JP2005130524A - Access authentication system, storage medium, program and access authentication method - Google Patents
Access authentication system, storage medium, program and access authentication method Download PDFInfo
- Publication number
- JP2005130524A JP2005130524A JP2004353368A JP2004353368A JP2005130524A JP 2005130524 A JP2005130524 A JP 2005130524A JP 2004353368 A JP2004353368 A JP 2004353368A JP 2004353368 A JP2004353368 A JP 2004353368A JP 2005130524 A JP2005130524 A JP 2005130524A
- Authority
- JP
- Japan
- Prior art keywords
- client
- ticket data
- terminal server
- individual information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、所定のアプリケーションプロバイダへのアクセス権を予め有するユーザが異なるアプリケーションプロバイダへのアクセス権を得るためのアクセス認証システム及びアクセス認証方法に関する。 The present invention relates to an access authentication system and an access authentication method for a user who has an access right to a predetermined application provider in advance to obtain an access right to a different application provider.
ユーザはインターネットを介して様々な情報サービス等の各種サービスを提供するサービス提供者を利用することができる。サービス提供者とは、インターネットを介して接続されたクライアント端末に対してデータやコンテンツを提供したり、情報処理サービスを提供する業者を指している。サービス提供者はそれぞれ独立しており、ユーザは利用したいサービス提供者と契約し、それぞれIDとパスワードを持つことでアクセス権を得るようにしている。 The user can use a service provider that provides various services such as various information services via the Internet. A service provider refers to a provider that provides data and content to client terminals connected via the Internet and provides information processing services. Each service provider is independent, and the user contracts with the service provider that he / she wants to use, and obtains the access right by having an ID and a password, respectively.
しかし、サービス提供者は増えており、ユーザがそれぞれのサービス提供者と契約するのはIDやパスワードを管理する上で煩雑であった。また、各サービス提供者が提供できるサービスの種類には限界があった。 However, the number of service providers is increasing, and it is troublesome for users to contract with each service provider in managing IDs and passwords. In addition, there is a limit to the types of services that each service provider can provide.
一方、一つのIDとパスワードを複数のサービス提供者間で共通化して用いる方法も考えられるが、ID及びパスワードの両方を各サービス提供者で保持することになるため、課金や秘密保持の点で問題があった。 On the other hand, a method of sharing one ID and password among a plurality of service providers is also conceivable, but since both the ID and password are held by each service provider, in terms of billing and confidentiality There was a problem.
そこで本発明は、1つのサーバ(サービス提供者)に対しての個人情報(ID及びパスワード)のみで、各種サービスを提供する他のサーバ(サービス提供者)を個人情報の全てを開示することなく利用することができるようにするためのアクセス認証システム、記憶媒体、プログラム及びアクセス認証方法を提供することを目的としている。 Therefore, the present invention provides only personal information (ID and password) for one server (service provider) without disclosing all personal information to other servers (service providers) that provide various services. An object of the present invention is to provide an access authentication system, a storage medium, a program, and an access authentication method for enabling use.
上記課題を解決し目的を達成するために、本発明のアクセス認証システム、記憶媒体、プログラム及びアクセス認証方法は次のように構成されている。 In order to solve the above problems and achieve the object, an access authentication system, a storage medium, a program, and an access authentication method of the present invention are configured as follows.
(1)第1のターミナルサーバを経由してクライアントに第2のターミナルサーバへの接続サービスを行うアクセス認証システムにおいて、上記第1のターミナルサーバに対して上記クライアントから入力された個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証するとともに、上記個人情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成し、上記第2のターミナルサーバに転送する第1の認証サーバと、上記クライアントパラメータの正当性及び上記第1のチケットデータの行使の有無を検証するとともに、上記クライアントパラメータを所定の規則で符号化した第2のチケットデータを作成し、この第2のチケットデータと上記第1のチケットデータとを照合し、上記第2のターミナルサーバへ上記クライアントの接続可否を指示する第2の認証サーバとを備えていることを特徴とする。 (1) In an access authentication system for providing a connection service to a second terminal server to a client via the first terminal server, based on individual information input from the client to the first terminal server Authenticating whether or not the client can connect to the first terminal server, creating first ticket data in which client parameters including a part of the personal information are encoded according to a predetermined rule, and generating the second ticket A first authentication server to be transferred to the terminal server, and the second ticket data obtained by verifying the validity of the client parameter and whether or not the first ticket data is exercised, and encoding the client parameter according to a predetermined rule And the second ticket data and the first ticket data Matches, characterized in that a second authentication server that instructs the connection possibility of the client to the second terminal server.
(2)上記(1)に記載されたアクセス認証システムであって、上記所定の規則は、一方向関数による要約であることを特徴とする。 (2) In the access authentication system described in (1) above, the predetermined rule is a summary by a one-way function.
(3)上記(1)に記載されたアクセス認証システムであって、上記クライアントパラメータには、上記クライアントのID、アクセス元IPアドレス、上記第1のチケットデータの有効期限のうち少なくとも1つが含められていることを特徴とする。 (3) In the access authentication system described in (1) above, the client parameter includes at least one of the client ID, the access source IP address, and the expiration date of the first ticket data. It is characterized by.
(4)上記(1)に記載されたアクセス認証システムであって、上記第1及び第2の認証サーバにおいて、上記第1及び第2のチケットデータを作成する際に、予め定められた共通の文字列を含めることを特徴とする。 (4) In the access authentication system described in (1) above, when the first and second ticket data are created in the first and second authentication servers, a predetermined common Character strings are included.
(5)上記(4)に記載されたアクセス認証システムであって、上記共通の文字列は、所定のタイミングで変更されるものであることを特徴とする。 (5) In the access authentication system described in (4) above, the common character string is changed at a predetermined timing.
(6)第1のターミナルサーバを経由してクライアントに第2のターミナルサーバへの接続サービスを行うアクセス認証システムにおいて、上記第1のターミナルサーバに対して上記クライアントから入力されたID及びパスワードに基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証するとともに、上記ID、上記クライアントのアクセス元IPアドレス、所定の有効期限、共通の文字列からなるクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成し、上記第2のターミナルサーバに転送する第1の認証サーバと、上記第2のターミナルサーバに対して上記クライアントから入力されたアクセス元IPアドレスと上記クライアントパラメータのアクセス元IPアドレスとを照合し、上記有効期限内のアクセスであるか否かを判断し、上記第1のチケットデータの行使の有無を判断し、上記クライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成し、この第2のチケットデータと上記第1のチケットデータとを照合することで、上記第2のターミナルサーバへ上記クライアントの接続可否を指示する第2の認証サーバとを備えていることを特徴とする。 (6) In an access authentication system for providing a connection service to the second terminal server to the client via the first terminal server, based on the ID and password input from the client to the first terminal server In addition to authenticating whether or not the client can connect to the first terminal server, the client parameter consisting of the ID, the access source IP address of the client, a predetermined expiration date, and a common character string is encoded according to a predetermined rule. The first authentication server that creates the first ticket data and transfers it to the second terminal server, the access source IP address input from the client to the second terminal server, and the client parameter Match the access source IP address of Determining whether the access is within the expiration date, determining whether the first ticket data is exercised, creating second ticket data in which the client parameters are encoded according to the predetermined rule, And a second authentication server for instructing the second terminal server to determine whether or not the client can be connected by collating the second ticket data with the first ticket data. .
(7)第1のターミナルサーバを経由してクライアントに第2のターミナルサーバへの接続サービスを行うアクセス認証システムにおいて、上記第1のターミナルサーバにおいて上記クライアントから入力された個別情報を取得する第1の個別情報取得手段と、上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証する第1の認証手段と、上記個人情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成する第1のチケットデータ作成手段と、上記第2のターミナルサーバに転送する転送手段と、上記第2のターミナルサーバにおいて上記クライアントから入力された個別情報を取得する第2の個別情報取得手段と、上記個人情報の一部を含むクライアントパラメータを所定の規則で符号化した第2のチケットデータを作成し、この第2のチケットデータと上記第1のチケットデータとを照合し、上記第2のターミナルサーバへ上記クライアントの接続可否を認証する第2の認証手段とを備えていることを特徴とする。 (7) In an access authentication system that provides a connection service to the second terminal server to the client via the first terminal server, the first terminal server acquires the individual information input from the client in the first terminal server. Specific information acquisition means, first authentication means for authenticating the connection of the client to the first terminal server based on the individual information, and a client parameter including a part of the personal information as a predetermined parameter. First ticket data creation means for creating first ticket data encoded by rules, transfer means for transfer to the second terminal server, and individual information input from the client in the second terminal server A second individual information acquisition means for acquiring a personal information and a client including a part of the personal information The second ticket data in which the parameters are encoded according to a predetermined rule is created, the second ticket data is compared with the first ticket data, and the connection of the client to the second terminal server is authenticated. And a second authentication means.
(8)上記(7)に記載されたアクセス認証システムであって、上記所定の規則は、一方向関数による要約であることを特徴とする。 (8) The access authentication system according to (7), wherein the predetermined rule is a summary by a one-way function.
(9)上記(7)に記載されたアクセス認証システムであって、上記第1及び第2のチケットデータ作成手段は、上記第1及び第2のチケットデータを作成する際に、予め定められた共通の文字列を含めることを特徴とする。 (9) In the access authentication system described in (7) above, the first and second ticket data creation means are predetermined when creating the first and second ticket data. A common character string is included.
(10)上記(7)に記載されたアクセス認証システムであって、上記第2の認証手段は、上記第1のチケットデータの有効性を判断することを特徴とする。 (10) The access authentication system according to (7), wherein the second authentication unit determines the validity of the first ticket data.
(11)上記(7)に記載されたアクセス認証システムであって、上記第2の認証手段は、上記クライアントパラメータの正当性を判断することを含むことを特徴とする。 (11) The access authentication system according to (7), wherein the second authentication unit includes determining validity of the client parameter.
(12)第1のターミナルサーバを経由してクライアントに接続サービスを行うアクセス認証システムにおいて、上記クライアントから個別情報を取得する第1の個別情報取得手段と、上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証する第1認証手段と、この第1認証手段にて認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成する第1のチケットデータ作成手段と、上記第1のチケットデータを転送する転送手段とを備えていることを特徴とする。 (12) In an access authentication system that provides a connection service to a client via a first terminal server, a first individual information acquisition unit that acquires individual information from the client, and the first information based on the individual information First authentication means for authenticating whether or not the client can connect to the terminal server, and when authentication is permitted by the first authentication means, a client parameter including at least a part of the individual information is set to a predetermined rule. The first ticket data creating means for creating the first ticket data encoded in step 1 and the transfer means for transferring the first ticket data.
(13)クライアントに第2のターミナルサーバへの接続サービスを行うアクセス認証システムにおいて、上記クライアントの個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを取得する第1のチケットデータ取得手段と、上記クライアントから個別情報を取得する第2の個別情報取得手段と、この第2の個別情報取得手段にて取得された個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成する第2のチケットデータ作成手段と、上記第2のチケットデータと上記第1のチケットデータとを照合し、上記第2のターミナルサーバへ上記クライアントの接続可否を判断する判断手段とを備えていることを特徴とする。 (13) In an access authentication system for providing a connection service to a second terminal server for a client, a first ticket data obtained by encoding a client parameter including a part of individual information of the client according to a predetermined rule is acquired. 1 ticket data acquisition means, a second individual information acquisition means for acquiring individual information from the client, and a client parameter including a part of the individual information acquired by the second individual information acquisition means The second ticket data creating means for creating the second ticket data encoded according to the above rule, the second ticket data and the first ticket data are collated, and the client is sent to the second terminal server. And determining means for determining whether or not connection is possible.
(14)コンピュータを動作させるためのプログラムを記憶したコンピュータ読取り可能な記憶媒体において、上記プログラムは、第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、上記第1のチケットデータを第2のターミナルサーバに転送させる転送手段と、上記第2のターミナルサーバにおいて上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とする。 (14) In a computer-readable storage medium storing a program for operating a computer, the program includes first individual information acquisition means for acquiring individual information from a client in a first terminal server, and the individual information. A first authenticating means for authenticating whether or not the client can connect to the first terminal server, and a client including at least a part of the individual information when the connection of the client is permitted First ticket data creation means for creating first ticket data in which parameters are encoded according to a predetermined rule; transfer means for forwarding the first ticket data to a second terminal server; and the second terminal A first ticket for acquiring the first ticket data in the server Data acquisition means, second individual information acquisition means for acquiring individual information from the client in the second terminal server, and client parameters including a part of the individual information encoded by the predetermined rule Second ticket data creating means for creating the second ticket data, the first ticket data and the second ticket data are collated to authenticate whether the client can connect to the second terminal server. And a second authentication means.
(15)コンピュータを動作させるためのプログラムを記憶したコンピュータ読取り可能な記憶媒体において、上記プログラムは、第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、上記第1のチケットデータを転送させる転送手段とを備えていることを特徴とする。 (15) In a computer-readable storage medium storing a program for operating a computer, the program includes first individual information acquisition means for acquiring individual information from a client in a first terminal server, and the individual information. A first authenticating means for authenticating whether or not the client can connect to the first terminal server, and a client including at least a part of the individual information when the connection of the client is permitted It is characterized by comprising first ticket data creating means for creating first ticket data in which parameters are encoded according to a predetermined rule, and transfer means for transferring the first ticket data.
(16)コンピュータを動作させるためのプログラムを記憶したコンピュータ読取り可能な記憶媒体において、上記プログラムは、第2のターミナルサーバにおいて上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とする。 (16) In a computer-readable storage medium storing a program for operating a computer, the program encodes a client parameter including a part of the individual information in a second terminal server according to a predetermined rule. First ticket data acquisition means for acquiring first ticket data, second individual information acquisition means for acquiring individual information from the client in the second terminal server, and a client including a part of the individual information Second ticket data creating means for creating second ticket data in which parameters are encoded according to the predetermined rule, the first ticket data and the second ticket data are collated, and the second terminal Second authentication means for authenticating whether the client can connect to the server Characterized in that it comprises a.
(17)コンピュータを動作させるためのプログラムにおいて、第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、上記第1のチケットデータを第2のターミナルサーバに転送させる転送手段と、上記第2のターミナルサーバにおいて上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とする。 (17) In a program for operating a computer, a first individual information acquisition means for acquiring individual information from a client in a first terminal server, and the client to the first terminal server based on the individual information First authentication means for authenticating whether or not the connection of the client is permitted, and a first ticket in which a client parameter including at least a part of the individual information is encoded according to a predetermined rule when the connection of the client is permitted. First ticket data creating means for creating data, transfer means for transferring the first ticket data to the second terminal server, and first ticket data for acquiring the first ticket data in the second terminal server Ticket data acquisition means and the second terminal server Second individual information acquisition means for acquiring individual information from an ant, and second ticket data generation means for generating second ticket data in which client parameters including a part of the individual information are encoded according to the predetermined rule And second authentication means for verifying whether the client can connect to the second terminal server by comparing the first ticket data with the second ticket data. .
(18)コンピュータを動作させるためのプログラムにおいて、第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、上記第1のチケットデータを転送させる転送手段とを備えていることを特徴とする。 (18) In a program for operating a computer, a first individual information acquisition means for acquiring individual information from a client in a first terminal server, and the client to the first terminal server based on the individual information First authentication means for authenticating whether or not the connection of the client is permitted, and a first ticket in which a client parameter including at least a part of the individual information is encoded according to a predetermined rule when the connection of the client is permitted. It is characterized by comprising first ticket data creating means for creating data and transfer means for transferring the first ticket data.
(19)コンピュータを動作させるためのプログラムにおいて、第2のターミナルサーバにおいてクライアントの個別情報の一部を含むクライアントパラメータを所定の規則で符号化した上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とする。 (19) In a program for operating a computer, a first ticket that causes the second terminal server to acquire the first ticket data obtained by encoding a client parameter including a part of individual client information according to a predetermined rule. A data acquisition means; a second individual information acquisition means for acquiring individual information from the client in the second terminal server; and a second parameter obtained by encoding a client parameter including a part of the individual information according to the predetermined rule. Second ticket data creation means for creating the ticket data, and the first ticket data and the second ticket data are collated to authenticate whether or not the client can connect to the second terminal server. And 2 authentication means.
(20)第1のターミナルサーバを経由してクライアントに第2のターミナルサーバへの接続サービスを行うアクセス認証方法において、上記第1のターミナルサーバへの上記クライアントの接続の可否を認証する第1の認証ステップと、上記クライアントから入力された個別情報の少なくとも一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成する第1チケットデータ作成ステップと、上記第2のターミナルサーバに上記クライアントパラメータ及び上記第1のチケットデータを転送するデータ転送ステップと、上記第1のターミナルサーバにおける上記クライアントパラメータの正当性及び上記第1のチケットデータの行使の有無を検証する検証ステップと、上記クライアントパラメータを所定の規則で符号化した第2のチケットデータを作成する第2チケットデータ作成ステップと、この第2のチケットデータと上記第1のチケットデータとを照合するチケットデータ照合ステップと、上記検証ステップ及び上記チケットデータ照合ステップにおける結果に基づいて、上記第2のターミナルサーバへ上記クライアントの接続可否を指示する第2の認証ステップとを備えていることを特徴とする。 (20) In an access authentication method for providing a connection service to a second terminal server to a client via the first terminal server, a first authentication for authenticating whether or not the client can connect to the first terminal server An authentication step, a first ticket data creation step for creating first ticket data in which a client parameter including at least a part of individual information input from the client is encoded according to a predetermined rule, and the second terminal server A data transfer step for transferring the client parameter and the first ticket data, and a verification step for verifying the validity of the client parameter and whether or not the first ticket data is exercised in the first terminal server, The above client parameters are A second ticket data creating step for creating second ticket data encoded according to a rule; a ticket data collating step for collating the second ticket data with the first ticket data; the verifying step; and the ticket And a second authentication step for instructing the second terminal server whether or not the client can be connected based on a result in the data collating step.
本発明によれば、クライアントは、1つのサーバ(サービス提供者)に対しての個人情報(ID及びパスワード)のみで、各種サービスを提供する他のサーバ(サービス提供者)を個人情報の全てを開示することなく利用することが可能となる。 According to the present invention, the client can use only personal information (ID and password) for one server (service provider), and other servers (service providers) that provide various services can receive all of the personal information. It can be used without disclosure.
図1は本発明の一実施の形態に係るアクセス認証システムの構成を示す図、図2の(a),(b)は同アクセス認証システムに組み込まれた認証サーバ22,32の構成を示すブロック図、図3はアクセス認証の手順を示すフロー図である。なお、本実施の形態はソフトウエア処理により実現する場合も含まれる。
FIG. 1 is a diagram showing a configuration of an access authentication system according to an embodiment of the present invention. FIGS. 2A and 2B are blocks showing a configuration of
図1中10はユーザのクライアント端末、20はユーザと契約関係にあるサービス提供先サービス提供者、30はユーザと直接の契約関係にないサービス提供元サービス提供者、40はインターネット回線、50は電話回線を示している。 In FIG. 1, 10 is a user's client terminal, 20 is a service provider service provider in contract with the user, 30 is a service provider service provider not in direct contract with the user, 40 is an Internet line, and 50 is a telephone. Indicates a line.
サービス提供先サービス提供者20は、インターネット回線40に接続されたターミナルサーバ(第1のターミナルサーバ)21と、このターミナルサーバ21に接続され後述するような認証等を行う認証サーバ(第1の認証サーバ)22と、ターミナルサーバ22に接続されるとともに情報サービスを提供するメインサーバ23と、電話回線50に接続された共通の文字列更新部24とを備えている。
The service
認証サーバ22は、第1のターミナルサーバ21に対してクライアント端末10から入力されたID及びパスワードに基づいてターミナルサーバ21へのクライアント端末10からの接続の可否を認証する認証部22aと、クライアント端末10のアクセス元IPアドレスを検出するIPアドレス検出部22bと、後述する第1チケット(第1のチケットデータ)の有効期限を生成する有効期限生成部22cと、クライアントパラメータP、すなわちID、クライアントのアクセス元IPアドレス、有効期限生成部22cで生成された有効期限、共通の文字列更新部24で更新された最新の共通の文字列を一方向関数で要約する等の所定の規則を用いて第1チケットデータD1を作成するチケットデータ生成部22dと、クライアントパラメータP及び第1チケットデータを認証サーバ32にインターネット回線40及びターミナルサーバ31を介して転送する転送部22eとを備えている。
The
サービス提供元サービス提供者30は、インターネット回線40に接続されたターミナルサーバ(第2のターミナルサーバ)31と、このターミナルサーバ31に接続され後述するような認証等を行う認証サーバ(第2の認証サーバ)32と、ターミナルサーバ31に接続されるとともに情報サービスを提供するメインサーバ33と、電話回線50に接続された共通の文字列更新部34とを備えている。
The service
認証サーバ32は、ターミナルサーバ31に対してクライアント端末10から入力されたアクセス元IPアドレスと上述した認証サーバ22から転送されたクライアントパラメータPのアクセス元IPアドレスとを照合するアクセス元IPアドレス照合部32aと、有効期限内のアクセスであるか否かを判断する有効期限判断部32bと、第1のチケットデータD1の行使の有無を判断するチケット行使判断部32cと、転送されたクライアントパラメータPを上述した規則と同一の規則で符号化した第2のチケットデータD2を作成するチケットデータ生成部32dと、第2のチケットデータD2と第1のチケットデータD1とを照合することで、第2のターミナルサーバ31へクライアント端末10からの接続可否を指示する認証部32eとを備えている。
The
共通の文字列更新部24及び共通の文字列更新部34は、文字列から構成される同一の共通の文字列を保持しており、定期的に更新されている。
The common character
このように構成されていると、ユーザがクライアント端末10からメインサーバ33にアクセスする場合には次のように行われる。すなわち、ユーザはクライアント端末10からインターネット回線40を介してターミナルサーバ21に接続を行う。このとき、ユーザはサービス提供先サービス提供者が提供するログイン画面に自己のID及びパスワードを入力する(ST10)。このとき、ターミナルサーバ21では、任意のアクセス制限を行い(ST11)、アクセスが禁止された場合にはログインが拒否される(ST12)。
With this configuration, when the user accesses the
ST2においてアクセスが許可された場合には、ID、パスワード、アクセス元IPアドレスが認証サーバ22に送られ、認証部22aにてID及びパスワードに基づいてユーザ認証を行い(ST13)、認証に失敗した場合にはログインが拒否される(ST14)。なお、この時点でメインサーバ23へのアクセスが許可される。
If access is permitted in ST2, the ID, password, and access source IP address are sent to the
ST4においてユーザ認証が成功した場合には、IPアドレス検出部22bにおいてクライアント端末10のアクセス元IPアドレスが検出され、有効期限生成部22cにおいて第1チケットデータD1の有効期限を生成する。そして、チケットデータ生成部22dにおいて、クライアントパラメータP(ID、アクセス元IPアドレス、有効期限、共通の文字列)を一方向関数で要約して第1チケットデータD1を作成する(ST15)。
When user authentication is successful in ST4, the IP
次に、転送部22eによりクライアントパラメータP及び第1チケットデータD1を認証サーバ32にインターネット回線40及びターミナルサーバ31を介して転送する(ST16)。
Next, the
サービス提供元サービス提供者30の認証サーバ32では、アクセス元IPアドレス照合部32aによりアクセス元IPアドレス照合部32aターミナルサーバ31に対してクライアント端末10から入力されたアクセス元IPアドレスと上述した認証サーバ22から転送されたクライアントパラメータPのアクセス元IPアドレスとを照合し(ST20)、不一致である場合にはログインは拒否される(ST21)。
In the
次に、有効期限判断部32bにより、有効期限内のアクセスであるか否かを判断し(ST22)、有効期限を経過している場合には無効とされログインは拒否される(ST23)。
Next, the expiration
次に、チケット行使判断部32cにより、第1のチケットデータD1の行使の有無を判断し(ST24)、既に行使されている場合にはログインは拒否される(ST25)。
Next, the ticket
次に、チケットデータ生成部32dにより、転送されたクライアントパラメータPを上述した一方向関数で要約した第2のチケットデータD2を作成し、第1のチケットデータD1とを照合し(ST26)、不一致の場合にはログインは拒否される(ST27)。
Next, the ticket
次に、IDが既に登録されているものか否かを検索し(ST28)、登録されていれば後述するST30に進み、登録されていなければIDが作成される(ST29)。そして、メインサーバ33へのログインが可能となる(ST30)。
Next, it is searched whether or not the ID has already been registered (ST28). If it has been registered, the process proceeds to ST30 to be described later. If it has not been registered, the ID is created (ST29). Then, login to the
なお、このようなアクセス認証システムの場合には、サービス提供先サービス提供者20からサービス提供元サービス提供者30にクライアントパラメータPが転送される際に、何らかの方法でクライアントパラメータPを傍受し、クライアントパラメータPを改竄して不正アクセスしようとしても、第1のチケットデータD1と改竄されたクライアントパラメータPに基づいて作成された第2のチケットデータD2とが不一致となり、ログインが拒否されることになる。
In the case of such an access authentication system, when the client parameter P is transferred from the service
なお、改竄されたクライアントパラメータPに基づいて第1のチケットデータD1を作ることにより、新たなサービス提供元サービス提供者30へのログインが可能になる。しかしながら、第1のチケットデータD1の作成には共通の文字列を知る必要がある。しかも、この共通の文字列は、認証サーバ22,32に侵入して入手したり、総当たり法によって推測したり、一方向関数の逆演算して導き出すことが考えられるが、共通の文字列の更新を十分に短く設定することで、事実上共通の文字列を入手することが困難になる。
In addition, by creating the first ticket data D1 based on the altered client parameter P, it is possible to log in to the new service
また、クライアントパラメータP及び第1のチケットデータD1を流用しようとしても、有効期限を十分に短く設定しておけば、有効期限後のアクセスとなる可能性が高く、ログインが拒否されることになる。 Even if the client parameter P and the first ticket data D1 are to be used, if the expiration date is set sufficiently short, there is a high possibility of access after the expiration date, and login is rejected. .
さらに、有効期限内の使用であっても、正規のユーザによるサービス提供元サービス提供者30へのアクセスは、サービス提供先サービス提供者20へのアクセスとほぼ同時である。このため、クライアントパラメータP及び第1のチケットデータD1を第三者が傍受し不正使用しようとしても、既に正規のユーザによって第1のチケットデータD1の行使が済んでおり、第三者の第1のチケットデータD1ではログインができない。
Furthermore, even if it is used within the expiration date, the access to the service
一方、正規なユーザが共通の文字列を含んだ状態で生成された第1のチケットデータD1をサービス提供元サービス提供者30に到達した時点で、共通の文字列が更新されていて第2のチケットデータD2と第1のチケットデータD1が異なってしまいログインが拒絶されてしまう問題は、次のようにして解決する。
On the other hand, when the legitimate user reaches the service
例えば、定期的にA,B,C,Dという順番で共通の文字列を変える場合、AB,BC,CD,…というように2つの共通の文字列を組み合わせることで、2種類の第1のチケットデータD1を作成し、この2つの第1のチケットデータD1のいずれかが第2のチケットデータD2と一致すればログイン可能とするように設定することにより対処する。 For example, when a common character string is periodically changed in the order of A, B, C, and D, two types of first character strings are combined by combining two common character strings such as AB, BC, CD,. This is dealt with by creating ticket data D1 and setting so that login is possible if either of the two first ticket data D1 matches the second ticket data D2.
上述したように、本発明の一実施の形態に係るアクセス認証システムによれば、クライアントは、1つのサービス提供先サービス提供者に対してのID及びパスワードのみで、各種サービスを提供する他のサービス提供元サービス提供者にパスワードを開示することなく利用することが可能となる。また、サービス提供先サービス提供者からサービス提供元サービス提供者に転送されるデータが第三者により傍受された場合であっても、何重にも安全対策が講じられているため、サービス提供元サービス提供者に不正にアクセスがされることがない。 As described above, according to the access authentication system according to the embodiment of the present invention, the client can provide other services only with an ID and password for one service provider service provider. It can be used without disclosing the password to the provider service provider. Even if the data transferred from the service provider to the service provider service provider is intercepted by a third party, multiple measures are taken to ensure that the service provider There is no unauthorized access to service providers.
なお、上述したシステムは、各サーバ等のコンピュータにインストールされたプログラムの指示に基づき実行されるものであってもよく、また、プログラムの指示に基づきコンピュータ上で稼動しているオペレーティングシステム、ミドルウエア等が各処理の一部を実行するようにしてもよい。 Note that the above-described system may be executed based on an instruction of a program installed in a computer such as each server, or an operating system or middleware running on the computer based on an instruction of the program. Etc. may execute a part of each process.
また、プログラムは、コンピュータが読取可能な記憶媒体に格納された状態で提供されるようにしてもよい。例えば、記憶媒体としては、磁気ディスク、フロッピーディスク、ハードディスク、光ディスク(CD−ROM、CD−R、DVD等)、MO、半導体メモリ等のようにプログラムを記憶でき、コンピュータが読取可能であるようなものであればよい。 The program may be provided in a state stored in a computer-readable storage medium. For example, the storage medium can store a program such as a magnetic disk, floppy disk, hard disk, optical disk (CD-ROM, CD-R, DVD, etc.), MO, semiconductor memory, etc., and can be read by a computer. Anything is acceptable.
さらに、プログラムは、LANやインターネット等により伝送されるようにしたものでもよい。 Further, the program may be transmitted via a LAN, the Internet, or the like.
なお、本発明は前記実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々変形実施可能であるのは勿論である。 Note that the present invention is not limited to the above-described embodiment, and various modifications can be made without departing from the scope of the present invention.
10…クライアント端末
20…サービス提供先サービス提供者
30…サービス提供元サービス提供者
40…インターネット回線
50…電話回線
10.
Claims (20)
上記第1のターミナルサーバに対して上記クライアントから入力された個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証するとともに、上記個人情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成し、上記第2のターミナルサーバに転送する第1の認証サーバと、
上記クライアントパラメータの正当性及び上記第1のチケットデータの行使の有無を検証するとともに、上記クライアントパラメータを所定の規則で符号化した第2のチケットデータを作成し、この第2のチケットデータと上記第1のチケットデータとを照合し、上記第2のターミナルサーバへ上記クライアントの接続可否を指示する第2の認証サーバとを備えていることを特徴とするアクセス認証システム。 In an access authentication system for providing a connection service to a second terminal server to a client via the first terminal server,
Based on the individual information input from the client to the first terminal server, authenticating the connection of the client to the first terminal server, and including client parameters including a part of the personal information A first authentication server that creates first ticket data encoded according to a predetermined rule and transfers the first ticket data to the second terminal server;
The validity of the client parameter and the presence / absence of exercising the first ticket data are verified, and second ticket data in which the client parameter is encoded according to a predetermined rule is generated. An access authentication system comprising: a second authentication server that collates with the first ticket data and instructs the second terminal server to determine whether or not the client can be connected.
上記第1のターミナルサーバに対して上記クライアントから入力されたID及びパスワードに基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証するとともに、上記ID、上記クライアントのアクセス元IPアドレス、所定の有効期限、共通の文字列からなるクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成し、上記第2のターミナルサーバに転送する第1の認証サーバと、
上記第2のターミナルサーバに対して上記クライアントから入力されたアクセス元IPアドレスと上記クライアントパラメータのアクセス元IPアドレスとを照合し、上記有効期限内のアクセスであるか否かを判断し、上記第1のチケットデータの行使の有無を判断し、上記クライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成し、この第2のチケットデータと上記第1のチケットデータとを照合することで、上記第2のターミナルサーバへ上記クライアントの接続可否を指示する第2の認証サーバとを備えていることを特徴とするアクセス認証システム。 In an access authentication system for providing a connection service to a second terminal server to a client via the first terminal server,
The first terminal server authenticates whether the client can connect to the first terminal server based on the ID and password input from the client, and the ID, the access source IP address of the client A first authentication server that creates first ticket data obtained by encoding a client parameter including a predetermined expiration date and a common character string according to a predetermined rule, and transfers the first ticket data to the second terminal server;
The access source IP address input from the client to the second terminal server is compared with the access source IP address of the client parameter to determine whether the access is within the validity period, and the second terminal server It is determined whether or not one ticket data is exercised, second ticket data in which the client parameter is encoded according to the predetermined rule is created, and the second ticket data is compared with the first ticket data. Thus, an access authentication system comprising: a second authentication server that instructs the second terminal server whether the client can be connected or not.
上記第1のターミナルサーバにおいて上記クライアントから入力された個別情報を取得する第1の個別情報取得手段と、
上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証する第1の認証手段と、
上記個人情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成する第1のチケットデータ作成手段と、
上記第2のターミナルサーバに転送する転送手段と、
上記第2のターミナルサーバにおいて上記クライアントから入力された個別情報を取得する第2の個別情報取得手段と、
上記個人情報の一部を含むクライアントパラメータを所定の規則で符号化した第2のチケットデータを作成し、この第2のチケットデータと上記第1のチケットデータとを照合し、上記第2のターミナルサーバへ上記クライアントの接続可否を認証する第2の認証手段とを備えていることを特徴とするアクセス認証システム。 In an access authentication system for providing a connection service to a second terminal server to a client via the first terminal server,
First individual information acquisition means for acquiring individual information input from the client in the first terminal server;
First authentication means for authenticating whether or not the client can connect to the first terminal server based on the individual information;
First ticket data creating means for creating first ticket data obtained by encoding a client parameter including a part of the personal information according to a predetermined rule;
Transfer means for transferring to the second terminal server;
Second individual information acquisition means for acquiring individual information input from the client in the second terminal server;
Creating second ticket data in which client parameters including a part of the personal information are encoded according to a predetermined rule, comparing the second ticket data with the first ticket data, and the second terminal; An access authentication system comprising: second authentication means for authenticating whether the client can be connected to the server.
上記クライアントから個別情報を取得する第1の個別情報取得手段と、
上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証する第1認証手段と、
この第1認証手段にて認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成する第1のチケットデータ作成手段と、
上記第1のチケットデータを転送する転送手段とを備えていることを特徴とするアクセス認証システム。 In an access authentication system that provides a connection service to a client via a first terminal server,
First individual information acquisition means for acquiring individual information from the client;
First authentication means for authenticating whether or not the client can connect to the first terminal server based on the individual information;
First ticket data creation means for creating first ticket data in which a client parameter including at least a part of the individual information is encoded according to a predetermined rule when authentication is permitted by the first authentication means. When,
An access authentication system comprising: transfer means for transferring the first ticket data.
上記クライアントの個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを取得する第1のチケットデータ取得手段と、
上記クライアントから個別情報を取得する第2の個別情報取得手段と、
この第2の個別情報取得手段にて取得された個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成する第2のチケットデータ作成手段と、
上記第2のチケットデータと上記第1のチケットデータとを照合し、上記第2のターミナルサーバへ上記クライアントの接続可否を判断する判断手段とを備えていることを特徴とするアクセス認証システム。 In an access authentication system for providing a connection service to a second terminal server for a client,
First ticket data acquisition means for acquiring first ticket data obtained by encoding a client parameter including a part of individual information of the client according to a predetermined rule;
A second individual information acquisition means for acquiring individual information from the client;
Second ticket data creation means for creating second ticket data obtained by encoding client parameters including a part of the individual information acquired by the second individual information acquisition means according to the predetermined rule;
An access authentication system comprising: a judgment unit that collates the second ticket data with the first ticket data and judges whether or not the client can be connected to the second terminal server.
第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、
上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、
上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、
上記第1のチケットデータを第2のターミナルサーバに転送させる転送手段と、
上記第2のターミナルサーバにおいて上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、
上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、
上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、
上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とする記憶媒体。 In a computer-readable storage medium storing a program for operating a computer, the program is
First individual information acquisition means for acquiring individual information from a client in a first terminal server;
First authentication means for authenticating whether or not the client can connect to the first terminal server based on the individual information;
First ticket data creating means for creating first ticket data in which a client parameter including at least a part of the individual information is encoded according to a predetermined rule when authentication of the client connection is permitted;
Transfer means for transferring the first ticket data to a second terminal server;
First ticket data acquisition means for acquiring the first ticket data in the second terminal server;
Second individual information acquisition means for acquiring individual information from the client in the second terminal server;
Second ticket data creating means for creating second ticket data in which a client parameter including a part of the individual information is encoded according to the predetermined rule;
A storage medium comprising: a second authentication unit that collates the first ticket data with the second ticket data and authenticates whether or not the client can connect to the second terminal server. .
第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、
上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、
上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、
上記第1のチケットデータを転送させる転送手段とを備えていることを特徴とする記憶媒体。 In a computer-readable storage medium storing a program for operating a computer, the program is
First individual information acquisition means for acquiring individual information from a client in a first terminal server;
First authentication means for authenticating whether or not the client can connect to the first terminal server based on the individual information;
First ticket data creating means for creating first ticket data in which a client parameter including at least a part of the individual information is encoded according to a predetermined rule when authentication of the client connection is permitted;
A storage medium comprising transfer means for transferring the first ticket data.
第2のターミナルサーバにおいて上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、
上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、
上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、
上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とする記憶媒体。 In a computer-readable storage medium storing a program for operating a computer, the program is
First ticket data acquisition means for acquiring the first ticket data obtained by encoding a client parameter including a part of the individual information according to a predetermined rule in a second terminal server;
Second individual information acquisition means for acquiring individual information from the client in the second terminal server;
Second ticket data creating means for creating second ticket data in which a client parameter including a part of the individual information is encoded according to the predetermined rule;
A storage medium comprising: a second authentication unit that collates the first ticket data with the second ticket data and authenticates whether or not the client can connect to the second terminal server. .
第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、
上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、
上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、
上記第1のチケットデータを第2のターミナルサーバに転送させる転送手段と、
上記第2のターミナルサーバにおいて上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、
上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、
上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、
上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とするプログラム。 In a program for operating a computer,
First individual information acquisition means for acquiring individual information from a client in a first terminal server;
First authentication means for authenticating whether or not the client can connect to the first terminal server based on the individual information;
First ticket data creating means for creating first ticket data in which a client parameter including at least a part of the individual information is encoded according to a predetermined rule when authentication of the client connection is permitted;
Transfer means for transferring the first ticket data to a second terminal server;
First ticket data acquisition means for acquiring the first ticket data in the second terminal server;
Second individual information acquisition means for acquiring individual information from the client in the second terminal server;
Second ticket data creating means for creating second ticket data in which a client parameter including a part of the individual information is encoded according to the predetermined rule;
A program comprising: second authentication means for collating the first ticket data with the second ticket data and authenticating whether or not the client can connect to the second terminal server.
第1のターミナルサーバにおいてクライアントから個別情報を取得させる第1の個別情報取得手段と、
上記個別情報に基づいて上記第1のターミナルサーバへの上記クライアントの接続の可否を認証させる第1認証手段と、
上記クライアントの接続の認証が可とされた場合に、少なくとも上記個別情報の一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成させる第1のチケットデータ作成手段と、
上記第1のチケットデータを転送させる転送手段とを備えていることを特徴とするプログラム。 In a program for operating a computer,
First individual information acquisition means for acquiring individual information from a client in a first terminal server;
First authentication means for authenticating whether or not the client can connect to the first terminal server based on the individual information;
First ticket data creating means for creating first ticket data in which a client parameter including at least a part of the individual information is encoded according to a predetermined rule when authentication of the client connection is permitted;
A program comprising transfer means for transferring the first ticket data.
第2のターミナルサーバにおいてクライアントの個別情報の一部を含むクライアントパラメータを所定の規則で符号化した上記第1のチケットデータを取得させる第1のチケットデータ取得手段と、
上記第2のターミナルサーバにおいて上記クライアントから個別情報を取得させる第2の個別情報取得手段と、
上記個別情報の一部を含むクライアントパラメータを上記所定の規則で符号化した第2のチケットデータを作成させる第2のチケットデータ作成手段と、
上記第1のチケットデータと上記第2のチケットデータとを照合し、上記第2のターミナルサーバへの上記クライアントの接続可否を認証させる第2認証手段とを備えていることを特徴とするプログラム。 In a program for operating a computer,
First ticket data acquisition means for acquiring the first ticket data obtained by encoding a client parameter including a part of individual client information in a second rule in a second terminal server;
Second individual information acquisition means for acquiring individual information from the client in the second terminal server;
Second ticket data creating means for creating second ticket data in which a client parameter including a part of the individual information is encoded according to the predetermined rule;
A program comprising: second authentication means for collating the first ticket data with the second ticket data and authenticating whether or not the client can connect to the second terminal server.
上記第1のターミナルサーバへの上記クライアントの接続の可否を認証する第1の認証ステップと、
上記クライアントから入力された個別情報の少なくとも一部を含むクライアントパラメータを所定の規則で符号化した第1のチケットデータを作成する第1チケットデータ作成ステップと、
上記第2のターミナルサーバに上記クライアントパラメータ及び上記第1のチケットデータを転送するデータ転送ステップと、
上記第1のターミナルサーバにおける上記クライアントパラメータの正当性及び上記第1のチケットデータの行使の有無を検証する検証ステップと、
上記クライアントパラメータを所定の規則で符号化した第2のチケットデータを作成する第2チケットデータ作成ステップと、
この第2のチケットデータと上記第1のチケットデータとを照合するチケットデータ照合ステップと、
上記検証ステップ及び上記チケットデータ照合ステップにおける結果に基づいて、上記第2のターミナルサーバへ上記クライアントの接続可否を指示する第2の認証ステップとを備えていることを特徴とするアクセス認証方法。 In an access authentication method for providing a connection service to a second terminal server to a client via the first terminal server,
A first authentication step for authenticating whether or not the client can connect to the first terminal server;
A first ticket data creating step of creating first ticket data obtained by encoding a client parameter including at least a part of the individual information input from the client according to a predetermined rule;
A data transfer step of transferring the client parameters and the first ticket data to the second terminal server;
A verification step for verifying the validity of the client parameter in the first terminal server and the presence / absence of exercising the first ticket data;
A second ticket data creating step for creating second ticket data obtained by encoding the client parameter according to a predetermined rule;
A ticket data collating step for collating the second ticket data with the first ticket data;
An access authentication method comprising: a second authentication step for instructing the second terminal server whether the client can be connected based on the results of the verification step and the ticket data collation step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004353368A JP2005130524A (en) | 2000-03-13 | 2004-12-06 | Access authentication system, storage medium, program and access authentication method |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000069079 | 2000-03-13 | ||
JP2004353368A JP2005130524A (en) | 2000-03-13 | 2004-12-06 | Access authentication system, storage medium, program and access authentication method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001061999A Division JP3641590B2 (en) | 2000-03-13 | 2001-03-06 | Access authentication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005130524A true JP2005130524A (en) | 2005-05-19 |
Family
ID=34655335
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004353368A Pending JP2005130524A (en) | 2000-03-13 | 2004-12-06 | Access authentication system, storage medium, program and access authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005130524A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007226470A (en) * | 2006-02-22 | 2007-09-06 | Nec Corp | Authority management server, authority management method, and authority management program |
JP2016106308A (en) * | 2016-01-20 | 2016-06-16 | 曽根 利仁 | Licensing method |
US10869196B2 (en) | 2015-08-12 | 2020-12-15 | Tencent Technology (Shenzhen) Company Limited | Internet access authentication method and client, and computer storage medium |
-
2004
- 2004-12-06 JP JP2004353368A patent/JP2005130524A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007226470A (en) * | 2006-02-22 | 2007-09-06 | Nec Corp | Authority management server, authority management method, and authority management program |
JP4525609B2 (en) * | 2006-02-22 | 2010-08-18 | 日本電気株式会社 | Authority management server, authority management method, authority management program |
US10869196B2 (en) | 2015-08-12 | 2020-12-15 | Tencent Technology (Shenzhen) Company Limited | Internet access authentication method and client, and computer storage medium |
JP2016106308A (en) * | 2016-01-20 | 2016-06-16 | 曽根 利仁 | Licensing method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3641590B2 (en) | Access authentication system | |
TWI274500B (en) | User authentication system | |
AU2003262473B2 (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
US7240192B1 (en) | Combining a browser cache and cookies to improve the security of token-based authentication protocols | |
US7606915B1 (en) | Prevention of unauthorized scripts | |
US7035442B2 (en) | User authenticating system and method using one-time fingerprint template | |
US7257836B1 (en) | Security link management in dynamic networks | |
US8213583B2 (en) | Secure access to restricted resource | |
JP4070708B2 (en) | Security ensuring support program, server device for executing the program, and storage medium storing the program | |
US11057372B1 (en) | System and method for authenticating a user to provide a web service | |
US7571311B2 (en) | Scheme for sub-realms within an authentication protocol | |
US20040107367A1 (en) | Method, arrangement and secure medium for authentication of a user | |
JP2007149066A (en) | Authentication system, device and program | |
JP5125187B2 (en) | Authentication processing program, information processing program, authentication processing device, authentication processing system, and information processing system | |
JP5940671B2 (en) | VPN connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, VPN connection server, and program | |
JP2020511803A (en) | System and method for blockchain-based data management | |
WO2006001153A1 (en) | File managing program | |
JP2008181310A (en) | Authentication server and authentication program | |
JP4738183B2 (en) | Access control apparatus, access control method and program | |
JP2007280393A (en) | Device and method for controlling computer login | |
JP2005130524A (en) | Access authentication system, storage medium, program and access authentication method | |
JP4641148B2 (en) | Personal information disclosure system, personal information disclosure method, and personal information disclosure program | |
JP2005321928A (en) | Authentication program and authentication server | |
JP2007207067A (en) | Server/client system, access control method in the system and program therefor | |
JP6754149B1 (en) | Programs, web servers, authentication methods and authentication systems |