[go: up one dir, main page]

JP5695120B2 - システム間シングルサインオン - Google Patents

システム間シングルサインオン Download PDF

Info

Publication number
JP5695120B2
JP5695120B2 JP2013094691A JP2013094691A JP5695120B2 JP 5695120 B2 JP5695120 B2 JP 5695120B2 JP 2013094691 A JP2013094691 A JP 2013094691A JP 2013094691 A JP2013094691 A JP 2013094691A JP 5695120 B2 JP5695120 B2 JP 5695120B2
Authority
JP
Japan
Prior art keywords
user
service
website
signature
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013094691A
Other languages
English (en)
Other versions
JP2013152757A (ja
Inventor
ヨンミン ウー
ヨンミン ウー
ジーロン チアン
ジーロン チアン
リ チェン
リ チェン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2013152757A publication Critical patent/JP2013152757A/ja
Application granted granted Critical
Publication of JP5695120B2 publication Critical patent/JP5695120B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Description

本開示は、概してコンピュータおよびインターネット技術、特にシステム間シングルサインオン(SSO)のシステムおよび方法に関する。
多くのインターネット系アプリケーションは、互いに連携しているが、依然として独立している、複数のシステムに渡る一連のステップを実行することをユーザに要求する。例えば、インターネット商用アプリケーションにおいて、消費者は、販売者のウェブサイトで購入する製品を選択してもよいが、支払いサービス業者が所有する別のウェブサイトを通して支払いを行う必要がある。この手順は、消費者対消費者(C2C)電子商取引アプリケーションにおいて特に一般的であり、販売者は、電子決済を受け取る態勢ではない、または直接支払いを行うのに信用があるとの評判をまだ受けていない。インターネットオークションでは、例えば、買手がC2Cウェブサイト(オークションサイト)で購入セレクションを作成するが、販売者に直接支払う代わりに、買手は、多くの場合、その安全で、信頼性があり、かつ便利な即時電子決済で知られる場合がある、第3者であるサービス業者の支払いウェブサイトから支払うことを好む。本実施例では、C2Cウェブサイトおよび第3者の支払いウェブサイトは、2つの独立した会社により維持される、2つの独立したウェブサイトであり、それぞれは独自のユーザIDドメインおよびID認証メカニズムを有する。購入取引を完了するには、買手は、2回(C2Cウェブサイトで1回、第3者の支払いウェブサイトでもう1回)ログオンする必要がある場合がある。しかし、ユーザ(買手)の視点から見ると、1つの購入取引中に、2つの異なるウェブサイトにサインオンすることなく、速やかで簡易化された買い物体験が通常望ましい。
SSOは、ユーザが、ID認証のために、1回のみユーザID情報を入力すればよく、その結果、ユーザID認証を必要とする複数のシステムまたはアプリケーションプログラムに自動的にサインオンすることができる、ログオン環境を指す。ユーザID情報の1回限りの入力は、複数のシステムまたはアプリケーションプログラムの1つで行われる。ユーザは、他のシステムまたはアプリケーションプログラムから、ユーザID情報を再度入力する必要はない。
従来のSSO方法およびシステムは、(1)ユニバーサルユーザビューを維持するための集中ユーザ管理システム、(2)統一されたユーザID認証を実行するための共通ユーザID認証システムの2つの基本的なソフトウェアおよびハードウェアコンポーネントに基づく。ユーザは最初に、ユニバーサルユーザIDを使用して、共通ユーザID認証システムにサインオンし、それによって加入しているシステムにユーザのIDを証明するための承認トークンを取得する。ユーザが同一ユーザID管理ドメイン内の加入しているシステムを訪問することを要求すると、隠し「パスワード」として認証トークンがユーザのログオン要求に含まれる。対象の加入しているシステムは、共通ユーザID認証システムにトークンの妥当性を検証するよう問い合わせ、問い合わせの結果に基づき、ユーザIDが有効であるかを判断する。
図1は、従来のSSO方法およびシステムの例を図示する。図1の方法およびシステムによる、シングルサインオンのための手順を以下に記載する。
ステップ1では、ユーザ(図示せず)は、ユーザのブラウザ100を介してアプリケーションシステム110にその特定のリソースにアクセスするための最初の要求を行う。ユーザが承認IDトークンを有していないことが発見されると、アプリケーションシステム110は、ID認証のために、ユーザを共通ID認証および承認システム120にリダイレクトする。共通ID認証および承認システム120は、ユーザID管理に共通ユーザIDライブラリ130を利用する。
ステップ2では、ユーザは、共通ID認証および認証システム120でID認証プロセスを通過し、承認IDトークンを受信する。
ステップ3では、ユーザは共通ID認証および承認システム120によって、アプリケーションシステム110にリダイレクトされ、承認IDトークンをアプリケーションシステム110に送信する。
ステップ4では、アプリケーションシステム110は、IDトークンの妥当性を検証するために、承認IDトークンを共通ID認証および承認システム120に送信する。IDトークンが有効であることが証明されると、アプリケーションシステム110は、ユーザが要求したリソースにアクセスすることを許可し、そうでなければ、アプリケーションシステム110は、ユーザによるアクセスを拒否する。
図示されるように、従来のSSO方法は、複数のアプリケーションシステムにより共有される共通ID認証および承認システムを必要とし、共通ユーザIDライブラリをさらに必要とする。複数のアプリケーションシステムが様々な管理システムを使用する多様なウェブサイトにホストされるため、共通ユーザIDライブラリおよび共通ID認証ならびに承認システムを確立することは、管理戦略および技術的導入の両方に困難をもたらす。そのような困難の代表的な例には、以下が挙げられる。
1.異なるウェブサイトは、異なるユーザグループを有する。これらのユーザグループは、それぞれにセットを構成する。これらのセットは、互いに交差する場合があるが、通常、互いと同一ではない。結果として、異なるユーザグループを共通ユーザIDライブラリィに一体化し、一元管理することは難しい。
2.異なるウェブサイトは、ユーザ登録および管理のための独自の固有な方法ならびに手順を有する。異なるウェブサイトにそれらのシステムを共通ユーザID管理システムに変換することを要求することは、多くの場合、ビジネス要件と両立しない。
3.共通ユーザIDライブラリが複数のシステムに共有されるとしても、それぞれのシステムは、個々にアップグレードする必要がある場合がある。結果として、使用される標準規格に関して合意を得ることは難しく、共通ユーザIDライブラリの確立および維持において、どのシステムが優位性を有するべきかを判断することは、さらに難しい。
4.インターネット上で、IDトークンは、通常、一般に同一SSOログオンドメインのすべてのウェブサイトが同一ネットワークドメインに属することを要求する、クッキーを使用して通信される。可能であるとしても、異なるネットワークドメインに渡りSSOを確立することは、非常に複雑な手順を必要とする。
5.共通ユーザID認証システムは、集中セッション管理ユニットであり、典型的に、単一障害点であり、性能においてボトルネックとなる問題点である。そのような問題の解決には、費用の掛かる、複雑なクラスタ技術が必要である場合があり、システムの構築および維持費用を大幅に増加する。
6.複数の個別ユーザID認証および管理システムを共通ユーザID認証および管理システムに変更するために、既存のシステムの相当な変更および改造が必要となる場合がある。これは、費用を増大するだけでなく、大きなリスクも伴う。
前述の理由のため、SSO方法およびシステムの改善に対する重大な必要性が存在する。
従来の集中モデルの代わりに、ユーザID管理の分散モデルを使用するシングルサインオン(SSO)技術を記載する。システム間シングルサインオンは、複数のシステムのユーザIDをマップするためのユーザIDマッピング概念を使用することにより可能になる。
一側面によると、第1のシステムと第2のシステムとの間のシングルサインオンの方法が提供される。第1のシステムは、第1のシステムに関するユーザのID情報を取得する。その後第1のシステムは、システム間ユーザIDマッピング関係に従い、第1のシステムに関するユーザのID情報から第2のシステムに関するユーザのID情報を取得し、第2のシステムに関するユーザのID情報を第2のシステムに送信する。ユーザのID情報を受信した上で、第2のシステムは、ユーザが第2のシステムにサインオンできるようにする。
一実施形態では、システム間で通信されるユーザID情報は、デジタル署名技術を使用して暗号化される。例えば、第1のシステムは、第2のシステムに関するユーザのID情報に添付される署名を作成し、第2のシステムに関するユーザのID情報と共に該署名を第2のシステムに送信する。第2のシステムは、受信した署名を審査することによって、ユーザID情報を認証する。1つの例示的なアプリケーションでは、ユーザは、最初に第1のシステムにサインオンする。第2のシステムは、ユーザのID情報が認証された場合、ユーザが第2のシステムにサインオンできるようにする。ユーザが第1のシステムにまだサインオンしていない場合、第1のシステムは、ユーザのIDを認証するために、ユーザにサインオンすることを要求する場合がある。
第1のシステムは、ユーザが第2のシステムにサインオンしようとしたという知らせを受けた上で、署名を作成するように設定されていてもよい。この知らせは、第1のシステムでユーザにより起動されたログオン要求、または第2のシステムによって第1のシステムにリダイレクトされたログオン要求のいずれかである場合がある。
該方法の一実施形態では、第1のシステムは、ユーザが第1のシステムから来たことを第2のシステムに知らせる。第2のシステムは、この認識を使用して、第2のシステムにサインオンする際のユーザの権限を絞り込む、例えば制限してもよい。
署名は、第1のシステムにより、暗号デジタル署名で暗号化されてもよい。従って、第2のシステムは、署名を認証するために、暗号デジタル署名を復号化する。暗号化および復号化は、公開鍵暗号化および秘密鍵暗号化などのいずれの適した暗号化技術を使用して行われてもよい。また、ハッシング技術を使用してもよい。第1のシステムは、ユーザID情報を第2のシステムに送信する前に、第2のシステムに関するユーザID情報の少なくとも一部分からハッシュを作成してもよい。
一実施形態では、第1のシステムは、署名および/またはユーザのID情報を第2のシステムに送信する前に、署名および/または第2のシステムに関するユーザのID情報にタイムスタンプを押す。第2のシステムは、タイムスタンプ情報を確認することによって、署名および/またはユーザのID情報を認証する。例えば、タイムスタンプ情報は、現行のタイムスタンプと同一ユーザに関する以前のタイムスタンプとを比較することにより、確認されてもよい。署名および/またはユーザのID情報は、現行のタイムスタンプが以前のタイムスタンプの後続である場合にのみ認証される。第2のシステムは、署名のログ記録および受信したユーザのID情報を保持する場合がある。
別の側面によると、システム間ユーザサインオンを認証するためのシステムが提供される。該システムは、データストレージ、およびデータストレージに保存されたユーザ情報を使用して、ログオンを要求しているユーザのIDを認証するためのID認証デバイスを有する。該システムは、データストレージに保存されるユーザIDマッピングデータをさらに有する。ユーザIDマッピングデータは、現行システムに関するユーザID情報とパートナーシステムに関するユーザID情報との間のマッピング関係を定義する。該システムは、マッチング関係を使用して、システムに関するユーザID情報からパートナーシステムに関するユーザID情報を取得するように適応される。
一実施形態では、該システムは、パートナーシステムに関するユーザID情報に添付される署名を生成するための署名ジェネレータを有する。署名ジェネレータは、暗号化アルゴリズムを使用してもよい。
別の側面によると、システム間ユーザサインオンを認証するためのシステムは、現行システムに関するユーザID情報を保存するデータストレージ、およびデータストレージに保存されたユーザID情報を使用してユーザIDを認証するためのID認証デバイスを有する。該システムは、パートナーシステムから受信したユーザIDに添付された署名を復号化し、データストレージに保存されたユーザID情報を判断することによって、受信したユーザIDを認証するための署名認証デバイスをさらに有する。該システムは、署名認証デバイスによる署名の認証が成功した上で、ユーザがログオンすることを許可することができる。一実施形態では、該システムは、ユーザのログオン方法に従い、ユーザの権限を制限するためのユーザ権限コントローラをさらに有する。
従来のSSO方法およびシステムとは異なり、本開示に記載される技術は、集中モデルの代わりに、分散ユーザ管理モデルを使用する。システム間IDマッピング概念を使用し、異なるシステムに関するユーザID情報を統合するために、直接ユーザIDマッピングテーブルが構築されてもよい。安全性を強化するために、デジタル署名技術を使用することができる。ユーザIDマッピングおよびデジタル署名技術の両方は、既存のシステムの単純な拡張であり、既存のユーザID認証システムの根本的な変更を必要としない。複数の独立したシステムを含む、大きな共同システムは、相互信頼関係に基づき、それぞれのシステムを大幅に変更したり、その独立性を放棄したりする必要なく、構築される場合がある。
記載される技術の他の特徴および利点は、以下の詳細な説明および図から、より容易に理解されるだろう。
添付の図を参照しながら、詳細な説明を記載する。図では、参照番号の最も左の数字により、参照番号が最初に表示される図を識別する。同一参照番号の異なる図での使用は、同様または同一事項を示す。
従来のSSO方法およびシステムの例を示す図である。 インターネット電子商取引においてシングルサインオンを達成するための例示的なシステムの概略図である。 例示的なシングルサインオンプロセスを示す、フロー図である。 ウェブサイトBが、いつウェブサイトAにユーザID情報に署名するように要求するかを定義する、例示的なシングルサインオンプロセスを示す図である。
以下の代表的な実施例に実証されるように、本明細書に記載の技術は、既存のシングルサインオン(SSO)方法に見られるユーザID管理の集中モデルから離れ、ユーザID管理の分散モデルを導入する。この設計は、高度な技術的複雑性の問題および管理の困難性に対処する。
本開示の一側面によると、複数のシステムのユーザIDをマップするためにシステム間ユーザIDマッピングを使用する、システム間シングルサインオンのための方法が提供される。C2Cウェブサイトまたは支払いウェブサイトのような、それぞれが独立したウェブサイトである場合がある、別個のパートナーシステムは、独自のユーザIDおよびユーザID管理システムを保持することが可能であり、共通ユーザIDライブラリおよび共通ユーザID管理システムに準拠する必要はない。
異なるシステムに関するユーザIDは、たとえ同一ユーザであっても異なる可能性があるため、本開示は、異なるシステム間で調整するためのシステム間ユーザIDマッピング技術を導入する。マッピングは、異なるシステム間における同一ユーザのIDのマッチング対応を定義する。特定のユーザのそれぞれのIDは、異なるシステムにおいて異なる場合がある、ユーザ名およびパスワードなどの基本属性を有する場合があるが、生年月日、住所、および選好などのその他の属性が含まれている場合もある。マッピングは、いずれの適した方法で行われてもよいが、好ましくは、システムがそれぞれのユーザを一意的に識別することができ、別のシステムに関連するユーザのID情報の認識に基づき、1つのシステムに関するそれぞれのユーザのID情報が識別可能であるべきである。
図2は、本開示によるインターネット電子商取引においてシングルサインオンを達成するための例示的なシステム200の概略図である。図2に示されるように、ユーザCは、ユーザのブラウザ210を介して、ウェブサイトAおよびウェブサイトBに代表される2つのパートナーシステムに関連するインターネット取引を試みる。シングルサインオンは、ウェブサイトAとウェブサイトBとの間で行われる。ウェブサイトAおよびウェブサイトBは、インターネット上の2つの独立したウェブサイトである。それらは、インターネット上のどこに位置してもよく、ネットワークドメインAおよびネットワークドメインBの2つの異なるドメインに属していてもよく、同一のネットワークドメインに属していてもよい。
ウェブサイトAは、データストレージ220に保存されたユーザライブラリ224によって定義される、独自のユーザグループを有する。またウェブサイトBも、データストレージ230に保存されたユーザライブラリ234によって定義される、独自のユーザグループを有する。データストレージ220および230のそれぞれは、単一ストレージデバイスまたは複合ストレージシステムであってもよい。
ウェブサイトAは、ログオンを要求しているユーザのIDを認証するためのID認証デバイス221をさらに有する。認証プロセスは、データストレージ220に保存されるユーザライブラリ224のユーザID情報を利用する。ユーザのIDが認証されると、ユーザは、ウェブサイトAの要求したリソースにアクセスすることが許可される。
ウェブサイトAは、データストレージ220に保存されたユーザIDマッピングデータ226をさらに有する。ユーザIDマッピングデータ226は、ウェブサイトAに関するユーザID情報とウェブサイトBに関するユーザID情報との間のマッピング関係を定義する。ユーザIDマッピングデータ226は、ウェブサイトAが、ウェブサイトAに関する同一ユーザのID情報から、ウェブサイトBに関するユーザのID情報を取得できるようにする。
ウェブサイトAは、ウェブサイトBに関するユーザID情報に添付される署名を生成するためのID署名ジェネレータ222をさらに有する。ID署名ジェネレータ222およびID認証デバイス221は、2つの別個のユニットまたは単一ユニットのいずれかに統合されてもよい。
またウェブサイトBは、データストレージ230に保存されるユーザライブラリ234のユーザID情報を使用して、ユーザIDを認証するためのID認証デバイス231も有する。ウェブサイトBは、ウェブサイトAから受信したユーザID情報に添付される署名を復号化するための署名認証デバイス232をさらに含む。ID認証デバイス231およびID署名認証デバイス232は、2つの個別ユニットまたは単一ユニットのいずれかに実装することができる。
署名の復号化は、ウェブサイトAから受信したユーザIDの信頼性および完全性を検証するために使用される。ユーザのIDが認証された場合、ユーザは、ウェブサイトBの要求したリソースにアクセスすることを許可される場合がある。
例示的なアプリケーションでは、ウェブサイトAおよびウェブサイトBは、電子商取引のためのパートナーシップを確立する。パートナーシップは、ウェブサイトAおよびウェブサイトBがユーザ情報を交換し、その結果、マッピングテーブル形式である場合がある、ユーザIDマッピングデータ226を回収することを可能にする。ユーザCは、ウェブサイトAおよびウェブサイトBの両方の顧客である。典型的に、ユーザCは、別々に、および独立して、ウェブサイトAおよびウェブサイトBの顧客になった可能性がある。同一ユーザCは、ウェブサイトAおよびウェブサイトBに関する異なるユーザID情報(例えば、異なるユーザ名またはパスワード)を有する場合がある。例えば、ウェブサイトAに関するユーザCのIDがCAであり、ウェブサイトBに関するユーザCのIDがCAである場合、ユーザIDマッピングデータ226(マッピングテーブルのような)は、CAとCBとの間のマッピング関係を、CA→CBとして示す入力を含み、ウェブサイトA上でのIDがCAであるユーザが、ウェブサイトB上でCBというIDを有することを意味する。適切に構築されている場合、ユーザIDマッピングデータ226は、ウェブサイトAがそれぞれのユーザを一意的に識別することを可能にし、ウェブサイトAに関する同一ユーザのID情報の認識に基づき、ウェブサイトBに関するそれぞれのユーザのID情報が特定できるようにする。
一致したID情報は、ログオンユーザ名およびパスワードなどの属性を含む場合があるが、システム間で異なる追加属性を含む場合がある。さらに、ユーザIDの認証、およびユーザ権限の制御ならびに制限に使用される追加情報もユーザID情報に添付される場合がある。
例示的なプロセスでは、ウェブサイトAは、ユーザCが、ユーザのブラウザ210を介してウェブサイトAにサインオンする際、ウェブサイトAに関するユーザCのID情報を取得する。IDマッピングデータ226を適切に使用することにより、ウェブサイトAは、ウェブサイトAに関する同一ユーザCのID情報から、ウェブサイトBに関するユーザCのID情報を取得する。その後、ウェブサイトAは、ウェブサイトBに関するユーザのID情報をウェブサイトBに送信する。ユーザのID情報を受信した上で、受信したID情報が満足できるものである場合、第2のシステムは、ユーザCが第2のシステムにサインオンすることを可能にすることができる。
ウェブサイトAとウェブサイトBとの間で通信されるユーザID情報は、安全性を有するために、デジタル署名技術を使用して暗号化されてもよい。ウェブサイトAは、この目的のために、ID署名ジェネレータ222を有する。例えば、ユーザCがウェブサイトAに正常にサインオンした後、ウェブサイトAは、ウェブサイトAおよびウェブサイトBに関するユーザCのID情報をCAおよびCBとそれぞれ定義し、ID署名ジェネレータ222は、ウェブサイトBに送信する前に、ユーザID情報CBにデジタル署名する場合がある。いずれの適した暗号化技術を使用して、ユーザID情報CBにデジタル署名するための署名を生成してもよい。一般的に、署名アルゴリズムは、ウェブサイトAでの暗号化およびウェブサイトBでの復号化を調整するために、ウェブサイトAおよびウェブサイトBの両方で取り決める必要がある。適した署名アルゴリズムの一実施例は、公開鍵署名アルゴリズムであり、ウェブサイトAは、それを使用して、その秘密鍵を使用してユーザID情報に署名し、ウェブサイトBがウェブサイトAの秘密鍵と一致する公開鍵を使用して署名を復号化できるようにしてもよい。
ウェブサイトAでID署名ジェネレータ222により生成されるデジタル署名は、第2のシステムに関するユーザのID情報CBに添付される。そしてデジタル署名およびID情報CBは、ウェブサイトBへのログオンを要求するために、両方ともウェブサイトBに送信される。
ウェブサイトBは、ウェブサイトAからログオン要求を受信し、ログオン要求が認証を必要とする署名を含むことを検出する。ウェブサイトBは、この目的のために、ID署名ベリファイア232を有する。ID署名ベリファイア232は、署名を復号化し、受信した署名およびユーザのID情報の信頼性ならびに完全性などの妥当性を検証する。署名およびユーザのID情報が妥当性テストに合格した場合、ウェブサイトBは、ウェブサイトAから送信されたID情報から、ユーザCのIDを判断する。ウェブサイトBは、CBをウェブサイトBに関するユーザCの有効なIDとして承認し、その結果、ユーザCに適切な役割およびセッションを確立する。
署名およびID情報が妥当性テストに不合格となった場合、ウェブサイトBは、ユーザCによるログオン要求を否認することになるであろう。場合によっては、署名およびID情報が妥当性テストに合格したとしても、特定のユーザIDであるCBは、ウェブサイトBで導入される特定の追加制限により、まだログオンを許可されない場合がある。例えば、特定のユーザIDであるCBは、失効している可能性があるか、または誤ったステータスを持つ、あるいはウェブサイトBに維持されるブラックリスト中に発見される。そのような状況下において、ウェブサイトBは、ユーザCのログオン要求を依然として否認することができる。
ウェブサイトBは、ウェブサイトB上のリソースにアクセスする訪問者としてのユーザCに与えられる権限を制御するための権限コントローラ233をさらに有する。通常、特定のユーザIDを有するユーザは、ユーザIDが作成される際に定められる、権限の固有セットを有する。しかしながら、ユーザがログオンを要求する方法により、ユーザの権限をさらに制御することが望ましい場合がある。例えば、ウェブサイトBに直接ログオンするユーザは、固有の権限を与えられる一方、別のウェブサイト(例えば、本実施例のウェブサイトA)からリダイレクトされるユーザは、より少ない権限が与えられる場合がある。ログオンを要求しているユーザの固有の権限を判断するために、権限コントローラ233は、データストレージ230に保存されるユーザライブラリ234を調べてもよい。ユーザのログイン方法を判断するために、権限コントローラ233は、ウェブサイトAから送信されるログオン要求情報(署名およびユーザIDと共に含まれる)を調べてもよい。あるいは、権限コントローラ232は、ユーザのログオン方法の情報を含むウェブサイトBに記録されたセッション情報を調べてもよい。セッション情報は、通常、ユーザCがサインオンし、セッションを確立した後、ウェブサイトB上のログファイルに記録される。
例示的なアプリケーションでは、ウェブサイトAは、C2Cウェブサイトであり、ウェブサイトBは、支払いウェブサイトである。ユーザCがウェブサイトA(C2Cウェブサイト)で起動されるウェブサイトB(支払いウェブサイト)にサインオンする際、ユーザCは、現行のセッション中、ウェブサイトAに関連する支払い取引のみを行い、他のウェブサイトに関連する支払い取引を行わないように、権限コントローラ233がユーザCの現行のセッションの権限を制限してもよい。一般に、支払いウェブサイトは、C2Cウェブサイトより高度な安全性を有する。権限コントローラ233の使用は、安全性と便利性との適切なバランスを有する、よりよいパートナーシップを達成することを助長する。例えば、適切な権限制御により、C2Cウェブサイトに関するユーザID情報(ユーザ名、およびパスワードまたはセキュリティコードなど)が盗まれる、あるいは危険にさらされる場合でも、ユーザとC2Cウェブサイトとの間のトランザクションのみに影響する。
上記に示されるように、ウェブサイトAとウェブサイトBとの間のシングルサインオンは、ユーザIDマッピングデータにより可能となり、デジタルID署名技術により、さらに安全になる。デジタルID署名に使用される署名アルゴリズムは、本開示によるシングルサインオンに安全性を提供するための重要なコンポーネントである。好ましくは、署名アルゴリズムは、以下のセキュリティ要件の側面を満足するべきである。
(1)情報(ウェブサイトBに関するユーザID情報に署名される署名、およびその他の追加署名情報を含む)が確かにウェブサイトAから送信されたものであることを証明するための信頼性。
(2)ID情報が署名された後、署名およびID情報が不正者により改ざんされていないことを証明する完全性。
(3)ウェブサイトA以外、ウェブサイトBおよびいかなるその他の第3者を含む誰もが有効な署名をレコード上に作成することができないことを保証する、非否認。適切な非否認手段により、妥当性および安全性の疑問に議論が生じた場合、ウェブサイトAは、レコード上の署名の作成者であることを否定できない。
(4)ID署名が有効に使用されるのは、1回のみであることを保証する、リプレイ防止。1度使用されると、ID署名は、もはや有効ではなくなり、従って、再び使用することができない。これは、第3盗聴者がユーザID署名を盗み、署名を再適用してウェブサイトBへのログオンアクセスを手に入れることを防止する。
上記に記載の安全対策(信頼性、完全性、および非否認)を達成するためのある例示的な技術は、公開鍵デジタル署名アルゴリズムである。このアルゴリズムを使用するために、ウェブサイトAおよびウェブサイトBは、事前に公開鍵および秘密鍵の組を取り決める。秘密鍵は、ウェブサイトAによってウェブサイトBを含むその他のエンティティから隠されて保管される。秘密鍵と一致する公開鍵は、公開され、特にウェブサイトBに既知である。実際のアプリケーションでは、ウェブサイトAのID署名ジェネレータ222は、公開鍵デジタル署名アルゴリズムを適用し、秘密鍵を使用してウェブサイトBに関するユーザID情報に署名する。署名されたユーザIDの受信した上で、ウェブサイトBのID署名ベリファイア232は、同一の公開鍵デジタル署名アルゴリズムに従って、公開鍵を使用して受信した署名を復号化する。この暗号化−復号化手順は、ウェブサイトAにより署名されたID署名の信頼性および完全性を検証するための基盤を提供する。同時に、ウェブサイトBは、非否認手段を提供するために、セッションログの認証されたID署名を記録する。記録されたセッションログにより、議論が生じた際にウェブサイトAが記録されたID署名を実行したことを否認することを避けられる。
リプレイを防止するための1つの例示的な技術は、タイムスタンプの使用である。ウェブサイトAからウェブサイトBに通信されるユーザIDには、タイムスタンプが押され、またログオン要求には、ユーザIDにタイムスタンプが押されていること、および受信者であるシステムウェブサイトBによる確認および認証が必要であることを示す情報が含まれてもよい。好ましい実施形態では、タイムスタンプは、デジタル署名の署名手順における不可欠な部分として実装される。例えば、署名の作成に選択されるデジタル署名アルゴリズムは、ウェブサイトAで署名されるID情報にタイムスタンプが添付されていることを必要とし、タイムスタンプとID情報は、一緒に署名される場合がある。これは、ID情報およびタイムスタンプ情報の両方の信頼性および完全性を保証する。ウェブサイトBにおいて、署名の復号化は、ID情報およびタイムスタンプ情報の両方の信頼性および完全性を同時に検証する。
タイムスタンプ情報は、様々な方法でリプレイ防止に使用されてもよい。以下は、2つの実施例である。
1.ウェブサイトBでは、ID署名ベリファイア232がウェブサイトAから受信したID署名を認証すると同時に、現行のID署名のタイムスタンプと、同一ユーザ(ユーザC)のウェブサイトAから送信された以前のID署名のタイムスタンプを比較する。同一ユーザによる継続的なログオン要求は、常に時間が増加するため、現行のタイムスタンプが以前のタイムスタンプより古いか、以前のタイムスタンプと同一であるかのいずれかの場合、リプレイの試みが検出される可能性がある。そのような検出を行った上で、ID署名認証は、失敗し、ウェブサイトBはユーザCによるアクセスを否認する。
ユーザCが初めてウェブサイトBを訪問している場合、タイムスタンプは、以前のタイムスタンプと比較することなく承認される必要がある場合があるが、署名およびユーザID情報が初めて適用されるため、この特別な状況において、リプレイのリスクは無い。ユーザCが正真正銘の正当な繰り返し訪問を行っている場合、異なる、唯一の継続的なタイムスタンプを有する、現行の署名および以前の署名が別々に作成される。この技術を使用し、ユーザCが特定の署名で正真正銘の訪問を行った場合、同一署名は、事実上失効する。この技術では、ウェブサイトBが、タイムスタンプなどの追加添付情報を含む、すべてのログオン要求のログ記録を保持する必要がある。
2.ウェブサイトAおよびウェブサイトBは、作成後の署名の妥当性の期限を取り決める。例えば、ウェブサイトAおよびウェブサイトBは、署名は、作成後1分間のみ有効であると取り決めてもよい。署名を受信した上で、ウェブサイトBは、署名のタイムスタンプと、現在の時間(実際の時刻)を比較して、署名がまだ有効であるかどうかを判断する。この技術を使用することで、署名が盗まれる、または漏れる、いかなる事象においても、その妥当性は1分間のみに制限される。従って、安全性侵害がもたらす結果は最小化される。実際には、ウェブサイトAが、署名されたユーザID情報の署名作成後、即座に送信することが望ましい場合がある。これは、1分間を大幅に下回る失効期限を取り決めることにより、可能となる場合がある。
タイムスタンプ情報を使用するための上記の2つの技術は、互いに排他的ではない。それらを、実践に組み合わせてもよい。例えば、第1の技術は、単独で使用される場合、ウェブサイトAで作成された署名が、ウェブサイトBに伝達される前に盗まれる、または漏れるという事象において、損なわれる場合がある。この場合、ウェブサイトBは、ユーザCのタイムスタンプの適切な記録を有さず、盗まれたまたは漏れた署名を所有する犯人がタイムスタンプテストに合格し得る。しかしながら、上記に記載される第1の技術と第2の技術の両方の組み合わせは、盗まれたまたは漏れた署名は、かなりの時間が経過するまで適用される可能性が低いため、問題が解決される可能性がある。
署名の作成および認証に使用可能な署名アルゴリズムには、デジタル署名アルゴリズム(DSA)などの公開鍵署名アルゴリズムが挙げられるが、それに限定されない。様々な技術が使用可能であり、パートナーウェブサイトの必要性に最も適するものを選択してもよい。例えば、ウェブサイトAおよびウェブサイトBが十分な程度の相互信頼を有する場合、非否認のためのメカニズムは必要ない場合がある。この場合、ウェブサイトAは、ユーザID情報およびタイムスタンプ情報の暗号化に秘密鍵アルゴリズムを使用し、ウェブサイトBに暗号文(暗号テキスト文字列)を送信して、信頼性、完全性、およびリプレイ防止を保証する。
あるいは、ID情報およびタイムスタンプ情報の署名に、ハッシュアルゴリズムSHAI(Secure Hash Algorism、version1.0)またはMD5(Message Digest、version5)、などのより単純なアルゴリズムを使用してもよい。ハッシュアルゴリズムにより選択され、両者(ウェブサイトAおよびウェブサイトB)で取り決めたシードを使用して、第3者がユーザID情報に有効な署名を作成することを防止してもよい。
図3は、本開示による、例示的なシングルサインオンプロセスのフロー図を示す。プロセスは、ブロックのコレクションとして論理フローグラフに示され、ハードウェア、ソフトウェア、またはその組み合わせに実装可能な一連の動作を示す。ソフトウェアの文脈において、ブロックは、コンピュータ実行可能指示を示し、1つ以上のプロセッサで実行される場合、記載される動作を実行する。一般的に、コンピュータ実行可能指示は、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み、特定の機能を実行する、または特定の抽象データ型を導入する。動作が記載される順序は、構文解析のための制限を意図するものではなく、ブロックに記載されるいずれの番号も、いずれの順序で組み合わせることが可能であり、かつ/または平行してプロセスに導入することができる。検討目的のために、図2のシステム200を参照してプロセスを記載する。
本実施例では、ユーザは、最初にウェブサイトAにサインオンする。ウェブサイトAは、ウェブサイトBへの自動ログオンを達成するためのユーザID署名の作成プロセスを開始する。例示的なシングルサインオンプロセスを以下のブロックに記載する。
ブロック300では、ユーザCは、ウェブサイトAにログオンすることを要求し、ID認証のためのID情報(ユーザ名およびパスワードなど)を入力する。
ブロック301では、ウェブサイトAのID認証デバイス221がデータストレージ220に保存されるユーザライブラリ224からユーザID情報を読み出し、ユーザCにより提供されるユーザID情報を認証する。
ブロック302では、ユーザID認証が成功した上で、ユーザCがウェブサイトAのリソースにアクセスすることを許可される。
ブロック303では、ウェブサイトAがウェブサイトBに関するユーザCのID情報を判断し、ユーザID情報に基づき、ユーザID署名を生成する。場合によっては、ユーザCのID情報が判断され、署名される前に、ウェブサイトAが、ユーザCがウェブサイトBでサインオンしているかを検出することを可能にするメカニズムが採用されてもよい。これは、自動的に行われるか、またはユーザCにより明確に指示された上で行われる。例えば、ウェブサイトAは、ユーザCがウェブサイトBからのサービスまたはサポートを必要とするウェブサイトAのリソースを要求した場合に、ユーザCがウェブサイトBにサインオンしようとしていることを自動的に検出してもよい。
ウェブサイトBに関するユーザCのID情報は、データストレージ220に保存されるIDマッピングデータ226を使用して、ウェブサイトAで判断される。例えば、ユーザIDマッピングデータ226がウェブサイトA/ウェブサイトB(A/B)マッピングテーブルを含む場合、ID署名ジェネレータ222は、ウェブサイトBに関するユーザCのID情報を、マッピングテーブルを読み込むことによって取得してもよい。そしてID署名ジェネレータ222は、取り決められた署名アルゴリズムを使用して、ウェブサイトBに関するユーザCのID情報、およびその他の追加情報(タイムスタンプ情報など)に署名する。ID署名ジェネレータ222は、ウェブサイトBへのログオン要求にID署名をさらに添付する。
ブロック304では、ウェブサイトAは、ユーザID署名を含むログオン要求をウェブサイトBに誘導する。ログオン要求では、ウェブサイトAはさらに、ユーザCにウェブサイトAから来ているというラベルを付けてもよい。そのようなラベリングは、異なるサブドメイン名または追加添付パラメータのような形であってもよい。
ブロック305では、ウェブサイトBは、ウェブサイトAから受信したユーザID署名が有効であるかを判断する。これは、取り決められた署名アルゴリズムを使用して署名を復号化する、ID署名ベリファイア232によって行われる。ユーザID署名が無効な場合、ウェブサイトBは、ユーザCのログオン要求を否認する。ユーザID署名が有効な場合、プロセスは次のステップ306に進む。
ブロック306では、ウェブサイトAからのユーザID署名が有効であると判断されたことにより、ウェブサイトBは、ユーザCが信頼できるウェブサイトAにすでにサインオンしており、従って、ウェブサイトBにログオンするための許可も与えられるべきであると判断する。従って、ウェブサイトBは、ユーザCのセッションを確立し、ユーザCがウェブサイトBの要求するリソースにアクセスすることを許可する。セッションは、ウェブサイトAから受信したユーザID情報から識別される、ウェブサイトBに関するユーザID情報に従って確立される。ウェブサイトBはさらに、今後のログオン要求のタイムスタンプの比較など、その他の目的のために使用される場合がある、ユーザID署名をセッションログに記録してもよい。
ブロック307では、ウェブサイトBは、ユーザCのステータスを確認し、確立されたセッションに対するその権限を判断する。これは、権限コントローラ233によって行われる。特定のユーザCは、特定の要求されるリソースにアクセスする権限を有さないことが発見された場合、ウェブサイトBは、ユーザCのユーザIDが有効であるにも関わらず、ユーザCの要求を否認する。特定のユーザCが特定の要求するリソースにアクセスする権限を有することが発見された場合、ウェブサイトは該アクセスを許可する。
上記のステップは、同一または同様の目的を達成するために、より少ないステップに一体化されてもよく、またはより多くのステップに拡張されてもよいことが理解される。例えば、ステップ306およびステップ307は、単一ステップとして同時に実行されてもよい。
上記に記載のシングルサインオンプロセスは、同一ユーザCによる複数の要求または複数のトランザクションに関係する、閉じていないセッションに対して、1回のみ実行される場合がある。1度ユーザCとウェブサイトBが有効なセッションを確立すると、ユーザCはセッションを継続することを選択し、ウェブサイトAに戻り、上記に記載のシングルサインオンプロセスを繰り返すことなく、ウェブサイトBの認可されたリソースに直接アクセスしてもよい。継続的なセッションには、最初にアクセスしたリソースへの繰り返しアクセス、またはその他の認可されたリソースへの新しいアクセスが含まれてもよい。
上記の例示的な実施形態では、ウェブサイトAが署名プロセスを開始する。署名は、ユーザCがウェブサイトBへのログオンを要求する度に生成される必要は無いことに留意されたい。本開示による方法は、ウェブサイトAは、新しい署名が必要な場合にのみ、ユーザID情報に署名するように要求されるように設定されていてもよい。例えば、ユーザCがウェブサイトAからウェブサイトBを訪問しようとする度に、ウェブサイトAが独自の署名プロセスを開始する代わりに、ウェブサイトBが署名されたユーザID情報の送信要求を受信した場合にのみ、ウェブサイトAがこのアクションを行ってもよい。この設計は、不必要な繰り返し、および署名作成ならびに認証の余剰を回避する。署名アルゴリズムの実行は、相当な量のコンピュータ資源を使用するため、そのような実行を削減することは、相当な量の運営費用を節約する可能性がある。さらに、署名作成および認証の発生率がより少ないことにより、保持する記録および署名が漏れるリスクが低くなるという結果がもたらされる。
図4は、例示的なシングルサインオンプロセスを示すフロー図であり、ウェブサイトBは、いつウェブサイトAにユーザID情報に署名するように要求するか決定する。例示的なプロセスを以下のブロックに記載する。
ブロック400では、ユーザCがウェブサイトBにログオンし、特定のリソースにアクセスすることを要求する。これは、ユーザCにより、ウェブサイトBで直接開始されてもよいが、ウェブサイトAがC2Cサイトである一方、ウェブサイトBは、支払いサイトである、示される実施例においては、サインオンするための要求は、ウェブサイトAからウェブサイトBに向けられる可能性が高い。この場合、ログオン要求は、ウェブサイトAから来ているものとして、ユーザCを識別してもよい。そのような識別表示は、ログオン要求情報内に、異なるサブドメイン名、または追加添付パラメータのいずれかを含んでもよい。
ブロック401では、ウェブサイトBは、ユーザCがすでにウェブサイトBにサインオンしているかどうかを、シングルサインオンプロセスを介して、ウェブサイトから直接的または間接的に判断する。ユーザCがすでにウェブサイトBにサインオンしている場合、プロセスは、署名作成および認証ステップを省略し、ウェブサイトBが要求するリソースへのアクセスに関するユーザCの権限を判断する、ステップ407に跳ぶ。ユーザCがウェブサイトBにまだサインオンしていない場合、プロセスは、ステップ402に進む。
ブロック402では、ウェブサイトBは、ユーザCのログオン要求をウェブサイトAにリダイレクトする。要求は、ウェブサイトAがウェブサイトBにユーザCのID情報を送信するための要求を識別するパラメータを含む。ID情報が署名により保護される場合、要求は、ウェブサイトAがウェブサイトBに送信されるID情報に安全に署名するための要求を識別するパラメータを含む。必要に応じて、要求はまた、ユーザCがアクセスを要求しているウェブサイトBの特定のリソースを識別してもよい。
ブロック403では、ウェブサイトAのID署名ジェネレータ222がユーザIDマッピングデータ226からユーザCのウェブサイトBに関するユーザID情報を読み出し、ウェブサイトAおよびウェブサイトBに取り決められた署名アルゴリズムを使用してユーザID情報からユーザID署名を生成する。またユーザID署名は、タイムスタンプ情報などの追加情報もカバーする。好ましくは、ウェブサイトAは、ステップ403の最初の時点で、ユーザCがすでにウェブサイトAにサインオンしているかを確認してもよい。ユーザCがウェブサイトAにまだサインオンしていない場合、ウェブサイトAは、通常、ステップ403を実行する前に、最初にユーザCにウェブサイトAにサインオンするよう要求するべきである。この場合、通常のログオンプロセスは、ID認証デバイス221によりユーザ名およびパスワードが確認され、認証されてから行われる場合がある。
ブロック404では、ウェブサイトAは新しく作成されたユーザID署名をログオン要求に添付し、ユーザID署名を含むログオン要求をウェブサイトBにリダイレクトする。
ブロック405では、ウェブサイトBのID署名ベリファイア232が、ウェブサイトAおよびウェブサイトBによって取り決められた署名アルゴリズムを使用して復号化することによって、ID署名の妥当性を検証する。ID署名が無効な場合、ウェブサイトBは、ユーザCの要求されたリソースへのアクセスを否認する。ID署名が有効な場合、プロセスは、ステップ406に進む。
ブロック406では、ウェブサイトAからのユーザID署名が有効であることが判断されたことにより、ウェブサイトBは、ユーザCがすでに信頼されるウェブサイトAにサインオンしていると判断し、ユーザCがウェブサイトBの要求するリソースにアクセスできるように、ユーザCのセッションを確立する。セッションは、ウェブサイトAから受信するウェブサイトBに関するユーザID情報に従って確立される。ウェブサイトBはさらに、ユーザID署名をセッションログに記録し、今後のログオン要求のタイムスタンプ比較など、その他の目的に使用してもよい。
ブロック407では、ウェブサイトBの権限コントローラ233は、ユーザCのステータスを確認し、確立されたセッションに対するその権限を判断する。ユーザCが特定の要求されたリソースにアクセスする権限を持たないことが発見された場合、ウェブサイトBは、ユーザCの要求を否認する。ユーザCが要求されるリソースにアクセスする権限を有することが発見された場合、ウェブサイトBは、該アクセスを許可する。
上記技術は、コンピュータ実行可能指示を含む、コンピュータ可読媒体を1つ以上用いて実装してもよい。コンピュータ実行可能指示は、プロセッサが本明細記載の技術による、システム間シングルサインオン(SSO)手順を実行できるようにする。コンピュータ可読媒体は、コンピュータデータを保存するためのいずれの適したメモリデバイスであってもよいことが理解される。そのようなメモリデバイスには、ハードディスク、フラッシュメモリデバイス、光学データストレージ、およびフロッピー(登録商標)ディスクが挙げられるが、それらに限定されない。さらに、コンピュータ実行可能指示を含むコンピュータ可読媒体は、ローカルシステムのコンポーネント、または複数のリモートシステム上に分散するコンポーネントで構成されてもよい。コンピュータ事後完了指示のデータは、有形である物理メモリデバイスに伝達されるか、または電子的に伝送されてもよい。
本明細書に示されるように、本開示は、システム間ユーザIDマッピング概念を導入することによって、シングルサインオンのための分散モデルを提案する。分散モデルは、シングルサインオン方法の従来の集中モデルに固有である、いくつかの管理リスクおよび技術的リスクを回避する。パートナーシステム(例えば、例示的な実施形態のウェブサイトAおよびウェブサイトB)は、それらの独立性を保つ一方、パートナーシステム間のユーザIDマッピングコンポーネントは、柔軟であり、その時点での実際の必要性に応じて、構築、修正、または取り外すことができる。
分散モデルにより、ID署名ジェネレータおよびID署名ベリファイアは、集中ユーザID認証システムを使用することなく、相互に信頼されるシステム間(例えば、相互間ウェブサイト)シングルサインオンメカニズムを確立し、従って、集中ユーザID認証システムにより引き起こされる、可能性のある性能ボトルネックおよび単一障害点問題を回避する。本開示によるID署名ジェネレータおよびID署名ベリファイアは、既存のウェブサイトの単純な拡張である。集中ID認証システムと比較し、本開示に記載される技術は、既存のウェブサイトの元のID認証システムの大幅な修正を必要としない。これは、従来のシングルサインオン方法の高運営費用および高リスクの問題を軽減することを助長する。また安全対策も、既存のシステムの単純な拡張である。シングルサインオンプロセスの信頼性、完全性、非否認、およびリプレイ防止を保証する者が、適した署名アルゴリズムを手軽に選択し、実装してもよい。安全性のレベルは、電子商取引を実施するウェブサイトの厳しいセキュリティ要件のほとんどを満足することができる。本開示によるシングルサインオン手順は、署名生成および認証を最小化するために、最適化し、その結果として、速度および便利性の設計目的を達成してもよい。
例示的な実施形態は、2つのパートナーウェブサイトであるウェブサイトAおよびウェブサイトBを用いて示されるが、本開示に記載される技術は、この種類のアプリケーションに限定されないことが理解される。例えば、ウェブサイトBとのウェブサイトA/BのユーザIDマッピングテーブルの確立に加え、ウェブサイトAは、ウェブサイトCとウェブサイトA/CのユーザIDマッピングテーブルを確立してもよい。同様に、またウェブサイトBは、ウェブサイトCとウェブサイトB/CのユーザIDマッピングテーブルを確立してもよい。すなわち、ウェブサイトCは、複数のウェブサイトとパートナー関係を確立してもよい。さらに、ウェブサイトBは、ウェブサイトB/AのユーザIDマッピングテーブルも確立し、本明細書に記載されるようなウェブサイトA/BのユーザIDマッピングテーブルを使用して実行されるトランザクションと逆のトランザクションを実行してもよい。実装の複雑性および関係者の数に関係なく、ユーザIDマッピングテーブルを確立した2つのウェブサイトは、本明細書に記載されるものと同一の方法でトランザクションを実行してもよい。
さらに、例示的な実施形態は、電子商取引の文脈でウェブサイトを用いて示されるが、本開示に記載される技術は、この種類のアプリケーションに限定されない。技術は、パートナーシステムの少なくとも一方がシステム内のリソースにアクセスするためにユーザID認証を必要とするインスタントメッセージシステムなど、いずれのネットワークシステムおよび通信システムに適用されてもよい。
「ユーザID署名」という用語は、本明細書で使用される際、特定のユーザID情報に署名された、または添付された署名を指し、該署名がユーザIDの所有者によって署名されたことを意味しないことに留意されたい。本明細書に記載される例示的な実施形態では、例えば、ユーザ自身がユーザのID情報に署名する代わりに、第1のシステム(例えば、ウェブサイトA)がユーザ(ユーザC)のユーザID情報に署名することが好ましい。
明細書および図面を含む上記の説明は、例証的なものであり、制限的なものではない。本開示を検証することによって、当技術分野に精通する者により、多くの多様な技術が明らかとなるであろう。上記に記載の開示の様々な特徴および側面は、別個または共同で使用されてもよい。さらに、本開示は、本明細書の最も広義の精神および範囲から逸脱することなく、これら本明細書に記載するものを超えて、いずれの数の環境およびアプリケーションにおいても利用することができる。従って、本開示の範囲は、上記説明を参照して判断されるべきではなく、代わりに、それらの同等物の全範囲に加えて、添付の特許請求の範囲を参照して判断されるべきである。

Claims (17)

  1. 第1のサービスを提供するウェブサイトが実行する方法であって、
    前記第1のサービスのための要求を受信するステップであって、前記要求は、第2のサービスに関連付けられたユーザID情報と、前記第1のサービス及び前記第2のサービスに関連付けられたユーザIDマッピングデータに基づいて取得された前記第1のサービスに関連付けられたユーザID情報を含む、受信するステップと、
    前記第1のサービスに関連付けられた前記ユーザID情報に基づき、前記要求を検証するステップと、
    前記検証に応答して、1つのセッション間の前記第1のサービスにアクセスするための前記ユーザにアサインされたリソースアクセス権限に基づき、前記第1のサービスにアクセスするために、前記ユーザに関連付けられるコンピューティングデバイスのための前記1つのセッションを確立するステップであって、前記リソースアクセス権限は、前記要求の方法によりさらに制御される、ステップと、
    を含むことを特徴とする方法。
  2. 前記ユーザID情報は、前記第2のサービス及び前記ユーザIDマッピングデータに関連付けられたユーザIDに基づき、生成されることを特徴とする請求項1に記載の方法。
  3. 前記第1のサービスは、取引の支払いを含み、
    前記第2のサービスは、取引の消費者対消費者(C2C)サービスを含み、前記リソースアクセス権限は、前記1つのセッション間の前記取引の前記支払い前記ユーザ制限することを特徴とする請求項1に記載の方法。
  4. 前記ユーザに前記第1のサービスにアクセスすることを可能にするステップは、
    前記ユーザに前記取引に関連付けられた前記第1のサービスの1つまたは複数のアクセスすることを可能とするステップを含むことを特徴とする請求項3に記載の方法。
  5. 前記要求は、タイムスタンプを含む署名を含むことを特徴とする請求項1に記載の方法。
  6. 前記ユーザの以前の署名のタイムスタンプと前記署名の前記タイムスタンプと比較することにより、前記署名を認証するステップと、
    前記ユーザID情報に関連付けられたユーザに、前記署名の認証後に前記第1のサービスにアクセスすることを可能とさせるステップと
    をさらに含むことを特徴とする請求項5に記載の方法。
  7. 1つまたは複数のプロセッサにより実行されたときに、第1のサービスを提供するウェブサイトに以下の動作を実施させるコンピュータ実行可能命令を記憶する1つまたは複数のコンピュータ可読記憶媒体であって、前記動作は、
    前記第1のサービスのための要求を受信するステップであって、前記要求は、第2のサービスに関連付けられたユーザID情報と、前記第1のサービス及び前記第2のサービスに関連付けられたユーザIDマッピングデータに基づいて取得された前記のサービスに関連付けられた、署名とユーザID情報を含み、前記第1のサービスと前記第2のサービスは、電子商取引のためのパートナーシップを有する、ステップと、
    前記第1のサービスに関連付けられた前記ユーザID情報に基づいて前記要求を検証するステップと、
    前記ユーザID情報に基づいて、前記第1のサービスにアクセスするためのリソースアクセス権限をアサインするステップであって、前記リソースアクセス権限は、前記要求の方法によりさらに制御されるステップと、
    前記署名のタイムスタンプと、前記ユーザの以前の署名のタイムスタンプとを比較することにより、署名を認証するステップと、
    前記リソースアクセス権限に基づいて、前記ユーザID情報に関連付けられたユーザに前記第1のサービスにアクセスすることを許容するステップと、
    を含むことを特徴とするコンピュータ可読記録媒体。
  8. 前記ユーザID情報は、前記第2のサービスと前記ユーザIDマッピングデータに関連付けられたユーザIDに基づいて、生成されることを特徴とする請求項7に記載のコンピュータ可読記録媒体。
  9. 前記第1のサービスに関連付けられた追加のユーザIDを含む、前記第1のサービスのための追加の要求を受信するステップと、
    前記追加のユーザIDに基づき、前記第1のサービスにアクセスするために、前記リソースアクセス権限より高い追加のリソースアクセス権限を割り振るステップと
    を含むことを特徴とする請求項8に記載のコンピュータ可読記録媒体。
  10. 前記リソースアクセス権限は、前記第1のサービスにより記録された前記ユーザに関連付けられたセッション情報に基づき判定されることを特徴とする請求項7に記載のコンピュータ可読記録媒体。
  11. 前記第1のサービスは、取引の支払いに関連付けられ、
    前記第2のサービスは、取引の消費者対消費者(C2C)サービスを含むことを特徴とする請求項7に記載のコンピュータ可読記録媒体。
  12. 前記ユーザが前記第1のサービスにアクセスすることを可能とするステップは、前記ユーザが前記取引に関連付けられた前記第1のサービスの1つまたは複数の部分をアクセスすることを可能とするステップを含むことを特徴とする請求項11に記載のコンピュータ可読記録媒体。
  13. 1つまたは複数のプロセッサと、
    前記1つまたは複数のプロセッサにより実行可能な複数のコンポーネントを維持するメモリとを備えたシステムであって、前記複数のコンポーネントは、
    ID認証ユニットであって、
    第1のサービスのための要求を受信、前記要求は、第2のサービスに関連付けられたユーザID情報と、前記第1のサービス及び前記第2のサービスに関連付けられたユーザIDマッピングデータに基づいて取得された前記のサービスに関連付けられた署名とユーザID情報を含み、前記第1のサービスと前記第2のサービスは、電子商取引のためのパートナーシップを有
    前記第1のサービスに関連づけられた前記ユーザID情報に基づいて、前記要求を認証する、ID認証ユニットと、
    前記ユーザID情報に基づいて前記第1のサービスにアクセスするためのリソースアクセス権限を割り振り、前記リソースアクセス権限を、前記要求の方法によりさらに制御す権限コントローラと、
    ID署名ベリファイアであって
    前記署名のタイムスタンプと、前記ユーザの以前の署名のタイムスタンプとを比較することにより、前記署名を認証
    前記ユーザID情報と関連付けられたユーザに前記リソースアクセス権限に基づいて、前記第1のサービスにアクセスすることを許容する、ID認証ベリファイアとを含む
    ことを特徴とするシステム
  14. 前記ユーザID情報は、前記第2のサービスに関連付けられたユーザIDと前記ユーザIDマッピングデータに基づいて生成されることを特徴とする請求項13に記載のシステム
  15. 前記リソースアクセス権限は、前記第1のサービスにより記録された前記ユーザに関連付けられたセッション情報に基づいて判定されることを特徴とする請求項13に記載のシステム
  16. 前記第1のサービスは、取引の支払いに関連付けられ、
    前記第2のサービスは、前記取引の消費者対消費者(C2C)サービスに関連付けられることを特徴とする請求項13に記載のシステム
  17. 前記ユーザが前記第1のサービスにアクセスすることを可能とすることは、前記ユーザが前記取引に関連付けられた前記第1のサービスの1つまたは複数の部分にアクセスすることを可能とすることを特徴とする請求項16に記載のシステム
JP2013094691A 2006-03-22 2013-04-26 システム間シングルサインオン Active JP5695120B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200610065558.3 2006-03-22
CN2006100655583A CN1835438B (zh) 2006-03-22 2006-03-22 一种在网站间实现单次登录的方法及网站

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2009501014A Division JP2009541817A (ja) 2006-03-22 2007-03-22 システム間シングルサインオン

Publications (2)

Publication Number Publication Date
JP2013152757A JP2013152757A (ja) 2013-08-08
JP5695120B2 true JP5695120B2 (ja) 2015-04-01

Family

ID=37003055

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009501014A Pending JP2009541817A (ja) 2006-03-22 2007-03-22 システム間シングルサインオン
JP2013094691A Active JP5695120B2 (ja) 2006-03-22 2013-04-26 システム間シングルサインオン

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2009501014A Pending JP2009541817A (ja) 2006-03-22 2007-03-22 システム間シングルサインオン

Country Status (6)

Country Link
US (2) US8250095B2 (ja)
EP (1) EP1997271B1 (ja)
JP (2) JP2009541817A (ja)
CN (1) CN1835438B (ja)
HK (1) HK1096790A1 (ja)
WO (1) WO2007107969A1 (ja)

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9400589B1 (en) 2002-05-30 2016-07-26 Consumerinfo.Com, Inc. Circular rotational interface for display of consumer credit information
US9710852B1 (en) 2002-05-30 2017-07-18 Consumerinfo.Com, Inc. Credit report timeline user interface
CN1835438B (zh) 2006-03-22 2011-07-27 阿里巴巴集团控股有限公司 一种在网站间实现单次登录的方法及网站
US8996857B1 (en) * 2006-06-05 2015-03-31 Thomson Financial Llc Single sign-on method in multi-application framework
US8356333B2 (en) * 2006-12-12 2013-01-15 Bespoke Innovations Sarl System and method for verifying networked sites
US20090077638A1 (en) * 2007-09-17 2009-03-19 Novell, Inc. Setting and synching preferred credentials in a disparate credential store environment
CN101159557B (zh) * 2007-11-21 2010-09-29 华为技术有限公司 单点登录的方法、装置及系统
US9990674B1 (en) 2007-12-14 2018-06-05 Consumerinfo.Com, Inc. Card registry systems and methods
US8127986B1 (en) 2007-12-14 2012-03-06 Consumerinfo.Com, Inc. Card registry systems and methods
US20090163200A1 (en) * 2007-12-20 2009-06-25 Nokia Corporation Mobile device supporting walkaway conversation establishment
CN101599832B (zh) * 2008-06-05 2011-06-15 北京思创银联科技股份有限公司 一种实现网络系统登录的个人身份认证方法及系统
US8312033B1 (en) 2008-06-26 2012-11-13 Experian Marketing Solutions, Inc. Systems and methods for providing an integrated identifier
US9256904B1 (en) 2008-08-14 2016-02-09 Experian Information Solutions, Inc. Multi-bureau credit file freeze and unfreeze
US8763102B2 (en) * 2008-09-19 2014-06-24 Hewlett-Packard Development Company, L.P. Single sign on infrastructure
US8060424B2 (en) 2008-11-05 2011-11-15 Consumerinfo.Com, Inc. On-line method and system for monitoring and reporting unused available credit
US20100125738A1 (en) * 2008-11-14 2010-05-20 Industrial Technology Research Institute Systems and methods for transferring information
CN101510877B (zh) * 2009-02-25 2012-05-23 中国联合网络通信集团有限公司 单点登录方法和系统、通信装置
CN101610157B (zh) * 2009-07-28 2012-09-05 江苏先安科技有限公司 一种Web表单中使用数字证书自动签名的系统和方法
CN102082775A (zh) * 2009-11-27 2011-06-01 中国移动通信集团公司 一种用户身份管理方法、装置和系统
US9043306B2 (en) * 2010-08-23 2015-05-26 Microsoft Technology Licensing, Llc Content signature notification
WO2012065128A1 (en) * 2010-11-11 2012-05-18 Ebay Inc. Quick payment using mobile device binding
US8484186B1 (en) 2010-11-12 2013-07-09 Consumerinfo.Com, Inc. Personalized people finder
US9147042B1 (en) 2010-11-22 2015-09-29 Experian Information Solutions, Inc. Systems and methods for data verification
JP5734087B2 (ja) * 2011-05-18 2015-06-10 キヤノン株式会社 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。
JP5595333B2 (ja) * 2011-06-03 2014-09-24 日本電信電話株式会社 利用者識別子の変換システム及び変換方法
US9665854B1 (en) 2011-06-16 2017-05-30 Consumerinfo.Com, Inc. Authentication alerts
US8819425B2 (en) * 2011-06-30 2014-08-26 True[X] Media Inc. Privacy protected interactions with third parties
US9483606B1 (en) 2011-07-08 2016-11-01 Consumerinfo.Com, Inc. Lifescore
CN102890685B (zh) * 2011-07-21 2015-09-23 阿里巴巴集团控股有限公司 一种信息重定向的方法及设备
JP5568067B2 (ja) * 2011-09-13 2014-08-06 株式会社日立製作所 分散システムにおけるシステム間連携装置
US9106691B1 (en) 2011-09-16 2015-08-11 Consumerinfo.Com, Inc. Systems and methods of identity protection and management
CN103001936B (zh) * 2011-09-16 2016-05-25 北京新媒传信科技有限公司 一种第三方应用接口授权方法和系统
US8738516B1 (en) 2011-10-13 2014-05-27 Consumerinfo.Com, Inc. Debt services candidate locator
CN103188208B (zh) * 2011-12-27 2018-03-20 腾讯科技(北京)有限公司 网页访问的权限控制方法、系统和呼叫中心
US9326140B2 (en) * 2012-01-31 2016-04-26 Oracle International Corporation Method and system for implementing an advanced mobile authentication solution
US9853959B1 (en) 2012-05-07 2017-12-26 Consumerinfo.Com, Inc. Storage and maintenance of personal data
US10204343B2 (en) * 2012-05-18 2019-02-12 [24]7.ai, Inc. Multi-channel customer identification
JP5988699B2 (ja) * 2012-05-30 2016-09-07 キヤノン株式会社 連携システム、その連携方法、情報処理システム、およびそのプログラム。
KR101329007B1 (ko) * 2012-05-31 2013-11-12 삼성에스디에스 주식회사 아이디 기반 암호 시스템을 위한 비밀키 생성 장치 및 그 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
JP5955106B2 (ja) * 2012-06-01 2016-07-20 キヤノン株式会社 マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法
CN103546432B (zh) * 2012-07-12 2015-12-16 腾讯科技(深圳)有限公司 实现跨域跳转的方法和系统以及浏览器、域名服务器
JP5589034B2 (ja) * 2012-07-24 2014-09-10 日本電信電話株式会社 情報流通システム、認証連携方法、装置及びそのプログラム
CN103634159B (zh) * 2012-08-24 2018-11-09 百度在线网络技术(北京)有限公司 一种基于模拟登录的流量回放方法和装置
US8843514B1 (en) * 2012-08-31 2014-09-23 Google Inc. Identifier matching exchange
CN102868702B (zh) * 2012-09-28 2015-09-02 用友软件股份有限公司 系统登录装置和系统登录方法
JP5279057B1 (ja) * 2012-11-09 2013-09-04 株式会社Kpiソリューションズ 情報処理システム、及び情報処理方法
US9654541B1 (en) 2012-11-12 2017-05-16 Consumerinfo.Com, Inc. Aggregating user web browsing data
US9231930B1 (en) 2012-11-20 2016-01-05 Amazon Technologies, Inc. Virtual endpoints for request authentication
US9444800B1 (en) 2012-11-20 2016-09-13 Amazon Technologies, Inc. Virtual communication endpoint services
US8813206B2 (en) 2012-11-27 2014-08-19 Hong Kong Applied Science and Technology Research Institute Company Limited Anonymous personal content access with content bridge
US9916621B1 (en) 2012-11-30 2018-03-13 Consumerinfo.Com, Inc. Presentation of credit score factors
US10255598B1 (en) 2012-12-06 2019-04-09 Consumerinfo.Com, Inc. Credit card account data extraction
US9985991B2 (en) * 2013-02-26 2018-05-29 Red Hat, Inc. HTTP password mediator
US10102570B1 (en) 2013-03-14 2018-10-16 Consumerinfo.Com, Inc. Account vulnerability alerts
US9406085B1 (en) 2013-03-14 2016-08-02 Consumerinfo.Com, Inc. System and methods for credit dispute processing, resolution, and reporting
US9870589B1 (en) 2013-03-14 2018-01-16 Consumerinfo.Com, Inc. Credit utilization tracking and reporting
US10664936B2 (en) 2013-03-15 2020-05-26 Csidentity Corporation Authentication systems and methods for on-demand products
US9633322B1 (en) 2013-03-15 2017-04-25 Consumerinfo.Com, Inc. Adjustment of knowledge-based authentication
US10685398B1 (en) 2013-04-23 2020-06-16 Consumerinfo.Com, Inc. Presenting credit score information
US9071429B1 (en) 2013-04-29 2015-06-30 Amazon Technologies, Inc. Revocable shredding of security credentials
US9721147B1 (en) 2013-05-23 2017-08-01 Consumerinfo.Com, Inc. Digital identity
US9077747B1 (en) * 2013-07-23 2015-07-07 Symantec Corporation Systems and methods for responding to security breaches
US9443268B1 (en) 2013-08-16 2016-09-13 Consumerinfo.Com, Inc. Bill payment and reporting
US10325314B1 (en) 2013-11-15 2019-06-18 Consumerinfo.Com, Inc. Payment reporting systems
US9477737B1 (en) 2013-11-20 2016-10-25 Consumerinfo.Com, Inc. Systems and user interfaces for dynamic access of multiple remote databases and synchronization of data based on user rules
USD759689S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD759690S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD760256S1 (en) 2014-03-25 2016-06-28 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
US9892457B1 (en) 2014-04-16 2018-02-13 Consumerinfo.Com, Inc. Providing credit data in search results
US10373240B1 (en) 2014-04-25 2019-08-06 Csidentity Corporation Systems, methods and computer-program products for eligibility verification
JP5724017B1 (ja) * 2014-05-29 2015-05-27 周 志偉Zhou Zhi Wei 複数コンピュータシステムの認証連携システム
CN104038508A (zh) * 2014-07-02 2014-09-10 携程计算机技术(上海)有限公司 网站账户访问权限的设置系统及方法
CN104125070B (zh) * 2014-07-30 2018-05-15 中国银行股份有限公司 一种用于多个信息交互系统的互信认证方法及系统
HK1197632A2 (en) * 2014-08-08 2015-01-30 創萬科技有限公司 An instantaneous communication system
CN105471579B (zh) * 2014-09-10 2019-05-31 阿里巴巴集团控股有限公司 一种信任登录方法及装置
CN104243488B (zh) * 2014-09-29 2017-10-27 成都西山居互动娱乐科技有限公司 一种跨网站服务器的登录认证方法
CN104270391B (zh) * 2014-10-24 2018-10-19 中国建设银行股份有限公司 一种访问请求的处理方法及装置
CN106162574B (zh) * 2015-04-02 2020-08-04 成都鼎桥通信技术有限公司 集群系统中应用统一鉴权方法、服务器与终端
WO2016166856A1 (ja) 2015-04-15 2016-10-20 株式会社日立システムズ シングルサインオンシステムおよびシングルサインオン方法
US11252190B1 (en) * 2015-04-23 2022-02-15 Amazon Technologies, Inc. Limited access policy bypass
CN104901956B (zh) * 2015-05-19 2017-12-08 仲恺农业工程学院 一种网络社区用户认证方法及认证系统
KR101647601B1 (ko) * 2015-07-22 2016-08-24 케이이노베이션 주식회사 모바일 단말기 기반의 계정과 게임 기반의 계정을 연동하기 위한 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
CN106487763B (zh) * 2015-08-31 2020-01-10 腾讯科技(深圳)有限公司 一种基于云计算平台的数据访问方法及用户终端
US20170140134A1 (en) * 2015-11-16 2017-05-18 Welch Allyn, Inc. Medical device user caching
CN105337997B (zh) * 2015-11-30 2020-10-23 广州华多网络科技有限公司 一种应用客户端的登录方法及相关设备
CN105915497A (zh) * 2015-12-14 2016-08-31 乐视网信息技术(北京)股份有限公司 针对用户跳转登录的处理方法及系统
CN111565183B (zh) * 2015-12-17 2022-05-13 创新先进技术有限公司 跨系统的业务操作执行方法、业务平台以及目标系统
CN105430012B (zh) * 2015-12-25 2018-07-24 无锡天脉聚源传媒科技有限公司 一种多站点同步登录的方法及装置
CN107666383B (zh) * 2016-07-29 2021-06-18 阿里巴巴集团控股有限公司 基于https协议的报文处理方法以及装置
CN107689936B (zh) * 2016-08-03 2021-07-06 阿里巴巴集团控股有限公司 登录账户的安全性验证系统、方法及装置
CN107249001B (zh) * 2017-07-19 2018-07-20 北京深思数盾科技股份有限公司 一种信息处理方法、装置及系统
US11553338B2 (en) 2017-08-15 2023-01-10 Carrier Corporation Automatic building system control restrictions based on physical presence defined by access control event information and knowledge base system
US10911234B2 (en) 2018-06-22 2021-02-02 Experian Information Solutions, Inc. System and method for a token gateway environment
CN109302446B (zh) * 2018-08-15 2022-10-25 广州市保伦电子有限公司 跨平台访问方法、装置、电子设备及存储介质
US10880313B2 (en) 2018-09-05 2020-12-29 Consumerinfo.Com, Inc. Database platform for realtime updating of user data from third party sources
US11315179B1 (en) 2018-11-16 2022-04-26 Consumerinfo.Com, Inc. Methods and apparatuses for customized card recommendations
US11238656B1 (en) 2019-02-22 2022-02-01 Consumerinfo.Com, Inc. System and method for an augmented reality experience via an artificial intelligence bot
CN110213260A (zh) * 2019-05-29 2019-09-06 北京中亦安图科技股份有限公司 用户身份验证方法及装置
US11941065B1 (en) 2019-09-13 2024-03-26 Experian Information Solutions, Inc. Single identifier platform for storing entity data
CN110995661B (zh) * 2019-11-12 2022-04-01 广州大白互联网科技有限公司 一种网证平台
US11121863B1 (en) 2020-03-12 2021-09-14 Oracle International Corporation Browser login sessions via non-extractable asymmetric keys
CN113497708B (zh) * 2020-03-18 2022-11-08 大唐移动通信设备有限公司 一种证书申请方法及装置
JP7122343B2 (ja) * 2020-06-11 2022-08-19 グリー株式会社 情報処理システム、端末装置、プログラム、及び情報処理方法
KR102384575B1 (ko) * 2020-08-27 2022-04-07 최화인 분산 네트워크 및 분산형 아이디를 활용하는 저작자 인증장치 및 방법
US11895106B2 (en) 2021-01-28 2024-02-06 Oracle International Corporation Automatic sign-in upon account signup
US11804101B2 (en) * 2021-07-21 2023-10-31 SwissClear Global Inc. Integrating online content streaming services with real time betting platforms
CN114448729B (zh) * 2022-04-07 2022-06-07 中国信息通信研究院 工业互联网中客户端的身份认证方法和装置
LU103094B1 (de) 2023-03-29 2024-09-30 Heylogin Gmbh Innovatives serverbasiertes verfahren zum management geheimer daten

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6058309A (en) 1996-08-09 2000-05-02 Nortel Networks Corporation Network directed system selection for cellular and PCS enhanced roaming
JP2000057099A (ja) 1998-08-12 2000-02-25 Open Loop:Kk 認証装置及び記録媒体
EP1150529A1 (en) 2000-04-28 2001-10-31 Lucent Technologies Inc. System and method for registering a wireless unit at the border between geographic service areas
JP2002149651A (ja) * 2000-11-13 2002-05-24 Hitachi Ltd データ管理システム
JP2002324051A (ja) 2001-04-26 2002-11-08 Fuji Xerox Co Ltd ユーザ認証方法および装置
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US20030177388A1 (en) * 2002-03-15 2003-09-18 International Business Machines Corporation Authenticated identity translation within a multiple computing unit environment
CN1301477C (zh) * 2002-07-05 2007-02-21 威盛电子股份有限公司 管理网站登入信息的系统与方法
US20040128541A1 (en) * 2002-12-31 2004-07-01 Iinternational Business Machines Corporation Local architecture for federated heterogeneous system
US7587491B2 (en) 2002-12-31 2009-09-08 International Business Machines Corporation Method and system for enroll-thru operations and reprioritization operations in a federated environment
CN100370767C (zh) 2003-09-30 2008-02-20 华为技术有限公司 对移动用户使用无线局域网业务进行管理的方法
CN1323508C (zh) * 2003-12-17 2007-06-27 上海市高级人民法院 一种基于数字证书的单点登录方法
JP2005316528A (ja) * 2004-04-27 2005-11-10 Hitachi Ltd 操作権限機能付き電子データ提供装置、操作権限機能付き電子データ提供方法、操作権限機能付き電子データ提供プログラムおよび操作権限機能付き電子データ提供プログラムを記録したコンピュータ読み取り可能な記録媒体
US7454623B2 (en) * 2004-06-16 2008-11-18 Blame Canada Holdings Inc Distributed hierarchical identity management system authentication mechanisms
US7634803B2 (en) * 2004-06-30 2009-12-15 International Business Machines Corporation Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework
JP2006074487A (ja) 2004-09-02 2006-03-16 Mizuho Information & Research Institute Inc 認証管理方法及び認証管理システム
CN1835438B (zh) 2006-03-22 2011-07-27 阿里巴巴集团控股有限公司 一种在网站间实现单次登录的方法及网站

Also Published As

Publication number Publication date
CN1835438A (zh) 2006-09-20
US20120284190A1 (en) 2012-11-08
WO2007107969A1 (en) 2007-09-27
EP1997271B1 (en) 2018-08-15
JP2009541817A (ja) 2009-11-26
EP1997271A4 (en) 2014-08-27
US20070240206A1 (en) 2007-10-11
EP1997271A1 (en) 2008-12-03
HK1096790A1 (en) 2007-06-08
US8250095B2 (en) 2012-08-21
JP2013152757A (ja) 2013-08-08
CN1835438B (zh) 2011-07-27
US8589442B2 (en) 2013-11-19

Similar Documents

Publication Publication Date Title
JP5695120B2 (ja) システム間シングルサインオン
US11770261B2 (en) Digital credentials for user device authentication
US8843415B2 (en) Secure software service systems and methods
US8555075B2 (en) Methods and system for storing and retrieving identity mapping information
TWI454111B (zh) 用於確保通訊之鑑別及完備性的技術
CN113312664B (zh) 用户数据授权方法及用户数据授权系统
US9083533B2 (en) System and methods for online authentication
EP2328107B1 (en) Identity controlled data center
TWM623435U (zh) 使用多安全層級驗證客戶身分與交易服務之系統
US20090300355A1 (en) Information Sharing Method and Apparatus
US20080250248A1 (en) Identity Management System with an Untrusted Identity Provider
CN114008968A (zh) 用于计算环境中的许可授权的系统、方法和存储介质
KR20250008746A (ko) 암호화 서명 위임
KR102157695B1 (ko) 익명 디지털 아이덴티티 수립 방법
JP3896909B2 (ja) 電子チケットを用いたアクセス権管理装置
Kizza Authentication
JPH05298174A (ja) 遠隔ファイルアクセスシステム
CN115225286A (zh) 应用访问鉴权方法及装置
US12101408B2 (en) Distribution of one-time passwords for multi-factor authentication via blockchain
TWI670990B (zh) 自動連線安全無線網路的方法與系統
TW202319998A (zh) 使用多安全層級驗證客戶身分與交易服務之系統及方法
Khaleel Review of Network Authentication Based on Kerberos Protocol.
KR20240075095A (ko) 토큰 프로세스 기반 블록체인을 이용한 제로 트러스트 네트워크의 인증 시스템 및 인증 방법
CN119071038A (zh) 基于量子密钥的单点登录方法、系统、装置、设备和介质
CN116418596A (zh) 一种身份认证方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130523

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140401

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140701

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150205

R150 Certificate of patent or registration of utility model

Ref document number: 5695120

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250