JP2002108819A - 企業内通信システムおよび認証サーバ - Google Patents
企業内通信システムおよび認証サーバInfo
- Publication number
- JP2002108819A JP2002108819A JP2000299427A JP2000299427A JP2002108819A JP 2002108819 A JP2002108819 A JP 2002108819A JP 2000299427 A JP2000299427 A JP 2000299427A JP 2000299427 A JP2000299427 A JP 2000299427A JP 2002108819 A JP2002108819 A JP 2002108819A
- Authority
- JP
- Japan
- Prior art keywords
- user
- key
- authentication
- server computer
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 一度の認証手続で、繰返しアプリケーション
にアクセスすることを可能にする企業内通信システムお
よび認証サーバを提供する。 【解決手段】 ID管理部12がユーザ端末3から送信
されたID番号とパスワードがIDテーブル14に登録
されているか判定し、登録されている場合、認証処理部
15は鍵DB16から未割当ての鍵を選択してユーザ端
末3へ送信する。鍵の割当があるとユーザ端末3は、ア
プリケーション17にアクセスする際には、アクセス要
求にかかるパケットに割当てられた鍵を埋め込んで行
う。
にアクセスすることを可能にする企業内通信システムお
よび認証サーバを提供する。 【解決手段】 ID管理部12がユーザ端末3から送信
されたID番号とパスワードがIDテーブル14に登録
されているか判定し、登録されている場合、認証処理部
15は鍵DB16から未割当ての鍵を選択してユーザ端
末3へ送信する。鍵の割当があるとユーザ端末3は、ア
プリケーション17にアクセスする際には、アクセス要
求にかかるパケットに割当てられた鍵を埋め込んで行
う。
Description
【0001】
【発明の属する技術分野】本発明は、複数のユーザによ
りアクセスされるサーバコンピュータに係り、特に、ア
クセスしようとするユーザがアクセス権を有しているか
判断する企業内通信システムおよび認証サーバに関す
る。
りアクセスされるサーバコンピュータに係り、特に、ア
クセスしようとするユーザがアクセス権を有しているか
判断する企業内通信システムおよび認証サーバに関す
る。
【0002】
【従来の技術】企業内には、インターネットで用いられ
ているTCP/IPやブラウザを利用したイントラネッ
トと呼ばれる企業内通信システムが構築されていること
があるが、この企業内通信システムに接続されているサ
ーバコンピュータは、企業内のユーザに対して、掲示
板、経理システム、勤務システム等のサービスを提供し
ている。このようなイントラネットのサーバコンピュー
タが提供するサービスのうちいくつかのものについて
は、セキュリティ上の問題から管理職等の一定の役職に
ついている者のみがアクセス可能等、一定の範囲内の者
にアクセス権限を限定した方が望ましい場合がある。ま
た、ユーザ全員がアクセス可能なサービスであっても、
やはり外部からの不要なアクセスを排除する必要が考え
られる。このため、セキュリティ管理の必要なサービス
に対するアクセスを行う場合には、ユーザ毎に割り当て
た識別番号(ID番号)とユーザ各自が設定するパスワ
ードをログイン時に入力させ、登録されているID番号
とパスワードと一致した場合にのみ、アクセスを許可す
るといった認証方法が採用されている。
ているTCP/IPやブラウザを利用したイントラネッ
トと呼ばれる企業内通信システムが構築されていること
があるが、この企業内通信システムに接続されているサ
ーバコンピュータは、企業内のユーザに対して、掲示
板、経理システム、勤務システム等のサービスを提供し
ている。このようなイントラネットのサーバコンピュー
タが提供するサービスのうちいくつかのものについて
は、セキュリティ上の問題から管理職等の一定の役職に
ついている者のみがアクセス可能等、一定の範囲内の者
にアクセス権限を限定した方が望ましい場合がある。ま
た、ユーザ全員がアクセス可能なサービスであっても、
やはり外部からの不要なアクセスを排除する必要が考え
られる。このため、セキュリティ管理の必要なサービス
に対するアクセスを行う場合には、ユーザ毎に割り当て
た識別番号(ID番号)とユーザ各自が設定するパスワ
ードをログイン時に入力させ、登録されているID番号
とパスワードと一致した場合にのみ、アクセスを許可す
るといった認証方法が採用されている。
【0003】
【発明が解決しようとする課題】しかしながら、上述の
認証方法にもまだ解決すべき課題が残されている。すな
わち、イントラネット上では通常複数のサーバコンピュ
ータが存在し、さらに様々なサービス(アプリケーショ
ン)が存在しているが、各ユーザは個々のサービスにア
クセスする度にID番号とパスワードを入力する必要が
あり、サービスにアクセスするために煩雑な手続を何度
も繰返さなければならなかった。そこで、本発明は上記
課題を解決し、複数あるサービスにアクセスする場合で
あってもID番号およびパスワードを何度も繰返し入力
する必要のない企業内通信システムおよび認証サーバを
提供することを目的とする。
認証方法にもまだ解決すべき課題が残されている。すな
わち、イントラネット上では通常複数のサーバコンピュ
ータが存在し、さらに様々なサービス(アプリケーショ
ン)が存在しているが、各ユーザは個々のサービスにア
クセスする度にID番号とパスワードを入力する必要が
あり、サービスにアクセスするために煩雑な手続を何度
も繰返さなければならなかった。そこで、本発明は上記
課題を解決し、複数あるサービスにアクセスする場合で
あってもID番号およびパスワードを何度も繰返し入力
する必要のない企業内通信システムおよび認証サーバを
提供することを目的とする。
【0004】
【課題を解決するための手段】上記課題を解決するた
め、請求項1の発明にかかる企業内通信システムでは、
サーバコンピュータと複数のユーザ端末からなり、前記
サーバコンピュータが様々なサービスを提供する企業内
通信システムにおいて、前記サーバコンピュータは、前
記サービスへのアクセス権限を標章する複数の鍵を保持
する鍵データベースと、ユーザ毎に登録される識別情報
とパスワードとを含むユーザ情報データベースと、ユー
ザに対して割当てられた鍵とユーザ名とを対にして保持
する認証テーブルと、前記ユーザ情報データベースを参
照してユーザの正当性を判定するユーザ情報管理部と、
該ユーザ情報管理部で正当なユーザであると判定された
ときにユーザ端末に対して前記鍵を割当てる認証処理部
とを有し、前記ユーザ端末は、前記サーバコンピュータ
によって割当てられた鍵を受信し、前記サーバコンピュ
ータの提供するサービスにアクセスする際に、アクセス
要求に前記割当てられた鍵を含めることを特徴とする。
このような構成により、一度の認証手続のみで繰返しサ
ービスの提供を受けることが可能となる。また請求項3
にかかる発明では、請求項1記載の企業内通信システム
において、前記サーバコンピュータによって前記ユーザ
端末に割当てられた鍵は、一定時間が経過すると無効す
ることを特徴とする。
め、請求項1の発明にかかる企業内通信システムでは、
サーバコンピュータと複数のユーザ端末からなり、前記
サーバコンピュータが様々なサービスを提供する企業内
通信システムにおいて、前記サーバコンピュータは、前
記サービスへのアクセス権限を標章する複数の鍵を保持
する鍵データベースと、ユーザ毎に登録される識別情報
とパスワードとを含むユーザ情報データベースと、ユー
ザに対して割当てられた鍵とユーザ名とを対にして保持
する認証テーブルと、前記ユーザ情報データベースを参
照してユーザの正当性を判定するユーザ情報管理部と、
該ユーザ情報管理部で正当なユーザであると判定された
ときにユーザ端末に対して前記鍵を割当てる認証処理部
とを有し、前記ユーザ端末は、前記サーバコンピュータ
によって割当てられた鍵を受信し、前記サーバコンピュ
ータの提供するサービスにアクセスする際に、アクセス
要求に前記割当てられた鍵を含めることを特徴とする。
このような構成により、一度の認証手続のみで繰返しサ
ービスの提供を受けることが可能となる。また請求項3
にかかる発明では、請求項1記載の企業内通信システム
において、前記サーバコンピュータによって前記ユーザ
端末に割当てられた鍵は、一定時間が経過すると無効す
ることを特徴とする。
【0005】このような構成により、ユーザと鍵との対
応関係が定期的に変更されるため、不正なアクセスを防
止し、システムの安全性が向上する。さらに請求項4の
発明にかかる認証サーバでは、サービスを提供するサー
バコンピュータへアクセスするため、ユーザ端末からの
認証要求に基づき認証処理を実行する認証サーバにおい
て、前記サービスへのアクセス権限を標章する複数の鍵
を保持する鍵データベースと、ユーザ毎に登録される識
別情報とパスワードとを含むユーザ情報データベース
と、ユーザに対して割当てられた鍵とユーザ名とを対に
して保持する認証テーブルと、前記ユーザ情報データベ
ースを参照してユーザの正当性を判定するユーザ情報管
理部と、該ユーザ情報管理部で正当なユーザであると判
定されたときにユーザ端末に対して前記鍵を割当てる認
証処理部とを具備したことを特徴とする。このような構
成により、ユーザが煩雑な認証処理を経ることなくサー
ビスの提供を受けることが可能となる。
応関係が定期的に変更されるため、不正なアクセスを防
止し、システムの安全性が向上する。さらに請求項4の
発明にかかる認証サーバでは、サービスを提供するサー
バコンピュータへアクセスするため、ユーザ端末からの
認証要求に基づき認証処理を実行する認証サーバにおい
て、前記サービスへのアクセス権限を標章する複数の鍵
を保持する鍵データベースと、ユーザ毎に登録される識
別情報とパスワードとを含むユーザ情報データベース
と、ユーザに対して割当てられた鍵とユーザ名とを対に
して保持する認証テーブルと、前記ユーザ情報データベ
ースを参照してユーザの正当性を判定するユーザ情報管
理部と、該ユーザ情報管理部で正当なユーザであると判
定されたときにユーザ端末に対して前記鍵を割当てる認
証処理部とを具備したことを特徴とする。このような構
成により、ユーザが煩雑な認証処理を経ることなくサー
ビスの提供を受けることが可能となる。
【0006】
【発明の実施の形態】以下、添付の図面を参照して本発
明の実施の形態について説明する。図1は、本発明の企
業内通信システムの構成を示す図であり、2台のサーバ
コンピュータ1,2とユーザ端末3からなり、またサー
バコンピュータ1,2及びユーザ端末3はネットワーク
4によって接続されている。また、サーバコンピュータ
1は、ネットワーク4を介してパケットの送受信を行う
インタフェース10、インタフェース10を介して受信
したパケットの種別を判別し、ユーザからの各種要求を
処理するアクセス処理部11、アクセス処理部11から
のユーザ認証要求に基づいて、ID番号とパスワードが
予め登録されているものであるか認証するとともに、後
述の認証処理部にユーザの登録・鍵発行要求を行うID
管理部12、ID管理部からの登録・鍵発行要求に応じ
て鍵の発行処理と鍵を与えたユーザと発行した鍵の対応
関係を登録し、さらにアクセス処理部11からの認証要
求に応じてアクセスを許可するための認証を行う認証処
理部13、ユーザのID番号とパスワードが登録されI
D管理部12からアクセスされるIDテーブル14、認
証処理部13によってアクセスされ、発行した鍵とユー
ザの情報を登録する認証テーブル15、多数の鍵を保持
する鍵データベース(鍵DB)16、そしてユーザに対
して各種サービスを提供するアプリケーション17とを
有している。
明の実施の形態について説明する。図1は、本発明の企
業内通信システムの構成を示す図であり、2台のサーバ
コンピュータ1,2とユーザ端末3からなり、またサー
バコンピュータ1,2及びユーザ端末3はネットワーク
4によって接続されている。また、サーバコンピュータ
1は、ネットワーク4を介してパケットの送受信を行う
インタフェース10、インタフェース10を介して受信
したパケットの種別を判別し、ユーザからの各種要求を
処理するアクセス処理部11、アクセス処理部11から
のユーザ認証要求に基づいて、ID番号とパスワードが
予め登録されているものであるか認証するとともに、後
述の認証処理部にユーザの登録・鍵発行要求を行うID
管理部12、ID管理部からの登録・鍵発行要求に応じ
て鍵の発行処理と鍵を与えたユーザと発行した鍵の対応
関係を登録し、さらにアクセス処理部11からの認証要
求に応じてアクセスを許可するための認証を行う認証処
理部13、ユーザのID番号とパスワードが登録されI
D管理部12からアクセスされるIDテーブル14、認
証処理部13によってアクセスされ、発行した鍵とユー
ザの情報を登録する認証テーブル15、多数の鍵を保持
する鍵データベース(鍵DB)16、そしてユーザに対
して各種サービスを提供するアプリケーション17とを
有している。
【0007】なお、サーバコンピュータ1と2は同様の
構成であるため、内部の構成はサーバコンピュータ1に
ついてのみ説明し、サーバコンピュータ2ではその説明
を省略する。また、上述の鍵とは文字または数字、もし
くは双方によって構成される。以下、上述の認証システ
ムの動作について説明する。なお、ここでは、サーバコ
ンピュータ1を人事情報閲覧用のサーバ、そしてサーバ
コンピュータ2を特許情報閲覧用のサーバとして説明す
る。まず、ユーザ(ユーザ名を「ユーザ1」とする。)
がユーザ端末3を使用してサーバコンピュータ1の人事
情報へのアクセスを行う場合、ブラウザソフトウェアな
どを起動させてメニュー画面を表示させる。このときの
画面は、例えば図2に示すように人事情報にアクセスす
るためのメニュー21、特許情報にアクセスするための
メニュー22等が表示される。ここでユーザは、ユーザ
端末3に備えられているポインティングデバイス(図示
せず)を操作してメニュー21を選択する。メニュー2
1が選択されると、ユーザ端末3からはサーバコンピュ
ータ1を宛先とするアクセス要求が出力され、ネットワ
ーク4を介してサーバコンピュータ1に受信される。
構成であるため、内部の構成はサーバコンピュータ1に
ついてのみ説明し、サーバコンピュータ2ではその説明
を省略する。また、上述の鍵とは文字または数字、もし
くは双方によって構成される。以下、上述の認証システ
ムの動作について説明する。なお、ここでは、サーバコ
ンピュータ1を人事情報閲覧用のサーバ、そしてサーバ
コンピュータ2を特許情報閲覧用のサーバとして説明す
る。まず、ユーザ(ユーザ名を「ユーザ1」とする。)
がユーザ端末3を使用してサーバコンピュータ1の人事
情報へのアクセスを行う場合、ブラウザソフトウェアな
どを起動させてメニュー画面を表示させる。このときの
画面は、例えば図2に示すように人事情報にアクセスす
るためのメニュー21、特許情報にアクセスするための
メニュー22等が表示される。ここでユーザは、ユーザ
端末3に備えられているポインティングデバイス(図示
せず)を操作してメニュー21を選択する。メニュー2
1が選択されると、ユーザ端末3からはサーバコンピュ
ータ1を宛先とするアクセス要求が出力され、ネットワ
ーク4を介してサーバコンピュータ1に受信される。
【0008】受信されたアクセス要求は、インタフェー
ス10を介してアクセス処理部11に渡される。アクセ
ス処理部11では、受信したアクセス要求の判定を行う
が、ここでの判定は前記アクセス要求に鍵が含まれてい
るか否かについてなされる。もし、パケットに鍵が含ま
れていない場合には、初回のアクセスであると判断し、
ID番号とパスワードを入力させるための画面情報をユ
ーザ端末3に対して送信する。この画面情報を受信した
ユーザ端末3のディスプレイ上には、図3に示すように
ID番号とパスワードを入力するための画面31が展開
される。ユーザは、この画面31に対して自己のID番
号とパスワードの入力を行うが、ここで、入力されるユ
ーザのパスワードは「PASSWORD1」、そしてI
D番号を「1111111」とする。入力されたパスワ
ードとID番号は、ネットワーク4およびサーバコンピ
ュータ1のインタフェース10を介して再びアクセス処
理部11によって受信され、ID管理部12に対してパ
スワードとID番号の認証要求がなされる。ID管理部
12が前記認証要求を受けると、ユーザによって入力さ
れたIDとパスワードとID番号がIDテーブル12に
登録されているかの確認を行う。
ス10を介してアクセス処理部11に渡される。アクセ
ス処理部11では、受信したアクセス要求の判定を行う
が、ここでの判定は前記アクセス要求に鍵が含まれてい
るか否かについてなされる。もし、パケットに鍵が含ま
れていない場合には、初回のアクセスであると判断し、
ID番号とパスワードを入力させるための画面情報をユ
ーザ端末3に対して送信する。この画面情報を受信した
ユーザ端末3のディスプレイ上には、図3に示すように
ID番号とパスワードを入力するための画面31が展開
される。ユーザは、この画面31に対して自己のID番
号とパスワードの入力を行うが、ここで、入力されるユ
ーザのパスワードは「PASSWORD1」、そしてI
D番号を「1111111」とする。入力されたパスワ
ードとID番号は、ネットワーク4およびサーバコンピ
ュータ1のインタフェース10を介して再びアクセス処
理部11によって受信され、ID管理部12に対してパ
スワードとID番号の認証要求がなされる。ID管理部
12が前記認証要求を受けると、ユーザによって入力さ
れたIDとパスワードとID番号がIDテーブル12に
登録されているかの確認を行う。
【0009】図4は、IDテーブル14に登録されてい
るパスワードとID番号の状態を示したもので、ID管
理部12は、IDテーブル14と比較を行い正当なユー
ザであるかの認証を行う。ここでは、ユーザによって入
力されたパスワードが「PASSWORD1」で、かつ
ID番号が「1111111」であり、IDテーブル1
4に登録されているため、ID管理部12は正当なユー
ザであると判断し、認証処理部13に対してユーザ名
と、鍵の発行要求を出力する。認証処理部13は、ID
管理部12からの鍵発行要求を受けると、鍵DB16を
検索し、未発行の鍵を選択してアクセス要求を行ったユ
ーザに対して発行処理を行い、認証テーブル15の更新
処理を実行する。認証テーブル15は、例えば図5に示
すように「鍵番号」,「ユーザ名」とを含んでおり、鍵
の発行により発行した鍵の鍵番号(ここでは「鍵1」を
発行したとする。)とユーザ名に「ユーザ1」が登録さ
れる。発行された鍵1は、ネットワーク4を介してユー
ザ端末3によって受信され、以後、サーバコンピュータ
1およびサーバコンピュータ2へアクセスする際には、
アクセス要求にかかるパケットには発行された鍵1が含
まれる。
るパスワードとID番号の状態を示したもので、ID管
理部12は、IDテーブル14と比較を行い正当なユー
ザであるかの認証を行う。ここでは、ユーザによって入
力されたパスワードが「PASSWORD1」で、かつ
ID番号が「1111111」であり、IDテーブル1
4に登録されているため、ID管理部12は正当なユー
ザであると判断し、認証処理部13に対してユーザ名
と、鍵の発行要求を出力する。認証処理部13は、ID
管理部12からの鍵発行要求を受けると、鍵DB16を
検索し、未発行の鍵を選択してアクセス要求を行ったユ
ーザに対して発行処理を行い、認証テーブル15の更新
処理を実行する。認証テーブル15は、例えば図5に示
すように「鍵番号」,「ユーザ名」とを含んでおり、鍵
の発行により発行した鍵の鍵番号(ここでは「鍵1」を
発行したとする。)とユーザ名に「ユーザ1」が登録さ
れる。発行された鍵1は、ネットワーク4を介してユー
ザ端末3によって受信され、以後、サーバコンピュータ
1およびサーバコンピュータ2へアクセスする際には、
アクセス要求にかかるパケットには発行された鍵1が含
まれる。
【0010】ユーザ端末3のユーザは、前にも述べたよ
うに、人事情報の閲覧を実行しようとしているため、鍵
1の発行が完了すると、この鍵1を含んだパケットを用
いて再びサーバコンピュータ1のアクセスを実行する。
サーバコンピュータ1のアクセス処理部11は、前記人
事情報に対するアクセス要求にかかるパケットを受信す
ると、前述と同様に鍵が含まれているかのチェックを実
行する。ここでは、発行された鍵1が含まれているた
め、鍵が含まれていると判定されて、認証処理部13に
対して、鍵の正当性の判断を要求する。認証処理部13
では、正当性の判断要求を受け付けると、パケットに含
まれている鍵とユーザ名が認証テーブル15に登録され
ているかのチェックを行うが、認証テーブル15には鍵
1とユーザ1が対になって登録されているため、アクセ
ス処理部11に対してアクセスを許可する旨の通知がな
される。もし、アプリケーション17に対するアクセス
要求にかかるパケットに鍵が含まれている場合であって
も、鍵とユーザ名とが対になった情報が認証テーブル1
5に登録されていない場合には、認証処理部13からア
クセス処理部11へはアクセスを許可しない旨の通知が
なされる。
うに、人事情報の閲覧を実行しようとしているため、鍵
1の発行が完了すると、この鍵1を含んだパケットを用
いて再びサーバコンピュータ1のアクセスを実行する。
サーバコンピュータ1のアクセス処理部11は、前記人
事情報に対するアクセス要求にかかるパケットを受信す
ると、前述と同様に鍵が含まれているかのチェックを実
行する。ここでは、発行された鍵1が含まれているた
め、鍵が含まれていると判定されて、認証処理部13に
対して、鍵の正当性の判断を要求する。認証処理部13
では、正当性の判断要求を受け付けると、パケットに含
まれている鍵とユーザ名が認証テーブル15に登録され
ているかのチェックを行うが、認証テーブル15には鍵
1とユーザ1が対になって登録されているため、アクセ
ス処理部11に対してアクセスを許可する旨の通知がな
される。もし、アプリケーション17に対するアクセス
要求にかかるパケットに鍵が含まれている場合であって
も、鍵とユーザ名とが対になった情報が認証テーブル1
5に登録されていない場合には、認証処理部13からア
クセス処理部11へはアクセスを許可しない旨の通知が
なされる。
【0011】また、このように登録されていない鍵とユ
ーザ名に基づいたアクセスがあった場合には、不正なア
クセスと看做してシステム管理者へ通知するようにして
もよい。なお、一度発行された鍵はその後のアクセスに
繰り返し利用可能であり、また、鍵の発行がサーバコン
ピュータ1によってなされた場合であっても、サーバコ
ンピュータ2へのアクセスにも利用することが可能であ
る。ただし、鍵を発行したサーバコンピュータ1ではな
いサーバコンピュータ2へアクセスする場合には、両サ
ーバコンピュータの認証テーブルを同期させる必要があ
るため、サーバコンピュータ1の認証テーブル15が更
新されると、直後または定期的に、この更新された情報
を他のサーバコンピュータ2へ通知し同期を図る必要が
ある。また、セキュリティの面から一度発行した鍵があ
る一定時間経過した場合には無効にするような仕組みを
取り入れることも可能である。この場合は、認証テーブ
ル15は図6に示すように、「ユーザ名」,「鍵番号」
そして「時間」からなり、この時間は鍵発行時に有効時
間が設定され、以後カウントダウンされてゼロになった
ときに鍵を無効とする。また、前記時間は、鍵発行時の
時刻に有効時間を加えたものとし、この時刻に達したと
きに鍵を無効としてもよいし、有効期限は鍵を発行した
日が終わるまでとしてもよい。
ーザ名に基づいたアクセスがあった場合には、不正なア
クセスと看做してシステム管理者へ通知するようにして
もよい。なお、一度発行された鍵はその後のアクセスに
繰り返し利用可能であり、また、鍵の発行がサーバコン
ピュータ1によってなされた場合であっても、サーバコ
ンピュータ2へのアクセスにも利用することが可能であ
る。ただし、鍵を発行したサーバコンピュータ1ではな
いサーバコンピュータ2へアクセスする場合には、両サ
ーバコンピュータの認証テーブルを同期させる必要があ
るため、サーバコンピュータ1の認証テーブル15が更
新されると、直後または定期的に、この更新された情報
を他のサーバコンピュータ2へ通知し同期を図る必要が
ある。また、セキュリティの面から一度発行した鍵があ
る一定時間経過した場合には無効にするような仕組みを
取り入れることも可能である。この場合は、認証テーブ
ル15は図6に示すように、「ユーザ名」,「鍵番号」
そして「時間」からなり、この時間は鍵発行時に有効時
間が設定され、以後カウントダウンされてゼロになった
ときに鍵を無効とする。また、前記時間は、鍵発行時の
時刻に有効時間を加えたものとし、この時刻に達したと
きに鍵を無効としてもよいし、有効期限は鍵を発行した
日が終わるまでとしてもよい。
【0012】さらに、ユーザの意志に基づき鍵を返却
(無効化)する機能を附してもよい。この場合は、メニ
ュー画面上に鍵返却ボタンを設け、ユーザがこの鍵返却
ボタンを選択することによって、アクセス処理部11を
介して認証処理部13に鍵の無効化要求が伝わり、認証
テーブル15中の該当するユーザ登録が抹消されること
になる。また、ユーザに対して割当てる鍵に権限の強弱
をつけることも可能である。即ち、ユーザの役職などの
立場によってアクセス可能なサービスに制限を課すこと
である。この場合、IDテーブル14に登録される情報
は、「ユーザ名」,「ID番号」,「パスワード」の他
に、全てのサービスにアクセス可能な特権を持ったユー
ザであることを示す「特権情報」が付加され、また鍵D
B16には、通常の鍵以外に特権鍵が存在することにな
る。以上述べたように、企業内通信システムで提供され
る様々なサービスにアクセスする場合であっても、ユー
ザにとっては煩雑な認証手続きを繰り返す必要がなくな
る。また、発行した鍵に有効期限を附した場合には、鍵
が割当てられたユーザと、鍵との対が定期的に変更にな
るため、登録された情報の不正使用を防止することが可
能となる。
(無効化)する機能を附してもよい。この場合は、メニ
ュー画面上に鍵返却ボタンを設け、ユーザがこの鍵返却
ボタンを選択することによって、アクセス処理部11を
介して認証処理部13に鍵の無効化要求が伝わり、認証
テーブル15中の該当するユーザ登録が抹消されること
になる。また、ユーザに対して割当てる鍵に権限の強弱
をつけることも可能である。即ち、ユーザの役職などの
立場によってアクセス可能なサービスに制限を課すこと
である。この場合、IDテーブル14に登録される情報
は、「ユーザ名」,「ID番号」,「パスワード」の他
に、全てのサービスにアクセス可能な特権を持ったユー
ザであることを示す「特権情報」が付加され、また鍵D
B16には、通常の鍵以外に特権鍵が存在することにな
る。以上述べたように、企業内通信システムで提供され
る様々なサービスにアクセスする場合であっても、ユー
ザにとっては煩雑な認証手続きを繰り返す必要がなくな
る。また、発行した鍵に有効期限を附した場合には、鍵
が割当てられたユーザと、鍵との対が定期的に変更にな
るため、登録された情報の不正使用を防止することが可
能となる。
【0013】さらに、鍵毎にアクセス可能なサービスを
制限することによって、本来アクセスすべきユーザにの
みアクセスを制限することが可能となる。続いて、本発
明の他の実施の形態について説明する。図7は、他の実
施の形態に係る企業内通信システムの構成を示した図で
あり、図1に示したシステムと異なる点は、鍵を割当て
る専用のサーバコンピュータ(以下、認証サーバと称す
る。)71が、各種のサービスを提供するサーバコンピ
ュータ72と独立して存在することであり、他には同様
の構成要素であるネットワーク4とユーザ端末710が
存在する。さらに、認証サーバ71は、ネットワーク4
とパケットの送受信を行うためのインタフェース71
1、ユーザ端末710の利用者であるユーザの正当性を
確認するとともに鍵の割り当て要求を行うID管理部7
12、ID管理部712からの鍵割り当て要求を受けて
鍵の割り当てを行うとともに、サーバコンピュータ72
に対して鍵を割当てたユーザに関する情報を送信する鍵
発行部713、ユーザのID番号とパスワードが登録さ
れているIDテーブル714、そして複数の鍵が登録さ
れている鍵データベース716とを有しており、一方サ
ーバコンピュータ72は、ネットワーク4とパケットの
送受信を行うためのインタフェース717、ユーザ端末
710からのアクセス要求を処理するアクセス処理部7
18、前記アクセス要求に含まれる鍵によってアクセス
を許可するか否かを認証する認証処理部719、ユーザ
に対して各種のサービスを提供するアプリケーション7
20、そして割当てられた鍵とユーザの情報を登録する
認証テーブル721とを有している。
制限することによって、本来アクセスすべきユーザにの
みアクセスを制限することが可能となる。続いて、本発
明の他の実施の形態について説明する。図7は、他の実
施の形態に係る企業内通信システムの構成を示した図で
あり、図1に示したシステムと異なる点は、鍵を割当て
る専用のサーバコンピュータ(以下、認証サーバと称す
る。)71が、各種のサービスを提供するサーバコンピ
ュータ72と独立して存在することであり、他には同様
の構成要素であるネットワーク4とユーザ端末710が
存在する。さらに、認証サーバ71は、ネットワーク4
とパケットの送受信を行うためのインタフェース71
1、ユーザ端末710の利用者であるユーザの正当性を
確認するとともに鍵の割り当て要求を行うID管理部7
12、ID管理部712からの鍵割り当て要求を受けて
鍵の割り当てを行うとともに、サーバコンピュータ72
に対して鍵を割当てたユーザに関する情報を送信する鍵
発行部713、ユーザのID番号とパスワードが登録さ
れているIDテーブル714、そして複数の鍵が登録さ
れている鍵データベース716とを有しており、一方サ
ーバコンピュータ72は、ネットワーク4とパケットの
送受信を行うためのインタフェース717、ユーザ端末
710からのアクセス要求を処理するアクセス処理部7
18、前記アクセス要求に含まれる鍵によってアクセス
を許可するか否かを認証する認証処理部719、ユーザ
に対して各種のサービスを提供するアプリケーション7
20、そして割当てられた鍵とユーザの情報を登録する
認証テーブル721とを有している。
【0014】以下、上記システムの動作について説明す
る。まず、ユーザはユーザ端末710を操作してサーバ
コンピュータ71に対して鍵の発行要求を行う。この発
行要求はインタフェース711を介してID管理部71
2によって受信される。ID管理部712は、前記発行
要求をうけると、ユーザ端末3に対してID番号とパス
ワードの入力を促す画面を送信する。ユーザ端末710
からID番号とパスワードが送信されると、ID管理部
712は、IDテーブル714を参照して正当なユーザ
であるかの確認を行い、正当なユーザ、即ち入力された
ID番号とパスワードがIDテーブル714に登録され
ていた場合には鍵発行部713に対して鍵の割当て要求
を行う。この要求を受けると、鍵発行部713は、鍵D
B716を検索して未割当ての鍵をユーザ端末710に
送信するとともに、サーバコンピュータ72の認証テー
ブル721に発行した鍵とユーザ名からなる情報を登録
させる。ユーザ端末710は、サーバコンピュータ71
から鍵の割り当てを受けてサーバコンピュータ72から
サービスの提供を受けることが可能となり、アプリケー
ション720に対してアクセス要求を送信する。
る。まず、ユーザはユーザ端末710を操作してサーバ
コンピュータ71に対して鍵の発行要求を行う。この発
行要求はインタフェース711を介してID管理部71
2によって受信される。ID管理部712は、前記発行
要求をうけると、ユーザ端末3に対してID番号とパス
ワードの入力を促す画面を送信する。ユーザ端末710
からID番号とパスワードが送信されると、ID管理部
712は、IDテーブル714を参照して正当なユーザ
であるかの確認を行い、正当なユーザ、即ち入力された
ID番号とパスワードがIDテーブル714に登録され
ていた場合には鍵発行部713に対して鍵の割当て要求
を行う。この要求を受けると、鍵発行部713は、鍵D
B716を検索して未割当ての鍵をユーザ端末710に
送信するとともに、サーバコンピュータ72の認証テー
ブル721に発行した鍵とユーザ名からなる情報を登録
させる。ユーザ端末710は、サーバコンピュータ71
から鍵の割り当てを受けてサーバコンピュータ72から
サービスの提供を受けることが可能となり、アプリケー
ション720に対してアクセス要求を送信する。
【0015】このアクセス要求は、インタフェース71
7を介して認証処理部719によって受信され、認証テ
ーブル721に登録されている鍵とユーザ名であるか認
証が行われる。この認証によって、認証テーブル721
に登録されているユーザ名と鍵を含んでいることが確認
できると、認証処理部719はアクセス処理部718に
対してアプリケーション720へのアクセスを許可する
旨の通知を行い、アクセス処理部717は前記通知を受
けてユーザ端末710に対して要求されたサービスの提
供を行う。このようにして割当てられた鍵は、上述のよ
うに、自主的な返却や使用期限が到来するまで繰り返し
使用することが可能であるため、煩雑な認証手続きをア
クセスの度に行うことなくサービスの提供を受けること
が可能となる。また、この例では鍵を管理するサーバコ
ンピュータが1台のみであるため、安全性も向上させる
ことが可能である。なお、ここでは鍵を発行する専用の
サーバコンピュータを含むシステムとして説明したが、
鍵を発行する機器はルータやゲートウェイのネットワー
ク接続装置であっても構わない。
7を介して認証処理部719によって受信され、認証テ
ーブル721に登録されている鍵とユーザ名であるか認
証が行われる。この認証によって、認証テーブル721
に登録されているユーザ名と鍵を含んでいることが確認
できると、認証処理部719はアクセス処理部718に
対してアプリケーション720へのアクセスを許可する
旨の通知を行い、アクセス処理部717は前記通知を受
けてユーザ端末710に対して要求されたサービスの提
供を行う。このようにして割当てられた鍵は、上述のよ
うに、自主的な返却や使用期限が到来するまで繰り返し
使用することが可能であるため、煩雑な認証手続きをア
クセスの度に行うことなくサービスの提供を受けること
が可能となる。また、この例では鍵を管理するサーバコ
ンピュータが1台のみであるため、安全性も向上させる
ことが可能である。なお、ここでは鍵を発行する専用の
サーバコンピュータを含むシステムとして説明したが、
鍵を発行する機器はルータやゲートウェイのネットワー
ク接続装置であっても構わない。
【0016】
【発明の効果】以上説明したように、本発明によると、
ユーザが企業内通信システム(イントラネット)で提供
されている様々なサービスにアクセスする場合であって
も、一度の認証、即ちアクセス権を表す鍵の発行を受け
ると、以後のアクセス時には認証が不要となるため、煩
雑な手続きを経ることなくサービスの提供を受けること
が可能となる。
ユーザが企業内通信システム(イントラネット)で提供
されている様々なサービスにアクセスする場合であって
も、一度の認証、即ちアクセス権を表す鍵の発行を受け
ると、以後のアクセス時には認証が不要となるため、煩
雑な手続きを経ることなくサービスの提供を受けること
が可能となる。
【図1】 本発明の実施の形態にかかる企業内通信シス
テムの構成を示す図。
テムの構成を示す図。
【図2】 ユーザ端末に表示されるメニュー画面の一例
を示す図。
を示す図。
【図3】 ユーザ端末に表示されるID情報とパスワー
ドの入力画面の一例を示す図。
ドの入力画面の一例を示す図。
【図4】 IDテーブルの一例を示す図。
【図5】 認証テーブルの一例を示す図。
【図6】 認証テーブルの他の例を示す図。
【図7】 本発明の他の実施の形態にかかる企業内通信
システムの構成を示す図。
システムの構成を示す図。
1,2,71,72…サーバコンピュータ 3,710…ユーザ端末 4…ネットワーク 10,711,717…インタフェース 11,718…アクセス処理部 12,712…ID管理部 13,719…認証処理部 14,714…IDテーブル 15,721…認証テーブル 16,715…鍵データベース 17,720…アプリケーション 21,22…アクセス要求ボタン 31…ID情報とパスワードの入力画面
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AE00 AE02 AE03 5J104 AA07 AA16 EA01 EA16 KA01 KA02 MA06 NA02 NA05 NA36 NA38 PA07
Claims (4)
- 【請求項1】 サーバコンピュータと複数のユーザ端末
からなり、前記サーバコンピュータが様々なサービスを
提供する企業内通信システムにおいて、 前記サーバコンピュータは、 前記サービスへのアクセス権限を標章する複数の鍵を保
持する鍵データベースと、ユーザ毎に登録される識別情
報とパスワードとを含むユーザ情報データベースと、ユ
ーザに対して割当てられた鍵とユーザ名とを対にして保
持する認証テーブルと、前記ユーザ情報データベースを
参照してユーザの正当性を判定するユーザ情報管理部
と、該ユーザ情報管理部で正当なユーザであると判定さ
れたときにユーザ端末に対して前記鍵を割当てる認証処
理部とを有し、 前記ユーザ端末は、 前記サーバコンピュータによって割当てられた鍵を受信
し、前記サーバコンピュータの提供するサービスにアク
セスする際に、アクセス要求に前記割当てられた鍵を含
めることを特徴とする企業内通信システム。 - 【請求項2】前記鍵は、文字または数字、若しくは文字
と数字との組合わせからなることを特徴とする請求項1
記載の企業内通信システムシステム。 - 【請求項3】前記サーバコンピュータによって前記ユー
ザ端末に割当てられた鍵は、一定時間が経過すると無効
になることを特徴とする請求項1記載の企業内通信シス
テムシステム。 - 【請求項4】サービスを提供するサーバコンピュータへ
アクセスするため、ユーザ端末からの認証要求に基づき
認証処理を実行する認証サーバにおいて、 前記サービスへのアクセス権限を標章する複数の鍵を保
持する鍵データベースと、 ユーザ毎に登録される識別情報とパスワードとを含むユ
ーザ情報データベースと、 ユーザに対して割当てられた鍵とユーザ名とを対にして
保持する認証テーブルと、 前記ユーザ情報データベースを参照してユーザの正当性
を判定するユーザ情報管理部と、該ユーザ情報管理部で
正当なユーザであると判定されたときにユーザ端末に対
して前記鍵を割当てる認証処理部とを具備したことを特
徴とする認証サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000299427A JP2002108819A (ja) | 2000-09-29 | 2000-09-29 | 企業内通信システムおよび認証サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000299427A JP2002108819A (ja) | 2000-09-29 | 2000-09-29 | 企業内通信システムおよび認証サーバ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002108819A true JP2002108819A (ja) | 2002-04-12 |
Family
ID=18781235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000299427A Pending JP2002108819A (ja) | 2000-09-29 | 2000-09-29 | 企業内通信システムおよび認証サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002108819A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006028094A1 (ja) * | 2004-09-07 | 2006-03-16 | Matsushita Electric Industrial Co., Ltd. | 通信装置 |
| JP2006318291A (ja) * | 2005-05-13 | 2006-11-24 | Fujitsu Ltd | 無線タグ管理プログラム |
| KR100888471B1 (ko) * | 2002-07-05 | 2009-03-12 | 삼성전자주식회사 | 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법 |
| CN110807181A (zh) * | 2019-11-14 | 2020-02-18 | 北京融易做科技有限公司 | 企业内部数据库登录验证方法、装置及系统 |
| CN114363892A (zh) * | 2022-03-03 | 2022-04-15 | 杭州天宽科技有限公司 | 基于移动智能终端的背夹外设分发与认证系统及方法 |
-
2000
- 2000-09-29 JP JP2000299427A patent/JP2002108819A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100888471B1 (ko) * | 2002-07-05 | 2009-03-12 | 삼성전자주식회사 | 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법 |
| US7739491B2 (en) | 2002-07-05 | 2010-06-15 | Samsung Electronics Co., Ltd. | Method using access authorization differentiation in wireless access network and secure roaming method thereof |
| WO2006028094A1 (ja) * | 2004-09-07 | 2006-03-16 | Matsushita Electric Industrial Co., Ltd. | 通信装置 |
| US8341701B2 (en) | 2004-09-07 | 2012-12-25 | Panasonic Corporation | Communication apparatus |
| JP2006318291A (ja) * | 2005-05-13 | 2006-11-24 | Fujitsu Ltd | 無線タグ管理プログラム |
| CN110807181A (zh) * | 2019-11-14 | 2020-02-18 | 北京融易做科技有限公司 | 企业内部数据库登录验证方法、装置及系统 |
| CN114363892A (zh) * | 2022-03-03 | 2022-04-15 | 杭州天宽科技有限公司 | 基于移动智能终端的背夹外设分发与认证系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7788711B1 (en) | Method and system for transferring identity assertion information between trusted partner sites in a network using artifacts | |
| JP6066647B2 (ja) | デバイス装置、その制御方法、およびそのプログラム | |
| JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
| US8117649B2 (en) | Distributed hierarchical identity management | |
| JP4757430B2 (ja) | インターネットサイトに対するアクセス制御方法 | |
| RU2337399C2 (ru) | Контекст устойчивой авторизации на основе внешней аутентификации | |
| JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| US20080168539A1 (en) | Methods and systems for federated identity management | |
| US20140230020A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
| EP1244263A2 (en) | Access control method | |
| US7627751B2 (en) | Information processing apparatus, an authentication apparatus, and an external apparatus | |
| WO2007094369A1 (ja) | 分散認証システム及び分散認証方法 | |
| JP2728033B2 (ja) | コンピュータネットワークにおけるセキュリティ方式 | |
| JP2019061580A (ja) | デバイスと、その制御方法とプログラム | |
| JP4932154B2 (ja) | アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム | |
| US6611916B1 (en) | Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment | |
| JP2021077040A (ja) | 権限委譲システム、サーバ及びその制御方法、並びにプログラム | |
| JP2016115260A (ja) | 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム | |
| JP2003085141A (ja) | シングルサインオン対応認証装置、ネットワークシステム、及びプログラム | |
| JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| JP2000106552A (ja) | 認証方法 | |
| JP2002108819A (ja) | 企業内通信システムおよび認証サーバ | |
| JP2003242119A (ja) | ユーザ認証サーバおよびその制御プログラム | |
| JP2009093580A (ja) | ユーザ認証システム | |
| KR100432103B1 (ko) | 인증 및 권한 인가 서비스 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20050428 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050620 |