CN104169935A - 信息处理装置、信息处理***、信息处理方法及程序 - Google Patents
信息处理装置、信息处理***、信息处理方法及程序 Download PDFInfo
- Publication number
- CN104169935A CN104169935A CN201380015365.5A CN201380015365A CN104169935A CN 104169935 A CN104169935 A CN 104169935A CN 201380015365 A CN201380015365 A CN 201380015365A CN 104169935 A CN104169935 A CN 104169935A
- Authority
- CN
- China
- Prior art keywords
- equipment
- service
- user
- access
- access token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
Abstract
减少多个装置与网络服务间的协作所需的认证处理的麻烦。该信息处理装置包括通信单元、存储单元和控制器。通信单元与第一设备、第二设备以及网络上的服务进行通信,该服务具有关于第一设备的用户的资源。控制器控制通信单元使得通信单元基于来自第一设备的获取对资源的访问权的请求以及表示用户关于获取访问权的许可的许可信息,将发出访问令牌的请求发送至服务,访问令牌表示访问权;并且从服务接收由服务发出的访问令牌。另外,控制器控制存储单元使得存储单元安全地存储所接收的访问令牌,并且控制通信单元使得通信单元响应于来自与用户相关联的第二设备的请求来使用所存储的访问令牌访问资源。
Description
技术领域
本技术涉及能够通过网络与另外的信息处理装置通信的信息处理装置;包括该信息处理装置的信息处理***;用于该信息处理装置的信息处理方法;以及程序。
背景技术
以往在多个设备和各种网络服务通过网络彼此协作工作的情况下,按照以下方式进行关于该情况的用户认证。
(1)消除了用户的概念,并且设备/服务自由地彼此协作(例如DLNA(数字生活网络联盟))。
(2)执行控制的设备在用户手边的被控制的设备/服务上进行用户认证,并且被控制的设备/服务不执行用户认证(用于电视节目记录装置的远程预约)。
(3)虽然通过另外的设备执行用户认证处理,但是每次使用设备/服务协作功能时(例如,PC上的网络文件共享),对每个设备/服务输入用户ID/密码。
(4)在上面(3)中,针对另外的设备/服务而输入了一次的ID/密码被存储在用户手边的设备上,并且从下次起自动被使用。
然而,如上面(1)和(2)的方法在用户数据存在于要被控制的设备/服务上的情况下会引起安全问题。另一方面,在如上面(3)的方法中,因为用户针对每个要控制的设备每次都需要输入ID/密码,因此失去了方便性。此外,在要处理许多设备的情况下,该方法是不实用的。此外,在如(4)的方法中,例如用户密码这样的重要信息存储在单独的设备上,这会引起安全问题。因为以可以解密至原始形式的形式存储该信息,所以即使对信息进行加密,在被解码的情况下仍会引起相同的问题。
另外,以往已经提出了各种这样的协议来容易地建立网络服务之间的混搭(mashup):这些协议使得服务能够在不直接被给予在另外的服务中管理的用户ID/密码的情况下使用该另外的服务的功能。用于此目的的代表性协议的示例包括Oauth,其已经用于诸如Facebook(注册商标)的服务。在Oauth中,管理用户的ID/密码的服务提供者将对该服务提供者的访问权传递给在不提供任何ID或密码的情况下使用其功能的服务(消费者)(参见例如专利文献1)。
此外,由于无需存储用户的ID/密码,所以这样的协议在从设备使用网络上的服务时是有用的,并且被诸如PC和智能电话等许多应用所使用。
引用列表
专利文献
专利文献1:日本专利申请公开No.2011-155545。
发明内容
本发明要解决的问题
然而,因为如起UX(用户体验)作用的如显示器和键盘等输入/输出功能是进行用户认证时所必需的,所以该协议存在以下局限性:该协议不能从不具有这样的功能的设备使用。
另外,在用户拥有多个设备的情况下,他/她为了使用相同的服务必需对每个设备执行认证过程。如上面(3)中的方法,其引起了许多麻烦并且不实用。此外,通过认证获得的访问权通常具有有效期。因此,在已到达有效期的情况下需要再次执行认证,因此需要频繁地重复认证过程。
针对如上所述的情况,本技术的目的在于提供能够减少多个设备或网络服务之间的协作所需的认证处理的麻烦的信息处理装置、信息处理***、信息处理方法以及程序。
解决问题的手段
为了解决上述问题,根据本技术的实施方式的一种信息处理装置包括通信单元、存储单元和控制器。通信单元能够与第一设备、第二设备以及网络上的服务通信,该服务具有关于第一设备的用户的资源。控制器能够控制通信单元使得通信单元:基于来自第一设备的获取对资源的访问权的请求以及表示用户关于获取访问权的许可的许可信息,将发出访问令牌的请求发送至服务,访问令牌表示访问权;并且从服务接收由服务发出的访问令牌。此外,控制器能够控制存储单元使得存储单元安全地存储所接收的访问令牌。
通过该配置,由于信息处理装置允许多个设备共享用户对资源的访问令牌,所以可能减少多个设备或网络服务之间进行协作所需的认证处理的麻烦。
控制器可以控制通信单元使得通信单元响应于来自与用户相关联的第二设备的请求来利用所存储的访问令牌访问资源。
因此,第二设备能够在没有第二设备与服务之间的认证处理的情况下使用在第一设备和信息处理装置执行的处理中获取的访问令牌来访问网络服务。
控制器可以控制通信单元使得通信单元通过安全通信路径将所存储的访问令牌发送至第一设备或第二设备。
因此,由于第一设备或第二设备能够在没有信息处理装置的情况下使用所接收的访问令牌直接访问服务,所以减轻了信息处理装置的负担。
对于该信息处理装置,其中,第一设备包括输入设备和输出设备,其中用户向服务通知许可意图所需要的操作被输入至输入设备,并且输出设备输出用于输入的屏幕,并且
第二设备不包括输入设备和输出设备。
因此,不能显示用于用户认证和获取访问权的许可的UX或者接收关于UX的任何操作的设备也能够使用访问令牌来访问服务。
控制器可以控制通信单元使得通信单元从第一设备接收表示与用户、第一设备和第二设备的关联的关联信息,并且可以控制存储单元使得存储单元存储所接收的关联信息。
因此,因为保证了第一设备与第二设备通过相同的可靠用户彼此相关联,所以确保了当响应于来自第二设备的请求而发送访问令牌时的安全。
根据另一种实施方式的信息处理***包括服务器装置和信息处理装置。服务器装置包括第一通信单元、存储单元和第一控制器。第一通信单元能够与用户设备和网络上的服务通信,该服务具有关于用户设备的用户的资源。第一控制器能够控制第一通信单元使得第一通信单元:基于来自用户设备的获取对资源的访问权的请求以及表示用户关于获取访问权的许可的许可信息,将发出访问令牌的请求发送至服务,访问令牌代表访问权;并且从服务接收由服务发出的访问令牌。此外,第一控制器能够控制存储单元使得存储单元安全地存储所接收的访问令牌。
信息处理装置包括第二通信单元和第二控制器。第二通信单元能够与服务器设备和服务通信。第二控制器能够控制第二通信单元使得第二通信单元通过安全通信路径从服务器设备接收所存储的访问令牌,并且使用所接收的访问令牌访问资源。
根据又一种实施方式的信息处理方法包括:从第一设备接收获取对关于第一设备的用户的资源的访问权的请求以及许可信息,网络上的服务具有该资源,许可信息表示用户关于获取访问权的许可。将发出表示访问权的访问令牌的请求发送至服务。从服务接收由服务发出的访问令牌。安全地存储所接收的访问令牌。
根据再一种实施方式的程序使信息处理装置执行以下步骤:第一接收步骤、第一发送步骤、第二接收步骤和存储步骤。在第一接收步骤中,从第一设备接收获取对关于第一设备的用户的资源的访问权的请求和许可信息,网络上的服务具有该资源,许可信息表示用户关于获取访问权的许可。在第一发送步骤中,将发出表示访问权的访问令牌的请求发送至服务。在第二接收步骤中,从服务接收由服务发出的访问令牌。在存储步骤中,安全地存储所接收的访问令牌。
发明的效果
如上所述,根据本技术,可以减少多个设备或网络服务之间进行协作所需的认证过程的麻烦。
附图说明
[图1]示出了本技术的第一实施方式中***的网络配置的图;
[图2]示出了第一实施方式中服务器的硬件配置的框图;
[图3]示出了第一实施方式中设备的硬件配置的框图;
[图4]示出了第一实施方式中服务器的软件模块配置的框图;
[图5]示出了第一实施方式中设备的软件模块配置的框图;
[图6]示出了第一实施方式中网络服务认证的概要的图;
[图7]示出了第一实施方式中网络服务认证的流程的序列图;
[图8]示出了由第一实施方式中的设备执行的网络服务认证处理的流程的流程图;
[图9]示出了由第一实施方式中的服务器执行的网络服务认证处理的流程的流程图;
[图10]示出了由第一实施方式中的设备执行的对网络服务的访问处理的流程的流程图;
[图11]示出了由第一实施方式中的服务器执行的对网络服务的访问处理的流程的流程图;
[图12]示出了第二实施方式中服务器的软件模块配置的框图;
[图13]示出了第二实施方式中设备的软件模块配置的框图;
[图14]由第二实施方式中的设备执行的对网络服务的访问处理的流程的流程图;以及
[图15]由第二实施方式中的服务器执行的对网络服务的访问处理的流程的流程图。
具体实施方式
在下文中,将参照附图说明根据本技术的实施方式。
<第一实施方式>
将首先描述本技术的第一实施方式。
[***的网络配置]
图1为示出根据本实施方式的***的网络配置的图。
如图所示,该***包括在云上的服务器100、网络服务200和设备300。它们能够通过WAN 50彼此通信。可以存在多个网络服务200和多个设备300。
服务器100对多个设备300间的通信进行中介,并且具有以下功能:接收设备300的用户对网络服务200的访问权(访问令牌)的传递以及管理访问令牌。
用户认证服务器150连接到服务器100。用户认证服务器150在与每个设备300和用户的关联处理中响应于来自服务器100的请求使用用户ID和密码来进行用户认证处理,随后将对其进行描述。
网络服务200为另外的设备(服务器100、设备300等)提供网络服务。另外,网络服务200通过提供用于提供服务、经由设备300将所请求的访问内容呈现给用户以及获取来自用户的许可的服务认证机制来执行服务认证处理。在图中,仅示出了3个网络服务200A至200C。然而,网络服务200的数量可以是4个或更多个。
设备300可以是诸如智能手机、移动电话、平板PC(个人计算机)、台式PC、笔记本PC、PDA(个人数字助理)、便携式AV播放器、电子书、数字静态相机、摄像机、电视接收器、PVR(个人录像机)、游戏设备、投影仪、汽车导航***、数字相框、HDD(硬盘驱动器)装置、医疗设备、家用电器等任意信息处理装置。在该图中,仅示出了3个设备300A至300C。然而,设备300的数量可以是4个或更多个。
[服务器的硬件配置]
图2是示出上述服务器100的硬件配置的图。如图所示,服务器100包括:CPU(中央处理单元)11、ROM(只读存储器)12、RAM(随机存取存储器)13、输入/输出接口15以及将它们彼此连接的总线14。
CPU 11在必要时适当地访问RAM 13,并且当执行例如获取上述访问令牌的处理的各种算术处理时对服务器100的全部块进行集中控制。ROM 12是固定地存储诸如CPU 11执行的OS、程序和各种参数等的固件的非易失性存储器。RAM 13用作CPU 11等的工作区,并且暂时存储OS、各种执行中的应用程序和各种类型的正在被处理的数据。
显示单元16、操作接收单元17、存储单元18、通信单元19等连接到输入/输出接口15。
显示单元16是使用例如LCD(液晶显示器)、OELD(有机电致发光显示器)或CRT(阴极射线管)的输出装置。
操作接收单元17是诸如鼠标、键盘、触摸面板或另外的输入装置等的定点设备。在操作接收单元17是触摸面板的情况下,触摸面板可以与显示单元16集成。
存储单元18是诸如HDD等的非易失性存储器以及诸如SSD(固态驱动器)等的闪存。OS、各种应用程序和各种类型的数据被存储在存储单元18中。具体地,在本实施方式中,存储单元18存储诸如随后所要描述的多个软件模块等的程序以及从网络服务200获得的访问令牌。可以经由WAN 50将这些程序提供给服务器100,或者可以作为能够在服务器100中读取的存储介质提供这些程序。
通信单元19是用于连接到WAN 50的NIC等,并且执行通信单元19与设备300之间的通信处理。
[设备的硬件配置]
图3是示出上述设备300的硬件配置的图。如图所示,设备300的硬件配置与上述服务器100的硬件配置基本相同。具体地,设备300包括:CPU 31、ROM 32、RAM 33、输入/输出接口35、将它们彼此连接的总线34、显示单元36、操作接收单元37、存储单元38以及通信单元39。此处,显示单元36可以结合到设备300中,或者可以外连接至设备300。
CPU 31控制每个块,诸如存储单元38和通信单元39,由此执行与服务器100或网络服务200或各种类型的数据处理的通信处理。
诸如随后要描述的多个软件模块的程序或者各种数据库被存储在存储单元38中。可以通过WAN 50将这些程序提供给设备300,或者可以作为能够在设备300中读取的存储介质来提供这些程序。
在设备300是诸如智能手机等的移动装置的情况下,通信单元39可以是用于诸如无线LAN等的无线通信的模块。
在设备300是数字相框或医疗设备(例如,医用体温计、体重秤、血压监测仪和脉搏计)的情况下,操作接收单元37由按钮或开关构成,并且在某些情况下不具有诸如键盘和触摸面板等的字符输入功能。此外,类似地,即使能够显示照片的放映幻灯片或者测量值,在某些情况下显示单元36不具有输出诸如浏览器等的应用的UI的功能。
[服务器的模块配置]
图4是示出上述服务器100的软件模块的配置的图。如图所示,服务器100包括以下模块管理器:数据库管理器110、安全管理器120和通信管理器130。
数据库管理器110集中地管理服务器100的数据库。数据库管理器110包括以下软件模块:用户/设备管理单元111和访问令牌管理单元112。
用户/设备管理单元111管理用于唯一地标识设备300的用户的每个用户ID的设备300的列表。
访问令牌管理单元112管理用于访问各种网络服务200的资源的访问令牌,针对每个用户ID和用于唯一地标识网络服务200的每个服务ID,从相应的网络服务200获取访问令牌。
安全管理器120集中处理与服务器100、设备300和网络服务200之间的通信安全有关的过程。安全管理器120包括以下软件模块:用户认证处理单元121、简易设置处理单元122、服务认证处理单元123、服务访问处理单元124、设备认证单元125和代码处理单元126。
用户认证处理单元121根据基于设备的安全机制执行设备300的用户认证处理(随后将进行详细描述)。
此处,基于设备的安全机制代表以下机制:设备300之间或者设备300与服务器100之间在设备级别上进行相互认证,并且在没有用户的情况下建立了进行安全通信的通信路径。通过该机制,与设备300之间或设备300与服务器100之间的安全有关的处理单元通过安全通信路径彼此相连接,并且用作一个安全***。
具体地,基于设备的安全机制进行以下认证处理:提前将秘钥/证书嵌入到设备300和服务器100中,并且基于它们来确认设备300和服务器100是正规的,以及用于生成在后续通信中使用的秘钥的秘钥替换处理。
与实际连接形式无关地,上述认证处理和秘钥替换处理都是端到端地执行。例如,在设备300A和设备300B经由服务器100彼此连接的情况下,尽管设备300A和300B实际上没有直接相连,但是在设备A和设备B中执行认证处理和秘钥替换处理,并且服务器100仅通过通信单元19对该处理进行中介。
简易设置处理单元122根据上述基于设备的安全机制,使用已经在其上执行了用户认证的设备300在不同设备300上设置用户信息,并且将不同设备300视为经认证(已设置关联的)设备。
通过上述基于设备的安全机制,例如,在设备300A和设备300B执行认证的情况下,可以确保设备和通信路径的安全。因此,服务器100可以信任设备300A的用户信息并且在设备B中设置用户信息,由此将用户认证视为被执行。
作为用于用户信息的设置处理的用户接口,可以以任何形式使用用户接口。在本实施方式中,例如,在作为设置源的设备300A的显示单元36中,显示已经通过设备搜索处理搜索过的其他设备300的图像或图标的列表。当设备300的用户通过诸如点击、触摸和环绕等操作选择图像或图表时,经由服务器100将设置请求消息从设备300A发送至所选择的不同设备。当将代表同意设置请求的意向的操作(例如,按OK按钮)输入到该不同设备时,关于该事实的响应信息经由服务器100发送到作为设置源的设备300A。然后,当接收到响应信息时,已经被设置在列表中的设备的图像或图标的显示模式在设备300A的显示单元36中改变。例如,图像或图标被框围绕,或者他们的颜色改变。因此,用户能够知道已完成设置。
因为通过简易设置进行用户信息设置不需要用于用户认证(输入ID和密码)的用户接口,所以没有显示设备或键盘的小型设备可以作为设置目标。因此,用户仅通过一个设备使用用户ID和密码执行用户认证,并且通过上述简易设置来设置另外的设备,从而在无需麻烦的操作的情况下使它自身与各种设备相关联。
服务认证处理单元123与网络服务200通信,并且响应于来自设备300的请求执行服务认证处理,从而获取访问令牌。后面将描述服务认证处理的细节。
服务访问处理单元124响应于来自设备300的请求使用所获得的访问令牌访问网络服务200。
设备认证单元125根据上述基于设备的安全机制执行设备300的认证处理。
代码处理单元126根据基于设备的安全机制进行代码处理。即,根据基于设备的安全机制对安全管理器120和另外的模块之间的交流进行加密。另外,通过例如软件防篡改处理在每个设备300和服务器100上有力地保护安全管理器120。
因此,根据基于设备的安全机制,多个设备300和服务器100上的被有力保护的安全管理器120被用加密通信进行连接。因此,它们整个被视为一个***。
通信管理器130包括用作软件模块的通信单元131。通信单元131执行安全管理器120和设备300之间的通信处理。
[设备的模块配置]
图5是示出上述设备300的软件模块的配置的图。如图所示,设备300包括以下模块管理器:通信管理器310、安全管理器320、用户/设备UI管理器330和服务UI管理器340。
通信管理器310包括用作软件模块的通信单元311。通信单元311执行安全管理器320和服务器100之间的通信处理。
安全管理器320包括以下软件模块:设备认证单元321、代码处理单元322、用户认证单元323、简易设置单元324、用户信息管理单元325和服务认证单元326。
设备认证单元321根据上述基于设备的安全机制执行设备认证。
代码处理单元322根据上述基于设备的安全机制执行代码处理。
用户认证单元323根据上述基于设备的安全机制执行用户认证单元323与服务器100(的用户认证处理单元121)之间的用户认证处理。
简易设置单元324根据上述基于设备的安全机制执行简易设置单元324与服务器100(的简易设置处理单元122)之间的上述简易设置处理。
用户信息管理单元325通过上述简易设置处理管理与设备300相关联的用户ID。
服务认证单元326根据基于设备的安全机制执行与服务认证单元326和服务器100之间的与网络服务认证有关的处理。
服务访问请求单元327根据基于设备的安全机制执行与对服务访问请求单元327和服务器100之间的网络服务的访问有关的处理。
用户/设备UI管理器330包括用作软件模块的简易设置UI单元331和用户认证UI单元341。
简易设置UI单元331生成并且控制在显示单元36上显示的用于上述简易设置处理的UI。
用户认证UI单元332生成并且控制在显示单元36上显示的用于上述用户认证的UI。
服务UI管理器340包括用作软件模块的服务UI单元341。服务UI单元34生成并且控制在显示单元36上显示的用于对网络服务200的认证和访问的UI。
此处,将描述上述用户认证处理。按照以下方式执行上述服务器100和设备300之间的用户认证处理。
首先,用户认证UI单元332从用户接收用户ID和密码,并且将它们发送至用户认证单元323。
用户认证单元323经由基于设备的安全机制将用户ID和密码发送至服务器100的用户认证处理单元121。
用户认证处理单元121请求用户认证服务器150执行认证。在认证通过的情况下,用户认证处理单元121将用户ID和设备ID发送至用户/设备管理单元111并且将认证结果发送至设备300。
用户/设备管理单元111将从用户认证处理单元121接收的设备ID添加至用户数据库中的设备列表。
设备300的已经接收上述认证结果的用户认证单元323将用户ID发送至用户信息管理单元325,并且使用户信息管理单元325存储用户ID。
[***的操作]
接着,将对如上所述配置的***中服务器100和设备300的操作进行描述。在本实施方式和其他实施方式中,服务器100和设备300的操作与CPU以及在CPU控制下执行的上述软件模块协作执行。
(网络服务认证处理)
首先,将描述上述网络服务认证处理。图6为示出本实施方式中网络服务认证的概要的图。
作为本实施方式中网络服务的认证处理,可以使用各种方法。例如,可以使用与OAuth对应的方法。
在OAuth中,对网络服务的访问权由访问令牌来表示。在服务认证处理中,用户允许对网络服务上的他/她自己的资源(账户)进行访问,从而接收从网络服务发出的访问令牌。
在OAuth中,将接收服务的认证的设备称为消费者,并且将在网络服务侧执行认证处理并且发出访问令牌的设备称为服务提供者。在本实施方式中,服务器100对应于消费者,网络服务200对应于服务提供者。
如图6所示,首先,设备300请求作为消费者的服务器100使用作为服务提供者的网络服务200上的资源(获取访问权)(与图中(1)相同)。
服务器100接收该请求并且请求网络服务200执行认证(与图中(2)相同)。
当接收到来自服务器100的认证请求时,网络服务200确认设备300的用户是否允许上述认证(访问权的获取)(与图中(3)相同)。
当用户经由设备300将许可通知到网络服务200时(与图中(4)相同),网络服务200为服务器100发出访问令牌(与图中(5)相同)。
然后,服务器100使用所发出的访问令牌调用网络服务200上的资源(API)(与图8中(6)相同)。
因为上述由用户做出的许可使用在网络服务200侧准备的用于认证的网页,所以浏览器被用作设备300侧的UI模块。因为假设浏览器安装在用户设备上,所以当实际执行服务认证时不是所有设备都能执行认证。
将对上述服务认证处理进行更详细的描述。图7是示出网络服务认证的流程的序列图。此外,图8是示出设备300中网络服务认证处理流程的流程图。此外,图9是示出服务器100中网络服务认证处理流程的流程图。
这些处理假设通过上述基于设备的安全机制在服务器100和设备300之间建立了安全通信路径。
首先,设备300的服务认证单元326使用上述基于设备的安全机制将对网络服务200的登录请求发送至服务器100的服务认证处理单元123(图7的步骤71,图8的步骤81)。
当接收到登录请求时(图9的步骤91),服务器100的服务认证处理单元123向网络服务200请求请求令牌(图7的步骤72,图9的步骤92)。
接收到上述对请求令牌的请求的网络服务200为服务器100的服务认证处理单元123发出请求令牌(未许可)(图7的步骤73)。
当接收到上述发出的请求令牌时(图9的步骤93),服务器100的服务认证处理单元123将请求令牌和服务认证页的URL发送至设备300的服务认证单元326(将设备300重定向到URL)(图7的步骤74,图9的步骤94)。
设备300的服务认证单元326接收上述请求令牌和用于认证的URL,并且将它们发送至服务UI单元341(图8的步骤82)。
服务UI单元341通过用于认证的URL访问网络服务200(图7的步骤74),并且使显示单元36通过浏览器显示用于服务认证许可的确认屏幕(图7的步骤75,图8的步骤83)。
当访问用于认证的URL时,要求用户输入网络服务200的用户ID和密码。当用户经由浏览器输入用户ID和密码并且用户认证通过时,显示上述确认屏幕。
就是说,在网络服务认证处理中,用户ID和密码的交换直接在设备300和网络服务200之间进行。因此,可以防止服务器100获取用户ID/密码并且非法存储和使用它们。
当接收到来自用户在确认屏幕上选择许可/阻止的操作时,服务UI单元341将结果发送至网络服务200(图7的步骤76,图8的步骤84)。
在用户对上述确认屏幕给出许可的情况下(图8的步骤85中为是),服务UI单元341从网络服务200接收表示“被许可”的请求令牌并且将它发送至服务认证单元326(图8的步骤86)。
服务认证单元326将所接收的请求令牌发送至服务器100的服务认证处理单元123(图8的步骤87)。
当接收到来自设备300的服务认证单元326的上述请求令牌时(图9的步骤95),服务器100的服务认证处理单元123基于它请求网络服务200的访问令牌(图7的步骤77,图9的步骤96)。
网络服务200响应于上述对访问令牌的请求给服务器100的服务认证处理单元123发出访问令牌(图7的步骤78),并且服务认证处理单元123接收所发出的访问令牌(图9的步骤97)。
接收到访问令牌的服务认证处理单元123将访问令牌发送至访问令牌管理单元112,使其与用户ID和服务ID相关联,并且使存储单元18存储访问令牌(图9的步骤98)。
然后,服务认证处理单元123向设备300的服务认证单元326通知服务认证处理完成(访问令牌获取处理)(图9的步骤99)。
设备300的服务认证单元326接收上述处理完成通知(图8的步骤88)。
(对网络服务的访问处理)
接下来,将描述使用通过上述网络服务认证获得的访问令牌对网络服务200的访问处理。
图10是示出设备300对网络服务的访问处理流程的流程图。此外,图11是示出服务器100对网络服务的访问处理流程的流程图。
在这种情况下,设备300可以是参与上述网络服务认证处理的设备,或者可以是不参与认证处理并且通过基于设备的安全机制连接至参与认证处理的上述设备的另外的设备。另外,设备300可以包括用于上述服务认证处理所需的浏览器的显示单元36或操作接收单元37(例如,PC和智能手机),或者无需包括它们(例如,数字相框和医疗设备)。
首先,设备300的服务UI单元341接收来自用户的访问网络服务的请求,并且将其发送至服务访问请求单元327(图10的步骤101)。
接收到上述访问请求的服务访问请求单元327将访问网络服务200的请求连同用户ID一起发送至服务器100的服务访问处理单元124(图10的步骤102)。
当接收到上述访问请求时(图11的步骤111),服务器100的服务访问处理单元124从访问令牌管理单元112获取与存储在存储单元18中的上述用户ID对应的访问令牌(图11的步骤112)。
接下来,服务访问处理单元124使用所获得的访问令牌访问网络服务200(图11的步骤113)。
然后,服务访问处理单元124将访问网络服务200的结果(例如,API)发送至设备300的服务访问请求单元327(图11的步骤114)。
设备300的服务访问请求单元327接收上述访问结果,并将其发送至服务UI单元341(图10的步骤103)。
然后,服务UI单元341经由显示单元36将上述访问结果呈现给用户(图10的步骤104)。
[结论]
如上所述,在本实施方式中,服务器100响应于来自设备300的请求将从网络服务200获取的访问令牌安全地存储在服务器100中。
然后,可以在不输入一组用户ID/密码的情况下通过上述基于设备的安全机制保护服务器100与设备300间以及多个设备300间的安全,并且在没有设备300中的用户认证处理的情况下执行用户和设备300的关联。
因此,如果通过上述网络服务认证处理在设备300中的任一个上执行网络服务200的用户认证,则与基于设备的安全机制相关联的其他设备300能够使用被服务器100获得和存储的访问令牌。
这表示,对于要被使用许多次的每个设备300,用户可以在不输入网络服务200的ID/密码的情况下自由地使用服务。
此外,在网络服务200的用户认证中,当允许获取访问令牌时,在设备300上需要输入ID/密码或者通知许可意图的UI功能(例如,按OK按钮)。然而,在本实施方式中,仅需要在设备300中的任一个中执行用户认证。因此,不具有输入ID/密码或者按按钮的UI功能(字符或操作的输入设备,以及UI的输出设备)的设备300也能够使用网络服务200。
<第二实施方式>
接下来,将描述本技术的第二实施方式。在本实施方式中,未被详细描述的部分与上述第一实施方式具有相同的配置。此外,在本实施方式中,与上述第一实施方式具有相同功能和配置的部分将由相同的附图标记来表示,并且其描述将被省略或简化。
在上述第一实施方式中,总是经由服务器100来执行使用服务器100所获取的访问令牌对网络服务200的访问。然而,通常,因为对网络服务200的访问往往通过由网络服务200提供的一些服务API顺序地被执行,所以每次经由服务器100执行访问不是有效率的。
另一方面,通过上述基于设备的安全机制,多个设备300和服务器100的安全管理器可以被视为通过代码通信彼此协作的一个***。鉴于以上情况,在本实施方式中,设备300临时获取在服务器100侧管理的访问令牌,并且使用它直接访问网络服务200。
[服务器和设备的模块配置]
图12是示出本实施方式中服务器100的软件模块配置的框图。另一方面,图13是示出本实施方式中设备300的软件模块配置的框图。
如图12所示,为了实现从设备300对网络服务200的上述直接访问,在本实施方式中,服务器100包括访问令牌传递处理单元127替代第一实施方式中的服务访问处理单元124。
另一方面,如图13所示,在本实施方式中,设备300包括服务访问单元328替代第一实施方式中的服务访问请求单元327。
服务器100的访问令牌传递处理单元127根据来自设备300的请求,获取来自访问令牌管理单元112的访问令牌,并且将其传递给设备300。
设备300的服务访问单元328获取在服务器100侧管理的访问令牌,并且使用它直接访问网络服务200。
[***的操作]
接下来,将描述本实施方式中服务器100和设备的操作。网络服务认证处理与上述第一实施方式的网络服务认证处理相同。
(对网络服务的访问处理)
图14是示出本实施方式中通过设备300对网络服务的访问处理的流程的流程图。另一方面,图15是示出本实施方式中通过服务器100对网络服务的访问处理的流程的流程图。
首先,设备300的服务UI单元341从用户接收访问网络服务的请求,并且将其发送至服务访问单元328(图14的步骤141)。
接收到访问请求的服务访问单元328将访问令牌与用户ID和服务ID一起传递的请求发送至服务器100的访问令牌传递处理单元127(图14的步骤142)。
当接收到传递请求时(图15的步骤151),服务器100的访问令牌传递处理单元127从访问令牌管理单元112获取与用户ID和服务ID对应的对网络服务200的访问令牌(图15的步骤152)。
然后,访问令牌传递处理单元127将所获得的访问令牌传递至作为传递请求源的设备300的服务访问单元328(图15的步骤153)。
当接收到来自服务器100的访问令牌时,设备300的服务访问单元328使用该访问令牌访问网络服务200并且将访问结果发送至服务UI单元341(图14的步骤143)。
然后,服务UI单元341经由显示单元36将上述访问网络服务200的结果呈现给用户(图14的步骤144)。
[结论]
如上所述,根据本实施方式,设备300能够临时获取在服务器100侧管理的访问令牌,并且使用它直接访问网络服务200。因此,可以提高对网络服务200的访问效率并且可能减轻服务器100的负担。
[修改示例]
本技术不仅仅限于上述实施方式,并且在不背离本技术的主旨的情况下可以做出各种修改。
在上述第一实施方式和第二实施方式中,通过服务器100获得的访问令牌的存储位置是服务器100中的存储单元18(访问令牌管理单元112)。然而,只要能够确保安全,可以将访问令牌存储在云上的另外的存储装置中,该存储装置可以物理地远离服务器100。
在上述第二实施方式中,每当设备300访问网络服务200时,设备300从服务器100获取访问令牌。然而,设备300可以将以前从服务器100获取的访问令牌在RAM 33或存储单元38中保留预定的时间段。因此,在用户请求需要与所保留的访问令牌相同的访问令牌来访问网络服务的情况下,设备300可以再次使用该访问令牌。
在上述第一实施方式和第二实施方式中,对于设备300之间以及设备300与服务器100之间的通信,使用了基于设备的安全机制。然而,在通过其他手段保证安全的情况下无需使用基于设备的安全机制。
上述第一实施方式和第二实施方式中的技术可以独立地被执行,并且只要它们彼此不冲突就能够以任意组合被执行。
[其他]
本技术也可以采用下面配置。
(1)一种信息处理装置,包括:
通信单元,其能够与第一设备、第二设备以及网络上的服务进行通信,所述服务具有关于所述第一设备的用户的资源;
存储单元;以及
控制器,所述控制器能够:
控制所述通信单元使得所述通信单元:基于来自所述第一设备的获取对所述资源的访问权的请求以及表示所述用户关于获取所述访问权的许可的许可信息,将发出访问令牌的请求发送至所述服务,所述访问令牌表示所述访问权;并且从所述服务接收由所述服务发出的所述访问令牌,以及
控制所述存储单元使得所述存储单元安全地存储所接收的访问令牌。
(2)根据上述(1)所述的信息处理装置,其中
所述控制器控制所述通信单元使得所述通信单元响应于来自与所述用户相关联的所述第二设备的请求,使用所存储的访问令牌来访问所述资源。
(3)根据上述(1)或(2)所述的信息处理装置,其中
所述控制器控制所述通信单元使得所述通信单元通过安全通信路径将所存储的访问令牌发送至所述第一设备或所述第二设备。
(4)根据上述(1)至(3)所述的信息处理装置,其中
所述第一设备包括输入设备和输出设备,所述用户向所述服务通知所述许可的意图所需要的操作被输入至所述输入设备,所述输出设备输出用于所述输入的屏幕,并且
所述第二设备不包括所述输入设备和所述输出设备。
(5)根据上述(1)至(4)中任一项所述的信息处理装置,其中,所述控制器:
控制所述通信单元使得所述通信单元从所述第一设备接收关联信息,所述关联信息表示与所述用户、所述第一设备和所述第二设备的关联,以及
控制所述存储单元使得所述存储单元存储所接收的关联信息。
附图标记说明
11、31 CPU
13、33 RAM
18、38 存储单元
19、39 通信单元
36 显示单元
37 操作接收单元
50 WAN
100 服务器
112 访问令牌管理单元
123 服务认证处理单元
124 服务访问处理单元
127 访问令牌传递处理单元
131 通信单元
150 用户认证服务器
200(200A、200B、200C) 网络服务
300(300A、300B、300C) 设备
311 通信单元
326 服务认证单元
327 服务访问请求单元
328 服务访问单元
341 服务UI单元
Claims (8)
1.一种信息处理装置,包括:
通信单元,其能够与第一设备、第二设备以及网络上的服务进行通信,所述服务具有关于所述第一设备的用户的资源;
存储单元;以及
控制器,所述控制器能够:
控制所述通信单元使得所述通信单元:基于来自所述第一设备的获取对所述资源的访问权的请求以及表示所述用户关于获取所述访问权的许可的许可信息,将发出访问令牌的请求发送至所述服务,所述访问令牌表示所述访问权;并且从所述服务接收由所述服务发出的所述访问令牌,以及
控制所述存储单元使得所述存储单元安全地存储所接收的访问令牌。
2.根据权利要求1所述的信息处理装置,其中
所述控制器控制所述通信单元使得所述通信单元响应于来自与所述用户相关联的所述第二设备的请求,使用所存储的访问令牌来访问所述资源。
3.根据权利要求1所述的信息处理装置,其中
所述控制器控制所述通信单元使得所述通信单元通过安全通信路径将所存储的访问令牌发送至所述第一设备或所述第二设备。
4.根据权利要求1所述的信息处理装置,其中
所述第一设备包括输入设备和输出设备,所述用户向所述服务通知所述许可的意图所需要的操作被输入至所述输入设备,所述输出设备输出用于所述输入的屏幕,并且
所述第二设备不包括所述输入设备和所述输出设备。
5.根据权利要求2所述的信息处理装置,其中,所述控制器:
控制所述通信单元使得所述通信单元从所述第一设备接收关联信息,所述关联信息表示与所述用户、所述第一设备和所述第二设备的关联,以及
控制所述存储单元使得所述存储单元存储所接收的关联信息。
6.一种信息处理***,包括:
服务器装置,包括:
第一通信单元,其能够与用户设备和网络上的服务进行通信,所述服务具有关于所述用户设备的用户的资源,
存储单元,以及
第一控制器,其能够:
控制所述第一通信单元使得所述第一通信单元基于来自所述用户设备的获取对所述资源的访问权的请求以及表示所述用户关于获取所述访问权的许可的许可信息,将发出访问令牌的请求发送至所述服务,所述访问令牌表示所述访问权;并且从所述服务接收由所述服务发出的所述访问令牌,以及
控制所述存储单元使得所述存储单元安全地存储所接收的访问令牌;以及
信息处理装置,包括:
第二通信单元,其能够与所述服务器装置和所述服务进行通信,以及
第二控制器,其能够控制所述第二通信单元使得所述第二通信单元通过安全通信路径从所述服务器装置接收所存储的访问令牌,并且使用所接收的访问令牌访问所述资源。
7.一种信息处理方法,包括:
从第一设备接收获取对关于所述第一设备的用户的资源的访问权的请求以及许可信息,网络上的服务具有所述资源,所述许可信息表示所述用户关于获取所述访问权的许可;
将发出表示所述访问权的访问令牌的请求发送至所述服务;
从所述服务接收由所述服务发出的所述访问令牌;以及
安全地存储所接收的访问令牌。
8.一种程序,其使信息处理装置执行以下步骤:
从第一设备接收获取对关于所述第一设备的用户的资源的访问权的请求以及许可信息,网络上的服务具有所述资源,所述许可信息表示所述用户关于获取所述访问权的许可;
将发出表示所述访问权的访问令牌的请求发送至所述服务;
从所述服务接收由所述服务发出的所述访问令牌;以及
安全地存储所接收的访问令牌。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012-073374 | 2012-03-28 | ||
| JP2012073374 | 2012-03-28 | ||
| PCT/JP2013/000390 WO2013145517A1 (ja) | 2012-03-28 | 2013-01-25 | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104169935A true CN104169935A (zh) | 2014-11-26 |
| CN104169935B CN104169935B (zh) | 2017-10-31 |
Family
ID=49258845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380015365.5A Expired - Fee Related CN104169935B (zh) | 2012-03-28 | 2013-01-25 | 信息处理装置、信息处理***、信息处理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9760708B2 (zh) |
| JP (1) | JP6098636B2 (zh) |
| CN (1) | CN104169935B (zh) |
| WO (1) | WO2013145517A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110214437A (zh) * | 2016-12-07 | 2019-09-06 | 马维尔国际贸易有限公司 | 用于存储器访问令牌重新分配的***和方法 |
| CN111108525A (zh) * | 2017-07-24 | 2020-05-05 | 感通有限公司 | 通过不安全通信信道的基于距离的安全通信的***和方法 |
| CN111723392A (zh) * | 2019-03-22 | 2020-09-29 | 富士施乐株式会社 | 令牌管理装置、存储介质及令牌管理方法 |
| CN111868688A (zh) * | 2018-01-17 | 2020-10-30 | Cy游戏公司 | 用于进行通信的***、程序、方法和服务器 |
| CN114866247A (zh) * | 2022-04-18 | 2022-08-05 | 杭州海康威视数字技术股份有限公司 | 一种通信方法、装置、***、终端及服务器 |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
| US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
| US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
| US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
| US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
| US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
| US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
| US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
| US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
| US9832171B1 (en) | 2013-06-13 | 2017-11-28 | Amazon Technologies, Inc. | Negotiating a session with a cryptographic domain |
| US9536065B2 (en) * | 2013-08-23 | 2017-01-03 | Morphotrust Usa, Llc | System and method for identity management |
| JP6322976B2 (ja) * | 2013-11-29 | 2018-05-16 | 富士通株式会社 | 情報処理装置及びユーザ認証方法 |
| KR102318279B1 (ko) | 2014-02-18 | 2021-10-28 | 삼성전자주식회사 | 무선 통신 시스템에서 인증 정보 송수신 방법 및 장치 |
| US10395024B2 (en) * | 2014-03-04 | 2019-08-27 | Adobe Inc. | Authentication for online content using an access token |
| JP6454076B2 (ja) | 2014-03-20 | 2019-01-16 | キヤノン株式会社 | 中継装置、通信装置、それらの制御方法、システム、及びプログラム |
| JP6346478B2 (ja) * | 2014-03-20 | 2018-06-20 | キヤノン株式会社 | 中継装置、中継方法、中継システム、及びプログラム |
| US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
| US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
| US10484345B2 (en) * | 2014-07-31 | 2019-11-19 | Visa International Service Association | System and method for identity verification across mobile applications |
| US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
| US9692815B2 (en) * | 2015-11-12 | 2017-06-27 | Mx Technologies, Inc. | Distributed, decentralized data aggregation |
| EP3355141B1 (de) * | 2017-01-27 | 2019-03-06 | Siemens Aktiengesellschaft | Operator-system für ein prozessleitsystem |
| CN107026847B (zh) | 2017-02-09 | 2020-05-26 | 阿里巴巴集团控股有限公司 | 一种信任登录方法、服务器及*** |
| US10334659B2 (en) * | 2017-05-09 | 2019-06-25 | Verizon Patent And Licensing Inc. | System and method for group device access to wireless networks |
| GB2565270B (en) | 2017-07-03 | 2022-08-31 | Arm Ip Ltd | Secure server and compute nodes |
| JP7200776B2 (ja) * | 2019-03-18 | 2023-01-10 | 富士フイルムビジネスイノベーション株式会社 | 情報処理システム及びプログラム |
| CN114900344A (zh) * | 2022-04-26 | 2022-08-12 | 四川智能建造科技股份有限公司 | 一种身份认证方法、***、终端及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060119883A1 (en) * | 2004-10-08 | 2006-06-08 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential consolidation |
| CN101014958A (zh) * | 2004-07-09 | 2007-08-08 | 松下电器产业株式会社 | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的***和方法 |
| CN101116080A (zh) * | 2005-02-04 | 2008-01-30 | 皇家飞利浦电子股份有限公司 | 创建授权域的方法、设备、***、令牌 |
| CN102160357A (zh) * | 2008-09-16 | 2011-08-17 | 艾利森电话股份有限公司 | 通信网络中的密钥管理 |
| US20110231912A1 (en) * | 2010-03-19 | 2011-09-22 | Salesforce.Com, Inc. | System, method and computer program product for authenticating a mobile device using an access token |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090007250A1 (en) * | 2007-06-27 | 2009-01-01 | Microsoft Corporation | Client authentication distributor |
| CN101771677B (zh) * | 2008-12-31 | 2013-08-07 | 华为技术有限公司 | 一种向访问用户提供资源的方法、服务器和*** |
| US8364970B2 (en) * | 2009-02-18 | 2013-01-29 | Nokia Corporation | Method and apparatus for providing enhanced service authorization |
| JP5660050B2 (ja) * | 2009-12-28 | 2015-01-28 | 日本電気株式会社 | ユーザ情報活用システム、装置、方法およびプログラム |
| JP5440210B2 (ja) | 2010-01-28 | 2014-03-12 | 富士通株式会社 | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 |
| WO2012017561A1 (ja) * | 2010-08-06 | 2012-02-09 | 富士通株式会社 | 仲介処理方法、仲介装置及びシステム |
| US9965613B2 (en) * | 2010-12-03 | 2018-05-08 | Salesforce.Com, Inc. | Method and system for user session discovery |
| US8868915B2 (en) * | 2010-12-06 | 2014-10-21 | Verizon Patent And Licensing Inc. | Secure authentication for client application access to protected resources |
| EP2684151B1 (en) * | 2011-03-08 | 2018-09-12 | Telefonica S.A. | A method for providing authorized access to a service application in order to use a protected resource of an end user |
| US8533796B1 (en) * | 2011-03-16 | 2013-09-10 | Google Inc. | Providing application programs with access to secured resources |
| US9405896B2 (en) * | 2011-04-12 | 2016-08-02 | Salesforce.Com, Inc. | Inter-application management of user credential data |
| US8544069B1 (en) * | 2011-04-29 | 2013-09-24 | Intuit Inc. | Methods systems and articles of manufacture for implementing user access to remote resources |
| US8650622B2 (en) * | 2011-07-01 | 2014-02-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for authorizing and authentication interworking |
| US8732814B2 (en) * | 2011-08-15 | 2014-05-20 | Bank Of America Corporation | Method and apparatus for token-based packet prioritization |
| US8996887B2 (en) * | 2012-02-24 | 2015-03-31 | Google Inc. | Log structured volume encryption for virtual machines |
| US9942278B2 (en) * | 2012-03-28 | 2018-04-10 | Sony Corporation | Controlling communication based on relationship between a plurality of devices |
| US9256722B2 (en) * | 2012-07-20 | 2016-02-09 | Google Inc. | Systems and methods of using a temporary private key between two devices |
-
2013
- 2013-01-25 CN CN201380015365.5A patent/CN104169935B/zh not_active Expired - Fee Related
- 2013-01-25 WO PCT/JP2013/000390 patent/WO2013145517A1/ja active Application Filing
- 2013-01-25 JP JP2014507353A patent/JP6098636B2/ja not_active Expired - Fee Related
- 2013-01-26 US US14/383,603 patent/US9760708B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101014958A (zh) * | 2004-07-09 | 2007-08-08 | 松下电器产业株式会社 | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的***和方法 |
| US20060119883A1 (en) * | 2004-10-08 | 2006-06-08 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device credential consolidation |
| CN101116080A (zh) * | 2005-02-04 | 2008-01-30 | 皇家飞利浦电子股份有限公司 | 创建授权域的方法、设备、***、令牌 |
| CN102160357A (zh) * | 2008-09-16 | 2011-08-17 | 艾利森电话股份有限公司 | 通信网络中的密钥管理 |
| US20110231912A1 (en) * | 2010-03-19 | 2011-09-22 | Salesforce.Com, Inc. | System, method and computer program product for authenticating a mobile device using an access token |
Non-Patent Citations (2)
| Title |
|---|
| 大塚 知洋: ""作って学ぶOAuth認証Twitter、mixi、Facebook連携からサーバ実装まで"", 《WEB+DB PRESS》 * |
| 手嶋 透: ""解剖!クラウドテクノロジー ID/アクセス管理 標準プロトコルで複数サービスを連携"", 《日経SYSTEMS》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110214437A (zh) * | 2016-12-07 | 2019-09-06 | 马维尔国际贸易有限公司 | 用于存储器访问令牌重新分配的***和方法 |
| CN110214437B (zh) * | 2016-12-07 | 2023-04-14 | 马维尔亚洲私人有限公司 | 用于存储器访问令牌重新分配的***和方法 |
| CN111108525A (zh) * | 2017-07-24 | 2020-05-05 | 感通有限公司 | 通过不安全通信信道的基于距离的安全通信的***和方法 |
| CN111868688A (zh) * | 2018-01-17 | 2020-10-30 | Cy游戏公司 | 用于进行通信的***、程序、方法和服务器 |
| CN111868688B (zh) * | 2018-01-17 | 2024-04-23 | Cy游戏公司 | 用于进行通信的***、存储介质、方法和服务器 |
| CN111723392A (zh) * | 2019-03-22 | 2020-09-29 | 富士施乐株式会社 | 令牌管理装置、存储介质及令牌管理方法 |
| CN114866247A (zh) * | 2022-04-18 | 2022-08-05 | 杭州海康威视数字技术股份有限公司 | 一种通信方法、装置、***、终端及服务器 |
| CN114866247B (zh) * | 2022-04-18 | 2024-01-02 | 杭州海康威视数字技术股份有限公司 | 一种通信方法、装置、***、终端及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9760708B2 (en) | 2017-09-12 |
| WO2013145517A1 (ja) | 2013-10-03 |
| CN104169935B (zh) | 2017-10-31 |
| JP6098636B2 (ja) | 2017-03-22 |
| US20150101032A1 (en) | 2015-04-09 |
| JPWO2013145517A1 (ja) | 2015-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104169935A (zh) | 信息处理装置、信息处理***、信息处理方法及程序 | |
| US9288213B2 (en) | System and service providing apparatus | |
| CN102427457B (zh) | 对等网络的安全协议 | |
| JP2022541601A (ja) | 第1の要素非接触カード認証システムおよび方法 | |
| US8984295B2 (en) | Secure access to electronic devices | |
| US8745401B1 (en) | Authorizing actions performed by an online service provider | |
| CN101589400B (zh) | 权限管理方法及***、该***中使用的服务器和信息设备终端 | |
| EP3050280B1 (en) | Network access | |
| WO2023030450A1 (zh) | 数据共享方法和电子设备 | |
| JPWO2008029723A1 (ja) | データ利用管理システム | |
| CN109992949A (zh) | 一种设备认证方法、空中写卡方法及设备认证装置 | |
| CN102457509A (zh) | 云计算资源安全访问方法、装置及*** | |
| US11228580B2 (en) | Two-factor device authentication | |
| WO2023005838A1 (zh) | 数据共享方法和电子设备 | |
| JPWO2007099609A1 (ja) | 機器認証システム、移動端末、情報機器、機器認証サーバ及び機器認証方法 | |
| JP6623321B2 (ja) | ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体 | |
| JP2009181396A (ja) | ユーザ認証システム及びその方法 | |
| EP3425543A1 (en) | Authentication processing device and authentication processing method | |
| JP2010066929A (ja) | サーバシステム、電子機器、通信端末及び認証方法 | |
| JP6072954B1 (ja) | 認証処理装置および認証処理方法 | |
| JP6750260B2 (ja) | 情報処理装置およびエージェントシステム | |
| US10382430B2 (en) | User information management system; user information management method; program, and recording medium on which it is recorded, for management server; program, and recording medium on which it is recorded, for user terminal; and program, and recording medium on which it is recorded, for service server | |
| Chen et al. | Applications of multi-channel safety authentication protocols in wireless networks | |
| CN104683977A (zh) | 业务数据的管理方法及管理装置 | |
| JP6334275B2 (ja) | 認証装置、認証方法、認証プログラム、及び認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171031 Termination date: 20220125 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |