JP4837060B2 - Authentication apparatus and program - Google Patents
Authentication apparatus and program Download PDFInfo
- Publication number
- JP4837060B2 JP4837060B2 JP2009071398A JP2009071398A JP4837060B2 JP 4837060 B2 JP4837060 B2 JP 4837060B2 JP 2009071398 A JP2009071398 A JP 2009071398A JP 2009071398 A JP2009071398 A JP 2009071398A JP 4837060 B2 JP4837060 B2 JP 4837060B2
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- authentication
- information
- service
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は認証装置及びプログラムに係り、特に、端末装置からの認証要求に応じて認証処理を行う認証装置、コンピュータを前記認証装置として機能させるための認証プログラムに関する。 The present invention relates to an authentication device and a program, and more particularly to an authentication device that performs an authentication process in response to an authentication request from a terminal device, and an authentication program that causes a computer to function as the authentication device.
シングルサインオンは、利用者が一度認証を受けるだけで、許可されているすべての機能を利用可能とするシステム(又は技術)であり、シングルサインオンのシステムに共通な認証処理を行う部分をパッケージ化することで、シングルサインオンのシステムの構築を容易にするソフトウェア(以下、このソフトウェアを認証ソフトと称する)も販売されている(例えば日本ヒューレット・パッカード株式会社製のIceWall等)。 Single sign-on is a system (or technology) that allows all authorized functions to be used once a user is authenticated, and includes a part that performs authentication processing common to single sign-on systems. As a result, software that facilitates the construction of a single sign-on system (hereinafter referred to as “authentication software”) is also sold (for example, IceWall manufactured by Hewlett-Packard Japan).
上記に関連して特許文献1には、互いに異なるサービスを提供すると共にユーザ情報データベースを用いて提供サービスの利用者を管理する複数のWebアプリケーションサーバが設けられた構成において、識別情報管理データベースを用いて複数のWebアプリケーションサーバ間で利用者を一意に識別し、各Webアプリケーションサーバの利用者の認証処理を中継する認証サーバを設けることで、複数のアプリケーションサーバに対する利用者の認証を一括して行うシングルサインオンを利用者に提供する技術が開示されている。 In relation to the above, Patent Document 1 uses an identification information management database in a configuration in which a plurality of Web application servers that provide different services and manage users of a provided service using a user information database are provided. By providing an authentication server that uniquely identifies users among a plurality of Web application servers and relays the authentication processing of the users of each Web application server, the user authentication for the plurality of application servers is performed collectively. A technique for providing single sign-on to a user is disclosed.
また特許文献2には、端末は利用者の生体情報を用いて認証を行い、生体情報を認証管理装置へ送信して認証要求を行い、認証管理装置は、生体情報と予め記憶する生体情報とに基づいて認証を行い、認証結果に基づいて、端末から通信アクセスを受ける業務装置に対して当該通信アクセスの許可に用いるアクセス許可情報の返信を要求し、返信要求に応じて業務装置から受信したアクセス許可情報を端末へ転送し、端末は認証管理装置から受信したアクセス許可情報を業務装置へ送信すると共に当該業務装置へアクセス許可要求を送信する技術が開示されている。 Further, in Patent Document 2, the terminal performs authentication using the user's biometric information, transmits the biometric information to the authentication management apparatus, makes an authentication request, and the authentication management apparatus includes the biometric information and the biometric information stored in advance. Authenticate based on the authentication result, request the business device receiving communication access from the terminal to return the access permission information used for permission of the communication access based on the authentication result, and received from the business device in response to the reply request A technique is disclosed in which access permission information is transferred to a terminal, and the terminal transmits the access permission information received from the authentication management apparatus to the business apparatus and transmits an access permission request to the business apparatus.
ところで、シングルサインオンで様々なサービスを利用者に提供可能なウェブサイトにおいて、ログイン画面を複数種設け、利用者が何れのログイン画面を介して認証を受けたかに応じて利用者に提供可能なサービスを切替えたいというニーズが存在している。具体的には、例えばインターネットバンキングにおいて、PC(Personal Computer)等の通常の端末用のログイン画面と携帯端末用(モバイル用)のログイン画面を設け、携帯端末は画面サイズも受信可能なデータ量も限られていることから、携帯端末用のログイン画面を介して認証を受けた利用者に対しては、通常のログイン画面を介して認証を受けた利用者とは異なる携帯端末用のサービスを提供する等の場合が挙げられる。 By the way, on websites that can provide various services to users with single sign-on, multiple types of login screens are provided, and can be provided to users according to which login screen the user is authenticated through There is a need to switch services. Specifically, in Internet banking, for example, a login screen for a normal terminal such as a PC (Personal Computer) and a login screen for a mobile terminal (for mobile) are provided. Because it is limited, for users who have been authenticated through the login screen for mobile terminals, a service for mobile terminals that is different from users who have been authenticated through the normal login screen is provided. And the like.
しかし、前述の認証ソフトを利用してシングルサインオンのシステムを構築しようとすると、認証ソフトの制約によって管理作業が非常に繁雑になる、という問題がある。すなわち、前述のように認証を受けたログイン画面の種類に応じて利用者に提供可能なサービスを切替えるためには、利用者がログイン画面を介して入力した認証情報に加えて、利用者が何れのログイン画面を通じて認証を要求しているかを表す識別情報も認証ソフトへ通知し、提供可能なサービスを前記識別情報の内容に応じて切り替える等の処理を認証ソフトが行う必要がある。しかしながら、認証サーバ上で動作する既存の認証ソフトでは、端末から受取可能な認証情報以外の情報が、認証サーバ上で起動させる認証ソフトのインスタンス(プロセスともいう)を指定する情報(例えばインスタンスの名称等)のみに制限されていることがある。 However, when trying to construct a single sign-on system using the above-mentioned authentication software, there is a problem that the management work becomes very complicated due to restrictions of the authentication software. In other words, in order to switch the services that can be provided to the user according to the type of the login screen that has been authenticated as described above, in addition to the authentication information entered by the user via the login screen, It is necessary for the authentication software to perform processing such as notifying the authentication software of the identification information indicating whether authentication is requested through the login screen and switching the service that can be provided in accordance with the content of the identification information. However, in existing authentication software that runs on the authentication server, information other than the authentication information that can be received from the terminal is information (for example, the name of the instance) that specifies the instance (also called process) of the authentication software to be started on the authentication server. Etc.).
このため、上記のような認証ソフトを用いてシステムを構築する場合、認証サーバ上で動作する認証ソフトのインスタンス(認証処理を行うインスタンス)として、個々のログイン画面に対応するインスタンスを各々設けておき、利用者がログイン画面を介して認証情報を入力すると、前記ログイン画面に対応するインスタンスを指定する情報が認証情報と共に端末から認証サーバへ送信されることで、利用者が認証情報を入力したログイン画面に対応するインスタンスが起動され、起動されたインスタンスで認証処理や提供可能サービスの設定等の処理が行われるように構成する必要がある。しかしながら、この場合、認証処理を行うインスタンスとしてログイン画面の種類数と同数のインスタンスが認証サーバ上で稼働することになるので、各インスタンスの動作に関する各種パラメータの設定等の管理作業が非常に繁雑になるという問題が生ずる。 For this reason, when constructing a system using the authentication software as described above, an instance corresponding to each login screen is provided as an instance of the authentication software that runs on the authentication server (an instance that performs authentication processing). When the user inputs authentication information via the login screen, information specifying the instance corresponding to the login screen is transmitted from the terminal to the authentication server together with the authentication information, so that the user inputs the authentication information. An instance corresponding to the screen is activated, and it is necessary to configure the activated instance to perform processing such as authentication processing and setting of a service that can be provided. However, in this case, as many instances as the number of types of login screens run on the authentication server as instances for performing the authentication process, so management work such as setting various parameters related to the operation of each instance becomes very complicated. The problem arises.
これに対し、前述した特許文献1,2には、認証ソフトに上述した制約が設けられている場合に、認証処理を行うインスタンスの数を削減して上記問題を解決する技術は開示されていない。 On the other hand, Patent Documents 1 and 2 described above do not disclose a technique for solving the above problem by reducing the number of instances for performing the authentication process when the above-described restrictions are provided in the authentication software. .
本発明は上記事実を考慮して成されたもので、認証処理を行う際に認証手段が受け取れる情報に制約がある場合にも、管理作業の簡易化を実現できる認証装置及び認証プログラムを得ることが目的である。 The present invention has been made in consideration of the above facts, and provides an authentication apparatus and an authentication program capable of simplifying management work even when there is a restriction on information that can be received by an authentication means when performing authentication processing. Is the purpose.
上記目的を達成するために請求項1記載の発明に係る認証装置は、互いに異なるサービスを提供する複数のサービス提供手段と、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段と、前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段と、前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段と、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段と、を含んで構成されている。 In order to achieve the above object, an authentication apparatus according to claim 1 is provided with a plurality of service providing means for providing different services, user identification information and a password with service identification information added to any one of them. When received, after separating the user identification information from the received user identification information and the information to which the service identification information is added, the combination of the user identification information and the password is stored in the authentication information storage means. It is determined whether or not a combination of the user identification information and the password is registered in the authentication information storage means, and the key information is generated and notified, and the generated key information is at least the service Performs an authentication process to be stored in the authentication management information storage means in association with the identification information, and the key information and access destination information When received, it is determined whether or not the received key information is stored in the authentication management information storage means, and when the received key information is stored in the authentication management information storage means, the received The service identification information stored in the authentication management information storage means in association with the key information is read, and the access destination information of each service providing means is identified as the service identification for which the service provision by the individual service providing means is permitted. It is determined whether or not the read service identification information is stored in association with the received access destination information in the access destination information storage means that stores the information in association with the information, and is associated with the received access destination information. Authentication means for performing an authorization process for notifying access permission when the read service identification information is stored. Based on information stored in a service identification information storage unit that stores each of a plurality of types of screen identification information in association with service identification information when the user identification information, the password, and the screen identification information are received. The received screen identification information is converted into the corresponding service identification information, the service identification information is added to the received user identification information or the password, and the service identification information is added to either one of the usages. Conversion means for transferring the user identification information and the password to the authentication means, and a plurality of types of logins to which different screen identification information from among the plurality of types of screen identification information registered in the service identification information table is given in advance Among the screens, the user identification information and the password entered by the user via any login screen and the previous password When the authentication request including the screen identification information of any login screen is received from the terminal device, the received user identification information, the password and the screen identification information are transmitted to the conversion means, and then the key When the information is notified, an authentication request response means for transmitting the notified key information to the terminal device that is the transmission source of the user identification information, the password and the screen identification information, and the key information is received by the user Each time an access request including key information is received from the terminal device, the received key information and access are requested by performing an operation for requesting access to an arbitrary service providing means via the terminal device. The access destination information of the service providing means is transmitted to the authentication means, and then the access permission information is notified when the access permission is notified from the authentication means. An access request response means for transferring a scan request access to the requested service providing means is configured to include a.
請求項1記載の発明では、互いに異なるサービスを提供する複数のサービス提供手段が設けられている。なお、個々のサービス提供手段が提供するサービスは、例えば利用者からの指示に従って互いに異なる処理を行うサービスであってもよいし、利用者からの指示に従って互いに異なるサイトの情報を配信するサービスであってもよい。 In the first aspect of the present invention, a plurality of service providing means for providing different services are provided. The service provided by each service providing unit may be a service that performs different processing according to an instruction from the user, for example, or a service that distributes information on different sites according to an instruction from the user. May be.
また、請求項1記載の発明において、認証要求応答手段は、互いに異なる画面識別情報(後述するサービス識別情報テーブルに登録されている複数種の画面識別情報のうちの何れか)が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した利用者識別情報及びパスワードと任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した利用者識別情報、パスワード及び画面識別情報を変換手段へ送信し、変換手段は、利用者識別情報、パスワード及び画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した画面識別情報を対応するサービス識別情報へ変換し、当該サービス識別情報を受信した利用者識別情報又はパスワードに付加し、何れか一方にサービス識別情報を付加した利用者識別情報及びパスワードを認証手段へ転送する。 Further, in the invention according to claim 1, the authentication request response means is preliminarily provided with different screen identification information (any one of a plurality of types of screen identification information registered in a service identification information table described later). Received when an authentication request including user identification information and password entered by a user via an arbitrary login screen among multiple types of login screens and screen identification information of an arbitrary login screen is received from a terminal device. When the user identification information, password, and screen identification information are received, the conversion means receives each of the plurality of types of screen identification information as service identification information. The received screen identification information is converted into corresponding service identification information based on the information stored in the service identification information storage means stored in association with And, added to the service receiving the identification information user identification information or password, transfers either one to the service identification information added by the user identification information and the authentication unit password.
また、認証手段は、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、認証要求応答手段は、利用者識別情報、パスワード及び画面識別情報を変換手段へ送信した後、キー情報が通知されると、通知されたキー情報を利用者識別情報、パスワード及び画面識別情報の送信元の端末装置へ送信する。なお、認証手段から認証要求応答手段へのキー情報の通知は、例えば変換手段を経由して行われるように構成することができるが、認証手段から認証要求応答手段へキー情報が直接通知されるように構成することも可能である。 Further, when the authentication means receives the user identification information and the password to which the service identification information is added to either one, the authentication means uses the information from the received user identification information and the password to which the service identification information is added. After separating the user identification information, it is determined whether the combination of the user identification information and the password is registered in the authentication information storage means, and the combination of the user identification information and the password is registered in the authentication information storage means Performs authentication processing for generating and notifying the key information and storing the generated key information in the authentication management information storage unit in association with at least the service identification information. The authentication request response unit includes user identification information, a password, and When the key information is notified after the screen identification information is transmitted to the conversion means, the notified key information is used as the user identification information and the password. And it transmits to the transmission source terminal device word and screen identification information. The notification of the key information from the authentication unit to the authentication request response unit can be performed, for example, via the conversion unit, but the key information is directly notified from the authentication unit to the authentication request response unit. It is also possible to configure as described above.
これにより、端末装置を操作している利用者により、複数種のログイン画面のうち任意のログイン画面を介して正規の利用者識別情報及びパスワードが入力された場合には、入力された利用者識別情報及びパスワードの組み合わせが認証情報記憶手段に登録されていることで、キー情報が生成されて端末装置へ送信されると共に、生成されたキー情報が、少なくとも、利用者が利用者識別情報及びパスワードを入力したログイン画面に付与された画面識別情報に対応するサービス識別情報と対応付けて認証管理情報記憶手段に記憶されることになる。 As a result, when the user operating the terminal device enters the legitimate user identification information and password via an arbitrary login screen among a plurality of types of login screens, the entered user identification Since the combination of the information and the password is registered in the authentication information storage means, the key information is generated and transmitted to the terminal device, and the generated key information includes at least the user identification information and the password. Is stored in the authentication management information storage means in association with the service identification information corresponding to the screen identification information given to the login screen.
また、請求項1記載の発明において、アクセス要求応答手段は、利用者によりキー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を認証手段へ送信し、認証手段は、キー情報及びアクセス先情報を受信した場合に、受信したキー情報が認証管理情報記憶手段に記憶されているか否か判定し、受信したキー情報が認証管理情報記憶手段に記憶されている場合に、受信したキー情報と対応付けて認証管理情報記憶手段に記憶されているサービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、読み出したサービス識別情報が受信したアクセス先情報と対応付けて記憶されているか否か判定し、受信したアクセス先情報と対応付けて読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う。そしてアクセス要求応答手段は、キー情報及びアクセス先情報を認証手段へ送信した後、認証手段からアクセス許可が通知された場合に、アクセス要求をアクセスが要求されたサービス提供手段へ転送する。 In the invention according to claim 1, the access request response means performs an operation for requesting access to an arbitrary service providing means via the terminal device that has received the key information by the user. Whenever the access request including the key information is received, the received key information and the access destination information of the service providing means for which access is requested are transmitted to the authentication means, and the authentication means receives the key information and the access destination information. And determining whether the received key information is stored in the authentication management information storage means. If the received key information is stored in the authentication management information storage means, the authentication management is associated with the received key information. The service identification information stored in the information storage means is read out, and the access destination information of each service providing means is read by each service providing means. It is determined whether the read service identification information is stored in association with the received access destination information in the access destination information storage means that stores each of the service identification information that is permitted to provide the service. When the service identification information read in association with the access destination information is stored, an authorization process for notifying access permission is performed. The access request response means transmits the key request and the access destination information to the authentication means, and then transfers the access request to the service providing means requested to access when the access permission is notified from the authentication means.
これにより、任意のログイン画面を介して正規の利用者識別情報及びパスワードを入力することでキー情報が受信された端末装置を操作している利用者により、任意のサービス提供手段へのアクセスを要求する操作が行われると、端末から送信されるアクセス要求に含まれるキー情報が認証管理情報記憶手段に記憶されているか否かに基づき、アクセスを要求している利用者が既に認証を受けた利用者か否かが判断されると共に、キー情報と対応付けて認証管理情報記憶手段に記憶されているサービス識別情報が、アクセスが要求されたサービス提供手段のアクセス先情報と対応付けてアクセス先情報記憶手段に記憶されているか否かに基づいて、アクセスが要求されたサービス提供手段が提供するサービスが、前記ログイン画面を介して利用者識別情報及びパスワードを入力した利用者に対して提供が許可されているサービスであるか否かが判断される。そして、アクセスを要求している利用者が既に認証を受けた利用者であり、かつ、アクセスが要求されたサービス提供手段が提供するサービスが、前記ログイン画面を介して利用者識別情報及びパスワードを入力した利用者に対して提供が許可されているサービスである場合には、アクセスが要求されたサービス提供手段へアクセス要求が転送されることで、利用者がサービス提供手段へアクセスしてサービスの提供を受けることが可能となる。 As a result, the user who operates the terminal device for which the key information is received by inputting the legitimate user identification information and password through an arbitrary login screen requests access to the arbitrary service providing means. If the user requesting access has already been authenticated based on whether or not the key information included in the access request transmitted from the terminal is stored in the authentication management information storage means And the service identification information stored in the authentication management information storage means in association with the key information is associated with the access destination information of the service providing means requested to be accessed. Based on whether or not it is stored in the storage means, the service provided by the service providing means that is requested to access is available via the login screen. Whether a service providing is allowed for identification information and the user input password is judged. Then, the user requesting access is an already authenticated user, and the service provided by the service providing means requested to access receives the user identification information and password via the login screen. If the service is permitted to be provided to the entered user, the access request is transferred to the service providing means requested to access, so that the user can access the service providing means and It becomes possible to receive provision.
上述したように、請求項1記載の発明では、認証手段で認証処理が行われる際に、端末装置から利用者識別情報、パスワード及び画面識別情報が送信されるが、この利用者識別情報、パスワード及び画面識別情報は認証要求応答手段で一旦受信された後に変換手段へ転送され、画面識別情報が変換手段によってサービス識別情報へ変換され、当該サービス識別情報が利用者識別情報又はパスワードに付加された後に認証手段へ転送されるので、認証手段が受け取れる情報に制約がある場合(例えば利用者識別情報及びパスワード以外の情報を受け取れない場合)にも、認証手段が、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離する処理を行うことで、利用者識別情報及びパスワードに加えてサービス識別情報も受け取ることができ、認証手段は、利用者識別情報及びパスワードの組み合わせが認証情報記憶手段に登録されているか否かを判定する処理を行うことに加えて、サービス識別情報に応じた処理(生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させる処理)も行うことで、利用者識別情報及びパスワードが入力されたログイン画面に応じて提供可能サービスを切り替えることができる。 As described above, according to the first aspect of the invention, when the authentication process is performed by the authentication unit, the user identification information, the password, and the screen identification information are transmitted from the terminal device. The screen identification information is once received by the authentication request response means and then transferred to the conversion means. The screen identification information is converted into service identification information by the conversion means, and the service identification information is added to the user identification information or password. Since the information that can be received by the authentication means is limited (for example, when information other than the user identification information and the password cannot be received) because the information is transferred to the authentication means later, By separating the user identification information from the information to which the service identification information is added, user identification information and pass In addition to receiving service identification information, service authentication information can be received, and the authentication means performs processing for determining whether or not a combination of user identification information and password is registered in the authentication information storage means. By performing processing according to the identification information (processing to store the generated key information in the authentication management information storage means in association with at least the service identification information), according to the login screen where the user identification information and the password are input Available services can be switched.
これにより、利用者識別情報及びパスワードが入力されたログイン画面に応じて提供可能サービスを切り替えることを、認証手段として機能するインスタンス(プロセス)をログイン画面の種類数と同数個設けることなく実現できるので、認証手段として機能するインスタンスの数を削減することが可能となり、これに伴い、インスタンスの動作に関する各種パラメータの設定等の管理作業も削減される。また、アクセス先情報記憶手段についても個々のインスタンス毎に分ける必要が無くなる。従って、請求項1記載の発明によれば、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現することができる。 This makes it possible to switch the services that can be provided according to the login screen where the user identification information and password are entered, without providing as many instances (processes) as the number of types of login screens that function as authentication means. Accordingly, it is possible to reduce the number of instances functioning as authentication means, and accordingly, management work such as setting various parameters relating to the operation of the instance is also reduced. Further, the access destination information storage means need not be divided for each instance. Therefore, according to the first aspect of the present invention, management work can be simplified even when there is a restriction on information that can be received from the terminal device by the authentication means that performs the authentication process.
また、請求項1記載の発明は、画面識別情報が変換手段によってサービス識別情報へ変換されるので、サービス識別情報を利用者から隠蔽できると共に、任意のサービス提供手段へのアクセスを要求する操作が利用者によって行われる毎に、認証手段で認可処理が行われるので、特許文献1,2に記載の技術と比較して、セキュリティ性の向上を実現できるという効果も得られる。 According to the first aspect of the present invention, since the screen identification information is converted into service identification information by the conversion means, the service identification information can be concealed from the user, and an operation for requesting access to an arbitrary service providing means is performed. Since the authorization process is performed by the authentication means every time it is performed by the user, the effect of improving the security can be obtained as compared with the techniques described in Patent Documents 1 and 2.
なお、請求項1記載の発明において、認証手段は、例えば請求項2に記載したように、生成したキー情報を、サービス識別情報に加えて、利用者識別情報及びパスワードとも対応付けて認証管理情報記憶手段に記憶させるように構成してもよい。 In the first aspect of the present invention, the authentication means associates the generated key information with the user identification information and the password in addition to the service identification information, as described in the second aspect, for example. You may comprise so that it may memorize | store in a memory | storage means.
また、請求項1又は請求項2記載の発明において、例えば請求項3に記載したように、前記認証手段は、前記認可処理において、受信した前記キー情報が前記認証管理情報記憶手段に記憶されていない場合、及び、前記認証情報記憶手段から読み出したサービス識別情報が受信した前記アクセス先情報と対応付けて記憶されていない場合にはアクセス不許可を通知し、前記アクセス要求応答手段は、前記認証手段から前記アクセス不許可が通知された場合は、前記アクセス要求送信元の端末装置へエラー応答を送信するように構成することができる。 In the invention described in claim 1 or claim 2, for example, as described in claim 3, the authentication unit stores the received key information in the authentication management information storage unit in the authorization process. If not, and if the service identification information read out from the authentication information storage means is not stored in association with the received access destination information, an access disapproval notification is sent, and the access request response means When the access is denied from the means, an error response can be transmitted to the terminal device that is the access request transmission source.
また、請求項1〜請求項3の何れかに記載の発明において、例えば請求項4に記載したように、認証要求応答手段及びアクセス要求応答手段は第1コンピュータ上で動作し、認証手段は第2コンピュータ上で単一のインスタンスとして動作し、複数のサービス提供手段及び変換手段は第3コンピュータ上で動作するように構成することができる。 In the invention according to any one of claims 1 to 3, for example, as described in claim 4, the authentication request response means and the access request response means operate on the first computer, and the authentication means It can operate as a single instance on two computers, and a plurality of service providing means and converting means can be configured to operate on a third computer.
請求項5記載の発明に係る認証プログラムは、端末装置と通信可能なコンピュータを、互いに異なるサービスを提供する複数のサービス提供手段、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段、前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段、前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段、及び、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段として機能させる。 The authentication program according to the invention of claim 5 is a plurality of service providing means for providing different services to a computer capable of communicating with a terminal device, user identification information and password with service identification information added to any one of them When the user identification information and the password are separated from the information to which the service identification information is added among the received user identification information and password, the combination of the user identification information and the password is an authentication information storage means. If the combination of the user identification information and the password is registered in the authentication information storage means, the key information is generated and notified, and the generated key information is at least the An authentication process for storing the authentication management information storage means in association with the service identification information is performed, and key information and When the access destination information is received, it is determined whether or not the received key information is stored in the authentication management information storage unit, and when the received key information is stored in the authentication management information storage unit The service identification information stored in the authentication management information storage unit is read in association with the received key information, and the access destination information of each service providing unit is permitted to provide the service by the individual service providing unit. It is determined whether or not the read service identification information is stored in association with the received access destination information in the access destination information storage means for storing each associated with the received service identification information, and the received access destination Authorization processing for notifying access permission when the read service identification information is stored in association with information When the authentication means to be performed, the user identification information, the password, and the screen identification information are received, each of the plurality of types of screen identification information is stored in association with the service identification information and stored. The received screen identification information is converted into the corresponding service identification information based on the received information, the service identification information is added to the received user identification information or the password, and the service identification information is added to one of them. Conversion means for transferring the added user identification information and password to the authentication means, and a plurality of screen identification information different from each other among a plurality of types of screen identification information registered in the service identification information table Among the various login screens, the user identification information and the password input by the user via an arbitrary login screen are displayed. When the authentication request including the password and the screen identification information of the arbitrary login screen is received from the terminal device, the received user identification information, the password and the screen identification information are transmitted to the conversion unit, and then When the key information is notified, authentication request response means for transmitting the notified key information to the terminal device that is the transmission source of the user identification information, the password and the screen identification information, and the key by the user Every time an access request including key information is received from the terminal device, an operation for requesting access to an arbitrary service providing unit is performed via the terminal device that has received the information. The access destination information of the requested service providing means is transmitted to the authentication means, and then the access permission is notified from the authentication means. In case, to function as an access request response means for transferring the access request to access the requested service providing means.
請求項5記載の発明に係る認証プログラムは、上記のコンピュータを、上記の複数のサービス提供手段、認証手段、変換手段、認証要求応答手段及びアクセス要求応答手段として機能させるためのプログラムであるので、コンピュータが請求項5記載の発明に係る認証プログラムを実行することで、コンピュータが請求項1に記載の認証装置として機能することになり、請求項1記載の発明と同様に、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現することができる。 The authentication program according to the invention of claim 5 is a program for causing the computer to function as the plurality of service providing means, authentication means, conversion means, authentication request response means, and access request response means. When the computer executes the authentication program according to the invention described in claim 5, the computer functions as the authentication device described in claim 1, and authentication that performs authentication processing as in the invention described in claim 1 Even when there is a restriction on information that the means can receive from the terminal device, the management work can be simplified.
以上説明したように本発明は、ログイン画面を介して利用者が入力した利用者識別情報及びパスワードと前記ログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、画面識別情報をサービス識別情報へ変換し、当該サービス識別情報を利用者識別情報又はパスワードに付加して認証手段へ転送し、認証手段において、利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離し、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、登録されている場合はキー情報を生成して端末装置へ通知すると共に、生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させ、端末装置からキー情報を含むアクセス要求を受信する毎に、キー情報が認証管理情報記憶手段に記憶されているか否か判定し、記憶されている場合に、キー情報と対応付けてサービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報をサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、読み出したサービス識別情報が受信したアクセス先情報と対応付けて記憶されているか否か判定し、記憶されている場合にアクセス要求を対応するサービス提供手段へ転送するようにしたので、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現できる、という優れた効果を有する。 As described above, the present invention provides screen identification information when an authentication request including the user identification information and password input by the user via the login screen and the screen identification information of the login screen is received from the terminal device. Is converted into service identification information, the service identification information is added to the user identification information or password and transferred to the authentication means, and the authentication means adds the service identification information among the user identification information and password. Is separated from the user identification information, and it is determined whether or not the combination of the user identification information and the password is registered in the authentication information storage means. If registered, the key information is generated and notified to the terminal device The generated key information is stored in the authentication management information storage means in association with at least the service identification information, and includes the key information from the terminal device. Each time an access request is received, it is determined whether or not the key information is stored in the authentication management information storage means. If it is stored, the service identification information is read in association with the key information, and each service providing means Whether or not the read service identification information is stored in association with the received access destination information in the access destination information storage means for storing the access destination information in association with the service identification information permitted to provide the service. Since the access request is transferred to the corresponding service providing means when it is stored, the management operation can be simplified even when there is a restriction on the information that can be received from the terminal device by the authentication means that performs the authentication process. It has an excellent effect that can be realized.
以下、図面を参照して本発明の実施形態の一例を詳細に説明する。図1には本実施形態に係るコンピュータ・システム10が示されている。コンピュータ・システム10は、多数台のウェブサーバが通信回線を介して相互に接続されて成るコンピュータ・ネットワーク(インターネット)24に接続されたウェブサイト運営システム12を備えており、インターネット24には、各々PC(Personal Computer)や、インターネット24にアクセスする機能を備えたPDA(Personal Digital Assistance)、携帯電話機等の携帯端末から成る多数台のクライアント端末26が接続されている。
Hereinafter, an example of an embodiment of the present invention will be described in detail with reference to the drawings. FIG. 1 shows a
ウェブサイト運営システム12は、特定ウェブサイトを運営・管理すると共に、クライアント端末26を介して特定ウェブサイトにアクセスした利用者に対し、シングルサインオンで複数種のサービスを提供するシステムであり、フォワーダ・サーバ14、認証サーバ16、アプリケーション・サーバ18及びDB(データベース)サーバ20がイントラネット(LAN)22を介して互いに接続されて構成されている。
The
アプリケーション・サーバ18は、CPU18A、ROMやRAMを含んで構成されたメモリ18B、HDD(Hard Disk Drive)等から成る不揮発性の記憶部18C、ネットワークインタフェース(I/F)部18Dを備えており、記憶部18Cには、利用者に互いに異なるサービスを提供する複数のアプリケーションのプログラムと、CPU18Aで後述するID変換処理を行うためのID変換プログラムが各々インストールされており、サービスIDテーブル(後述)も記憶されている。本実施形態では、アプリケーション・サーバ18の記憶部18Cにプログラムがインストールされている個々のアプリケーションに互いに異なるURL(Uniform Resource Locator)が割り当てられており、利用者は、所望のサービスを受けたい場合、前記サービスを提供するアプリケーションのURLにアクセスする。なお、サービスIDテーブルを記憶する記憶部18Cは、本発明に係るサービス識別情報記憶手段に対応している。
The
なお、アプリケーション・サーバ18は請求項4に記載の第3コンピュータに対応しており、記憶部18Cにインストールされている複数のアプリケーションのプログラムは、本発明に係る認証プログラムのうち、アプリケーション・サーバ18を本発明に係る複数のサービス提供手段として機能させるためのプログラムに、記憶部18CにインストールされているID変換プログラムは、本発明に係る認証プログラムのうち、アプリケーション・サーバ18を本発明に係る変換手段として機能させるためのプログラムに各々対応している。本実施形態において、各アプリケーションが提供するサービスとしては任意のサービスを適用可能であるが、一例として以下では、ウェブサイト運営システム12が運営・管理する特定ウェブサイトが、利用者からのオンラインでの金融取引の実行指示を受け付けるオンライン金融取引用ウェブサイトであり、各アプリケーションが、利用者からの指示に従って互いに異なる金融取引(例えば残高照会や振込等)を行うサービスを提供する態様を説明する。
Note that the
また、フォワーダ・サーバ14は、CPU14A、メモリ14B、不揮発性の記憶部14C、ネットワークI/F部14Dを備えており、記憶部14Cには、CPU14Aが後述する認証要求時処理を行うための認証要求時プログラムと、アクセス要求時処理を行うためのアクセス要求時プログラムが各々インストールされている。また、フォワーダ・サーバ14のネットワークI/F部14Dはインターネット24に直接接続されており、クライアント端末26からインターネット24経由でオンライン金融取引用ウェブサイトへ送信された情報はフォワーダ・サーバ14で受信される。
Further, the
なお、フォワーダ・サーバ14は請求項4に記載の第1コンピュータに対応しており、記憶部14Cにインストールされている認証要求時プログラムは、本発明に係る認証プログラムのうち、フォワーダ・サーバ14を認証要求応答手段として機能させるためのプログラムに、記憶部14Cにインストールされているアクセス要求時プログラムは、本発明に係る認証プログラムのうち、フォワーダ・サーバ14を本発明に係る前記アクセス要求応答手段として機能させるためのプログラムに各々対応している。
The
また、認証サーバ16は、CPU16A、メモリ16B、不揮発性の記憶部16C、ネットワークI/F部16Dを備えており、記憶部16Cには、CPU16Aが後述する認証・認可処理を行うための認証・認可プログラムがインストールされており、認証管理テーブル及びACLファイル(何れも後述)も記憶されている。なお、認証管理テーブル及びACLファイルを記憶する記憶部16Cは、本発明に係る認証管理情報記憶手段及びアクセス先情報記憶手段に各々対応している。
なお、認証・認可プログラムは認証サーバ16上で単一のインスタンスとしてCPU16Aにより実行される。また、認証サーバ16は請求項4に記載の第2コンピュータに対応しており、記憶部16Cにインストールされている認証・認可プログラムは、本発明に係る認証プログラムのうち、認証サーバ16を認証手段として機能させるためのプログラムに対応している。
The
The authentication / authorization program is executed by the
更にDBサーバ20もCPU、メモリ、記憶部20C、ネットワークI/F部を備えており(記憶部20C以外は図示省略)、記憶部20Cには認証情報DBが記憶されている。本実施形態に係るオンライン金融取引用ウェブサイトは、当該オンライン金融取引用ウェブサイトの利用を事前に申し込んだ正規の利用者に対して所定のサービスを提供するウェブサイトであり、オンライン金融取引用ウェブサイトの利用を事前に申し込んだ個々の利用者にはユーザID(このユーザIDは本発明に係る利用者識別情報に対応している)が付与される。記憶部20Cに記憶されている認証情報DBには、個々の利用者に付与されたユーザIDが、個々の利用者が設定したパスワードと共に認証情報として予め登録されている。なお、認証情報DBを記憶する記憶部20Cは本発明に係る認証情報記憶手段に対応している。 Furthermore, the DB server 20 also includes a CPU, a memory, a storage unit 20C, and a network I / F unit (not shown except for the storage unit 20C), and an authentication information DB is stored in the storage unit 20C. The online financial transaction website according to the present embodiment is a website that provides a predetermined service to an authorized user who has applied in advance to use the online financial transaction website. A user ID (this user ID corresponds to the user identification information according to the present invention) is given to each user who has applied for the use of the site in advance. In the authentication information DB stored in the storage unit 20C, user IDs assigned to individual users are registered in advance as authentication information together with passwords set by the individual users. The storage unit 20C that stores the authentication information DB corresponds to the authentication information storage unit according to the present invention.
なお、本実施形態において、本発明に係る認証プログラムに対応する各プログラム(アプリケーション・サーバ18の記憶部18Cにインストールされている複数のアプリケーションのプログラム及びID変換プログラム、フォワーダ・サーバ14の記憶部14Cにインストールされている認証要求時プログラム及びアクセス要求時プログラム、及び、認証サーバ16の記憶部16Cにインストールされている認証・認可プログラム)のうち、認証要求時プログラム、アクセス要求時プログラム及び認証・認可プログラムは、既存の認証ソフト(シングルサインオンのシステムに共通な認証処理を行う部分をパッケージ化したソフトウェア、例えば日本ヒューレット・パッカード株式会社製のIceWall)を利用して構築されている。またID変換プログラムは、例えばJava(登録商標)エージェントで構成することができる。
In the present embodiment, each program corresponding to the authentication program according to the present invention (a plurality of application programs and ID conversion programs installed in the storage unit 18C of the
次に本実施形態の作用を説明する。ウェブサイト運営システム12が運営するオンライン金融取引用ウェブサイトを利用して特定の金融取引の実行をオンラインで指示することを所望している場合、利用者は、まずクライアント端末26を介し、オンライン金融取引用ウェブサイトのホームページ(トップページ)へのアクセスを指示する操作を行う(図2のステップ30も参照)。なお、本実施形態において、オンライン金融取引用ウェブサイトのホームページ(トップページ)は、ユーザID及びパスワードの入力欄が設けられていると共に、各入力欄への情報の入力を要請するメッセージが表示されたログイン画面とされている。また本実施形態では、オンライン金融取引用ウェブサイトのログイン画面として、アクセス元のクライアント端末26が通常のPCである場合のログイン画面やアクセス元のクライアント端末26が携帯端末である場合のログイン画面等の複数種のログイン画面が設けられており、利用者は、例えば自身が操作しているクライアント端末26の種類に対応するログイン画面のURLへのアクセスを指示する。
Next, the operation of this embodiment will be described. If it is desired to use the online financial transaction website operated by the
利用者によって上記操作が行われると、クライアント端末26からアクセス要求の電文が送信され、この電文はインターネット24を経由してフォワーダ・サーバ14へ受信される。フォワーダ・サーバ14では、アクセス要求の電文を受信し、当該電文で配信が要求されている画面がログイン画面であることをアクセスされたURLに基づいて認識すると、受信した電文をアプリケーション・サーバ18へ転送する。また、アプリケーション・サーバ18では、フォワーダ・サーバ14から転送されたアクセス要求の電文における配信対象の画面が複数種のログイン画面の何れかであることを認識すると、配信が要求されているログイン画面の情報を生成し、アクセス要求電文の送信元のクライアント端末26へ送信(配信)する処理を行う(図2のステップ32も参照)。これにより、アプリケーション・サーバ18から送信されたログイン画面の情報が、フォワーダ・サーバ14、インターネット24を経由してクライアント端末26で受信されることで、クライアント端末26のディスプレイにログイン画面が表示される(図2のステップ34も参照)。
When the above operation is performed by the user, an access request message is transmitted from the
例として図3(A)又は(B)に示すように、オンライン金融取引用ウェブサイトの複数種のログイン画面には、何れもユーザIDの入力欄とパスワードの入力欄が各々設けられており、認証情報DBに認証情報(ユーザID及びパスワード)が記憶されているオンライン金融取引用ウェブサイトの正規の利用者は、クライアント端末26のディスプレイにログイン画面が表示されると、ログイン画面の各入力欄にユーザID、パスワードを入力し、オンライン金融取引用ウェブサイトへのログインを指示する操作を行う(図2のステップ36も参照)。
As an example, as shown in FIG. 3 (A) or (B), a plurality of types of login screens on the online financial transaction website are each provided with a user ID input field and a password input field, When an authorized user of an online financial transaction website in which authentication information (user ID and password) is stored in the authentication information DB, when the login screen is displayed on the display of the
本実施形態では、複数種のログイン画面に対して互いに異なる画面ID(図2,3では画面IDを"SID"と表記している)が予め設定されていると共に、アプリケーション・サーバ18によって生成されて配信されるログイン画面の情報には、利用者によってログインを指示する操作が行われると、ログイン画面の入力欄に入力されたユーザID及びパスワードに加えて、ユーザID及びパスワードが入力されたログイン画面の画面IDも送信する処理を行うプログラム(スクリプト等)が埋め込まれている。このため、ログインを指示する操作が利用者によって行われると、クライアント端末26からは、図2に「認証要求(UID,PW,SID)」と表記して示すように、利用者が入力したユーザID及びパスワードにログイン画面の画面IDも付加された認証要求の電文が送信される。また、この認証要求の電文に含まれる画面IDは、図3(A)に示す認証要求ではSID=001となっている一方、図3(B)に示す認証要求ではSID=002となっていることからも明らかなように、利用者がユーザID及びパスワードを入力したログイン画面の種類に応じて相違する。
In this embodiment, different screen IDs (screen IDs are expressed as “SID” in FIGS. 2 and 3) are set in advance for a plurality of types of login screens, and are generated by the
フォワーダ・サーバ14では、クライアント端末26からユーザID、パスワード及び画面IDを含む認証要求の電文を受信すると、記憶部14Cに記憶されている認証要求時プログラムがCPU14Aによって実行されることで認証要求時処理が行われる。この認証要求時処理では、クライアント端末26から受信した認証要求に含まれるユーザID、パスワード及び画面IDをアプリケーション・サーバ18へ転送する(図2のステップ38も参照)。
When the
アプリケーション・サーバ18では、フォワーダ・サーバ14から転送されたユーザID、パスワード及び画面IDを受信すると、記憶部18Cに記憶されているID変換プログラムがCPU18Aによって実行されることでID変換処理が行われる。このID変換処理では、まず、記憶部18Cに記憶されているサービスIDテーブルを用いて、フォワーダ・サーバ14から受信した画面IDを対応するサービスIDへ変換する処理が行われる(図2のステップ40も参照)。本実施形態に係るオンライン金融取引用ウェブサイトでは、利用者に提供するサービスの種類や条件(例えば利用者が実行を指示可能な金融取引の種類や限度額等)を、利用者が認証情報(ユーザID及びパスワード)の入力に用いたログイン画面の種類に応じて切り替えており、上記のサービスIDは利用者に提供するサービスの種類や条件を表している。なお、サービスIDは本発明に係るサービス識別情報に対応している。
When the
サービスIDテーブルには、複数種のログイン画面に各々設定された画面IDが、個々の画面IDのログイン画面を介して認証情報を入力した利用者に提供するサービスの種類や条件を表す互いに異なるサービスIDと対応付けて各々登録されており、受信した画面IDに対応するサービスIDは、受信した画面IDをキーにしてサービスIDテーブルを検索し、当該検索によって抽出された画面IDと対応付けて登録されているサービスIDをサービスIDテーブルから読み出すことによって得ることができる。上記処理により、例えば図3(A)に示す画面ID(SID)=001はサービスID(SVID)=Aへ変換され、図3(B)に示す画面ID(SID)=002はサービスID(SVID)=Bへ変換される。 In the service ID table, different screen IDs set for a plurality of types of login screens represent different types and conditions of services provided to users who have entered authentication information via the login screens of the individual screen IDs. The service ID corresponding to the received screen ID is registered in association with the ID, and the service ID table is searched using the received screen ID as a key and is registered in association with the screen ID extracted by the search. The service ID that has been set can be obtained by reading it from the service ID table. By the above processing, for example, the screen ID (SID) = 001 shown in FIG. 3A is converted to the service ID (SVID) = A, and the screen ID (SID) = 002 shown in FIG. ) = B is converted.
またID変換処理では、続いて、画面IDから変換したサービスIDをフォワーダ・サーバ14から受信したユーザIDの末尾に付加し、末尾にサービスIDを付加したユーザIDを、フォワーダ・サーバ14から受信したパスワードと共に認証サーバ16へ送信する処理が行われる(図2のステップ42も参照)。上記処理により、例えば図3(A)に示す例では、サービスID(SVID)=Aが末尾に付加されたユーザID(UID)=user1+Aが、パスワード(PW)=****と共に認証サーバ16へ送信され、図3(B)に示す例では、サービスID(SVID)=Bが末尾に付加されたユーザID(UID)=user1+Bが、パスワード(PW)=****と共に認証サーバ16へ送信される。
In the ID conversion process, the service ID converted from the screen ID is added to the end of the user ID received from the
前述のように、本実施形態では、認証・認可プログラムが既存の認証ソフトを利用して構築されている関係上、認証サーバ16上で動作する認証・認可プログラムが認証処理時に受け取れる情報がユーザIDとパスワードのみに制限されているが、上記のようにユーザIDの末尾にサービスIDを付加して認証サーバ16へ送信することで、認証・認可プログラムがユーザIDとパスワードに加えてサービスIDも受け取ることが可能となる。また、画面IDはログイン画面の情報から抽出可能であり利用者へ漏洩する可能性があるが、この画面IDをサービスIDに変換して用いることで、サービスIDが利用者へ漏洩することを防止することができ、ログインを指示する操作が利用者によって行われた場合にクライアント端末26からサービスIDを送信させる構成と比較して、悪意を持った第三者にサービスIDが漏洩することで認証サーバ16に対して不正なアクセスが行われる可能性を低減することができ、セキュリティ性を向上させることができる。
As described above, in the present embodiment, because the authentication / authorization program is constructed using existing authentication software, the information that can be received by the authentication / authorization program operating on the
一方、認証サーバ16では、アプリケーション・サーバ18からユーザID(末尾にサービスIDを付加したユーザID)とパスワードを受信すると、記憶部16Cに記憶されている認証・認可プログラムがCPU16Aによって実行されることで認証・認可処理が起動される。アプリケーション・サーバ18から(末尾にサービスIDを付加した)ユーザIDとパスワードを受信した場合、認証・認可処理では、まず、アプリケーション・サーバ18から受信したユーザIDの末尾からサービスIDを取り出すと共に、元のユーザIDの末尾からサービスIDを除去することで、受信したユーザIDをユーザIDとサービスIDとに分離する(図2のステップ44も参照)。次に、サービスIDを分離した後のユーザIDをDBサーバ20へ転送し、転送したユーザIDと対応付けて認証情報DBに登録されている情報を要求する(図2のステップ46も参照)。
On the other hand, when the
DBサーバ20では、認証サーバ16から上記の要求を受信すると、認証サーバ16から受信したユーザIDをキーにして認証情報DBを検索し、当該検索によって抽出されたユーザIDと対応付けて認証情報DBに登録されているパスワードを認証サーバ16へ送信する(図2のステップ48も参照)。認証サーバ16では、DBサーバ20から受信したパスワードをアプリケーション・サーバ18から受信したパスワードと一致しているか否かを判定することで、アプリケーション・サーバ18から受信したユーザIDとパスワードの組み合わせが認証情報DBに登録されているか否か、すなわち認証を要求している利用者が正規の利用者か否か判定する(図2のステップ50も参照)。アプリケーション・サーバ18から受信したユーザIDとパスワードの組み合わせが認証情報DBに登録されていなかった場合(図2のステップ50の判定が否定された場合)は、アプリケーション・サーバ18、フォワーダ・サーバ14を介し、認証要求元のクライアント端末26へエラー応答を送信する処理を行う。この場合は、ユーザID及びパスワードの再入力等の操作が利用者によって行われる。
Upon receiving the above request from the
また、DBサーバ20へ転送したユーザIDとパスワードの組み合わせが認証情報DBに登録されていた場合、認証を要求している利用者は正規の利用者と判断できる(図2のステップ50の判定が肯定される)ので、正規の利用者に対する処理として、まず乱数等を用いてセッションIDを生成する(図2のステップ52も参照)。なお、このセッションIDは本発明に係るキー情報に対応している。次に、アプリケーション・サーバ18から受信したユーザID、パスワード及びサービスIDを、先に生成したセッションIDと対応付け、記憶部16Cに記憶されている認証管理テーブルに認証管理情報として登録する(図2のステップ54も参照)。この処理により、例えば図3(A)に示す例では、ユーザID(UID)=user1、パスワード(PW)=****及びサービスID(SVID)=AがセッションID(Session)=xxxxと対応付けて認証管理テーブルに登録され、図3(B)に示す例では、ユーザID(UID)=user1、パスワード(PW)=****及びサービスID(SVID)=BがセッションID(Session)=yyyyと対応付けて認証管理テーブルに登録される。認証管理テーブルに登録された認証管理情報は後述する認可処理時に参照される。そして、先に生成したセッションIDをアプリケーション・サーバ18へ通知し(図2のステップ56も参照)、認証・認可処理を一旦終了する。
Further, when the combination of the user ID and password transferred to the DB server 20 is registered in the authentication information DB, the user requesting the authentication can be determined as a legitimate user (determination in
アプリケーション・サーバ18では、認証サーバ16からセッションIDが通知されると、通知されたセッションIDをフォワーダ・サーバ14へ通知する(図2のステップ57も参照)。また、フォワーダ・サーバ14で行われている認証要求時処理では、クライアント端末26から受信した認証要求に含まれるユーザID、パスワード及び画面IDをアプリケーション・サーバ18へ転送(図2のステップ38も参照)した後、アプリケーション・サーバ18からセッションIDが通知される迄待機しており、アプリケーション・サーバ18からセッションIDが通知されると、通知されたセッションIDを認証要求元のクライアント端末26へ通知し(図2のステップ58も参照)、認証要求時処理を終了する。
When the session ID is notified from the
認証要求を送信したクライアント端末26では、フォワーダ・サーバ14からセッションIDを受信すると、オンライン金融取引用ウェブサイトへのログインに成功したことを通知するメッセージをディスプレイに表示させると共に、受信したセッションIDを、メモリ又はHDDに記憶されている所定のファイルに設定する。そして、以後、利用者からの指示によりオンライン金融取引用ウェブサイトへのアクセス要求を送信する際には、送信するアクセス要求の電文にセッションIDを付加する。
Upon receiving the session ID from the
また、クライアント端末26のディスプレイに表示されたメッセージを参照する等により、オンライン金融取引用ウェブサイトへのログインに成功したことを認識した利用者は、オンライン金融取引用ウェブサイトを構成する各ウェブページのうち、自身が実行を所望している特定の金融取引の実行を指示するための特定ウェブページ(アプリケーション・サーバ18の記憶部18Aにプログラムがインストールされている複数のアプリケーションのうち、特定の金融取引を行うサービスを提供する特定アプリケーションに割り当てられたURLのウェブページ)へのアクセスを指示する操作を行う(図2のステップ60も参照)。これにより、クライアント端末26からは、図2に「アクセス要求(Session)」と表記して示すように、前述のセッションIDが付加され、特定ウェブページへのアクセスを要求するアクセス要求の電文が送信される。
The user who recognizes that the login to the online financial transaction website has been successful by referring to a message displayed on the display of the
フォワーダ・サーバ14では、クライアント端末26からセッションIDが付加されたアクセス要求の電文を受信すると、記憶部14Cに記憶されているアクセス要求時プログラムがCPU14Aによって実行されることでアクセス要求時処理が行われる。このアクセス要求時処理では、クライアント端末26から受信したアクセス要求の電文に付加されているセッションIDを認証サーバ16へ転送する(図2のステップ62も参照)。
When the
一方、認証サーバ16では、フォワーダ・サーバ14からセッションIDを受信すると、記憶部16Cに記憶されている認証・認可プログラムがCPU16Aによって実行されることで認証・認可処理が起動される。フォワーダ・サーバ14からセッションIDを受信した場合、認証・認可処理では、まず、受信したセッションIDをキーにして認証管理テーブルを検索する(図2のステップ64も参照)。認証・認可処理では、次に、上記の検索によって該当する認証管理情報(受信したセッションIDを含む認証管理情報)が抽出されたか否かを判定する(図2のステップ66も参照)。上記の検索によって該当する認証管理情報が抽出されなかった場合(図2のステップ66の判定が否定された場合)は、フォワーダ・サーバ14が今回受信したアクセス要求の電文は、認証を受けていない利用者が操作するクライアント端末26からのアクセス要求の電文であると判断できるので、フォワーダ・サーバ14を介してアクセス要求元のクライアント端末26へエラー応答を送信する処理を行う。
On the other hand, when the
また、上記の検索で該当する認証管理情報が抽出された場合(図2のステップ66の判定が肯定された場合)、フォワーダ・サーバ14が今回受信したアクセス要求の電文は、認証を既に受けた利用者が操作するクライアント端末26からのアクセス要求の電文であると判断できるので、認証・認可処理では、まず該当する認証管理情報に含まれるサービスIDを認証管理テーブルから読み出す(図2のステップ68も参照)。認証・認可処理では、次に、認証管理テーブルから読み出したサービスIDをキーにしてACLファイルを検索し、前記サービスIDと対応付けてACLファイルに登録されているURLをACLファイルから全て読み出す(図2のステップ70も参照)。
If the corresponding authentication management information is extracted by the above search (if the determination in
例として図3に示すように、ACLファイルには、アプリケーション・サーバ18の記憶部18Cにプログラムがインストールされている個々のアプリケーションに割り当てられた複数のURLが、個々のアプリケーションが提供するサービス(本実施形態では特定の金融取引を実行するサービス)を受けることが許可されているサービスIDと対応付けて各々登録されている。なお、図3に示すACLファイルでは、サービスID(SVID)=Aに対しては、URLとして"http://aaaa","http://bbbb","http://cccc"が各々割り当てられた3つのアプリケーションが提供する3種類のサービスを受けることが許可され、サービスID(SVID)=Bに対しては、URLとして"http://dddd","http://eeee"が各々割り当てられた2つのアプリケーションが提供する2種類のサービスを受けることが許可されている例を示しており、サービスID(SVID)=A,Bは各々複数のURLと対応付けてACLファイルに登録されている。
As shown in FIG. 3 as an example, in the ACL file, a plurality of URLs assigned to individual applications installed with the program in the storage unit 18C of the
認証・認可処理では、続いて、ACLファイルから読み出したURLの中に、フォワーダ・サーバ14が今回受信したアクセス要求の電文におけるアクセス対象のURLが存在しているか否か判定する(図2のステップ72も参照)。ACLファイルから読み出したURLの中にアクセス対象のURLが存在していなかった場合(図2のステップ72の判定が否定された場合)、今回のアクセス要求送信元のクライアント端末26を操作している利用者がログイン時に用いたログイン画面を介して認証情報を入力した利用者に対しては、今回のアクセス対象のURLが割り当てられたアプリケーションが提供するサービスを受けることが許可されていないと判断できるので、フォワーダ・サーバ14に対してアクセス不許可を通知する処理を行う。
In the authentication / authorization processing, subsequently, it is determined whether or not the URL read from the ACL file includes the URL to be accessed in the access request message received by the forwarder server 14 (step in FIG. 2). 72). When the URL to be accessed does not exist in the URL read from the ACL file (when the determination at
また、ACLファイルから読み出したURLの中にアクセス対象のURLが存在していた場合(図2のステップ72の判定が肯定された場合)は、今回のアクセス要求送信元のクライアント端末26を操作している利用者がログイン時に用いたログイン画面を介して認証情報を入力した利用者に対しては、今回のアクセス対象のURLが割り当てられたアプリケーションが提供するサービスを受けることが許可されていると判断できるので、フォワーダ・サーバ14に対してアクセス許可を通知し(図2のステップ74も参照)、認証・認可処理を終了する。
If the URL to be accessed exists in the URL read from the ACL file (if the determination in
上記処理について、具体例を挙げて説明すると、例えば図3に示すACLファイルに対し、図3(A)に示す認証管理情報が認証管理テーブルに登録された利用者から、URLとして"http://aaaa"が割り当てられたアプリケーションへのアクセス要求を受信した場合、セッションID(Session)=xxxxをキーとして対応する認証管理情報が特定され、特定された認証管理情報におけるサービスID(SVID)=Aがアクセス対象のURL(http://aaaa)と対応付けてACLファイルに登録されていることから、受信したアクセス要求に係るアクセスが許可される。また、例えば同一の利用者からURLとして"http://dddd"が割り当てられたアプリケーションへのアクセス要求を受信した場合には、サービスID(SVID)=Aがアクセス対象のURL(http:// dddd)と対応付けてACLファイルに登録されていないことから、受信したアクセス要求に係るアクセスは不許可となる。 The above process will be described with a specific example. For example, for the ACL file shown in FIG. 3, the user who has registered the authentication management information shown in FIG. When an access request to an application to which “/ aaaa” is assigned is received, the corresponding authentication management information is specified using session ID (Session) = xxxx as a key, and the service ID (SVID) = A in the specified authentication management information is specified. Is associated with the URL to be accessed (http: // aaaa) and registered in the ACL file, the access relating to the received access request is permitted. For example, when an access request to an application to which “http: // dddd” is assigned as the URL is received from the same user, the service ID (SVID) = A is the URL to be accessed (http: // dddd) is not registered in the ACL file in association with it, and access related to the received access request is not permitted.
また、例えば図3に示すACLファイルに対し、図3(B)に示す認証管理情報が認証管理テーブルに登録された利用者から、URLとして"http://dddd"が割り当てられたアプリケーションへのアクセス要求を受信した場合、セッションID(Session)=yyyyをキーとして対応する認証管理情報が特定され、特定された認証管理情報におけるサービスID(SVID)=Bがアクセス対象のURL(http://dddd)と対応付けてACLファイルに登録されていることから、受信したアクセス要求に係るアクセスが許可される。また、例えば同一の利用者からURLとして"http://cccc"が割り当てられたアプリケーションへのアクセス要求を受信した場合には、サービスID(SVID)=Bがアクセス対象のURL(http://cccc)と対応付けてACLファイルに登録されていないことから、受信したアクセス要求に係るアクセスは不許可となる。 Further, for example, for the ACL file shown in FIG. 3, from the user whose authentication management information shown in FIG. 3B is registered in the authentication management table, to the application assigned “http: // dddd” as the URL. When an access request is received, the corresponding authentication management information is specified using session ID (Session) = yyyy as a key, and service ID (SVID) = B in the specified authentication management information is the URL (http: // dddd) is registered in the ACL file in association with the access request, and access related to the received access request is permitted. For example, when an access request to an application to which “http: // cccc” is assigned as the URL is received from the same user, the service ID (SVID) = B is the URL to be accessed (http: // cccc) is not registered in the ACL file in association with it, and access related to the received access request is not permitted.
また、フォワーダ・サーバ14で行われているアクセス要求時処理では、クライアント端末26から受信したアクセス要求に付加されているセッションIDを認証サーバ16へ転送(図2のステップ62も参照)した後、認証サーバ16から何らかの通知を受信する迄待機しており、認証サーバ16からアクセス不許可が通知された場合はアクセス要求元のクライアント端末26へエラー応答を送信するが(図示省略)、認証サーバ16からアクセス許可が通知された場合は、クライアント端末26から受信したアクセス要求をアクセス対象のアプリケーション(アプリケーション・サーバ18)へ転送する(図2のステップ76も参照)。
Further, in the access request processing performed in the
これにより、フォワーダ・サーバ14からアクセス要求を受信したアプリケーション・サーバ18では、受信したアクセス要求におけるアクセス対象のアプリケーションが起動され、起動されたアプリケーションにより上記のアクセス要求に応じた処理が行われ(図2のステップ78も参照)、利用者が所望するサービス(特定の金融取引の実行をオンラインで指示可能とするサービス)が利用者に提供されることになる。
As a result, the
本実施形態では、クライアント端末26からアクセス要求が送信される毎に、アクセス要求に付加されているセッションIDに基づく上述した認可処理(アクセス要求に付加されたセッションIDを含む認証管理情報が認証管理テーブルに登録されているか否かを確認し、認証管理情報に含まれるサービスIDがアクセス対象のURLと対応付けてACLファイルに登録されているか否かを確認する処理)が認証サーバ16で行われるので、ユーザIDとパスワードを用いた認証処理で正規の利用者であることが確認された後は、クライアント端末26からのアクセス要求を単にアプリケーション・サーバ18へ転送する(認可処理を行わない)態様と比較して、セキュリティ性を向上させることができる。
In the present embodiment, every time an access request is transmitted from the
なお、上記ではアプリケーション・サーバ18によるID変換処理において、サービスIDをユーザIDの末尾に付加する態様を説明したが、サービスIDをユーザIDに付加する際の付加方法は、ユーザIDに一旦付加したサービスIDを分離可能であればよく、例えばサービスIDをユーザIDの先頭に付加したり、ユーザIDとサービスIDを1文字ずつ交互に繋げる等の任意の付加方法を適用可能である。また、サービスIDはユーザIDに付加することに限られるものでもなく、サービスIDはパスワードに付加することも可能である。この場合、認証サーバ16では、サービスIDが付加されたパスワードからサービスIDを分離する処理を行えばよい。
In the above description, in the ID conversion process by the
また、上記ではユーザIDとパスワードを用いた認証処理で正規の利用者であることが確認された場合に、クライアント端末26へ単にセッションIDを通知する態様を説明したが、これに限定されるものではなく、認証管理テーブルに登録した認証管理情報のうちのサービスIDをキーとしてACLファイルを検索し、前記サービスIDと対応付けてACLファイルに登録されているURLをACLファイルから全て読み出し、読み出したURLを利用可能なサービスへのリンクとして貼り付けたメニュー画面を生成し、セッションIDと共にクライアント端末26へ送信するようにしてもよい
また、上記ではウェブサイト運営システム12が運営・管理する特定ウェブサイトが、利用者からのオンラインでの金融取引の実行指示を受け付けるオンライン金融取引用ウェブサイトであり、各アプリケーションが、利用者からの指示に従って互いに異なる金融取引(例えば残高照会や振込等)を行うサービスを提供する態様を説明したが、本発明はこの態様に限定されるものではなく、本発明に係るサービス提供手段が提供するサービスは金融取引以外のサービスであってもよいことは言うまでもない。
Further, in the above description, the mode in which the session ID is simply notified to the
また、上記では本発明に係る認証プログラムのうち、複数のアプリケーションプログラム及びID変換プログラムをアプリケーション・サーバ18にインストールすると共に、認証要求時プログラムをフォワーダ・サーバ14に、認証・認可プログラムを認証サーバ16に各々インストールし、フォワーダ・サーバ14、認証サーバ16及びアプリケーション・サーバ18を本発明に係る認証装置として機能させる態様を説明したが、本発明はこれに限定されるものではなく、単一のコンピュータを本発明に係る認証装置として機能させることも可能である。
In the above description, among the authentication programs according to the present invention, a plurality of application programs and an ID conversion program are installed in the
また、上記では本発明に係る本発明に係る認証プログラムのうち、複数のアプリケーションプログラム及びID変換プログラムがアプリケーション・サーバ18に予め記憶(インストール)されると共に、認証要求時プログラムがフォワーダ・サーバ14に予め記憶(インストール)され、認証・認可プログラムが認証サーバ16にに予め記憶(インストール)されている態様を説明したが、本発明に係る認証プログラムは、CD−ROMやDVD−ROM等の記録媒体に記録されている形態で提供することも可能である。
In the above description, among the authentication programs according to the present invention, a plurality of application programs and ID conversion programs are stored (installed) in the
10 コンピュータ・システム
12 ウェブサイト運営システム
14 フォワーダ・サーバ
16 認証サーバ
18 アプリケーション・サーバ
20 DBサーバ
26 クライアント端末
DESCRIPTION OF
Claims (5)
何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段と、
前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段と、
前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段と、
利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段と、
を含む認証装置。 A plurality of service providing means for providing different services;
When receiving user identification information and password with service identification information added to either one, the user identification information is separated from the received user identification information and password with service identification information added Later, it is determined whether or not the combination of the user identification information and the password is registered in the authentication information storage means, and if the combination of the user identification information and the password is registered in the authentication information storage means, the key Generates and notifies information, performs authentication processing for storing the generated key information in association with at least the service identification information and storing it in the authentication management information storage means, and receives the key information and access destination information. It is determined whether or not the key information is stored in the authentication management information storage means, and the received key information is When stored in the authentication management information storage means, the service identification information stored in the authentication management information storage means is read in association with the received key information, and the access destination information of each service providing means In the access destination information storage means for storing each of the service identification information in association with the service identification information permitted to provide the service by the individual service providing means in association with the received access destination information. Authentication means for performing an authorization process of notifying access permission when the read service identification information is stored in association with the received access destination information;
Based on information stored in a service identification information storage unit that stores each of a plurality of types of screen identification information in association with service identification information when the user identification information, the password, and the screen identification information are received. The received screen identification information is converted into the corresponding service identification information, the service identification information is added to the received user identification information or the password, and the service identification information is added to either one of the usages. Conversion means for transferring the person identification information and the password to the authentication means;
Of the plurality of types of login screens pre-assigned with different screen identification information among the plurality of types of screen identification information registered in the service identification information table, the user input via any login screen When the authentication request including the user identification information and the password and the screen identification information of the arbitrary login screen is received from the terminal device, the received user identification information, the password and the screen identification information are converted into the conversion unit. Authentication request response means for transmitting the notified key information to the terminal device that is the transmission source of the user identification information, the password, and the screen identification information.
Received each time an access request including key information is received from the terminal device by performing an operation for requesting access to an arbitrary service providing means via the terminal device that has received the key information by the user. Service information for which access is requested when the access information is transmitted to the authentication means after the key information and the access destination information for which access is requested are transmitted to the authentication means. An access request response means for transferring to the means;
Authentication device including
前記アクセス要求応答手段は、前記認証手段から前記アクセス不許可が通知された場合は、前記アクセス要求送信元の端末装置へエラー応答を送信する請求項1又は請求項2記載の認証装置。 In the authorization process, the authentication unit includes the access destination information received by the service identification information read from the authentication information storage unit when the received key information is not stored in the authentication management information storage unit If it is not stored in association, notify access denied,
The authentication apparatus according to claim 1, wherein the access request response unit transmits an error response to the terminal device that is the access request transmission source when the access denial is notified from the authentication unit.
前記認証手段は第2コンピュータ上で単一のインスタンスとして動作し、
前記複数のサービス提供手段及び前記変換手段は第3コンピュータ上で動作する請求項1〜請求項3の何れか1項記載の認証装置。 The authentication request response means and the access request response means operate on the first computer,
The authenticator operates as a single instance on the second computer;
The authentication apparatus according to any one of claims 1 to 3, wherein the plurality of service providing means and the converting means operate on a third computer.
互いに異なるサービスを提供する複数のサービス提供手段、
何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段、
前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段、
前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段、
及び、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段
として機能させるための認証プログラム。 A computer that can communicate with the terminal device
A plurality of service providing means for providing different services;
When receiving user identification information and password with service identification information added to either one, the user identification information is separated from the received user identification information and password with service identification information added Later, it is determined whether or not the combination of the user identification information and the password is registered in the authentication information storage means, and if the combination of the user identification information and the password is registered in the authentication information storage means, the key Generates and notifies information, performs authentication processing for storing the generated key information in association with at least the service identification information and storing it in the authentication management information storage means, and receives the key information and access destination information. It is determined whether or not the key information is stored in the authentication management information storage means, and the received key information is When stored in the authentication management information storage means, the service identification information stored in the authentication management information storage means is read in association with the received key information, and the access destination information of each service providing means In the access destination information storage means for storing each of the service identification information in association with the service identification information permitted to provide the service by the individual service providing means in association with the received access destination information. Authentication means for performing an authorization process for notifying access permission when the read service identification information is stored in association with the received access destination information;
Based on information stored in a service identification information storage unit that stores each of a plurality of types of screen identification information in association with service identification information when the user identification information, the password, and the screen identification information are received. The received screen identification information is converted into the corresponding service identification information, the service identification information is added to the received user identification information or the password, and the service identification information is added to either one of the usages. Conversion means for transferring person identification information and the password to the authentication means,
Of the plurality of types of login screens pre-assigned with different screen identification information among the plurality of types of screen identification information registered in the service identification information table, the user input via any login screen When the authentication request including the user identification information and the password and the screen identification information of the arbitrary login screen is received from the terminal device, the received user identification information, the password and the screen identification information are converted into the conversion unit. Authentication request response means for transmitting the notified key information to the terminal device that is the transmission source of the user identification information, the password, and the screen identification information when the key information is notified.
And every time an access request including key information is received from the terminal device by performing an operation to request access to any service providing means via the terminal device that has received the key information by the user, The received key information and the access destination information of the service providing means for which access is requested are transmitted to the authentication means, and when the access permission is notified from the authentication means, access to the access request is requested. An authentication program for functioning as an access request response means for transferring to a service providing means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009071398A JP4837060B2 (en) | 2009-03-24 | 2009-03-24 | Authentication apparatus and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009071398A JP4837060B2 (en) | 2009-03-24 | 2009-03-24 | Authentication apparatus and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010224867A JP2010224867A (en) | 2010-10-07 |
JP4837060B2 true JP4837060B2 (en) | 2011-12-14 |
Family
ID=43041988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009071398A Expired - Fee Related JP4837060B2 (en) | 2009-03-24 | 2009-03-24 | Authentication apparatus and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4837060B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102164301B1 (en) * | 2013-12-05 | 2020-10-12 | 주식회사 케이티 | System and Method for log in based on server easily |
JP6780202B2 (en) * | 2016-09-30 | 2020-11-04 | 株式会社日本総合研究所 | Customer support system, management server, management method using SNS pictograms |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4402347B2 (en) * | 2002-11-19 | 2010-01-20 | アイシン・エィ・ダブリュ工業株式会社 | Nozzle for brazing brazing material supply device |
JP2008009864A (en) * | 2006-06-30 | 2008-01-17 | Ntt Comware Corp | Authentication system, authentication method and authentication management device |
-
2009
- 2009-03-24 JP JP2009071398A patent/JP4837060B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010224867A (en) | 2010-10-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11716315B2 (en) | Disposable browsers and authentication techniques for a secure online user environment | |
US20240106865A1 (en) | Secure Web Container for a Secure Online User Environment | |
KR100800339B1 (en) | Method and system for user-determined authentication and single-sign-on in a federated environment | |
US8510811B2 (en) | Network transaction verification and authentication | |
KR101929598B1 (en) | Sharing user id between operating system and application | |
US20030065956A1 (en) | Challenge-response data communication protocol | |
US20130205360A1 (en) | Protecting user credentials from a computing device | |
CN101897166A (en) | Systems and methods for establishing a secure communication channel using a browser component | |
US20130014245A1 (en) | Remotable information cards | |
JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
JP2007310512A (en) | Communication system, service providing server, and user authentication server | |
US20150058930A1 (en) | Method and apparatus for enabling authorised users to access computer resources | |
KR20110055542A (en) | An apparatus for managing user authentication | |
Jammalamadaka et al. | Delegate: A proxy based architecture for secure website access from an untrusted machine | |
US20060122936A1 (en) | System and method for secure publication of online content | |
JP5086024B2 (en) | User authentication system, apparatus, and method | |
JP2012203781A (en) | Authentication system, authentication linkage device, and authentication method | |
JP4837060B2 (en) | Authentication apparatus and program | |
CN113411324B (en) | Method and system for realizing login authentication based on CAS and third-party server | |
Baker | OAuth2 | |
WO2014019129A1 (en) | Automating password maintenance | |
JP7230414B2 (en) | Information processing system and program | |
US20220150277A1 (en) | Malware detonation | |
JP2010128651A (en) | Content providing system and personalizing method in content providing system | |
Hasmik | Multi-Factor graphical user authentication for web applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110920 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110927 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141007 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |