TWI389534B - 單一登錄系統與方法及其電腦可讀取媒體 - Google Patents

單一登錄系統與方法及其電腦可讀取媒體 Download PDF

Info

Publication number
TWI389534B
TWI389534B TW96135739A TW96135739A TWI389534B TW I389534 B TWI389534 B TW I389534B TW 96135739 A TW96135739 A TW 96135739A TW 96135739 A TW96135739 A TW 96135739A TW I389534 B TWI389534 B TW I389534B
Authority
TW
Taiwan
Prior art keywords
server
user
license
verification
network
Prior art date
Application number
TW96135739A
Other languages
English (en)
Other versions
TW200915818A (en
Inventor
Wen Shu Lai
Ding Hao Chen
Cheng Han Tsai
I Ching Li
Original Assignee
Via Tech Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Via Tech Inc filed Critical Via Tech Inc
Priority to TW96135739A priority Critical patent/TWI389534B/zh
Publication of TW200915818A publication Critical patent/TW200915818A/zh
Application granted granted Critical
Publication of TWI389534B publication Critical patent/TWI389534B/zh

Links

Landscapes

  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Description

單一登錄系統與方法及其電腦可讀取媒體
本發明係有關於一種登錄方法,且特別有關於一種跨地區之單一登錄方法與系統。
一般在登入不同網路伺服器時,使用者通常得重複輸入個人帳號與密碼以進行登入。參考第1圖,使用者在登入臺灣網域的伺服器後,若欲登入大陸網域的伺服器,則該使用者必須重新登入。並且,使用者需要擁有登陸臺灣網域的識別碼以及登陸大陸網域的識別碼。如果沒有登陸大陸網域的識別碼則不能訪問大陸網域的伺服器。
換句話說,在跨國企業之單一登錄環境中,不僅跨公司身份的員工沒有單一識別碼,而且該員工需在不同網域間分別取得單一登錄授權,才能使用不同網域的資源,如此讓使用者在使用上相當不便。
因此,本發明提供了一種跨地區的單一登錄方法與系統,使得使用者僅需在一網域認證伺服器上認證一次,即可使用不同網域之網路資源。
基於上述目的,本發明實施例揭露了一種單一登錄方法,其適用於一單一登錄系統,其中該單一登錄系統至少包括一第一驗證伺服器與一第二驗證伺服器,該第一驗證 伺服器與該第二驗證伺服器分別與至少一第一網路伺服器與一第二網路伺服器相連接,該第一驗證伺服器與該第一網路伺服器係屬於一第一網域,而該第二驗證伺服器與該第二網路伺服器係屬於一第二網域。
該單一登錄方法包括下列步驟:根據預先定義之一使用者認證資料對一使用者執行一驗證操作,以判斷該使用者是否通過驗證,當驗證無誤時,允許該使用者登入該第一驗證伺服器,根據一工作階段產生一許可證,判斷是否收到一第一連結命令。
當收到該第一連結命令時,則產生一連結網址參數,並且在該連結網址參數加入該第一驗證伺服器之一登入網址參數,將該登入網址參數與該使用者認證資料加入至該許可證並傳送給該第一網路伺服器以允許該使用者登入該第一網路伺服器,判斷是否收到一第二連結命令。
當收到該第二連結命令時,經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器,藉由該第二網路伺服器取得該許可證中之該登入網址參數,根據該登入網址參數,利用該第一驗證伺服器並根據該許可證中包含之該使用者認證資料,於該第二網路伺服器對該使用者進行驗證,以及當該使用者驗證成功時,則允許該使用者登入該第二網路伺服器。
本發明實施例更揭露了一種單一登錄系統,包括一第一驗證伺服器、一第一網路伺服器、一第二驗證伺服器與一第二網路伺服器。
第一驗證伺服器用以根據預先定義之一使用者認證資料對該使用者執行一驗證操作,以判斷該使用者是否通過驗證,當驗證無誤時,則允許該使用者登入,並且根據一工作階段產生一許可證,判斷是否收到一第一連結命令,當收到該第一連結命令時,則產生一連結網址參數,在該連結網址參數加入該第一驗證伺服器之一登入網址參數,並且將該登入網址參數與該使用者認證資料加入至該許可證。
第一網路伺服器耦接於該第一驗證伺服器,其用以自該第一網路伺服器取得該許可證以允許該使用者登入。
第二驗證伺服器耦接於該第一驗證伺服器,其用以當該第一驗證伺服器收到一第二連結命令時取得該許可證。
第二網路伺服器耦接於該第二驗證伺服器,其用以自該第二驗證伺服器取得該許可證中之該登入網址參數,根據該登入網址參數,利用該第一驗證伺服器並根據該許可證中包含之該使用者認證資料,於該第二網路伺服器對該使用者進行驗證,以及當該使用者驗證成功時,則允許該使用者登入該第二網路伺服器。
其中,該第一驗證伺服器與該第一網路伺服器係屬於一第一網域,而該第二驗證伺服器與該第二網路伺服器係屬於一第二網域。
本發明實施例還揭露了一種電腦可讀取媒體,用以儲存一電腦程式以載入至一電腦系統中並且使得上述電腦系統執行一種單一登錄方法,其適用於一單一登錄系統,其 中該單一登錄系統至少包括一第一驗證伺服器與一第二驗證伺服器,該第一驗證伺服器與該第二驗證伺服器分別與至少一第一網路伺服器與一第二網路伺服器相連接,該第一驗證伺服器與該第一網路伺服器係屬於一第一網域,而該第二驗證伺服器與該第二網路伺服器係屬於一第二網域,包括下列步驟: 根據預先定義之使用者認證資料對該使用者執行一驗證操作,以判斷該使用者是否通過驗證,當驗證無誤時,則允許該使用者登入該第一驗證伺服器,根據一工作階段產生一許可證,判斷是否收到一第一連結命令。
當收到該第一連結命令時,則產生一連結網址參數,並且在該連結網址參數加入該第一驗證伺服器之一登入網址參數,將該登入網址參數與該使用者認證資料加入至該許可證並傳送給該第一網路伺服器以允許該使用者登入該第一網路伺服器,判斷是否收到一第二連結命令。
當收到該第二連結命令時,經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器,藉由該第二網路伺服器取得該許可證中之該登入網址參數,根據該登入網址參數,利用該第一驗證伺服器並根據該許可證中包含之該使用者認證資料,於該第二網路伺服器對該使用者進行驗證,以及當該使用者驗證成功時,則允許該使用者登入該第二網路伺服器。
為了讓本發明之目的、特徵、及優點能更明顯易懂,下文特舉較佳實施例,並配合所附圖示第1圖至第2圖,做詳細之說明。本發明說明書提供不同的實施例來說明本發明不同實施方式的技術特徵。其中,實施例中的各元件之配置係為說明之用,並非用以限制本發明。且實施例中圖式標號之部分重複,係為了簡化說明,並非意指不同實施例之間的關聯性。
本發明實施例揭露了一種跨地區之單一登錄方法與系統。
本發明實施例之跨地區的單一登錄方法與系統解決了跨國企業員工之身分識別的問題,與各網域之單一登錄伺服器所載的資料同步問題,使得每一使用者僅需在所臨近區域之網域認證伺服器上登入一次,即可使用不同地區網域之資源。
第2圖係顯示本發明實施例之單一登錄系統的架構示意圖。
本發明實施例之單一登錄系統包括一第一驗證伺服器2100、一第二驗證伺服器2200與一使用者介面2300,且第一驗證伺服器2100與第二驗證伺服器2200分別與複數個網路伺服器2110~2130與資料庫2150及複數個網路伺服器2210~2230與資料庫2250相連接。第一驗證伺服器2100與網路伺服器2110~2130係屬於第一網域(例如台灣地區網域),而第二驗證伺服器2200與網路伺服器2210~2230係屬於第二網域(例如大陸地區網域)。要注意到,本 發明實施例之單一登錄方法與系統僅以兩個地區網域之驗證伺服器與連接之網路伺服器來做說明,但實作上不以此為限,而是根據跨國企業所設置的營業區域而定。
整合一目錄服務系統,例如,輕量型目錄存取通訊協定(Lightweight Directory Access Protocol,LDAP)、動態目錄(Active Directory,AD)...等等,以建立包含第一網域與第二網域之所屬員工即使用者的認證資料與權限設定的資料庫2150、2250,以使每位員工擁有單一身份識別碼及其使用跨地區網路資源之單一控管權。將上述認證資料與權限設定以及將網路伺服器2110~2130、2210~2230的系統識別碼(System ID)分別儲存至第一驗證伺服器2100與第二驗證伺服器2200之資料庫2150、2250中。
每隔一固定時間,第一驗證伺服器2100與第二驗證伺服器2200分別將其資料庫2150、2250中的員工認證資料與權限設定傳送給對方以達到同步更新的目的。當一使用者藉由使用者介面2300登入第一驗證伺服器2100,第一驗證伺服器2100根據該使用者輸入之帳號與密碼以及其資料庫2150中儲存員工認證資料,對該使用者進行驗證,當驗證無誤,則允許該使用者登入第一驗證伺服器2100,同時開啟一使用者瀏覽介面,其中,在同一該使用者瀏覽介面上包含不同地區所對應之網路伺服器,例如台灣地區包含有員工入口網站、員工績效網站、人力招募網站,而每一網站皆連結至對應之網路伺服器以執行該些網站功能,而大陸地區在同一使用者瀏覽介面上亦有該些網站功 能與對應之網路伺服器。
在開啟該使用者瀏覽介面的同時系統內會建立一工作階段(Session),該工作階段係儲存於第一驗證伺服器與用戶端,該工作階段包含使用者資料,例如使用者帳號、密碼、使用者認證資料、權限設定...等等。根據該工作階段產生一許可證(Ticket),並將其儲存在用戶端與第一驗證伺服器2100連結之工作階段中。
本發明應用於跨國公司的登錄系統中,該使用者係公司员工。在其他實施例中,例如該登錄網路用於全球學術資料或者跨國銀行的登錄網路時,該使用者之身份可以做相應的調整。
「許可證(Ticket)」,顧名思義與我們日常生活所使用的公車票、電影票等類似,使用者必須透過某種管道(購買或申請)取得許可證,之後即可利用此許可證來享受某種服務。同理,金鑰中心建立伺服端的許可證後,即可將許可證核發給經過認證的用戶端,用戶端稍後即可利用此許可證向伺服端要求服務(或是進行認證)。
「工作階段(Session)變數」可用來儲存及顯示使用者造訪網站期間(即,工作階段)所保有的資訊。伺服器會為每一位使用者建立個別的工作階段物件,並維持一段相當的時間或維持到該物件明確終止為止。
若該使用者欲進入員工入口網站查詢個人資料,則在使用者瀏覽介面上點選該網站後,連結至網路伺服器2110以產生一連結網址參數(URL Address)例如, http://portal.via.com.tw?LoginServer=portal.viatech.com,並且在該連結網址參數加入第一驗證伺服器2100之登入網址參數以產生完整的網址,如第2圖之網址2115所示。登入網址參數包括USER_PW、HR_DEPT、SITE_GROUP、SITE_KEY、PERMISSION、SITE_LOCATION、SITE_SUB_GROUP、SSO_SERVER、IP_RANGE、USER_LOCATION...等等。
第一驗證伺服器2100產生對應該使用者資料之一工作階段識別碼(Session ID),並且將該工作階段識別碼、複數個對應所有可存取之網路伺服器的系統識別碼、一對應該使用者資料之使用者識別碼(User ID)加入到該使用者的許可證中,登入網址參數不會加入至許可證中。第一驗證伺服器2100並依據一網路金鑰加密該許可證,而非使用系統識別碼來加密,並且傳送到網路伺服器2110以進行驗證。網路伺服器2110收到加密之該許可證後,將該許可證解密,並根據該許可證中包含的資料判斷是否通過驗證,即判斷工作階段識別碼、系統識別碼與使用者識別碼是否正確,且在驗證成功後允許該使用者進入網路伺服器2110。
當使用者欲使用大陸地區的員工績效網站,在以往的情況中,大陸地區的驗證伺服器,如第二驗證伺服器2200,一定會要求使用者重新輸入帳號與密碼,以重新驗証使用者的適格身分,但在本發明中,使用者則僅需在同一使用者瀏覽介面上點選該網站而無需重新輸入帳號與密碼,此 時雖仍無法進入網路伺服器2220,但可直接連結至網路伺服器2220以產生另一連結網址參數,例如http://portal.via.com.cn?LoginServer=portal.viatech.com,且在此同時網路伺服器2220會接收用戶端內存之許可證以及用戶端傳送之第一驗證伺服器2100的登入網址參數。需注意到,由於在第一階段驗證過關後的許可証中所儲存之系統識別碼system ID即包含該使用者的所有可存取網路伺服器的權限,因此無需在連結至他網域時仍需增加。
本發明提供兩種跨區域的驗證方法,其一網路伺服器2220會依據接收到的登入網址參數找到跨區域的第一驗證伺服器2100並將許可證傳送至第一驗證伺服器2100,由第一驗證伺服器2100依據對應該網路伺服器2220的加密金鑰加密該許可證並傳回給網路伺服器2220。當網路伺服器2220收到加密的許可證後,即將該許可證解密,並根據解密之該許可證中包含的工作階段識別碼判斷是否先前通過第一驗證伺服器2100的驗證,且在驗證成功後直接允許該使用者進入網路伺服器2220查詢或更新資料。
本發明另提供之跨區域的驗證方法是由網路伺服器2220將該許可證與該登入網址參數傳送給在同一地區的第二驗證伺服器2200,該第二驗證伺服器2200會依據該登入網址參數而得知此使用者曾由第一驗證伺服器2100驗證過,於是第二驗證伺服器2200直接將該許可證傳送給第一驗證伺服器2100以確認是否該使用者曾驗證通過,第一驗證伺服器2100在接收到許可證後會對應該網路伺服 器2220的加密金鑰加密該許可證並傳回給網路伺服器2220,而其後續之解密與檢驗成功後即允許該使用者進入網路伺服器2220而無需再次輸入員工帳號與密碼。。同理,當登入其它地區網域之網路伺服器時,亦以相同方法對使用者進行驗證。
其中,當使用者關閉或登出該使用者瀏覽介面,則儲存於第一驗證伺服器與用戶端的工作階段即會被消除,在此後當使用者欲登入第一驗證伺服器時且重新開啟使用者瀏覽介面時需再重新輸入員工帳號與密碼。
第3圖係顯示本發明實施例之單一登錄方法的步驟流程圖,請同時參考第2圖的系統架構圖。
每隔一固定時間,該第一驗證伺服器與該第二驗證伺服器分別將其所屬之員工認證資料與權限設定傳送給對方(步驟S301)。藉由該第一驗證伺服器取得使用者輸入資料(步驟S302),並且根據該等使用者認證資料以對一使用者執行一驗證操作,判斷該使用者是否通過驗證(步驟S303)。當驗證無誤,則允許該使用者登入該第一驗證伺服器,並且在開啟使用者瀏覽介面時產生一工作階段(步驟S304),然後根據該工作階段產生一許可證,其中該許可證並非儲存在一資料庫中(步驟S305)。
判斷是否收到一第一連結命令(步驟S306),例如,使用者透過一使用者介面點選第一網路伺服器。當收到該第一連結命令,則產生一連結網址參數,並且在該連結網址參數加入該第一驗證伺服器之登入網址參數(如第2圖 之網址2115所示)(步驟S307)。藉由該第一驗證伺服器產生一對應該使用者資料之工作階段識別碼(步驟S308),並且將該工作階段識別碼、一對應該第一網路伺服器之第一系統識別碼以及一對應該使用者資料之使用者識別碼加入到該許可證中(步驟S309)。根據一網路金鑰對該許可證加密,並且傳送到該第一網路伺服器(步驟S310)。
當接收到該許可證,藉由該第一網路伺服器並根據該第一系統識別碼將該許可證解密,並根據該許可證中包含的資料對該使用者進行驗證(步驟S311)。判斷該使用者是否通過驗證(步驟S312),且在驗證成功後允許該使用者登入(步驟S313)。判斷是否收到一第二連結命令(步驟S314),例如,使用者透過上述使用者介面點選第二網路伺服器。當收到該第二連結命令,藉由該第一驗證伺服器將一對應該第二網路伺服器之一第二系統識別碼加入到該許可證中,並且在根據該第二系統識別碼加密該許可證後,經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器(步驟S315)。當收到該許可證,藉由該第二網路伺服器並根據該第二系統識別碼將該許可證解密,以取得其中所包含之該登入網址參數(步驟S316)。根據該登入網址參數,利用該第一驗證伺服器並根據該許可證中包含的資料,於該第二網路伺服器對該使用者進行驗證(步驟S317)。判斷該使用者是否通過驗證(步驟S318),且在驗證成功後允許該使用者登入(步驟S319)。此時,該第 二網路伺服器之連結網址參數顯示如第2圖之網址2225所示。
本發明實施例之跨地區的單一登錄方法與系統利用主動散播、共同比對與各點集中之三項原則,讓各不同網域之認證伺服器間能及時擁有最新最整齊的認證比對資料。此外,運用全球資源***(Uniform Resource Locator,URL)技術,讓單一網域認證後的使用者可透過伺服器的交叉檢查比對機制,不需重覆登入認證步驟,即可使用不同網域資源,如第2圖所示。
本發明更提供一種記錄媒體,例如光碟片、磁碟片與抽取式硬碟等等,其係記錄一電腦可讀取之權限簽核程式,以便執行上述之跨地區的單一登錄方法。在此,儲存於記錄媒體上之權限簽核程式,基本上是由多數個程式碼片段所組成的,例如建立組織圖程式碼片段、簽核表單程式碼片段、設定程式碼片段、以及部署程式碼片段,並且這些程式碼片段的功能係對應到上述方法的步驟與上述系統的功能方塊圖。
雖然本發明已以較佳實施例揭露如上,然其並非用以限定本發明,任何熟習此技藝者,在不脫離本發明之精神和範圍內,當可作各種之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
2100‧‧‧第一驗證伺服器
2110..2130‧‧‧網路伺服器
2115‧‧‧網址
2150‧‧‧資料庫
2200‧‧‧第二驗證伺服
2210..2230‧‧‧網路伺服器
2225‧‧‧網址
2250‧‧‧資料庫
2300‧‧‧使用者介面
第1圖係顯示使用者登入不同網路伺服器的示意圖。
第2圖係顯示本發明實施例之單一登錄系統的架構示 意圖。
第3圖係顯示本發明實施例之單一登錄方法的步驟流程圖。
2100...第一驗證伺服器
2110..2130...網路伺服器
2115...網址
2150...資料庫
2200...第二驗證伺服
2210..2230...網路伺服器
2225...網址
2250...資料庫
2300...使用者介面

Claims (27)

  1. 一種單一登錄方法,其適用於一單一登錄系統,其中該單一登錄系統至少包括一第一驗證伺服器與一第二驗證伺服器,該第一驗證伺服器與該第二驗證伺服器分別與至少一第一網路伺服器與一第二網路伺服器相連接,該第一驗證伺服器與該第一網路伺服器係屬於一第一網域,而該第二驗證伺服器與該第二網路伺服器係屬於一第二網域,包括下列步驟:根據預先定義之一使用者認證資料對一使用者執行一驗證操作,以判斷該使用者是否通過驗證;當驗證無誤時,允許該使用者登入該第一驗證伺服器;根據一工作階段產生一許可證;判斷是否收到一第一連結命令;當收到該第一連結命令時,則產生一連結網址參數,並且在該連結網址參數加入該第一驗證伺服器之一登入網址參數;將該登入網址參數與該使用者認證資料加入至該許可證並傳送給該第一網路伺服器以允許該使用者登入該第一網路伺服器;判斷是否收到一第二連結命令;當收到該第二連結命令時,經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器;藉由該第二網路伺服器取得該許可證中之該登入網址參數; 根據該登入網址參數,利用該第一驗證伺服器並根據該許可證中包含之該使用者認證資料,於該第二網路伺服器對該使用者進行驗證;以及當該使用者驗證成功時,則允許該使用者登入該第二網路伺服器。
  2. 如申請專利範圍第1項所述的單一登錄方法,其更包括在開啟一使用者瀏覽介面時產生該工作階段。
  3. 如申請專利範圍第2項所述的單一登錄方法,其更包括下列步驟:當在該連結網址參數加入該登入網址參數後,藉由該第一驗證伺服器產生一對應使用者輸入資料之一工作階段識別碼;以及將該工作階段識別碼、一對應該第一網路伺服器之一第一系統識別碼、一對應該使用者資料之使用者識別碼以及該登入網址參數加入到該許可證中。
  4. 如申請專利範圍第3項所述的單一登錄方法,其更包括根據該第一系統識別碼對該許可證加密,並且傳送到該第一網路伺服器。
  5. 如申請專利範圍第4項所述的單一登錄方法,其更包括下列步驟:當接收到該許可證,藉由該第一網路伺服器並根據該第一系統識別碼將該許可證解密;根據該許可證中包含之該使用者認證資料對該使用者進行驗證,以判斷該使用者是否通過驗證;以及 在驗證成功後允許該使用者登入該第一網路伺服器。
  6. 如申請專利範圍第5項所述的單一登錄方法,其更包括下列步驟:當收到該第二連結命令時,藉由該第一驗證伺服器將一對應該第二網路伺服器之一第二系統識別碼加入到該許可證中;以及經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器。
  7. 如申請專利範圍第6項所述的單一登錄方法,其更包括當收到該許可證時,藉由該第二網路伺服器並根據該第二系統識別碼將該許可證解密,以取得其中所包含之該登入網址參數。
  8. 如申請專利範圍第1項所述的單一登錄方法,其更包括該第一驗證伺服器與該第二驗證伺服器每隔一固定時間分別將其所屬之該使用者認證資料與權限設定傳送給對方。
  9. 如申請專利範圍第1項所述的單一登錄方法,其中該許可證並非儲存在一資料庫中。
  10. 一種單一登錄系統,包括:一第一驗證伺服器,其用以根據預先定義之一使用者認證資料對該使用者執行一驗證操作,以判斷該使用者是否通過驗證,當驗證無誤時,則允許該使用者登入,並且根據一工作階段產生一許可證,判斷是否收到一第一連結命令,當收到該第一連結命令時,則產生一連結網址參數, 在該連結網址參數加入該第一驗證伺服器之一登入網址參數,並且將該登入網址參數與該使用者認證資料加入至該許可證;一第一網路伺服器,耦接於該第一驗證伺服器,其用以自該第一網路伺服器取得該許可證以允許該使用者登入;一第二驗證伺服器,耦接於該第一驗證伺服器,其用以當該第一驗證伺服器收到一第二連結命令時取得該許可證;以及一第二網路伺服器,耦接於該第二驗證伺服器,其用以自該第二驗證伺服器取得該許可證中之該登入網址參數,根據該登入網址參數,利用該第一驗證伺服器並根據該許可證中包含之該使用者認證資料,於該第二網路伺服器對該使用者進行驗證,以及當該使用者驗證成功時,則允許該使用者登入該第二網路伺服器;其中,該第一驗證伺服器與該第一網路伺服器係屬於一第一網域,而該第二驗證伺服器與該第二網路伺服器係屬於一第二網域。
  11. 如申請專利範圍第10項所述的單一登錄系統,其中,該第一驗證伺服器一使用者瀏覽介面被開啟時時產生該工作階段。
  12. 如申請專利範圍第11項所述的單一登錄系統,其中,當在該連結網址參數加入該登入網址參數後,該第一驗證伺服器產生一對應一使用者輸入資料之一工作階段識 別碼,並且將該工作階段識別碼、一對應該第一網路伺服器之第一系統識別碼、一對應該使用者資料之使用者識別碼以及該登入網址參數加入到該許可證中。
  13. 如申請專利範圍第12項所述的單一登錄系統,其中,該第一驗證伺服器根據該第一系統識別碼對該許可證加密,並且傳送到該第一網路伺服器。
  14. 如申請專利範圍第13項所述的單一登錄系統,其中,當接收到該許可證,該第一網路伺服器根據該第一系統識別碼將該許可證解密,根據該許可證中包含之該使用者認證資料對該使用者進行驗證,以判斷該使用者是否通過驗證,以及在驗證成功後允許該使用者登入。
  15. 如申請專利範圍第14項所述的單一登錄系統,其中,當收到該第二連結命令時,該第一驗證伺服器將一對應該第二網路伺服器之一第二系統識別碼加入到該許可證中,並且經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器。
  16. 如申請專利範圍第15項所述的單一登錄系統,其中,當收到該許可證時,該第二網路伺服器根據該第二系統識別碼將該許可證解密,以取得其中所包含之該登入網址參數。
  17. 如申請專利範圍第10項所述的單一登錄系統,其中,該第一驗證伺服器與該第二驗證伺服器每隔一固定時間分別將其所屬之該使用者認證資料與權限設定傳送給對方。
  18. 如申請專利範圍第10項所述的單一登錄系統,其中該許可證並非儲存在一資料庫中。
  19. 一種電腦可讀取媒體,用以儲存一電腦程式以載入至一電腦系統中並且使得上述電腦系統執行一種單一登錄方法,其適用於一單一登錄系統,其中該單一登錄系統至少包括一第一驗證伺服器與一第二驗證伺服器,該第一驗證伺服器與該第二驗證伺服器分別與至少一第一網路伺服器與一第二網路伺服器相連接,該第一驗證伺服器與該第一網路伺服器係屬於一第一網域,而該第二驗證伺服器與該第二網路伺服器係屬於一第二網域,包括下列步驟:根據預先定義之使用者認證資料對該使用者執行一驗證操作,以判斷該使用者是否通過驗證;當驗證無誤,則允許該使用者登入該第一驗證伺服器;根據一工作階段產生一許可證;判斷是否收到一第一連結命令;當收到該第一連結命令時,則產生一連結網址參數,並且在該連結網址參數加入該第一驗證伺服器之一登入網址參數;將該登入網址參數與該使用者認證資料加入至該許可證並傳送給該第一網路伺服器以允許該使用者登入該第一網路伺服器;判斷是否收到一第二連結命令;當收到該第二連結命令時,經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器; 藉由該第二網路伺服器取得該許可證中之該登入網址參數;根據該登入網址參數,利用該第一驗證伺服器並根據該許可證中包含之該使用者認證資料,於該第二網路伺服器對該使用者進行驗證;以及當該使用者驗證成功時,則允許該使用者登入該第二網路伺服器。
  20. 如申請專利範圍第19項所述的電腦可讀取媒體,其更包括在開啟一使用者瀏覽介面時產生該工作階段。
  21. 如申請專利範圍第20項所述的電腦可讀取媒體,其更包括下列步驟:當在該連結網址參數加入該登入網址參數後,藉由該第一驗證伺服器產生一對應使用者輸入資料之一工作階段識別碼;以及將該工作階段識別碼、一對應該第一網路伺服器之一第一系統識別碼、一對應該使用者資料之使用者識別碼以及該登入網址參數加入到該許可證中。
  22. 如申請專利範圍第21項所述的電腦可讀取媒體,其更包括根據該第一系統識別碼對該許可證加密,並且傳送到該第一網路伺服器。
  23. 如申請專利範圍第22項所述的電腦可讀取媒體,其更包括下列步驟:當接收到該許可證,藉由該第一網路伺服器並根據該第一系統識別碼將該許可證解密; 根據該許可證中包含之該使用者認證資料對該使用者進行驗證,以判斷該使用者是否通過驗證;以及在驗證成功後允許該使用者登入該第一網路伺服器。
  24. 如申請專利範圍第23項所述的電腦可讀取媒體,其更包括下列步驟:當收到該第二連結命令時,藉由該第一驗證伺服器將一對應該第二網路伺服器之一第二系統識別碼加入到該許可證中;以及經由該第二驗證伺服器將該許可證傳送給該第二網路伺服器。
  25. 如申請專利範圍第24項所述的電腦可讀取媒體,其更包括當收到該許可證時,藉由該第二網路伺服器並根據該第二系統識別碼將該許可證解密,以取得其中所包含之該登入網址參數。
  26. 如申請專利範圍第19項所述的電腦可讀取媒體,其更包括該第一驗證伺服器與該第二驗證伺服器每隔一固定時間分別將其所屬之該使用者認證資料與權限設定傳送給對方。
  27. 如申請專利範圍第19項所述的電腦可讀取媒體,其中該許可證並非儲存在一資料庫中。
TW96135739A 2007-09-26 2007-09-26 單一登錄系統與方法及其電腦可讀取媒體 TWI389534B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW96135739A TWI389534B (zh) 2007-09-26 2007-09-26 單一登錄系統與方法及其電腦可讀取媒體

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW96135739A TWI389534B (zh) 2007-09-26 2007-09-26 單一登錄系統與方法及其電腦可讀取媒體

Publications (2)

Publication Number Publication Date
TW200915818A TW200915818A (en) 2009-04-01
TWI389534B true TWI389534B (zh) 2013-03-11

Family

ID=44725834

Family Applications (1)

Application Number Title Priority Date Filing Date
TW96135739A TWI389534B (zh) 2007-09-26 2007-09-26 單一登錄系統與方法及其電腦可讀取媒體

Country Status (1)

Country Link
TW (1) TWI389534B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI621961B (zh) 2015-04-01 2018-04-21 群暉科技股份有限公司 切換執行身分的方法及相關的伺服器
JP7177303B1 (ja) * 2021-06-30 2022-11-22 楽天グループ株式会社 サービス提供システム、サービス提供方法、及びプログラム

Also Published As

Publication number Publication date
TW200915818A (en) 2009-04-01

Similar Documents

Publication Publication Date Title
US20200228335A1 (en) Authentication system for enhancing network security
US11770261B2 (en) Digital credentials for user device authentication
US7568098B2 (en) Systems and methods for enhancing security of communication over a public network
JP5695120B2 (ja) システム間シングルサインオン
JP5619019B2 (ja) 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証)
JP4746266B2 (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
CN1885771B (zh) 用于建立安全通信会话的方法与装置
CN100580657C (zh) 分布式单一注册服务
EP2442204B1 (en) System and method for privilege delegation and control
JP4016019B2 (ja) 許可されたリモート・アクセスをターゲット・システムに対して行うための装置、システム、および方法
US7571311B2 (en) Scheme for sub-realms within an authentication protocol
US8438383B2 (en) User authentication system
US20020178370A1 (en) Method and apparatus for secure authentication and sensitive data management
JP2004048679A (ja) セッションキー・セキュリティプロトコル
JP2001326632A (ja) 分散グループ管理システムおよび方法
JP2004509398A (ja) ネットワークにわたって配布されるオブジェクトの保護のために監査証跡を確立するためのシステム
JPH10269184A (ja) ネットワークシステムのセキュリティ管理方法
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
EP3185465A1 (en) A method for encrypting data and a method for decrypting data
Guo et al. Using blockchain to control access to cloud data
KR20210095061A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
KR101510290B1 (ko) Vpn에서 이중 인증을 구현하기 위한 장치 및 이의 동작 방법
JPH05298174A (ja) 遠隔ファイルアクセスシステム
TWI389534B (zh) 單一登錄系統與方法及其電腦可讀取媒體
Yeh et al. Applying lightweight directory access protocol service on session certification authority