JP2011018278A - Authentication apparatus, authentication method, authentication program, and authentication system - Google Patents

Authentication apparatus, authentication method, authentication program, and authentication system Download PDF

Info

Publication number
JP2011018278A
JP2011018278A JP2009163773A JP2009163773A JP2011018278A JP 2011018278 A JP2011018278 A JP 2011018278A JP 2009163773 A JP2009163773 A JP 2009163773A JP 2009163773 A JP2009163773 A JP 2009163773A JP 2011018278 A JP2011018278 A JP 2011018278A
Authority
JP
Japan
Prior art keywords
authentication
identifier
information
user
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009163773A
Other languages
Japanese (ja)
Other versions
JP4937302B2 (en
Inventor
Takao Yamashita
高生 山下
Hideki Yamauchi
英樹 山内
Takuya Minami
拓也 南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009163773A priority Critical patent/JP4937302B2/en
Publication of JP2011018278A publication Critical patent/JP2011018278A/en
Application granted granted Critical
Publication of JP4937302B2 publication Critical patent/JP4937302B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To reduce areas for storing authentication information and to improve the performance of the whole authentication system.SOLUTION: An authentication server receives an authentication request including an authentication identifier from a user authentication terminal apparatus, and when authentication processing in its own apparatus can not be performed only by the authentication identifier, acquires another authentication identifier from another authentication server. The authentication server performs authentication processing by using the authentication identifier received from the user authentication terminal apparatus and the new authentication identifier using the other authentication identifier received from the other authentication server. When receiving authentication permissions from all authentication servers having transmitted authentication requests, the user authentication terminal apparatus permits the authentication of the user terminal.

Description

本発明は、ユーザ端末からの認証要求を受信するユーザ認証終端装置と、ユーザ認証終端装置から認証依頼に応じてユーザ認証処理を実施する認証装置、認証方法、認証プログラムおよび認証システムに関する。   The present invention relates to a user authentication termination device that receives an authentication request from a user terminal, an authentication device that performs user authentication processing in response to an authentication request from the user authentication termination device, an authentication method, an authentication program, and an authentication system.

従来より、電話回線などを通じてアクセスサーバにダイヤルアップしたユーザを認証し、割り当てるべきIP(Internet Protocol)アドレスをサーバに送信する認証手法として、RADIUS(Remote Authentication Dial-In User Service)プロトコルが利用されている。このRADIUSプロトコルを高いスループットで処理する方法として、WWW(World Wide Web)上のデータアクセスを高速かつ高いスループットで行うキャッシュ技術を利用することができる。   Conventionally, a RADIUS (Remote Authentication Dial-In User Service) protocol has been used as an authentication method for authenticating a user dialed up to an access server through a telephone line and transmitting an IP (Internet Protocol) address to be assigned to the server. Yes. As a method of processing the RADIUS protocol with high throughput, a cache technology that performs data access on the WWW (World Wide Web) at high speed and with high throughput can be used.

ここで、まず、図31を用いて、WWWのキャッシュ技術について説明する。図31に示すように、このシステムは、WWWサーバとユーザ端末との間に、ユーザ端末に台数に応じたWWW用キャッシュサーバが接続されている。図31の場合、ユーザ端末100のためにWWW用キャッシュサーバ103を配置し、ユーザ端末101とユーザ端末102のためにWWW用キャッシュサーバ104を配置している。そして、WWW用キャッシュサーバ103は、ユーザ端末100が一度アクセスしたWWWサーバ105上のデータを複製して格納している。このようにしておくことで、ユーザ端末100が再度同じデータにアクセスした場合には、WWWサーバ105ではなく、WWW用キャッシュサーバ103がアクセス済みの当該データをユーザ端末100に直接送信することができる。その結果、ユーザ端末100は、高速かつ高いスループットでデータを得ることができる。   First, the WWW cache technology will be described with reference to FIG. As shown in FIG. 31, in this system, a WWW cache server corresponding to the number is connected to a user terminal between the WWW server and the user terminal. In the case of FIG. 31, a WWW cache server 103 is arranged for the user terminal 100, and a WWW cache server 104 is arranged for the user terminal 101 and the user terminal 102. The WWW cache server 103 duplicates and stores data on the WWW server 105 once accessed by the user terminal 100. In this way, when the user terminal 100 accesses the same data again, the WWW cache server 103 can directly transmit the accessed data to the user terminal 100 instead of the WWW server 105. . As a result, the user terminal 100 can obtain data at high speed and high throughput.

同様に、WWW用キャッシュサーバ104は、ユーザ端末101またはユーザ端末102が一度アクセスしたWWWサーバ105上のデータを複製して格納している。このようにしておくことで、ユーザ端末101またはユーザ端末102が再度同じデータにアクセスした場合には、WWWサーバ105ではなく、WWW用キャッシュサーバ104がアクセス済みの当該データをユーザ端末101またはユーザ端末102に直接送信することができる。その結果、ユーザ端末101またはユーザ端末102は、高速かつ高いスループットでデータを得ることができる。   Similarly, the WWW cache server 104 duplicates and stores data on the WWW server 105 once accessed by the user terminal 101 or the user terminal 102. In this way, when the user terminal 101 or the user terminal 102 accesses the same data again, the data that has been accessed by the WWW cache server 104 instead of the WWW server 105 is used as the user terminal 101 or the user terminal. 102 can be sent directly. As a result, the user terminal 101 or the user terminal 102 can obtain data at high speed and high throughput.

次に、図32を用いて、上述したキャッシュ技術を認証技術に適用した例について説明する。図32に示すように、この認証システムは、ユーザ端末106と認証サーバとの間に、ユーザ認証終端装置107が接続されており、認証サーバは、1台以上の認証情報キャッシュサーバ108と認証情報データベースサーバ109とで構成されている。ここで、認証情報キャッシュサーバ108が図31のWWW用キャッシュサーバに対応し、認証情報データベースサーバ109がWWWサーバに対応する。そして、認証情報キャッシュサーバ108は、認証情報データベースサーバ109が記憶する認証情報のうち、ユーザ端末106が一度アクセスした認証情報を記憶している。なお、認証情報キャッシュサーバ108は、メモリのような高速でアクセス可能な記憶媒体上に保持する。   Next, an example in which the above-described cache technology is applied to an authentication technology will be described with reference to FIG. As shown in FIG. 32, in this authentication system, a user authentication termination device 107 is connected between a user terminal 106 and an authentication server, and the authentication server includes one or more authentication information cache servers 108 and authentication information. The database server 109 is configured. Here, the authentication information cache server 108 corresponds to the WWW cache server of FIG. 31, and the authentication information database server 109 corresponds to the WWW server. The authentication information cache server 108 stores the authentication information accessed once by the user terminal 106 among the authentication information stored in the authentication information database server 109. The authentication information cache server 108 is held on a storage medium that can be accessed at high speed such as a memory.

このような構成において、ユーザ端末106がユーザ認証終端装置107に認証を要求した場合、ユーザ認証終端装置107は、認証サーバに認証要求を送信する。そして、認証サーバの認証情報キャッシュサーバ108は、この認証要求を受信し、自装置で認証処理が可能な場合には、自装置で認証した結果をユーザ認証終端装置107に送信する。一方、認証サーバの認証情報キャッシュサーバ108は、自装置で認証処理が不可能な場合には、認証情報データベースサーバ109に認証情報の取得要求を送信し、認証情報データベースサーバ109が認証情報を認証情報キャッシュサーバ108に送信し、認証情報キャッシュサーバ108は、取得した認証情報を用いて認証した結果をユーザ認証終端装置107に送信する。その後、ユーザ認証終端装置107は、認証サーバから受信した認証結果に応じた応答をユーザ端末106に送信する。このようにすることで、高速かつ高いスループットで認証処理を実施することができる。   In such a configuration, when the user terminal 106 requests authentication from the user authentication termination device 107, the user authentication termination device 107 transmits an authentication request to the authentication server. Then, the authentication information cache server 108 of the authentication server receives this authentication request, and transmits the result of authentication by the own device to the user authentication termination device 107 when the authentication processing can be performed by the own device. On the other hand, the authentication information cache server 108 of the authentication server transmits an authentication information acquisition request to the authentication information database server 109 when the authentication process cannot be performed by itself, and the authentication information database server 109 authenticates the authentication information. The authentication information cache server 108 transmits the result of authentication using the acquired authentication information to the user authentication termination device 107. Thereafter, the user authentication termination device 107 transmits a response corresponding to the authentication result received from the authentication server to the user terminal 106. In this way, authentication processing can be performed at high speed and with high throughput.

また、最近では、より強固な認証手法として、図33に示すように、認証識別子種別Iが異なるN台の認証サーバを用意し、全ての認証サーバで認証許可された場合にのみ、ユーザ端末の認証を許可する手法が実施されている。ここで示した認証識別子種別Iとは、例えば、ユーザのIDとパスワードによる認証におけるID、ユーザのX.509証明書による認証におけるSubject名、ユーザの接続されている回線の認証における回線番号、契約の認証における契約番号、ドメイン名などユーザ名の部分集合の認証におけるユーザ名の一部などの認証種別を特定する識別子である。また、認証識別子種別Iは、認証に用いる情報を示す一つ以上の認証識別子に対応付けられている。例えば、認証識別子種別Iが、ユーザIDの場合、認証識別子には、「taro」や「hanako」など、認証識別子種別Iが、Subject名の場合、認証識別子には、「CN=taro、O=kaisha、C=JP」や「CN=hanako、O=kaisha、C=JP」など、認証識別子種別Iが、回線番号の場合、認証識別子には、「CHANNEL−0001」や「CHANNEL−0021」など、認証識別子種別Iが、契約番号の場合、認証識別子には、「C010−220−10」や「C010−222−20」など、認証識別子種別Iが、ユーザ名の一部の場合、認証識別子には、「domain001.jp」や「domain002.jp」などを用いる。 Recently, as a stronger authentication technique, as shown in FIG. 33, N authentication servers with different authentication identifier types Im are prepared, and only when authentication is permitted by all authentication servers, the user terminal A technique to allow authentication of the above has been implemented. Here, the authentication identifier type I m illustrated, for example, ID of the authentication by the user ID and password, the user X. The authentication type such as the subject name in the authentication by the 509 certificate, the line number in the authentication of the line to which the user is connected, the contract number in the authentication of the contract, and a part of the user name in the authentication of a subset of the user name such as the domain name An identifier to identify. The authentication identifier type I m is associated with one or more authentication identifier indicating information used for authentication. For example, in the case of the authentication identifier type I m is, user ID, the authentication identifier, such as "taro" and "hanako", authentication identifier type I m is, in the case of the Subject name, the authentication identifier, "CN = taro, O = kaisha, C = JP "and" CN = hanako, O = kaisha, C = JP ", etc., authentication identifier type I m is, in the case of a line number, the authentication identifier," CHANNEL-0001 "and" CHANNEL- 0021 ", etc., authentication identifier type I m is, in the case of the contract number, the authentication identifier, such as" C010-220-10 "and" C010-222-20 ", authentication identifier type I m is, part of the user name In this case, “domain001.jp” or “domain002.jp” is used as the authentication identifier.

“Remote Authentication Dial In User Service(RADIUS)”、C.Rigney、S.Willens、A.Rubens、W.Simpson、RFC2865、[online]、[平成21年5月14日検索]、インターネット<http://www.ietf.org/rfc/rfc2865.txt?number=2865>、IETF、2000“Remote Authentication Dial In User Service (RADIUS)”, C. Rigney, S. Willens, A. Rubens, W. Simpson, RFC 2865, [online], [Search May 14, 2009], Internet <http: / /www.ietf.org/rfc/rfc2865.txt?number=2865>, IETF, 2000 “RADIUS Accounting”、C.Rigney、RFC2866、[online]、[平成21年5月14日検索]、インターネット<http://www.ietf.org/rfc/rfc2866.txt?number=2866>、IETF、2000“RADIUS Accounting”, C.Rigney, RFC2866, [online], [searched on May 14, 2009], Internet <http://www.ietf.org/rfc/rfc2866.txt?number=2866>, IETF , 2000 “RADIUS Accounting Modifications for Tunnel Protocol Support”、G.Zorn、B.Aboba、D.Mitton、RFC2867、[online]、[平成21年5月14日検索]、インターネット<http://www.ietf.org/rfc/rfc2867.txt?number=2867>、IETF、2000“RADIUS Accounting Modifications for Tunnel Protocol Support”, G.Zorn, B.Aboba, D.Mitton, RFC2867, [online], [Search May 14, 2009], Internet <http://www.ietf.org /rfc/rfc2867.txt?number=2867>, IETF, 2000 “RADIUS Attributes for Tunnel Protocol Support”、G.Zorn、D.Leifer、A.Rubens、J.Shriver、M.Holdrege、I.Goyret、RFC2868、[online]、[平成21年5月14日検索]、インターネット<http://www.ietf.org/rfc/rfc2868.txt?number=2868>、IETF、2000“RADIUS Attributes for Tunnel Protocol Support”, G.Zorn, D.Leifer, A.Rubens, J.Shriver, M.Holdrege, I.Goyret, RFC2868, [online], [May 14, 2009 search], Internet <http://www.ietf.org/rfc/rfc2868.txt?number=2868>, IETF, 2000 “RADIUS Extensions”、C.Rigney、W.Willats、R.Calhoun、RFC2869、[online]、[平成21年5月14日検索]、インターネット<http://www.ietf.org/rfc/rfc2869.txt?number=2869>、IETF、2000"RADIUS Extensions", C.Rigney, W.Willats, R.Calhoun, RFC2869, [online], [Search May 14, 2009], Internet <http://www.ietf.org/rfc/rfc2869. txt? number = 2869>, IETF, 2000 “RADIUS and IPv6”、B.Aboba、G.Zorn、D.Mitton、RFC3162、[online]、[平成21年5月14日検索]、インターネット<http://www.ietf.org/rfc/rfc3162.txt?number=3162>、IETF、2000“RADIUS and IPv6”, B.Aboba, G.Zorn, D.Mitton, RFC3162, [online], [Search May 14, 2009], Internet <http://www.ietf.org/rfc/rfc3162 .txt? number = 3162>, IETF, 2000 “Diameter Base Protocol”、P.Calhoun、J.Loughney、E,Guttman、G.Zorn、J.Arkko、RFC3588、[online]、[平成21年5月14日検索]、インターネット<http://www.ietf.org/rfc/rfc3588.txt?number=3588>、IETF、2000"Diameter Base Protocol", P.Calhoun, J.Loughney, E, Guttman, G.Zorn, J.Arkko, RFC3588, [online], [May 14, 2009 search], Internet <http: // www .ietf.org / rfc / rfc3588.txt? number = 3588>, IETF, 2000 “分散システム 原理とパラダイム”、アンドリュー・S・タネンバウム、マールテン・ファン・スティーン著、水野忠則、安西洋太郎、鈴木健二、西山智、佐藤文明、東野輝夫訳、株式会社ピアソン・エデュケーション、2003年発行"Distributed System Principle and Paradigm", by Andrew S. Tanenbaum and Maarten van Stein, Tadanori Mizuno, Taro Andyo, Kenji Suzuki, Satoshi Nishiyama, Fumiaki Sato, Teruo Higashino, Pearson Education, Inc., 2003 “BUILDING SECURE AND RELIABLE NETWORK APPLICATIONS”Kenneth P.Birman著、Manning、1996年発行“BUILDING SECURE AND RELIABLE NETWORK APPLICATIONS” by Kenneth P. Birman, Manning, 1996

しかしながら、認証情報を格納する領域が増加するという課題と、認証性能が劣化するという課題があった。   However, there is a problem that an area for storing authentication information increases and a problem that authentication performance deteriorates.

具体的には、認証サーバ1が認証識別子種別Iで認証を行い、認証サーバ2が認証識別子種別Iで認証を行い、認証識別子種別Iの認証識別子が認証識別子種別Iの認証識別子が属する認証識別子グループによって部分的に決定される場合、両方の認証サーバで認証識別子種別Iに関するテーブルを保持し、検索処理を行う必要がある。 Specifically, the authentication server 1 authenticates the authentication identifier type I 1, the authentication server 2 authenticates the authentication identifier type I 2, authentication identifier of the authentication identifier authentication identifier authentication identifier of the type I 2 type I 1 If it is partially determined by the authentication identifier group to which the ID belongs, it is necessary to hold a table relating to the authentication identifier type I 1 in both authentication servers and perform a search process.

例えば、認証サーバ1が契約番号によって認証を行うサーバであって、「契約番号、パスワード」として「C001、P001」を記憶する認証情報テーブルとして保持している。また、認証サーバ2がユーザIDによって認証を行うサーバであって、「ユーザID、パスワード」として「U001G001、001P」を記憶するテーブルと、「契約番号、グループ」として「C001、G001」を記憶するテーブルとから構成される認証情報テーブルを保持記憶している。   For example, the authentication server 1 is a server that performs authentication based on a contract number, and holds it as an authentication information table that stores “C001, P001” as “contract number, password”. Further, the authentication server 2 is a server that performs authentication using a user ID, and stores a table storing “U001G001, 001P” as “user ID, password” and “C001, G001” as “contract number, group”. An authentication information table composed of a table is held and stored.

この場合、認証サーバ1は、ユーザ認証終端装置から受信した認証要求に含まれる「契約番号=C001、パスワード=P001」と一致する認証情報を保持しているか否かにより契約による認証を行う。また、認証サーバ2は、ユーザ認証終端装置から受信した認証要求に含まれる「ユーザID=U001、パスワード=001P」だけでは認証処理を行うことができない。そのため、認証サーバ2は、「契約番号=C001」をさらに受信し、「契約番号=C001」に対応する「グループ=G001」をまず特定する。その後、認証サーバ2は、受信済みの「ユーザID=U001」と特定した「グループ=G001」とを組み合わせた検索キーとして「U001G001」を生成する。そして、認証サーバ2は、生成した「U001G001」に対応付けられえ認証情報テーブルに記憶される「パスワード=001P」」と、受信済みの「パスワード=001P」とが一致するか否かによって、ユーザ認証を行う。   In this case, the authentication server 1 performs authentication based on the contract depending on whether or not the authentication information matching “contract number = C001, password = P001” included in the authentication request received from the user authentication termination device is held. Further, the authentication server 2 cannot perform the authentication process only by “user ID = U001, password = 001P” included in the authentication request received from the user authentication termination device. Therefore, the authentication server 2 further receives “contract number = C001” and first specifies “group = G001” corresponding to “contract number = C001”. Thereafter, the authentication server 2 generates “U001G001” as a search key that combines the received “user ID = U001” and the identified “group = G001”. Then, the authentication server 2 determines whether the “password = 001P” stored in the authentication information table and associated with the generated “U001G001” matches the received “password = 001P”. Authenticate.

このように、「契約番号=C001」を検索キーとするテーブルを、異なる認証識別子の認証を行う認証サーバ1と認証サーバ2の両方で保持する必要があり、認証システム全体として、認証情報を格納する多くの領域が必要となる。また、上記した「契約番号=C001」をキーとする情報が認証情報キャッシュサーバに記憶されていない場合、認証サーバ1と認証サーバ2の両方で、認証情報データベースサーバによって低速な認証処理が実施される。その結果、データベース検索によるディスクアクセス頻度が高まり、高速かつ高いスループットで認証処理を行うことが困難となり、認証性能の劣化が発生する。   As described above, it is necessary to hold a table having “contract number = C001” as a search key in both the authentication server 1 and the authentication server 2 that authenticate different authentication identifiers, and store authentication information as the entire authentication system. It takes a lot of area to do. In addition, when the above-described information having “contract number = C001” as a key is not stored in the authentication information cache server, the authentication information database server performs low-speed authentication processing on both the authentication server 1 and the authentication server 2. The As a result, the frequency of disk access due to database search increases, making it difficult to perform authentication processing at high speed and with high throughput, resulting in degradation of authentication performance.

本発明は、上記に鑑みてなされたものであって、認証情報を格納する領域を削減するとともに、認証システム全体の性能を向上させることが可能である認証装置、認証方法、認証プログラムおよび認証システムを提供することを目的とする。   The present invention has been made in view of the above, and it is possible to reduce an area for storing authentication information and improve the performance of the entire authentication system, an authentication method, an authentication program, and an authentication system. The purpose is to provide.

上述した課題を解決し、目的を達成するために、本発明は、ユーザ端末からの認証要求を受信するユーザ認証終端装置から受信した認証依頼に応じてユーザ認証処理を実施する認証装置であって、当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、他の認証装置がユーザ認証処理に用いる認証識別子の一部である他の認証識別子と、前記他の認証識別子を特定する特定情報とを対応付けて保持する特定情報保持手段と、前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、取得した認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、所定の条件に応じて特定される特定情報に対応する他の認証識別子を、前記認証情報保持手段から取得して前記他の認証装置に送信する識別子送信手段と、を有することを特徴とする。   In order to solve the above-described problems and achieve the object, the present invention is an authentication device that performs user authentication processing in response to an authentication request received from a user authentication termination device that receives an authentication request from a user terminal. An authentication identifier for identifying attribute information used for authentication by the authentication device; authentication information holding means for holding authentication information in association with the attribute information; and one of authentication identifiers used by other authentication devices for user authentication processing. When the authentication request is received from the user authentication terminator, the specific information holding unit that associates and holds the other authentication identifier that is a unit and the specific information that specifies the other authentication identifier, An authentication identifier is acquired, user authentication processing is performed using attribute information stored in the authentication information holding unit in association with the acquired authentication identifier, and an authentication result is acquired by the user authentication. Authentication means for transmitting to the terminal device; and identifier transmitting means for acquiring another authentication identifier corresponding to the specific information specified according to a predetermined condition from the authentication information holding means and transmitting to the other authentication device; It is characterized by having.

また、本発明は、ユーザ端末からの認証要求を受信するユーザ認証終端装置から受信した認証依頼に応じてユーザ認証処理を実施する認証装置であって、当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、前記ユーザ認証終端装置から認証依頼を受信した場合に、前記認証識別子の一部を示す第一の識別子と、前記認証識別子の一部を示す第二の識別子を特定する特定情報とを認証依頼から取得し、予め保持する装置情報によって特定される他の認証装置から、前記第二の識別子を取得する識別子取得手段と、前記識別子取得手段により取得された第二の識別子と、前記認証依頼から取得した第一の識別子とを用いた新たな認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、を有することを特徴とする。   The present invention also provides an authentication apparatus that performs user authentication processing in response to an authentication request received from a user authentication termination apparatus that receives an authentication request from a user terminal, and specifies attribute information used by the authentication apparatus for authentication Authentication information holding means for holding authentication information in which the authentication identifier is associated with the attribute information, and a first identifier indicating a part of the authentication identifier when an authentication request is received from the user authentication termination device And the specific information for specifying the second identifier indicating a part of the authentication identifier from the authentication request, and the second identifier is acquired from another authentication device specified by the device information held in advance. The authentication in association with a new authentication identifier using an identifier acquisition means, a second identifier acquired by the identifier acquisition means, and a first identifier acquired from the authentication request It performs user authentication processing by using the attribute information stored in the broadcast holding means, and having an authentication unit that transmits the authentication result to the user authentication terminating device.

本発明にかかる認証装置、認証方法、認証プログラムおよび認証システムは、認証情報を格納する領域を削減するとともに、認証システム全体の性能を向上させることが可能であるという効果を奏する。   The authentication device, the authentication method, the authentication program, and the authentication system according to the present invention have an effect of reducing the area for storing authentication information and improving the performance of the entire authentication system.

図1は、実施例1に係る認証システムの全体構成を示す図である。FIG. 1 is a diagram illustrating the overall configuration of the authentication system according to the first embodiment. 図2は、ユーザ認証終端装置10の構成を示すブロック図である。FIG. 2 is a block diagram showing the configuration of the user authentication termination device 10. 図3−1は、ユーザ情報DB12aに記憶される情報の例を示す図である。FIG. 3A is a diagram illustrating an example of information stored in the user information DB 12a. 図3−2は、ユーザ情報DB12aに記憶される情報の例を示す図である。FIG. 3-2 is a diagram illustrating an example of information stored in the user information DB 12a. 図4は、認証順番DB12bに記憶される情報の例を示す図である。FIG. 4 is a diagram illustrating an example of information stored in the authentication order DB 12b. 図5は、認証装置型情報DB12cに記憶される情報の例を示す図である。FIG. 5 is a diagram illustrating an example of information stored in the authentication device type information DB 12c. 図6は、認証サーバAの認証情報キャッシュサーバA20の構成を示すブロック図である。FIG. 6 is a block diagram showing the configuration of the authentication information cache server A20 of the authentication server A. 図7は、キャッシュ22aに記憶される情報の例を示す図である。FIG. 7 is a diagram illustrating an example of information stored in the cache 22a. 図8は、認証装置型情報DB22bに記憶される情報の例を示す図である。FIG. 8 is a diagram illustrating an example of information stored in the authentication device type information DB 22b. 図9は、認証サーバAの認証情報データベースサーバA30の構成を示すブロック図である。FIG. 9 is a block diagram showing the configuration of the authentication information database server A30 of the authentication server A. 図10は、認証情報DB32aに記憶される情報の例を示す図である。FIG. 10 is a diagram illustrating an example of information stored in the authentication information DB 32a. 図11は、認証サーバBの認証情報キャッシュサーバB40の構成を示すブロック図である。FIG. 11 is a block diagram showing the configuration of the authentication information cache server B 40 of the authentication server B. 図12は、キャッシュ42aに記憶される情報の例を示す図である。FIG. 12 is a diagram illustrating an example of information stored in the cache 42a. 図13は、認証装置型情報DB42bに記憶される情報の例を示す図である。FIG. 13 is a diagram illustrating an example of information stored in the authentication device type information DB 42b. 図14は、認証サーバBの認証情報データベースサーバB50の構成を示すブロック図である。FIG. 14 is a block diagram showing a configuration of the authentication information database server B50 of the authentication server B. 図15は、認証情報DB52aに記憶される情報の例を示す図である。FIG. 15 is a diagram illustrating an example of information stored in the authentication information DB 52a. 図16は、ユーザ認証終端装置10における処理の流れを示すフローチャートである。FIG. 16 is a flowchart showing the flow of processing in the user authentication termination apparatus 10. 図17は、認証情報キャッシュサーバA20における処理の流れを示すフローチャートである。FIG. 17 is a flowchart showing the flow of processing in the authentication information cache server A20. 図18は、認証情報キャッシュサーバA20における第二の識別子検索処理の流れを示すフローチャートである。FIG. 18 is a flowchart showing the flow of the second identifier search process in the authentication information cache server A20. 図19は、認証情報データベースサーバA30における処理の流れを示すフローチャートである。FIG. 19 is a flowchart showing the flow of processing in the authentication information database server A30. 図20は、認証情報キャッシュサーバB40における処理の流れを示すフローチャートである。FIG. 20 is a flowchart showing the flow of processing in the authentication information cache server B40. 図21は、認証情報データベースサーバB50における処理の流れを示すフローチャートである。FIG. 21 is a flowchart showing the flow of processing in the authentication information database server B50. 図22は、実施例2に係る認証システムの全体構成を示す図である。FIG. 22 is a diagram illustrating the overall configuration of the authentication system according to the second embodiment. 図23は、実施例3に係る認証システムの全体構成を示す図である。FIG. 23 is a diagram illustrating the overall configuration of the authentication system according to the third embodiment. 図24は、実施例4に係る認証システムの全体構成を示す図である。FIG. 24 is a diagram illustrating the overall configuration of the authentication system according to the fourth embodiment. 図25は、実施例4における基本認証装置である認証情報キャッシュサーバjにおける処理の流れを示すフローチャートである。FIG. 25 is a flowchart illustrating a flow of processing in the authentication information cache server j which is the basic authentication device according to the fourth embodiment. 図26は、実施例4において連想認証装置である認証情報キャッシュサーバkにおける処理の流れを示すフローチャートである。FIG. 26 is a flowchart illustrating a process flow in the authentication information cache server k which is the associative authentication apparatus according to the fourth embodiment. 図27は、実施例5に係る認証システムの全体構成を示す図である。FIG. 27 is a diagram illustrating the overall configuration of the authentication system according to the fifth embodiment. 図28は、実施例6に係る認証システムの全体構成を示す図である。FIG. 28 is a diagram illustrating the overall configuration of the authentication system according to the sixth embodiment. 図29は、実施例6に係るユーザ認証終端装置における処理の流れを示すフローチャートである。FIG. 29 is a flowchart illustrating the flow of processing in the user authentication termination apparatus according to the sixth embodiment. 図30は、実施例6に係る認証サーバ2の認証情報キャッシュサーバにおける処理の流れを示すフローチャートである。FIG. 30 is a flowchart illustrating a process flow in the authentication information cache server of the authentication server 2 according to the sixth embodiment. 図31は、WWW用キャッシュ技術を説明する図である。FIG. 31 is a diagram for explaining the WWW cache technology. 図32は、WWW用キャッシュ技術を用いた従来の認証手法を示す図である。FIG. 32 is a diagram showing a conventional authentication method using the WWW cache technology. 図33は、WWW用キャッシュ技術を用いて、複数の認証識別子での認証を可能にした従来手法を示す図である。FIG. 33 is a diagram showing a conventional technique that enables authentication with a plurality of authentication identifiers using the WWW cache technology.

以下に、本発明にかかる認証方法および認証システムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。   Embodiments of an authentication method and an authentication system according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.

[全体構成]
図1は、実施例1に係る認証システムの全体構成を示す図である。図1に示すように、認証システムは、ユーザ端末と、ユーザ認証終端装置と、認証サーバAと、認証サーバBとがネットワークを介して接続されている。なお、各装置の台数はこれに限定されるものではない。 [overall structure]
FIG. 1 is a diagram illustrating the overall configuration of the authentication system according to the first embodiment. As shown in FIG. 1, in the authentication system, a user terminal, a user authentication termination device, an authentication server A, and an authentication server B are connected via a network. The number of devices is not limited to this.

ユーザ端末は、ユーザ認証終端装置に認証依頼を送信し、認証が許可されると、インターネットなどを介して各種サービスを利用することができる端末装置である。   The user terminal is a terminal device that can use various services via the Internet or the like when an authentication request is transmitted to the user authentication termination device and authentication is permitted.

ユーザ認証終端装置は、ユーザ端末から認証要求を受信すると、当該ユーザ端末の認証依頼を認証サーバAおよび認証サーバBに対して送信し、両方の認証サーバから認証許可を受信した場合にのみ、ユーザ端末は正当な利用者であると認証する。このユーザ認証終端装置は、認証サーバに認証依頼を送信する順番を記憶している。認証サーバAや認証サーバBが認証に用いる「認証識別子と属性情報」は、ユーザ端末から送られるもの、および、ユーザ認証終端装置が記憶しているものがある。ユーザ認証終端装置は、これらのユーザから送られてくる「認証識別子と属性情報」、および、ユーザ認証終端装置が記憶している「認証識別子と属性情報」のうち、どの「認証識別子と属性情報」を、どの認証サーバに送信するかを記憶している。   When receiving the authentication request from the user terminal, the user authentication termination device transmits an authentication request for the user terminal to the authentication server A and the authentication server B, and only when the authentication permission is received from both authentication servers. The terminal authenticates that it is a legitimate user. This user authentication termination device stores the order in which authentication requests are transmitted to the authentication server. “Authentication identifier and attribute information” used for authentication by the authentication server A and the authentication server B include those sent from the user terminal and those stored in the user authentication termination device. The user authentication terminator includes “authentication identifier and attribute information” sent from these users and “authentication identifier and attribute information” stored in the user authentication terminator. ”Is stored to which authentication server.

また、ユーザ認証終端装置は、認証依頼を送信する先が、自装置内の情報を用いて認証処理を実施できる基本認証装置であるか、または、他装置の情報を用いて認証処理を実施する連想認証装置であるかを示す情報を記憶している。   In addition, the user authentication termination device is a basic authentication device that can perform authentication processing using information in the device itself, or performs authentication processing using information of another device. Information indicating whether it is an associative authentication device is stored.

認証サーバAまたは認証サーバBは、「認証識別子、属性情報」を記憶しており、ユーザ認証終端装置から受け付けた認証依頼に含まれる認証識別子、属性情報を用いて、利用者認証を行う。また、認証サーバAまたは認証サーバBは、それぞれ異なる種別の認証を行うサーバであり、例えば、認証サーバAが契約番号、認証サーバBがユーザIDで認証を行う。   The authentication server A or the authentication server B stores “authentication identifier and attribute information”, and performs user authentication using the authentication identifier and attribute information included in the authentication request received from the user authentication termination device. The authentication server A or the authentication server B is a server that performs different types of authentication. For example, the authentication server A authenticates with a contract number and the authentication server B authenticates with a user ID.

また、認証サーバAは、認証情報キャッシュサーバAと認証情報データベースサーバAとを有している。認証情報データベースサーバAは、大容量の記憶部を有し、当該記憶部に「認証識別子、属性情報」と対応付けた認証情報を保持する。また、認証情報キャッシュサーバAは、高速なアクセスが実施可能であり、認証装置のデータベースサーバAに保持される認証情報のうち、過去に使用した認証情報を保持する。   Further, the authentication server A has an authentication information cache server A and an authentication information database server A. The authentication information database server A has a large-capacity storage unit and holds authentication information associated with “authentication identifier, attribute information” in the storage unit. The authentication information cache server A can perform high-speed access, and holds authentication information used in the past among the authentication information held in the database server A of the authentication apparatus.

このような状態で、ユーザ端末から認証要求を受け付けたユーザ認証終端装置は、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する。続いて、ユーザ認証終端装置は、決定された順番で認証装置に認証依頼を送信する場合に、送信対象である認証サーバが、自装置内の情報を用いて認証処理を実施できる基本認証装置であるか、または、他装置の情報を用いて認証処理を実施する連想認証装置であるかを判定する。   In this state, the user authentication termination device that has received the authentication request from the user terminal determines the order in which the user terminal authentication request is transmitted according to a predetermined condition. Subsequently, the user authentication termination device is a basic authentication device that allows the authentication server to be transmitted to perform authentication processing using information in the own device when transmitting authentication requests to the authentication device in the determined order. It is determined whether it is an associative authentication device that performs authentication processing using information of another device.

例えば、ユーザ認証終端装置は、認証サーバA、認証サーバBの順に認証依頼を送信すると決定する。そして、ユーザ認証終端装置は、認証サーバAは基本認証装置、認証サーバBは連想認証装置と判定する(図1の(1)参照)。   For example, the user authentication termination device determines to transmit authentication requests in the order of authentication server A and authentication server B. The user authentication termination device determines that the authentication server A is a basic authentication device and the authentication server B is an associative authentication device (see (1) in FIG. 1).

その後、ユーザ認証終端装置は、基本認証装置である認証サーバAが認証に用いる認証情報を特定する「認証識別子A」と「属性情報A」を含む認証依頼を認証サーバAの認証情報キャッシュサーバAに送信する(図1の(2)参照)。この認証依頼を受信した認証情報キャッシュサーバAは、受信した「認証識別子Aと属性情報A」に基づいて、認証した結果を応答する(図1の(3)参照)。   Thereafter, the user authentication terminal device sends an authentication request including “authentication identifier A” and “attribute information A” for specifying authentication information used by the authentication server A, which is the basic authentication device, to the authentication information cache server A of the authentication server A. (See (2) in FIG. 1). Upon receiving this authentication request, the authentication information cache server A responds with an authentication result based on the received “authentication identifier A and attribute information A” (see (3) in FIG. 1).

例えば、認証情報キャッシュサーバAは、受信した「認証識別子Aと属性情報A」を自装置内に記憶している場合には、認証許可を応答する。また、認証情報キャッシュサーバAは、自装置内には記憶していないが、認証情報データベースサーバAに記憶されている場合には、「認証識別子Aと属性情報A」を認証情報データベースサーバAから取得して自装置内に格納し、認証許可を応答する。また、認証情報キャッシュサーバAは、自装置内にも記憶しておらず、認証情報データベースサーバAにも記憶されていない場合には、認証拒否を応答する。   For example, when the received “authentication identifier A and attribute information A” is stored in the own apparatus, the authentication information cache server A responds with an authentication permission. Further, the authentication information cache server A is not stored in its own device, but when stored in the authentication information database server A, the “authentication identifier A and attribute information A” is obtained from the authentication information database server A. Acquire it and store it in its own device, and return authentication permission. Further, when the authentication information cache server A is not stored in its own device and is not stored in the authentication information database server A, the authentication information cache server A responds with an authentication rejection.

続いて、認証情報キャッシュサーバAから認証応答を受信したユーザ認証終端装置は、次の認証先である認証サーバB(連想認証装置)に対して、認証サーバBが認証に用いる認証識別子「認証識別子G」の一部を示す第一の識別子「認証識別子B」と、認証識別子「認証識別子G」の一部を示す第二の識別子「認証識別子グループ」を特定する特定情報「認証識別子A」とを含む認証依頼を送信する(図1の(4)参照)。このとき、ユーザ認証終端装置は、認証サーバBが認証に用いる認証識別子「認証識別子G」の「属性情報G」もあわせて送信する。   Subsequently, the user authentication termination device that has received the authentication response from the authentication information cache server A sends an authentication identifier “authentication identifier” used by the authentication server B for authentication to the authentication server B (associative authentication device) that is the next authentication destination. A first identifier “authentication identifier B” indicating a part of “G”; and specific information “authentication identifier A” for specifying a second identifier “authentication identifier group” indicating a part of the authentication identifier “authentication identifier G”; (See (4) of FIG. 1). At this time, the user authentication termination device also transmits “attribute information G” of the authentication identifier “authentication identifier G” used by the authentication server B for authentication.

このようにして、第一の識別子「認証識別子B」、第二の識別子「認証識別子グループ」を特定するための特定情報「認証識別子A」を含む認証依頼を受信した認証情報キャッシュサーバBは、連想先である認証サーバAに対して、特定情報「認証識別子A」によって特定される第二の識別子「認証識別子グループ」の取得要求を送信する(図1の(5)参照)。   In this way, the authentication information cache server B that has received the authentication request including the specific identifier “authentication identifier A” for specifying the first identifier “authentication identifier B” and the second identifier “authentication identifier group” An acquisition request for the second identifier “authentication identifier group” specified by the specific information “authentication identifier A” is transmitted to the authentication server A that is the association destination (see (5) in FIG. 1).

そして、第二の識別子「認証識別子グループ」の取得要求を受信した認証情報キャッシュサーバAは、受信した特定情報「認証識別子A」に対応する第二の識別子「認証識別子グループ=G001」を、自装置内または認証情報データベースサーバAから取得し、認証情報キャッシュサーバBに応答する(図1の(6)参照)。   Then, the authentication information cache server A that has received the acquisition request for the second identifier “authentication identifier group” uses the second identifier “authentication identifier group = G001” corresponding to the received specific information “authentication identifier A”. Acquired from the apparatus or the authentication information database server A and responds to the authentication information cache server B (see (6) in FIG. 1).

その後、第二の識別子「認証識別子グループ=G001」を受信した認証情報キャッシュサーバBは、受信した第二の識別子「認証識別子グループ=G001」と先に受信してあった第一の識別子「認証識別子B」とを結合して、認証サーバBが認証に用いる認証識別子「認証識別子G」を生成する(図1の(7)参照)。   Thereafter, the authentication information cache server B that has received the second identifier “authentication identifier group = G001” receives the received second identifier “authentication identifier group = G001” and the first identifier “authentication” previously received. The authentication server B generates an authentication identifier “authentication identifier G” used for authentication by combining the identifier B ”(see (7) in FIG. 1).

そして、認証情報キャッシュサーバBは、生成した「認証識別子G」と受信した「属性情報G」に基づいて、認証した結果を応答する(図1の(8)参照)。   Then, the authentication information cache server B responds with an authentication result based on the generated “authentication identifier G” and the received “attribute information G” (see (8) in FIG. 1).

例えば、認証情報キャッシュサーバBは、受信した「属性情報G」を自装置内に記憶している場合には、認証許可を応答する。また、認証情報キャッシュサーバBは、自装置内には記憶していないが、認証情報データベースサーバBに記憶されている場合には、「認証識別子Gと属性情報G」を認証情報データベースサーバBから取得して自装置内に格納し、認証許可を応答する。また、認証情報キャッシュサーバBは、自装置内にも記憶しておらず、認証情報データベースサーバBにも記憶されていない場合には、認証拒否を応答する。   For example, if the received “attribute information G” is stored in the own device, the authentication information cache server B responds with an authentication permission. In addition, the authentication information cache server B is not stored in its own device, but when stored in the authentication information database server B, the “authentication identifier G and attribute information G” is obtained from the authentication information database server B. Acquire it and store it in its own device, and return authentication permission. Further, when the authentication information cache server B is not stored in its own apparatus and is not stored in the authentication information database server B, the authentication information cache server B responds with an authentication rejection.

そして、ユーザ認証終端装置は、認証依頼が送信された認証サーバAまたは認証サーバBから受信した認証結果が全て認証許可である場合に、ユーザ端末の認証を許可する(図1の(9)参照)。   Then, the user authentication termination device permits the authentication of the user terminal when all the authentication results received from the authentication server A or the authentication server B to which the authentication request is transmitted are the authentication permission (see (9) in FIG. 1). ).

[認証システムの構成]
次に、図1に示した認証システムにおける各装置の構成について説明する。なお、ここでは、ユーザ認証終端装置10、認証情報キャッシュサーバA20、認証情報データベースサーバA30、認証情報キャッシュサーバB40、認証情報データベースサーバB50のそれぞれについて説明し、パーソナルコンピュータや移動体端末など一般的な装置構成を用いることのできるユーザ端末については省略する。 [Configuration of authentication system]
Next, the configuration of each device in the authentication system shown in FIG. 1 will be described. Here, each of the user authentication termination device 10, the authentication information cache server A20, the authentication information database server A30, the authentication information cache server B40, and the authentication information database server B50 will be described. The user terminals that can use the device configuration are omitted.

(ユーザ認証終端装置の構成)
まず、図2を用いて、ユーザ認証終端装置の構成について説明する。図2は、ユーザ認証終端装置10の構成を示すブロック図である。図2に示すように、ユーザ認証終端装置10は、通信制御I/F部11と、記憶部12と、制御部13とを有する。 (Configuration of user authentication termination device)
First, the configuration of the user authentication termination device will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the user authentication termination device 10. As illustrated in FIG. 2, the user authentication termination device 10 includes a communication control I / F unit 11, a storage unit 12, and a control unit 13.

通信制御I/F部11は、認証サーバA、認証サーバB、ユーザ端末との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F部11は、ユーザ端末から認証要求を受信し、ユーザ端末に対して認証結果を応答する。また、通信制御I/F部11は、認証サーバAや認証サーバBに認証依頼を送信し、認証サーバAや認証サーバBから認証応答を受信する。   The communication control I / F unit 11 controls communication related to various information exchanged between the authentication server A, the authentication server B, and the user terminal. Specifically, the communication control I / F unit 11 receives an authentication request from the user terminal and returns an authentication result to the user terminal. The communication control I / F unit 11 transmits an authentication request to the authentication server A or the authentication server B, and receives an authentication response from the authentication server A or the authentication server B.

記憶部12は、制御部13による各種処理に必要なデータおよびプログラムを格納するとともに、特に、ユーザ情報DB12aと、認証順番DB12bと、認証装置型情報DB12cとを有する。なお、各種のデータやパラメータについては、任意に変更することができる。   The storage unit 12 stores data and programs necessary for various processes performed by the control unit 13, and particularly includes a user information DB 12a, an authentication order DB 12b, and an authentication device type information DB 12c. Various data and parameters can be arbitrarily changed.

ユーザ情報DB12aは、ユーザ認証終端装置10が管理するユーザに関連した情報を記憶する。ユーザ情報DB12aで管理される情報は、ひとつまたは複数の認証識別子種別の認証識別子と、それに割り当てられた情報である。例えば、ユーザ情報DB12aは、図3−1に示すように、「ポート番号、回線番号、回線番号用パスワード」として「001、CHANNEL−0021、P001」などを記憶する。また、図3−2に示すように、「ポート番号、収容地域番号、収容地域情報用パスワード」として「002、AREA−020、P003」などを記憶する。なお、ここでは、ユーザ情報DB12aは、図3−1と図3−2のように、複数のテーブルで情報を保持する場合について例示したが、これに限定されるものではなく、一つのテーブルで複数の情報を保持してもよい。図3−1および図3−2は、ユーザ情報DB12aに記憶される情報の例を示す図である。   The user information DB 12a stores information related to users managed by the user authentication termination device 10. The information managed by the user information DB 12a is an authentication identifier of one or a plurality of authentication identifier types and information assigned thereto. For example, as shown in FIG. 3A, the user information DB 12a stores “001, CHANNEL-0021, P001” and the like as “port number, line number, line number password”. Also, as shown in FIG. 3B, “002, AREA-020, P003” and the like are stored as “port number, accommodation area number, accommodation area information password”. In this example, the user information DB 12a is illustrated as a case where information is held in a plurality of tables as shown in FIGS. 3A and 3B. However, the user information DB 12a is not limited to this. A plurality of information may be held. 3A and 3B are diagrams illustrating examples of information stored in the user information DB 12a.

ここで例示した「ポート番号」は、ユーザ端末が接続されるポートを一意に識別する識別子であり、ユーザ端末から各種情報を受信した場合に特定することができる。「回線番号」は、ユーザ認証終端装置10とユーザ端末を接続する回線を一意に特定する情報であり、「回線番号用パスワード」は、「回線番号」が正しいことを認証するために「回線番号」に割り当てられた情報である。「収容地域番号」は、ユーザ端末を接続する回線の、ユーザ認証終端装置と反対側の端点の物理的な位置の区分けを一意に特定する情報であり、例えば、市町村や県を表す番号である。また、「収容地域番号用パスワードは、「収容地域番号」が正しいことを認証するために「収容地域番号」に割り当てられた情報である。   The “port number” exemplified here is an identifier for uniquely identifying the port to which the user terminal is connected, and can be specified when various types of information are received from the user terminal. The “line number” is information for uniquely identifying the line connecting the user authentication termination device 10 and the user terminal, and the “line number password” is “line number” for authenticating that the “line number” is correct. Is the information assigned to "." The “accommodation area number” is information that uniquely identifies the physical location classification of the end point on the side opposite to the user authentication termination device of the line connecting the user terminal, for example, a number representing a municipality or a prefecture . The “accommodation area number password” is information assigned to the “accommodation area number” in order to authenticate that the “accommodation area number” is correct.

認証順番DB12bは、認証依頼を送信する順番を記憶する。例えば、認証順番DB12bは、図4に示すように、「順番、サーバ名、IPアドレス」として「1、認証サーバA、10.1.1.1」や「2、認証サーバB、192.168.1.1」などを記憶する。なお、図4は、認証順番DB12bに記憶される情報の例を示す図である。   The authentication order DB 12b stores the order in which authentication requests are transmitted. For example, as shown in FIG. 4, the authentication order DB 12b has “1, authentication server A, 10.1.1.1” or “2, authentication server B, 192.168.” As “order, server name, IP address”. .. 1.1 "or the like is stored. FIG. 4 is a diagram illustrating an example of information stored in the authentication order DB 12b.

ここで例示した「順番」は、認証依頼の送信順番を示す情報であり、例えば、連想型認証装置よりも基本認証型装置に対して先に認証依頼を送信するなど、所定の条件に従って決定される。「サーバ名」は、認証依頼の送信先となる認証サーバの名称(ホスト名など)を示す情報であり、「IPアドレス」は、認証依頼の送信先となる認証情報キャッシュサーバのIPアドレスを示す情報である。   The “order” exemplified here is information indicating the transmission order of authentication requests, and is determined according to a predetermined condition, for example, transmitting an authentication request to the basic authentication type device earlier than the associative type authentication device. The “Server name” is information indicating the name (host name or the like) of the authentication server that is the destination of the authentication request, and “IP address” is the IP address of the authentication information cache server that is the destination of the authentication request. Information.

認証装置型情報DB12cは、認証依頼の送信先となる各認証サーバが、自装置内の情報を用いて認証処理を実施できる基本認証装置であるか、または、他装置の情報を用いて認証処理を実施する連想認証装置であるかを示す情報を記憶する。例えば、認証装置型情報DB12cは、図5に示すように、「サーバ名、認証型、認証情報管理元、認証識別子、属性情報、特定情報管理元、特定情報」として「認証サーバA、基本型、ユーザ端末、ユーザID、パスワード、−、−」を記憶する。この場合、認証サーバAは基本認証装置であり、ユーザ端末から送られてくるユーザIDとパスワードをユーザ認証終端装置10から認証サーバAに送信することを表している。また、「サーバ名、認証型、認証情報管理元、認証識別子、属性情報、特定情報管理元、特定情報」として「認証サーバB、連想型、ユーザ認証終端装置、回線番号+グループID、回線番号用パスワード、ユーザ端末、ユーザID」などと記憶する。この場合、認証サーバBは連想認証装置であり、ユーザ認証終端装置10で管理する回線番号、回線番号用パスワード、ユーザ端末から送られてきたユーザIDをユーザ認証終端装置10から認証サーバBに送信することを表している。更に、認証装置型情報DB12cは、図5に示すように、「サーバ名、認証型、認証情報管理元、認証識別子、属性情報、特定情報管理元、特定情報」として「認証サーバC、基本型、ユーザ認証終端装置、収容地域番号、収容地域番号用パスワード、−、−」を記憶する。この場合、認証サーバCは基本認証装置であり、ユーザ認証終端装置10で管理している収容地域番号と収容地域番号用パスワードをユーザ認証終端装置10から認証サーバCに送信することを表している。なお、図5は、認証装置型情報DB12cに記憶される情報の例を示す図である。   The authentication device type information DB 12c is a basic authentication device in which each authentication server that is a transmission destination of an authentication request can perform an authentication process using information in the own device, or an authentication process using information of another device The information which shows whether it is an associative authentication apparatus which implements is stored. For example, as shown in FIG. 5, the authentication device type information DB 12c includes “authentication server A, basic type” as “server name, authentication type, authentication information management source, authentication identifier, attribute information, specific information management source, specific information”. , User terminal, user ID, password,-,-". In this case, the authentication server A is a basic authentication device, indicating that the user ID and password transmitted from the user terminal are transmitted from the user authentication termination device 10 to the authentication server A. Also, “server name, authentication type, authentication information management source, authentication identifier, attribute information, specific information management source, specific information” as “authentication server B, associative type, user authentication terminator, line number + group ID, line number” Password, user terminal, user ID "and the like. In this case, the authentication server B is an associative authentication device, and the line number managed by the user authentication termination device 10, the password for the line number, and the user ID transmitted from the user terminal are transmitted from the user authentication termination device 10 to the authentication server B. Represents what to do. Further, as shown in FIG. 5, the authentication device type information DB 12c includes “authentication server C, basic type” as “server name, authentication type, authentication information management source, authentication identifier, attribute information, specific information management source, specific information”. , User authentication termination device, accommodation area number, accommodation area number password,-,-". In this case, the authentication server C is a basic authentication device, and represents that the accommodation area number and the accommodation area number password managed by the user authentication termination apparatus 10 are transmitted from the user authentication termination apparatus 10 to the authentication server C. . FIG. 5 is a diagram illustrating an example of information stored in the authentication device type information DB 12c.

ここで例示した「サーバ名」は、認証依頼の送信先となる認証サーバの名称(ホスト名など)を示す情報である。「認証型」は、認証サーバが基本認証装置なのか連想認証装置なのかを示す情報であり、基本認証装置の場合には「基本型」、連想認証装置の場合には「連想型」が記憶される。「認証情報管理元」は、「認証識別子」および「属性情報」を管理しているのが、「ユーザ端末」か「ユーザ認証終端装置」であるかを示す。「認証識別子」は、認証サーバが認証処理を実施する際に、認証情報を検索する検索キーを示す情報であり、「属性情報」は、認証サーバが認証処理に用いる認証情報である。「特定情報管理元」は、「特定情報」を管理しているのが「ユーザ端末」か「ユーザ認証終端装置」であるかを示す。「特定情報」は、連想認証装置である認証サーバが認証に用いる認証識別子の一部を、連想先の認証サーバから特定するための情報である。   The “server name” exemplified here is information indicating the name (host name or the like) of the authentication server that is the transmission destination of the authentication request. “Authentication type” is information indicating whether the authentication server is a basic authentication device or an associative authentication device. In the case of a basic authentication device, “basic type” is stored. In the case of an associative authentication device, “associative type” is stored. Is done. “Authentication information management source” indicates whether “authentication identifier” and “attribute information” are managed by “user terminal” or “user authentication termination device”. “Authentication identifier” is information indicating a search key for searching for authentication information when the authentication server performs authentication processing, and “attribute information” is authentication information used by the authentication server for authentication processing. “Specific information management source” indicates whether “user terminal” or “user authentication termination device” manages “specific information”. The “specific information” is information for specifying a part of an authentication identifier used for authentication by the authentication server, which is an associative authentication device, from the authentication server at the association destination.

制御部13は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有する。また、制御部13は、順番決定部13aと、装置種別判定部13bと、基本認証依頼部13cと、連想認証依頼部13dと、認証結果送信部13eとを有し、これらによって種々の処理を実行する。   The control unit 13 includes an internal memory for storing a control program such as an OS (Operating System), a program defining various processing procedures, and necessary data. The control unit 13 includes an order determination unit 13a, a device type determination unit 13b, a basic authentication request unit 13c, an associative authentication request unit 13d, and an authentication result transmission unit 13e. Execute.

順番決定部13aは、ユーザ端末から認証要求を受信した場合に、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する。上記した例で具体的に説明すると、順番決定部13aは、ユーザ端末から認証要求を受信した場合に、認証順番DB12bを参照する。そして、順番決定部13aは、認証サーバAを順番1、認証サーバBを順番2と決定し、決定した情報を装置種別判定部13bに出力する。   When receiving the authentication request from the user terminal, the order determining unit 13a determines the order of transmitting the user terminal authentication request according to a predetermined condition. Specifically, the order determination unit 13a refers to the authentication order DB 12b when receiving an authentication request from the user terminal. Then, the order determination unit 13a determines the authentication server A as the order 1, the authentication server B as the order 2, and outputs the determined information to the device type determination unit 13b.

また、順番決定部13aは、ユーザ端末から認証要求を受信した場合に、認証要求を受信したポート番号を特定し、特定したポートから、認証要求を送信したユーザ端末を特定することができる。   Further, when receiving the authentication request from the user terminal, the order determining unit 13a can identify the port number that has received the authentication request, and can identify the user terminal that has transmitted the authentication request from the identified port.

装置種別判定部13bは、順番決定部13aによって決定された順番で認証装置に認証依頼を送信する場合に、送信対象である認証装置が、自装置内の情報を用いて認証処理を実施できる基本認証装置であるか、または、他装置の情報を用いて認証処理を実施する連想認証装置であるかを判定する。なお、ここでは、認証装置に認証依頼を送信する場合に、送信対象の認証サーバが基本認証装置か連想認証装置であるかを判定する例を説明したが、これに限定されるものではなく、判定するタイミングは、任意に設定することができる。   When the device type determination unit 13b transmits authentication requests to the authentication device in the order determined by the order determination unit 13a, the authentication device that is the transmission target can perform authentication processing using information in the device itself. It is determined whether the device is an authentication device or an associative authentication device that performs authentication processing using information of another device. Here, an example of determining whether the authentication server to be transmitted is a basic authentication device or an associative authentication device when transmitting an authentication request to the authentication device has been described, but is not limited thereto. The determination timing can be arbitrarily set.

上記した例で具体的に説明すると、装置種別判定部13bは、順番1と決定された「認証サーバA」について、認証装置型情報DB12cを参照して、認証サーバAが基本認証装置か連想認証装置かを判定する。この例では、装置種別判定部13bは、「認証サーバA」について、基本認証装置と判定し、判定結果を基本認証依頼部13cに出力する。   More specifically, in the above example, the device type determination unit 13b refers to the authentication device type information DB 12c for “authentication server A” determined to be in order 1, and determines whether the authentication server A is a basic authentication device or associative authentication. Determine whether the device. In this example, the device type determination unit 13b determines that “authentication server A” is a basic authentication device, and outputs the determination result to the basic authentication request unit 13c.

そして、装置種別判定部13bは、順番1と決定された「認証サーバA」から認証応答を受信すると、順番2と決定された「認証サーバB」について、認証装置型情報DB12cを参照して、認証サーバBが基本認証装置か連想認証装置かを判定する。この例では、装置種別判定部13bは、「認証サーバB」について、連想認証装置と判定し、判定結果を連想認証依頼部13dに出力する。   Then, upon receiving an authentication response from “authentication server A” determined to be in order 1, device type determination unit 13b refers to authentication device type information DB 12c for “authentication server B” determined to be in order 2, and It is determined whether the authentication server B is a basic authentication device or an associative authentication device. In this example, the device type determination unit 13b determines that “authentication server B” is an associative authentication device, and outputs the determination result to the associative authentication request unit 13d.

基本認証依頼部13cは、装置種別判定部13bにより基本認証装置であると判定された認証サーバに対して、当該認証サーバが認証に用いる認証情報を特定する認証識別子を含む認証依頼を送信する。上記した例で具体的に説明すると、基本認証依頼部13cは、装置種別判定部13bにより基本認証装置であると判定された認証サーバAの「認証識別子=ユーザID」と「属性情報=パスワード」と「認証情報管理元=ユーザ端末」を認証装置型情報DB12cから特定する。続いて、基本認証依頼部13cは、ユーザ端末から受信した情報からユーザ固有の情報「認証識別子=ユーザID=U001」と「属性情報=パスワード=P001」を取得する。その後、基本認証依頼部13cは、順番1と決定された認証サーバAのIPアドレスを認証順番DB12bから特定し、特定したIPアドレスを用いて、「認証識別子=U001」と「属性情報=P001」を含む認証依頼を認証サーバAに送信する。   The basic authentication request unit 13c transmits an authentication request including an authentication identifier for specifying authentication information used for authentication by the authentication server to the authentication server determined to be a basic authentication device by the device type determination unit 13b. Specifically, in the above example, the basic authentication requesting unit 13c has “authentication identifier = user ID” and “attribute information = password” of the authentication server A determined by the device type determination unit 13b as a basic authentication device. And “authentication information management source = user terminal” are identified from the authentication device type information DB 12c. Subsequently, the basic authentication request unit 13 c acquires user-specific information “authentication identifier = user ID = U001” and “attribute information = password = P001” from the information received from the user terminal. Thereafter, the basic authentication request unit 13c identifies the IP address of the authentication server A determined to be in order 1 from the authentication order DB 12b, and uses the identified IP address, “authentication identifier = U001” and “attribute information = P001”. Is sent to the authentication server A.

連想認証依頼部13dは、装置種別判定部13bにより連想認証装置であると判定された認証サーバに対して、当該認証サーバが認証に用いる認証識別子の一部を示す第一の識別子と、認証識別子の一部を示す第二の識別子を特定する特定情報とを含む認証依頼を送信する。上記した例で具体的に説明すると、連想認証依頼部13dは、認証装置型情報DB12cを参照し、装置種別判定部13bにより連想認証装置であると判定された認証サーバBの「認証情報管理元」が「ユーザ認証終端装置」であると特定する。そのため、連想認証依頼部13dは、認証サーバBが認証に用いる認証識別子「回線番号+グループID」と属性情報「回線番号用パスワード」を、自装置内の認証装置型情報DB12cから特定する。この場合、連想認証依頼部13dは、特定された認証識別子「回線番号+グループID」のうち回線番号については、ユーザ情報DB12aに記憶されていることから、第一の識別子を「回線番号」、第二の識別子を「グループID」とする。また、連想認証依頼部13dは、認証装置型情報DB12cを参照し、認証サーバBの「特定情報管理元」が「ユーザ端末」であるため、第二の識別子「グループID」と特定する特定情報「ユーザID」を、ユーザ端末から受信した情報から特定する。   The associative authentication requesting unit 13d, with respect to the authentication server determined to be an associative authentication device by the device type determining unit 13b, a first identifier indicating a part of the authentication identifier used for authentication by the authentication server, An authentication request including specific information for specifying a second identifier indicating a part of the ID is transmitted. Specifically, in the above example, the associative authentication requesting unit 13d refers to the authentication device type information DB 12c, and the “authentication information management source” of the authentication server B determined as the associative authentication device by the device type determining unit 13b. "Is a" user authentication termination device ". Therefore, the associative authentication request unit 13d specifies the authentication identifier “line number + group ID” and attribute information “line number password” used by the authentication server B for authentication from the authentication apparatus type information DB 12c in its own apparatus. In this case, the associative authentication request unit 13d stores the line number of the identified authentication identifier “line number + group ID” in the user information DB 12a, so that the first identifier is “line number”, Let the second identifier be a “group ID”. Further, the associative authentication request unit 13d refers to the authentication device type information DB 12c, and since the “specific information management source” of the authentication server B is “user terminal”, the specific information specified as the second identifier “group ID” The “user ID” is specified from the information received from the user terminal.

そして、連想認証依頼部13dは、順番決定部13aにより特定されたポート番号をキーにして、第一の識別子「回線番号」と属性情報「回線番号用パスワード」をユーザ情報DB12aから取得する。また、連想認証依頼部13dは、特定情報「認証サーバAのユーザID」をユーザ端末から受信した情報から取得する。この例では、連想認証依頼部13dは、第一の識別子「回線番号=CHANNEL−0021」、属性情報「回線番号用パスワード=P001」、特定情報「ユーザID=U001」を取得する。そして、連想認証依頼部13dは、取得したこれらの情報を含む認証依頼を認証サーバBに送信する。   Then, the associative authentication requesting unit 13d acquires the first identifier “line number” and attribute information “line number password” from the user information DB 12a by using the port number specified by the order determining unit 13a as a key. Further, the associative authentication request unit 13d acquires the specific information “user ID of the authentication server A” from the information received from the user terminal. In this example, the associative authentication request unit 13d acquires the first identifier “line number = CHANNEL-0021”, attribute information “line number password = P001”, and specific information “user ID = U001”. Then, the associative authentication request unit 13d transmits an authentication request including the acquired information to the authentication server B.

認証結果送信部13eは、基本認証依頼部13cまたは連想認証依頼部13dによって認証依頼が送信された認証サーバから受信した認証結果が全て認証許可である場合に、ユーザ端末の認証を許可する。具体的には、認証結果送信部13eは、認証依頼が送信された認証サーバAと認証サーバBとから受信した認証結果が全て認証許可である場合に、ユーザ端末の認証を許可する。一方、認証結果送信部13eは、認証サーバAと認証サーバBとから受信した認証結果のいずれかが認証拒否である場合には、ユーザ端末の認証を拒否する。   The authentication result transmission unit 13e permits the authentication of the user terminal when all the authentication results received from the authentication server to which the authentication request is transmitted by the basic authentication request unit 13c or the associative authentication request unit 13d are authentication permitted. Specifically, the authentication result transmission unit 13e permits authentication of the user terminal when all authentication results received from the authentication server A and the authentication server B to which the authentication request is transmitted are authentication permission. On the other hand, if any of the authentication results received from the authentication server A and the authentication server B is an authentication rejection, the authentication result transmission unit 13e rejects the authentication of the user terminal.

(認証情報キャッシュサーバAの構成)
次に、図6を用いて、認証サーバAの認証情報キャッシュサーバAの構成について説明する。つまり、ここでは、基本認証装置となる認証情報キャッシュサーバの構成について説明する。図6は、認証サーバAの認証情報キャッシュサーバA20の構成を示すブロック図である。図6に示すように、認証情報キャッシュサーバA20は、通信制御I/F部21と、記憶部22と、制御部23とを有する。 (Configuration of authentication information cache server A)
Next, the configuration of the authentication information cache server A of the authentication server A will be described with reference to FIG. That is, here, the configuration of an authentication information cache server that is a basic authentication device will be described. FIG. 6 is a block diagram showing the configuration of the authentication information cache server A20 of the authentication server A. As illustrated in FIG. 6, the authentication information cache server A20 includes a communication control I / F unit 21, a storage unit 22, and a control unit 23.

通信制御I/F部21は、認証情報データベースサーバA30、認証情報キャッシュサーバB40、ユーザ認証終端装置10との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F部21は、ユーザ認証終端装置10から認証依頼を受信し、ユーザ認証終端装置10に対して認証結果を応答する。また、通信制御I/F部21は、認証情報データベースサーバA30から認証情報を受信し、認証情報キャッシュサーバB40から認証識別子を受信し、受信した認証識別子の属するグループIDを送信する。   The communication control I / F unit 21 controls communication related to various information exchanged with the authentication information database server A30, the authentication information cache server B40, and the user authentication termination device 10. Specifically, the communication control I / F unit 21 receives an authentication request from the user authentication termination device 10 and returns an authentication result to the user authentication termination device 10. Further, the communication control I / F unit 21 receives authentication information from the authentication information database server A30, receives an authentication identifier from the authentication information cache server B40, and transmits a group ID to which the received authentication identifier belongs.

記憶部22は、制御部23による各種処理に必要なデータおよびプログラムを格納するとともに、特に、キャッシュ22aと、認証装置型情報DB22bとを有する。なお、各種のデータやパラメータについては、任意に変更することができる。   The storage unit 22 stores data and programs necessary for various processes by the control unit 23, and particularly includes a cache 22a and an authentication device type information DB 22b. Various data and parameters can be arbitrarily changed.

キャッシュ22aは、認証情報データベースサーバA30に保持される認証情報のうち、過去に使用した認証情報を保持する高速にアクセス可能なメモリである。例えば、キャッシュ22aは、図7に示すように、「認証識別子(ユーザID)、属性情報(パスワード)、認証識別子グループ(グループID)」として「U001、P001、G001」などを記憶する。なお、ここでは、属性情報と認証識別子グループとを同じテーブルで記憶させた例を図示したが、これに限定されるものではなく、別々のテーブルで管理してもよい。また、ここでは、特定情報と認証識別子とが同じである場合を図示しているが、これに限定されるものではなく、別の情報を特定情報として用いてもよい。   The cache 22a is a high-speed accessible memory that holds authentication information used in the past among the authentication information held in the authentication information database server A30. For example, as shown in FIG. 7, the cache 22a stores “U001, P001, G001” and the like as “authentication identifier (user ID), attribute information (password), authentication identifier group (group ID)”. Although an example in which the attribute information and the authentication identifier group are stored in the same table is shown here, the present invention is not limited to this and may be managed in separate tables. Although the case where the specific information and the authentication identifier are the same is illustrated here, the present invention is not limited to this, and other information may be used as the specific information.

ここで例示した「認証識別子(ユーザID)」は、属性情報を検索する検索キーを示す情報であり、「属性情報(パスワード)」は、認証に用いる情報であり、「認証識別子グループ(グループID)」は、例えば、認証サーバBのように、認証サーバAを連想先とする連想認証装置が認証に用いる情報である。なお、図7は、キャッシュ22aに記憶される情報の例を示す図である。   The “authentication identifier (user ID)” exemplified here is information indicating a search key for searching attribute information, and the “attribute information (password)” is information used for authentication, and the “authentication identifier group (group ID)”. ")" Is information used for authentication by an associative authentication device having the authentication server A as an association destination, such as the authentication server B, for example. FIG. 7 is a diagram illustrating an example of information stored in the cache 22a.

認証装置型情報DB22bは、自装置が基本認証装置であるのか、または、連想認証装置であるのかを示す情報を記憶し、例えば、図8に示すように、「認証型」として「基本型」を記憶する。なお、図8は、認証装置型情報DB22bに記憶される情報の例を示す図である。   The authentication device type information DB 22b stores information indicating whether the own device is a basic authentication device or an associative authentication device. For example, as shown in FIG. 8, “authentication type” is “basic type”. Remember. FIG. 8 is a diagram illustrating an example of information stored in the authentication device type information DB 22b.

制御部23は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有する。また、制御部23は、キャッシュ判定部23aと、識別子送信部23bと、認証処理部23cとを有し、これらによって種々の処理を実行する。   The control unit 23 has an internal memory for storing a control program such as an OS (Operating System), a program defining various processing procedures, and required data. In addition, the control unit 23 includes a cache determination unit 23a, an identifier transmission unit 23b, and an authentication processing unit 23c, and executes various processes.

キャッシュ判定部23aは、ユーザ認証終端装置10から受信した認証依頼から認証識別子を取得し、取得した認証識別子に対応付けてキャッシュ22aに記憶される属性情報を検索する。上記した例で具体的に説明すると、キャッシュ判定部23aは、ユーザ認証終端装置10から認証依頼として「認証識別子」と「属性情報」とを受信した場合に、認証装置型情報DB22bを参照して、自装置が基本認証装置であると識別する。そして、キャッシュ判定部23aは、ユーザ認証終端装置10から受信した認証依頼から認証識別子「U001」と属性情報「P001」とを取得する。そして、キャッシュ判定部23aは、認証依頼から取得した認証識別子「U001」に対応する「属性情報」がキャッシュ22aに記憶されているか否かを判定する。そして、キャッシュ判定部23aは、キャッシュ22aに記憶されている場合、認証識別子「U001」に対応する「属性情報」を取得し、キャッシュ22aから取得した「属性情報」と認証依頼から取得した「属性情報」とを認証処理部23cに出力する。   The cache determination unit 23a acquires an authentication identifier from the authentication request received from the user authentication termination device 10, and searches for attribute information stored in the cache 22a in association with the acquired authentication identifier. Specifically, in the above example, when the cache determination unit 23a receives “authentication identifier” and “attribute information” as an authentication request from the user authentication termination device 10, the cache determination unit 23a refers to the authentication device type information DB 22b. , It identifies that its own device is a basic authentication device. Then, the cache determination unit 23 a acquires the authentication identifier “U001” and the attribute information “P001” from the authentication request received from the user authentication termination device 10. Then, the cache determination unit 23a determines whether or not “attribute information” corresponding to the authentication identifier “U001” acquired from the authentication request is stored in the cache 22a. Then, when stored in the cache 22a, the cache determination unit 23a acquires “attribute information” corresponding to the authentication identifier “U001”, and acquires the “attribute information” acquired from the cache 22a and the “attribute” acquired from the authentication request. "Information" is output to the authentication processing unit 23c.

また、キャッシュ判定部23aは、キャッシュ22aに記憶されていない場合、認証依頼から取得した認証識別子「U001」に対応する「認証情報(属性情報)」の取得要求を認証情報データベースサーバA30に送信する。その後、キャッシュ判定部23aは、認証情報データベースサーバA30から認証識別子「U001」に対応する「属性情報」を受信した場合には、これらを対応付けてキャッシュ22aに格納するとともに、認証処理部23cに出力する。一方、キャッシュ判定部23aは、認証情報データベースサーバA30から認証識別子「U001」に対応する「属性情報」を受信できなかった場合には、「認証情報なし」を認証処理部23cに出力する。   If not stored in the cache 22a, the cache determination unit 23a transmits an acquisition request for “authentication information (attribute information)” corresponding to the authentication identifier “U001” acquired from the authentication request to the authentication information database server A30. . After that, when receiving the “attribute information” corresponding to the authentication identifier “U001” from the authentication information database server A30, the cache determination unit 23a stores these in association with each other in the cache 22a and also stores them in the authentication processing unit 23c. Output. On the other hand, when the “attribute information” corresponding to the authentication identifier “U001” cannot be received from the authentication information database server A30, the cache determination unit 23a outputs “no authentication information” to the authentication processing unit 23c.

識別子送信部23bは、所定の条件に応じて特定される特定情報に対応する他の認証識別子を、キャッシュ22aから取得して他の認証装置に送信する。具体的には、識別子送信部23bは、認証サーバBの認証情報キャッシュサーバB40から第二の識別子の取得要求を受信し、当該取得要求に含まれる特定情報に対応する第二の識別子がキャッシュ22aに保持されている場合には、第二の識別子をキャッシュ22aから取得して認証情報キャッシュサーバB40に送信する。また、識別子送信部23bは、特定情報に対応する第二の識別子がキャッシュ22aに保持されていない場合には、第二の識別子を認証情報データベースサーバA30から取得して認証情報キャッシュサーバB40に送信する。   The identifier transmission unit 23b acquires another authentication identifier corresponding to the specific information specified according to a predetermined condition from the cache 22a, and transmits it to another authentication device. Specifically, the identifier transmission unit 23b receives the second identifier acquisition request from the authentication information cache server B40 of the authentication server B, and the second identifier corresponding to the specific information included in the acquisition request is stored in the cache 22a. Is stored in the cache 22a, the second identifier is acquired from the cache 22a and transmitted to the authentication information cache server B40. Further, when the second identifier corresponding to the specific information is not held in the cache 22a, the identifier transmission unit 23b acquires the second identifier from the authentication information database server A30 and transmits it to the authentication information cache server B40. To do.

上記した例で具体的に説明すると、識別子送信部23bは、認証情報キャッシュサーバB40から特定情報「ユーザID=U001」を含む取得要求を受信した場合に、当該特定情報「ユーザID=U001」に対応する「認証識別子グループ」がキャッシュ22aに記憶されているか否かを判定する。そして、識別子送信部23bは、特定情報「ユーザID=U001」に対応する「認証識別子グループ=G001」がキャッシュ22aに記憶されている場合には、「認証識別子グループ=G001」を認証情報キャッシュサーバB40に送信する。一方、識別子送信部23bは、「認証識別子グループ=G001」がキャッシュ22aに記憶されていない場合には、認証情報データベースサーバA30から「認証識別子グループ=G001」を取得して認証情報キャッシュサーバB40に送信する。   Specifically, in the above example, when the identifier transmission unit 23b receives an acquisition request including the specific information “user ID = U001” from the authentication information cache server B40, the identifier transmission unit 23b sets the specific information “user ID = U001”. It is determined whether or not the corresponding “authentication identifier group” is stored in the cache 22a. Then, when “authentication identifier group = G001” corresponding to the specific information “user ID = U001” is stored in the cache 22a, the identifier transmission unit 23b sets “authentication identifier group = G001” to the authentication information cache server. Send to B40. On the other hand, when “authentication identifier group = G001” is not stored in the cache 22a, the identifier transmission unit 23b acquires “authentication identifier group = G001” from the authentication information database server A30 and sends it to the authentication information cache server B40. Send.

認証処理部23cは、キャッシュ判定部23aにより取得された属性情報を用いてユーザ認証を行う。上記した例で具体的に説明すると、認証処理部23cは、キャッシュ判定部23aによって取得された「属性情報」と、認証依頼から取得された「属性情報」とが一致する場合に、認証許可をユーザ認証終端装置10に応答する。一方、認証処理部23cは、両情報が一致しない場合、または、キャッシュ判定部23aから「認証情報なし」が通知された場合、認証拒否をユーザ認証終端装置10に応答する。   The authentication processing unit 23c performs user authentication using the attribute information acquired by the cache determination unit 23a. Specifically, in the above example, the authentication processing unit 23c grants authentication permission when the “attribute information” acquired by the cache determination unit 23a matches the “attribute information” acquired from the authentication request. Responds to the user authentication termination device 10. On the other hand, the authentication processing unit 23c responds to the user authentication termination device 10 with a rejection of authentication when the two pieces of information do not match or when “no authentication information” is notified from the cache determination unit 23a.

(認証情報データベースサーバAの構成)
次に、図9を用いて、認証サーバAの認証情報データベースサーバAの構成について説明する。つまり、ここでは、基本認証装置となる認証情報データベースサーバの構成について説明する。図9は、認証サーバAの認証情報データベースサーバA30の構成を示すブロック図である。図9に示すように、認証情報データベースサーバA30は、通信制御I/F部31と、記憶部32と、制御部33とを有する。 (Configuration of authentication information database server A)
Next, the configuration of the authentication information database server A of the authentication server A will be described with reference to FIG. That is, here, the configuration of an authentication information database server that is a basic authentication device will be described. FIG. 9 is a block diagram showing the configuration of the authentication information database server A30 of the authentication server A. As illustrated in FIG. 9, the authentication information database server A30 includes a communication control I / F unit 31, a storage unit 32, and a control unit 33.

通信制御I/F部31は、認証情報キャッシュサーバA20との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F部31は、認証情報キャッシュサーバA20から認証情報取得要求を受信し、認証情報や認証情報なしを応答する。   The communication control I / F unit 31 controls communication related to various information exchanged with the authentication information cache server A20. Specifically, the communication control I / F unit 31 receives an authentication information acquisition request from the authentication information cache server A20, and responds with no authentication information or no authentication information.

記憶部32は、制御部33による各種処理に必要なデータおよびプログラムを格納するとともに、特に、認証情報DB32aを有する。なお、各種のデータやパラメータについては、任意に変更することができる。   The storage unit 32 stores data and programs necessary for various processes by the control unit 33, and particularly includes an authentication information DB 32a. Various data and parameters can be arbitrarily changed.

認証情報DB32aは、認証識別子と属性情報とを対応付けた認証情報を保持する大容量の記憶部であり、例えば、図10に示すように、「認証識別子(ユーザID)、属性情報(パスワード)、認証識別子グループ(グループID)」として「U001、P001、G001」や「U100、P100、G002」などを記憶する。なお、ここでは、属性情報と認証識別子グループとを同じテーブルで記憶させた例を図示したが、これに限定されるものではなく、別々のテーブルで管理してもよい。また、ここでは、特定情報と認証識別子とが同じである場合を図示しているが、これに限定されるものではなく、別の情報を特定情報として用いもよい。なお、図10は、認証情報DB32aに記憶される情報の例を示す図である。   The authentication information DB 32a is a large-capacity storage unit that holds authentication information in which authentication identifiers and attribute information are associated with each other. For example, as shown in FIG. 10, "authentication identifier (user ID), attribute information (password)" , “U001, P001, G001”, “U100, P100, G002”, etc. are stored as “Authentication identifier group (group ID)”. Although an example in which the attribute information and the authentication identifier group are stored in the same table is shown here, the present invention is not limited to this and may be managed in separate tables. Although the case where the specific information and the authentication identifier are the same is illustrated here, the present invention is not limited to this, and other information may be used as the specific information. FIG. 10 is a diagram illustrating an example of information stored in the authentication information DB 32a.

制御部33は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、キャッシュ応答部33aを有し、これらによって種々の処理を実行する。   The control unit 33 includes a control program such as an OS (Operating System), a program that defines various processing procedures, and an internal memory for storing necessary data, and a cache response unit 33a. Execute the process.

キャッシュ応答部33aは、認証情報キャッシュサーバA20から認証情報取得要求を受信した場合に、当該要求に含まれる「認証識別子」と「属性情報」とが対応付けられた認証情報が認証情報DB32aに記憶されているか否かを判定する。そして、キャッシュ応答部33aは、認証情報DB32aに記憶されている場合には、該当の認証情報を認証情報DB32aから取得し、認証情報キャッシュサーバA20に応答する。また、キャッシュ応答部33aは、認証情報DB32aに記憶されていない場合には、「認証情報なし」を認証情報キャッシュサーバA20に応答する。   When receiving an authentication information acquisition request from the authentication information cache server A20, the cache response unit 33a stores authentication information in which “authentication identifier” and “attribute information” included in the request are associated with each other in the authentication information DB 32a. It is determined whether or not it has been done. When the cache response unit 33a is stored in the authentication information DB 32a, the cache response unit 33a acquires the corresponding authentication information from the authentication information DB 32a and responds to the authentication information cache server A20. Further, the cache response unit 33a responds “no authentication information” to the authentication information cache server A20 when it is not stored in the authentication information DB 32a.

また、キャッシュ応答部33aは、認証情報キャッシュサーバA20から特定情報を含む認証識別子取得要求を受信し、当該特定情報に対応する第二の識別子を認証情報DB32aに保持している場合に、認証情報DB32aに保持される特定情報に対応付けられた第二の識別子を認証情報キャッシュサーバA20に応答する。また、キャッシュ応答部33aは、特定情報に対応する第二の識別子を認証情報DB32aに保持していない場合に、第二の識別子を保持していないことを認証情報キャッシュサーバA20に応答する。   Further, when the cache response unit 33a receives an authentication identifier acquisition request including specific information from the authentication information cache server A20, and holds the second identifier corresponding to the specific information in the authentication information DB 32a, the authentication information DB 32a The second identifier associated with the specific information held in the DB 32a is returned to the authentication information cache server A20. When the second identifier corresponding to the specific information is not held in the authentication information DB 32a, the cache response unit 33a responds to the authentication information cache server A20 that the second identifier is not held.

(認証情報キャッシュサーバBの構成)
次に、図11を用いて、認証サーバBの認証情報キャッシュサーバBの構成について説明する。つまり、ここでは、連想認証装置となる認証情報キャッシュサーバの構成について説明する。図11は、認証サーバBの認証情報キャッシュサーバB40の構成を示すブロック図である。図11に示すように、認証情報キャッシュサーバB40は、通信制御I/F部41と、記憶部42と、制御部43とを有する。 (Configuration of authentication information cache server B)
Next, the configuration of the authentication information cache server B of the authentication server B will be described using FIG. That is, here, the configuration of an authentication information cache server that is an associative authentication device will be described. FIG. 11 is a block diagram showing the configuration of the authentication information cache server B 40 of the authentication server B. As illustrated in FIG. 11, the authentication information cache server B 40 includes a communication control I / F unit 41, a storage unit 42, and a control unit 43.

通信制御I/F部41は、認証情報データベースサーバB50、認証情報キャッシュサーバA20、ユーザ認証終端装置10との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F部41は、ユーザ認証終端装置10から認証依頼を受信し、ユーザ認証終端装置10に対して認証結果を応答する。また、通信制御I/F部41は、認証情報データベースサーバB50から認証情報を受信し、認証情報キャッシュサーバA20に認証識別子を送信する。   The communication control I / F unit 41 controls communication related to various information exchanged with the authentication information database server B50, the authentication information cache server A20, and the user authentication termination device 10. Specifically, the communication control I / F unit 41 receives an authentication request from the user authentication termination device 10 and returns an authentication result to the user authentication termination device 10. Further, the communication control I / F unit 41 receives the authentication information from the authentication information database server B50 and transmits an authentication identifier to the authentication information cache server A20.

記憶部42は、制御部43による各種処理に必要なデータおよびプログラムを格納するとともに、特に、キャッシュ42aと、認証装置型情報DB42bとを有する。なお、各種のデータやパラメータについては、任意に変更することができる。   The storage unit 42 stores data and programs necessary for various processes by the control unit 43, and particularly includes a cache 42a and an authentication device type information DB 42b. Various data and parameters can be arbitrarily changed.

キャッシュ42aは、認証情報データベースサーバB50に保持される認証情報のうち、過去に使用した認証情報を保持する高速にアクセス可能なメモリである。例えば、キャッシュ42aは、図12に示すように、「認証識別子(回線番号+グループID)、属性情報(パスワード)」として「CHANNEL−0021G001、P002」などを記憶する。ここで例示した「認証識別子(回線番号+グループID)」は、属性情報を検索する検索キーを示す情報であり、「属性情報(パスワード)」は、認証に用いる情報である。なお、図12は、キャッシュ42aに記憶される情報の例を示す図である。   The cache 42a is a high-speed accessible memory that holds authentication information used in the past among authentication information held in the authentication information database server B50. For example, as shown in FIG. 12, the cache 42a stores “CHANNEL-0021G001, P002” and the like as “authentication identifier (line number + group ID), attribute information (password)”. The “authentication identifier (line number + group ID)” exemplified here is information indicating a search key for searching for attribute information, and “attribute information (password)” is information used for authentication. FIG. 12 is a diagram illustrating an example of information stored in the cache 42a.

認証装置型情報DB42bは、自装置が基本認証装置であるのか、または、連想認証装置であるのかを示す情報を記憶する。例えば、認証装置型情報DB42bは、図13に示すように、「認証型、連想先、IPアドレス」として「連想型、認証サーバA、10.1.1.1」を記憶する。なお、図13は、認証装置型情報DB42bに記憶される情報の例を示す図である。   The authentication device type information DB 42b stores information indicating whether the own device is a basic authentication device or an associative authentication device. For example, as shown in FIG. 13, the authentication device type information DB 42b stores “association type, authentication server A, 10.1.1.1” as “authentication type, association destination, IP address”. FIG. 13 is a diagram illustrating an example of information stored in the authentication device type information DB 42b.

ここで例示した「認証型」は、自装置が基本認証装置であるのか、または、連想認証装置であるのかを示す情報であり、「連想先」は、自装置が認証情報(属性情報)を検索するための検索キーの一部となる認証識別子を保持する認証サーバを示す情報である。「IPアドレス」は、「連想先」認証サーバの認証情報キャッシュサーバのIPアドレスである。   The “authentication type” exemplified here is information indicating whether the own device is a basic authentication device or an associative authentication device, and the “association destination” is the authentication information (attribute information) of the own device. This is information indicating an authentication server that holds an authentication identifier that is a part of a search key for searching. “IP address” is the IP address of the authentication information cache server of the “association destination” authentication server.

制御部43は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有する。また、制御部43は、認証識別子要求部43aと、キャッシュ判定部43bと、認証処理部43cとを有し、これらによって種々の処理を実行する。   The control unit 43 has an internal memory for storing a control program such as an OS (Operating System), a program defining various processing procedures, and necessary data. The control unit 43 includes an authentication identifier request unit 43a, a cache determination unit 43b, and an authentication processing unit 43c, and executes various processes using these.

認証識別子要求部43aは、認証情報キャッシュサーバA20から、ユーザ認証終端装置10から受信した認証要求に含まれる特定情報を基にして、認証情報キャッシュサーバB40が認証に用いる認証識別子の一部を示す第二の識別子を取得する。   The authentication identifier request unit 43a indicates a part of the authentication identifier used for authentication by the authentication information cache server B40 based on the specific information included in the authentication request received from the user authentication termination device 10 from the authentication information cache server A20. Get a second identifier.

上記した例で具体的に説明すると、認証識別子要求部43aは、ユーザ認証終端装置10から認証依頼として「認証識別子」と「属性情報」とを受信した場合に、認証装置型情報DB42bを参照して、自装置が連想認証装置であると識別する。続いて、認証識別子要求部43aは、認証情報キャッシュサーバB40が認証に用いる認証識別子の一部である第一の識別子として「回線種別=CHANNEL−0021」、認証情報キャッシュサーバB40が認証に用いる認証識別子の一部である第二の識別子としての「グループID」を特定するための特定情報として「ユーザID=U001」、認証対象となる属性情報として「パスワード=P002」を含む認証依頼をユーザ認証終端装置10から取得する。そして、認証識別子要求部43aは、特定情報「ユーザID」を認証情報キャッシュサーバA20に送信し、その応答として、第二の識別子「グループID=G001」を受信する。   Specifically, the authentication identifier request unit 43a refers to the authentication device type information DB 42b when receiving the “authentication identifier” and the “attribute information” as an authentication request from the user authentication termination device 10 in the above example. Thus, the device is identified as an associative authentication device. Subsequently, the authentication identifier request unit 43a uses “line type = CHANNEL-0021” as a first identifier that is a part of the authentication identifier used by the authentication information cache server B40 for authentication, and the authentication information cache server B40 uses the authentication for authentication. User authentication for an authentication request including “user ID = U001” as identification information for identifying “group ID” as a second identifier that is a part of the identifier, and “password = P002” as attribute information to be authenticated Obtained from the end device 10. Then, the authentication identifier request unit 43a transmits the specific information “user ID” to the authentication information cache server A20, and receives the second identifier “group ID = G001” as a response.

キャッシュ判定部43bは、認証識別子要求部43aにより取得された第二の識別子と、ユーザ認証終端装置10から受信した認証要求に含まれる第一の識別子とを用いた新たな認証識別子に対応付けてキャッシュ42aに記憶される属性情報を検索する。上記した例で具体的に説明すると、キャッシュ判定部43bは、第一の識別子「回線種別=CHANNEL−0021」と、第二の識別子「グループID=G001」とを結合し、新たな認証識別子「CHANNEL−0021G001」を生成する。そして、キャッシュ判定部43bは、生成した認証識別子「CHANNEL−0021G001」とそれに対応する「属性情報」がキャッシュ42aに記憶されているか否かを判定する。そして、キャッシュ判定部43bは、キャッシュ42aに記憶されている場合、認証識別子「CHANNEL−0021G001」に対応する「属性情報」を取得して、キャッシュ42aから取得した「属性情報」と認証依頼から取得した「属性情報」とを認証処理部43cに出力する。   The cache determination unit 43b associates with the new authentication identifier using the second identifier acquired by the authentication identifier request unit 43a and the first identifier included in the authentication request received from the user authentication termination device 10. The attribute information stored in the cache 42a is searched. More specifically, the cache determination unit 43b combines the first identifier “line type = CHANNEL-0021” and the second identifier “group ID = G001” to create a new authentication identifier “ CHANNEL-0021G001 "is generated. Then, the cache determination unit 43b determines whether or not the generated authentication identifier “CHANNEL-0021G001” and “attribute information” corresponding thereto are stored in the cache 42a. Then, the cache determination unit 43b acquires “attribute information” corresponding to the authentication identifier “CHANNEL-0021G001” when stored in the cache 42a, and acquires the “attribute information” acquired from the cache 42a and the authentication request. The “attribute information” is output to the authentication processing unit 43c.

また、キャッシュ判定部43bは、キャッシュ42aに記憶されていない場合、生成した認証識別子「CHANNEL−0021G001」に対応する「認証情報(属性情報)」の取得要求を認証情報データベースサーバB50に送信する。その後、キャッシュ判定部43bは、認証情報データベースサーバB50から認証識別子「CHANNEL−0021G001」に対応する「属性情報=P002」を受信した場合には、これらを対応付けてキャッシュ42aに格納するとともに、認証処理部43dに出力する。一方、キャッシュ判定部43bは、認証情報データベースサーバB50から認証識別子「CHANNEL−0021G001」に対応する「属性情報」を受信できなかった場合には、「認証情報なし」を認証処理部43cに出力する。   Further, when not stored in the cache 42a, the cache determination unit 43b transmits an acquisition request for “authentication information (attribute information)” corresponding to the generated authentication identifier “CHANNEL-0021G001” to the authentication information database server B50. Thereafter, when receiving “attribute information = P002” corresponding to the authentication identifier “CHANNEL-0021G001” from the authentication information database server B50, the cache determination unit 43b stores these in association with each other in the cache 42a and performs authentication. The data is output to the processing unit 43d. On the other hand, when the “attribute information” corresponding to the authentication identifier “CHANNEL-0021G001” cannot be received from the authentication information database server B50, the cache determination unit 43b outputs “no authentication information” to the authentication processing unit 43c. .

認証処理部43cは、キャッシュ判定部43bにより取得された属性情報を用いてユーザ認証を行う。上記した例で具体的に説明すると、認証処理部43cは、キャッシュ判定43bによって取得された「属性情報」と、認証依頼から取得された「属性情報」とが一致する場合に、認証許可をユーザ認証終端装置10に応答する。一方、認証処理部43cは、両情報が一致しない場合、または、キャッシュ判定部43bから「認証情報なし」が通知された場合、認証拒否をユーザ認証終端装置10に応答する。   The authentication processing unit 43c performs user authentication using the attribute information acquired by the cache determination unit 43b. Specifically, in the above example, the authentication processing unit 43c determines that the authorization is permitted when the “attribute information” acquired by the cache determination 43b matches the “attribute information” acquired from the authentication request. Responds to the authentication termination device 10. On the other hand, when the two pieces of information do not match or when “no authentication information” is notified from the cache determination unit 43b, the authentication processing unit 43c responds to the user authentication termination device 10 with an authentication rejection.

(認証情報データベースサーバBの構成)
次に、図14を用いて、認証サーバBの認証情報データベースサーバBの構成について説明する。つまり、ここでは、連想認証装置となる認証情報データベースサーバの構成について説明する。図14は、認証サーバBの認証情報データベースサーバB50の構成を示すブロック図である。図14に示すように、認証情報データベースサーバB50は、通信制御I/F部51と、記憶部52と、制御部53とを有する。 (Configuration of authentication information database server B)
Next, the configuration of the authentication information database server B of the authentication server B will be described using FIG. That is, here, the configuration of an authentication information database server that is an associative authentication device will be described. FIG. 14 is a block diagram showing a configuration of the authentication information database server B50 of the authentication server B. As illustrated in FIG. 14, the authentication information database server B50 includes a communication control I / F unit 51, a storage unit 52, and a control unit 53.

通信制御I/F部51は、認証情報キャッシュサーバB40との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F部51は、認証情報キャッシュサーバB40から認証情報取得要求を受信し、認証情報や認証情報なしを応答する。   The communication control I / F unit 51 controls communication related to various information exchanged with the authentication information cache server B40. Specifically, the communication control I / F unit 51 receives an authentication information acquisition request from the authentication information cache server B40, and responds with no authentication information or authentication information.

記憶部52は、制御部53による各種処理に必要なデータおよびプログラムを格納するとともに、特に、認証情報DB52aを有する。なお、各種のデータやパラメータについては、任意に変更することができる。   The storage unit 52 stores data and programs necessary for various processes by the control unit 53, and particularly includes an authentication information DB 52a. Various data and parameters can be arbitrarily changed.

認証情報DB52aは、認証識別子と属性情報とを対応付けた認証情報を保持する大容量の記憶部であり、例えば、図15に示すように、「認証識別子、属性情報(パスワード)」として「CHANNEL−0021G001、P002」や「CHANNEL−0100G002、P010」などを記憶する。なお、図15は、認証情報DB52aに記憶される情報の例を示す図である。   The authentication information DB 52a is a large-capacity storage unit that holds authentication information in which authentication identifiers and attribute information are associated with each other. For example, as illustrated in FIG. 15, “CHANNEL” is displayed as “authentication identifier and attribute information (password)”. -0021G001, P002 "," CHANNEL-0100G002, P010 ", etc. are stored. FIG. 15 is a diagram illustrating an example of information stored in the authentication information DB 52a.

制御部53は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、キャッシュ応答部53aを有し、これらによって種々の処理を実行する。   The control unit 53 includes an internal memory for storing a control program such as an OS (Operating System), a program that defines various processing procedures, and necessary data, and a cache response unit 53a. Execute the process.

キャッシュ応答部53aは、認証情報キャッシュサーバB40から認証情報取得要求を受信した場合に、当該要求に含まれる「認証識別子」と「属性情報」とが対応付けられた認証情報が認証情報DB52aに記憶されているか否かを判定する。そして、キャッシュ応答部53aは、認証情報DB52aに記憶されている場合には、該当の認証情報を認証情報DB52aから取得し、認証情報キャッシュサーバB40に応答する。また、キャッシュ応答部53aは、認証情報DB52aに記憶されていない場合には、「認証情報なし」を認証情報キャッシュサーバB40に応答する。   When receiving an authentication information acquisition request from the authentication information cache server B40, the cache response unit 53a stores authentication information in which “authentication identifier” and “attribute information” included in the request are associated with each other in the authentication information DB 52a. It is determined whether or not it has been done. Then, when stored in the authentication information DB 52a, the cache response unit 53a acquires the corresponding authentication information from the authentication information DB 52a and responds to the authentication information cache server B40. Further, the cache response unit 53a responds “no authentication information” to the authentication information cache server B40 when it is not stored in the authentication information DB 52a.

[処理の流れ]
次に、図16〜図19を用いて、実施例1にかかる認証システムにおける各装置の処理の流れについて説明する。 [Process flow]
Next, the flow of processing of each device in the authentication system according to the first embodiment will be described with reference to FIGS.

(ユーザ認証終端装置の処理の流れ)
図16を用いて、ユーザ認証終端装置における処理の流れを説明する。図16は、ユーザ認証終端装置10における処理の流れを示すフローチャートである。 (Processing flow of user authentication termination device)
The flow of processing in the user authentication termination device will be described with reference to FIG. FIG. 16 is a flowchart showing the flow of processing in the user authentication termination apparatus 10.

図16に示すように、ユーザ端末から認証要求を受信したユーザ認証終端装置10の順番決定部13aは、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する(ステップS100)。このとき、順番決定部13aは、認証要求を受信したポート番号を特定する。   As illustrated in FIG. 16, the order determination unit 13a of the user authentication termination device 10 that has received the authentication request from the user terminal determines the order in which the authentication request for the user terminal is transmitted according to a predetermined condition (step S100). At this time, the order determination unit 13a identifies the port number that received the authentication request.

続いて、装置種別判定部13bは、順番決定部13aによって決定された順番で認証サーバに認証依頼を送信する場合に、送信対象である認証サーバが、基本認証装置であるか、または、連想認証装置であるかを、順番決定部13aにより特定された認証サーバ名を用いて認証装置型情報DB12cから判定する(ステップS101)。   Subsequently, when the device type determination unit 13b transmits authentication requests to the authentication server in the order determined by the order determination unit 13a, the authentication server as a transmission target is a basic authentication device, or associative authentication Whether the device is a device is determined from the authentication device type information DB 12c using the authentication server name specified by the order determination unit 13a (step S101).

そして、基本認証依頼部13cは、装置種別判定部13bにより基本認証装置であると判定された認証サーバに対して(ステップS101肯定)、当該認証サーバが認証に用いる認証情報を特定する認証識別子を認証装置型情報DB12cおよびユーザ情報DB12aおよびユーザ端末から取得した情報から特定し、これらを含む認証依頼を作成して認証サーバに送信する(ステップS102とステップS103)。   Then, the basic authentication requesting unit 13c determines an authentication identifier for identifying authentication information used for authentication by the authentication server for the authentication server determined to be a basic authentication device by the device type determining unit 13b (Yes in step S101). The authentication apparatus type information DB 12c, the user information DB 12a, and information acquired from the user terminal are specified, and an authentication request including these is created and transmitted to the authentication server (steps S102 and S103).

その後、認証結果送信部13eは、基本認証依頼部13cによって認証依頼が送信された認証サーバから認証結果を受信する(ステップS104)。そして、認証結果送信部13eは、受信した認証結果が認証許可である場合に(ステップS105肯定)、全ての認証サーバから認証結果を受信したか否かを判定する(ステップS106)。   Thereafter, the authentication result transmission unit 13e receives the authentication result from the authentication server to which the authentication request has been transmitted by the basic authentication request unit 13c (step S104). Then, when the received authentication result is authentication permission (Yes at Step S105), the authentication result transmitting unit 13e determines whether the authentication result has been received from all the authentication servers (Step S106).

全ての認証サーバから受信した認証結果が全て認証許可である場合に(ステップS106肯定)、認証結果送信部13eは、ユーザ端末の認証許可を送信する(ステップS107)。   When all the authentication results received from all the authentication servers are authentication permission (Yes at Step S106), the authentication result transmitting unit 13e transmits the authentication permission of the user terminal (Step S107).

一方、ステップS105に戻り、受信した認証結果が認証許可でない場合に(ステップS105否定)、認証結果送信部13eは、ユーザ端末の認証拒否を送信する(ステップS108)。また、認証結果送信部13eは、全ての認証サーバから認証結果を受信していない場合(ステップS106否定)、順番決定部13aにより決定された次の順番の認証サーバを決定し(ステップS109)、ステップS101以降の処理を繰り返す。   On the other hand, returning to step S105, when the received authentication result is not authentication permission (No in step S105), the authentication result transmitting unit 13e transmits authentication rejection of the user terminal (step S108). If the authentication result transmitting unit 13e has not received the authentication results from all the authentication servers (No at Step S106), the authentication result transmitting unit 13e determines the authentication server of the next order determined by the order determining unit 13a (Step S109). The processes after step S101 are repeated.

一方、ステップS101に戻り、連想認証依頼部13dは、装置種別判定部13bにより連想認証装置であると判定された認証サーバに対して(ステップS101否定)、当該認証サーバが認証に用いる認証識別子の一部を示す第一の識別子と、認証識別子の一部を示す第二の識別子を特定する特定情報とを認証装置型情報DB12cおよびユーザ情報DB12aおよびユーザ端末から受信した情報から特定し、これら含む認証依頼を作成する(ステップS110)。その後は、ステップS103〜ステップS109の処理を実行する。   On the other hand, returning to step S101, the associative authentication requesting unit 13d determines the authentication identifier used by the authentication server for authentication with respect to the authentication server determined to be an associative authentication device by the device type determining unit 13b (No in step S101). The first identifier indicating a part and the specifying information specifying the second identifier indicating a part of the authentication identifier are specified from the information received from the authentication device type information DB 12c, the user information DB 12a and the user terminal, and include these An authentication request is created (step S110). Thereafter, the processing of step S103 to step S109 is executed.

(認証情報キャッシュサーバA20の処理の流れ)
図17を用いて、認証情報キャッシュサーバA20における処理の流れを説明する。図17は、認証情報キャッシュサーバA20における処理の流れを示すフローチャートである。 (Processing flow of authentication information cache server A20)
A processing flow in the authentication information cache server A20 will be described with reference to FIG. FIG. 17 is a flowchart showing the flow of processing in the authentication information cache server A20.

図17に示すように、認証情報キャッシュサーバA20のキャッシュ判定部23aは、ユーザ認証終端装置10から認証依頼を受信すると(ステップS120)、認証装置型情報DB22bを参照して自装置が基本認証装置であると識別するとともに、受信した認証依頼から認証識別子を取得し、取得した認証識別子に対応付けてキャッシュ22aに記憶される属性情報を検索する(ステップS121)。   As illustrated in FIG. 17, when the cache determination unit 23a of the authentication information cache server A20 receives an authentication request from the user authentication termination device 10 (step S120), the cache authentication unit 23a refers to the authentication device type information DB 22b and determines that the own device is a basic authentication device. And an authentication identifier is acquired from the received authentication request, and attribute information stored in the cache 22a in association with the acquired authentication identifier is searched (step S121).

続いて、キャッシュ判定部23aは、認証識別子に対応付けられた認証情報がキャッシュ22aに存在する場合に(ステップS122肯定)、認証処理部23cは、キャッシュ判定部23aにより取得された属性情報を用いてユーザ認証を行う(ステップS123)。   Subsequently, when the authentication information associated with the authentication identifier exists in the cache 22a (Yes at Step S122), the cache determination unit 23a uses the attribute information acquired by the cache determination unit 23a. User authentication is performed (step S123).

そして、認証処理部23cは、キャッシュ22aから取得した「属性情報」と、認証依頼から取得された「属性情報」とが一致する場合に、認証結果を認証許可とし(ステップS124肯定)、認証許可をユーザ認証終端装置10に応答する(ステップS125)。また、認証処理部23cは、キャッシュ22aから取得した「属性情報」と、認証依頼から取得された「属性情報」とが一致しない場合に、認証結果を認証拒否とし(ステップS124否定)、認証拒否をユーザ認証終端装置10に応答する(ステップS126)。   Then, when the “attribute information” acquired from the cache 22a matches the “attribute information” acquired from the authentication request, the authentication processing unit 23c sets the authentication result as authentication permission (Yes in step S124), and authenticates. To the user authentication terminal device 10 (step S125). Further, the authentication processing unit 23c rejects the authentication result when the “attribute information” acquired from the cache 22a does not match the “attribute information” acquired from the authentication request (No in step S124), and the authentication rejection To the user authentication termination device 10 (step S126).

一方、ステップS122に戻り、キャッシュ判定部23aは、認証識別子に対応付けられた属性情報がキャッシュ22aに存在しない場合に(ステップS122否定)、当該認証識別子に対応する属性情報の取得要求(検索要求)を認証情報データベースサーバA30に送信する(ステップS127)。   On the other hand, returning to step S122, if the attribute information associated with the authentication identifier does not exist in the cache 22a (No at step S122), the cache determination unit 23a obtains an attribute information acquisition request (search request) corresponding to the authentication identifier. ) Is transmitted to the authentication information database server A30 (step S127).

そして、キャッシュ判定部23aは、認証情報データベースサーバA30から属性情報を受信し(ステップS128)、検索結果有り(認証情報なしではない)の場合(ステップS129肯定)、当該認証識別子と属性情報とを対応づけた認証情報をキャッシュ22aに登録し(ステップS130)、ステップS123以降の処理を実行する。また、キャッシュ判定部23aは、検索結果なし(認証情報なし)の場合(ステップS129否定)、認証拒否をユーザ認証終端装置10に応答する(ステップS126)。   Then, the cache determination unit 23a receives the attribute information from the authentication information database server A30 (step S128), and if there is a search result (no authentication information) (Yes in step S129), the cache identifier and attribute information are displayed. The associated authentication information is registered in the cache 22a (step S130), and the processes after step S123 are executed. When there is no search result (no authentication information) (No at Step S129), the cache determination unit 23a responds to the user authentication termination device 10 with an authentication rejection (Step S126).

(認証情報キャッシュサーバA20における第二の識別子検索処理の流れ)
図18を用いて、認証情報キャッシュサーバA20におけるにおける第二の識別子検索処理流れを説明する。図18は、認証情報キャッシュサーバA20における第二の識別子検索処理の流れを示すフローチャートである。 (Second identifier search processing flow in authentication information cache server A20)
The second identifier search processing flow in the authentication information cache server A20 will be described with reference to FIG. FIG. 18 is a flowchart showing the flow of the second identifier search process in the authentication information cache server A20.

図18に示すように、認証情報キャッシュサーバの識別子送信部23bは、特定情報に対応する第二の識別子(例えば、グループID)の検索要求を認証情報キャッシュサーバB40から受信し(ステップS140)、受信した特定情報を用いてキャッシュ22aを検索する(ステップS141)。   As illustrated in FIG. 18, the identifier transmission unit 23b of the authentication information cache server receives a search request for the second identifier (for example, group ID) corresponding to the specific information from the authentication information cache server B40 (step S140). The cache 22a is searched using the received specific information (step S141).

そして、識別子送信部23bは、受信した特定情報に対応する第二の識別子がキャッシュ22aに登録されている場合には(ステップS142肯定)、キャッシュ22aから第二の識別子を取得し検索結果として、依頼元である連想型の認証サーバである認証情報キャッシュサーバB40に送信する(ステップS143)。   Then, when the second identifier corresponding to the received specific information is registered in the cache 22a (Yes at Step S142), the identifier transmission unit 23b acquires the second identifier from the cache 22a, It transmits to authentication information cache server B40 which is an associative type authentication server which is a request source (step S143).

一方、識別子送信部23bは、受信した特定情報に対応する第二の識別子がキャッシュ22aに登録されていない場合には(ステップS142否定)、認証情報データベースサーバA30に対して検索要求を送信する(ステップS144)。   On the other hand, when the second identifier corresponding to the received specific information is not registered in the cache 22a (No at Step S142), the identifier transmission unit 23b transmits a search request to the authentication information database server A30 ( Step S144).

その後、識別子送信部23bは、受信した特定情報に対応する第二の識別子を認証情報データベースサーバA30から受信し(ステップS145)、キャッシュ23aに登録するとともに(ステップS146)、依頼元である認証情報キャッシュサーバB40に送信する(ステップS143)。   After that, the identifier transmission unit 23b receives the second identifier corresponding to the received specific information from the authentication information database server A30 (step S145), registers it in the cache 23a (step S146), and authenticates the authentication information that is the request source. The data is transmitted to the cache server B40 (step S143).

(認証情報データベースサーバA30の処理の流れ)
図19を用いて、認証情報データベースサーバA30における処理の流れを説明する。図19は、認証情報データベースサーバA30における処理の流れを示すフローチャートである。 (Processing flow of authentication information database server A30)
A processing flow in the authentication information database server A30 will be described with reference to FIG. FIG. 19 is a flowchart showing the flow of processing in the authentication information database server A30.

図19に示すように、認証情報データベースサーバA30のキャッシュ応答部33aは、認証情報キャッシュサーバA30から検索要求を受信し(ステップS150)、受信した検索要求に含まれる認証識別子等の識別子に対応する認証情報を検索する(ステップS151)。   As shown in FIG. 19, the cache response unit 33a of the authentication information database server A30 receives a search request from the authentication information cache server A30 (step S150), and corresponds to an identifier such as an authentication identifier included in the received search request. The authentication information is searched (step S151).

そして、キャッシュ応答部33aは、認証識別子に対応する認証情報が認証情報DB32aに記憶されている場合に(ステップS152肯定)、認証情報DB32aから認証情報を取得して認証情報キャッシュサーバA20に応答する(ステップS153)。一方、キャッシュ応答部33aは、認証識別子に対応する認証情報が認証情報DB32aに記憶されていない場合に(ステップS152否定)、検索失敗を認証情報キャッシュサーバA30に応答する(ステップS154)。   When the authentication information corresponding to the authentication identifier is stored in the authentication information DB 32a (Yes at Step S152), the cache response unit 33a acquires the authentication information from the authentication information DB 32a and responds to the authentication information cache server A20. (Step S153). On the other hand, when the authentication information corresponding to the authentication identifier is not stored in the authentication information DB 32a (No at Step S152), the cache response unit 33a responds to the authentication information cache server A30 with a search failure (Step S154).

(認証情報キャッシュサーバB40の処理の流れ)
図20を用いて、認証情報キャッシュサーバB40における処理の流れを説明する。図20は、認証情報キャッシュサーバB40における処理の流れを示すフローチャートである。 (Processing flow of authentication information cache server B40)
A processing flow in the authentication information cache server B40 will be described with reference to FIG. FIG. 20 is a flowchart showing the flow of processing in the authentication information cache server B40.

図20に示すように、認証情報キャッシュサーバB40の認証識別子要求部43aは、
ユーザ認証終端装置10から認証依頼を受信すると(ステップS160)、認証装置型情報DB42bを参照し、自装置が連想認証装置であることを識別するとともに自装置の連想先の認証サーバを特定し、自装置が認証に用いる認証識別子の一部を決定する第二の識別子を決定するための特定情報を認証依頼から取得する(ステップS161)。 As shown in FIG. 20, the authentication identifier request unit 43a of the authentication information cache server B40
When the authentication request is received from the user authentication termination device 10 (step S160), the authentication device type information DB 42b is referred to identify that the device is an associative authentication device and identify the authentication server that is associated with the device itself, Specific information for determining a second identifier for determining a part of the authentication identifier used by the own device for authentication is acquired from the authentication request (step S161).

認証識別子要求部43aは、特定した連想先の認証サーバである認証情報キャッシュサーバA20に対して、特定情報の検索依頼(問い合わせ)を送信する(ステップS162)。その後、キャッシュ判定部43bは、連想先の認証情報キャッシュサーバA20から問い合わせ結果として、第二の識別子を受信する(ステップS163)。続いて、キャッシュ判定部43bは、ユーザ認証終端装置10から受信した認証依頼から取得した第一の識別子と、認証情報キャッシュサーバA20から受信した第二の識別子とを用いて、新たな認証識別子を作成する(ステップS164)。   The authentication identifier requesting unit 43a transmits a search request (inquiry) for specific information to the authentication information cache server A20 that is the identified authentication server of the association destination (step S162). Thereafter, the cache determination unit 43b receives the second identifier as an inquiry result from the associative authentication information cache server A20 (step S163). Subsequently, the cache determination unit 43b uses the first identifier acquired from the authentication request received from the user authentication termination device 10 and the second identifier received from the authentication information cache server A20 to generate a new authentication identifier. Create (step S164).

そうして、キャッシュ判定部43bは、生成した新たな認証識別子に対応付けてキャッシュに記憶される属性情報を検索する(ステップS165)。   Then, the cache determination unit 43b searches for attribute information stored in the cache in association with the generated new authentication identifier (step S165).

続いて、認証処理部43cは、キャッシュ判定部43bによって、新たな認証識別子に対応付けられた認証情報がキャッシュ42aから取得された場合に(ステップS166肯定)、キャッシュ判定部43bにより取得された属性情報を用いてユーザ認証を行う(ステップS167)。   Subsequently, when the authentication information associated with the new authentication identifier is acquired from the cache 42a by the cache determination unit 43b (Yes in step S166), the authentication processing unit 43c determines the attribute acquired by the cache determination unit 43b. User authentication is performed using the information (step S167).

そして、認証処理部43cは、キャッシュ42aから取得した「属性情報」と、認証依頼から取得された「属性情報」とが一致する場合に、認証結果を認証許可とし(ステップS168肯定)、認証許可をユーザ認証終端装置10に応答する(ステップS169)。また、認証処理部43cは、キャッシュ42aから取得した「属性情報」と、認証依頼から取得された「属性情報」とが一致しない場合に、認証結果を認証拒否とし(ステップS168否定)、認証拒否をユーザ認証終端装置10に応答する(ステップS170)。   Then, when the “attribute information” acquired from the cache 42a matches the “attribute information” acquired from the authentication request, the authentication processing unit 43c sets the authentication result as authentication permission (Yes in step S168) and authenticates. To the user authentication termination device 10 (step S169). In addition, when the “attribute information” acquired from the cache 42a does not match the “attribute information” acquired from the authentication request, the authentication processing unit 43c determines that the authentication result is authentication rejection (No in step S168) and rejects the authentication. To the user authentication termination device 10 (step S170).

一方、ステップS166に戻り、キャッシュ判定部43bは、認証識別子に対応付けられた属性情報がキャッシュ42aに存在しない場合に(ステップS166否定)、当該新たな認証識別子に対応する属性情報の取得要求(検索要求)を認証情報データベースサーバB50に送信する(ステップS171)。   On the other hand, returning to step S166, when the attribute information associated with the authentication identifier does not exist in the cache 42a (No at step S166), the cache determination unit 43b obtains an attribute information acquisition request corresponding to the new authentication identifier ( Search request) is transmitted to the authentication information database server B50 (step S171).

そして、キャッシュ判定部43bは、認証情報データベースサーバB50から属性情報を受信し(ステップS172)、検索結果有りの場合(ステップS173肯定)、当該新たな認証識別子と属性情報とを対応づけた認証情報をキャッシュ42aに登録し(ステップS174)、ステップS167以降の処理を実行する。また、キャッシュ判定部43bは、検索結果なし(認証情報なし)の場合(ステップS173否定)、認証拒否をユーザ認証終端装置10に応答する(ステップS170)。   Then, the cache determination unit 43b receives the attribute information from the authentication information database server B50 (step S172), and if there is a search result (Yes in step S173), the authentication information in which the new authentication identifier is associated with the attribute information. Is registered in the cache 42a (step S174), and the processes after step S167 are executed. If there is no search result (no authentication information) (No at Step S173), the cache determination unit 43b responds to the user authentication termination device 10 with an authentication rejection (Step S170).

(認証情報データベースサーバB50の処理の流れ)
図21を用いて、認証情報データベースサーバB50における処理の流れを説明する。図21は、認証情報データベースサーバB50における処理の流れを示すフローチャートである。 (Processing flow of authentication information database server B50)
A processing flow in the authentication information database server B50 will be described with reference to FIG. FIG. 21 is a flowchart showing the flow of processing in the authentication information database server B50.

図21に示すように、認証情報データベースサーバB50のキャッシュ応答部53aは、認証情報キャッシュサーバB40から検索要求を受信し(ステップS180)、受信した検索要求に含まれる新たな認証識別子に対応する認証情報を検索する(ステップS181)。   As shown in FIG. 21, the cache response unit 53a of the authentication information database server B50 receives the search request from the authentication information cache server B40 (step S180), and the authentication corresponding to the new authentication identifier included in the received search request. Information is searched (step S181).

そして、キャッシュ応答部53aは、新たな認証識別子に対応する認証情報が認証情報DB52aに記憶されている場合に(ステップS182肯定)、認証情報DB52aから認証情報を取得して認証情報キャッシュサーバB40に応答する(ステップS183)。一方、キャッシュ応答部53aは、新たな認証識別子に対応する認証情報が認証情報DB52aに記憶されていない場合に(ステップS182否定)、検索失敗を認証情報キャッシュサーバB40に応答する(ステップS184)。   Then, when the authentication information corresponding to the new authentication identifier is stored in the authentication information DB 52a (Yes at Step S182), the cache response unit 53a acquires the authentication information from the authentication information DB 52a and sends it to the authentication information cache server B40. A response is made (step S183). On the other hand, when the authentication information corresponding to the new authentication identifier is not stored in the authentication information DB 52a (No at Step S182), the cache response unit 53a responds to the authentication information cache server B40 with a search failure (Step S184).

[実施例1による効果]
このように、実施例1に係る認証システムでは、同じ認証識別子を検索キーとするテーブルを異なる認証サーバ間で重複して保持する必要がないので、ディスクアクセス頻度を抑えることができる。また、実施例1に係る認証システムでは、同じ認証識別子を検索キーとするテーブルを認証情報キャッシュサーバで保持することができるので、高速かつ高いスループットで認証処理を行うことができる。その結果、認証情報を格納する領域を削減するとともに、認証システム全体の性能を向上させることが可能である。 [Effects of Example 1]
As described above, in the authentication system according to the first embodiment, it is not necessary to hold a table having the same authentication identifier as a search key repeatedly between different authentication servers, so that the disk access frequency can be suppressed. In the authentication system according to the first embodiment, a table using the same authentication identifier as a search key can be held in the authentication information cache server, so that authentication processing can be performed at high speed and with high throughput. As a result, it is possible to reduce the area for storing the authentication information and improve the performance of the entire authentication system.

次に、図22を用いて、実施例1で説明した手法にRADIUS属性を適用した例を実施例2として説明する。図22は、実施例2に係る認証システムの全体構成を示す図である。   Next, an example in which the RADIUS attribute is applied to the method described in the first embodiment will be described as a second embodiment with reference to FIG. FIG. 22 is a diagram illustrating the overall configuration of the authentication system according to the second embodiment.

図22に示すように、実施例2に係る認証システムは、ユーザ端末と、ユーザ認証終端装置と、認証サーバ1と、認証サーバ2、認証サーバ3とがネットワークを介して接続されている。なお、各装置の台数はこれに限定されるものではない。   As illustrated in FIG. 22, in the authentication system according to the second embodiment, a user terminal, a user authentication termination device, an authentication server 1, an authentication server 2, and an authentication server 3 are connected via a network. The number of devices is not limited to this.

この例では、認証サーバ1および認証サーバ2は、基本認証装置であり、認証サーバ3は、認証サーバ2を連想先とする連想認証装置である。実施例1と同様、各認証サーバは、自装置が基本認証装置か連想認証装置なのかを記憶しており、連想認証装置の場合には、連想先がどの認証サーバなのかも記憶している。すなわち、認証サーバ2は、実施例1で説明した認証サーバAと同様の機能を有し、認証サーバ3は、認証サーバBと同様の機能を有する。   In this example, the authentication server 1 and the authentication server 2 are basic authentication devices, and the authentication server 3 is an associative authentication device having the authentication server 2 as an association destination. As in the first embodiment, each authentication server stores whether its own device is a basic authentication device or an associative authentication device. In the case of an associative authentication device, it also stores which authentication server is the association destination. That is, the authentication server 2 has the same function as the authentication server A described in the first embodiment, and the authentication server 3 has the same function as the authentication server B.

ユーザ認証終端装置10は、認証対象となるユーザに関連した情報を記憶するユーザ情報DB12a、認証の順番を記憶する認証順番DB12b、接続される認証サーバそれぞれが基本認証装置か連想認証装置かなどの情報を記憶する認証装置型情報DB12cを有している。   The user authentication termination device 10 includes a user information DB 12a for storing information related to a user to be authenticated, an authentication order DB 12b for storing the order of authentication, and whether each of the connected authentication servers is a basic authentication device or an associative authentication device. It has an authentication device type information DB 12c for storing information.

また、認証サーバ1は、「認証識別子、User−Password、Framed−IP−Address」を対応付けて、認証情報キャッシュサーバや認証情報データベースサーバに記憶している。認証識別子の送信には、User−Name属性を用いる。ここで例示した「認証識別子」は、認証サーバ1が認証に用いる検索キーであり、ユーザを一意に特定する情報である。「User−Password」は、認証識別子で特定されたユーザが正しいことを認証するための情報であり、「Framed−IP−Address」は、ユーザを特定する認証識別子に割り当てられた属性情報である。   Further, the authentication server 1 stores “authentication identifier, User-Password, Framed-IP-Address” in association with each other in an authentication information cache server or an authentication information database server. The User-Name attribute is used for transmitting the authentication identifier. The “authentication identifier” exemplified here is a search key used for authentication by the authentication server 1 and is information for uniquely identifying a user. “User-Password” is information for authenticating that the user specified by the authentication identifier is correct, and “Framed-IP-Address” is attribute information assigned to the authentication identifier for specifying the user.

また、認証サーバ2は、「認証識別子、User−Password、Service−Type、認証識別子グループ」を対応付けて、認証情報キャッシュサーバや認証情報データベースサーバに記憶している。認証識別子の送信には、User−Name属性を用いる。ここで例示した「認証識別子」は、認証サーバ2が認証に用いる検索キーであり、ユーザを一意に特定する情報である。「User−Password」は、認証識別子で特定されたユーザが正しいことを認証するための情報であり、「Service−Type」は、ユーザが利用するサービス種別を示す情報であり、「認証識別子グループ」は、認証サーバ2を連想先とする認証サーバ3の認証識別子の一部を示す情報である。   Further, the authentication server 2 stores “authentication identifier, User-Password, Service-Type, authentication identifier group” in association with each other in the authentication information cache server and the authentication information database server. The User-Name attribute is used for transmitting the authentication identifier. The “authentication identifier” exemplified here is a search key used for authentication by the authentication server 2 and is information that uniquely identifies the user. “User-Password” is information for authenticating that the user specified by the authentication identifier is correct, “Service-Type” is information indicating the service type used by the user, and “Authentication identifier group” Is information indicating a part of the authentication identifier of the authentication server 3 having the authentication server 2 as an association destination.

また、認証サーバ3は、「認証識別子、User−Password、Framed−Route」を対応付けて、認証情報キャッシュサーバや認証情報データベースサーバに記憶している。認証識別子の送信には、User−Name属性を用いる。ここで例示した「認証識別子」は、認証サーバ3が認証に用いる検索キーであり、ユーザを一意に特定する属性情報である。「User−Password」は、認証識別子で特定されたユーザが正しいことを認証するための情報であり、「Framed−Route」は、ユーザを特定する認証識別子に割り当てられた属性情報である。   Further, the authentication server 3 stores “authentication identifier, User-Password, Framed-Route” in association with each other in the authentication information cache server or the authentication information database server. The User-Name attribute is used for transmitting the authentication identifier. The “authentication identifier” exemplified here is a search key used by the authentication server 3 for authentication, and is attribute information that uniquely identifies the user. “User-Password” is information for authenticating that the user specified by the authentication identifier is correct, and “Framed-Route” is attribute information assigned to the authentication identifier for specifying the user.

このような状態において、ユーザ端末から認証要求を受け付けたユーザ認証終端装置10は、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する。ここでは、ユーザ認証終端装置10は、認証サーバ1、認証サーバ2、認証サーバ3の順番に認証すると決定したとする。   In such a state, the user authentication termination device 10 that has received the authentication request from the user terminal determines the order of transmitting the user terminal authentication request according to a predetermined condition. Here, it is assumed that the user authentication termination device 10 determines to authenticate in the order of the authentication server 1, the authentication server 2, and the authentication server 3.

続いて、ユーザ認証終端装置10は、順番1と決定された認証サーバ1が、基本認証装置であるか、または、連想認証装置であるかを判定する。ここでは、認証サーバ1は基本認証装置あると判定されたとする。   Subsequently, the user authentication termination device 10 determines whether the authentication server 1 determined as order 1 is a basic authentication device or an associative authentication device. Here, it is assumed that the authentication server 1 is determined to be a basic authentication device.

その後、ユーザ認証終端装置は、基本認証装置である認証サーバ1が認証に用いる認証情報を特定するUser−Name属性値「U001」と、User−Password属性値「PW−U001」を含むAccess−Requestメッセージを認証サーバ1の認証情報キャッシュサーバに送信する(図22の(1)参照)。これらの情報は、認証要求を受信したポート番号などを検索キーとして、予め記憶するユーザ情報DBから取得する、または、ユーザ端末から受信した情報から取得することができる。   Thereafter, the user authentication terminal device includes an Access-Request including a User-Name attribute value “U001” for specifying authentication information used for authentication by the authentication server 1 which is a basic authentication device, and a User-Password attribute value “PW-U001”. The message is transmitted to the authentication information cache server of the authentication server 1 (see (1) in FIG. 22). These pieces of information can be acquired from the user information DB stored in advance using the port number or the like that received the authentication request as a search key, or can be acquired from information received from the user terminal.

そして、認証サーバ1の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U001」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図22の(2)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U001」に対応する属性情報がキャッシュ上に存在することから、User−Name属性値「U001」に対応する属性情報「User−Password=PW−U001」と「Framed−IP−Address=10.1.1.11」とをキャッシュから取得する。   When the authentication information cache server of the authentication server 1 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U001” included in the message is stored in the cache ( (See (2) in FIG. 22). At this time, since the attribute information corresponding to the User-Name attribute value “U001” exists in the cache, the authentication information cache server has attribute information “User-Password = PW” corresponding to the User-Name attribute value “U001”. -U001 "and" Framed-IP-Address = 10.1.1.11 "are acquired from the cache.

そして、認証サーバ1の認証情報キャッシュサーバは、メッセージに含まれるUser−Password属性値「PW−U001」と、キャッシュから取得した属性情報「User−Password=PW−U001」とが一致するため、認証許可とともに、属性情報「Framed−IP−Address=10.1.1.11」をユーザ認証終端装置に送信する(図22の(3)参照)。   The authentication information cache server of the authentication server 1 authenticates because the User-Password attribute value “PW-U001” included in the message matches the attribute information “User-Password = PW-U001” acquired from the cache. Along with the permission, the attribute information “Framed-IP-Address = 10.1.1.11” is transmitted to the user authentication terminal device (see (3) in FIG. 22).

続いて、ユーザ認証終端装置10は、次の認証先である認証サーバ2に対して、基本認証装置である認証サーバ2が認証に用いる認証情報を特定するUser−Name属性値「U101」と、User−Password属性値「PW−U101」を含むAccess−Requestメッセージを送信する(図22の(4)参照)。   Subsequently, the user authentication termination device 10 sends a User-Name attribute value “U101” for specifying authentication information used for authentication by the authentication server 2 as the basic authentication device to the authentication server 2 as the next authentication destination, An Access-Request message including the User-Password attribute value “PW-U101” is transmitted (see (4) in FIG. 22).

そして、認証サーバ2の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U101」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図22の(5)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U101」に対応する属性情報がキャッシュ上に存在しないことから、「U101」に対応する属性情報を認証情報データベースサーバに問い合わせる。そして、認証情報データベースサーバは、メモリ上またはディスク上に「U101」に対応する属性情報を記憶していることから、「認証識別子=U101、User−Password=PW−U101、Service−Type=2、認証識別子グループ=G001」を認証情報キャッシュサーバに応答する。   When the authentication information cache server of the authentication server 2 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U101” included in the message is stored in the cache ( (See (5) in FIG. 22). At this time, since the attribute information corresponding to the User-Name attribute value “U101” does not exist in the cache, the authentication information cache server inquires of the authentication information database server about the attribute information corresponding to “U101”. Since the authentication information database server stores attribute information corresponding to “U101” in the memory or on the disk, “authentication identifier = U101, User-Password = PW-U101, Service-Type = 2, “Authentication identifier group = G001” is returned to the authentication information cache server.

すると、認証情報キャッシュサーバは、認証情報データベースサーバから受信した「User−Password=PW−U101」と、メッセージに含まれるUser−Password=PW−U101」とが一致することから、認証許可とともに属性情報「Service−Type=2」をユーザ認証終端装置に送信する(図22の(6)参照)。このとき、認証情報キャッシュサーバは、認証情報データベースサーバから受信した情報をキャッシュに登録する。   Then, since the “User-Password = PW-U101” received from the authentication information database server matches the User-Password = PW-U101 included in the message, the authentication information cache server matches the attribute information together with the authentication permission. “Service-Type = 2” is transmitted to the user authentication termination device (see (6) in FIG. 22). At this time, the authentication information cache server registers the information received from the authentication information database server in the cache.

続いて、ユーザ認証終端装置10は、次の認証先であり、連想認証装置である認証サーバ3に対して、認証サーバ3の認証識別子の一部であるUser−Name属性値「U201」と、User−Password属性値「PW−U201G001」と、認証サーバ3の認証識別子の一部を特定するための特定情報を示すCalling−Station−Id属性値「U101」を含むAccess−Requestメッセージを認証サーバ3の認証情報キャッシュサーバに送信する(図22の(7)参照)。   Subsequently, the user authentication termination device 10 is the next authentication destination, and the authentication server 3 that is the associative authentication device, User-Name attribute value “U201” that is a part of the authentication identifier of the authentication server 3; The Authentication Server 3 receives an Access-Request message including a User-Password attribute value “PW-U201G001” and a Calling-Station-Id attribute value “U101” indicating specific information for specifying a part of the authentication identifier of the authentication server 3. To the authentication information cache server (see (7) of FIG. 22).

そして、認証サーバ3の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、ユーザ認証終端装置10のメッセージに含まれるCalling−Station−Id属性値「U101」により特定される、認証識別子が所属するグループを表す認証識別子グループの問い合わせを認証サーバ2の認証情報キャッシュサーバに送信する(図22の(8)参照)。   When the authentication information cache server of the authentication server 3 receives the Access-Request message, the authentication identifier specified by the Calling-Station-Id attribute value “U101” included in the message of the user authentication termination device 10 belongs. An inquiry about an authentication identifier group representing a group is transmitted to the authentication information cache server of the authentication server 2 (see (8) in FIG. 22).

すると、認証サーバ2の認証情報キャッシュサーバは、上述したように、「U101」に対応する情報をデータベースサーバから取得してキャッシュに記憶していることから、「U101」に対応付けられた認証グループ「G001」をキャッシュから取得して、認証サーバ3の認証情報キャッシュサーバに送信する(図22の(9)参照)。   Then, as described above, since the authentication information cache server of the authentication server 2 acquires the information corresponding to “U101” from the database server and stores it in the cache, the authentication group associated with “U101” “G001” is acquired from the cache and transmitted to the authentication information cache server of the authentication server 3 (see (9) in FIG. 22).

認証サーバ3の認証情報キャッシュサーバは、ユーザ認証終端装置10のメッセージに含まれる「U201」と、認証サーバ2の認証情報キャッシュサーバから取得した「G001」とを結合した認証識別子「U201G001」を生成し、キャッシュ検索を行う(図22の(10)参照)。   The authentication information cache server of the authentication server 3 generates an authentication identifier “U201G001” that combines “U201” included in the message of the user authentication termination device 10 and “G001” acquired from the authentication information cache server of the authentication server 2. Then, a cache search is performed (see (10) in FIG. 22).

そして、認証サーバ3の認証情報キャッシュサーバは、ユーザ認証終端装置10のメッセージに含まれるUser−Password属性値「PW−U201G001」と、キャッシュから検索した属性値「PW−U201G001」とが一致することから、認証許可とともに、属性情報「Framed−Route=10.1.1.1」をユーザ認証終端装置に送信する(図22の(11)参照)。   In the authentication information cache server of the authentication server 3, the User-Password attribute value “PW-U201G001” included in the message of the user authentication termination device 10 matches the attribute value “PW-U201G001” retrieved from the cache. Then, along with the authentication permission, the attribute information “Framed-Route = 10.1.1.1” is transmitted to the user authentication terminal device (see (11) in FIG. 22).

ユーザ認証終端装置は、認証依頼を送信した認証サーバ1〜3から受信した認証結果が全て認証許可である場合に、ユーザ端末の認証を許可する。   The user authentication termination device permits authentication of the user terminal when all the authentication results received from the authentication servers 1 to 3 that transmitted the authentication request are authentication permission.

このように、実施例2によれば、RADIUS属性を適用した認証システムであっても認証情報を格納する領域を削減するとともに、認証システム全体の性能を向上させることが可能である。   As described above, according to the second embodiment, it is possible to reduce the area for storing the authentication information and improve the performance of the entire authentication system even in the authentication system to which the RADIUS attribute is applied.

次に、図23を用いて、認証システムにRADIUS属性を適用し、ユーザ認証終端装置が連想先認証装置から認証識別子(認証識別子グループ)を取得して、連想認証装置に送信する例を実施例3として説明する。図23は、実施例3に係る認証システムの全体構成を示す図である。   Next, referring to FIG. 23, an example in which the RADIUS attribute is applied to the authentication system, and the user authentication terminal device acquires an authentication identifier (authentication identifier group) from the associative authentication device and transmits it to the associative authentication device. This will be described as 3. FIG. 23 is a diagram illustrating the overall configuration of the authentication system according to the third embodiment.

図23に示すように、実施例3に係る認証システムは、ユーザ端末と、ユーザ認証終端装置と、認証サーバ1と、認証サーバ2、認証サーバ3とがネットワークを介して接続されている。なお、各装置の台数はこれに限定されるものではない。また、各装置は、実施例2と同様の内容に加え、ユーザ認証終端装置10は、連想認証装置である認証サーバ3の連想先を記憶しており、連想認証装置である認証サーバ3は、実施例1および2のように連想先を記憶する必要はない。   As illustrated in FIG. 23, in the authentication system according to the third embodiment, a user terminal, a user authentication termination device, an authentication server 1, an authentication server 2, and an authentication server 3 are connected via a network. The number of devices is not limited to this. In addition to the contents similar to those in the second embodiment, each device stores the association destination of the authentication server 3 that is the associative authentication device, and the authentication server 3 that is the associative authentication device There is no need to store the association destination as in the first and second embodiments.

このような状態において、ユーザ端末から認証要求を受け付けたユーザ認証終端装置10は、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する。ここでは、ユーザ認証終端装置は、認証サーバ1、認証サーバ2、認証サーバ3の順番に認証すると決定したとする。   In such a state, the user authentication termination device 10 that has received the authentication request from the user terminal determines the order of transmitting the user terminal authentication request according to a predetermined condition. Here, it is assumed that the user authentication termination device determines to authenticate in the order of the authentication server 1, the authentication server 2, and the authentication server 3.

続いて、ユーザ認証終端装置10は、順番1と決定された認証サーバ1が、基本認証装置であるか、または、連想認証装置であるかを判定する。ここでは、認証サーバ1は基本認証装置あると判定されたとする。   Subsequently, the user authentication termination device 10 determines whether the authentication server 1 determined as order 1 is a basic authentication device or an associative authentication device. Here, it is assumed that the authentication server 1 is determined to be a basic authentication device.

その後、ユーザ認証終端装置10は、基本認証装置である認証サーバ1が認証に用いる認証情報を特定するUser−Name属性値「U001」と、User−Password属性値「PW−U001」を含むAccess−Requestメッセージを認証サーバ1の認証情報キャッシュサーバに送信する(図23の(1)参照)。これらの情報は、認証要求を受信したポート番号などを検索キーとして、予め記憶するユーザ情報DB12aから取得する、または、ユーザ端末から受信した情報から取得することができる。   Thereafter, the user authentication terminal device 10 includes an Access-Name attribute value “U001” for specifying authentication information used for authentication by the authentication server 1 as a basic authentication device and an Access-Password attribute value “PW-U001”. The Request message is transmitted to the authentication information cache server of the authentication server 1 (see (1) in FIG. 23). Such information can be acquired from the user information DB 12a stored in advance using the port number or the like that received the authentication request as a search key, or can be acquired from information received from the user terminal.

そして、認証サーバ1の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U001」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図23の(2)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U001」に対応する属性情報がキャッシュ上に存在することから、User−Name属性値「U001」に対応する属性情報「User−Password=PW−U001」と「Framed−IP−Address=10.1.1.11」とをキャッシュから取得する。   When the authentication information cache server of the authentication server 1 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U001” included in the message is stored in the cache ( (See (2) in FIG. 23). At this time, since the attribute information corresponding to the User-Name attribute value “U001” exists in the cache, the authentication information cache server has attribute information “User-Password = PW” corresponding to the User-Name attribute value “U001”. -U001 "and" Framed-IP-Address = 10.1.1.11 "are acquired from the cache.

そして、認証サーバ1の認証情報キャッシュサーバは、メッセージに含まれるUser−Password属性値「PW−U001」と、キャッシュから取得した属性情報「User−Password=PW−U001」とが一致するため、認証許可とともに、属性情報「Framed−IP−Address=10.1.1.11」をユーザ認証終端装置に送信する(図23の(3)参照)。   The authentication information cache server of the authentication server 1 authenticates because the User-Password attribute value “PW-U001” included in the message matches the attribute information “User-Password = PW-U001” acquired from the cache. Along with the permission, the attribute information “Framed-IP-Address = 10.1.1.11” is transmitted to the user authentication terminal device (see (3) in FIG. 23).

続いて、ユーザ認証終端装置10は、次の認証先である認証サーバ2に対して、基本認証装置である認証サーバ2が認証に用いる認証情報を特定するUser−Name属性値「U101」と、User−Password属性値「PW−U101」を含むAccess−Requestメッセージを認証サーバ1の認証情報キャッシュサーバに送信する(図23の(4)参照)。   Subsequently, the user authentication termination device 10 sends a User-Name attribute value “U101” for specifying authentication information used for authentication by the authentication server 2 as the basic authentication device to the authentication server 2 as the next authentication destination, An Access-Request message including the User-Password attribute value “PW-U101” is transmitted to the authentication information cache server of the authentication server 1 (see (4) in FIG. 23).

そして、認証サーバ2の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U101」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図23の(5)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U101」に対応する属性情報がキャッシュ上に存在しないことから、「U101」に対応する属性情報の問い合わせを認証情報データベースサーバに問い合わせる。そして、認証情報データベースサーバは、メモリ上またはディスク上に「U101」に対応する属性情報を記憶していることから、「認証識別子=U101、User−Password=PW−U101、Service−Type=2、認証識別子グループ=G001」を認証情報キャッシュサーバに応答する。   When the authentication information cache server of the authentication server 2 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U101” included in the message is stored in the cache ( (See (5) in FIG. 23). At this time, since the attribute information corresponding to the User-Name attribute value “U101” does not exist in the cache, the authentication information cache server inquires of the authentication information database server about the attribute information corresponding to “U101”. Since the authentication information database server stores attribute information corresponding to “U101” in the memory or on the disk, “authentication identifier = U101, User-Password = PW-U101, Service-Type = 2, “Authentication identifier group = G001” is returned to the authentication information cache server.

すると、認証情報キャッシュサーバは、認証情報データベースサーバから受信した「User−Password=PW−U101」と、メッセージに含まれるUser−Password=PW−U101」とが一致することから、認証許可とともに属性情報「Service−Type=2」に加え「認証識別子グループ=G001」をConfiguration−Token属性やReply−Message属性によって、ユーザ認証終端装置に送信する(図23の(6)参照)。このとき、認証情報キャッシュサーバは、認証情報データベースサーバから受信した情報をキャッシュに登録する。   Then, since the “User-Password = PW-U101” received from the authentication information database server matches the User-Password = PW-U101 included in the message, the authentication information cache server matches the attribute information together with the authentication permission. In addition to “Service-Type = 2”, “authentication identifier group = G001” is transmitted to the user authentication terminal device by the Configuration-Token attribute and the Reply-Message attribute (see (6) in FIG. 23). At this time, the authentication information cache server registers the information received from the authentication information database server in the cache.

続いて、ユーザ認証終端装置10は、次の認証先であり、連想認証装置である認証サーバ3に対して、認証サーバ3の認証識別子の一部であるUser−Name属性値「U201」と、User−Password属性値「PW−U201G001」と、認証サーバ3の認証識別子の一部である認証サーバ2のキャッシュサーバから受信した認証識別子グループ=G001をCalling−Station−Id属性値に入れたものを含むAccess−Requestメッセージを認証サーバ3の認証情報キャッシュサーバに送信する(図23の(7)参照)。   Subsequently, the user authentication termination device 10 is the next authentication destination, and the authentication server 3 that is the associative authentication device, User-Name attribute value “U201” that is a part of the authentication identifier of the authentication server 3; The User-Password attribute value “PW-U201G001” and the authentication identifier group = G001 received from the cache server of the authentication server 2 that is a part of the authentication identifier of the authentication server 3 are entered in the Calling-Station-Id attribute value. The included Access-Request message is transmitted to the authentication information cache server of the authentication server 3 (see (7) in FIG. 23).

そして、認証サーバ3の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれる「U201」と「G001」とを結合した認証識別子「U201G001」を生成し、キャッシュ検索を行う(図23の(8)参照)。   Upon receiving the Access-Request message, the authentication information cache server of the authentication server 3 generates an authentication identifier “U201G001” obtained by combining “U201” and “G001” included in the message, and performs a cache search (FIG. 23 (8)).

そして、認証サーバ3の認証情報キャッシュサーバは、ユーザ認証終端装置のメッセージに含まれるUser−Password属性値「PW−U201G001」と、キャッシュから検索した属性値「PW−U201G001」とが一致することから、認証許可とともに、属性情報「Framed−Route=10.1.1.1」をユーザ認証終端装置10に送信する(図23の(9)参照)。   The authentication information cache server of the authentication server 3 matches the User-Password attribute value “PW-U201G001” included in the message of the user authentication terminal device and the attribute value “PW-U201G001” retrieved from the cache. In addition to the authentication permission, the attribute information “Framed-Route = 10.1.1.1” is transmitted to the user authentication termination device 10 (see (9) in FIG. 23).

ユーザ認証終端装置10は、認証依頼を送信した認証サーバ1〜3から受信した認証結果が全て認証許可である場合に、ユーザ端末の認証を許可する。   The user authentication termination device 10 permits authentication of the user terminal when all authentication results received from the authentication servers 1 to 3 that transmitted the authentication request are authentication permission.

実施例1では、連想認証装置が連想先となる他の認証装置から認証識別子(認証識別子グループの取得要求を送信して取得する認証識別子グループ)を取得する例について説明したが、これに限定されるものではない。例えば、連想先となる他の認証装置が、認証識別子を検索キーとして認証識別子グループを検索したら、取得要求を受信する前であっても、連想認証装置に対して認証識別子と認証識別子グループを送信してもよい。   In the first embodiment, an example has been described in which the associative authentication device acquires an authentication identifier (an authentication identifier group acquired by transmitting an authentication identifier group acquisition request) from another authentication device that is an association destination. However, the present invention is not limited thereto. It is not something. For example, when another authentication device as an association destination searches for an authentication identifier group using the authentication identifier as a search key, the authentication identifier and the authentication identifier group are transmitted to the associative authentication device even before the acquisition request is received. May be.

そこで、実施例4では、図24〜図26を用いて、連想先となる認証装置が連想認証装置に対して、認証識別子と認証識別子グループを積極的に送信する例について説明する。   Therefore, in the fourth embodiment, an example in which an authentication device as an association destination actively transmits an authentication identifier and an authentication identifier group to the associative authentication device will be described with reference to FIGS.

[全体構成]
まず、図24を用いて、実施例4に係る認証システムの全体構成について説明する。図24は、実施例4に係る認証システムの全体構成を示す図である。 [overall structure]
First, the overall configuration of the authentication system according to the fourth embodiment will be described with reference to FIG. FIG. 24 is a diagram illustrating the overall configuration of the authentication system according to the fourth embodiment.

図24に示すように、認証システムは、ユーザ端末と、ユーザ認証終端装置と、認証サーバjと、認証サーバkとがネットワークを介して接続されている。なお、認証サーバjは、基本認証装置であり、認証サーバkは、認証サーバjを連想先とする連想認証装置である。すなわち、認証サーバjは、実施例1で説明した認証サーバAに対応し、認証サーバkは、認証サーバBに対応する。   As shown in FIG. 24, in the authentication system, a user terminal, a user authentication termination device, an authentication server j, and an authentication server k are connected via a network. The authentication server j is a basic authentication device, and the authentication server k is an associative authentication device with the authentication server j as an association destination. That is, the authentication server j corresponds to the authentication server A described in the first embodiment, and the authentication server k corresponds to the authentication server B.

また、各装置の台数はこれに限定されるものではない。各装置は、実施例1や2と同様の内容に加え、連想認証装置である認証サーバの連想先となっている認証サーバは、その認証サーバを連想先としている認証サーバの情報を記憶しており、逆に、連想認証装置の認証サーバは、連想先を記憶する必要はない。   Further, the number of each device is not limited to this. In addition to the same contents as in the first and second embodiments, each device stores the information of the authentication server that is the association destination of the authentication server that is the associative authentication device. On the other hand, the authentication server of the associative authentication device does not need to store the associative destination.

このような状態で、ユーザ端末から認証要求を受け付けたユーザ認証終端装置10は、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する。ここでは、ユーザ認証終端装置10は、認証サーバj、認証サーバkの順番に認証すると決定したとする。   In this state, the user authentication termination device 10 that has received the authentication request from the user terminal determines the order in which the user terminal authentication requests are transmitted according to a predetermined condition. Here, it is assumed that the user authentication termination device 10 determines to authenticate in the order of the authentication server j and the authentication server k.

続いて、ユーザ認証終端装置10は、基本認証装置であると判定した認証サーバjが認証に用いる認証情報を特定する「認証識別子j」と「属性情報j」を含む認証依頼を認証サーバjの認証情報キャッシュサーバjに送信する(図24の(1)参照)。この認証依頼を受信した認証情報キャッシュサーバjは、受信した「認証識別子j」と「属性情報j」の全てまたは一部を含む情報がキャッシュに記憶されているか、または、認証情報データベースサーバjに登録されているか否かに基づいて、ユーザ認証を実施する(図24の(2)参照)。   Subsequently, the user authentication termination device 10 sends an authentication request including “authentication identifier j” and “attribute information j” for specifying authentication information used by the authentication server j determined to be a basic authentication device to the authentication server j. It is transmitted to the authentication information cache server j (see (1) in FIG. 24). The authentication information cache server j that has received the authentication request stores information including all or part of the received “authentication identifier j” and “attribute information j” in the cache, or stores the authentication information in the authentication information database server j. User authentication is performed based on whether or not it is registered (see (2) in FIG. 24).

受信した「認証識別子j」と「属性情報jの全てまたは一部」を含む情報を記憶しており、認証許可と判定した認証情報キャッシュサーバjは、「認証識別子j」に対応付けられた「認証識別子グループ」をキャッシュまたは認証情報データベースサーバjから取得して、認証サーバjを連想先とする認証サーバkの認証情報キャッシュサーバkに送信する(図24の(3)参照)。ここで、認証情報キャッシュサーバjが、認証サーバjを連想先とする認証サーバkを特定する手法としては、「連想元装置、連想元装置のIPアドレス」の組を一つまたは複数記憶しておけばよい。具体的には、「連想元装置、連想元装置のIPアドレス」として「認証サーバk、192.168.1.1」などとキャッシュに記憶しておくことで、特定することができる。また、例えば、認証情報キャッシュサーバjは、認証サーバjが複数の連想認証装置の連想先となっている場合、特定した「認証識別子グループ」を、認証サーバjを連想先とする複数の連想認証装置それぞれに対して、送信することもできる。   Information including the received “authentication identifier j” and “all or part of the attribute information j” is stored, and the authentication information cache server j determined to be authorized is associated with “authentication identifier j”. The “authentication identifier group” is acquired from the cache or the authentication information database server j, and transmitted to the authentication information cache server k of the authentication server k having the authentication server j as an association destination (see (3) in FIG. 24). Here, as a method for the authentication information cache server j to identify the authentication server k having the authentication server j as an association destination, one or a plurality of pairs of “association source device and association source device IP address” are stored. Just keep it. Specifically, it can be specified by storing in the cache “authentication server k, 192.168.1.1” or the like as “association source device, IP address of association source device”. Further, for example, when the authentication server j is an association destination of a plurality of associative authentication devices, the authentication information cache server j uses a plurality of associative authentications with the identified “authentication identifier group” as the association destination of the authentication server j. It can also be sent to each device.

また、認証許可と判定した認証情報キャッシュサーバjは、認証許可をユーザ認証終端装置10に応答する(図24の(4)参照)。このとき、認証情報キャッシュサーバkは、「認証識別子j、属性情報j、認証識別子グループ」とを対応付けて、専用のメモリやディスクなどに記憶する。   Further, the authentication information cache server j determined to be permitted for authentication responds to the user authentication termination device 10 with permission for authentication (see (4) in FIG. 24). At this time, the authentication information cache server k stores “authentication identifier j, attribute information j, authentication identifier group” in association with each other in a dedicated memory or disk.

続いて、ユーザ認証終端装置10は、次の認証先である認証サーバkに対して、認証サーバkが認証に用いる「認証識別子G」の一部を示す第一の識別子「認証識別子k」と、認証識別子「認証識別子G」の一部を示す第二の識別子「認証識別子グループ」を特定する特定情報「認証識別子j」とを含む認証依頼を送信する(図24の(5)参照)。このとき、ユーザ認証終端装置10は、認証サーバkが認証に用いる認証識別子「認証識別子G」の属性情報Gもあわせて送信する。   Subsequently, the user authentication termination device 10 sends a first identifier “authentication identifier k” indicating a part of “authentication identifier G” used for authentication by the authentication server k to the authentication server k which is the next authentication destination. Then, an authentication request including the specific information “authentication identifier j” for specifying the second identifier “authentication identifier group” indicating a part of the authentication identifier “authentication identifier G” is transmitted (see (5) in FIG. 24). At this time, the user authentication termination device 10 also transmits attribute information G of the authentication identifier “authentication identifier G” used for authentication by the authentication server k.

そして、認証サーバkの認証情報キャッシュサーバkは、ユーザ認証終端装置10から受信した認証依頼に含まれる「認証識別子j」を検索キーとして、上記専用メモリを検索し、認証サーバjから取得した「認証識別子グループ」を特定する。そして、認証情報キャッシュサーバkは、取得した「認証識別子グループ」と、認証依頼に含まれる「認証識別子k」とを結合して、認証識別子「認証識別子G」を生成する。そして、認証情報キャッシュサーバkは、生成した「認証識別子G」と認証依頼に含まれる「属性情報G」を全部または一部含む情報がキャッシュに記憶されているか、または、認証情報データベースサーバkに登録されているか否かに基づいて、ユーザ認証を実施する(図24の(6)参照)。   Then, the authentication information cache server k of the authentication server k searches the dedicated memory using “authentication identifier j” included in the authentication request received from the user authentication termination device 10 as a search key, and acquires “ Specify an authentication identifier group. Then, the authentication information cache server k combines the acquired “authentication identifier group” and the “authentication identifier k” included in the authentication request to generate an authentication identifier “authentication identifier G”. The authentication information cache server k stores information including all or part of the generated “authentication identifier G” and “attribute information G” included in the authentication request in the cache, or stores the authentication information in the authentication information database server k. User authentication is performed based on whether or not it is registered (see (6) in FIG. 24).

その後、認証情報データベースサーバkは、「認証識別子G」と、「属性情報Gの全部または一部」を含む情報が認証サーバk内に記憶されている場合には、認証許可をユーザ認証終端装置10に応答し、「認証識別子G」と、「属性情報Gの全部または一部」を含む情報が認証サーバk内に記憶されていない場合には、認証拒否をユーザ認証終端装置10に応答する(図24の(7)参照)。   After that, when information including “authentication identifier G” and “all or part of the attribute information G” is stored in the authentication server k, the authentication information database server k grants authentication permission to the user authentication termination device. 10, if information including “authentication identifier G” and “all or part of the attribute information G” is not stored in the authentication server k, an authentication rejection is returned to the user authentication termination device 10. (See (7) in FIG. 24).

[処理の流れ]
次に、図25と図26を用いて、実施例4にかかる認証システムにおける各装置の処理の流れについて説明する。なお、ここでは、他の実施例とは異なる処理の流れとなる認証サーバについてのみ説明する。 [Process flow]
Next, a processing flow of each device in the authentication system according to the fourth embodiment will be described with reference to FIGS. 25 and 26. Here, only an authentication server having a processing flow different from that of the other embodiments will be described.

(認証情報キャッシュサーバjの処理の流れ)
図25を用いて、基本認証装置である認証情報キャッシュサーバjにおける処理の流れを説明する。図25は、実施例4における基本認証装置である認証情報キャッシュサーバjにおける処理の流れを示すフローチャートである。 (Processing flow of authentication information cache server j)
The flow of processing in the authentication information cache server j, which is a basic authentication device, will be described with reference to FIG. FIG. 25 is a flowchart illustrating a flow of processing in the authentication information cache server j which is the basic authentication device according to the fourth embodiment.

図25に示すように、ステップS200〜ステップS205までの処理は、実施例1で説明したステップS120〜ステップS125までの処理と同様である。具体的には、認証情報キャッシュサーバjは、ユーザ認証終端装置10から認証依頼を受信すると(ステップS200)、認証装置型情報DBを参照して自装置が基本認証装置であると識別するとともに、受信した認証依頼から認証識別子を取得し、取得した認証識別子に対応付けてキャッシュに記憶される属性情報を検索する(ステップS201)。   As shown in FIG. 25, the processing from step S200 to step S205 is the same as the processing from step S120 to step S125 described in the first embodiment. Specifically, when the authentication information cache server j receives an authentication request from the user authentication termination device 10 (step S200), the authentication information cache server j refers to the authentication device type information DB and identifies that the device is a basic authentication device. An authentication identifier is acquired from the received authentication request, and attribute information stored in the cache in association with the acquired authentication identifier is searched (step S201).

続いて、認証情報キャッシュサーバjは、認証識別子に対応付けられた認証情報がキャッシュに存在する場合に(ステップS202肯定)、キャッシュから取得された属性情報を用いてユーザ認証を行う(ステップS203)。   Subsequently, when the authentication information associated with the authentication identifier exists in the cache (Yes in Step S202), the authentication information cache server j performs user authentication using the attribute information acquired from the cache (Step S203). .

続いて、認証情報キャッシュサーバjは、キャッシュから取得した「属性情報」と、認証依頼から取得された「属性情報」とが一致する場合に、認証結果を認証許可とし(ステップS204肯定)、認証許可をユーザ認証終端装置10に応答する(ステップS2055)。   Subsequently, when the “attribute information” acquired from the cache matches the “attribute information” acquired from the authentication request, the authentication information cache server j accepts the authentication result as an authentication permission (Yes in step S204), and authenticates. The permission is returned to the user authentication terminal device 10 (step S2055).

その後、実施例1とは異なり、認証情報キャッシュサーバjは、認証サーバの認証対象とする認証識別子が属する認証識別子グループが他の認証サーバの認証識別子の一部を決定する場合、その認証サーバを特定する(ステップS206)。すなわち、認証情報キャッシュサーバjは、自装置を連想先とする認証サーバを特定する。例えば、認証情報キャッシュサーバjが、自装置を連想先とする認証サーバを特定する手法としては、「連想元装置、連想元装置のIPアドレス」の組を一つまたは複数記憶しておけばよい。具体的には、「連想元装置、連想元装置のIPアドレス」として「認証サーバk、192.168.1.1」などとキャッシュに記憶しておくことで、特定することができる。   Thereafter, unlike the first embodiment, when the authentication identifier group to which the authentication identifier to be authenticated by the authentication server belongs determines a part of the authentication identifier of another authentication server, the authentication information cache server j determines that authentication server. Specify (step S206). In other words, the authentication information cache server j identifies an authentication server that is associated with its own device. For example, as a method for the authentication information cache server j to identify an authentication server having the own device as an association destination, one or more pairs of “association source device and association source device IP address” may be stored. . Specifically, it can be specified by storing in the cache “authentication server k, 192.168.1.1” or the like as “association source device, IP address of association source device”.

そして、認証情報キャッシュサーバjは、検索で使用した認証識別子およびキャッシュ上に記憶される認証識別子グループを、特定した認証サーバの認証情報キャッシュサーバに送信する(ステップS207)。すなわち、認証情報キャッシュサーバjは、キャッシュから取得した「属性情報」と、「属性情報」を特定するのに使用した、ユーザ認証終端装置10から受信した認証依頼に含まれる「認証識別子」と、「認証識別子」に対応付けて認証サーバ内(認証情報キャッシュサーバ、認証情報データベースサーバ)に登録されている「認証識別子グループ」とを対応付けて、自装置を連想先とする認証サーバに送信する。   Then, the authentication information cache server j transmits the authentication identifier used in the search and the authentication identifier group stored in the cache to the authentication information cache server of the specified authentication server (step S207). That is, the authentication information cache server j includes “attribute information” acquired from the cache, “authentication identifier” included in the authentication request received from the user authentication termination device 10 used to specify “attribute information”, and Corresponding to the “authentication identifier group” registered in the authentication server (authentication information cache server, authentication information database server) in association with the “authentication identifier”, and transmitting it to the authentication server having the device as an association destination .

一方、ステップS204に戻り、認証情報キャッシュサーバjは、キャッシュから取得した「属性情報」に、認証依頼から取得された「属性情報」の全部または一部が含まれない場合に、認証結果を認証拒否とし(ステップS204否定)、認証拒否をユーザ認証終端装置10に応答する(ステップS208)。   On the other hand, returning to step S204, the authentication information cache server j authenticates the authentication result when the “attribute information” acquired from the cache does not include all or part of the “attribute information” acquired from the authentication request. The rejection is made (No at Step S204), and the authentication rejection is responded to the user authentication termination device 10 (Step S208).

ステップS209〜ステップS212までの処理は、実施例1で説明したステップS127〜ステップS130までの処理と同様であるので、その説明は省略する。   Since the process from step S209 to step S212 is the same as the process from step S127 to step S130 described in the first embodiment, the description thereof is omitted.

(連想認証装置である認証情報キャッシュサーバkにおける処理の流れ)
次に、図26を用いて、連想認証装置である認証情報キャッシュサーバkにおける処理の流れを説明する。つまり、連想先から認証識別子グループを受信する認証サーバにおける処理の流れを説明する。図26は、実施例4において連想認証装置である認証情報キャッシュサーバkにおける処理の流れを示すフローチャートである。 (Processing flow in authentication information cache server k which is an associative authentication device)
Next, the flow of processing in the authentication information cache server k which is an associative authentication device will be described using FIG. That is, the process flow in the authentication server that receives the authentication identifier group from the association destination will be described. FIG. 26 is a flowchart illustrating a process flow in the authentication information cache server k which is the associative authentication apparatus according to the fourth embodiment.

図26に示すように、認証情報キャッシュサーバkは、認証に用いる「認証識別子G」の一部を示す第一の識別子「認証識別子k」と、認証識別子「認証識別子G」の一部を示す第二の識別子「認証識別子グループ」を特定する特定情報「認証識別子j」とを含む認証依頼をユーザ認証終端装置10から認証依頼を受信する(ステップS300)。   As shown in FIG. 26, the authentication information cache server k indicates a first identifier “authentication identifier k” indicating a part of “authentication identifier G” used for authentication and a part of the authentication identifier “authentication identifier G”. An authentication request including the identification information “authentication identifier j” for specifying the second identifier “authentication identifier group” is received from the user authentication terminal device 10 (step S300).

続いて、認証情報キャッシュサーバkは、認証依頼に含まれる特定情報「認証識別子j」に対応する認証情報を、連想先である認証サーバの認証情報キャッシュサーバから予め受信し、専用のキャッシュメモリなどに登録した情報から特定し、特定した認証情報を第二の識別子「認証識別子グループ」と決定する(ステップS301)。なお、登録する領域は、専用のメモリ領域であってもよく、自装置が管理する認証情報の領域であってもよい。   Subsequently, the authentication information cache server k receives in advance authentication information corresponding to the specific information “authentication identifier j” included in the authentication request from the authentication information cache server of the authentication server that is the association destination, and a dedicated cache memory or the like. And identifying the identified authentication information as the second identifier “authentication identifier group” (step S301). The area to be registered may be a dedicated memory area or an authentication information area managed by the own apparatus.

そして、認証情報キャッシュサーバkは、自装置内から特定した第二の識別子「認証識別子グループ」と、受信した認証依頼から取得した第一の識別子「認証識別子k」とから、自装置が認証に用いる認証識別子である「認証識別子G」を生成する(ステップS302)。   The authentication information cache server k then authenticates itself from the second identifier “authentication identifier group” identified from within the own device and the first identifier “authentication identifier k” obtained from the received authentication request. An “authentication identifier G” that is an authentication identifier to be used is generated (step S302).

その後、認証情報キャッシュサーバkが新たな認証識別子「認証識別子G」を用いて実施するステップS303〜ステップS312までの処理は、実施例1で説明したステップS165〜ステップS174と同様であるので、ここでは詳細な説明は省略する。   Thereafter, the processing from step S303 to step S312 performed by the authentication information cache server k using the new authentication identifier “authentication identifier G” is the same as step S165 to step S174 described in the first embodiment. Then, detailed explanation is omitted.

次に、図27を用いて、実施例4で説明した手法にRADIUS属性を適用した例を実施例5として説明する。図27は、実施例5に係る認証システムの全体構成を示す図である。   Next, an example in which the RADIUS attribute is applied to the method described in the fourth embodiment will be described as a fifth embodiment with reference to FIG. FIG. 27 is a diagram illustrating the overall configuration of the authentication system according to the fifth embodiment.

図27に示すように、実施例5に係る認証システムは、ユーザ端末と、ユーザ認証終端装置と、認証サーバ1と、認証サーバ2、認証サーバ3とがネットワークを介して接続されている。すなわち、認証サーバ2は、実施例1で説明した認証サーバAに対応し、認証サーバ3は、認証サーバBに対応する。なお、各装置の台数はこれに限定されるものではない。また、各装置は、実施例2と同様の内容に加え、連想認証装置の認証サーバの連想先となっている認証サーバは、その認証サーバを連想先としている認証サーバを記憶しており、逆に、連想認証装置の認証サーバは、連想先を記憶する必要はない。   As illustrated in FIG. 27, in the authentication system according to the fifth embodiment, a user terminal, a user authentication termination device, an authentication server 1, an authentication server 2, and an authentication server 3 are connected via a network. That is, the authentication server 2 corresponds to the authentication server A described in the first embodiment, and the authentication server 3 corresponds to the authentication server B. The number of devices is not limited to this. In addition to the same contents as in the second embodiment, each device stores an authentication server that is an association destination of the authentication server of the associative authentication device, and stores an authentication server that uses the authentication server as an association destination. In addition, the authentication server of the associative authentication device does not need to store the association destination.

このような状態において、ユーザ端末から認証要求を受け付けたユーザ認証終端装置10は、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する。ここでは、ユーザ認証終端装置10は、認証サーバ1、認証サーバ2、認証サーバ3の順番に認証すると決定したとする。   In such a state, the user authentication termination device 10 that has received the authentication request from the user terminal determines the order of transmitting the user terminal authentication request according to a predetermined condition. Here, it is assumed that the user authentication termination device 10 determines to authenticate in the order of the authentication server 1, the authentication server 2, and the authentication server 3.

続いて、ユーザ認証終端装置10は、順番1と決定された認証サーバ1が、基本認証装置であるか、または、連想認証装置であるかを判定する。ここでは、認証サーバ1は基本認証装置あると判定されたとする。   Subsequently, the user authentication termination device 10 determines whether the authentication server 1 determined as order 1 is a basic authentication device or an associative authentication device. Here, it is assumed that the authentication server 1 is determined to be a basic authentication device.

その後、ユーザ認証終端装置10は、基本認証装置である認証サーバ1が認証に用いる認証情報を特定するUser−Name属性値「U001」と、User−Password属性値「PW−U001」を含むAccess−Requestメッセージを認証サーバ1の認証情報キャッシュサーバに送信する(図27の(1)参照)。これらの情報は、認証要求を受信したポート番号などを検索キーとして、予め記憶するユーザ情報DBから取得する、または、ユーザ端末から受信した情報から取得することができる。   Thereafter, the user authentication terminal device 10 includes an Access-Name attribute value “U001” for specifying authentication information used for authentication by the authentication server 1 as a basic authentication device and an Access-Password attribute value “PW-U001”. The Request message is transmitted to the authentication information cache server of the authentication server 1 (see (1) in FIG. 27). These pieces of information can be acquired from the user information DB stored in advance using the port number or the like that received the authentication request as a search key, or can be acquired from information received from the user terminal.

そして、認証サーバ1の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U001」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図27の(2)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U001」に対応する属性情報がキャッシュ上に存在することから、User−Name属性値「U001」に対応する属性情報「User−Password=PW−U001」と「Framed−IP−Address=10.1.1.11」とをキャッシュから取得する。   When the authentication information cache server of the authentication server 1 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U001” included in the message is stored in the cache ( (See (2) in FIG. 27). At this time, since the attribute information corresponding to the User-Name attribute value “U001” exists in the cache, the authentication information cache server has attribute information “User-Password = PW” corresponding to the User-Name attribute value “U001”. -U001 "and" Framed-IP-Address = 10.1.1.11 "are acquired from the cache.

そして、認証サーバ1の認証情報キャッシュサーバは、メッセージに含まれるUser−Password属性値「PW−U001」と、キャッシュから取得した属性情報「User−Password=PW−U001」とが一致するため、認証許可とともに、属性情報「Framed−IP−Address=10.1.1.11」をユーザ認証終端装置に送信する(図27の(3)参照)。   The authentication information cache server of the authentication server 1 authenticates because the User-Password attribute value “PW-U001” included in the message matches the attribute information “User-Password = PW-U001” acquired from the cache. Along with the permission, the attribute information “Framed-IP-Address = 10.1.1.11” is transmitted to the user authentication terminal device (see (3) in FIG. 27).

続いて、ユーザ認証終端装置10は、次の認証先である認証サーバ2に対して、基本認証装置である認証サーバ2が認証に用いる認証情報を特定するUser−Name属性値「U101」と、User−Password属性値「PW−U101」を含むAccess−Requestメッセージを送信する(図27の(4)参照)。   Subsequently, the user authentication termination device 10 sends a User-Name attribute value “U101” for specifying authentication information used for authentication by the authentication server 2 as the basic authentication device to the authentication server 2 as the next authentication destination, An Access-Request message including the User-Password attribute value “PW-U101” is transmitted (see (4) in FIG. 27).

そして、認証サーバ2の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U101」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図27の(5)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U101」に対応する属性情報がキャッシュ上に存在しないことから、「U101」に対応する属性情報を認証情報データベースサーバに問い合わせる。そして、認証情報データベースサーバは、メモリまたはディスク上に「U101」に対応する属性情報を記憶していることから、「認証識別子=U101、User−Password=PW−U101、Service−Type=2、認証識別子グループ=G001」を認証情報キャッシュサーバに応答する。   When the authentication information cache server of the authentication server 2 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U101” included in the message is stored in the cache ( (See (5) in FIG. 27). At this time, since the attribute information corresponding to the User-Name attribute value “U101” does not exist in the cache, the authentication information cache server inquires of the authentication information database server about the attribute information corresponding to “U101”. Since the authentication information database server stores the attribute information corresponding to “U101” on the memory or disk, “authentication identifier = U101, User-Password = PW-U101, Service-Type = 2, authentication “Identifier group = G001” is returned to the authentication information cache server.

すると、認証情報キャッシュサーバは、認証情報データベースサーバから受信した「User−Password=PW−U101」と、メッセージに含まれるUser−Password=PW−U101」とが一致することから、認証許可とともに属性情報「Service−Type=2」をユーザ認証終端装置に送信する(図27の(6)参照)。このとき、認証情報キャッシュサーバは、認証情報データベースサーバから受信した情報をキャッシュに登録する。   Then, since the “User-Password = PW-U101” received from the authentication information database server matches the User-Password = PW-U101 included in the message, the authentication information cache server matches the attribute information together with the authentication permission. “Service-Type = 2” is transmitted to the user authentication termination device (see (6) in FIG. 27). At this time, the authentication information cache server registers the information received from the authentication information database server in the cache.

さらに、認証情報キャッシュサーバは、認証情報データベースサーバから受信した「認証識別子=U101、User−Password=PW−U101、Service−Type=2、認証識別子グループ=G001」のうち、「認証識別子=U101、認証識別子グループ=G001」を、自装置を連想先とする認証サーバの認証情報キャッシュサーバに送信する(図27の(7)参照)。   Further, the authentication information cache server receives “authentication identifier = U101, User-Password = PW-U101, Service-Type = 2, authentication identifier group = G001” received from the authentication information database server. “Authentication identifier group = G001” is transmitted to the authentication information cache server of the authentication server that is associated with the own device (see (7) in FIG. 27).

「認証識別子=U101、認証識別子グループ=G001」を受信した認証情報キャッシュサーバは、「認証識別子=U101、認証識別子グループ=G001」を専用のキャッシュに記憶する(図27の(8)参照)。   The authentication information cache server that has received “authentication identifier = U101, authentication identifier group = G001” stores “authentication identifier = U101, authentication identifier group = G001” in a dedicated cache (see (8) in FIG. 27).

続いて、ユーザ認証終端装置10は、次の認証先であり、連想認証装置である認証サーバ3に対して、認証サーバ3の認証識別子の一部であるUser−Name属性値「U201」と、User−Password属性値「PW−U201G001」と、認証サーバ3の認証識別子の一部を特定するための特定情報を示すCalling−Station−Id属性値「認証識別子=U101」を含むAccess−Requestメッセージを認証サーバ3の認証情報キャッシュサーバに送信する(図27の(9)参照)。   Subsequently, the user authentication termination device 10 is the next authentication destination, and the authentication server 3 that is the associative authentication device, User-Name attribute value “U201” that is a part of the authentication identifier of the authentication server 3; An Access-Request message including a User-Password attribute value “PW-U201G001” and a Calling-Station-Id attribute value “Authentication identifier = U101” indicating specific information for specifying a part of the authentication identifier of the authentication server 3 It transmits to the authentication information cache server of the authentication server 3 (see (9) in FIG. 27).

そして、認証サーバ3の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、ユーザ認証終端装置のメッセージに含まれるCalling−Station−Id属性値「U101」により特定される認証識別子グループを、上記専用のキャッシュから取得する(図27の(10)参照)。   When the authentication information cache server of the authentication server 3 receives the Access-Request message, the authentication identifier group specified by the Calling-Station-Id attribute value “U101” included in the message of the user authentication termination device is assigned to the dedicated authentication identifier group. (See (10) in FIG. 27).

すると、認証サーバ3の認証情報キャッシュサーバは、上述したように、「U101」に対応する認証識別子グループを専用のキャッシュに記憶していることから、「U101」に対応付けられた認証識別子グループ「G001」をキャッシュから取得し、ユーザ認証終端装置のメッセージに含まれる「U201」と、認証サーバ2の認証情報キャッシュサーバから取得した「G001」とを結合した認証識別子「U201G001」を生成し、キャッシュ検索を行う(図27の(11)参照)。   Then, since the authentication information cache server of the authentication server 3 stores the authentication identifier group corresponding to “U101” in the dedicated cache as described above, the authentication identifier group “U101” associated with “U101” is stored. G001 "is acquired from the cache, and an authentication identifier" U201G001 "is generated by combining" U201 "included in the message of the user authentication termination device and" G001 "acquired from the authentication information cache server of the authentication server 2, and cache A search is performed (see (11) in FIG. 27).

そして、認証サーバ3の認証情報キャッシュサーバは、ユーザ認証終端装置10のメッセージに含まれるUser−Password属性値「PW−U201G001」と、専用キャッシュから検索した属性値「PW−U201G001」とが一致することから、認証許可とともに、属性情報「Framed−Route=10.1.1.1」をユーザ認証終端装置10に送信する(図27の(12)参照)。   In the authentication information cache server of the authentication server 3, the User-Password attribute value “PW-U201G001” included in the message of the user authentication termination device 10 matches the attribute value “PW-U201G001” retrieved from the dedicated cache. Therefore, the attribute information “Framed-Route = 10.1.1.1” is transmitted to the user authentication termination device 10 together with the authentication permission (see (12) in FIG. 27).

ユーザ認証終端装置10は、認証依頼を送信した認証サーバ1〜3から受信した認証結果が全て認証許可である場合に、ユーザ端末の認証を許可する。   The user authentication termination device 10 permits authentication of the user terminal when all authentication results received from the authentication servers 1 to 3 that transmitted the authentication request are authentication permission.

実施例1では、連想認証装置が連想先となる認証装置に認証識別子をもとにした認証識別子グループの取得要求を送信して、当該認証装置から認証識別子に対応する認証識別子グループを取得する例について説明したが、これに限定されるものではない。例えば、ユーザ認証終端装置が、連想先となる認証装置から認証識別子に基づく認証識別子グループを受信し、連想認証装置が用いる認証識別子を作成した上で、認証依頼を連想認証装置に送信するようにしてもよい。   In the first embodiment, the associative authentication device transmits an authentication identifier group acquisition request based on the authentication identifier to the authentication device as the association destination, and acquires an authentication identifier group corresponding to the authentication identifier from the authentication device. However, the present invention is not limited to this. For example, a user authentication termination device receives an authentication identifier group based on an authentication identifier from an authentication device as an association destination, creates an authentication identifier used by the associative authentication device, and transmits an authentication request to the associative authentication device. May be.

そこで、実施例6では、図28〜図30を用いて、ユーザ認証終端装置が、連想先となる連想認証装置が用いる認証識別子を作成した上で、認証依頼を連想認証装置に送信する例について説明する。   Therefore, in the sixth embodiment, with reference to FIGS. 28 to 30, the user authentication termination device creates an authentication identifier used by the associative authentication device that is an association destination and then transmits an authentication request to the associative authentication device. explain.

[全体構成]
まず、図28を用いて、実施例6に係る認証システムの全体構成について説明する。図28は、実施例6に係る認証システムの全体構成を示す図である。 [overall structure]
First, the overall configuration of the authentication system according to the sixth embodiment will be described with reference to FIG. FIG. 28 is a diagram illustrating the overall configuration of the authentication system according to the sixth embodiment.

図28に示すように、実施例6に係る認証システムは、ユーザ端末と、ユーザ認証終端装置と、認証サーバ1と、認証サーバ2、認証サーバ3とがネットワークを介して接続されている。なお、各装置の台数はこれに限定されるものではない。すなわち、認証サーバ2は、実施例1で説明した認証サーバAに対応し、認証サーバ3は、認証サーバBに対応する。また、各装置は、実施例2と同様の内容に加え、ユーザ認証終端装置10は、連想認証装置である認証サーバ3の連想先を記憶しており、連想認証装置である認証サーバ3は、実施例1および2のように連想先を記憶する必要はない。   As illustrated in FIG. 28, in the authentication system according to the sixth embodiment, a user terminal, a user authentication termination device, an authentication server 1, an authentication server 2, and an authentication server 3 are connected via a network. The number of devices is not limited to this. That is, the authentication server 2 corresponds to the authentication server A described in the first embodiment, and the authentication server 3 corresponds to the authentication server B. In addition to the contents similar to those in the second embodiment, each device stores the association destination of the authentication server 3 that is the associative authentication device, and the authentication server 3 that is the associative authentication device There is no need to store the association destination as in the first and second embodiments.

このような状態において、ユーザ端末から認証要求を受け付けたユーザ認証終端装置10は、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する。ここでは、ユーザ認証終端装置10は、認証サーバ1、認証サーバ2、認証サーバ3の順番に認証すると決定したとする。   In such a state, the user authentication termination device 10 that has received the authentication request from the user terminal determines the order of transmitting the user terminal authentication request according to a predetermined condition. Here, it is assumed that the user authentication termination device 10 determines to authenticate in the order of the authentication server 1, the authentication server 2, and the authentication server 3.

続いて、ユーザ認証終端装置10は、順番1と決定された認証サーバ1が、基本認証装置であるか、または、連想認証装置であるかを判定する。ここでは、認証サーバ1は基本認証装置であると判定されたとする。   Subsequently, the user authentication termination device 10 determines whether the authentication server 1 determined as order 1 is a basic authentication device or an associative authentication device. Here, it is assumed that the authentication server 1 is determined to be a basic authentication device.

その後、ユーザ認証終端装置10は、基本認証装置である認証サーバ1が認証に用いる認証情報を特定するUser−Name属性値「U001」と、User−Password属性値「PW−U001」を含むAccess−Requestメッセージを認証サーバ1の認証情報キャッシュサーバに送信する(図28の(1)参照)。これらの情報は、認証要求を受信したポート番号などを検索キーとして、予め記憶するユーザ情報DBから取得、または、ユーザ端末から受信した情報から取得することができる。   Thereafter, the user authentication terminal device 10 includes an Access-Name attribute value “U001” for specifying authentication information used for authentication by the authentication server 1 as a basic authentication device and an Access-Password attribute value “PW-U001”. The Request message is transmitted to the authentication information cache server of the authentication server 1 (see (1) in FIG. 28). These pieces of information can be acquired from the user information DB stored in advance using the port number or the like that received the authentication request as a search key, or can be acquired from information received from the user terminal.

そして、認証サーバ1の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U001」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図28の(2)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U001」に対応する属性情報がキャッシュ上に存在することから、User−Name属性値「U001」に対応する属性情報「User−Password=PW−U001」と「Framed−IP−Address=10.1.1.11」とをキャッシュから取得する。   When the authentication information cache server of the authentication server 1 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U001” included in the message is stored in the cache ( (See (2) in FIG. 28). At this time, since the attribute information corresponding to the User-Name attribute value “U001” exists in the cache, the authentication information cache server has attribute information “User-Password = PW” corresponding to the User-Name attribute value “U001”. -U001 "and" Framed-IP-Address = 10.1.1.11 "are acquired from the cache.

そして、認証サーバ1の認証情報キャッシュサーバは、メッセージに含まれるUser−Password属性値「PW−U001」と、キャッシュから取得した属性情報「User−Password=PW−U001」とが一致するため、認証許可とともに、属性情報「Framed−IP−Address=10.1.1.11」をユーザ認証終端装置に送信する(図28の(3)参照)。   The authentication information cache server of the authentication server 1 authenticates because the User-Password attribute value “PW-U001” included in the message matches the attribute information “User-Password = PW-U001” acquired from the cache. Along with the permission, the attribute information “Framed-IP-Address = 10.1.1.11” is transmitted to the user authentication terminal device (see (3) in FIG. 28).

続いて、ユーザ認証終端装置10は、次の認証先である認証サーバ2に対して、基本認証装置である認証サーバ2が認証に用いる認証情報を特定するUser−Name属性値「U101」と、User−Password属性値「PW−U101」を含むAccess−Requestメッセージを認証サーバ2の認証情報キャッシュサーバに送信する(図28の(4)参照)。   Subsequently, the user authentication termination device 10 sends a User-Name attribute value “U101” for specifying authentication information used for authentication by the authentication server 2 as the basic authentication device to the authentication server 2 as the next authentication destination, An Access-Request message including the User-Password attribute value “PW-U101” is transmitted to the authentication information cache server of the authentication server 2 (see (4) in FIG. 28).

そして、認証サーバ2の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれるUser−Name属性値「U101」に対応する属性情報がキャッシュに記憶されているか否かを判定する(図28の(5)参照)。このとき、認証情報キャッシュサーバは、User−Name属性値「U101」に対応する属性情報がキャッシュ上に存在しないことから、「U101」に対応する属性情報の問い合わせを認証情報データベースサーバに問い合わせる。そして、認証情報データベースサーバは、メモリまたはディスク上に「U101」に対応する属性情報を記憶していることから、「認証識別子=U101、User−Password=PW−U101、Service−Type=2、認証識別子グループ=G001」を認証情報キャッシュサーバに応答する。   When the authentication information cache server of the authentication server 2 receives the Access-Request message, the authentication information cache server determines whether or not the attribute information corresponding to the User-Name attribute value “U101” included in the message is stored in the cache ( (See (5) in FIG. 28). At this time, since the attribute information corresponding to the User-Name attribute value “U101” does not exist in the cache, the authentication information cache server inquires of the authentication information database server about the attribute information corresponding to “U101”. Since the authentication information database server stores the attribute information corresponding to “U101” on the memory or disk, “authentication identifier = U101, User-Password = PW-U101, Service-Type = 2, authentication “Identifier group = G001” is returned to the authentication information cache server.

すると、認証情報キャッシュサーバ2は、認証情報データベースサーバから受信した「User−Password=PW−U101」と、メッセージに含まれるUser−Password=PW−U101」とが一致することから、認証許可とともに属性情報「Service−Type=2」と「認証識別子グループ=G001」をユーザ認証終端装置に送信する(図28の(6)参照)。例えば、認証情報キャッシュサーバ2は、Configuration−Token属性やReply−Message属性によって送信する。このとき、認証情報キャッシュサーバは、認証情報データベースサーバから受信した情報をキャッシュに登録する。   Then, the authentication information cache server 2 matches “User-Password = PW-U101” received from the authentication information database server with “User-Password = PW-U101” included in the message. Information “Service-Type = 2” and “authentication identifier group = G001” are transmitted to the user authentication termination device (see (6) in FIG. 28). For example, the authentication information cache server 2 transmits using a Configuration-Token attribute or a Reply-Message attribute. At this time, the authentication information cache server registers the information received from the authentication information database server in the cache.

続いて、ユーザ認証終端装置10は、次の認証先である認証サーバ3が連想認証装置であり、連想先が認証サーバ2であることから、認証サーバ2の認証情報キャッシュサーバ2から受信した「認証識別子グループ=G001」と、認証サーバ3の認証識別子の一部である「U201」と結合した認証識別子「U201G001」を生成する。そして、ユーザ認証終端装置10は、生成した認証識別子「U201G001」をUser−Name属性値に含めたものと、User−Password属性値「PW−U201G001」とを含むAccess−Requestメッセージを認証サーバ3の認証情報キャッシュサーバに送信する(図28の(7)参照)。   Subsequently, since the authentication server 3 as the next authentication destination is the associative authentication device and the associative destination is the authentication server 2, the user authentication termination device 10 receives the authentication information from the authentication information cache server 2 of the authentication server 2. An authentication identifier “U201G001” combined with “U201” that is a part of the authentication identifier of the authentication server 3 and “Authentication identifier group = G001” is generated. Then, the user authentication termination device 10 transmits an Access-Request message including the generated authentication identifier “U201G001” in the User-Name attribute value and the User-Password attribute value “PW-U201G001” to the authentication server 3. It is transmitted to the authentication information cache server (see (7) in FIG. 28).

そして、認証サーバ3の認証情報キャッシュサーバは、Access−Requestメッセージを受信すると、メッセージに含まれる認証識別子「U201G001」にキャッシュ検索を行う(図28の(8)参照)。   Upon receiving the Access-Request message, the authentication information cache server of the authentication server 3 performs a cache search for the authentication identifier “U201G001” included in the message (see (8) in FIG. 28).

そして、認証サーバ3の認証情報キャッシュサーバは、ユーザ認証終端装置10のメッセージに含まれるUser−Password属性値「PW−U201G001」と、キャッシュから検索した属性値「PW−U201G001」とが一致することから、認証許可とともに、属性情報「Framed−Route=10.1.1.1」をユーザ認証終端装置に送信する(図28の(9)参照)。   In the authentication information cache server of the authentication server 3, the User-Password attribute value “PW-U201G001” included in the message of the user authentication termination device 10 matches the attribute value “PW-U201G001” retrieved from the cache. Then, along with the authentication permission, the attribute information “Framed-Route = 10.1.1.1” is transmitted to the user authentication terminal device (see (9) in FIG. 28).

ユーザ認証終端装置10は、認証依頼を送信した認証サーバ1〜3から受信した認証結果が全て認証許可である場合に、ユーザ端末の認証を許可する。   The user authentication termination device 10 permits authentication of the user terminal when all authentication results received from the authentication servers 1 to 3 that transmitted the authentication request are authentication permission.

[処理の流れ]
次に、図29と図30を用いて、実施例6にかかる認証システムにおける各装置の処理の流れについて説明する。 [Process flow]
Next, a processing flow of each device in the authentication system according to the sixth embodiment will be described with reference to FIGS. 29 and 30.

(ユーザ認証終端装置の処理の流れ)
図29を用いて、ユーザ認証終端装置における処理の流れを説明する。図29は、実施例6に係るユーザ認証終端装置における処理の流れを示すフローチャートである。 (Processing flow of user authentication termination device)
The flow of processing in the user authentication termination device will be described with reference to FIG. FIG. 29 is a flowchart illustrating the flow of processing in the user authentication termination apparatus according to the sixth embodiment.

図29に示すように、ユーザ端末から認証要求を受信したユーザ認証終端装置10は、所定の条件に従って、ユーザ端末の認証依頼を送信する順番を決定する(ステップS400)。このとき、ユーザ認証終端装置10は、認証要求を受信したポート番号を検索キーとしてユーザ情報DBを検索すること、または、ユーザ端末から受信した情報から、認証要求を送信したユーザのユーザ情報を特定する。   As illustrated in FIG. 29, the user authentication termination device 10 that has received the authentication request from the user terminal determines the order in which the user terminal authentication requests are transmitted according to a predetermined condition (step S400). At this time, the user authentication termination device 10 searches the user information DB using the port number that received the authentication request as a search key, or specifies the user information of the user who transmitted the authentication request from the information received from the user terminal. To do.

続いて、ユーザ認証終端装置10は、決定された順番で認証サーバに認証依頼を送信する場合に、送信対象である認証サーバが、基本認証装置であるか、または、連想認証装置であるかを認証装置型情報DBから判定する(ステップS401)。   Subsequently, when the authentication request is transmitted to the authentication server in the determined order, the user authentication termination device 10 determines whether the authentication server to be transmitted is a basic authentication device or an associative authentication device. The determination is made from the authentication device type information DB (step S401).

そして、ユーザ認証終端装置10は、基本認証装置であると判定された認証サーバに対して(ステップS401肯定)、当該認証サーバが認証に用いる認証情報を特定する認証識別子を認証装置型情報DBおよびユーザ情報DBおよびユーザ端末から受信した情報から特定し、これらを含む認証依頼を作成して送信する(ステップS402とステップS403)。   Then, the user authentication termination device 10 determines an authentication identifier for identifying authentication information used for authentication by the authentication server for the authentication server determined to be a basic authentication device (Yes in step S401) and the authentication device type information DB and It identifies from the information received from the user information DB and the user terminal, and creates and transmits an authentication request including these (step S402 and step S403).

その後、ユーザ認証終端装置10は、認証依頼が送信された認証サーバから認証結果を受信する(ステップS404)。ユーザ認証終端装置10は、受信した認証結果が認証許可である場合に(ステップS405肯定)、全ての認証サーバから認証結果を受信したか否かを判定する(ステップS406)。   Thereafter, the user authentication termination device 10 receives the authentication result from the authentication server to which the authentication request has been transmitted (step S404). When the received authentication result indicates that the authentication is permitted (Yes at step S405), the user authentication termination device 10 determines whether the authentication result has been received from all the authentication servers (step S406).

そして、ユーザ認証終端装置10は、全ての認証サーバから受信した認証結果が全て認証許可である場合に(ステップS406肯定)、ユーザ端末の認証許可する送信する(ステップS407)。   Then, when all the authentication results received from all the authentication servers indicate that the authentication is permitted (Yes at Step S406), the user authentication termination device 10 transmits the authentication permitting the user terminal (Step S407).

一方、ユーザ認証終端装置10は、受信した認証結果が認証許可でない場合に(ステップS405否定)、ユーザ端末の認証拒否する送信する(ステップS408)。また、ユーザ認証終端装置10は、全ての認証サーバから認証結果を受信していない場合(ステップS406否定)、決定された次の順番の認証サーバを決定し(ステップS409)、ステップS401以降の処理を繰り返す。   On the other hand, when the received authentication result is not authentication permission (No at Step S405), the user authentication termination device 10 transmits to reject authentication of the user terminal (Step S408). In addition, when the authentication result has not been received from all the authentication servers (No at Step S406), the user authentication termination device 10 determines the next authentication server in the determined order (Step S409), and the processes after Step S401 repeat.

一方、ステップS401に戻り、ユーザ認証終端装置10は、連想認証装置であると判定された認証サーバに対して(ステップS401否定)、認証装置型情報DBから当該認証サーバの連想先を特定する(ステップS410)。   On the other hand, returning to step S401, the user authentication termination device 10 specifies the association destination of the authentication server from the authentication device type information DB for the authentication server determined to be an associative authentication device (No at step S401) ( Step S410).

その後、ユーザ認証終端装置10は、当該認証サーバが認証に用いる認証識別子の一部を示す第一の識別子を認証装置型情報DBおよびユーザ情報DBおよびユーザ端末から受信した情報から特定するとともに、認証識別子の一部を示す第二の識別子を連想先の認証サーバから予め受信した情報から特定する(ステップS411)。そして、ユーザ認証終端装置10は、特定した第一の識別子と第二の識別子とを結合して認証識別子を生成し、これを含む認証依頼を作成する(ステップS412)。その後は、ステップS403〜ステップS409の処理を実行する。   Thereafter, the user authentication termination device 10 specifies a first identifier indicating a part of the authentication identifier used for authentication by the authentication server from the authentication device type information DB, the user information DB, and the information received from the user terminal, and authentication. A second identifier indicating a part of the identifier is specified from information received in advance from the authentication server of the association destination (step S411). Then, the user authentication termination device 10 combines the identified first identifier and second identifier to generate an authentication identifier, and creates an authentication request including this (step S412). Thereafter, the processing of step S403 to step S409 is executed.

(認証サーバ2の認証情報キャッシュサーバにおける処理の流れ)
図30を用いて、認証サーバ2の認証情報キャッシュサーバにおける処理の流れを説明する。図30は、実施例6に係る認証サーバ2の認証情報キャッシュサーバにおける処理の流れを示すフローチャートである。 (Processing flow in the authentication information cache server of the authentication server 2)
A processing flow in the authentication information cache server of the authentication server 2 will be described with reference to FIG. FIG. 30 is a flowchart illustrating a process flow in the authentication information cache server of the authentication server 2 according to the sixth embodiment.

図30に示すように、ユーザ認証終端装置10から認証依頼を受信した認証サーバ2の認証情報キャッシュサーバは、受信した認証依頼から認証識別子を取得し、取得した認証識別子に対応付けてキャッシュに記憶される属性情報を検索する(ステップS450とステップS451)。   As illustrated in FIG. 30, the authentication information cache server of the authentication server 2 that has received the authentication request from the user authentication termination device 10 acquires the authentication identifier from the received authentication request, and stores the authentication identifier in the cache in association with the acquired authentication identifier. The attribute information to be searched is searched (step S450 and step S451).

続いて、認証サーバ2の認証情報キャッシュサーバは、認証識別子に対応付けられた認証情報がキャッシュに存在する場合に(ステップS452肯定)、キャッシュから取得された認証情報(属性情報)を用いてユーザ認証を行う(ステップS453)。   Subsequently, the authentication information cache server of the authentication server 2 uses the authentication information (attribute information) acquired from the cache when the authentication information associated with the authentication identifier exists in the cache (Yes in step S452). Authentication is performed (step S453).

そして、認証サーバ2の認証情報キャッシュサーバは、キャッシュから取得した「属性情報」に、認証依頼から取得された「属性情報」の全部または一部が含まれている場合に、認証結果を認証許可とし(ステップS454肯定)、認証許可をユーザ認証終端装置10に応答する(ステップS455)。このとき、認証情報キャッシュサーバは、受信した認証依頼に含まれる認証識別子に対応付けてキャッシュに「認証識別子グループ」が記憶されている場合には、「認証識別子、認証識別子グループ」を対応付けて送信する。   Then, the authentication information cache server of the authentication server 2 permits authentication of the authentication result when all or part of the “attribute information” acquired from the authentication request is included in the “attribute information” acquired from the cache. (Yes in step S454), the authentication permission is returned to the user authentication termination device 10 (step S455). At this time, if the authentication information cache server stores “authentication identifier group” in the cache in association with the authentication identifier included in the received authentication request, the authentication information cache server associates “authentication identifier, authentication identifier group” with each other. Send.

また、認証サーバ2の認証情報キャッシュサーバは、キャッシュから取得した「属性情報」に、認証依頼から取得された「属性情報」の全部または一部が含まれていない場合に、認証結果を認証拒否とし(ステップS454否定)、認証拒否をユーザ認証終端装置10に応答する(ステップS456)。   Further, the authentication information cache server of the authentication server 2 rejects the authentication result when the “attribute information” acquired from the cache does not include all or part of the “attribute information” acquired from the authentication request. (No in step S454), and the authentication rejection is returned to the user authentication termination device 10 (step S456).

一方、ステップS452に戻り、認証サーバ2の認証情報キャッシュサーバは、認証識別子に対応付けられた認証情報がキャッシュに存在しない場合に(ステップS452否定)、当該認証識別子に対応する認証情報の取得要求(検索要求)を認証サーバ2の認証情報データベースサーバに送信する(ステップS457)。   On the other hand, returning to step S452, if the authentication information associated with the authentication identifier does not exist in the cache (No at step S452), the authentication information cache server of the authentication server 2 obtains the authentication information corresponding to the authentication identifier. (Search request) is transmitted to the authentication information database server of the authentication server 2 (step S457).

そして、認証サーバ2の認証情報キャッシュサーバは、認証情報データベースサーバから認証情報を受信し(ステップS458)、検索結果有り(認証情報なしではない)の場合(ステップS459肯定)、当該認証情報をキャッシュに登録し(ステップS460)、ステップS453以降の処理を実行する。また、認証情報キャッシュサーバは、検索結果なし(認証情報なし)の場合(ステップS459否定)、認証拒否をユーザ認証終端装置10に応答する(ステップS456)。   Then, the authentication information cache server of the authentication server 2 receives the authentication information from the authentication information database server (step S458). If there is a search result (no authentication information) (Yes in step S459), the authentication information cache server caches the authentication information. (Step S460), and the processing after step S453 is executed. If there is no search result (no authentication information) (No at step S459), the authentication information cache server responds to the user authentication termination device 10 with an authentication rejection (step S456).

また、連想認証装置である認証サーバ3の認証情報キャッシュサーバは、実施例1〜6で説明した新たな認証識別子が含まれる認証依頼を受信するので、認証依頼を受信した場合には、認証依頼から新たな認証識別子を取得し、新たな認証識別子を用いて、実施例1等と同様にステップS165〜ステップS174の処理を実施する。   Further, since the authentication information cache server of the authentication server 3 that is the associative authentication device receives the authentication request including the new authentication identifier described in the first to sixth embodiments, the authentication request is received when the authentication request is received. A new authentication identifier is acquired from the above, and the processing from step S165 to step S174 is performed in the same manner as in the first embodiment using the new authentication identifier.

さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。   Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above.

(認証サーバの構成)
例えば、認証サーバは、認証情報キャッシュサーバの機能と認証情報データベースサーバの機能とを有する1台の筐体で実現されてもよい。また、認証情報キャッシュサーバと、認証情報データベースサーバとを別の筐体で実現してもよい。さらに、認証サーバは、1台以上の認証情報キャッシュサーバや認証情報データベースサーバで構成されていてもよい。また、複数の認証識別子種別を有する1台の認証サーバで構成してもよい。 (Configuration of authentication server)
For example, the authentication server may be realized by a single housing having a function of an authentication information cache server and a function of an authentication information database server. Further, the authentication information cache server and the authentication information database server may be realized in separate cases. Furthermore, the authentication server may be composed of one or more authentication information cache servers and an authentication information database server. Moreover, you may comprise with one authentication server which has several authentication identifier classification.

(認証識別子グループの検索手法)
例えば、認証情報キャッシュサーバは、認証識別子が属する認証識別子グループのみを検索してもよく、認証識別子グループに加えて、認証識別子に対応する属性情報全てまたは一部を検索するようにしてもよい。また、認証情報キャッシュサーバは、認証情報データベースサーバに登録されている認証識別子および属性情報を、キャッシュに登録している例を説明したが、問い合わせのあった識別子が認証情報データベースサーバに登録されていないことを登録できるようにしてもよい。この場合、認証情報キャッシュサーバのキャッシュに、認証情報データベースサーバ上に登録されている情報であるか否かを示すフラグを用意する。そして、認証情報キャッシュサーバは、キャッシュを検索する場合に、このフラグを確認することで、認証情報データベースサーバ上での存在有無に関わらず、認証情報データベースサーバへのアクセス頻度を下げるようにしてもよい。 (Authentication identifier group search method)
For example, the authentication information cache server may search only the authentication identifier group to which the authentication identifier belongs, or may search all or part of the attribute information corresponding to the authentication identifier in addition to the authentication identifier group. In addition, the authentication information cache server has been described as an example in which the authentication identifier and attribute information registered in the authentication information database server are registered in the cache. However, the inquired identifier is registered in the authentication information database server. It may be possible to register that there is nothing. In this case, a flag indicating whether or not the information is registered on the authentication information database server is prepared in the cache of the authentication information cache server. When the authentication information cache server searches the cache, the authentication information cache server checks the flag to reduce the access frequency to the authentication information database server regardless of the presence or absence on the authentication information database server. Good.

(認証識別子グループの送信手法)
例えば、上述した実施例では、ユーザ認証終端装置と認証サーバとの間で、認証識別子や認証識別子グループをやり取りする例について説明した。このように、ユーザ認証終端装置と認証サーバとの間で、認証識別子や認証識別子グループをやり取りする場合、ユーザ認証終端装置から認証サーバに送信した情報の一部、送信した情報全部、または、これらの組み合わせたものを認証識別子として用いることもできる。さらに、ユーザ認証終端装置から認証サーバに送信される情報から変換テーブルや関数を用いて変換した情報を組み合わせて、認証識別子として用いることもできる。この場合、変換された情報と、ユーザ認証終端装置から認証サーバに送信される情報とを組み合わせてもよい。 (Authentication identifier group transmission method)
For example, in the above-described embodiment, the example in which the authentication identifier and the authentication identifier group are exchanged between the user authentication termination device and the authentication server has been described. As described above, when an authentication identifier or an authentication identifier group is exchanged between the user authentication termination device and the authentication server, part of the information transmitted from the user authentication termination device to the authentication server, all of the transmitted information, or these A combination of these can also be used as an authentication identifier. Furthermore, information converted from information transmitted from the user authentication termination device to the authentication server using a conversion table or function can be combined and used as an authentication identifier. In this case, the converted information and information transmitted from the user authentication termination device to the authentication server may be combined.

(RADIUS属性値)
例えば、上記した実施例では、RADIUS属性値としてUser−Nameの属性値を用いたが、これに限定されるものではない。例えば、NAS−Port−Id属性値、NAS−Port属性値、NAS−IP−Address属性値をそれぞれ用いてもよいし、これらを組み合わせて用いることもできる。また、これらに限定されず、任意のRADIUS属性値を用いることもできる。さらに、RADIUS属性値をそのまま用いてもよいし、関数などによって変換したものを用いてもよい。 (RADIUS attribute value)
For example, in the above-described embodiment, the User-Name attribute value is used as the RADIUS attribute value, but the present invention is not limited to this. For example, a NAS-Port-Id attribute value, a NAS-Port attribute value, a NAS-IP-Address attribute value may be used, or a combination thereof may be used. Moreover, it is not limited to these, Arbitrary RADIUS attribute values can also be used. Further, the RADIUS attribute value may be used as it is, or a value converted by a function or the like may be used.

また、例えば、上記した実施例では、ユーザ認証終端装置から受信したUser−Password属性値の値を用いて、認証許可か不許可かを判定したが、これに限定されるものではない。例えば、特定のRADIUS属性がAccess−Requestメッセージに含まれていること、含まれていないことを認証判断基準としてもよく、特定のRADIUS値が存在する、存在しない、あるいは、ある一定範囲の値であることを認証判断基準としてもよい。なお、認証識別子は、ユーザに対して割り当てられていてもよく、ユーザグループに対して割り当てられていてもよい。   Further, for example, in the above-described embodiment, whether the authentication is permitted or not is determined using the value of the User-Password attribute value received from the user authentication termination device, but the present invention is not limited to this. For example, whether or not a specific RADIUS attribute is included or not included in an Access-Request message may be used as an authentication criterion. It is good also as an authentication judgment standard. The authentication identifier may be assigned to a user or a user group.

(認証順番)
例えば、上述した実施例では、予め認証の順番が決定されている場合について説明したが、これに限定されるものではない。例えば、認証を行う順序は、一方のサーバによって行われるテーブルの検索によって取得した情報、または、取得した情報を登録したキャッシュが、他方のサーバが利用できるように決めることもできる。具体的には、連想認証装置よりも基本認証装置が先に認証するように、順番を決定することもできる。また、認証情報キャッシュサーバが、認証情報データベースサーバに認証情報を登録する契機が、ユーザ認証終端装置からの認証要求のみの場合、基本認証装置を連想認証装置に対して先行して行い、契機がユーザ認証終端装置からの認証要求と連想認証装置からの認証識別子グループの検索要求双方の場合、任意の順序で認証を実施可能である。 (Certification order)
For example, in the above-described embodiment, the case where the authentication order is determined in advance has been described, but the present invention is not limited to this. For example, the order in which authentication is performed can be determined so that information acquired by searching a table performed by one server or a cache in which the acquired information is registered can be used by the other server. Specifically, the order can be determined so that the basic authentication device authenticates before the associative authentication device. If the authentication information cache server registers authentication information in the authentication information database server only for an authentication request from the user authentication terminal device, the basic authentication device is performed in advance for the associative authentication device. In both cases of the authentication request from the user authentication termination device and the authentication identifier group search request from the associative authentication device, authentication can be performed in an arbitrary order.

(認証判定手法)
例えば、上述した実施例では、「認証識別子」に対応する「属性情報」が一致するか否かによって、認証許可または認証拒否を判定したが、これに限定されるものではない。例えば、「認証識別子」に複数の「属性情報」が対応づけられている場合には、すべての「属性情報」が一致する場合にのみ認証許可と判断することもでき、ある一定範囲の「属性情報」が一致する場合も認証許可と判断することもできる。また、「認証識別子」に複数の「属性情報」から比較対象となる「属性情報」を特定し、上述した判定を行うこともできる。 (Authentication judgment method)
For example, in the above-described embodiment, the authentication permission or the authentication rejection is determined based on whether or not the “attribute information” corresponding to the “authentication identifier” matches, but the present invention is not limited to this. For example, in the case where a plurality of “attribute information” is associated with “authentication identifier”, it can be determined that authentication is permitted only when all “attribute information” matches. It is also possible to determine that authentication is permitted when the “information” matches. It is also possible to specify “attribute information” to be compared from a plurality of “attribute information” in “authentication identifier” and perform the above-described determination.

(特定情報)
例えば、上述した実施例では、認証情報キャッシュサーバB40は、ユーザ認証終端装置から、「認証識別子」と「属性情報」と「特定情報」とが含まれる認証依頼を受信する例について説明したが、これに限定されるものではない。例を挙げると、認証情報キャッシュサーバB40は、「特定情報」を「属性情報」の一部として受信することもできる。すなわち、本願が開示する認証システムでは、「特定情報」や「属性情報」を厳密に区別する必要はない。したがって、ユーザ認証終端装置は、「特定情報」を「属性情報」に含めた認証依頼を認証情報キャッシュサーバに送信することができ、認証情報キャッシュサーバにおいても、受信した認証依頼から「属性情報」を取得し、「属性情報」から「特定情報」を取得することもできる。また、本願が開示する認証システムでは、「属性情報」の一部を「特定情報」として用いることもできる。 (Specific information)
For example, in the above-described embodiment, the authentication information cache server B40 has described an example of receiving an authentication request including “authentication identifier”, “attribute information”, and “specific information” from the user authentication termination device. It is not limited to this. For example, the authentication information cache server B40 may receive “specific information” as part of “attribute information”. That is, in the authentication system disclosed in the present application, it is not necessary to strictly distinguish “specific information” and “attribute information”. Therefore, the user authentication termination device can transmit an authentication request including “specific information” in “attribute information” to the authentication information cache server, and the authentication information cache server also receives “attribute information” from the received authentication request. It is also possible to acquire “specific information” from “attribute information”. In the authentication system disclosed in the present application, a part of “attribute information” can be used as “specific information”.

さらには、認証識別子(上述した実施例では認証情報キャッシュサーバA20が使用する認証識別子=ユーザID)と、特定情報(=ユーザID)とが一致する例を説明したが、これに限定されるものではなく、認証識別子と特定情報とが全く異なる情報であってもよい。その場合、例えば、認証情報キャッシュサーバA20のような基本認証装置が「第二の識別子(認証識別子グループ)」と「特定情報」とを対応付けたテーブルを保持しておくことで、上述した実施例と同じ処理が実施できる。   Furthermore, although the example in which the authentication identifier (authentication identifier = user ID used by the authentication information cache server A20 in the above-described embodiment) matches the specific information (= user ID) has been described, the present invention is limited to this. Instead, the authentication identifier and the specific information may be completely different information. In this case, for example, the basic authentication device such as the authentication information cache server A20 maintains a table in which the “second identifier (authentication identifier group)” and the “specific information” are associated with each other. The same processing as the example can be performed.

(連想認証装置)
例えば、上述した実施例では、連想認証装置は、連想先の基本認証装置から「第二の識別子(認証識別子グループ)」を取得する場合について説明したが、これに限定されるものではない。例を挙げると、連想認証装置は、他の連想認証装置の連想先として機能することもできる。その場合、連想認証装置は、認証情報キャッシュサーバA20のように、「特定情報」に対応付けた「第二の識別子(認証識別子グループ)」を保持すればよい。 (Associative authentication device)
For example, in the embodiment described above, the case has been described in which the associative authentication device acquires the “second identifier (authentication identifier group)” from the basic authentication device of the association destination, but the present invention is not limited to this. For example, the associative authentication device may function as an associative destination of another associative authentication device. In this case, the associative authentication device may hold a “second identifier (authentication identifier group)” associated with “specific information” like the authentication information cache server A20.

(システム構成等)
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、音声認識処理など)の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。また、例えば、認証システムは、ユーザ認証終端装置と1以上の基本認証装置と1以上の連想認証装置で構成されるシステムであってもよく、または、1以上の基本認証装置と1以上の連想認証装置で構成されるシステムであってもよい。 (System configuration etc.)
In addition, among the processes described in this embodiment, all or a part of the processes described as being automatically performed (for example, voice recognition process) can be manually performed, or manually. All or part of the processing described as being performed can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified. Further, for example, the authentication system may be a system including a user authentication termination device, one or more basic authentication devices, and one or more associative authentication devices, or one or more basic authentication devices and one or more associative devices. A system including an authentication device may be used.

また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。なお、上述した認証装置において、自装置が基本認証装置なのか連想認証装置なのかに関する情報である認証型は、初期設定時、又は起動時等に確定している情報であってもよく、認証依頼を受信するたびに逐次識別するという手順を省略してもよい。   Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic. In the authentication device described above, the authentication type that is information regarding whether the device itself is a basic authentication device or an associative authentication device may be information that is determined at the time of initial setting or at the time of startup, etc. The procedure of sequentially identifying each time a request is received may be omitted.

(プログラム)
なお、本実施例で説明した認証方法及び認証装置は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 (program)
Note that the authentication method and authentication apparatus described in the present embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD, and being read from the recording medium by the computer.

以上のように、本発明にかかる認証装置、認証方法、認証プログラムおよび認証システムは、ユーザ端末からの認証要求を受信するユーザ認証終端装置と、ユーザ認証終端装置から認証依頼に応じてユーザ認証処理を実施する複数の認証装置とを有して構成されるシステムに有用であり、特に、認証情報を格納する領域を削減するとともに、認証システム全体の性能を向上させることに適している。   As described above, the authentication device, the authentication method, the authentication program, and the authentication system according to the present invention include a user authentication termination device that receives an authentication request from a user terminal, and a user authentication process in response to an authentication request from the user authentication termination device. It is useful for a system that includes a plurality of authentication devices that implement the authentication, and is particularly suitable for reducing the area for storing authentication information and improving the performance of the entire authentication system.

10 ユーザ認証終端装置
11 通信制御I/F部
12 記憶部
12a ユーザ情報DB
12b 認証順番DB
12c 認証装置型情報DB
13 制御部
13a 順番決定部
13b 装置種別判定部
13c 基本認証依頼部
13d 連想認証依頼部
13e 認証結果送信部
20 認証情報キャッシュサーバA
21 通信制御I/F部
22 記憶部
22a キャッシュ
22b 認証装置型情報DB
23 制御部
23a キャッシュ判定部
23b 識別子送信部
23c 認証処理部
30 認証情報データベースサーバA
31 通信制御I/F部
32 記憶部
32a 認証情報DB
33 制御部
33a キャッシュ応答部
40 認証情報キャッシュサーバB
41 通信制御I/F部
42 記憶部
42a キャッシュ
42b 認証装置型情報DB
43 制御部
43a 認証識別子要求部
43b キャッシュ判定部
43c 認証処理部
50 認証情報データベースサーバB
51 通信制御I/F部
52 記憶部
52a 認証情報DB
53 制御部
53a キャッシュ応答部 10 User Authentication Termination Device 11 Communication Control I / F Unit 12 Storage Unit 12a User Information DB
12b Authentication order DB
12c Authentication device type information DB
13 Control unit 13a Order determination unit 13b Device type determination unit 13c Basic authentication request unit 13d Associative authentication request unit 13e Authentication result transmission unit 20 Authentication information cache server A
21 Communication Control I / F Unit 22 Storage Unit 22a Cache 22b Authentication Device Type Information DB
23 control unit 23a cache determination unit 23b identifier transmission unit 23c authentication processing unit 30 authentication information database server A
31 Communication Control I / F Unit 32 Storage Unit 32a Authentication Information DB
33 Control unit 33a Cache response unit 40 Authentication information cache server B
41 Communication Control I / F Unit 42 Storage Unit 42a Cache 42b Authentication Device Type Information DB
43 Control Unit 43a Authentication Identifier Request Unit 43b Cache Determination Unit 43c Authentication Processing Unit 50 Authentication Information Database Server B
51 Communication Control I / F Unit 52 Storage Unit 52a Authentication Information DB
53 Control unit 53a Cache response unit

Claims (18)

ユーザ端末からの認証要求を受信するユーザ認証終端装置から受信した認証依頼に応じてユーザ認証処理を実施する認証装置であって、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
他の認証装置がユーザ認証処理に用いる認証識別子の一部である他の認証識別子と、前記他の認証識別子を特定する特定情報とを対応付けて保持する特定情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、取得した認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
所定の条件に応じて特定される特定情報に対応する他の認証識別子を、前記認証情報保持手段から取得して前記他の認証装置に送信する識別子送信手段と、
を有することを特徴とする認証装置。 An authentication device that performs user authentication processing in response to an authentication request received from a user authentication termination device that receives an authentication request from a user terminal,
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
Specific information holding means for holding another authentication identifier that is a part of an authentication identifier used by another authentication device for user authentication processing and specific information for specifying the other authentication identifier in association with each other;
When an authentication request is received from the user authentication termination device, an authentication identifier is acquired from the authentication request, and user authentication processing is performed using attribute information stored in the authentication information holding unit in association with the acquired authentication identifier Authentication means for transmitting an authentication result to the user authentication termination device;
An identifier transmitting means for acquiring another authentication identifier corresponding to the specific information specified according to a predetermined condition from the authentication information holding means and transmitting it to the other authentication device;
An authentication apparatus comprising: 前記認証装置は、データベースサーバ部とキャッシュサーバ部とを有する装置であって、
前記データベースサーバ部は、
前記認証情報保持手段と、
前記特定情報保持手段と、
前記キャッシュサーバ部から認証識別子を含む認証情報取得要求を受信し、当該認証識別子に対応する属性情報を前記認証情報保持手段に保持している場合に、前記認証情報保持手段に保持される認証識別子に対応付けられた認証情報を前記キャッシュサーバ部に応答し、前記認証識別子に対応する属性情報を前記認証情報保持手段に保持していない場合に、前記属性情報を保持していないことを前記キャッシュサーバ部に応答する第一応答手段と、
前記キャッシュサーバ部から前記特定情報を含む認証識別子取得要求を受信し、当該特定情報に対応する他の認証識別子を前記特定情報保持手段に保持している場合に、前記特定情報保持手段に保持される特定情報に対応付けられた他の認証識別子を前記キャッシュサーバ部に応答し、前記特定情報に対応する他の認証識別子を前記特定情報保持手段に保持していない場合に、前記他の認証識別子を保持していないことを前記キャッシュサーバ部に応答する第二応答手段とを、有し、
前記キャッシュサーバ部は、
前記データベースサーバ部の認証情報保持手段に保持される前記認証情報をのうち、過去に使用した認証情報と、前記データベースサーバ部の特定情報保持手段に保持される情報をのうち、過去に使用した情報を保持するキャッシュ保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、取得した認証識別子に対応する属性情報が、前記キャッシュ保持手段に記憶されているか否かを判定するキャッシュ判定手段と、
前記キャッシュ判定手段により前記認証識別子に対応する属性情報が前記キャッシュ保持手段に保持されていると判定された場合に、前記認証識別子に対応する属性情報を前記キャッシュ保持手段から取得してユーザ認証処理を実施し、前記キャッシュ判定手段により前記認証識別子に対応する属性情報が前記キャッシュ保持手段に保持されていないと判定された場合には、前記認証識別子に対応する属性情報を前記データベースサーバ部から取得してユーザ認証処理を実施する認証手段と、
所定の条件に応じて特定される特定情報に対応する他の認証識別子が前記キャッシュ保持手段に保持されている場合には、前記他の認証識別子を前記キャッシュ保持手段から取得して前記他の認証装置に送信し、所定の条件に応じて特定される特定情報に対応する他の認証識別子が前記キャッシュ保持手段に保持されていない場合には、前記他の認証識別子を前記データベースサーバ部から取得して前記他の認証装置に送信する識別子送信手段と、
を有することを特徴とする請求項1に記載の認証装置。 The authentication device is a device having a database server unit and a cache server unit,
The database server unit is
The authentication information holding means;
The specific information holding means;
An authentication identifier held in the authentication information holding unit when an authentication information acquisition request including an authentication identifier is received from the cache server unit and attribute information corresponding to the authentication identifier is held in the authentication information holding unit If the attribute information corresponding to the authentication identifier is not held in the authentication information holding means, the cache server unit is informed that the attribute information is not held. First response means for responding to the server unit;
When the authentication identifier acquisition request including the specific information is received from the cache server unit and another authentication identifier corresponding to the specific information is held in the specific information holding unit, the authentication information is held in the specific information holding unit. The other authentication identifier associated with the specific information is returned to the cache server unit, and the other authentication identifier corresponding to the specific information is not held in the specific information holding means, the other authentication identifier A second response means for responding to the cache server unit that it does not hold
The cache server unit
Of the authentication information held in the authentication information holding unit of the database server unit, the authentication information used in the past and the information held in the specific information holding unit of the database server unit were used in the past. A cache holding means for holding information;
A cache that, when receiving an authentication request from the user authentication termination device, acquires an authentication identifier from the authentication request, and determines whether or not attribute information corresponding to the acquired authentication identifier is stored in the cache holding unit A determination means;
When the cache determination unit determines that the attribute information corresponding to the authentication identifier is held in the cache holding unit, the attribute information corresponding to the authentication identifier is acquired from the cache holding unit and the user authentication process is performed. And when the cache determination unit determines that the attribute information corresponding to the authentication identifier is not held in the cache holding unit, the attribute information corresponding to the authentication identifier is acquired from the database server unit. Authentication means for performing user authentication processing,
When another authentication identifier corresponding to specific information specified according to a predetermined condition is held in the cache holding unit, the other authentication identifier is acquired from the cache holding unit and the other authentication identifier is acquired. When the other authentication identifier corresponding to the specific information specified in accordance with a predetermined condition is not held in the cache holding unit, the other authentication identifier is acquired from the database server unit. Identifier transmitting means for transmitting to the other authentication device
The authentication apparatus according to claim 1, further comprising: 前記識別子送信手段は、前記認証依頼に含まれる特定情報に対応する他の認証識別子を、前記キャッシュ保持手段または前記データベースサーバ部から検索した場合に、当該特定情報に対応する他の認証識別子を取得し、前記他の認証装置に送信することを特徴とする請求項2に記載の認証装置。   The identifier transmitting unit obtains another authentication identifier corresponding to the specific information when the cache holding unit or the database server unit searches for another authentication identifier corresponding to the specific information included in the authentication request. The authentication apparatus according to claim 2, wherein the authentication apparatus transmits to the other authentication apparatus. 前記識別子送信手段は、前記他の認証装置から前記他の認証識別子の取得要求を受信した場合に、当該取得要求に含まれる特定情報に対応する他の認証識別子を、前記キャッシュ保持手段または前記データベースサーバ部から取得して、前記ユーザ認証終端装置を介さずに、前記他の認証装置に直接送信することを特徴とする請求項2に記載の認証装置。   When the identifier transmission unit receives the acquisition request for the other authentication identifier from the other authentication device, the identifier transmission unit displays the other authentication identifier corresponding to the specific information included in the acquisition request as the cache holding unit or the database. The authentication apparatus according to claim 2, wherein the authentication apparatus is acquired from a server unit and directly transmitted to the other authentication apparatus without passing through the user authentication termination apparatus. 前記識別子送信手段は、前記ユーザ認証終端装置から前記認証依頼を受信した場合に、当該認証依頼に含まれる特定情報に対応する他の認証識別子を、前記キャッシュ保持手段または前記データベースサーバ部から取得して、前記ユーザ認証終端装置に送信することを特徴とする請求項2に記載の認証装置。   When the authentication request is received from the user authentication termination device, the identifier transmission unit acquires another authentication identifier corresponding to the specific information included in the authentication request from the cache holding unit or the database server unit. The authentication apparatus according to claim 2, wherein the authentication apparatus transmits to the user authentication termination apparatus. ユーザ端末からの認証要求を受信するユーザ認証終端装置から受信した認証依頼に応じてユーザ認証処理を実施する認証装置に適した認証方法であって、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持部から、取得した認証識別子に対応付けて記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証ステップと、
所定の条件に応じて特定される特定情報に対応する他の認証識別子を、他の認証装置がユーザ認証処理に用いる認証識別子の一部である他の認証識別子と、前記他の認証識別子を特定する特定情報とを対応付けて保持する認証情報保持部から取得して前記他の認証装置に送信する識別子送信ステップと、
を含んだことを特徴とする認証方法。 An authentication method suitable for an authentication apparatus that performs user authentication processing in response to an authentication request received from a user authentication termination apparatus that receives an authentication request from a user terminal,
When an authentication request is received from the user authentication termination device, an authentication identifier is acquired from the authentication request, and authentication information for identifying attribute information used by the authentication device for authentication is associated with the attribute information. An authentication step of performing user authentication processing using attribute information stored in association with the acquired authentication identifier from the authentication information holding unit holding the authentication information, and transmitting an authentication result to the user authentication termination device;
Identifies other authentication identifiers corresponding to specific information specified according to a predetermined condition, other authentication identifiers that are a part of authentication identifiers used by other authentication devices for user authentication processing, and the other authentication identifiers An identifier transmission step of acquiring from the authentication information holding unit that holds the specific information in association with each other and transmitting it to the other authentication device;
The authentication method characterized by including. ユーザ端末からの認証要求を受信するユーザ認証終端装置から受信した認証依頼に応じてユーザ認証処理を実施する認証装置であって、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、前記認証識別子の一部を示す第一の識別子と、前記認証識別子の一部を示す第二の識別子を特定する特定情報とを認証依頼から取得し、予め保持する装置情報によって特定される他の認証装置から、前記第二の識別子を取得する識別子取得手段と、
前記識別子取得手段により取得された第二の識別子と、前記認証依頼から取得した第一の識別子とを用いた新たな認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
を有することを特徴とする認証装置。 An authentication device that performs user authentication processing in response to an authentication request received from a user authentication termination device that receives an authentication request from a user terminal,
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
When an authentication request is received from the user authentication termination device, a first identifier indicating a part of the authentication identifier and specific information specifying a second identifier indicating a part of the authentication identifier are received from the authentication request. An identifier acquisition means for acquiring the second identifier from another authentication device specified by device information acquired and held in advance;
Using attribute information stored in the authentication information holding unit in association with a new authentication identifier using the second identifier acquired by the identifier acquisition unit and the first identifier acquired from the authentication request. Authentication means for performing user authentication processing and transmitting an authentication result to the user authentication termination device;
An authentication apparatus comprising: 前記認証装置は、データベースサーバ部とキャッシュサーバ部とを有する装置であって、
前記データベースサーバ部は、
前記認証情報保持手段と、
前記キャッシュサーバ部から認証識別子を含む認証情報取得要求を受信し、当該認証識別子に対応する属性情報を前記認証情報保持手段に保持している場合に、前記認証情報保持手段に保持される認証識別子に対応付けられた認証情報を前記キャッシュサーバ部に応答し、前記認証識別子に対応する属性情報を前記認証情報保持手段に保持していない場合に、前記属性情報を保持していないことを前記認証装置のキャッシュサーバ部に応答する応答手段とを、有し、
前記キャッシュサーバ部は、
前記データベースサーバ部の認証情報保持手段に保持される前記認証情報のうち、過去に使用した認証情報を保持するキャッシュ保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、前記他の認証装置から、前記第二の識別子を取得する識別子取得手段と
前記識別子取得手段により取得された第二の識別子と、前記認証依頼に含まれる第一の識別子とを用いた新たな認証識別子に対応する属性情報が、前記キャッシュ保持手段に記憶されているか否かを判定するキャッシュ判定手段と、
前記キャッシュ判定手段により前記新たな認証識別子に対応する属性情報が前記キャッシュ保持手段に保持されていると判定された場合には、前記新たな認証識別子に対応する属性情報を前記キャッシュ保持手段から取得してユーザ認証処理を実施し、前記キャッシュ判定手段により前記新たな認証識別子に対応する属性情報が前記キャッシュ保持手段に保持されていないと判定された場合には、前記新たな認証識別子に対応する属性情報を前記データベースサーバ部から取得してユーザ認証処理を実施する認証手段と、
を有することを特徴とする請求項7に記載の認証装置。 The authentication device is a device having a database server unit and a cache server unit,
The database server unit is
The authentication information holding means;
An authentication identifier held in the authentication information holding unit when an authentication information acquisition request including an authentication identifier is received from the cache server unit and attribute information corresponding to the authentication identifier is held in the authentication information holding unit If the authentication information associated with the authentication information is not held in the authentication information holding means in response to the cache server unit and attribute information corresponding to the authentication identifier is not held in the authentication information holding means, Response means for responding to the cache server part of the device,
The cache server unit
Among the authentication information held in the authentication information holding means of the database server unit, a cache holding means for holding authentication information used in the past,
When an authentication request is received from the user authentication termination device, an identifier acquisition unit that acquires the second identifier from the other authentication device, a second identifier acquired by the identifier acquisition unit, and the authentication request Cache determination means for determining whether or not attribute information corresponding to a new authentication identifier using the first identifier included in is stored in the cache holding means;
If the cache determination unit determines that the attribute information corresponding to the new authentication identifier is held in the cache holding unit, the attribute information corresponding to the new authentication identifier is acquired from the cache holding unit. When the cache authentication unit determines that the attribute information corresponding to the new authentication identifier is not held in the cache holding unit, the user authentication process is performed. Authentication means for acquiring attribute information from the database server unit and performing user authentication processing;
The authentication apparatus according to claim 7, further comprising: 前記キャッシュサーバ部の識別子取得手段は、前記ユーザ認証終端装置から認証依頼を受信した場合に、前記他の認証装置に対して前記特定情報を送信し、前記他の認証装置から前記第二の識別子を直接取得することを特徴とする請求項8に記載の認証装置。   The identifier acquisition unit of the cache server unit transmits the specific information to the other authentication device when receiving an authentication request from the user authentication termination device, and the second identifier from the other authentication device. The authentication apparatus according to claim 8, wherein the authentication device is directly acquired. 前記キャッシュサーバ部のキャッシュ判定手段は、前記第一の識別子と第二の識別子とが含まれる認証依頼を前記ユーザ認証終端装置から受信した場合、当該第一の識別子と第二の識別子とを用いた新たな認証識別子に対応する属性情報が前記キャッシュ保持手段に記憶されているか否かを判定することを特徴とする請求項8に記載の認証装置。   When the cache determination unit of the cache server unit receives an authentication request including the first identifier and the second identifier from the user authentication termination device, the cache determination unit uses the first identifier and the second identifier. 9. The authentication apparatus according to claim 8, wherein it is determined whether or not attribute information corresponding to the new authentication identifier has been stored in the cache holding unit. 前記キャッシュサーバ部のキャッシュ判定手段は、前記第一の識別子と第二の識別子とを用いた新たな認証識別子が含まれる認証依頼を前記ユーザ認証終端装置から受信した場合、当該新たな認証識別子に対応する属性情報が前記キャッシュ保持手段に記憶されているか否かを判定することを特徴とする請求項8に記載の認証装置。   When the cache determination unit of the cache server unit receives an authentication request including a new authentication identifier using the first identifier and the second identifier from the user authentication termination device, the cache determination unit uses the new authentication identifier. 9. The authentication apparatus according to claim 8, wherein it is determined whether or not corresponding attribute information is stored in the cache holding unit. ユーザ端末からの認証要求を受信するユーザ認証終端装置から受信した認証依頼に応じてユーザ認証処理を実施する認証装置に適した認証方法であって、
前記ユーザ認証終端装置から認証依頼を受信した場合に、前記認証識別子の一部を示す第一の識別子と、前記認証識別子の一部を示す第二の識別子を特定する特定情報とを認証依頼から取得し、予め保持する装置情報によって特定される他の認証装置から、前記第二の識別子を取得する識別子取得ステップと、
前記識別子取得ステップにより取得された第二の識別子と、前記認証依頼から取得した第一の識別子とを用いた新たな認証識別子に対応付けて、当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持部に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証ステップと、
を含んだことを特徴とする認証方法。 An authentication method suitable for an authentication apparatus that performs user authentication processing in response to an authentication request received from a user authentication termination apparatus that receives an authentication request from a user terminal,
When an authentication request is received from the user authentication termination device, a first identifier indicating a part of the authentication identifier and specific information specifying a second identifier indicating a part of the authentication identifier are received from the authentication request. An identifier acquisition step of acquiring the second identifier from another authentication device specified by the device information acquired and held in advance;
Authentication that specifies attribute information used for authentication by the authentication device in association with a new authentication identifier using the second identifier acquired by the identifier acquisition step and the first identifier acquired from the authentication request An authentication step of performing user authentication processing using attribute information stored in an authentication information holding unit holding authentication information in which an identifier is associated with the attribute information, and transmitting an authentication result to the user authentication termination device; ,
The authentication method characterized by including. 請求項1乃至請求項5、請求項7乃至請求項11のいずれか一項に記載の認証装置を構成する各手段をコンピュータに実行させることを特徴とする認証プログラム。   An authentication program for causing a computer to execute each means constituting the authentication apparatus according to any one of claims 1 to 5 and claims 7 to 11. ユーザ端末からの認証要求を受信するユーザ認証終端装置と、自装置内の情報を用いて認証処理を実施できる基本認証装置と、他装置の情報を用いて認証処理を実施する連想認証装置とを有する認証システムであって、
前記ユーザ認証終端装置は、
前記ユーザ端末から認証要求を受信した場合に、所定の条件に従って、前記ユーザ端末の認証依頼を送信する順番を決定する順番決定手段と、
前記順番決定手段によって決定された順番で認証装置に認証依頼を送信する場合に、送信対象である認証装置が、前記基本認証装置であるか、または、前記連想認証装置であるかを判定する装置種別判定手段と、
前記装置種別判定手段により基本認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証情報を特定する認証識別子を含む認証依頼を送信する第一の認証依頼手段と、
前記装置種別判定手段により連想認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証識別子の一部を示す第一の識別子と、前記認証識別子の一部を示す第二の識別子を特定する特定情報とを含む認証依頼を送信する第二の認証依頼手段と、
前記第一の認証依頼手段または前記第二の認証依頼手段によって認証依頼が送信された認証装置から受信した認証結果が全て認証許可である場合に、前記ユーザ端末の認証を許可する認証結果送信手段と、
前記基本認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記第二の識別子と、前記特定情報とを対応付けて保持する特定情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、取得した認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
前記第二の識別子を用いてユーザ認証処理を実施する他の認証装置から前記第二の識別子の取得要求を受信した場合に、当該取得要求に含まれる特定情報に対応する第二の識別子を前記特定情報保持手段から取得して、前記他の認証装置に送信する識別子送信手段と、を有し、
前記連想認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、前記第一の識別子と前記特定情報とを認証依頼から取得するとともに、予め保持する装置情報によって特定される他の認証装置に対して、前記特定情報によって特定される第二の識別子の取得要求を送信して前記第二の識別子を取得する識別子取得手段と、
前記識別子取得手段により取得された第二の識別子と、前記認証依頼から取得した第一の識別子とを用いた新たな認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
を有することを特徴とする認証システム。 A user authentication termination device that receives an authentication request from a user terminal, a basic authentication device that can perform authentication processing using information in the device itself, and an associative authentication device that performs authentication processing using information of another device An authentication system comprising:
The user authentication termination device is:
Order determination means for determining the order of transmitting authentication requests of the user terminal according to a predetermined condition when an authentication request is received from the user terminal;
An apparatus for determining whether an authentication apparatus to be transmitted is the basic authentication apparatus or the associative authentication apparatus when transmitting authentication requests to the authentication apparatus in the order determined by the order determination means Type determination means;
A first authentication requesting means for transmitting an authentication request including an authentication identifier for identifying authentication information used by the authentication apparatus for authentication to the authentication apparatus determined by the apparatus type determination means to be a basic authentication apparatus;
For an authentication device that is determined to be an associative authentication device by the device type determination means, a first identifier indicating a part of an authentication identifier used by the authentication device for authentication, and a first identifier indicating a part of the authentication identifier A second authentication requesting means for transmitting an authentication request including specific information for identifying the second identifier;
Authentication result transmitting means for permitting authentication of the user terminal when all authentication results received from the authentication apparatus to which the authentication request has been transmitted by the first authentication requesting means or the second authentication requesting means are authentication permission When,
The basic authentication device is:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
Specific information holding means for holding the second identifier and the specific information in association with each other;
When an authentication request is received from the user authentication termination device, an authentication identifier is acquired from the authentication request, and user authentication processing is performed using attribute information stored in the authentication information holding unit in association with the acquired authentication identifier Authentication means for transmitting an authentication result to the user authentication termination device;
When the second identifier acquisition request is received from another authentication device that performs user authentication processing using the second identifier, the second identifier corresponding to the specific information included in the acquisition request is An identifier transmitting means for acquiring from the specific information holding means and transmitting to the other authentication device,
The associative authentication device includes:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
When the authentication request is received from the user authentication termination device, the first identifier and the specific information are acquired from the authentication request, and the other authentication device specified by the device information held in advance is Identifier acquisition means for acquiring the second identifier by transmitting a request for acquiring the second identifier specified by the specific information;
Using attribute information stored in the authentication information holding unit in association with a new authentication identifier using the second identifier acquired by the identifier acquisition unit and the first identifier acquired from the authentication request. Authentication means for performing user authentication processing and transmitting an authentication result to the user authentication termination device;
An authentication system comprising: ユーザ端末からの認証要求を受信するユーザ認証終端装置と、自装置内の情報を用いて認証処理を実施する基本認証装置と、他装置の情報を用いて認証処理を実施する連想認証装置とを有する認証システムであって、
前記ユーザ認証終端装置は、
前記ユーザ端末から認証要求を受信した場合に、所定の条件に従って、前記ユーザ端末の認証依頼を送信する順番を決定する順番決定手段と、
前記順番決定手段によって決定された順番で認証装置に認証依頼を送信する場合に、送信対象である認証装置が、前記基本認証装置であるか、または、前記連想認証装置であるかを判定する装置種別判定手段と、
前記装置種別判定手段により基本認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証情報を特定する認証識別子を含む認証依頼を送信する第一の認証依頼手段と、
前記装置種別判定手段により連想認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証識別子の一部を示す第一の識別子と、前記認証識別子の一部を示す第二の識別子とを含む認証依頼を送信する第二の認証依頼手段と、
前記第一の認証依頼手段または前記第二の認証依頼手段によって認証依頼が送信された認証装置から受信した認証結果が全て認証許可である場合に、前記ユーザ端末の認証を許可する認証結果送信手段と、
前記基本認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記第二の識別子と、前記第二の識別子を特定する特定情報とを対応付けて保持する特定情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、取得した認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
前記認証依頼に含まれる特定情報に対応する第二の識別子を、前記認証情報保持手段から取得して前記ユーザ認証終端装置に送信する識別子送信手段と、
前記連想認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、前記第一の識別子と前記二の識別子とを認証依頼から取得する識別子取得手段と、
前記識別子取得手段により取得された前記第一の識別子と前記二の識別子とを用いた新たな認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
を有することを特徴とする認証システム。 A user authentication termination device that receives an authentication request from a user terminal, a basic authentication device that performs authentication processing using information in the own device, and an associative authentication device that performs authentication processing using information of another device An authentication system comprising:
The user authentication termination device is:
Order determination means for determining the order of transmitting authentication requests of the user terminal according to a predetermined condition when an authentication request is received from the user terminal;
An apparatus for determining whether an authentication apparatus to be transmitted is the basic authentication apparatus or the associative authentication apparatus when transmitting authentication requests to the authentication apparatus in the order determined by the order determination means Type determination means;
A first authentication requesting means for transmitting an authentication request including an authentication identifier for identifying authentication information used by the authentication apparatus for authentication to the authentication apparatus determined by the apparatus type determination means to be a basic authentication apparatus;
For an authentication device that is determined to be an associative authentication device by the device type determination means, a first identifier indicating a part of an authentication identifier used by the authentication device for authentication, and a first identifier indicating a part of the authentication identifier A second authentication request means for transmitting an authentication request including the second identifier;
Authentication result transmitting means for permitting authentication of the user terminal when all authentication results received from the authentication apparatus to which the authentication request has been transmitted by the first authentication requesting means or the second authentication requesting means are authentication permission When,
The basic authentication device is:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
Specific information holding means for holding the second identifier and specific information for specifying the second identifier in association with each other;
When an authentication request is received from the user authentication termination device, an authentication identifier is acquired from the authentication request, and user authentication processing is performed using attribute information stored in the authentication information holding unit in association with the acquired authentication identifier Authentication means for transmitting an authentication result to the user authentication termination device;
An identifier transmitting unit that acquires a second identifier corresponding to the specific information included in the authentication request from the authentication information holding unit and transmits the second identifier to the user authentication termination device;
The associative authentication device includes:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
An identifier acquisition means for acquiring the first identifier and the second identifier from the authentication request when an authentication request is received from the user authentication termination device;
User authentication processing is performed using attribute information stored in the authentication information holding means in association with a new authentication identifier using the first identifier and the second identifier acquired by the identifier acquisition means. Authentication means for transmitting an authentication result to the user authentication termination device;
An authentication system comprising: ユーザ端末からの認証要求を受信するユーザ認証終端装置と、自装置内の情報を用いて認証処理を実施する基本認証装置と、他装置の情報を用いて認証処理を実施する連想認証装置とを有する認証システムであって、
前記ユーザ認証終端装置は、
前記ユーザ端末から認証要求を受信した場合に、所定の条件に従って、前記ユーザ端末の認証依頼を送信する順番を決定する順番決定手段と、
前記順番決定手段によって決定された順番で認証装置に認証依頼を送信する場合に、送信対象である認証装置が、前記基本認証装置であるか、または、前記連想認証装置であるかを判定する装置種別判定手段と、
前記装置種別判定手段により基本認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証情報を特定する認証識別子を含む認証依頼を送信する第一の認証依頼手段と、
前記装置種別判定手段により連想認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証識別子の一部を示す第一の識別子と、前記認証識別子の一部を示す第二の識別子とを用いた新たな認証識別子を含む認証依頼を送信する第二の認証依頼手段と、
前記第一の認証依頼手段または前記第二の認証依頼手段によって認証依頼が送信された認証装置から受信した認証結果が全て認証許可である場合に、前記ユーザ端末の認証を許可する認証結果送信手段と、
前記基本認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記第二の識別子と、前記第二の識別子を特定する特定情報とを対応付けて保持する特定情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、取得した認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
前記認証依頼に含まれる特定情報に対応する第二の識別子を、前記認証情報保持手段から取得して前記ユーザ認証終端装置に送信する識別子送信手段と、
前記連想認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、前記認証依頼に含まれる新たな認証識別子を取得する識別子取得手段と、
前記識別子取得手段により取得された新たな認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
を有することを特徴とする認証システム。 A user authentication termination device that receives an authentication request from a user terminal, a basic authentication device that performs authentication processing using information in the own device, and an associative authentication device that performs authentication processing using information of another device An authentication system comprising:
The user authentication termination device is:
Order determination means for determining the order of transmitting authentication requests of the user terminal according to a predetermined condition when an authentication request is received from the user terminal;
An apparatus for determining whether an authentication apparatus to be transmitted is the basic authentication apparatus or the associative authentication apparatus when transmitting authentication requests to the authentication apparatus in the order determined by the order determination means Type determination means;
A first authentication requesting means for transmitting an authentication request including an authentication identifier for identifying authentication information used by the authentication apparatus for authentication to the authentication apparatus determined by the apparatus type determination means to be a basic authentication apparatus;
For an authentication device that is determined to be an associative authentication device by the device type determination means, a first identifier indicating a part of an authentication identifier used by the authentication device for authentication, and a first identifier indicating a part of the authentication identifier A second authentication request means for transmitting an authentication request including a new authentication identifier using the second identifier;
Authentication result transmitting means for permitting authentication of the user terminal when all authentication results received from the authentication apparatus to which the authentication request has been transmitted by the first authentication requesting means or the second authentication requesting means are authentication permission When,
The basic authentication device is:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
Specific information holding means for holding the second identifier and specific information for specifying the second identifier in association with each other;
When an authentication request is received from the user authentication termination device, an authentication identifier is acquired from the authentication request, and user authentication processing is performed using attribute information stored in the authentication information holding unit in association with the acquired authentication identifier Authentication means for transmitting an authentication result to the user authentication termination device;
An identifier transmitting unit that acquires a second identifier corresponding to the specific information included in the authentication request from the authentication information holding unit and transmits the second identifier to the user authentication termination device;
The associative authentication device includes:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
An identifier acquisition means for acquiring a new authentication identifier included in the authentication request when an authentication request is received from the user authentication termination device;
Authentication means for performing user authentication processing using attribute information stored in the authentication information holding means in association with the new authentication identifier acquired by the identifier acquisition means, and transmitting an authentication result to the user authentication termination device When,
An authentication system comprising: ユーザ端末からの認証要求を受信するユーザ認証終端装置と、自装置内の情報を用いて認証処理を実施できる基本認証装置と、他装置の情報を用いて認証処理を実施する連想認証装置とを有する認証システムであって、
前記ユーザ認証終端装置は、
前記ユーザ端末から認証要求を受信した場合に、所定の条件に従って、前記ユーザ端末の認証依頼を送信する順番を決定する順番決定手段と、
前記順番決定手段によって決定された順番で認証装置に認証依頼を送信する場合に、送信対象である認証装置が、前記基本認証装置であるか、または、前記連想認証装置であるかを判定する装置種別判定手段と、
前記装置種別判定手段により基本認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証情報を特定する認証識別子を含む認証依頼を送信する第一の認証依頼手段と、
前記装置種別判定手段により連想認証装置であると判定された認証装置に対して、当該認証装置が認証に用いる認証識別子の一部を示す第一の識別子と、前記認証識別子の一部を示す第二の識別子を特定する特定情報とを含む認証依頼を送信する第二の認証依頼手段と、
前記第一の認証依頼手段または前記第二の認証依頼手段によって認証依頼が送信された認証装置から受信した認証結果が全て認証許可である場合に、前記ユーザ端末の認証を許可する認証結果送信手段と、
前記基本認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記第二の識別子と、前記特定情報とを対応付けて保持する特定情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から認証識別子を取得し、取得した認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
前記ユーザ認証終端装置から受信した認証依頼に含まれる特定情報に対応する第二の識別子を、前記キャッシュ保持手段または前記データベースサーバ部から検索した場合に、前記特定情報に対応する第二の識別子を前記特定情報保持手段から取得して、当該第二の識別子を用いてユーザ認証処理を実施する他の認証装置に送信する識別子送信手段と、を有し、
前記連想認証装置は、
当該認証装置が認証に用いる属性情報を特定する認証識別子と、前記属性情報とを対応付けた認証情報を保持する認証情報保持手段と、
前記ユーザ認証終端装置から認証依頼を受信した場合に、当該認証依頼から第一の識別子を取得する識別子取得手段と、
前記識別子取得手段により取得された第一の識別子と、前記基本認証装置から受信した第二の識別子とを用いた新たな認証識別子に対応付けて前記認証情報保持手段に記憶されている属性情報を用いてユーザ認証処理を行い、認証結果を前記ユーザ認証終端装置に送信する認証手段と、
を有することを特徴とする認証システム。 A user authentication termination device that receives an authentication request from a user terminal, a basic authentication device that can perform authentication processing using information in the device itself, and an associative authentication device that performs authentication processing using information of another device An authentication system comprising:
The user authentication termination device is:
Order determination means for determining the order of transmitting authentication requests of the user terminal according to a predetermined condition when an authentication request is received from the user terminal;
An apparatus for determining whether an authentication apparatus to be transmitted is the basic authentication apparatus or the associative authentication apparatus when transmitting authentication requests to the authentication apparatus in the order determined by the order determination means Type determination means;
A first authentication requesting means for transmitting an authentication request including an authentication identifier for identifying authentication information used by the authentication apparatus for authentication to the authentication apparatus determined by the apparatus type determination means to be a basic authentication apparatus;
For an authentication device that is determined to be an associative authentication device by the device type determination means, a first identifier indicating a part of an authentication identifier used by the authentication device for authentication, and a first identifier indicating a part of the authentication identifier A second authentication requesting means for transmitting an authentication request including specific information for identifying the second identifier;
Authentication result transmitting means for permitting authentication of the user terminal when all authentication results received from the authentication apparatus to which the authentication request has been transmitted by the first authentication requesting means or the second authentication requesting means are authentication permission When,
The basic authentication device is:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
Specific information holding means for holding the second identifier and the specific information in association with each other;
When an authentication request is received from the user authentication termination device, an authentication identifier is acquired from the authentication request, and user authentication processing is performed using attribute information stored in the authentication information holding unit in association with the acquired authentication identifier Authentication means for transmitting an authentication result to the user authentication termination device;
When the second identifier corresponding to the specific information included in the authentication request received from the user authentication termination device is retrieved from the cache holding unit or the database server unit, the second identifier corresponding to the specific information is An identifier transmission unit that is acquired from the specific information holding unit and transmits to another authentication device that performs user authentication processing using the second identifier,
The associative authentication device includes:
Authentication information holding means for holding authentication information that associates the attribute identifier with an authentication identifier that specifies attribute information used by the authentication device for authentication;
When receiving an authentication request from the user authentication termination device, identifier acquisition means for acquiring a first identifier from the authentication request;
Attribute information stored in the authentication information holding unit in association with a new authentication identifier using the first identifier acquired by the identifier acquisition unit and the second identifier received from the basic authentication device. Authenticating means for performing user authentication processing using and transmitting an authentication result to the user authentication termination device;
An authentication system comprising: ユーザ端末からの認証要求を受信するユーザ認証終端装置から受信した認証依頼に応じてユーザ認証処理を実施する基本認証装置と連想認証装置とを有する認証システムであって
前記基本認証装置は、請求項1に記載の認証装置であって、前記連想認証装置は、請求項7に記載の認証装置である事を特徴とする認証システム。 An authentication system having a basic authentication device and an associative authentication device for performing user authentication processing in response to an authentication request received from a user authentication termination device that receives an authentication request from a user terminal, wherein the basic authentication device comprises: The authentication system according to claim 1, wherein the associative authentication device is the authentication device according to claim 7.
JP2009163773A 2009-07-10 2009-07-10 Authentication device, authentication method, authentication program, and authentication system Active JP4937302B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009163773A JP4937302B2 (en) 2009-07-10 2009-07-10 Authentication device, authentication method, authentication program, and authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009163773A JP4937302B2 (en) 2009-07-10 2009-07-10 Authentication device, authentication method, authentication program, and authentication system

Publications (2)

Publication Number Publication Date
JP2011018278A true JP2011018278A (en) 2011-01-27
JP4937302B2 JP4937302B2 (en) 2012-05-23

Family

ID=43595999

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009163773A Active JP4937302B2 (en) 2009-07-10 2009-07-10 Authentication device, authentication method, authentication program, and authentication system

Country Status (1)

Country Link
JP (1) JP4937302B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013003637A (en) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> Database system and control method
CN107026826A (en) * 2016-02-02 2017-08-08 阿里巴巴集团控股有限公司 Data processing method, device, server and high in the clouds management system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164576A (en) * 2002-11-13 2004-06-10 Korea Electronics Telecommun Method and system for authenticating user in public wireless lan service system, and recording medium
JP2004362045A (en) * 2003-06-02 2004-12-24 Sony Corp Group identification system, server device, program, recording medium and group identification method
JP2006011989A (en) * 2004-06-28 2006-01-12 Ntt Docomo Inc Authentication method, terminal device, repeater, and authentication server
JP2009193336A (en) * 2008-02-14 2009-08-27 Nec Corp Processing distribution system, authentication server, distribution server, and processing distribution method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164576A (en) * 2002-11-13 2004-06-10 Korea Electronics Telecommun Method and system for authenticating user in public wireless lan service system, and recording medium
JP2004362045A (en) * 2003-06-02 2004-12-24 Sony Corp Group identification system, server device, program, recording medium and group identification method
JP2006011989A (en) * 2004-06-28 2006-01-12 Ntt Docomo Inc Authentication method, terminal device, repeater, and authentication server
JP2009193336A (en) * 2008-02-14 2009-08-27 Nec Corp Processing distribution system, authentication server, distribution server, and processing distribution method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013003637A (en) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> Database system and control method
CN107026826A (en) * 2016-02-02 2017-08-08 阿里巴巴集团控股有限公司 Data processing method, device, server and high in the clouds management system

Also Published As

Publication number Publication date
JP4937302B2 (en) 2012-05-23

Similar Documents

Publication Publication Date Title
KR101962156B1 (en) Authorization processing method and apparatus
JP5480265B2 (en) Secure resource name resolution
JP5480264B2 (en) Secure resource name resolution using cache
JP2004320593A (en) Communication management system and method
TW201604697A (en) Method and server of remote information query
CN109769249B (en) Authentication method, system and device
CN113507475B (en) Cross-domain access method and device
TW201506666A (en) Methods and systems for single sign-on while protecting user privacy
JP5296770B2 (en) Authentication device, authentication method, authentication program, and authentication system
WO2014206152A1 (en) Network safety monitoring method and system
JP4362487B2 (en) DNS server client system, DNS server device, cache server device, DNS query request control method, and DNS query request control program
JP4847483B2 (en) Personal attribute information providing system and personal attribute information providing method
JP4937302B2 (en) Authentication device, authentication method, authentication program, and authentication system
Konopa et al. Using machine learning for DNS over HTTPS detection
CN102231733B (en) Access control method, host device and identifier router
JP3953963B2 (en) Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system
JP2018513484A (en) Personalized access to storage devices over the network
CN115665086A (en) Domain name resolution method and device based on network management equipment and electronic equipment
JP4541430B2 (en) Network connection control method and network connection control device
JP2012238935A (en) Name management server and access control method
Nam et al. Decentralized Social Network Service Using the Web Hosting Server for Privacy Preservation
Callahan Internet Naming: Current Systems and Future Directions
JP2009200729A (en) Name resolution controller, and name resolution control method

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120221

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150302

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4937302

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350