JP2020509475A - 信頼できるログイン方法、サーバ、およびシステム - Google Patents

信頼できるログイン方法、サーバ、およびシステム Download PDF

Info

Publication number
JP2020509475A
JP2020509475A JP2019543001A JP2019543001A JP2020509475A JP 2020509475 A JP2020509475 A JP 2020509475A JP 2019543001 A JP2019543001 A JP 2019543001A JP 2019543001 A JP2019543001 A JP 2019543001A JP 2020509475 A JP2020509475 A JP 2020509475A
Authority
JP
Japan
Prior art keywords
server
trusted login
token
client terminal
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019543001A
Other languages
English (en)
Other versions
JP6756051B2 (ja
Inventor
ウェンシュエ・ヤン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2020509475A publication Critical patent/JP2020509475A/ja
Application granted granted Critical
Publication of JP6756051B2 publication Critical patent/JP6756051B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本発明は、信頼できるログイン方法、サーバ、およびシステムを開示する。この方法は、第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求を受信するステップであり、ページアクセス要求は、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される、ステップと、ページアクセス要求で一時的な信頼できるログイントークンを取得し、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有するかどうかを判定するステップと、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有する場合、ターゲットクライアント端末が信頼できる方式で第1のサーバにログインすることを許可し、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページを返すステップとを含む。上記の技術的解決策は、従来技術における信頼できるログインのセキュリティ問題を解決し、信頼できるログインのセキュリティを強化する。

Description

優先権の主張
本出願は、その内容全体が参照により本明細書に組み込まれる、2017年2月9日に出願された中国特許出願第201710071568.6号の優先権を主張する。
本出願は、ソフトウェア技術の分野に関し、詳細には、信頼できるログイン方法、サーバ、およびシステムに関する。
科学および技術の絶え間ない発展に伴い、ソフトウェア技術は急速に開発され、様々なアプリケーションシステムが無限に出現している。一般的な場合、アプリケーションシステムを使用するとき、ユーザは、対応するサービスを利用する前にログインを実施するためにアカウント番号およびパスワードを入力する必要がある。
クライアントは、システムAに登録されているアカウント番号およびパスワードを使用することによって、システムAにログインすることができ、または、システムAに登録されているアカウント番号およびパスワードを使用することによって、システムAを信頼するシステムBにログインすることもできる。システムAのユーザがシステムAを信頼するシステムBにログインするとき、そのようなログイン方法は、信頼できるログインと呼ばれる。信頼できる方式でシステムBにログインした後、システムAのユーザは、システムBによって提供される対応するサービスにアクセスし、そこにおいて操作を実行し得る。
現在、既存の信頼できるログインソリューションでは、システムBが信頼できるログイン番号をシステムAに割り振る。次いで、システムAは、信頼できるログイン要求に、システムAのユーザログイン要求パラメータ、およびシステムBによって発行されたログイン番号を書き込み、鍵を使用することによって信頼できるログイン要求を暗号化し、暗号化された要求を送信する。システムBは、システムAによって提供された公開鍵を使用して、受信された信頼できるログイン要求を復号する。復号後、システムBは、信頼できるログイン要求内の信頼できるログイン番号が正当かどうかをチェックする。正当である場合、システムAのユーザは、システムBへのログインが許可され、信頼できるログインは成功する。しかしながら、既存の信頼できるログインソリューションでログインが成功すると、システムAのクライアントは、システムBのすべてのサービスページにアクセスし、そこにおいて操作を実行でき、セキュリティ脅威が発生する。たとえば、セキュリティ要件が低いためにシステムA(たとえば、地図アプリケーションシステム)でデータベースの盗難またはアカウントの盗難が発生した場合、盗難者はデータベースの盗難またはアカウントの盗難を介して取得されたユーザ情報を使用してシステムAにログインし、次いで、より高いセキュリティ要件を有するシステムBのページ(たとえば、支払いページ)において操作を実行するために、信頼できる方式でシステムAを介してシステムB(たとえば、支払いアプリケーションシステム)にログインする可能性がある。その結果、より高いセキュリティ要件を有するシステムBがリスクに直面する。
本出願の実施形態は、従来技術におけるシステム間の信頼できるログインのセキュリティ問題を解決し、信頼できるログインのセキュリティを強化するために使用される信頼できるログイン方法および装置、および電子デバイスを提供する。
本出願の第1の態様は、信頼できるログイン方法を提供し、この方法は、第1のサーバに適用され、
第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求を受信するステップであり、ページアクセス要求は、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される、ステップと、
ページアクセス要求で一時的な信頼できるログイントークンを取得し、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有するかどうかを判定するステップと、
一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有する場合、ターゲットクライアント端末が信頼できる方式で第1のサーバにログインすることを許可し、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページを返すステップと
を含む。
随意に、ページアクセス要求内の一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定するステップは、
一時的な信頼できるログイントークンおよびサービスページのサービス識別が第1のマッピング関係を満たすかどうかを判定するステップと、
一時的な信頼できるログイントークンおよびサービス識別が第1のマッピング関係を満たす場合、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有していると決定するステップと
を含む。
随意に、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定するステップは、
一時的な信頼できるログイントークンおよびサービスページのサービス識別が第1のマッピング関係を満たすかどうか、ならびに一時的な信頼できるログイントークンおよび第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子が第2のマッピング関係を満たすかどうかを判定するステップと、
一時的な信頼できるログイントークンおよびサービス識別が第1のマッピング関係を満たし、一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たす場合、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有していると決定するステップと
を含む。
随意に、ページアクセス要求内の一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定するステップの前に、方法は、
一時的な信頼できるログイントークンが正当かどうかを判定し、一時的な信頼できるログイントークンが満了しているかどうかを判定するステップと、
一時的な信頼できるログイントークンが正当であり、満了していない場合、ページアクセス要求内の一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定する操作を実行するステップと
をさらに含む。
随意に、サービスページは、埋め込み方式でターゲットクライアント端末にロードできるページである。
随意に、この方法は、
第2のサーバによって送信されたトークン取得要求を受信するステップと、
トークン取得要求に基づいて、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかを判定するステップと、
ターゲットクライアント端末が、信頼が付与されたクライアント端末である場合、一時的な信頼できるログイントークンを生成し、一時的な信頼できるログイントークンのページアクセスサービス特権を設定するステップと、
第2のサーバを使用することによって、一時的な信頼できるログイントークンをターゲットクライアント端末に送信するステップと
をさらに含む。
随意に、トークン取得要求に基づいて、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかを判定するステップは、
トークン取得要求が、第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子を含むかどうかを判定するステップと、
トークン取得要求が現在の信頼できるログイン識別子を含む場合、ターゲットクライアント端末が、信頼が付与されたクライアント端末であると決定するステップと
を含む。
随意に、トークン取得要求に基づいて、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかを判定するステップは、
ターゲットクライアント端末に対応する第1のクライアント端末が第1のサーバに存在するかどうかを判定するステップと、
第1のクライアント端末が存在する場合、ターゲットクライアント端末が、信頼が付与されたクライアント端末であると決定するステップと
を含む。
本発明の第2の態様は、信頼できるログイン方法を提供し、この方法は、ターゲットクライアント端末のサーバ端末である第2のサーバに適用され、この方法は、
ターゲットクライアント端末によって送信された信頼できるログイン要求を受信するステップであり、信頼できるログイン要求は、第1のサーバにログインし、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される、ステップと、
信頼できるログイン要求に基づいてトークン取得要求を生成し、トークン取得要求を第1のサーバに送信するステップと、
第1のサーバによってフィードバックされた一時的な信頼できるログイントークンを受信するステップであり、一時的な信頼できるログイントークンは、第1のサーバにログインし、サービスページにアクセスするためのサービス特権を有する、ステップと、
ターゲットクライアント端末が第1のサーバにログインし、一時的な信頼できるログイントークンを使用することによってサービスページにアクセスするように、一時的な信頼できるログイントークンをターゲットクライアント端末にフィードバックするステップと
を含む。
随意に、アクセス要求に基づいてトークン取得要求を生成し、トークン取得要求を第1のサーバに送信するステップは、
第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子を取得するステップであり、現在の信頼できるログイン識別子は、一時的な信頼できるログイントークンを取得するための証明書である、ステップと、
トークン取得要求を生成するために、現在の信頼できるログイン識別子をアクセス要求に書き込むステップと
を含む。
本発明の第3の態様は、第1のサーバを提供し、
第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求を受信するように構成された受信ユニットであり、ページアクセス要求は、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される、受信ユニットと、
ページアクセス要求で一時的な信頼できるログイントークンを取得し、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有するかどうかを判定するように構成された判定ユニットと、
一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有する場合、ターゲットクライアント端末が信頼できる方式で第1のサーバにログインすることを許可し、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページを返すように構成されたアクセス制限ユニットと
を含む。
随意に、判定ユニットは、
一時的な信頼できるログイントークンおよびサービスページのサービス識別が第1のマッピング関係を満たすかどうかを判定し、
一時的な信頼できるログイントークンおよびサービス識別が第1のマッピング関係を満たす場合、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有していると決定する
ように構成される。
随意に、判定ユニットは、
一時的な信頼できるログイントークンおよびサービスページのサービス識別が第1のマッピング関係を満たすかどうかを判定し、一時的な信頼できるログイントークンおよび第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子が第2のマッピング関係を満たすかどうかを判定し、
一時的な信頼できるログイントークンおよびサービス識別が第1のマッピング関係を満たし、一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たす場合、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有していると決定する
ように構成される。
随意に、判定ユニットは、
ページアクセス要求内の一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定する前に、一時的な信頼できるログイントークンが正当であるかどうかを判定し、一時的な信頼できるログイントークンが満了しているかどうかを判定し、
一時的な信頼できるログイントークンが正当であり、満了していない場合、ページアクセス要求内の一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定する操作を実行する
ようにさらに構成される。
随意に、サービスページは、埋め込み方式でターゲットクライアント端末にロードできるページである。
随意に、受信ユニットは、第2のサーバによって送信されたトークン取得要求を受信するようにさらに構成され、
判定ユニットは、トークン取得要求に基づいて、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかを判定するようにさらに構成され、
第1のサーバは、
ターゲットクライアント端末が、信頼が付与されたクライアント端末である場合、一時的な信頼できるログイントークンを生成し、一時的な信頼できるログイントークンのページアクセスサービス特権を設定するように構成された生成ユニットと、
第2のサーバを使用することによって、一時的な信頼できるログイントークンをターゲットクライアント端末に送信するように構成された送信ユニットと
をさらに含む。
随意に、判定ユニットは、
トークン取得要求が、第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子を含むかどうかを判定し、
トークン取得要求が現在の信頼できるログイン識別子を含む場合、ターゲットクライアント端末が、信頼が付与されたクライアント端末であると決定する
ようにさらに構成される。
随意に、判定ユニットは、
ターゲットクライアント端末に対応する第1のクライアント端末が第1のサーバに存在するかどうかを判定し、
第1のクライアント端末が存在する場合、ターゲットクライアント端末が、信頼が付与されたクライアント端末であると決定する
ようにさらに構成される。
本発明の第4の態様は、第2のサーバを提供し、第2のサーバは、ターゲットクライアント端末のサーバ端末であり、
ターゲットクライアント端末によって送信された信頼できるログイン要求を受信するように構成された受信モジュールであり、信頼できるログイン要求は、第1のサーバにログインし、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される、受信モジュールと、
信頼できるログイン要求に基づいてトークン取得要求を生成し、送信モジュールを使用することによってトークン取得要求を第1のサーバに送信するように構成された生成モジュールとを含み、
受信モジュールは、第1のサーバによってフィードバックされた一時的な信頼できるログイントークンを受信するようにさらに構成され、一時的な信頼できるログイントークンは、第1のサーバにログインし、サービスページにアクセスするためのサービス特権を有し、
送信モジュールは、ターゲットクライアント端末が第1のサーバにログインし、一時的な信頼できるログイントークンを使用することによってサービスページにアクセスするように、一時的な信頼できるログイントークンをターゲットクライアント端末にフィードバックするようにさらに構成される。
随意に、生成モジュールは、
第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子を取得し、現在の信頼できるログイン識別子は、一時的な信頼できるログイントークンを取得するための証明書であり、
トークン取得要求を生成するために、現在の信頼できるログイン識別子をアクセス要求に書き込む
ように構成される。
本発明の第5の態様は、信頼できるログインシステムを提供し、
第1のサーバと、
第2のサーバと、
ターゲットクライアント端末であり、ターゲットアクセスエントランスにおけるユーザ操作に応答して、信頼できるログイン要求を第2のサーバに送信し、信頼できるログイン要求は、第1のサーバにログインし、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用され、第2のサーバによって送信された一時的な信頼できるログイントークンを受信し、一時的な信頼できるログイントークンは、サービスページにアクセスするためのサービス特権を有し、一時的な信頼できるログイントークンに基づいて、サービスページにアクセスするためのアクセス要求を生成し、第1のサーバにログインし、サービスページにアクセスするよう要求するためのアクセス要求を第1のサーバに送信するように構成されたターゲットクライアント端末と
を含む。
本出願の実施形態における上記の1つまたは複数の技術的解決策は、少なくとも以下の技術的解決策を有する。
本出願の実施形態において、第1のサーバによって提供されるサービスページにアクセスするよう要求するために、第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求が受信されると、ページアクセス要求で一時的な信頼できるログイントークンが取得され、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有するかどうかが判定される。一時的な信頼できるログイントークンがサービス特権を有する場合、ターゲットクライアント端末は、信頼できる方式で第1のサーバにログインすることが許可され、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページが返される。このようにして、信頼できるログインを実行するユーザは、一時的な信頼できるログイントークンのサービス特権からの制限下で対応するサービスページにのみアクセスでき、システムの別のサービスページにアクセスできず、したがって、従来技術での信頼できるログインのセキュリティ問題を解決し、信頼できるログインのセキュリティが強化される。
本出願の実施形態Iによるターゲットクライアント端末での信頼できるログイン方法のフローチャートである。 本出願の実施形態Iによる第2のサーバ側の信頼できるログイン方法のフローチャートである。 本出願の実施形態Iによる第1のサーバ側の信頼できるログイン方法のトークン配信フローチャートである。 本出願の実施形態Iによる第1のサーバ側の信頼できるログイン方法のトークン検証フローチャートである。 本出願の実施形態Iによる信頼できるログイン方法の概略対話図である。 本出願の実施形態IIによる第1のサーバの概略図である。 本出願の実施形態IIによる第2のサーバの概略図である。 本出願の実施形態IIによる信頼できるログインシステムの概略図である。
本出願の実施形態の技術的解決策による、主要な実施原理、特定の実装形態、および対応する達成可能な有益な効果について、添付の図面を参照して以下で詳細に説明する。
実施形態I
本出願のこの実施形態は、信頼できるログイン方法を提供し、この方法は、信頼できるログインシステムに適用される。システムは、2つのアプリケーションシステムを含む。第1のアプリケーションシステムは、第1のサーバおよび第1のクライアント端末を含む。第2のアプリケーションシステムは、第2のサーバおよび第2のクライアント端末(すなわち、ターゲットクライアント端末)を含む。第1のサーバによって提供されるサービスページへのターゲットアクセスエントランスは、埋め込み方式でターゲットクライアント端末のアプリケーションインターフェース上に提供される。ユーザは、ターゲットアクセスエントランスにおいて操作を実行することによって、信頼できるログイン方法によって第1のサーバによって提供されるサービスページにアクセスするように、ターゲットクライアント端末をトリガし得る。
図1aを参照すると、本出願の一実施形態による信頼できるログイン方法が示されている。この方法は、ターゲットクライアント端末に適用され、以下を含む。
S1.1:ターゲットクライアント端末は、ターゲットアクセスエントランスにおけるユーザ操作に応答して、信頼できるログイン要求を第2のサーバに送信し、信頼できるログイン要求は、第1のサーバにログインし、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される。
信頼できるログイン要求は、ターゲットクライアント端末によってアクセスされるべきサービスページのサービス識別(ID)を含む。サービスIDは、ターゲットクライアント端末によってアクセスされるべき特定のサービスページを示すために使用される。信頼できるログイン要求は、ユーザアカウント番号およびパスワードをさらに含む。ユーザアカウント番号およびパスワードを使用して、第2のサーバへのログインを要求する、または第2のサーバがターゲットクライアント端末の正当性を検証できるようにする。ターゲットクライアント端末がユーザアカウント番号およびパスワードを使用することによって第2のサーバに正常にログインしたときのみ、またはターゲットクライアント端末が第2のサーバによって実行される正当性の検証に合格した後にのみ、第2のサーバは、ターゲットクライアント端末によって送信された信頼できるログイン要求に応答して、一時的な信頼できるログイントークンをターゲットクライアント端末に送信する。
S1.2:ターゲットクライアント端末は、信頼できるログイン要求に応答して、第2のサーバによって送信される一時的な信頼できるログイントークンを受信する。
一時的な信頼できるログイントークンは、ターゲットクライアント端末が第1のサーバにログインし、第1のサーバによって提供されるサービスページにアクセスするための証明書である。サービスページにアクセスするためのサービス特権は、一時的な信頼できるログイントークンに書き込まれる。ターゲットクライアント端末は、一時的な信頼できるログイントークンのサービス特権の範囲を超えてサービスページにアクセスすることを禁止されている。一時的な信頼できるログイントークンは、第2のサーバによって送信されたトークン取得要求に従って第1のサーバによって生成され、第2のサーバにフィードバックされる。次いで、第2のサーバは、一時的な信頼できるログイントークンをターゲットクライアント端末に送信する。
S1.3:ターゲットクライアント端末は、受信された一時的な信頼できるログイントークンに基づいて、第1のサーバによって提供されるサービスページにアクセスするためのアクセス要求を生成し、アクセス要求を第1のサーバに送信する。
具体的には、サービスページにアクセスするためのアクセス要求の生成中に、一時的な信頼できるログイントークンおよびアクセスされるべきサービスIDをカプセル化することによって、アクセス要求が生成され、または、一時的な信頼できるログイントークン、アクセスされるべきサービスID、およびユーザアカウント番号をカプセル化することによっても生成され得る。アクセス要求がユーザアカウント番号を含んでいるとき、アクセス要求内のユーザアカウント番号に基づいて、第1のサーバは、ターゲットクライアント端末の第1のユーザアカウント番号を検索するか、または第1のサーバおよび第2のサーバが合意したユーザマッピング関係に従って、第1のサーバにおいて第1のユーザアカウント番号を確立し得る。
S1.3の後、ターゲットクライアント端末は、第1のサーバがサービスページを返すのを待つ。第1のサーバによって返されたサービスページを受信すると、ターゲットクライアント端末は、サービスページにおいて操作を実行する。第1のサーバのサービスページへのターゲットクライアント端末のアクセスは、一時的な信頼できるログイントークンのサービス特権によって制限されるので、ターゲットクライアント端末は、信頼できる方式で第1のサーバにログインするときに、一時的な信頼できるログイントークンのサービス特権の範囲内のサービスページにのみアクセスすることができ、したがって、サービスページへのアクセスのセキュリティが強化される。
図1bを参照すると、本出願の一実施形態による信頼できるログイン方法が示されている。この方法は、第2のサーバに適用され、以下を含む。
S2.1:第2のサーバは、ターゲットクライアント端末によって送信された信頼できるログイン要求を受信する。
S2.2:第2のサーバは、受信された信頼できるログイン要求に基づいてトークン取得要求を生成し、トークン取得要求を第1のサーバに送信する。
具体的には、トークン取得要求は、信頼できるログイン要求および第2のサーバのサーバ識別子をカプセル化することによって生成され得る。第1のサーバは、サーバ識別子に従って、第2のサーバが、信頼が付与されたサーバであるかどうかを判定し得る。第2のサーバが、信頼が付与されたサーバである場合、第1のサーバは、トークン取得要求内の信頼できるログイン要求を解析し、一時的なログイントークンをフィードバックする。第2のサーバが、信頼が付与されたサーバでない場合、第1のサーバは、一時的なログイントークンを第2のサーバにフィードバックすることを拒否する。
トークン取得要求は、信頼できるログイン要求、および第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子をカプセル化することによっても生成され得る。現在の信頼できるログイン識別子は、第2のサーバが一時的な信頼できるログイントークンを取得するための証明書である。現在の信頼できるログイン識別子が正当である場合、第1のサーバは、トークン取得要求内の信頼できるログイン要求を解析して、一時的なログイントークンをフィードバックするかどうかを判定する。現在の信頼できるログイン識別子が正当でない場合、第1のサーバは、一時的なログイントークンを第2のサーバにフィードバックすることを拒否する。
現在の信頼できるログイン識別子は、信頼できるログイン番号でもよい。信頼できるログイン番号は、第1のサーバによって信頼が付与された第2のサーバに発行される。信頼できるログイン番号は固定番号でもよく、ひとたび発行されると、信頼付与期間内は有効である。信頼できるログイン番号は、常時更新される動的な番号でもよい。第1のサーバは、特定の時間期間に従って信頼できるログイン番号を更新し、更新された信頼できるログイン番号を第2のサーバに発行する。
S2.3:第2のサーバは、第1のサーバによってフィードバックされた一時的な信頼できるログイントークンを受信し、一時的な信頼できるトークンをターゲットクライアント端末に送信する。
補足的に、第2のサーバは、S2.1の後にS2.2を直接実行してもよい。あるいは、第2のサーバは、S2.1の後に受信された信頼できるログイン要求を解析して、信頼できるログイン要求が正当かどうかを判定する、たとえば、ターゲットクライアント端末が第2のサーバにログインしているかどうか、またはサービスページを提供する第1のサーバが第2のサーバとの契約に署名するかどうかを判定してもよい。信頼できるログイン要求が正当であると判定した場合、第2のサーバはS2.2を実行する。信頼できるログイン要求が正当でないと判定した場合、第2のサーバは要求失敗メッセージをターゲットクライアント端末に返す。
図1cを参照すると、本出願の一実施形態による信頼できるログイン方法におけるトークン配信方法が示されている。トークン配信方法は、第1のサーバに適用され、以下を含む。
S3.1:第1のサーバは、第2のサーバによって送信されたトークン取得要求を受信する。
第1のサーバは、トークン取得要求を受信した後、S3.2を直接実行してもよく、または、トークン取得要求に基づいて、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかを判定し、判定結果に従ってS3.2を実行するかどうかを選択してもよい。
トークン取得要求に基づいて、第1のサーバは、以下の方法で、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかを判定してもよい。
第1の方法では、トークン取得要求が、第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子を含むかどうかが判定される。トークン取得要求が現在の信頼できるログイン識別子を含む場合、ターゲットクライアント端末は信頼が付与されたクライアント端末であると決定される。そうではなく、トークン取得要求が現在の信頼できるログイン識別子を含まない場合、ターゲットクライアント端末は信頼が付与されたクライアント端末でないと決定される。
第2の方法では、第1のサーバと第2のサーバとの間のユーザマッピング関係を使用することによって、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかが判定される。第1のサーバと第2のサーバとの間に信頼できるログイン関係が確立されると、2つのサーバのユーザ間のマッピング関係が確立される。すなわち、第2のサーバのユーザに対応するターゲットユーザが、第1のサーバ上で確立または発見される。たとえば、第1のサーバにログインするとき、第2のサーバのユーザXは、第1のサーバのターゲットユーザX1に対応する。したがって、第1のサーバは、トークン取得要求でターゲットクライアント端末のユーザアカウント番号を取得し、ターゲットクライアント端末のユーザアカウント番号に対応するターゲットユーザアカウント番号が第1のサーバに存在するかどうかを判定してもよい。ターゲットユーザアカウント番号が存在する場合、ターゲットクライアント端末は信頼が付与されたクライアント端末であると決定され、そうでない場合、ターゲットクライアント端末は信頼が付与されたクライアント端末でないと決定される。
ターゲットクライアント端末が、信頼が付与されたクライアント端末でないと判定すると、第1のサーバは要求失敗メッセージを第2のサーバに返す。ターゲットクライアント端末が、信頼が付与されたクライアント端末であると判定すると、第1のサーバは引き続きS3.2を実行する。
S3.2:第1のサーバは、受信されたトークン取得要求に基づいて一時的な信頼できるログイントークンを生成し、一時的な信頼できるログイントークンのページアクセスサービス特権を設定する。
サービス特権は、1つの特定のサービスページまたは複数のサービスページに設定され得る。一時的な信頼できるログイントークンのページアクセスサービス特権を設定することは、第1のマッピング関係を確立すること、または第1のマッピング関係および第2のマッピング関係を確立することを含む。第1のマッピング関係は、一時的な信頼できるログイントークンと、アクセスが許可されるサービスページのサービスIDとの間のマッピング関係である。第2のマッピング関係は、一時的な信頼できるログイントークンと、第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子との間のマッピング関係である。第2のマッピング関係を使用することによって、一時的な信頼できるログイントークンは、指定された現在の信頼できるログイン識別子のみに対応(すなわち、指定されたサーバに対応)する有効なものに制限される。したがって、一時的な信頼できるログイントークンが、別のサーバによって不正使用されることを防ぐ。たとえば、Table 1(表1)に示すマッピング関係では、一時的な信頼できるログイントークンx1579は、現在の信頼できるログイン識別子4627に対応する第2のサーバY1に対してのみ有効であり、たとえばサーバY2など他のサーバに対しては無効である。
Figure 2020509475
一時的な信頼できるログイントークンを生成するプロセスでは、トークンを正当にするための特定の生成ルールに従って、一時的な信頼できるログイントークンが生成され得る。あるいは、一時的な信頼できるログイントークンごとに有効期間が設定されてもよく、一時的な信頼できるログイントークンは、有効期限が満了になると無効になる。
S3.3:第1のサーバは、第2のサーバを使用することによって、生成された一時的な信頼できるログイントークンをターゲットクライアント端末に送信する。
図1dを参照すると、本出願の一実施形態による信頼できるログイン方法でのトークン検証方法が示されている。トークン検証方法は、第1のサーバに適用され、以下を含む。
S3.4:第1のサーバは、第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求を受信する。
S3.5:第1のサーバは、ページアクセス要求で一時的な信頼できるログイントークンを取得し、一時的な信頼できるログイントークンが、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページにアクセスするためのサービス特権を有するかどうかを判定する。
具体的には、第1のサーバの情報フィードバック効率を高めるために、一時的な信頼できるログイントークンのサービス特権を判定する前に、一時的な信頼できるログイントークンが正当かどうか、または満了したかどうかが最初に判定され得る。一時的な信頼できるログイントークンが正当でないまたは満了したと判定された場合、ページアクセス要求は拒否される。一時的な信頼できるログイントークンが正当であり、満了していないと判定された場合、一時的な信頼できるログイントークンのサービス特権の判定が実行される。
特定の実装形態プロセスでは、一時的な信頼できるログイントークンのサービス特権は、以下の方法のうちのいずれかで判定され得る。
第1の方法では、一時的な信頼できるログイントークンおよびターゲット端末によってアクセスされるべきサービスページのサービスIDが第1のマッピング関係を満たすかどうかが判定される。具体的には、一時的な信頼できるログイントークンと第1のサーバによって確立されたサービスIDとの間の第1のマッピング関係に従って、ページアクセス要求内の一時的な信頼できるログイントークンがアクセス要求内のサービスIDに対応するかどうかが照会され得る。相互に対応していることを照会結果が示している場合、ページアクセス要求内の一時的な信頼できるログイントークンはサービスIDと一致し、一時的な信頼できるログイントークンは対応するサービスページにアクセスするためのサービス特権を有しており、そうでない場合、一時的な信頼できるログイントークンは、対応するサービスページにアクセスするためのサービス特権を有していないと判定される。
第2の方法では、一時的な信頼できるログイントークンおよびターゲット端末によってアクセスされるべきサービスページのサービスIDが第1のマッピング関係を満たすかどうかが判定され、一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たしているかどうかが判定され、現在の信頼できるログイン識別子が、第1のサーバによって、ターゲットクライアント端末が属する第2のサーバに発行される。一時的な信頼できるログイントークンおよびターゲット端末によってアクセスされるべきサービスページのサービスIDが第1のマッピング関係を満たしていること、および一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たしていることが判定され、現在の信頼できるログイン識別子が、第1のサーバによって、ターゲットクライアント端末が属する第2のサーバに発行されるとき、一時的な信頼できるログイントークンは、対応するサービスページにアクセスするためのサービス特権を有している。そうでない場合、一時的な信頼できるログイントークンは、対応するサービスページにアクセスするためのサービス特権を有していない。たとえば、一時的な信頼できるログイントークンについての第1のサーバにおいて確立されたマッピング関係がTable 1(表1)に示されていると仮定すると、第1のサーバによって受信されるページアクセス要求内の一時的な信頼できるログイントークンはx6478であり、アクセスされるべきサービスIDは103であり、ターゲットクライアント端末が属する第2のサーバの現在の信頼できるログイン識別子は3450である。第1のサーバは、Table 1(表1)に従って、ページアクセス要求内の一時的な信頼できるログイントークンおよびサービスIDが第1のマッピング関係を満たしているが、一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たしていないと判定する(一時的な信頼できるログイントークンx6478は、3450ではなく、現在の信頼できるログイン識別子3451に対応している)。一時的な信頼できるログイントークンx6478は、不正使用された、または満了する可能性のある正当でないトークンである。したがって、第1のサーバが現在のサービスアクセス要求を拒否する可能性がある。
S3.6:一時的な信頼できるログイントークンが対応するサービスページにアクセスするためのサービス特権を有していると判定された場合、第1のサーバは、ターゲットクライアント端末が信頼できる方式で第1のサーバにログインすることを許可し、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページを返す。そうではなく、一時的な信頼できるログイントークンが対応するサービスページにアクセスするためのサービス特権を有していないと判定した場合、第1のサーバは、ターゲットクライアント端末が対応するサービスページにアクセスすることを禁止する。
特定の実装形態プロセスでは、第1のサーバは、ターゲットクライアント端末が信頼できる方式で第1のサーバにログインすることを許可する。ターゲットクライアント端末は、第1のサーバでのみ信頼できるログインを実施でき、第1のサーバの第1のクライアント端末にリダイレクトしない。代わりに、サービスページがターゲットクライアント端末に返され、したがって、ユーザエクスペリエンスが向上する。たとえば、地図アプリケーションシステムAおよび支払いアプリケーションシステムBの場合、地図アプリケーションシステムAのユーザは、ターゲットクライアント端末(すなわち、地図クライアント端末ソフトウェア)におけるアクセスエントランスをクリックして、支払いアプリケーションシステムBのサービスページCへのアクセスを要求する。支払いアプリケーションシステムBは、システムB上のターゲットクライアント端末のユーザの信頼できるログインを検証および完了し、次いで、支払いアプリケーションシステムBの支払いクライアント端末ソフトウェアにリダイレクトする必要なしに、サービスページCを地図クライアント端末ソフトウェアに返すだけでよい。
さらに、第1のサーバによって提供されるサービスページは、埋め込み方式でターゲットクライアント端末にロードされるページであり得る。サービスページのサービスプロセスおよびサービスプレゼンテーションは、H5ページ(すなわち、ハイパーテキストマークアップ言語の第5改訂言語を使用して実装されたページであるhtml5ページ)を使用して実装され、したがって、第1のサーバの第1のアプリケーションシステムの開発を低減する。第1のサーバは、信頼できるログインを完了し、ページを返すだけでよく、したがって、サービスページをより多くのアプリケーションシステムおよびクライアント端末にプッシュするという目的を達成する。
信頼できるログインの後、第1のサーバは、対応するサービスページに識別子を埋め込んでもよい。たとえば、ターゲットクライアント端末とサービスページとの間のセッションの制御は、信頼できるログイン結果に従って書き込まれ、ターゲットクライアント端末のユーザの識別子がセッションに書き込まれて、信頼できるログインの成功を示す。ターゲットクライアント端末は、有効期間内に第1のサーバに再度ログインする必要はない。サービスページは、有効期間内にターゲットクライアント端末のサービス操作に直接応答してもよい。
図1eを参照すると、本出願の一実施形態による信頼できるログイン方法について、対話インスタンスを使用することによって、以下に完全に説明する。
S1.1:ターゲットクライアント端末は、ターゲットアクセスエントランスにおけるユーザ操作に応答して、信頼できるログイン要求を第2のサーバに送信する。
たとえば、支払いAPPの自動車保険アクセスエントランスが地図APPに埋め込まれていると仮定する。ターゲットクライアント端末のユーザBは、地図APPにおいて自動車保険アクセスエントランスをクリックする。ターゲットクライアント端末は、タップ操作に応答して、信頼できるログイン要求を地図APPの第2のサーバに送信する。アクセスされるべきサービスページのサービスIDおよびターゲットクライアント端末のユーザアカウント番号が、信頼できるログイン要求に書き込まれる。
S2.1:第2のサーバは、ターゲットクライアント端末によって送信された信頼できるログイン要求を受信する。
S2.2:第2のサーバは、受信された信頼できるログイン要求に基づいてトークン取得要求を生成し、トークン取得要求を第1のサーバに送信する。
第2のサーバは、信頼できるログイン要求、および第1のサーバによって発行された現在の信頼できるログイン識別子をカプセル化してトークン取得要求を生成し、次いで、カプセル化後に生成されたトークン取得要求を第1のサーバに送信し得る。たとえば、地図APPの第2のサーバは、支払いAPPのサーバによって発行された現在の信頼できるログイン識別子XXX、および受信された信頼できるログイン要求をカプセル化し、次いで、カプセル化後に生成されたトークン取得要求を支払いAPPの第1のサーバに送信し得る。
S3.1:第1のサーバは、第2のサーバによって送信されたトークン取得要求を受信する。
S3.2:第1のサーバは、一時的な信頼できるログイントークンを生成し、一時的な信頼できるログイントークンのページアクセスサービス特権を設定する。
たとえば、支払いAPPの第1のサーバは、受信されたトークン取得要求から現在の信頼できるログイン識別子を取得し、現在の信頼できるログイン識別子が、第1のサーバに保存され、第2のサーバに発行された現在の信頼できるログイン識別子と一致しているかどうかを決定する。それらが一致している場合、第1のサーバは、トークン取得要求に従ってターゲットクライアント端末のページアクセスサービス特権を決定してもよい。それらが一致していない場合、第1のサーバは、トークン取得要求を拒否する。地図APPのターゲットクライアント端末が支払いAPPの自動車保険ページにのみアクセスできると決定された場合、一時的な信頼できるログイントークンが生成され、自動車保険ページにのみアクセスできるように、一時的な信頼できるログイントークンのページアクセスサービス特権が設定される。次いで、生成された一時的な信頼できるログイントークンが地図APPの第2のサーバに送信される。
S3.3:第1のサーバは、第2のサーバを使用することによって、生成された一時的な信頼できるログイントークンをターゲットクライアント端末に送信する。
具体的には、第1のサーバは、最初に、トークン取得要求のフィードバック情報として、一時的な信頼できるログイントークンを第2のサーバにフィードバックする。次いで、第2のサーバは、一時的な信頼できるログイントークンをターゲットクライアント端末に送信する。
S2.3:第2のサーバは、第1のサーバによってフィードバックされた一時的な信頼できるログイントークンを受信し、一時的な信頼できるログイントークンをターゲットクライアント端末に送信する。具体的には、第2のサーバは、第1のサーバによって発行された現在の信頼できるログイン識別子および一時的な信頼できるログイントークンを一緒にターゲットクライアント端末に送信してもよい。
S1.2:ターゲットクライアント端末は、第2のサーバによって送信される一時的な信頼できるログイントークンを受信する。
S1.3:ターゲットクライアント端末は、受信された一時的な信頼できるログイントークンに基づいて、サービスページにアクセスするためのページアクセス要求を生成し、第1のサーバにログインし、第1のサーバによって提供されるサービスページにアクセスするよう要求するために、ページアクセス要求を第1のサーバに送信する。
たとえば、ターゲットクライアント端末は、受信された一時的な信頼できるログイントークン、アクセスされるべきサービスID、および現在の信頼できるログイン識別子などの情報をカプセル化し、カプセル化後に生成されたページアクセス要求を支払いAPPの第1のサーバに送信し得る。
S3.4:第1のサーバは、第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求を受信する。
S3.5:第1のサーバは、ページアクセス要求で一時的な信頼できるログイントークンを取得し、一時的な信頼できるログイントークンが、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページにアクセスするためのサービス特権を有するかどうかを判定する。
たとえば、ページアクセス要求が、一時的な信頼できるログイントークン、アクセスされるべきサービスID、および現在の信頼できるログイン識別子を含むと仮定する。Table 1(表1)に示され、一時的な信頼できるログイントークンについて事前に確立されたマッピング関係テーブルに従って、支払いAPPの第1のサーバは、一時的な信頼できるログイントークンおよびサービスIDが第1のマッピング関係を満たすかどうかを判定し、一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たすかどうかを判定し得る。一時的な信頼できるログイントークンおよびサービスIDが第1のマッピング関係を満たし、一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たしていると判定すると、一時的な信頼できるログイントークンが、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページにアクセスするためのサービス特権を有していると決定される。そうでない場合、一時的な信頼できるログイントークンは、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページにアクセスするためのサービス特権を有していないと決定され、ページアクセス要求は拒否される。
S3.6:一時的な信頼できるログイントークンが対応するサービスページにアクセスするためのサービス特権を有していると判定された場合、第1のサーバは、ターゲットクライアント端末が信頼できる方式で第1のサーバにログインすることを許可し、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページを返す。
上記の実施形態では、一時的な信頼できるログイントークンを発行することによって、第1のサーバは、ターゲットクライアント端末が信頼できるログインを完了した後、サービスページにアクセスするための第2のサーバのターゲットクライアント端末の特権を制限し、したがって、第1のサーバにおいて他のサービスページを効果的に保護し、従来技術で全般に適用されている信頼できるログインソリューションのセキュリティ問題を解決し、信頼できるログインのセキュリティを強化する。さらに、本出願は、サービスページを返す方法を使用し、したがって、第2のアプリケーションシステムから第1のアプリケーションシステムに、次いで、第2のアプリケーションシステムに戻る複雑なログインを実施することができる。このようにして、アプリケーションシステム間のリダイレクトの繰り返しが回避され、ユーザエクスペリエンスが向上する。
実施形態II
同じ発明概念に基づいて、本出願の一実施形態は、それに応じて第1のサーバ200をさらに提供する。図2に示すように、第1のサーバ200は、
第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求を受信するように構成された受信ユニット21であり、ページアクセス要求は、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される、受信ユニット21と、
ページアクセス要求で一時的な信頼できるログイントークンを取得し、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有するかどうかを判定するように構成された判定ユニット22と、
一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有する場合、ターゲットクライアント端末が信頼できる方式で第1のサーバにログインすることを許可し、ターゲットクライアント端末によってアクセスされるよう要求されたサービスページを返すように構成されたアクセス制限ユニット23と
を含む。
サービスページは、埋め込み方式でターゲットクライアント端末にロードできるページである。
オプションの実装形態として、判定ユニット22は、一時的な信頼できるログイントークンおよびサービスページのサービス識別が第1のマッピング関係を満たすかどうかを判定し、一時的な信頼できるログイントークンおよびサービス識別が第1のマッピング関係を満たす場合、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有していると決定し、またはさもなければ、一時的な信頼できるログイントークンがサービス特権を有していないと決定するように構成され得る。
判定ユニット22は、一時的な信頼できるログイントークンおよびサービスページのサービス識別が第1のマッピング関係を満たすかどうか、ならびに一時的な信頼できるログイントークンおよび第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子が第2のマッピング関係を満たすかどうかを判定し、一時的な信頼できるログイントークンおよびサービス識別が第1のマッピング関係を満たし、一時的な信頼できるログイントークンおよび現在の信頼できるログイン識別子が第2のマッピング関係を満たす場合、一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有していると決定するようにさらに構成され得る。
ページアクセス要求内の一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定する前に、判定ユニット22は、一時的な信頼できるログイントークンが正当かどうかを判定し、一時的な信頼できるログイントークンが満了しているかどうかを判定し、一時的な信頼できるログイントークンが正当であり、満了していない場合、ページアクセス要求内の一時的な信頼できるログイントークンがサービスページにアクセスするためのサービス特権を有しているかどうかを判定する操作を実行するようにさらに構成され得る。
オプションの実装形態として、受信ユニット21は、第2のサーバによって送信されたトークン取得要求を受信するようにさらに構成され得る。判定ユニット22は、トークン取得要求に基づいて、ターゲットクライアント端末が、信頼が付与されたクライアント端末であるかどうかを判定するようにさらに構成され得る。対応して、第1のサーバ200は、ターゲットクライアント端末が、信頼が付与されたクライアント端末である場合、一時的な信頼できるログイントークンを生成し、一時的な信頼できるログイントークンのページアクセスサービス特権を設定するように構成された生成ユニット24と、第2のサーバを使用することによって、一時的な信頼できるログイントークンをターゲットクライアント端末に送信するように構成された送信ユニット25とをさらに含む。
オプションの実装形態として、判定ユニット22は、トークン取得要求が、第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子を含むかどうかを判定し、トークン取得要求が現在の信頼できるログイン識別子を含む場合、ターゲットクライアント端末が、信頼が付与されたクライアント端末であると決定する、またはターゲットクライアント端末に対応する第1のクライアント端末が第1のサーバに存在するかどうかを判定し、第1のクライアント端末が存在する場合、ターゲットクライアント端末が、信頼が付与されたクライアント端末であると決定するようにさらに構成され得る。
同様に、本出願の一実施形態は、第2のサーバ300をさらに提供し、第2のサーバは、ターゲットクライアント端末のサーバ端末である。図3に示すように、第2のサーバ300は、
ターゲットクライアント端末によって送信された信頼できるログイン要求を受信するように構成された受信モジュール31であり、信頼できるログイン要求は、第1のサーバにログインし、第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用される、受信モジュール31と、
信頼できるログイン要求に基づいてトークン取得要求を生成し、送信モジュール33を使用することによってトークン取得要求を第1のサーバに送信するように構成された生成モジュール32とを含み、
受信モジュール31は、第1のサーバによってフィードバックされた一時的な信頼できるログイントークンを受信するようにさらに構成され、一時的な信頼できるログイントークンは、第1のサーバにログインし、サービスページにアクセスするためのサービス特権を有し、
送信モジュール33は、ターゲットクライアント端末が第1のサーバにログインし、一時的な信頼できるログイントークンを使用することによってサービスページにアクセスするように、一時的な信頼できるログイントークンをターゲットクライアント端末にフィードバックするようにさらに構成される。
具体的には、生成モジュール32は、第1のサーバによって第2のサーバに発行された現在の信頼できるログイン識別子を取得し、現在の信頼できるログイン識別子は、一時的な信頼できるログイントークンを取得するための証明書であり、トークン取得要求を生成するために、現在の信頼できるログイン識別子をアクセス要求に書き込むように構成される。
上記の実施形態によって提供される信頼できるログイン方法に基づいて、本出願の一実施形態は、それに応じて信頼できるログインシステムをさらに提供する。図4に示すように、システムは、
第1のサーバ200と、
第2のサーバ300と、
ターゲットクライアント端末100であり、ターゲットアクセスエントランスにおけるユーザ操作に応答して、信頼できるログイン要求を第2のサーバ300に送信し、信頼できるログイン要求は、第1のサーバ200にログインし、第1のサーバ200によって提供されるサービスページにアクセスするよう要求するために使用され、第2のサーバ300によって送信された一時的な信頼できるログイントークンを受信し、一時的な信頼できるログイントークンは、サービスページにアクセスするためのサービス特権を有し、一時的な信頼できるログイントークンに基づいて、サービスページにアクセスするためのアクセス要求を生成し、第1のサーバ200にログインし、サービスページにアクセスするよう要求するために、アクセス要求を第1のサーバ200に送信するように構成されたターゲットクライアント端末100と
を含む。
上記の実施形態の装置のモジュールおよびユニットが動作を実行する特定の方式については、関連する方法の実施形態で詳細に説明されているため、ここでは詳細を再度説明しない。
本発明は、上述し添付の図面に示した正確な構造に限定されるものではなく、本発明の範囲から逸脱することなく、様々な修正および変更を行うことができることを理解されたい。本発明の範囲は、添付の特許請求の範囲によってのみ限定される。
上記は単に本発明の好ましい実施形態を説明するものであり、本発明を限定することを意図するものではない。本発明の意図および原理内で行われる任意の修正、等価の置換、または改良は、本発明の保護範囲内に含まれるものとする。
本明細書に記載された主題および動作の実施形態は、デジタル電子回路、あるいはコンピュータソフトウェア、ファームウェア、もしくは本明細書に開示される構造およびそれらの構造的均等物を含むハードウェア、またはそれらの1つもしくは複数の組合せに実装することができる。本明細書に記載される主題の実施形態は、1つまたは複数のコンピュータプログラム、すなわち、データ処理装置によって実行される、またはデータ処理装置の動作を制御するための非一時的コンピュータ記憶媒体上に符号化されたコンピュータプログラム命令の1つまたは複数のモジュールとして実装することができる。代替的に、または追加として、プログラム命令は、人工的に生成された伝搬信号、たとえば、データ処理装置によって実行するために適した受信機装置への送信のために情報を符号化するために生成された機械生成電気、光学、または電磁信号上で符号化することができる。コンピュータ記憶媒体は、コンピュータ可読記憶デバイス、コンピュータ可読記憶基板、ランダムまたはシリアルアクセスメモリアレイまたはデバイス、あるいはそれらの1つまたは複数の組合せであり得、またはそれに含まれ得る。さらに、コンピュータ記憶媒体は伝搬信号ではないが、コンピュータ記憶媒体は、人工的に生成された伝搬信号に符号化されたコンピュータプログラム命令の送信元または宛先とすることができる。コンピュータ記憶媒体はまた、1つまたは複数の別々の物理的構成要素または媒体(たとえば、複数のコンパクトディスク(CD)、デジタルビデオディスク(DVD)、磁気ディスク、または他の記憶デバイス)であり得、あるいはそれに含まれ得る。
本明細書で説明されている動作は、1つまたは複数のコンピュータ可読記憶デバイスに記憶されている、または他のソースから受信されたデータに対してデータ処理装置によって実行される動作として実装することができる。
「リアルタイム(real-time)」、「リアルタイム(real time)」、「リアルタイム(realtime)」、「リアル(高速)タイム(RFT)」、「ほぼリアルタイム(NRT)」、「準リアルタイム」などの用語、または類似の用語(当業者によって理解される)は、個人がアクションおよび応答が実質的に同時に発生することを知覚するように、アクションおよび応答が時間的に近接していることを意味する。たとえば、データにアクセスするための個人のアクションに続くデータの表示(または表示の開始)に対する応答の時間差は、1ミリ秒(ms)未満、1秒(s)未満、または5秒未満とすることができる。要求されたデータは、即座に表示(または表示のために開始)される必要はないが、記述されたコンピューティングシステムの処理制限、およびたとえば、データを収集する、正確に測定する、分析する、処理する、記憶する、または送信するのに必要な時間を考慮して、意図的な遅延なしに表示(または表示のために開始)される。
「データ処理装置」、「コンピュータ」、または「コンピューティングデバイス」という用語は、例として、単一または複数のプログラマブルプロセッサ、コンピュータ、システムオンチップ、または上記の組合せを含む、データを処理するためのあらゆる種類の装置、デバイス、および機械を包含する。この装置は、たとえば、中央処理装置(CPU)、フィールドプログラマブルゲートアレイ(FPGA)、または特定用途向け集積回路(ASIC)などの専用論理回路を含むことができる。装置は、ハードウェアに加えて、問題のコンピュータプログラムの実行環境を生成するコード、たとえば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム(たとえば、LINUX、UNIX(登録商標)、WINDOWS(登録商標)、MAC OS、ANDROID(登録商標)、IOS、別のオペレーティングシステム、またはオペレーティングシステムの組合せ)、クロスプラットフォームランタイム環境、仮想マシン、またはそれらの1つもしくは複数の組合せを構成するコードも含むことができる。装置および実行環境は、ウェブサービス、分散コンピューティング、およびグリッドコンピューティングインフラストラクチャなど、様々な異なるコンピューティングモデルインフラストラクチャを実現することができる。
コンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、ソフトウェアモジュール、ソフトウェアユニット、スクリプト、またはコードとしても知られる)は、コンパイルされたもしくはインタープリタ型言語、宣言型言語もしくは手続き型言語を含む、任意の形式のプログラミング言語で記述することができ、スタンドアロンプログラムとして、またはモジュール、コンポーネント、サブルーチン、オブジェクトまたはコンピューティング環境での使用に適した他のユニットとしてなど、あらゆる形式で展開できる。コンピュータプログラムは、必ずしも必要はないが、ファイルシステム内のファイルに対応することができる。プログラムは、問題のプログラム専用の単一のファイル、または複数のコーディネートされたファイル(たとえば、1つまたは複数のモジュール、サブプログラム、もしくはコードの一部を記憶するファイルなど)に、他のプログラムまたはデータ(たとえば、マークアップ言語文書に記憶された1つまたは複数のスクリプトなど)を保持するファイルの一部に記憶することができる。コンピュータプログラムは、1つのコンピュータ上で、または1つのサイトに位置するか、もしくは複数のサイトに分散され、通信ネットワークによって相互接続された複数のコンピュータ上で実行されるように配備することができる。
コンピュータプログラムの実行に適したプロセッサは、例として、汎用および専用の両方のマイクロプロセッサ、およびあらゆる種類のデジタルコンピュータの1つまたは複数のプロセッサを含む。一般に、プロセッサは、読取り専用メモリまたはランダムアクセスメモリまたはその両方から命令およびデータを受信する。コンピュータの必須要素は、命令に従ってアクションを実行するためのプロセッサ、ならびに命令およびデータを記憶するための1つまたは複数のメモリデバイスである。一般に、コンピュータは、たとえば磁気、光磁気ディスク、または光ディスクなど、データを記憶するための1つまたは複数の大容量記憶デバイスをも含み、あるいは、1つまたは複数の大容量記憶デバイスからデータを受信する、それにデータを転送する、またはその両方のために動作可能に結合される。しかしながら、コンピュータはそのようなデバイスを有する必要はない。さらに、コンピュータは、別のデバイス、たとえば、ほんのいくつかの例を挙げれば、モバイルデバイス、携帯情報端末(PDA)、ゲームコンソール、全地球測位システム(GPS)受信機、またはポータブルストレージデバイス(たとえば、ユニバーサルシリアルバス(USB)フラッシュドライブなど)中に組み込むことができる。コンピュータプログラム命令およびデータを記憶するのに適したデバイスは、一例として、たとえば、消去可能プログラマブル読取り専用メモリ(EPROM)、電気的消去可能プログラマブル読取り専用メモリ(EEPROM)、およびフラッシュメモリデバイスなどの半導体メモリデバイス、たとえば内部ハードディスクまたはリムーバブルディスクなどの磁気ディスク、光磁気ディスク、およびCD-ROMおよびDVD-ROMディスクを含むすべての形態の不揮発性メモリ、媒体、およびメモリデバイスを含む。プロセッサおよびメモリは、専用論理回路によって補うまたは専用論理回路に組み込むことができる。
モバイルデバイスは、携帯電話(たとえば、スマートフォンなど)、タブレット、ウェアラブルデバイス(たとえば、スマートウォッチ、スマートメガネ、スマートファブリック、スマートジュエリーなど)、人体に埋め込まれたデバイス(たとえば、バイオセンサー、スマートペースメーカー、人工内耳など)、または他のタイプのモバイルデバイスを含み得る。モバイルデバイスは、様々な通信ネットワーク(以下で説明)にワイヤレス通信する(たとえば、無線周波数(RF)信号を使用して)ことができる。モバイルデバイスは、モバイルデバイスの現在の環境の特性を決定するためのセンサーを含むことができる。センサーには、カメラ、マイクロフォン、近接センサー、GPSセンサー、モーションセンサー、加速度計、環境光センサー、水分センサー、ジャイロスコープ、コンパス、気圧計、指紋センサー、顔認識システム、RFセンサー(たとえば、Wi-Fiおよびセルラー無線など)、温度センサー、または他のタイプのセンサーなどがあり得る。たとえば、カメラには、可動レンズまたは固定レンズ、フラッシュ、画像センサー、画像プロセッサを備える前方または後方カメラがあり得る。カメラは、顔および/または虹彩認識の詳細をキャプチャできるメガピクセルのカメラとすることができる。カメラは、データプロセッサおよびメモリに記憶された、またはリモートでアクセスされた認証情報とともに、顔認識システムを形成できる。顔認識システムまたは、1つもしくは複数のセンサー、たとえば、マイクロフォン、モーションセンサー、加速度計、GPSセンサー、RFセンサーなどをユーザ認証に使用できる。
ユーザとの対話を提供するために、本明細書で説明される主題の実施形態は、ディスプレイデバイスおよび入力デバイス、たとえば、ユーザに情報を表示するための液晶ディスプレイ(LCD)または有機発光ダイオード(OLED)/仮想現実(VR)/拡張現実(AR)ディスプレイ、ならびにユーザがコンピュータに入力を提供できるタッチスクリーン、キーボード、およびマウスやトラックボールなどのポインティングデバイスを有するコンピュータ上に実装することができる。他の種類のデバイスを使用して、ユーザとの対話を提供することもでき、たとえば、ユーザに提供されるフィードバックは、たとえば、視覚フィードバック、聴覚フィードバック、または触覚フィードバックなど、任意の形態の感覚フィードバックとすることができ、ユーザからの入力は、音響、音声、または触覚入力を含む任意の形態で受信することができる。さらに、コンピュータは、たとえば、ウェブブラウザから受信された要求に応答して、ユーザのクライアントデバイス上のウェブブラウザにウェブページを送信することによってなど、ユーザによって使用されるデバイスとの間でドキュメントを送受信することによって、ユーザと対話することができる。
本明細書で説明される主題の実施形態は、たとえば通信ネットワークなど、有線またはワイヤレスのデジタルデータ通信(またはそれらの組合せ)の任意の形態または媒体によって相互接続されたコンピューティングデバイスを使用して実装できる。通信ネットワークの例には、ローカルエリアネットワーク(LAN)、無線アクセスネットワーク(RAN)、メトロポリタンエリアネットワーク(MAN)、およびワイドエリアネットワーク(WAN)がある。通信ネットワークには、インターネット、別の通信ネットワークのすべてもしくは一部、または通信ネットワークの組合せがあり得る。情報は、ワールドワイドインターオペラビリティフォーマイクロウェーブアクセス(WIMAX)、ロングタームエボリューション(LTE)、符号分割多元接続(CDMA)、5Gプロトコル、IEEE802.11a/b/g/nまたは802.20プロトコル(または802.11xと802.20の組合せ、もしくは本開示と一致する他のプロトコル)、インターネットプロトコル(IP)、フレームリレー、非同期転送モード(ATM)、ETHERNET(登録商標)、または他のプロトコルもしくはプロトコルの組合せなど、様々なプロトコルおよび標準に従って通信ネットワークで送信できる。通信ネットワークは、接続されたコンピューティングデバイス間で音声、ビデオ、生体認証、または認証データ、または他の情報を送信できる。
本明細書で説明される主題の実施形態は、通信ネットワークによって相互接続されたクライアントおよびサーバを使用して実装することができる。クライアントとサーバとは、一般に、互いに遠隔であり、典型的には、通信ネットワークを介して対話する。クライアントとサーバとの関係は、それぞれのコンピュータ上で実行され、互いにクライアント-サーバ関係を有するコンピュータプログラムのおかげで生じる。たとえばモバイルデバイスなどのクライアントは、たとえば、購入、販売、支払い、贈与、送信、ローンのトランザクションを実行したり、それらを承認したりするなど、サーバとのトランザクション自体を実行したり、サーバを介してトランザクションを実行したりすることができる。
本明細書は多くの特定の実装の詳細を含むが、これらは、本開示の範囲または特許請求の範囲に対する限定として解釈されないものとする。別個の実装形態の文脈において本明細書で説明されるいくつかの特徴は、単一の実装形態において組み合わせて実装することもできる。逆に、単一の実装形態の文脈で記載されている様々な特徴は、複数の実装形態で別々にまたは任意の適切な部分組合せで実装することもできる。動作は特定の順序で説明され、請求されるが、これは、そのような動作が、示された特定の順序で、または逐次的な順序で実行されること、あるいは図示されたすべての動作が実行されることを必要とするものとして理解されないものとする(いくつかの動作はオプションと見なすことができる)。適宜に、マルチタスキングまたは並列処理(またはマルチタスキングと並列処理の組合せ)を実行できる。
21 受信ユニット
22 判定ユニット
23 アクセス制限ユニット
24 生成ユニット
25 送信ユニット
31 受信モジュール
32 生成モジュール
33 送信モジュール
100 ターゲットクライアント端末
200 第1のサーバ
300 第2のサーバ

Claims (17)

  1. 第1のサーバに適用されるコンピュータ実装方法であって、
    信頼できるログイントークン取得要求を受信するステップであり、前記信頼できるログイントークン取得要求が、i)サービスページアクセス要求を指定し、ii)ターゲットクライアント端末によって第2のサーバに送信された信頼できるログイン要求に基づく、ステップと、
    一時的な信頼できるログイントークンを生成するステップと、
    前記一時的な信頼できるログイントークンのサービスページアクセスサービス許可を設定するステップと、
    前記一時的な信頼できるログイントークンを前記ターゲットクライアント端末に送信するステップと、
    前記サービスページアクセス要求を受信するステップと、
    前記一時的な信頼できるログイントークンを取得するステップと、
    前記一時的な信頼できるログイントークンが、アクセスされるよう要求された前記サービスページにアクセスするためのサービス許可を有するかどうかを決定するステップと、
    前記一時的な信頼できるログイントークンが前記対応するサービスページにアクセスするためのサービス許可を有していると決定された場合、前記ターゲットクライアント端末が前記第1のサーバへの信頼できるログインを行うことを許可するステップと、
    前記ターゲットクライアント端末によってアクセスされるよう要求された前記サービスページを返すステップと
    を含むコンピュータ実装方法。
  2. 前記一時的な信頼できるログイントークンが、アクセスされるよう要求された前記サービスページにアクセスするためのサービス許可を有するかどうかを決定するステップが、
    前記一時的な信頼できるログイントークンおよびアクセスされるべき前記サービスページの識別子が第1のマッピング関係を満たすかどうかを決定するステップと、
    前記一時的な信頼できるログイントークン、および前記第1のサーバによって発行された現在の信頼できるログイン識別子が第2のマッピング関係を満たすかどうかを決定するステップと、
    前記一時的な信頼できるログイントークンおよびアクセスされるべき前記サービスページの前記識別子が前記第1のマッピング関係を満たし、前記一時的な信頼できるログイントークンおよび前記現在の信頼できるログイン識別子が前記第2のマッピング関係を満たしているとの決定に応答して、前記一時的な信頼できるログイントークンが、前記サービスページにアクセスするための前記サービス許可を有すると決定するステップと
    を含む、請求項1に記載のコンピュータ実装方法。
  3. 前記一時的な信頼できるログイントークンが、前記トークンを有効にするための特定の生成ルールに従って生成される、請求項1に記載のコンピュータ実装方法。
  4. 第2のサーバに対応するターゲットクライアント端末によって送信されたページアクセス要求を受信するステップであり、前記ページアクセス要求が、前記第1のサーバによって提供されるサービスページにアクセスするための要求を含む、ステップと、
    前記ページアクセス要求に基づいて一時的な信頼できるログイントークンを取得するステップと、
    前記一時的な信頼できるログイントークンが、前記サービスページにアクセスするためのサービス許可を有するかどうかを決定するステップと、
    前記一時的な信頼できるログイントークンが前記サービスページにアクセスするためのサービス許可を有している場合、前記ターゲットクライアント端末が前記第1のサーバへの信頼できるログインを行うことを可能にするステップと、
    前記ターゲットクライアント端末によってアクセスされるよう要求された前記サービスページを返すステップと
    をさらに含む、請求項1に記載のコンピュータ実装方法。
  5. 前記一時的な信頼できるログイントークンが、有効期間後に満了する、請求項4に記載のコンピュータ実装方法。
  6. 前記一時的な信頼できるログイントークンが前記サービスページにアクセスするためのサービス許可を有するかどうかを決定する前記ステップが、
    前記一時的な信頼できるログイントークンおよび前記サービスページのサービス識別が第1のマッピング関係を満たすかどうかを決定するステップと、
    前記一時的な信頼できるログイントークンおよび前記サービス識別が前記第1のマッピング関係を満たす場合、前記一時的な信頼できるログイントークンが前記サービスページにアクセスするための前記サービス許可を有すると決定するステップと
    を含む、請求項4に記載のコンピュータ実装方法。
  7. 前記一時的な信頼できるログイントークンが前記サービスページにアクセスするためのサービス許可を有するかどうかを決定する前記ステップが、
    前記一時的な信頼できるログイントークンおよび前記サービスページのサービス識別が第1のマッピング関係を満たすかどうかを決定し、前記一時的な信頼できるログイントークンおよび前記第1のサーバによって前記第2のサーバに発行された現在の信頼できるログイン識別子が第2のマッピング関係を満たすかどうかを決定するステップと、
    前記一時的な信頼できるログイントークンおよび前記サービス識別が前記第1のマッピング関係を満たし、前記一時的な信頼できるログイントークンおよび前記現在の信頼できるログイン識別子が前記第2のマッピング関係を満たしている場合、前記一時的な信頼できるログイントークンが、前記サービスページにアクセスするための前記サービス許可を有すると決定するステップと
    を含む、請求項4に記載のコンピュータ実装方法。
  8. 前記一時的な信頼できるログイントークンが前記サービスページにアクセスするためのサービス許可を有しているかどうかを決定する前記ステップの前に、
    前記一時的な信頼できるログイントークンが有効かどうかを決定し、前記一時的な信頼できるログイントークンが満了しているかどうかを決定するステップと、
    前記一時的な信頼できるログイントークンが有効であり、満了していない場合、前記ページアクセス要求に基づいて前記一時的な信頼できるログイントークンが前記サービスページにアクセスするためのサービス特権を有するかどうかを決定する動作を実行するステップと
    をさらに含む、請求項4に記載のコンピュータ実装方法。
  9. 前記サービスページが、埋め込み方式で前記ターゲットクライアント端末にロードできるページである、請求項4に記載のコンピュータ実装方法。
  10. 前記第2のサーバによって送信されたトークン取得要求を受信するステップと、
    前記トークン取得要求に基づいて、前記ターゲットクライアント端末が信頼できるクライアント端末であるかどうかを決定するステップと、
    前記ターゲットクライアント端末が信頼できるクライアント端末である場合、前記一時的な信頼できるログイントークンを生成し、前記一時的な信頼できるログイントークンのページアクセスサービス許可を設定するステップと、
    前記第2のサーバを使用することによって、前記一時的な信頼できるログイントークンを前記ターゲットクライアント端末に送信するステップと
    をさらに含む、請求項4から9のいずれか一項に記載のコンピュータ実装方法。
  11. 前記トークン取得要求に基づいて、前記ターゲットクライアント端末が信頼できるクライアント端末であるかどうかを決定する前記ステップが、
    前記トークン取得要求が、前記第1のサーバによって前記第2のサーバに発行された前記現在の信頼できるログイン識別子を含むかどうかを決定するステップと、
    前記トークン取得要求が前記現在の信頼できるログイン識別子を含む場合、前記ターゲットクライアント端末が前記信頼できるクライアント端末であると決定するステップと
    を含む、請求項10に記載のコンピュータ実装方法。
  12. 前記トークン取得要求に基づいて、前記ターゲットクライアント端末が信頼できるクライアント端末であるかどうかを決定する前記ステップが、
    前記ターゲットクライアント端末に対応する第1のクライアント端末が前記第1のサーバに存在するかどうかを決定するステップと、
    前記第1のクライアント端末が存在する場合、前記ターゲットクライアント端末が前記信頼できるクライアント端末であると決定するステップと
    を含む、請求項10に記載のコンピュータ実装方法。
  13. 前記ターゲットクライアント端末のサーバ端末である前記第2のサーバに適用され、
    前記ターゲットクライアント端末によって送信された信頼できるログイン要求を受信するステップであり、前記信頼できるログイン要求が、前記第1のサーバにログインし、前記第1のサーバによって提供される前記サービスページにアクセスするよう要求するために使用される、ステップと、
    前記信頼できるログイン要求に基づいてトークン取得要求を生成し、前記トークン取得要求を前記第1のサーバに送信するステップと、
    前記第1のサーバから一時的な信頼できるログイントークンを受信するステップであり、前記一時的な信頼できるログイントークンが、前記第1のサーバにログインし、前記サービスページにアクセスするためのサービス許可を有する、ステップと、
    前記ターゲットクライアント端末が前記第1のサーバにログインし、前記一時的な信頼できるログイントークンを使用して前記サービスページにアクセスするように、前記一時的な信頼できるログイントークンを前記ターゲットクライアント端末に送信するステップと
    を含む、請求項4に記載のコンピュータ実装方法。
  14. 前記信頼できるログイン要求に基づいてトークン取得要求を生成し、前記トークン取得要求を前記第1のサーバに送信する前記ステップが、
    前記第1のサーバによって前記第2のサーバに発行された現在の信頼できるログイン識別子を取得するステップであり、前記現在の信頼できるログイン識別子が、前記一時的な信頼できるログイントークンを取得するための証明書である、ステップと、
    前記トークン取得要求を生成するために、前記現在の信頼できるログイン識別子を前記アクセス要求に書き込むステップと
    を含む、請求項13に記載のコンピュータ実装方法。
  15. 請求項1から12のいずれか一項に記載の方法を実行するように構成された複数のユニットを含む第1のサーバ。
  16. 請求項13または14に記載の方法を実行するように構成された複数のユニットを含む第2のサーバ。
  17. 請求項15に記載の第1のサーバと、
    請求項16に記載の第2のサーバと、
    ターゲットクライアント端末であり、ターゲットアクセスエントランスにおけるユーザ操作に応答して、信頼できるログイン要求を前記第2のサーバに送信し、前記信頼できるログイン要求が、前記第1のサーバにログインし、前記第1のサーバによって提供されるサービスページにアクセスするよう要求するために使用され、前記第2のサーバによって送信された一時的な信頼できるログイントークンを受信し、前記一時的な信頼できるログイントークンが、前記サービスページにアクセスするためのサービス特権を有し、前記一時的な信頼できるログイントークンに基づいて、前記サービスページにアクセスするためのアクセス要求を生成し、前記第1のサーバにログインし前記サービスページにアクセスするよう要求するために、前記アクセス要求を前記第1のサーバに送信するように構成されたターゲットクライアント端末と
    を含む信頼できるログインシステム。
JP2019543001A 2017-02-09 2018-02-09 信頼できるログイン方法、サーバ、およびシステム Active JP6756051B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710071568.6A CN107026847B (zh) 2017-02-09 2017-02-09 一种信任登录方法、服务器及***
CN201710071568.6 2017-02-09
PCT/US2018/017657 WO2018148568A1 (en) 2017-02-09 2018-02-09 Trusted login method, server, and system

Publications (2)

Publication Number Publication Date
JP2020509475A true JP2020509475A (ja) 2020-03-26
JP6756051B2 JP6756051B2 (ja) 2020-09-16

Family

ID=59525544

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019543001A Active JP6756051B2 (ja) 2017-02-09 2018-02-09 信頼できるログイン方法、サーバ、およびシステム

Country Status (12)

Country Link
US (2) US11057363B2 (ja)
EP (2) EP3745290B1 (ja)
JP (1) JP6756051B2 (ja)
KR (1) KR102118840B1 (ja)
CN (2) CN107026847B (ja)
ES (1) ES2816556T3 (ja)
MY (1) MY195630A (ja)
PH (1) PH12019501854A1 (ja)
PL (1) PL3580679T3 (ja)
SG (2) SG11201907320YA (ja)
TW (1) TWI706263B (ja)
WO (1) WO2018148568A1 (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107026847B (zh) 2017-02-09 2020-05-26 阿里巴巴集团控股有限公司 一种信任登录方法、服务器及***
CN109426734A (zh) * 2017-08-28 2019-03-05 阿里巴巴集团控股有限公司 一种访问方法、装置、***及电子设备
CN109688086A (zh) * 2017-10-19 2019-04-26 北京京东尚科信息技术有限公司 用于终端设备的权限控制方法和装置
CN108200050B (zh) * 2017-12-29 2022-07-01 重庆金融资产交易所有限责任公司 单点登录服务器、方法及计算机可读存储介质
CN108846634B (zh) * 2018-05-30 2022-08-12 北京尚易德科技有限公司 一种案件自动授权方法及***
CN109033808B (zh) * 2018-07-03 2020-08-18 福建天晴数码有限公司 一种体验游戏的方法及账号服务端
CN110795720A (zh) * 2018-08-03 2020-02-14 北京京东尚科信息技术有限公司 信息处理方法、***、电子设备和计算机可读介质
CN110912865A (zh) * 2018-09-18 2020-03-24 深圳市鸿合创新信息技术有限责任公司 一种安全访问控制方法及服务器、电子设备
CN109462604B (zh) * 2018-12-17 2021-11-12 北京城市网邻信息技术有限公司 一种数据传输方法、装置、设备及存储介质
CN111385279A (zh) * 2018-12-28 2020-07-07 深圳市优必选科技有限公司 业务访问的权限***和方法
CN109962908B (zh) * 2019-01-22 2023-06-13 深圳壹账通智能科技有限公司 基于令牌的权限管理方法、装置、设备和存储介质
CN112383663B (zh) * 2019-05-08 2022-03-04 华为技术有限公司 一种显示的方法及设备
CN110309636B (zh) * 2019-07-04 2022-11-25 创新先进技术有限公司 一种身份认证的方法和***
CN110493184B (zh) * 2019-07-09 2022-10-14 深圳壹账通智能科技有限公司 在客户端中登录页面的处理方法、装置、电子装置
US11303629B2 (en) 2019-09-26 2022-04-12 Bank Of America Corporation User authentication using tokens
US11329823B2 (en) 2019-09-26 2022-05-10 Bank Of America Corporation User authentication using tokens
US11140154B2 (en) * 2019-09-26 2021-10-05 Bank Of America Corporation User authentication using tokens
CN110784457B (zh) * 2019-10-17 2022-08-19 中诚信征信有限公司 一种业务访问方法及装置
CN111027051B (zh) * 2019-10-29 2021-12-17 贝壳技术有限公司 控制页面权限调用的方法、装置及可读存储介质
CN111177672A (zh) * 2019-12-20 2020-05-19 北京淇瑀信息科技有限公司 一种页面访问控制方法、装置和电子设备
CN114945037B (zh) * 2020-01-19 2024-05-07 先进新星技术(新加坡)控股有限公司 会话建立方法、跨境支付方法、装置及***
CN111259363B (zh) * 2020-01-19 2022-10-28 数字广东网络建设有限公司 业务访问信息处理方法、***、装置、设备和存储介质
CN111355730A (zh) * 2020-02-28 2020-06-30 政采云有限公司 一种平台登录方法、装置、设备及计算机可读存储介质
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
CN112069436B (zh) * 2020-08-11 2024-07-02 长沙市到家悠享网络科技有限公司 页面展示方法、***和设备
CN112016074B (zh) * 2020-09-09 2024-08-06 政采云有限公司 一种逆向授权登录的方法、装置及介质
CN112333198B (zh) * 2020-11-17 2023-09-05 ***股份有限公司 安全跨域登录方法、***及服务器
CN112491861A (zh) * 2020-11-20 2021-03-12 长沙市到家悠享网络科技有限公司 登录状态同步方法、设备及存储介质
CN113032749A (zh) * 2021-03-03 2021-06-25 北京读我网络技术有限公司 一种同步鉴权方法及装置
CN113536365B (zh) * 2021-06-07 2022-10-28 北京字跳网络技术有限公司 一种文件访问方法、装置、设备及介质
CN113347190B (zh) * 2021-06-10 2022-10-21 北京字节跳动网络技术有限公司 鉴权方法、***、从站点服务器、客户端、设备和介质
CN113487328A (zh) * 2021-07-27 2021-10-08 中国银行股份有限公司 业务身份切换方法及装置
CN114124430B (zh) * 2021-08-31 2024-03-01 青岛海尔科技有限公司 一种令牌置换方法、装置和存储介质
CN114416195B (zh) * 2021-12-24 2023-08-18 青岛海尔科技有限公司 一种h5页面加载方法、装置、智能终端及服务器
CN114465785B (zh) * 2022-01-21 2024-01-30 云新易联(北京)科技有限公司 服务器登录管理方法、***、装置及存储介质
CN116541814B (zh) * 2023-07-04 2023-09-08 北京亿中邮信息技术有限公司 一种统一登录认证方法、***
CN118018274A (zh) * 2024-02-01 2024-05-10 徐州好一家科技有限公司 一种互联网访问方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013508831A (ja) * 2009-10-22 2013-03-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) コンピュータネットワーク内の保護リソースへのアクセスを管理するための方法と、そのための物理エンティティおよびコンピュータプログラム
WO2013145517A1 (ja) * 2012-03-28 2013-10-03 ソニー株式会社 情報処理装置、情報処理システム、情報処理方法及びプログラム
US20140282940A1 (en) * 2013-03-15 2014-09-18 salesforce.com,inc. Method and Apparatus for Multi-Domain Authentication
JP2016018529A (ja) * 2014-07-11 2016-02-01 株式会社リコー 認証システム、認証方法、プログラム及び通信システム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5210795A (en) 1992-01-10 1993-05-11 Digital Equipment Corporation Secure user authentication from personal computer
US7721329B2 (en) * 2003-11-18 2010-05-18 Aol Inc. Method and apparatus for trust-based, fine-grained rate limiting of network requests
US8214890B2 (en) 2008-08-27 2012-07-03 Microsoft Corporation Login authentication using a trusted device
US9043886B2 (en) * 2011-09-29 2015-05-26 Oracle International Corporation Relying party platform/framework for access management infrastructures
US8935777B2 (en) 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US9032033B2 (en) 2012-07-19 2015-05-12 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for private token communication services
US9838375B2 (en) 2013-02-28 2017-12-05 Microsoft Technology Licensing, Llc RESTlike API that supports a resilient and scalable distributed application
US9531719B1 (en) * 2014-04-29 2016-12-27 Amazon Technologies, Inc. Permissions for hybrid distributed network resources
CN104580496B (zh) * 2015-01-22 2018-04-13 深圳先进技术研究院 一种基于临时代理的虚拟机访问***及服务器
CN105897663A (zh) * 2015-01-26 2016-08-24 阿里巴巴集团控股有限公司 一种确定访问权限的方法、装置及设备
TWI592035B (zh) * 2015-06-10 2017-07-11 Chunghwa Telecom Co Ltd Wireless network transmission method and system
CN107026847B (zh) 2017-02-09 2020-05-26 阿里巴巴集团控股有限公司 一种信任登录方法、服务器及***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013508831A (ja) * 2009-10-22 2013-03-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) コンピュータネットワーク内の保護リソースへのアクセスを管理するための方法と、そのための物理エンティティおよびコンピュータプログラム
WO2013145517A1 (ja) * 2012-03-28 2013-10-03 ソニー株式会社 情報処理装置、情報処理システム、情報処理方法及びプログラム
US20140282940A1 (en) * 2013-03-15 2014-09-18 salesforce.com,inc. Method and Apparatus for Multi-Domain Authentication
JP2016018529A (ja) * 2014-07-11 2016-02-01 株式会社リコー 認証システム、認証方法、プログラム及び通信システム

Also Published As

Publication number Publication date
PH12019501854A1 (en) 2020-06-15
EP3745290A1 (en) 2020-12-02
SG11201907320YA (en) 2019-09-27
US11057363B2 (en) 2021-07-06
TWI706263B (zh) 2020-10-01
PL3580679T3 (pl) 2020-11-16
ES2816556T3 (es) 2021-04-05
SG10202108677WA (en) 2021-09-29
CN111628971A (zh) 2020-09-04
WO2018148568A1 (en) 2018-08-16
KR20190118608A (ko) 2019-10-18
CN107026847A (zh) 2017-08-08
US20180227290A1 (en) 2018-08-09
MY195630A (en) 2023-02-03
US11212271B2 (en) 2021-12-28
TW201830280A (zh) 2018-08-16
EP3580679B1 (en) 2020-07-22
US20210336945A1 (en) 2021-10-28
CN111628971B (zh) 2022-09-13
KR102118840B1 (ko) 2020-06-04
JP6756051B2 (ja) 2020-09-16
EP3745290B1 (en) 2021-12-08
CN107026847B (zh) 2020-05-26
EP3580679A1 (en) 2019-12-18

Similar Documents

Publication Publication Date Title
JP6756051B2 (ja) 信頼できるログイン方法、サーバ、およびシステム
KR102315799B1 (ko) 디지털 인증서 관리 방법 및 장치, 및 전자 디바이스
KR102232557B1 (ko) 디지털 인증서 관리 방법, 장치 및 시스템
US10785207B2 (en) Automatic login method and device between multiple websites
KR102268950B1 (ko) 블록체인 노드들 간의 통신을 위한 방법, 장치와 전자 디바이스, 및 블록체인 기반 인증서 관리를 위한 방법, 장치와 전자 디바이스
EP3365827B1 (en) End user initiated access server authenticity check
US11539526B2 (en) Method and apparatus for managing user authentication in a blockchain network
US20180278612A1 (en) Techniques for implementing a data storage device as a security device for managing access to resources
CN107070863A (zh) 本地设备认证
US10015171B1 (en) Authentication using metadata from posts made to social networking websites
US20200053085A1 (en) Context-based possession-less access of secure information
CN113728603B (zh) 经由不可提取的不对称密钥的浏览器登录会话的方法
US11356261B2 (en) Apparatus and methods for secure access to remote content
US11706219B1 (en) Secure session sharing between computing devices
US20220353081A1 (en) User authentication techniques across applications on a user device
CN111178896B (zh) 乘车支付方法、装置及存储介质
KR102123405B1 (ko) 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법
US20240022561A1 (en) Accessing a virtual sub-environment in a virtual environment
US20240007464A1 (en) Integration of real-world and virtual-world systems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191004

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191004

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20191115

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20200108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200421

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200803

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200826

R150 Certificate of patent or registration of utility model

Ref document number: 6756051

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250