CN1965304A - 用户认证系统、方法、程序以及记录有该程序的记录介质 - Google Patents
用户认证系统、方法、程序以及记录有该程序的记录介质 Download PDFInfo
- Publication number
- CN1965304A CN1965304A CNA2005800100051A CN200580010005A CN1965304A CN 1965304 A CN1965304 A CN 1965304A CN A2005800100051 A CNA2005800100051 A CN A2005800100051A CN 200580010005 A CN200580010005 A CN 200580010005A CN 1965304 A CN1965304 A CN 1965304A
- Authority
- CN
- China
- Prior art keywords
- user
- mentioned
- server
- certification policy
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 60
- 238000012795 verification Methods 0.000 claims description 45
- 235000014510 cooky Nutrition 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 34
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000003825 pressing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 239000000344 soap Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 244000287680 Garcinia dulcis Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003750 conditioning effect Effects 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
- Tires In General (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实现便利性更高的用户认证。本发明提供一种系统,是用于进行对含有相互确立了信赖关系的多个服务器的计算环境的用户认证的系统,包括:认证策略表,其注册有多个服务器中的至少一个服务器的认证策略;从用户接收认证信息的单元;使用认证策略表从多个服务器中确定至少一个采用与认证信息相适合的认证策略的服务器的单元;将指示使用认证信息进行用户认证的信号发送到由确定服务器的单元所确定的服务器的认证机构的单元;以及以用户认证成功为条件、允许用户对计算环境的访问的单元。
Description
技术领域
本发明总体涉及用户认证技术,更详细地,涉及一种在互联的计算环境中对用户进行认证的系统、方法以及程序。
背景技术
近年来,许多计算机相关企业都在为了利用因特网技术使商业事务自动化而进行web服务相关技术的开发。web服务的目的之一在于实现多个企业系统之间的电子商务的高效化。更详细地,web服务通过搜索与基于web的应用·程序自动相关的其他应用·程序,来提供实现多个企业系统之间的协作的机制。
作为用于这样的web服务的安全标准的“WS-Security”,被国际商业机器公司、微软公司以及VeriSign(ベリサイン)公司所公开(非专利文献1)。在“WS-Security”中,定义了在包括相互确立了信赖关系的多个服务器的互联的计算环境中实现单点注册的机制。这里,所谓“信赖关系”,是指就在两个或两个以上服务器中的任意一个的认证系统中用户认证成功而言,对于其他的服务器来说对该用户也作为被认证后的来进行处理的情况下的这两个或两个以上服务器之间的关系。此外,上述互联的标准的一个例子作为“WS-Federation”被公开(非专利文献2)。
在背景技术中,用户在利用包括多个服务器的互联的计算环境的情况下,为了获得安全令牌而使用多个服务器中的任意一个服务器的认证系统进行用户认证。接着,在含有所获得的安全令牌的SOAP(Simple ObjectAccess Protocol,简单对象访问协议)消息中签上署名,并向提供web服务的服务器发送该SOAP消息。接收到SOAP消息的服务器检验该SOAP消息中所包含的安全令牌,并根据检验的成功,对用户进行服务的返回。
上述的“WS-Security”标准如果通过正式地被接受、作为产品被安装而得到普及,则将加速企业间系统的无缝合作,从而将实现例如多个企业系统所参与的大规模的供应链系统。
非专利文献1:丸山宏等著“Web Service Security(WS-Security)”,2002年4月5日,国际商业机器公司/微软公司/VeriSign公司发行。
非专利文献2:丸山宏等著“Web Service Federation Language(WS-Federation)”,2003年7月8日,国际商业机器公司/微软公司/VeriSign公司发行。
在互联的计算环境中,如果所有服务器的认证系统均采用相同的认证策略(认证策略是包括指纹认证、声纹认证等认证形式、各个认证形式等的规约(字符数、有效期限、数据大小等)以及含有它们的组合的所有用户认证的形式的概念),则用户通过注册相同的认证信息,可以使用自身的“唯一的”认证信息进行用户认证,而不会意识到自己在使用哪一个服务器的认证系统,从而来利用互联的计算环境。
然而,互联的计算环境中所包括的多个服务器的认证系统大多采用彼此不同的认证策略。这是因为,互联的计算环境预定的是能够独立地被使用的多个系统进行参与的情况。由于这样的性质,在互联的计算环境中所包括的第一服务器和第二服务器采用不同的认证策略的情况下,用户会分别对第一服务器和第二服务器设定适合于不同认证策略的认证信息。
在这样的计算环境中,用户在存储服务器的认证系统与认证信息的对应关系上,会强调正确地认知目前自己正在尝试哪一认证系统的认证而输入对应于该认证系统的认证信息。由于与参与到互联的计算环境中的服务器的增加成比例地,用户应该存储的认证信息的数量也会增加,从而该操作可能会成为用户的较大负担。
发明内容
因此,本发明的目的在于提供一种能够解决上述问题的认证系统、认证方法、认证程序。
为了解决上述问题,根据本发明的第一方式,提供一种系统,是用于进行对含有相互确立了信赖关系的多个服务器的计算环境的用户认证的系统,包括:认证策略表,其注册有多个服务器中的至少一个服务器的认证策略;从用户接收认证信息的单元;使用认证策略表从多个服务器中确定至少一个采用与认证信息相适合的认证策略的服务器的单元;将指示使用认证信息进行用户认证的信号发送到由确定服务器的单元所确定的服务器的认证机构的单元;以及以用户认证成功为条件、允许用户对计算环境的访问的单元。
此外,根据本发明的第二方式,提供一种方法,是含有相互确立了信赖关系的多个服务器的计算环境中的方法,其保存至少一个注册有多个服务器中的至少一个服务器的认证策略的认证策略表,该方法包括:从用户接收认证信息的步骤;使用认证策略表从多个服务器中确定至少一个采用与认证信息相适合的认证策略的服务器的步骤;将指示使用认证信息进行用户认证的信号发送到在确定服务器的步骤中确定的服务器的认证机构的步骤;以及以用户认证成功为条件、允许对计算环境的访问的步骤。
此外,根据本发明的第三方式,提供一种程序,是含有相互确立了信赖关系的多个服务器的计算环境中的程序,其保存至少一个注册有多个服务器的至少一个服务器的认证策略的认证策略表,认证程序使计算机执行:从用户接收认证信息的步骤;使用认证策略表从多个服务器中确定至少一个采用与认证信息相适合的认证策略的服务器的步骤;将指示使用认证信息进行用户认证的信号发送到在确定服务器的步骤中确定的服务器的认证机构的步骤;以及以用户认证成功为条件、允许对计算环境的访问的步骤。
此外,作为本发明的第四方式,提供记录有上述程序的计算机可读的存储介质那样的计算机程序产品。
如果采用本发明,则在互联的计算环境中,能够实现便利性更高的用户认证。
附图说明
图1是表示本发明实施方式的互联的计算环境100的系统结构的一个例子的示意图;
图2是本发明实施方式中服务器300的功能方框图;
图3是表示本发明实施方式中确立服务器之间的信赖关系的操作流程的流程图;
图4是表示本发明实施方式中新用户认证信息的注册的操作流程的流程图;
图5是表示本发明实施方式中用户认证的操作流程的流程图;
图6是表示本发明实施方式中例外ID注册确认画面的图像的图;
图7是表示本发明实施方式中认证模式选择画面的图像的图;
图8是表示本发明实施方式中认证信息输入画面的图像的图;
图9是表示本发明实施方式中认证策略表324的一个例子的示意图;
图10是表示本发明实施方式中例外ID表325的一个例子的示意图;以及
图11是表示本发明实施方式中作为服务器300发挥作用的计算机的硬件结构的一个例子的图。
具体实施方式
下面,根据附图详细地说明用于实现本发明的最佳方式。此外,本发明可以用多种不同的方式来实现,而不应由实施方式的记载内容来限定及解释,此外,在实施方式中说明的全部的特征组合也不能限定为是本发明的解决手段所必须的。此外,在对实施方式的说明的全体中,对相同的要素赋予相同的标号。
在下面的实施方式中,虽然主要针对方法和系统进行说明,但是本领域的技术人员可以理解,本发明也可以作为能够在计算机中使用的程序来实现。因此,本发明可以采用作为硬件的实施方式、作为软件的实施方式或者作为软件与硬件的组合的实施方式。程序可以记录在硬盘、CD-ROM、光存储装置或者磁存储装置等任意的计算机可读介质中。
图1是表示本发明实施方式的互联的计算环境1000的系统结构的一个例子的示意图。互联的计算环境1000包括由网络200相互连接的客户机100以及多个服务器300-1~300-N(下面,根据需要统称为服务器300)。
客户机100是公知的可以与因特网连接的终端。本领域技术人员可以容易地实现这样的客户机100。此外,客户机100与网络200的连接也可以通过拨号连接等经由ISP(Internet Service Provier:因特网服务提供商,未图示)来实现。此外,从客户机100到ISP的连接并不局限于拨号连接,而也可以通过例如使用专用线路、LAN(Local Area Network,局域网)、WAN(Wide Area Network,广域网)、ADSL(Asymmetric DigitalSubscriber Line,非对称数字用户线)、CATV(Cable TeleviSion,有线电视)的永久连接来实现。
网络200是连接客户机100、服务器300的通信路径,作为一个例子,其可以利用因特网来实现。作为因特网的网络200,如所公知的,使用TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网协议)来连接系统间。在网络200中,利用由全球地址或局部地址表示的IP地址来确定相互通信的系统。
服务器300是根据来自客户机100的请求而提供服务的计算机装置。更详细地,服务器300-1~300-N使用公知的web服务技术,对于来自客户机100的服务请求,相互地协作而提供web服务。优选地,服务器300-1~300-N形成根据上述的“WS-Federation”标准相互确立了信赖关系的互联的计算环境1000。
图2是本实施方式的服务器300的功能框图。图2的功能框图中所示的各个要素,在具有后述的图11中所例示的硬件结构的计算机中,通过使硬件资源与软件协作来实现。
服务器300包括通信控制部310、用户认证处理部320、应用执行部330。通信控制部310将从网络200接收到的数据传送到用户认证处理部320或应用执行部330。通信控制部310也可以将从用户认证处理部320或应用执行部330接收到的数据发送到网络200。
用户认证处理部320根据通过通信控制部310接收的客户机100的用户访问请求进行认证处理。优选地,访问请求作为在客户机100的web浏览器中生成、被发送给网络200并由服务器300接收的HTTP(HyperTextTransfer Protocol,超文本传输协议)请求来实现,但并不局限于此。用户认证处理部320包括认证请求处理部321、认证信息管理部322、LDAP客户机323、认证策略表324、例外ID表325以及认证信息LDAP 326。
认证请求处理部321,分析来自客户机100的用户的访问请求,并在判定为发送访问请求的用户未认证的情况下,进行用户认证。即,认证请求处理部321参照认证策略表324,与互联的计算环境1000中包括的其他服务器的认证系统协作进行用户认证。
更详细地,认证请求处理部321具有根据判定为发送访问请求的客户机100的用户未认证的情况,向客户机100发送提示认证信息的输入的网页数据的功能。此外,认证请求处理部321具有如下功能:使用认证信息输入用网页接收所输入的用户的认证信息,使用认证策略表324确定该认证信息是否符合互联的计算环境1000中所包含的多个服务器中的任意一个服务器的认证系统的认证策略,并在所确定的服务器的认证系统的认证机构中,使用认证信息发送指示用户认证的信号。
进而,认证请求处理部321具有在判定为认证信息符合自身的认证策略的情况下、将该认证信息与存储在通过LDAP客户机323输入的认证信息LDAP326中的认证信息进行核对的认证机构。进而,认证请求处理部321具有在用户认证成功的情况下、发送允许对与客户机100互联的计算环境1000进行访问的安全令牌的功能。在本实施方式中,优选地,安全令牌是证书和cookie。
认证信息管理部322进行互联的计算环境1000中的认证信息的管理。优选地,认证信息管理部322具有对于互联的计算环境1000中所包含的服务器的认证系统的认证策略的认证策略表324进行注册、更新和参照处理的功能。此外,认证信息管理部322具有向认证信息LDAP注册通过LDAP客户机323从用户接收到的认证信息的功能。进而,认证信息管理部322具有这样的功能:在注册新用户的用户ID时,判定相同的用户ID是否已经在采用相同认证策略的其他服务器的认证系统中注册,并在判定为相同的用户ID已被注册的情况下,将该用户ID注册到例外ID表325中。
LDAP客户机323提供对于认证信息LDAP326的接口。更详细地,LDAP客户机323具有对来自服务器300的程序·组件或其他计算机的对于认证信息LDAP326的访问进行控制的功能。LDAP客户机323至少可以将从认证信息管理部322接收到的认证信息注册到认证信息LDAP326中,此外,可以根据认证请求处理部321等的请求获取在认证信息LDAP326中注册的认证信息。
认证策略表324是注册互联的计算环境1000中所包含的各个服务器的认证系统的认证策略的表。
图9是表示本发明实施方式中的认证策略表324的一个例子的图。在认证策略表324中,与认证策略相关联地注册有互联的计算环境1000中所包含的服务器的一部分或全部的地址·位置(优选地,该服务器的URL地址)。在图9中例示的认证策略表324中,在第一列注册认证策略,在第二列注册采用第一列的认证策略的服务器的地址。
此外,优选地,在认证策略表324中,注册互联的计算环境1000中所包含的全部服务器的地址·位置和认证策略。但是,需要注意,如后所述,本实施方式的用户认证,由于是根据地址·位置和认证策略被注册在认证策略表324中的服务器中的任意一个中的用户认证成功的情况来允许对于互联的计算环境1000的访问的,所以即使互联的计算环境1000中所包含的服务器的地址·位置和认证策略未被注册,本实施方式的用户认证也可以进行。
进而,在本发明实施方式的认证策略表324中,在存在采用相同的认证策略的多个服务器的情况下,与服务器地址相关联地注册表示从哪一个服务器的认证系统进行用户认证处理的优先级。优先级的值可以由系统管理员手动输入,也可以按在认证系统中注册的用户数量的多少顺序来分配值等,自动地确定。
更具体地,在本发明实施方式的认证策略表324中,注册有采用用户ID为“字母3字符+数字3字符”且口令为“字母4字符”的认证策略的三个服务器(地址为“server300-1.com”、“server300-2.com”、“server300-3.com”)。此外,还注册有采用用户ID为“字母8字符”且口令为“任意”的认证策略的两个服务器(地址为“server300-4.com”、“server300-5.com”)。
进而,在认证策略表324中,还注册有采用“指纹认证”且指纹认证的二进制数据的大小为“100字节”的认证策略的两个服务器(地址为“server300-6.com”、“server300-7.com”)以及采用“声纹认证”且声纹认证的二进制数据的大小为“200字节”的认证策略的一个服务器(地址为“server300-8.com”)。
例外ID表325是在互联的计算环境1000中所包含的各个服务器的认证系统之间不同的用户使用相同的用户ID的情况下、将该用户ID作为例外ID进行注册的表。
图10是表示本发明实施方式的例外ID表325的一个例子的图。在例外ID表325中,与例外ID相关联地注册有互联的计算环境1000中所包含的服务器的一部分或全部的地址·位置(优选地,该服务器的URL地址)。在图10中例示的例外ID表325中,在第一列注册服务器地址,在第二列注册第一列的服务器的认证系统的例外ID。
应用执行部330,为了实现已被认证的用户的服务请求,根据来自客户机100和/或互联的计算环境1000中所包含的服务器的请求,执行各种应用·程序。优选地,由应用执行部330执行的应用·程序,作为基于web的应用·程序而实现。在本发明的实施方式中,可以执行应用A(331)、应用B(332)、应用C(333)以及应用D(334)四种应用。
图3是表示确立多个服务器间的信赖关系的操作流程的流程图。在本实施方式中,在多个服务器300-1~300-N相互确立信赖关系的情况下,首先,服务器300-1根据图3中记载的操作流程,确立与还未确立信赖关系的服务器300-2~300-N的信赖关系。接着,服务器300-2同样根据图4中记载的操作流程,确立与还未确立信赖关系的服务器300-3~300-N的信赖关系。通过重复该过程直到服务器300-(N-1),来全部确立多个服务器300-1~300-N的相互信赖关系,从而形成互联的计算环境1000。
下面,以服务器300-1在与服务器300-2~300-N之间确立信赖关系的情况为例,详细地说明图3中所示的操作流程图。最初,服务器300-1向认证策略表324注册自身的认证策略(S3010)。接下来,通过根据公知的PKI(Pubulic Key Infrastracture,公钥基础架构)方式交换电子证书,来确立服务器300-1与服务器300-2之间的信赖关系(S3020)。
接下来,服务器300-1输入在S3020中确立信赖关系的对方服务器、即服务器300-2的认证策略。具体地,服务器300-1通过访问在服务器300-2中记载有存在于本地的服务器300-2的管理员所生成的认证策略的简档·表,来输入服务器300-2的认证策略。并且,将所输入的服务器300-2的认证策略注册到认证策略表324中(S3030),判定自身的认证策略与对方服务器300-2的认证策略是否相同(S3040)。在判定为服务器300-1与服务器300-2的认证策略不同的情况下,为了判定是否存在还未确立信赖关系的服务器,从“否”箭头前进到S3090。
在S3040中判定为服务器300-1与服务器300-2的认证策略相同的情况下,从“是”箭头前进到S3050,核查在服务器300-1与服务器300-2的认证信息LDAP326中是否存在相同的用户ID。在S3050中判定为在服务器300-1与服务器300-2的认证信息LDAP325中不存在相同的用户ID的情况下,为了判定是否存在还未确立信赖关系的服务器,从“否”箭头前进到S3090。
在S3050中判定为在服务器300-1和服务器300-2的认证信息LDAP中存在相同的用户ID的情况下,从“是”箭头前进到步骤S3060,向确立了服务器间的信赖关系的系统管理员所操作的终端显示图6中所示的例外ID注册确认画面。在本实施方式中,在服务器300-1和服务器300-2双方中注册有“ABC001”的用户ID,从而提示系统管理员确认该用户ID是否是同一用户所使用的。此外,在例外ID注册确认画面中,为了向系统管理员呈现确认提示,与服务器名、用户ID相关联地显示注册名(相对于服务器300-1的用户ID“ABC001”的注册名为“Tanaka Taro”、相对于服务器300-2的用户ID“ABC001”的注册名为“Hirota Keisuke”)。
接下来,前进到S3070,在系统管理员判定为在例外ID确认画面中显示的用户ID在服务器300-1和服务器300-2中由不同的用户所使用的情况下,系统管理员在例外ID确认画面中按下“注册”按钮。对应于“注册”按钮的按下,流程前进到S3080,该用户ID被注册到例外ID表325中。此后,为了判定是否存在还未确立信赖关系的服务器,从“否”箭头前进到S3090。
在S3070中系统管理员判定为在例外ID确认画面中显示的用户ID在服务器300-1和服务器300-2中由同一用户所使用的情况下,用户在例外ID确认画面中按下“不注册”按钮。对应于“不注册”按钮的按下,为了判定是否存在还未确立信赖关系的服务器,流程从“否”箭头前进到S3090。
在S3090,判定是否存在服务器300-1还未确立信赖关系的服务器。在S3090中判定为存在还未确立信赖关系的服务器的情况下,流程返回到S3030,通过与还未确立信赖关系的服务器执行步骤S3030~S3080,使服务器300-1与其它全部服务器300-2~300-N确立信赖关系。在S3090中判定为不再存在还未确立信赖关系的服务器的情况下,前进到“否”箭头,从而流程结束。
上述说明的是服务器300-1与其它服务器300-2~300-N确立信赖关系。通过针对300-2~300-N执行同样的处理,来形成在服务器300-1~300-N之间相互确立了信赖关系的互联的计算环境1000。
图4是表示新用户认证信息的注册的操作流程的流程图。下面参照图4详细地说明在参与到已经在多个服务器300-1~300-N间相互确立了信赖关系的互联的计算环境1000中的服务器300-1的认证系统中注册新用户认证信息的流程。此外,应该注意,在其它服务器300-2~300-N的认证系统中注册新用户认证信息的流程可以利用同样的处理来实现。
首先,从用户操作的客户机100接受新认证信息(S4010)。此外,在S4010,服务器300-1使用记载有服务器300-1的管理员所生成的认证策略的简档·表,进行新认证信息是否符合自己的认证策略的验证。接下来,判定在自己的认证信息LDAP326中是否存在与从客户机100接收到的认证信息中所包含的用户ID相同的用户ID(S4020)。在S4020中判定为存在相同的用户ID的情况下,由于不允许在同一服务器的认证系统中存在相同的用户ID,所以为了从用户接受其它的认证信息,从“是”箭头返回到S4010,再次接受新用户认证信息。在S4020中判定为不存在相同的用户ID的情况下,从“否”箭头前进到S4030。
在S4030中,服务器300-1使用存储在自身的存储装置中的认证策略表,确定在互联的计算环境1000中存在的、具有采用与自己相同的认证策略的认证系统的服务器。接下来,判定在S4030中作为具有采用与自己相同的认证策略的认证系统的服务器而确定的服务器之中的一个服务器的认证信息LDAP326中是否存在与新用户认证信息中所包含的用户ID相同的用户ID(S4040)。
在S4040中判定为在S4030中所确定的服务器之中的一个服务器的认证信息LDAP326中不存在相同的用户ID的情况下,为了判定是否存在其它的在S4030中确定的采用与300-1相同的认证策略的服务器,从“否”箭头前进到S4080。
在S4040中判定为在S4030中所确定的服务器之中的一个服务器的认证信息LDAP326中存在相同的用户ID的情况下,从“是”箭头前进到S4050,从而向要注册认证信息的用户所操作的客户机显示图6所示的例外ID注册确认画面。由于例外ID注册确认画面已经在图3中说明,所以这里不再详细说明。
接下来,前进到S4060,在要注册认证信息的用户判定为在例外ID确认画面中显示的用户ID不是自己所使用的情况下,用户在例外ID确认画面中按下“注册”按钮。对应于“注册”按钮的按下,流程前进到S4070,从而该用户ID被注册到例外ID表325中。此后,为了判定是否存在其它的在S4030中确定的采用与300-1相同的认证策略的服务器,从“否”箭头前进到S4080。
此外,在S4060中要注册认证信息的用户判定为在例外ID确认画面中显示的用户ID是自己所使用的情况下,用户在例外ID确认画面中按下“不注册”按钮。对应于“不注册”按钮的按下,为了判定是否存在其它的在S4030中确定的采用与300-1相同的认证策略的服务器,从“是”箭头前进到S4080。
在S4080中,判定是否还存在在S4030中确定的采用与服务器300-1相同的认证策略的服务器。在S4080中判定为还存在采用相同的认证策略的服务器的情况下,流程返回到S4040,通过与剩下的服务器执行步骤S4040~S4070,使服务器300-1将必要的信息注册到例外ID表中。在S4080中判定为不存在采用相同的认证策略的服务器的情况下,从“否”箭头前进到S4090,从而服务器300-1将新用户认证信息注册到自身的认证信息LDAP326中。
图5是表示本发明实施方式中用户认证的流程的流程图。下面,根据图5的流程图详细地说明,在从未认证的用户操作的客户机100对互联的计算环境1000中所包含的多个服务器的一个、即服务器300-1存在访问请求的情况下的用户认证的流程。此外,应该注意,可以利用同样的处理实现在其它的服务器300-2~300-N的认证系统中进行用户认证的情况。
服务器300-1从用户接收访问请求(S5010)。并且,通过检查在访问请求中是否含有安全令牌而判定为发出该访问请求的用户是未认证的服务器300-1,通过将图7中所示的认证模式选择画面的数据发送到用户操作的客户机,来提示用户进行认证模式的选择(S5020)。在用户在图7中例示的认证模式选择画面中按下“是”按钮、从而选择多认证模式的情况下,处理前进到S5040。此外,在用户在图7中例示的认证模式选择画面中按下“否”按钮、从而选择通常认证模式的情况下,处理前进到S5030,以不使用认证策略表的通常认证进行用户认证。由于通常认证是公知的,所以在此不进行详细的说明。
接下来,服务器300-1将图8中所示的、多认证模式中使用的认证画面的数据发送到用户的客户机(S5040)。接收到认证画面的数据的用户输入认证信息(S5050)。客户机向服务器300-1发送所输入的认证信息。
更详细地,在使用用户ID进行用户认证的情况下,用户通过操作键盘在图8中所示的认证信息输入画面的第一行输入用户ID。在不使用用户ID进行用户认证的情况下,用户复选第一行的“不使用”复选框。此外,在使用口令进行用户认证的情况下,用户通过操作键盘在图8中所示的认证画面的第二行输入口令。在不使用口令进行用户认证的情况下,用户复选第二行的“不使用”复选框。在使用指纹认证、声纹认证等字符数据以外的数据(即二进制数据)进行用户认证的情况下,用户不复选图8中所示的认证画面的第三行的“不使用”复选框,而按下“OK”按钮,从而接着进行二进制数据的输入(例如,对于指纹认证来说,将手指放置在指纹数据输入盘上,对于声纹认证来说,向麦克风发出声音等)。在不使用口令进行用户认证的情况下,用户复选第二行的“不使用”复选框。
处理前进到S5050,服务器300-1参照自己的认证策略表,获得采用适合于用户输入的认证信息的认证策略的一个或一个以上服务器的地址(S5060)。例如,在服务器300-1使用图9的认证策略表且认证信息中含有用户ID“XYZ001”、口令“WXYZ”的情况下,由于适合于用户ID为“字母3字符+数字3字符”且口令为“字母4字符”的认证策略,所以服务器300-1获得三个地址“server300-1.com”、“server300-2.com”、“server300-3.com”。
接下来,服务器300-1通过对在S5060中获得的地址所代表的服务器进行询问而判定在来自用户的认证信息中所包含的用户ID是否被注册到了例外ID表中。在判定为在认证信息中所包含的用户ID已被注册到了例外ID表中的情况下,从“是”箭头前进到S5080,从而进行例外处理。由于不能判定被注册到了例外ID表中的用户ID应在哪一个认证系统中进行用户认证,所以在例外处理中,服务器300-1向用户的客户机返回“由于该用户ID是例外ID,所以不能使用多认证模式。请以通常认证进行用户认证。”的消息,并结束处理。
在S5070中判定为来自用户的认证信息中所包含的用户ID未被注册到任何一个服务器的例外ID表中的情况下,从“否”箭头前进到S5090。在S5090,服务器300-1使用在S5060中获得的地址,将认证信息发送给认证策略相符合的服务器,并使用接收到认证信息的服务器的认证机构进行用户认证。优选地,服务器300-1根据认证策略表中的优先级的值确定从哪一个服务器进行用户认证。例如,在服务器300-1使用图9的认证策略表且在S5070中服务器300-1获得三个地址“server300-1.com”、“server300-2.com”、“server300-3.com”的情况下,最初由优先级值最高的“server300-1.com”的认证系统尝试进行用户认证。
处理前进到S5100,在判定为用户认证成功的情况下,进行用户认证的服务器获得身份信息(S5110),使用所获得的身份信息生成证书和cookie,并返回给用户(S5120)。此外,证书和cookie的生成以及向用户的返回也可以由从进行用户认证的服务器接收到用户认证成功的通知的服务器300-1进行。并且,允许用户使用接收到的证书和cookie访问互联的计算环境1000,并且认证处理结束。
此外,在本发明实施方式中,采用为了允许用户对互联的计算环境的访问而使用证书和cookie的方式进行了说明。但是,本领域技术人员明了,也可以使用URL编码、SAML令牌这样的其它公知的认证技术来代替证书和cookie。
在S5100判定为用户认证失败的情况下,判定是否还有在S5060中确定的、认证策略适合于用户的认证信息的服务器(S6130)。在S5130中判定为还有在S5060中确定的、认证策略适合于用户的认证信息的服务器的情况下,流程返回到S5090,通过对其它剩余的服务器进行S5090以后的处理,而再次尝试用户认证。在上述的服务器300-1使用图9的认证策略表并在S5070中服务器300-1获得三个地址“server300-1.com”、“server300-2.com”、“server300-3.com”的情况下,由于由“server300-1.com”的认证系统进行的认证已经失败,所以服务器300-1最初尝试由优先级的值次高的“server300-2.com”的认证系统进行用户认证,在其也失败的情况下,尝试由“server300-3.com”的认证系统进行用户认证。
在判定为没有剩余的在S5130中确定的认证策略适合于用户的认证信息的服务器、即在全部服务器中认证均失败的情况下,流程前进到S5140,不允许认证失败的用户对互联的计算环境1000的访问,且认证处理结束。
图11是为了实现本发明实施方式中使用的服务器300而例示优选的计算机装置的硬件结构的图。服务器300包括中央处理单元(CPU)1和主存储器4。CPU1和主存储器4通过总线2与作为辅助存储装置的硬盘装置13连接。此外,软盘装置20、MO装置28、CD-ROM装置26、29等可移动存储设备(可以交换存储介质的外部存储系统)通过相关联的软盘控制器19、IDE控制器25、SCSI控制器27等连接到总线2。
在软盘装置20、MO装置28、CD-ROM装置26、29等可移动存储设备中分别插入软盘、MO、CD-ROM等存储介质,在该软盘等、硬盘装置13、ROM14等中可以存储与操作系统协作而向CPU等提供命令、用于实现本发明的计算机程序的编码。通过被加载到主存储器4中,计算机程序得以执行。计算机程序也可以压缩或分割成多个而存储到多个介质中。
服务器300可以进一步具有鼠标等指示器7、键盘6、用于将可视数据提示给用户的显示器12等,作为用户接口硬件。此外,可以通过并行端口16与打印机(未图示)连接、通过串行端口15连接调制解调器(未图示)等。服务器300可以通过串行端口15和调制解调器、或者通过通信适配器18(以太网(R)卡、令牌环卡)等连接到网络,从而与其它的计算机等进行通信。
扬声器23经由放大器22接收由音频控制器21进行了D/A转换(数字/模拟转换)后的声音信号,并作为声音输出。此外,音频控制器21可以对从麦克风24接收到的声音信息进行A/D转换(模拟/数字转换),从而将系统外部的声音信息获取到系统中。
通过上述说明,可以容易地理解本发明实施方式中的服务器300通过主机、工作站、通常的个人计算机(PC)等信息处理装置或它们的组合来实现。但是,这些构成要素仅是示例,这所有的构成要素并非是本发明的必须构成要素。
特别地,这里说明的硬件结构中,由于即使没有软盘装置20、MO装置28、CD-ROM装置26、29等可移动存储设备、并行端口16、打印机、串行端口15、调制解调器、通信适配器18、扬声器23、音频控制器21、放大器22、麦克风24等也可以实现本发明的实施方式,所以也可以不包含在本发明实施方式中的服务器300中。
本领域的技术人员可以容易地想到组合多台机器、对其分配功能、从而实现本发明的实施方式中所使用的服务器300的各个硬件构成要素等各种变化,这些变化当然也是包括在本发明的思想中的概念。
服务器300可以采用微软公司提供的Windows(R)操作系统、国际商业机器公司提供的AIX、苹果计算机公司提供的MacOS或者支持Linux等GUI多窗口环境的操作系统,作为操作系统。
服务器300也可以采用国际商业机器公司提供的PC-DOS、微软公司提供的MS-DOS等基于字符的环境的操作系统,作为操作系统。此外,服务器300可以采用国际商业机器公司提供的OS/Open、Wind River Systems公司的Vx Works等实时OS、Java(R)OS等组合到网络计算机中的操作系统。
由上所述,可以理解,服务器300并不限于特定的操作系统环境。显而易见,服务器300-1~300-N也可以在彼此不同的操作系统环境下操作。
以上,如果采用本实施方式,则用户通过输入对于互联的计算环境1000中的任意一个服务器的认证系统的任一认证信息,来接受用户认证,而无需存储服务器的认证系统与认证信息的对应关系,且不会正确地意识到自己正在哪一个认证系统中尝试认证。
此外,在本实施方式中,由于仅在采用适合于从用户接收到的认证信息的认证策略的服务器的认证系统中进行用户认证,所以可以实现高速的用户认证。
以上,如果采用本发明,则可以容易地理解,在互联的计算环境中,可以实现便利性更高的用户认证。
以上,虽然使用本发明的实施方式进行了说明,但是本发明的技术范围并不局限于上述实施方式中记载的范围。本领域的技术人员明了,在上述实施方式中可以增加各种变化或改进。因此,增加了这样的变化或改进的方式当然也包含在本发明的技术范围内。
Claims (24)
1.一种系统,是用于进行对含有相互确立了信赖关系的多个服务器的计算环境的用户认证的系统,包括:
认证策略表,其注册有上述多个服务器中的至少一个服务器的认证策略;
从用户接收认证信息的单元;
使用上述认证策略表从上述多个服务器中确定至少一个采用与上述认证信息相适合的认证策略的服务器的单元;
将指示使用上述认证信息进行用户认证的信号发送到由确定上述服务器的单元所确定的服务器的认证机构的单元;以及
以上述用户认证成功为条件、允许上述用户对上述计算环境的访问的单元。
2.根据权利要求1所述的系统,进一步包括:
获得上述多个服务器中的至少一个服务器的认证策略的信息的单元;以及
将所获得的上述多个服务器中的至少一个服务器的认证策略与采用各认证策略的服务器的标识符相关联地注册到上述认证策略表的单元。
3.根据权利要求1所述的系统,进一步包括:
使用上述认证策略表确定采用相同的认证策略的两个或两个以上的服务器的单元;
判定在由确定上述服务器的单元确定为采用相同的认证策略的两个或两个以上的服务器的认证系统之间是否注册有相同的用户ID的单元;
以判定为注册有相同的用户ID为条件、接收判定该用户ID是否属于同一用户的情况的信息的单元;以及
以判定为上述用户ID不属于同一用户为条件、将该用户ID注册到例外处理表的单元。
4.根据权利要求1所述的系统,进一步包括:
接收新用户的认证信息的单元;
使用上述认证策略表确定采用与上述新用户的认证信息相同的认证策略的服务器的单元;
判定在上述所确定的服务器的认证系统中是否注册有与上述新用户的认证信息相同的用户ID的单元;
以注册有相同的用户ID为条件、接收判定该用户ID是否属于同一用户的情况的信息的单元;以及
以上述用户ID不属于同一用户为条件、将该用户ID注册到例外处理表的单元。
5.根据权利要求1所述的系统,其中上述认证策略是基于字符列的用户ID的认证、基于客户端证书的认证、生物体认证、笔迹认证中的至少一种。
6.根据权利要求1所述的系统,其中允许上述访问的单元包括生成用于进行对上述计算环境的访问的令牌的单元。
7.根据权利要求6所述的系统,其中上述令牌是cookie、由URL编码表示的认证信息、SAML令牌中的任意一种。
8.根据权利要求1所述的系统,包括:
对于多个计算环境的多个认证策略表;
其中,对应于从用户接收的认证信息适合于在上述多个认证策略表中注册的服务器的情况,分别针对上述多个计算环境进行用户认证。
9.一种方法,是含有相互确立了信赖关系的多个服务器的计算环境中的方法,其保存至少一个注册有上述多个服务器中的至少一个服务器的认证策略的认证策略表,该方法包括:
从用户接收认证信息的步骤;
使用上述认证策略表从上述多个服务器中确定至少一个采用与上述认证信息相适合的认证策略的服务器的步骤;
将指示使用上述认证信息进行用户认证的信号发送到在确定上述服务器的步骤中确定的服务器的认证机构的步骤;以及
以上述用户认证成功为条件、允许对上述计算环境的访问的步骤。
10.根据权利要求9所述的方法,包括:
获得上述多个服务器中的至少一个服务器的认证策略的信息的步骤;以及
将所获得的上述多个服务器中的至少一个服务器的认证策略与采用各认证策略的服务器的标识符相关联地注册到上述认证策略表的步骤。
11.根据权利要求9所述的方法,包括:
使用上述认证策略表确定采用相同的认证策略的两个或两个以上的服务器的步骤;
判定在确定上述服务器的步骤中被确定为采用相同的认证策略的两个或两个以上的服务器的认证系统之间是否注册有相同的用户ID的步骤;
以注册有相同的用户ID为条件、接收判定该用户ID是否属于同一用户的情况的信息的步骤;以及
以上述用户ID不属于同一用户为条件、将该用户ID注册到例外处理表的步骤。
12.根据权利要求9所述的方法,包括:
接收新用户的认证信息的步骤;
使用上述认证策略表确定采用与上述新用户的认证信息相同的认证策略的服务器的步骤;
判定在上述所确定的服务器的认证系统中是否注册有与上述新用户的认证信息相同的用户ID的步骤;
以注册有相同的用户ID为条件、接收判定该用户ID是否属于同一用户的情况的信息的步骤;以及
以上述用户ID不属于同一用户为条件、将该用户ID注册到例外处理表的步骤。
13.根据权利要求9所述的方法,其中上述认证策略是基于字符列的用户ID的认证、基于客户端证书的认证、生物体认证、笔迹认证中的至少一种。
14.根据权利要求9所述的方法,其中允许上述访问的步骤包括生成用于进行对上述计算环境的访问的令牌的步骤。
15.根据权利要求14所述的方法,其中上述令牌是cookie、由URL编码表示的认证信息、SAML令牌中的任意一种。
16.根据权利要求9所述的方法,包括:
(A)对采用上述认证策略表注册的相同的认证策略的两个或两个以上的服务器的每一个赋予优先级的步骤;
(B)对应于上述用户的认证信息适合于上述两个或两个以上的服务器所采用的认证策略的情况,指示上述两个或两个以上的服务器中的上述优先级最高的服务器的认证机构使用上述认证信息进行用户认证的步骤;
(C)对应于上述用户认证失败的情况,指示上述两个或两个以上的服务器中优先级次高的服务器的认证机构进行用户认证的步骤;
(D)重复上述步骤(C),直到上述两个或两个以上的服务器中的任意一个服务器中的用户认证成功或所有上述两个或两个以上的服务器中的用户认证均失败为止;以及
(E)以上述用户认证成功为条件,允许上述用户对上述计算环境的访问的步骤。
17.一种程序,是含有相互确立了信赖关系的多个服务器的计算环境中的程序,其保存至少一个注册有上述多个服务器的至少一个服务器的认证策略的认证策略表,上述认证程序使计算机执行:
从用户接收认证信息的步骤;
使用上述认证策略表从上述多个服务器中确定至少一个采用与上述认证信息相适合的认证策略的服务器的步骤;
将指示使用上述认证信息进行用户认证的信号发送到在确定上述服务器的步骤中确定的服务器的认证机构的步骤;以及
以上述用户认证成功为条件、允许对上述计算环境的访问的步骤。
18.根据权利要求17所述的程序,进一步使计算机执行:
获得上述多个服务器中的一个服务器的认证策略的信息的步骤;以及
将所获得的上述多个服务器中的一个服务器的认证策略与采用各认证策略的服务器的标识符相关联地注册到上述认证策略表的步骤。
19.根据权利要求17所述的程序,进一步使计算机执行:
使用上述认证策略表确定采用相同的认证策略的两个或两个以上的服务器的步骤;
判定在确定上述服务器的步骤中被确定为采用相同的认证策略的两个或两个以上的服务器的认证系统之间是否注册有相同的用户ID的步骤;
以注册有相同的用户ID为条件、接收判定该用户ID是否属于同一用户的情况的信息的步骤;以及
以上述用户ID不属于同一用户为条件、将该用户ID注册到例外处理表的步骤。
20.根据权利要求17所述的程序,进一步使计算机执行:
接收新用户的认证信息的步骤;
使用上述认证策略表确定采用与上述新用户的认证信息相同的认证策略的服务器的步骤;
判定在上述所确定的服务器的认证系统中是否注册有与上述新用户的认证信息相同的用户ID的步骤;
以注册有相同的用户ID为条件、接收判定该用户ID是否属于同一用户的情况的信息的步骤;以及
以上述用户ID不属于同一用户为条件、将该用户ID注册到例外处理表的步骤。
21.根据权利要求17所述的程序,其中上述认证策略是基于字符列的用户ID的认证、基于客户端证书的认证、生物体认证、笔迹认证中的至少一种。
22.根据权利要求17所述的程序,其中允许上述访问的步骤包括生成用于进行对上述计算环境的访问的令牌的步骤。
23.根据权利要求22所述的程序,其中上述令牌是cookie、由URL编码表示的认证信息、SAML令牌中的任意一种。
24.一种计算机可读的存储介质,记录有权利要求17至23中的任意一项的程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP099243/2004 | 2004-03-30 | ||
| JP2004099243 | 2004-03-30 | ||
| PCT/JP2005/002143 WO2005101220A1 (ja) | 2004-03-30 | 2005-02-14 | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1965304A true CN1965304A (zh) | 2007-05-16 |
| CN1965304B CN1965304B (zh) | 2011-06-01 |
Family
ID=35150179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800100051A Expired - Fee Related CN1965304B (zh) | 2004-03-30 | 2005-02-14 | 用户认证系统、方法、程序以及记录有该程序的记录介质 |
Country Status (8)
| Country | Link |
|---|---|
| US (5) | US7712129B2 (zh) |
| EP (1) | EP1732008A4 (zh) |
| JP (1) | JP4750020B2 (zh) |
| KR (1) | KR100968179B1 (zh) |
| CN (1) | CN1965304B (zh) |
| CA (1) | CA2561906C (zh) |
| TW (1) | TWI350095B (zh) |
| WO (1) | WO2005101220A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505217B (zh) * | 2008-12-31 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种管理内网主机的方法、装置及系统 |
| CN102970308A (zh) * | 2012-12-21 | 2013-03-13 | 北京网康科技有限公司 | 一种用户认证方法及服务器 |
| CN105141586A (zh) * | 2015-07-31 | 2015-12-09 | 广州华多网络科技有限公司 | 一种对用户进行验证的方法和系统 |
| CN107133755A (zh) * | 2009-10-08 | 2017-09-05 | 崔云虎 | 利用生物识别卡和csd跟踪集装箱和物流的系统 |
| CN110210200A (zh) * | 2019-05-28 | 2019-09-06 | 浪潮商用机器有限公司 | 服务器智能操作方法、装置、智能服务器及存储介质 |
| CN111611572A (zh) * | 2020-06-28 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 一种基于人脸认证的实名认证方法及装置 |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8468126B2 (en) | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
| US7917468B2 (en) * | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
| CA2561906C (en) | 2004-03-30 | 2014-03-25 | International Business Machines Corporation | System, method and program for user authentication, and recording medium on which the program is recorded |
| US20190268430A1 (en) | 2005-08-01 | 2019-08-29 | Seven Networks, Llc | Targeted notification of content availability to a mobile device |
| WO2007092715A2 (en) | 2006-02-06 | 2007-08-16 | Solidus Networks, Inc. | Method and system for providing online authentication utilizing biometric data |
| US8060931B2 (en) | 2006-09-08 | 2011-11-15 | Microsoft Corporation | Security authorization queries |
| US20080065899A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Variable Expressions in Security Assertions |
| US8201215B2 (en) | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
| US7814534B2 (en) * | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
| US20080066158A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Authorization Decisions with Principal Attributes |
| US20080066169A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Fact Qualifiers in Security Scenarios |
| US8095969B2 (en) | 2006-09-08 | 2012-01-10 | Microsoft Corporation | Security assertion revocation |
| US20080066147A1 (en) * | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
| US8656503B2 (en) | 2006-09-11 | 2014-02-18 | Microsoft Corporation | Security language translations with logic resolution |
| US8938783B2 (en) * | 2006-09-11 | 2015-01-20 | Microsoft Corporation | Security language expressions for logic resolution |
| US9807096B2 (en) | 2014-12-18 | 2017-10-31 | Live Nation Entertainment, Inc. | Controlled token distribution to protect against malicious data and resource access |
| US8220032B2 (en) * | 2008-01-29 | 2012-07-10 | International Business Machines Corporation | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith |
| US20090307744A1 (en) * | 2008-06-09 | 2009-12-10 | Microsoft Corporation | Automating trust establishment and trust management for identity federation |
| US20100162369A1 (en) * | 2008-12-19 | 2010-06-24 | Iomega Corporation | Automatically Adding User Names to Server User List |
| KR101156087B1 (ko) * | 2009-07-28 | 2012-06-20 | 인하대학교 산학협력단 | 다중 서버 환경의 생체인증시스템을 위한 작업량 예측기반 작업 스케줄링 방법 |
| JP5355487B2 (ja) * | 2010-04-26 | 2013-11-27 | キヤノン株式会社 | 画像送信装置、画像送信装置の認証方法 |
| JPWO2012140872A1 (ja) * | 2011-04-12 | 2014-07-28 | パナソニック株式会社 | サーバ連携システム |
| JP2013037704A (ja) * | 2012-09-11 | 2013-02-21 | Fuji Xerox Co Ltd | 利用制限管理装置、方法、プログラム |
| JP5429414B2 (ja) * | 2013-01-15 | 2014-02-26 | 富士通株式会社 | 識別情報統合管理システム,識別情報統合管理サーバ及び識別情報統合管理プログラム |
| US20150242597A1 (en) * | 2014-02-24 | 2015-08-27 | Google Inc. | Transferring authorization from an authenticated device to an unauthenticated device |
| JP2015194947A (ja) * | 2014-03-31 | 2015-11-05 | ソニー株式会社 | 情報処理装置及びコンピュータプログラム |
| US10547599B1 (en) * | 2015-02-19 | 2020-01-28 | Amazon Technologies, Inc. | Multi-factor authentication for managed directories |
| US9961076B2 (en) * | 2015-05-11 | 2018-05-01 | Genesys Telecommunications Laboratoreis, Inc. | System and method for identity authentication |
| US10522154B2 (en) | 2017-02-13 | 2019-12-31 | Google Llc | Voice signature for user authentication to electronic device |
| KR101986244B1 (ko) * | 2017-10-12 | 2019-06-05 | 한국인터넷진흥원 | 모바일 기기 기반의 생체인식 정보 검증 방법 |
| JP7215234B2 (ja) | 2019-03-05 | 2023-01-31 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
| JP7234699B2 (ja) * | 2019-03-05 | 2023-03-08 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
| JP7222792B2 (ja) * | 2019-04-03 | 2023-02-15 | キヤノン株式会社 | 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム |
| US11627138B2 (en) * | 2019-10-31 | 2023-04-11 | Microsoft Technology Licensing, Llc | Client readiness system |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5963915A (en) * | 1996-02-21 | 1999-10-05 | Infoseek Corporation | Secure, convenient and efficient system and method of performing trans-internet purchase transactions |
| US7580919B1 (en) | 1997-03-10 | 2009-08-25 | Sonicwall, Inc. | Query interface to policy server |
| US6021496A (en) * | 1997-07-07 | 2000-02-01 | International Business Machines Corporation | User authentication from non-native server domains in a computer network |
| US5948064A (en) * | 1997-07-07 | 1999-09-07 | International Business Machines Corporation | Discovery of authentication server domains in a computer network |
| ATE282990T1 (de) * | 1998-05-11 | 2004-12-15 | Citicorp Dev Ct Inc | System und verfahren zur biometrischen authentifizierung eines benutzers mit einer chipkarte |
| US6449615B1 (en) * | 1998-09-21 | 2002-09-10 | Microsoft Corporation | Method and system for maintaining the integrity of links in a computer network |
| JP2000106552A (ja) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | 認証方法 |
| US6832377B1 (en) * | 1999-04-05 | 2004-12-14 | Gateway, Inc. | Universal registration system |
| JP2000311138A (ja) | 1999-04-28 | 2000-11-07 | Nec Corp | サーバの分散認証システム及び方法 |
| US6697948B1 (en) * | 1999-05-05 | 2004-02-24 | Michael O. Rabin | Methods and apparatus for protecting information |
| JP3636948B2 (ja) * | 1999-10-05 | 2005-04-06 | 株式会社日立製作所 | ネットワークシステム |
| EP1104133A1 (en) * | 1999-11-29 | 2001-05-30 | BRITISH TELECOMMUNICATIONS public limited company | Network access arrangement |
| US20010020231A1 (en) * | 2000-04-24 | 2001-09-06 | Desktopdollars.Com | Marketing System and Method |
| US7082538B2 (en) * | 2000-10-03 | 2006-07-25 | Omtool, Ltd. | Electronically verified digital signature and document delivery system and method |
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US8117254B2 (en) * | 2000-12-15 | 2012-02-14 | Microsoft Corporation | User name mapping in a heterogeneous network |
| US7941669B2 (en) | 2001-01-03 | 2011-05-10 | American Express Travel Related Services Company, Inc. | Method and apparatus for enabling a user to select an authentication method |
| US6959336B2 (en) | 2001-04-07 | 2005-10-25 | Secure Data In Motion, Inc. | Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets |
| US20020194499A1 (en) * | 2001-06-15 | 2002-12-19 | Audebert Yves Louis Gabriel | Method, system and apparatus for a portable transaction device |
| GB2378010A (en) * | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Mulit-Domain authorisation and authentication |
| US7530099B2 (en) * | 2001-09-27 | 2009-05-05 | International Business Machines Corporation | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| JP2003224562A (ja) * | 2002-01-28 | 2003-08-08 | Toshiba Corp | 個人認証システム及びプログラム |
| US7584262B1 (en) * | 2002-02-11 | 2009-09-01 | Extreme Networks | Method of and system for allocating resources to resource requests based on application of persistence policies |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
| US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
| US7328237B1 (en) * | 2002-07-25 | 2008-02-05 | Cisco Technology, Inc. | Technique for improving load balancing of traffic in a data network using source-side related information |
| US7747856B2 (en) * | 2002-07-26 | 2010-06-29 | Computer Associates Think, Inc. | Session ticket authentication scheme |
| JP2004070416A (ja) * | 2002-08-01 | 2004-03-04 | Ricoh Co Ltd | ネットワークシステムにおけるユーザ認証方法及びシステム |
| US7249177B1 (en) * | 2002-11-27 | 2007-07-24 | Sprint Communications Company L.P. | Biometric authentication of a client network connection |
| US7599959B2 (en) * | 2002-12-02 | 2009-10-06 | Sap Ag | Centralized access and management for multiple, disparate data repositories |
| US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US20040162996A1 (en) * | 2003-02-18 | 2004-08-19 | Nortel Networks Limited | Distributed security for industrial networks |
| US8244841B2 (en) * | 2003-04-09 | 2012-08-14 | Microsoft Corporation | Method and system for implementing group policy operations |
| US7640324B2 (en) * | 2003-04-15 | 2009-12-29 | Microsoft Corporation | Small-scale secured computer network group without centralized management |
| US8108920B2 (en) * | 2003-05-12 | 2012-01-31 | Microsoft Corporation | Passive client single sign-on for web applications |
| WO2005003907A2 (en) * | 2003-06-26 | 2005-01-13 | Ebay Inc. | Method and apparatus to authenticate and authorize user access to a system |
| US7346923B2 (en) * | 2003-11-21 | 2008-03-18 | International Business Machines Corporation | Federated identity management within a distributed portal server |
| US7849320B2 (en) * | 2003-11-25 | 2010-12-07 | Hewlett-Packard Development Company, L.P. | Method and system for establishing a consistent password policy |
| CA2561906C (en) | 2004-03-30 | 2014-03-25 | International Business Machines Corporation | System, method and program for user authentication, and recording medium on which the program is recorded |
-
2005
- 2005-02-14 CA CA2561906A patent/CA2561906C/en not_active Expired - Fee Related
- 2005-02-14 EP EP05719090A patent/EP1732008A4/en not_active Withdrawn
- 2005-02-14 CN CN2005800100051A patent/CN1965304B/zh not_active Expired - Fee Related
- 2005-02-14 WO PCT/JP2005/002143 patent/WO2005101220A1/ja active Application Filing
- 2005-02-14 US US10/598,875 patent/US7712129B2/en not_active Expired - Fee Related
- 2005-02-14 KR KR1020067016914A patent/KR100968179B1/ko not_active IP Right Cessation
- 2005-02-14 JP JP2006512273A patent/JP4750020B2/ja not_active Expired - Fee Related
- 2005-03-10 TW TW094107303A patent/TWI350095B/zh not_active IP Right Cessation
-
2010
- 2010-04-27 US US12/767,832 patent/US8689302B2/en active Active
-
2013
- 2013-07-16 US US13/943,138 patent/US8839393B2/en not_active Expired - Fee Related
-
2014
- 2014-07-22 US US14/337,631 patent/US9253217B2/en not_active Expired - Fee Related
-
2016
- 2016-01-05 US US14/987,825 patent/US9584548B2/en active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505217B (zh) * | 2008-12-31 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种管理内网主机的方法、装置及系统 |
| CN107133755A (zh) * | 2009-10-08 | 2017-09-05 | 崔云虎 | 利用生物识别卡和csd跟踪集装箱和物流的系统 |
| CN107133755B (zh) * | 2009-10-08 | 2021-07-23 | 崔云虎 | 利用生物识别卡和csd跟踪集装箱和物流的系统 |
| CN102970308A (zh) * | 2012-12-21 | 2013-03-13 | 北京网康科技有限公司 | 一种用户认证方法及服务器 |
| CN105141586A (zh) * | 2015-07-31 | 2015-12-09 | 广州华多网络科技有限公司 | 一种对用户进行验证的方法和系统 |
| CN105141586B (zh) * | 2015-07-31 | 2018-07-10 | 广州华多网络科技有限公司 | 一种对用户进行验证的方法和系统 |
| CN110210200A (zh) * | 2019-05-28 | 2019-09-06 | 浪潮商用机器有限公司 | 服务器智能操作方法、装置、智能服务器及存储介质 |
| CN111611572A (zh) * | 2020-06-28 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 一种基于人脸认证的实名认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160142444A1 (en) | 2016-05-19 |
| WO2005101220A1 (ja) | 2005-10-27 |
| KR20070014124A (ko) | 2007-01-31 |
| US20070199059A1 (en) | 2007-08-23 |
| US8689302B2 (en) | 2014-04-01 |
| US7712129B2 (en) | 2010-05-04 |
| JP4750020B2 (ja) | 2011-08-17 |
| EP1732008A4 (en) | 2010-05-26 |
| US9584548B2 (en) | 2017-02-28 |
| US20130305313A1 (en) | 2013-11-14 |
| JPWO2005101220A1 (ja) | 2008-03-06 |
| CA2561906A1 (en) | 2005-10-27 |
| EP1732008A1 (en) | 2006-12-13 |
| US8839393B2 (en) | 2014-09-16 |
| US9253217B2 (en) | 2016-02-02 |
| TW200610351A (en) | 2006-03-16 |
| US20100212000A1 (en) | 2010-08-19 |
| CN1965304B (zh) | 2011-06-01 |
| KR100968179B1 (ko) | 2010-07-07 |
| TWI350095B (en) | 2011-10-01 |
| US20140366083A1 (en) | 2014-12-11 |
| CA2561906C (en) | 2014-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1965304B (zh) | 用户认证系统、方法、程序以及记录有该程序的记录介质 | |
| US7793095B2 (en) | Distributed hierarchical identity management | |
| CN103425924B (zh) | 信息处理装置、其控制方法以及图像处理装置 | |
| US10326758B2 (en) | Service provision system, information processing system, information processing apparatus, and service provision method | |
| US10362019B2 (en) | Managing security credentials | |
| CN110138718A (zh) | 信息处理系统及其控制方法 | |
| CN1783781A (zh) | 附带电子签名的电子文件交换支持方法及信息处理装置 | |
| CN101809585A (zh) | 密码管理 | |
| KR20180048600A (ko) | 법률 서면을 전자적으로 제공하는 시스템 및 방법 | |
| ZA200500060B (en) | Distributed hierarchical identity management | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| JP4768777B2 (ja) | パスワード管理システム、パスワード管理方法及びパスワード管理プログラム | |
| CN102546168A (zh) | 用于身份认证的通讯装置 | |
| CN113196263B (zh) | 用户认证系统、用户认证服务器及用户认证方法 | |
| JP4794939B2 (ja) | チケット型メンバ認証装置及び方法 | |
| CA2458257A1 (en) | Distributed hierarchical identity management | |
| JP2013097512A (ja) | ログイン認証システムおよび方法 | |
| JP5402301B2 (ja) | 認証用プログラム、認証システム、および認証方法 | |
| TWI645345B (zh) | 透過交易信物執行憑證作業之系統、裝置及其方法 | |
| EP3219074A1 (en) | Network based identity federation | |
| McDaniel | Authentication | |
| JP2006107360A (ja) | 認証連携システム、認証連携方法、管理サーバおよびプログラム | |
| JP2013015955A (ja) | 個人認証方法及びシステム | |
| JP2012141883A (ja) | サービス提供サーバ、認可情報取得方法及び認可情報取得プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110601 |