JP2009541817A - システム間シングルサインオン - Google Patents
システム間シングルサインオン Download PDFInfo
- Publication number
- JP2009541817A JP2009541817A JP2009501014A JP2009501014A JP2009541817A JP 2009541817 A JP2009541817 A JP 2009541817A JP 2009501014 A JP2009501014 A JP 2009501014A JP 2009501014 A JP2009501014 A JP 2009501014A JP 2009541817 A JP2009541817 A JP 2009541817A
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- signature
- website
- sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Abstract
システム間シングルサインオンのための技術は、システム間ユーザIDマッピングを使用して複数のシステムのユーザIDをマップする。一実装では、方法は、第1のシステムに関するユーザのID情報を取得し、システム間ユーザIDマッピングテーブルに従い、該第1のシステムに関する該ユーザのID情報から、第2のシステムに関する該ユーザのID情報を取得する。該第1のシステムは、該第2のシステムに関するユーザのID情報を該第2のシステムに送信し、該第2のシステムは、ユーザID認証に成功すると、該ユーザが自動的にログオンすることを許可することができる。システム間で通信される該ユーザID情報を、デジタル署名技術を使用して、暗号化および復号化してもよい。また、該方法を達成するためのシステムも提供する。
Description
本開示は、概してコンピュータおよびインターネット技術、特にシステム間シングルサインオン(SSO)のシステムおよび方法に関する。
多くのインターネット系アプリケーションは、互いに連携しているが、依然として独立している、複数のシステムに渡る一連のステップを実行することをユーザに要求する。例えば、インターネット商用アプリケーションにおいて、消費者は、販売者のウェブサイトで購入する製品を選択してもよいが、支払いサービス業者が所有する別のウェブサイトを通して支払いを行う必要がある。この手順は、消費者対消費者(C2C)電子商取引アプリケーションにおいて特に一般的であり、販売者は、電子決済を受け取る態勢ではない、または直接支払いを行うのに信用があるとの評判をまだ受けていない。インターネットオークションでは、例えば、買手がC2Cウェブサイト(オークションサイト)で購入セレクションを作成するが、販売者に直接支払う代わりに、買手は、多くの場合、その安全で、信頼性があり、かつ便利な即時電子決済で知られる場合がある、第3者であるサービス業者の支払いウェブサイトから支払うことを好む。本実施例では、C2Cウェブサイトおよび第3者の支払いウェブサイトは、2つの独立した会社により維持される、2つの独立したウェブサイトであり、それぞれは独自のユーザIDドメインおよびID認証メカニズムを有する。購入取引を完了するには、買手は、2回(C2Cウェブサイトで1回、第3者の支払いウェブサイトでもう1回)ログオンする必要がある場合がある。しかし、ユーザ(買手)の視点から見ると、1つの購入取引中に、2つの異なるウェブサイトにサインオンすることなく、速やかで簡易化された買い物体験が通常望ましい。
SSOは、ユーザが、ID認証のために、1回のみユーザID情報を入力すればよく、その結果、ユーザID認証を必要とする複数のシステムまたはアプリケーションプログラムに自動的にサインオンすることができる、ログオン環境を指す。ユーザID情報の1回限りの入力は、複数のシステムまたはアプリケーションプログラムの1つで行われる。ユーザは、他のシステムまたはアプリケーションプログラムから、ユーザID情報を再度入力する必要はない。
従来のSSO方法およびシステムは、(1)ユニバーサルユーザビューを維持するための集中ユーザ管理システム、(2)統一されたユーザID認証を実行するための共通ユーザID認証システムの2つの基本的なソフトウェアおよびハードウェアコンポーネントに基づく。ユーザは最初に、ユニバーサルユーザIDを使用して、共通ユーザID認証システムにサインオンし、それによって加入しているシステムにユーザのIDを証明するための承認トークンを取得する。ユーザが同一ユーザID管理ドメイン内の加入しているシステムを訪問することを要求すると、隠し「パスワード」として認証トークンがユーザのログオン要求に含まれる。対象の加入しているシステムは、共通ユーザID認証システムにトークンの妥当性を検証するよう問い合わせ、問い合わせの結果に基づき、ユーザIDが有効であるかを判断する。
図1は、従来のSSO方法およびシステムの例を図示する。図1の方法およびシステムによる、シングルサインオンのための手順を以下に記載する。
ステップ1では、ユーザ(図示せず)は、ユーザのブラウザ100を介してアプリケーションシステム110にその特定のリソースにアクセスするための最初の要求を行う。ユーザが承認IDトークンを有していないことが発見されると、アプリケーションシステム110は、ID認証のために、ユーザを共通ID認証および承認システム120にリダイレクトする。共通ID認証および承認システム120は、ユーザID管理に共通ユーザIDライブラリ130を利用する。
ステップ2では、ユーザは、共通ID認証および認証システム120でID認証プロセスを通過し、承認IDトークンを受信する。
ステップ3では、ユーザは共通ID認証および承認システム120によって、アプリケーションシステム110にリダイレクトされ、承認IDトークンをアプリケーションシステム110に送信する。
ステップ4では、アプリケーションシステム110は、IDトークンの妥当性を検証するために、承認IDトークンを共通ID認証および承認システム120に送信する。IDトークンが有効であることが証明されると、アプリケーションシステム110は、ユーザが要求したリソースにアクセスすることを許可し、そうでなければ、アプリケーションシステム110は、ユーザによるアクセスを拒否する。
図示されるように、従来のSSO方法は、複数のアプリケーションシステムにより共有される共通ID認証および承認システムを必要とし、共通ユーザIDライブラリをさらに必要とする。複数のアプリケーションシステムが様々な管理システムを使用する多様なウェブサイトにホストされるため、共通ユーザIDライブラリおよび共通ID認証ならびに承認システムを確立することは、管理戦略および技術的導入の両方に困難をもたらす。そのような困難の代表的な例には、以下が挙げられる。
1.異なるウェブサイトは、異なるユーザグループを有する。これらのユーザグループは、それぞれにセットを構成する。これらのセットは、互いに交差する場合があるが、通常、互いと同一ではない。結果として、異なるユーザグループを共通ユーザIDライブライに一体化し、一元管理することは難しい。
2.異なるウェブサイトは、ユーザ登録および管理のための独自の固有な方法ならびに手順を有する。異なるウェブサイトにそれらのシステムを共通ユーザID管理システムに変換することを要求することは、多くの場合、ビジネス要件と両立しない。
3.共通ユーザIDライブラリが複数のシステムに共有されるとしても、それぞれのシステムは、個々にアップグレードする必要がある場合がある。結果として、使用される標準規格に関して合意を得ることは難しく、共通ユーザIDライブラリの確立および維持において、どのシステムが優位性を有するべきかを判断することは、さらに難しい。
4.インターネット上で、IDトークンは、通常、一般に同一SSOログオンドメインのすべてのウェブサイトが同一ネットワークドメインに属することを要求する、クッキーを使用して通信される。可能であるとしても、異なるネットワークドメインに渡りSSOを確立することは、非常に複雑な手順を必要とする。
5.共通ユーザID認証システムは、集中セッション管理ユニットであり、典型的に、単一障害点であり、性能においてボトルネックとなる問題点である。そのような問題の解決には、費用の掛かる、複雑なクラスタ技術が必要である場合があり、システムの構築および維持費用を大幅に増加する。
6.複数の個別ユーザID認証および管理システムを共通ユーザID認証および管理システムに変更するために、既存のシステムの相当な変更および改造が必要となる場合がある。これは、費用を増大するだけでなく、大きなリスクも伴う。
1.異なるウェブサイトは、異なるユーザグループを有する。これらのユーザグループは、それぞれにセットを構成する。これらのセットは、互いに交差する場合があるが、通常、互いと同一ではない。結果として、異なるユーザグループを共通ユーザIDライブライに一体化し、一元管理することは難しい。
2.異なるウェブサイトは、ユーザ登録および管理のための独自の固有な方法ならびに手順を有する。異なるウェブサイトにそれらのシステムを共通ユーザID管理システムに変換することを要求することは、多くの場合、ビジネス要件と両立しない。
3.共通ユーザIDライブラリが複数のシステムに共有されるとしても、それぞれのシステムは、個々にアップグレードする必要がある場合がある。結果として、使用される標準規格に関して合意を得ることは難しく、共通ユーザIDライブラリの確立および維持において、どのシステムが優位性を有するべきかを判断することは、さらに難しい。
4.インターネット上で、IDトークンは、通常、一般に同一SSOログオンドメインのすべてのウェブサイトが同一ネットワークドメインに属することを要求する、クッキーを使用して通信される。可能であるとしても、異なるネットワークドメインに渡りSSOを確立することは、非常に複雑な手順を必要とする。
5.共通ユーザID認証システムは、集中セッション管理ユニットであり、典型的に、単一障害点であり、性能においてボトルネックとなる問題点である。そのような問題の解決には、費用の掛かる、複雑なクラスタ技術が必要である場合があり、システムの構築および維持費用を大幅に増加する。
6.複数の個別ユーザID認証および管理システムを共通ユーザID認証および管理システムに変更するために、既存のシステムの相当な変更および改造が必要となる場合がある。これは、費用を増大するだけでなく、大きなリスクも伴う。
前述の理由のため、SSO方法およびシステムの改善に対する重大な必要性が存在する。
従来の集中モデルの代わりに、ユーザID管理の分散モデルを使用するシングルサインオン(SSO)技術を記載する。システム間シングルサインオンは、複数のシステムのユーザIDをマップするためのユーザIDマッピング概念を使用することにより可能になる。
一側面によると、第1のシステムと第2のシステムとの間のシングルサインオンの方法が提供される。第1のシステムは、第1のシステムに関するユーザのID情報を取得する。その後第1のシステムは、システム間ユーザIDマッピング関係に従い、第1のシステムに関するユーザのID情報から第2のシステムに関するユーザのID情報を取得し、第2のシステムに関するユーザのID情報を第2のシステムに送信する。ユーザのID情報を受信した上で、第2のシステムは、ユーザが第2のシステムにサインオンできるようにする。
一実施形態では、システム間で通信されるユーザID情報は、デジタル署名技術を使用して暗号化される。例えば、第1のシステムは、第2のシステムに関するユーザのID情報に添付される署名を作成し、第2のシステムに関するユーザのID情報と共に該署名を第2のシステムに送信する。第2のシステムは、受信した署名を審査することによって、ユーザID情報を認証する。1つの例示的なアプリケーションでは、ユーザは、最初に第1のシステムにサインオンする。第2のシステムは、ユーザのID情報が認証された場合、ユーザが第2のシステムにサインオンできるようにする。ユーザが第1のシステムにまだサインオンしていない場合、第1のシステムは、ユーザのIDを認証するために、ユーザにサインオンすることを要求する場合がある。
第1のシステムは、ユーザが第2のシステムにサインオンしようとしたという知らせを受けた上で、署名を作成するように設定されていてもよい。この知らせは、第1のシステムでユーザにより起動されたログオン要求、または第2のシステムによって第1のシステムにリダイレクトされたログオン要求のいずれかである場合がある。
該方法の一実施形態では、第1のシステムは、ユーザが第1のシステムから来たことを第2のシステムに知らせる。第2のシステムは、この認識を使用して、第2のシステムにサインオンする際のユーザの権限を絞り込む、例えば制限してもよい。
署名は、第1のシステムにより、暗号デジタル署名で暗号化されてもよい。従って、第2のシステムは、署名を認証するために、暗号デジタル署名を復号化する。暗号化および復号化は、公開鍵暗号化および秘密鍵暗号化などのいずれの適した暗号化技術を使用して行われてもよい。また、ハッシング技術を使用してもよい。第1のシステムは、ユーザID情報を第2のシステムに送信する前に、第2のシステムに関するユーザID情報の少なくとも一部分からハッシュを作成してもよい。
一実施形態では、第1のシステムは、署名および/またはユーザのID情報を第2のシステムに送信する前に、署名および/または第2のシステムに関するユーザのID情報にタイムスタンプを押す。第2のシステムは、タイムスタンプ情報を確認することによって、署名および/またはユーザのID情報を認証する。例えば、タイムスタンプ情報は、現行のタイムスタンプと同一ユーザに関する以前のタイムスタンプとを比較することにより、確認されてもよい。署名および/またはユーザのID情報は、現行のタイムスタンプが以前のタイムスタンプの後続である場合にのみ認証される。第2のシステムは、署名のログ記録および受信したユーザのID情報を保持する場合がある。
別の側面によると、システム間ユーザサインオンを認証するためのシステムが提供される。該システムは、データストレージ、およびデータストレージに保存されたユーザ情報を使用して、ログオンを要求しているユーザのIDを認証するためのID認証デバイスを有する。該システムは、データストレージに保存されるユーザIDマッピングデータをさらに有する。ユーザIDマッピングデータは、現行システムに関するユーザID情報とパートナーシステムに関するユーザID情報との間のマッピング関係を定義する。該システムは、マッチング関係を使用して、システムに関するユーザID情報からパートナーシステムに関するユーザID情報を取得するように適応される。
一実施形態では、該システムは、パートナーシステムに関するユーザID情報に添付される署名を生成するための署名ジェネレータを有する。署名ジェネレータは、暗号化アルゴリズムを使用してもよい。
別の側面によると、システム間ユーザサインオンを認証するためのシステムは、現行システムに関するユーザID情報を保存するデータストレージ、およびデータストレージに保存されたユーザID情報を使用してユーザIDを認証するためのID認証デバイスを有する。該システムは、パートナーシステムから受信したユーザIDに添付された署名を復号化し、データストレージに保存されたユーザID情報を判断することによって、受信したユーザIDを認証するための署名認証デバイスをさらに有する。該システムは、署名認証デバイスによる署名の認証が成功した上で、ユーザがログオンすることを許可することができる。一実施形態では、該システムは、ユーザのログオン方法に従い、ユーザの権限を制限するためのユーザ権限コントローラをさらに有する。
従来のSSO方法およびシステムとは異なり、本開示に記載される技術は、集中モデルの代わりに、分散ユーザ管理モデルを使用する。システム間IDマッピング概念を使用し、異なるシステムに関するユーザID情報を統合するために、直接ユーザIDマッピングテーブルが構築されてもよい。安全性を強化するために、デジタル署名技術を使用することができる。ユーザIDマッピングおよびデジタル署名技術の両方は、既存のシステムの単純な拡張であり、既存のユーザID認証システムの根本的な変更を必要としない。複数の独立したシステムを含む、大きな共同システムは、相互信頼関係に基づき、それぞれのシステムを大幅に変更したり、その独立性を放棄したりする必要なく、構築される場合がある。
記載される技術の他の特徴および利点は、以下の詳細な説明および図から、より容易に理解されるだろう。
添付の図を参照しながら、詳細な説明を記載する。図では、参照番号の最も左の数字により、参照番号が最初に表示される図を識別する。同一参照番号の異なる図での使用は、同様または同一事項を示す。
以下の代表的な実施例に実証されるように、本明細書に記載の技術は、既存のシングルサインオン(SSO)方法に見られるユーザID管理の集中モデルから離れ、ユーザID管理の分散モデルを導入する。この設計は、高度な技術的複雑性の問題および管理の困難性に対処する。
本開示の一側面によると、複数のシステムのユーザIDをマップするためにシステム間ユーザIDマッピングを使用する、システム間シングルサインオンのための方法が提供される。C2Cウェブサイトまたは支払いウェブサイトのような、それぞれが独立したウェブサイトである場合がある、別個のパートナーシステムは、独自のユーザIDおよびユーザID管理システムを保持することが可能であり、共通ユーザIDライブラリおよび共通ユーザID管理システムに準拠する必要はない。
異なるシステムに関するユーザIDは、たとえ同一ユーザであっても異なる可能性があるため、本開示は、異なるシステム間で調整するためのシステム間ユーザIDマッピング技術を導入する。マッピングは、異なるシステム間における同一ユーザのIDのマッチング対応を定義する。特定のユーザのそれぞれのIDは、異なるシステムにおいて異なる場合がある、ユーザ名およびパスワードなどの基本属性を有する場合があるが、生年月日、住所、および選好などのその他の属性が含まれている場合もある。マッピングは、いずれの適した方法で行われてもよいが、好ましくは、システムがそれぞれのユーザを一意的に識別することができ、別のシステムに関連するユーザのID情報の認識に基づき、1つのシステムに関するそれぞれのユーザのID情報が識別可能であるべきである。
図2は、本開示によるインターネット電子商取引においてシングルサインオンを達成するための例示的なシステム200の概略図である。図2に示されるように、ユーザCは、ユーザのブラウザ210を介して、ウェブサイトAおよびウェブサイトBに代表される2つのパートナーシステムに関連するインターネット取引を試みる。シングルサインオンは、ウェブサイトAとウェブサイトBとの間で行われる。ウェブサイトAおよびウェブサイトBは、インターネット上の2つの独立したウェブサイトである。それらは、インターネット上のどこに位置してもよく、ネットワークドメインAおよびネットワークドメインBの2つの異なるドメインに属していてもよく、同一のネットワークドメインに属していてもよい。
ウェブサイトAは、データストレージ220に保存されたユーザライブラリ224によって定義される、独自のユーザグループを有する。またウェブサイトBも、データストレージ230に保存されたユーザライブラリ234によって定義される、独自のユーザグループを有する。データストレージ220および230のそれぞれは、単一ストレージデバイスまたは複合ストレージシステムであってもよい。
ウェブサイトAは、ログオンを要求しているユーザのIDを認証するためのID認証デバイス221をさらに有する。認証プロセスは、データストレージ220に保存されるユーザライブラリ224のユーザID情報を利用する。ユーザのIDが認証されると、ユーザは、ウェブサイトAの要求したリソースにアクセスすることが許可される。
ウェブサイトAは、データストレージ220に保存されたユーザIDマッピングデータ226をさらに有する。ユーザIDマッピングデータ226は、ウェブサイトAに関するユーザID情報とウェブサイトBに関するユーザID情報との間のマッピング関係を定義する。ユーザIDマッピングデータ226は、ウェブサイトAが、ウェブサイトAに関する同一ユーザのID情報から、ウェブサイトBに関するユーザのID情報を取得できるようにする。
ウェブサイトAは、ウェブサイトBに関するユーザID情報に添付される署名を生成するためのID署名ジェネレータ222をさらに有する。ID署名ジェネレータ222およびID認証デバイス221は、2つの別個のユニットまたは単一ユニットのいずれかに統合されてもよい。
またウェブサイトBは、データストレージ230に保存されるユーザライブラリ234のユーザID情報を使用して、ユーザIDを認証するためのID認証デバイス231も有する。ウェブサイトBは、ウェブサイトAから受信したユーザID情報に添付される署名を復号化するための署名認証デバイス232をさらに含む。ID認証デバイス231およびID署名認証デバイス232は、2つの個別ユニットまたは単一ユニットのいずれかに実装することができる。
署名の復号化は、ウェブサイトAから受信したユーザIDの信頼性および完全性を検証するために使用される。ユーザのIDが認証された場合、ユーザは、ウェブサイトBの要求したリソースにアクセスすることを許可される場合がある。
例示的なアプリケーションでは、ウェブサイトAおよびウェブサイトBは、電子商取引のためのパートナーシップを確立する。パートナーシップは、ウェブサイトAおよびウェブサイトBがユーザ情報を交換し、その結果、マッピングテーブル形式である場合がある、ユーザIDマッピングデータ226を回収することを可能にする。ユーザCは、ウェブサイトAおよびウェブサイトBの両方の顧客である。典型的に、ユーザCは、別々に、および独立して、ウェブサイトAおよびウェブサイトBの顧客になった可能性がある。同一ユーザCは、ウェブサイトAおよびウェブサイトBに関する異なるユーザID情報(例えば、異なるユーザ名またはパスワード)を有する場合がある。例えば、ウェブサイトAに関するユーザCのIDがCAであり、ウェブサイトBに関するユーザCのIDがCAである場合、ユーザIDマッピングデータ226(マッピングテーブルのような)は、CAとCBとの間のマッピング関係を、CA→CBとして示す入力を含み、ウェブサイトA上でのIDがCAであるユーザが、ウェブサイトB上でCBというIDを有することを意味する。適切に構築されている場合、ユーザIDマッピングデータ226は、ウェブサイトAがそれぞれのユーザを一意的に識別することを可能にし、ウェブサイトAに関する同一ユーザのID情報の認識に基づき、ウェブサイトBに関するそれぞれのユーザのID情報が特定できるようにする。
一致したID情報は、ログオンユーザ名およびパスワードなどの属性を含む場合があるが、システム間で異なる追加属性を含む場合がある。さらに、ユーザIDの認証、およびユーザ権限の制御ならびに制限に使用される追加情報もユーザID情報に添付される場合がある。
例示的なプロセスでは、ウェブサイトAは、ユーザCが、ユーザのブラウザ210を介してウェブサイトAにサインオンする際、ウェブサイトAに関するユーザCのID情報を取得する。IDマッピングデータ226を適切に使用することにより、ウェブサイトAは、ウェブサイトAに関する同一ユーザCのID情報から、ウェブサイトBに関するユーザCのID情報を取得する。その後、ウェブサイトAは、ウェブサイトBに関するユーザのID情報をウェブサイトBに送信する。ユーザのID情報を受信した上で、受信したID情報が満足できるものである場合、第2のシステムは、ユーザCが第2のシステムにサインオンすることを可能にすることができる。
ウェブサイトAとウェブサイトBとの間で通信されるユーザID情報は、安全性を有するために、デジタル署名技術を使用して暗号化されてもよい。ウェブサイトAは、この目的のために、ID署名ジェネレータ222を有する。例えば、ユーザCがウェブサイトAに正常にサインオンした後、ウェブサイトAは、ウェブサイトAおよびウェブサイトBに関するユーザCのID情報をCAおよびCBとそれぞれ定義し、ID署名ジェネレータ222は、ウェブサイトBに送信する前に、ユーザID情報CBにデジタル署名する場合がある。いずれの適した暗号化技術を使用して、ユーザID情報CBにデジタル署名するための署名を生成してもよい。一般的に、署名アルゴリズムは、ウェブサイトAでの暗号化およびウェブサイトBでの復号化を調整するために、ウェブサイトAおよびウェブサイトBの両方で取り決める必要がある。適した署名アルゴリズムの一実施例は、公開鍵署名アルゴリズムであり、ウェブサイトAは、それを使用して、その秘密鍵を使用してユーザID情報に署名し、ウェブサイトBがウェブサイトAの秘密鍵と一致する公開鍵を使用して署名を復号化できるようにしてもよい。
ウェブサイトAでID署名ジェネレータ222により生成されるデジタル署名は、第2のシステムに関するユーザのID情報CBに添付される。そしてデジタル署名およびID情報CBは、ウェブサイトBへのログオンを要求するために、両方ともウェブサイトBに送信される。
ウェブサイトBは、ウェブサイトAからログオン要求を受信し、ログオン要求が認証を必要とする署名を含むことを検出する。ウェブサイトBは、この目的のために、ID署名ベリファイア232を有する。ID署名ベリファイア232は、署名を復号化し、受信した署名およびユーザのID情報の信頼性ならびに完全性などの妥当性を検証する。署名およびユーザのID情報が妥当性テストに合格した場合、ウェブサイトBは、ウェブサイトAから送信されたID情報から、ユーザCのIDを判断する。ウェブサイトBは、CBをウェブサイトBに関するユーザCの有効なIDとして承認し、その結果、ユーザCに適切な役割およびセッションを確立する。
署名およびID情報が妥当性テストに不合格となった場合、ウェブサイトBは、ユーザCによるログオン要求を否認することになるであろう。場合によっては、署名およびID情報が妥当性テストに合格したとしても、特定のユーザIDであるCBは、ウェブサイトBで導入される特定の追加制限により、まだログオンを許可されない場合がある。例えば、特定のユーザIDであるCBは、失効している可能性があるか、または誤ったステータスを持つ、あるいはウェブサイトBに維持されるブラックリスト中に発見される。そのような状況下において、ウェブサイトBは、ユーザCのログオン要求を依然として否認することができる。
ウェブサイトBは、ウェブサイトB上のリソースにアクセスする訪問者としてのユーザCに与えられる権限を制御するための権限コントローラ233をさらに有する。通常、特定のユーザIDを有するユーザは、ユーザIDが作成される際に定められる、権限の固有セットを有する。しかしながら、ユーザがログオンを要求する方法により、ユーザの権限をさらに制御することが望ましい場合がある。例えば、ウェブサイトBに直接ログオンするユーザは、固有の権限を与えられる一方、別のウェブサイト(例えば、本実施例のウェブサイトA)からリダイレクトされるユーザは、より少ない権限が与えられる場合がある。ログオンを要求しているユーザの固有の権限を判断するために、権限コントローラ233は、データストレージ230に保存されるユーザライブラリ234を調べてもよい。ユーザのログイン方法を判断するために、権限コントローラ233は、ウェブサイトAから送信されるログオン要求情報(署名およびユーザIDと共に含まれる)を調べてもよい。あるいは、権限コントローラ232は、ユーザのログオン方法の情報を含むウェブサイトBに記録されたセッション情報を調べてもよい。セッション情報は、通常、ユーザCがサインオンし、セッションを確立した後、ウェブサイトB上のログファイルに記録される。
例示的なアプリケーションでは、ウェブサイトAは、C2Cウェブサイトであり、ウェブサイトBは、支払いウェブサイトである。ユーザCがウェブサイトA(C2Cウェブサイト)で起動されるウェブサイトB(支払いウェブサイト)にサインオンする際、ユーザCは、現行のセッション中、ウェブサイトAに関連する支払い取引のみを行い、他のウェブサイトに関連する支払い取引を行わないように、権限コントローラ233がユーザCの現行のセッションの権限を制限してもよい。一般に、支払いウェブサイトは、C2Cウェブサイトより高度な安全性を有する。権限コントローラ233の使用は、安全性と便利性との適切なバランスを有する、よりよいパートナーシップを達成することを助長する。例えば、適切な権限制御により、C2Cウェブサイトに関するユーザID情報(ユーザ名、およびパスワードまたはセキュリティコードなど)が盗まれる、あるいは危険にさらされる場合でも、ユーザとC2Cウェブサイトとの間のトランザクションのみに影響する。
上記に示されるように、ウェブサイトAとウェブサイトBとの間のシングルサインオンは、ユーザIDマッピングデータにより可能となり、デジタルID署名技術により、さらに安全になる。デジタルID署名に使用される署名アルゴリズムは、本開示によるシングルサインオンに安全性を提供するための重要なコンポーネントである。好ましくは、署名アルゴリズムは、以下のセキュリティ要件の側面を満足するべきである。
(1)情報(ウェブサイトBに関するユーザID情報に署名される署名、およびその他の追加署名情報を含む)が確かにウェブサイトAから送信されたものであることを証明するための信頼性。
(2)ID情報が署名された後、署名およびID情報が不正者により改ざんされていないことを証明する完全性。
(3)ウェブサイトA以外、ウェブサイトBおよびいかなるその他の第3者を含む誰もが有効な署名をレコード上に作成することができないことを保証する、非否認。適切な非否認手段により、妥当性および安全性の疑問に議論が生じた場合、ウェブサイトAは、レコード上の署名の作成者であることを否定できない。
(4)ID署名が有効に使用されるのは、1回のみであることを保証する、リプレイ防止。1度使用されると、ID署名は、もはや有効ではなくなり、従って、再び使用することができない。これは、第3盗聴者がユーザID署名を盗み、署名を再適用してウェブサイトBへのログオンアクセスを手に入れることを防止する。
(1)情報(ウェブサイトBに関するユーザID情報に署名される署名、およびその他の追加署名情報を含む)が確かにウェブサイトAから送信されたものであることを証明するための信頼性。
(2)ID情報が署名された後、署名およびID情報が不正者により改ざんされていないことを証明する完全性。
(3)ウェブサイトA以外、ウェブサイトBおよびいかなるその他の第3者を含む誰もが有効な署名をレコード上に作成することができないことを保証する、非否認。適切な非否認手段により、妥当性および安全性の疑問に議論が生じた場合、ウェブサイトAは、レコード上の署名の作成者であることを否定できない。
(4)ID署名が有効に使用されるのは、1回のみであることを保証する、リプレイ防止。1度使用されると、ID署名は、もはや有効ではなくなり、従って、再び使用することができない。これは、第3盗聴者がユーザID署名を盗み、署名を再適用してウェブサイトBへのログオンアクセスを手に入れることを防止する。
上記に記載の安全対策(信頼性、完全性、および非否認)を達成するためのある例示的な技術は、公開鍵デジタル署名アルゴリズムである。このアルゴリズムを使用するために、ウェブサイトAおよびウェブサイトBは、事前に公開鍵および秘密鍵の組を取り決める。秘密鍵は、ウェブサイトAによってウェブサイトBを含むその他のエンティティから隠されて保管される。秘密鍵と一致する公開鍵は、公開され、特にウェブサイトBに既知である。実際のアプリケーションでは、ウェブサイトAのID署名ジェネレータ222は、公開鍵デジタル署名アルゴリズムを適用し、秘密鍵を使用してウェブサイトBに関するユーザID情報に署名する。署名されたユーザIDの受信した上で、ウェブサイトBのID署名ベリファイア232は、同一の公開鍵デジタル署名アルゴリズムに従って、公開鍵を使用して受信した署名を復号化する。この暗号化−復号化手順は、ウェブサイトAにより署名されたID署名の信頼性および完全性を検証するための基盤を提供する。同時に、ウェブサイトBは、非否認手段を提供するために、セッションログの認証されたID署名を記録する。記録されたセッションログにより、議論が生じた際にウェブサイトAが記録されたID署名を実行したことを否認することを避けられる。
リプレイを防止するための1つの例示的な技術は、タイムスタンプの使用である。ウェブサイトAからウェブサイトBに通信されるユーザIDには、タイムスタンプが押され、またログオン要求には、ユーザIDにタイムスタンプが押されていること、および受信者であるシステムウェブサイトBによる確認および認証が必要であることを示す情報が含まれてもよい。好ましい実施形態では、タイムスタンプは、デジタル署名の署名手順における不可欠な部分として実装される。例えば、署名の作成に選択されるデジタル署名アルゴリズムは、ウェブサイトAで署名されるID情報にタイムスタンプが添付されていることを必要とし、タイムスタンプとID情報は、一緒に署名される場合がある。これは、ID情報およびタイムスタンプ情報の両方の信頼性および完全性を保証する。ウェブサイトBにおいて、署名の復号化は、ID情報およびタイムスタンプ情報の両方の信頼性および完全性を同時に検証する。
タイムスタンプ情報は、様々な方法でリプレイ防止に使用されてもよい。以下は、2つの実施例である。
1.ウェブサイトBでは、ID署名ベリファイア232がウェブサイトAから受信したID署名を認証すると同時に、現行のID署名のタイムスタンプと、同一ユーザ(ユーザC)のウェブサイトAから送信された以前のID署名のタイムスタンプを比較する。同一ユーザによる継続的なログオン要求は、常に時間が増加するため、現行のタイムスタンプが以前のタイムスタンプより古いか、以前のタイムスタンプと同一であるかのいずれかの場合、リプレイの試みが検出される可能性がある。そのような検出を行った上で、ID署名認証は、失敗し、ウェブサイトBはユーザCによるアクセスを否認する。
ユーザCが初めてウェブサイトBを訪問している場合、タイムスタンプは、以前のタイムスタンプと比較することなく承認される必要がある場合があるが、署名およびユーザID情報が初めて適用されるため、この特別な状況において、リプレイのリスクは無い。ユーザCが正真正銘の正当な繰り返し訪問を行っている場合、異なる、唯一の継続的なタイムスタンプを有する、現行の署名および以前の署名が別々に作成される。この技術を使用し、ユーザCが特定の署名で正真正銘の訪問を行った場合、同一署名は、事実上失効する。この技術では、ウェブサイトBが、タイムスタンプなどの追加添付情報を含む、すべてのログオン要求のログ記録を保持する必要がある。
2.ウェブサイトAおよびウェブサイトBは、作成後の署名の妥当性の期限を取り決める。例えば、ウェブサイトAおよびウェブサイトBは、署名は、作成後1分間のみ有効であると取り決めてもよい。署名を受信した上で、ウェブサイトBは、署名のタイムスタンプと、現在の時間(実際の時刻)を比較して、署名がまだ有効であるかどうかを判断する。この技術を使用することで、署名が盗まれる、または漏れる、いかなる事象においても、その妥当性は1分間のみに制限される。従って、安全性侵害がもたらす結果は最小化される。実際には、ウェブサイトAが、署名されたユーザID情報の署名作成後、即座に送信することが望ましい場合がある。これは、1分間を大幅に下回る失効期限を取り決めることにより、可能となる場合がある。
タイムスタンプ情報を使用するための上記の2つの技術は、互いに排他的ではない。それらを、実践に組み合わせてもよい。例えば、第1の技術は、単独で使用される場合、ウェブサイトAで作成された署名が、ウェブサイトBに伝達される前に盗まれる、または漏れるという事象において、損なわれる場合がある。この場合、ウェブサイトBは、ユーザCのタイムスタンプの適切な記録を有さず、盗まれたまたは漏れた署名を所有する犯人がタイムスタンプテストに合格し得る。しかしながら、上記に記載される第1の技術と第2の技術の両方の組み合わせは、盗まれたまたは漏れた署名は、かなりの時間が経過するまで適用される可能性が低いため、問題が解決される可能性がある。
署名の作成および認証に使用可能な署名アルゴリズムには、デジタル署名アルゴリズム(DSA)などの公開鍵署名アルゴリズムが挙げられるが、それに限定されない。様々な技術が使用可能であり、パートナーウェブサイトの必要性に最も適するものを選択してもよい。例えば、ウェブサイトAおよびウェブサイトBが十分な程度の相互信頼を有する場合、非否認のためのメカニズムは必要ない場合がある。この場合、ウェブサイトAは、ユーザID情報およびタイムスタンプ情報の暗号化に秘密鍵アルゴリズムを使用し、ウェブサイトBに暗号文(暗号テキスト文字列)を送信して、信頼性、完全性、およびリプレイ防止を保証する。
あるいは、ID情報およびタイムスタンプ情報の署名に、ハッシュアルゴリズムSHAI(Secure Hash Algorism、version1.0)またはMD5(Message Digest、version5)、などのより単純なアルゴリズムを使用してもよい。ハッシュアルゴリズムにより選択され、両者(ウェブサイトAおよびウェブサイトB)で取り決めたシードを使用して、第3者がユーザID情報に有効な署名を作成することを防止してもよい。
図3は、本開示による、例示的なシングルサインオンプロセスのフロー図を示す。プロセスは、ブロックのコレクションとして論理フローグラフに示され、ハードウェア、ソフトウェア、またはその組み合わせに実装可能な一連の動作を示す。ソフトウェアの文脈において、ブロックは、コンピュータ実行可能指示を示し、1つ以上のプロセッサで実行される場合、記載される動作を実行する。一般的に、コンピュータ実行可能指示は、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み、特定の機能を実行する、または特定の抽象データ型を導入する。動作が記載される順序は、構文解析のための制限を意図するものではなく、ブロックに記載されるいずれの番号も、いずれの順序で組み合わせることが可能であり、かつ/または平行してプロセスに導入することができる。検討目的のために、図2のシステム200を参照してプロセスを記載する。
本実施例では、ユーザは、最初にウェブサイトAにサインオンする。ウェブサイトAは、ウェブサイトBへの自動ログオンを達成するためのユーザID署名の作成プロセスを開始する。例示的なシングルサインオンプロセスを以下のブロックに記載する。
ブロック300では、ユーザCは、ウェブサイトAにログオンすることを要求し、ID認証のためのID情報(ユーザ名およびパスワードなど)を入力する。
ブロック301では、ウェブサイトAのID認証デバイス221がデータストレージ220に保存されるユーザライブラリ224からユーザID情報を読み出し、ユーザCにより提供されるユーザID情報を認証する。
ブロック302では、ユーザID認証が成功した上で、ユーザCがウェブサイトAのリソースにアクセスすることを許可される。
ブロック303では、ウェブサイトAがウェブサイトBに関するユーザCのID情報を判断し、ユーザID情報に基づき、ユーザID署名を生成する。場合によっては、ユーザCのID情報が判断され、署名される前に、ウェブサイトAが、ユーザCがウェブサイトBでサインオンしているかを検出することを可能にするメカニズムが採用されてもよい。これは、自動的に行われるか、またはユーザCにより明確に指示された上で行われる。例えば、ウェブサイトAは、ユーザCがウェブサイトBからのサービスまたはサポートを必要とするウェブサイトAのリソースを要求した場合に、ユーザCがウェブサイトBにサインオンしようとしていることを自動的に検出してもよい。
ウェブサイトBに関するユーザCのID情報は、データストレージ220に保存されるIDマッピングデータ226を使用して、ウェブサイトAで判断される。例えば、ユーザIDマッピングデータ226がウェブサイトA/ウェブサイトB(A/B)マッピングテーブルを含む場合、ID署名ジェネレータ222は、ウェブサイトBに関するユーザCのID情報を、マッピングテーブルを読み込むことによって取得してもよい。そしてID署名ジェネレータ222は、取り決められた署名アルゴリズムを使用して、ウェブサイトBに関するユーザCのID情報、およびその他の追加情報(タイムスタンプ情報など)に署名する。ID署名ジェネレータ222は、ウェブサイトBへのログオン要求にID署名をさらに添付する。
ブロック304では、ウェブサイトAは、ユーザID署名を含むログオン要求をウェブサイトBに誘導する。ログオン要求では、ウェブサイトAはさらに、ユーザCにウェブサイトAから来ているというラベルを付けてもよい。そのようなラベリングは、異なるサブドメイン名または追加添付パラメータのような形であってもよい。
ブロック305では、ウェブサイトBは、ウェブサイトAから受信したユーザID署名が有効であるかを判断する。これは、取り決められた署名アルゴリズムを使用して署名を復号化する、ID署名ベリファイア232によって行われる。ユーザID署名が無効な場合、ウェブサイトBは、ユーザCのログオン要求を否認する。ユーザID署名が有効な場合、プロセスは次のステップ306に進む。
ブロック306では、ウェブサイトAからのユーザID署名が有効であると判断されたことにより、ウェブサイトBは、ユーザCが信頼できるウェブサイトAにすでにサインオンしており、従って、ウェブサイトBにログオンするための許可も与えられるべきであると判断する。従って、ウェブサイトBは、ユーザCのセッションを確立し、ユーザCがウェブサイトBの要求するリソースにアクセスすることを許可する。セッションは、ウェブサイトAから受信したユーザID情報から識別される、ウェブサイトBに関するユーザID情報に従って確立される。ウェブサイトBはさらに、今後のログオン要求のタイムスタンプの比較など、その他の目的のために使用される場合がある、ユーザID署名をセッションログに記録してもよい。
ブロック307では、ウェブサイトBは、ユーザCのステータスを確認し、確立されたセッションに対するその権限を判断する。これは、権限コントローラ233によって行われる。特定のユーザCは、特定の要求されるリソースにアクセスする権限を有さないことが発見された場合、ウェブサイトBは、ユーザCのユーザIDが有効であるにも関わらず、ユーザCの要求を否認する。特定のユーザCが特定の要求するリソースにアクセスする権限を有することが発見された場合、ウェブサイトは該アクセスを許可する。
上記のステップは、同一または同様の目的を達成するために、より少ないステップに一体化されてもよく、またはより多くのステップに拡張されてもよいことが理解される。例えば、ステップ306およびステップ307は、単一ステップとして同時に実行されてもよい。
上記に記載のシングルサインオンプロセスは、同一ユーザCによる複数の要求または複数のトランザクションに関係する、閉じていないセッションに対して、1回のみ実行される場合がある。1度ユーザCとウェブサイトBが有効なセッションを確立すると、ユーザCはセッションを継続することを選択し、ウェブサイトAに戻り、上記に記載のシングルサインオンプロセスを繰り返すことなく、ウェブサイトBの認可されたリソースに直接アクセスしてもよい。継続的なセッションには、最初にアクセスしたリソースへの繰り返しアクセス、またはその他の認可されたリソースへの新しいアクセスが含まれてもよい。
上記の例示的な実施形態では、ウェブサイトAが署名プロセスを開始する。署名は、ユーザCがウェブサイトBへのログオンを要求する度に生成される必要は無いことに留意されたい。本開示による方法は、ウェブサイトAは、新しい署名が必要な場合にのみ、ユーザID情報に署名するように要求されるように設定されていてもよい。例えば、ユーザCがウェブサイトAからウェブサイトBを訪問しようとする度に、ウェブサイトAが独自の署名プロセスを開始する代わりに、ウェブサイトBが署名されたユーザID情報の送信要求を受信した場合にのみ、ウェブサイトAがこのアクションを行ってもよい。この設計は、不必要な繰り返し、および署名作成ならびに認証の余剰を回避する。署名アルゴリズムの実行は、相当な量のコンピュータ資源を使用するため、そのような実行を削減することは、相当な量の運営費用を節約する可能性がある。さらに、署名作成および認証の発生率がより少ないことにより、保持する記録および署名が漏れるリスクが低くなるという結果がもたらされる。
図4は、例示的なシングルサインオンプロセスを示すフロー図であり、ウェブサイトBは、いつウェブサイトAにユーザID情報に署名するように要求するか決定する。例示的なプロセスを以下のブロックに記載する。
ブロック400では、ユーザCがウェブサイトBにログオンし、特定のリソースにアクセスすることを要求する。これは、ユーザCにより、ウェブサイトBで直接開始されてもよいが、ウェブサイトAがC2Cサイトである一方、ウェブサイトBは、支払いサイトである、示される実施例においては、サインオンするための要求は、ウェブサイトAからウェブサイトBに向けられる可能性が高い。この場合、ログオン要求は、ウェブサイトAから来ているものとして、ユーザCを識別してもよい。そのような識別表示は、ログオン要求情報内に、異なるサブドメイン名、または追加添付パラメータのいずれかを含んでもよい。
ブロック401では、ウェブサイトBは、ユーザCがすでにウェブサイトBにサインオンしているかどうかを、シングルサインオンプロセスを介して、ウェブサイトから直接的または間接的に判断する。ユーザCがすでにウェブサイトBにサインオンしている場合、プロセスは、署名作成および認証ステップを省略し、ウェブサイトBが要求するリソースへのアクセスに関するユーザCの権限を判断する、ステップ407に跳ぶ。ユーザCがウェブサイトBにまだサインオンしていない場合、プロセスは、ステップ402に進む。
ブロック402では、ウェブサイトBは、ユーザCのログオン要求をウェブサイトAにリダイレクトする。要求は、ウェブサイトAがウェブサイトBにユーザCのID情報を送信するための要求を識別するパラメータを含む。ID情報が署名により保護される場合、要求は、ウェブサイトAがウェブサイトBに送信されるID情報に安全に署名するための要求を識別するパラメータを含む。必要に応じて、要求はまた、ユーザCがアクセスを要求しているウェブサイトBの特定のリソースを識別してもよい。
ブロック403では、ウェブサイトAのID署名ジェネレータ222がユーザIDマッピングデータ226からユーザCのウェブサイトBに関するユーザID情報を読み出し、ウェブサイトAおよびウェブサイトBに取り決められた署名アルゴリズムを使用してユーザID情報からユーザID署名を生成する。またユーザID署名は、タイムスタンプ情報などの追加情報もカバーする。好ましくは、ウェブサイトAは、ステップ403の最初の時点で、ユーザCがすでにウェブサイトAにサインオンしているかを確認してもよい。ユーザCがウェブサイトAにまだサインオンしていない場合、ウェブサイトAは、通常、ステップ403を実行する前に、最初にユーザCにウェブサイトAにサインオンするよう要求するべきである。この場合、通常のログオンプロセスは、ID認証デバイス221によりユーザ名およびパスワードが確認され、認証されてから行われる場合がある。
ブロック404では、ウェブサイトAは新しく作成されたユーザID署名をログオン要求に添付し、ユーザID署名を含むログオン要求をウェブサイトBにリダイレクトする。
ブロック405では、ウェブサイトBのID署名ベリファイア232が、ウェブサイトAおよびウェブサイトBによって取り決められた署名アルゴリズムを使用して復号化することによって、ID署名の妥当性を検証する。ID署名が無効な場合、ウェブサイトBは、ユーザCの要求されたリソースへのアクセスを否認する。ID署名が有効な場合、プロセスは、ステップ406に進む。
ブロック406では、ウェブサイトAからのユーザID署名が有効であることが判断されたことにより、ウェブサイトBは、ユーザCがすでに信頼されるウェブサイトAにサインオンしていると判断し、ユーザCがウェブサイトBの要求するリソースにアクセスできるように、ユーザCのセッションを確立する。セッションは、ウェブサイトAから受信するウェブサイトBに関するユーザID情報に従って確立される。ウェブサイトBはさらに、ユーザID署名をセッションログに記録し、今後のログオン要求のタイムスタンプ比較など、その他の目的に使用してもよい。
ブロック407では、ウェブサイトBの権限コントローラ233は、ユーザCのステータスを確認し、確立されたセッションに対するその権限を判断する。ユーザCが特定の要求されたリソースにアクセスする権限を持たないことが発見された場合、ウェブサイトBは、ユーザCの要求を否認する。ユーザCが要求されるリソースにアクセスする権限を有することが発見された場合、ウェブサイトBは、該アクセスを許可する。
上記技術は、コンピュータ実行可能指示を含む、コンピュータ可読媒体を1つ以上用いて実装してもよい。コンピュータ実行可能指示は、プロセッサが本明細記載の技術による、システム間シングルサインオン(SSO)手順を実行できるようにする。コンピュータ可読媒体は、コンピュータデータを保存するためのいずれの適したメモリデバイスであってもよいことが理解される。そのようなメモリデバイスには、ハードディスク、フラッシュメモリデバイス、光学データストレージ、およびフロッピー(登録商標)ディスクが挙げられるが、それらに限定されない。さらに、コンピュータ実行可能指示を含むコンピュータ可読媒体は、ローカルシステムのコンポーネント、または複数のリモートシステム上に分散するコンポーネントで構成されてもよい。コンピュータ事後完了指示のデータは、有形である物理メモリデバイスに伝達されるか、または電子的に伝送されてもよい。
本明細書に示されるように、本開示は、システム間ユーザIDマッピング概念を導入することによって、シングルサインオンのための分散モデルを提案する。分散モデルは、シングルサインオン方法の従来の集中モデルに固有である、いくつかの管理リスクおよび技術的リスクを回避する。パートナーシステム(例えば、例示的な実施形態のウェブサイトAおよびウェブサイトB)は、それらの独立性を保つ一方、パートナーシステム間のユーザIDマッピングコンポーネントは、柔軟であり、その時点での実際の必要性に応じて、構築、修正、または取り外すことができる。
分散モデルにより、ID署名ジェネレータおよびID署名ベリファイアは、集中ユーザID認証システムを使用することなく、相互に信頼されるシステム間(例えば、相互間ウェブサイト)シングルサインオンメカニズムを確立し、従って、集中ユーザID認証システムにより引き起こされる、可能性のある性能ボトルネックおよび単一障害点問題を回避する。本開示によるID署名ジェネレータおよびID署名ベリファイアは、既存のウェブサイトの単純な拡張である。集中ID認証システムと比較し、本開示に記載される技術は、既存のウェブサイトの元のID認証システムの大幅な修正を必要としない。これは、従来のシングルサインオン方法の高運営費用および高リスクの問題を軽減することを助長する。また安全対策も、既存のシステムの単純な拡張である。シングルサインオンプロセスの信頼性、完全性、非否認、およびリプレイ防止を保証する者が、適した署名アルゴリズムを手軽に選択し、実装してもよい。安全性のレベルは、電子商取引を実施するウェブサイトの厳しいセキュリティ要件のほとんどを満足することができる。本開示によるシングルサインオン手順は、署名生成および認証を最小化するために、最適化し、その結果として、速度および便利性の設計目的を達成してもよい。
例示的な実施形態は、2つのパートナーウェブサイトであるウェブサイトAおよびウェブサイトBを用いて示されるが、本開示に記載される技術は、この種類のアプリケーションに限定されないことが理解される。例えば、ウェブサイトBとのウェブサイトA/BのユーザIDマッピングテーブルの確立に加え、ウェブサイトAは、ウェブサイトCとウェブサイトA/CのユーザIDマッピングテーブルを確立してもよい。同様に、またウェブサイトBは、ウェブサイトCとウェブサイトB/CのユーザIDマッピングテーブルを確立してもよい。すなわち、ウェブサイトCは、複数のウェブサイトとパートナー関係を確立してもよい。さらに、ウェブサイトBは、ウェブサイトB/AのユーザIDマッピングテーブルも確立し、本明細書に記載されるようなウェブサイトA/BのユーザIDマッピングテーブルを使用して実行されるトランザクションと逆のトランザクションを実行してもよい。実装の複雑性および関係者の数に関係なく、ユーザIDマッピングテーブルを確立した2つのウェブサイトは、本明細書に記載されるものと同一の方法でトランザクションを実行してもよい。
さらに、例示的な実施形態は、電子商取引の文脈でウェブサイトを用いて示されるが、本開示に記載される技術は、この種類のアプリケーションに限定されない。技術は、パートナーシステムの少なくとも一方がシステム内のリソースにアクセスするためにユーザID認証を必要とするインスタントメッセージシステムなど、いずれのネットワークシステムおよび通信システムに適用されてもよい。
「ユーザID署名」という用語は、本明細書で使用される際、特定のユーザID情報に署名された、または添付された署名を指し、該署名がユーザIDの所有者によって署名されたことを意味しないことに留意されたい。本明細書に記載される例示的な実施形態では、例えば、ユーザ自身がユーザのID情報に署名する代わりに、第1のシステム(例えば、ウェブサイトA)がユーザ(ユーザC)のユーザID情報に署名することが好ましい。
明細書および図面を含む上記の説明は、例証的なものであり、制限的なものではない。本開示を検証することによって、当技術分野に精通する者により、多くの多様な技術が明らかとなるであろう。上記に記載の開示の様々な特徴および側面は、別個または共同で使用されてもよい。さらに、本開示は、本明細書の最も広義の精神および範囲から逸脱することなく、これら本明細書に記載するものを超えて、いずれの数の環境およびアプリケーションにおいても利用することができる。従って、本開示の範囲は、上記説明を参照して判断されるべきではなく、代わりに、それらの同等物の全範囲に加えて、添付の特許請求の範囲を参照して判断されるべきである。
Claims (28)
- システム間シングルサインオン(SSO)のための方法であって、
第1のシステムに関するユーザのID情報を取得するステップと、
前記第1のシステムにおいて、前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って、前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップと、
前記第2のシステムに関する前記ユーザのID情報を前記第2のシステムに送信するステップと
を含むことを特徴とする方法。 - 前記第1のシステムにおいて、前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成し、前記第2のシステムに関する前記ユーザのID情報と共に、前記署名を前記第2のシステムに送信するステップと、
前記第2のシステムにおいて、受信した前記署名を審査することによって、前記ユーザのID情報を認証するステップと
をさらに含むことを特徴とする請求項1に記載の方法。 - 前記ユーザは、最初に前記第1のシステムにサインオンする方法であって、
前記第2のシステムにおいて、前記ユーザのID情報が認証された場合、前記ユーザが前記第2のシステムにサインオンすることを許可するステップをさらに含むことを特徴とする請求項2に記載の方法。 - 前記署名を作成するステップは、前記ユーザが前記第2のシステムにサインオンしようとする知らせを受けた上で行われることを特徴とする請求項2に記載の方法。
- 前記署名を作成するステップは、前記第2のシステムによって前記第1のシステムにリダイレクトされるログオン要求を受けた上で行われることを特徴とする請求項2に記載の方法。
- 前記署名が作成された上で、前記第2のシステムへ前記ログオン要求をリダイレクトするステップをさらに含むことを特徴とする請求項5に記載の方法。
- 前記ユーザは、最初に前記第1のシステムにサインオンする方法であって、
前記第2のシステムにおいて、前記第2のシステムに関する前記ユーザのID情報を受信後、前記ユーザが前記第2のシステムにサインオンすることを許可するステップをさらに含むことを特徴とする請求項1に記載の方法。 - 前記ユーザが前記第1のシステムにまだサインオンしていない場合、前記ユーザのIDを認証するために、前記ユーザにサインオンすることを要求するステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記第2のシステムに、前記第1のシステムから前記ユーザがリダイレクトされたことを示すステップをさらに含むことを特徴とする請求項1に記載の方法。
- システム間シングルサインオン(SSO)のための方法であって、
第1のシステムにおいて、第1のシステムに関するユーザのID情報を取得するステップと、
前記第1のシステムにおいて、前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って、前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップと、
前記第1のシステムにおいて、前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成するステップと、
前記第2のシステムに関する前記ユーザのID情報と共に、前記署名を前記第2のシステムに送信するステップと
を含むことを特徴とする方法。 - 前記署名は、暗号デジタル署名を含むことを特徴とする請求項10に記載の方法。
- 前記第2のシステムにおいて、前記署名を認証するために、前記暗号デジタル署名を復号化するステップをさらに含むことを特徴とする請求項11に記載の方法。
- 前記第2のシステムにおいて、受信した前記暗号デジタル署名を復号化することによって、前記第2のシステムに関する前記ユーザのID情報を認証するステップと、前記ユーザのID情報が認証された場合、前記ユーザが前記第2のシステムにサインオンすることを許可するステップとをさらに含むことを特徴とする請求項11に記載の方法。
- 前記第1のシステムにおいて、前記署名または前記ユーザのID情報を前記第2のシステムに送信する前に、前記署名または前記第2のシステムに関する前記ユーザのID情報にタイムスタンプを押すステップと、
前記第2のシステムにおいて、タイムスタンプ情報を確認することによって、前記署名または前記ユーザのID情報を認証するステップと
をさらに含むことを特徴とする請求項10に記載の方法。 - タイムスタンプ情報の確認は、現行のタイムスタンプと同一ユーザに関する以前のタイムスタンプとを比較するステップを含むことを特徴とする請求項14に記載の方法。
- 前記署名を作成するステップは、公開鍵暗号化または秘密鍵暗号化を使用して、テキスト文字列を暗号化するステップを含むことを特徴とする請求項10に記載の方法。
- 前記署名を作成するステップは、ハッシュテキスト文字列を生成するために、デジタルコンテンツをハッシングするステップを含むことを特徴とする請求項10に記載の方法。
- 前記デジタルコンテンツは、前記第2のシステムに関する前記ユーザのID情報の少なくとも一部分を含むことを特徴とする請求項17に記載の方法。
- 前記第2のシステムにおいて、受信した前記署名を審査することによって、前記第2のシステムに関する前記ユーザのID情報を認証するステップと、
前記ユーザのID情報が認証された場合、前記ユーザが前記第2のシステムにサインオンすることを許可するステップと、前記第2のシステムにサインオンした前記ユーザの権限を制限するステップと
をさらに備えることを特徴とする請求項10に記載の方法。 - 前記第2のシステムにおいて、受信した前記署名を審査することによって、前記第2のシステムに関する前記ユーザのID情報を認証するステップと、
前記ユーザのID情報が認証された場合、前記ユーザが前記第2のシステムにサインオンすることを許可し、前記ユーザのセッションを確立するステップと、
少なくともいくつかの前記ユーザのログオンおよびセッション情報のログ記録を保持するステップと
をさらに含むことを特徴とする請求項10に記載の方法。 - システム間シングルサインオン(SSO)手順を有効にするためのコンピュータ実行可能指示を含む、1つ以上のコンピュータ可読媒体であって、前記手順は、
第1のシステムにおいて、第1のシステムに関するユーザのID情報を取得するステップと、
前記第1のシステムにおいて、前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って、前記第1のシステムに関する前記ユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップと、
前記第1のシステムにおいて、前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成するステップと、
前記署名を前記第2のシステムに関する前記ユーザのID情報と共に、前記第2のシステムに送信するステップと
を含むことを特徴とするコンピュータ可読媒体。 - 前記署名は、暗号デジタル署名を含むことを特徴とする請求項21に記載のコンピュータ可読媒体。
- システム間ユーザサインオンを認証するためのシステムであって、
ユーザIDライブラリおよびユーザIDマッピングデータを含む、データストレージであって、ユーザIDマッチングデータは、前記システムに関するユーザID情報とパートナーシステムに関するユーザID情報との間のマッピング関係を定義するデータストレージと、
前記データストレージと通信しているID認証デバイスであって、前記データストレージに保存される前記ユーザIDライブラリを使用して、ログオンを要求しているユーザのIDを認証し、前記システムに関する前記ユーザのID情報を判断するID認証デバイスとを備え、
前記システムは、前記システムに関する前記ユーザのID情報から、前記ユーザIDマッチングデータを使用して、前記パートナーシステムに関する前記ユーザのID情報を判断することを特徴とするシステム。 - 前記パートナーシステムに関する前記ユーザID情報に添付される署名を生成するための署名ジェネレータをさらに備えることを特徴とする請求項23に記載のシステム。
- 前記署名ジェネレータは、暗号化アルゴリズムを備えることを特徴とする請求項24に記載のシステム。
- システム間ユーザサインオンを認証するためのシステムであって、
前記システムに関するユーザID情報を保存する、データストレージと、
パートナーシステムから受信するユーザのID情報に添付される署名を復号化する署名認証デバイスと、
前記データストレージに保存された前記ユーザID情報を使用して、前記パートナーシステムから受信した前記ユーザのID情報を認証するID認証デバイスと
を備えることを特徴とするシステム。 - 前記システムは、前記署名認証デバイスによる前記署名の認証が成功すると、前記ユーザがログオンすることを許可することを特徴とする請求項26に記載のシステム。
- 前記ユーザのログオン方法に従い、前記ユーザの権限を制限するためのユーザ権限コントローラをさらに含むことを特徴とする請求項27に記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100655583A CN1835438B (zh) | 2006-03-22 | 2006-03-22 | 一种在网站间实现单次登录的方法及网站 |
| PCT/IB2007/051018 WO2007107969A1 (en) | 2006-03-22 | 2007-03-22 | Intersystem single sign-on |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013094691A Division JP5695120B2 (ja) | 2006-03-22 | 2013-04-26 | システム間シングルサインオン |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009541817A true JP2009541817A (ja) | 2009-11-26 |
Family
ID=37003055
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009501014A Pending JP2009541817A (ja) | 2006-03-22 | 2007-03-22 | システム間シングルサインオン |
| JP2013094691A Active JP5695120B2 (ja) | 2006-03-22 | 2013-04-26 | システム間シングルサインオン |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013094691A Active JP5695120B2 (ja) | 2006-03-22 | 2013-04-26 | システム間シングルサインオン |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8250095B2 (ja) |
| EP (1) | EP1997271B1 (ja) |
| JP (2) | JP2009541817A (ja) |
| CN (1) | CN1835438B (ja) |
| HK (1) | HK1096790A1 (ja) |
| WO (1) | WO2007107969A1 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012252600A (ja) * | 2011-06-03 | 2012-12-20 | Nippon Telegr & Teleph Corp <Ntt> | 利用者識別子の変換システム及び変換方法 |
| JP2013250612A (ja) * | 2012-05-30 | 2013-12-12 | Canon Inc | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 |
| JP2013250894A (ja) * | 2012-06-01 | 2013-12-12 | Canon Inc | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 |
| JP2014026348A (ja) * | 2012-07-24 | 2014-02-06 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システム、認証連携方法、装置及びそのプログラム |
| KR20150092049A (ko) * | 2015-07-22 | 2015-08-12 | 엔에이치엔엔터테인먼트 주식회사 | 모바일 단말기 기반의 계정과 게임 기반의 계정을 연동하기 위한 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Families Citing this family (101)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9400589B1 (en) | 2002-05-30 | 2016-07-26 | Consumerinfo.Com, Inc. | Circular rotational interface for display of consumer credit information |
| US9710852B1 (en) | 2002-05-30 | 2017-07-18 | Consumerinfo.Com, Inc. | Credit report timeline user interface |
| CN1835438B (zh) | 2006-03-22 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种在网站间实现单次登录的方法及网站 |
| US8996857B1 (en) * | 2006-06-05 | 2015-03-31 | Thomson Financial Llc | Single sign-on method in multi-application framework |
| US8356333B2 (en) * | 2006-12-12 | 2013-01-15 | Bespoke Innovations Sarl | System and method for verifying networked sites |
| US20090077638A1 (en) * | 2007-09-17 | 2009-03-19 | Novell, Inc. | Setting and synching preferred credentials in a disparate credential store environment |
| CN101159557B (zh) * | 2007-11-21 | 2010-09-29 | 华为技术有限公司 | 单点登录的方法、装置及系统 |
| US9990674B1 (en) | 2007-12-14 | 2018-06-05 | Consumerinfo.Com, Inc. | Card registry systems and methods |
| US8127986B1 (en) | 2007-12-14 | 2012-03-06 | Consumerinfo.Com, Inc. | Card registry systems and methods |
| US20090163200A1 (en) * | 2007-12-20 | 2009-06-25 | Nokia Corporation | Mobile device supporting walkaway conversation establishment |
| CN101599832B (zh) * | 2008-06-05 | 2011-06-15 | 北京思创银联科技股份有限公司 | 一种实现网络系统登录的个人身份认证方法及系统 |
| US8312033B1 (en) | 2008-06-26 | 2012-11-13 | Experian Marketing Solutions, Inc. | Systems and methods for providing an integrated identifier |
| US9256904B1 (en) | 2008-08-14 | 2016-02-09 | Experian Information Solutions, Inc. | Multi-bureau credit file freeze and unfreeze |
| US8763102B2 (en) * | 2008-09-19 | 2014-06-24 | Hewlett-Packard Development Company, L.P. | Single sign on infrastructure |
| US8060424B2 (en) | 2008-11-05 | 2011-11-15 | Consumerinfo.Com, Inc. | On-line method and system for monitoring and reporting unused available credit |
| US20100125738A1 (en) * | 2008-11-14 | 2010-05-20 | Industrial Technology Research Institute | Systems and methods for transferring information |
| CN101510877B (zh) * | 2009-02-25 | 2012-05-23 | 中国联合网络通信集团有限公司 | 单点登录方法和系统、通信装置 |
| CN101610157B (zh) * | 2009-07-28 | 2012-09-05 | 江苏先安科技有限公司 | 一种Web表单中使用数字证书自动签名的系统和方法 |
| CN102082775A (zh) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团公司 | 一种用户身份管理方法、装置和系统 |
| US9043306B2 (en) * | 2010-08-23 | 2015-05-26 | Microsoft Technology Licensing, Llc | Content signature notification |
| US9172693B2 (en) * | 2010-11-11 | 2015-10-27 | Paypal, Inc. | Quick payment using mobile device binding |
| US8484186B1 (en) | 2010-11-12 | 2013-07-09 | Consumerinfo.Com, Inc. | Personalized people finder |
| US9147042B1 (en) | 2010-11-22 | 2015-09-29 | Experian Information Solutions, Inc. | Systems and methods for data verification |
| JP5734087B2 (ja) * | 2011-05-18 | 2015-06-10 | キヤノン株式会社 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
| US9607336B1 (en) | 2011-06-16 | 2017-03-28 | Consumerinfo.Com, Inc. | Providing credit inquiry alerts |
| US8819425B2 (en) * | 2011-06-30 | 2014-08-26 | True[X] Media Inc. | Privacy protected interactions with third parties |
| US9483606B1 (en) | 2011-07-08 | 2016-11-01 | Consumerinfo.Com, Inc. | Lifescore |
| CN102890685B (zh) * | 2011-07-21 | 2015-09-23 | 阿里巴巴集团控股有限公司 | 一种信息重定向的方法及设备 |
| JP5568067B2 (ja) * | 2011-09-13 | 2014-08-06 | 株式会社日立製作所 | 分散システムにおけるシステム間連携装置 |
| US9106691B1 (en) | 2011-09-16 | 2015-08-11 | Consumerinfo.Com, Inc. | Systems and methods of identity protection and management |
| CN103001936B (zh) * | 2011-09-16 | 2016-05-25 | 北京新媒传信科技有限公司 | 一种第三方应用接口授权方法和系统 |
| US8738516B1 (en) | 2011-10-13 | 2014-05-27 | Consumerinfo.Com, Inc. | Debt services candidate locator |
| CN103188208B (zh) * | 2011-12-27 | 2018-03-20 | 腾讯科技(北京)有限公司 | 网页访问的权限控制方法、系统和呼叫中心 |
| US9326140B2 (en) * | 2012-01-31 | 2016-04-26 | Oracle International Corporation | Method and system for implementing an advanced mobile authentication solution |
| US9853959B1 (en) | 2012-05-07 | 2017-12-26 | Consumerinfo.Com, Inc. | Storage and maintenance of personal data |
| US10204343B2 (en) | 2012-05-18 | 2019-02-12 | [24]7.ai, Inc. | Multi-channel customer identification |
| KR101329007B1 (ko) * | 2012-05-31 | 2013-11-12 | 삼성에스디에스 주식회사 | 아이디 기반 암호 시스템을 위한 비밀키 생성 장치 및 그 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
| CN103546432B (zh) * | 2012-07-12 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 实现跨域跳转的方法和系统以及浏览器、域名服务器 |
| CN103634159B (zh) * | 2012-08-24 | 2018-11-09 | 百度在线网络技术(北京)有限公司 | 一种基于模拟登录的流量回放方法和装置 |
| US8843514B1 (en) * | 2012-08-31 | 2014-09-23 | Google Inc. | Identifier matching exchange |
| CN102868702B (zh) * | 2012-09-28 | 2015-09-02 | 用友软件股份有限公司 | 系统登录装置和系统登录方法 |
| JP5279057B1 (ja) * | 2012-11-09 | 2013-09-04 | 株式会社Kpiソリューションズ | 情報処理システム、及び情報処理方法 |
| US9654541B1 (en) | 2012-11-12 | 2017-05-16 | Consumerinfo.Com, Inc. | Aggregating user web browsing data |
| US9231930B1 (en) | 2012-11-20 | 2016-01-05 | Amazon Technologies, Inc. | Virtual endpoints for request authentication |
| US9444800B1 (en) | 2012-11-20 | 2016-09-13 | Amazon Technologies, Inc. | Virtual communication endpoint services |
| US8813206B2 (en) | 2012-11-27 | 2014-08-19 | Hong Kong Applied Science and Technology Research Institute Company Limited | Anonymous personal content access with content bridge |
| US9916621B1 (en) | 2012-11-30 | 2018-03-13 | Consumerinfo.Com, Inc. | Presentation of credit score factors |
| US10255598B1 (en) | 2012-12-06 | 2019-04-09 | Consumerinfo.Com, Inc. | Credit card account data extraction |
| US9985991B2 (en) * | 2013-02-26 | 2018-05-29 | Red Hat, Inc. | HTTP password mediator |
| US10102570B1 (en) | 2013-03-14 | 2018-10-16 | Consumerinfo.Com, Inc. | Account vulnerability alerts |
| US9406085B1 (en) | 2013-03-14 | 2016-08-02 | Consumerinfo.Com, Inc. | System and methods for credit dispute processing, resolution, and reporting |
| US9870589B1 (en) | 2013-03-14 | 2018-01-16 | Consumerinfo.Com, Inc. | Credit utilization tracking and reporting |
| US10664936B2 (en) | 2013-03-15 | 2020-05-26 | Csidentity Corporation | Authentication systems and methods for on-demand products |
| US9633322B1 (en) | 2013-03-15 | 2017-04-25 | Consumerinfo.Com, Inc. | Adjustment of knowledge-based authentication |
| US10685398B1 (en) | 2013-04-23 | 2020-06-16 | Consumerinfo.Com, Inc. | Presenting credit score information |
| US9071429B1 (en) | 2013-04-29 | 2015-06-30 | Amazon Technologies, Inc. | Revocable shredding of security credentials |
| US9721147B1 (en) | 2013-05-23 | 2017-08-01 | Consumerinfo.Com, Inc. | Digital identity |
| US9077747B1 (en) * | 2013-07-23 | 2015-07-07 | Symantec Corporation | Systems and methods for responding to security breaches |
| US9443268B1 (en) | 2013-08-16 | 2016-09-13 | Consumerinfo.Com, Inc. | Bill payment and reporting |
| US10325314B1 (en) | 2013-11-15 | 2019-06-18 | Consumerinfo.Com, Inc. | Payment reporting systems |
| US9477737B1 (en) | 2013-11-20 | 2016-10-25 | Consumerinfo.Com, Inc. | Systems and user interfaces for dynamic access of multiple remote databases and synchronization of data based on user rules |
| USD760256S1 (en) | 2014-03-25 | 2016-06-28 | Consumerinfo.Com, Inc. | Display screen or portion thereof with graphical user interface |
| USD759690S1 (en) | 2014-03-25 | 2016-06-21 | Consumerinfo.Com, Inc. | Display screen or portion thereof with graphical user interface |
| USD759689S1 (en) | 2014-03-25 | 2016-06-21 | Consumerinfo.Com, Inc. | Display screen or portion thereof with graphical user interface |
| US9892457B1 (en) | 2014-04-16 | 2018-02-13 | Consumerinfo.Com, Inc. | Providing credit data in search results |
| US10373240B1 (en) | 2014-04-25 | 2019-08-06 | Csidentity Corporation | Systems, methods and computer-program products for eligibility verification |
| JP5724017B1 (ja) * | 2014-05-29 | 2015-05-27 | 周 志偉Zhou Zhi Wei | 複数コンピュータシステムの認証連携システム |
| CN104038508A (zh) * | 2014-07-02 | 2014-09-10 | 携程计算机技术(上海)有限公司 | 网站账户访问权限的设置系统及方法 |
| CN104125070B (zh) * | 2014-07-30 | 2018-05-15 | 中国银行股份有限公司 | 一种用于多个信息交互系统的互信认证方法及系统 |
| HK1197632A2 (en) * | 2014-08-08 | 2015-01-30 | 創萬科技有限公司 | An instantaneous communication system |
| CN105471579B (zh) * | 2014-09-10 | 2019-05-31 | 阿里巴巴集团控股有限公司 | 一种信任登录方法及装置 |
| CN104243488B (zh) * | 2014-09-29 | 2017-10-27 | 成都西山居互动娱乐科技有限公司 | 一种跨网站服务器的登录认证方法 |
| CN104270391B (zh) * | 2014-10-24 | 2018-10-19 | 中国建设银行股份有限公司 | 一种访问请求的处理方法及装置 |
| CN106162574B (zh) | 2015-04-02 | 2020-08-04 | 成都鼎桥通信技术有限公司 | 集群系统中应用统一鉴权方法、服务器与终端 |
| JP6449993B2 (ja) | 2015-04-15 | 2019-01-09 | 株式会社日立システムズ | シングルサインオンシステムおよびシングルサインオン方法 |
| US11252190B1 (en) * | 2015-04-23 | 2022-02-15 | Amazon Technologies, Inc. | Limited access policy bypass |
| CN104901956B (zh) * | 2015-05-19 | 2017-12-08 | 仲恺农业工程学院 | 一种网络社区用户认证方法及认证系统 |
| CN106487763B (zh) * | 2015-08-31 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 一种基于云计算平台的数据访问方法及用户终端 |
| US20170140134A1 (en) * | 2015-11-16 | 2017-05-18 | Welch Allyn, Inc. | Medical device user caching |
| CN105337997B (zh) * | 2015-11-30 | 2020-10-23 | 广州华多网络科技有限公司 | 一种应用客户端的登录方法及相关设备 |
| CN105915497A (zh) * | 2015-12-14 | 2016-08-31 | 乐视网信息技术(北京)股份有限公司 | 针对用户跳转登录的处理方法及系统 |
| CN111565183B (zh) * | 2015-12-17 | 2022-05-13 | 创新先进技术有限公司 | 跨系统的业务操作执行方法、业务平台以及目标系统 |
| CN105430012B (zh) * | 2015-12-25 | 2018-07-24 | 无锡天脉聚源传媒科技有限公司 | 一种多站点同步登录的方法及装置 |
| CN107666383B (zh) * | 2016-07-29 | 2021-06-18 | 阿里巴巴集团控股有限公司 | 基于https协议的报文处理方法以及装置 |
| CN107689936B (zh) * | 2016-08-03 | 2021-07-06 | 阿里巴巴集团控股有限公司 | 登录账户的安全性验证系统、方法及装置 |
| CN107249001B (zh) * | 2017-07-19 | 2018-07-20 | 北京深思数盾科技股份有限公司 | 一种信息处理方法、装置及系统 |
| US11553338B2 (en) | 2017-08-15 | 2023-01-10 | Carrier Corporation | Automatic building system control restrictions based on physical presence defined by access control event information and knowledge base system |
| US10911234B2 (en) | 2018-06-22 | 2021-02-02 | Experian Information Solutions, Inc. | System and method for a token gateway environment |
| CN109302446B (zh) * | 2018-08-15 | 2022-10-25 | 广州市保伦电子有限公司 | 跨平台访问方法、装置、电子设备及存储介质 |
| US20200074541A1 (en) | 2018-09-05 | 2020-03-05 | Consumerinfo.Com, Inc. | Generation of data structures based on categories of matched data items |
| US11315179B1 (en) | 2018-11-16 | 2022-04-26 | Consumerinfo.Com, Inc. | Methods and apparatuses for customized card recommendations |
| US11238656B1 (en) | 2019-02-22 | 2022-02-01 | Consumerinfo.Com, Inc. | System and method for an augmented reality experience via an artificial intelligence bot |
| CN110213260A (zh) * | 2019-05-29 | 2019-09-06 | 北京中亦安图科技股份有限公司 | 用户身份验证方法及装置 |
| US11941065B1 (en) | 2019-09-13 | 2024-03-26 | Experian Information Solutions, Inc. | Single identifier platform for storing entity data |
| CN110995661B (zh) * | 2019-11-12 | 2022-04-01 | 广州大白互联网科技有限公司 | 一种网证平台 |
| US11121863B1 (en) | 2020-03-12 | 2021-09-14 | Oracle International Corporation | Browser login sessions via non-extractable asymmetric keys |
| CN113497708B (zh) * | 2020-03-18 | 2022-11-08 | 大唐移动通信设备有限公司 | 一种证书申请方法及装置 |
| KR102384575B1 (ko) * | 2020-08-27 | 2022-04-07 | 최화인 | 분산 네트워크 및 분산형 아이디를 활용하는 저작자 인증장치 및 방법 |
| US11895106B2 (en) | 2021-01-28 | 2024-02-06 | Oracle International Corporation | Automatic sign-in upon account signup |
| US11804101B2 (en) * | 2021-07-21 | 2023-10-31 | SwissClear Global Inc. | Integrating online content streaming services with real time betting platforms |
| CN114448729B (zh) * | 2022-04-07 | 2022-06-07 | 中国信息通信研究院 | 工业互联网中客户端的身份认证方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000057099A (ja) * | 1998-08-12 | 2000-02-25 | Open Loop:Kk | 認証装置及び記録媒体 |
| JP2002324051A (ja) * | 2001-04-26 | 2002-11-08 | Fuji Xerox Co Ltd | ユーザ認証方法および装置 |
| JP2006074487A (ja) * | 2004-09-02 | 2006-03-16 | Mizuho Information & Research Institute Inc | 認証管理方法及び認証管理システム |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6058309A (en) | 1996-08-09 | 2000-05-02 | Nortel Networks Corporation | Network directed system selection for cellular and PCS enhanced roaming |
| EP1150529A1 (en) | 2000-04-28 | 2001-10-31 | Lucent Technologies Inc. | System and method for registering a wireless unit at the border between geographic service areas |
| JP2002149651A (ja) * | 2000-11-13 | 2002-05-24 | Hitachi Ltd | データ管理システム |
| US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
| US20030177388A1 (en) * | 2002-03-15 | 2003-09-18 | International Business Machines Corporation | Authenticated identity translation within a multiple computing unit environment |
| CN1301477C (zh) * | 2002-07-05 | 2007-02-21 | 威盛电子股份有限公司 | 管理网站登入信息的系统与方法 |
| US20040128541A1 (en) * | 2002-12-31 | 2004-07-01 | Iinternational Business Machines Corporation | Local architecture for federated heterogeneous system |
| US7587491B2 (en) | 2002-12-31 | 2009-09-08 | International Business Machines Corporation | Method and system for enroll-thru operations and reprioritization operations in a federated environment |
| CN100370767C (zh) | 2003-09-30 | 2008-02-20 | 华为技术有限公司 | 对移动用户使用无线局域网业务进行管理的方法 |
| CN1323508C (zh) * | 2003-12-17 | 2007-06-27 | 上海市高级人民法院 | 一种基于数字证书的单点登录方法 |
| JP2005316528A (ja) * | 2004-04-27 | 2005-11-10 | Hitachi Ltd | 操作権限機能付き電子データ提供装置、操作権限機能付き電子データ提供方法、操作権限機能付き電子データ提供プログラムおよび操作権限機能付き電子データ提供プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| US7454623B2 (en) * | 2004-06-16 | 2008-11-18 | Blame Canada Holdings Inc | Distributed hierarchical identity management system authentication mechanisms |
| US7634803B2 (en) * | 2004-06-30 | 2009-12-15 | International Business Machines Corporation | Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework |
| CN1835438B (zh) | 2006-03-22 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种在网站间实现单次登录的方法及网站 |
-
2006
- 2006-03-22 CN CN2006100655583A patent/CN1835438B/zh active Active
-
2007
- 2007-03-20 HK HK07102970.3A patent/HK1096790A1/xx unknown
- 2007-03-21 US US11/689,333 patent/US8250095B2/en active Active
- 2007-03-22 JP JP2009501014A patent/JP2009541817A/ja active Pending
- 2007-03-22 EP EP07735231.8A patent/EP1997271B1/en active Active
- 2007-03-22 WO PCT/IB2007/051018 patent/WO2007107969A1/en active Application Filing
-
2012
- 2012-07-13 US US13/548,415 patent/US8589442B2/en active Active
-
2013
- 2013-04-26 JP JP2013094691A patent/JP5695120B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000057099A (ja) * | 1998-08-12 | 2000-02-25 | Open Loop:Kk | 認証装置及び記録媒体 |
| JP2002324051A (ja) * | 2001-04-26 | 2002-11-08 | Fuji Xerox Co Ltd | ユーザ認証方法および装置 |
| JP2006074487A (ja) * | 2004-09-02 | 2006-03-16 | Mizuho Information & Research Institute Inc | 認証管理方法及び認証管理システム |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012252600A (ja) * | 2011-06-03 | 2012-12-20 | Nippon Telegr & Teleph Corp <Ntt> | 利用者識別子の変換システム及び変換方法 |
| JP2013250612A (ja) * | 2012-05-30 | 2013-12-12 | Canon Inc | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 |
| JP2013250894A (ja) * | 2012-06-01 | 2013-12-12 | Canon Inc | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 |
| JP2014026348A (ja) * | 2012-07-24 | 2014-02-06 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システム、認証連携方法、装置及びそのプログラム |
| KR20150092049A (ko) * | 2015-07-22 | 2015-08-12 | 엔에이치엔엔터테인먼트 주식회사 | 모바일 단말기 기반의 계정과 게임 기반의 계정을 연동하기 위한 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
| KR101647601B1 (ko) * | 2015-07-22 | 2016-08-24 | 케이이노베이션 주식회사 | 모바일 단말기 기반의 계정과 게임 기반의 계정을 연동하기 위한 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007107969A1 (en) | 2007-09-27 |
| EP1997271A1 (en) | 2008-12-03 |
| CN1835438A (zh) | 2006-09-20 |
| HK1096790A1 (en) | 2007-06-08 |
| US20070240206A1 (en) | 2007-10-11 |
| EP1997271B1 (en) | 2018-08-15 |
| US8589442B2 (en) | 2013-11-19 |
| JP2013152757A (ja) | 2013-08-08 |
| US20120284190A1 (en) | 2012-11-08 |
| CN1835438B (zh) | 2011-07-27 |
| EP1997271A4 (en) | 2014-08-27 |
| JP5695120B2 (ja) | 2015-04-01 |
| US8250095B2 (en) | 2012-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5695120B2 (ja) | システム間シングルサインオン | |
| US11700117B2 (en) | System for credential storage and verification | |
| US11770261B2 (en) | Digital credentials for user device authentication | |
| US8843415B2 (en) | Secure software service systems and methods | |
| TWI454111B (zh) | 用於確保通訊之鑑別及完備性的技術 | |
| US8555075B2 (en) | Methods and system for storing and retrieving identity mapping information | |
| US7610617B2 (en) | Authentication system for networked computer applications | |
| US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
| US7797544B2 (en) | Attesting to establish trust between computer entities | |
| US8978125B2 (en) | Identity controlled data center | |
| WO2019020051A1 (zh) | 一种安全认证的方法及装置 | |
| US20020144119A1 (en) | Method and system for network single sign-on using a public key certificate and an associated attribute certificate | |
| US20090300355A1 (en) | Information Sharing Method and Apparatus | |
| JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
| JP2004509399A (ja) | ネットワークにわたって配布されるオブジェクトを保護するためのシステム | |
| US20080250248A1 (en) | Identity Management System with an Untrusted Identity Provider | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| CN113312664B (zh) | 用户数据授权方法及用户数据授权系统 | |
| CN108737376A (zh) | 一种基于指纹和数字证书的双因子认证方法及系统 | |
| CN100377525C (zh) | 流媒体业务服务实现方法、业务提供系统及运营支撑系统 | |
| JP3896909B2 (ja) | 電子チケットを用いたアクセス権管理装置 | |
| KR102157695B1 (ko) | 익명 디지털 아이덴티티 수립 방법 | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
| Kizza | Authentication | |
| JP2004140636A (ja) | 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120327 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120621 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121228 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130426 |
|
| RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20130501 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130501 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20130524 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20130802 |