ES2774056T3 - Dispositivo servidor, método de servicio, programa y medio de registro de información legible por ordenador no transitorio - Google Patents

Dispositivo servidor, método de servicio, programa y medio de registro de información legible por ordenador no transitorio Download PDF

Info

Publication number
ES2774056T3
ES2774056T3 ES16903933T ES16903933T ES2774056T3 ES 2774056 T3 ES2774056 T3 ES 2774056T3 ES 16903933 T ES16903933 T ES 16903933T ES 16903933 T ES16903933 T ES 16903933T ES 2774056 T3 ES2774056 T3 ES 2774056T3
Authority
ES
Spain
Prior art keywords
access
application
access token
request
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16903933T
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rakuten Group Inc
Original Assignee
Rakuten Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rakuten Inc filed Critical Rakuten Inc
Application granted granted Critical
Publication of ES2774056T3 publication Critical patent/ES2774056T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Dispositivo (100) servidor configurado para recibir acceso desde múltiples aplicaciones (31, 32, 33) que se ejecutan en un dispositivo (200) terminal, en el que el dispositivo servidor está configurado adicionalmente para: recibir desde al menos una aplicación de las múltiples aplicaciones (31, 32, 33) una petición de inicio de sesión que especifica un nombre de usuario y una contraseña introducidos por un usuario (U) del dispositivo (200) terminal cuando un testigo de acceso emitido a la aplicación (31, 32, 33) no está almacenado en una región de almacenamiento no volátil reservada para la aplicación (31, 32, 33) por el dispositivo (200) terminal, y recibir, desde al menos una aplicación de las múltiples aplicaciones (31, 32, 33), una petición de acceso que especifica un testigo de acceso emitido a la aplicación (31, 32, 33) cuando el testigo de acceso no está almacenado en la región de almacenamiento no volátil, realizar autenticación con el nombre de usuario y la contraseña especificados en la petición de inicio de sesión cuando se recibe la petición de inicio de sesión transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal, emitir el testigo de acceso asociado con el nombre de usuario especificado en la petición de inicio de sesión a una aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión si la autenticación es satisfactoria, y transmitir el testigo de acceso emitido a la aplicación (31) de fuente de transmisión, y aprobar el acceso desde la aplicación (31) de fuente de transmisión; almacenar el testigo de acceso emitido en asociación con un código de identificación de terminal que presenta el dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión y con la adición de una fecha de expiración, y posponer las fechas de expiración dadas a otros testigos de acceso almacenados en asociación con el código de identificación de terminal; y aprobar el acceso desde una aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso y posponer las fechas de expiración dadas a todos los testigos de acceso almacenados en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión, cuando se recibe la petición de acceso transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal y el testigo de acceso especificado en la petición de acceso está almacenado en asociación con el código de identificación de terminal y como no expirado.

Description

DESCRIPCIÓN
Dispositivo servidor, método de servicio, programa y medio de registro de información legible por ordenador no transitorio
Campo técnico
La presente divulgación se refiere a un dispositivo servidor, a un método de servicio, a un programa y un medio de registro de información legible por ordenador no transitorio.
Técnica anterior
Recientemente, el uso generalizado de los denominados teléfonos inteligentes ha conducido al aumento en el uso de servicios con dispositivos terminales operados por el usuario que acceden a dispositivos servidor configurados por proveedores de servicios. Cuando los servicios se proporcionan de ese modo, se requiere autenticación en algunos casos para que el dispositivo servidor identifique al usuario.
En general, para la autenticación, se usa un modo en el que un dispositivo terminal transmite a un dispositivo servidor una petición de inicio de sesión que especifica un nombre de usuario y una contraseña (inicio de sesión). En otro modo, se usa un testigo de acceso para eliminar la tarea de introducir un nombre de usuario y una contraseña cuando se proporciona de nuevo un servicio a un dispositivo terminal una vez autenticado con la petición de inicio de sesión. El testigo de acceso se registra en el dispositivo terminal y el dispositivo terminal lo transmite al dispositivo servidor para la autenticación cuando el usuario pide un servicio.
Por ejemplo, el documento de patente 1 divulga una técnica con respecto a un método de autenticación que usa testigos de acceso. Según la técnica del documento de patente 1, el servidor de autorización emite un testigo de acceso a un cesionario del derecho de acceso en respuesta a una petición de un cedente del derecho de acceso. El cesionario del derecho de acceso puede autenticarse usando el testigo de acceso emitido. La técnica del documento de patente 1 pretende permitir el acceso a la información permitida por el cedente sin hacer referencia a la información crediticia del cedente (su propio nombre de usuario y contraseña).
Lista de referencias
Bibliografía de patentes
Documento de patente 1: Publicación denominada Kokai de solicitud de patente japonesa no examinada n.° 2015­ 201098.
El documento US 2007/0044146 A1 da a conocer un sistema en el que se realiza el procesamiento de autenticación de usuario y se devuelve una ID de sesión de autenticación a un terminal. Un servidor de autenticación emite y almacena un vale de autenticación. El vale de autenticación y la sesión de autenticación se devuelven al terminal. Un usuario transmite una petición de prestación de servicios y el vale de autenticación al servidor de un proveedor de servicios, y el servidor del proveedor de servicios transmite el vale de autenticación al servidor de autenticación. El servidor de autenticación realiza un procesamiento de autenticación del vale de autenticación y se notifica el resultado de la autenticación. En el caso de la aprobación de autenticación, se emite una ID de sesión de servicio junto con la notificación de autorización. Cuando se recibe la notificación de la aprobación de autenticación, el terminal realiza un procesamiento de establecimiento de la sesión usando la ID de sesión de servicio recibida y almacena la ID de sesión de servicio.
Problema técnico
Sin embargo, la técnica descrita anteriormente no puede reducir la carga de trabajo del usuario requerida para la autenticación en un entorno donde se ejecutan múltiples aplicaciones en el mismo dispositivo terminal.
En un entorno en el que se ejecutan múltiples aplicaciones en el mismo dispositivo terminal, a menudo se restringe la compartición de memoria entre aplicaciones. En particular, desde el punto de vista de la seguridad, en la mayoría de los casos no se permite compartir información importante, tal como la usada en la autenticación, con otras aplicaciones. En tal caso, para usar múltiples aplicaciones con la misma información de cuenta en el mismo dispositivo terminal, el usuario debe introducir información de autenticación para cada aplicación. Por tanto, aumenta la carga de trabajo del usuario para la autenticación.
La presente divulgación se realiza en vista del problema anterior. En otras palabras, un objetivo de la divulgación es reducir la carga de trabajo del usuario requerida para la autenticación cuando un dispositivo servidor proporciona servicios al mismo dispositivo terminal en el que se ejecutan múltiples aplicaciones.
Sumario
La presente invención proporciona un dispositivo servidor según la reivindicación 1.
La presente invención también proporciona un método de servicio según la reivindicación 8.
La presente invención también proporciona un programa según la reivindicación 9.
Efectos ventajosos de la invención
La presente divulgación puede reducir la carga de trabajo del usuario requerida para la autenticación cuando un dispositivo servidor proporciona servicios al mismo dispositivo terminal en el que se ejecutan múltiples aplicaciones.
Breve descripción de los dibujos
La figura 1 es un diagrama de bloques que muestra la configuración funcional del dispositivo servidor según una realización;
la figura 2 es un diagrama de bloques que muestra las configuraciones de hardware del dispositivo servidor y el dispositivo terminal;
la figura 3 es un diagrama de bloques que muestra la configuración funcional de una aplicación ejecutada por el dispositivo terminal;
la figura 4 es una tabla que muestra el contenido de los datos registrados en la BD de correspondencias de usuario/contraseña;
la figura 5 es una tabla que muestra el contenido de los datos registrados en la BD de testigos de acceso;
la figura 6 es un diagrama de flujo que muestra el procedimiento de petición de autenticación por el dispositivo terminal;
la figura 7 es un diagrama de flujo que muestra el procedimiento de autenticación de petición de inicio de sesión; y la figura 8 es un diagrama de flujo que muestra el procedimiento de autenticación de petición de acceso.
Descripción de realizaciones
A continuación se describirá una realización de la presente divulgación con referencia a los dibujos.
<Realización>
Un dispositivo 100 servidor según una realización de la presente divulgación es un dispositivo servidor que proporciona servicios a un usuario a través de aplicaciones que se ejecutan en un dispositivo terminal operado por el usuario. El dispositivo 100 servidor determina si una aplicación que se ejecuta en el dispositivo terminal puede dotarse de un servicio (autenticación) y proporciona el servicio sólo cuando la aplicación se autentica como un servicio que puede proporcionarse.
El dispositivo 100 servidor comprende, tal como se muestra en la figura 1, un autenticador 10 y un proveedor 13 de servicios. El autenticador 10 es una herramienta de función que recibe una petición de autenticación desde una aplicación que se ejecuta en un dispositivo 200 terminal operado por un usuario U y que realiza autenticación para determinar si puede proporcionarse un servicio. Además, el proveedor 13 de servicios es una herramienta de función que proporciona un servicio al usuario U a través de una aplicación 31 autenticada por el autenticador 10.
El autenticador 10 comprende un autenticador 11 de inicio de sesión y un autenticador 12 de testigo de acceso como herramienta de función para autenticar la aplicación 31.
El autenticador 11 de inicio de sesión recibe desde la aplicación 31 una petición de inicio de sesión que especifica un nombre de usuario y una contraseña. El autenticador 11 de inicio de sesión autentica la aplicación 31 cuando la combinación del nombre de usuario y la contraseña incluida en la petición de inicio de sesión recibida se registra en una BD 21 de correspondencias de usuario/contraseña.
Después de autenticar la aplicación de fuente de transmisión que ha transmitido la petición de inicio de sesión (la aplicación 31), el autenticador 11 de inicio de sesión emite un testigo de acceso a la aplicación y registra el testigo de acceso en una BD 22 de testigos de acceso. El autenticador 11 de inicio de sesión transmite el testigo de acceso emitido a la aplicación de fuente de transmisión (la aplicación 31). La aplicación 31 registra el testigo de acceso transmitido.
Para usar un servicio proporcionado por el dispositivo 100 servidor, si un testigo de acceso está almacenado en una región de almacenamiento no volátil para la aplicación 31 en el dispositivo 200 terminal, la aplicación 31 transmite una petición de acceso que especifica el testigo de acceso almacenado. Por otro lado, si no está almacenado ningún testigo de acceso en la región de almacenamiento no volátil, la aplicación 31 le pide al usuario U que introduzca un nombre de usuario y una contraseña. Cuando el usuario U introduce un nombre de usuario y una contraseña en respuesta a la petición, la aplicación 31 transmite una petición de inicio de sesión que especifica el nombre de usuario y la contraseña introducidos en el dispositivo 100 servidor.
El autenticador 12 de testigo de acceso recibe una petición de acceso que especifica un testigo de acceso desde la aplicación 31. Si el testigo de acceso incluido en la petición de acceso recibida está registrado en la BD 22 de testigos de acceso en asociación con un código de identificación de terminal que presenta el dispositivo terminal de fuente de transmisión (el dispositivo 200 terminal), el autenticador 12 de testigo de acceso autentica la aplicación 31.
Tal como se describió anteriormente, el dispositivo 100 servidor autentica la aplicación 31 mediante la combinación del autenticador 11 de inicio de sesión y el autenticador 12 de testigo de acceso. La aplicación 31 que se ejecuta en el dispositivo 200 terminal solicita al dispositivo 100 servidor la autenticación con un testigo de acceso cuando está registrado un testigo de acceso, y solicita al dispositivo 100 servidor la autenticación con un nombre de usuario y una contraseña introducidos por el usuario U cuando no está registrado ningún testigo de acceso. Por tanto, se solicita al usuario U que escriba cuando no está registrado ningún testigo de acceso (dicho de otro modo, no hay ningún registro de autenticación). Por otro lado, se usa el testigo de acceso registrado para la autenticación y se omite que el usuario U tenga que escribir cuando está registrado un testigo de acceso (dicho de otro modo, hay un registro de autenticación). Por tanto, puede reducirse la carga de trabajo del usuario U requerida para la autenticación.
El testigo de acceso son datos que comprenden una clave y una cadena de caracteres de autenticación tal como se describe más adelante. La clave es un número de identificación dado en exclusiva por el dispositivo 100 servidor como información que presenta un testigo de acceso. La cadena de caracteres de autenticación es una cadena de caracteres dada por el dispositivo 100 servidor para indicar que el testigo de acceso es legítimo. En general, el dispositivo 100 servidor facilita una cadena de caracteres aleatoria generada en condiciones específicas como cadena de caracteres de autenticación de testigo de acceso.
El dispositivo 100 servidor gestiona los testigos de acceso registrados en la BD 22 de testigos de acceso con la adición de fechas de expiración. Dicho de otro modo, incluso con una aplicación (o un dispositivo terminal) una vez autenticada y que tiene un testigo de acceso emitido, el testigo de acceso expira a menos que la aplicación (el dispositivo terminal) se autentique para una fecha de expiración dada. Cuando el testigo de acceso expira, el usuario tiene que introducir un nombre de usuario y una contraseña para la autenticación mediante un inicio de sesión con el fin de recibir el servicio desde el dispositivo 100 servidor con la aplicación o el dispositivo terminal asociado con el testigo de acceso.
Además, cuando el dispositivo 100 servidor autentica una aplicación (y un dispositivo terminal) con una petición de acceso que incluye un testigo de acceso, el dispositivo 100 servidor pospone la fecha de expiración del testigo de acceso. Por tanto, cuando el usuario recibe repetidamente un servicio desde el dispositivo 100 servidor a través de la aplicación antes de la fecha de expiración (dicho de otro modo, se autentica con un testigo de acceso), el usuario puede recibir continuamente el servicio desde el dispositivo 100 servidor sin introducir un nombre de usuario y una contraseña.
El dispositivo 200 terminal puede ejecutar aplicaciones distintas de la aplicación 31. Cuando el dispositivo 200 terminal ejecuta aplicaciones 32 y 33 usando el mismo dispositivo 100 servidor, el dispositivo 100 servidor puede autenticar las aplicaciones 31, 32 y 33 con la misma cuenta de usuario (autenticación con la combinación del mismo nombre de usuario y contraseña). Dicho de otro modo, si el dispositivo 100 servidor ha autenticado una petición de inicio de sesión transmitida por la aplicación 31 y luego la aplicación 32 transmite una petición de inicio de sesión que especifica el mismo conjunto de un nombre de usuario y una contraseña que el nombre de usuario y la contraseña especificados en esa petición de inicio de sesión, el dispositivo 100 servidor autentica la aplicación 32.
Al autenticar una aplicación, el autenticador 11 de inicio de sesión emite un testigo de acceso. El autenticador 11 de inicio de sesión registra el testigo de acceso emitido en la BD 22 de testigos de acceso y transmite el testigo de acceso emitido a la aplicación autenticada. El testigo de acceso transmitido se registra en una región de almacenamiento no volátil reservada para la aplicación por el dispositivo 200 terminal para cada aplicación autenticada. Dicho de otro modo, aunque se autentiquen múltiples aplicaciones con la misma cuenta de usuario (las aplicaciones 31, 32 y 33), el dispositivo 100 servidor emite testigos de acceso a las aplicaciones de manera individual. Las aplicaciones 31, 32 y 33 registran cada una su testigo de acceso emitido.
El dispositivo 200 terminal no permite compartir información sobre autenticación (un nombre de usuario, una contraseña, un testigo de acceso) entre aplicaciones que van a ejecutarse. Esto se debe a que la información sobre la autenticación es información muy importante en lo que se refiere a la seguridad y se pretende reducir el riesgo de una filtración de información tan importante. Por tanto, la aplicación 31 no puede autenticarse con referencia al testigo de acceso registrado en la aplicación 32.
Por otro lado, el dispositivo 100 servidor usa datos comunes (la BD 21 de correspondencias de usuario/contraseña y la BD 22 de testigos de acceso) para autenticar múltiples aplicaciones. Por tanto, cuando la aplicación 31 que se ejecuta en el dispositivo 200 terminal accede al dispositivo 100 servidor, el dispositivo 100 servidor puede acceder a información sobre los testigos de acceso de aplicaciones que se ejecutan en el mismo dispositivo 200 terminal (las aplicaciones 32 y 33).
Específicamente, cuando el dispositivo 100 servidor autentica una petición de inicio de sesión desde la aplicación 31 a través del autenticador 11 de inicio de sesión, el dispositivo 100 servidor registra un testigo de acceso en la BD 22 de testigos de acceso en asociación con un código de identificación de terminal que presenta el dispositivo terminal en el que se ejecuta la aplicación 31 (el dispositivo 200 terminal) y con la adición de una fecha de expiración. Dicho de otro modo, el testigo de acceso se registra en la BD 22 de testigos de acceso junto con la información que presenta el dispositivo 200 terminal.
Cuando el dispositivo 100 servidor autentica una petición de inicio de sesión desde la aplicación 31, el dispositivo 100 servidor extrae un testigo de acceso emitido a una aplicación que se ejecuta en el dispositivo 200 terminal que es el mismo dispositivo terminal que la aplicación 31 y registrado en la BD 22 de testigos de acceso, y pospone la fecha de expiración del testigo de acceso extraído. Específicamente, el dispositivo 100 servidor identifica los testigos de acceso transmitidos a las aplicaciones 32 y 33 desde la BD 22 de testigos de acceso y actualiza las fechas de expiración adjuntas a fechas/momentos posteriores.
Además, cuando el dispositivo 100 servidor autentica una petición de acceso desde la aplicación 31, el dispositivo 100 servidor extrae un testigo de acceso emitido a una aplicación que se ejecuta en el dispositivo 200 terminal y registrado en la BD 22 de testigos de acceso, y pospone la fecha de expiración del testigo de acceso extraído. Específicamente, el dispositivo 100 servidor identifica los testigos de acceso transmitidos a las aplicaciones 31, 32 y 33 desde la BD 22 de testigos de acceso y actualiza las fechas de expiración adjuntas a fechas/momentos posteriores.
Al comprender la configuración descrita anteriormente, el dispositivo 100 servidor autentica aplicaciones que se ejecutan en el dispositivo 200 terminal (las aplicaciones 31, 32 y 33) y proporciona servicios a las aplicaciones autenticadas. Aunque no haya petición de autenticación (una petición de inicio de sesión o una petición de acceso) desde la aplicación 31 durante mucho tiempo, siempre que se realiza una petición de autenticación por la aplicación 32 que se ejecuta en el dispositivo 200 terminal que es el mismo dispositivo terminal antes de la fecha de expiración del testigo de acceso, se pospone la fecha de expiración del testigo de acceso emitido a la aplicación 31. Por tanto, es posible reducir la carga de trabajo del usuario requerida para la autenticación cuando un dispositivo servidor proporciona servicios al mismo dispositivo terminal en el que se ejecutan múltiples aplicaciones.
El dispositivo 100 servidor según esta realización comprende como hardware, tal como se muestra en la figura 2, un controlador 110, un dispositivo 120 de registro, un dispositivo 130 de operación, una pantalla 140 y una interfaz 150 de red. Estos están conectados entre sí mediante un bus 190 interno.
El controlador 110 comprende una unidad 111 central de procesamiento (CPU), una memoria 112 de solo lectura (ROM), una memoria 113 de acceso aleatorio (RAM), y similares. Cuando la CPU del controlador 110 ejecuta programas registrados en la ROM o la RAM, el controlador 110 controla todo el funcionamiento del dispositivo 100 servidor. El controlador 110 lee datos tales como programas del dispositivo 120 de registro según sea necesario y guarda datos en el dispositivo 120 de registro.
El dispositivo 120 de registro comprende un dispositivo de registro tal como una unidad de disco duro y una memoria flash, y almacena datos necesarios para que funcione el dispositivo 100 servidor.
El dispositivo 130 de operación comprende un teclado, un ratón, y similares, y recibe operaciones de entrada del usuario U y transmite las operaciones de entrada al controlador 110.
La pantalla 140 comprende una pantalla de cristal líquido o un monitor de tubo de rayos catódicos, y presenta visualmente información necesaria para el usuario del dispositivo 100 servidor.
La interfaz 150 de red conecta el dispositivo 100 servidor a una red. Cuando el dispositivo 100 servidor transmite información a otros dispositivos o recibe información desde otros dispositivos a través de una red, la interfaz 150 de red transmite la información recibida desde el controlador 110 a través del bus 190 interno descrito más adelante a otros dispositivos a través de una red, y transmite la información recibida desde otros dispositivos a través de una red al controlador 110 a través del bus 190 interno. Por ejemplo, el dispositivo 100 servidor transmite/recibe datos a/desde el dispositivo 200 terminal operado por el usuario U a través de la interfaz 150 de red. El usuario U se autentica y recibe servicios a través del dispositivo 200 terminal conectado al dispositivo 100 servidor a través de una red.
El dispositivo 200 terminal al que el dispositivo 100 servidor proporciona servicios comprende como hardware, tal como se muestra en la figura 2, un controlador 210, un dispositivo 220 de registro, un panel 230 táctil y una interfaz 250 de red. Estos están conectados entre sí mediante un bus 290 interno.
El controlador 210 comprende una CPU 211, una ROM 212, una RAM 213, y similares. Cuando la CPU del controlador 210 ejecuta programas registrados en la ROM o la RAM, el controlador 210 controla todo el funcionamiento del dispositivo 200 terminal.
El dispositivo 220 de registro comprende un dispositivo de registro tal como una unidad de disco duro y una memoria flash, y almacena datos necesarios para que funcione el dispositivo 200 terminal.
El panel 230 táctil es un dispositivo electrónico en el que se combinan una pantalla que puede presentar visualmente información y un dispositivo de detección de posición que detecta un punto tocado. El panel 230 táctil recibe operaciones de entrada por parte del usuario U por medio del dispositivo de detección de posición y transmite las operaciones de entrada al controlador 210. Además, el panel 230 táctil presenta visualmente información necesaria para el usuario U por medio de la pantalla.
La interfaz 250 de red conecta el dispositivo 200 terminal a una red. En particular, el dispositivo 200 terminal transmite/recibe datos a/desde el dispositivo 100 servidor a través de la interfaz 250 de red.
La aplicación 31 ejecutada por el dispositivo 200 terminal comprende los componentes mostrados en la figura 3. Dicho de otro modo, la aplicación 31 comprende, como herramientas de función, un receptor 31a de servicio que recibe un servicio desde el proveedor 13 de servicios del dispositivo 100 servidor y un autenticador 31b que se somete a autenticación por el dispositivo 100 servidor. Además, la aplicación 31 registra un testigo 31c de acceso en una región de almacenamiento no volátil del dispositivo 200 terminal que se asigna a la aplicación 31. El testigo 31c de acceso comprende una clave 31ca y una cadena 31cb de caracteres de autenticación.
La clave 31ca es información de identificación dada en exclusiva por el dispositivo 100 servidor para identificar el testigo de acceso.
La cadena 31cb de caracteres de autenticación es una cadena de caracteres emitida por el dispositivo 100 servidor en asociación con la clave, de modo que el testigo de acceso no se use incorrectamente. En la generación de un testigo de acceso, el dispositivo 100 servidor genera una clave que sirve como información de identificación como información única y añade a la clave una cadena de caracteres aleatoria generada en condiciones específicas para generar un testigo de acceso.
El testigo de acceso se emite y se gestiona por el dispositivo 100 servidor en la base de aplicación. Cuando el autenticador 31b realiza una petición de inicio de sesión usando un nombre de usuario y una contraseña y se aprueba la petición de inicio de sesión, la aplicación 31 registra un testigo de acceso transmitido por el dispositivo 100 servidor sin ningún cambio. La aplicación 31 registra y transmite el testigo 31c de acceso pero no corrige datos.
Puesto que el dispositivo 100 servidor emite testigos de acceso en la base de aplicación, la aplicación 31 y la aplicación 32 registran cada una en exclusiva un testigo de acceso. Dicho de otro modo, el testigo de acceso registrado por la aplicación 31 y el testigo de acceso registrado por la aplicación 32 se registran independientemente y sus contenidos no son iguales.
La aplicación 31 puede no registrar datos relacionados con la autenticación aparte del testigo 31c de acceso. Si el testigo 31c de acceso no está registrado o si el testigo 31c de acceso registrado no es válido, la aplicación 31 solicita que el usuario introduzca un nombre de usuario y una contraseña y transmite el nombre de usuario y contraseña introducidos al dispositivo 100 servidor. Sin embargo, después no se hará referencia al nombre de usuario y a la contraseña transmitidos.
El dispositivo 100 servidor registra datos mostrados en la figura 4 en la BD 21 de correspondencias de usuario/contraseña. Dicho de otro modo, el dispositivo 100 servidor registra nombres de usuario y contraseñas asociados con los nombres de usuario en la BD 21 de correspondencias de usuario/contraseña.
En este caso, en la figura 4, se muestran cadenas de caracteres que presentan las contraseñas tal como son. Sin embargo, es deseable registrar en la BD 21 de correspondencias de usuario/contraseña las cadenas de caracteres que presentan las contraseñas (o información correspondiente a las mismas) en un formato que garantice la seguridad. Por ejemplo, en la BD 21 de correspondencias de usuario/contraseña pueden registrarse cadenas de caracteres generadas mediante cifrado de las cadenas de caracteres de las contraseñas introducidas por los usuarios. En tal caso, para determinar si una cadena de caracteres introducida por el usuario coincide con la contraseña establecida, el dispositivo 100 servidor decodifica una contraseña cifrada registrada en la BD 21 de correspondencias de usuario/contraseña y determina si la cadena de caracteres introducida por el usuario coincide con la contraseña establecida.
Alternativamente, los valores resumen de las contraseñas introducidas por los usuarios pueden registrarse en la BD 21 de correspondencias de usuario/contraseña. En tal caso, para registrar la información correspondiente a una cadena de caracteres que presenta una contraseña, el dispositivo 100 servidor registra en la BD 21 de correspondencias de usuario/contraseña información generada mediante el uso de una función resumen basada en la cadena de caracteres que presenta la contraseña. Para determinar si una cadena de caracteres introducida por el usuario coincide con la contraseña establecida, el dispositivo 100 servidor determina si la información generada mediante el uso de una función resumen basada en la cadena de caracteres introducida por el usuario coincide con la información registrada en la BD 21 de correspondencias de usuario/contraseña. Además, el dispositivo 100 servidor puede registrar en la BD 21 de correspondencias de usuario/contraseña información generada mediante el uso de una función resumen basada en una cadena de caracteres obtenida añadiendo una cadena de caracteres denominada sal a una cadena de caracteres establecida por el usuario como contraseña (un valor resumen) en asociación con la sal.
El dispositivo 100 servidor registra datos mostrados en la figura 5 en la BD 22 de testigos de acceso. El dispositivo 100 servidor registra en la BD 22 de testigos de acceso información tal como un testigo de acceso que incluye una clave y una cadena de caracteres de autenticación, una ID de aplicación que es un número de identificación que presenta una aplicación, un nombre de usuario, una fecha de expiración dada al testigo de acceso, y un código de identificación de terminal que presenta un dispositivo terminal.
En la figura 5, la cadena de caracteres de autenticación de un testigo de acceso es una cadena aleatoria de 12 caracteres que comprende 12 caracteres alfanuméricos. Sin embargo, esto no es restrictivo y pueden usarse cadenas de caracteres aleatorias más largas como cadena de caracteres de autenticación.
Al autenticar una aplicación mediante el inicio de sesión, el dispositivo 100 servidor emite un testigo de acceso y registra el testigo de acceso en la BD 22 de testigos de acceso. Además, al hacer esto, el dispositivo 100 servidor registra una ID de aplicación que presenta la aplicación de fuente de transmisión que ha pedido la autenticación de inicio de sesión, un nombre de usuario autenticado por el inicio de sesión, y un código de identificación de terminal del dispositivo terminal en el que se ejecuta la aplicación de fuente de transmisión en asociación con el testigo de acceso. Además, tras la autenticación, el dispositivo 100 servidor da una fecha de expiración al testigo de acceso y registra la fecha de expiración dada en la BD 22 de testigos de acceso.
El procedimiento de petición de autenticación, que es el primer procedimiento que va a ejecutarse cuando la aplicación 31 se inicia en el dispositivo 200 terminal, se describirá con referencia a la figura 6. Cuando el usuario U realiza una operación de inicio, la aplicación 31 inicia el procedimiento de petición de autenticación.
En primer lugar, la aplicación 31 determina si un testigo de acceso está registrado en la región de almacenamiento no volátil asignada a la aplicación 31 en el dispositivo 200 terminal (etapa S11).
Si en la etapa S11 se determina que no está registrado ningún testigo de acceso (etapa S11: NO), la aplicación 31 pide al usuario que introduzca un nombre de usuario y una contraseña (etapa S12). La aplicación 31 presenta visualmente una forma para introducir un nombre de usuario y una contraseña e insta al usuario para que escriba a través del panel 230 táctil del dispositivo 200 terminal.
Cuando el usuario introduce un nombre de usuario y una contraseña, la aplicación 31 transmite una petición de inicio de sesión al dispositivo 100 servidor (etapa S13). La aplicación 31 transmite al dispositivo 100 servidor una petición de inicio de sesión que especifica el nombre de usuario y la contraseña introducida por el usuario.
Entonces, la aplicación 31 determina si el dispositivo 100 servidor aprueba el acceso (etapa S14). La aplicación 31 recibe una señal transmitida por el dispositivo 100 servidor en respuesta a la petición de inicio de sesión transmitida y determina si la señal recibida indica aprobación de acceso o denegación de acceso.
Si en la etapa S14 se determina que el dispositivo 100 servidor aprueba el acceso (etapa S14: SÍ), la aplicación 31 guarda un testigo de acceso (etapa S15). Cuando el dispositivo 100 servidor aprueba el acceso en respuesta a una petición de inicio de sesión, el dispositivo 100 servidor transmite a la aplicación 31 un testigo de acceso además de la señal que indica la aprobación de acceso tal como se describió anteriormente. La aplicación 31 recibe el testigo de acceso transmitido por el dispositivo 100 servidor y registra el testigo de acceso en la región de almacenamiento no volátil.
Posteriormente, la aplicación 31 inicia el uso de un servicio por parte del usuario (etapa S16). La aplicación 31 se conecta al proveedor 13 de servicios del dispositivo 100 servidor a través del receptor 31a de servicio. A partir de entonces, mientras continúa el uso del servicio desde el dispositivo 100 servidor por parte del usuario U, la aplicación 31 finaliza el procedimiento de petición de autenticación.
Si en la etapa S14 se determina que el dispositivo 100 servidor no aprueba el acceso (etapa S14: NO), se notificará al usuario la denegación del uso del servicio (etapa S17). Cuando el dispositivo 100 servidor no aprueba el acceso en respuesta a una petición de inicio de sesión, el dispositivo 100 servidor transmite una señal que indica la denegación de acceso a la aplicación 31. Al recibir la señal que indica la denegación de acceso desde el dispositivo 100 servidor, la aplicación 31 notifica al usuario U la denegación de prestación del servicio (autenticación no satisfactoria). Al terminar la etapa S17, la aplicación 31 finaliza el procedimiento de petición de autenticación.
Por otro lado, si en la etapa S11 se determina que un testigo de acceso está registrado (etapa S11: SÍ), la aplicación 31 transmite una petición de acceso con el testigo de acceso registrado al dispositivo 100 servidor (etapa S18). La aplicación 31 transmite al dispositivo 100 servidor el testigo de acceso registrado con la adición de un código de identificación de terminal que presenta el dispositivo 200 terminal.
Entonces, la aplicación 31 determina si el dispositivo 100 servidor aprueba el acceso (etapa S19). La aplicación 31 recibe una señal transmitida por el dispositivo 100 servidor en respuesta a la petición de acceso transmitida y determina si la señal recibida indica aprobación de acceso o denegación de acceso.
Si en la etapa S19 se determina que el dispositivo 100 servidor aprueba el acceso (etapa S19: SÍ), la aplicación 31 cambia el procesamiento a la etapa S16 descrita anteriormente e inicia el uso de un servicio por parte del usuario (etapa S16). La aplicación 31 se conecta al proveedor 13 de servicios del dispositivo 100 servidor a través del receptor 31a de servicio. A partir de entonces, mientras continúa el uso del servicio desde el dispositivo 100 servidor por parte del usuario U, la aplicación 31 finaliza el procedimiento de petición de autenticación.
Si en la etapa S19 se determina que el dispositivo 100 servidor no aprueba el acceso (etapa S19: NO), la aplicación 31 cambia el procesamiento a la etapa S17 descrita anteriormente y notifica al usuario la denegación de uso del servicio (etapa S17). Cuando el dispositivo 100 servidor no aprueba el acceso en respuesta a una petición de acceso, el dispositivo 100 servidor transmite una señal que indica la denegación de acceso a la aplicación 31. Al recibir la señal que indica la denegación de acceso desde el dispositivo 100 servidor, la aplicación 31 notifica al usuario U la denegación de prestación del servicio (autenticación no satisfactoria). Al terminar la etapa S17, la aplicación 31 finaliza el procedimiento de petición de autenticación.
Al ejecutar el procedimiento de petición de autenticación descrito anteriormente, el dispositivo 200 terminal transmite una petición de inicio de sesión o una petición de acceso al dispositivo 100 servidor e inicia el uso de un servicio sólo cuando se aprueba el acceso. A continuación en el presente documento se describirá el procedimiento de autenticación (el procedimiento de autenticación de petición de inicio de sesión y el procedimiento de autenticación de petición de acceso) ejecutado por el dispositivo 100 servidor para abordar el procedimiento de petición de autenticación del dispositivo 200 terminal.
Al recibir una petición de inicio de sesión desde la aplicación 31, el dispositivo 100 servidor inicia el procedimiento de autenticación de petición de inicio de sesión mostrado en la figura 7.
Al comienzo del procedimiento de autenticación de petición de inicio de sesión, el dispositivo 100 servidor extrae un nombre de usuario y una contraseña de la petición de inicio de sesión recibida (etapa S21). El dispositivo 100 servidor extrae un nombre de usuario y una contraseña de la petición de inicio de sesión recibida y los identifica como el nombre de usuario y la contraseña especificados por la petición de inicio de sesión.
Entonces, el dispositivo 100 servidor determina si la contraseña extraída está registrada en la BD 21 de correspondencias de usuario/contraseña en asociación con el nombre de usuario extraído (etapa S22), el dispositivo 100 servidor busca en la BD 21 de correspondencias de usuario/contraseña basándose en el nombre de usuario extraído y determina si la contraseña registrada en asociación con el nombre de usuario extraído coincide con la contraseña extraída.
Si en la etapa S22 se determina que la contraseña extraída no está registrada en asociación con el nombre de usuario extraído (etapa S22: NO), el dispositivo 100 servidor transmite la denegación de acceso a la aplicación 31 (etapa S27). Posteriormente, el dispositivo 100 servidor finaliza el procedimiento de autenticación de petición de inicio de sesión.
Por otro lado, si se determina que la contraseña extraída está registrada en asociación con el nombre de usuario extraído en la etapa S22 (etapa S22: SÍ), el dispositivo 100 servidor emite un testigo de acceso (etapa S23). El dispositivo 100 servidor genera y concatena una clave y una cadena de caracteres de autenticación de un testigo de acceso y emite el testigo de acceso.
Entonces, el dispositivo 100 servidor transmite a la aplicación 31 la aprobación de acceso y el testigo de acceso emitido (etapa S24). El dispositivo 100 servidor transmite a la aplicación 31 una señal que indica la aprobación de acceso y el testigo de acceso emitido en la etapa S23.
Entonces, el dispositivo 100 servidor registra el testigo de acceso emitido con la adición de una fecha de expiración (etapa S25). El dispositivo 100 servidor concatena y registra en la BD 22 de testigos de acceso como un único registro el testigo de acceso emitido, la información que presenta la fecha de expiración, una ID de aplicación que presenta la aplicación 31, y un código de identificación de terminal que presenta el dispositivo terminal en el que se ejecuta la aplicación 31 (el dispositivo 200 terminal).
Entonces, el dispositivo 100 servidor pospone las fechas de expiración de otros testigos de acceso que tienen el mismo código de identificación de terminal (etapa S26). El dispositivo 100 servidor lee de la BD 22 de testigos de acceso todos los registros en los que está registrado el código de identificación de terminal del dispositivo 200 terminal. El dispositivo 100 servidor pospone las fechas de expiración registradas en los registros distingos del registro registrado en la etapa S25 entre los registros leídos. Al terminar la etapa S26, el dispositivo 100 servidor finaliza el procedimiento de autenticación de petición de inicio de sesión.
Anteriormente se ha descrito el procedimiento de autenticación cuando el dispositivo 100 servidor recibe una petición de inicio de sesión desde la aplicación 31. A continuación en el presente documento se describirá el procedimiento de autenticación cuando el dispositivo 100 servidor recibe una petición de acceso con un testigo de acceso desde la aplicación 31 con referencia a la figura 8. Al recibir una petición de acceso desde la aplicación 31, el dispositivo 100 servidor inicia el procedimiento de autenticación de petición de acceso mostrado en la figura 8.
Al comienzo del procedimiento de autenticación de petición de acceso, el dispositivo 100 servidor identifica el código de identificación de terminal del dispositivo terminal que es la fuente de transmisión de la petición de acceso recibida (etapa S31). El dispositivo 100 servidor extrae un código de identificación de terminal que presenta el dispositivo terminal de fuente de transmisión (el dispositivo 200 terminal) de la petición de acceso.
Entonces, el dispositivo 100 servidor extrae un testigo de acceso de la petición de acceso recibida (etapa S32). El dispositivo 100 servidor extrae una parte correspondiente a un testigo de acceso de la petición de acceso recibida.
Entonces, el dispositivo 100 servidor determina si el testigo de acceso extraído está registrado de manera válida en la BD 22 de testigos de acceso (etapa S33). El dispositivo 100 servidor lee de la BD 22 de testigos de acceso el testigo de acceso extraído en la etapa S32 y determina si ha pasado la fecha de expiración dada al testigo de acceso. El dispositivo 100 servidor determina que el testigo de acceso extraído no está registrado de manera válida en la BD 22 de testigos de acceso (1) cuando el testigo de acceso extraído no está registrado en la BD 22 de testigos de acceso o (2) cuando el testigo de acceso extraído está registrado en la BD 22 de testigos de acceso pero ha expirado.
Si en la etapa S33 se determina que el testigo de acceso extraído no está registrado de manera válida en la BD 22 de testigos de acceso (etapa S33: NO), el dispositivo 100 servidor transmite la denegación de acceso a la aplicación 31 (etapa S36). Posteriormente, el dispositivo 100 servidor finaliza el procedimiento de autenticación de petición de acceso.
Por otro lado, si en la etapa S33 se determina que el testigo de acceso extraído está registrado de manera válida en la BD 22 de testigos de acceso (etapa S33: SÍ), el dispositivo 100 servidor transmite la aprobación de acceso a la aplicación 31 (etapa S34). El dispositivo 100 servidor transmite una señal que indica la aprobación de acceso a la aplicación 31.
Entonces, el dispositivo 100 servidor pospone las fechas de expiración de todos los testigos de acceso que tienen el código de identificación de terminal identificado en la etapa S31 (etapa S35). En la etapa S31, el dispositivo 100 servidor lee de la BD 22 de testigos de acceso todos los registros en los que está registrado el código de identificación de terminal identificado. El dispositivo 100 servidor pospone las fechas de expiración registradas en todos los registros leídos. Al terminar la etapa S35, el dispositivo 100 servidor finaliza el procedimiento de autenticación de petición de acceso.
Cuando el dispositivo 100 servidor autentica la aplicación 31 mediante los dos procedimientos de autenticación descritos anteriormente (el procedimiento de autenticación de petición de inicio de sesión y el procedimiento de autenticación de petición de acceso), el dispositivo 100 servidor pospone las fechas de expiración de los testigos de acceso de las aplicaciones 32 y 33 que se ejecutan en el mismo dispositivo terminal que la aplicación 31 (el dispositivo 200 terminal). Como resultado, puede eliminarse la entrada de un nombre de usuario y una contraseña cuando el usuario U recibe un servicio con la aplicación 32 ó 33.
En esta realización, el dispositivo 100 servidor gestiona las fechas de expiración de los testigos de acceso y por tanto, no es necesario que las aplicaciones que se ejecutan en el dispositivo 200 terminal compartan información. Por tanto, incluso en un entorno donde se restringe la compartición de memoria entre aplicaciones en el dispositivo 200 terminal y la aplicación 31 y la aplicación 32 no pueden acceder a los mismos datos, el dispositivo 100 servidor puede posponer la fecha de expiración del testigo de acceso emitido a la aplicación 32 junto con la autenticación de la aplicación 31.
Anteriormente se ha descrito una realización de la presente divulgación. La presente divulgación no se restringe al contenido descrito anteriormente. Por ejemplo, pueden realizarse las siguientes modificaciones.
En el procedimiento de autenticación de petición de acceso mostrado en la figura 8, si en la etapa S33 se determina que el testigo de acceso no está registrado de manera válida en la BD 22 de testigos de acceso, el dispositivo 100 servidor transmite la denegación de acceso a la aplicación 31 (etapa S36) y finaliza el procedimiento. Sin embargo, el dispositivo 100 servidor no solo puede denegar simplemente el acceso, sino también ordenar a la aplicación 31 de fuente de transmisión que transmita una petición de inicio de sesión.
La aplicación 31 no maneja información con respecto a la fecha de expiración de un testigo de acceso registrado y por tanto retiene el testigo de acceso tal como está después de que el testigo de acceso ha expirado. Entonces, cuando la aplicación 31 transmite un testigo de acceso expirado al dispositivo 100 servidor, el dispositivo 100 servidor ordena a la aplicación 31 que transmita una petición de inicio de sesión, notificando de ese modo la aplicación 31 que el testigo de acceso retenido ya no es válido. La aplicación 31 elimina el testigo de acceso registrado, solicita al usuario que introduzca un nombre de usuario y una contraseña, y transmite al dispositivo 100 servidor una petición de inicio de sesión que especifica el nombre de usuario y la contraseña introducidos. Autenticada con la petición de inicio de sesión, la aplicación 31 puede recibir un testigo de acceso válido desde el dispositivo 100 servidor.
Además, al dar una orden para transmitir una petición de inicio de sesión, el dispositivo 100 servidor puede extraer un nombre de usuario del registro que presenta el testigo de acceso en la BD 22 de testigos de acceso (cuando el testigo de acceso está registrado como expirado), y transmitir el nombre de usuario extraído a la aplicación 31. Presentando el nombre de usuario recibido al solicitar al usuario que introduzca un nombre de usuario y una contraseña, el dispositivo 200 terminal puede sugerir al usuario con qué nombre de usuario debe iniciar sesión el usuario.
Cuando se autentica una petición de acceso (o una petición de inicio de sesión) desde la aplicación 31, el dispositivo 100 servidor según esta realización pospone la fecha de expiración de un testigo de acceso emitido a otra aplicación (la aplicación 32) que se ejecuta en el mismo dispositivo terminal (el dispositivo 200 terminal). Con respecto a esto, la fecha de expiración puede posponerse en cualquier modo.
Por ejemplo, se supone que el dispositivo 100 servidor autentica una petición de acceso desde la aplicación 31 y pospone la fecha de expiración dada al testigo de acceso emitido a la aplicación 31 en un primer periodo, y como resultado la fecha de expiración dada a la aplicación 31 se establece en una primera fecha de expiración. Además, se supone que el plazo de validez restante del testigo de acceso emitido a la aplicación 31 antes de la ampliación es un segundo periodo. Entonces, el dispositivo 100 servidor puede posponer la fecha de expiración del testigo de acceso emitido a la aplicación 32 mediante los métodos siguientes:
(1) establecer la fecha de expiración para la misma fecha/momento que la nueva fecha de expiración del testigo de acceso emitido a la aplicación 31 (la primera fecha de expiración);
(2) posponer la fecha de expiración en un periodo correspondiente al periodo en que se pospone el testigo de acceso emitido a la aplicación 31 (el primer periodo); o
(3) siempre que el dispositivo 100 servidor amplíe el plazo de validez dado al testigo de acceso emitido a la aplicación 31 en un primer factor de multiplicación (el primer factor de multiplicación = (el primer periodo el segundo periodo) / el segundo periodo), ampliar el plazo de modo que el plazo de validez restante se amplíe en el primer factor de multiplicación en comparación con antes de la ampliación.
Como ejemplo del método (1) anterior, se supone que el dispositivo 100 servidor da una nueva fecha de expiración 31/3/2016 al testigo de acceso emitido a la aplicación 31. En tal caso, el dispositivo 100 servidor da la misma fecha/momento (31/3/2016) al testigo de acceso emitido a la aplicación 32 como fecha de expiración.
Como ejemplo del método (2) anterior, se supone que el dispositivo 100 servidor pospone la fecha de expiración del testigo de acceso emitido a la aplicación 31 en 10 días. En tal caso, el dispositivo 100 servidor pospone la fecha de expiración del testigo de acceso emitido a la aplicación 32 en el mismo periodo (10 días).
Como ejemplo del método (3) anterior, se supone que el plazo de validez restante del testigo de acceso emitido a la aplicación 31 antes de la ampliación es de cinco días y el dispositivo 100 servidor amplía el plazo en 10 días. En tal caso, el dispositivo 100 servidor amplía el plazo de validez del testigo de acceso emitido a la aplicación 31 en un factor de multiplicación de 3 (= 15/5). Cuando el plazo de validez restante del testigo de acceso emitido a la aplicación 32 antes de la ampliación es de siete días, el dispositivo 100 servidor amplía el plazo de validez en 14 días de modo que el plazo de validez restante se amplía en un factor de multiplicación de 3 en comparación con antes de la ampliación.
El dispositivo servidor según la realización de la presente divulgación puede realizarse también por un sistema informático convencional, no por un sistema dedicado. Por ejemplo, los programas para realizar las operaciones anteriores pueden almacenarse y distribuirse en un medio de registro legible por ordenador no transitorio, tal como un disco flexible, un disco compacto de memoria de solo lectura (CD-ROM), un disco versátil digital (DVD) y un disco magnetoóptico (MO) e instalarse en un sistema informáti
fuente que ejecuta los procedimientos descritos anteriormente. Además, los programas pueden almacenarse en una unidad de disco o similar de un dispositivo servidor en Internet y, por ejemplo, superponerse en ondas portadoras y descargarse en un ordenador.
Además, el dispositivo servidor según la realización de la presente divulgación no se realiza necesariamente por un solo dispositivo. Múltiples ordenadores pueden hacerse cargo de algunas de las funciones descritas anteriormente y proporcionar las funciones como un solo sistema que comprende los múltiples ordenadores.
Por tanto, esta descripción detallada, no debe considerarse en sentido limitativo, y el alcance de la invención se define sólo por las reivindicaciones incluidas, junto con el ámbito total de equivalentes al que dan derecho tales reivindicaciones.
Lista de signos de referencia
10 Autenticador
11 Autenticador de inicio de sesión
12 Autenticador de testigo de acceso
13 Proveedor de servicios
21 BD de correspondencia de usuario/contraseña BD
22 BD de testigos de acceso
31 Aplicación
31a Receptor de servicio
31b Autenticador
31c Testigo de acceso
32 Aplicación
33 Aplicación
100 Dispositivo servidor
110 Controlador
111 CPU
112 ROM
113 RAM
120 Dispositivo de registro
130 Dispositivo de operación
140 Pantalla
150 Interfaz de red
190 Bus interno
200 Dispositivo terminal
210 Controlador
211 CPU
212 ROM
213 RAM
220 Dispositivo de registro 230 Panel táctil
250 Interfaz de red
290 Bus interno
U Usuario

Claims (1)

  1. REIVINDICACIONES
    Dispositivo (100) servidor configurado para recibir acceso desde múltiples aplicaciones (31, 32, 33) que se ejecutan en un dispositivo (200) terminal, en el que el dispositivo servidor está configurado adicionalmente para:
    recibir desde al menos una aplicación de las múltiples aplicaciones (31, 32, 33) una petición de inicio de sesión que especifica un nombre de usuario y una contraseña introducidos por un usuario (U) del dispositivo (200) terminal cuando un testigo de acceso emitido a la aplicación (31, 32, 33) no está almacenado en una región de almacenamiento no volátil reservada para la aplicación (31, 32, 33) por el dispositivo (200) terminal, y
    recibir, desde al menos una aplicación de las múltiples aplicaciones (31, 32, 33), una petición de acceso que especifica un testigo de acceso emitido a la aplicación (31, 32, 33) cuando el testigo de acceso no está almacenado en la región de almacenamiento no volátil,
    realizar autenticación con el nombre de usuario y la contraseña especificados en la petición de inicio de sesión cuando se recibe la petición de inicio de sesión transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal,
    emitir el testigo de acceso asociado con el nombre de usuario especificado en la petición de inicio de sesión a una aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión si la autenticación es satisfactoria, y transmitir el testigo de acceso emitido a la aplicación (31) de fuente de transmisión, y aprobar el acceso desde la aplicación (31) de fuente de transmisión;
    almacenar el testigo de acceso emitido en asociación con un código de identificación de terminal que presenta el dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión y con la adición de una fecha de expiración, y posponer las fechas de expiración dadas a otros testigos de acceso almacenados en asociación con el código de identificación de terminal; y
    aprobar el acceso desde una aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso y posponer las fechas de expiración dadas a todos los testigos de acceso almacenados en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión, cuando se recibe la petición de acceso transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal y el testigo de acceso especificado en la petición de acceso está almacenado en asociación con el código de identificación de terminal y como no expirado.
    Dispositivo (100) servidor según la reivindicación 1, en el que
    el dispositivo (100) servidor está configurado adicionalmente para ordenar a la aplicación (31) de fuente de transmisión que transmita la petición de inicio de sesión cuando el testigo de acceso especificado en la petición de acceso recibida no está almacenado o ha pasado la fecha de expiración almacenada.
    Dispositivo (100) servidor según la reivindicación 2, en el que
    el dispositivo (100) servidor está configurado adicionalmente para:
    almacenar el testigo de acceso emitido en asociación con una combinación del código de identificación de terminal y el nombre de usuario especificado en la petición de inicio de sesión y con la adición de la fecha de expiración, y
    transmitir el nombre de usuario incluido en la combinación que incluye el código de identificación de terminal a la aplicación (31) de fuente de transmisión y ordenar a la aplicación (31) de fuente de transmisión que transmita la petición de inicio de sesión cuando el testigo de acceso especificado en la petición de acceso recibida está almacenado en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso y como expirado.
    Dispositivo (100) servidor según la reivindicación 1, en el que
    cuando el testigo de acceso especificado en la petición de acceso recibida está almacenado en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso y como no expirado y se pospone la fecha de expiración del testigo de acceso emitida a la aplicación (31) de fuente de transmisión hasta una primera fecha de expiración, el dispositivo (100) servidor está configurado para posponer las fechas de expiración dadas a todos los testigos de acceso emitidos a las otras aplicaciones (32, 33) y almacenados en asociación con el código de identificación de terminal hasta la primera fecha de expiración.
    Dispositivo (100) servidor según la reivindicación 1, en el que
    cuando el testigo de acceso especificado en la petición de acceso recibida está almacenado en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso y como no expirado y se pospone la fecha de expiración del testigo de acceso emitido a la aplicación (31) de fuente de transmisión en un primer periodo, el dispositivo (100) servidor está configurado para posponer las fechas de expiración dadas a todos los testigos de acceso emitidos a las otras aplicaciones (32, 33) y almacenados en asociación con el código de identificación de terminal en el primer periodo.
    Dispositivo (100) servidor según la reivindicación 1, en el que
    cuando el testigo de acceso especificado en la petición de acceso recibida está almacenado en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso y como no expirado y se amplía un plazo de validez del testigo de acceso emitido a la aplicación (31) de fuente de transmisión de modo que un plazo de validez restante del testigo de acceso se amplía en un primer factor de multiplicación en comparación con antes de la ampliación, el dispositivo (100) servidor está configurado para ampliar los plazos de validez dados a todos los testigos de acceso emitidos a las otras aplicaciones (32, 33) y almacenados en asociación con el código de identificación de terminal de modo que los plazos de validez restantes se amplían en el primer factor de multiplicación en comparación con antes de la ampliación.
    Sistema que comprende múltiples aplicaciones (31, 32, 33) configuradas para ejecutarse en un dispositivo (200) terminal y el dispositivo (100) servidor según la reivindicación 1, en el que:
    cada una de las múltiples aplicaciones está configurada para:
    solicitar a un usuario (U) que introduzca un nombre de usuario y una contraseña y que transmita una petición de inicio de sesión que especifica el nombre de usuario y la contraseña introducidos en el dispositivo (100) servidor cuando un testigo de acceso emitido a la aplicación (31, 32, 33) no está almacenado en una región de almacenamiento no volátil reservada para la aplicación (31, 32, 33) por el dispositivo (200) terminal; y
    transmitir al dispositivo (100) servidor una petición de acceso que especifica un testigo de acceso emitido a la aplicación (31, 32, 33) cuando el testigo de acceso está almacenado en la región de almacenamiento no volátil.
    Método de servicio por un dispositivo (100) servidor que recibe acceso desde múltiples aplicaciones (31, 32, 33) que se ejecutan en un dispositivo (200) terminal, comprendiendo el método de servicio:
    recibir desde al menos una aplicación de las múltiples aplicaciones una petición de inicio de sesión que especifica un nombre de usuario y una contraseña introducidos por un usuario (U) del dispositivo (200) terminal cuando un testigo de acceso emitido a la aplicación (31, 32, 33) no está almacenado en una región de almacenamiento no volátil reservada para la aplicación (31, 32, 33) por el dispositivo (200) terminal, y
    recibir desde al menos una aplicación de las múltiples aplicaciones, una petición de acceso que especifica el testigo de acceso emitido a la aplicación (31, 32, 33) cuando el testigo de acceso está almacenado en la región de almacenamiento no volátil, y el dispositivo (100) servidor,
    realizar autenticación con el nombre de usuario y la contraseña especificados en la petición de inicio de sesión cuando se recibe la petición de inicio de sesión transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal,
    emitir el testigo de acceso asociado con el nombre de usuario especificado en la petición de inicio de sesión a una aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión si la autenticación es satisfactoria, transmitir el testigo de acceso emitido a la aplicación (31) de fuente de transmisión, y aprobar el acceso desde la aplicación (31) de fuente de transmisión,
    almacenar el testigo de acceso emitido en asociación con un código de identificación de terminal que presenta el dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión y con la adición de una fecha de expiración, y posponer las fechas de expiración dadas a otros testigos de acceso almacenados en asociación con el código de identificación de terminal, y
    aprobar el acceso desde una aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso y posponer las fechas de expiración dadas a todos los testigos de acceso almacenados en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión cuando se recibe la petición de acceso transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal y el testigo de acceso especificado en la petición de acceso está almacenado en asociación con el código de identificación de terminal y como no expirado.
    Programa que comprende instrucciones que, cuando el programa se ejecuta por un ordenador que recibe acceso desde múltiples aplicaciones (31, 32, 33) que se ejecutan en un dispositivo (200) terminal, hacen que el ordenador lleve a cabo las etapas de:
    recibir, desde al menos una aplicación de las múltiples aplicaciones una petición de inicio de sesión que especifica un nombre de usuario y una contraseña introducidos por un usuario (U) del dispositivo (200) terminal cuando un testigo de acceso emitido a la aplicación (31, 32, 33) no está almacenado en una región de almacenamiento no volátil reservada para la aplicación (31, 32, 33) por el dispositivo (200) terminal y
    recibir, desde al menos una aplicación de las múltiples aplicaciones, una petición de acceso que especifica el testigo de acceso emitido a la aplicación (31, 32, 33) cuando el testigo de acceso está almacenado en la región de almacenamiento no volátil, y el dispositivo (100) servidor,
    un procedimiento de autenticación de inicio de sesión para realizar autenticación con el nombre de usuario y la contraseña especificados en la petición de inicio de sesión cuando se recibe la petición de inicio de sesión transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal;
    un procedimiento de aprobación para emitir el testigo de acceso asociado con el nombre de usuario especificado en la petición de inicio de sesión a una aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión si la autenticación es satisfactoria, transmitir el testigo de acceso emitido a la aplicación (31) de fuente de transmisión, y aprobar el acceso desde la aplicación (31) de fuente de transmisión;
    un primer procedimiento de ampliación para almacenar el testigo de acceso emitido en asociación con un código de identificación de terminal que presenta el dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de inicio de sesión y con la adición de una fecha de expiración, y posponer las fechas de expiración dadas a otros testigos de acceso almacenados en asociación con el código de identificación de terminal;
    un procedimiento de autenticación de petición de acceso para aprobar el acceso desde una aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso cuando se recibe la petición de acceso transmitida por cualquiera de las aplicaciones (31) que se ejecutan en el dispositivo (200) terminal y el testigo de acceso especificado en la petición de acceso está almacenado en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión y como no expirado; y
    un segundo procedimiento de ampliación para posponer las fechas de expiración dadas a todos los testigos de acceso almacenados en asociación con el código de identificación de terminal del dispositivo (200) terminal en el que se ejecuta la aplicación (31) de fuente de transmisión que ha transmitido la petición de acceso cuando el testigo de acceso especificado en la petición de acceso recibida está almacenado en asociación con el código de identificación de terminal y como no expirado.
ES16903933T 2016-05-30 2016-05-30 Dispositivo servidor, método de servicio, programa y medio de registro de información legible por ordenador no transitorio Active ES2774056T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/065917 WO2017208305A1 (ja) 2016-05-30 2016-05-30 サーバ装置、サービス方法、プログラム、ならびに、非一時的なコンピュータ読取可能な情報記録媒体

Publications (1)

Publication Number Publication Date
ES2774056T3 true ES2774056T3 (es) 2020-07-16

Family

ID=58666826

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16903933T Active ES2774056T3 (es) 2016-05-30 2016-05-30 Dispositivo servidor, método de servicio, programa y medio de registro de información legible por ordenador no transitorio

Country Status (5)

Country Link
US (1) US10650129B2 (es)
EP (1) EP3346405B1 (es)
JP (1) JP6118479B1 (es)
ES (1) ES2774056T3 (es)
WO (1) WO2017208305A1 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018097449A (ja) * 2016-12-09 2018-06-21 セイコーエプソン株式会社 受注システム、プリンター
KR102519627B1 (ko) * 2018-10-26 2023-04-06 삼성에스디에스 주식회사 토큰 기반 레거시 서비스 인증 방법 및 이를 지원하는 플랫폼 서비스 서버
JP7200619B2 (ja) * 2018-11-21 2023-01-10 株式会社リコー 情報処理システム、情報処理方法、情報処理装置、及びプログラム
EP3739834A1 (de) * 2019-05-13 2020-11-18 Siemens Aktiengesellschaft Verfahren, vorrichtung und anordnung zum verarbeiten von daten
CN110532742B (zh) * 2019-07-09 2023-04-14 中国平安财产保险股份有限公司 身份认证方法、装置、密钥设备及存储介质
US11640478B2 (en) * 2020-07-23 2023-05-02 Bank Of America Corporation Travel identity tokening

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7421733B2 (en) * 2002-02-06 2008-09-02 Hewlett-Packard Development Company, L.P. System and method for providing multi-class processing of login requests
JPWO2005015422A1 (ja) * 2003-08-11 2006-10-05 ソニー株式会社 認証方法、認証システム及び認証サーバ
JP2006031064A (ja) * 2004-07-12 2006-02-02 Hitachi Ltd セッション管理システム及び管理方法
JP4960685B2 (ja) * 2005-11-22 2012-06-27 株式会社リコー サービス処理システムおよびサービス処理制御方法
WO2009007148A1 (en) * 2007-07-10 2009-01-15 International Business Machines Corporation System and method of controlling access to services
EP2384040B1 (en) * 2010-04-29 2013-12-25 BlackBerry Limited Authentication server and method for granting tokens
JP5604176B2 (ja) * 2010-05-12 2014-10-08 日本放送協会 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム
US9531697B2 (en) * 2011-09-29 2016-12-27 Oracle International Corporation Configurable adaptive access manager callouts
JP6033990B2 (ja) * 2013-09-20 2016-11-30 オラクル・インターナショナル・コーポレイション 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス
JP5865420B2 (ja) 2014-04-09 2016-02-17 日本電信電話株式会社 Web情報アクセスシステムとそのアクセス権限譲渡方法
JP6235406B2 (ja) * 2014-05-08 2017-11-22 日本電信電話株式会社 認証方法と認証装置と認証プログラム
JP2016009276A (ja) * 2014-06-23 2016-01-18 富士通株式会社 システム、認証装置、認証プログラム、及び、認証方法
US10057190B2 (en) * 2015-10-16 2018-08-21 International Business Machines Corporation Service access management
KR102117584B1 (ko) * 2016-01-29 2020-06-26 구글 엘엘씨 로컬 디바이스 인증

Also Published As

Publication number Publication date
US10650129B2 (en) 2020-05-12
JP6118479B1 (ja) 2017-04-19
US20190080074A1 (en) 2019-03-14
JPWO2017208305A1 (ja) 2018-06-21
EP3346405B1 (en) 2020-01-29
EP3346405A1 (en) 2018-07-11
EP3346405A4 (en) 2018-09-12
WO2017208305A1 (ja) 2017-12-07

Similar Documents

Publication Publication Date Title
ES2774056T3 (es) Dispositivo servidor, método de servicio, programa y medio de registro de información legible por ordenador no transitorio
US10021087B2 (en) Method and system for providing a secure communication channel to portable privatized data
US10313881B2 (en) System and method of authentication by leveraging mobile devices for expediting user login and registration processes online
US9967261B2 (en) Method and system for secure authentication
EP3451617A1 (en) Authority transfer system, control method therefor, computer program and storage medium
ES2373476T3 (es) Procedimiento y dispositivo de generación de una contraseña dependiente de la hora.
JP7186346B2 (ja) 認証システム、認証装置及び認証方法
US20200295929A1 (en) Authentication device based on biometric information and operation method thereof
JP6025117B2 (ja) 電子クーポンの利用方法及び電子クーポンの利用システム
US20210152359A1 (en) Authentication device based on biometric information, control server and application server, and operation method thereof
JP2017507562A (ja) 識別および/または認証のシステムおよび方法
CN108092764B (zh) 一种密码管理方法、设备和具有存储功能的装置
JP2017073611A (ja) 情報処理システム、無線通信チップ、周辺機器、サーバ、アプリケーションプログラム、および情報処理方法
US11811882B2 (en) Guest access management in a mobile application
JP2005044054A (ja) 符号列の処理システム
JP2005535026A (ja) ネットワークを介したユニバーサルユーザーの情報登録の方法及びシステム
TW202018564A (zh) 基於臨時密碼之韌體存取權技術
JP2017073609A (ja) 周辺機器、無線通信チップ、アプリケーションプログラム、情報処理システム、および情報処理方法
JP6025118B2 (ja) 電子クーポンの利用方法及び電子クーポンの利用システム
JP3993132B2 (ja) オンライン認証装置、オンライン認証システム、及びオンライン認証方法
JP2011154445A (ja) 認証装置、認証方法、および認証プログラム
ES2790883T3 (es) Servidor de autenticación para el control de acceso a un servicio
KR20180135222A (ko) 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말
US11863994B2 (en) System and network for access control using mobile identification credential for sign-on authentication
JP6495996B1 (ja) ログイン管理システム、ログイン管理方法及びログイン管理プログラム