但是在一些方面,该用户也可以为机器对机器实施的系统中的由机器实施的通信部分。对于后者来说,该电子设备170、180可以被包含在该机器中,或构成该机器。
图2示出了根据本发明的第一方面的用户认证方法。在步骤201中,该方法开始。
在步骤202中,提供中心服务器101,并且该中心服务器101被配置为与同样提供的至少两个认证服务提供方110、120、130以及至少一个用户服务提供方150进行通信。应意识到的是,该步骤202能够被提前执行,并且在该方法被数次运行的情况下仅被执行一次。
在步骤203中,每个认证服务提供方110、120、130分别与至少一个可用的认证等级相关联。每个特定的提供方110、120、130可以与数个可用的该等级相关联,在这种情况下,对于某个提供方110、120、130可用的等级中的一个等级被认为是最低的、或者最不安全的等级。例如,增加诸如用户持有的物理令牌的另一个认证因素,或者增加加密将会使该认证等级更加安全。
根据优选的实施例,在步骤204中,由某个认证服务提供方对用户进行认证,该步骤可以在用户服务提供方150对用户进行认证的需求出现之前执行。示例地,该步骤可能意味着该用户成功地登入了由该认证服务提供方提供的网页,或者该用户以某个认证等级、通过任何其他适宜的方式提供该用户的身份的证明。优选地,步骤204中的这一认证包括用户将某种类型的用户凭证数据提供给认证服务提供方。
在本文中,“凭证数据”被理解为用户通过电子设备提供的所有类型的用户特定信息,并且该用户特定信息能够被认证方用于识别或者证明该用户的身份,例如用户名-密码组合;PIN码;加密密钥;哈希值;诸如指纹信息的生物辨识数据等。
换言之,在步骤204之后,该认证服务提供方保存关于用户的信息,特别是用户凭证数据,该用户凭证数据允许认证服务提供方以特定的认证等级进行用户认证。该认证可以与该认证服务提供方向用户提供某种类型的服务的操作相结合来执行。在步骤204或者步骤221(见下文)中的认证之后,优选地,该认证服务提供方拥有关于所认证的用户的有效认证会话。这意味着用户在所述会话为有效期间,在预设时间段内被再次进行认证时,不必提供凭证数据。该时间段可以由认证服务提供方定义。
优选地,在步骤205中,该认证服务提供方(更优选地,认证服务提供方110、120、130中的数个或者全部)被促使能够由个人用户进行远程配置,如此,使得这些认证服务提供方能够将关于其自身对该用户进行认证的能力的信息提供至中心服务器101。如此,该用户可以对该认证服务提供方进行远程指示,优选地,通过互联网进行远程指示,并且优选地,与认证步骤204相结合,例如,经由作为网页的集成部分被提供的用户控件进行指示,该网页作为成功登入该认证服务提供方的结果被显示出,以指示该认证服务提供方根据来自中心服务器101的请求、或自动根据用户的认证来提供用于指示该认证服务提供方能够至少以所述认证等级对用户进行认证的信息,并且优选地,在后续的步骤224中,指示该认证服务提供方向图形用户服务界面提供用户信息(见下文)。
特别地,在步骤206中,该认证服务提供方110、120、130中的数个或者全部被配置为在用户已经由该认证服务提供方进行认证时向中心服务器101进行通知。
在优选的步骤207中(该步骤207优选作为关于设置中心服务器101与某个认证服务提供方110、120、130之间的关联的初始步骤被执行,但是,该步骤207可以在步骤218之前的任何时间被执行),将第二交互式图形用户界面的模板分别提供给将使用该模板的那个或者那些认证服务提供方,具体见下文。
根据本发明的所述第一方面,在步骤211中,中心服务器101接收来自所述一个或数个用户服务提供方中的一个用户服务提供方150的、对通过电子设备170或180访问该用户服务提供方150的特定用户进行认证的请求。该请求可以通过不同的方式来提供。
示例地,用户可以直接向中心服务器101提供用于指示该用户希望使用特别指定的认证服务提供方110、120或130来进行认证的信息,相应地,针对该意愿提供适当的认证等级。另一个示例中,可以将可用的认证服务提供方的列表呈现给用户,该可用的认证服务提供方与中心服务器101进行通信,并以此能够传递适当的认证等级,用户能够从该列表中选择某个认证服务提供方用以进行后面的认证步骤220。
然而,图2示例出一种优选的代替方式,根据该方式,用户首先发起与用户服务提供方150的连接,接下来,该用户服务提供方可能通过该用户服务提供方向用户提供的界面请求该中心服务器101对用户进行认证。综合前述的和将要在下文中解释的内容,中心服务器101可以自动决定将使用哪一个指定的认证服务提供方对用户进行认证。
因此,在优选的步骤208中,由用户服务提供方150提供第一交互式图形用户界面。例如,该用户服务提供方150包括网络服务器,该网络服务器提供网页作为第一界面。在步骤209中,通过该第一界面,用户被提供对该用户服务提供方150的远程接入,该第一界面在用户使用的设备170、180的显示屏171、181上显示给用户。例如,该设备170、180可以包括网络浏览器,该网络浏览器被配置为读取和显示由该用户服务提供方150网络服务器提供的第一界面。
在优选的步骤210中(该步骤210可以在步骤225之前的任意时间被执行,但最好在步骤211之前执行),特定的用户服务交易被识别,该交易将由该用户服务提供方150为用户、对用户或者代表用户来执行,并且在执行之前,要求该用户进行认证。
接下来,在步骤211中,用户服务提供方150请求中心服务器101对用户进行认证,换言之,提供用户认证服务。优选地,该请求包括或者暗示指定的可允许的认证等级,该认证等级由交易的类型和/或特定的用户服务提供方和/或特定的用户或用户分类决定。该可允许的认证等级为在当前状况下被允许用于对用户进行认证的最小认证等级。数据库102可以包括关于何种交易类型、特定的用户服务提供方和特定的用户和/或用户分类需要何种最小认证等级的信息。
根据优选的实施例,用于每个认证服务提供方110、120、130的最小可允许的认证等级被促使取决于参数集合中的至少一者,该参数集合包括:电子设备的类型;用于用户访问用户服务提供方的图形用户界面的类型和/或提供方;该认证服务提供方对用于识别特定用户的信息的访问;电子设备的地理位置;和/或与该认证服务提供方之间的有效认证会话的存在性。
如图3(见下文)所示,应意识到的是,步骤211中的请求也可以由该服务提供方150、通过第一图形界面以一种间接的方式来执行。在请求的时刻,该服务提供方150并不直接被涉及,而是由例如代表该用户服务提供方150的设备170、180执行。
在步骤212中,根据本发明的所述第一方面,优选地,由中心服务器101根据所述可用的认证相关信息确定用于所述请求的可允许的认证等级,该等级为在当前状况下对用户进行认证所需要的等级。
在步骤214中,中心服务器被配置为识别所述认证服务提供方110、120、130中所选择的认证服务提供方,所选择的认证服务提供方与至少一个认证等级相关联,该认证等级至少高达可允许的认证等级,该认证服务提供方能够以该可允许的认证等级对所述特定用户进行认证。
根据优选的步骤213,在步骤214之前,无论在什么状况下,中心服务器101被配置为首先分别为数个认证服务提供方110、120、130识别用于以可允许的认证等级执行用户认证所提供的售价。例如,中心服务器101可以被配置为请求各个售价,每个认证服务提供方分别有意愿以各自的售价执行该用户认证,优选地,是在了解特定用户要进行认证的情况下。可替换地,中心服务器101已经预先从数个认证服务提供方接收到与各种类型的认证相关的价格列表。
一旦认证服务提供方已经对该请求作出应答,或者该价格列表信息已经被解析,中心服务器101被配置为识别以各自可允许的等级提供最低售价的至少一个(优选地,恰好是一个)认证服务提供方,并使用该认证服务提供方作为所选择的认证服务提供方,如下文描述的。
根据一个优选的实施例,在能够至少提供可允许的认证等级的认证服务提供方110、120、130中执行一轮或数轮竞拍,该竞拍的最终胜者作为所选择的认证服务提供方以用于认证。
也可能的是,中心服务器101通过诸如第一图形用户界面的用户服务提供方150允许用户从出价最低的认证服务提供方的集合中选择要使用哪一个认证服务提供方。
在优选的步骤215中,中心服务器101评估至少一个认证服务提供方是否能够被识别为是所选择的认证服务提供方。例如,所连接的认证服务提供方中没有能够至少提供该可允许的认证等级的认证服务提供方,或者没有能够对特定用户进行认证的认证服务提供方。如果有认证提供方在步骤214中被识别出,该方法跳至步骤217。反之,优选地,不执行步骤217至225,而是在步骤216中,由用户服务提供方150代为对该特定交易的特定用户进行认证,而不涉及任何所述的认证服务提供方110、120、130。优选地,这意味着用户服务提供方150执行其自身的、惯常的、默认的程序,以对用户进行认证。
在优选的步骤217中,通过图形用户界面,优选地,通过在显示屏171、181上的前述第一图形用户界面向用户呈现选项,以便用户决定是否使用认证服务提供方110、120、130中的一个认证服务提供方进行认证。优选地,此时对于用户来说,在步骤214中,不是必须要从认证服务提供方中识别出哪个认证服务提供方。如果用户选择不允许进行该认证,则该方法跳转至步骤216,而不执行步骤218至225。
更优选地,步骤217中所呈现的选项被包含在用户与用户服务提供方150提供给该用户的交互式图形用户界面之间的第一交互行为中,该第一交互行为与关于交易的用户认证相关。因此,优选地,用户服务提供方150、认证服务提供方110、120、130以及上文描述的与前述步骤相关的中心服务器101这三者之间的通信是完全自动的,并且不需要任何用户交互行为。换言之,当例如从作为该用户服务提供方150的在线供应商加载结算页面时,用户控件可以被自动包含在该页面中,当该用户控件被用户激活后,该用户控件可以确认用户希望允许认证服务提供方110、120、130中的任一个认证服务提供方,或者至少是用户先前同意使用的所述提供方中的任一个提供方来执行该购买过程的用户认证,其中,可以在先前被提供给中心服务器的偏好设置中,或者通过检查对每个供应者各自的网页的相应控制,来确认该用户先前同意使用的提供方。
根据本发明的所述第一方面,在此之后,可以进行步骤219或者步骤220,其中,在步骤219中,与该用户相关联的用户凭证数据直接被提供至所选择的认证服务提供方,而不被提供至中心服务器101,在步骤220中,可以确定所选择的认证服务提供方已经拥有针对该用户的有效认证会话。
因此,在步骤219或者步骤220中,中心服务器101作为纯粹的媒介,以将用户服务提供方150与数个可用的认证服务提供方110、120、130中的一个认证服务提供方绑定在一起,而不获取执行该认证所需的特定凭证信息的实际内容。由于该凭证数据不被提供给中心服务器101,所以该凭证数据既不被存储在中心服务器101中,也不被存储在数据库102中。
根据优选的实施例,步骤219的操作由步骤218所促成,在步骤218中,上文涉及的第一图形用户界面被配置为转而激活第二用户界面。接下来,该第二用户界面被配置为允许该用户直接与所选择的认证服务提供方进行通信,从而在不经过中心服务器101的情况下将该用户凭证数据提供给所选择的认证服务提供方。
根据一个优选的实施例,第二用户界面为交互式图形用户界面,该交互式图形用户界面在电子设备170、180的显示屏171、181上被提供给用户,并且用户能够通过该第二用户界面输入凭证数据。
例如,在这种情况下,第二图形界面可以为本地安装的形式,或者为由第一图形界面激活的远程访问的应用程序的形式,并且通过该激活操作,显示屏171、181的活动视窗被转移到该应用程序上。然而,根据优选的实施例,第二图形用户界面作为第一图形用户界面的集成图形子界面被提供,例如,该第二图形用户界面位于诸如内嵌框架的特定子部件的内部,该特定子部件在包含在第一图形用户界面中的网页内部被提供。例如,第二图形用户界面可以被实施为第一界面中的特定图形区域,或者由第一界面发起并从该第一界面弹出的弹出式对话框。在前述以及类似的示例中,第二界面通常包括用户控件,该用户控件可激活用于记录或输入、并提供为了对与要执行的交易相关的用户进行认证所特别选择的凭证数据。
在特别优选的实施例中,在由用户服务提供方150进行初始化后,第二界面由所选择的认证服务提供方自身填充内容。如果在步骤207中,由中心服务器101将相关模板提供给了所选择的认证服务提供方,该模板即被优选地用作具有该用户控件的第二界面的填充基础。例如,用于输入用户名和密码的模板可以包括标签、用于用户名和密码的用户输入栏、以及认证服务提供方能够插入自身标识的区域。同时,连接到条款和协议的标准化集合的链接等也作为该模板的一部分被提供。总而言之,优选地,同样的模板被提供给数个认证服务提供方,以使在使用不同的认证服务提供方时,终端用户的用户体验可以变得尽可能的相似。因此,在这种情况下,所选择的认证服务提供方将实际的第二图形用户界面提供给用户服务提供方150,或者优选地,直接提供给设备170、180,以基于所述模板将此作为第一图形用户界面的一部分提供给该用户。
根据另一优选的实施例,第二界面可以由特定的软件或者硬件来提供,该软件或硬件不是第一图形界面的一部分,但由该第一图形界面发起,例如,激活设备上的指纹传感器来读取用户的指纹,并将相关数据提供给中心服务器101;激活用户移动电话的移动电话运营商以向该移动电话的电话号码(MSISDN)发送SMS(短消息服务),该SMS包括将由用户手动提供给用户服务提供方的字母数字混合验证,或者向所述移动电话提供对重新输入SIM(用户识别模块)PIN码的请求;激活在电子设备本地可激活的基于密码的认证程序;等等。
如上所述,在可替换的步骤220中,确定已经存在有效认证会话,该认证会话涉及所选择的认证服务提供方以及该用户,在这种情况下,第二界面不被呈现,而以该方法跳至步骤221作为替代。例如,中心服务器101可以收集关于该有效认证会话的信息,或者第一界面可以根据发往所选择的认证服务提供方的、对提供第二界面的请求来接收该信息,。
在此之后,在根据本发明的步骤221中,所选择的认证服务提供方对特定用户进行认证。如果步骤219中提供了凭证数据,则该认证包括所选择的认证服务提供方核查该凭证数据。如果步骤220中确定存在有效会话,则该认证包括所选择的认证服务提供方核查所述有效认证会话,在这种情况下,步骤220和步骤221可以为同一个步骤。
在随后的步骤222中,将认证应答提供至用户服务提供方150。该认证应答可以为:不存在可行的认证,例如,由于用户没有将正确的凭证数据提供给认证服务提供方,或者该认证应答可以为:认证基于所提供的用户凭证数据或者存在有效认证会话这一事实而被合法执行。优选地,该认证应答通过中心服务器101从所选择的认证服务提供方被提供至用户服务提供方150。
根据优选的实施例,用户服务提供方150之后被提供有对用户信息的访问,优选地,从所选择的认证服务提供方、并通过中心服务器101向用户服务提供方150提供对用户信息的访问,该用户信息预先由所选择的认证服务提供方存储,并在该所选择的认证服务提供方中与该特定用户相关联。根据可替换的实施例,所述用户信息由中心服务器直接从认证服务提供方(或者数个认证服务提供方,如下文所示)提供至用户服务提供方,该中心服务器能够在用户服务提供方与认证服务提供方之间提供直接的通信信道。
在本文中,术语“用户信息”的含义为特定于该用户的任何用户元数据信息,例如姓名、送货和发票地址、电话号码、信用卡信息、服装尺寸、联系人列表、优选配置选项、过往用户行为等。优选地,该用户元数据已经由该用户作为步骤204中用户与所选择的认证服务提供方之间的交互行为的一部分提供,该过程在由有效认证会话提供的安全保障下进行,例如在服务的订购过程中,其中,该订购服务的递送需要由用户提供用户信息。
优选地,所述用户信息由用户服务提供方150所使用,以自动填充由该用户服务提供方150通过电子设备170、180提供给用户的图形用户界面中相应的用户输入栏,该图形用户界面例如为第一图形界面。因此,该用户服务提供方150所需要的用户信息中的全部或者仅一个子集对于认证服务提供方而言可用于进行这种自动填充。根据一个优选的实施例,所有可用的用户信息作为前述认证应答的一部分被提供。可替换地,中心服务器101将分离的界面提供给用户服务提供方150,用以查询可用的用户信息。
进一步优选地,在获得该用户的明确认可之后,对用户信息的访问只被提供给用户服务提供方150。或多或少出于通用的目的,该认可可以在初始阶段或者晚些时候被递送,其中,在该初始阶段中,用户向用户服务提供方150、中心服务器101或者认证服务提供方进行注册。根据图2中所示的优选的实施例,在步骤223中,在所述第一图形界面中向用户呈现选项,以利用可用的用户数据自动填充输入栏,或者仅填充某个特定的输入栏,示例地,该选项以可激活的用户控件的形式被呈现。
如果用户选择自动填充界面中的输入栏,该自动填充过程在优选的步骤224中执行。无法自动填充的输入栏由用户手动填写。
此后,在步骤225中,步骤210中识别的交易由与该用户相关的用户服务提供方150执行。该交易可以为:涉及资金转移的商品或服务的订购和购买;信息的发布或传递;订阅的激活;用户信息的修改;或者任何其他惯有的用户服务。
在步骤226中,该方法结束。
根据优选的实施例,该特定用户通过电子设备170、180上的网页浏览器来访问所选择的认证服务提供方和用户服务提供方150。该实施例在图3所示并将在下文进行描述的根据本发明的第二方面的方法中也同样适用。以下对根据本发明的第二方面的方法进行的描述将进一步提供对上文描述的根据本发明的第一方面的方法的某些优选方面更详细的描述。
至此,在步骤301中,该方法开始。
在步骤302中,与步骤202相似,提供中心服务器101、至少一个(优选数个,优选多个)认证服务提供方110、120、130、以及至少一个(优选数个,优选多个)用户服务提供方150。该中心服务器101与该认证服务提供方110、120、130以及该用户服务提供方150两者进行通信。
根据本发明的第二方面,认证服务提供方被配置为分别通过各自的认证网络界面对用户进行认证。无疑地,该网络界面为交互式图形用户界面的示例。此外,用户服务提供方被配置为分别通过各自的用户服务网络界面将用户服务提供给特定用户。此外,所述网络界面通过供或由电子设备170、180运行的(例如通过远程提供的网络浏览服务)同一个网络浏览器来被提供给用户,该电子设备170、180属于该用户。用户服务网络界面对应于前述结合图2描述的第一用户界面。
在优选的步骤303中,所述认证网络界面由所述认证服务提供方110、120、130中的至少一个认证服务提供方来提供,例如,通过使由包含在所述提供方110、120、130中的网络服务器提供的相应网页变得可用。
根据本发明的第二方面,使用所述网络浏览器来为特定用户提供对认证网络界面的访问,该认证网络界面为所述认证服务提供方110、120、130中特定的一个认证服务提供方的认证网络界面,并且,该用户由该特定的认证服务提供方以与上文结合步骤204描述的方式相似的方式进行认证。
一旦进行了用户认证,则特定的认证服务提供方的认证网络界面被促使允许中心服务器101在前述网络浏览器中置入cookie,其中,该网络浏览器例如为由特定用户使用的电子设备170、180上的网络浏览器,该cookie为中心服务器101识别特定的认证服务提供方。
在图3中所示的示例性实施例中,其涉及步骤304至步骤310。
在步骤304中,设备170、180的网络浏览器从特定的认证服务提供方请求网页,接下来,在步骤305中,该特定的认证服务提供方的网络服务器功能用HTML(超文本标记语言)代码或者相应形式的认证网络界面页面进行回复。优选地,该网页包括输入栏,该输入栏用于用户填写需要传递给该特定的认证服务提供方的用户凭证数据,且该用户凭证数据后续用于如上所述的用户认证。因此,在步骤306中,用户使用该网页将所述凭证数据提供至该特定的认证服务提供方。
根据优选的实施例,在步骤307中(该步骤307可类似于步骤205,且可以在没有步骤304到步骤306的情况下执行),用户还被提供了选项,该选项用于允许该特定的认证服务提供方将关于用户认证状态的信息提供至中心服务器101,并且优选地,在后续的步骤331中,该选项还能够将用户信息提供至用户服务提供方150(见下文)。优选地,该选项被配置作为在步骤305中提供的认证服务提供方网页的集成部分,例如,可激活的用户控件。
图4a示出了前述认证服务提供方网页410的示例,该网页410由认证服务提供方110提供,且被显示在设备180的显示屏181上,并因此对用户可视。多个用户控件411允许用户输入用户特定的凭证数据,并通过点击“登录”按钮412将其传送至认证服务提供方110。
图4b示出了在按钮412被点击之后,网络界面的示例性状态420,其中,用户控件421(步骤307)用于允许认证服务提供方410在后续的通过中心服务器101进行的用户认证中被使用。
事实上,用户控件421代表优选的实施例中的一个示例,其中,在步骤308中,中心服务器101认证内容被提供,该内容作为认证网络界面的网页410的一部分并被包含在该网页410中,并且该内容从中心服务器101中被抓取。
在本文中,“中心服务器认证内容”的含义为网页内容,该网页内容的显示或者激活需要一个调用,例如,通过请求相应的中心服务器101的URL(统一资源定位符)执行的从设备180的网络浏览器到中心服务器101的重定向。在图4b所示的情况下,激活该控件421中的“是”按钮将会引起到该中心服务器101的相关调用。在另一个优选的示例中,如图3中的步骤308到步骤309所示,中心服务器内容的显示因此需要在步骤309中执行到中心服务器101的重定向,其中,该中心服务器内容可以例如为:诸如空的内嵌框架的无形内容,被动显示的或者诸如此类的图片,或者可激活的用户控件等等,并且该中心服务器内容指向由中心服务器101提供的网络服务器或类似设备。因此,在后者的情况下,不存在明确的完成所述到中心服务器101的调用所需的用户交互行为。
接下来,该中心服务器101被配置为在例如电子设备180上的前述网络浏览器中置入cookie,该cookie作为对来自请求所述中心服务器101认证内容的认证网络界面的该调用或重定向的应答的一部分。对于该cookie的置入可以按照惯用的方式执行。优选地,该cookie附带指定的期满时间。在本文中,在上下文中出现的术语“调用”意图包含重定向。
在图4b所示的情况下,其中,所述中心服务器101认证内容包括用户控件421,该用户控件421可激活以用于允许该认证服务提供方110提供与用户服务提供方150相关的用户认证,其中,该用户服务提供方150与中心服务器101通信,该cookie被促使包括关于该特定的认证服务提供方的认证是否已被用户允许的信息,可替换地,如果该用户控件421未被激活则不置入cookie。
综上所述,优选地,中心服务器101认证内容被包含在网页中,该网页在用户已被认证的状态下在认证网络界面181中被显示给用户,换言之,该状态中存在有效的用户认证会话。优选地,该内容作为确认用户认证成功的网页的一部分被显示。
可以意识到的是,步骤303到步骤310与步骤204到步骤206相对应。换言之,中心服务器101在被认证网络界面调用之后对cookie的置入的动作构成了通知该中心服务器101该被执行的认证的示例。
在优选的步骤311中,与步骤207相似,可以从中心服务器101向认证服务提供方110提供模板。
接下来,根据本发明的第二方面,在步骤312中,特定的用户服务提供方150使用供或由与步骤304到步骤310中相同的电子设备180运行的相同的网络浏览器,为用户提供对上述的用户服务网络界面的访问。在步骤314中,用户请求网页,例如,通过用户进入在线供应商的网站以购买一个或数个产品。
作为该操作的结果,步骤310中置入的cookie在步骤318中以将在下文描述的方式被提供至中心服务器101。
特别地,优选地,向中心服务器101提供cookie的操作可以由包括从中心服务器101抓取的中心服务器101用户服务内容的用户服务网络界面、以及接收作为调用的一部分的cookie的中心服务器101来进行,其中,该调用来自请求所述内容的用户服务网络界面。在本文中,术语“中心服务器用户服务内容”的含义与“中心服务器认证内容”的含义相似,但是作为用户服务网络界面的一部分、而不是认证服务网络界面被提供。
图4c中示出了用户服务网络界面中的产品结算页面430,该页面430在从用户服务提供方150中被抓取之后,被显示在设备180的显示屏181上。该网络界面包括用户控件432,该用户控件432用于输入用户信息,并向用户服务提供方150传送该用户信息。“快速结算”按钮431构成了中心服务器101用户服务内容,从某种意义上讲,对该按钮431的激活导致了到中心服务器101的调用或者重定向,和/或,从某种意义上讲,该按钮431的显示本身就导致了到中心服务器101的调用或者重定向。对于后者来说,根据下文结合步骤319描述的识别操作的结果,该内容431被配置为由中心服务器101自动更新以显示步骤315中呈现的选项,例如,通过只有当可用的认证服务在步骤319中已经被识别到时显示该按钮431的方式。
步骤313与步骤210类似,并且可以在步骤334之前的任意时刻执行,但优选是步骤315之前执行,在该步骤313中,将由用户服务提供方150执行的交易被识别。
因此,在优选的步骤315(与步骤217类似)中,向用户呈现用于使用中心服务器101进行认证的选项。该选项被示例为按钮431。此外,如果用户不希望通过该中心服务器101进行认证,他或她可以选择退出,在这种情况下,步骤316中的方法促使用户服务提供方150按照其默认方式执行认证,该默认方式可以为惯常的、与步骤216相似的方式。在图4c中,该操作可以通过用户在输入栏432中填写用户数据然后点击按钮461而不是按钮431的方式来进行。
另一方面,如果用户希望继续通过中心服务器101进行认证,按钮431被点击,于是,该方法继续进行至优选的步骤317,在该步骤317中,用户服务网络页面430中的中心服务器101用户服务内容的存在促使到中心服务器101的重定向或者调用。
如上所述,可以理解的是,步骤313、步骤314、步骤315以及步骤317可以根据该方法的具体目的以不同的顺序执行。例如,通过呈现需要到中心服务器101的调用的网页内容432,步骤317中的调用可以在步骤315之前被执行。步骤317也可以针对同样的交易被执行数次。
由于在步骤317中该到中心服务器101的调用,中心服务器101获得对上述步骤310中置入的cookie的访问,优选地,该访问作为步骤317中的调用的一部分,因此,中心服务器101能够将认证服务提供方110识别为能够对正在访问用户服务网络界面430的相同用户进行认证的那个认证服务提供方。
根据优选的实施例,在与步骤310相似的步骤中,由中心服务器101置入数个cookie,但是数个cookie分别与使用不同的认证服务提供方在不同的时间点进行的认证相关。接下来,在步骤318中,这些之前被置入的cookie中的多个cookie,或者优选地,全部cookie被提供至中心服务器101。作为到中心服务器101的调用的结果,由中心服务器101预先置入可用的cookie的操作可以如常进行。如此,中心服务器能够意识到能够对该用户进行认证的数个认证服务提供方。
接下来,在与步骤214类似的步骤319中,先前对用户进行认证的认证服务提供方110,或者优选的认证服务提供方,例如,从上文结合步骤214描述的数个可用的认证服务提供方中所选择的认证服务提供方,根据在步骤318中读取的一个或多个cookie来被识别。
优选地,中心服务器101从使用所述cookie识别出的数个认证服务提供方110、120、130中选择一个认证服务提供方110。
如果存在至少数个认证服务提供方110、120、130,其中,针对该认证服务提供方,已经在步骤310的各次运行中置入了cookie,优选地,每个所置入的cookie包括信息,该信息用于使中心服务器101能够为该用户识别哪个认证等级对于该认证服务提供方是可用的。可替换地,数据库102可以包括关于不同认证服务提供方针对各种用户、用户分类、交易类型等的可用认证等级的信息。
接下来,根据该方法的第二方面,在步骤320中,中心服务器101被配置为将设备180的网络浏览器重定向至在步骤319中被识别出或者选择的认证服务提供方110。因此,该网络浏览器至该被识别出的认证服务提供方110的重定向分两步进行:首先,执行到中心服务器101的重定向,然后进一步执行到被识别出的认证服务提供方110的重定向。
根据优选的实施例,图4c中以按钮431为示例的中心服务器101用户服务内容由该中心服务器101使用用户控件来填充,该用户控件被配置为允许用户通过认证服务提供方110、120、130中的任意一者或者被识别出的认证服务提供方110,以使对所述用户控件431的激活能够导致步骤320中的重定向的方式来被认证。
图4d示出了在点击按钮431之后,根据优选的实施例的用户服务网络界面的状态440。因此,该用户控件431的激活启动了弹出式对话框444,该弹出式对话框444的内容是从中心服务器101中抓取的。作为向该中心服务器101请求该弹出式对话框444的内容的应答,该中心服务器101接下来执行步骤320中的到认证界面的重定向,该认证界面由被识别出的认证服务提供方110提供。
在与步骤220类似的优选的步骤321中,被识别出的认证服务提供方110还被配置为确定是否存在关于该用户的有效认证会话。该步骤例如在被识别出的认证服务提供方以惯常的方式读取cookie时进行,该cookie作为步骤320中从该中心服务器101到该认证服务提供方的重定向或者调用的一部分被提供,该cookie携带关于可能的认证会话的信息。例如,cookie可已经由该认证服务提供方作为步骤304到步骤308中执行的认证的结果置入到设备180的网络浏览器中。
因此,如果没有检测到针对该用户的有效认证会话,步骤322中的判断结果为否,并且在步骤323中,被识别出的认证服务提供方使用弹出式对话框444、用户控件442、443来回复该中心服务器101,该弹出式对话框444、用户控件442、443相应地构成与前述的第二界面对应的认证网络界面。使用这些控件442,用户能够通过点击“提交”按钮443,将来自于设备180的凭证信息直接提供给该被识别出的认证服务提供方110,而不需要中心服务器101或者用户服务提供方150获得对该信息的访问。
另一方面,如果在该用户与被识别出的认证服务提供方110之间检测到有效认证会话,该会话具有适当的属性,例如,满足前述的被选择的最小可允许认证等级的需求,提供方110可以返回一个空的弹出式对话框444,其结果为该弹出式对话框444将不被显示给用户。作为替代,对该用户控件431的激活会致使该被识别出的认证服务提供方110对确实存在针对该用户的适当的有效认证会话的确认。
根据另一优选的实施例,中心系统101被配置为促使该被识别出的认证服务提供方110在前述的步骤322中,在显示该弹出式对话框444之前,核查用户与识别认证服务提供方110之间是否已经存在有效认证会话。接下来,如果存在有效会话,则该方法直接跳至步骤325,而不显示空的弹出式对话框。如果没有找到有效认证会话,作为替代,在步骤324中,以弹出444的形式向用户呈现第二图形用户界面,该第二图形用户界面允许用户向被识别出的认证服务提供方110输入用户凭证数据,以用于步骤325中的认证。
因此,在与步骤221类似的步骤325中,被识别出的认证服务提供方110在检测到存在认证会话或者被提供的凭证数据的基础上对用户进行认证。对于后者来说,优选地,提供方110通过在设备180的网络浏览器中置入新的cookie的方式,为该用户开放新的有效认证会话,该新的cookie具有关于该有效会话的信息。
此后,用户认证信息从被识别出的认证服务提供方110被提供至用户服务提供方110,优选地,通过中心服务器101。该步骤与步骤222相似,但是会如下文所述,涉及数个子步骤326到步骤331。
如此,在所述认证之后的步骤326中,从被识别出的认证服务提供方110提供第一访问令牌。该访问令牌被配置为允许令牌的持有者使用该令牌从被识别出的认证服务提供方访问其他私密信息的特定子集,特别是该用户的用户信息(如上定义)。因此,使用该第一访问令牌,持有者可以查询该被识别出的认证服务提供方110以获得至少一些与该用户相关联的、并且为提供方110所知的用户信息。该查询通过由认证服务提供方110提供的指定界面来进行。在适当的示例中,该访问令牌包括OAuth2访问令牌。
该第一访问令牌可以被直接提供至用户服务提供方150。然而,优选地,将第一访问令牌提供至中心服务器101。
对于后者来说,优选地,在步骤327中,该中心服务器101相应地被配置为发出第二访问令牌,该第二访问令牌优选与该第一访问令牌具有相似的功能以及类型,并且可能通过将其间接地发送至来自设备180或者运行在该设备180上的用户服务网络界面的方式,将其发送至用户服务提供方150。使用该第二访问令牌,用户服务提供方150能够再次可能间接地经由用户服务网络界面,通过使用指定界面向中心服务器101进行查询的方式,以此获得对至少一些用户信息的访问。
根据优选的实施例,在步骤328中,向用户呈现选项,该选项允许通过中心服务器101从被识别出的认证服务提供方110查询该用户信息。该示例在图4e中示出,其中,该图4e示出了在用户已经被认证后,用户服务网络界面的状态450。代替在用户信息栏432中进行填写,并接下来点击按钮461,而是用户可以点击“抓取数据”按钮451。在步骤330中,如果该按钮451被点击,由用户服务提供方150将第二访问令牌提供至中心服务器101,并且该第二访问令牌用于请求指定的用户数据。之后,在步骤331中,该中心服务器被配置为,如果被第二访问令牌允许,从被识别出的认证服务提供方110请求与在步骤330中请求的信息相对应的用户信息。
在步骤332中,如果已为被识别出的认证服务提供方110所知并且被第一访问令牌允许,则所请求的信息被返回至中心服务器101,该中心服务器101相应地被配置为向用户服务提供方150提供该信息。
第一访问令牌和第二访问令牌以惯常的方式进行发放、提供和使用,并且可能的实施如在可从http://oauth.net/2/获得的OAuth2文档中所描述的。
接下来,在步骤333中,用于相对应的用户信息的输入栏432由用户服务网络界面使用在步骤332中从中心服务器101获取的用户信息来自动填充。图4f示出了在该自动填充步骤333之后,用户服务网络界面的状态460。如图4f清晰所示的,从被识别出的认证服务提供方110获得的唯一相关用户信息为用户的姓名(“John Doe”)。然而,根据用作被识别出的认证服务提供方的认证服务提供方的类型,地址和信用卡信息也能够是可用的。
根据优选的实施例,数个认证服务提供方110、120、130在步骤319到步骤332中被并行连接,如此,来自数个不同来源的用户信息能够被提供至用户服务提供方150,以用于对输入栏432进行自动填充。对应的方法在前述步骤224中自然也是可实现的。在这一情况中,优选地,步骤328中呈现的选项涵盖仅在一次用户许可中使用的所有认证服务提供方110、120、130。
接下来,通过点击“结算”按钮461,与步骤225类似的步骤334被执行,在该步骤334中,该交易由用户服务提供方150使用自动填充的用户信息(如果存在的话);手动输入的用户信息(如果存在的话);以及由至少一个被识别出的认证服务提供方110提供的认证来执行。
此后,在步骤335中,该方法结束。
根据上述实施例的一个优选的变型,在交易被定义之前,例如,在线上供应商网站中进行结算之前,步骤315已经被执行。如此,用户信息能够通过步骤325到步骤332中的机制被提供至用户服务提供方150,并且例如用于向用户提供增强的购买支持信息。该操作能够例如通过在步骤315中呈现选项的按钮来实现,该按钮显示在用户服务网络界面的欢迎页面上。
根据另一优选的实施例,数据库102包括每个注册使用系统110的用户的记录,该记录包含标识,该标识用于分别设置用户通常希望或者至少针对用户服务提供方150的某个集合希望接受在步骤217或者步骤315中呈现的选项。如果该标识被设置,无论何时,只要至少一个认证服务提供方110、120、130可用于进行如上所述的有效用户认证,则步骤218或者步骤220、或者步骤317总是分别代替步骤216或者步骤316被执行。
图4g示出了后面两个变型的示例,以用户John Doe的设备180的显示屏181上提供的用户服务网络界面的欢迎页面470的形式被示出,该欢迎页面470显示用于页面导航的用户控件472。在这种情况下,用户已经同意总是允许用户服务提供方通过前述访问令牌获得对用户姓名的访问,该访问令牌如由用户的网络社区服务提供方提供的访问令牌。通过点击按钮471,用户同意用户服务提供方也有权利从中心服务器101请求其他可用的用户信息,并且,在进行结算时,可用的用户信息将被用于自动填充如上所述的任何输入栏。
事实上,按钮471将产生到中心服务器101的重定向,该中心服务器101接下来根据认证服务提供方的动作,接收先前由中心服务器认证内容存储在设备180的网络浏览器中的任意cookie,接下来,在对数据库102中的设置以及所述cookie的内容进行适当的确认后,该中心服务器101重定向到所述网络社区服务提供方,该网络社区服务提供方转而发出并返回前述第一访问令牌。由于本实施例中,用户已经拥有与该网络社区提供方的有效认证会话,因此,该过程对于用户来说是无感知的,并且实际上是瞬间完成的。
根据本发明的方法和系统为用户服务提供方150提供有成本效益的方式,使其能够向其用户提供安全的认证。通过向中心服务器101注册并指定至少一个最小可允许的认证等级,该用户服务提供方150获得对第三方认证服务提供方110、120、130的网络的访问,该第三方认证服务提供方能够代表用户服务提供方提供所需的用户认证。由于每个用户认证服务提供方能够使用良好的经济效益为出售该认证提供特定的售价,中心服务器101能够在每次认证时,例如相比于小型用户服务提供方101能够承受的成本而言,以非常具有成本效益的总成本来提供复杂且高级的用户认证。甚至还可能,在不使认证的总成本大幅提升的情况下,为小型用户服务提供方提供一个广泛且高度专业化的认证服务功能的集合。
另一方面,该系统100的用户能够以非常有效的方式向大量用户服务提供方150来认证其自身,并且也能够通过该系统100记录诸如信用卡号的相关用户信息,而不损害个人信息的完整性,该过程通过简单地同意令一个或者数个值得信任的认证服务提供方(例如用户的个人网络银行设备)代表其他方对用户进行认证,并贡献出其所知的用户信息来实现。
重要的是,这些优势的实现不会造成任何利益相关方的灵活性的丧失。用户可以选择使用任何注册的认证服务提供方,并且该用户服务提供方不必遵守由个体认证服务提供方提供的认证标准或协议。
此外,由于很多用户信息能够被自动生成而用户不需要在各种网站上重复地输入,因此,当应对用户服务提供方时,用户将会体验到更好的效率。同时,用户服务提供方能够在交易过程的早期,利用关于到访用户的额外信息来提供特别定制的用户体验。这些优势在数个认证服务提供方被并行使用以同时提供更完整的可用的用户信息集合的情况下更加有力。
进一步地,根据优选的实施例,上文描述的所选择的或者被识别出的认证服务提供方为移动电话运营商,该特定用户为该移动电话运营商的订户。在这种情况下,由该认证服务提供方提供的用户认证包括移动认证步骤,在该步骤中,用户使用包含SIM卡的移动设备与所选择的认证服务提供方进行通信,其中,该SIM卡与特定用户向所述认证服务提供方的订阅相关联。例如,由用户提供至认证服务提供方的凭证数据可以包括作为SMS被发送至移动电话的电话号码(MSISDN)的数字字母代码,该代码被用户读取,并被输入到包含在图形界面的输入框中。如上所述的第一图形界面在所述移动电话的显示屏上被提供,例如,通过在移动电话上运行的网络浏览器。该方法提供了第二认证因素(一些用户拥有的事物,即移动电话)。
特别优选地,移动认证步骤明确包括验证预先已经在所述SIM卡上提供的证书。这将提供非常好的安全性。
如果由移动电话提供第一图形界面,优选地,中心服务器对于使用哪一个认证服务提供方对用户进行认证的选择或识别操作包括:首先调查用户的手机运营商是否被注册到中心服务器101以用于用户认证,以及在当前的时刻是否可用于对该特定用户进行认证。优选地,该调查操作通过查阅存储在数据库102中的数据来被执行。如果不是这种情况,则调查其他认证服务提供方的可用性。
在另一优选的实施例中,所述用户凭证数据包括用于识别无线或有线的本地互联网接入网络的信息,例如WiFi或者LAN网络,电子设备在本地与该网络连接,优选地,该网络与某个有限的地理覆盖区域相关联,以使该网络上注册的设备也被定位于所述覆盖区域内,除非该网络注册的实现是欺骗性的。该过程可以以不同的方式实现。在第一个示例中,所述网络自身使用所述用户凭证数据来被识别,识别结果由所连接的设备自动读取并被发送至中心服务器101。在第二示例中,用于向电子设备提供无线互联网连接的特定的SIM卡使用凭证信息被识别,识别结果被提供至中心服务器101,其中,该SIM可以为设备自带的SIM卡,或者用于创建设备在本地所连接的WiFi网络的移动电话中的SIM卡。接下来,中心服务器101被配置为将所提供的网络或者用于识别信息的SIM卡与预设的假定网络或者SIM卡进行比对,其中,如果属实,则用户应该连接到该假定网络或者SIM卡。
上文描述了数个优选的实施例。然而,对于本领域的技术人员显而易见的是,可以在不背离本发明的基本理念的情况下对上述实施例进行多种修改。
例如,上述本发明的第一方面和第二方面展示了实现相同目的的两种不同方式。这两个方面有相当多的重叠,上文的描述中已经指出了很多这样的重叠。然而,可以意识到的是,在适用的情况下,这些重叠步骤中的一个步骤的所有特征能够被自由地应用于其他重叠步骤,反之亦然。
此外,一个或数个认证服务提供方可以分别包含于与该中心服务器101类似的外部中心服务器中。通常,该外部中心服务器则将分别连接至多个其他认证服务提供方。接着,该外部中心服务器被看作为普通的认证服务提供方。所以,例如,在上文所述的竞拍过程中,外部中心服务器可以为在特定现状和特定条件下,使用其自身的可用的认证服务提供方的网络对用户进行认证提供售价。该设置可以例如有利于便于系统100在数个国家或区域中的地理覆盖。
因此,本发明不应当被认为是限于上述实施例,而是可以在所附权利要求的范围内进行变化。
Claims (15)
1.一种用户认证方法,所述方法包括下列步骤:
a)提供中心服务器(101),所述中心服务器(101)与至少两个认证服务提供方(110、120、130)以及至少一个用户服务提供方(150)进行通信;
b)使每个认证服务提供方分别与至少一个可用的认证等级相关联;
c)在中心服务器处接收来自所述用户服务提供方的、对通过电子设备(170、180)访问所述用户服务提供方的特定用户进行认证的请求;
d)识别用于所述请求的最小认证等级;
e)促使所述中心服务器识别所述认证服务提供方中所选择的认证服务提供方(110),所选择的认证服务提供方与至少一个可允许的认证等级相关联,所述可允许的认证等级至少高达所述最小认证等级,并且所选择的认证服务提供方能够以所述可允许的认证等级对所述特定用户进行认证;
f)直接将与所述特定用户相关联的用户凭证数据提供给所选择的认证服务提供方,而不是将所述用户凭证数据提供给所述中心服务器,或者,确定所选择的认证服务提供方是否具有针对所述特定用户的有效认证会话;以及
g)促使所选择的认证服务提供方对所述特定用户进行认证,并提供认证应答,
其特征在于,步骤g)还包括:向所述用户服务提供方提供对用户信息的访问,所述用户信息由所选择的认证服务提供方预先存储,并与所述特定用户相关联;
步骤g)包括:所选择的认证服务提供方被促使向所述中心服务器提供第一访问令牌,使用所述第一访问令牌能够从所述认证服务提供方访问所述用户信息,以及,步骤g)还包括:所述中心服务器被促使向所述用户服务提供方提供第二访问令牌,使用所述第二访问令牌,所述用户服务提供方能够请求所述中心服务器提供关于所述用户的信息,并且,一旦使用所述第二访问令牌进行了请求,所述中心服务器被促使使用所述第一访问令牌查询所选择的认证服务提供方以获得所述用户信息,并将所述用户信息提供至所述用户服务提供方。
2.根据权利要求1所述的方法,其特征在于,所述特定用户通过所述电子设备(170、180)的显示屏(171、181)上提供的第一图形用户界面对所述用户服务提供方(150)进行远程访问,其中,所述第一图形用户界面被配置为转而激活第二用户界面,所述第二用户界面被配置为允许所述特定用户直接与所选择的认证服务提供方(110)进行通信,从而以此提供所述用户凭证数据。
3.根据权利要求2所述的方法,其特征在于,所述第二用户界面为在所述电子设备(170、180)上提供给所述用户的图形用户界面。
4.根据权利要求1所述的方法,其特征在于,所述认证服务提供方(110、120、130)被促使能够由个人用户进行远程配置,以向所述中心服务器(101)提供关于所述用户认证的能力的信息。
5.根据权利要求4所述的方法,其特征在于,当用户已经由所述认证服务提供方进行了认证时,所述认证服务提供方(110、120、130)通知所述中心服务器(101)。
6.根据权利要求1所述的方法,其特征在于,所述步骤f)与所述步骤g)只在步骤e)中的识别操作成功地识别出至少一个能够胜任的认证服务提供方(110)时执行,并且,当步骤e)中的识别操作不成功时,作为代替,所述用户服务提供方(150)被促使对所述特定用户进行认证,而不涉及任何所述认证服务提供方(110、120、130)。
7.根据权利要求6所述的方法,其特征在于,步骤e)中的所述识别操作首先被执行,并且只在所述识别操作成功时,通过图形用户界面向所述特定用户呈现选项,以用于使用所述认证服务提供方进行认证。
8.根据权利要求1所述的方法,其特征在于,步骤e)中每个认证服务提供方(110、120、130)分别所使用的至少一个认证等级被促使取决于参数集合中的至少一者,所述参数集合包括:所述电子设备(170、180)的类型;图形用户界面的类型和/或提供方,其中,用户通过该图形用户界面访问所述用户服务提供方(150);所述认证服务提供方(110)对用于识别所述特定用户的信息的访问;所述电子设备的地理位置;和/或,与所述认证服务提供方之间的有效认证会话的存在性。
9.根据权利要求8所述的方法,其特征在于,所选择的认证服务提供方(110)为移动电话运营商,其中,所述特定用户为所述移动电话运营商的订户,并且步骤g)包括移动认证步骤,在所述移动认证步骤中,用户使用移动设备(170、180)与所选择的认证服务提供方进行通信,所述移动设备(170、180)包括与所述特定用户向所选择的认证服务提供方的订阅相关联的SIM卡。
10.根据权利要求1所述的方法,其特征在于,所述用户凭证数据包括用于识别与所述电子设备连接的无线或有线本地互联网接入网络的信息,在某种意义上,所述网络自身使用所述信息来被识别,或者在某种意义上,用于向所述电子设备提供无线网络连接的特定SIM卡使用所述信息来被识别。
11.根据权利要求1所述的方法,其特征在于,所述用户信息用于自动填充图形用户界面中相应的用户输入栏,所述图形用户界面由所述用户服务提供方(150)通过所述电子设备(170、180)提供给所述特定用户。
12.根据权利要求1所述的方法,其特征在于,所述对用户信息的访问只在所述特定用户明确认可之后被提供。
13.根据权利要求1所述的方法,其特征在于,所选择的认证服务提供方(110)以及所述用户服务提供方(150)两者都由所述特定用户通过所述电子设备(170、180)上提供的网络浏览器访问。
14.根据权利要求1所述的方法,其特征在于,步骤e)包括所述中心服务器(101)分别为数个认证服务提供方(110、120、130)识别用于以各自可允许的认证等级执行用户认证所提供的售价,以及所述中心服务器(101)还识别以各自可允许的等级提供最低售价的认证服务提供方(110),并将该认证服务提供方(110)用作所选择的认证服务提供方。
15.一种用户认证系统(100),其中,该系统包括中心服务器(101),所述中心服务器(101)与至少两个认证服务提供方(110、120、130)以及至少一个用户服务提供方(150)进行通信,其中,所述系统还包括数据库(102),所述数据库(102)包括每个认证服务提供方分别与至少一个可用的认证等级之间的关联关系,其中,所述中心服务器被配置为接收来自所述用户服务提供方的、对通过电子设备(170、180)访问所述用户服务提供方的特定用户进行认证的请求,识别用于所述请求的最小认证等级,以及识别所述认证服务提供方中所选择的认证服务提供方(110),所选择的认证服务提供方与至少一个可允许的认证等级相关联,所述可允许的认证等级至少高达所述最小认证等级,并且所选择的认证服务提供方能够以所述可允许的认证等级对所述特定用户进行认证,其中,所述系统被配置为在此之后,直接将与所述特定用户相关联的用户凭证数据从所述用户服务提供方提供给所选择的认证服务提供方,而不是将所述用户凭证数据提供给所述中心服务器,或者,确定所选择的认证服务提供方是否具有针对所述特定用户的有效认证会话,以及其中,所述系统被配置为促使所选择的认证服务提供方对所述特定用户进行认证,并向所述用户服务提供方提供认证应答,其特征在于,所述系统还被配置为在此之后,向所述用户服务提供方提供对用户信息的访问,所述用户信息由所选择的认证服务提供方预先存储,并与所述特定用户相关联;所述中心服务器被配置为从所选择的认证服务提供方接收第一访问令牌,使用所述第一访问令牌能够从所述认证服务提供方访问所述用户信息,所述中心服务器还被配置为向所述用户服务提供方提供第二访问令牌,使用所述第二访问令牌,所述用户服务提供方能够请求所述中心服务器提供关于所述用户的信息,并且,所述中心服务器被配置为一旦使用所述第二访问令牌进行了请求,使用所述第一访问令牌查询所选择的认证服务提供方以获得所述用户信息,并将所述用户信息提供至所述用户服务提供方。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE1450927-7 | 2014-08-08 | ||
| SE1450927A SE539192C2 (en) | 2014-08-08 | 2014-08-08 | Method and a system for authenticating a user |
| PCT/SE2015/050840 WO2016022057A1 (en) | 2014-08-08 | 2015-07-31 | Method and system for authenticating a user |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106716918A CN106716918A (zh) | 2017-05-24 |
| CN106716918B true CN106716918B (zh) | 2020-05-22 |
Family
ID=55264216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580050752.1A Expired - Fee Related CN106716918B (zh) | 2014-08-08 | 2015-07-31 | 用户认证方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10212154B2 (zh) |
| EP (1) | EP3178195B1 (zh) |
| CN (1) | CN106716918B (zh) |
| SE (1) | SE539192C2 (zh) |
| WO (1) | WO2016022057A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016043120A1 (ja) * | 2014-09-19 | 2016-03-24 | 日本電気株式会社 | 情報処理装置及び協調分散保存システム |
| SE1551176A1 (en) * | 2015-09-14 | 2017-03-15 | Identitrade Ab | Method and system for authenticating a user |
| CN111431847A (zh) * | 2016-02-01 | 2020-07-17 | 上海途鸽数据科技有限公司 | 虚拟用户识别模块鉴权方法和装置 |
| SE542213C2 (en) * | 2017-07-21 | 2020-03-10 | Identitrade Ab | Method and system for creating a strong authentication for a user using a portable electronic device |
| US11431698B2 (en) * | 2018-10-31 | 2022-08-30 | NBA Properties, Inc. | Partner integration network |
| US11620600B1 (en) | 2018-11-16 | 2023-04-04 | Wells Fargo Bank, N.A. | Apparatuses and methods for improved risk management |
| KR20200100481A (ko) * | 2019-02-18 | 2020-08-26 | 삼성전자주식회사 | 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법 |
| JP7395938B2 (ja) * | 2019-10-09 | 2023-12-12 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム及びプログラム |
| US11405425B2 (en) * | 2019-10-31 | 2022-08-02 | Microsoft Technology Licensing, Llc | Rich token rejection system |
| US11405504B1 (en) * | 2020-03-20 | 2022-08-02 | HelpShift, Inc. | System and methods for using real-time context to proactively start a communication with a customer through a different device |
| US11729167B2 (en) * | 2021-02-12 | 2023-08-15 | Target Brands, Inc. | Authorization proxy |
| US11962580B2 (en) * | 2021-11-17 | 2024-04-16 | Akamai Technologies, Inc. | Browser extensionless phish-proof multi-factor authentication (MFA) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741840A (zh) * | 2008-11-26 | 2010-06-16 | 株式会社日立制作所 | 认证中介服务器、程序、认证系统以及选择方法 |
| CN102449976A (zh) * | 2009-05-29 | 2012-05-09 | 阿尔卡特朗讯公司 | 用于访问私人数字内容的系统和方法 |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN103269349A (zh) * | 2013-06-13 | 2013-08-28 | 百度在线网络技术(北京)有限公司 | 社会化登录方法、系统和装置 |
| WO2014093613A1 (en) * | 2012-12-12 | 2014-06-19 | Interdigital Patent Holdings, Inc. | Independent identity management systems |
Family Cites Families (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7137006B1 (en) * | 1999-09-24 | 2006-11-14 | Citicorp Development Center, Inc. | Method and system for single sign-on user access to multiple web servers |
| US8121874B1 (en) * | 1999-05-27 | 2012-02-21 | Accenture Global Services Limited | Phase delivery of components of a system required for implementation technology |
| US20020026328A1 (en) * | 2000-05-05 | 2002-02-28 | Westerkamp Thomas M. | Method and system for management of patient accounts |
| US20030028782A1 (en) * | 2000-11-22 | 2003-02-06 | Grundfest Joseph A. | System and method for facilitating initiation and disposition of proceedings online within an access controlled environment |
| US6744874B2 (en) * | 2001-05-15 | 2004-06-01 | Hengning Wu | Method of universal communication and devices thereof |
| US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| ITMO20020006A1 (it) * | 2002-01-10 | 2003-07-10 | Dream Team Srl | Metodo e sistema per l'identificazione di utenti e l'autenticazione di documenti digitali su reti telematiche |
| US20040030603A1 (en) * | 2002-08-09 | 2004-02-12 | Grundfest Joseph A. | System and method for facilitating management of a matter online within an access controlled environment |
| US8403205B1 (en) * | 2002-11-25 | 2013-03-26 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated banking machine that operates responsive to data read from data bearing records |
| US8413890B1 (en) * | 2002-11-25 | 2013-04-09 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated banking machine that operates responsive to data read from data bearing records |
| AU2003219572A1 (en) * | 2003-04-01 | 2004-10-25 | Yong-Gyun Shin | Electronic commerce method using combined publicity according to goods/service type and computer readable recording media storing program for executing the same |
| FR2856865A1 (fr) * | 2003-06-25 | 2004-12-31 | France Telecom | Attribution d'une autorisation d'acces a une ressource |
| US20050138065A1 (en) * | 2003-12-18 | 2005-06-23 | Xerox Corporation | System and method for providing document services |
| JP4455170B2 (ja) * | 2004-05-31 | 2010-04-21 | 株式会社東芝 | ネットワーク家電制御システム |
| US20060010203A1 (en) * | 2004-06-15 | 2006-01-12 | Nokia Corporation | Personal server and network |
| US20060010251A1 (en) * | 2004-06-16 | 2006-01-12 | Nokia Corporation | Global community naming authority |
| US7578436B1 (en) * | 2004-11-08 | 2009-08-25 | Pisafe, Inc. | Method and apparatus for providing secure document distribution |
| US20060200814A1 (en) * | 2005-03-02 | 2006-09-07 | Nokia Corporation | Software distribution with activation control |
| US7533802B1 (en) * | 2005-08-08 | 2009-05-19 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated banking machine system and method |
| US7716467B1 (en) * | 2005-12-02 | 2010-05-11 | Sprint Communications Company L.P. | Encryption gateway service |
| US20070254630A1 (en) * | 2006-04-24 | 2007-11-01 | Nokia Corporation | Methods, devices and modules for secure remote access to home networks |
| US8041942B2 (en) * | 2006-09-05 | 2011-10-18 | Panasonic Corporation | Robust peer-to-peer networks and methods of use thereof |
| WO2008028287A1 (en) * | 2006-09-08 | 2008-03-13 | Memory Experts International Inc. | Automated security privilege setting for remote system users |
| WO2008072211A2 (en) * | 2006-12-14 | 2008-06-19 | Iwics Inc | Distributed network management hierarchy in a multi-station communication network |
| US8073424B2 (en) * | 2007-01-05 | 2011-12-06 | Macronix International Co., Ltd. | System and method of managing contactless payment transactions using a mobile communication device as a stored value device |
| US7949359B2 (en) * | 2007-04-05 | 2011-05-24 | Sejo Pan | Methods and system for dynamically and anonymously linking wireless communications unit users |
| US8204536B2 (en) * | 2007-12-13 | 2012-06-19 | Microsoft Corporation | Automatic provisioning based on communication network connectivity and characteristics |
| US20090288138A1 (en) * | 2008-05-19 | 2009-11-19 | Dimitris Kalofonos | Methods, systems, and apparatus for peer-to peer authentication |
| US20110055585A1 (en) * | 2008-07-25 | 2011-03-03 | Kok-Wah Lee | Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering |
| US20100138900A1 (en) * | 2008-12-02 | 2010-06-03 | General Instrument Corporation | Remote access of protected internet protocol (ip)-based content over an ip multimedia subsystem (ims)-based network |
| US8782755B2 (en) | 2009-03-20 | 2014-07-15 | Citrix Systems, Inc. | Systems and methods for selecting an authentication virtual server from a plurality of virtual servers |
| US8644795B2 (en) * | 2009-11-25 | 2014-02-04 | Centurylink Intellectual Property Llc | System and method for managing individual use of a mobile telecommunications account |
| EP2381385B1 (en) | 2010-04-26 | 2013-08-28 | Research In Motion Limited | Method and system for third party client authentication |
| DE102010033232A1 (de) * | 2010-08-03 | 2012-02-09 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Bereitstellen eines Einmalpasswortes |
| US20120232969A1 (en) * | 2010-12-31 | 2012-09-13 | Nest Labs, Inc. | Systems and methods for updating climate control algorithms |
| US9690941B2 (en) * | 2011-05-17 | 2017-06-27 | Microsoft Technology Licensing, Llc | Policy bound key creation and re-wrap service |
| WO2013052685A2 (en) * | 2011-10-04 | 2013-04-11 | Advanergy, Inc. | Network integration system and method |
| US9559859B2 (en) * | 2012-01-05 | 2017-01-31 | Dell Products L.P. | Home hub |
| FI125972B (fi) * | 2012-01-09 | 2016-05-13 | Tosibox Oy | Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi |
| WO2013123548A2 (en) * | 2012-02-20 | 2013-08-29 | Lock Box Pty Ltd. | Cryptographic method and system |
| US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
| US9361436B2 (en) * | 2012-09-05 | 2016-06-07 | Bank Of America Corporation | Multiple profile authentication |
| US9444855B2 (en) * | 2012-11-19 | 2016-09-13 | At&T Intellectual Property I, L.P. | Initiating a central server-directed communication session from an in-progress half call model communication session |
| US9160743B2 (en) * | 2013-02-12 | 2015-10-13 | Qualcomm Incorporated | Biometrics based electronic device authentication and authorization |
| IN2013CH01644A (zh) * | 2013-05-11 | 2015-08-07 | Telibrahma Convergent Comm Pvt Ltd | |
| US9246945B2 (en) * | 2013-05-29 | 2016-01-26 | International Business Machines Corporation | Techniques for reconciling permission usage with security policy for policy optimization and monitoring continuous compliance |
| US9413762B2 (en) * | 2013-06-17 | 2016-08-09 | Cable Television Laboratories, Inc. | Asynchronous user permission model for applications |
| US9276933B2 (en) * | 2013-12-20 | 2016-03-01 | Sharp Laboratories Of America, Inc. | Security token caching in centralized authentication systems |
-
2014
- 2014-08-08 SE SE1450927A patent/SE539192C2/en not_active IP Right Cessation
-
2015
- 2015-07-31 WO PCT/SE2015/050840 patent/WO2016022057A1/en active Application Filing
- 2015-07-31 US US15/502,281 patent/US10212154B2/en not_active Expired - Fee Related
- 2015-07-31 EP EP15830581.3A patent/EP3178195B1/en not_active Not-in-force
- 2015-07-31 CN CN201580050752.1A patent/CN106716918B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741840A (zh) * | 2008-11-26 | 2010-06-16 | 株式会社日立制作所 | 认证中介服务器、程序、认证系统以及选择方法 |
| CN102449976A (zh) * | 2009-05-29 | 2012-05-09 | 阿尔卡特朗讯公司 | 用于访问私人数字内容的系统和方法 |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| WO2014093613A1 (en) * | 2012-12-12 | 2014-06-19 | Interdigital Patent Holdings, Inc. | Independent identity management systems |
| CN103269349A (zh) * | 2013-06-13 | 2013-08-28 | 百度在线网络技术(北京)有限公司 | 社会化登录方法、系统和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170230351A1 (en) | 2017-08-10 |
| EP3178195A4 (en) | 2017-07-19 |
| SE539192C2 (en) | 2017-05-09 |
| EP3178195A1 (en) | 2017-06-14 |
| SE1450927A1 (en) | 2016-02-09 |
| EP3178195B1 (en) | 2019-05-01 |
| US10212154B2 (en) | 2019-02-19 |
| WO2016022057A1 (en) | 2016-02-11 |
| CN106716918A (zh) | 2017-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106716960B (zh) | 用户认证方法和系统 | |
| CN106716918B (zh) | 用户认证方法和系统 | |
| US11637820B2 (en) | Customizable sign-on service | |
| US9992206B2 (en) | Enhanced security for electronic communications | |
| US9210155B2 (en) | System and method of extending a host website | |
| KR102055897B1 (ko) | 전화번호를 이용한 인터넷 사이트 서비스 접속 인증 방법 및 시스템 | |
| CN105991610B (zh) | 登录应用服务器的方法及装置 | |
| WO2017048177A1 (en) | Method and system for authenticating a user |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Stockholm, Sweden Applicant after: Zerid Address before: Stockholm, Sweden Applicant before: IDENTITRADE AB |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200522 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |