JP6230584B2 - Alternative logon system and alternative logon method, and authorized logon system and authorized logon method - Google Patents

Alternative logon system and alternative logon method, and authorized logon system and authorized logon method Download PDF

Info

Publication number
JP6230584B2
JP6230584B2 JP2015222040A JP2015222040A JP6230584B2 JP 6230584 B2 JP6230584 B2 JP 6230584B2 JP 2015222040 A JP2015222040 A JP 2015222040A JP 2015222040 A JP2015222040 A JP 2015222040A JP 6230584 B2 JP6230584 B2 JP 6230584B2
Authority
JP
Japan
Prior art keywords
logon
client terminal
user
password
alternative
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015222040A
Other languages
Japanese (ja)
Other versions
JP2017091305A (en
Inventor
敏郎 南部
敏郎 南部
吉行 山▲崎▼
吉行 山▲崎▼
泰平 金丸
泰平 金丸
伸江 小山
伸江 小山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Building Techno-Service Co Ltd
Original Assignee
Mitsubishi Electric Building Techno-Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Building Techno-Service Co Ltd filed Critical Mitsubishi Electric Building Techno-Service Co Ltd
Priority to JP2015222040A priority Critical patent/JP6230584B2/en
Priority to CN202010655490.4A priority patent/CN111787023B/en
Priority to CN201610890591.3A priority patent/CN106850527A/en
Publication of JP2017091305A publication Critical patent/JP2017091305A/en
Application granted granted Critical
Publication of JP6230584B2 publication Critical patent/JP6230584B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Description

この発明は、スマートカードログオンができない場合に、クライアント端末にログオンするための代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法に関する。   The present invention relates to an alternative logon system and an alternative logon method, and an authorized logon system and an authorized logon method for logging on to a client terminal when smart card logon is not possible.

従来から、クライアント端末にログオンする際に、利用者がカードリーダにスマートカードを挿入して、ログオン画面で暗証番号(PIN:personal identification number)を入力し、正しいPINが入力された場合にログオンを可能とするスマートカードログオンが知られている(例えば、非特許文献1参照)。   Conventionally, when logging on to a client terminal, a user inserts a smart card into a card reader, enters a personal identification number (PIN) on the logon screen, and logs on when a correct PIN is entered. Smart card logon that can be performed is known (for example, see Non-Patent Document 1).

スマートカードログオンでは、利用者の認証にあたり、スマートカードに格納された電子証明書が用いられている。スマートカードログオンによれば、利用者がスマートカードを持っていること、および利用者が正しいPINを入力したことの2つを認証することにより、IDおよびパスワードによる認証よりもセキュリティを強化している。   In smart card logon, an electronic certificate stored in a smart card is used for user authentication. According to smart card logon, security is strengthened compared to ID and password authentication by authenticating the user's possession of a smart card and the user's entry of the correct PIN. .

ここで、スマートカードログオンにおいては、スマートカードを紛失したもしくは忘れた場合、またはスマートカードが故障した場合には、クライアント端末にログオンすることができない。なお、クライアント端末にログオンできない場合において、クライアント端末へのログオンをサポートする技術として、以下のものが知られている。   Here, in the smart card logon, when the smart card is lost or forgotten, or when the smart card breaks down, it is not possible to log on to the client terminal. The following technologies are known as technologies for supporting logon to a client terminal when the client terminal cannot log on.

まず、利用者の携帯端末の所定操作に基づきクライアント端末のIDを含むパスワード要求メールを管理サーバへ送信し、管理サーバはこのパスワード要求メールを受信するとパスワードを生成してこのパスワードをIDに対応して記憶部に記憶するとともに、生成したパスワードを含むパスワード情報メールを、IDに対応してあらかじめ記憶部に記憶されているメールアドレスに基づき携帯端末へ送信してパスワードを利用者に取得させる一方、利用者のクライアント端末のログオン時に入力された取得パスワードと、記憶部のパスワードとの一致に基づき利用者によるクライアント端末の利用を可能にするクライアント端末のログオン装置が知られている(例えば、特許文献1参照)。   First, a password request mail including the ID of the client terminal is transmitted to the management server based on a predetermined operation of the user's mobile terminal. When the management server receives the password request mail, the password is generated and the password is associated with the ID. The password information mail including the generated password is transmitted to the mobile terminal based on the mail address previously stored in the storage unit corresponding to the ID, and the user is allowed to acquire the password, 2. Description of the Related Art A client terminal logon device that enables a user to use a client terminal based on a match between an acquired password input at the time of logon of the user's client terminal and a password in a storage unit is known (for example, Patent Literature 1). 1).

また、生体認証システムにおいて、クライアントPCのそれぞれは、操作者の生体情報を取得する生体情報取得デバイスと、クライアントPCのそれぞれに割り当てられた担当者の生体情報および担当者の上長情報を格納したHDDと、生体情報取得デバイスで取得された生体情報およびHDDに格納された担当者の生体情報に基づいて、認証処理を行う生体認証ソフトとを備え、生体認証ソフトは、認証失敗時に、HDDに格納された上長情報に基づいて、担当者の上長のクライアントPCを特定し、上長のクライアントPCに、生体情報取得デバイスで取得された生体情報を送信し、認証を依頼する生体認証システムが知られている(例えば、特許文献2参照)。   In the biometric authentication system, each of the client PCs stores a biometric information acquisition device that acquires the biometric information of the operator, the biometric information of the person in charge assigned to each of the client PCs, and the superior information of the person in charge. An HDD and biometric authentication software that performs authentication processing based on the biometric information acquired by the biometric information acquisition device and the biometric information of the person in charge stored in the HDD are included. A biometric authentication system that identifies a superior client PC of a person in charge based on stored superior information, transmits biometric information acquired by the biometric information acquisition device to the superior client PC, and requests authentication Is known (see, for example, Patent Document 2).

特開2002−251376号公報JP 2002-251376 A 特開2008−15866号公報JP 2008-15866 A

葛生和人、「PKIと連携したスマートカードログオンについて−共有端末における個人認証システムへの適用−」、名古屋大学情報連携基盤センターニュース、2007年2月、Vol.6、No.1、p.27−40Kazuto Kuzuu, “Smart Card Logon in Cooperation with PKI – Application to Personal Authentication System on Shared Terminals”, Nagoya University Information Collaboration Center News, February 2007, Vol. 6, no. 1, p. 27-40

しかしながら、従来技術には、以下のような課題がある。
すなわち、特許文献1、2に記載された技術は、クライアント端末へのログオンをサポートするものであるが、スマートカードログオンにおいて、スマートカードを紛失したもしくは忘れた場合、またはスマートカードが故障した場合に適用されるものではない。 However, the prior art has the following problems.
That is, the techniques described in Patent Documents 1 and 2 support logon to a client terminal, but when a smart card is lost or forgotten in smart card logon, or when a smart card breaks down. Not applicable.

また、特許文献1、2に記載された技術は、上述した、利用者がスマートカードを持っていること、に相当する認証を行っていないので、スマートカードログオンに比べて、セキュリティが低くなるという問題がある。   In addition, the technologies described in Patent Documents 1 and 2 do not perform authentication corresponding to the above-described fact that the user has a smart card, so that security is lower than that of smart card logon. There's a problem.

この発明は、上記のような課題を解決するためになされたものであり、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができるシステムおよび方法を得ることを目的とする。   The present invention has been made to solve the above-described problems, and is a system and method capable of logging on to a client terminal while ensuring high security even when smart card logon is not possible. The purpose is to obtain.

この発明に係る代替ログオンシステムは、ネットワークを介して互いに接続された携帯端末およびログオン制御サーバと、ログオン制御サーバとネットワークを介して接続可能なクライアント端末とからなる代替ログオンシステムであって、携帯端末とクライアント端末とは、同一の利用者が所持し、携帯端末は、スマートカードログオンに代えて、IDおよびパスワード、並びにワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのアプリケーションを含むアプリケーション部を有し、ログオン制御サーバは、アプリケーション部から代替ログオンの要求があった場合に、携帯端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算して携帯端末に送信するサーバ側演算部を有し、クライアント端末は、利用者によりIDおよびパスワードが入力された場合に、クライアント端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算するクライアント側演算部と、利用者に対して携帯端末に送信されたワンタイムパスワードの入力を要求するとともに、サーバ側演算部で演算されたワンタイムパスワードとクライアント側演算部で演算されたワンタイムパスワードとを比較して、ログオン可能であるか否かを判定するクライアント側ログオン制御部とを有するものである。   An alternative logon system according to the present invention is an alternative logon system comprising a portable terminal and a logon control server connected to each other via a network, and a client terminal connectable to the logon control server via the network. And the client terminal are owned by the same user, and the mobile terminal includes an application for performing an alternative logon for logging on to the client terminal with an ID and password and a one-time password instead of the smart card logon The logon control server calculates a one-time password using the user information of the portable terminal and the date and time of the built-in clock and transmits the calculated one-time password to the portable terminal when there is a request for alternative logon from the application unit. It has a server side computing unit, The client terminal has a client-side computing unit that computes a one-time password using the user information of the client terminal and the date and time of the built-in clock when the user inputs an ID and password, and Is it possible to log on by requesting input of the one-time password sent to the mobile terminal and comparing the one-time password calculated by the server-side calculation unit with the one-time password calculated by the client-side calculation unit? And a client-side logon control unit for determining whether or not.

また、この発明に係る承認ログオンシステムは、ネットワークを介して互いに接続された承認者クライアント端末、ログオン制御サーバおよび利用者クライアント端末とからなる承認ログオンシステムであって、承認者クライアント端末は、利用者クライアント端末の利用者から、スマートカードログオンに代えて、IDおよびパスワードより利用者クライアント端末にログオンする承認ログオンを行うことが申請された場合に、ログオン制御サーバに対して、利用者クライアント端末のログオンを承認する承認者クライアント側ログオン制御部を有し、ログオン制御サーバは、承認者クライアント側ログオン制御部から承認ログオンの要求があった場合に、利用者クライアント端末のステータスを、承認者によって承認されている状態へと変更するサーバ側ログオン制御部を有し、利用者クライアント端末は、利用者によりIDおよびパスワードが入力された場合に、サーバ側ログオン制御部に対して利用者クライアント端末のステータスを確認し、利用者クライアント端末が承認者によって承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定する利用者クライアント側ログオン制御部を有するものである。   An approval logon system according to the present invention is an approval logon system comprising an approver client terminal, a logon control server, and a user client terminal connected to each other via a network, wherein the approver client terminal is a user Logon of the user client terminal to the logon control server when a user of the client terminal requests to perform an authorized logon to log on to the user client terminal from the ID and password instead of the smart card logon The logon control server approves the status of the user client terminal by the approver when the approval logon request is received from the approver client-side logon control unit. To the state The user client terminal confirms the status of the user client terminal to the server side logon control unit when the user inputs an ID and password, and the user client terminal If the client terminal is approved by the approver, it has a user client-side logon control unit that determines whether or not logon is possible by authenticating the ID and password.

この発明に係る代替ログオンシステムによれば、クライアント端末の利用者が携帯端末からアプリケーションを起動し、ログオン制御サーバに対して、IDおよびパスワード、並びにワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのワンタイムパスワードを要求し、ログオン制御サーバから得られたワンタイムパスワードを用いてクライアント端末にログオンする。
また、この発明に係る承認ログオンシステムによれば、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。 According to the alternative logon system according to the present invention, the user of the client terminal starts an application from the portable terminal and performs an alternative logon for logging on to the client terminal with the ID, password, and one-time password to the logon control server. To log on to the client terminal using the one-time password obtained from the logon control server.
Also, according to the approval logon system according to the present invention, the approval of the user of the client terminal logging on to the client terminal with the ID and the password after obtaining the approval of the approver from the approver (for example, the superior) Applying for logon, the approver accesses the logon control server from his / her client terminal to approve the logon of the user's client terminal, and the user logs on to his / her client terminal with the ID and password.
Therefore, even when smart card logon is not possible, it is possible to log on to the client terminal while ensuring high security.

この発明の実施の形態1に係る代替ログオンシステムを示すブロック構成図である。It is a block block diagram which shows the alternative logon system which concerns on Embodiment 1 of this invention. この発明の実施の形態1に係る代替ログオンシステムの処理を示すシーケンス図である。It is a sequence diagram which shows the process of the alternative logon system which concerns on Embodiment 1 of this invention. この発明の実施の形態2に係る承認ログオンシステムを示すブロック構成図である。It is a block block diagram which shows the approval logon system which concerns on Embodiment 2 of this invention. この発明の実施の形態2に係る承認ログオンシステムの処理を示すシーケンス図である。It is a sequence diagram which shows the process of the approval logon system which concerns on Embodiment 2 of this invention.

以下、この発明に係る代替ログオンシステムおよび承認ログオンシステムの好適な実施の形態について、図面を用いて説明する。なお、この代替ログオンシステムおよび承認ログオンシステムは、Windows(登録商標)のログオンプロセスに必要な機能を追加し、スマートカードログオンをせずともログオンを可能とする形で適用される。また、スマートカードログオンを正常に実施していれば、同日であっても代替ログオンまたは承認ログオンを適用することができる。   Preferred embodiments of an alternative logon system and an authorized logon system according to the present invention will be described below with reference to the drawings. The alternative logon system and the authorized logon system are applied in a form that adds a function required for the Windows (registered trademark) logon process and enables logon without smart card logon. Further, if the smart card logon is normally performed, the alternative logon or the authorized logon can be applied even on the same day.

実施の形態1.
まず、クライアント端末の利用者が携帯端末からアプリケーションを起動し、ログオン制御サーバに対して、IDおよびパスワード、並びにマトリクス表と表中の表示場所を指定して生成されるワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのワンタイムパスワードを要求し、ログオン制御サーバから得られたワンタイムパスワードを用いてクライアント端末にログオンする代替ログオンシステムについて説明する。 Embodiment 1 FIG.
First, the user of the client terminal starts the application from the mobile terminal, and the client terminal is supplied to the logon control server by specifying the ID and password, and the matrix table and the display location in the table. An alternative logon system that requests a one-time password for performing an alternative logon for logging on and logs on to a client terminal using the one-time password obtained from the logon control server will be described.

図1は、この発明の実施の形態1に係る代替ログオンシステムを示すブロック構成図である。図1において、この代替ログオンシステムは、携帯端末10、ログオン制御サーバ20およびクライアント端末30から構成されている。なお、通常時は、クライアント端末30へのログオンは、スマートカードログオンにより行われる。   FIG. 1 is a block diagram showing an alternative logon system according to Embodiment 1 of the present invention. In FIG. 1, this alternative logon system includes a mobile terminal 10, a logon control server 20, and a client terminal 30. In normal times, the logon to the client terminal 30 is performed by smart card logon.

ここで、携帯端末10とログオン制御サーバ20とは、アプリケーション部が起動するとネットワークを介し通信が確立する(すなわち、携帯端末10がオンラインになる)が、ログオン制御サーバ20とクライアント端末30とは、互いに接続されていなくても(すなわち、クライアント端末30がオフラインであっても)よい。また、利用者は、携帯端末10およびクライアント端末30を所持している。   Here, the mobile terminal 10 and the logon control server 20 establish communication via the network when the application unit is activated (that is, the mobile terminal 10 comes online). However, the logon control server 20 and the client terminal 30 They may not be connected to each other (that is, the client terminal 30 may be offline). Further, the user possesses the mobile terminal 10 and the client terminal 30.

携帯端末10は、表示部11、操作部12およびアプリケーション部13を有している。ここで、携帯端末10は、例えば携帯電話である。表示部11は、ディスプレイであり、操作部12は、ハードウェアキーまたはソフトウェアキーである。アプリケーション部13には、代替ログオンを行うためのアプリケーションが代替ログオンシステムと連携したダウンロード用サーバからダウンロードされている。   The mobile terminal 10 includes a display unit 11, an operation unit 12, and an application unit 13. Here, the mobile terminal 10 is, for example, a mobile phone. The display unit 11 is a display, and the operation unit 12 is a hardware key or a software key. In the application unit 13, an application for performing alternative logon is downloaded from a download server linked with the alternative logon system.

なお、アプリケーションをダウンロードする際には、特定の認証番号(例えば、利用者の社員番号等)が代替ログオンシステムと連携したダウンロード用サーバに通知されるとともに、PINが設定される。ログオン制御サーバ20は、あらかじめ定めた規格により連携したダウンロード用サーバが携帯端末10に付与する利用者情報を取得しており、携帯端末10からアクセスがあった場合に、どの利用者の携帯端末からのアクセスであるかを識別することができる。   When downloading an application, a specific authentication number (for example, a user's employee number) is notified to a download server linked to the alternative logon system, and a PIN is set. The logon control server 20 acquires user information provided to the mobile terminal 10 by a download server linked in accordance with a predetermined standard, and when accessed from the mobile terminal 10, from which user's mobile terminal Can be identified.

ログオン制御サーバ20は、サーバ側演算部21、サーバ側ログオン制御部22および利用者情報データベース23を有している。サーバ側演算部21は、携帯端末10のアプリケーション部13から代替ログオンの要求があった場合に、利用者情報データベース23に記憶された携帯端末10の利用者の属人情報または利用者固有の情報を示す認証番号と、図示しない内蔵時計の日時とを用いて、ワンタイムパスワードを演算する。   The logon control server 20 includes a server side computing unit 21, a server side logon control unit 22, and a user information database 23. When the application unit 13 of the mobile terminal 10 requests an alternative logon, the server-side computing unit 21 stores the personal information of the user of the mobile terminal 10 or the user-specific information stored in the user information database 23. A one-time password is calculated using an authentication number indicating, and the date and time of a built-in clock (not shown).

サーバ側ログオン制御部22は、クライアント端末30がオンラインになった場合、すなわちログオン制御サーバ20とクライアント端末30とが互いに接続されたときに、クライアント端末30へのログオンを制御する。具体的には、サーバ側ログオン制御部22は、アプリケーション部13から代替ログオンの要求があった場合に、クライアント端末30へのスマートカードログオンを規制するが、クライアント端末30から代替ログオンの取り消し要求があった場合に、クライアント端末30の代替ログオンを取り消して、スマートカードログオンを可能とする。   The server-side logon control unit 22 controls logon to the client terminal 30 when the client terminal 30 is online, that is, when the logon control server 20 and the client terminal 30 are connected to each other. Specifically, the server-side logon control unit 22 regulates the smart card logon to the client terminal 30 when the application unit 13 requests an alternative logon. If there is, the alternative logon of the client terminal 30 is canceled to enable smart card logon.

また、サーバ側ログオン制御部22は、クライアント端末30がオンラインである場合に、代替ログオンが行われたときには、利用者が所有している他のクライアント端末へのログオンを禁止するとともに、リモートデスクトップを禁止する。   In addition, when the client terminal 30 is online and the alternate logon is performed, the server-side logon control unit 22 prohibits the logon to other client terminals owned by the user and displays the remote desktop. Ban.

利用者情報データベース23は、携帯端末10の利用者を示す認証番号とクライアント端末30の利用者を示すIDとを記憶している。なお、ここでは、認証番号とIDとは、共通であるとする。すなわち、ログオン制御サーバ20は、クライアント端末30からアクセスがあった場合に、どの利用者のクライアント端末からのアクセスであるかを識別することができる。なお、利用者情報データベース23において、認証番号とIDとから1人の利用者を特定することができれば、これらは別の値であってもよい。   The user information database 23 stores an authentication number indicating the user of the mobile terminal 10 and an ID indicating the user of the client terminal 30. Here, it is assumed that the authentication number and the ID are common. In other words, when there is an access from the client terminal 30, the logon control server 20 can identify which user is accessing from the client terminal. In the user information database 23, as long as one user can be specified from the authentication number and the ID, these may be different values.

クライアント端末30は、表示部31、操作部32、クライアント側ログオン制御部33およびクライアント側演算部34を有している。ここで、クライアント端末30は、例えばPCである。また、表示部31は、ディスプレイであり、操作部32は、ハードウェアキーボードまたはソフトウェアキーボードである。   The client terminal 30 includes a display unit 31, an operation unit 32, a client side logon control unit 33, and a client side calculation unit 34. Here, the client terminal 30 is, for example, a PC. The display unit 31 is a display, and the operation unit 32 is a hardware keyboard or a software keyboard.

クライアント側ログオン制御部33は、クライアント端末30へのログオンを制御する。具体的には、クライアント側ログオン制御部33は、クライアント端末30にスマートカードが挿入された場合には、Windowsの機能によりPINの入力が求められ、PINを認証した後に、代替ログオンの適用状態をログオン制御サーバ20に照会し、ログオン可能であるか否かを判定する。   The client-side logon control unit 33 controls logon to the client terminal 30. Specifically, when a smart card is inserted into the client terminal 30, the client-side logon control unit 33 is requested to enter a PIN by the Windows function, and after authenticating the PIN, the client-side logon control unit 33 determines the application status of the alternative logon. The logon control server 20 is inquired to determine whether or not logon is possible.

また、クライアント側ログオン制御部33は、クライアント端末30にIDおよびパスワードが入力された場合には、代替ログオンと判断して、さらにワンタイムパスワードを入力することを要求するとともに、IDおよびパスワード、並びにワンタイムパスワードを認証してログオン可能であるか否かを判定する。   Further, when an ID and a password are input to the client terminal 30, the client-side logon control unit 33 determines that the logon is an alternative logon, and further requests to input a one-time password. Authenticate the one-time password and determine whether logon is possible.

また、クライアント側ログオン制御部33は、代替ログオンによりクライアント端末30へのログオンが行われた場合には、その後、スマートカードログオンを不可とする。このとき、クライアント端末30がオンラインになった場合に、サーバ側ログオン制御部22が、代替ログオンによりログオンを行ったクライアント端末30に対して、スマートカードログオンを不可としてもよい。   Further, when the logon to the client terminal 30 is performed by alternative logon, the client-side logon control unit 33 thereafter disables smart card logon. At this time, when the client terminal 30 is online, the server-side logon control unit 22 may disable smart card logon for the client terminal 30 that has logged on by alternative logon.

また、クライアント側ログオン制御部33は、クライアント端末30がオンラインになった場合に、利用者の要求に応じて、サーバ側ログオン制御部22に代替ログオンの取り消しを要求する。なお、代替ログオンの取り消しは、利用者の上長が、自身のクライアント端末からサーバ側ログオン制御部22に対して要求する。   Further, when the client terminal 30 is online, the client-side logon control unit 33 requests the server-side logon control unit 22 to cancel the alternative logon in response to a user request. The cancellation of the alternative logon is requested by the user's superior from the client terminal to the server-side logon control unit 22.

クライアント側演算部34は、クライアント端末30にIDおよびパスワードが入力された場合に、入力されたIDと図示しない内蔵時計の日時とを用いて、ワンタイムパスワードを演算する。   When an ID and a password are input to the client terminal 30, the client side calculation unit 34 calculates a one-time password using the input ID and the date and time of a built-in clock (not shown).

ここで、サーバ側演算部21およびクライアント側演算部34は、ワンタイムパスワードの演算について、それぞれ共通のアルゴリズムを有している。すなわち、サーバ側演算部21およびクライアント側演算部34では、上述した共通である認証番号およびIDと、ログオン制御サーバ20およびクライアント端末30のそれぞれの内蔵時計の日時とを用いて、同一のワンタイムパスワードが演算される。   Here, the server-side computing unit 21 and the client-side computing unit 34 have a common algorithm for the one-time password computation. In other words, the server-side computing unit 21 and the client-side computing unit 34 use the same authentication number and ID described above and the dates and times of the internal clocks of the logon control server 20 and the client terminal 30, respectively, to achieve the same one-time. The password is calculated.

そのため、クライアント側ログオン制御部33は、クライアント端末30に入力されるワンタイムパスワードを、クライアント側演算部34で演算されたワンタイムパスワードと比較して、両者が互いに一致する場合に、ログオン可能であると判定することができる。なお、ワンタイムパスワードは、任意に設定される時間単位で(例えば6時間毎に)更新され、更新後に再度ログオンする場合には、ワンタイムパスワードを取り直すこととなる。   Therefore, the client-side logon control unit 33 compares the one-time password input to the client terminal 30 with the one-time password calculated by the client-side calculation unit 34, and can log on when they match each other. It can be determined that there is. The one-time password is updated in an arbitrarily set time unit (for example, every 6 hours), and when logging on again after the update, the one-time password is re-acquired.

図2は、この発明の実施の形態1に係る代替ログオンシステムの処理を示すシーケンス図である。図2において、まず、利用者が携帯端末10のアプリケーション部13を起動して、PINを入力する(ステップS1)。
続いて、利用者が携帯端末10のアプリケーション部13からログオン制御サーバ20に対して代替ログオンを要求する(ステップS2)。 FIG. 2 is a sequence diagram showing processing of the alternative logon system according to Embodiment 1 of the present invention. In FIG. 2, the user first activates the application unit 13 of the mobile terminal 10 and inputs a PIN (step S1).
Subsequently, the user requests an alternative logon from the application unit 13 of the portable terminal 10 to the logon control server 20 (step S2).

次に、サーバ側演算部21は、携帯端末10の利用者を示す認証番号と、内蔵時計の日時とを用いて、ワンタイムパスワードを演算する(ステップS3)。
続いて、サーバ側演算部21は、演算したワンタイムパスワードを携帯端末10に送信する(ステップS4)。 Next, the server-side computing unit 21 computes a one-time password using the authentication number indicating the user of the mobile terminal 10 and the date and time of the built-in clock (step S3).
Subsequently, the server-side calculation unit 21 transmits the calculated one-time password to the mobile terminal 10 (step S4).

次に、利用者がクライアント端末30を起動し(ステップS5)、IDおよびパスワードを入力する(ステップS6)。
続いて、クライアント側演算部34は、入力されたIDと内蔵時計の日時とを用いて、ワンタイムパスワードを演算する(ステップS7)。 Next, the user activates the client terminal 30 (step S5), and inputs the ID and password (step S6).
Subsequently, the client side calculation unit 34 calculates a one-time password using the input ID and the date and time of the built-in clock (step S7).

次に、クライアント側ログオン制御部33は、利用者にワンタイムパスワードの入力を要求し(ステップS8)、利用者がワンタイムパスワードを入力することで(ステップS9)、IDおよびパスワード、並びにワンタイムパスワードを認証してログオンを行う(ステップS10)。   Next, the client-side logon control unit 33 requests the user to input a one-time password (step S8), and the user inputs the one-time password (step S9). Log on after authenticating the password (step S10).

なお、代替ログオンを取り消す場合には、クライアント端末30がオンラインになった後、利用者の要求に応じて、クライアント側ログオン制御部33がサーバ側ログオン制御部22に代替ログオンの取り消しを要求し(ステップS11)、サーバ側ログオン制御部22がクライアント端末30の代替ログオンを取り消す(ステップS12)。   When canceling the alternative logon, after the client terminal 30 is online, the client-side logon control unit 33 requests the server-side logon control unit 22 to cancel the alternative logon in response to a user request ( In step S11), the server-side logon control unit 22 cancels the alternative logon of the client terminal 30 (step S12).

このように、スマートカードログオンができない場合に、利用者が携帯端末10のアプリケーション部13を起動して、PINを入力し、かつ携帯端末10に送信されたワンタイムパスワードをクライアント端末30に入力することにより、セキュリティを確保した上でPCにログオンすることができるようになる。   As described above, when the smart card logon cannot be performed, the user activates the application unit 13 of the mobile terminal 10, inputs the PIN, and inputs the one-time password transmitted to the mobile terminal 10 to the client terminal 30. As a result, it is possible to log on to the PC while ensuring security.

以上のように、実施の形態1によれば、クライアント端末の利用者が携帯端末からアプリケーションを起動し、ログオン制御サーバに対して、IDおよびパスワード、並びにワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのワンタイムパスワードを要求し、ログオン制御サーバから得られたワンタイムパスワードを用いてクライアント端末にログオンする。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
また、スマートカードが見つかった場合には、上長が代替ログオンの取り消しを要求することにより、スマートカードログオンを可能とし、利用者の利便性を向上させることができる。 As described above, according to the first embodiment, an alternative logon in which a user of a client terminal starts an application from a mobile terminal and logs on to the client terminal with an ID, a password, and a one-time password to the logon control server. Is requested to log on to the client terminal using the one-time password obtained from the logon control server.
Therefore, even when smart card logon is not possible, it is possible to log on to the client terminal while ensuring high security.
Further, when a smart card is found, the senior manager requests cancellation of the alternative logon, thereby enabling smart card logon and improving user convenience.

実施の形態2.
次に、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする承認ログオンシステムについて説明する。 Embodiment 2. FIG.
Next, the user of the client terminal applies to the approver (e.g., senior manager) to perform approval logon to log on to the client terminal with the ID and password after obtaining the approval of the approver, and the approver An authorized logon system in which a user accesses a logon control server from his / her client terminal to approve logon of the user's client terminal, and the user logs on to his / her client terminal with an ID and password will be described.

図3は、この発明の実施の形態2に係る承認ログオンシステムを示すブロック構成図である。図3において、この承認ログオンシステムは、承認者クライアント端末50、ログオン制御サーバ60および利用者クライアント端末70から構成されている。なお、通常時は、クライアント端末50、70へのログオンは、それぞれスマートカードログオンにより行われる。   FIG. 3 is a block diagram showing an approval logon system according to Embodiment 2 of the present invention. In FIG. 3, this approval logon system includes an approver client terminal 50, a logon control server 60, and a user client terminal 70. In normal times, log-on to the client terminals 50 and 70 is performed by smart card logon.

ここで、承認者クライアント端末50とログオン制御サーバ60と利用者クライアント端末70とは、ネットワークを介して互いに接続されている(すなわち、承認者クライアント端末50および利用者クライアント端末70がオンラインである)。   Here, the approver client terminal 50, the logon control server 60, and the user client terminal 70 are connected to each other via a network (that is, the approver client terminal 50 and the user client terminal 70 are online). .

承認者クライアント端末50は、表示部51、操作部52、承認者クライアント側ログオン制御部53を有している。ここで、承認者クライアント端末50は、例えばPCである。また、表示部51は、ディスプレイであり、操作部52は、ハードウェアキーボードまたはソフトウェアキーボードである。   The approver client terminal 50 includes a display unit 51, an operation unit 52, and an approver client side logon control unit 53. Here, the approver client terminal 50 is a PC, for example. The display unit 51 is a display, and the operation unit 52 is a hardware keyboard or a software keyboard.

承認者クライアント側ログオン制御部53は、利用者クライアント端末70へのログオンを制御する。具体的には、承認者クライアント側ログオン制御部53は、利用者から承認ログオンの申請があった場合に、承認者の操作により、ログオン制御サーバ60に対して、利用者クライアント端末70のログオンを承認する。   The approver client side logon control unit 53 controls the logon to the user client terminal 70. Specifically, the approver client-side logon control unit 53 logs on the user client terminal 70 to the logon control server 60 by the operation of the approver when there is an application for approval logon from the user. approve.

ここで、承認者は、利用者クライアント端末70のログオンを承認するにあたり、承認者クライアント端末50にスマートカードログオンによりログオンしている必要がある。また、承認者は、自身が承認ログオンを申請する場合に、自己承認をすることはできず、他の承認者に申請する必要がある。また、承認者が1日に承認できる人数には、制限(例えば3人)がある。   Here, in order to approve the logon of the user client terminal 70, the approver needs to log on to the approver client terminal 50 by smart card logon. In addition, when the approver applies for approval logon, the approver cannot self-approve and needs to apply to another approver. In addition, there is a limit (for example, three people) in the number of people who can approve one day.

ログオン制御サーバ60は、サーバ側ログオン制御部61および利用者情報データベース62を有している。サーバ側ログオン制御部61は、利用者クライアント端末70へのログオンを制御する。具体的には、利用者クライアント端末70にIDおよびパスワードが入力された場合には、承認ログオンと判断して、当該利用者クライアント端末70が承認者によって承認されているか否かを判定する。   The logon control server 60 has a server-side logon control unit 61 and a user information database 62. The server-side logon control unit 61 controls logon to the user client terminal 70. Specifically, when an ID and a password are input to the user client terminal 70, it is determined that the logon is approved, and it is determined whether the user client terminal 70 is approved by the approver.

なお、承認者クライアント側ログオン制御部53は、ログオン制御サーバ60に対して、利用者クライアント端末70のログオンを承認した後、利用者の要求に応じて、サーバ側ログオン制御部61に承認ログオンの取り消しを要求する。また、サーバ側ログオン制御部61は、承認者クライアント側ログオン制御部53から承認ログオンの取り消し要求があった場合に、利用者クライアント端末70の承認ログオンを取り消す。   The approver client-side logon control unit 53 approves the logon of the user client terminal 70 to the logon control server 60, and then performs an approval logon to the server-side logon control unit 61 in response to a user request. Request cancellation. Further, the server-side logon control unit 61 cancels the approval logon of the user client terminal 70 when there is a request for canceling the approval logon from the approver client-side logon control unit 53.

また、サーバ側ログオン制御部61は、承認ログオンが行われている場合には、利用者が所有している他のクライアント端末へのログオンを禁止するとともに、リモートデスクトップを禁止する。   In addition, when the authorized logon is performed, the server-side logon control unit 61 prohibits the logon to other client terminals owned by the user and the remote desktop.

利用者情報データベース62は、承認者クライアント端末50および利用者クライアント端末70の利用者を示すIDを記憶している。すなわち、ログオン制御サーバ60は、承認者クライアント端末50および利用者クライアント端末70からアクセスがあった場合に、どの利用者のクライアント端末からのアクセスであるかを識別することができる。   The user information database 62 stores IDs indicating users of the approver client terminal 50 and the user client terminal 70. That is, the logon control server 60 can identify which user's client terminal the access is from when the approver client terminal 50 and the user client terminal 70 are accessed.

利用者クライアント端末70は、表示部71、操作部72、利用者クライアント側ログオン制御部73を有している。ここで、利用者クライアント端末70は、例えばPCである。また、表示部71は、ディスプレイであり、操作部72は、ハードウェアキーボードまたはソフトウェアキーボードである。   The user client terminal 70 includes a display unit 71, an operation unit 72, and a user client side logon control unit 73. Here, the user client terminal 70 is, for example, a PC. The display unit 71 is a display, and the operation unit 72 is a hardware keyboard or a software keyboard.

利用者クライアント側ログオン制御部73は、利用者クライアント端末70へのログオンを制御する。具体的には、利用者クライアント側ログオン制御部73は、利用者クライアント端末70にスマートカードが挿入された場合には、Windowsの機能によりPINの入力が求められ、PINを認証した後に、承認ログオンの適用状態をログオン制御サーバ20に照会し、ログオン可能であるか否かを判定する。   The user client side logon control unit 73 controls logon to the user client terminal 70. Specifically, when a smart card is inserted into the user client terminal 70, the user client side logon control unit 73 is required to input a PIN by the Windows function, and after the PIN is authenticated, the authorized logon is performed. Is inquired of the logon control server 20 to determine whether or not logon is possible.

また、利用者クライアント側ログオン制御部73は、利用者クライアント端末70にIDおよびパスワードが入力された場合には、承認ログオンと判断して、サーバ側ログオン制御部61に対して、当該利用者クライアント端末70が承認者によって承認されているか否かを確認し、承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定する。   In addition, when the ID and password are input to the user client terminal 70, the user client side logon control unit 73 determines that the user is logged on as an authorized logon, and the server client side logon control unit 61 determines that the user client It is checked whether or not the terminal 70 has been approved by the approver, and if it has been approved, it is determined whether or not logon is possible by authenticating the ID and password.

また、利用者クライアント側ログオン制御部73は、承認ログオンにより利用者クライアント端末70へのログオンが行われた場合には、その後、スマートカードログオンを不可とする。なお、利用者クライアント側ログオン制御部73は、利用者クライアント端末70の承認ログオンが取り消された場合には、スマートカードログオンを可能とする。   Further, the user client side logon control unit 73 disables the smart card logon after that when the user client terminal 70 is logged on by the approval logon. Note that the user client-side logon control unit 73 enables smart card logon when the authorized logon of the user client terminal 70 is cancelled.

図4は、この発明の実施の形態2に係る承認ログオンシステムの処理を示すシーケンス図である。図4において、まず、利用者からの承認ログオンの申請に応じて、承認者がログオン制御サーバ60に対して承認ログオンを要求する(ステップS21)。
続いて、サーバ側ログオン制御部61は、利用者クライアント端末70のステータスを、承認者によって承認されている状態へと変更する(ステップS22)。 FIG. 4 is a sequence diagram showing processing of the approval logon system according to Embodiment 2 of the present invention. In FIG. 4, first, the approver requests the logon control server 60 for approval logon in response to an application for approval logon from the user (step S21).
Subsequently, the server-side logon control unit 61 changes the status of the user client terminal 70 to a state approved by the approver (step S22).

次に、利用者が利用者クライアント端末70を起動し(ステップS23)、IDおよびパスワードを入力する(ステップS24)。
続いて、利用者クライアント側ログオン制御部73は、サーバ側ログオン制御部61に対して、利用者クライアント端末70のステータスを確認する(ステップS25)。 Next, the user activates the user client terminal 70 (step S23), and inputs an ID and password (step S24).
Subsequently, the user client side logon control unit 73 checks the status of the user client terminal 70 with respect to the server side logon control unit 61 (step S25).

次に、サーバ側ログオン制御部61は、利用者クライアント側ログオン制御部73に対して、利用者クライアント端末70が承認者によって承認されていると回答し(ステップS26)する。
続いて、利用者クライアント側ログオン制御部73は、IDおよびパスワードを認証してログオンを行う(ステップS27)。 Next, the server-side logon control unit 61 replies to the user client-side logon control unit 73 that the user client terminal 70 has been approved by the approver (step S26).
Subsequently, the user client side logon control unit 73 performs logon by authenticating the ID and password (step S27).

なお、承認ログオンを取り消す場合には、利用者からの承認ログオンの要求に応じて、承認者がログオン制御サーバ60に対して承認ログオンの取り消しを要求し(ステップS28)、サーバ側ログオン制御部61が利用者クライアント端末70の承認ログオンを取り消す(ステップS29)。   When canceling the approval logon, the approver requests the logon control server 60 to cancel the approval logon in response to a request for approval logon from the user (step S28). Cancels the authorized logon of the user client terminal 70 (step S29).

このように、スマートカードログオンができない場合に、利用者が承認者に対して承認ログオンを行うことを申請し、承認者が承認者クライアント端末50からログオン制御サーバ60にアクセスして利用者クライアント端末70のログオンを承認することにより、セキュリティを確保した上でPCにログオンすることができるようになる。   As described above, when the smart card logon cannot be performed, the user applies for the approval logon to the approver, and the approver accesses the logon control server 60 from the approver client terminal 50 to the user client terminal. By approving the 70 logon, it is possible to log on to the PC while ensuring security.

以上のように、実施の形態2によれば、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
また、スマートカードが見つかった場合には、承認者(例えば、上長)が代替ログオンの取り消しを要求することにより、スマートカードログオンを可能とし、利用者の利便性を向上させることができる。 As described above, according to the second embodiment, the approval of the user of the client terminal logging on to the client terminal with the ID and password after obtaining the approval of the approver from the approver (for example, the senior manager). Applying for logon, the approver accesses the logon control server from his / her client terminal to approve the logon of the user's client terminal, and the user logs on to his / her client terminal with the ID and password.
Therefore, even when smart card logon is not possible, it is possible to log on to the client terminal while ensuring high security.
Further, when a smart card is found, an approver (for example, an upper manager) requests cancellation of alternative logon, thereby enabling smart card logon and improving user convenience.

10 携帯端末、11 表示部、12 操作部、13 アプリケーション部、20 ログオン制御サーバ、21 サーバ側演算部、22 サーバ側ログオン制御部、23 利用者情報データベース、30 クライアント端末、31 表示部、32 操作部、33 クライアント側ログオン制御部、34 クライアント側演算部、50 承認者クライアント端末、51 表示部、52 操作部、53 承認者クライアント側ログオン制御部、60 ログオン制御サーバ、61 サーバ側ログオン制御部、62 利用者情報データベース、70 利用者クライアント端末、71 表示部、72 操作部、73 利用者クライアント側ログオン制御部。   DESCRIPTION OF SYMBOLS 10 Mobile terminal, 11 Display part, 12 Operation part, 13 Application part, 20 Logon control server, 21 Server side calculation part, 22 Server side logon control part, 23 User information database, 30 Client terminal, 31 Display part, 32 operation Unit, 33 client side logon control unit, 34 client side calculation unit, 50 approver client terminal, 51 display unit, 52 operation unit, 53 approver client side logon control unit, 60 logon control server, 61 server side logon control unit, 62 user information database, 70 user client terminal, 71 display unit, 72 operation unit, 73 user client side logon control unit.

Claims (8)

ネットワークを介して互いに接続された携帯端末およびログオン制御サーバと、前記ログオン制御サーバとネットワークを介して接続可能なクライアント端末とからなる代替ログオンシステムであって、前記携帯端末と前記クライアント端末とは、同一の利用者が所持し、
前記携帯端末は、スマートカードログオンに代えて、IDおよびパスワード、並びにワンタイムパスワードにより前記クライアント端末にログオンする代替ログオンを行うためのアプリケーションを含むアプリケーション部を有し、
前記ログオン制御サーバは、前記アプリケーション部から代替ログオンの要求があった場合に、前記携帯端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算して前記携帯端末に送信するサーバ側演算部を有し、
前記クライアント端末は、前記利用者によりIDおよびパスワードが入力された場合に、前記クライアント端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算するクライアント側演算部と、
前記利用者に対して前記携帯端末に送信されたワンタイムパスワードの入力を要求するとともに、前記サーバ側演算部で演算されたワンタイムパスワードと前記クライアント側演算部で演算されたワンタイムパスワードとを比較して、ログオン可能であるか否かを判定するクライアント側ログオン制御部と、を有する
代替ログオンシステム。 An alternative logon system comprising a portable terminal and a logon control server connected to each other via a network, and a client terminal connectable to the logon control server via a network, wherein the portable terminal and the client terminal are: Owned by the same user,
The mobile terminal has an application unit including an application for performing an alternative logon to log on to the client terminal with an ID and password, and a one-time password instead of a smart card logon,
The logon control server calculates a one-time password using the user information of the portable terminal and the date and time of the built-in clock and transmits the calculated one-time password to the portable terminal when there is a request for alternative logon from the application unit. It has a server side computing unit,
The client terminal, when an ID and a password are input by the user, using the user information of the client terminal and the date and time of the built-in clock, a client side calculation unit that calculates a one-time password;
While requesting the user to input the one-time password transmitted to the mobile terminal, the one-time password calculated by the server-side calculation unit and the one-time password calculated by the client-side calculation unit An alternative logon system comprising: a client-side logon control unit that determines whether or not logon is possible by comparison. 前記クライアント側ログオン制御部は、代替ログオンにより前記クライアント端末へのログオンが行われた場合には、その後、スマートカードログオンを不可とする
請求項1に記載の代替ログオンシステム。 The alternative logon system according to claim 1, wherein the client-side logon control unit disables smart card logon after the logon to the client terminal is performed by alternative logon. 前記ログオン制御サーバは、前記クライアント端末が接続された場合において、前記クライアント端末からの要求により、代替ログオンを取り消してスマートカードログオンを可能とするサーバ側ログオン制御部を有する
請求項2に記載の代替ログオンシステム。 The alternative according to claim 2, wherein the logon control server has a server-side logon control unit that cancels alternative logon and enables smart card logon in response to a request from the client terminal when the client terminal is connected. Logon system. ネットワークを介して互いに接続された承認者クライアント端末、ログオン制御サーバおよび利用者クライアント端末とからなる承認ログオンシステムであって、
前記承認者クライアント端末は、前記利用者クライアント端末の利用者から、スマートカードログオンに代えて、IDおよびパスワードより前記利用者クライアント端末にログオンする承認ログオンを行うことが申請された場合に、前記ログオン制御サーバに対して、前記利用者クライアント端末のログオンを承認する承認者クライアント側ログオン制御部を有し、
前記ログオン制御サーバは、前記承認者クライアント側ログオン制御部から承認ログオンの要求があった場合に、前記利用者クライアント端末のステータスを、承認者によって承認されている状態へと変更するサーバ側ログオン制御部を有し、
前記利用者クライアント端末は、前記利用者によりIDおよびパスワードが入力された場合に、前記サーバ側ログオン制御部に対して前記利用者クライアント端末のステータスを確認し、前記利用者クライアント端末が承認者によって承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定する利用者クライアント側ログオン制御部を有する
承認ログオンシステム。 An approval logon system comprising an approver client terminal, a logon control server and a user client terminal connected to each other via a network,
When the approver client terminal is requested by the user of the user client terminal to perform an authorized logon to log on to the user client terminal from an ID and a password instead of a smart card logon, the logon An approver client-side logon control unit that approves the logon of the user client terminal to the control server,
The logon control server changes the status of the user client terminal to a state approved by the approver when there is a request for approval logon from the approver client side logon control unit. Part
When an ID and password are input by the user, the user client terminal confirms the status of the user client terminal to the server-side logon control unit, and the user client terminal is confirmed by an approver. An authorization logon system having a user client-side logon control unit that determines whether or not logon is possible by authenticating the ID and password if authorized. 前記利用者クライアント側ログオン制御部は、承認ログオンにより前記利用者クライアント端末へのログオンが行われた場合には、その後、スマートカードログオンを不可とする
請求項4に記載の承認ログオンシステム。 5. The approval logon system according to claim 4, wherein the user client-side logon control unit disables smart card logon thereafter when the user client terminal is logged on by approval logon. 前記サーバ側ログオン制御部は、前記承認者クライアント端末の要求により、承認ログオンを取り消してスマートカードログオンを可能とする
請求項5に記載の承認ログオンシステム。 The approval logon system according to claim 5, wherein the server-side logon control unit cancels the approval logon and enables smart card logon in response to a request from the approver client terminal. ネットワークを介して互いに接続された携帯端末およびログオン制御サーバと、前記ログオン制御サーバとネットワークを介して接続可能なクライアント端末とからなる代替ログオンシステムで実現される代替ログオン方法であって、前記携帯端末と前記クライアント端末とは、同一の利用者が所持し、
前記ログオン制御サーバにより、前記携帯端末から、スマートカードログオンに代えて、IDおよびパスワード、並びにワンタイムパスワードにより前記クライアント端末にログオンする代替ログオンの要求があった場合に、前記携帯端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算して前記携帯端末に送信するステップと、
前記クライアント端末により、前記利用者により前記クライアント端末にIDおよびパスワードが入力された場合に、前記クライアント端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算するステップと、
前記クライアント端末により、前記利用者に対して前記携帯端末に送信されたワンタイムパスワードの入力を要求するステップと、
前記クライアント端末により、それぞれ演算されたワンタイムパスワードを比較して、ログオン可能であるか否かを判定するステップと、を有する
代替ログオン方法。 An alternative logon method realized by an alternative logon system comprising a mobile terminal and a logon control server connected to each other via a network, and a client terminal connectable to the logon control server via the network, the mobile terminal And the client terminal are owned by the same user,
When the logon control server requests an alternative logon to log on to the client terminal with an ID and password and a one-time password instead of the smart card logon from the portable terminal, the user information of the portable terminal And using the date and time of the built-in clock, calculating a one-time password and transmitting it to the mobile terminal;
A step of, by the client terminal, if the client terminal ID and password are entered by the user using the date and time of the user information and internal clock of the client terminal, calculates the one-time password,
Requesting the user to input a one-time password transmitted to the mobile terminal by the client terminal ;
A step of comparing the calculated one-time passwords by the client terminal to determine whether or not logon is possible. ネットワークを介して互いに接続された承認者クライアント端末、ログオン制御サーバおよび利用者クライアント端末とからなる承認ログオンシステムで実現される承認ログオン方法であって、
前記承認者クライアント端末により、前記利用者クライアント端末の利用者から、スマートカードログオンに代えて、IDおよびパスワードより前記利用者クライアント端末にログオンする承認ログオンを行うことが申請された場合に、前記ログオン制御サーバに対して、前記利用者クライアント端末のログオンを承認するステップと、
前記ログオン制御サーバにより、承認ログオンの要求があった場合に、前記利用者クライアント端末のステータスを、承認者によって承認されている状態へと変更するステップと、
前記利用者クライアント端末により、前記利用者により前記利用者クライアント端末にIDおよびパスワードが入力された場合に、前記利用者クライアント端末のステータスを確認し、前記利用者クライアント端末が承認者によって承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定するステップと、を有する
承認ログオン方法。 An approval logon method realized by an approval logon system comprising an approver client terminal, a logon control server, and a user client terminal connected to each other via a network,
When the approver client terminal has applied for an approval logon to log on to the user client terminal from an ID and password instead of a smart card logon from the user of the user client terminal, the logon Approving the logon of the user client terminal to the control server;
Changing the status of the user client terminal to a state approved by the approver when there is a request for approval logon by the logon control server ;
When an ID and password are input to the user client terminal by the user, the user client terminal confirms the status of the user client terminal, and the user client terminal is approved by an approver. And a step of determining whether or not the logon is possible by authenticating the ID and password.
JP2015222040A 2015-11-12 2015-11-12 Alternative logon system and alternative logon method, and authorized logon system and authorized logon method Active JP6230584B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015222040A JP6230584B2 (en) 2015-11-12 2015-11-12 Alternative logon system and alternative logon method, and authorized logon system and authorized logon method
CN202010655490.4A CN111787023B (en) 2015-11-12 2016-10-12 Approval login system and method
CN201610890591.3A CN106850527A (en) 2015-11-12 2016-10-12 Instead of login system and method and approval login system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015222040A JP6230584B2 (en) 2015-11-12 2015-11-12 Alternative logon system and alternative logon method, and authorized logon system and authorized logon method

Publications (2)

Publication Number Publication Date
JP2017091305A JP2017091305A (en) 2017-05-25
JP6230584B2 true JP6230584B2 (en) 2017-11-15

Family

ID=58770654

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015222040A Active JP6230584B2 (en) 2015-11-12 2015-11-12 Alternative logon system and alternative logon method, and authorized logon system and authorized logon method

Country Status (2)

Country Link
JP (1) JP6230584B2 (en)
CN (2) CN106850527A (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113836547B (en) * 2021-08-30 2023-12-22 济南浪潮数据技术有限公司 Method, system and monitoring platform for limiting common user to log on monitoring platform

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3497342B2 (en) * 1997-02-27 2004-02-16 株式会社日立製作所 Client / server system, server, client processing method, and server processing method
JP2000010927A (en) * 1998-06-25 2000-01-14 Nec Yonezawa Ltd Authentication system and device
CN1236592C (en) * 2000-07-28 2006-01-11 三六零度(美国)网络公司 Smart card enabled mobile personal computing environment system
US6968463B2 (en) * 2001-01-17 2005-11-22 Hewlett-Packard Development Company, L.P. System for controlling access to resources in a storage area network
JP2004157845A (en) * 2002-11-07 2004-06-03 Noritsu Koki Co Ltd Authentication system in maintenance
JP2005025301A (en) * 2003-06-30 2005-01-27 Casio Comput Co Ltd Information management system and program
JP3846893B2 (en) * 2003-07-30 2006-11-15 松下電器産業株式会社 Approval result notification system and method
JP2005128986A (en) * 2003-10-24 2005-05-19 Ez Soft Kk Electronic approval system and electronic seal
JP4643313B2 (en) * 2005-03-09 2011-03-02 富士通株式会社 Relief method when biometric authentication is impossible for client / server system with biometric authentication function
CN100437671C (en) * 2005-09-09 2008-11-26 中国工商银行股份有限公司 Long-distance authorizing system and method
KR101537738B1 (en) * 2008-05-19 2015-07-17 주식회사 케이티 System and method of automatic guidance related to usim card password and apparatus therefor
JP5776206B2 (en) * 2011-02-15 2015-09-09 東ソー株式会社 Analysis system with approval means
DE102012214018B3 (en) * 2012-08-07 2014-02-13 Siemens Aktiengesellschaft Authorization of a user by a portable communication device
CN103593602A (en) * 2012-08-14 2014-02-19 深圳中兴网信科技有限公司 User authorization management method and system
CN102831350B (en) * 2012-08-30 2015-05-20 北京立思辰计算机技术有限公司 Self-service compact disk recording whole life cycle monitoring and auditing method
US10069827B2 (en) * 2012-10-31 2018-09-04 International Business Machines Corporation Extending authentication and authorization capabilities of an application without code changes
JP2014099127A (en) * 2012-11-16 2014-05-29 Hitachi Ltd Authentication system with invalidating function
JP6287213B2 (en) * 2014-01-07 2018-03-07 日本電気株式会社 Proxy login device, terminal, control method, and program
US20150227733A1 (en) * 2014-02-10 2015-08-13 Hyundai Motor Company Automatic login system and automatic login method
CN104836789B (en) * 2015-03-20 2017-12-22 湖南科技大学 A kind of location privacy protection scheme anonymous based on area of space

Also Published As

Publication number Publication date
CN106850527A (en) 2017-06-13
CN111787023A (en) 2020-10-16
CN111787023B (en) 2023-04-18
JP2017091305A (en) 2017-05-25

Similar Documents

Publication Publication Date Title
US11321712B1 (en) System and method for on-demand level of assurance depending on a predetermined authentication system
CN108351927B (en) Password-free authentication for access management
EP3266181B1 (en) Identification and/or authentication system and method
KR102362456B1 (en) Authority transfer system, control method therefor, and storage medium
US7849501B2 (en) Methods and systems for using data processing systems in order to authenticate parties
KR102313859B1 (en) Authority transfer system, control method therefor, and client
US20170086069A1 (en) System and Method of Authentication by Leveraging Mobile Devices for Expediting User Login and Registration Processes Online
US11356261B2 (en) Apparatus and methods for secure access to remote content
US10110578B1 (en) Source-inclusive credential verification
JP6742907B2 (en) Identification and/or authentication system and method
US20170279798A1 (en) Multi-factor authentication system and method
US20140053251A1 (en) User account recovery
CN103827811A (en) Managing basic input/output system (BIOS) access
US20070214364A1 (en) Dual layer authentication system for securing user access to remote systems and associated methods
US20110289567A1 (en) Service access control
KR20220167366A (en) Cross authentication method and system between online service server and client
JP6230584B2 (en) Alternative logon system and alternative logon method, and authorized logon system and authorized logon method
US10984131B2 (en) Method for providing personal information of a user requested by a given online service
US20220116390A1 (en) Secure two-way authentication using encoded mobile image
JP2019168843A (en) Management server, authentication method, computer program, service cooperation system, communication terminal and electronic lock
JP4943186B2 (en) Finger vein authentication system
JP6795436B2 (en) Access control system, access control method and access control program
KR20220066692A (en) System and method for unified authentication management of business portal
Dalvi et al. Continuous and Transparent User Identity Verification for Secure Internet Services

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170919

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171017

R150 Certificate of patent or registration of utility model

Ref document number: 6230584

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250