CN101741840A - 认证中介服务器、程序、认证系统以及选择方法 - Google Patents
认证中介服务器、程序、认证系统以及选择方法 Download PDFInfo
- Publication number
- CN101741840A CN101741840A CN200910226056.8A CN200910226056A CN101741840A CN 101741840 A CN101741840 A CN 101741840A CN 200910226056 A CN200910226056 A CN 200910226056A CN 101741840 A CN101741840 A CN 101741840A
- Authority
- CN
- China
- Prior art keywords
- information
- request
- server
- authentication
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供一种认证中介服务器、程序、认证系统以及选择方法。考虑用户的状况、用户使用的服务的种类以及用户的便利性,可以动态地变更认证服务器。在终端装置(1)从服务提供服务器(2)接受服务的提供时,认证中介服务器(4),从满足终端装置(1)预先设定的状况信息、优先度、使用条件、服务提供服务器条件等选择条件的认证服务器(3)中进行选择,终端装置(1)的用户通过所选择的认证服务器(3)接受认证。
Description
技术领域
本发明涉及在终端装置从服务提供服务器接收服务的提供时,选择终端装置的用户接受认证的认证服务器的技术。
背景技术
由于因特网的普及,经由网络向用户提供动画或声音的传送、Web应用或Web站点的公开等多种多样的服务,在接受这些服务的提供时,有时服务的提供者要进行利用服务的用户的认证。
然后,在各个服务提供者独自装有用户认证方式的情况下,在用户每次享受各种服务时,各个服务提供者要求进行任意选择的认证方式的认证,损害了用户的便利性,此外,在用户使用各个服务之前必须向各个服务提供者登录自己的属性信息,增加了属性信息泄露的可能,有可能关系到用户隐私的侵害。
作为这样问题的解决办法,已知有可以通过一次的认证操作享受多个服务的被称为单点登录的技术。例如,在文献1以及文献2中记载的SAML(SecurityAssertion Markup Language)或在文献3中记载的OpenID Authentication中,通过服务提供者(在文献1以及文献2中称为Service Provider,此外,在文献3中作为Relying Party进行参照)向认证服务器(在非专利文献1以及文献2中被称为Identity Provider,此外在文献3中作为OpenID Provider进行参照)委托用户的认证,由此防止了用户在每次使用服务时必须进行认证操作,以及防止各个服务提供者保存用户的属性信息。
在上述现有技术中,在用户使用多个认证方式时,存在以下的问题。
在文献1以及文献2记载的SAML中,服务提供者基本上仅在结成信赖关系的认证服务器之间执行认证委托。在存在多个结成信赖关系的认证服务器时,虽然使用记载为Identity Provider Discovery Profile的方法,用户能够动态地选择完成认证的认证服务器,但存在无法反映用户的状况(例如状况信息)或策略的问题。
此外,在文献3记载的OpenID Authentication中,通过用户对服务提供服务器提示称为OpenID的URL,可以指定在认证中使用的认证服务器,但在区分使用多个认证服务器时,需要准备认证服务器数量的OpenID,存在降低用户便利性的问题。
【文献1】OASIS、Assertions and Protocols for the OASIS Security AssertionMarkup Language(SAML)V2.0[平成20年8月20日检索]、因特网<URL:http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf>
【文献2】OASIS、Profiles for the OASIS Security Assertion MarkupLanguage(SAML)V2.0[平成20年8月20日检索]、因特网<URL:http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf>
【文献3】OpenlD Authentication2.0-Final、[平成20年8月20日检索]、因特网<URL:http://openid.net/specs/openid-authentication-20.html>
发明内容
本发明提供一种考虑到用户的状况、用户所利用的服务的种类以及用户的便利性,可动态地变更认证服务器的技术。
为了解决上述的课题,本发明使用户选择满足预先设定的选择条件的认证服务器。
例如,本发明提供一种认证中介服务器,其在终端装置从服务提供服务器接受服务提供时,选择所述终端装置的用户接受认证的认证服务器,认证中介服务器的特征为:具备存储部以及控制部,所述存储部存储服务提供服务器请求信息,该服务提供服务器请求信息确定服务提供服务器ID、以及该服务提供服务器ID为认证请求的请求条件,控制部进行以下的处理:当从所述服务提供服务器取得确定了服务提供服务器ID的信息取得请求时,从所述服务提供服务器请求信息取得与通过所述信息取得请求确定的服务提供服务器ID对应的请求条件,选择满足取得的请求条件的所述认证服务器;以及向所述服务提供服务器通知确定被选择的认证服务器的信息。
根据本发明,可以考虑用户的状况、用户使用的服务器的种类以及用户的便利性来动态地变更认证服务器。
附图说明
图1举例表示认证系统的概要结构。
图2表示终端装置的功能结构的一例。
图3举例表示对话信息表的概要结构。
图4举例表示计算机硬件的概要结构。
图5表示服务提供服务器的功能结构的一例。
图6举例表示对话信息表的概要结构。
图7表示认证服务器的功能结构的一例。
图8举例表示对话信息表的概要结构。
图9举例表示用户属性信息表的概要结构。
图10表示认证中介服务器的结构的功能结构的一例。
图11举例表示用户策略信息表的概要结构。
图12举例表示认证服务器信息表的概要结构。
图13举例表示服务提供服务器请求信息表的概要结构。
图14举例表示认证等级信息表的概要结构。
图15举例表示提供认证强度信息表的概要结构。
图16举例表示认证等级定义信息表的概要结构。
图17举例表示ID信息表的概要结构。
图18举例表示属性信息表的概要结构。
图19表示状况服务器的功能结构的一例。
图20举例表示状况信息表的概要结构。
图21表示在认证系统中进行认证时的处理顺序的一例。
图22表示在认证系统中进行认证时的处理顺序的一例。
图23是表示用户提供服务器的处理的流程图。
图24是表示认证服务器的处理的流程图。
图25是表示终端装置的处理的流程图。
图26是表示认证中介服务器的处理的流程图。
具体实施方式
在以下的实施方式中使用的域名、URL、URI、IP地址等信息是为了说明而虚构的,与实际情况没有关系。
图1是本发明一实施方式的认证系统10的概要图。
如图所示,认证系统10具有终端装置1;多个服务提供服务器2A、2B......;(在以下不对各个服务提供服务器进行区别时,称为服务提供服务器2);多个认证服务器3A、3B......(在以下不对各个认证服务器进行区别时,称为认证服务器3);认证中介服务器4;状况服务器5。并且,它们可以经由网络6相互收发信息。
图2是表示终端装置1的一例的概要图。如图所示,终端装置1具备存储部101、控制部105、输入部115、输出部116、收发部117、声音输入输出部118。
存储部101具备状况信息存储区域102、状况信息存储区域103。在状况信息存储区域102中存储状况信息,该状况信息确定经由网络6在与其他装置之间确立的对话。在此,在本实施方式中,将对话看作是指在装置之间进行的一连串的数据通信顺序。
例如,在本实施方式中,在对话信息存储区域102中存储图3(对话信息表102a的概要图)所示的对话信息表102a。
对话信息存储表102a具有连接目的地ID栏102b和对话ID栏102c。
在连接目的地ID栏102b中存储确定连接目的地的装置的信息。在此,作为确定连接目的地的装置的信息,存储用于唯一识别各个装置(服务提供服务器2或认证服务器3)的识别信息,即服务提供服务器ID或认证服务器ID。例如,在连接目的地的装置是Web服务器时,作为连接目的地ID栏的值,可以使用http://www.hitachi.com/这样的URL。
在对话ID栏102c中存储确定与通过连接目的地ID栏102b确定的装置之间的对话的信息。在此,作为确定对话的信息,存储对各个对话唯一分配的识别信息,即对话ID。例如,在连接目的地的装置为Web服务器时,作为对话ID栏的值,可以存储在来自Web服务器的HTTP响应内作为Set-Cookie头部的值被赋予的字符串。
返回图2,在状况信息存储区域103中存储利用终端装置1的用户的状况信息。
例如,在本实施方式中,作为状况信息,存储有用于确定使用终端装置1的用户是在“自家”或者在“职场”的信息(可以预先经由输入部115由用户输入)以及用于确定使用终端装置1的用户是否经由声音输入输出部118“正在通话”的信息(可以通过后述的声音通信部112确定是否正在通话),但并不限于这样的方式。
控制部105具有服务使用部106、服务请求生成部107、服务通信部108、认证处理部109、状况管理部110、状况信息处理部111、声音通信部112、用户策略处理部113。
服务使用部106经由输入部115以及输出部116对用户提供用于使用服务的输入输出接口,并进行接受需要信息的输入的处理。
服务请求生成部107进行以下的处理:根据经由输入部115以及输出部116服务使用部106接受输入后得到的信息,生成用于对服务提供服务器2请求服务的消息(服务请求消息)。
服务通信部108控制经由收发部117以及网络6的信息的收发处理。例如,作为服务通信部108,考虑能够进行用于使用Web站点或Web应用的HTTP通信的协议栈等。
此外,服务通信部108进行在认证中介服务器4以及服务提供服务器2之间交换的消息的传输处理。
认证处理部109在认证服务器3执行的认证时,进行向用户的输入输出请求以及认证所需要的信息的计算处理。例如,在认证服务器3执行的认证方式是TLS客户机认证时,如果有需要,则认证处理部109进行以下的处理:经由输出部116向用户请求输入PIN(Personal Indentification Number),取得在智能卡等可移动的存储介质或存储部101中存储的用户的秘密密钥,与从认证服务器3发送来的信息结合起来计算用于对本人进行认证的信息,然后经由收发部117向认证服务器3发送计算出的信息。
对话管理部110进行对终端装置1与其他装置之间确立的对话进行管理的处理。例如,当装置装置1与服务提供服务器2或认证服务器3之间确立了对话时,在对话信息表102a中生成新的记录,把连接目的地的装置的ID和对话ID存储在生成的新的记录中,当确立的对话结束(被切断)时,删除与该对话对应的记录。
状况信息处理部111进行对终端装置1的用户的状况信息进行管理的处理。例如,进行以下的处理:经由输入部115从终端装置1的用户接受用于确定用户在“自家”或者在“职场”的信息的输入,把输入的用于确定“自家”或“职场”的信息存储在存储部101的状况信息存储区域103中。
此外,状况信息处理部111在后述的声音通信部112正在进行声音通信时,在存储部101的状况信息存储区域103中存储用于确定终端装置1的用户正在进行声音通话的信息(确定“正在通信”的信息)。
并且,状况信息处理部111在预定的时刻或者在存在来自状况服务器2的请求时,控制经由收发部117以及网络6发送状况信息的处理,该状况信息被存储在了状况信息存储区域103中。
声音通信部112进行遵照SIP(Session Initiation Protocol)等的呼叫控制,并且控制遵照RTP(Real Time Protocol)等的声音通信。
用户策略处理部113经由输入部115从终端装置1的用户接受策略信息的输入,该策略信息用于确定用户ID、使用的认证服务器3的认证服务器ID、该认证服务器3的优先度、使用该认证服务器3时的使用条件(针对状况信息的条件)、对使用该认证服务器3的服务提供服务器2进行确定的信息(服务提供服务器ID)。
然后,用户策略处理部113进行以下的处理:经由收发部117以及网络6向认证中介服务器4发送接受输入后得到的策略信息。
输入部115接受信息的输入。
输出部116输出信息。
收发部117经由网络6进行信息的收发。
声音输入输出部118进行声音的输入以及输出。
例如可以通过在图4(计算机9的概要图)所示的具有CPU(CentralProcessing Unit)901、存储器902、HDD(Hard Disk Drive)等外部存储装置903、对CD(Compact Disk)或DVD(Digital Versatile Disk)等具有可移动性的存储介质904读写信息的读写装置905、键盘鼠标等输入装置906、显示器等输出装置907、用于与通信网络连接的NIC(Network Interface Card)等收发装置908的一般的计算机9中,可以使用地连接具备麦克风以及扬声器的手持机(未图示),来实现以上记载的终端装置1。
例如,可以通过CPU901使用存储器902或外部存储装置903来实现存储部101,可以通过把外部存储装置903中存储的规定的程序加载到存储器902中,然后由CPU901进行执行来实现控制部105,可以通过CPU901使用输入装置906来实现输入部115,可以通过CPU901使用输出装置907来实现输出部116,可以通过CPU901使用收发装置908来实现收发部117,可以通过CPU901使用手持机(未图示)来实现声音输入输出部118。
可以经由读写装置905从存储介质904或者经由收发装置908从网络向外部存储装置903下载该规定的程序,然后加载到存储器902上由CPU901来执行。此外,可以经由读写装置905从存储介质904或者经由收发装置908从网络将该规定的程序直接加载到存储器902上,然后由CPU901来执行。
图5是表示服务提供服务器2的一例的概要图。如图所示,服务提供服务器2具备存储部201、控制部204、输入部211、输出部212、收发部213。
存储部201具备对话信息存储区域202。
在对话信息存储区域202中存储对话信息,该对话信息确定服务提供服务器2经由网络6与其他装置之间确立的对话。例如,在本实施方式中,在对话信息存储区域202中存储图6(对话信息表202a的概要图)所示的对话信息表202a。
对话信息存储表202a具有连接目的地ID栏202b和对话ID栏202c。
在连接目的地ID栏202b中存储确定连接目的地的装置的信息。在此,作为确定连接目的地的装置的信息,存储对各个装置(终端装置1)唯一分配的识别信息。例如,在连接目的地的装置为终端装置1时,可以采用使用终端装置1的用户的用户ID。
在对话ID栏202c中存储对与通过连接目的地ID栏202b确定的装置之间的对话进行确定的信息。在此,作为确定对话的信息,存储用于唯一地识别各个对话的识别信息,即对话ID。例如,在连接目的地的装置为Web客户机时,作为对话ID栏的值,可以存储在来自该Web客户机的HTTP请求内作为Cookoie头部的值被赋予的字符串。
返回图5,控制部204具备服务提供部205、对话管理部206、认证服务器信息取得部207、认证请求处理部208、服务通信部209。
服务提供部205进行向终端装置1提供从终端装置1请求的服务的处理。
对话管理部206进行对服务提供服务器2与其他装置之间确立的对话进行管理的处理。例如,当服务提供服务器2与终端装置1之间确立了对话时,在对话信息表202a中生成新的记录,在所生成的新的记录中存储连接目的地装置的ID和对话ID,当确立的对话结束时,删除与该对话对应的记录。
认证服务信息取得部207进行以下的处理:在终端装置1请求特定的服务时,经由收发部213以及网络6从认证中介服务器4直接,或者经由终端装置1间接地取得认证服务器信息,该认证服务器信息用于确定对该终端装置1的用户执行认证的认证服务器3。
例如,在认证中介服务器4如同文献3中记载的OpenID Authentication那样,通过XRDS文件通知认证服务器信息时,服务提供服务器2可以针对该认证中介服务器4使用HTTP或HTTPS直接请求并取得认证服务器信息。
此外,服务提供服务器2可以按照在文献2中记载的Identity ProviderDiscovery Profile,利用HTTP重定向,经由终端装置1间接地向认证中介服务器4请求并取得认证服务器信息。
认证请求处理部208进行以下的处理:在从认证中介服务器4接收到认证服务器信息时,经由收发部213以及网络6,针对通过该认证服务器信息指定的认证服务器3经由终端装置1间接地发送请求用户认证的认证请求消息。例如,当终端装置1、服务提供服务器2和认证服务器3可以使用HTTP或HTTPS进行通信时,可以利用HTTP重定向,经由终端装置1间接地发送认证请求消息。
服务通信部209进行以下的处理:经由收发部213以及网络6收发对终端装置1提供服务所需要的信息。例如,作为服务通信部209,可以构成为进行用于使用Web站点或Web应用的HTTP通信的协议栈等。
输入部211接受信息的输入。
输出部212输出信息。
收发部213经由网络6进行信息的收发。
例如通过图4所示的计算机来实现以上记载的服务提供服务器2。
例如,可以通过CPU901使用存储器902或外部存储装置903来实现存储部201,可以通过把外部存储装置903中存储的规定的程序加载到存储器902中由CPU901执行来实现控制部204,可以通过CPU901使用输入装置906来实现输入部211,可以通过CPU901使用输出装置来实现输出部212,可以通过CPU901使用收发装置908来实现收发部213。
可以经由读写装置905从存储介质904或者经由收发装置908从网络向外部存储装置903下载该规定的程序,然后加载到存储器902上由CPU901来执行。此外,可以经由读写装置905从存储介质904或者经由收发装置908从网络将该规定的程序直接加载到存储器902上,然后由CPU901来执行。
图7是表示认证服务器2的一例的概要图。如图所示,认证服务器3具备存储部301、控制部305、输入部312、输出部313、收发部314。
存储部301具备对话信息存储区域302和用户属性信息存储区域303。
在对话信息存储区域303中存储对话信息,该对话信息用于确定认证服务器3经由网络6与其他装置之间确立的对话。例如,在本实施方式中,图8(对话信息表302a的概要图)所示的对话信息表302a存储在对话信息存储区域302中。
对话信息存储表302a具有连接目的地ID栏302b和对话ID栏302c。
在连接目的地ID栏302b中存储确定连接目的地的装置的信息。在此,作为确定连接目的地的装置的信息,存储用于唯一识别各个装置(终端装置1)的识别信息。例如,在连接目的地的装置是终端装置1时,可以采用使用终端装置1的用户的用户ID。
在对话ID栏302c中存储确定与通过连接目的地ID栏302b确定的装置之间的对话的信息。在此,作为确定对话的信息,存储对各个对话唯一分配的识别信息,即对话ID。例如,在连接目的地的装置为Web客户机时,作为对话ID栏的值,可以存储在来自该Web客户机的HTTP请求内作为Cookie头部的值而被赋予的字符串。
返回图7,在用户属性信息存储区域303中存储用户属性信息,该用户属性信息用于确定认证服务器3进行认证的用户的属性。例如,在本实施方式中,在用户属性信息存储区业余303中存储图9(用户属性信息表303a的概要图)所示的用户属性信息表303a。
用户属性信息表303a具有用户ID栏303b和属性栏303c。
在用户ID栏303b中存储确定终端装置1的用户的信息。在此,作为确定用户的信息,存储唯一识别各个用户的识别信息,即用户ID。
在属性栏303c中存储用于确定通过用户ID栏303b确定的用户的属性的信息。在此,作为用于确定用户的属性的信息,例如存储用于确定用户的姓名、用户的邮件地址、用户的住所、用户的电子证书等的信息中的,与由认证服务器3进行的认证方式对应的信息。
接受来自服务提供服务器2的请求,在用户设定的策略范围内向服务提供服务器2发送该用户属性信息。此外,如果认证需要,还可以在用户属性存储区域303中存储用户的密码。
控制部305具备认证请求处理部306、认证执行部307、认证结果生成部308、对话管理部309、用户属性管理部310。
认证请求处理部306进行以下的处理:从服务提供服务器2直接地,或者经由终端装置1间接地接收所发送的认证请求消息,取得接收到的认证请求消息中包含的参数(对话ID、用户ID等)。例如,在终端装置1、服务提供服务器2以及认证服务器3可以进行使用HTTP或HTTPS的通信时,认证服务器3可以利用HTTP重定向,接收从服务提供服务器2经由终端装置1间接发送的认证请求消息。
认证执行部307执行用户的认证所需要的处理。在本实施方式中,认证执行部307经由收发部314以及网络6向终端装置1请求用于证明本人的信息。例如,在认证服务器3执行的认证方式是TLS客户机认证时,认证执行部307向终端装置1发送随机数列,使用在用户属性存储区域303中存储的终端装置1的电子证书来认证从该终端装置1回复的信息是通过终端装置1具有的秘密密钥计算出的信息,由此可以执行用户的认证。
认证结果生成部308生成认证结果信息,该认证结果信息用于确定由认证执行部307执行的用户认证的结果。作为该认证结果信息,例如可以使用在文献1中记载的称为SAML Assertion的XML文件。
对话管理部309进行对认证服务器3与其他装置之间确立的对话进行管理的处理。例如,当认证服务器3与终端装置1之间确立了对话时,在对话信息表302a中生成新的记录,在所生成的新的记录中存储连接目的地的ID和对话ID,当确立的对话结束时,删除与该对话对应的记录。
用户属性管理部310进行以下的处理:从终端装置1接收请求,生成、更新或者删除在用户属性存储区域303中存储的用户属性信息。
此外,用户属性管理部310当经由收发部314以及网络6从服务提供服务器2接收到属性取得请求消息时,进行以下的处理:在用户设定的策略的范围内,向服务提供服务器2发送所请求的用户属性信息。
输入部312接受信息的输入。
输出部313输出信息。
收发部314经由网络6进行信息的收发。
例如可以通过图4所示的计算机9来实现以上记载的认证服务器3。
例如,可以通过CPU901使用存储器902或外部存储装置903来实现存储部301,可以通过把外部存储装置903中存储的规定的程序加载到存储器902中然后由CPU901进行执行来实现控制部305,可以通过CPU901使用输入装置906来实现输入部312,可以通过CPU901使用输出装置907来实现输出部313,可以通过CPU901使用收发装置908来实现收发部314。
可以经由读写装置905从存储介质904或者经由收发装置908从网络向外部存储装置903下载该规定的程序,然后加载到存储器902上由CPU901来执行。此外,可以经由读写装置905从存储介质904或者经由收发装置908从网络将该规定的程序直接加载到存储器902上,然后由CPU901来执行。
图10是表示认证中介服务器4的结构的一例。
如图所示,认证中介服务器4具备存储部401、控制部411、输入部418、生成部419、收发部420。
存储部401具备用户策略信息存储区域402、认证服务器信息存储区域403、服务提供服务器请求信息存储区域404、认证等级信息存储区域405、提供认证强度信息存储区域406、认证等级定义信息存储区域407、ID信息存储区域408、属性信息存储区域409。
在用户策略信息存储区域402中,对每个用户存储用于确定选择认证服务器3的选择指针的用户策略信息。例如,在本实施方式中,在用户策略信息存储区域402中存储图11(用户策略信息表402a的概要图)所示的用户策略信息表402a。
用户策略信息表402a具有用户ID栏402b、认证服务器ID栏402c、最终认证时刻栏402d、优先度栏402e、使用条件栏402f、服务提供服务器ID条件栏402g。
在用户ID栏402b中存储确定终端装置1的用户的信息。在此,作为确定用户的信息,存储对各个用户唯一分配的识别信息,即用户ID。
在此,以记录(表的行)的形式将一个以上的认证服务器关联信息与一个用户ID关联起来。认证服务器关联信息具有认证服务器ID、最终认证时刻、优先度、选择条件。
在认证服务器ID栏402c中存储用于确定能够对通过用户ID栏402b确定的用户进行认证的认证服务器3的信息(在此为认证服务器ID)。例如,在认证服务器3接受基于HTTP的连接时,作为认证服务器ID栏402的值,可以使用http://www.hitachi.com/这样的URL。
在最终认证时刻栏402d中存储以下的信息(在此为年月日时间),该信息用于确定在通过用户ID栏402b确定的用户的认证中,最后选择通过认证服务器ID栏402c确定的认证服务器3时的时刻。
在优先度栏402e中存储以下的信息,该信息用于确定在通过用户ID栏402b确定的用户的认证中,选择通过认证服务器ID栏402c确定的认证服务器3时的优先度。在本实施方式中,做成了优先度栏402e中存储的数值越小,进行选择时的优先度(优先选择的程度)越高,但并不限于这样的方式。
在使用条件栏402f中存储以下的信息,该信息用于确定在通过用户ID栏402b确定的用户的认证中,选择通过认证服务器ID栏402c确定的认证服务器3时的条件。在此,作为确定使用认证服务器3时的条件的信息,例如可以使用用户的状况信息、用户使用的终端装置1的状况信息、用户使用的终端装置1的种类等。
在使用条件栏402f中存储了“*”的记号时,表示不存在使用通过认证服务器ID栏402c确定的认证服务器3时应该满足的条件的情况(不要求条件的情况)。
在服务提供服务器ID条件栏402g中存储以下的信息(在此为服务提供服务器ID),该信息在通过用户ID栏402b确定的用户的认证中,用于确定选择通过认证服务器ID栏402c确定的认证服务器的服务提供服务器2。例如,在通过用户ID栏402b确定的用户的认证中,使用通过认证服务器ID栏402c确定的认证服务器的情况,可以仅限于从通过服务提供服务器ID条件栏402g确定的服务提供服务器2接收到认证请求的情况。
在服务提供服务器ID条件栏402g中存储有“*”的标记时,表示该服务提供服务器ID条件栏包含全部服务提供服务器ID(不限于特定的服务提供服务器2)。
返回图10,在认证服务器信息存储区域403中存储认证服务器信息,该认证服务器信息确定认证中介服务器4可以对服务提供服务器2介绍的认证服务器3、认证服务器3对应的认证方式、该认证服务器3保有的用户的属性信息。例如在本实施方式中,在认证服务器信息存储区域403中存储图12(认证服务器信息表403a的概要图)所示的认证服务器信息表403a。
认证服务器信息表403a具有认证服务器ID栏403b和对应认证方式栏403c以及保有属性信息栏403d。
在认证服务器ID栏403b中存储确定认证服务器3的信息。在此,存储用于唯一识别各个认证服务器3的识别信息,即认证服务器ID。
对于一个认证服务器ID,通过记录(表的行)的形式使一个以上的对应认证方式和一个以上的保有属性信息与之相关联。
在对应认证方式栏403c中存储有以下的信息,该信息用于确定通过认证服务器ID栏403b确定的认证服务器3可以执行的认证方式的种类。在此,作为确定认证方式的种类的信息,存储用于唯一地识别各个认证方式的识别信息,即认证方式名。
在保有属性信息栏403d中存储以下的信息,该信息用于确定通过认证服务器ID栏403b确定的认证服务器3保有的属性信息的种类。在此,作为确定用户属性信息种类的信息,存储姓名、住所、邮件地址、信用卡号码等用户属性的名称。
返回图10,在服务提供服务器请求信息存储区域404中,对每个服务提供服务器2存储对用于选择认证服务器3的选择指针进行确定的服务提供服务器请求信息。例如,在本实施方式中,在服务提供服务器请求信息存储区域404中存储图13(服务提供服务器请求信息表404a的概要图)所示的服务提供服务器请求信息表404a。
服务提供服务器请求信息表404a具有服务提供服务器ID条件栏404b、协作认证服务器ID栏404c、请求认证等级栏404d、请求属性信息栏404e。
在服务提供服务器ID栏404b中存储确定服务提供服务器2的信息。在此,作为确定服务提供服务器2的信息,存储用于唯一识别各个服务提供服务器2的识别信息,即服务提供服务器ID。
对于一个服务提供服务器ID,以记录的方式(表的行)使一个以上的协调验证服务器ID、一个以上的请求认证方式、一个以上的请求属性信息与之相关联。
在协作认证服务器ID栏404c中存储有以下的信息,该信息用于确定通过服务提供服务器ID栏404b确定的服务提供服务器2为了委托认证,事先进行协作处理的认证服务器3。在此,作为确定认证服务器3的信息,存储用于唯一地识别各个认证服务器3的识别信息,即认证服务器ID。在协作认证服务器ID栏404c中存储有“*”的记号时,表示通过服务提供服务器ID栏404b确定的服务提供服务器2不需要在与认证服务器3之间进行事先的协作处理。
在请求认证等级栏404d中存储有以下的信息,该信息用于确定在通过服务提供服务器ID栏404b确定的服务提供服务器2提供服务时要求的认证的安全性(强度)的等级(请求认证等级)。
在请求属性信息栏404e中存储以下的信息,该信息用于确定通过服务提供服务器ID栏404b确定的服务提供服务器2对认证服务器3请求公开的用户的属性信息的种类。当在请求属性信息栏404e中存储有“*”记号时,表示通过服务提供服务器ID栏404b确定的服务提供服务器2对认证服务器3不请求特定的属性信息。
返回图10,在认证等级信息存储区域405中存储用于确定用户接受的最新的认证等级(当前认证等级)的认证等级信息。例如,在认证等级信息存储区域405中存储图14(认证等级信息表405a的概要图)所述的认证等级信息表405a。
认证等级信息表405a具有用户ID栏405b和当前认证等级栏405c。
在用户ID栏405b中存储确定用户的信息。在此,存储用于唯一识别各个用户的识别信息,即用户ID。
在当前认证等级栏405c中存储以下的信息,该信息用于确定通过用户ID栏405b确定的用户接受认证的最新的认证等级(当前接受的认证等级)。
返回图10,在提供认证强度信息存储区域406中存储提供认证强度信息,该提供认证强度信息,用于确认由认证服务器3提供的认证方式、以及该认证方式的认证强度。例如,在本实施方式中,在提供认证强度信息存储区域406中存储图15(提供认证强度信息表406a的概要图)所示的提供认证强度信息表406a。
提供认证强度信息表406a具有认证服务器ID栏406b、提供认证方式栏406c、认证强度栏406d、提供URI栏406e。
在认证服务器ID栏406b中存储用于确定认证服务器3的信息。在此,存储用于唯一识别各个认证服务器3的识别信息,即认证服务器ID。
在提供认证方式栏406c中存储以下的信息,该信息用于确定通过认证服务器ID栏406确定的认证服务器3提供的认证方式。
在认证强度栏406中存储以下的信息,该信息用于确定通过认证服务器ID栏406b确定的认证服务器3,按照通过提供认证方式栏406c确定的认证方式进行的认证的认证强度。在此,在本实施方式中,在认证强度栏406b中存储的数值越大,表示认证强度越高(认证的安全性高)。
在提供URI栏406e中存储以下的信息,该信息用于确定通过认证服务器ID栏406b确定的认证服务器3,提供基于通过提供认证方式栏406c确定的认证方式的认证的URI。
返回图10,在认证等级定义信息存储区域407中存储确定认证等级的定义的认证等级定义信息。例如,在本实施方式中,在认证等级定义信息存储区域407a中存储图16(认证等级定义信息表407a的概要图)所述的认证等级定义信息表407a。
认证等级定义信息表407a具有认证等级栏407b和定义栏407c。
在认证等级栏407b中存储确定认证等级的信息。
在定义栏407c中存储以下的信息,该信息用于确定为了满足通过认证等级栏407b确定的认证等级而执行的、所需要的认证的方法。在此,在本实施方式中,在定义栏407c中,通过认证强度和认证的次数的组合,来确定与各个认证等级对应的认证的方式。
在本实施方式的认证等级定义中,在服务提供者要求某个认证等级的情况下,当用户满足比所需要的认证等级还大的数字的认证等级时,判定为满足要求认证等级。
返回图10,在ID信息存储区域408中存储ID信息,该ID信息用于确定用户在各个服务提供服务器2中使用的固有的用户ID。例如,在本实施方式中,在ID信息存储区域408中存储图17(ID信息表408a的概要图)所示的ID信息表408a。
ID信息表408a具有用户ID栏408b、用户ID栏408c、服务固有用户ID栏408d。
在用户ID栏408b中存储确定用户的信息。在此,存储用于唯一识别各个用户的识别信息,即用户ID。
在服务器ID栏408c中存储以下的信息,该信息用于确定通过用户ID栏408确定的用户接受服务提供的服务提供服务器2。在此,存储用于唯一识别各个服务提供服务器2的识别信息,即服务提供服务器ID。
在服务固有用户ID栏408d中存储以下的信息,该信息用于确定通过用户ID栏408b确定的用户在通过服务器ID栏408c确定的服务提供服务器2中使用的识别信息(服务固有用户ID)。
返回图10,在属性信息存储区域409中存储确定用户的属性的属性信息。例如,在本实施方式中,在属性信息存储区域409中存储图18(属性信息表409a的概要图)所示的属性信息表409a。
属性信息表409a具有用户ID栏409b、属性类型栏409c、属性值栏409d。
在用户ID栏409b中存储确定用户的信息。在此,存储用于唯一地识别各个用户的识别信息,即用户ID。
在属性类型栏409c中存储以下的信息,该信息用于确定通过用户ID栏409b确定的用户的属性的种类。
在属性值栏409d中存储以下的信息,该信息用于确定通过用户ID栏409b确定的用户在通过属性类型栏409c确定的属性的种类中使用的属性的值。
返回图10,控制部411具有信息取得请求处理部412、认证服务器选择部413、用户策略管理部414、用户信息取得部415、身份变换部416。
信息取得请求处理部412在经由收发部420以及网络6从服务提供服务器2直接地,或者经由终端装置1间接地接收到信息取得请求消息时,取得接收到的信息取得请求消息中包含的用户ID以及服务提供服务器ID,并发送给认证服务器选择部413。
当在接收到的该信息取得请求消息中没有包含用户ID的情况下,可以经由收发部420以及网络6对终端装置1回复请求输入用户ID的响应消息(例如包含form标签的HTTP响应),取得用户ID。
认证服务器选择部413在从信息取得请求处理部412接收到用户ID以及服务提供服务器ID时,从存储部401的用户策略信息存储区域402中存储的用户策略信息、认证服务器信息存储区域403中存储的认证服务器信息、服务提供服务器请求信息存储区域404中存储的服务提供服务器请求消息,取得与得到的用户ID以及服务提供服务器ID相应的信息,并且,参照后述的用户信息取得部415取得的用户的状况信息等,选择在用户的认证中应该使用的认证服务器3。
此外,认证服务器选择部413对服务提供服务器2直接地,或者经由终端装置1间接地发送确定所选择的认证服务器3的认证服务器信息。例如,如在文献3中记载的OpenID Authentication那样,可以将认证服务器3的信息表现为XRDS文件,发送给服务提供服务器2。此外,还可以按照在文献2中记载的Identity Provider Discovery Profile,使用HTTP重定向,经由终端装置1间接地向服务提供服务器2发送认证服务器信息。
用户策略管理部414经由收发部420以及网络6从终端装置1取得用于确定用户ID、通过该用户ID的用户所使用的认证服务器3的认证服务器ID、该认证服务器3的优先度、选择该认证服务器3的条件(使用条件、服务提供服务器ID条件)的信息,对于在存储部401的用户策略信息存储区域402中存储的用户策略信息表402a,生成、更新、或者删除记录。
用户信息取得部415通过经由收发部420以及网络6对状况服务器5发送确定了用户ID的状况信息取得请求,从状况服务器5取得与该用户ID对应的用户的状况信息。此外,当在网络6上存在对与状况类似的用户信息进行管理的服务器时,从该服务器取得用户信息。
身份变换部416进行对ID信息存储区域408中存储的ID信息以及属性信息存储区域409中存储的属性信息进行管理的处理。
此外,身份变换部416进行以下的处理:从属性信息存储区域409取得服务提供服务器2请求的请求属性信息,经由收发部420以及网络6直接地,或者经由终端装置1间接地发送给服务提供服务器2。
输入部418接受信息的输入。
输出部419输出信息。
收发部420经由网络6进行信息的收发。
例如可以通过图4所述的计算机9实现以上记载的认证中介服务器4。
例如,可以通过CPU901使用存储器902或外部存储装置903来实现存储部401,可以通过把外部存储装置903中存储的规定的程序加载到存储器902中然后由CPU901执行来实现控制部411,可以通过CPU901使用输入装置906来实现输入部418,可以通过CPU901使用输出装置907来实现输出部419,可以通过CPU901使用收发装置908来实现收发部420。
可以经由读写装置905从存储介质904或者经由收发装置908从网络向外部存储装置903下载该规定的程序,然后加载到存储器902上由CPU901来执行。此外,可以经由读写装置905从存储介质904或者经由收发装置908从网络将该规定的程序直接加载到存储器902上,然后由CPU901来执行。
图19是表示状况服务器5的一例的概要图。如图所示,状况服务器5具有存储部501、控制部504、输入部508、输出部509、以及收发部510。
存储部510具备状况信息存储区域502。
在状况信息存储区域502中存储确定终端装置1的用户的状况的状况信息。例如,在本实施方式中,在状况信息存储区域502中存储图20(状况信息表502a的概要图)所示的状况信息表502a。
状况信息表502a具有用户ID栏502b和状况信息栏502c。
在用户ID栏502b中存储确定用户的信息。在此,存储用于唯一地识别各个用户的识别信息,即用户ID。
在状况信息栏502c中存储确定通过用户ID栏502b确定的用户的状况(状况)的状况信息。
返回图19,控制部504具备信息取得请求处理部505、信息更新请求处理部506。
信息取得请求处理部505,当经由收发部510以及网络6从认证中介服务器4接收到信息取得请求消息时,取得在得到的信息取得请求消息中包含的用户ID,将该用户ID作为关键字检索在状况信息存储区域502中存储的状况信息。作为检索的结果,当取得通过该用户ID确定的用户的状况信息时,将该状况信息经由收发部510以及网络6回复给发送来信息取得请求消息的认证中介服务器4。
信息更新请求处理部506当经由收发部510以及网络6,从终端装置1接收到信息更新请求消息时,取得在接收到的信息更新请求消息中包含的用户ID以及状况信息,生成或者更新状况信息存储区域502内的与该用户ID对应的记录。
输入部508接受信息的输入。
输出部509输出信息。
收发部510经由网络6进行信息的收发。
例如可以通过图4所示的计算机9来实现以上记载的状况服务器5。
例如,可以通过CPU901使用存储器902或外部存储装置903来实现存储部501,可以通过把外部存储装置903中存储的规定的程序加载到存储器902中然后由CPU901进行执行来实现控制部504,可以通过CPU901使用输入装置906来实现输入部508,可以通过CPU901使用输出装置907来实现输出部509,可以通过CPU901使用收发装置908来实现收发部510。
可以经由读写装置905从存储介质904或者经由收发装置908从网络向外部存储装置903下载该规定的程序,然后加载到存储器902上由CPU901来执行。此外,可以经由读写装置905从存储介质904或者经由收发装置908从网络将该规定的程序直接加载到存储器902上,然后由CPU901来执行。
图21以及图22是表示通过认证系统10进行认证时的处理的一例的顺序。
在本顺序中,表示通过用户ID“user001”识别的用户在使用终端装置1对通过服务提供服务器ID“sp001”识别的服务提供服务器2A以及通过服务提供服务器ID“sp002”识别的服务提供服务器2B请求提供服务时的、各装置中的处理。以终端装置1与其他装置之间没有建立对话为前提。
此外,假设通过认证服务器ID“idp001”识别认证服务器3A,通过认证服务器ID“idp002”识别认证服务器3B。
并且,假设通过“sp001”的服务提供服务器ID确定的服务提供服务器2A,在对认证中介服务器4请求取得(选择)认证服务器3时,经由终端装置1间接地发送请求消息,另一方面,假设通过服务提供服务器ID“sp002”确定的服务提供服务器2B,在对认证中介服务器4请求取得(选择)认证服务器3时,不经由终端装置1直接发送请求消息。
在图21中表示终端装置1的用户从服务提供服务器2A接受服务提供时的顺序。
首先,终端装置1的用户在执行了用于经由输入部115从服务提供服务器2A接收服务提供的服务请求操作时,终端装置1的服务请求生成部107生成确定终端装置1的用户的用户ID“suer001”的用户请求消息,经由收发部117以及网络6向服务提供服务器2A发送生成的服务请求消息(S10)。在此,在本实施方式中,使用HTTP的GET请求或POST请求等来记述服务请求消息,但并不限于这样的方式。
在服务提供服务器2A中,当经由收发部211以及网络6接收到服务请求消息时,服务通信部209确认在该服务请求消息中是否包含了对话信息(在本顺序中作为没有包含对话信息来进行说明),当判明不存在对话信息时,认证服务器信息取得部207生成确定用户ID“user001”以及用户提供服务器ID“sp001”的信息取得请求消息,经由收发部213以及网络6,以经由终端装置1的形式向认证中介服务器4进行发送(S11、12)。
认证中介服务器4当经由收发部412以及网络6接收到信息取得请求消息时,信息取得请求处理部412取得接收到的信息取得请求消息中包含的用户ID以及服务提供服务器ID,然后转移到选择认证服务器的候补的处理。在此,作为用户ID取得“user001”,作为服务提供服务器ID取得“sp001”。
然后,用户信息取得部415生成确定了由信息取得请求处理部412取得的用户ID的状况信息取得请求消息,经由收发部420以及网络6把生成的状况信息取得请求消息发送给状况服务器5(S13)。
在接收到这样的状况信息取得请求消息的状况服务器5中,信息取得请求处理部505从状况信息存储区域502取得与接收到的状况信息取得请求消息中包含的用户ID(在此为“user001”)对应的状况信息,把包含取得的状况信息的响应消息回复给认证中介服务器4(S14)。例如,在图20所示的状况信息表502中,作为与用户ID“user001”对应的状况信息,取得确定“自家”的信息。
然后,认证服务器选择部413进行认证服务器3的选择处理(S15)。
例如,首先,认证服务器选择部413以用户ID“user001”作为关键字,从用户策略信息存储区域图402中存储的用户策略信息表402a取得策略信息(认证服务器ID、最终认证时刻、优先度、使用条件、服务提供服务器ID条件)的集合(记录的集合),作为认证服务器3的候补组存储在存储部401中。例如,在图11所示的用户策略信息表402a中,作为与用户ID“user001”对应的用户策略信息,从表402a上取得记录(与认证服务器ID“idp001”、“idp002”、“idp003”、“idp004”对应的记录)。
然后,认证服务器选择部413将服务提供服务器ID“sp001”作为关键字,从服务提供服务器请求信息存储区域404中存储的服务提供服务器请求信息表404a取得服务提供服务器请求信息(便携认证服务器ID、请求认证等级、请求属性信息)。例如,在图12所示的服务提供服务器请求信息表404a中,作为与服务提供服务器ID“sp001”对应的服务提供服务器请求信息,取得在最上面的记录中存储的协作认证服务器ID为“*”,请求认证等级为“2”,请求属性信息为“邮件地址”的信息。
接着,认证服务器选择部407进行判定不足的认证强度的处理。
首先,认证服务器选择部413从认证等级信息存储区域405中存储的认证等级信息表405a取得与用户ID“user001”对应的最新(当前)的认证等级。在此,因为通过用户ID“user001”识别的用户还没有接受认证,所以设当前的认证等级为“0”。
如上所述,在从服务提供服务器请求信息表404a取得的服务提供服务器请求信息中,因为请求认证等级为“2”,所以选择服务器选择部413判定为认证强度不足。
然后,认证服务器选择部413参照认证等级定义表407a,把通过用户ID“user001”识别的用户的当前的认证等级“0”与请求认证等级“2”进行比较,判定为了满足请求认证等级“2”而需要的认证强度。例如,在图16所示的认证等级定义表407a中,认证等级“0”为“没有接受认证”状态,认证等级“2”为“通过认证强度为2的认证方式接受一次认证”状态,所以判定为不足的认证强度为“2”,如果进行一次该认证强度“2”的认证,即可以满足请求认证等级“2”。
然后,认证服务器选择部407进行缩小认证服务器3的候补的处理。
首先,认证服务器选择部407把服务提供服务器ID“sp001”作为关键字,从存储部401中存储到认证服务器3的候补组中,选择具有与从服务提供服务器请求信息表404a取得的服务提供服务器请求信息中包含的协作认证服务器ID一致的认证服务器ID的认证服务器3。在此,因为服务提供服务器“sp001”的协作认证服务器的值为“*”,所以作为候补残留有认证服务器3的候补组内的全部的认证服务器3。
然后,认证服务器选择部407从认证服务器3的候补组中,选择服务提供服务器ID条件的值包含作为信息取得请求消息的发送源的服务提供服务器2的服务提供服务器ID的认证服务器3,从候补组中删除除此以外的认证服务器3。在此,因为作为信息取得请求消息的发送源的服务提供服务器的ID“sp001”包含在各个记录的服务提供服务器ID条件中,所以作为候补残留有候补组内的全部的认证服务器3。
然后,认证服务器选择部407从认证服务器信息存储区域403中存储的认证服务器信息表403a,取得与在认证服务器3的候补组中留有的认证服务器3的认证服务器ID对应的认证服务器信息(请求认证等级、保有属性信息),然后对存储部401内的候补组的各个认证服务器3追加认证服务器信息(对各个认证服务器3进行关联)。
然后,认证服务器选这部407在认证服务器3的候补组内的认证服务器3中,从认证强度信息存储区域406中存储的认证强度信息表406a仅选择认证强度与像上述那样进行了判定的不足的认证强度一致,并且,保有属性信息与请求属性信息一致的认证服务器3。
在此,因为不足的认证强度为“2”,作为请求属性信息指定了“邮件地址”,所以在认证强度信息表406a以及认证服务器信息403a中,作为适合上述这些认证强度和请求属性信息的认证服务器3,在候补组中残留有“idp001”以及“idp002”。关于认证服务器“idp004”因为认证强度为“1”,此外关于认证服务器“idp003”因为保有属性信息限于“信用卡号码”,不包含请求属性信息“邮件地址”,所以分别从候补组中删除。
然后,认证服务器选择部407仅选择在候补组中剩余的认证服务器3中的、使用条件的值与在步骤S14中取得的用户的状况信息一致的认证服务器3,从候补组中删除不一致的认证服务器3。在此,因为作为状况信息得到了确定“自家”的信息,所以在候补组中残留有候补组内使用条件与“自家”或“*”(表示没有指定使用条件)一致的“idp001”和“idp002”。
然后,选择服务器选择部407保留在候补组中优先度最高的候补,将其他的候补从候补组中删除。在图11所示的用户策略信息表402a中,因为这些候补组“idp001”以及“idp002”都具有相同优先度“10”,所以不进行候补组的缩小。
然后,认证服务器选择部407选择候补组内最终认证时刻最早的候补。在图11所示的用户策略信息表402a中,因为“idp001”的最终认证时刻为“2008-08-19T10:03:28”,“idp002”的最终认证时刻为“2008-07-30T17:32:15”,所以作为最终认证时刻最早的候补,选择“idp002”作为候补。
对于在该阶段作为候补被选择的认证服务器3,用当前的时刻置换在用户策略存储区域402中存储的用户策略信息表402a的最终认证时刻栏402d的值。在此,用当前时刻(例如,设为2008-08-22T16:50:36)来改写“idp002”的最终认证时刻栏。
到此为止,步骤S15的认证服务器3的选择处理结束。
然后,认证服务器选择部413从提供认证强度信息存储区域406中存储的提供认证强度信息表406a的提供URI栏406e取得作为候补被选择的认证服务器3B提供的认证方式(与认证强度的不足对应的认证方式)的提供URI,生成包含用于确定取得的提供URI的信息的响应消息(针对信息取得请求消息),并且经由终端装置1间接地发送给服务提供服务器2A(S16、S17)。在此,经由终端装置中1间接地向服务提供服务器2A发送认证服务器ID“idp002”提供的电子证书型认证方式的提供URI“https://idp002/”。
服务提供服务器2A当从认证中介服务器4接收到针对信息取得消息的响应消息时,认证服务器信息取得部207从接收到的响应消息中取得提供URI,认证请求处理部208经由终端装置1对提供URI发送认证请求消息(S18、S19)。
认证服务器3B的认证执行部307在与用户使用的终端装置1之间执行认证处理(S20)。在此,如图12的认证服务器信息表403a所示,因为通过认证服务器ID“idp002”确定的认证服务器3对应于电子证书型认证方式,所以认证执行部307经由收发部314以及网络6对终端装置1请求并取得用户的电子证书。
然后,认证执行部307确认取得的电子证书的正当性(在此,作为电子证书为正当的来进行说明),认证结果生成部308生成表示用户认证成功的认证结果消息,经由终端装置1间接地发送给服务提供服务器2A(S21、S22)。
在服务提供服务器2A中,当从认证服务器3B接收到认证结果消息时,认证请求处理部208从接收到的认证结果消息中取得确定认证结果的信息,确认认证结果的正当性(S23)。
根据对认证结果进行验证的结果,当可以确认用户的正当性时,认证服务器信息取得部207生成传达所述提供URI提供的认证方式下的认证成功的信息取得请求消息,然后经由收发部213以及网络6,以经过终端装置1的形式向认证中介服务器4发送(S24、S25)。
然后,认证中介服务器4当经由收发部420以及网络6接收到信息取得请求消息时,信息取得请求处理部412取得接收到的信息取得请求消息中包含的用户ID以及服务提供服务器ID,转移到选择认证服务器的候补的处理(S26)。
在此,在认证服务器选择部413中,作为在上述的步骤S15中,根据用户ID“user001”识别的用户的当前认证等级被更新为“2”的结果,判定为不需要追加的认证,生成不包含提供URI而包含用户ID“user001”的响应消息,经由收发部420以及网络6,以经由终端装置1的形式向服务提供服务器2A发送(S27、S28)。
在步骤S27、S28发送的响应消息中包含在ID信息存储区域408中存储的ID信息(针对服务提供服务器2A的服务固有用户ID)和在属性信息存储区域409中存储的属性信息(与服务提供服务器2A请求的请求属性信息对应的属性信息)。
在服务提供服务器2A中,当从认证中介服务器4接收到响应消息时,认证请求处理部208从该响应消息中取得用户ID,并且对话管理部206新生成对话ID,在对话信息存储区域202中存储的对话信息表202a中存储该用户ID和该对话ID的组,服务提供部205对终端装置1提供请求的服务(S29)。
在服务提供服务器2A中,可以在提供服务时使用在步骤S27、S28发送来的ID信息以及属性信息。例如,具有以下的使用方法:在服务提供服务器2A提供的服务所需要的登录处理或验证处理等中使用这些信息,或者在经由服务提供服务器2A购入的物品的支付中使用属性信息中包含的信用卡号码,或者在来自服务提供服务器2A的信息提供中使用属性信息中包含的邮件地址。
然后,在图22中,继图21所示的顺序之后,表示终端装置1的用户从服务提供服务器2B接受服务提供时的顺序。
首先,在终端装置1的用户经由终端装置1的输入部115执行了用于从服务提供服务器2B接受服务提供的服务请求操作时,终端装置1的服务请求生成部107生成确定了终端装置1的用户的用户ID“user001”的服务请求消息,经由收发部117以及网络6向服务提供服务器2B发送生成的服务请求消息(S30)。
在服务提供服务器2B中,当经由收发部213以及网络6接收到服务请求消息时,服务通信部208确认在接收到的服务请求消息中是否包含对话信息(在此,作为不包含对话信息来进行说明),在不包含对话信息时,认证服务器信息取得部207生成确定了用户ID以及服务提供服务器ID的信息取得请求消息,经由收发部213以及网络8向认证中介服务器4发送(S31)。
在认证中介服务器4中,当经由收发部420以及网络6接收到信息取得请求消息时,信息取得请求处理部412取得接收到的消息中包含的用户ID以及服务提供服务器ID,转移到选择认证服务器3的候补的处理。在此,作为用户ID取得“user001”,作为服务提供服务器ID取得“sp002”。
然后,用户信息取得部415生成确定了由信息取得请求处理部412取得的用户ID的状况信息取得请求消息,经由收发部420以及网络6,把生成的状况信息取得请求消息发送给状况服务器5(S32)。
在接收到这样的状况信息取得请求消息的状况服务器5中,信息取得请求处理505从状况信息存储区域502取得与接收到的状况信息取得请求消息中包含的用户ID(在此为“user001”)对应的状况信息,把包含取得的状况信息的响应消息回复给认证中介服务器4(S33)。例如,在图20所示的状况信息表502中,作为与用户ID“user001”对应的状况信息,取得确定“自家”的信息。
然后,认证服务器选择部413进行认证服务器3的选择处理(S34)。
例如,首先,认证服务器选择部413将用户ID“user001”作为关键字,从用户策略信息存储区域402中存储的用户策略信息表402a中取得策略信息(认证服务器ID、最终认证时刻、优先度、使用条件、服务提供服务器ID条件)的集合(记录的集合),作为认证服务器3的候补组存储在存储部401中。例如,在图11所示的用户策略信息表402a中,作为与用户ID“user001”对应的用户策略信息,从表402a上取得记录(与认证服务器ID“idp001”、“idp002”、“idp003”、“idp004对应的4个记录”)。
然后,认证服务器选择部413将服务提供服务器ID“sp002”作为关键字,从服务提供服务器请求信息存储区域404中存储的服务提供服务器请求信息表404a取得服务提供服务器请求信息(协作认证服务器ID、请求认证等级、请求属性信息)。例如,在图12所示的服务提供服务器请求信息表404a中,作为与服务提供服务器ID“sp002”对应的服务提供服务器请求信息,取得从上开始在第二个记录中存储的协作认证服务器ID为“*”,请求认证等级为“3”,请求属性信息为“*”的信息。
接着,认证服务器选择部407进行判定不足的认证强度的处理。
首先,认证服务器选择部413从在认证等级信息存储区域405中存储的认证等级信息表405a取得与用户ID“user001”对应的最新(当前)的认证等级。在此,通过用户ID“user001”识别的用户通过图21所示的处理,接受了“idp002”的电子证书型认证方式的认证,所以使当前的认证等级为“2”。
如上所述,在从服务提供服务器请求消息表404a取得的服务提供服务器请求信息中,因为请求认证等级为“4”,所以认证服务器选择部413判定为认证强度不足。
然后,认证服务器选择部413参照认证等级定义表407a,将通过用户ID“user001”识别的用户的当前的认证等级“2”和请求认证等级“4”进行比较,判定为了满足请求认证等级“4”而需要的认证强度。例如,在图16所示的认证等级定义表407a中,因为认证等级“2”是“通过认证强度为2的认证方式接受一次认证”的状态,认证等级“4”是“通过认证强度为1的认证方式和认证强度为2的认证方式分别接受一次以上的认证”的状态,所以如果进行一次的该认证强度“1”的认证,则判定为可以满足请求认证等级“4”。
接着,认证服务器选择部407进行缩小认证服务器3的候补的处理。
首先,认证服务器选择部407将服务提供服务器ID“sp002”作为关键字,从存储部401中存储的认证服务器3的候补组中选择具有与从服务提供服务器请求信息表404a取得的服务提供服务器请求信息中包含的协作认证服务器ID一致的认证服务器ID的认证服务器3。在此,因为服务提供服务器“sp002”的协作认证服务器的值为“*”,所以作为候补残留有认证服务器3的候补组内的全部的认证服务器3。
然后,认证服务器选择407从认证服务器3的候补组中选择服务提供服务器ID条件的值包含作为信息取得请求消息的发送源的服务提供服务器2的服务提供服务器ID的认证服务器3,从候补组中删除其他以外的认证服务器3。在此,因为作为信息取得请求消息的发送源的服务提供服务器的ID“sp002”包含在除了“idp003”以外的各个记录的服务提供服务器ID条件中,所以在候补组中残留有“idp001”、“idp002”、“idp004”。这表示在用户“user001”使用服务提供服务器“sp002”的服务时,不希望使用认证服务器“idp003”。
然后,认证服务器选择部407从认证服务器信息存储区域403中存储的认证服务器信息表403a中取得与认证服务器3的候补组中剩余的认证服务器3的认证服务器ID对应的认证服务器信息(请求认证等级、保有属性信息),对存储部401内的候补组的各个认证服务器3进行追加(对各个认证服务器3进行关联)。
然后,认证服务器选择部407在认证服务器3的候补组的认证服务器3中,从认证强度信息存储区域406中存储的认证强度信息表406a中仅选择认证强度与上述那样进行了判定的不足的认证强度一致,并且保有属性信息与请求属性信息一致的认证服务器3。
在此,因为不足的认证强度为“1”,作为请求属性信息指定了“*”,所以在认证强度信息表406a以及认证服务器信息表403a中,作为适合这些的认证服务器3,在候补组中残留有“idp001”以及“idp004”。关于认证服务器“idp002”,因为认证强度为“2”,所以被从候补组中删除。
然后,认证服务器选择部407仅选择在候补组中剩余的认证服务器3内的、使用条件的值与在步骤S33中取得的用户的状况信息一致的认证服务器3,将不一致的认证服务器3从候补组中删除。在此,作为状况信息得到了确定“自家”的信息,所以在候补组中剩余候补组内的、使用条件与“自家”或“*”(表示没有指定使用条件)一致的“idp001”。
然后,认证服务器选择部407残留有候补组中优先度最高的候补,将其他的候补从候补组中删除。在此,因为候补仅为“idp001”,所以不进行候补组的缩小。
然后,认证服务器选择部407在候补组内选择最终认证时刻最早的候补。在此,因为候补仅为“idp001”,所以不进行候补组的缩小。
对于在该阶段作为候补被选择的认证服务器3,用当前的时刻置换在用户策略存储区域402中存储的用户策略信息表402a的最终认证时刻栏402d的值。在此,用当前时刻来改写“idp001”的最终认证时刻栏。
到此为止,步骤S15的认证服务器3的选择处理结束。
然后,认证服务器选择部413从提供认证强度信息存储区域406中存储的提供认证强度信息表406a的提供URI栏406e取得作为候补被选择的认证服务器3A提供的认证方式的提供URI,生成包含用于确定取得的提供URI的信息的响应消息(针对信息取得请求消息),然后发送给服务提供服务器2B(S35)。在此,向服务提供服务器2B发送认证服务器ID“idp001”提供的ID/PW认证方式的提供URI“https://idp001/passwd/”。
服务提供服务器2B当从认证中介服务器4接收到针对信息取得消息的响应消息时,认证服务器信息取得部207从接收到的响应消息中取得提供URI,认证请求处理部208经由终端装置1对提供URI发送认证请求消息(S37、S38)。
认证服务器3A的认证执行部307在与用户使用的终端装置1之间执行认证处理(S38)。在此,认证执行部307经由收发部314以及网络6对终端装置1请求并取得用户ID以及密码。
然后,认证执行部307将取得的用户ID作为关键字,检索在用户属性信息栏303c中存储的用户属性信息表303a,根据在对应的属性栏303c中存储的密码和取得的密码是否对应来确认取得的用户ID以及密码的正当性(在此,作为用户ID以及密码为正当来进行说明),认证结果生成部308生成表示用户认证成功的认证结果消息,经由终端装置1间接地发送给服务提供服务器2B(S39、S40)。
在服务提供服务器2B中,当从认证服务器3A接收到认证结果消息时,认证请求处理部208从接收到的认证结果消息中取得确定认证结果的信息,确认认证结果的正当性(S41)。
根据对认证结果进行验证的结果,当可以确认用户的正当性时,认证服务器信息取得部207生成传达所述提供URI提供的认证方式下的认证成功的信息取得请求消息,然后经由收发部213以及网络6,向认证中介服务器4发送(S42)。
然后,在认证中介服务器4中,当经由收发部420以及网络6接收到信息取得请求消息时,信息取得请求处理部412取得接收到的信息取得请求消息中包含的用户ID以及服务提供服务器ID,转移到选择认证服务器3的候补的处理(S43)。
在此,在认证服务器选择部413中,根据在上述的步骤S15中,通过用户ID“user001”识别的用户的当前认证等级被更新为“4”的结果,判定为不需要追加的认证,生成不包含提供URI,包含用户ID“user001”的响应消息,经由收发部420以及网络6,向服务提供服务器2B发送(S44)。
在步骤S44发送的响应消息中包含在ID信息存储区域408中存储的ID信息(针对服务提供服务器2B的服务固有用户ID)和在属性信息存储区域409中存储的属性信息(与服务提供服务器2B请求的请求属性信息对应的属性信息)。
在服务提供服务器2B中,当从认证中介服务器4接收到响应消息时,认证请求处理部208从该响应消息中取得用户ID,并且对话管理部206新生成对话ID,在对话信息存储区域202中存储的对话信息表202a中存储该用户ID和该对话ID的组,服务提供部205对终端装置1提供请求的服务(S45)。
在服务提供服务器2B中,可以在提供服务时使用在步骤S44发送来的ID信息以及属性信息。
图23是表示服务提供服务器2的处理的流程图。
首先,服务提供服务器2的服务通信部209经由收发部213以及网络6从终端装置1接收到服务请求消息时(S50中Yes),对话管理部206确认在接收到的服务请求消息中是否包含对话ID(S51)。然后,在包含对话ID的情况下(在S51中为Yes)进入到步骤S52,在不包含对话ID时(在S51中为No)进入到步骤S53。
在步骤S52中,对话管理部205确定在对话信息存储区域502中存储的对话信息表202a中是否存在与在步骤S51中确认的对话ID对应的记录。在存在这样的记录时(在S52中为Yes)进入步骤S65,在不存在这样的记录时(在S52中为No)进入步骤S53。
在步骤S65中,对话管理部206判断与取得的对话ID对应的对话有效,服务提供部204对作为服务请求消息的发送源的终端装置1提供服务。
另一方面,在步骤S53中,对话管理部206判断对话无效,认证服务器信息取得部207生成确定了在步骤S50中接收到的服务请求消息中包含的用户ID以及自身装置的服务提供服务器ID的信息取得消息。
然后,认证服务器信息取得部207向认证中介服务器4发送生成的信息取得消息(S54),等待接收响应(S55)。
当从认证中介服务器4接收到针对信息取得消息的响应时(在S55中为Yes),认证服务器信息取得部207确认在接收到的响应消息中是否包含提供URI(S56)。然后,在接收到的响应消息中包含提供URI时(在S56中为Yes)进入步骤S57,在接收到的响应消息中不包含提供URI时(在S56中为No)进入步骤S63。
在步骤S57中,认证请求处理部208判断为还需要进一步的认证,经由终端装置1对通过在步骤S56中确认的提供URI确定的认证服务器3发送认证请求消息(S57),等待接收响应(S58)。
当从认证服务器3接收到针对认证请求消息的响应消息时(在S58中为Yes),认证请求处理部208从接收到的响应消息中取得确定认证结果的信息(S59),确认认证结果的正当性(S60)。
根据对认证结果进行验证后的结果,在可以确认用户的正当性时(在S60中为Yes),为了向认证中介服务器4通知可以确认用户的正当性,生成包含在步骤S56中确认的提供URI、表示认证成功的信息、以及在步骤S59中取得的认证结果中包含的用户的属性信息的信息取得消息(步骤S61),返回步骤S54,重复进行处理。
另一方面,根据对认证结果进行验证后的结果,在无法确认用户的正当性时(在S60中为No),为了向认证中介服务器4通知无法确认用户的正当性,生成包含在步骤S56中确认的提供URI、表示认证失败的信息的信息取得消息(S62),返回步骤S54重复进行处理。
此外,当在步骤S56中不包含提供URI时,认证服务器信息取得部207确认在步骤S55中接收到的响应消息是否为错误消息(S63)。当在步骤S55中接收到的响应消息是错误消息时(在S63中为Yes),不向终端装置1提供服务而结束处理,当在步骤S55中接收到的响应消息不是错误消息时(在S63中为No),进入到步骤S64。
在步骤S64中,认证服务器信息取得部207在判断为不需要进一步的认证时,认证请求处理部208从针对信息取得消息的响应消息中取得服务提供服务器2中的用户的识别信息(服务固有用户ID)、属性信息,并且对话管理部206新生成对话ID,在对话信息存储区域202中存储的对话信息表202a中存储该识别消息(用户ID)和该对话ID的组。
然后,服务提供部205对终端装置1提供服务(S65)。在此,服务提供部205在提供服务时,可以使用在步骤S64中取得的用户的识别信息(服务固有用户ID)以及属性信息来提供服务。
图24是表示认证服务器3的处理的流程图。
首先,在认证服务器3中,当经由收发部314以及网络6接收到用户认证请求时(在S70中为Yes),对话管理部308确认在接收到的用户认证请求消息中是否包含对话ID(S71)。然后,在包含对话ID的情况下(在S71中为Yes),进入到步骤S72,在不包含对话ID的情况下(在S71中为No)进入到步骤S73。
在步骤S72中,对话管理部308通过确认在对话信息存储区域302中存储的对话信息表302a中是否存在与步骤S71中确认的对话ID对应的记录,来判断对话是否有效。
然后,对话管理部308在可以从对话信息表302a取得与用户认证请求消息中包含的对话ID相关联的连接目的地ID时,判断为对话有效(在S72中为Yes)并进入步骤S76,在无法从对话信息表302a取得与用户认证请求消息中包含的对话ID相关联的连接目的地ID时,判断为对话无效(在S72中为No)并进入步骤S73。
在步骤S73中,认证执行部307对终端装置1执行认证处理。例如,认证执行部307对终端装置1请求用户ID和密码的组,通过将其与用户属性信息存储区域303中存储的用户属性信息表303a中存储的用户ID以及密码进行比较,可以认证用户的本人性(正当性)。
此外,作为其他的例子,认证执行部307,向终端装置1发送随机数列,使用在用户属性存储区域303中存储的终端装置1的电子证书(公开密钥)来验证从该终端装置1回复的信息是通过终端装置1保有的秘密密钥计算出的信息,由此可以实现用户认证。
然后,认证执行部307通过步骤S73的认证处理确认认证是否成功(S74)。然后,在认证成功时(在S74中为Yes)进入到步骤S75,在认证失败时(在S74中为No)进入到步骤S77。
在步骤S75中,对话管理部309新生成对话ID,在对话信息存储区域302中存储的对话信息表302a中存储作为步骤S73的认证结果而得到的用户ID、生成的对话ID的组(S75)。
然后,在步骤S76中,认证结果生成部308生成表示用户的认证成功的认证结果消息,经由收发部314以及网络6,将生成的认证结果消息经由终端装置1间接地发送给作为用户认证请求消息的发送源的服务提供服务器2。在在此发送的认证结果消息中,作为用户ID存储与对话ID相关联的连接目的地ID。此外,在该认证结果消息中包含由该认证服务器3进行管理的、通过所述用户ID识别的用户的属性信息。
另一方面,在步骤S77中,认证结果生成部308生成表示用户认证失败而结束的认证结果消息,经由收发部314以及网络6,将该认证结果消息经由终端装置1间接地发送给作为用户认证请求消息的发送源的服务提供服务器2。
在上述的处理中,可以在进行认证之间(S73之前),或者在发送认证结果之前(S76之前),对终端装置1通知向服务提供服务器2发送认证结果的主旨。
图25是表示终端装置1的处理的流程图。
首先,当终端装置1的服务使用部106经由输入部115从用户接收到针对服务提供服务器2的服务利用请求时(在S80中为Yes),服务请求生成部107生成确定了用户ID的服务请求消息,服务通信部108经由收发部117以及网络6向服务提供服务器2发送生成的服务请求消息(S81),并等待接收响应(S82)。在此,可以在服务请求消息中包含用户希望使用的认证中介服务器4的ID。
当从服务提供服务器2接收到针对服务利用请求消息的应答消息时(在S82中为Yes),服务通信部108确认该应答消息的内容,确认该响应消息是否为应该对认证中介服务器4传输的信息取得消息(S83)。在此,如在文献2中记载的SAML Web SSO Profile或在文献3中记载的OpenID Authentication那样,在终端装置1、服务提供服务器2、认证中介服务器4可以使用HTTP或HTTPS可以进行通信时,可以利用HTTP重定向的功能,不判定该响应消息是否为信息取得消息而向通过响应消息内的Location头部表示的URL发送HTTP请求。此时,可以认为该响应消息是否为信息取得消息与通过该Location头部表示的URL是否等于认证中介服务器的URL是等价的。
然后,当在步骤S82中取得的响应消息不是信息取得消息时(在S83中为No),进入步骤S89。另一方面,在该响应消息是信息取得消息时(在S83中为Yes),进入步骤S84。
在步骤S84中,服务通信部108向认证中介服务器4传输该响应消息(信息取得消息)(S84),等待接收响应(S85)。
然后,服务通信部108当从认证中介服务器4接收到响应消息时(在S85中为Yes),向服务提供服务器传输该响应消息(S86)。
然后,服务通信部108当在步骤S86中传输的响应消息是错误消息时(在S87中为Yes)结束处理,在不是错误消息时(在S52中为No)等待向在步骤S86中传输的消息的响应(S88)。
然后,当从服务提供服务器2接收到响应时(在S88中为Yes),进入到步骤S89。
在步骤S89中,服务通信部108确认响应消息是否为应该对认证服务器3传输的认证请求消息。在此,如在文献2中记载的SAML Web SSO Profile或在文献3中记载的OpenID Authentication那样,在终端装置1、服务提供服务器2以及认证服务器3可以使用HTTP或HTTPS进行通信的情况下,可以利用HTTP重定向的功能,不判定该响应消息是否为认证请求消息而向通过响应消息内的Location头部表示的URL发送HTTP请求。此时,可以认为该响应消息是否为认证请求消息与通过该Location头部表示的URL是否等于认证服务器的URL是等价的。
在响应消息不是认证请求消息时(在S89中为No),享受来自服务提供服务器2的服务(S90)。通过在认证中介服务器4中登录从服务提供服务器2接受服务提供时所需要的信息(服务固有用户ID或属性信息),能够在接受服务的提供时不需要追加取得该需要的信息。
另一方面,在响应消息不是认证请求消息时(在S89中为Yes),向认证服务器3传输该响应消息(认证请求消息)(S91)。
然后,当从认证服务器3请求执行认证处理时,认证处理部109恰当地使用输入部115以及输出部116,执行对应的认证处理(S92)。例如,在从认证服务器3请求用户ID和密码的组时,认证处理部109请求用户输入用户ID和密码的组,将取得的用户ID和密码的组经由收发部117以及网络6,发送给认证服务器3。
然后,认证处理部109判断步骤S92中的认证处理是否成功(S93),在没有成功时(在S93中为No),即,在对于认证服务器3无法证明用户的本人性(正当性)时,服务使用部106在输出部116显示对用户表示认证失败的错误消息(s94),不享受服务而结束处理。
另一方面,在认证处理成功时(在S93中为Yes),即,在对于认证服务器3能够证明用户的本人性(正当性)时,对话管理部110使从认证服务器3作为响应而返回的认证结果消息中包含的对话ID与认证服务器3的ID相关联,并将其存储在对话信息存储区域102中存储的对话信息表102a中(S95)。
然后,认证处理部109向服务提供服务器2传输从认证服务器3作为响应而返回的认证结果消息(S96),返回到步骤S82,重复处理。
图26是表示认证中介服务器4的处理的流程图。
首先,认证中介服务器4当经由收发部420以及网络6接收到信息取得请求消息时(在S100中为Yes),信息取得请求处理部412取得在所得到的信息取得请求消息中包含的用户ID以及服务提供ID(S101)。在此,关于用户ID,未必需要作为信息取得请求消息的参数而包含有用户ID,如文献3中的OpenID那样,可以将接收到该消息的认证中介服务器的URL作为用户ID使用,还可以请求终端装置1来输入。
然后,用户信息取得部415把确定了在步骤S101中取得的用户ID的用户信息取得请求,经由收发部211以及网络6,发送给状况服务器5,由此从状况服务器5取得通过该用户ID确定的用户的状况信息(S102)。当在网络6上存在对与状况类似的用户信息进行管理的服务器时,可以从该服务器取得用户信息。
然后,认证服务器选择部413把在步骤S101中取得的用户ID作为关键字,从在用户策略信息存储区域402中存储的用户策略信息表402a中取得通过该用户ID确定的用户的策略信息(认证服务器ID、最终认证时刻、优先度、使用条件、服务提供服务器ID条件)的记录的集合,将该策略信息的集合作为认证服务器3的候补组存储在存储部401中(S103)。
然后,认证服务器选择部413把在步骤S101中取得的服务提供服务器ID作为关键字,检索在服务提供服务器请求信息存储区域404中存储的服务提供服务器请求信息表404a,取得通过该服务提供服务器ID确定的服务提供服务器请求信息(协作认证服务器ID、请求认证等级、请求属性信息)的记录(S104)。
然后,认证服务器选择部413确认在步骤S100中接收到的信息提供请求消息中是否包含提供URI(S105)。然后,当在信息提供请求消息中包含有提供URI时(在S105中为Yes),进入到步骤S106,当在信息提供请求消息中不包含提供URI时(在S105中为No),进入步骤S110。
在步骤S106中,认证服务器选择部413确认在信息提供请求消息中是否包含表示认证成功的信息。然后,当在信息提供请求消息中包含有表示认证成功的消息时(在S106中为Yes),进入到步骤S107,当在信息提供请求消息中不包含表示认证成功的消息时(在S106中为No),进入到步骤S109。
在步骤S107中,认证服务器选择部413更新认证等级信息存储区域405的认证等级信息表405a。即,把在步骤S101中取得的用户ID作为关键字检索认证等级信息表405a,取得通过该用户ID确定的记录的认证等级,把在步骤S105中确认的提供URI作为关键字,从提供认证强度信息存储区域406中存储的提供认证强度信息表406a取得该提供URI提供的认证方式的认证强度,参照在认证等级定义信息存储区域407中存储的认证等级定义信息表407a的定义确定新的认证等级,更新认证等级信息表405a的与在步骤S101中取得的用户ID对应的认证等级栏405c。
然后,身份变换部416更新在属性信息存储区域409中存储的属性信息表409a(S108)。即,把在步骤S101中取得的用户ID作为关键字检索属性信息表409a,作为通过该用户ID确定的用户的属性值,来存储在步骤S100中取得的信息提供请求消息中包含的属性值。
在步骤S109中,认证服务器选择部413从在步骤S103中存储的认证服务器3的候补组中删除与在步骤S105中确认的提供URI对应的认证服务器3。
在步骤S110中,认证服务器选择部413判断是否需要追加的认证(S410)。首先,认证服务器选择部413把在步骤S101中取得的用户ID作为关键字,从认证等级信息表405a取得通过该用户ID确定的用户的当前认证等级。然后,将取得的当前认证等级,与在步骤S104中取得的服务提供服务器请求信息中包含的请求认证等级进行比较,确认认证强度是否不足。
在此,在认证强度并非不足时,在步骤S110中判断为不需要追加的认证(在S110中为No),进入到步骤S111。另一方面,在认证强度不足时,在步骤S110中判断为需要追加的认证(在S110中为Yes),进入到步骤S112。
在步骤S111中,身份变换部416把在步骤S101中取得的用户ID以及服务提供服务器ID作为关键字检索在ID信息存储区域408中存储的ID信息表408a,在通过该服务提供服务器ID确定的服务提供服务器2中,取得通过该用户ID确定的用户所使用的用户的识别信息(服务固有用户ID)。然后,身份变换部416把在步骤S101中取得的服务提供服务器ID作为关键字,检索服务提供服务器请求信息表404a,取得通过该服务提供服务器ID确定的服务提供服务器2所需要的请求属性信息。接着,身份变换部416把取得的请求属性信息以及在步骤S101中取得的用户ID作为关键字,检索属性信息表409a,取得通过该用户ID确定的用户的属性信息。并且,在身份变换部416生成了包含取得的服务固有用户信息和属性信息的信息取得响应消息时,认证服务器选择部413向服务提供服务器2直接,或者经由终端装置1间接地发送信息取得响应消息,然后结束处理。
另一方面,在步骤S112中,认证服务器选择部413进行缩小认证服务器3的候补的处理。
首先,认证服务器选择部413从在步骤S103中存储的认证服务器3的候补组中剩余认证服务器ID与协作认证服务器ID(在步骤S104中作为服务提供服务器2的信息而取得)一致的认证服务器3,并且从候补组中删除不一致的认证服务器3。在该协作认证服务器ID的值为“*”时,作为候补剩余候补组内的全部的认证服务器。
接着,认证服务器选择部413从认证服务器3的候补组中仅选择服务提供服务器ID条件的值包含作为信息取得请求消息的发送源的服务提供服务器2的服务提供服务器ID的认证服务器,并从候补组中删除其他的认证服务器。在该服务提供服务器ID条件的值为“*”时,作为候补剩余候补组内的全部的认证服务器。
并且,认证服务器选择部413对于在认证服务器的候补组中剩余的各个候补,从认证服务器信息存储区域403中存储的认证服务器信息表403a中取得认证服务器信息(对应认证方式、保有属性信息),并追加在存储部401内的候补组中。
然后,认证服务器选择部413对于在认证服务器3的候补组中剩余的各个候补,从存储部401内的提供认证强度信息表406a中取得与各个候补对应的认证强度、提供URI,并追加在存储部401内的候补组中。
然后,认证服务器选择部413在候补组内的认证服务器3中,仅剩余包含提供不足的认证强度(在步骤S110中确定的认证强度)的认证方式,并且保有属性信息包含请求属性信息(在步骤S104中作为服务提供服务器请求信息取得的请求属性信息)的认证服务器,并且从候补组中删除不一致的认证服务器。同样地,在请求属性信息的值为“*”时,保有属性信息的值不会对候补组的缩小造成影响。
然后,认证服务器选择部413在候补组内的认证服务器中,仅剩余使用条件的值与在步骤S102中取得的状况信息相匹配的认证服务器,并且从候补组中删除不匹配的认证服务器。在该使用条件的值为“*”时,作为候补剩余候补组内的全部的认证服务器。
然后,认证服务器选择部413确认在候补组内是否剩余认证服务器的候补(S113)。然后,在没有剩余候补时(在步骤S112中为No)进入到步骤S114,在剩余候补时(在步骤S112中为Yes)进入步骤S115。
在步骤S114中,认证服务器选择部413直接或者经由终端装置1间接地向服务提供服务器2发送表示不存在可以使用的认证服务器3的错误消息,然后结束处理。
另一方面,在步骤S115中,认证服务器选择部413在候补组内剩余的认证服务器3中选择优先度最高的候补。
然后,认证服务器选择部413确认是否存在多个在步骤S115中选择的认证服务器3(S116),在存在多个时(在步骤S116中为Yes)进入到步骤S117,在不存在多个时(在步骤S116中为No)进入到步骤S118。
在步骤S117中,认证服务器选择部413在候补组内选择最终认证时刻最早的候补。
然后,用户策略管理部414对于选择出的认证服务器3,用当前的时刻置换在用户策略信息存储区域402中存储的用户策略信息表402a的最终认证时刻栏402d的值(S118)。
然后,认证服务器选择部413把作为候补选择的认证服务器3的ID直接或者经由终端装置1间接地发送给服务提供服务器(S119),然后结束处理。
如以上所记载的那样,根据本发明,用户通过在终端装置1中输入同一用户ID,可以根据用户的策略、服务提供服务器2的请求认证方式以及请求属性信息、用户的状况信息,动态地选择追加的认证服务器3,来用于认证。
此外,在最终缩小认证服务器3的候补时,因为根据最后使用认证服务器3的时刻来进行缩小,所以能够降低连续使用相同的认证服务器3的可能性。由此,与连续使用同一认证服务器3时相比,难以通过认证服务器3追查用户使用服务的履历。
在以上记载的实施方式中,如在图21的步骤S15、图22的步骤S34以及图26的步骤S112~S117中记载的那样,在选择认证服务器3时,按满足以下条件来进行选择:是服务提供服务器2进行协作的认证服务器;是确定了在用户通过特定的服务提供服务器2接受处理时进行选择的认证服务器3;是提供了为了满足服务提供服务器2所要求的认证等级所需要的认证方式的认证服务器3;是保有服务提供服务器2要求的用户的属性信息的认证服务器3;是通过用户的状况信息选择的认证服务器3;是从用户决定的优先度较高的认证服务器中选择出的认证服务器3;以及是从最终认证时刻较早的认证服务器中选择出的认证服务器3,但并不限于这样的方式,还可以选择满足这些条件中的至少一个以上的条件,或满足这些条件中的任意条件的组合的认证服务器。
在以上记载的实施方式中,如图14所示,在认证等级信息表405a中存储有确定了用户ID、以及通过该用户ID确定的用户已经接收认证的最新的认证等级(当前认证等级)的信息,但并不限于这样的方式,例如还可以存储以下的信息,该信息确定通过该用户ID确定的用户在当前认证等级下,接受了认证的认证方式的认证强度、和接受了具有该认证强度的认证方式的认证的次数。通过事先存储好这些信息,特别是在必须接受三次以上的具有特定的认证强度的认证方式的认证时,也能够判定强度不足。
在以上记载的实施方式中,将认证中介服务器4和状况服务器5记载为了不同的装置,但并不限于这样的方式,还可以将这些装置进行的处理综合在一个装置中。
Claims (18)
1.一种认证中介服务器,其在终端装置从服务提供服务器接受服务提供时,选择所述终端装置的用户接受认证的认证服务器,其特征在于,
具备存储部以及控制部,所述存储部存储服务提供服务器请求信息,该服务提供服务器请求信息确定服务提供服务器ID、以及该服务提供服务器ID为认证请求的请求条件,
所述控制部进行以下的处理:
当从所述服务提供服务器取得确定了服务提供服务器ID的信息取得请求时,从所述服务提供服务器请求信息取得与通过所述信息取得请求确定的服务提供服务器ID对应的请求条件,选择满足取得的请求条件的所述认证服务器;
向所述服务提供服务器通知确定选择出的认证服务器的信息。
2.根据权利要求1所述的认证中介服务器,其特征在于,
在所述存储部中存储有以下的信息:
认证等级信息,其确定用户ID以及通过该用户ID确定的用户接受认证的最新的认证等级,即当前认证等级;
提供认证强度信息,其确定认证服务器ID、通过该认证服务器ID确定的认证服务器提供的认证方式、以及该认证方式的认证强度;以及
认证等级定义信息,其确定认证等级以及通过该认证等级请求的认证强度,
在所述请求条件中包含有作为所述服务提供服务器请求的认证等级的请求认证等级,
在所述信息取得请求中包含有用户ID,
所述控制部进行以下的处理:
根据所述认证等级信息确定与通过所述信息取得请求确定的用户ID对应的当前认证等级;
根据所述请求条件确定与通过所述信息取得请求确定的服务提供服务器ID对应的请求认证等级;
在根据所述认证等级信息确定的当前认证等级不满根据所述请求条件确定的请求认证等级时,比较根据所述认证等级信息确定的当前认证等级和根据所述请求条件确定的请求认证等级,来确定为满足根据所述请求条件确定的请求认证等级所需要的认证强度;以及
从所述提供认证强度信息确定提供满足所述不足的认证强度的认证方式的认证服务器的认证服务器ID,
所述控制部从通过由所述提供认证强度信息确定的认证服务器ID确定的所述认证服务器中选择所述终端装置的用户接受认证的认证服务器。
3.根据权利要求1所述的认证中介服务器,其特征在于,
在所述存储部中存储有认证服务器信息,该认证服务器信息确定认证服务器ID以及作为通过该认证服务器ID确定的认证服务器保有的用户的属性信息的保有属性信息,
在所述请求条件中包含有请求属性信息,该请求属性信息是在所述服务提供服务器请求的认证中使用的用户的属性信息,
所述控制部根据所述请求条件确定与通过所述信息取得请求确定的服务提供服务器ID对应的请求属性信息,选择在所述保有属性信息中具有根据所述请求条件确定的请求属性信息的认证服务器。
4.根据权利要求1所述的认证中介服务器,其特征在于,
在所述请求条件中包含有确定所述服务提供服务器协作的认证服务器的协作认证服务器ID信息,
所述控制部根据所述请求条件确定与通过所述信息取得请求确定的服务提供服务器ID对应的协作认证服务器ID信息,选择通过根据所述请求条件确定的协作认证服务器ID信息确定的认证服务器。
5.根据权利要求1所述的认证中介服务器,其特征在于,
在所述存储部中存储有用户策略信息,该用户策略信息确定用户ID、能够进行通过该用户ID确定的用户的认证的认证服务器、最后选择该认证服务器的日期时间、以及选择该认证服务器的条件,
在所述信息取得请求中包含有用户ID,
所述控制部,
根据所述用户策略信息选择这样的认证服务器,该认证服务器是能够进行通过所述信息取得请求中包含的用户ID确定的用户的认证的认证服务器,并且是满足所述选择的条件,所述最后选择的日期时间为最早的认证服务器。
6.根据权利要求5所述的认证中介服务器,其特征在于,
在所述选择的条件中包含有确定所述用户的状况的状况信息,
所述控制部进行取得与通过所述信息取得请求确定的用户ID对应的状况信息的处理,选择在所述选择的条件中包含取得的状况信息的认证服务器。
7.根据权利要求5所述的认证中介服务器,其特征在于,
在所述选择的条件中包含有服务提供服务器ID,
在所述信息取得请求中确定了从所述终端装置请求提供服务的服务提供服务器ID,
所述控制部选择在所述选择的条件中包含通过所述信息取得请求确定的服务提供服务器ID的认证服务器。
8.根据权利要求5所述的认证中介服务器,其特征在于,
在所述用户策略信息中包含有确定选择所述认证服务器的优先度的信息,
所述控制部从所述优先度高的中来选择所述认证服务器。
9.一种程序,使计算机作为下述这样的认证中介服务器来工作,该认证中介服务器,在终端装置从服务提供服务器接受服务提供时,选择所述终端装置的用户接受认证的认证服务器,该程序的特征在于,
使所述计算机作为存储单元以及控制单元来工作,所述存储单元存储服务提供服务器请求信息,该服务提供服务器请求信息确定服务提供服务器ID、以及该服务提供服务器ID为认证请求的请求条件,
使所述控制单元进行以下的处理:
当从所述服务提供服务器取得确定了服务提供服务器ID的信息取得请求时,从所述服务提供服务器请求信息取得与通过所述信息取得请求确定的服务提供服务器ID对应的请求条件,选择满足取得的请求条件的所述认证服务器;
向所述服务提供服务器通知确定选择出的认证服务器的信息。
10.根据权利要求9所述的程序,其特征在于,
在所述存储单元中存储有:
认证等级信息,其确定用户ID以及通过该用户ID确定的用户接受认证的最新的认证等级,即当前认证等级;
提供认证强度信息,其确定认证服务器ID、通过该认证服务器ID确定的认证服务器提供的认证方式、以及该认证方式的认证强度;以及
认证等级定义信息,其确定认证等级以及通过该认证等级请求的认证强度,
在所述请求条件中包含有作为所述服务提供服务器请求的认证等级的请求认证等级,
在所述信息取得请求中包含有用户ID,
使所述控制单元进行以下的处理:
根据所述认证等级信息确定与通过所述信息取得请求确定的用户ID对应的当前认证等级;
根据所述请求条件确定与通过所述信息取得请求确定的服务提供服务器ID对应的请求认证等级;
在根据所述认证等级信息确定的当前认证等级不满根据所述请求条件确定的请求认证等级时,比较根据所述认证等级信息确定的当前认证等级和根据所述请求条件确定的请求认证等级,来确定为满足根据所述请求条件确定的请求认证等级所需要的认证强度;以及
从所述提供认证强度信息确定提供满足所述不足的认证强度的认证方式的认证服务器的认证服务器ID,
使所述控制单元从通过由所述提供认证强度信息确定的认证服务器ID确定的所述认证服务器中选择所述终端装置的用户接受认证的认证服务器。
11.根据权利要求9所述的程序,其特征在于,
在所述存储单元中存储有认证服务器信息,该认证服务器信息确定认证服务器ID以及作为通过该认证服务器ID确定的认证服务器保有的用户的属性信息的保有属性信息,
在所述请求条件中包含有请求属性信息,该请求属性信息是在所述服务提供服务器请求的认证中使用的用户的属性信息,
使所述控制单元根据所述请求条件确定与通过所述信息取得请求确定的服务提供服务器ID对应的请求属性信息,选择在所述保有属性信息中具有根据所述请求条件确定的请求属性信息的认证服务器。
12.根据权利要求9所述的程序,其特征在于,
在所述请求条件中包含有确定所述服务提供服务器协作的认证服务器的协作认证服务器ID信息,
使所述控制单元根据所述请求条件确定与通过所述信息取得请求确定的服务提供服务器ID对应的协作认证服务器ID信息,选择通过根据所述请求条件确定的协作认证服务器ID信息确定的认证服务器。
13.根据权利要求9所述的程序,其特征在于,
在所述存储单元中存储有用户策略信息,该用户策略信息确定用户ID、能够进行通过该用户ID确定的用户的认证的认证服务器、最后选择该认证服务器的日期时间、以及选择该认证服务器的条件,
在所述信息取得请求中包含有用户ID,
使所述控制单元根据所述用户策略信息选择这样的认证服务器,该认证服务器是能够进行通过所述信息取得请求中包含的用户ID确定的用户的认证的认证服务器,并且是满足所述选择的条件,所述最后选择的日期时间为最早的认证服务器。
14.根据权利要求13所述的程序,其特征在于,
在所述选择的条件中包含有确定所述用户的状况的状况信息,
使所述控制单元进行取得与通过所述信息取得请求确定的用户ID对应的状况信息的处理,选择在所述选择的条件中包含取得的状况信息的认证服务器。
15.根据权利要求13所述的程序,其特征在于,
在所述选择的条件中包含服务提供服务器ID,
在所述信息取得请求中确定了从所述终端装置请求提供服务的服务提供服务器ID,
使所述控制单元选择在所述选择的条件中包含通过所述信息取得请求确定的服务提供服务器ID的认证服务器。
16.根据权利要求13所述的程序,其特征在于,
在所述用户策略信息中包含有确定选择所述认证服务器的优先度的信息,
使所述控制单元从所述优先度高的中来选择所述认证服务器。
17.一种认证系统,其具备:终端装置;对该终端装置提供服务的服务提供服务器;在该终端装置从该服务提供服务器接受服务提供时,该终端装置的用户接受认证的认证服务器;进行该认证服务器的选择的认证中介服务器,该认证系统的特征在于,
所述认证中介服务器具备存储部以及控制部,所述存储部存储服务提供服务器请求信息,该服务提供服务器请求信息确定服务提供服务器ID、以及该服务提供服务器ID为认证请求的请求条件,
所述认证中介服务器的控制部进行以下的处理:
当从所述服务提供服务器取得确定了服务提供服务器ID的信息取得请求时,从所述服务提供服务器请求信息取得与通过所述信息取得请求确定的服务提供服务器ID对应的请求条件,选择满足取得的请求条件的所述认证服务器;
向所述服务提供服务器通知确定选择出的认证服务器的信息。
18.一种选择方法,其用于认证中介服务器,在终端装置从服务提供服务器接受服务提供时,选择所述终端装置的用户接受认证的认证服务器,所述认证中介服务器,具备存储部以及控制部,所述存储部存储确定服务提供服务器ID、以及该服务提供服务器ID为认证请求的请求条件的服务提供服务器请求信息,该选择方法的特征在于,
具有以下的步骤:
所述控制部进行当从所述服务提供服务器取得确定了服务提供服务器ID的信息取得请求时,从所述服务提供服务器请求信息取得与通过所述信息取得请求确定的服务提供服务器ID对应的请求条件,选择满足取得的请求条件的所述认证服务器的处理的步骤;以及
所述控制部进行向所述服务提供服务器通知确定选择出的认证服务器的信息的处理的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008-301659 | 2008-11-26 | ||
| JP2008301659A JP5153591B2 (ja) | 2008-11-26 | 2008-11-26 | 認証仲介サーバ、プログラム、認証システム及び選択方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101741840A true CN101741840A (zh) | 2010-06-16 |
Family
ID=42035784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910226056.8A Pending CN101741840A (zh) | 2008-11-26 | 2009-11-25 | 认证中介服务器、程序、认证系统以及选择方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100138899A1 (zh) |
| EP (1) | EP2194482A1 (zh) |
| JP (1) | JP5153591B2 (zh) |
| CN (1) | CN101741840A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457493A (zh) * | 2010-10-26 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务的认证路由系统、方法和认证路由器 |
| CN102647407A (zh) * | 2011-02-15 | 2012-08-22 | 佳能株式会社 | 信息处理系统及信息处理系统的控制方法 |
| CN103109298A (zh) * | 2010-11-09 | 2013-05-15 | 株式会社东芝 | 认证协作系统以及id提供商装置 |
| CN103282909A (zh) * | 2011-12-27 | 2013-09-04 | 株式会社东芝 | 认证联合系统及id提供者装置 |
| CN103701891A (zh) * | 2013-12-20 | 2014-04-02 | 贝壳网际(北京)安全技术有限公司 | 跨终端下载的方法、系统、服务器、移动终端和固定终端 |
| CN106453278A (zh) * | 2016-09-23 | 2017-02-22 | 财付通支付科技有限公司 | 信息验证方法及验证平台 |
| CN106716960A (zh) * | 2014-08-08 | 2017-05-24 | 艾丹迪商贸公司 | 用户认证方法和系统 |
| CN106716918A (zh) * | 2014-08-08 | 2017-05-24 | 艾丹迪商贸公司 | 用户认证方法和系统 |
| CN107113074A (zh) * | 2014-09-16 | 2017-08-29 | 艾奈美索芙特股份有限公司 | 管理通信端点的系统和方法 |
| CN107111811A (zh) * | 2014-11-19 | 2017-08-29 | 眼锁有限责任公司 | 用于授权交易的最佳便利性度量的基于模型的预测 |
| CN107277102A (zh) * | 2016-03-31 | 2017-10-20 | 兄弟工业株式会社 | 中介服务器 |
| CN110032860A (zh) * | 2018-12-27 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 登录方式的推送、展示方法、装置及设备 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090249078A1 (en) * | 2008-03-28 | 2009-10-01 | Electronics And Telecommunications Research Institute | Open id authentication method using identity selector |
| US8782755B2 (en) * | 2009-03-20 | 2014-07-15 | Citrix Systems, Inc. | Systems and methods for selecting an authentication virtual server from a plurality of virtual servers |
| CN102640449B (zh) * | 2009-11-06 | 2016-03-16 | 瑞典爱立信有限公司 | 用于web应用通信的系统和方法 |
| JP5389702B2 (ja) | 2010-03-12 | 2014-01-15 | 株式会社日立製作所 | Idブリッジサービスシステム及びその方法 |
| US8671187B1 (en) | 2010-07-27 | 2014-03-11 | Aerohive Networks, Inc. | Client-independent network supervision application |
| WO2012017561A1 (ja) | 2010-08-06 | 2012-02-09 | 富士通株式会社 | 仲介処理方法、仲介装置及びシステム |
| JP5630245B2 (ja) * | 2010-11-30 | 2014-11-26 | 日本電気株式会社 | 認定情報検証装置及び認定情報検証プログラム並びに認定情報検証システム及び認定情報検証方法 |
| CN102098308B (zh) * | 2011-02-18 | 2014-07-23 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
| US8776234B2 (en) * | 2011-04-20 | 2014-07-08 | Kaspersky Lab, Zao | System and method for dynamic generation of anti-virus databases |
| JP5433647B2 (ja) * | 2011-07-29 | 2014-03-05 | 日本電信電話株式会社 | ユーザ認証システム、方法、プログラムおよび装置 |
| US9858399B2 (en) * | 2011-09-27 | 2018-01-02 | Rakuten, Inc. | Group definition management system |
| JP2013073416A (ja) * | 2011-09-28 | 2013-04-22 | Hitachi Ltd | 認証中継装置、認証中継システム及び認証中継方法 |
| JP5626919B2 (ja) * | 2012-02-29 | 2014-11-19 | Necソリューションイノベータ株式会社 | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
| SG11201405282RA (en) * | 2012-04-01 | 2014-09-26 | Authentify Inc | Secure authentication in a multi-party system |
| JP2013257625A (ja) * | 2012-06-11 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証要求変換装置および認証要求変換方法 |
| EP2677715A1 (en) * | 2012-06-22 | 2013-12-25 | Alcatel Lucent | A method and a server for evaluating a request for access to content from a server in a computer network |
| JP5921460B2 (ja) * | 2013-02-20 | 2016-05-24 | アラクサラネットワークス株式会社 | 認証方法、転送装置及び認証サーバ |
| US9690676B2 (en) | 2013-03-15 | 2017-06-27 | Aerohive Networks, Inc. | Assigning network device subnets to perform network activities using network device information |
| US9948626B2 (en) * | 2013-03-15 | 2018-04-17 | Aerohive Networks, Inc. | Split authentication network systems and methods |
| JP5662507B2 (ja) * | 2013-03-28 | 2015-01-28 | 株式会社 ディー・エヌ・エー | 認証方法、認証システム、および、サービス提供サーバ |
| JP5760037B2 (ja) * | 2013-05-17 | 2015-08-05 | 日本電信電話株式会社 | ユーザ認証装置、方法及びプログラム |
| US9152782B2 (en) | 2013-12-13 | 2015-10-06 | Aerohive Networks, Inc. | Systems and methods for user-based network onboarding |
| GB2524010A (en) | 2014-03-10 | 2015-09-16 | Ibm | User authentication |
| JP5793593B2 (ja) * | 2014-03-13 | 2015-10-14 | キーパスコ アーベーKeypasco AB | ユーザ識別情報を安全に検証するためのネットワーク認証方法 |
| US9832252B2 (en) * | 2014-03-27 | 2017-11-28 | Genband Us Llc | Systems, methods, and computer program products for third party authentication in communication services |
| JP6258111B2 (ja) * | 2014-04-15 | 2018-01-10 | 日本電信電話株式会社 | 認証システム及び認証方法 |
| JP6215134B2 (ja) * | 2014-05-14 | 2017-10-18 | 日本電信電話株式会社 | 認証システム、認証方法、認証装置及び認証プログラム |
| JP6459398B2 (ja) * | 2014-10-30 | 2019-01-30 | 株式会社リコー | 情報処理システム、情報処理装置、アクセス制御方法及びプログラム |
| JP6250595B2 (ja) * | 2015-07-01 | 2017-12-20 | e−Janネットワークス株式会社 | 通信システム及びプログラム |
| US10140443B2 (en) * | 2016-04-13 | 2018-11-27 | Vmware, Inc. | Authentication source selection |
| GB2561822B (en) * | 2017-04-13 | 2020-02-19 | Arm Ip Ltd | Reduced bandwidth handshake communication |
| US10708268B2 (en) * | 2017-07-31 | 2020-07-07 | Airwatch, Llc | Managing voice applications within a digital workspace |
| CN109600337B (zh) | 2017-09-30 | 2020-12-15 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、系统及计算机可读介质 |
| JP6949688B2 (ja) | 2017-11-30 | 2021-10-13 | キヤノン株式会社 | システムおよびその制御方法 |
| US11658995B1 (en) | 2018-03-20 | 2023-05-23 | F5, Inc. | Methods for dynamically mitigating network attacks and devices thereof |
| EP4036736A4 (en) * | 2019-09-25 | 2022-10-19 | NEC Corporation | OPERATIONS MANAGEMENT DEVICE, SYSTEM, METHOD AND NON-TRANSITORY COMPUTER-READABLE MEDIA IN WHICH A PROGRAM IS STORED |
| US11258779B2 (en) | 2020-01-14 | 2022-02-22 | Cisco Technology, Inc. | Wireless LAN (WLAN) public identity federation trust architecture |
| US10892892B1 (en) * | 2020-05-01 | 2021-01-12 | Volterra, Inc. | Method and apparatus for end-to-end secure sharing of information with multiple recipients without maintaining a key directory |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6085085A (en) * | 1996-03-27 | 2000-07-04 | Qualcomm Incorporated | Method and apparatus for performing preferred system selection |
| EP1104133A1 (en) * | 1999-11-29 | 2001-05-30 | BRITISH TELECOMMUNICATIONS public limited company | Network access arrangement |
| US7617317B2 (en) * | 2001-12-03 | 2009-11-10 | Sprint Spectrum L.P. | Method and system for allowing multiple service providers to serve users via a common access network |
| US7509289B2 (en) * | 2002-02-11 | 2009-03-24 | Total System Services, Inc. | System and method for single event authorization control of transactions |
| US7308579B2 (en) * | 2002-03-15 | 2007-12-11 | Noel Abela | Method and system for internationally providing trusted universal identification over a global communications network |
| US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
| US8255978B2 (en) * | 2003-03-11 | 2012-08-28 | Innovatrend, Inc. | Verified personal information database |
| JP2004342088A (ja) * | 2003-04-21 | 2004-12-02 | Sony Corp | 端末機器認証システム、端末機器、第1の振り分けサーバ、振り分けシステム、サービスサーバ、第2の振り分けサーバ、端末機器方法、第1の振り分け方法、振り分け方法、サービス提供方法、サービスサーバ方法、第1の振り分け方法、第2の振り分け方法、端末機器プログラム、第1の振り分けプログラム、振り分けプログラム、サービスサーバプログラム、第2の振り分けプログラム、及び記憶媒体 |
| US20070096869A1 (en) * | 2003-06-24 | 2007-05-03 | Stefan Trohler | Work time recording system and method for recording work time |
| DE102004014416A1 (de) * | 2004-03-18 | 2005-10-06 | Deutsche Telekom Ag | Verfahren und System zur Personen/Sprecherverifikation über Kommunikationssysteme |
| JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
| JP4813167B2 (ja) * | 2005-12-07 | 2011-11-09 | シャープ株式会社 | サービス管理装置、サービス管理システム、プログラムおよび記録媒体 |
| JP4913457B2 (ja) * | 2006-03-24 | 2012-04-11 | 株式会社野村総合研究所 | 認証強度の異なるサーバに対応した連携型認証方法及びシステム |
| JP4849962B2 (ja) * | 2006-06-06 | 2012-01-11 | 株式会社リコー | 画像処理装置、認証サーバ選択方法及びプログラム |
| JP2008117326A (ja) * | 2006-11-08 | 2008-05-22 | Fuji Xerox Co Ltd | サービス利用認可システム、コンテンツ利用認可システム、サービス利用認可プログラム、コンテンツ利用認可プログラムおよびサービス利用認可方法 |
-
2008
- 2008-11-26 JP JP2008301659A patent/JP5153591B2/ja not_active Expired - Fee Related
-
2009
- 2009-11-24 US US12/625,133 patent/US20100138899A1/en not_active Abandoned
- 2009-11-25 CN CN200910226056.8A patent/CN101741840A/zh active Pending
- 2009-11-25 EP EP09014702A patent/EP2194482A1/en not_active Withdrawn
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457493A (zh) * | 2010-10-26 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务的认证路由系统、方法和认证路由器 |
| CN102457493B (zh) * | 2010-10-26 | 2015-12-16 | 中兴通讯股份有限公司 | 一种云计算服务的认证路由系统、方法和认证路由器 |
| CN103109298A (zh) * | 2010-11-09 | 2013-05-15 | 株式会社东芝 | 认证协作系统以及id提供商装置 |
| US9059982B2 (en) | 2010-11-09 | 2015-06-16 | Kabushiki Kaisha Toshiba | Authentication federation system and ID provider device |
| CN103109298B (zh) * | 2010-11-09 | 2015-12-09 | 株式会社东芝 | 认证协作系统以及id提供商装置 |
| CN102647407A (zh) * | 2011-02-15 | 2012-08-22 | 佳能株式会社 | 信息处理系统及信息处理系统的控制方法 |
| US8938789B2 (en) | 2011-02-15 | 2015-01-20 | Canon Kabushiki Kaisha | Information processing system, method for controlling information processing system, and storage medium |
| CN103282909A (zh) * | 2011-12-27 | 2013-09-04 | 株式会社东芝 | 认证联合系统及id提供者装置 |
| CN103282909B (zh) * | 2011-12-27 | 2016-03-30 | 株式会社东芝 | 认证联合系统及id提供者装置 |
| CN103701891A (zh) * | 2013-12-20 | 2014-04-02 | 贝壳网际(北京)安全技术有限公司 | 跨终端下载的方法、系统、服务器、移动终端和固定终端 |
| CN106716918A (zh) * | 2014-08-08 | 2017-05-24 | 艾丹迪商贸公司 | 用户认证方法和系统 |
| CN106716960A (zh) * | 2014-08-08 | 2017-05-24 | 艾丹迪商贸公司 | 用户认证方法和系统 |
| CN106716960B (zh) * | 2014-08-08 | 2020-06-19 | 泽利德公司 | 用户认证方法和系统 |
| CN106716918B (zh) * | 2014-08-08 | 2020-05-22 | 泽利德公司 | 用户认证方法和系统 |
| CN107113074B (zh) * | 2014-09-16 | 2019-12-13 | 艾奈美索芙特股份有限公司 | 管理通信端点的系统、方法和非暂态计算机可用介质 |
| US11553386B2 (en) | 2014-09-16 | 2023-01-10 | Inemsoft, Inc. | Systems and methods of managing communication endpoints |
| CN107113074A (zh) * | 2014-09-16 | 2017-08-29 | 艾奈美索芙特股份有限公司 | 管理通信端点的系统和方法 |
| US10939342B2 (en) | 2014-09-16 | 2021-03-02 | Inemsoft, Inc. | Systems and methods of managing communication endpoints |
| US10021610B2 (en) | 2014-09-16 | 2018-07-10 | Inemsoft, Inc. | Systems and methods of managing communication endpoints |
| CN107111811A (zh) * | 2014-11-19 | 2017-08-29 | 眼锁有限责任公司 | 用于授权交易的最佳便利性度量的基于模型的预测 |
| CN107111811B (zh) * | 2014-11-19 | 2021-02-26 | 眼锁有限责任公司 | 用于授权交易的最佳便利性度量的基于模型的预测 |
| CN107277102A (zh) * | 2016-03-31 | 2017-10-20 | 兄弟工业株式会社 | 中介服务器 |
| CN107277102B (zh) * | 2016-03-31 | 2021-08-10 | 兄弟工业株式会社 | 中介服务器 |
| CN106453278B (zh) * | 2016-09-23 | 2019-04-30 | 财付通支付科技有限公司 | 信息验证方法及验证平台 |
| CN106453278A (zh) * | 2016-09-23 | 2017-02-22 | 财付通支付科技有限公司 | 信息验证方法及验证平台 |
| CN110032860A (zh) * | 2018-12-27 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 登录方式的推送、展示方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5153591B2 (ja) | 2013-02-27 |
| US20100138899A1 (en) | 2010-06-03 |
| EP2194482A1 (en) | 2010-06-09 |
| JP2010128719A (ja) | 2010-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101741840A (zh) | 认证中介服务器、程序、认证系统以及选择方法 | |
| US10333941B2 (en) | Secure identity federation for non-federated systems | |
| US7415607B2 (en) | Obtaining and maintaining real time certificate status | |
| US7240362B2 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
| US7363339B2 (en) | Determining group membership | |
| US9235649B2 (en) | Domain based workflows | |
| EP1672555B1 (en) | Specializing support for a federation relationship | |
| US20080040773A1 (en) | Policy isolation for network authentication and authorization | |
| US20040128383A1 (en) | Method and system for enroll-thru operations and reprioritization operations in a federated environment | |
| US20020138572A1 (en) | Determining a user's groups | |
| US20020143943A1 (en) | Support for multiple data stores | |
| US8489736B2 (en) | Mediation device, mediation method and mediation system | |
| JP2011186849A (ja) | Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム | |
| US7093019B1 (en) | Method and apparatus for providing an automated login process | |
| JP2010033562A (ja) | 通信端末、認証情報生成装置、認証システム、認証情報生成プログラム、認証情報生成方法および認証方法 | |
| CN107547497A (zh) | 一种无感知portal认证方法及装置 | |
| CN106802832A (zh) | Jenkins节点状态管理方法及装置 | |
| JP2011076430A (ja) | 認証id管理システム及び認証id管理方法 | |
| CN111935151A (zh) | 一种跨域统一登录方法和装置 | |
| US20060235830A1 (en) | Web content administration information discovery | |
| KR20070041504A (ko) | 데이터 프로세싱 시스템 내에 연합 기능성을 제공하는 방법및 장치 | |
| KR20020051556A (ko) | 도미노 서버와 웹 서버의 동시 운용시 사용자 인증 방법 | |
| JP2004326816A (ja) | インターネットによる情報サービス方式、情報サービス方法及び情報サービス用プログラムを記録した記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100616 |