JP6055934B2 - 双方向許可システム、クライアントおよび方法 - Google Patents
双方向許可システム、クライアントおよび方法 Download PDFInfo
- Publication number
- JP6055934B2 JP6055934B2 JP2015559411A JP2015559411A JP6055934B2 JP 6055934 B2 JP6055934 B2 JP 6055934B2 JP 2015559411 A JP2015559411 A JP 2015559411A JP 2015559411 A JP2015559411 A JP 2015559411A JP 6055934 B2 JP6055934 B2 JP 6055934B2
- Authority
- JP
- Japan
- Prior art keywords
- subsystem
- service
- temporary
- client
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims description 103
- 238000000034 method Methods 0.000 title claims description 18
- 238000012797 qualification Methods 0.000 claims description 180
- 230000002457 bidirectional effect Effects 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 5
- 230000002452 interceptive effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 2
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Description
第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格をそれぞれ取得し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、そして第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて、第二のサービス提供サブシステムのリソースを取得し、および第一の一時的な資格を第二のサービス提供サブシステムに送信するように構成される第一のサービス提供サブシステムと、
第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における識別子を変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供サブシステムのリソースを取得するように構成される第二のサービス提供サブシステムと、
第一のサービス提供サブシステムから送信された第二の一時的な資格、第二のサービス提供サブシステムから送信された第一の一時的な資格をそれぞれ受信し、第二の一時的な資格、第一の一時的な資格をそれぞれ許可し、そして許可された第二の許可資格、第一の許可資格をそれぞれ第一のサービス提供サブシステム、第二のサービス提供サブシステムに送信するように構成されるユーザ端末とを含む。
第一のオープン許可(OAuth)サーバ、第二のサービス提供サブシステムへ一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のサービス提供サブシステムからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のサービス提供サブシステムに送信して認証し、第二のサービス提供サブシステムで認証に成功した後、第二のサービス提供サブシステムから提供されたリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のサービス提供サブシステムに送信してクライアント識別子を変更するように構成される第一のクライアントと、
第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のサービス提供サブシステムから送信された第一の許可資格を受信し、第一のアクセストークンを第二のサービス提供サブシステムに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成される第一のOAuthサーバと、
第二のサービス提供サブシステムから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のサービス提供サブシステムから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のサービス提供サブシステムに提供してアクセスするように構成される第一のリソースサーバとを含む。
第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のサービス提供サブシステムに送信して認証し、第一のサービス提供サブシステムで認証に成功した後に、第一のサービス提供サブシステムから提供された第一のサービスリソースにアクセスするように構成される第二のクライアントと、
第一のサービス提供サブシステムから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のサービス提供サブシステムに返し、第一のサービス提供サブシステムから送信された第二の許可資格を受信し、第二のアクセストークンを第一のサービス提供サブシステムに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成される第二のOAuthサーバと、
第一のサービス提供サブシステムから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のサービス提供サブシステムから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のサービス提供サブシステムに提供してアクセスするように構成される第二のリソースサーバとを含む。
前記第一のクライアントは、第一のOAuthサーバ、第二のOAuthサーバに一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のOAuthサーバに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のリソースサーバに送信して認証し、第二のリソースサーバで認証に成功した後に、第二のリソースサーバから提供された第二のサービスリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のクライアントに送信するように構成され、
前記第一のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のクライアントから送信された第一の許可資格を受信し、第一のアクセストークンを第二のクライアントに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成され、
前記第一のリソースサーバが第二のクライアントから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のクライアントから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のクライアントに提供してアクセスするように構成され、
前記第二のクライアントは、第一のOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のOAuthサーバに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のリソースサーバに送信して認証し、第一のリソースサーバで認証に成功した後に、第一のリソースサーバから提供された第一のサービスリソースにアクセスするように構成され、
前記第二のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のクライアントに返し、第一のクライアントから送信された第二の許可資格を受信し、第二のアクセストークンを第一のクライアントに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成され、
前記第二のリソースサーバは、第一のクライアントから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のクライアントから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のクライアントに提供してアクセスするように構成される。
前記一時的な資格取得モジュールは、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバに一時的な資格要求命令をそれぞれ送信し、本側のサービス提供サブシステムのOAuthサーバから返された第一の一時的な資格、他側のサービス提供サブシステムのOAuthサーバから返された第二の一時的な資格を受信し、第一の一時的な資格を他側のサービス提供サブシステムのクライアントに送信するように構成され、
前記アクセストークン取得モジュールは、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第二のアクセストークンを引き換えるように構成され、
前記リソース取得モジュールは、第二のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される。
前記一時的な資格取得モジュールは、他側のサービス提供サブシステムのOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における他側のサービス提供サブシステムのクライアント識別子を本側のサービス提供サブシステムのクライアント識別子に変更するように構成され、
前記アクセストークン取得モジュールは、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第一のアクセストークンを引き換えるように構成され、
前記リソース取得モジュールは、第一のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される。
第一のサービス提供サブシステムが、第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得し、第二の一時的な資格をユーザ端末に送信して許可し、第二の許可資格を取得し、第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて第二のサービス提供サブシステムのリソースを取得し、第一の一時的な資格を第二のサービス提供サブシステムに送信して識別子を変更することと、
第二のサービス提供サブシステムが、変更された第一の一時的な資格をユーザ端末に送信して許可し、第一の許可資格を取得し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供システムのリソースを取得することとを含む。
前記第二の一時的な資格の許可は、第二のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第二のサービス提供サブシステムに登録したユーザ名とパスワードである。
前記一時的な資格取得モジュール31は、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバへ一時的な資格要求命令をそれぞれ送信し、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第一の一時的な資格を他側のサービス提供サブシステムのクライアントに送信するように構成され、
前記アクセストークン取得モジュール32は、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第二のアクセストークンを引き換えるように構成され、
前記リソース取得モジュール33は、第二のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される。
前記一時的な資格取得モジュール31は、他側のサービス提供サブシステムのOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における他側のサービス提供サブシステムのクライアント識別子を本側のサービス提供サブシステムのクライアント識別子に変更するように構成され、
前記アクセストークン取得モジュール32は、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第一のアクセストークンを引き換えるように構成され、
前記リソース取得モジュール33は、第一のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのソースサーバから提供されたリソースにアクセスするように構成される。
Claims (10)
- 双方向許可システムであって、
第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格をそれぞれ取得し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、そして第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて、第二のサービス提供サブシステムのリソースを取得し、および第一の一時的な資格を第二のサービス提供サブシステムに送信するように構成される第一のサービス提供サブシステムと、
第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における識別子を変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供サブシステムのリソースを取得するように構成される第二のサービス提供サブシステムと、
第一のサービス提供サブシステムから送信された第二の一時的な資格、第二のサービス提供サブシステムから送信された第一の一時的な資格をそれぞれ受信し、第二の一時的な資格、第一の一時的な資格をそれぞれ許可し、そして許可された第二の許可資格、第一の許可資格をそれぞれ第一のサービス提供サブシステム、第二のサービス提供サブシステムに送信するように構成されるユーザ端末とを含む、前記双方向許可システム。 - 前記第一のサービス提供サブシステムは、
第一のオープン許可(OAuth:Open Auth)サーバ、第二のサービス提供サブシステムへ一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のサービス提供サブシステムからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のサービス提供サブシステムに送信して認証し、第二のサービス提供サブシステムで認証に成功した後、第二のサービス提供サブシステムから提供されたリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のサービス提供サブシステムに送信してクライアント識別子を変更するように構成される第一のクライアントと、
第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のサービス提供サブシステムから送信された第一の許可資格を受信し、第一のアクセストークンを第二のサービス提供サブシステムに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成される第一のOAuthサーバと、
第二のサービス提供サブシステムから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のサービス提供サブシステムから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のサービス提供サブシステムに提供してアクセスするように構成される第一のリソースサーバとを含むことを特徴とする
請求項1に記載の双方向許可システム。 - 前記第二のサービス提供サブシステムは、
第一のサービス提供サブシステムから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のサービス提供サブシステムに送信して認証し、第一のサービス提供サブシステムで認証に成功した後に、第一のサービス提供サブシステムから提供された第一のサービスリソースにアクセスするように構成される第二のクライアントと、
第一のサービス提供サブシステムから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のサービス提供サブシステムに返し、第一のサービス提供サブシステムから送信された第二の許可資格を受信し、第二のアクセストークンを第一のサービス提供サブシステムに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成される第二のOAuthサーバと、
第一のサービス提供サブシステムから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のサービス提供サブシステムから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のサービス提供サブシステムに提供してアクセスするように構成される第二のリソースサーバとを含むことを特徴とする
請求項1に記載の双方向許可システム。 - 前記第二のサービス提供サブシステムは、第二のクライアント、第二のOAuthサーバ、第二のリソースサーバを含み、
前記第一のクライアントは、第一のOAuthサーバ、第二のOAuthサーバに一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバからそれぞれ返された第一の一時的な資格、第二の一時的な資格を受信し、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を第二のOAuthサーバに送信して第二のアクセストークンを引き換え、第二のアクセストークンを第二のリソースサーバに送信して認証し、第二のリソースサーバで認証に成功した後に、第二のリソースサーバから提供された第二のサービスリソースにアクセスするように構成され、さらに第一の一時的な資格を第二のクライアントに送信するように構成され、
前記第一のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第一の一時的な資格を第一のクライアントに返し、第二のクライアントから送信された第一の許可資格を受信し、第一のアクセストークンを第二のクライアントに返し、そして第一のアクセストークンを第一のリソースサーバに送信して認証基準とするように構成され、
前記第一のリソースサーバは、第二のクライアントから送信された第一のアクセストークンを受信し、そして第一のOAuthサーバから送信された第一のアクセストークンに基づいて前記第二のクライアントから送信された第一のアクセストークンを認証し、認証に成功した後に第一のサービスリソースを第二のクライアントに提供してアクセスするように構成され、
前記第二のクライアントは、第一のOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における第一のクライアント識別子を第二のクライアント識別子に変更し、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を第一のOAuthサーバに送信して第一のアクセストークンを引き換え、第一のアクセストークンを第一のリソースサーバに送信して認証し、第一のリソースサーバで認証に成功した後に、第一のリソースサーバから提供された第一のサービスリソースにアクセスするように構成され、
前記第二のOAuthサーバは、第一のクライアントから送信された一時的な資格要求命令を受信し、そして当該命令に応じて第二の一時的な資格を第一のクライアントに返し、第一のクライアントから送信された第二の許可資格を受信し、第二のアクセストークンを第一のクライアントに返し、そして第二のアクセストークンを第二のリソースサーバに送信して認証基準とするように構成され、
前記第二のリソースサーバは、第一のクライアントから送信された第二のアクセストークンを受信し、そして第二のOAuthサーバから送信された第二のアクセストークンに基づいて前記第一のクライアントから送信された第二のアクセストークンを認証し、認証に成功した後に第二のサービスリソースを第一のクライアントに提供してアクセスするように構成されることを特徴とする
請求項2に記載の双方向許可システム。 - 前記一時的な資格要求命令は、OAuthプロトコルによって定義された一時的な資格要求メッセージで搬送されることを特徴とする
請求項3に記載の双方向許可システム。 - サービス提供サブシステムに設置されているクライアントであって、
前記サービス提供サブシステムがオープン許可(OAuth:Open Auth)サーバ、リソースサーバをさらに含み、当該クライアントが一時的な資格取得モジュール、アクセストークン取得モジュール、リソース取得モジュールを含み、
前記一時的な資格取得モジュールは、本側のサービス提供サブシステムのOAuthサーバ、他側のサービス提供サブシステムのOAuthサーバに一時的な資格要求命令をそれぞれ送信し、本側のサービス提供サブシステムのOAuthサーバから返された第一の一時的な資格、他側のサービス提供サブシステムのOAuthサーバから返された第二の一時的な資格を受信し、第一の一時的な資格を他側のサービス提供サブシステムのクライアントに送信するように構成され、
前記アクセストークン取得モジュールは、第二の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第二の許可資格を受信し、前記第二の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第二のアクセストークンを引き換えるように構成され、
前記リソース取得モジュールは、第二のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される、前記クライアント。 - サービス提供サブシステムに設置されているクライアントであって、
前記サービス提供サブシステムがオープン許可(OAuth:Open Auth)サーバ、リソースサーバをさらに含み、当該クライアントが一時的な資格取得モジュール、アクセストークン取得モジュール、リソース取得モジュールを含み、
前記一時的な資格取得モジュールは、他側のサービス提供サブシステムのOAuthサーバから送信された第一の一時的な資格を受信し、そして前記第一の一時的な資格における他側のサービス提供サブシステムのクライアント識別子を本側のサービス提供サブシステムのクライアント識別子に変更するように構成され、
前記アクセストークン取得モジュールは、変更された第一の一時的な資格をユーザ端末に送信して許可し、ユーザ端末から返された第一の許可資格を受信し、前記第一の許可資格を他側のサービス提供サブシステムのOAuthサーバに送信して第一のアクセストークンを引き換えるように構成され、
前記リソース取得モジュールは、第一のアクセストークンを他側のサービス提供サブシステムのリソースサーバに送信して認証し、他側のサービス提供サブシステムのリソースサーバで認証に成功した後に、他側のサービス提供サブシステムのリソースサーバから提供されたリソースにアクセスするように構成される、前記クライアント。 - 双方向許可方法であって、
第一のサービス提供サブシステムが、第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得し、第二の一時的な資格をユーザ端末に送信して許可し、第二の許可資格を取得し、第二の許可資格を第二のサービス提供サブシステムに送信して第二のアクセストークンを引き換え、前記第二のアクセストークンに基づいて第二のサービス提供サブシステムのリソースを取得し、第一の一時的な資格を第二のサービス提供サブシステムに送信して識別子を変更することと、
第二のサービス提供サブシステムが、変更された第一の一時的な資格をユーザ端末に送信して許可し、第一の許可資格を取得し、第一の許可資格を第一のサービス提供サブシステムに送信して第一のアクセストークンを引き換え、前記第一のアクセストークンに基づいて第一のサービス提供システムのリソースを取得することとを含む、前記双方向許可方法。 - 前記第一のサービス提供サブシステムが第一のサービス提供サブシステムの第一の一時的な資格、第二のサービス提供サブシステムの第二の一時的な資格を取得することは、
第一のサービス提供サブシステムにおける第一のクライアントが第一のサービス提供サブシステムにおける第一のオープン許可(OAuth:Open Auth)サーバ、第二のサービス提供サブシステムにおける第二のOAuthサーバに一時的な資格要求命令をそれぞれ送信し、第一のOAuthサーバ、第二のOAuthサーバから返された第一の一時的な資格、第二の一時的な資格を受信することを含むことを特徴とする
請求項8に記載の双方向許可方法。 - 前記第一の一時的な資格の許可は、第一のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第一のサービス提供サブシステムに登録したユーザ名とパスワードであり、
前記第二の一時的な資格の許可は、第二のサービス提供サブシステムのユーザ名とパスワードを入力することであり、前記ユーザ名とパスワードは、ユーザ端末が第二のサービス提供サブシステムに登録したユーザ名とパスワードであることを特徴とする
請求項8または9に記載の双方向許可方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310066662.4 | 2013-03-01 | ||
CN201310066662.4A CN104022875B (zh) | 2013-03-01 | 2013-03-01 | 一种双向授权系统、客户端及方法 |
PCT/CN2013/084020 WO2014131279A1 (zh) | 2013-03-01 | 2013-09-23 | 一种双向授权系统、客户端及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016509319A JP2016509319A (ja) | 2016-03-24 |
JP6055934B2 true JP6055934B2 (ja) | 2016-12-27 |
Family
ID=51427511
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015559411A Active JP6055934B2 (ja) | 2013-03-01 | 2013-09-23 | 双方向許可システム、クライアントおよび方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9462003B2 (ja) |
EP (1) | EP2963884B1 (ja) |
JP (1) | JP6055934B2 (ja) |
KR (1) | KR101708587B1 (ja) |
CN (1) | CN104022875B (ja) |
WO (1) | WO2014131279A1 (ja) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9477818B1 (en) * | 2014-01-02 | 2016-10-25 | Google Inc. | Leveraging a unification of content hosting and social networking |
WO2016164000A1 (en) | 2015-04-07 | 2016-10-13 | Hewlett-Packard Development Company, L.P. | Providing selective access to resources |
US9838393B2 (en) * | 2015-08-03 | 2017-12-05 | Bank Of America Corporation | Encapsulating commands within a control wrapper for split entry or approval |
US9825963B2 (en) * | 2015-08-03 | 2017-11-21 | Bank Of America Corporation | Encapsulating commands within a control wrapper for multiple level review |
US9847994B1 (en) * | 2015-09-30 | 2017-12-19 | Surfdash | System and method for providing a secure network |
US11936716B2 (en) | 2015-09-30 | 2024-03-19 | Surfdash Inc. | System and method for providing a secure network |
CN209312029U (zh) | 2017-06-04 | 2019-08-27 | 苹果公司 | 电子装置 |
CN109587187A (zh) * | 2017-09-28 | 2019-04-05 | 华为技术有限公司 | 用于调用网络功能服务的方法、装置和系统 |
US11144620B2 (en) * | 2018-06-26 | 2021-10-12 | Counseling and Development, Inc. | Systems and methods for establishing connections in a network following secure verification of interested parties |
CN113132355A (zh) * | 2018-10-29 | 2021-07-16 | 华为技术有限公司 | 服务授权方法及通信装置 |
CN109639433B (zh) * | 2018-12-05 | 2020-06-30 | 珠海格力电器股份有限公司 | 多个系统账户之间相互授权的方法、存储介质和处理器 |
CN111464481B (zh) * | 2019-01-18 | 2023-01-13 | 伊姆西Ip控股有限责任公司 | 用于服务安全保护的方法、设备和计算机可读介质 |
EP3935534B1 (en) * | 2019-03-04 | 2023-07-05 | Hitachi Vantara LLC | Multi-way trust formation in a distributed system |
US11153088B2 (en) * | 2019-09-07 | 2021-10-19 | Paypal, Inc. | System and method for implementing a two-sided token for open authentication |
US11522864B1 (en) * | 2019-09-27 | 2022-12-06 | Amazon Technologies, Inc. | Secure identity transfer |
US11537707B1 (en) | 2019-09-27 | 2022-12-27 | Amazon Technologies, Inc. | Secure identity binding |
CN110944035A (zh) * | 2019-10-22 | 2020-03-31 | 珠海格力电器股份有限公司 | 一种物联网设备控制方法、系统以及可读介质 |
CN111538966B (zh) * | 2020-04-17 | 2024-02-23 | 中移(杭州)信息技术有限公司 | 访问方法、访问装置、服务器及存储介质 |
CN112131585B (zh) * | 2020-09-03 | 2023-01-06 | 苏州浪潮智能科技有限公司 | 一种基于rbac的临时授权的方法、系统、设备及介质 |
US20230222205A1 (en) * | 2022-01-13 | 2023-07-13 | Vmware, Inc. | Sharing enterprise resources with temporary users |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002300155A (ja) * | 2001-03-30 | 2002-10-11 | Tokyo Electric Power Co Inc:The | 相互認証方法及び相互認証システム |
JP3940283B2 (ja) * | 2001-10-22 | 2007-07-04 | Kddi株式会社 | チケットを用いて相互に認証するサービス予約及び提供方法、そのプログラム並びに該プログラムを記録した記録媒体 |
US8176327B2 (en) * | 2006-12-27 | 2012-05-08 | Airvana, Corp. | Authentication protocol |
US7945774B2 (en) * | 2008-04-07 | 2011-05-17 | Safemashups Inc. | Efficient security for mashups |
CN101771677B (zh) * | 2008-12-31 | 2013-08-07 | 华为技术有限公司 | 一种向访问用户提供资源的方法、服务器和系统 |
CA2818955A1 (en) | 2010-11-24 | 2012-05-31 | Telefonica, S.A. | Method for authorizing access to protected content |
US9497184B2 (en) * | 2011-03-28 | 2016-11-15 | International Business Machines Corporation | User impersonation/delegation in a token-based authentication system |
CN102739708B (zh) * | 2011-04-07 | 2015-02-04 | 腾讯科技(深圳)有限公司 | 一种基于云平台访问第三方应用的系统及方法 |
KR20130007797A (ko) * | 2011-07-11 | 2013-01-21 | 삼성전자주식회사 | 개방형 인증 방법 및 시스템 |
US9043886B2 (en) * | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
CN102394887B (zh) | 2011-11-10 | 2014-07-09 | 杭州东信北邮信息技术有限公司 | 基于OAuth协议的开放平台安全认证方法和系统 |
US8800009B1 (en) * | 2011-12-30 | 2014-08-05 | Google Inc. | Virtual machine service access |
CN102761537B (zh) | 2012-03-29 | 2015-06-17 | 北京奇虎科技有限公司 | 一种基于客户端插件的授权认证方法及系统 |
CN102611709B (zh) | 2012-03-31 | 2014-11-12 | 北京奇虎科技有限公司 | 一种对第三方资源的访问控制方法及系统 |
US8839376B2 (en) * | 2012-06-29 | 2014-09-16 | Cable Television Laboratories, Inc. | Application authorization for video services |
CN102761549B (zh) * | 2012-07-03 | 2015-04-22 | 中国联合网络通信集团有限公司 | 资源共享的处理方法和系统以及业务平台 |
US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
-
2013
- 2013-03-01 CN CN201310066662.4A patent/CN104022875B/zh active Active
- 2013-09-23 WO PCT/CN2013/084020 patent/WO2014131279A1/zh active Application Filing
- 2013-09-23 US US14/770,751 patent/US9462003B2/en active Active
- 2013-09-23 KR KR1020157025989A patent/KR101708587B1/ko active IP Right Grant
- 2013-09-23 JP JP2015559411A patent/JP6055934B2/ja active Active
- 2013-09-23 EP EP13876510.2A patent/EP2963884B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
KR101708587B1 (ko) | 2017-02-20 |
EP2963884A4 (en) | 2016-03-16 |
JP2016509319A (ja) | 2016-03-24 |
CN104022875B (zh) | 2017-09-01 |
WO2014131279A1 (zh) | 2014-09-04 |
EP2963884B1 (en) | 2017-03-15 |
US9462003B2 (en) | 2016-10-04 |
EP2963884A1 (en) | 2016-01-06 |
KR20150119434A (ko) | 2015-10-23 |
CN104022875A (zh) | 2014-09-03 |
US20160006743A1 (en) | 2016-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6055934B2 (ja) | 双方向許可システム、クライアントおよび方法 | |
EP3329653B1 (en) | Token scope reduction | |
US9038138B2 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
US8650622B2 (en) | Methods and arrangements for authorizing and authentication interworking | |
US20150278548A1 (en) | Nfc-based authorization of access to data from a third party device | |
CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
KR101929598B1 (ko) | 운영체제 및 애플리케이션 사이에서 사용자 id의 공유 기법 | |
US20220255931A1 (en) | Domain unrestricted mobile initiated login | |
WO2018219056A1 (zh) | 鉴权方法、装置、系统和存储介质 | |
US9178868B1 (en) | Persistent login support in a hybrid application with multilogin and push notifications | |
US9805185B2 (en) | Disposition engine for single sign on (SSO) requests | |
US9654462B2 (en) | Late binding authentication | |
US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
CN107534557A (zh) | 提供访问控制和单点登录的身份代理 | |
WO2016095540A1 (zh) | 一种处理授权的方法、设备和系统 | |
JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
US10205717B1 (en) | Virtual machine logon federation | |
US11870766B2 (en) | Integration of legacy authentication with cloud-based authentication | |
US11516207B2 (en) | Method for provision of identity verification certificate | |
US20180232516A1 (en) | System of device authentication | |
WO2016074514A1 (zh) | 资源管理方法和装置 | |
US9298903B2 (en) | Prevention of password leakage with single sign on in conjunction with command line interfaces | |
EP3032452A1 (en) | System for managing access to resources of a first electronic device's application by a second electronic device on a remote server | |
Lazarev et al. | Analysis of applicability of open single sign-on protocols in distributed information-computing environment | |
JP7043480B2 (ja) | 情報処理システムと、その制御方法とプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160824 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160830 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161014 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161115 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6055934 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |