CN108463982A - 用于使用安全授权服务器来认证在线用户的系统和方法 - Google Patents
用于使用安全授权服务器来认证在线用户的系统和方法 Download PDFInfo
- Publication number
- CN108463982A CN108463982A CN201680078800.2A CN201680078800A CN108463982A CN 108463982 A CN108463982 A CN 108463982A CN 201680078800 A CN201680078800 A CN 201680078800A CN 108463982 A CN108463982 A CN 108463982A
- Authority
- CN
- China
- Prior art keywords
- token
- client
- component
- request
- certification request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- C—CHEMISTRY; METALLURGY
- C06—EXPLOSIVES; MATCHES
- C06B—EXPLOSIVES OR THERMIC COMPOSITIONS; MANUFACTURE THEREOF; USE OF SINGLE SUBSTANCES AS EXPLOSIVES
- C06B25/00—Compositions containing a nitrated organic compound
- C06B25/04—Compositions containing a nitrated organic compound the nitrated compound being an aromatic
-
- C—CHEMISTRY; METALLURGY
- C06—EXPLOSIVES; MATCHES
- C06B—EXPLOSIVES OR THERMIC COMPOSITIONS; MANUFACTURE THEREOF; USE OF SINGLE SUBSTANCES AS EXPLOSIVES
- C06B25/00—Compositions containing a nitrated organic compound
- C06B25/32—Compositions containing a nitrated organic compound the compound being nitrated pentaerythritol
-
- C—CHEMISTRY; METALLURGY
- C06—EXPLOSIVES; MATCHES
- C06B—EXPLOSIVES OR THERMIC COMPOSITIONS; MANUFACTURE THEREOF; USE OF SINGLE SUBSTANCES AS EXPLOSIVES
- C06B25/00—Compositions containing a nitrated organic compound
- C06B25/34—Compositions containing a nitrated organic compound the compound being a nitrated acyclic, alicyclic or heterocyclic amine
-
- C—CHEMISTRY; METALLURGY
- C06—EXPLOSIVES; MATCHES
- C06B—EXPLOSIVES OR THERMIC COMPOSITIONS; MANUFACTURE THEREOF; USE OF SINGLE SUBSTANCES AS EXPLOSIVES
- C06B33/00—Compositions containing particulate metal, alloy, boron, silicon, selenium or tellurium with at least one oxygen supplying material which is either a metal oxide or a salt, organic or inorganic, capable of yielding a metal oxide
- C06B33/04—Compositions containing particulate metal, alloy, boron, silicon, selenium or tellurium with at least one oxygen supplying material which is either a metal oxide or a salt, organic or inorganic, capable of yielding a metal oxide the material being an inorganic nitrogen-oxygen salt
-
- C—CHEMISTRY; METALLURGY
- C06—EXPLOSIVES; MATCHES
- C06C—DETONATING OR PRIMING DEVICES; FUSES; CHEMICAL LIGHTERS; PYROPHORIC COMPOSITIONS
- C06C7/00—Non-electric detonators; Blasting caps; Primers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Chemical & Material Sciences (AREA)
- Organic Chemistry (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Inorganic Chemistry (AREA)
- Materials Engineering (AREA)
- Metallurgy (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Air Bags (AREA)
- Organic Low-Molecular-Weight Compounds And Preparation Thereof (AREA)
Abstract
提供了用于校验终端用户身份的安全授权服务器计算机系统。计算机系统被编程为从计算客户端在授权组件处接收认证请求。认证请求包括安全认证请求标识符。计算机系统还被编程为通过验证安全认证请求标识符来在授权组件处验证认证请求。计算机系统被进一步编程为从授权组件向计算客户端发送认证响应。认证响应包括授权码。授权码表示认证请求的验证。
Description
相关申请的交叉引用
本申请要求2015年11月16日提交的美国申请序列号14/942,575的优先权和权益,其全部内容通过引用合并于此。
背景技术
本公开内容一般涉及认证在线终端用户,并且更具体地涉及用于使用安全授权服务器来安全地认证终端用户的身份以及将终端用户信息提供给终端用户访问的另一个在线计算客户端服务的基于网络的系统和方法。
目前存在的标准定义了实体(如网站或应用程序(称为“计算客户端”))如何根据第三方安全授权服务器执行的认证来认证终端用户的身份,以及以获得终端用户信息,例如基本简档信息。这通常用作因特网用户使用例如社交媒体网站(例如,Facebook或Twitter)登录信息(例如,用户名和密码)登录到第三方网站而不将登录信息暴露给第三方网站的方式。目前使用的至少一个已知标准是在OAuth 2.0协议之上运行的OpenIDConnect协议。
不幸的是,这些已知的系统具有某些局限性,包括某些安全问题。另外,这些已知协议中的一些缺乏许多安全性要求。因此,最近几年涉及这些已知系统的安全事件和漏洞攻击事件已经发生。
发明内容
在一个方面,提供了用于校验终端用户的身份的安全授权服务器计算机系统。计算机系统被编程为从计算客户端在授权组件处接收认证请求。认证请求包括安全认证请求标识符。计算机系统还被编程为通过验证认证请求标识符来在授权组件处验证认证请求。计算机系统被进一步编程为从授权组件向计算客户端发送认证响应。认证响应包括授权码。授权码表示认证请求的验证。
另一方面,提供了一种用于校验终端用户的身份的方法。该方法包括从计算客户端在授权组件处接收认证请求。认证请求包括安全认证请求标识符。该方法还包括通过验证认证请求标识符来在授权组件处验证认证请求。该方法进一步包括从授权组件向计算客户端发送认证响应。认证响应包括授权码。授权码表示认证请求的验证。
在又一方面,提供了一种计算机可读介质,其具有在其上包含的用于校验终端用户的身份的计算机可执行指令。当由至少一个处理器执行时,计算机可执行指令使得处理器在授权组件处从计算客户端接收认证请求。认证请求包括安全认证请求标识符。计算机可执行指令还使得处理器通过验证认证请求标识符来在授权组件处验证认证请求。计算机可执行指令还使处理器从授权组件向计算客户端发送认证响应。认证响应包括授权码。授权码表示认证请求的验证。
附图说明
下面描述的附图描绘了其中公开的系统和方法的各个方面。应该理解的是,每个图描绘了所公开的系统和方法的特定方面的实施例,并且每个附图旨在符合其可能的实施例。此外,只要可能,以下描述涉及包括在以下附图中的附图标记,其中多个附图中描绘的特征用一致的附图标记表示。
图1-9示出了本文描述的方法和系统的示例实施例。
图1是示出根据本公开的一个实施例的安全授权服务器的授权组件的示意图。
图2是示出图1所示的安全授权服务器的令牌组件的示意图。
图3是示出图1所示的安全授权服务器的用户信息组件的示意图。
图4是示出了图1-3所示的安全授权服务器的示意图,包括授权组件、令牌组件和用户信息组件。
图5示出了诸如图1-4所示的安全授权服务器的服务器系统的示例配置。
图6示出了诸如图1-4所示的计算客户端系统的示例配置。
图7是用于使用图1所示的安全授权服务器来实现对终端用户的认证的示例方法的流程图。
图8是用于使用图2所示的安全授权服务器请求和接收令牌的示例方法的流程图。
图9是用于使用图3所示的安全授权服务器来获得终端用户的终端用户属性的示例性方法的流程图。
具体实施方式
这里描述的系统和方法包括具有增强的安全功能的安全授权服务器(在此被称为“安全授权服务器”),与其他已知系统相比提供更安全的认证过程。更具体地,安全授权服务器使得计算客户端(例如,网站或计算机应用程序)能够更安全地认证终端用户的身份以及将关于终端用户的简档信息提供给计算客户端以供计算客户端使用。如下面进一步描述的,增强的安全功能包括授权码、识别令牌和访问令牌的使用和验证。
在示例实施例中,安全授权服务器包括至少三个组件(也称为“端点”):授权组件、令牌组件和用户信息组件。每个组件验证来自计算客户端的不同请求。计算客户端将认证请求引导至授权组件以请求授权组件对终端用户进行认证。认证请求至少包括认证请求标识符、其中计算客户端列出从安全授权服务器请求的终端用户信息的范围值,以及重定向统一资源标识符(也称为“重定向URI”)。重定向URI确定安全授权服务器将对来自计算客户端的请求的响应发送到何处。授权组件对终端用户进行认证,包括校验认证请求标识符,并将授权码发送给计算客户端。
为了在授权组件向计算客户端发布授权码时确保授权码完整性,授权组件通过实施要求授权码使用web令牌(例如,JavaScript对象表示法(JSON)web令牌或“JWT”)和签名(例如,JavaScript对象表示法(JSON)网络签名)的标准相对于其他已知系统进行改进。授权码包括某些信息(被称为“JSON Web令牌声明”或“JWT声明”),诸如发布JWT的实体的实体标识符、作为JWT主体的实体的实体标识符、JWT的接收者的标识符、发布JWT的时间以及来自认证请求的认证请求标识符。授权码还包括JSON对象签名和加密(JOSE)头部参数,并符合定义的格式,以便授权码可以被解析为三个字符串,如下所述。
计算客户端验证授权码,其中包括将授权码分成三个字符串,解码每个字符串,并使用头部参数验证签名。
计算客户端通过将令牌请求发送到安全授权服务器的令牌组件来交换用于识别令牌和访问令牌的授权码。令牌组件通过校验授权码有效并且包含在令牌请求中的重定向URI与包含在验证请求中的重定向URI相同来验证令牌请求。
如果令牌请求验证成功,则令牌组件将识别令牌和访问令牌发送给计算客户端。识别令牌是一个安全令牌,其中包含有关终端用户认证以及潜在的其他请求信息的信息。
为了在令牌组件向计算客户端发布识别令牌时确保识别令牌的完整性,通过实施需要识别令牌使用web令牌(例如,JavaScript对象表示法(JSON)网络令牌或“JWT”)和签名(例如,JavaScript对象表示法(JSON)web签名)的标准,令牌组件相对于其他已知系统进行改进。识别令牌还包括某些信息(称为“JSON Web令牌声明”或“JWT声明”),诸如用于发布JWT的实体的实体标识符、唯一的终端用户标识符、用于识别令牌的到期时间,发布JWT的时间、发布识别令牌的实体的标识符、来自认证请求的认证请求标识符、用于将计算客户端会话与识别令牌相关联的字符串值、指定标识认证执行满足的认证上下文类的认证上下文类参考值的字符串、作为认证中使用的认证方法标识符的字符串数组,以及其他预定义的公共和私有JWT声明。识别令牌进一步包括JSON对象签名和加密(JOSE)头部参数并且符合定义的格式,使得识别令牌可以被解析为三个字符串,如下所述。认证上下文类参考值和字符串数组具有在计算客户端和安全授权服务器之间预定义的含义。
计算客户端通过将识别令牌分成至少三个字符串,对每个字符串进行解码并使用头部参数来验证签名来验证识别令牌。
计算客户端向安全授权服务器的用户信息组件发送包括访问令牌的用户信息请求。用户信息组件将所请求的终端用户数据(例如,终端用户信息或终端用户属性)发送给计算客户端。在一些实施例中,终端用户数据可以包括姓名、图片、电子邮件、性别、出生日期以及其他用户相关数据。在一些实施例中,可以请求用户信息从用户信息组件或识别令牌中返回。
具有增强的安全功能的授权服务器计算机系统的示例实现方式可以包括持卡人(即终端用户)、旅行网站(即,计算客户端)和安全授权服务器。持卡人使用计算设备访问旅行网站并开始在旅行网站上购物。持卡人希望用先前提供给安全授权服务器的旅行偏好预填充旅行网站。使用这里描述的安全授权系统,旅行网站通过计算设备重定向持卡人以与安全授权服务器进行认证。安全授权服务器对持卡人进行认证,并且接收向旅行网站提供旅行简档信息的许可。安全授权服务器使用一些安全令牌将持卡人重定向回旅行网站。旅行网站直接连接到安全授权服务器,并使用安全令牌直接从安全授权服务器请求所需的用户信息。旅行网站使用用户信息以利用持卡人的旅行偏好预先填充旅行网站。这将发生在幕后。当持卡人在旅行网站上启动并执行购买时,持卡人将看到旅行网站已考虑到先前存储在安全授权服务器上的所有旅行偏好。
图1是示出安全授权服务器102、终端用户104和计算客户端106之间的数据流100的示意图。在该示例实施例中,安全授权服务器102包括授权组件208、令牌组件302和用户信息组件402。终端用户104是使用连接到互联网的计算设备的个体,计算设备具有至少一个处理器和用户接口,诸如网络浏览器,能够接收来自个体的输入(例如,来自键盘、指点设备、鼠标或触敏板)并且从显示器向个体显示信息。计算客户端106可以包括网站或计算机应用程序。
图2是示出安全授权服务器102与计算客户端106之间的数据流200的示意图。在示例实施例中,安全授权服务器102包括授权组件208。在操作中,终端用户104输入登录请求(1)到计算客户端106。计算客户端106向授权组件208发送至少包括认证请求标识符和URI重定向的认证请求(2)以认证终端用户104。URI重定向是其中安全授权服务器发送对认证请求的响应的URI。
授权组件208向终端用户104发送用于登录凭证(例如密码或用于认证终端用户104的其他装置)的请求(3)。在一些实施例中,授权组件208请求终端用户104给予计算客户端106访问特定的终端用户信息(例如电子邮件地址和基本账户信息)的权利。终端用户104将包括登录凭证的响应(4)发送到授权组件208。授权组件208还验证包括在认证请求中的认证请求标识符。
授权组件208经由URI重定向向计算客户端106发送关于终端用户104是否被认证的认证响应(5)。如果终端用户104被认证,则授权组件208向计算客户端106提供授权码,该授权码至少包括认证请求中包括的认证请求标识符。计算客户端106在发送令牌请求之前验证授权码,如下所述。
安全授权服务器102可以包括任何数量的终端用户102、计算客户端104和授权组件106。
图3是示出安全授权服务器102和计算客户端106之间的数据流300的示意图。在该示例实施例中,安全授权服务器102还包括令牌组件302。在进一步的操作中,计算客户端106将令牌请求(6)(包括授权码和URI重定向)发送给令牌组件302。
令牌组件302验证令牌请求并将包括识别令牌和访问令牌的响应(7)发送到计算客户端106。识别令牌至少包括认证请求中所包括的认证请求标识符。计算客户端106在发送用户信息请求之前验证识别令牌,如下所述。
安全授权服务器102可以包括任何数量的终端用户102、计算客户端104和令牌组件302。
图4是示出安全授权服务器102与计算客户端106之间的数据流400的示意图。在该示例实施例中,安全授权服务器102包括用户信息组件402。在又一个操作中,计算客户端106将用户信息请求(8)(包括访问令牌)发送给用户信息组件402。
用户信息组件402验证用户信息请求并将所请求的终端用户104信息(9)(例如,用户名、图片、电子邮件、性别和出生日期)发送到计算客户端106。
安全授权服务器102可以包括任何数量的终端用户102、计算客户端104和用户信息组件306。
图5示出了根据本公开的一个示例实施例的也在图1至图4中示出的安全授权服务器102的示例配置。在该示例实施例中,安全授权服务器102分别处理向授权组件208、令牌组件302和用户信息组件402发送的认证请求、令牌请求和用户信息请求。安全授权服务器102可以包括额外的,更少的或替代的组件,包括本文其他地方所讨论的组件。
安全授权服务器102包括用于执行指令的处理器502。例如,指令可以存储在存储区域504中。处理器502可以包括用于执行指令的一个或多个处理单元(例如,以多核配置)。指令可以在安全授权服务器102上的各种不同的操作系统内执行,诸如UNIX、LINUX、Microsoft Windows等。还应该理解的是,在启动基于计算机的方法时,各种指令可以是在初始化期间执行。为了执行在此描述的一个或多个处理可能需要一些操作,而其他操作可能对于特定编程语言(例如,C、C#、C++、Java或其他合适的编程语言等等)更通用和/或特定。
处理器502可操作地耦合到通信接口506,使得安全授权服务器102能够与诸如计算客户端系统或另一安全授权服务器102的远程设备进行通信。例如,通信接口506可以通过因特网从计算客户端106接收请求。
处理器502还可以经由存储接口508可操作地耦合到存储设备510。存储设备508是适合于存储和/或检索数据的任何计算机操作的硬件。在一些实施例中,存储设备510被集成在安全授权服务器102中。例如,安全授权服务器102可以包括一个或多个硬盘驱动器作为存储设备510。在其他实施例中,存储设备510在安全授权服务器102的外部,可以由多个服务器系统500访问。例如,存储设备510可以包括多个存储单元,例如在廉价磁盘(RAID)配置的冗余阵列中的硬盘或固态磁盘。存储设备510可以包括存储区域网络(SAN)和/或网络附加存储(NAS)系统。
存储接口510是能够向处理器502提供对存储设备510的访问的任何组件。存储接口510可以包括例如高级技术附件(ATA)适配器、串行ATA(SATA)适配器、小型计算机系统接口(SCSI)适配器、RAID控制器、SAN适配器、网络适配器和/或向处理器502提供对存储设备510的访问的任何组件。
存储区域504可以包括但不限于诸如动态RAM(DRAM)或静态RAM(SRAM)的随机存取存储器(RAM),只读存储器(ROM),可擦除可编程只读存储器(EPROM),电可擦除可编程只读存储器(EEPROM)和非易失性RAM(NVRAM)。上述存储器类型仅是示例性的,因此不限制可用于存储计算机程序的存储器的类型。在一个实施例中,安全授权服务器102还包括数据库服务器(未示出)。
图6示出了计算客户端106的示例配置,如图1-4所示。计算客户端106将认证请求、令牌请求和用户信息请求发送到安全授权服务器102,并且验证来自安全授权服务器102的响应。计算客户端106可以包括额外的、更少的或替代的组件,包括本文其他地方讨论的那些。
计算客户端106包括用于执行指令的处理器602。在一些实施例中,可执行指令被存储在存储区域604中。处理器602可以包括一个或多个处理单元(例如,以多核配置)。存储区域604是允许诸如可执行指令和/或其他数据的信息被存储和检索的任何设备。存储区域604可以包括一个或多个计算机可读介质。
计算客户端106包括与安全授权服务器102通信的通信接口606,用于在计算客户端106和安全授权服务器102之间进行通信。通信接口606可以包括例如与全球移动通信系统(GSM)、3G、4G或蓝牙)或其他移动数据网络(例如全球微波接入互操作性(WIMAX))一起使用的有线或无线网络适配器或无线数据收发器。通信接口612还可以包括例如局域网(LAN)或广域网(WAN)、拨号连接、电缆调制解调器、专用高速综合业务数字网(ISDN)线路和RDT网络。
存储在存储区域604中的是例如用于向终端用户104提供用户界面608的计算机可读指令。用户界面608用于经由连接到因特网的用户设备向终端用户104显示信息并从终端用户104接收输入。用户设备可以是能够互连到因特网的任何设备,包括智能手机或个人计算机设备。除了其他可能性之外,用户界面608可以包括通过诸如局域网(LAN)或广域网(WAN)、拨入连接、电缆调制解调器、特殊的高速综合业务数字网(ISDN)线路和RDT网络之类的网络互连到因特网的web浏览器或计算客户端应用程序。用户界面608向终端用户104显示信息并且使终端用户104能够与通常嵌入在网页或网站上的媒体和其他信息进行交互。在该示例实施例中,终端用户104经由用户界面608(例如,使用计算客户端网站或应用程序)向计算客户端106发起登录请求,因此处理器602重定向终端用户104(例如,通过重定向终端用户web浏览器)到授权组件208进行认证,也在图1中示出。
进一步存储在存储区域604中的是用于经由通信接口606发送认证请求、令牌请求和用户信息请求到安全授权服务器102的计算机可读指令。还存储在存储区域604中的是计算机可读指令,用于经由通信接口606接收并验证来自安全授权服务器102的认证响应、令牌响应和用户信息响应。
图7是根据本公开的实施例的用于实现终端用户104的认证的方法700的流程图。如步骤702至710所示,授权组件208经由计算客户端106认证终端用户104并发送认证响应。
在702处,终端用户104启动对计算客户端106的登录请求(例如,使用计算客户端网站或应用程序)。在704处,计算客户端106向认证组件208发送认证请求并且将终端用户104重定向到授权组件208以进行认证(例如,通过重定向终端用户web浏览器)。认证请求至少包括认证请求标识符,其中计算客户端106列出从安全授权服务器102请求的终端用户信息的范围值,一旦认证被批准则授权组件208将向其发回认证响应的URI重定向,以及用于维护请求和响应之间的状态的不透明状态值。在一些实施例中,认证请求还包括授权码流的响应类型代码、用于唯一标识计算客户端应用程序的计算客户端标识符以及用于将计算客户端会话与识别令牌相关联的随机数(nonce)字符串值中的一个或多个。
认证请求标识符至少基于范围值、计算客户端标识符、响应类型、URI重定向、不透明状态值和随机数字符串值。在示例实施例中,认证请求标识符是Base64编码的并且可以包括:(SHA256_Hashing(范围值+响应类型+计算客户端标识符+URI重定向+状态值+随机数字符串值))=48字符串。
如在706处所示,授权组件208通过至少验证认证请求标识符来验证认证请求。在一些实施例中,授权组件208校验包括在认证请求中的范围值、响应类型、计算客户端标识符、状态值和随机数字符串值中的一个或多个。
授权组件208向终端用户104发送对登录凭证的请求,例如用于认证终端用户104的密码或其他装置。在一些实施例中,请求终端用户104允许计算客户端106访问由计算客户端105使用范围值请求的特定终端用户信息,诸如电子邮件地址和基本账户信息。终端用户104将包括登录凭证的响应发送给授权组件208,授权组件208对其进行验证。
如在708处所示,如果认证成功,则授权组件208经由在认证请求中提供的URI重定向将终端用户104连同认证响应一起发送给计算客户端106。认证响应至少包括认证请求中接收到的授权码和状态值。在示例实施例中,通过在HTTP请求实体本体中使用“application/x-www-form-urlencoded”格式将授权码和状态值添加到重定向URI的查询组件,将授权码递送到计算客户端106。
为了在授权组件208在认证响应中向计算客户端106发布授权码时确保授权码完整性,根据JSON Web令牌(“JWT”)和JSON Web签名(“JWS”)标准来实现认证响应,其中JWT由授权组件208签署并由计算客户端106验证。授权码包括关于发布JWT的实体、作为JWT的主题的实体(例如,终端用户104)、JWT的预期接收者、发布JWT的时间以及来自认证请求的认证请求标识符的信息。
如果认证请求验证不成功,则授权组件208向计算客户端106发送错误响应。
在该示例实施例中,授权码包括JOSE头部,JOSE头部具有设置为ES256或更高的算法参数,包含与用于对授权码进行数字签名的密钥对应的X.509证书的DER编码的base64url编码的SHA-256指纹(也即摘要)的头部参数以及JOSE标头类型,其中“JOSE”用于JWE紧凑型序列化,“JOSE+JSON”用于JWS/JWE JSON序列化。
授权码根据JSON(JWS)签名和JSON对象(JWT)签名标准实施。使用Base64编码对授权码进行编码并进行格式化,使得授权码可以被解析为至少三个字符串,其中每个字符串可以在验证期间通过计算客户端106来解码。在示例实施例中,授权码是Base64编码的,并且可以包括:Base64Encoded(JWS JOSE头部).Base64Encoded(JWT).Base64Encoded(JWS签名)。
如在710处所示,计算客户端106通过将由“·”定界的授权码分离为三个字符串来验证授权码,其中str1=Base64Encoded(JWS JOSE头部),str2=Base64Encoded(JWT),并且str3=Base64Encoded(JWS签名)。每个字符串可以通过计算客户端106使用Base64解码来解码,其中Base64Decoded str1=JWS JOSE头部,Base64Decoded str2=JWT和Base64Decoded str3=JWS签名。在一些实施例中,在计算客户端106本地存储签名证书的情况下,计算客户端106可以使用由JWS JOSE头部SHA-256指纹识别的签名证书来使用算法参数来验证JWS签名。
图8是根据本公开的实施例的用于请求和接收令牌的方法800的流程图。如步骤802到808所示,令牌组件302验证来自计算客户端106的令牌请求,并发送令牌响应,该令牌响应至少包括识别令牌和访问令牌。
在802处,计算客户端106通过呈现来自认证响应和URI重定向的授权码来向令牌组件302发送令牌请求。
在804处,令牌组件302通过至少验证授权码并校验令牌请求中的URI重定向与包含在授权请求中的URI重定向相同来验证令牌请求。如果验证成功,则如在806所示,令牌组件302向计算客户端106发送包括识别令牌和访问令牌的令牌响应。识别令牌至少包括来自认证请求的认证请求标识符。在一些实施例中,令牌响应还包括与经认证的会话相关联的识别令牌值、访问令牌值以及访问令牌的生命周期(以秒为单位)。替代实施例还可以包括用于获得新访问令牌的刷新令牌。
如果令牌请求验证不成功,则令牌组件302向计算客户端106发送错误响应。
如在段落[0046]中所描述的,识别令牌是包括关于终端用户104的JWT声明(例如,身份信息)以及潜在的其他请求的信息的安全令牌。为了在令牌组件302向计算客户端106发布识别令牌时确保识别令牌的完整性,根据JSON Web令牌(JWT)和JSON Web签名(JWS)标准来实现识别令牌,并且识别令牌由令牌组件302签署并由计算客户端106校验。
在该示例实施例中,识别令牌包括以下JWT声明中的一个或多个:令牌响应的发行者的发行者标识符值,不超过255个ASCII字符长度的唯一终端用户标识符,用于计算客户端106的计算客户端标识符(称为“观众值”),识别令牌不能被接受用于处理的期满时间或之后,识别令牌被发出的时间,来自认证请求的认证请求标识符,以及指定标识由认证执行的认证上下文类的认证上下文类参考值的JWT字符串。在一些实施例中,存在多于一个观众和观众值。
在示例实施例中,识别令牌还包括从认证请求传递到识别令牌的JWT随机数字符串值。计算客户端106验证识别令牌中的随机数字符串值等于在认证请求中发送的随机数字符串值的值。随机数字符串值用于将计算客户端会话与识别令牌相关联,这可以减轻恶意或欺诈性的重复有效数据传输的企图。
在示例实施例中,如果随机数字符串值被包括在认证请求中,则随机数字符串值也存在于识别令牌中。计算客户端106应校验识别令牌中的随机数字符串值是在认证请求中发送的相同的随机数字符串值。计算客户端106应该检查重播攻击的随机数值。检测重播攻击的确切方法是客户端特定的。
在一些实施例中,识别令牌还包括JWT和JSON字符串数组,其是用于认证中使用的认证方法的标识符。例如,该数组可能表示使用了密码和一次性密码(OTP)认证方法。
在进一步的实施例中,识别令牌包括标识识别令牌被发行到的实体(被称为“授权方”)的字符串。如果授权方存在于识别令牌中,则识别令牌还包含授权方的计算客户端标识符。
在示例实施例中,识别令牌包括一个或多个JWT公共声明,诸如名字、中间名、姓氏、电子邮件、电话号码、优选用户名和地区。
在示例实施例中,识别令牌包括一个或多个JWT私人声明。一个或多个JWT私人声明是定制用户属性,其可以被包括在由令牌组件返回的识别令牌中。在一些实施例中,私人声明可以是但不限于以下中的一个或多个:角色,用户名,租户标识,站点标识,应用专有标识以及登录的客户服务代表的用户标识符。
在该示例实施例中,识别令牌包括JOSE头部,具有设置为ES256或更高的算法参数,包含与用于对授权码进行数字签名的密钥对应的X.509证书的DER编码的base64url编码的SHA-256指纹(即,摘要)的头部参数以及JOSE头部类型,其中“JOSE”用于JWE紧凑型序列化,“JOSE+JSON”用于JWS/JWE JSON序列化。
识别令牌根据JWS签名和JSON对象(JWT)签署标准实施。识别令牌是Base64编码的JSON对象并且被格式化,使得识别令牌可以被解析为至少三个字符串,其中每个字符串可以在识别令牌验证期间通过计算客户端106来解码。在一个实施例中,识别令牌被格式化为Base64Encoded(JWS JOSE头部).Base64Encoded(JWT).Base64Encoded(JWS签名)。
在808处,计算客户端106通过将由“·”定界的授权码分成三个字符串来验证识别令牌,其中str1=Base64Encoded(JWS JOSE报头),str2=Base64Encoded(JWT)和str3=Base64Encoded(JWS签名)。每个字符串可以通过计算客户端106使用Base64解码来解码,其中Base64Decoded str1=JWS JOSE头部,Base64Decoded str2=JWT和Base64Decodedstr3=JWS签名。在一些实施例中,在签名证书由计算客户端106本地存储的情况下,计算客户端106使用由JOSE头部SHA-256指纹识别的签名证书来使用JOSE头部算法来验证JWS签名。
在该示例实施例中,计算客户端106通过验证识别令牌中的认证请求标识符与来自认证请求的认证请求标识符相匹配来进一步验证该识别令牌。
在示例实施例中,计算客户端106通过确保与安全授权服务器102相关联的发行者标识符值与识别令牌中的发行者标识符值的值相匹配来进一步验证该识别令牌。
在另一个实施例中,计算客户端106验证识别令牌将计算客户端106列为有效观众。如果识别令牌未将计算客户端106列为有效观众,或者如果识别令牌包括计算客户端106不信任的额外观众,则计算客户端106可以拒绝该识别令牌。在又一个实施例中,在识别令牌包括多个观众,计算客户端106校验被授权方是在场的。在进一步的实施例中,在被授权方被列入识别令牌中的情况下,计算客户端106进一步校验计算客户端106是被授权方。
在一些实施例中,如果通过计算客户端106和令牌组件302之间的直接通信来接收识别令牌,则可以使用TLS服务器验证来验证识别令牌的发行者来代替校验令牌签名。计算客户端106使用JWT算法头部参数中指定的算法来验证所有其他识别令牌的令牌签名。计算客户端106使用由识别令牌发行者提供的密钥。
在另一个实施例中,计算客户端106进一步校验当前时间是在过期时间之前或识别令牌不能被接受用于处理的过期时间之后。在替代实施例中,计算客户端106可以拒绝发布离当前时间太远的识别令牌。
令牌组件302可以使用计算客户端106在安全授权服务器102的提供者处注册期间指定的密钥和算法来对识别令牌进行加密。如果识别令牌由令牌组件302加密,则计算客户端106可以使用注册过程中指定的密钥和算法来解密识别令牌。如果在注册时间与安全授权服务器102的提供者协商加密并且由计算客户端106接收的识别令牌未被加密,则计算客户端106应拒绝该识别令牌。
识别令牌中的JWS头部的算法参数应设置为ES256的默认值。
如果计算客户端106请求认证上下文类别参考声明被包括在识别令牌中,则计算客户端106应该校验包括在识别令牌中的认证上下文类别参考声明是适当的。
访问令牌是用于基于终端用户104已经授权什么来访问受保护资源(例如终端用户104属性)的凭证。为了在令牌组件302向计算客户端106发出访问令牌时保证访问令牌完整性,根据JSON Web令牌(JWT)和JSON Web签名(JWS)标准来实现访问令牌,并且访问令牌由令牌组件302签署并由计算客户端106校验。
图9是根据本公开的实施例的用于获取终端用户104的用户属性的方法900的流程图。如步骤902至906所示,用户信息组件402验证来自计算客户端106的用户信息请求,并作为响应发送终端用户104数据。
如902所示,计算客户端106将包括访问令牌的用户信息请求发送到用户信息组件402。用户信息组件402通过验证访问令牌来验证用户信息请求,如904所示。
如906所示,如果验证成功,则用户信息组件402将终端用户104的数据发送给计算客户端106。如果用户信息请求验证不成功,则用户信息组件402将错误响应发送给计算客户端106。
为了用户信息组件402在用户信息响应中向计算客户端106发布终端用户104数据时确保终端用户104的数据完整性,根据JSON Web令牌(JWT)和JSON Web签名(JWS)标准实现用户信息响应,其中JWT由用户信息组件402签名并由计算客户端106验证。
在一些实施例中,计算客户端106可以将在令牌响应中接收到的刷新令牌发送给用户信息组件402以接收访问令牌。用户信息组件106验证刷新令牌,并且如果验证成功,则用户信息组件106将访问令牌发送到计算客户端106。计算客户端106将包括访问令牌的用户信息请求发送到用户信息组件806,再次在802开始。
在一些实施例中,授权码被加密或混淆。
在一些实施例中,计算客户端106是OpenID Connect计算客户端,并且安全授权服务器102由OpenID身份提供者操作。
在进一步的实施例中,在计算客户端106和安全授权服务器102的所有组件之间传输的请求和响应消息由计算客户端106进行数字签名,并且数字签名由安全授权服务器102验证以确保消息完整性。
如本文所使用的,术语“非暂时性计算机可读介质”旨在代表以任何方法或技术实现的用于例如计算机可读指令、数据结构、程序模块和子模块的信息或任何设备中的其他数据的短期和长期存储的任何有形的基于计算机的设备。因此,本文描述的方法可以被编码为体现在有形的、非暂时性的计算机可读介质中的可执行指令,包括但不限于存储设备和/或存储器设备。这样的指令在由处理器执行时使处理器执行本文描述的方法的至少一部分。此外,如本文所使用的,术语“非暂时性计算机可读介质”包括所有有形的计算机可读介质,包括但不限于非暂时性计算机存储设备,包括但不限于易失性和非易失性介质以及诸如固件、物理和虚拟存储、CD-ROM、DVD以及诸如网络或因特网之类的任何其他数字源的可移动和不可移动介质以及尚未开发的数字手段,唯一的例外是暂时的、传播的信号。
本书面描述使用示例来公开本公开,包括最佳模式,并且还使得本领域技术人员能够实践这些实施例,包括制作和使用任何设备或系统以及执行任何结合的方法。本公开的可专利范围由权利要求限定,并且可以包括本领域技术人员想到的其他示例。如果这些其他示例具有不与权利要求的字面语言不同的结构元件,或者如果它们包括与权利要求的字面语言无实质区别的等同结构元件,则这些其他示例意图在权利要求的范围内。
Claims (21)
1.一种用于校验终端用户的身份的安全授权服务器,所述安全授权服务器被编程为:
在授权组件处从计算客户端接收认证请求,其中,所述认证请求包括安全认证请求标识符;
通过至少验证所述安全认证请求标识符在所述授权组件处验证所述认证请求;以及
从所述授权组件向所述计算客户端发送认证响应,其中,所述认证响应包括授权码,其中,所述授权码表示对所述认证请求的验证。
2.根据权利要求1所述的安全授权服务器,其中,所述安全授权服务器被进一步编程为:
在令牌组件处从所述计算客户端接收令牌请求,其中,所述令牌请求包括所述授权码;
通过验证所述授权码在所述令牌组件处验证所述令牌请求;以及
将令牌响应从所述令牌组件发送到所述计算客户端,其中,所述令牌响应包括与经认证的会话相关联的识别令牌、访问令牌以及所述访问令牌的以秒为单位的生命周期。
3.根据权利要求2所述的安全授权服务器,其中,所述安全授权服务器被进一步编程为:
在用户信息组件处从所述计算客户端接收用户信息请求,其中,所述用户信息请求包括所述访问令牌;
通过验证所述访问令牌在所述用户信息组件处验证所述用户信息请求;以及
响应于验证所述用户信息请求,将终端用户数据从所述用户信息组件发送到所述计算客户端。
4.根据权利要求2所述的安全授权服务器,其中,所述安全授权服务器被进一步编程为发送至少包括来自认证请求的安全认证请求标识符、标识算法的算法头部参数以及带有证书指纹的数字证书的识别令牌。
5.根据权利要求2所述的安全授权服务器,其中,所述识别令牌使用Base64编码进行编码并且被格式化以使所述识别令牌能够被解析为三个字符串,其中,每个字符串被配置为由所述计算客户端在识别令牌验证期间解码。
6.根据权利要求1所述的安全授权服务器,其中,所述安全认证请求标识符至少基于范围值、响应类型、计算客户端标识符、所述认证响应将被发送到的重定向统一资源指示符(URI)、不透明值和将计算客户端会话与识别令牌相关联的字符串值。
7.根据权利要求1所述的安全授权服务器,其中,所述安全授权服务器进一步被编程为:发送至少包括来自认证请求的安全认证请求标识符、标识算法的算法头部参数以及带有证书指纹的数字证书的认证响应。
8.根据权利要求1所述的安全授权服务器,其中,所述授权码使用Base64编码进行编码并且被格式化以使所述授权码能够被解析为三个字符串,其中,每个字符串被配置为由所述计算客户端在授权码验证期间解码。
9.一种用于校验终端用户的身份的方法,所述方法使用安全授权计算设备来实现,所述安全授权计算设备包括与存储器通信的至少一个处理器,所述安全授权计算设备与计算客户端通信,所述方法包括:
在授权组件处从所述计算客户端接收认证请求,其中,所述认证请求包括安全认证请求标识符;
通过至少验证所述安全认证请求标识符来在所述授权组件处验证所述认证请求;以及
将认证响应从所述授权组件发送到所述计算客户端,其中,所述认证响应包括授权码,其中,所述授权码表示对所述认证请求的验证。
10.根据权利要求9所述的方法,其中,所述安全授权计算设备还包括授权组件和令牌组件,所述方法还包括:
在所述令牌组件处从所述计算客户端接收令牌请求,其中,所述令牌请求包括所述授权码;
通过验证所述授权码在所述令牌组件处验证所述令牌请求;以及
将令牌响应从所述令牌组件发送到所述计算客户端,其中,所述令牌响应包括与经认证的会话相关联的识别令牌、访问令牌以及所述访问令牌的以秒为单位的生命周期。
11.根据权利要求10所述的方法,其中,发送令牌响应还包括用所述识别令牌发送所述令牌响应,所述识别令牌至少包括来自所述认证请求的所述安全认证请求标识符、标识算法的算法头部参数以及带有证书指纹的数字证书。
12.根据权利要求10所述的方法,还包括使用Base64编码对所述识别令牌进行编码,并且对所述识别令牌进行格式化,使得能够将所述识别令牌解析为三个字符串,其中,每个字符串能够由所述计算客户端在识别令牌验证期间解码。
13.根据权利要求10所述的方法,其中,所述安全授权计算设备还包括授权组件、令牌组件和用户信息组件,所述方法还包括:
在所述用户信息组件处从所述计算客户端接收用户信息请求,其中,所述用户信息请求包括所述访问令牌;
通过验证所述访问令牌在所述用户信息组件处验证所述用户信息请求;以及
响应于验证所述用户信息请求,将终端用户数据从用户信息组件发送到所述计算客户端。
14.根据权利要求9所述的方法,其中,所述安全认证请求标识符至少基于范围值、响应类型、计算客户端标识符、所述认证响应将被发送到的重定向统一资源指示符(URI)、不透明值和将计算客户端会话与识别令牌相关联的字符串值。
15.根据权利要求9所述的方法,其中,发送认证响应还包括用所述授权码发送所述认证响应,其中,所述授权码至少包括来自所述认证请求的所述安全认证请求标识符、标识算法的算法头部参数和带有证书指纹的数字证书。
16.根据权利要求9所述的方法,还包括使用Base64编码对所述授权码进行编码,并且对所述授权码进行格式化,使得所述授权码能够被解析为三个字符串,其中,每个字符串能够由所述计算客户端在授权码验证期间解码。
17.具有在其上包含的用于校验终端用户的身份的计算机可执行指令的计算机可读介质,其中当由至少一个处理器执行时,所述计算机可执行指令使所述处理器:
在授权组件处从计算客户端接收认证请求,其中,所述认证请求包括安全认证请求标识符;
通过至少验证安全认证请求标识符在所述授权组件处验证所述认证请求;以及
将认证响应从所述授权组件发送到所述计算客户端,其中,所述认证响应包括授权码,其中所述授权码表示对所述认证请求的验证。
18.根据权利要求17所述的计算机可读介质,其中,所述计算机可执行指令还使所述处理器:
在令牌组件处从所述计算客户端接收令牌请求,其中,所述令牌请求包括授权码;
通过验证所述授权码在所述令牌组件处验证所述令牌请求;以及
将令牌响应从所述令牌组件发送到所述计算客户端,其中,所述令牌响应包括与经认证的会话相关联的识别令牌、访问令牌以及访问令牌的以秒为单位的生命周期。
19.根据权利要求18所述的计算机可读介质,其中,所述计算机可执行指令还使所述处理器:
在用户信息组件处从所述计算客户端接收用户信息请求,其中,所述用户信息请求包括所述访问令牌;
通过验证访问令牌在所述用户信息组件处验证所述用户信息请求;以及
响应于验证所述用户信息请求,将终端用户数据从所述用户信息组件发送到所述计算客户端。
20.根据权利要求18所述的计算机可读介质,其中,所述安全授权服务器进一步被编程以发送所述识别令牌,所述识别令牌至少包括来自所述认证请求的所述安全认证请求标识符、标识算法的算法头部参数以及具有证书指纹的数字证书。
21.根据权利要求17所述的计算机可读介质,其中,所述安全认证请求标识符至少基于范围值、计算客户端标识符、所述认证响应将被发送到的重定向统一资源指示符(URI)、不透明值和将计算客户端会话与识别令牌相关联的字符串值。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/942,575 US9800580B2 (en) | 2015-11-16 | 2015-11-16 | Systems and methods for authenticating an online user using a secure authorization server |
| US14/942,575 | 2015-11-16 | ||
| PCT/US2016/057578 WO2017087113A1 (en) | 2015-11-16 | 2016-10-19 | Systems and methods for authenticating an online user using a secure authorizaton server |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108463982A true CN108463982A (zh) | 2018-08-28 |
| CN108463982B CN108463982B (zh) | 2021-11-02 |
Family
ID=57223785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680078800.2A Active CN108463982B (zh) | 2015-11-16 | 2016-10-19 | 用于使用安全授权服务器来认证在线用户的系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (3) | US9800580B2 (zh) |
| EP (1) | EP3378209B1 (zh) |
| CN (1) | CN108463982B (zh) |
| AU (2) | AU2016355066A1 (zh) |
| PL (1) | PL3378209T3 (zh) |
| RU (2) | RU2718237C2 (zh) |
| WO (1) | WO2017087113A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535851A (zh) * | 2019-08-27 | 2019-12-03 | 浪潮云信息技术有限公司 | 一种基于oauth2协议的用户认证系统 |
| CN111614668A (zh) * | 2020-05-20 | 2020-09-01 | 浩云科技股份有限公司 | 一种基于标准协议的统一认证授权方法及装置 |
| CN112771829A (zh) * | 2019-09-03 | 2021-05-07 | 谷歌有限责任公司 | 用于内容传送的认证控制的系统和方法 |
| CN112989426A (zh) * | 2021-04-30 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 授权认证方法及装置、资源访问令牌的获取方法 |
| CN113626770A (zh) * | 2021-08-04 | 2021-11-09 | 北京锐安科技有限公司 | 一种对应用程序的授权控制方法、装置、设备及存储介质 |
| CN113691378A (zh) * | 2021-08-24 | 2021-11-23 | 平安国际智慧城市科技股份有限公司 | 基于网关的Oauth2单点登录方法、装置、电子设备及存储介质 |
| CN113746882A (zh) * | 2020-05-28 | 2021-12-03 | 支付宝实验室(新加坡)有限公司 | 一种用户会话信息存储方法、装置及电子设备 |
| CN114338130A (zh) * | 2021-12-24 | 2022-04-12 | 北京达佳互联信息技术有限公司 | 信息的处理方法、装置、服务器及存储介质 |
| CN114499916A (zh) * | 2020-11-12 | 2022-05-13 | Sap欧洲公司 | 安全令牌撤销 |
| CN114616797A (zh) * | 2020-08-23 | 2022-06-10 | 谷歌有限责任公司 | 处理对控制存储在多个服务器处的信息的请求 |
| CN114793243A (zh) * | 2021-01-26 | 2022-07-26 | Sap欧洲公司 | 自包含格式的一次性使用授权码 |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9838424B2 (en) | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
| US20150281225A1 (en) * | 2014-03-27 | 2015-10-01 | Microsoft Corporation | Techniques to operate a service with machine generated authentication tokens |
| US10567381B1 (en) | 2015-12-17 | 2020-02-18 | Amazon Technologies, Inc. | Refresh token for credential renewal |
| US10148646B2 (en) * | 2016-07-20 | 2018-12-04 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
| US10057249B2 (en) * | 2016-07-20 | 2018-08-21 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
| US10375053B2 (en) * | 2016-09-09 | 2019-08-06 | Microsoft Technology Licensing, Llc | Cross-platform single sign-on accessibility of a productivity application within a software as a service platform |
| JP6857065B2 (ja) * | 2017-03-27 | 2021-04-14 | キヤノン株式会社 | 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム |
| US20190007212A1 (en) * | 2017-06-30 | 2019-01-03 | Intel Corporation | Secure unlock systems for locked devices |
| JP2019046059A (ja) * | 2017-08-31 | 2019-03-22 | キヤノン株式会社 | 権限委譲システム、制御方法、およびプログラム |
| CN109688586B (zh) * | 2017-10-19 | 2021-12-07 | 中兴通讯股份有限公司 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
| GB201719080D0 (en) * | 2017-11-17 | 2018-01-03 | Light Blue Optics Ltd | Device authorization systems |
| US11349665B2 (en) * | 2017-12-22 | 2022-05-31 | Motorola Solutions, Inc. | Device attestation server and method for attesting to the integrity of a mobile device |
| US10958647B2 (en) | 2017-12-29 | 2021-03-23 | Comcast Cable Communications, Llc | Methods, systems, and apparatuses for multi-factor message authentication |
| US10963553B2 (en) | 2018-02-15 | 2021-03-30 | Nokia Technologies Oy | Security management for service authorization in communication systems with service-based architecture |
| EP3709580A4 (en) * | 2018-02-21 | 2020-12-23 | NTT DoCoMo, Inc. | WIRELESS COMMUNICATION SYSTEM, SECURITY PROXY DEVICE AND RELAY DEVICE |
| US11115392B1 (en) * | 2018-03-07 | 2021-09-07 | Turbo Business Suite LLC | Consumer-authorized controlled distribution of trusted source data |
| US10965675B2 (en) | 2018-03-14 | 2021-03-30 | Bank Of America Corporation | Preventing unauthorized access to secure information systems using advanced pre-authentication techniques |
| US10999272B2 (en) | 2018-03-30 | 2021-05-04 | Lendingclub Corporation | Authenticating and authorizing users with JWT and tokenization |
| WO2019195143A1 (en) * | 2018-04-05 | 2019-10-10 | Visa International Service Association | System, method, and apparatus for authenticating a user |
| US11288351B2 (en) * | 2018-04-25 | 2022-03-29 | Google Llc | Delayed two-factor authentication in a networked environment |
| US10855670B2 (en) | 2018-05-03 | 2020-12-01 | Vmware, Inc. | Polling service |
| US10855669B2 (en) * | 2018-05-03 | 2020-12-01 | Vmware, Inc. | Authentication service |
| US11108762B2 (en) | 2018-06-05 | 2021-08-31 | The Toronto-Dominion Bank | Methods and systems for controlling access to a protected resource |
| WO2020002764A1 (en) * | 2018-06-29 | 2020-01-02 | Nokia Technologies Oy | Security management for service access in a communication system |
| US11146543B2 (en) * | 2018-07-12 | 2021-10-12 | Vmware, Inc. | Contact consolidation across multiple services |
| US11550940B2 (en) * | 2018-12-14 | 2023-01-10 | Sap Se | Tenant separation for analytical applications in a remote application integration scenario |
| US11609916B1 (en) * | 2019-06-21 | 2023-03-21 | Amazon Technologies, Inc. | Robotics application development and monitoring over distributed networks |
| JP7301669B2 (ja) * | 2019-08-07 | 2023-07-03 | キヤノン株式会社 | システム、認可サーバー、制御方法、プログラム |
| CN110730174B (zh) * | 2019-10-16 | 2021-12-31 | 东软集团股份有限公司 | 一种网络访问控制方法、装置、设备及介质 |
| CN111431908B (zh) * | 2020-03-26 | 2023-02-28 | 深圳壹账通智能科技有限公司 | 一种访问处理方法、装置,管理服务器及可读存储介质 |
| US11032270B1 (en) | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
| EP3687140B1 (en) * | 2020-04-07 | 2022-07-06 | CyberArk Software Ltd. | On-demand and proactive detection of application misconfiguration security threats |
| US11770377B1 (en) * | 2020-06-29 | 2023-09-26 | Cyral Inc. | Non-in line data monitoring and security services |
| US11323561B2 (en) * | 2020-09-25 | 2022-05-03 | Mitel Networks (International) Limited | Communication system for mitigating incoming spoofed callers using social media |
| CN112953965B (zh) * | 2021-03-18 | 2022-11-01 | 杭州网易云音乐科技有限公司 | 客户端登录方法及系统、客户端、介质、计算设备 |
| WO2024011101A1 (en) * | 2022-07-05 | 2024-01-11 | Capital One Services, Llc | Validation of a network operation related to use of a token via token-request-triggered storage of snapshot url data |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080154770A1 (en) * | 2003-06-04 | 2008-06-26 | Bruce Rutherford | Customer Authentication In E-Commerce Transactions |
| CN102638473A (zh) * | 2012-05-04 | 2012-08-15 | 盛趣信息技术(上海)有限公司 | 一种用户数据授权方法、装置及系统 |
| CN103023933A (zh) * | 2011-09-22 | 2013-04-03 | 北京尚良楷诚网络技术有限公司 | 一种登录信息集成处理系统及方法 |
| US20130191884A1 (en) * | 2012-01-20 | 2013-07-25 | Interdigital Patent Holdings, Inc. | Identity management with local functionality |
| US20140075513A1 (en) * | 2012-09-10 | 2014-03-13 | Adobe Systems Incorporated | Device token protocol for authorization and persistent authentication shared across applications |
| CN103795692A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 开放授权方法、系统与认证授权服务器 |
| WO2014109881A1 (en) * | 2013-01-09 | 2014-07-17 | Ping Identity Corporation | Methods and apparatus for increased security in issuing application tokens |
| US20140237250A1 (en) * | 2010-12-23 | 2014-08-21 | Microsoft Corporation | Registration and Network Access Control |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2693721B1 (fr) * | 1992-07-20 | 1994-10-21 | Ncs Pyrotechnie Technologies | Charge d'amorçage à percussion annulaire et son procédé de fabrication. |
| RU2199511C2 (ru) * | 2001-02-23 | 2003-02-27 | Федеральное государственное унитарное предприятие "Научно-производственное предприятие "Краснознаменец" | Воспламенительный ударный состав |
| US7020645B2 (en) | 2001-04-19 | 2006-03-28 | Eoriginal, Inc. | Systems and methods for state-less authentication |
| RU2209808C2 (ru) * | 2001-06-05 | 2003-08-10 | Федеральное государственное унитарное предприятие "Научно-производственное предприятие "Краснознаменец" | Воспламенительный неоржавляющий ударный состав |
| US7231661B1 (en) | 2001-06-21 | 2007-06-12 | Oracle International Corporation | Authorization services with external authentication |
| US8116734B2 (en) | 2006-08-22 | 2012-02-14 | Verizon Patent And Licensing Inc. | Party identification in a wireless network |
| CA2942312C (en) * | 2007-02-09 | 2019-05-28 | Vista Outdoor Operations Llc | Non-toxic percussion primers and methods of preparing the same |
| US8062443B2 (en) * | 2008-03-10 | 2011-11-22 | Pacific Scientific Energetic Materials Company | Lead-free primers |
| CN101662465B (zh) * | 2009-08-26 | 2013-03-27 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| AU2011205391B2 (en) * | 2010-01-12 | 2014-11-20 | Visa International Service Association | Anytime validation for verification tokens |
| FR2959896B1 (fr) * | 2010-05-06 | 2014-03-21 | 4G Secure | Procede d'authentification d'un utilisateur requerant une transaction avec un fournisseur de service |
| CN104025503B (zh) | 2011-12-28 | 2017-07-28 | 英特尔公司 | 使用客户端平台信任根的网页认证 |
| US9325696B1 (en) * | 2012-01-31 | 2016-04-26 | Google Inc. | System and method for authenticating to a participating website using locally stored credentials |
| EP2828814A4 (en) | 2012-04-18 | 2015-12-16 | Ebp Tecnologia Desenvolvimento De Sist S Ltda | SYSTEM AND METHOD FOR VERIFICATION AND AUTHENTICATION OF DATA AND IDENTITY |
| US20140229388A1 (en) | 2012-04-18 | 2014-08-14 | Edgard Lobo Baptista Pereira | System and Method for Data and Identity Verification and Authentication |
| US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US9160731B2 (en) * | 2013-09-06 | 2015-10-13 | International Business Machines Corporation | Establishing a trust relationship between two product systems |
| US20150150109A1 (en) | 2013-11-27 | 2015-05-28 | Adobe Systems Incorporated | Authenticated access to a protected resource using an encoded and signed token |
| US9858572B2 (en) | 2014-02-06 | 2018-01-02 | Google Llc | Dynamic alteration of track data |
| CA2972106C (en) * | 2014-12-23 | 2023-08-01 | General Dynamics, Ots - Canada, Inc. | Tungsten oxide primer compositions |
| US9409830B1 (en) * | 2015-03-30 | 2016-08-09 | The United States Of America As Represented By The Secretary Of The Army | Non-toxic primer mix |
| RU2646906C1 (ru) * | 2016-12-28 | 2018-03-12 | Акционерное общество "Центральный научно-исследовательский институт точного машиностроения" (АО "ЦНИИТОЧМАШ") | Капсюль-воспламенитель (варианты) |
-
2015
- 2015-11-16 US US14/942,575 patent/US9800580B2/en active Active
-
2016
- 2016-10-19 RU RU2018121828A patent/RU2718237C2/ru active
- 2016-10-19 PL PL16790494T patent/PL3378209T3/pl unknown
- 2016-10-19 EP EP16790494.5A patent/EP3378209B1/en active Active
- 2016-10-19 WO PCT/US2016/057578 patent/WO2017087113A1/en active Application Filing
- 2016-10-19 AU AU2016355066A patent/AU2016355066A1/en not_active Abandoned
- 2016-10-19 CN CN201680078800.2A patent/CN108463982B/zh active Active
-
2017
- 2017-10-20 US US15/789,793 patent/US9992199B2/en active Active
-
2018
- 2018-06-04 US US15/997,510 patent/US10484375B2/en active Active
-
2019
- 2019-02-21 RU RU2019104977A patent/RU2714187C1/ru active
- 2019-12-04 AU AU2019275598A patent/AU2019275598B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080154770A1 (en) * | 2003-06-04 | 2008-06-26 | Bruce Rutherford | Customer Authentication In E-Commerce Transactions |
| US20140237250A1 (en) * | 2010-12-23 | 2014-08-21 | Microsoft Corporation | Registration and Network Access Control |
| CN103023933A (zh) * | 2011-09-22 | 2013-04-03 | 北京尚良楷诚网络技术有限公司 | 一种登录信息集成处理系统及方法 |
| US20130191884A1 (en) * | 2012-01-20 | 2013-07-25 | Interdigital Patent Holdings, Inc. | Identity management with local functionality |
| CN102638473A (zh) * | 2012-05-04 | 2012-08-15 | 盛趣信息技术(上海)有限公司 | 一种用户数据授权方法、装置及系统 |
| US20140075513A1 (en) * | 2012-09-10 | 2014-03-13 | Adobe Systems Incorporated | Device token protocol for authorization and persistent authentication shared across applications |
| CN103795692A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 开放授权方法、系统与认证授权服务器 |
| WO2014109881A1 (en) * | 2013-01-09 | 2014-07-17 | Ping Identity Corporation | Methods and apparatus for increased security in issuing application tokens |
Non-Patent Citations (1)
| Title |
|---|
| " "S3-152224 pCR Specification of MCPTT User Authentication in 33.179"" * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535851A (zh) * | 2019-08-27 | 2019-12-03 | 浪潮云信息技术有限公司 | 一种基于oauth2协议的用户认证系统 |
| CN112771829A (zh) * | 2019-09-03 | 2021-05-07 | 谷歌有限责任公司 | 用于内容传送的认证控制的系统和方法 |
| CN111614668A (zh) * | 2020-05-20 | 2020-09-01 | 浩云科技股份有限公司 | 一种基于标准协议的统一认证授权方法及装置 |
| CN113746882A (zh) * | 2020-05-28 | 2021-12-03 | 支付宝实验室(新加坡)有限公司 | 一种用户会话信息存储方法、装置及电子设备 |
| CN114616797A (zh) * | 2020-08-23 | 2022-06-10 | 谷歌有限责任公司 | 处理对控制存储在多个服务器处的信息的请求 |
| CN114499916A (zh) * | 2020-11-12 | 2022-05-13 | Sap欧洲公司 | 安全令牌撤销 |
| CN114793243A (zh) * | 2021-01-26 | 2022-07-26 | Sap欧洲公司 | 自包含格式的一次性使用授权码 |
| US11757645B2 (en) | 2021-01-26 | 2023-09-12 | Sap Se | Single-use authorization codes in self-contained format |
| CN112989426A (zh) * | 2021-04-30 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 授权认证方法及装置、资源访问令牌的获取方法 |
| CN113626770A (zh) * | 2021-08-04 | 2021-11-09 | 北京锐安科技有限公司 | 一种对应用程序的授权控制方法、装置、设备及存储介质 |
| CN113691378A (zh) * | 2021-08-24 | 2021-11-23 | 平安国际智慧城市科技股份有限公司 | 基于网关的Oauth2单点登录方法、装置、电子设备及存储介质 |
| CN113691378B (zh) * | 2021-08-24 | 2024-07-05 | 平安国际智慧城市科技股份有限公司 | 基于网关的Oauth2单点登录方法、装置、电子设备及存储介质 |
| CN114338130A (zh) * | 2021-12-24 | 2022-04-12 | 北京达佳互联信息技术有限公司 | 信息的处理方法、装置、服务器及存储介质 |
| CN114338130B (zh) * | 2021-12-24 | 2024-01-09 | 北京达佳互联信息技术有限公司 | 信息的处理方法、装置、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10484375B2 (en) | 2019-11-19 |
| CN108463982B (zh) | 2021-11-02 |
| EP3378209A1 (en) | 2018-09-26 |
| US9800580B2 (en) | 2017-10-24 |
| US20180288047A1 (en) | 2018-10-04 |
| US20170142108A1 (en) | 2017-05-18 |
| AU2019275598A1 (en) | 2020-01-02 |
| WO2017087113A1 (en) | 2017-05-26 |
| AU2019275598B2 (en) | 2021-07-22 |
| US9992199B2 (en) | 2018-06-05 |
| RU2019104977A (zh) | 2019-12-19 |
| RU2714187C1 (ru) | 2020-02-12 |
| AU2016355066A1 (en) | 2018-05-31 |
| US20180048649A1 (en) | 2018-02-15 |
| RU2018121828A (ru) | 2019-12-19 |
| EP3378209B1 (en) | 2021-09-01 |
| RU2718237C2 (ru) | 2020-03-31 |
| PL3378209T3 (pl) | 2022-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108463982A (zh) | 用于使用安全授权服务器来认证在线用户的系统和方法 | |
| US11784791B2 (en) | Verifying an identity based on multiple distributed data sources using a blockchain to safeguard the identity | |
| KR102004829B1 (ko) | 유비쿼터스 환경에서 인증 | |
| US9767262B1 (en) | Managing security credentials | |
| CA2945703A1 (en) | Systems, apparatus and methods for improved authentication | |
| CN104662864A (zh) | 使用了移动认证应用的用户方便的认证方法和装置 | |
| US11444936B2 (en) | Managing security credentials | |
| JP6682453B2 (ja) | データ通信 | |
| KR101505667B1 (ko) | 주민번호의 수집 없는 회원가입, 인증 및 결제 방법 | |
| KR102313868B1 (ko) | Otp를 이용한 상호 인증 방법 및 시스템 | |
| US20160125410A1 (en) | System and Method for Detecting and Preventing Social Engineering-Type Attacks Against Users | |
| JP6009521B2 (ja) | 利用者特定システム、方法、およびプログラム | |
| US20230368233A1 (en) | System and methods for universal identification and passport management | |
| WO2015120176A1 (en) | Method and system of accessing computer accounts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |