ES2796351T3 - Método y aparato para facilitar el inicio de sesión de una cuenta - Google Patents

Método y aparato para facilitar el inicio de sesión de una cuenta Download PDF

Info

Publication number
ES2796351T3
ES2796351T3 ES15853447T ES15853447T ES2796351T3 ES 2796351 T3 ES2796351 T3 ES 2796351T3 ES 15853447 T ES15853447 T ES 15853447T ES 15853447 T ES15853447 T ES 15853447T ES 2796351 T3 ES2796351 T3 ES 2796351T3
Authority
ES
Spain
Prior art keywords
server
account
identifier
external
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15853447T
Other languages
English (en)
Inventor
Jie Hua
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Original Assignee
Advanced New Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advanced New Technologies Co Ltd filed Critical Advanced New Technologies Co Ltd
Application granted granted Critical
Publication of ES2796351T3 publication Critical patent/ES2796351T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Un método para facilitar el inicio de sesión de cuenta, en el que el método se implementa por un primer servidor que se asocia con una primera cuenta que proporciona acceso a recursos del primer servidor, el método comprende: recibir (S101), desde un dispositivo terminal, una solicitud, generada por un navegador incorporado de una aplicación asociada con el primer servidor e instalada sobre el dispositivo terminal, para iniciar sesión en una segunda cuenta asociada con un segundo servidor, la segunda cuenta proporciona acceso a recursos del segundo servidor, en el que la solicitud incluye un primer identificador asociado con la primera cuenta y un segundo identificador asociado con el segundo servidor; generar la información de cuenta que se va a transmitir al segundo servidor en base al primer identificador; autenticar el segundo servidor para confirmar que el segundo servidor está autorizado para recibir el primer identificador; y transmitir (S103), en base al segundo identificador, la información de cuenta, que incluye el primer identificador, al segundo servidor para permitir que el segundo servidor determine la segunda cuenta en base a una asociación entre el primer identificador y la segunda cuenta; en el que la transmisión de la información de cuenta permite que la segunda cuenta inicie sesión automáticamente en el segundo servidor.

Description

d e s c r ip c ió n
Método y aparato para facilitar el ¡nido de sesión de una cuenta
Campo técnico
La presente divulgación se refiere en general al campo de la tecnología informática y, más particularmente, a un método y un aparato para facilitar el inicio de sesión de cuenta.
Antecedentes
Con el rápido desarrollo de la tecnología informática, más usuarios están acostumbrados a adquirir servicios a través de aplicaciones (“app”) instaladas en dispositivos terminales móviles.
Con el fin de ampliar adicionalmente los servicios proporcionados, una aplicación incluye normalmente un navegador (por ejemplo, un navegador incorporado), que permite al usuario adquirir servicios a través del navegador incorporado.
Específicamente, un usuario puede registrar una cuenta en un primer servidor, en el que el primer servidor está asociado con la aplicación, y el usuario puede adquirir servicios y recursos del primer servidor al iniciar sesión en esa cuenta. El primer servidor puede formar una relación servidor-cliente con la aplicación. Por lo tanto, desde la perspectiva de la aplicación, el primer servidor puede considerarse como un servidor interno, la cuenta registrada en el primer servidor como una cuenta interna y el servicio proporcionado por el primer servidor como servicio interno. Más aún, un usuario también puede registrar una cuenta en un segundo servidor para obtener otros servicios. Desde la perspectiva de la aplicación, el segundo servidor se considera un servidor externo, la cuenta registrada en el segundo servidor se considera una cuenta externa, y los otros servicios proporcionados por el segundo servidor se consideran como servicios externos.
Un usuario puede usar la aplicación para iniciar sesión en una cuenta interna para adquirir servicios internos asociados con la cuenta interna. El usuario también puede usar el navegador incorporado de la aplicación para iniciar sesión en una cuenta externa para adquirir servicios externos asociados con la cuenta externa.
Como ejemplo, se puede instalar un terminal móvil con una aplicación de mensajería instantánea que incluye un navegador incorporado. Después de usar la aplicación para iniciar sesión en una cuenta de mensajería instantánea alojada en un servidor de mensajería instantánea, el usuario puede acceder a los recursos proporcionados por el servidor de mensajería instantánea para participar en la mensajería instantánea con otros usuarios. El usuario también puede usar el navegador incorporado de la aplicación para iniciar sesión en una cuenta de pago alojada en un servidor de pago para enviar un pago. En este ejemplo, la cuenta de mensajería instantánea es una cuenta interna y la mensajería instantánea es un servicio interno. Por otro lado, la cuenta de pago es una cuenta externa, mientras que el procesamiento del pago es un servicio externo proporcionado por el servidor de pago.
En las técnicas anteriores, una aplicación puede recuperar datos almacenados localmente para facilitar el inicio de sesión de un usuario de una cuenta externa. Específicamente, cuando la aplicación adquiere información de cuenta externa, la aplicación puede almacenar la información en los datos de cookies asociados con el navegador incorporado. Si la información de la cuenta externa aún no está almacenada en los datos de la cookie, el navegador incorporado puede dirigir al usuario a una página de inicio de sesión de cuenta externa, de modo que el usuario pueda ingresar la información de la cuenta externa. La aplicación puede almacenar la información de la cuenta externa recibida en los datos de la cookie. Después de obtener la información (ya sea de la cookie o del usuario), la aplicación puede transmitir la información al servidor externo asociado con la cuenta externa, para facilitar el inicio de sesión de cuenta del usuario.
Sin embargo, dichas disposiciones representan un riesgo de seguridad para el usuario, ya que la mayoría de los datos de cookies no son seguros. Por lo tanto, terceros no autorizados pueden acceder a la información de inicio de sesión de la cuenta externa completa almacenada en las cookies, que incluye el número de cuenta externa y las credenciales de inicio de sesión. Más aún, el navegador incorporado también se puede dirigir a una página de inicio de sesión falsa, y se puede engañar al usuario para que proporcione el número de cuenta, junto con la información de inicio de sesión. Por lo tanto, solicitar a los usuarios que proporcionen un número de cuenta externo e información de inicio de sesión a través de una página de inicio de sesión tampoco es seguro.
El documento GB 2384069 A se refiere en general a la autenticación de usuarios de sitios web de Internet, y más particularmente a compartir información de autenticación de forma segura entre sitios web asociados. El documento EP 1089516 A2 se refiere a un método y un sistema para proporcionar acceso de inicio de sesión único a múltiples servidores web. El documento US 2005/00155936 A l se refiere a una sesión SAML (Lenguaje de Marcado de Aserción de Seguridad) abierta e interoperable en una red.
Resumen
De acuerdo con la invención, se proporciona un método para facilitar el inicio de sesión de cuenta, un servidor para facilitar el inicio de sesión de cuenta, y un medio legible por ordenador, como se menciona por las reivindicaciones 1, 9, y 10 respectivamente.
La presente divulgación proporciona un método para facilitar el inicio de sesión de cuenta. En algunas realizaciones, el método se implementa por un primer servidor que se asocia con una primera cuenta. El método comprende recibir, desde un dispositivo terminal, una solicitud para iniciar sesión en una segunda cuenta asociada con un segundo servidor, en el que la solicitud incluye un primer identificador asociado con la primera cuenta y un segundo identificador asociado con el segundo servidor. El método también comprende generar la información de cuenta que se va a transmitir al segundo servidor en base al primer identificador. El método comprende adicionalmente transmitir la información de cuenta al segundo servidor en base al segundo identificador, en el que la transmisión de la información de cuenta permite que la segunda cuenta inicie sesión automáticamente en el segundo servidor.
En algunas realizaciones, la solicitud se genera por un navegador asociado con una aplicación instalada en el dispositivo terminal.
En algunas realizaciones, la solicitud se genera cuando se inicia sesión en la primera cuenta a través de la aplicación.
En algunas realizaciones, el método comprende adicionalmente autenticar el segundo servidor antes de transmitir el primer identificador al segundo servidor; en el que la autenticación del segundo servidor comprende generar un token, transmitir el token al segundo servidor, recibir una firma asociada con el token desde el segundo servidor, y determinar la validez de la firma. En algunas realizaciones, el segundo servidor se autentica si se determina que la firma es válida.
En algunas realizaciones, el segundo servidor se asocia con una primera clave; en el que la firma se genera con una segunda clave; y en el que se determina que la firma es válida si la segunda clave coincide con la primera clave.
En algunas realizaciones, la información de cuenta transmitida al segundo servidor incluye el primer identificador. En algunas realizaciones, la transmisión del primer identificador permite que el segundo servidor determine la segunda cuenta en base a una primera asociación entre el primer identificador y la segunda cuenta. En algunas realizaciones, la primera asociación se asocia con un cuarto identificador; en la que el cuarto identificador se asocia con una aplicación instalada en el dispositivo terminal.
En algunas realizaciones, la transmisión del primer identificador hace que el segundo servidor cree la segunda cuenta en base a una determinación de que no existe la primera asociación cuando se transmite el primer identificador.
En algunas realizaciones, la información de cuenta transmitida al segundo servidor incluye un tercer identificador asociado con la segunda cuenta; en el que la información de cuenta se genera en base a una asociación entre el primer identificador y el tercer identificador.
La presente divulgación también proporciona un servidor para facilitar el inicio de sesión de cuenta, en el que el servidor se asocia con una primera cuenta. En algunas realizaciones, el servidor comprende un dispositivo de memoria que almacena un conjunto de instrucciones, al menos un procesador capaz de ejecutar el conjunto de instrucciones para recibir, desde un dispositivo terminal, una solicitud para iniciar sesión en una segunda cuenta asociada con un segundo servidor, en el que la solicitud incluye un primer identificador asociado con la primera cuenta y un segundo identificador asociado con el segundo servidor. Al menos un procesador también es capaz de ejecutar las instrucciones para generar la información de cuenta que se va a transmitir al segundo servidor en base al primer identificador, y para transmitir la información de cuenta al segundo servidor en base al segundo identificador. En algunas realizaciones, la transmisión de la información de cuenta permite que la segunda cuenta inicie sesión automáticamente en el segundo servidor.
Los objetivos y ventajas adicionales de las realizaciones divulgadas se expondrán en parte en la siguiente descripción, y en parte serán evidentes a partir de la descripción, o se pueden aprender mediante la práctica de las realizaciones. Los objetos y ventajas de las realizaciones divulgadas se pueden realizar y lograr mediante los elementos y combinaciones establecidos en las reivindicaciones.
Se debe entender que tanto la descripción general anterior como la siguiente descripción detallada son solo de ejemplo y explicativas y no son restrictivas de las realizaciones descritas, como se reivindica.
Breve descripción de los dibujos
La Figura 1 es un diagrama de flujo que ilustra un método de ejemplo para facilitar el inicio de sesión de una cuenta, consistente con realizaciones de la presente divulgación.
La Figura 2 es un diagrama de bloques que ilustra un aparato de ejemplo para facilitar el inicio de sesión de una cuenta, consistente con realizaciones de la presente divulgación.
La Figura 3 es un diagrama de bloques que ilustra un aparato de ejemplo para facilitar el inicio de sesión de una cuenta, consistente con realizaciones de la presente divulgación.
La Figura 4 es un diagrama de bloques que ilustra un aparato de ejemplo para facilitar el inicio de sesión de una cuenta, consistente con realizaciones de la presente divulgación.
Descripción de las realizaciones
Actualmente, para facilitar el inicio de sesión de una cuenta externa desde un dispositivo terminal, un usuario puede ser dirigido a una página web para proporcionar información de inicio de sesión completa de la cuenta externa, y la información de inicio de sesión se almacena localmente como datos de cookies en el dispositivo terminal. Sin embargo, dichas disposiciones representan una amenaza para la seguridad del usuario, ya que el usuario puede ser dirigido a una página web falsa para proporcionar la información a una parte no autorizada, y esa mayoría de los datos de cookies no son seguros.
Ahora se hará referencia en detalle a métodos e implementaciones específicas que buscan superar las deficiencias anteriores de los sistemas y métodos actuales para facilitar el inicio de sesión de una cuenta. Ejemplos de estas implementaciones se ilustran en los dibujos acompañantes. La siguiente descripción se refiere a los dibujos acompañantes, en los que los mismos números en diferentes dibujos representan los mismos elementos o elementos similares, a menos que se represente lo contrario. Las implementaciones establecidas en la siguiente descripción de realizaciones de ejemplo no representan todas las implementaciones consistentes con la invención. En cambio, son solo ejemplos de aparatos y métodos consistentes con aspectos relacionados con la invención como se menciona en las reivindicaciones adjuntas.
Se hace referencia ahora a la Figura 1, que ilustra un método 100 de ejemplo adquirir y procesar instrucciones de operación, de acuerdo con las realizaciones de la presente divulgación. El método puede ser realizado, por ejemplo, por un primer servidor asociado con una primera cuenta y un segundo servidor asociado con una segunda cuenta. Con referencia a la Figura 1, el método 100 incluye las siguientes etapas.
En la etapa S101, el primer servidor recibe, desde un dispositivo terminal, una solicitud para iniciar sesión en la segunda cuenta asociada con el segundo servidor.
En algunas realizaciones, el primer servidor puede recibir una solicitud de un navegador incorporado de una aplicación instalada en el dispositivo terminal, después de que la aplicación se use para iniciar sesión en la primera cuenta alojada en el primer servidor. La primera cuenta proporciona acceso a los recursos del primer servidor, mientras que la segunda cuenta proporciona acceso a los recursos del segundo servidor. Como ejemplo ilustrativo, después de que un usuario utiliza una aplicación de mensajería instantánea para iniciar sesión en una cuenta de mensajería instantánea (la primera cuenta) asociada con un servidor de mensajería instantánea (el primer servidor), el usuario también puede iniciar sesión en una cuenta de pago (la segunda cuenta) a través de un navegador incorporado de la aplicación de mensajería instantánea. En ese caso, el servidor de mensajería instantánea (el primer servidor) puede recibir, desde un dispositivo terminal en el que está instalada la aplicación, una solicitud para iniciar sesión en la cuenta de pago (la segunda cuenta).
En la etapa S102, el primer servidor adquiere, desde la solicitud, un primer identificador asociado con la primera cuenta y un segundo identificador asociado con el segundo servidor. El segundo identificador puede ser, por ejemplo, una dirección de Protocolo de Internet (IP) del segundo servidor, o un nombre de dominio que corresponde a la dirección IP. Con referencia al ejemplo ilustrativo anterior, en la etapa S102, después de que el servidor de mensajería instantánea (el primer servidor) recibe la solicitud desde el dispositivo terminal, el servidor de mensajería instantánea puede adquirir un número de cuenta de mensajería instantánea (el primer identificador asociado con la primera cuenta) y la dirección IP del servidor de pago (el segundo servidor).
En la etapa S103, el primer servidor transmite el primer identificador (asociado con la primera cuenta) al segundo servidor basado en el segundo identificador. La transmisión del primer identificador permite que el segundo servidor adquiera información de inicio de sesión sobre la segunda cuenta en base a una asociación entre el primer identificador y la segunda cuenta, como se discutirá a continuación.
Con referencia al ejemplo ilustrativo anterior, en la etapa S103, después de que el servidor de mensajería instantánea adquiere el número de cuenta de mensajería instantánea y la dirección IP del servidor de pago de la solicitud en la etapa S102, el servidor de mensajería instantánea transmite el número de cuenta de mensajería instantánea al servidor de pago basado en la dirección IP.
En algunas realizaciones, antes de transmitir el primer identificador (asociado con la primera cuenta) al servidor asociado con el segundo identificador en la etapa Sl03, se pueden tomar etapas adicionales para mejorar aún más la seguridad. Por ejemplo, el primer servidor puede autenticar el segundo servidor, para confirmar que el segundo servidor está autorizado para recibir el primer identificador (u otra información asociada con la segunda cuenta). La autenticación reduce la probabilidad de que el primer servidor transmita la información de inicio de sesión de la primera cuenta a un servidor autorizado y mejora la seguridad de la primera cuenta.
En algunas realizaciones, el primer servidor puede realizar la autenticación de la siguiente manera. Primero, el primer servidor transmite un token a un servidor de destino (por ejemplo, el segundo servidor asociado con el segundo identificador incluido en la solicitud recibida en la etapa S 102). El primer servidor luego puede recibir una firma asociada con el token del servidor de destino. El primer servidor puede verificar la firma y, en base al resultado de la verificación, determinar si el servidor de destino está autorizado para recibir la información de la segunda cuenta. Si el primer servidor determina que la firma es válida y que el servidor de destino es un servidor autorizado, el primer servidor puede transmitir la información de la segunda cuenta al servidor de destino. En algunas realizaciones, si el primer servidor determina que el servidor de destino no está autorizado, puede devolver un mensaje al dispositivo terminal para indicar que el servidor de destino (por ejemplo, un servidor externo) no es seguro.
En algunas realizaciones, el token es generado por el primer servidor. Se puede utilizar cualquier método adecuado para generar el token. Por ejemplo, el token se puede generar dinámicamente con una combinación aleatoria de alfabetos, números y símbolos. En algunas realizaciones, el token se puede generar de forma única.
En algunas realizaciones, se puede utilizar un par de clave pública y clave privada correspondientes para la verificación. Por ejemplo, el servidor de destino puede utilizar su propia clave privada (que normalmente es inaccesible para otros servidores no autorizados) para firmar el token y luego transmitir la firma al primer servidor. El primer servidor puede utilizar una clave pública para verificar la validez de la firma. Cuando un servidor no autorizado utiliza una clave privada que no corresponde a la clave pública del primer servidor para firmar el token, el primer servidor puede utilizar su clave pública para determinar que la firma no es válida y que el servidor de destino no está autorizado.
En algunas realizaciones, un segundo servidor autorizado puede proporcionar la clave pública al primer servidor. En algunas realizaciones, se puede realizar un proceso de registro para registrar el segundo servidor con el primer servidor, y la clave pública del servidor autorizado se puede proporcionar al primer servidor como parte del proceso de registro. El segundo servidor también puede proporcionar otra información al primer servidor como parte del proceso de registro. En referencia al ejemplo ilustrativo anterior, el servidor de pago (el segundo servidor) se puede registrar con el servidor de mensajería instantánea (el primer servidor). Durante el proceso de registro, el servidor de pago puede almacenar su propia clave privada y luego proporcionar una clave pública correspondiente al servidor de mensajería instantánea para almacenamiento. El servidor de pago también puede proporcionar otra información, tal como direcciones de correo electrónico, números de teléfono, direcciones físicas, etc., al servidor de mensajería instantánea.
En algunas realizaciones, el dispositivo terminal (desde el cual se transmite la solicitud en la etapa S101) también puede transmitir el token al segundo servidor. Por ejemplo, después de que el primer servidor genera el token, el primer servidor puede transmitir el token a la aplicación asociada instalada en el dispositivo terminal. La aplicación puede transmitir, a través de su navegador incorporado, el token y un identificador asociado con el primer servidor (por ejemplo, dirección IP) al segundo servidor. El segundo servidor luego puede firmar el token y transmitir la firma al primer servidor en base al primer identificador del servidor. El primer servidor luego puede determinar la validez de la firma y determinar si se debe transmitir la información de la primera cuenta al segundo servidor en la etapa S103 de acuerdo con lo anterior. En estas realizaciones, en las que la aplicación transmite el token al segundo servidor, la solicitud transmitida en la etapa S101 puede excluir el segundo identificador asociado con el segundo servidor, y el primer servidor adquiere el primer identificador asociado con la primera cuenta pero no el segundo identificador en la etapa S102.
En la etapa S104, el segundo servidor recibe el primer identificador desde el primer servidor.
En la etapa S105, el segundo servidor determina la segunda cuenta para iniciar sesión en base a una asociación entre el primer identificador (asociado con la primera cuenta) y la segunda cuenta, y adquiere la información de inicio de sesión asociada con la segunda cuenta. En algunas realizaciones, la asociación está representada por una tabla de asignación que asigna entre el primer identificador y un tercer identificador asociado con la segunda cuenta. Los identificadores primero y tercero pueden ser cualquier combinación de números, símbolos y alfabetos configurados para identificar respectivamente la segunda y la primera cuenta. La Tabla 1 ilustra una tabla de asignación de ejemplo de acuerdo con las realizaciones de la presente divulgación:
Tabla 1
Figure imgf000005_0001
Como se muestra en la Tabla 1, una segunda cuenta (por ejemplo, la cuenta de pago) está asociada con un tercer identificador (por ejemplo, un número de cuenta “208801”), una primera cuenta (por ejemplo, la cuenta de mensajería instantánea) está asociada con un primer identificador (por ejemplo, un número de cuenta “1980001”), y la Tabla 1 asigna entre el tercer identificador y el primer identificador. También, otra segunda cuenta con un número de cuenta “208802” se asigna a otra primera cuenta con un número de cuenta “1980002”. S í, en la etapa S105, el segundo servidor recibe un número de cuenta “208801” como primer identificador (asociado con la primera cuenta), el segundo servidor puede determinar, a partir de la Tabla 1, que la segunda cuenta asociada sea una con número de cuenta “208801”.
En algunas realizaciones, la asociación entre la segunda cuenta “208801” y la primera cuenta “1980001” en la Tabla 1 se puede establecer en base a otra información de inicio de sesión de cuenta, tal como el nombre de usuario y la contraseña, como sigue. Como ejemplo ilustrativo, la segunda cuenta “208801” está asociada con un nombre de usuario “B” y una contraseña “22”, mientras que la primera cuenta “1980001” está asociada con un nombre de usuario “A” y una contraseña “11” Un usuario puede primero inicie sesión en la segunda cuenta “208801” asociada con el segundo servidor, por ejemplo, ingresando el nombre de usuario “B” y la contraseña “22.” Después de iniciar sesión en la segunda cuenta, el usuario puede ser dirigido a una página web bajo la segunda cuenta, en la que se le puede solicitar que proporcione información de inicio de sesión parcial para la primera cuenta “1980001” (por ejemplo, nombre de usuario “A” y contraseña” 11“) al segundo servidor. El segundo servidor puede transmitir la información de inicio de sesión de la primera cuenta al primer servidor, que luego puede verificar la información recibida. Después de la verificación, el primer servidor puede transmitir el primer número de cuenta “1980001” de nuevo al segundo servidor. El segundo servidor puede asociar el segundo número de cuenta “208801” con el primer número de cuenta “1980001”, por ejemplo, al actualizar la Tabla 1.
En algunas realizaciones, la asociación entre la primera y la segunda cuenta se almacena en el segundo servidor. En algunas realizaciones, la asociación se puede establecer y almacenar en el primer servidor. El proceso de establecer la asociación puede ser similar a lo descrito anteriormente y no se repite aquí.
En la etapa S106, el segundo servidor permite que la segunda cuenta inicie sesión automáticamente utilizando la información de inicio de sesión de la segunda cuenta (por ejemplo, el segundo número de cuenta) adquirida en la etapa S105, permitiendo de esta manera al usuario acceder a los recursos del segundo servidor. En referencia al ejemplo ilustrativo anterior, el servidor de pago (el segundo servidor) determina que el número de cuenta de pago es “208801”, en función del número de cuenta de mensajería instantánea “1980001” recibido del servidor de mensajería instantánea y la Tabla 1. La cuenta de pago “208801” se puede iniciar sesión automáticamente en el servidor de pago, que puede proporcionar el servicio de pago al usuario.
En referencia a la etapa S105, en algunas realizaciones, si el segundo servidor no puede localizar o determinar la segunda cuenta que está asignada al primer identificador de la Tabla 1, el segundo servidor puede crear una cuenta y hacer que la cuenta inicie sesión automáticamente. El segundo servidor puede proporcionar el servicio asociado con esa cuenta. El segundo servidor también puede asignar la cuenta creada al primer identificador, por ejemplo, actualizando la Tabla 1. La asignación puede ocurrir antes o después de que la cuenta creada haya iniciado sesión.
En algunas realizaciones, pueden instalarse múltiples aplicaciones en el dispositivo terminal, y cada aplicación puede asociarse con diferentes primeras cuentas y/o segundas cuentas diferentes. Como ejemplo ilustrativo, como se muestra en la Tabla 2, una primera aplicación está asociada con una segunda cuenta con el número de cuenta “1980001” y una primera cuenta con el número de cuenta “208801”, mientras que una segunda aplicación está asociada con una segunda cuenta con número de cuenta “1980002” y la misma primera cuenta que la primera aplicación. Con dos segundas cuentas asociadas con la misma primera cuenta (con el número de cuenta “208801”) en la Tabla 2, es posible que el segundo servidor no pueda determinar a cuál de las segundas cuentas iniciar sesión cuando recibe el número de cuenta “208801” (el primer identificador) desde el primer servidor en la etapa S104, y puede producirse un error de inicio de sesión.
Tabla 2
Figure imgf000006_0001
En algunas realizaciones, para dar cuenta de un escenario en el que se pueden asociar diferentes aplicaciones con la misma primera y/o segunda cuenta, la tabla de asignación puede asociar un par de cuentas primera y segunda (representadas por sus identificadores, tales como números de cuenta) con un identificador de aplicación. Por ejemplo, como se muestra en la Tabla 3, la primera aplicación con un identificador “APP1” está asociada con una segunda cuenta con el número de cuenta “198o001” y con una primera cuenta con el número de cuenta “208801.” Más aún, la segunda aplicación con un identificador “APP2” está asociada con una segunda cuenta con el número de cuenta “1980002” y con una primera cuenta con el número de cuenta “208801.” Con dichas disposiciones, el segundo servidor puede determinar la segunda cuenta para iniciar sesión, no solo en base al primer identificador de cuenta sino también en el identificador de la aplicación.
Tabla 3
Figure imgf000007_0001
En algunas realizaciones, como se describió anteriormente, la asociación entre la primera cuenta y la segunda cuenta (por ejemplo, las Tablas 1 y 3) también puede almacenarse en el primer servidor. En estas realizaciones, el primer servidor puede utilizar el primer identificador (asociado con la primera cuenta) a partir de la solicitud recibida en la etapa S101 para adquirir la segunda información de la cuenta (por ejemplo, el segundo número de cuenta) desde las Tablas 1 y 3. El primer servidor puede luego transmita la segunda información de la cuenta al segundo servidor asociado con el segundo identificador incluido en la solicitud. El segundo servidor luego puede utilizar la información de la segunda cuenta recibida e iniciar sesión en la segunda cuenta, en la etapa S106. En algunas realizaciones, antes de la transmisión, el primer servidor también puede verificar si el segundo servidor está autorizado para recibir la información utilizando técnicas similares (por ejemplo, verificación de firma utilizando claves públicas y privadas) como se describió anteriormente.
La Figura 2 es un diagrama de bloques que ilustra un aparato 200 de ejemplo para facilitar el inicio de sesión de una cuenta, consistente con las realizaciones de la presente divulgación. Como se muestra en la Figura 2, el aparato 200 incluye un módulo 21 de recepción de solicitud de inicio de sesión de cuenta externa, un módulo 22 de adquisición de información y un módulo 23 de transmisión de información de cuenta interna. En algunas realizaciones, el aparato 200 se configura para ser el primer servidor (por ejemplo, un servidor interno) que implementa al menos algunas de las etapas del método 100 de la Figura 1, en el que el primer servidor está asociado con una primera cuenta (por ejemplo, la cuenta interna) y un segundo servidor (por ejemplo, un servidor externo) está asociado con una segunda cuenta (por ejemplo, la cuenta externa), y que el servidor interno recibe una solicitud para iniciar sesión en la cuenta externa.
En algunas realizaciones, el módulo 21 de recepción de solicitud de inicio de sesión de cuenta externa se configura para recibir, desde un dispositivo terminal, una solicitud para iniciar sesión en la segunda cuenta asociada con el segundo servidor. En algunas realizaciones, el módulo 21 de recepción de solicitud de inicio de sesión de cuenta externa puede recibir la solicitud desde un navegador incorporado de una aplicación instalada en el dispositivo terminal, después de que la aplicación inicie sesión en la cuenta interna asociada con el aparato 200. La cuenta externa puede proporcionar acceso a los recursos del servidor externo, mientras que la cuenta interna puede proporcionar acceso a los recursos del aparato 200. En algunas realizaciones, el módulo 21 de recepción de solicitud de inicio de sesión de cuenta externa se configura para implementar al menos parte de la etapa S101 del método 100.
En algunas realizaciones, el módulo 22 de adquisición de información se configura para adquirir, a partir de la solicitud, un primer identificador asociado con la cuenta interna y un segundo identificador asociado con el servidor externo. El segundo identificador puede ser, por ejemplo, una dirección de Protocolo de Internet (IP) del servidor externo, o un nombre de dominio que corresponda a la dirección IP. En algunas realizaciones, el módulo 22 de adquisición de información se configura para implementar al menos parte de la etapa S102 del método 100.
En algunas realizaciones, el módulo 23 de transmisión de información de cuenta interna se configura para transmitir el primer identificador (asociado con la primera cuenta) al servidor externo basado en el segundo identificador. La transmisión del primer identificador permite que el servidor externo adquiera información sobre la segunda cuenta en base a una asociación entre el primer identificador y la segunda cuenta. En algunas realizaciones, el módulo 23 de transmisión de información de cuenta interna se configura para implementar al menos parte de la etapa S103 del método 100.
En algunas realizaciones, el aparato 200 incluye adicionalmente una pluralidad de módulos de autenticación configurados para autenticar el servidor externo antes de que el módulo 23 de transmisión de información de cuenta interna transmita la segunda información de cuenta (por ejemplo, el primer identificador asociado con la segunda cuenta) al servidor externo. En algunas realizaciones, como se muestra en la Figura 2, los módulos de autenticación incluyen un módulo 24 de generación de token, un módulo 25 de transmisión de token, un módulo 26 de recepción de firma y un módulo 27 de verificación de firma. En algunas realizaciones, los módulos de autenticación antes mencionados están configurados para implementar al menos parte del proceso de autenticación descrito con respecto al método 100 de la Figura 1.
En algunas realizaciones, el módulo 24 de generación de token se configura para generar un token, que luego se puede transmitir mediante el módulo 25 de transmisión de token al servidor externo. Se puede utilizar cualquier método adecuado para generar el token. Por ejemplo, el token se puede generar dinámicamente con una combinación aleatoria de alfabetos, números y símbolos. En algunas realizaciones, el token se puede generar de forma única.
En algunas realizaciones, el módulo 26 de recepción de firma se configura para recibir una firma del servidor externo después de que se transmite el token. La firma se puede verificar luego mediante el módulo 27 de verificación de firma. En algunas realizaciones, se puede utilizar un par de clave pública y clave privada correspondientes para los procesos de autenticación y verificación. Por ejemplo, un servidor externo autorizado se puede asociar con una clave privada específica que corresponde a una clave pública, y otros servidores no autorizados no tienen acceso a esa clave privada específica. Después de recibir una firma que se firma con una determinada clave privada, el módulo 27 de verificación de firma puede verificar si la clave privada de la firma recibida corresponde a la clave pública, y determinar si el servidor externo es un servidor autorizado de acuerdo con lo anterior.
La Figura 3 es un diagrama de bloques que ilustra un aparato 300 de ejemplo para facilitar el inicio de sesión de una cuenta, consistente con las realizaciones de la presente divulgación. Como se muestra en la Figura 3, el aparato 300 incluye un módulo 31 de recepción de información de cuenta interna, un módulo 32 de búsqueda de cuenta externa y un módulo 33 de inicio de sesión de cuenta externa. En algunas realizaciones, el aparato 300 se configura para ser el segundo servidor (por ejemplo, un servidor externo) que implementa al menos algunas de las etapas del método 100 de la Figura 1, en el que un primer servidor (por ejemplo, un servidor interno) está asociado con una primera cuenta (por ejemplo, la cuenta interna) y el segundo servidor está asociado con una segunda cuenta (por ejemplo, la cuenta externa), y que el servidor interno recibe una solicitud de inicio de sesión de cuenta externa asociada con el servidor externo.
En algunas realizaciones, el módulo 31 de recepción de información de cuenta interna se configura para recibir, desde el servidor interno (por ejemplo, el aparato 200 de la figura 2), información de cuenta interna. La cuenta interna permite el acceso a los recursos del servidor interno. La información puede incluir un identificador asociado con la cuenta interna (por ejemplo, un número de cuenta). En algunas realizaciones, el módulo 31 de recepción de información de cuenta interna se configura para implementar al menos parte de la etapa S104 de la Figura 1.
En algunas realizaciones, el módulo 32 de búsqueda de cuenta externa se configura para determinar la cuenta externa a iniciar sesión en base a una asociación entre el identificador (asociado con la cuenta interna) y la cuenta externa, y para adquirir información de inicio de sesión asociada con la cuenta externa La asociación se puede representar mediante una tabla de asignación similar a las Tablas 1 y 3 como se describió anteriormente con respecto a la Figura 1, y se puede almacenar en el aparato 300. La información adquirida permite el inicio de sesión automático de la cuenta externa y puede incluir, por ejemplo, nombre de acceso y contraseña. En algunas realizaciones, el módulo 32 de búsqueda de cuenta externa se configura para implementar al menos parte de la etapa S105 de la Figura 1.
En algunas realizaciones, el módulo 33 de inicio de sesión de cuenta externa se configura para permitir que la cuenta externa inicie sesión automáticamente con la información de cuenta adquirida por el módulo 32 de búsqueda de cuenta externa. El módulo 33 de inicio de sesión de cuenta externa puede entonces permitir el acceso a los recursos proporcionados por el aparato 300. En algunas realizaciones, el módulo 33 de inicio de sesión de cuenta externa se configura para implementar al menos parte de la etapa S106 de la Figura 1.
En algunas realizaciones, el aparato 300 incluye adicionalmente una pluralidad de módulos de autenticación configurados para autenticar el aparato 300 con el otro servidor (por ejemplo, el aparato 200 de la figura 2) desde el cual el módulo 31 de recepción de información de cuenta interna recibe la información de cuenta interna. En algunas realizaciones, como se muestra en la Figura 3, los módulos de autenticación incluyen un módulo 34 de recepción de token, un módulo 35 de firma de token y un módulo 36 de transmisión de firmas. En algunas realizaciones, los módulos de autenticación antes mencionados están configurados para implementar al menos parte del proceso de autenticación descrito con respecto al método 100 de la Figura 1.
En algunas realizaciones, el módulo 34 de recepción de token se configura para recibir un token desde el otro servidor (por ejemplo, el aparato 200 de la figura 2) para autenticación antes de que el módulo 31 de recepción de información de cuenta interna reciba la información de cuenta externa. Después de recibir el token, el módulo 35 de firma de token puede firmar el token. Como se describió anteriormente, se puede utilizar un par de clave pública y clave privada correspondientes para los procesos de autenticación y verificación. Por ejemplo, el módulo 35 de firma de token puede almacenar una clave privada que está asociada con el aparato 300 y es inaccesible para otros servidores y dispositivos no autorizados, y el módulo 35 de firma de token puede utilizar esa clave privada para firmar el token. El módulo 36 de transmisión de firmas puede transmitir la firma de vuelta para autenticar el aparato 300 al otro servidor desde el que se recibe el token.
En algunas realizaciones, el aparato 300 también incluye un módulo 37 de creación de cuenta externa configurado para crear una cuenta externa. La cuenta externa se puede crear cuando, por ejemplo, el módulo 32 de búsqueda de cuenta externa no puede localizar una cuenta externa que esté asociada con la información de la cuenta interna recibida. En algunas realizaciones, el aparato 300 también incluye un módulo 38 de enlace configurado para asociar la cuenta externa creada por el módulo 37 de creación de cuenta externa con la información de cuenta interna recibida, por ejemplo, al actualizar las Tablas 1 y 3 como se describió anteriormente con respecto a la Figura 1. Después de crear la cuenta externa, el módulo 33 de inicio de sesión de la cuenta externa luego puede permitir que la cuenta inicie sesión automáticamente para proporcionar acceso a los recursos del aparato 300.
La Figura 4 es un diagrama de bloques que ilustra un aparato 300 de ejemplo para facilitar el inicio de sesión de una cuenta, consistente con las realizaciones de la presente divulgación. Como se muestra en la Figura 4, el aparato 400 incluye un módulo 41 de recepción de solicitud de inicio de sesión de cuenta externa, un módulo 42 de adquisición de información, un módulo 43 de búsqueda de cuenta externa y un módulo 44 de inicio de sesión de cuenta externa. En algunas realizaciones, el aparato 400 se configura para ser el primer servidor (por ejemplo, , un servidor interno) que implementa al menos algunas de las etapas del método 100 de la Figura 1, en el que el primer servidor está asociado con una primera cuenta (por ejemplo, una cuenta interna) y un segundo servidor (por ejemplo, un servidor externo) está asociado con una segunda cuenta (por ejemplo, una cuenta externa), que el servidor interno recibe una solicitud de inicio de sesión en la cuenta externa, y que la asociación entre la cuenta interna y la cuenta externa (por ejemplo, tablas 1 y 3) se almacena en el primer servidor (por ejemplo, en el aparato 400).
En algunas realizaciones, el módulo 41 de recepción de solicitud de inicio de sesión de cuenta externa se configura para recibir, desde un dispositivo terminal, una solicitud para iniciar sesión en la cuenta externa. En algunas realizaciones, el módulo 41 de solicitud de inicio de sesión del módulo externo puede recibir la solicitud desde un navegador incorporado de una aplicación instalada en el dispositivo terminal, después de que las aplicaciones inicien sesión en la cuenta interna asociada con el aparato 400. La cuenta externa puede proporcionar acceso a los recursos del servidor externo, mientras que la cuenta interna puede proporcionar acceso a los recursos del aparato 400. En algunas realizaciones, el módulo 41 de recepción de solicitud de inicio de sesión de cuenta externa se configura para implementar al menos parte de la etapa S101 del método 100.
En algunas realizaciones, el módulo 42 de adquisición de información se configura para adquirir, a partir de la solicitud, un primer identificador asociado con la cuenta interna y un segundo identificador asociado con el segundo servidor. El segundo identificador puede ser, por ejemplo, una dirección de Protocolo de Internet (IP) del servidor externo, o un nombre de dominio que corresponda a la dirección IP. En algunas realizaciones, el módulo 42 de adquisición de información se configura para implementar al menos parte de la etapa S102 del método 100.
En algunas realizaciones, el módulo 43 de búsqueda de cuenta externa se configura para determinar la cuenta externa que va a iniciar sesión en base a una asociación entre el primer identificador (asociado con la cuenta interna) y la cuenta externa, y para adquirir información de inicio de sesión sobre la cuenta externa La asociación se puede representar mediante una tabla de asignación similar a las Tablas 1 y 3, como se describió anteriormente con respecto a la Figura 1, y se almacena en el aparato 400.
En algunas realizaciones, el módulo 44 de inicio de sesión de cuenta externa se configura para transmitir la información de inicio de sesión de cuenta externa al servidor externo. El servidor externo (por ejemplo, el segundo servidor) luego puede utilizar la información recibida para permitir que la cuenta externa inicie sesión automáticamente (por ejemplo, al realizar la etapa S106 de la Figura 1), para proporcionar acceso a los recursos del servidor externo.
Con realizaciones de la presente divulgación, un servidor externo (por ejemplo, el segundo servidor) puede adquirir información de inicio de sesión para una cuenta externa (por ejemplo, la primera cuenta) en base a una asociación entre la cuenta externa y una cuenta interna, después de recibir un identificador asociado con la cuenta interna desde un servidor interno (por ejemplo, el primer servidor). Con la información de inicio de sesión adquirida, el servidor externo luego puede permitir que la cuenta externa inicie sesión automáticamente. Dado que la información de la cuenta externa (por ejemplo, el identificador de la cuenta) no se almacena en los datos de cookies en el dispositivo terminal, se puede evitar el riesgo de seguridad representado por los datos de cookies no seguros. También, dado que el número de cuenta externo no se ingresa a través de una página de inicio de sesión, sino que se almacena de forma segura en el servidor externo, el usuario no puede ser engañado para proporcionar información completa de inicio de sesión de cuenta (es decir, que incluye el número de cuenta y las credenciales de inicio de sesión), y también se puede evitar el riesgo de seguridad que representan las páginas de inicio de sesión falsas. Por lo tanto, la seguridad de la cuenta externa se puede proteger mejor. Más aún, de acuerdo con las realizaciones de la presente divulgación, dado que la cuenta externa puede iniciar sesión automáticamente y no requiere que el usuario ingrese la información de inicio de sesión de cuenta externa, se puede facilitar el inicio de sesión de cuenta y se puede mejorar la conveniencia de la operación.
Como lo entenderán aquellos expertos en la técnica, las realizaciones de la presente divulgación se pueden incorporar como un método, un sistema o un producto de programa informático. De acuerdo con lo anterior, las realizaciones de la presente divulgación pueden tomar la forma de una realización completamente de hardware, una realización completamente de software o una realización que combina software y hardware. Adicionalmente, la presente invención puede tomar la forma de un producto de programa de ordenador incorporado en uno o más medios de almacenamiento disponibles en el ordenador (que incluye, pero no se limita a, una memoria de disco magnético, un CD-ROM, una memoria óptica, etc.) que contiene códigos del programa disponibles en el ordenador.
Las realizaciones de la presente divulgación se describen con referencia a diagramas de flujo y/o diagramas de bloques de métodos, dispositivos (sistemas) y productos de programas informáticos de acuerdo con las realizaciones de la presente invención. Se entenderá que cada flujo y/o bloque de los diagramas de flujo y/o diagramas de bloques, y las combinaciones de flujos y/o bloques en los diagramas de flujo y/o diagramas de bloques, se pueden implementar mediante instrucciones de programas de ordenador. Estas instrucciones del programa de ordenador se pueden proporcionar a un procesador de un ordenador de propósito general, un ordenador de propósito especial, un procesador incorporado u otros dispositivos de procesamiento de datos programables para producir una máquina, de modo que las instrucciones, que se ejecutan a través del procesador del ordenador u otros dispositivos de procesamiento de datos programables crean un medio para implementar las funciones especificadas en uno o más flujos en los diagramas de flujo y/o uno o más bloques en los diagramas de bloques.
Estas instrucciones del programa de ordenador también se pueden almacenar en una memoria legible por ordenador que puede dirigir un ordenador u otros dispositivos de procesamiento de datos programables para que funcionen de una manera particular, de tal manera que las instrucciones almacenadas en la memoria legible por ordenador produzcan un producto fabricado que incluye un medio de instrucción que implementa las funciones especificadas en uno o más flujos en los diagramas de flujo y/o uno o más bloques en los diagramas de bloques.
Estas instrucciones del programa de ordenador también se pueden cargar en un ordenador u otros dispositivos de procesamiento de datos programables para provocar que se realicen una serie de pasos operativos en el ordenador u otros dispositivos programables para producir el procesamiento implementado por el ordenador, de modo que las instrucciones que se ejecutan en el ordenador u otros dispositivos programables que proporcionan etapas para implementar las funciones especificadas en uno o más flujos en los diagramas de flujo y/o uno o más bloques en los diagramas de bloques.
En una configuración típica, un dispositivo informático incluye una o más Unidades Centrales de Procesamiento (CPU), una interfaz de entrada/salida, una interfaz de red y una memoria.
La memoria puede incluir formas de una memoria volátil, una memoria de acceso aleatorio (RAM) y/o memoria no volátil y similares, tales como una memoria de solo lectura (ROM) o una RAM flash en un medio legible por ordenador. La memoria es un ejemplo del medio legible por ordenador.
El medio legible por ordenador incluye medios no volátiles y volátiles, medios extraíbles y no extraíbles, en los que el almacenamiento de información se puede implementar con cualquier método o tecnología. La información puede ser módulos de instrucciones legibles por ordenador, estructuras de datos y programas u otros datos. Ejemplos de un medio de almacenamiento de ordenador incluyen, pero no se limitan a, una memoria de acceso aleatorio de cambio de fase (PRAM), una memoria estática de acceso aleatorio (SRAM), una memoria de acceso aleatorio dinámica (DRAM), otros tipos de memorias de acceso aleatorio (RAM), una memoria de solo lectura (ROM), una memoria de solo lectura programable y borrable eléctricamente (EEPROM), una memoria flash u otras tecnologías de memoria, una memoria de solo lectura de disco compacto (CD-ROM), un disco versátil digital (DVD) u otro almacenamiento óptico, una cinta de casete, cinta o almacenamiento en disco u otros dispositivos de almacenamiento magnético o cualquier otro medio sin transmisión que se pueda utilizar para almacenar información a la que pueda acceder un dispositivo informático. De acuerdo con la definición del contexto, el medio legible por ordenador no incluye medios transitorios, tal como señales de datos moduladas y ondas portadoras.
Se observará además que los términos “comprende”, “que comprende” o cualquier otra variación están destinados a cubrir inclusiones no exclusivas, para causar un proceso, método, producto o dispositivo que comprende una serie de elementos que no solo comprende esos elementos, pero también comprende otros elementos que no están enumerados específicamente, o también comprende elementos que son inherentes a este proceso, método, producto o dispositivo. Por lo tanto, el elemento definido por la frase “que comprende un...” no excluye la presencia de otros mismos elementos en el proceso, método, producto o dispositivo que incluye dichos elementos bajo la condición de no más limitaciones.
Como lo entenderán aquellos expertos en la técnica, las realizaciones de la presente invención se pueden incorporar como un método, un sistema o un producto de programa informático. De acuerdo con lo anterior, la presente invención puede tomar la forma de una realización completamente de hardware, una realización completamente de software o una realización que combina software y hardware. Adicionalmente, la presente invención puede tomar la forma de un producto de programa de ordenador incorporado en uno o más medios de almacenamiento disponibles en el ordenador (que incluye, pero no se limita a, una memoria de disco magnético, un CD-ROM, una memoria óptica, etc.) que contiene códigos del programa disponibles en el ordenador.
Un experto en la técnica entenderá que las realizaciones descritas anteriormente se pueden implementar mediante hardware o software (códigos de programa), o una combinación de hardware y software. Si se implementa mediante software, se puede almacenar en los medios legibles por ordenador descritos anteriormente. El software, cuando lo ejecuta el procesador, puede realizar los métodos divulgados. Las unidades informáticas y las otras unidades funcionales descritas en esta divulgación se pueden implementar mediante hardware o software, o una combinación de hardware y software. Un experto en la técnica también comprenderá que varios de los módulos/unidades descritos anteriormente se pueden combinar como un módulo/unidad, y cada uno de los módulos/unidades descritos anteriormente se puede dividir adicionalmente en una pluralidad de submódulos/subunidades.
Otras realizaciones de la presente divulgación serán evidentes para aquellos expertos en la técnica a partir de la consideración de la especificación y la práctica de la invención divulgada en este documento. Esta solicitud está destinada a cubrir cualquier variación, uso o adaptación de la invención siguiendo los principios generales de la misma y que incluyen dichas desviaciones de la presente divulgación que se encuentran dentro de la práctica conocida o habitual en la técnica. Se pretende que la especificación y los ejemplos se consideren solo a modo de ejemplo, con un verdadero alcance y espíritu de la invención que se indica mediante las siguientes reivindicaciones.
Se apreciará que la presente invención no se limita a la construcción exacta que se ha descrito anteriormente e ilustrada en los dibujos acompañantes, y que se pueden realizar diversas modificaciones y cambios sin apartarse del alcance de la misma. Se pretende que el alcance de la invención solo esté limitado por las reivindicaciones adjuntas.

Claims (10)

r e iv in d ic a c io n e s
1. Un método para facilitar el ¡nido de sesión de cuenta, en el que el método se implementa por un primer servidor que se asocia con una primera cuenta que proporciona acceso a recursos del primer servidor, el método comprende: recibir (S101), desde un dispositivo terminal, una solicitud, generada por un navegador incorporado de una aplicación asociada con el primer servidor e instalada sobre el dispositivo terminal, para iniciar sesión en una segunda cuenta asociada con un segundo servidor, la segunda cuenta proporciona acceso a recursos del segundo servidor, en el que la solicitud incluye un primer identificador asociado con la primera cuenta y un segundo identificador asociado con el segundo servidor;
generar la información de cuenta que se va a transmitir al segundo servidor en base al primer identificador; autenticar el segundo servidor para confirmar que el segundo servidor está autorizado para recibir el primer identificador; y
transmitir (S103), en base al segundo identificador, la información de cuenta, que incluye el primer identificador, al segundo servidor para permitir que el segundo servidor determine la segunda cuenta en base a una asociación entre el primer identificador y la segunda cuenta;
en el que la transmisión de la información de cuenta permite que la segunda cuenta inicie sesión automáticamente en el segundo servidor.
2. El método de la reivindicación 1, en el que la solicitud se genera cuando se inicia sesión en la primera cuenta a través de la aplicación.
3. El método de la reivindicación 1, en el que la autenticación del segundo servidor comprende:
generar un token;
transmitir el token al segundo servidor;
recibir una firma asociada con el token desde el segundo servidor; y
determinar la validez de la firma; y
en el que el segundo servidor se autentica si se determina que la firma es válida.
4. El método de la reivindicación 3, en el que transmitir el token al segundo servidor comprende transmitir el token a la aplicación instalada en el dispositivo terminal para transmisión del token al segundo servidor por la aplicación.
5. El método de la reivindicación 3, en el que el segundo servidor se asocia con una primera clave; en el que la firma se genera con una segunda clave; y en el que se determina que la firma es válida si la segunda clave coincide con la primera clave.
6. El método de la reivindicación 1, en el que la asociación entre el primer identificador y la segunda cuenta se asocia con un cuarto identificador; en el que el cuarto identificador se asocia con una aplicación instalada en el dispositivo terminal.
7. El método de la reivindicación 1, en el que la transmisión del primer identificador hace que el segundo servidor cree la segunda cuenta en base a una determinación de que la asociación entre el primer identificador y la segunda cuenta no existe cuando se transmite el primer identificador.
8. El método de la reivindicación 1, en el que la información de cuenta transmitida al segundo servidor incluye un tercer identificador asociado con la segunda cuenta; en el que la información de cuenta se genera en base a una asociación entre el primer identificador y el tercer identificador.
9. Un servidor para facilitar el inicio de sesión de cuenta, en el que el servidor se asocia con una primera cuenta, el servidor comprende:
un dispositivo de memoria que almacena un conjunto de instrucciones; y
al menos un procesador que se configura para ejecutar el conjunto de instrucciones para realizar el método de una cualquiera de las reivindicaciones 1 a 8.
10. Un medio legible por ordenador que comprende instrucciones que, cuando se ejecutan por un procesador, hacen que el procesador realice el método de una cualquiera de las reivindicaciones 1 a 8.
ES15853447T 2014-10-23 2015-10-22 Método y aparato para facilitar el inicio de sesión de una cuenta Active ES2796351T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201410571846.0A CN105592011B (zh) 2014-10-23 2014-10-23 一种账号登录方法及装置
PCT/US2015/056977 WO2016065186A1 (en) 2014-10-23 2015-10-22 Method and apparatus for facilitating the login of an account

Publications (1)

Publication Number Publication Date
ES2796351T3 true ES2796351T3 (es) 2020-11-26

Family

ID=55761579

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15853447T Active ES2796351T3 (es) 2014-10-23 2015-10-22 Método y aparato para facilitar el inicio de sesión de una cuenta

Country Status (8)

Country Link
US (3) US10313327B2 (es)
EP (2) EP3210107B1 (es)
CN (1) CN105592011B (es)
ES (1) ES2796351T3 (es)
HK (1) HK1224100A1 (es)
PL (1) PL3210107T3 (es)
TW (1) TWI679550B (es)
WO (1) WO2016065186A1 (es)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5931242B1 (ja) * 2015-03-20 2016-06-08 ヤフー株式会社 端末装置、情報送信方法、及び情報送信プログラム
CN107196892B (zh) 2016-03-15 2020-03-06 阿里巴巴集团控股有限公司 一种网站登录方法和装置
CN106888202B (zh) * 2016-12-08 2020-02-21 阿里巴巴集团控股有限公司 授权登录方法及装置
CN107196898B (zh) * 2017-03-14 2020-07-03 阿里巴巴集团控股有限公司 账户登录方法、页面显示方法、客户端、和服务器
US10331875B2 (en) 2017-09-20 2019-06-25 Level 3 Communications, Llc Access control for content delivery services
CN108200572A (zh) * 2018-01-09 2018-06-22 西安万像电子科技有限公司 终端的切换方法、装置及系统
CN108449328A (zh) * 2018-02-28 2018-08-24 上海康斐信息技术有限公司 一种无线路由器及基于无线路由器的app账号管理方法
CN108600190A (zh) * 2018-04-03 2018-09-28 四川斐讯信息技术有限公司 一种基于路由器的账号登录方法及系统
US10992657B1 (en) * 2018-04-30 2021-04-27 Amazon Technologies, Inc. Multi-account entity based access control
CN110351265A (zh) * 2019-07-02 2019-10-18 创新奇智(重庆)科技有限公司 一种基于jwt的认证鉴权方法、计算机可读介质及系统
CN110555687A (zh) * 2019-07-26 2019-12-10 上海泛标商务咨询有限公司 关联交易账户的方法、服务器及用户端
CN113225188B (zh) * 2020-01-19 2023-09-22 华为技术有限公司 登录认证方法、装置与系统
US11870763B2 (en) * 2020-06-26 2024-01-09 Atlassian Pty Ltd. Systems and methods for inter-system account identification
CN114172714A (zh) * 2021-12-02 2022-03-11 北京金山云网络技术有限公司 账号访问权限的控制方法、装置和电子设备
CN114844706B (zh) * 2022-05-07 2023-07-21 金腾科技信息(深圳)有限公司 基于信息通道的账号绑定方法、系统及存储介质

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60031755T2 (de) 1999-09-24 2007-09-06 Citicorp Development Center, Inc., Los Angeles Verfahren und Vorrichtung für authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
US20030135734A1 (en) * 2002-01-14 2003-07-17 Fagan Robert H. Secure mutual authentication system
US7237256B2 (en) * 2003-07-14 2007-06-26 Sun Microsystems, Inc. Method and system for providing an open and interoperable system
US20060048216A1 (en) * 2004-07-21 2006-03-02 International Business Machines Corporation Method and system for enabling federated user lifecycle management
US8738417B2 (en) 2005-04-18 2014-05-27 Hewlett-Packard Development Company, L.P. Method and apparatus for product management
US20070244811A1 (en) * 2006-03-30 2007-10-18 Obopay Inc. Mobile Client Application for Mobile Payments
US8327142B2 (en) 2006-09-27 2012-12-04 Secureauth Corporation System and method for facilitating secure online transactions
AU2008204849B2 (en) * 2007-01-09 2011-12-08 Visa U.S.A. Inc. Contactless transaction
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
US20090132405A1 (en) * 2007-11-15 2009-05-21 German Scipioni System and method for auto-filling information
US8965811B2 (en) * 2008-10-04 2015-02-24 Mastercard International Incorporated Methods and systems for using physical payment cards in secure E-commerce transactions
TWI364202B (en) * 2008-12-17 2012-05-11 Ind Tech Res Inst Single sign-on method and system for web browser
US20120179552A1 (en) * 2009-07-07 2012-07-12 Logix Fusion, Inc. Method of sharing information and positive ratings of products, services, individuals and organizations in a social network
US20110066446A1 (en) 2009-09-15 2011-03-17 Arien Malec Method, apparatus and computer program product for providing a distributed registration manager
EP2309169A1 (en) * 2009-10-12 2011-04-13 Koninklijke Philips Electronics N.V. Luminaire, housing, end parts and louver therefore
TWI495313B (zh) * 2010-08-09 2015-08-01 Timothy H Wu 帳號管理裝置與方法
US9531697B2 (en) * 2011-09-29 2016-12-27 Oracle International Corporation Configurable adaptive access manager callouts
SG11201403482TA (en) * 2011-12-21 2014-07-30 Ssh Comm Security Oyj Automated access, key, certificate, and credential management
US8689310B2 (en) * 2011-12-29 2014-04-01 Ebay Inc. Applications login using a mechanism relating sub-tokens to the quality of a master token
US9325696B1 (en) * 2012-01-31 2016-04-26 Google Inc. System and method for authenticating to a participating website using locally stored credentials
CN102710759B (zh) * 2012-05-22 2015-04-15 中国联合网络通信集团有限公司 Web服务器、业务登录方法及系统
US9009463B2 (en) * 2012-07-09 2015-04-14 Verizon Patent And Licensing Inc. Secure delivery of trust credentials
US20140208407A1 (en) * 2013-01-19 2014-07-24 Lenovo (Singapore) Pte. Ltd. Single sign-on between device application and browser
US20140229331A1 (en) * 2013-02-11 2014-08-14 FORA.tv, Inc. Embedded purchasing system and method
US9870583B2 (en) * 2013-05-15 2018-01-16 Paypal, Inc. One-page checkout
US9479490B2 (en) * 2013-06-07 2016-10-25 Apple Inc. Methods and systems for single sign-on while protecting user privacy
CN104283843B (zh) * 2013-07-02 2018-12-07 腾讯科技(深圳)有限公司 一种用户登陆的方法、装置及系统
US9106642B1 (en) * 2013-09-11 2015-08-11 Amazon Technologies, Inc. Synchronizing authentication sessions between applications
IN2013MU03727A (es) * 2013-11-27 2015-07-31 Tata Consultancy Services Ltd
US9858405B2 (en) * 2014-06-16 2018-01-02 Paypal, Inc. Systems and methods for authenticating a user based on a computing device

Also Published As

Publication number Publication date
EP3700164A1 (en) 2020-08-26
TWI679550B (zh) 2019-12-11
US10313327B2 (en) 2019-06-04
EP3210107A4 (en) 2017-10-04
CN105592011B (zh) 2019-12-24
EP3210107A1 (en) 2017-08-30
WO2016065186A1 (en) 2016-04-28
US11281762B2 (en) 2022-03-22
TW201616382A (zh) 2016-05-01
US20160119319A1 (en) 2016-04-28
US20220215082A1 (en) 2022-07-07
HK1224100A1 (zh) 2017-08-11
CN105592011A (zh) 2016-05-18
US20190199706A1 (en) 2019-06-27
EP3210107B1 (en) 2020-04-08
PL3210107T3 (pl) 2020-08-10

Similar Documents

Publication Publication Date Title
ES2796351T3 (es) Método y aparato para facilitar el inicio de sesión de una cuenta
US10637646B2 (en) Verifying an identity based on multiple distributed data sources using a blockchain to safeguard the identity
US9628282B2 (en) Universal anonymous cross-site authentication
US9525679B2 (en) Sending session tokens through passive clients
WO2018233536A1 (zh) 一种认证方法、基于区块链的认证数据处理方法及设备
US20180183777A1 (en) Methods and systems for user authentication
US10206099B1 (en) Geolocation-based two-factor authentication
US20160241536A1 (en) System and methods for user authentication across multiple domains
US10257171B2 (en) Server public key pinning by URL
US11947658B2 (en) Password generation device and password verification device
CN109347864B (zh) 基于虚拟专用网络的单点登录方法及装置
ES2963837T3 (es) Técnica de conexión a un servicio
Bates et al. Forced perspectives: Evaluating an SSL trust enhancement at scale
Schwarz et al. Feido: Recoverable FIDO2 tokens using electronic ids
Angelogianni et al. How many FIDO protocols are needed? Surveying the design, security and market perspectives
Binu et al. A mobile based remote user authentication scheme without verifier table for cloud based services
WO2020219641A1 (en) User authentication system
Sadqi et al. A cryptographic mutual authentication scheme for web applications
US12003512B2 (en) Limiting discovery of a protected resource in a zero trust access model
TWI670990B (zh) 自動連線安全無線網路的方法與系統
Liang Two-factor human authentication
Schwarz et al. FeIDo: Recoverable FIDO2 Tokens Using Electronic IDs (Extended Version)
Munivel et al. Research Article New Authentication Scheme to Secure against the Phishing Attack in the Mobile Cloud Computing
CA3235696A1 (en) Limiting discovery of a protected resource in a zero trust access model
Bates et al. Forced perspectives