JP6055934B2 - 双方向許可システム、クライアントおよび方法 - Google Patents

双方向許可システム、クライアントおよび方法 Download PDF

Info

Publication number
JP6055934B2
JP6055934B2 JP2015559411A JP2015559411A JP6055934B2 JP 6055934 B2 JP6055934 B2 JP 6055934B2 JP 2015559411 A JP2015559411 A JP 2015559411A JP 2015559411 A JP2015559411 A JP 2015559411A JP 6055934 B2 JP6055934 B2 JP 6055934B2
Authority
JP
Japan
Prior art keywords
subsystem
service
temporary
client
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015559411A
Other languages
English (en)
Other versions
JP2016509319A (ja
Inventor
先 劉
先 劉
Original Assignee
中興通訊股▲分▼有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中興通訊股▲分▼有限公司 filed Critical 中興通訊股▲分▼有限公司
Publication of JP2016509319A publication Critical patent/JP2016509319A/ja
Application granted granted Critical
Publication of JP6055934B2 publication Critical patent/JP6055934B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Description

本発明は、インターネットにおける許可技術に関し、特に双方向許可システム、クライアントおよび方法に関する。
クライアントは、サーバ側で保護されているユーザリソースにアクセスしたいと、例えばユーザ名およびパスワードなどのユーザのID資格を使用する必要がある。第三者のクライアントがサービス側で保護されているユーザリソースにアクセスしようとする場合、ユーザのID資格を第三者のクライアントに提供する必要があり、このようにして、深刻な安全上の問題が存在する。
オープン許可(OAuth:Open Auth)プロトコルは、上記問題を解決するために、ユーザリソースの許可のために安全、オープン、簡易な基準を提供し、1つの中間層によりクライアントとユーザ許可過程を分離させ、第三者のクライアントがユーザの資格情報に触れない場合で当該ユーザリソース許可の取得を請求できる。OAuthプロトコルにおいてリソース所有者、クライアント、リソースサーバ、許可サーバを含む4つの役が定義される。リソース所有者は、リソースを持つユーザであって、自分のリソースへのクライアントのアクセスを許可できる。クライアントは、保護されているリソースにアクセスするクライアントプログラムである。リソースサーバは、リソース所有者のリソースを保存するサーバであって、リソース所有者により許可されなければ、クライアントがアクセスすることができない。許可サーバは、リソース所有者のユーザ資格を受信した後にアクセストークンを生成してクライアントに送信することを担当する。
OAuthプロトコルにより、第三者のクライアントは、ユーザからの許可を受信した後に、リソースサーバ側で保護されているユーザリソースにアクセスすることができる。しかし、OAuthプロトコルが一方向許可プロトコルであるので、第三者のクライアントによってリソースサーバへ一方的な許可を要求しかできなく、クライアントから第三者のリソースサーバへの許可要求を同時に満たすことができない。例えば、クライアントがマイクロブログであり、第三者のクライアントがブログである場合、リソースサーバには、保護されているユーザのマイクロブログ情報であり、第三者のリソースサーバには、保護されているユーザのブログ情報であり、ブログクライアントは、リソース所有者により許可された後に、リソースサーバ側のマイクロブログ情報にアクセスできるが、マイクロブログクライアントは、第三者のリソースサーバ側のブログ情報にアクセスできない。
これを鑑みて、本発明の実施形態の主な目的は、両側のクライアントが同時に保護された相手側のリソースにアクセスすることができるように、双方向許可システム、クライアントおよび方法を提供することにある。
上記目的を達成するために、本発明の実施形態の技術的解決手段は、以下のように実現される。
双方向許可システムは、
第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格をそれぞれ取得し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、そして第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて、第二のサービス提供サブシステムのリソースを取得し、および第一の一時的な資格を第二のサービス提供サブシステムに送信するように構成される第一のサービス提供サブシステムと、
第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における識別子を変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供サブシステムのリソースを取得するように構成される第二のサービス提供サブシステムと、
第一のサービス提供サブシステムから送信された第二の一時的な資格、第二のサービス提供サブシステムから送信された第一の一時的な資格をそれぞれ受信し、第二の一時的な資格、第一の一時的な資格をそれぞれ許可し、そして許可された第二の許可資格、第一の許可資格をそれぞれ第一のサービス提供サブシステム、第二のサービス提供サブシステムに送信するように構成されるユーザ端末とを含む。
上記の解決手段において、前記第一のサービス提供サブシステムは、
第一のオープン許可(OAuth)サーバ、第二のサービス提供サブシステムへ一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のサービス提供サブシステムからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のサービス提供サブシステムに送信して認証し、第二のサービス提供サブシステムで認証に成功した後、第二のサービス提供サブシステムから提供されたリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のサービス提供サブシステムに送信してクライアント識別子を変更するように構成される第一のクライアントと、
第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のサービス提供サブシステムから送信された第一の許可資格を受信し、第一のアクセストークンを第二のサービス提供サブシステムに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成される第一のOAuthサーバと、
第二のサービス提供サブシステムから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のサービス提供サブシステムから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のサービス提供サブシステムに提供してアクセスするように構成される第一のリソースサーバとを含む。
上記の解決手段において、前記第二のサービス提供サブシステムは、
第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のサービス提供サブシステムに送信して認証し、第一のサービス提供サブシステムで認証に成功した後に、第一のサービス提供サブシステムから提供された第一のサービスリソースにアクセスするように構成される第二のクライアントと、
第一のサービス提供サブシステムから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のサービス提供サブシステムに返し、第一のサービス提供サブシステムから送信された第二の許可資格を受信し、第二のアクセストークンを第一のサービス提供サブシステムに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成される第二のOAuthサーバと、
第一のサービス提供サブシステムから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のサービス提供サブシステムから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のサービス提供サブシステムに提供してアクセスするように構成される第二のリソースサーバとを含む。
上記の解決手段において、前記第二のサービス提供サブシステムは、第二のクライアント、第二のOAuthサーバ、第二のリソースサーバを含み、
前記第一のクライアントは、第一のOAuthサーバ、第二のOAuthサーバに一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のOAuthサーバに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のリソースサーバに送信して認証し、第二のリソースサーバで認証に成功した後に、第二のリソースサーバから提供された第二のサービスリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のクライアントに送信するように構成され、
前記第一のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のクライアントから送信された第一の許可資格を受信し、第一のアクセストークンを第二のクライアントに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成され、
前記第一のリソースサーバが第二のクライアントから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のクライアントから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のクライアントに提供してアクセスするように構成され、
前記第二のクライアントは、第一のOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のOAuthサーバに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のリソースサーバに送信して認証し、第一のリソースサーバで認証に成功した後に、第一のリソースサーバから提供された第一のサービスリソースにアクセスするように構成され、
前記第二のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のクライアントに返し、第一のクライアントから送信された第二の許可資格を受信し、第二のアクセストークンを第一のクライアントに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成され、
前記第二のリソースサーバは、第一のクライアントから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のクライアントから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のクライアントに提供してアクセスするように構成される。
上記の解決手段において、前記一時的な資格要求命令は、OAuthプロトコルによって定義された一時的な資格要求メッセージで搬送される。
クライアントであって、サービス提供サブシステムに設置されており、前記サービス提供サブシステムがOAuthサーバ、リソースサーバをさらに含み、当該クライアントが一時的な資格取得モジュール、アクセストークン取得モジュール、リソース取得モジュールを含み、
前記一時的な資格取得モジュールは、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバに一時的な資格要求命令をそれぞれ送信し、本側のサービス提供サブシステムのOAuthサーバから返された第一の一時的な資格、他側のサービス提供サブシステムのOAuthサーバから返された第二の一時的な資格を受信し、第一の一時的な資格を他側のサービス提供サブシステムのクライアントに送信するように構成され、
前記アクセストークン取得モジュールは、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第二のアクセストークンを引き換えるように構成され、
前記リソース取得モジュールは、第二のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される。
クライアントであって、サービス提供サブシステムに設置されており、前記サービス提供サブシステムがOAuthサーバ、リソースサーバをさらに含み、当該クライアントが一時的な資格取得モジュール、アクセストークン取得モジュール、リソース取得モジュールを含み、
前記一時的な資格取得モジュールは、他側のサービス提供サブシステムのOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における他側のサービス提供サブシステムのクライアント識別子を本側のサービス提供サブシステムのクライアント識別子に変更するように構成され、
前記アクセストークン取得モジュールは、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第一のアクセストークンを引き換えるように構成され、
前記リソース取得モジュールは、第一のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される。
本発明の実施形態による双方向許可方法は、
第一のサービス提供サブシステムが、第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得し、第二の一時的な資格をユーザ端末に送信して許可し、第二の許可資格を取得し、第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて第二のサービス提供サブシステムのリソースを取得し、第一の一時的な資格を第二のサービス提供サブシステムに送信して識別子を変更することと、
第二のサービス提供サブシステムが、変更された第一の一時的な資格をユーザ端末に送信して許可し、第一の許可資格を取得し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供システムのリソースを取得することとを含む。
上記の解決手段において、前記第一のサービス提供サブシステムが第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得することは、具体的に、第一のサービス提供サブシステムにおける第一のクライアントが第一のサービス提供サブシステムにおける第一のOAuthサーバ、第ニのサービス提供サブシステムにおける第二のOAuthサーバに一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバから返された第一の一時的な資格、第二の一時的な資格を受信することである。
上記の解決手段において、前記第一の一時的な資格の許可は、第一のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第一のサービス提供サブシステムに登録したユーザ名とパスワードであり、
前記第二の一時的な資格の許可は、第二のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第二のサービス提供サブシステムに登録したユーザ名とパスワードである。
本発明の実施形態における双方向許可システム、クライアントおよび方法において、第一のサービス提供サブシステムが自体の第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格をそれぞれ取得し、第二の一時的な資格をユーザ端末に送信して許可し、そして許可された第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて第二のサービス提供サブシステムのリソースを取得し、第一の一時的な資格を第二のサービス提供サブシステムに送信して識別子を変更し、第二のサービス提供サブシステムが変更後の第一の一時的な資格をユーザ端末に送信して許可し、そして許可された第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供サブシステムの第一のサービスリソースを取得する。このようにして、第一のサービス提供サブシステムが第二のサービス提供サブシステムのリソースにアクセスするとともに、第二のサービス提供サブシステムが第一のサービス提供サブシステムのリソースにアクセスすることもできることを実現できる。
本発明の実施形態による双方向許可システムの構成構造図1である。 本発明の実施形態による双方向許可システムの構成構造図2である。 本発明の実施形態による双方向許可システムにおけるクライアントの構成構造図である。 本発明の実施形態による双方向許可方法のプローチャートである。
本発明の実施形態の特徴と技術内容をより詳しく理解することができるように、以下に図面を参照して本発明の実施形態の実現を詳しく説明し、添付された図面が説明を参照するためだけであるが、本発明の実施形態を限定することに用いられるものではない。
図1は本発明の実施形態による双方向許可システムの構成構造図1である。図1に示すように、当該システムは、第一のサービス提供サブシステム11、第二のサービス提供サブシステム12、およびユーザ端末13を含む。
前記第一のサービス提供サブシステム11は、第一のサービス提供サブシステム11の第一の一時的な資格(temporary credential)、第二のサービス提供サブシステム12の第二の一時的な資格をそれぞれ取得し、第二の一時的な資格をユーザ端末13に送信して許可し、ユーザ端末13から返された第二の許可資格を受信し、そして第二の許可資格を第二のサービス提供サブシステム12に送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて、第二のサービス提供サブシステム12のリソースを取得し、および第一の一時的な資格を第二のサービス提供サブシステム12に送信するように構成される。
前記第二のサービス提供サブシステム12は、第一のサービス提供サブシステム11から送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における識別子を変更し、変更された第一の一時的な資格をユーザ端末13に送信して許可し、ユーザ端末13から返された第一の許可資格を受信し、第一の許可資格を第一のサービス提供サブシステム11に送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供サブシステム11のリソースを取得するように構成される。
前記ユーザ端末13は、第一のサービス提供サブシステム11から送信された第二の一時的な資格、第二のサービス提供サブシステム12から送信された第一の一時的な資格をそれぞれ受信し、第二の一時的な資格、第一の一時的な資格をそれぞれ許可し、そして許可された第二の許可資格、第一の許可資格をそれぞれ第一のサービス提供サブシステム11、第二のサービス提供サブシステム12に送信するように構成される。
実際の応用において、前記双方向許可システムにおける第一のサービス提供サブシステム11、第二のサービス提供サブシステム12は、サービス機能を提供するサーバにより実現されることができ、ユーザ端末13は、いずれかの形態の端末、例えば携帯電話、コンピューターなどにより実現されることができる。
図2は本発明の実施形態による双方向許可システムの構成構造図2である。図2に示すように、第一のサービス提供サブシステムは、第一のクライアント111、第一のオープン許可(OAuth)サーバ112、第一のリソースサーバ113を含み、第二のサービス提供サブシステムは、第二のクライアント121、第二のOAuthサーバ122、第二のリソースサーバ123を含む。
前記第一のクライアント111は、第一のOAuthサーバ112、第二のサービス提供サブシステムへ一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ112、第二のサービス提供サブシステムからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末13に送信して許可し、ユーザ端末13から返された第二の許可資格を受信し、前記第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のサービス提供サブシステムに送信して認証し、第二のサービス提供サブシステムで認証に成功した後、第二のサービス提供サブシステムから提供されたリソースにアクセスするように構成され、および第一の一時的な資格を第二のサービス提供サブシステムに送信するように構成される。
ここで、第二のサービス提供サブシステムへ一時的な資格要求命令を送信し、第二のサービス提供サブシステムから返された第二の一時的な資格を受信することは、具体的に、第二のサービス提供サブシステムにおける第二のOAuthサーバ122へ一時的な資格要求命令を送信し、第二の第二のサービス提供サブシステムにおける第二のOAuthサーバ122から返された第二の一時的な資格を受信することである。
ここで、第一の一時的な資格を第二のサービス提供サブシステムに送信してクライアント識別子を変更することは、具体的に、第一の一時的な資格を第二のサービス提供サブシステムにおける第二のクライアント121に送信してクライアント識別子を変更することである。
ここで、前記第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換えることは、具体的に、前記第二の許可資格を第二のサービス提供サブシステムにおける第二のOAuthサーバ122に送信して第二のアクセストークンを引き換えることである。
ここで、第二のアクセストークンを第二のサービス提供サブシステムに送信して認証し、第二のサービス提供サブシステムで認証に成功した後に、第二のサービス提供サブシステムから提供された第二のサービスリソースにアクセスすることは、具体的に、第二のアクセストークンを第二のサービス提供サブシステムにおける第二のリソースサーバ123に送信して認証し、第二のサービス提供サブシステムにおける第二のリソースサーバ123で認証に成功した後に、第二のサービス提供サブシステムにおける第二のリソースサーバ123から提供された第二のサービスリソースにアクセスすることである。
前記第一のOAuthサーバ112は、第一のクライアント111から送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアント111に返し、第二のサービス提供サブシステムから送信された第一の許可資格を受信し、第一のアクセストークンを第二のサービス提供サブシステムに返し、そして第一のアクセストークンを第一のリソースサーバ113に送信して認証資格とするように構成される。
ここで、前記第二のサービス提供サブシステムは、具体的に第二のサービス提供サブシステムにおける第二のクライアント121である。
前記第一のリソースサーバ113は、第二のサービス提供サブシステムから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバ112から送信された第一のアクセストークンに基づいて第二のサービス提供サブシステムから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のサービス提供サブシステムに提供してアクセスするように構成される。
ここで、前記第二のサービス提供サブシステムは、具体的に第二のサービス提供サブシステムにおける第二のクライアント121である。
ここで、前記認証は、2つのアクセストークンを比較し、2つのアクセストークンが同じであると、認証に成功し、2つのアクセストークンが異なると、認証に失敗することである。
上記の解決手段において、前記一時的な資格要求命令がオープン許可(OAuth)プロトコルによって定義された一時的な資格要求メッセージで搬送され、前記メッセージはクライアント識別子を含み、好ましくは、第一のサービス提供サブシステムから送信された一時的な資格要求命令であるので、前記一時的な資格要求命令は第一のクライアント識別子を含む。
上記の解決手段において、前記第一の一時的な資格、第二の一時的な資格がOAuthプロトコルによって定義された応答メッセージで伝送され、前記メッセージは第一のクライアント識別子を含む。そのため、第一の一時的な資格が第二のクライアント121に送信される場合、それに含まれている第一のクライアント識別子を第二のクライアント識別子に変更する必要がある。
上記の解決手段において、前記一時的な資格の要求と取得は、ハイパーテキスト伝送プロトコル(HTTP:HyperText Transport Protocol)方式を使用し、且つセキュア-ソケット-レイヤー(SSL:Secure Sockets Layer)または同じ安全レベルの方式を使用して一時的な資格の安全性を保証する。
上記の解決手段において、前記第二の一時的な資格の認可は、具体的に、第二のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記第一の一時的な資格の認可は、具体的に、第一のサービス提供サブシステムのユーザ名とパスワードを入力することである。
前記第二のクライアント121は、第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末13に送信して許可し、ユーザ端末13から返された第一の許可資格を受信し、前記第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のサービス提供サブシステムに送信して認証し、第一のサービス提供サブシステムで認証に成功した後に、第一のサービス提供サブシステムから提供された第一のサービスリソースにアクセスするように構成される。
ここで、第一のサービス提供サブシステムから送信された第一の一時的な資格を受信することは、具体的に、第一のサービス提供サブシステムにおける第一のクライアント111から送信された第一の一時的な資格を受信することである。
ここで、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換えることは、具体的に、第一の許可資格を第一のサービス提供サブシステムにおける第一のOAuthサーバ112に送信して第一のアクセストークンを引き換えることである。
ここで、第一のアクセストークンを第一のサービス提供サブシステムに送信して認証し、第一のサービス提供サブシステムで認証に成功した後に、第一のサービス提供サブシステムから提供された第一のサービスリソースにアクセスすることは、具体的に、第一のアクセストークンを第一のサービス提供サブシステムにおける第一のリソースサーバ113に送信して認証し、第一のサービス提供サブシステムにおける第一のリソースサーバ113で認証に成功した後に、第一のサービス提供サブシステムにおける第一のリソースサーバ113から提供される第一のサービスリソースにアクセスすることである。
前記第二のOAuthサーバ122は、第一のサービス提供サブシステムから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のサービス提供サブシステムに返し、第一のサービス提供サブシステムから送信された第二の許可資格を受信し、第二のアクセストークンを第一のサービス提供サブシステムに返し、そして前記第二のアクセストークンを第二のリソースサーバ123に送信して認証資格とするように構成される。
ここで、前記第一のサービス提供サブシステムは、具体的に第一のサービス提供サブシステムにおける第一のクライアント111である。
前記第二のリソースサーバ123は、第一のサービス提供サブシステムから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバ122から送信された第二のアクセストークンに基づいて第一のサービス提供サブシステムから送信された第二のサービストークンを認証し、認証に成功した後に第二のサービスリソースを第一のサービス提供サブシステムに提供してアクセスするように構成される。
ここで、前記第一のサービス提供サブシステムは、具体的に第一のサービス提供サブシステムにおける第一のクライアント111である。
上記の解決手段において、前記第一の一時的な資格は第一のリソースサーバに対する第一のクライアントの一時的な資格であり、第二の一時的な資格は第二のリソースサーバに対する第一のクライアントの一時的な資格である。第一の一時的な資格に対してクライアント識別子を変更した後、第一の一時的な資格は第一のリソースサーバに対する第二のクライアントの一時的な資格となり、それに応じて、第一の許可資格は第一のリソースサーバに対する第二のクライアントの許可資格である。第二の許可資格は第二のリソースサーバに対する第一のクライアントの許可資格であり、それに応じて、第一のアクセストークンは第一のリソースサーバに対する第二のクライアントのアクセストークンであり、第二のアクセストークンは第二のリソースサーバに対する第一のクライアントのアクセストークンである。
上記の解決手段において、第一のサービス提供サブシステムを開始側のサービス提供サブシステムとし、第二のサービス提供サブシステムを受信側のサービス提供サブシステムとする。実際の適用において、第二のサービス提供サブシステムを開始側のサービス提供サブシステムとし、第一のサービス提供サブシステムを受信側のサービス提供サブシステムとすることもできる。それに応じて、第二のサービス提供サブシステムに含まれる第二のクライアント121、第二のOAuthサーバ122、第二のリソースサーバ123がそれぞれ第一のクライアント111、第一のOAuthサーバ112、第一のリソースサーバ113により実行される機能を実行し、第一のサービス提供サブシステムに含まれる第一のクライアント111、第一のOAuthサーバ112、第一のリソースサーバ113がそれぞれ第二のクライアント121、第二のOAuthサーバ122、第二のリソースサーバ123により実行される機能を実行する。
実際の適用において、前記第一のサービス提供サブシステムにおける第一のクライアント111、第一のOAuthサーバ112は、第一のサービス提供サブシステムにおける中央プロセッサ(CPU:Central Processing Unit)、またはデジタル信号プロセッサ(DSP:Digital Signal Processor)、プログラマブルゲートアレイ(FPAG:Field−Programmable Gate Array)により実現されることができ、第一のリソースサーバ113は、第一のサービス提供サブシステムにおけるメモリにより実現されることができる。
前記第二のサービス提供サブシステムにおける第二のクライアント121、第二のOAuthサーバ122は、第二のサービス提供サブシステムにおけるCPU、またはDSP、またはFPGAにより実現されることができ、第二のリソースサーバ123は、第二のサービス提供サブシステムにおけるメモリにより実現されることができる。
図3は、本発明の実施形態による双方向許可システムにおけるクライアントの構成構造図である。当該クライアントは、サービス提供サブシステムに設置され、前記サービス提供サブシステムは、クライアント、OAuthサーバ、リソースサーバを含み、前記クライアントは、一時的な資格取得モジュール31、アクセストークン取得モジュール32、リソース取得モジュール33を含む。ここで、クライアントが開始側のクライアントである場合は、
前記一時的な資格取得モジュール31は、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバへ一時的な資格要求命令をそれぞれ送信し、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第一の一時的な資格を他側のサービス提供サブシステムのクライアントに送信するように構成され、
前記アクセストークン取得モジュール32は、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第二のアクセストークンを引き換えるように構成され、
前記リソース取得モジュール33は、第二のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される。
クライアントが受信側のクライアントである場合は、
前記一時的な資格取得モジュール31は、他側のサービス提供サブシステムのOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における他側のサービス提供サブシステムのクライアント識別子を本側のサービス提供サブシステムのクライアント識別子に変更するように構成され、
前記アクセストークン取得モジュール32は、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第一のアクセストークンを引き換えるように構成され、
前記リソース取得モジュール33は、第一のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのソースサーバから提供されたリソースにアクセスするように構成される。
実際の適用において、前記クライアントにおける一時的な資格取得モジュール31、アクセストークン取得モジュール32、リソース取得モジュール33は、クライアントにおけるCPU、またはDSP、またはFPGAにより実現されることができる。
図4は本発明の実施形態による双方向許可方法のフローチャートであり、図4に示すように、当該方法は、以下のステップを含む。
ステップ401において、第一のサービス提供サブシステムは、第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得し、第二の一時的な資格をユーザ端末に送信して許可し、第二の許可資格を取得し、第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて第二のサービス提供サブシステムのリソースを取得し、第一の一時的な資格を第二のサービス提供サブシステムに送信して識別子を変更するように構成される。
ここで、前記第一のサービス提供サブシステムが第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得することは、具体的に、第一のサービス提供サブシステムにおける第一のクライアントが第一のサービス提供サブシステムにおける第一のOAuthサーバ、第二のサービス提供サブシステムにおける第二のOAuthサーバへ一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバから返された第一の一時的な資格、第二の一時的な資格を受信することである。
上記の解決手段において、前記一時的な資格要求命令がOAuthプロトコルによって定義されたメッセージで実現されることができ、前記メッセージはクライアント識別子を含み、好ましくは、第一のサービス提供サブシステムから送信された一時的な資格要求命令であるので、前記一時的な資格要求命令は第一のクライアント識別子、例えばdpf43f3p214k3103を含む。
上記の解決手段において、前記第一の一時的な資格、第二の一時的な資格がOAuthプロトコルによって定義された応答メッセージで伝送され、前記応答メッセージは第一のクライアント識別子と第一の一時的な資格、または第一のクライアント識別子と第二の一時的な資格、例えばhh5s93j4hdidpolaを含む。
上記の解決手段において、前記一時的な資格の要求および取得は、HTTP方式を使用し、且つSSLまたは同じ安全レベルの方式を使用して伝送して一時的な資格の安全を保証する。
上記の解決手段において、第二の一時的な資格の許可は、具体的に、第二のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第二のサービス提供サブシステムに登録したユーザ名とパスワードである。
上記の解決手段において、前記第二のアクセストークンに基づいて第二のサービス提供サブシステムにおける第二のサービスリソースを取得することは、具体的に、第二のアクセストークンを第二のサービス提供サブシステムに送信して認証し、第二のサービス提供サブシステムで認証に成功した後に、第二のサービス提供サブシステムから提供された第二のサービスリソースにアクセスすることを含む。
ここで、前記第一の一時的な資格は第一のクライアント識別子を含む。そのため、第一の一時的な資格が第二のクライアントへ送信された場合、それに含まれている第一のクライアント識別子を第二のクライアント識別子に変更する必要がある。
ステップ402において、第二のサービス提供サブシステムは、変更された第一の一時的な資格をユーザ端末に送信して許可し、第一の許可資格を取得し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供サブシステムのリソースを取得する。
上記の解決手段において、前記第一の一時的な資格の許可は、具体的に、第一のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第一のサービス提供サブシステムに登録したユーザ名とパスワードである。
上記の解決手段において第一のサービス提供サブシステムを開始側のサービス提供サブシステムとし、第二のサービス提供サブシステムを受信側のサービス提供サブシステムとする。実際の適用において、第二のサービス提供サブシステムを開始側のサービス提供サブシステムとし、第一のサービス提供サブシステムを受信側のサービス提供サブシステムとすることもでき、それに応じて、第二のサービス提供サブシステムがステップ401を実行し、第一のサービス提供サブシステムがステップ402を実行する。
以下に具体的な実施形態を参照して本発明による双方向許可方法をさらに説明する。
ビデオサイトとマイクロブログサイトが本発明の実施形態における2つのサービス提供サブシステムであると仮定する。ユーザ端末は、ビデオサイトにユーザ名とパスワードを登録し、マイクロブログサイトにもユーザ名とパスワードを登録した。ビデオサイトとマイクロブログサイトがそれぞれのクライアント、OAuthサーバおよびリソースサーバを含み、ビデオサイト側のリソースサーバがユーザ端末のビデオリソースを記憶するように構成され、マイクロブログサイト側のリソースサーバがユーザ端末のマイクロブログリソースを記憶するように構成される。
ユーザ端末がそのビデオサイトでのリソースをマイクロブログサイトに共有するとともに、そのマイクロブログサイトでのリソースをビデオサイトに共有する場合、マイクロブログサイト側のクライアントは、マイクロブログサイト側のOAuthサーバおよびビデオサイト側のOAuthサーバへ一時的な資格要求命令を送信する必要がある。マイクロブログサイト側のOAuthサーバが第一の一時的な資格をマイクロブログサイト側のクライアントに返し、ビデオサイト側のOAuthサーバが第二の一時的な資格をマイクロブログサイト側のクライアントに返す。マイクロブログサイト側のクライアントが前記第二の一時的な資格をユーザ端末に送信し、ユーザ端末がユーザ名とパスワードを入力するように提示する。ユーザ端末がそのビデオサイト側に登録したユーザ名とパスワードを入力した後、第二の許可資格をマイクロブログサイト側のクライアントに返し、マイクロブログサイト側のクライアントが前記第二の許可資格をビデオサイト側のOAuthサーバに送信して第二のアクセストークンを引き換える。このようにして、マイクロブログサイト側のクライアントが前記第二のアクセストークンによりビデオサイト側のリソースを共有することができる。それと同時にマイクロブログサイト側のクライアントが第一の一時的な資格をビデオサイト側のクライアントに送信し、ビデオサイト側のクライアントが第一の一時的な資格を変更してユーザ端末に送信し、そしてユーザ端末がユーザ名とパスワードを入力するように提示する。ユーザ端末がそのマイクロブログサイトに登録したユーザ名とパスワードを入力した後、第一の許可資格をビデオサイト側のクライアントに返し、ビデオサイト側のクライアントが前記第一の許可資格をマイクロブログサイト側のOAuthサーバに送信して第一のアクセストークンを引き換える。このようにして、ビデオサイト側のクライアントが前記第一のアクセストークンによりマイクロブログサイト側のリソースを共有する。
上述したように、本発明の実施形態による双方向許可方法により、ユーザ端末は、ビデオサイトのリソースをマイクロブログサイト側に共有するとともに、そのマイクロブログサイトでのリソースをビデオサイトに共有することができる。
上記は、本発明の好ましい実施形態に過ぎなく、本発明の保護範囲を限定することに用いられるものではない。
11・・・第一のサービス提供サブシステム、12・・・第二のサービス提供サブシステム、13・・・ユーザ端末、31・・・一時的な資格取得モジュール、32・・・アクセストークン取得モジュール、33・・・リソース取得モジュール、111・・・第一のクライアント、112・・・第一のOAuthサーバ、113・・・第一のリソースサーバ、121・・・第二のクライアント、122・・・第二のOAuthサーバ、123・・・第二のリソースサーバ。

Claims (10)

  1. 双方向許可システムであって、
    第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格をそれぞれ取得し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、そして第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて、第二のサービス提供サブシステムのリソースを取得し、および第一の一時的な資格を第二のサービス提供サブシステムに送信するように構成される第一のサービス提供サブシステムと、
    第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における識別子を変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供サブシステムのリソースを取得するように構成される第二のサービス提供サブシステムと、
    第一のサービス提供サブシステムから送信された第二の一時的な資格、第二のサービス提供サブシステムから送信された第一の一時的な資格をそれぞれ受信し、第二の一時的な資格、第一の一時的な資格をそれぞれ許可し、そして許可された第二の許可資格、第一の許可資格をそれぞれ第一のサービス提供サブシステム、第二のサービス提供サブシステムに送信するように構成されるユーザ端末とを含む、前記双方向許可システム。
  2. 前記第一のサービス提供サブシステムは、
    第一のオープン許可(OAuth:Open Auth)サーバ、第二のサービス提供サブシステムへ一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のサービス提供サブシステムからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のサービス提供サブシステムに送信して認証し、第二のサービス提供サブシステムで認証に成功した後、第二のサービス提供サブシステムから提供されたリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のサービス提供サブシステムに送信してクライアント識別子を変更するように構成される第一のクライアントと、
    第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のサービス提供サブシステムから送信された第一の許可資格を受信し、第一のアクセストークンを第二のサービス提供サブシステムに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成される第一のOAuthサーバと、
    第二のサービス提供サブシステムから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のサービス提供サブシステムから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のサービス提供サブシステムに提供してアクセスするように構成される第一のリソースサーバとを含むことを特徴とする
    請求項1に記載の双方向許可システム。
  3. 前記第二のサービス提供サブシステムは、
    第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のサービス提供サブシステムに送信して認証し、第一のサービス提供サブシステムで認証に成功した後に、第一のサービス提供サブシステムから提供された第一のサービスリソースにアクセスするように構成される第二のクライアントと、
    第一のサービス提供サブシステムから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のサービス提供サブシステムに返し、第一のサービス提供サブシステムから送信された第二の許可資格を受信し、第二のアクセストークンを第一のサービス提供サブシステムに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成される第二のOAuthサーバと、
    第一のサービス提供サブシステムから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のサービス提供サブシステムから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のサービス提供サブシステムに提供してアクセスするように構成される第二のリソースサーバとを含むことを特徴とする
    請求項1に記載の双方向許可システム。
  4. 前記第二のサービス提供サブシステムは、第二のクライアント、第二のOAuthサーバ、第二のリソースサーバを含み、
    前記第一のクライアントは、第一のOAuthサーバ、第二のOAuthサーバに一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のOAuthサーバに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のリソースサーバに送信して認証し、第二のリソースサーバで認証に成功した後に、第二のリソースサーバから提供された第二のサービスリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のクライアントに送信するように構成され、
    前記第一のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のクライアントから送信された第一の許可資格を受信し、第一のアクセストークンを第二のクライアントに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成され、
    前記第一のリソースサーバは、第二のクライアントから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のクライアントから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のクライアントに提供してアクセスするように構成され、
    前記第二のクライアントは、第一のOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のOAuthサーバに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のリソースサーバに送信して認証し、第一のリソースサーバで認証に成功した後に、第一のリソースサーバから提供された第一のサービスリソースにアクセスするように構成され、
    前記第二のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のクライアントに返し、第一のクライアントから送信された第二の許可資格を受信し、第二のアクセストークンを第一のクライアントに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成され、
    前記第二のリソースサーバは、第一のクライアントから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のクライアントから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のクライアントに提供してアクセスするように構成されることを特徴とする
    請求項2に記載の双方向許可システム。
  5. 前記一時的な資格要求命令は、OAuthプロトコルによって定義された一時的な資格要求メッセージで搬送されることを特徴とする
    請求項3に記載の双方向許可システム。
  6. サービス提供サブシステムに設置されているクライアントであって、
    前記サービス提供サブシステムがオープン許可(OAuth:Open Auth)サーバ、リソースサーバをさらに含み、当該クライアントが一時的な資格取得モジュール、アクセストークン取得モジュール、リソース取得モジュールを含み、
    前記一時的な資格取得モジュールは、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバに一時的な資格要求命令をそれぞれ送信し、本側のサービス提供サブシステムのOAuthサーバから返された第一の一時的な資格、他側のサービス提供サブシステムのOAuthサーバから返された第二の一時的な資格を受信し、第一の一時的な資格を他側のサービス提供サブシステムのクライアントに送信するように構成され、
    前記アクセストークン取得モジュールは、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第二のアクセストークンを引き換えるように構成され、
    前記リソース取得モジュールは、第二のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される、前記クライアント。
  7. サービス提供サブシステムに設置されているクライアントであって、
    前記サービス提供サブシステムがオープン許可(OAuth:Open Auth)サーバ、リソースサーバをさらに含み、当該クライアントが一時的な資格取得モジュール、アクセストークン取得モジュール、リソース取得モジュールを含み、
    前記一時的な資格取得モジュールは、他側のサービス提供サブシステムのOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における他側のサービス提供サブシステムのクライアント識別子を本側のサービス提供サブシステムのクライアント識別子に変更するように構成され、
    前記アクセストークン取得モジュールは、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第一のアクセストークンを引き換えるように構成され、
    前記リソース取得モジュールは、第一のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される、前記クライアント。
  8. 双方向許可方法であって、
    第一のサービス提供サブシステムが、第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得し、第二の一時的な資格をユーザ端末に送信して許可し、第二の許可資格を取得し、第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて第二のサービス提供サブシステムのリソースを取得し、第一の一時的な資格を第二のサービス提供サブシステムに送信して識別子を変更することと、
    第二のサービス提供サブシステムが、変更された第一の一時的な資格をユーザ端末に送信して許可し、第一の許可資格を取得し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供システムのリソースを取得することとを含む、前記双方向許可方法。
  9. 前記第一のサービス提供サブシステムが第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得することは、
    第一のサービス提供サブシステムにおける第一のクライアントが第一のサービス提供サブシステムにおける第一のオープン許可(OAuth:Open Auth)サーバ、第のサービス提供サブシステムにおける第二のOAuthサーバに一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバから返された第一の一時的な資格、第二の一時的な資格を受信することを含むことを特徴とする
    請求項8に記載の双方向許可方法。
  10. 前記第一の一時的な資格の許可は、第一のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第一のサービス提供サブシステムに登録したユーザ名とパスワードであり、
    前記第二の一時的な資格の許可は、第二のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第二のサービス提供サブシステムに登録したユーザ名とパスワードであることを特徴とする
    請求項またはに記載の双方向許可方法。
JP2015559411A 2013-03-01 2013-09-23 双方向許可システム、クライアントおよび方法 Active JP6055934B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310066662.4 2013-03-01
CN201310066662.4A CN104022875B (zh) 2013-03-01 2013-03-01 一种双向授权系统、客户端及方法
PCT/CN2013/084020 WO2014131279A1 (zh) 2013-03-01 2013-09-23 一种双向授权系统、客户端及方法

Publications (2)

Publication Number Publication Date
JP2016509319A JP2016509319A (ja) 2016-03-24
JP6055934B2 true JP6055934B2 (ja) 2016-12-27

Family

ID=51427511

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015559411A Active JP6055934B2 (ja) 2013-03-01 2013-09-23 双方向許可システム、クライアントおよび方法

Country Status (6)

Country Link
US (1) US9462003B2 (ja)
EP (1) EP2963884B1 (ja)
JP (1) JP6055934B2 (ja)
KR (1) KR101708587B1 (ja)
CN (1) CN104022875B (ja)
WO (1) WO2014131279A1 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9477818B1 (en) * 2014-01-02 2016-10-25 Google Inc. Leveraging a unification of content hosting and social networking
WO2016164000A1 (en) 2015-04-07 2016-10-13 Hewlett-Packard Development Company, L.P. Providing selective access to resources
US9838393B2 (en) * 2015-08-03 2017-12-05 Bank Of America Corporation Encapsulating commands within a control wrapper for split entry or approval
US9825963B2 (en) * 2015-08-03 2017-11-21 Bank Of America Corporation Encapsulating commands within a control wrapper for multiple level review
US9847994B1 (en) * 2015-09-30 2017-12-19 Surfdash System and method for providing a secure network
US11936716B2 (en) 2015-09-30 2024-03-19 Surfdash Inc. System and method for providing a secure network
CN209312029U (zh) 2017-06-04 2019-08-27 苹果公司 电子装置
CN109587187A (zh) * 2017-09-28 2019-04-05 华为技术有限公司 用于调用网络功能服务的方法、装置和系统
US11144620B2 (en) * 2018-06-26 2021-10-12 Counseling and Development, Inc. Systems and methods for establishing connections in a network following secure verification of interested parties
CN113132355A (zh) * 2018-10-29 2021-07-16 华为技术有限公司 服务授权方法及通信装置
CN109639433B (zh) * 2018-12-05 2020-06-30 珠海格力电器股份有限公司 多个系统账户之间相互授权的方法、存储介质和处理器
CN111464481B (zh) * 2019-01-18 2023-01-13 伊姆西Ip控股有限责任公司 用于服务安全保护的方法、设备和计算机可读介质
EP3935534B1 (en) * 2019-03-04 2023-07-05 Hitachi Vantara LLC Multi-way trust formation in a distributed system
US11153088B2 (en) * 2019-09-07 2021-10-19 Paypal, Inc. System and method for implementing a two-sided token for open authentication
US11522864B1 (en) * 2019-09-27 2022-12-06 Amazon Technologies, Inc. Secure identity transfer
US11537707B1 (en) 2019-09-27 2022-12-27 Amazon Technologies, Inc. Secure identity binding
CN110944035A (zh) * 2019-10-22 2020-03-31 珠海格力电器股份有限公司 一种物联网设备控制方法、系统以及可读介质
CN111538966B (zh) * 2020-04-17 2024-02-23 中移(杭州)信息技术有限公司 访问方法、访问装置、服务器及存储介质
CN112131585B (zh) * 2020-09-03 2023-01-06 苏州浪潮智能科技有限公司 一种基于rbac的临时授权的方法、系统、设备及介质
US20230222205A1 (en) * 2022-01-13 2023-07-13 Vmware, Inc. Sharing enterprise resources with temporary users

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002300155A (ja) * 2001-03-30 2002-10-11 Tokyo Electric Power Co Inc:The 相互認証方法及び相互認証システム
JP3940283B2 (ja) * 2001-10-22 2007-07-04 Kddi株式会社 チケットを用いて相互に認証するサービス予約及び提供方法、そのプログラム並びに該プログラムを記録した記録媒体
US8176327B2 (en) * 2006-12-27 2012-05-08 Airvana, Corp. Authentication protocol
US7945774B2 (en) * 2008-04-07 2011-05-17 Safemashups Inc. Efficient security for mashups
CN101771677B (zh) * 2008-12-31 2013-08-07 华为技术有限公司 一种向访问用户提供资源的方法、服务器和系统
CA2818955A1 (en) 2010-11-24 2012-05-31 Telefonica, S.A. Method for authorizing access to protected content
US9497184B2 (en) * 2011-03-28 2016-11-15 International Business Machines Corporation User impersonation/delegation in a token-based authentication system
CN102739708B (zh) * 2011-04-07 2015-02-04 腾讯科技(深圳)有限公司 一种基于云平台访问第三方应用的系统及方法
KR20130007797A (ko) * 2011-07-11 2013-01-21 삼성전자주식회사 개방형 인증 방법 및 시스템
US9043886B2 (en) * 2011-09-29 2015-05-26 Oracle International Corporation Relying party platform/framework for access management infrastructures
CN102394887B (zh) 2011-11-10 2014-07-09 杭州东信北邮信息技术有限公司 基于OAuth协议的开放平台安全认证方法和系统
US8800009B1 (en) * 2011-12-30 2014-08-05 Google Inc. Virtual machine service access
CN102761537B (zh) 2012-03-29 2015-06-17 北京奇虎科技有限公司 一种基于客户端插件的授权认证方法及系统
CN102611709B (zh) 2012-03-31 2014-11-12 北京奇虎科技有限公司 一种对第三方资源的访问控制方法及系统
US8839376B2 (en) * 2012-06-29 2014-09-16 Cable Television Laboratories, Inc. Application authorization for video services
CN102761549B (zh) * 2012-07-03 2015-04-22 中国联合网络通信集团有限公司 资源共享的处理方法和系统以及业务平台
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks

Also Published As

Publication number Publication date
KR101708587B1 (ko) 2017-02-20
EP2963884A4 (en) 2016-03-16
JP2016509319A (ja) 2016-03-24
CN104022875B (zh) 2017-09-01
WO2014131279A1 (zh) 2014-09-04
EP2963884B1 (en) 2017-03-15
US9462003B2 (en) 2016-10-04
EP2963884A1 (en) 2016-01-06
KR20150119434A (ko) 2015-10-23
CN104022875A (zh) 2014-09-03
US20160006743A1 (en) 2016-01-07

Similar Documents

Publication Publication Date Title
JP6055934B2 (ja) 双方向許可システム、クライアントおよび方法
EP3329653B1 (en) Token scope reduction
US9038138B2 (en) Device token protocol for authorization and persistent authentication shared across applications
US8650622B2 (en) Methods and arrangements for authorizing and authentication interworking
US20150278548A1 (en) Nfc-based authorization of access to data from a third party device
CN102457507B (zh) 云计算资源安全共享方法、装置及系统
KR101929598B1 (ko) 운영체제 및 애플리케이션 사이에서 사용자 id의 공유 기법
US20220255931A1 (en) Domain unrestricted mobile initiated login
WO2018219056A1 (zh) 鉴权方法、装置、系统和存储介质
US9178868B1 (en) Persistent login support in a hybrid application with multilogin and push notifications
US9805185B2 (en) Disposition engine for single sign on (SSO) requests
US9654462B2 (en) Late binding authentication
US9584615B2 (en) Redirecting access requests to an authorized server system for a cloud service
CN107534557A (zh) 提供访问控制和单点登录的身份代理
WO2016095540A1 (zh) 一种处理授权的方法、设备和系统
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
US10205717B1 (en) Virtual machine logon federation
US11870766B2 (en) Integration of legacy authentication with cloud-based authentication
US11516207B2 (en) Method for provision of identity verification certificate
US20180232516A1 (en) System of device authentication
WO2016074514A1 (zh) 资源管理方法和装置
US9298903B2 (en) Prevention of password leakage with single sign on in conjunction with command line interfaces
EP3032452A1 (en) System for managing access to resources of a first electronic device's application by a second electronic device on a remote server
Lazarev et al. Analysis of applicability of open single sign-on protocols in distributed information-computing environment
JP7043480B2 (ja) 情報処理システムと、その制御方法とプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161205

R150 Certificate of patent or registration of utility model

Ref document number: 6055934

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250