JP2011145754A - Single sign-on system and method, authentication server, user terminal, service server, and program - Google Patents

Single sign-on system and method, authentication server, user terminal, service server, and program Download PDF

Info

Publication number
JP2011145754A
JP2011145754A JP2010003963A JP2010003963A JP2011145754A JP 2011145754 A JP2011145754 A JP 2011145754A JP 2010003963 A JP2010003963 A JP 2010003963A JP 2010003963 A JP2010003963 A JP 2010003963A JP 2011145754 A JP2011145754 A JP 2011145754A
Authority
JP
Japan
Prior art keywords
user
service
authentication
user terminal
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010003963A
Other languages
Japanese (ja)
Inventor
Toshihide Yoshioka
俊英 吉岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010003963A priority Critical patent/JP2011145754A/en
Publication of JP2011145754A publication Critical patent/JP2011145754A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To achieve a single sign-on system which prevents specification of individuals by collecting user information, while performing the data management of a user by a database. <P>SOLUTION: The single sign-on system includes: a user terminal; a service server; and an authentication server for performing authentication when the user terminal logs in each service server. When authentication is successful, the authentication server connects user ID with an identifier unique to the service server which has made a request for authentication, and generates encrypted new ID, and transmits it to the user terminal. The user terminal imparts the new ID to a service use request to the service server. When receiving the service use request from the user terminal, the service server imparts the new ID to the service use request, and requests user information. When the user information is requested from the service server, the authentication server decodes the new ID, and returns the requested user information to the service server. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、サーバに認証を受けることにより、利用することが可能となる複数の機能について、一度の認証を受けるだけで、各機能の利用が可能となるSSO(シングルサインオン:Single Sign On)システムに関する。   In the present invention, an SSO (Single Sign On) can be used for a plurality of functions that can be used by being authenticated by the server, by receiving only one authentication. About the system.

ユーザの所持するパーソナルコンピュータ等のユーザ端末機器が、ユーザの希望するシステムにログインする場合には、認証サーバでのログインが必要となる。所定のシステムにログインしたユーザ端末機器が、他のシステムにログインしようとする場合には、もう一度、他の認証サーバでのログインが必要となる。   When a user terminal device such as a personal computer possessed by the user logs in to the system desired by the user, it is necessary to log in at the authentication server. When a user terminal device logged in to a predetermined system tries to log in to another system, it is necessary to log in again with another authentication server.

上記のように、ユーザが複数のシステムにログインする場合は、システム毎にログインの手続が必要となりユーザの利便性が損なわれるので、連携型認証方式が提案されている。この連携型認証方式は、認証サーバ(以下、IdPという)で一度認証が行われると、他の連携しているシステムにログインすることができるSSOシステムを実現することができる。すなわち、このSSOシステムでは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用することができる。   As described above, when a user logs in to a plurality of systems, a login procedure is required for each system, and the convenience of the user is impaired. Therefore, a cooperative authentication method has been proposed. This cooperative authentication method can realize an SSO system that can log in to another cooperative system once authentication is performed by an authentication server (hereinafter referred to as IdP). In other words, in this SSO system, all authorized functions can be used once the user is authenticated once.

SSOシステムの一例が、特許文献1(特開2007−293760号公報)および特許文献2(特開2006−331044号公報)に開示されている。   An example of the SSO system is disclosed in Patent Document 1 (Japanese Patent Laid-Open No. 2007-293760) and Patent Document 2 (Japanese Patent Laid-Open No. 2006-331444).

特許文献1に開示されるシステムは、ネットワークを介して接続される、ユーザクライアント端末、SSO認証サーバ、複数のサービスサイトからなるシステムで、各サービスサイトが、個別ログインIDに対してSSO利用ユーザの可否を判定する情報を持ち、個別ログイン画面から個別ログインIDとパスワードでログインしたクライアント端末がSSO利用ユーザかを判定し、SSO利用ユーザであれば当該クライアント端末をSSO認証サーバにリダイレクトさせ、個別ログインID情報と、サービスサイトのログイン成功情報をSSO認証サーバに渡し、SSO認証サーバは、受け取った個別ログインID情報を元に、それに紐付くSSOログインID情報を取得し、当該クライアント端末のSSO認証を行うものである。   The system disclosed in Patent Document 1 is a system composed of a user client terminal, an SSO authentication server, and a plurality of service sites that are connected via a network. It has information to determine whether or not it is possible, determines whether the client terminal logged in with the individual login ID and password from the individual login screen is an SSO user, and if it is an SSO user, redirects the client terminal to the SSO authentication server and logs in individually The ID information and the login success information of the service site are passed to the SSO authentication server. The SSO authentication server acquires the SSO login ID information associated with the received individual login ID information, and performs the SSO authentication of the client terminal. Is what you do.

特許文献1では、上記の構成を備えることにより、各サービスサイトでSSOを利用するユーザと利用しないユーザが混在する環境で、SSO利用ユーザはサービスサイトへログインするアクセス先と個別ログインIDを変更することなく、SSO認証サーバの認証を受けることができ、SSO利用ユーザの利便性が向上するとしている。   In Patent Document 1, by providing the above configuration, an SSO user changes an access destination and an individual login ID for logging in to the service site in an environment where users who use SSO and users who do not use are mixed in each service site. In this case, the SSO authentication server can be authenticated, and convenience for SSO users is improved.

特許文献2に開示されるシステムは、ナレッジとして格納したシングルサインオンを実現するシングルサインオンモジュール、業務システムのログイン通信を解析し適用可能なシングルサインオンモジュールを選択、実行するシングルサインオンサーバを備え、HTTP、HTMLなどの下位レイヤの知識を必要せずにシングルサインオンを実現するものである。   The system disclosed in Patent Document 2 includes a single sign-on server for selecting and executing a single sign-on module that realizes single sign-on stored as knowledge and a single sign-on module that analyzes and applies login communication of a business system. It provides single sign-on without requiring knowledge of lower layers such as HTTP and HTML.

特許文献2では、上記の構成を備えることにより、システムエンジニアにHTTP、HTMLなどの下位レイアの知識を要求することなくシングルサインオンを実現できるので、短期間、低コストでのシングルサインオンが実現できるとしている。   In Patent Document 2, by providing the above configuration, single sign-on can be realized without requiring the system engineer to know the lower layer such as HTTP and HTML. I can do it.

上記のように、SSOシステムにおいては、ユーザ端末と、IdPと、サービスプロバイダがサービスを提供するために使用するサービスサーバ(以下、SPと称する)から構成され、IdPで一度認証が行われると、他の連携しているシステムにログインすることができ、ユーザが一度認証を受けるだけで、許可されているすべてのSPが提供するサービス機能を利用することができる。   As described above, in an SSO system, a user terminal, an IdP, and a service server (hereinafter referred to as SP) used by a service provider to provide a service, and once authenticated by the IdP, It is possible to log in to other linked systems and use the service functions provided by all authorized SPs once the user is authenticated.

しかし、ネットワーク間におけるID連携においては、仮にSPが協力して、それぞれのSP毎に提供されるIDに紐づく属性情報(ユーザの情報)を集めることにより個人の特定が出来てしまう、いわゆる、「名寄せ」、が可能となるリスクを抱えている。   However, in ID collaboration between networks, it is possible to identify an individual by collecting attribute information (user information) associated with an ID provided for each SP. There is a risk that “name identification” is possible.

特開2007−293760号公報JP 2007-293760 A 特開2006−331044号公報JP 2006-331044 A

上記の連携型認証方式は、IdPで一度認証が行われると、他の連携しているシステムにログインすることができるSSOを実現して、そのSSOを利用してサービスプロバイダにより提供される所定のサービスを利用することが可能となるため、ユーザの利便性を高めることができる特長を有している。しかし、ネットワーク間におけるID連携においては、サービスサイト毎にユーザ情報を集めることによって名寄せが可能となってしまう可能性がある。   The above-described cooperative authentication method realizes an SSO that can log in to another cooperative system once authenticated by IdP, and uses the SSO to provide a predetermined service provider provided by a service provider. Since the service can be used, it has a feature that can improve the convenience of the user. However, in ID collaboration between networks, name identification may be possible by collecting user information for each service site.

本発明は、データベースでユーザのデータ管理を行うとともに、名寄せを防ぐことのできるSSOシステムを実現することを目的とする。   An object of the present invention is to realize an SSO system capable of managing user data in a database and preventing name identification.

本発明によるシングルサインオンシステムは、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。 A single sign-on system according to the present invention includes a user terminal, a plurality of service servers associated with the user terminal that provide services to the user terminal, and the plurality of service servers that provide services to the user terminal. A single sign-on system having an authentication server that manages user information required at the time and performs authentication when the user terminal logs in to each service server,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is transmitted to the authentication server.

本発明によるシングルサインオン方法は、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムで行われるシングルサインオン方法であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。 The single sign-on method according to the present invention includes a user terminal, a plurality of service servers associated with the user terminal that provide services to the user terminal, and the plurality of service servers that provide services to the user terminal. A single sign-on method performed in a single sign-on system having an authentication server that manages user information required at the time and performs authentication when the user terminal logs in to each service server,
The authentication server is
The information of the service server associated in advance and the information of the user required for each of the plurality of service servers to provide each service are stored corresponding to the user ID,
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. Return user information,
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is transmitted to the authentication server.

本発明の手法では、各サービスサイトにおける固有の識別子を利用し、暗号化と復号化を用いて新たなIDを払い出すことにより、サイト毎に払い出したIDにより、ユーザ情報のDBによる管理を可能としながら、セキュアなログインを実現している。   In the method of the present invention, by using a unique identifier in each service site and paying out a new ID using encryption and decryption, the user information DB can be managed by the ID paid out for each site. And secure login.

第1の効果は、ユーザを特定することが出来ないことにある。   The first effect is that the user cannot be specified.

その理由は、SP毎に払いだされたIDを利用するためである。   The reason is to use the ID paid out for each SP.

第2の効果は、名寄せを防ぐことができることにある。   The second effect is that name identification can be prevented.

その理由は、IDより利用者を特定することが出来ないためである。)
第3の効果は、膨大なIDを生成しながらもユーザをDBで管理することが可能な点にある。 The reason is that the user cannot be specified from the ID. )
The third effect is that the user can be managed by the DB while generating a huge ID.

その理由は、復号化によりユーザIDの復元が可能な点にある。   The reason is that the user ID can be restored by decryption.

本発明によるSSOシステムの一実施形態の構成を示すブロック図である。It is a block diagram which shows the structure of one Embodiment of the SSO system by this invention. 図1中のIdP3の構成を詳細に示すブロック図である。It is a block diagram which shows the structure of IdP3 in FIG. 1 in detail. 図1中のユーザ端末1がSP2にログインするときのユーザ端末1、SP2、IdP3それぞれの動作を示すシーケンス図である。It is a sequence diagram which shows each operation | movement of the user terminal 1, SP2, and IdP3 when the user terminal 1 in FIG. 1 logs in to SP2. 図1中の、SP2毎の識別子4とユーザID6から新規ID7を生成する方法と新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示す図であり、(a)はSP2毎の識別子4とユーザID6から新規ID7を生成する方法を示し、(b)は新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示している。FIG. 2 is a diagram illustrating a method for generating a new ID 7 from an identifier 4 for each SP2 and a user ID 6 in FIG. 1 and a method for restoring an identifier 4 and a user ID 6 for each SP2 from the new ID 7, wherein (a) is an identifier for each SP2. 4 shows a method for generating a new ID 7 from the user ID 6 and (b) shows a method for restoring the identifier 4 and the user ID 6 for each SP 2 from the new ID 7.

次に、本発明の実施形態について図面を参照して説明する。   Next, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明によるSSOシステムの一実施形態の構成を示すブロック図である。   FIG. 1 is a block diagram showing a configuration of an embodiment of an SSO system according to the present invention.

本実施形態は、ユーザ端末1、SP2、IdP3から構成されている。ユーザ端末1、SP2、IdP3は、制御装置、記憶装置、表示装置、入力装置、および通信装置を備える一般的なコンピュータから構成されるものであり、特定の利用者(ユーザ)が利用可能な、インターネットのような、周知の通信ネットワークを介して接続される。図ではIdP3について特徴的となる構成要素を示しているが、これらは制御装置により記憶装置上に仮想的に構築されるものであり、本発明にはコンピュータにこれらを構築するためのプログラムも含まれる。   This embodiment is comprised from the user terminal 1, SP2, and IdP3. The user terminal 1, SP2, and IdP3 are configured by a general computer including a control device, a storage device, a display device, an input device, and a communication device, and can be used by a specific user (user). They are connected via a known communication network such as the Internet. In the figure, components characteristic of IdP3 are shown, but these are virtually constructed on the storage device by the control device, and the present invention includes a program for constructing these in the computer. It is.

ユーザ端末1、SP2、IdP3のいずれも複数設けられるもので、SSOを行うSPとして紐付けられている各SP2は、ユーザ端末1に対してそれぞれ固有のサービスを行うものであり、認証を行う連携先となるIdP3の情報が予め登録されている。IdP3は、認証を行うためのユーザID6を格納するデータベース3aと、SP2毎の新規IDの払い出しを実現する暗号・復号化クラス3bを備えており、データベース3aにはSSO認証を行う紐付けられたSPが予め登録されている。   A plurality of user terminals 1, SP 2, and IdP 3 are provided, and each SP 2 linked as an SP that performs SSO provides a unique service to the user terminal 1 and performs authentication. The previous IdP3 information is registered in advance. The IdP3 includes a database 3a that stores a user ID 6 for authentication and an encryption / decryption class 3b that realizes payout of a new ID for each SP2. The database 3a is associated with SSO authentication. The SP is registered in advance.

IdP3は、ユーザ端末1がSP2にログインする際の認証を行うものであり、ユーザ端末1がSSOを行うSPとして紐付けられている各SP2に最初にログインする際に必要となるユーザID6およびパスワード、ユーザ端末1がSSOシステムを構成する各SP2によるサービスを受けるときに必要となる新規ID7を発行する。   The IdP3 performs authentication when the user terminal 1 logs in to the SP2, and the user ID 6 and password required when the user terminal 1 first logs in to each SP2 associated as the SP performing SSO. Then, the user terminal 1 issues a new ID 7 that is necessary when receiving service by each SP 2 constituting the SSO system.

ユーザ端末1を利用するユーザは、IdP3に対して予めユーザ登録を行い、これに応じて、IdP3はユーザ端末1に対してユーザID6およびパスワードを発行し、IdP3のデータベース3aにはパスワードとともに、SP2がサービスに利用するためのユーザデータ、たとえば、氏名、年齢、職業、などがユーザID6に対応して格納される。   A user who uses the user terminal 1 performs user registration in advance with respect to the IdP3. In response to this, the IdP3 issues a user ID 6 and a password to the user terminal 1, and the SP2 in the database 3a of the IdP3 together with the password. User data for use in the service, for example, name, age, occupation, etc. are stored corresponding to the user ID 6.

図2はIdP3の構成を詳細に示すブロック図、図3はユーザ端末1がSP2にログインするときのユーザ端末1、SP2、IdP3それぞれの動作を示すシーケンス図である。以下に、図1ないし図3を参照して本実施形態の動作について詳細に説明する。   FIG. 2 is a block diagram showing in detail the configuration of IdP3, and FIG. 3 is a sequence diagram showing the operation of each of user terminals 1, SP2, and IdP3 when user terminal 1 logs in to SP2. The operation of this embodiment will be described in detail below with reference to FIGS.

SP2によるサービスを受けるために、図3に示すように、ユーザ端末1よりSP2に対してログイン要求が実施される(ステップS1)。ログイン要求には、Idp3が発行したユーザID6とパスワードを含むものであり、ユーザID6にはどのIdPに対して連携用のIDを要求すればよいかを示すIdPを特定する情報、本実施形態においては、IdP3を特定する情報が付与されている。   In order to receive the service by SP2, as shown in FIG. 3, a login request is made from user terminal 1 to SP2 (step S1). The login request includes the user ID 6 issued by Idp3 and the password. In this embodiment, the user ID 6 specifies IdP indicating which IdP should be requested for cooperation. Is given information specifying IdP3.

ログイン要求を受け付けたSP2は、ログイン要求(ユーザID6)に含まれるIdPを特定する情報を利用して、連携するIdP3に対してユーザ端末1の認証要求を行う(ステップS2)。この認証要求には、ユーザ端末1のアドレスとユーザID6が含まれている。   The SP 2 that has received the login request uses the information specifying the IdP included in the login request (user ID 6) to make an authentication request for the user terminal 1 to the linked IdP 3 (step S2). This authentication request includes the address of the user terminal 1 and the user ID 6.

連携用のIDの要求を受け付けたIdP3は、ユーザ端末IDにより、ユーザ端末1に対して、パスワードの入力を要求する(ステップS3)。   The IdP 3 that has received the request for the cooperation ID requests the user terminal 1 to input a password with the user terminal ID (step S3).

次に、パスワード入力要求を受け付けたユーザ端末1からIdP3に対して、パスワードが送られる(ステップS4)。   Next, the password is sent from the user terminal 1 that has received the password input request to the IdP 3 (step S4).

IdP3は、ユーザ端末1から送られてきたパスワードをデータベース3aに格納されているパスワードと比較する認証処理を実施し、これらが一致した場合には、SP2のアドレスからSSOを行うSPとして紐付けられている各SPやSSOの有効期限を示す認証セッション情報を生成し、ユーザ端末1のユーザ情報としてデータベース3aに格納するとともに、SSOを行うために必要となる新規ID7の生成を開始する。   The IdP3 performs authentication processing for comparing the password sent from the user terminal 1 with the password stored in the database 3a. If they match, the IdP3 is linked as the SP that performs SSO from the address of SP2. Authentication session information indicating the expiration date of each SP or SSO is generated, stored in the database 3a as user information of the user terminal 1, and generation of a new ID 7 necessary for performing SSO is started.

新規ID7の生成では、SP2固有の識別子4の要求をSP2に対して行い(ステップS5)、該要求を受け付けたSP2が固有の識別子4をIdP3へ送信することによりSP2固有の識別子4の取得が行われる(ステップS6)。なお、ウェブサイトの情報など、すでに保持している情報を固有の識別子4として利用する場合には、IdP3からSP2に対して固有の識別子4の要求を行う必要はない。   In the generation of the new ID 7, the SP 2 unique identifier 4 is requested to the SP 2 (step S 5), and the SP 2 that has received the request transmits the unique identifier 4 to the IdP 3, thereby obtaining the SP 2 unique identifier 4. Performed (step S6). When information already held such as website information is used as the unique identifier 4, it is not necessary to request the unique identifier 4 from the IdP 3 to the SP 2.

次に、SP2の固有の識別子4と予め保持するハッシュ関数8を用いてハッシュ値5を取得する。取得したハッシュ値5とデータベース3aに登録されているユーザID6とを連結し、予め保持する暗号鍵9(図2参照)を用いて暗号化することにより、連携を実現するための新規ID7を生成し、ユーザ端末1への払い出しを行う(ステップS7)。ユーザ端末1は払い出された新規ID7を用いてSP2へサービスを要求することが可能となる。   Next, the hash value 5 is acquired using the unique identifier 4 of SP2 and the hash function 8 stored in advance. A new ID 7 for realizing cooperation is generated by concatenating the acquired hash value 5 and the user ID 6 registered in the database 3a and encrypting it using the encryption key 9 (see FIG. 2) held in advance. Then, payout to the user terminal 1 is performed (step S7). The user terminal 1 can request a service from the SP 2 using the new ID 7 that has been paid out.

SP2に対してユーザ端末1がSP2におけるサービスの利用要求を実施すると(ステップS8)、SP2はIdP3に対してサービスの提供に必要となるユーザの情報の開示を、新規ID7を付与して要求する(ステップS9)。   When the user terminal 1 makes a service use request in SP2 with respect to SP2 (step S8), SP2 requests the IdP3 to disclose user information necessary for providing the service with a new ID7. (Step S9).

IdP3は必要な情報のみをSP2に対して提示を行う(ステップS10)。   IdP3 presents only necessary information to SP2 (step S10).

SP2は提示された情報を利用して、ユーザ端末1に対してサービスの提供を行う(ステップS11)。   The SP 2 provides the service to the user terminal 1 using the presented information (step S11).

図4は本実施形態におけるSP2毎の識別子4とユーザID6から新規ID7を生成する方法と新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示す図であり、(a)はSP2毎の識別子4とユーザID6から新規ID7を生成する方法を示し、(b)は新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示している。以下に、新規ID7の生成方法とユーザI6Dの復元方法について図4を参照して説明する。   FIG. 4 is a diagram showing a method for generating a new ID 7 from the identifier 4 for each SP 2 and the user ID 6 and a method for restoring the identifier 4 and the user ID 6 for each SP 2 from the new ID 7 in this embodiment. (B) shows a method for restoring the identifier 4 and the user ID 6 for each SP 2 from the new ID 7. Hereinafter, a method for generating the new ID 7 and a method for restoring the user I6D will be described with reference to FIG.

図4(a)に示すように、IdP3は、ユーザID6とSP2の識別子4のハッシュ値とを連結して文字列を作り、その文字列に対して暗号鍵9を利用して暗号化を行うことによって、SP2毎に異なる新規ID7を生成する(図3におけるステップS7)。   As shown in FIG. 4A, the IdP 3 creates a character string by concatenating the user ID 6 and the hash value of the identifier 4 of the SP 2 and encrypts the character string using the encryption key 9. Thus, a different new ID 7 is generated for each SP2 (step S7 in FIG. 3).

SP2はIdP3に対してサービスの提供に必要なユーザの情報開示を要求する際、該要求とともに新規ID7を添付する(図3におけるステップS9)。IdP3は新規ID7に対して、暗号鍵9を利用して復号化を行い、ユーザID6とハッシュ値5を復号し、さらに、ハッシュ値5とハッシュ関数8からSP2の識別子4を復号する。   When the SP 2 requests the IdP 3 to disclose user information necessary for providing the service, the SP 2 attaches a new ID 7 together with the request (step S9 in FIG. 3). The IdP 3 decrypts the new ID 7 using the encryption key 9, decrypts the user ID 6 and the hash value 5, and decrypts the identifier 4 of the SP 2 from the hash value 5 and the hash function 8.

IdP3は、データベース3aから復号されたユーザID6に対応するユーザデータのうち、まず、認証セッション情報を確認して、SP2がユーザID6のSSO対象であり、また、SSOの有効期限内であるかを確認し、これらに該当するものである場合に、サービスの提供に必要であるとして要求されたユーザの情報を引き出す。   The IdP3 first confirms the authentication session information among the user data corresponding to the user ID 6 decrypted from the database 3a, and determines whether SP2 is the SSO target of the user ID 6 and is within the SSO expiration date. If the information is applicable, the user information requested as necessary for providing the service is extracted.

この後、ユーザ端末1がSPを遷移する場合にも図3におけるステップS8と同様に、新規ID7を用いてサービスの利用要求を実施し、以後、ステップS9〜S11の動作が行われる。   Thereafter, even when the user terminal 1 transitions to SP, a service use request is performed using the new ID 7 as in step S8 in FIG. 3, and thereafter, the operations in steps S9 to S11 are performed.

上記のように本実施形態においては、SP2毎に新規ID7を作成するが、新規IDはSP毎の識別子およびユーザID6を含む暗号化されたものであるため、IdP3は新規ID7を復号することにより、SP2およびユーザを特定することが出来る。膨大な数のSP毎の新規ID7を生成しても、逆引きが可能であることから、IdP3は生成したSP2毎の新規ID7をデータベースに、登録・保持することなくユーザを管理することが可能となる。   As described above, in the present embodiment, a new ID 7 is created for each SP2. However, since the new ID is encrypted including the identifier for each SP and the user ID 6, IdP3 decrypts the new ID 7. , SP2 and user can be specified. Since reverse lookup is possible even if a huge number of new IDs 7 are generated for each SP, IdP3 can manage users without registering and holding the generated new IDs 7 for each SP2 in the database. It becomes.

本発明によれば、ユーザの特定が出来ないIDによるSPにおける商品の購入、サービスの利用後の、ISPによる一括決済といった用途に適用できる。また、匿名性を保持したままの、医療機関や法律事務所に対する相談といった用途にも適用可能である。   INDUSTRIAL APPLICABILITY According to the present invention, the present invention can be applied to uses such as purchase of merchandise at an SP with an ID that cannot identify a user and collective payment by an ISP after using the service. It can also be applied to applications such as consultation with medical institutions and law firms while maintaining anonymity.

1 ユーザ端末
2 SP(サービスサーバ)
3 IdP(認証サーバ)
3a データベース(DB)
3b 暗号・復号化クラス
4 識別子
5 ハッシュ値
6 ユーザID
7 新規ID
8 ハッシュ関数
9 暗号鍵
S1〜S11 ステップ 1 User terminal 2 SP (service server)
3 IdP (authentication server)
3a Database (DB)
3b Encryption / decryption class 4 Identifier 5 Hash value 6 User ID
7 New ID
8 Hash function 9 Cryptographic key S1-S11 Step

Claims (8)

ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオンシステム。 Managing a user terminal, a plurality of service servers linked in advance to provide services to the user terminals, and user information required when the service servers provide services to the user terminals And an authentication server that performs authentication when the user terminal logs in to each service server, and a single sign-on system,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. In the single sign-on system, a request for user information with a new ID is transmitted to the authentication server. ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバとともにシングルサインオンシステムを構成し、前記複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバであって、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備えることを特徴とする認証サーバ。 When a single sign-on system is configured together with a user terminal and a plurality of service servers linked in advance to provide services to the user terminals, and the plurality of service servers provide services to the user terminals An authentication server that manages required user information and performs authentication when the user terminal logs in to each service server,
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is sent to the authentication server,
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An authentication server comprising: an encryption / decryption class for returning user information. ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバとともにシングルサインオンシステムを構成するユーザ端末であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うことを特徴とするユーザ端末。 A plurality of service servers linked in advance to provide a service to the user terminal, and user information required when the plurality of service servers provide a service to the user terminal and the user terminal Is a user terminal that constitutes a single sign-on system together with an authentication server that performs authentication when logging in to each service server,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is sent to the authentication server,
When logging in to the system, a login request including an address and a user ID is transmitted to the service server, and when the new ID is received from the authentication terminal, a new ID is assigned and a service is provided to the service server. A user terminal characterized by making a request to use the. ユーザ端末と、認証サーバと、ともにシングルサインオンシステムを構成し、前記ユーザ端末に対してサービスを提供する複数が予め紐付けられたサービスサーバであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うものであり、
前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスとユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、前記新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするサービスサーバ。 A user server and an authentication server together constitute a single sign-on system, and a plurality of service servers that provide services to the user terminal are linked in advance,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. A request to the server to use the service,
When a login request is received from the user terminal, an address and a user ID of the user terminal are given, an authentication request is transmitted to the authentication server, and a request to use a service is received from the user terminal A service server that sends a request for user information to which the new ID is assigned to the authentication server. ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムで行われるシングルサインオン方法であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオン方法。 Managing a user terminal, a plurality of service servers linked in advance to provide services to the user terminals, and user information required when the service servers provide services to the user terminals And a single sign-on method performed in a single sign-on system having an authentication server that performs authentication when the user terminal logs in to each service server,
The authentication server is
The information of the service server associated in advance and the information of the user required for each of the plurality of service servers to provide each service are stored corresponding to the user ID,
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. Return user information,
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. In the single sign-on method, a request for user information with a new ID is transmitted to the authentication server. 請求項2記載の認証サーバをコンピュータ上に実現するプログラム。 A program for realizing the authentication server according to claim 2 on a computer. 請求項3記載のユーザ端末をコンピュータ上に実現するプログラム。 The program which implement | achieves the user terminal of Claim 3 on a computer. 請求項4記載のサービスサーバをコンピュータ上に実現するプログラム。 A program for realizing the service server according to claim 4 on a computer.
JP2010003963A 2010-01-12 2010-01-12 Single sign-on system and method, authentication server, user terminal, service server, and program Pending JP2011145754A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010003963A JP2011145754A (en) 2010-01-12 2010-01-12 Single sign-on system and method, authentication server, user terminal, service server, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010003963A JP2011145754A (en) 2010-01-12 2010-01-12 Single sign-on system and method, authentication server, user terminal, service server, and program

Publications (1)

Publication Number Publication Date
JP2011145754A true JP2011145754A (en) 2011-07-28

Family

ID=44460576

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010003963A Pending JP2011145754A (en) 2010-01-12 2010-01-12 Single sign-on system and method, authentication server, user terminal, service server, and program

Country Status (1)

Country Link
JP (1) JP2011145754A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013167947A (en) * 2012-02-14 2013-08-29 International Universal Menu Association User id issue system, administrative system information page generation system, method and program
US9398075B2 (en) 2012-09-14 2016-07-19 Fujitsu Limited Communication system, communication apparatus, communication method, and storage medium
JP2018507463A (en) * 2014-12-31 2018-03-15 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Method and apparatus for identifying a user ID
JP2020511803A (en) * 2019-02-28 2020-04-16 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited System and method for blockchain-based data management

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013167947A (en) * 2012-02-14 2013-08-29 International Universal Menu Association User id issue system, administrative system information page generation system, method and program
US9398075B2 (en) 2012-09-14 2016-07-19 Fujitsu Limited Communication system, communication apparatus, communication method, and storage medium
JP2018507463A (en) * 2014-12-31 2018-03-15 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Method and apparatus for identifying a user ID
US10848310B2 (en) 2014-12-31 2020-11-24 Alibaba Group Holding Limited Method and device for identifying user identity
JP2020511803A (en) * 2019-02-28 2020-04-16 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited System and method for blockchain-based data management
US11258778B2 (en) 2019-02-28 2022-02-22 Advanced New Technologies Co., Ltd. System and method for blockchain-based data management

Similar Documents

Publication Publication Date Title
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US10810515B2 (en) Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
US20210056541A1 (en) Method and system for mobile cryptocurrency wallet connectivity
US8196177B2 (en) Digital rights management (DRM)-enabled policy management for a service provider in a federated environment
JP4744785B2 (en) Session key security protocol
CN107534667A (en) Key exports technology
US20190306148A1 (en) Method for oauth service through blockchain network, and terminal and server using the same
CN105580311A (en) Data security using request-supplied keys
JP5602165B2 (en) Method and apparatus for protecting network communications
CN107872455A (en) A kind of cross-domain single login system and its method
US11455621B2 (en) Device-associated token identity
US20160182562A1 (en) Time based authentication codes
EP3185465A1 (en) A method for encrypting data and a method for decrypting data
US9875371B2 (en) System and method related to DRM
US20240089249A1 (en) Method and system for verification of identify of a user
JP2012181662A (en) Account information cooperation system
JP2011145754A (en) Single sign-on system and method, authentication server, user terminal, service server, and program
JP2020106927A (en) Information processing system, information processing program, information processing method, and information processing device
JP2020102741A (en) Authentication system, authentication method, and authentication program
Al-Sinani et al. Client-based cardspace-openid interoperation
JP6383293B2 (en) Authentication system
KR20190019317A (en) Server and method for authentication in on-demand SaaS aggregation service platform
TWI759090B (en) Platform login method
WO2016075467A1 (en) Network based identity federation
JP2003304242A (en) Method, device for multiple authentication by single secret key and web service use method using the same method