JP2014531163A - サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム - Google Patents

サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム Download PDF

Info

Publication number
JP2014531163A
JP2014531163A JP2014536106A JP2014536106A JP2014531163A JP 2014531163 A JP2014531163 A JP 2014531163A JP 2014536106 A JP2014536106 A JP 2014536106A JP 2014536106 A JP2014536106 A JP 2014536106A JP 2014531163 A JP2014531163 A JP 2014531163A
Authority
JP
Japan
Prior art keywords
party application
access
authorization server
user
party
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2014536106A
Other languages
English (en)
Other versions
JP2014531163A5 (ja
Inventor
フー,ジーユエン
ルオ,ジガン
ワン,ヨンゲン
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2014531163A publication Critical patent/JP2014531163A/ja
Publication of JP2014531163A5 publication Critical patent/JP2014531163A5/ja
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

複数の実施形態が、サードパーティーアプリケーション上での集中型セキュアマネージメントを実行するための方法およびシステムを含む。この方法は、サードパーティーアプリケーションによって、その識別子、認証クレデンシャル、およびアクセス許可を区別可能な様式で集中型セキュアマネージメントシステムへ送信するステップと、サードパーティーアプリケーションを成功裏に認証した後に、集中型セキュアマネージメントシステムによって、識別子およびアクセス許可を許可サーバへ転送するステップと、アクセス許可が有効である場合には、許可サーバによって、保護されているリソースにアクセスするためのアクセストークンを、集中型セキュアマネージメントシステムを通じてサードパーティーアプリケーションに発行するステップとを含む。

Description

本発明は、通信に関し、詳細には、ユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション/クライアント上での集中型セキュアマネージメントを実行するためのテクノロジーに関する。
現在、インターネットサービスどうしの統合が、必要なトレンドになってきている。よりよいサービスをユーザに提供するために、多くのサービスプロバイダは、サードパーティーアプリケーション/クライアントが、「オープンネットワークAPI(Application Programming Interface)」を呼び出すことによってさらに多くのアプリケーションをユーザに提供することを可能にしている。オープンプラットフォームの本質的な問題は、ユーザ認証、承認、およびサードパーティーアプリケーション/クライアントがオープンネットワークAPIを安全に使用しなければならないということである。ユーザにとっては一般に、ユーザとサードパーティーの両者が強い信頼関係にない限り、サードパーティーがユーザの保護されているネットワークリソースにアクセスする目的でユーザ自身のユーザ名およびパスワードを直接使用することができることをユーザは望まない。サービスどうしの統合中の「認証および承認」という本質的な問題を解決する目的で、OAuth(Open Authorization)プロトコルが発表されている。
IETE(すなわち、Internet Engineering Task Force)によって開発されたOAuthプロトコルは、現在国際的に一般的な様式であり、リソースの所有者を代理することによって、保護されているリソースにアクセスする方法をサードパーティーアプリケーション/クライアントに提供する。保護されているリソースにアクセスする前に、サードパーティーアプリケーション/クライアントは、はじめにリソースの所有者からの、すなわちアクセス許可(アクセス許可は、リソースの所有者によって提供されるに相当し、そのタイプは、サードパーティーアプリケーション/クライアントによって使用される入手様式、および許可サーバによってサポートされる様式に依存する)を入手し、次いで(アクセス許可のアクション範囲、持続時間、およびその他の属性を表す)アクセストークンをアクセス許可と交換しなければならない。サードパーティーアプリケーション/クライアントは、アクセストークンをリソースサーバに示すことによって、保護されているリソースにアクセスする。
OAuthプロトコルの新たなバージョン、OAuth2.0は、実施を簡素化することを原則としており、より多くのアクセス形態をサポートし、たとえば、「ウェブアプリケーション、デスクトップアプリケーション、モバイル端末、ホームデバイス」などを同時にサポートする。OAuth2.0は、ユーザが、必ずしも自分の長期クレデンシャルを、または自分の識別子さえ明らかにすることなく、自分の保護されているリソースへのアクセスをサードパーティーアプリケーション/クライアントに許可することを可能にする。この方法においては、ユーザ機密情報のプライバシーが保護されることが可能である。
この目的のために、サービスプロバイダは、ユーザのリソースを管理しなければならず、下記を担当するIETF OAuth2.0において定義されている許可サーバを構築しなければならない:
− ユーザのマネージメント、
− サードパーティーアプリケーション/クライアントのマネージメント、
− サードパーティーアプリケーション/クライアントがアクセストークンを求める際に用いるアクセス許可(IETF OAuth2.0における定義を参照されたい)を発行すること、
− 許可サーバとユーザとの間における相互認証、
− 許可サーバとサードパーティーアプリケーション/クライアントとの間における相互認証、
− アクセス許可の検証、および
− サードパーティーアプリケーション/クライアントがユーザの保護されているリソースにアクセスすることができるアクセストークンを発行すること。
図1は、IETF OAuth2.0によるシステムおよびワークフローを概略的に示している。
図1において示されているワークフローは、下記のとおりである:
1.サードパーティーアプリケーション/クライアントが、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスすることを計画し、
2.リソースサーバは、サードパーティーアプリケーション/クライアントが、有効なアクセストークンを有していないことに気づき、次いでユーザのを得るために、サードパーティーアプリケーション/クライアントをユーザエージェントへリダイレクトし、
3.ユーザは、許可アクセスを用いてサードパーティーアプリケーション/クライアントをする前に、許可サーバによってされなければならず、また同時に許可サーバを認証することを必要とする場合があり、
4.許可サーバは、ユーザエージェントを介してサードパーティーアプリケーション/クライアントへ許可アクセスを送信し、
5.サードパーティーアプリケーション/クライアントは、アクセストークンを求めるために、識別子、許可アクセス、および自分自身の認証クレデンシャルを許可サーバに提示し、
6.許可サーバとサードパーティーアプリケーション/クライアントとの間における相互認証の後に、かつ許可アクセスを検証した後に、許可サーバは、アクセストークンをサードパーティーアプリケーション/クライアントに発行し、
7.サードパーティーアプリケーション/クライアントは、ユーザのリソースにアクセスするために、アクセストークンをリソースサーバに提示し、
8.アクセストークンが有効である場合には、リソースサーバは、データをサードパーティーアプリケーション/クライアントに返す。
しかしながら、IETF OAuth2.0が非常に好ましいのは、いくつかの大規模サービスプロバイダにとってのみである。なぜなら、それらの大規模サービスプロバイダは、サードパーティーアプリケーション/クライアントのマネージメント(たとえば、識別子、認証、認証クレデンシャルマネージメントなど)を自分たち自身でまかなう余裕があるためである。しかしながら、小規模および中規模サービスプロバイダにとっては、これを行うのは容易ではない。なぜなら、サードパーティーアプリケーション/クライアントを管理することは、それらの小規模および中規模サービスプロバイダにとって非常に高くつくことになるためである。その上、大規模サービスプロバイダたちは、内部で別々のリソースサーバを配備している場合には、サードパーティーウェブサイトおよびアプリケーション/クライアントを管理するための重複したコンポーネントを開発および配備しなければならない。
さらに、非常に多くのサードパーティーアプリケーション/クライアントが存在し、それらのうちのいくつかは個人によって開発および提供される場合があるため、攻撃者たちが、ネットワークAPIを悪用することによってユーザのリソースに不正にアクセスするために悪意のあるネットワークAPIを開発する可能性がある。したがって、すべてのサードパーティーアプリケーション/クライアントがセキュアで信頼されているということを、ユーザの保護されているリソースへのアクセスをそれらのサードパーティーアプリケーション/クライアントに許可する前に保証することは、容易ではない。
従来技術における上述の欠点に対処するために、本発明の第1の態様によれば、本発明は、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するための方法を明らかにする。この方法によれば、集中型マネージメントのためのサードパーティーアプリケーションの集中型セキュアマネージメントシステムが、サードパーティーアプリケーションを発行する前に、サードパーティーアプリケーションのセキュリティーを検証すること、およびサードパーティーアプリケーションにデジタル署名することを担当し、その集中型セキュアマネージメントシステムがサードパーティーアプリケーションを認証することができる認証クレデンシャルを発行する。この方法は、サードパーティーアプリケーションによって、その識別子、認証クレデンシャル、およびアクセス許可を区別可能な様式で集中型セキュアマネージメントシステムへ送信するステップと、サードパーティーアプリケーションを成功裏に認証した後に、集中型セキュアマネージメントシステムによって、アクセス許可を許可サーバへ転送するステップと、許可サーバがアクセス許可を有効なものとして成功裏に認証した場合には、許可サーバによって、ユーザの保護されているリソースにアクセスするためのアクセストークンを、集中型セキュアマネージメントシステムを通じてサードパーティーアプリケーションに発行するステップとを含む。
本発明の別の態様によれば、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムが提供され、このシステムは、区別可能な様式でサードパーティーアプリケーションによって送信されたサードパーティーアプリケーションの識別子、認証クレデンシャル、およびアクセス許可を受信するための第1の受信デバイスと、識別子、認証クレデンシャル、およびアクセス許可を受信した後に、識別子および認証クレデンシャルを使用してサードパーティーアプリケーションを認証するための第1の認証デバイスと、サードパーティーアプリケーションを成功裏に認証した後に、サードパーティーアプリケーションのアクセス許可を許可サーバへ転送するための第1の転送デバイスと、許可サーバによって発行されたアクセストークンをサードパーティーアプリケーションへ転送するための第2の転送デバイスと含む。
好ましくは、本発明によるシステムは、個人の開発者またはサービスプロバイダによって開発されて、デジタル署名のために個人の開発者またはサービスプロバイダのプライベートキーを使用するサードパーティーアプリケーションを受信するための第2の受信デバイスと、個人の開発者またはサービスプロバイダによって開発されたデジタル証明書を使用して、第2の受信デバイスによって受信されたサードパーティーアプリケーションのデジタル署名を認証するための第2の認証デバイスと、第2の認証デバイスの成功裏の認証の後に、サードパーティーアプリケーションが、悪意のあるコードまたはウイルスを含んでいるかどうかを検知するための安全チェックデバイスと、サードパーティーアプリケーションを成功裏に安全チェックした後に、システムのプライベートキーを使用してサードパーティーアプリケーションにデジタル署名するためのデジタル署名デバイスと、サードパーティーアプリケーションに関する識別子、認証クレデンシャル、および関連属性の均等な配布のマネージメントのためのサードパーティーアプリケーションレジストリ/マネージメントデバイスと、すべての関連したデジタル証明書の均等なマネージメント(生成、発行、および取り消しなど)のための証明書マネージメントデバイスとをさらに含む。
本発明のさらに別の態様によれば、少なくとも1つの許可サーバと、少なくとも1つのリソースサーバと、ユーザエージェントと、サードパーティーアプリケーションと、本発明による、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムとを含む通信システムが提供される。
本発明のその他の特徴、目的、および利点は、添付の図面を参照しながら、非限定的な実施形態についての以降の詳細な説明を読むことによって、さらに明らかになるであろう。
従来技術におけるIETF OAuth2.0によるシステムおよびワークフローを概略的に示す図である。 本発明による、サードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムおよびワークフローを概略的に示す図である。 本発明の一実施形態による、サードパーティーアプリケーション上での集中型セキュアマネージメントの方法のフローチャートである。 本発明の一実施形態による、サードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムのブロック図である。
本発明の基本的なアイディアは、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション/クライアント上での集中型セキュアマネージメントを実行することである。簡潔にするために、「サードパーティーアプリケーション/クライアント」は、以降の文章においては「サードパーティーアプリケーション」と示されることになる。図2は、サードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムおよびワークフローを概略的に示している。図2において示されているように、図1における既存のソリューションと比較すると、集中型セキュアマネージメントシステムが付加されている。このシステムは、下記の機能を有する:
− サードパーティーアプリケーションを正式にリリースする前に、
サードパーティーアプリケーションのトレーサビリティーを確保するための個人の開発者またはサービスプロバイダのキーを通じた署名に関してサードパーティーアプリケーションを認証するために個人の開発者またはサービスプロバイダのデジタル証明書を使用すること、
サードパーティーアプリケーションがセキュアであるか否かを検証すること(たとえば、アンチウイルス/アンチマルウェアをチェックすること)、
サービスプロバイダまたはエンドユーザが、サードパーティーアプリケーションのインストレーションの前にサードパーティーアプリケーションのセキュリティー、真正性、および信頼性を確認することができるように、サードパーティーアプリケーションにそのキーを用いて署名すること、
認証のために使用されるサードパーティーアプリケーションに対するクレデンシャル(たとえば、証明書またはキー)を発行すること、
− サードパーティーアプリケーションを正式にリリースすること、
− サードパーティーアプリケーションが、ユーザの保護されているリソースにアクセスする前に、このシステムは、下記の機能を有する:
集中型セキュアマネージメントシステムと、サードパーティーアプリケーションとの間における相互認証、
サードパーティーアプリケーションに関する識別子およびその認証クレデンシャルのマネージメント。
図1における既存のソリューションと比較すると、図2におけるサードパーティーアプリケーションは、本出願による集中型セキュアマネージメントサーバが、識別子、認証クレデンシャル、およびそのアクセス許可を個別に区別することができるように、それらの識別子、認証クレデンシャル、およびアクセス許可を個別にパックすること、または識別子、認証クレデンシャル、およびアクセス許可を個別にマークすることを必要とすることが可能である。
図2においては、許可サーバ_1/リソースサーバ_1、許可サーバ_2/リソースサーバ_2、および許可サーバ_n/リソースサーバ_nは、下記のものに属する場合がある:
別々の小規模および中規模サービスプロバイダ、または
いくつかのリソースサーバを別々に配備した同じ大規模サービスプロバイダ。
図1における既存のソリューションと比較すると、許可サーバ_iは、ステップ5のメッセージがサードパーティーアプリケーションから直接来ているのか、またはステップ5において示されているように集中型セキュアマネージメントシステムから来ているのかを区別するべきである。その区別は、たとえばフラグを通じて実施されることが可能である。ステップ5のメッセージがサードパーティーアプリケーションから直接来ている場合には、許可サーバ_iは、サードパーティーアプリケーションを認証して、アクセス許可を検証すべきであり、ステップ5のメッセージが集中型セキュアマネージメントシステムから来ている場合には、許可サーバ_iは、アクセス許可を検証することのみを行うべきである。
図1における既存のソリューションと比較すると、図5におけるワークフローの変更は、下記のとおり存在する:
− ステップ5においては、サードパーティーアプリケーションの識別子、認証クレデンシャル、およびアクセス許可が、区別可能な様式で集中型セキュアマネージメントシステムへ送信されることが可能であり、区別可能な様式とは、集中型セキュアマネージメントシステムが、識別子、認証クレデンシャル、およびアクセス許可を区別することができるように、それらの識別子、認証クレデンシャル、およびアクセス許可が個別にパッケージされること、または個別にマークされることが可能であるということを意味している。
− ステップ6においては、ステップ6は、下記のように2つのサブステップを含む:
6−1: サードパーティーアプリケーションを成功裏に認証した後に、集中型セキュアマネージメントシステムは、アクセス許可を許可サーバ_nへ転送する。アクセス許可が有効である場合には、許可サーバ_nは、サードパーティーアプリケーションに対して発行されたアクセストークンを集中型セキュアマネージメントシステムへ送信する。本発明においては、アクセス許可およびアクセストークンは、たとえば、IETFによって定義されている認証プロトコルOAuth2.0に準拠している。
6−2: 集中型セキュアマネージメントシステムは、アクセストークンをサードパーティーアプリケーションへ転送する。
さらに、本発明のソリューションによれば、サードパーティーアプリケーションが、有効なアクセストークンを有していない場合には、リソースサーバは、サードパーティーアプリケーションのアクセス要求をユーザエージェントへリダイレクトする。
指摘されなければならないこととして、本発明による集中型セキュアマネージメントシステムは、サーバグループを含み、そのサーバグループは、たとえば、証明書発行マネージメントサーバ、サードパーティーアプリケーションのセキュリティーチェッキングサーバ、サードパーティーアプリケーションのレジストリマネージメントサーバ、サードパーティーアプリケーションの認証サーバ、サードパーティーアプリケーションのストレージ/リリースサーバなどを含むことができる。
本発明においてさらに指摘されなければならないこととして、ユーザは、自分の保護されているリソースにサードパーティーアプリケーションがアクセスすることを許可すると想定される。自分の保護されているリソースにサードパーティーアプリケーションがアクセスすることをする前に、ユーザは、サードパーティーアプリケーションがアクセストークンを入手する目的でアクセス許可を入手するように、自分の識別子が真正であること、および自分の保護されているリソースにサードパーティーアプリケーションがアクセスすることを許可するための権限を有していることを確かにするために、許可サーバによって認証されなければならない。本発明のソリューションによれば、ユーザ認証は、ユーザエージェントと許可サーバとの間における通信によって直接、または集中型セキュアマネージメントシステムを通じたユーザエージェントによる許可サーバへのリダイレクトによって、実施されることが可能である。
同様に、アクセス許可は、許可サーバによってユーザエージェントを通じてサードパーティーアプリケーションへ送信されること、または許可サーバによって集中型セキュアマネージメントシステムおよびユーザエージェントを通じてサードパーティーアプリケーションへ送信されることが可能である。
さらに、本発明による集中型セキュアマネージメントシステムは、下記の機能を実施することができる:
− 個人の開発者またはサービスプロバイダのキーを使用した個人の開発者またはサービスプロバイダの署名およびサインによって開発されたサードパーティーアプリケーションが受信された場合には、サードパーティーアプリケーションのトレーサビリティーを確保するためのサードパーティーアプリケーションのデジタル署名を認証するために個人の開発者またはサービスプロバイダのデジタル証明書を使用すること、
− 認証が成功裏に実施された後に、サードパーティーアプリケーションが、悪意のあるコードまたはウイルスを含んでいるかどうかを検知すること、
− 安全検知がサードパーティーアプリケーション上で成功裏に実施された後に、サードパーティーアプリケーションがインストールされる際のそのセキュリティー、真正性、および信頼性を確かにする目的でサードパーティーアプリケーションにデジタル署名するために集中型セキュアマネージメントシステムのキーを使用すること、
− サードパーティーアプリケーションに関する識別子、認証クレデンシャル、および関連属性の均等な配布のマネージメントを実行すること、
− 生成、発行、および取り消しなど、すべての関連したデジタル証明書上での均等なマネージメントを実行すること。
本発明による集中型セキュアマネージメントシステムを使用することによって、小規模および中規模サービスプロバイダにとっては、多額のコストを節約すること、および負担を低減することが可能であり(それは、ユーザおよび保護されているリソースのマネージメントを担当するだけですむということを意味し)、またさらに、大規模サービスプロバイダは、サードパーティーアプリケーション上での集中型マネージメントを伴って、それによって個別に配備される複数の内部リソースサーバを提供するようになることが可能である。さらに、本発明のソリューションを使用することによって、サードパーティーアプリケーションがさらにセキュアであり信頼できるということを確かにすることができる。なぜなら、そのサードパーティーアプリケーションは、信頼できるサードパーティーメカニズム(すなわち、本発明の集中型セキュアマネージメントシステム)によって安全管理されるためである。
以降では、本発明の一実施形態による、サードパーティーアプリケーション上での集中型セキュアマネージメントを実行するための方法が、図3を参照することによって説明される。この実施形態の方法は、上述の図2において示されているようなシステムに適合されることが可能であり、ここで上述のシステムの説明にさらに入り込むことはしない。
図3において示されているように、はじめに、ステップ301において、サードパーティーアプリケーションは、自分の識別子、認証クレデンシャル、およびアクセス許可を区別可能な様式で集中型セキュアマネージメントシステムへ送信する。認証クレデンシャルは、ここでは、たとえば、デジタル証明書、暗号、またはパスワードであることが可能であり、アクセス許可は、たとえば、IETFによって定義されている認証プロトコルOAuth2.0に準拠することができる。区別可能な様式とは、集中型セキュアマネージメントシステムが、識別子、認証クレデンシャル、およびアクセス許可を区別することができるように、それらの識別子、認証クレデンシャル、およびアクセス許可が個別にパッケージされること、または個別にマークされることが可能であるということを意味している。上述したように、この実施形態においては、ユーザは、自分の保護されているリソースにサードパーティーアプリケーションがアクセスすることを許可すると想定される。サードパーティーアプリケーションが、リソースサーバ内のユーザの保護されているリソースにアクセスすることを要求したときに、サードパーティーアプリケーションが、有効なアクセストークンを有していない場合には、リソースサーバは、サードパーティーアプリケーションのアクセス要求をユーザエージェントへリダイレクトする。
指摘されなければならないこととして、アクセスに関してサードパーティーアプリケーションをする前に、ユーザは、サードパーティーアプリケーションがアクセス許可を使用することによってアクセストークンを入手する目的でアクセス許可を入手するように、許可サーバによって認証されなければならず、許可サーバによるユーザの認証は、許可サーバに対するユーザエージェントの認証によって直接、または認証のための集中型セキュアマネージメントシステムを通じたユーザエージェントによる許可サーバへのリダイレクトによって、実施されることが可能である。
さらに指摘されなければならないこととして、許可サーバがアクセス許可をサードパーティーアプリケーションへ送信した後に、サードパーティーアプリケーションは、そのサードパーティーアプリケーションの識別子、認証クレデンシャル、およびアクセス許可を集中型セキュアマネージメントシステムへ送信し、アクセス許可は、許可サーバによってユーザエージェントを通じてサードパーティーアプリケーションへ送信されること、または許可サーバによって集中型セキュアマネージメントシステムおよびユーザエージェントを通じてサードパーティーアプリケーションへ送信されることが可能である。
次いで、ステップ302において、集中型セキュアマネージメントシステムは、サードパーティーアプリケーションを成功裏に認証した後にアクセス許可を許可サーバへ転送する。ここで、アクセス許可は、たとえば、IETFによって定義されている認証プロトコルOAuth2.0に準拠している。
次いで、ステップ303において、アクセス許可が有効である場合には、許可サーバは、ユーザの保護されているリソースにアクセスするためのアクセストークンを、集中型セキュアマネージメントシステムを通じてサードパーティーアプリケーションに発行する。ここで、アクセストークンは、たとえば、IETFによって定義されている認証プロトコルOAuth2.0に準拠している。したがって、サードパーティーアプリケーションは、ユーザの保護されているリソースにアクセスするためにアクセストークンをリソースサーバに提示することができる。
この実施形態においては、集中型セキュアマネージメントシステム、ユーザエージェント、サードパーティーアプリケーション、許可サーバ、およびリソースサーバの間におけるインタラクティブなプロセスは、上述のOAuth2.0などの(ただし、それには限定されない)任意の既存のおよび将来のソリューション、標準、および基準の様式に準拠することができる。
上述の説明においては、新たな集中型セキュアマネージメントシステムを既存のシステム内に付加することによって、この実施形態による、サードパーティーアプリケーション上での集中型セキュアマネージメントを実行する方法を使用すれば、小規模および中規模サービスプロバイダにとっては、多額のコストを節約すること、および負担を低減することが可能であり(それは、ユーザおよび保護されているリソースのマネージメントを担当するだけですむということを意味し)、またさらに、大規模サービスプロバイダは、サードパーティーアプリケーション上での集中型マネージメントを伴って、それによって個別に配備される複数の内部リソースサーバを提供するようになることが可能であるということがわかる。さらに、本発明のソリューションを使用することによって、サードパーティーアプリケーションがさらにセキュアであり信頼できるということを確かにすることができる。なぜなら、そのサードパーティーアプリケーションは、信頼できるサードパーティーメカニズム(すなわち、本発明の集中型セキュアマネージメントシステム)によって安全管理されるためである。
同じコンセプトのもとで、本発明の別の態様によれば、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムが提供される。以降では、そのシステムが、図を参照することによって説明される。
図4は、本発明の一実施形態による集中型セキュアマネージメントシステム400を示している。システム400は、受信デバイス401、認証デバイス402、第1の転送デバイス403、および第2の転送デバイス404を含む。同様に、ユーザは、自分の保護されているリソースにサードパーティーアプリケーションがアクセスすることを許可すると想定される。具体的には、サードパーティーアプリケーションが、保護されているリソースにアクセスすることを要求した場合には、許可サーバがユーザを成功裏に認証して、アクセス許可をサードパーティーアプリケーションに発行した後に、受信デバイス401は、区別可能な様式でサードパーティーアプリケーションによって送信されたサードパーティーアプリケーションの識別子、認証クレデンシャル、およびアクセス許可を受信する。区別可能な様式とは、集中型セキュアマネージメントシステムが、識別子、認証クレデンシャル、およびアクセス許可を区別することができるように、それらの識別子、認証クレデンシャル、およびアクセス許可が個別にパッケージされること、または個別にマークされることが可能であるということを意味している。識別子、認証クレデンシャル、およびアクセス許可を受信した後に、認証デバイス402は、サードパーティーアプリケーションを認証するために、識別子、認証クレデンシャルを使用する。第1の転送デバイス403は、サードパーティーアプリケーションを成功裏に認証した後にサードパーティーアプリケーションのアクセス許可を許可サーバへ転送し、第2の転送デバイス404は、許可サーバによって発行されたアクセストークンをサードパーティーアプリケーションへ転送する。したがって、サードパーティーアプリケーションは、アクセストークンをリソースサーバに提示することによって、ユーザの保護されているリソースにアクセスすることができる。
上述したように、集中型セキュアマネージメントシステム400はさらに、下記の機能を実施する:
− 個人の開発者またはサービスプロバイダのキーを使用した個人の開発者またはサービスプロバイダの署名およびサインによって開発されたサードパーティーアプリケーションが受信された場合には、サードパーティーアプリケーションのトレーサビリティーを確保するためのサードパーティーアプリケーションのデジタル署名を認証するために個人の開発者またはサービスプロバイダのデジタル証明書を使用すること、
− 認証が成功裏に実施された後に、サードパーティーアプリケーションが、悪意のあるコードまたはウイルスを含んでいるかどうかを検知すること、
− 安全検知がサードパーティーアプリケーション上で成功裏に実施された後に、サードパーティーアプリケーションがインストールされる際のそのセキュリティー、真正性、および信頼性を確かにする目的でサードパーティーアプリケーションにデジタル署名するために集中型セキュアマネージメントシステムのキーを使用すること、
− サードパーティーアプリケーションに関する識別子、認証クレデンシャル、および関連属性の均等な配布のマネージメントを実行すること、
− 生成、発行、および取り消しなど、すべての関連したデジタル証明書上での均等なマネージメントを実行すること。
指摘されなければならないこととして、サードパーティーアプリケーション上での集中型セキュアマネージメントシステムのセキュリティーチェックは、任意の既存のおよび将来のソリューション、標準、および基準の様式に準拠することができる。
実装においては、集中型セキュアマネージメントシステム400、および、その集中型セキュアマネージメントシステム400が含む受信デバイス401、認証デバイス402、第1の転送デバイス403、および第2の転送デバイス404は、ソフトウェア、ハードウェア、およびソフトウェアとハードウェアの組合せの形態で実装されることが可能である。たとえば、当業者なら、その手段を適切に実施するためのさまざまな種類のデバイス、たとえば、マイクロプロセッサ、マイクロコントローラ、特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス(PLD)、および/またはフィールドプログラマブルゲートアレイ(FPGA)などをよく知っている。この実施形態による集中型セキュアマネージメントシステムのそれぞれのコンポーネントは、物理的に個別に実現されて、互いに動作可能に接続されることが可能である。
オペレーションにおいては、上述の図4とともに説明されている実施形態の、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムは、上述のサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するための方法を実施することができる。このシステムを使用することによって、小規模および中規模サービスプロバイダにとっては、多額のコストを節約すること、および負担を低減することが可能であり(それは、ユーザおよび保護されているリソースのマネージメントを担当するだけですむということを意味し)、またさらに、大規模サービスプロバイダは、サードパーティーアプリケーション上での集中型マネージメントを伴って、それによって個別にデプロイされる複数の内部リソースサーバを提供するようになることが可能である。さらに、本発明のソリューションを使用することによって、サードパーティーアプリケーションがさらにセキュアであり信頼できるということを確かにすることができる。なぜなら、そのサードパーティーアプリケーションは、信頼できるサードパーティーメカニズム(すなわち、本発明の集中型セキュアマネージメントシステム)によって安全管理されるためである。
同じ本発明のコンセプトのもとで、本発明のさらに別の態様によれば、少なくとも1つの許可サーバと、少なくとも1つのリソースサーバと、ユーザエージェントと、サードパーティーアプリケーションと、本発明による、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムとを含む通信システムが提供される。さらに、この通信システムは、その他のネットワーク要素、たとえばルータなどを含むことができる。
サードパーティーアプリケーション上での集中型セキュアマネージメントを実行するための方法、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステム、および、少なくとも1つの許可サーバと、少なくとも1つのリソースサーバと、ユーザエージェントと、サードパーティーアプリケーションと、本発明による、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムとを含む通信システムが、いくつかの例示的な実施形態を用いて具体的に説明されているが、それらの実施形態は、限定的なものではなく、例示的なものとみなされるべきであり、当業者なら、本発明の趣旨および範囲内でさまざまな種類の変形および修正を実施することができる。したがって本発明は、それらの実施形態に限定されるものではなく、本発明の範囲は、添付の特許請求の範囲によってのみ画定される。

Claims (15)

  1. リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するための方法であって、集中型マネージメントのためのサードパーティーアプリケーションの集中型セキュアマネージメントシステムが、サードパーティーアプリケーションのセキュリティーを検証すること、およびサードパーティーアプリケーションにデジタル署名することを担当し、集中型セキュアマネージメントシステムがサードパーティーアプリケーションを認証することができる認証クレデンシャルを発行し、当該方法が、
    サードパーティーアプリケーションによって、その識別子、認証クレデンシャル、およびアクセス許可を区別可能な様式で集中型セキュアマネージメントシステムへ送信するステップと、
    サードパーティーアプリケーションを成功裏に認証した後に、集中型セキュアマネージメントシステムによって、識別子およびアクセス許可を許可サーバへ転送するステップと、
    アクセス許可が有効である場合には、許可サーバによって、ユーザの保護されているリソースにアクセスするためのアクセストークンを、集中型セキュアマネージメントシステムを通じてサードパーティーアプリケーションに発行するステップとを含むことを特徴とする、方法。
  2. アクセス許可およびアクセストークンが、IETFによって定義されている認証プロトコルOAuth2.0に準拠しており、および/または認証クレデンシャルが、デジタル証明書、キー、またはパスワードのうちの1つである、
    請求項1に記載の方法。
  3. サードパーティーアプリケーションがアクセスに関して許可される前に、ユーザが、サードパーティーアプリケーションがアクセス許可を使用することによってアクセストークンを入手する目的でアクセス許可を入手するように、許可サーバによって認証されなければならず、ならびに/または
    許可サーバがアクセス許可をサードパーティーアプリケーションへ送信した後に、サードパーティーアプリケーションが、そのサードパーティーアプリケーションの識別子、認証クレデンシャル、およびアクセス許可を集中型セキュアマネージメントシステムへ送信する、
    請求項1または2に記載の方法。
  4. サードパーティーアプリケーションが、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスすることを要求したときに、サードパーティーアプリケーションが、有効なアクセストークンを有していない場合には、リソースサーバが、サードパーティーアプリケーションのアクセス要求をユーザエージェントへリダイレクトするステップ、および/または
    許可サーバが、集中型セキュアマネージメントシステムを通じてサードパーティーアプリケーションにアクセストークンを発行した後に、サードパーティーアプリケーションが、ユーザの保護されているリソースにアクセスするためにアクセストークンをリソースサーバに提示するステップ
    をさらに含む、請求項1から3のいずれか一項に記載の方法。
  5. 許可サーバがユーザを認証することが、ユーザエージェントによって許可サーバに対して直接認証を行うことを介して行われ、
    アクセス許可が、許可サーバによってユーザエージェントを通じてサードパーティーアプリケーションへ送信される、
    請求項3に記載の方法。
  6. 許可サーバがユーザを認証することが、ユーザエージェントによって認証のために集中型セキュアマネージメントシステムを通じて許可サーバへリダイレクトすることを介して行われ、
    アクセス許可が許可サーバによって集中型セキュアマネージメントシステムおよびユーザエージェントを通じてサードパーティーアプリケーションへ送信されるステップ、またはアクセス許可が許可サーバによってユーザエージェントを通じてサードパーティーアプリケーションへ送信されるステップのうちの少なくとも1つが実行される、
    請求項3に記載の方法。
  7. 区別可能な様式が、サードパーティーアプリケーションが識別子、認証クレデンシャル、およびアクセス許可を個別にパッケージする様式、またはサードパーティーアプリケーションが識別子、認証クレデンシャル、およびアクセス許可を個別にマークする様式のうちの1つを含む、請求項1から3のいずれか一項に記載の方法。
  8. リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムであって、当該システムが、サードパーティーアプリケーションのセキュリティーを検証すること、およびサードパーティーアプリケーションにデジタル署名することを担当し、当該システムがサードパーティーアプリケーションを認証することができる認証クレデンシャルを発行し、当該システムが、
    区別可能な様式でサードパーティーアプリケーションによって送信されたサードパーティーアプリケーションの識別子、認証クレデンシャル、およびアクセス許可を受信するための第1の受信デバイスと、
    識別子、認証クレデンシャル、およびアクセス許可を受信した後に、識別子、認証クレデンシャルを使用してサードパーティーアプリケーションを認証するための第1の認証デバイスと、
    サードパーティーアプリケーションを成功裏に認証した後に、サードパーティーアプリケーションの識別子およびアクセス許可を許可サーバへ転送するための第1の転送デバイスと、
    許可サーバによって発行されたアクセストークンをサードパーティーアプリケーションへ転送するための第2の転送デバイスと含むことを特徴とする、システム。
  9. 個人の開発者またはサービスプロバイダによって開発されて、デジタル署名のために個人の開発者またはサービスプロバイダのプライベートキーを使用するサードパーティーアプリケーションを受信するための第2の受信デバイスと、
    個人の開発者またはサービスプロバイダによって開発されたデジタル証明書を使用して、第2の受信デバイスによって受信されたサードパーティーアプリケーションのデジタル署名を認証するための第2の認証デバイスと、
    第2の認証デバイスの成功裏の認証の後に、サードパーティーアプリケーションが、悪意のあるコードまたはウイルスを含んでいるかどうかを検知するための安全チェックデバイスと、
    サードパーティーアプリケーションを成功裏に安全チェックした後に、システムのプライベートキーを使用してサードパーティーアプリケーションにデジタル署名するためのデジタル署名デバイスと、
    サードパーティーアプリケーションに関する識別子、認証クレデンシャル、および関連属性の均等な配布のマネージメントのためのサードパーティーアプリケーションレジストリ/マネージメントデバイスと、
    すべての関連したデジタル証明書の均等なマネージメントのための証明書マネージメントデバイスと
    をさらに含む、請求項8に記載のシステム。
  10. アクセス許可およびアクセストークンが、IETFによって定義されている認証プロトコルOAuth2.0に準拠しており、ならびに/または
    認証クレデンシャルが、デジタル証明書、キー、もしくはパスワードのうちの1つであり、ならびに/または
    デジタル証明書上での証明書マネージメントデバイスのマネージメントが、生成、発行、および取り消しを含む、
    請求項8または9に記載のシステム。
  11. すべての関連したデジタル証明書上での均等なマネージメントが、生成、発行、および取り消しを含み、ならびに/または
    許可サーバがアクセス許可をサードパーティーアプリケーションへ送信した後に、サードパーティーアプリケーションが、そのサードパーティーアプリケーションの識別子、認証クレデンシャル、およびアクセス許可をシステムへ送信し、ならびに/または
    サードパーティーアプリケーションがアクセスに関して許可される前に、ユーザが、サードパーティーアプリケーションがアクセス許可を用いてアクセストークンを入手する目的でアクセス許可を入手するように、許可サーバによってユーザエージェントを通じて認証されなければならず、ならびに/または
    サードパーティーアプリケーションが、リソースサーバ内のユーザの保護されているリソースにアクセスすることを要求したときに、サードパーティーアプリケーションが、有効なアクセストークンを有していない場合には、リソースサーバが、サードパーティーアプリケーションのアクセス要求をユーザエージェントへリダイレクトし、ならびに/または
    許可サーバが、システムを通じてサードパーティーアプリケーションにアクセストークンを発行した後に、サードパーティーアプリケーションが、ユーザの保護されているリソースにアクセスするためにアクセストークンをリソースサーバに提示する、
    請求項8から10のいずれか一項に記載のシステム。
  12. 許可サーバがユーザを認証することが、ユーザエージェントによって許可サーバに対して直接認証を行うことを介して行われ、
    アクセス許可が、許可サーバによってユーザエージェントを通じてサードパーティーアプリケーションへ送信される、
    請求項11に記載のシステム。
  13. 許可サーバがユーザを認証することが、ユーザエージェントによって認証のためにシステムを通じて許可サーバへリダイレクトすることを介して行われ、
    アクセス許可が許可サーバによってシステムおよびユーザエージェントを通じてサードパーティーアプリケーションへ送信されるステップ、またはアクセス許可が許可サーバによってユーザエージェントを通じてサードパーティーアプリケーションへ送信されるステップのうちの少なくとも1つが実行される、
    請求項11に記載のシステム。
  14. 区別可能な様式が、サードパーティーアプリケーションが識別子、認証クレデンシャル、およびアクセス許可を個別にパッケージする様式、またはサードパーティーアプリケーションが識別子、認証クレデンシャル、およびアクセス許可を個別にマークする様式のうちの1つを含む、請求項8から10のいずれか一項に記載のシステム。
  15. 少なくとも1つの許可サーバと、
    少なくとも1つのリソースサーバと、
    ユーザエージェントと、
    サードパーティーアプリケーションと、
    請求項8から14のいずれか一項に記載されている、リソースサーバ内に格納されているユーザの保護されているリソースにアクセスするためにサードパーティーアプリケーション上での集中型セキュアマネージメントを実行するためのシステムと
    を含む、通信システム。
JP2014536106A 2011-10-20 2012-10-19 サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム Ceased JP2014531163A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201110319068.2 2011-10-20
CN201110319068.2A CN103067338B (zh) 2011-10-20 2011-10-20 第三方应用的集中式安全管理方法和系统及相应通信系统

Publications (2)

Publication Number Publication Date
JP2014531163A true JP2014531163A (ja) 2014-11-20
JP2014531163A5 JP2014531163A5 (ja) 2015-11-12

Family

ID=48109804

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014536106A Ceased JP2014531163A (ja) 2011-10-20 2012-10-19 サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム

Country Status (6)

Country Link
US (1) US20140245417A1 (ja)
EP (1) EP2770662A4 (ja)
JP (1) JP2014531163A (ja)
KR (1) KR20140084217A (ja)
CN (1) CN103067338B (ja)
WO (1) WO2013056674A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3261317A1 (en) 2016-06-23 2017-12-27 Ricoh Company, Ltd. Authentication system, communication system, and authentication and authorization method

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9887992B1 (en) 2012-07-11 2018-02-06 Microstrategy Incorporated Sight codes for website authentication
US9264415B1 (en) 2012-07-11 2016-02-16 Microstrategy Incorporated User credentials
US8775807B1 (en) 2012-10-26 2014-07-08 Microstrategy Incorporated Credential tracking
US9640001B1 (en) 2012-11-30 2017-05-02 Microstrategy Incorporated Time-varying representations of user credentials
US20140208407A1 (en) * 2013-01-19 2014-07-24 Lenovo (Singapore) Pte. Ltd. Single sign-on between device application and browser
US9154303B1 (en) * 2013-03-14 2015-10-06 Microstrategy Incorporated Third-party authorization of user credentials
CN104283841B (zh) * 2013-07-02 2018-05-22 阿里巴巴集团控股有限公司 对第三方应用进行服务访问控制的方法、装置及系统
US11397520B2 (en) 2013-08-01 2022-07-26 Yogesh Chunilal Rathod Application program interface or page processing method and device
WO2015015251A1 (en) * 2013-08-01 2015-02-05 Yogesh Chunilal Rathod Presenting plurality types of interfaces and functions for conducting various activities
US9397990B1 (en) * 2013-11-08 2016-07-19 Google Inc. Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US20150150109A1 (en) * 2013-11-27 2015-05-28 Adobe Systems Incorporated Authenticated access to a protected resource using an encoded and signed token
IN2013CH05960A (ja) * 2013-12-20 2015-06-26 Samsung R & D Inst India Bangalore Private Ltd
US10404699B2 (en) * 2014-02-18 2019-09-03 Oracle International Corporation Facilitating third parties to perform batch processing of requests requiring authorization from resource owners for repeat access to resources
CN104869102B (zh) * 2014-02-24 2019-04-02 腾讯科技(北京)有限公司 基于xAuth协议的授权方法、装置和系统
CN104954330B (zh) * 2014-03-27 2018-03-16 华为软件技术有限公司 一种对数据资源进行访问的方法、装置和系统
SE539192C2 (en) * 2014-08-08 2017-05-09 Identitrade Ab Method and a system for authenticating a user
US9843451B2 (en) * 2014-10-30 2017-12-12 Motorola Solutions, Inc. Apparatus and method for multi-state code signing
US10148522B2 (en) 2015-03-09 2018-12-04 Avaya Inc. Extension of authorization framework
CN107211007B (zh) * 2015-04-07 2020-10-23 惠普发展公司,有限责任合伙企业 提供对资源的选择性访问
US9350556B1 (en) 2015-04-20 2016-05-24 Google Inc. Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key
CN106209751B (zh) * 2015-05-08 2019-05-03 中标软件有限公司 基于操作系统授权证书的面向服务的接口认证方法
US10044718B2 (en) 2015-05-27 2018-08-07 Google Llc Authorization in a distributed system using access control lists and groups
CN105592048B (zh) * 2015-09-02 2019-03-01 新华三技术有限公司 一种认证的方法及装置
US10311036B1 (en) * 2015-12-09 2019-06-04 Universal Research Solutions, Llc Database management for a logical registry
WO2017131892A1 (en) 2016-01-29 2017-08-03 Google Inc. Device access revocation
CN109074439B (zh) * 2016-07-12 2022-04-15 惠普发展公司,有限责任合伙企业 用于服务的证书
JP2018157398A (ja) * 2017-03-17 2018-10-04 株式会社リコー 情報端末、情報処理装置、情報処理システム、情報処理方法及びプログラム
CN107241341B (zh) * 2017-06-29 2020-07-07 北京五八信息技术有限公司 访问控制方法及装置
CN107332861B (zh) * 2017-08-11 2020-11-10 杭州奇亿云计算有限公司 一种基于OAuth协议的开放平台架构系统
US10514935B2 (en) * 2017-10-31 2019-12-24 Salesforce.Com, Inc. System and method for third party application enablement
CN107590662B (zh) * 2017-11-03 2021-01-15 中国银行股份有限公司 一种调用网银系统的认证方法及认证服务器、系统
CN110704830A (zh) * 2018-07-09 2020-01-17 上海铠射信息科技有限公司 一种新型的终端数字证书授权使用的方法与装置
CN109639433B (zh) * 2018-12-05 2020-06-30 珠海格力电器股份有限公司 多个系统账户之间相互授权的方法、存储介质和处理器
CN109672675B (zh) * 2018-12-20 2021-06-25 成都三零瑞通移动通信有限公司 一种基于OAuth2.0的密码服务中间件的WEB认证方法
CN110175466B (zh) * 2019-04-16 2024-03-08 平安科技(深圳)有限公司 开放平台的安全管理方法、装置、计算机设备及存储介质
US11405207B2 (en) 2019-07-31 2022-08-02 The Toronto-Dominion Bank Dynamic implementation and management of hash-based consent and permissioning protocols
CN110730174B (zh) * 2019-10-16 2021-12-31 东软集团股份有限公司 一种网络访问控制方法、装置、设备及介质
CN111222868A (zh) * 2019-11-19 2020-06-02 广东小天才科技有限公司 一种基于家教设备的代付方法和家教设备、支付系统
CN111159736B (zh) * 2019-12-25 2022-03-25 联通(广东)产业互联网有限公司 一种区块链的应用管控方法及系统
US11757635B2 (en) * 2020-03-13 2023-09-12 Mavenir Networks, Inc. Client authentication and access token ownership validation
US11687656B2 (en) 2020-04-16 2023-06-27 American Express Travel Related Services Company, Inc. Secure application development using distributed ledgers
CN111835722A (zh) * 2020-06-10 2020-10-27 郑州泰来信息科技有限公司 安全的OAuth代理与可信域混合的授权方法
CN112291198B (zh) * 2020-09-29 2024-06-28 西安万像电子科技有限公司 通信方法及终端设备、服务器
KR102651448B1 (ko) * 2021-03-16 2024-03-25 포항공과대학교 산학협력단 블록 체인 기반 탈중앙화 인가 프로토콜 방법 및 장치
CN113726728B (zh) * 2021-07-13 2023-10-17 上海数慧系统技术有限公司 一种安全防护系统及应用系统改造处理方法、装置
US11785018B2 (en) 2021-07-29 2023-10-10 Bank Of America Corporation Mobile device management system for securely managing device communication
CN113612770A (zh) * 2021-08-02 2021-11-05 中国科学院深圳先进技术研究院 一种跨域安全交互方法、系统、终端以及存储介质
CN114070589B (zh) * 2021-11-03 2024-10-15 浪潮云信息技术股份公司 一种简化JWT后的OAuth2.0认证方法
CN114488974B (zh) * 2021-12-31 2023-11-03 江苏扬子净化工程有限公司 一种基于洁净车间plc控制的集成管理系统
CN114465806A (zh) * 2022-02-21 2022-05-10 深圳市世强元件网络有限公司 多方数据接入安全管理方法及系统
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user
CN115174200B (zh) * 2022-06-30 2024-03-08 青岛海信网络科技股份有限公司 一种第三方认证方法、装置及设备
CN115695018B (zh) * 2022-11-02 2024-07-23 四川启睿克科技有限公司 基于jwt的对接第三方可配置认证方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (ja) * 1998-03-31 1999-10-15 Secom Joho System Kk ユーザ認証機能付き通信システム及びユーザ認証方法
JP2000339153A (ja) * 1999-05-25 2000-12-08 Nippon Telegr & Teleph Corp <Ntt> プログラム検証方法及び装置及びプログラム検証プログラムを格納した記憶媒体
JP2003318889A (ja) * 2002-04-26 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置
JP2009175923A (ja) * 2008-01-23 2009-08-06 Dainippon Printing Co Ltd プラットフォーム完全性検証システムおよび方法
WO2011047722A1 (en) * 2009-10-22 2011-04-28 Telefonaktiebolaget Lm Ericsson (Publ) Method for managing access to protected resources in a computer network, physical entities and computer programs therefor

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4493653B2 (ja) * 2003-06-24 2010-06-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散型アプリケーション環境においてサーバを認証するための方法およびシステム
US20050108575A1 (en) * 2003-11-18 2005-05-19 Yung Chong M. Apparatus, system, and method for faciliating authenticated communication between authentication realms
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
US20060282886A1 (en) * 2005-06-09 2006-12-14 Lockheed Martin Corporation Service oriented security device management network
CN100461690C (zh) * 2005-07-21 2009-02-11 华为技术有限公司 通用网管安全管理系统及其方法
CN100596361C (zh) * 2006-04-26 2010-03-31 北京华科广通信息技术有限公司 信息系统或设备的安全防护系统及其工作方法
US8453234B2 (en) * 2006-09-20 2013-05-28 Clearwire Ip Holdings Llc Centralized security management system
CN101207485B (zh) * 2007-08-15 2010-12-01 深圳市同洲电子股份有限公司 对用户进行统一身份安全认证的系统及其方法
CN101136928B (zh) * 2007-10-19 2012-01-11 北京工业大学 一种可信网络接入控制系统
KR20090109154A (ko) * 2008-04-15 2009-10-20 한국전자통신연구원 악성코드 차단 장치, 시스템 및 방법
US8683554B2 (en) * 2009-03-27 2014-03-25 Wavemarket, Inc. System and method for managing third party application program access to user information via a native application program interface (API)
ES2853200T3 (es) * 2009-05-29 2021-09-15 Alcatel Lucent Sistema y procedimiento para acceder a contenido digital privado
CA2768417C (en) * 2009-07-17 2018-04-24 Boldstreet Inc. Hotspot network access system and method
CN101719238B (zh) * 2009-11-30 2013-09-18 中国建设银行股份有限公司 一种统一身份管理、认证和授权的方法及系统
KR20120005363A (ko) * 2010-07-08 2012-01-16 정보통신산업진흥원 전자문서 유통 시스템 및 전자문서 유통 방법
EP2684151B1 (en) * 2011-03-08 2018-09-12 Telefonica S.A. A method for providing authorized access to a service application in order to use a protected resource of an end user
CN102185715A (zh) * 2011-05-04 2011-09-14 成都勤智数码科技有限公司 一种分布式数据集中的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (ja) * 1998-03-31 1999-10-15 Secom Joho System Kk ユーザ認証機能付き通信システム及びユーザ認証方法
JP2000339153A (ja) * 1999-05-25 2000-12-08 Nippon Telegr & Teleph Corp <Ntt> プログラム検証方法及び装置及びプログラム検証プログラムを格納した記憶媒体
JP2003318889A (ja) * 2002-04-26 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置
JP2009175923A (ja) * 2008-01-23 2009-08-06 Dainippon Printing Co Ltd プラットフォーム完全性検証システムおよび方法
WO2011047722A1 (en) * 2009-10-22 2011-04-28 Telefonaktiebolaget Lm Ericsson (Publ) Method for managing access to protected resources in a computer network, physical entities and computer programs therefor

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3261317A1 (en) 2016-06-23 2017-12-27 Ricoh Company, Ltd. Authentication system, communication system, and authentication and authorization method

Also Published As

Publication number Publication date
CN103067338B (zh) 2017-04-19
KR20140084217A (ko) 2014-07-04
CN103067338A (zh) 2013-04-24
EP2770662A1 (en) 2014-08-27
EP2770662A4 (en) 2015-09-16
US20140245417A1 (en) 2014-08-28
WO2013056674A1 (zh) 2013-04-25

Similar Documents

Publication Publication Date Title
JP2014531163A (ja) サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム
JP2014531163A5 (ja)
CN108684041B (zh) 登录认证的系统和方法
CN101534196B (zh) 用于安全调用rest api的方法和装置
JP5688087B2 (ja) 信頼できる認証およびログオンのための方法および装置
US8196186B2 (en) Security architecture for peer-to-peer storage system
KR101434769B1 (ko) 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치
US7937749B2 (en) Method and system for managing network
JP2022545627A (ja) 分散化されたデータ認証
US11184336B2 (en) Public key pinning for private networks
KR102177794B1 (ko) 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템
US20140281493A1 (en) Provisioning sensitive data into third party
KR20190114434A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR20180111933A (ko) 데이터 전송 방법, 데이터의 사용 제어 방법 및 암호 장치
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
JP2015194879A (ja) 認証システム、方法、及び提供装置
CN110929231A (zh) 数字资产的授权方法、装置和服务器
CN104767740A (zh) 用于来自用户平台的可信认证和接入的方法
CN117278988A (zh) 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
Chang et al. Secure intra-device communication protocol between applications on a smart device
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
Aiemworawutikul et al. Vulnerability Assessment in National Identity Services
Nosouhi et al. Towards Availability of Strong Authentication in Remote and Disruption-Prone Operational Technology Environments

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150311

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150317

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150615

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20150916

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160308

A045 Written measure of dismissal of application [lapsed due to lack of payment]

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20160726