CN115118444A - 信息处理装置以及存储介质 - Google Patents
信息处理装置以及存储介质 Download PDFInfo
- Publication number
- CN115118444A CN115118444A CN202111062144.6A CN202111062144A CN115118444A CN 115118444 A CN115118444 A CN 115118444A CN 202111062144 A CN202111062144 A CN 202111062144A CN 115118444 A CN115118444 A CN 115118444A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- information
- restriction
- communication address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 53
- 238000012795 verification Methods 0.000 claims abstract description 99
- 238000004891 communication Methods 0.000 claims abstract description 87
- 230000005540 biological transmission Effects 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 description 38
- 238000012790 confirmation Methods 0.000 description 13
- 238000000034 method Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008520 organization Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种信息处理装置以及存储介质。信息处理装置具备存储装置和处理器,存储装置存储表示为了与外部认证装置进行认证协作以获取对信息处理装置的使用许可而注册于外部认证装置的用户的第一通信地址应满足的限制的限制信息,处理器获取外部认证装置发布的、表示用户的认证成功的第一信息,该第一信息包括由外部认证装置对应于第一通信地址生成的第二通信地址,向第一信息所包含的第二通信地址发送请求与规定的验证装置进行通信的第二信息,从验证装置获取表示根据第二信息进行的通信的发送源即第一通信地址是否满足限制的验证结果,当验证结果表示第一通信地址不满足限制时,执行控制,不允许就用户与外部认证装置进行认证协作。
Description
技术领域
本发明涉及一种信息处理装置以及存储信息处理程序的存储介质。
背景技术
在专利文献1中公开了一种系统,其使本地环境的用户ID与提供云服务等的外部网站即门户网站的用户ID协作,当门户网站从本地环境接收到用户ID的协作请求时,向该用户ID表示的用户请求能够证明其是本地环境的用户的唯一信息,并判定用户输入的唯一信息的真伪,如果唯一信息正确,则与该用户ID协作,如果唯一信息错误,则拒绝该用户ID的协作。
现有技术文献
专利文献
专利文献1:日本特开2020-038438号公报
发明内容
发明要解决的课题
以往,使认证用户之后用户能够利用的信息处理装置与用于认证该用户的外部认证装置协作。根据两个装置的协作,用户接受外部认证装置的认证,由此能够利用信息处理装置,而无需再进行相对于信息处理装置的认证处理。特别地,在这样的认证协作系统中,外部认证装置会使用用户的通信地址(例如邮件地址)作为识别用户的用户ID来进行认证处理。
在此,与外部认证装置进行认证协作的信息处理装置会想要对用户在该外部认证装置注册的通信地址施加限制。例如,当某个组织让属于组织的用户通过与外部认证装置的认证协作来利用信息处理装置时,会想要将用户在外部认证装置注册的邮件地址的用户名部分限定为特定形式(例如,用户名以员工编号开头)。
另一方面,代替用户在该外部认证装置注册的通信地址,有时由外部认证装置而非用户生成通信地址,并将其通知给信息处理装置。在这种情况下,信息处理装置不能验证用户在外部认证装置注册的通信地址是否满足限制。
本公开的目的在于,即使当将与用户在外部认证装置注册的第一通信地址相关联的第二通信地址而非第一通信地址通知给认证协作目的地的信息处理装置时,信息处理装置也能够验证第一通信地址。
用于解决课题的手段
[1]本公开的一个方面提供一种信息处理装置,其具备存储装置和处理器,所述存储装置存储表示为了与外部认证装置进行认证协作以获取对所述信息处理装置的使用许可而注册于所述外部认证装置的用户的第一通信地址应满足的限制的限制信息,所述处理器获取所述外部认证装置发布的、表示所述用户的认证成功的第一信息,该第一信息表示包括由所述外部认证装置对应于所述第一通信地址生成的第二通信地址,向所述第一信息所包含的所述第二通信地址发送请求与规定的验证装置进行通信的第二信息,从所述验证装置获取表示根据所述第二信息进行的所述通信的发送源即所述第一通信地址是否满足所述限制的验证结果,当所述验证结果表示所述第一通信地址不满足所述限制时,执行控制,不允许就所述用户与所述外部认证装置进行认证协作。
[2]在[1]所述的信息处理装置中,其中,也可以是,还从所述验证装置接收基于来自所述用户的所述通信的转发路径的所述第一通信地址的有效性的判定结果,当所述判定结果表示所述第一通信地址无效时,不允许就所述用户与所述外部认证装置进行认证协作。
[3]在[1]或[2]所述的信息处理装置中,其中,也可以是,所述处理器将所述限制信息的至少一部分提供给所述验证装置,所述验证装置判定所述第一通信地址是否满足由所述处理器提供的所述限制信息示出的所述限制,并将其判定结果提供给所述处理器。
[4]在[3]所述的信息处理装置中,其中,也可以是,所述处理器获取到所述第一信息后,从所述用户接受所述用户在所述信息处理装置中输入的识别信息,将根据接收到的所述识别信息而确定的、表示将应用于所述用户的所述限制的所述限制信息提供给所述验证装置。
[5]在[1]或[2]所述的信息处理装置中,其中,也可以是,所述处理器获取到所述第一信息后,从所述用户接受所述用户在所述信息处理装置中输入的识别信息,当所述验证结果表示所述第一通信地址满足所述限制时,允许就所述用户与所述外部认证装置进行认证协作,并且注册表示所述第二通信地址与所述识别信息相互对应的信息。
[6]本公开的其他方面提供一种存储介质,其用于存储信息处理程序,该信息处理程序使具备用于存储表示为了与外部认证装置进行认证协作以获取对所述信息处理装置的使用许可而注册于所述外部认证装置的用户的第一通信地址应满足的限制的限制信息的存储装置的计算机进行如下动作:获取所述外部认证装置发布的、表示所述用户的认证成功的第一信息,该第一信息包括由所述外部认证装置对应于所述第一通信地址生成的第二通信地址,向所述第一信息所包含的所述第二通信地址发送请求与规定的验证装置进行通信的第二信息,从所述验证装置获取表示根据所述第二信息进行的所述通信的发送源即所述第一通信地址是否满足所述限制的验证结果,当所述验证结果表示所述第一通信地址不满足所述限制时,执行控制,不允许就所述用户与所述外部认证装置进行认证协作。
发明效果
根据[1]或[6],即使当将与用户在外部认证装置注册的第一通信地址相关联的第二通信地址而非第一通信地址通知给认证协作目的地的信息处理装置时,信息处理装置也能够验证第一通信地址。
根据[2],能够进一步基于从第二通信地址到验证装置的通信的转发路径,不允许与外部认证装置对该用户进行认证协作。
根据[3],能够将信息处理装置与验证装置分开。
根据[4],验证装置能够验证第一通信地址是否满足与该用户对应的限制。
根据[5],信息处理装置能够基于第二通信地址来识别该用户。
附图说明
图1是本实施方式的信息处理系统的结构示意图。
图2是用户终端的结构示意图。
图3是认证服务器的结构示意图。
图4是验证装置的结构示意图。
图5是示出了本实施方式的信息处理系统的处理流程的第一流程图。
图6是示出了本实施方式的信息处理系统的处理流程的第二流程图。
具体实施方式
图1是本实施方式的信息处理系统10的结构示意图。信息处理系统10具备:用户终端12,其供用户利用;认证服务器14,其作为对用户进行认证的信息处理装置;外部认证装置16,其与认证服务器14分开地对用户进行认证;服务提供服务器18,其为通过认证服务器14认证的用户提供服务;以及验证装置20。另外,尽管图1中仅示出了一个用户终端12,但是信息处理系统10可以包括供多个用户利用的多个用户终端12。用户终端12、认证服务器14、外部认证装置16、服务提供服务器18和验证装置20例如经由包括因特网线路、LAN(LocalArea Network:局域网)等的通信线路22以能够相互通信的方式连接。
作为本发明的前提的信息处理系统10中的处理流程如下。
首先,用户从用户终端12访问服务提供服务器18,以接受由服务提供服务器18提供的服务。由服务提供服务器18向用户提供的服务例如是文档管理服务等,但当然不限于此。服务提供服务器18请求认证服务器14对访问用户进行认证。另外,在本实施方式中,认证服务器14和服务提供服务器18是分开的服务器,但两个服务器也可以是一体的。即,认证服务器14也可以提供服务。
本实施方式的认证服务器14是代替该服务而提供认证服务的服务器,该认证服务对要接受包括由服务提供服务器18提供的服务的一个或多个服务的用户进行认证。在认证服务器14中存储有与预先注册的用户相关的用户信息,即用户ID和认证信息(例如,密码等)。认证服务器14也能够基于存储于自身装置的用户信息对用户进行认证,但在本实施方式中,认证服务器14与外部认证装置16能够进行认证协作,用户接受外部认证装置16的认证,由此能够视为认证服务器14对该用户进行了认证。外部认证装置16例如是苹果公司提供的服务器,外部认证装置16提供的认证协作服务例如是“通过苹果登录”等,但外部认证装置16、认证协作服务不限于此。
在外部认证装置16中也存储有预先注册的用户的用户ID和认证信息,用户向外部认证装置16输入用户ID和认证信息,由此获得外部认证装置16的认证。然后,外部认证装置16向认证服务器14发送表示认证成功的信息。
在本实施方式中,将通信地址用作存储于认证服务器14和外部认证装置16的用户ID。在本实施方式中,将邮件地址用作通信地址。在本说明书中,将用户在认证服务器14中注册的、作为用户ID的邮件地址称为“邮件地址0”,将用户在外部认证装置16中注册的、作为用户ID的邮件地址称为作为第一通信地址的“邮件地址1”。
假设用户在认证服务器14中注册的邮件地址0与用户在外部认证装置16中注册的邮件地址1是彼此不同的地址。邮件地址0与邮件地址1不同的情况不限于此,例如假设以下事例。
用户是某个企业的员工,企业给用户一个公司域的邮件地址。用户将该公司域的邮件地址用作用户ID在认证服务器14中进行用户注册。即,邮件地址0是公司域的邮件地址。另外,向用户提供用户终端12作为业务用便携终端(例如智能手机)。主要在用户终端12中使用的邮件地址是移动运营商域的邮件地址。用户将移动运营商域的邮件地址用作用户ID在外部认证装置16中进行用户注册。即,邮件地址1是移动运营商域的邮件地址。在这样的假设事例中,邮件地址0(公司域的邮件地址)与邮件地址1(移动运营商域的邮件地址)彼此不同。
在此,用户能够在外部认证装置16中进行设置,使得外部认证装置16不将邮件地址1通知给认证服务器14。用户进行这样的设置,由此外部认证装置16不再随意将邮件地址1发送给认证协作的其他装置(本实施方式中为认证服务器14),因此能够保护邮件地址1的隐私。在这种情况下,外部认证装置16向认证服务器14通知与邮件地址1不同的邮件地址,该地址包含于表示认证成功的信息,且由外部认证装置16生成。在本说明书中,将由外部认证装置16生成并通知给认证服务器14的该邮件地址称为作为第二通信地址的“邮件地址2”。外部认证装置16将邮件地址1和邮件地址2相互关联地存储。当认证服务器14想要通知用户时,认证服务器14向邮件地址2发送电子邮件(在本说明书中仅记载为“邮件”),外部认证装置16将该邮件转发至邮件地址1(即用户)。
当用户要使用用户终端12来接受由服务提供服务器18提供的服务时,用户将邮件地址1输入外部认证装置16接受认证。然后,外部认证装置16对该用户进行认证,并将邮件地址2作为经认证用户的用户ID发送至认证服务器14。因此,能够视为认证服务器14在不知道用户的邮件地址1的情况下对该用户进行了认证。
在此,认证服务器14有时想要验证用户的邮件地址1。验证是指判定邮件地址1是否满足预先确定的限制的处理。作为限制,例如,可以为邮件地址1由按照规定的规则的字符串构成。例如,像“员工编号@规定的运营商域”这样的字符串。另外,作为限制,例如也可以是规定的域的邮件地址。当然,限制不限于此。
当邮件地址1不满足限制时,认证服务器14不允许与外部认证装置16进行认证协作,且不视为认证服务器14对该用户进行了认证。由此,能够视为认证服务器14仅对通过满足限制的邮件地址1接受了外部认证装置16的认证的用户进行了认证。
如果视为认证服务器14对用户进行了认证,则允许用户利用认证服务器14。在此,允许利用认证服务器14可以包括,视为认证服务器14对用户进行了认证的信息被通知给服务提供服务器18,从而用户能够利用来自服务提供服务器18的服务。另外,当认证服务器14向用户提供服务时,允许利用认证服务器14可以包括用户能够利用来自认证服务器14的服务。
然而,如上所述,当外部认证装置16将邮件地址2而非邮件地址1通知给认证服务器14时,认证服务器14无法知道邮件地址1,因此无法对邮件地址1进行验证。因此,在本实施方式中,根据以下说明的机制,即使在外部认证装置16未将邮件地址1通知给认证服务器14的情况下,也能够视为认证服务器14仅对通过满足限制的邮件地址1接受了外部认证装置16的认证的用户进行了认证。
图2是用户终端12的结构示意图。如上所述,假设用户终端12是智能手机等便携终端,但用户终端12不限于此,例如也可以是固定式个人计算机等。
通信接口30例如构成为包括网络适配器等。通信接口30发挥经由通信线路22与其他装置通信的功能。
输入接口32例如构成为包括触摸面板、按钮、鼠标或键盘等。输入接口32用于向用户终端12输入用户的指示。
显示器34例如构成为包括液晶面板。显示器34显示各种显示画面。特别地,显示器34显示由认证服务器14提供的登录画面、由外部认证装置16提供的登录画面、或者由服务提供服务器18提供的服务画面等。另外,显示器34显示后述的浏览器38和邮件程序40的执行画面。
存储器36例如构成为包括HDD(Hard Disk Drive:硬盘驱动器)、SSD(Solid StateDrive:固态驱动器)、eMMC(embedded Multi Media Card:嵌入式多媒体卡)、ROM:(ReadOnly Memory:只读存储器)或RAM(Random Access Memory:随机存取存储器)等。存储器36存储用于使用户终端12的各部进行动作的程序。另外,如图2所示,在存储器36中存储有浏览器38和邮件程序40,浏览器38是通过HTTP(Hyper Text Transfer Protocol:超文本传输协议)与其他装置进行通信并显示从其他装置获取的内容的应用程序,邮件程序40是收发邮件的应用程序。在本实施方式中,用户使用浏览器38访问服务提供服务器18,并从服务提供服务器18接受服务。
处理器42是指广义的处理器,构成为包括通用的处理器(例如CPU(CentralProcessing Unit:中央处理单元)等)和专用的处理装置(例如,GPU(Graphics ProcessingUnit:图形处理单元)、ASIC(Application Specific Integrated Circuit:专用集成电路)、FPGA(Field-Programmable Gate Array:现场可编程门阵列)或者可编程逻辑器件等)中的至少一个。处理器42可以不是由一个处理装置而是由存在于物理上分离的位置的多个处理装置的协作来构成。处理器42按照存储于存储器36的程序来控制用户终端12的各部。
图3是认证服务器14的结构示意图。认证服务器14例如由服务器计算机等构成,但只要能够发挥以下说明的功能,则可以是任何计算机。另外,认证服务器14也可以由多个计算机构成。即,以下说明的认证服务器14所发挥的功能也可以通过多个计算机的协作来实现。
通信接口50例如构成为包括网络适配器等。通信接口50发挥经由通信线路22与其他装置通信的功能。
作为存储装置的存储器52例如构成为包括HDD、SSD、eMMC、ROM或RAM等。存储器52存储用于使认证服务器14的各部发挥功能的信息处理程序。另外,如图3所示,在存储器52中存储有用户DB54和限制信息56。
用户DB54中存储有与在由认证服务器14提供的认证服务中进行了用户注册的用户相关的用户信息。具体而言,用户ID与认证信息(例如密码)相关联地存储。如上所述,存储于用户DB54的用户ID是该用户的邮件地址0。用户也能够通过将邮件地址0和认证信息输入至认证服务器14来直接登录到认证服务器14。
限制信息56是表示由认证服务器14(即认证服务)认证的用户的邮件地址应满足的限制的信息。限制例如由认证服务器14的管理者等预先确定。当作为在认证处理中输入的用户ID的邮件地址不满足限制信息56所表示的限制时,认证服务器14不对该用户进行认证。在本实施方式中,如上所述,当用户使用邮件地址1登录外部认证装置16时,视为认证服务器14对该用户进行了认证,因此可以说限制信息56表示为通过与外部认证装置16的认证协作来允许认证服务器14的利用而注册于外部认证装置16的用户的邮件地址1应满足的限制。
可以对所有用户统一应用相同的限制,也可以根据用户应用不同的限制。例如,可以为每个用户设置不同的限制,也可以为每个用户组(例如,每个企业等)设置不同的限制。在这种情况下,限制信息56是表示对各用户的限制的信息。
处理器58是指广义的处理器,构成为包括通用的处理器(例如CPU等)和专用的处理装置(例如GPU、ASIC、FPGA或可编程逻辑器件等)中的至少一个。处理器58可以不是由一个处理装置而是由存在于物理上分离的位置的多个处理装置的协作来构成。处理器58按照存储于存储器52的信息处理程序,发挥作为认证协作处理部60、验证请求部62和验证结果确认部64的功能。
当认证协作处理部60接收到对用户进行认证的请求时,首先向该用户提供登录画面,并将其显示于用户终端12的显示器34(具体地,为浏览器38)。如上所述,在本实施方式中,从服务提供服务器18接收对用户进行认证的请求。具体而言,当用户从浏览器38访问服务提供服务器18时,服务提供服务器18通过将来自该浏览器38的访问重定向到认证服务器14来请求对该用户进行认证。另外,当认证服务器14与服务提供服务器18为一体时,认证服务器14也可以直接从用户(浏览器38)接收对该用户进行认证的请求。
在浏览器38上显示的登录画面中,当用户请求由外部认证装置16进行的外部认证时,浏览器38访问外部认证装置16。外部认证装置16使浏览器38显示外部认证装置16的登录画面,向用户请求邮件地址1的输入和认证信息,并基于输入的邮件地址1和认证信息对该用户进行认证。当外部认证装置16对该用户的认证成功时,外部认证装置16发布表示认证成功的第一信息并将其发送至认证服务器14。例如,根据外部认证装置16中的认证成功,作为外部认证装置16将浏览器38重定向到认证服务器14时的参数,其经由浏览器38被传送至认证服务器14。另外,当外部认证装置16对该用户的认证失败时,外部认证装置16向认证服务器14发送表示认证失败的信息,不视为认证协作处理部60基于该信息对该用户进行了认证。
从外部认证装置16向认证服务器14发送的第一信息包括:邮件地址2,其由外部认证装置16对应于邮件地址1生成;以及认证码,其为生存期限(有效期限)短的令牌。这样,认证协作处理部60获取外部认证装置16发布的、表示认证成功的第一信息,该第一信息包括由外部认证装置16对应于邮件地址1生成的邮件地址2。
当认证协作处理部60从外部认证装置16接收到第一信息时,向外部认证装置16发送令牌请求,该令牌请求包括第一信息中包含的认证码和作为用户ID的邮件地址2。外部认证装置16对接收到的令牌请求进行验证。例如,验证认证码是否有效以及最近是否对邮件地址2表示的用户进行了认证。如果令牌请求有效,则将表示已确认该令牌请求有效的确认信息发送至认证服务器14。认证协作处理部60基于来自外部认证装置16的确认信息,掌握用户已在外部认证装置16中认证。
认证协作处理部60能够通过第一信息来掌握邮件地址2表示的用户已由外部认证装置16认证,但无法掌握邮件地址2表示的用户是注册于用户DB54的哪个用户。因此,认证协作处理部60向最初提供登录画面的用户请求能够识别该用户的识别信息。在本实施方式中,认证协作处理部60向该用户请求认证服务器14中的用户ID即邮件地址0。认证协作处理部60将作为从用户接收到的识别信息的邮件地址0与第一信息中包含的邮件地址2相关联地保存。
验证请求部62请求验证装置20(将在后文详细描述)验证用户在外部认证装置16中的认证所用的邮件地址1是否满足限制信息56所表示的限制。具体地,验证请求部62向从外部认证装置16接收到的第一信息所包含的邮件地址2(即外部认证装置16)发送请求与验证装置20进行通信的第二信息。第二信息可以是邮件,在其正文中包括验证装置20的邮件地址,以及请求向验证装置20的邮件地址发送以邮件地址1为发送源的邮件的文本。另外,第二信息可以包括当向验证装置20发送邮件时通知邮件地址1为验证装置20所知的文本。
接收到第二信息的外部认证装置16确定与邮件地址2对应的邮件地址1,并将第二信息转发至确定的邮件地址1(即用户终端12)。接收到第二信息的用户使用用户终端12的邮件程序40,确认作为第二信息的邮件的内容,并使用邮件程序40,将以邮件地址1为发送源的邮件发送至验证装置20。将在后文详细描述,但验证装置20从来自用户终端12的邮件的发送源获取邮件地址1,基于从认证服务器14获取的限制信息56,验证邮件地址1是否满足限制信息56所表示的限制。而且,验证装置20将表示验证结果的信息发送至认证服务器14。
在此,如果作为第二信息的邮件包括通知当向验证装置20发送邮件时邮件地址1将会为验证装置20所知的文本,则用户能够在得知邮件地址1将会为验证装置20所知的基础上,向验证装置20发送邮件。如果用户不想让邮件地址1为验证装置20所知,则用户也能够选择不向验证装置20发送邮件。在这种情况下,不进行认证服务器14与外部认证装置16之间的认证协作,因此用户需要通过另外的方法接受认证服务器14的认证,以接受由服务提供服务器18提供的服务。
验证请求部62可以生成秘密信息,并将生成的秘密信息包含于向外部认证装置16发送的第二信息。在这种情况下,验证请求部62保存生成的秘密信息与对应的邮件地址2的对应关系。秘密信息是用于验证装置20确认从用户终端12发来的邮件确实是基于来自认证服务器14的验证请求的邮件的信息。当第二信息中包含秘密信息时,第二信息包含请求将包括秘密信息的邮件发送至验证装置20的信息。
秘密信息的最低要求是其是唯一的信息。例如,能够将自动生成的随机数据作为秘密信息。接收到包括秘密信息的第二信息的验证装置20(具体地,为验证部76(将在后文详细描述))将该秘密信息发送至认证服务器14,验证请求部62确认从验证装置20接收到的秘密信息是否是最近生成的秘密信息,并将其确认结果发送至验证装置20。若验证装置20接收到的第二信息无效,则验证请求部62从验证装置20接收到的秘密信息应该不是由验证请求部62最近生成的信息,因此验证装置20能够基于从验证请求部62发送的确认结果判断第二信息无效。当第二信息无效时,验证装置20能够不进行验证处理。另外,验证请求部62能够基于从验证装置20接收到的秘密信息,针对与该秘密信息对应的邮件地址2,掌握用户已经向验证装置20发送了邮件。
另外,秘密信息也可以包括表示协作处理日期时间的信息,该协作处理日期时间表示进行认证服务器14与外部认证装置16之间的认证协作处理的日期时间。协作处理日期时间例如可以是从外部认证装置16获取第一信息的时刻,也可以是验证请求部62将第二信息发送至外部认证装置16的时刻。秘密信息包含协作处理日期时间,由此验证装置20能够确认秘密信息是否是最近生成的秘密信息而无需将该秘密信息发送至认证服务器14。当协作处理日期时间表示从当前时间点到规定时间之前的时刻时,验证装置20能够不进行验证处理。
另外,秘密信息也可以包括用于识别该用户的识别信息,例如该用户的邮件地址0。在这种情况下,邮件地址0与验证结果一起从验证装置20被发送至认证服务器14。由此,验证请求部62能够掌握验证装置20对哪个用户进行了邮件地址1的验证而无需保存秘密信息与对应的邮件地址2(或邮件地址0)的对应关系。
另外,秘密信息也可以包括限制信息56。秘密信息包含限制信息56,由此验证装置20在验证用户的邮件地址1时,能够获取限制信息56而无需向认证服务器14请求限制信息56。另外,当根据用户应用了不同的限制并从用户接收了邮件地址0时,验证请求部62可以基于接收到的邮件地址0确定应该应用于该用户的限制,并将表示确定的限制的限制信息56包含于秘密信息。由此,验证装置20能够验证用户的邮件地址1是否满足与该用户对应的限制。
此外,秘密信息还可以包括签名信息,其用于防止篡改秘密信息。
验证结果确认部64从验证装置20获取用户的邮件地址1是否满足限制信息56的验证结果。当该验证结果表示邮件地址1满足限制信息56时,验证结果确认部64执行控制,允许认证服务器14与外部认证装置16的认证协作。即,视为认证服务器14对该用户进行了认证,验证结果确认部64通知服务提供服务器18该用户已被认证。由此,服务提供服务器18能够向该用户提供服务。
另外,当该验证结果表示邮件地址1满足限制信息56时,验证结果确认部64将表示该用户的邮件地址0与由外部认证装置16通知的邮件地址2彼此对应的信息注册在存储器52中。由此,即使当用户已通过外部认证时,认证服务器14也能够基于邮件地址2来识别用户而无需逐一向该用户询问邮件地址0。例如,认证服务器14能够基于邮件地址2赋予该用户适合该用户的权限。
另一方面,当该验证结果表示邮件地址1不满足限制信息56时,验证结果确认部64执行控制,不允许认证服务器14与外部认证装置16进行认证协作。即,即使由外部认证装置16对该用户进行了认证,也不视为认证服务器14对该用户进行了认证。在这种情况下,由于不进行认证服务器14与外部认证装置16之间的认证协作,因此用户需要通过另外的方法接受认证服务器14的认证以便接受由服务提供服务器18提供的服务。
图4是验证装置20的结构示意图。验证装置20例如由服务器计算机等构成,但只要能够发挥以下说明的功能,则可以是任何计算机。在本实施方式中,验证装置20与认证服务器14是分开的,但验证装置20也可以与认证服务器14为一体。当验证装置20与认证服务器14分开时,验证装置20可以由独立于认证服务器14的第三方机构管理。如上所述,由于验证装置20获取用户禁止外部认证装置16通知认证服务器14的邮件地址1,因此优选为用户信任的机构作为管理验证装置20的第三方机构。例如,该第三方机构可以是公共机构。
通信接口70例如构成为包括网络适配器等。通信接口70发挥经由通信线路22与其他装置通信的功能。
存储器72例如构成为包括HDD、SSD、eMMC、ROM或RAM等。存储器72存储用于使验证装置20的各部发挥功能的程序。
处理器74是指广义的处理器,构成为包括通用的处理器(例如CPU等)和专用的处理装置(例如GPU、ASIC、FPGA或可编程逻辑器件等)中的至少一个。处理器74可以不是由一个处理装置而是由存在于物理上分离的位置的多个处理装置的协作来构成。处理器74按照存储于存储器72的程序,发挥作为验证部76和验证结果提供部78的功能。
验证部76从接收到第二信息的用户发送的邮件的发送源地址获取该用户的邮件地址1。另外,验证部76从认证服务器14接收限制信息56。如上所述,验证部76可以访问认证服务器14来获取限制信息56,也可以获取第二信息中包含的限制信息56。在此基础上,验证部76验证邮件地址1是否满足限制信息56所表示的限制。
另外,验证部76确认从用户接收到的邮件中包含的秘密信息。关于秘密信息的确认如上所述,因此在此省略重复的说明。
验证部76也可以参照从用户接收到的邮件的属性信息(特性)中包含的、表示该邮件的转发路径的转发路径信息,基于该邮件的转发路径来判定邮件地址1的有效性。例如,当邮件经由多个国家的服务器发送至验证装置20时,验证部76能够判定邮件地址1无效。
验证结果提供部78将验证部76对邮件地址1的验证结果提供给认证服务器14。另外,当验证部76判定基于邮件的转发路径的邮件地址1的有效性时,验证结果提供部78也将该判定结果提供给认证服务器14。在认证服务器14的验证结果确认部64从验证结果提供部78接收到该判定结果的情况下,当该判定结果表示邮件地址1无效时,不允许与外部认证装置16对该用户进行认证协作,且不视为认证服务器14对该用户进行了认证。
本实施方式的信息处理系统10的结构概要如上所述。如上所述,在信息处理系统10中,当外部认证装置16对用户进行认证时,将表示认证成功并包括该用户的邮件地址2的第一信息发送至认证服务器14。认证服务器14的验证请求部62向邮件地址2(即外部认证装置16)发送请求与验证装置20进行通信的第二信息。外部认证装置16将第二信息转发至邮件地址1(即用户)。用户根据第二信息,将发送源为邮件地址1的邮件发送至验证装置20。由此,验证装置20获取邮件地址1。验证装置20验证邮件地址1是否满足限制信息56所表示的限制,并将验证结果发送至认证服务器14。进行这样的处理,由此即使禁止从外部认证装置16向认证服务器14通知邮件地址1,认证服务器14也能够确认该用户的邮件地址1是否满足限制。
以下,按照图5和图6所示的流程图,对信息处理系统10的处理的流程进行说明。
在图5的步骤S10中,用户为利用由服务提供服务器18提供的服务,从用户终端12的浏览器38访问服务提供服务器18。
在步骤S12中,服务提供服务器18为请求认证服务器14对该用户进行认证,将来自用户的访问重定向到认证服务器14。
在步骤S14中,重定向的浏览器38访问认证服务器14来进行认证请求。
在步骤S16中,从浏览器38接收到认证请求的认证服务器14的认证协作处理部60使浏览器38显示认证服务器14的登录画面。在该登录画面中,用户能够选择外部认证。
在步骤S18中,用户在步骤S16中显示的登录画面中指定外部认证。由此,浏览器38访问外部认证装置16。
在步骤S20中,外部认证装置16使浏览器38显示外部认证装置16的登录画面。
在步骤S22中,用户在步骤S20中显示的登录画面中输入用户ID即已在外部认证装置16中注册的邮件地址1和认证信息来登录外部认证装置16。
在步骤S24中,外部认证装置16基于在步骤S22中输入的邮件地址1和认证信息,对该用户进行认证。在此,假设认证成功。当认证成功时,外部认证装置16将浏览器38重定向到认证服务器14。作为此时的参数,外部认证装置16经由浏览器38向认证服务器14发送表示认证成功的第一信息,该第一信息包括与输入的邮件地址1对应的邮件地址2和认证码。
在步骤S26中,认证服务器14的认证协作处理部60将令牌请求发送至外部认证装置16,该令牌请求包括在步骤S24中获取的认证码和邮件地址2。
在步骤S28中,外部认证装置16对在步骤S26中接收到的令牌请求进行验证。在此,假设该令牌请求有效,外部认证装置16将表示已确认该令牌请求有效的确认信息发送至认证服务器14。
在步骤S30中,认证服务器14的认证协作处理部60确认用户已在外部认证装置16中认证。
在步骤S32中,认证服务器14的认证协作处理部60向在步骤S14中接收了认证请求的用户询问认证服务器14中的用户ID即邮件地址0。
在步骤S34中,响应于步骤S32中的认证服务器14的询问,用户将邮件地址0发送至认证服务器14。认证协作处理部60将在步骤S24中获取的邮件地址2与在步骤S34中获取的邮件地址0相关联地保存。
在图6的步骤S36中,认证服务器14的验证请求部62向邮件地址2(即外部认证装置16)发送请求与验证装置20进行通信的第二信息,该第二信息包括验证装置20的邮件地址和上述秘密信息。
在步骤S38中,外部认证装置16将该第二信息转发至与在步骤S36中接收到的邮件地址2对应的邮件地址1(即用户终端12)。
在步骤S40中,用户根据在步骤S38中接收到的第二信息,使用邮件程序40,将发送源的邮件地址作为邮件地址1,向验证装置20的邮件地址发送包含秘密信息的邮件。
在步骤S42中,验证装置20的验证部76从在步骤S40中接收到的邮件的发送源地址获取邮件地址1。另外,如上所述,验证部76确认该邮件中包含的秘密信息。
在步骤S44中,验证部76验证在步骤S40中获取的邮件地址1是否满足限制信息56所表示的限制。在此,如上所述,可以是验证装置20访问认证服务器14来获取限制信息56,也可以是限制信息56包含于秘密信息。另外,验证部76参照在步骤S40中接收到的邮件的属性信息中包含的、表示该邮件的转发路径的转发路径信息,基于该邮件的转发路径来判定邮件地址1的有效性。
在步骤S46中,验证装置20的验证结果提供部78将步骤S44中的邮件地址1的验证结果和邮件地址1的有效性的判定结果发送至认证服务器14。
在步骤S48中,认证服务器14的验证结果确认部64确认在步骤S46中接收到的邮件地址1的验证结果和邮件地址1的有效性的判定结果。在此,邮件地址1的验证结果表示邮件地址1满足限制信息56所表示的限制,并且邮件地址1的有效性的判定结果表示邮件地址1有效。因此,验证结果确认部64允许认证服务器14与外部认证装置16的认证协作,视为认证服务器14对该用户进行了认证。
在步骤S50中,验证结果确认部64将在步骤S34中由认证协作处理部60保存的邮件地址0与邮件地址2相关联地存储于存储器52。
在步骤S52中,认证服务器14的认证协作处理部60将浏览器38重定向到服务提供服务器18。伴随该重定向,认证协作处理部60向服务提供服务器18发送表示该用户已经被认证到服务提供服务器18的信息。由此,能够由服务提供服务器18向用户提供服务。
另外,当在步骤S48中邮件地址1的验证结果表示邮件地址1不满足限制信息56所表示的限制,或者邮件地址1的有效性的判定结果表示邮件地址1无效时,验证结果确认部64不允许认证服务器14与外部认证装置16进行认证协作,不视为认证服务器14对该用户进行了认证,并且结束处理而不执行步骤S50和步骤S52的处理。
以上,对本发明的实施方式进行了说明,但本发明不限于上述实施方式,在不脱离本发明的主旨的范围内可以进行各种变更。
Claims (6)
1.一种信息处理装置,其具备
存储装置和处理器,
所述存储装置存储表示为了与外部认证装置进行认证协作以获取对所述信息处理装置的使用许可而注册于所述外部认证装置的用户的第一通信地址应满足的限制的限制信息,
所述处理器
获取所述外部认证装置发布的、表示所述用户的认证成功的第一信息,该第一信息包括由所述外部认证装置对应于所述第一通信地址生成的第二通信地址,
向所述第一信息所包含的所述第二通信地址发送请求与规定的验证装置进行通信的第二信息,
从所述验证装置获取表示根据所述第二信息进行的所述通信的发送源即所述第一通信地址是否满足所述限制的验证结果,当所述验证结果表示所述第一通信地址不满足所述限制时,执行控制,不允许就所述用户与所述外部认证装置进行认证协作。
2.根据权利要求1所述的信息处理装置,其中,
还从所述验证装置接收基于来自所述用户的所述通信的转发路径的所述第一通信地址的有效性的判定结果,当所述判定结果表示所述第一通信地址无效时,不允许就所述用户与所述外部认证装置进行认证协作。
3.根据权利要求1或2所述的信息处理装置,其中,
所述处理器将所述限制信息的至少一部分提供给所述验证装置,
所述验证装置判定所述第一通信地址是否满足由所述处理器提供的所述限制信息示出的所述限制,并将其判定结果提供给所述处理器。
4.根据权利要求3所述的信息处理装置,其中,
所述处理器
获取到所述第一信息后,从所述用户接受所述用户在所述信息处理装置中输入的识别信息,
将根据接收到的所述识别信息而确定的、表示应该应用于所述用户的所述限制的所述限制信息提供给所述验证装置。
5.根据权利要求1或2所述的信息处理装置,其中,
所述处理器
获取到所述第一信息后,从所述用户接受所述用户在所述信息处理装置中输入的识别信息,
当所述验证结果表示所述第一通信地址满足所述限制时,允许就所述用户与所述外部认证装置进行认证协作,并且注册表示所述第二通信地址与所述识别信息相互对应的信息。
6.一种存储介质,其用于存储信息处理程序,该信息处理程序使具备用于存储表示为了与外部认证装置进行认证协作以获取对所述信息处理装置的使用许可而注册于所述外部认证装置的用户的第一通信地址应满足的限制的限制信息的存储装置的计算机进行如下动作:
获取所述外部认证装置发布的、表示所述用户的认证成功的第一信息,该第一信息包括由所述外部认证装置对应于所述第一通信地址生成的第二通信地址,
向所述第一信息所包含的所述第二通信地址发送请求与规定的验证装置进行通信的第二信息,
从所述验证装置获取表示根据所述第二信息进行的所述通信的发送源即所述第一通信地址是否满足所述限制的验证结果,当所述验证结果表示所述第一通信地址不满足所述限制时,执行控制,不允许就所述用户与所述外部认证装置进行认证协作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021044830A JP2022144003A (ja) | 2021-03-18 | 2021-03-18 | 情報処理装置及び情報処理プログラム |
| JP2021-044830 | 2021-03-18 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115118444A true CN115118444A (zh) | 2022-09-27 |
Family
ID=77710533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111062144.6A Pending CN115118444A (zh) | 2021-03-18 | 2021-09-10 | 信息处理装置以及存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220303269A1 (zh) |
| EP (1) | EP4060934B1 (zh) |
| JP (1) | JP2022144003A (zh) |
| CN (1) | CN115118444A (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021090876A (ja) * | 2021-03-19 | 2021-06-17 | 株式会社三洋物産 | 遊技機 |
| JP2021090877A (ja) * | 2021-03-19 | 2021-06-17 | 株式会社三洋物産 | 遊技機 |
| JP7453179B2 (ja) * | 2021-04-20 | 2024-03-19 | トヨタ自動車株式会社 | 認証システム |
| JP2024007209A (ja) * | 2022-07-05 | 2024-01-18 | キヤノン株式会社 | 情報処理装置、その制御方法、プログラム、及び画像形成装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9391985B2 (en) * | 2005-04-26 | 2016-07-12 | Guy Hefetz | Environment-based two-factor authentication without geo-location |
| US7921456B2 (en) * | 2005-12-30 | 2011-04-05 | Microsoft Corporation | E-mail based user authentication |
| US20090100060A1 (en) * | 2007-10-11 | 2009-04-16 | Noam Livnat | Device, system, and method of file-utilization management |
| US9122865B2 (en) * | 2012-09-11 | 2015-09-01 | Authenticade Llc | System and method to establish and use credentials for a common lightweight identity through digital certificates |
| JP7099198B2 (ja) | 2018-09-03 | 2022-07-12 | 富士フイルムビジネスイノベーション株式会社 | 管理装置、管理システム及びプログラム |
| US11645381B2 (en) * | 2020-12-11 | 2023-05-09 | International Business Machines Corporation | User configured one-time password |
-
2021
- 2021-03-18 JP JP2021044830A patent/JP2022144003A/ja active Pending
- 2021-08-18 US US17/405,910 patent/US20220303269A1/en active Pending
- 2021-09-09 EP EP21195777.4A patent/EP4060934B1/en active Active
- 2021-09-10 CN CN202111062144.6A patent/CN115118444A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4060934A1 (en) | 2022-09-21 |
| EP4060934B1 (en) | 2023-07-26 |
| US20220303269A1 (en) | 2022-09-22 |
| JP2022144003A (ja) | 2022-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240080311A1 (en) | Managing security credentials | |
| US9288213B2 (en) | System and service providing apparatus | |
| US9674175B2 (en) | Proxy server-based network site account management | |
| US9203825B2 (en) | Method of authenticating a user of a peripheral apparatus, a peripheral apparatus, and a system for authenticating a user of a peripheral apparatus | |
| US9923889B2 (en) | Data processing system, data processing apparatus and log in method | |
| US11082225B2 (en) | Information processing system and control method therefor | |
| CN115118444A (zh) | 信息处理装置以及存储介质 | |
| CN101094071B (zh) | 能够与外部验证装置通信的信息处理设备和方法 | |
| US10326758B2 (en) | Service provision system, information processing system, information processing apparatus, and service provision method | |
| JP5764501B2 (ja) | 認証装置、認証方法、及び、プログラム | |
| JPWO2007110951A1 (ja) | ユーザ確認装置、方法及びプログラム | |
| JP2017033339A (ja) | サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法 | |
| JP2017225054A (ja) | プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム | |
| JP6376154B2 (ja) | 画像処理システム、情報処理装置、画像処理装置及びプログラム | |
| JP6118479B1 (ja) | サーバ装置、サービス方法、プログラム、ならびに、非一時的なコンピュータ読取可能な情報記録媒体 | |
| JP2014153805A (ja) | 情報処理システム、情報処理装置、認証方法及びプログラム | |
| JP6183035B2 (ja) | サービス提供システム、サービス提供方法及びプログラム | |
| JP6059748B2 (ja) | 認証連携システム及び認証方法 | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| JP4914725B2 (ja) | 認証システム、認証プログラム | |
| US11595400B2 (en) | Information processing system, information processing apparatus, and non-transitory computer readable medium storing program | |
| US20220116217A1 (en) | Secure linking of device to cloud storage | |
| JP6299101B2 (ja) | サービス提供システム、サービス提供方法及びプログラム | |
| US11563729B2 (en) | Information processing apparatus, information processing system, and non-transitory computer readable medium storing program | |
| KR102352995B1 (ko) | 무자각 인증을 이용한 간편이체 서비스방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |