JP2002132727A - 利用者認証方法及びシステム装置 - Google Patents

利用者認証方法及びシステム装置

Info

Publication number
JP2002132727A
JP2002132727A JP2000329544A JP2000329544A JP2002132727A JP 2002132727 A JP2002132727 A JP 2002132727A JP 2000329544 A JP2000329544 A JP 2000329544A JP 2000329544 A JP2000329544 A JP 2000329544A JP 2002132727 A JP2002132727 A JP 2002132727A
Authority
JP
Japan
Prior art keywords
user
authentication
terminal device
user authentication
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000329544A
Other languages
English (en)
Inventor
Kazuo Morimura
一雄 森村
Koji Ito
浩二 伊藤
Yoshihiko Adachi
佳彦 足立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000329544A priority Critical patent/JP2002132727A/ja
Publication of JP2002132727A publication Critical patent/JP2002132727A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】業務サーバにおけるサーバ処理プログラムを改
造することなく所要の利用者認証を行うことの可能な利
用者認証方法及びシステム装置の提供。 【解決手段】端末装置1の利用者を業務サーバ3に代わ
って認証するためにネットワーク2上に設定された代理
認証機構5と、業務サーバ3の利用のため端末装置1の
利用者へ事前に与えられているユーザIDやパスワード
等の利用者認証情報を蓄積するために代理認証機構5か
ら直接アクセス可能な領域に設定されたパスワードデー
タベース4とを具備する特徴。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、利用者認証方法及
びシステム装置に関し、詳しくは、任意の形態をなすネ
ットワーク上に存在する業務サーバとの間でネットワー
ク接続を確立しようとする端末装置の利用者認証を行う
ための利用者認証方法、及びその実施に直接使用する利
用者認証システム装置に係わる。
【従来の技術】
【0002】一般に、ネットワーク上に存在する業務サ
ーバとの間でネットワーク接続を確立しようとする端末
装置の利用者認証を行うには、業務サーバ自身に利用者
認証機能を具備させる必要がある。以下に、比較のた
め、利用者認証機能を具備しない通常のネットワークシ
ステム装置の形態と、当該認証機能を具備した利用者認
証システム装置の形態とを、図面を用いて説明する。
【0003】まず、利用者認証機能を具備しない通常の
ネットワークシステム装置の例として、図13は、従来
のネットワークシステム装置の構成図であり、図14及
び図15は、ぞれぞれ、図13に示したネットワークシ
ステム装置の動作を説明するためのシーケンス図及びフ
ローチャートである。
【0004】同図に示すように、利用者認証機能を具備
しない通常のネットワークシステム装置αにおいて、端
末装置1からネットワーク2を経由して業務サーバ3を
利用する場合には、まず、端末装置1が、接続処理過程
(ST1)を実行することにより、業務サーバ3との間
のネットワーク接続を確立する。
【0005】次に、業務サーバ3は、業務処理過程(S
T2)を実行することにより、端末装置1の利用者(図
示せず)から指定された業務処理アプリケーションプロ
グラム(以下、単に「業務処理プログラム」という)を
実行する。
【0006】そして最後に、業務サーバ3は、結果返却
処理過程(ST3)を実行することにより、上記業務処
理プログラムの実行結果を端末装置1へと返却する。
【0007】一方、利用者認証機能を具備した利用者認
証システム装置の例として、図16は、従来の利用者認
証システム装置の構成図であり、図17及び図18は、
ぞれぞれ、図16に示した利用者認証システム装置の動
作を説明するためのシーケンス図及びフローチャートで
ある。
【0008】同図に示すように、利用者認証機能を具備
した利用者認証システム装置βにおいて、端末装置1か
らネットワーク2を経由して業務サーバ3を利用する場
合には、まず、端末装置1が、上記の例と同様、接続処
理過程(ST6)を実行することにより、業務サーバ3
との間のネットワーク接続を確立する。
【0009】次に、端末装置1及び業務サーバ3は、両
者の間で認証処理過程(ST7)を実行するが、このと
き、業務サーバ3は、図示のパスワードデータベース4
を参照することにより、端末装置1から送付されるユー
ザIDやパスワード等の利用者認証情報の検証を行う。
【0010】次に、業務サーバ3は、上述の利用者認証
処理が正常終了した場合には(ST7;Yes)、続く
業務処理過程(ST8)を実行することにより上記業務
処理プログラムを実行する。これに対し、当該認証処理
が異常終了した場合(ST7;No)、業務サーバ3
は、以上の業務処理過程及びこれに次ぐ処理過程を実行
することなく、所要の一連の処理を直ちに終了させる。
【0011】そして最後に、業務サーバ3は、結果返却
処理過程(ST9)を実行することにより、上記業務処
理プログラムの実行結果を端末装置1へと返却する。
【0012】
【発明が解決しようとする課題】以上のように、業務サ
ーバ3に所要の利用者認証機能を具備させるには、当該
業務サーバ3から直接アクセス可能な領域にパスワード
データベース4を設定した上で、その業務サーバ3にお
いて実行させるべきサーバ処理アプリケーションプログ
ラム(以下、単に「サーバ処理プログラム」という)自
身を改造する必要がある。
【0013】ここにおいて、本発明の解決すべき主要な
目的は、次に示すとおりである。
【0014】即ち、本発明の第1の目的は、業務サーバ
において実行されるサーバ処理プログラムを改造するこ
となく所要の利用者認証を行うことの可能な認証利用者
認証方法及びシステム装置を提供せんとするものであ
る。
【0015】本発明の第2の目的は、所要の利用者認証
を高セキュリティに行うことの可能な利用者認証方法及
びシステム装置を提供せんとするものである。
【0016】本発明の第3の目的は、所要の利用者認証
と共に業務サーバの利用に伴う利用者課金を併せて行う
ことの可能な利用者認証方法及びシステム装置を提供せ
んとするものである。
【0017】本発明の他の目的は、明細書、図面、特に
特許請求の範囲の各請求項の記載から自ずと明らかとな
ろう。
【0018】
【課題を解決するための手段】本発明方法は、ネットワ
ーク上に、端末装置の利用者を業務サーバに代わって認
証するための代理認証機構を設定した上で、当該代理認
証機構から直接アクセス可能な領域に、業務サーバの利
用のため端末装置の利用者へ事前に与えられている利用
者認証情報を蓄積するための認証情報データベースを設
定することにより、所要の端末装置の利用者認証を業務
サーバから独立して透過的に行う、という特徴を有す
る。
【0019】一方、本発明システム装置は、端末装置の
利用者を業務サーバに代わって認証するためにネットワ
ーク上に設定された代理認証機構と、業務サーバの利用
のため端末装置の利用者へ事前に与えられている利用者
認証情報を蓄積するために代理認証機構から直接アクセ
ス可能な領域に設定された認証情報データベースとを有
する、という特徴を有する。
【0020】さらに、具体的詳細に述べると、当該課題
の解決では、本発明が次に列挙する新規な特徴的構成手
法及び手段を採用することにより、前記目的を達成する
よう為される。
【0021】即ち、本発明方法の第1の特徴は、任意の
形態をなすネットワーク上に設定された業務サーバとの
間でネットワーク接続を確立しようとする端末装置の利
用者認証を行うための利用者認証方法であって、前記ネ
ットワーク上に、前記端末装置の利用者を前記業務サー
バに代わって認証するための代理認証機構を設定すると
共に、当該代理認証機構から直接アクセス可能な領域
に、前記業務サーバの利用のため前記端末装置の利用者
へ事前に与えられている利用者認証情報を蓄積するため
の認証情報データベースを設定し、当該代理認証機構及
び認証情報データベースの適用により、所要の前記端末
装置の利用者認証を前記業務サーバから独立して透過的
に行ってなる、利用者認証方法の構成採用にある。
【0022】本発明方法の第2の特徴は、上記本発明方
法の第1の特徴における前記代理認証機構が、前記端末
装置から前記業務サーバに対する接続要求の発生を監視
する接続監視処理過程と、前記接続要求が発生したとき
に、前記端末装置との間でネットワーク接続を確立する
と共に、当該端末装置に対し、その利用者に関する前記
利用者認証情報の入力を要求するための利用者認証要求
を送付する認証要求処理過程と、前記利用者認証要求に
伴って、前記端末装置から所要の前記利用者認証情報が
返却されたときに、前記認証情報データベースをアクセ
スして当該利用者認証情報の正当性を検証する認証要求
検証処理過程と、前記利用者認証情報が正当なものと検
証されたときに、前記業務サーバとの間でネットワーク
接続を確立する業務サーバ接続処理過程とを順次実行し
てなる、利用者認証方法の構成採用にある。
【0023】本発明方法の第3の特徴は、上記本発明方
法の第2の特徴における前記端末装置から直接アクセス
可能な領域に、当該端末装置の利用者が保有している利
用者秘密鍵を用いてデジタル署名を生成するための秘密
鍵管理機構を設定すると共に、前記代理認証機構内に、
前記デジタル署名を検証するためのデジタル署名検証手
段を設定し、当該秘密鍵管理機構及びデジタル署名検証
手段の適用により、前記代理認証機構が、前記認証要求
処理過程において、前記接続要求が発生する毎に乱数を
発生してセッションIDを生成すると共に、当該セッシ
ョンIDを前記利用者認証要求と共に前記端末装置へ送
付する処理を実行し、前記秘密鍵管理機構が、前記端末
装置に前記セッションIDが送付されたときに、これを
当該端末装置から取得して前記利用者秘密鍵により所要
の前記デジタル署名を生成すると共に、当該セッション
IDデジタル署名を前記端末装置へ返却する署名生成処
理過程を実行し、前記代理認証機構が、前記認証要求検
証処理過程において、前記端末装置から前記セッション
IDデジタル署名が返却されたときに、前記デジタル署
名検証手段により当該セッションIDデジタル署名の正
当性を検証する処理を実行してなる、利用者認証方法の
構成採用にある。
【0024】本発明方法の第4の特徴は、上記本発明方
法の第3の特徴における前記端末装置が、前記セッショ
ンIDデジタル署名を前記代理認証機構へ返却するに当
り、当該セッションIDデジタル署名を所定の暗号鍵を
用いて暗号化する処理を実行し、前記代理認証機構が、
前記認証要求検証処理過程において、返却された暗号化
後の前記セッションIDデジタル署名を前記暗号鍵に対
応する復号鍵を用いて復号化する処理を実行した後に、
当該セッションIDデジタル署名の正当性を検証する処
理を実行してなる、利用者認証方法の構成採用にある。
【0025】本発明方法の第5の特徴は、上記本発明方
法の第2、第3又は第4の特徴における前記代理認証機
構から直接アクセス可能な領域に、前記業務サーバへの
ネットワーク接続に伴って前記端末装置の利用者に課金
される業務サーバ利用料に関する課金情報を蓄積するた
めの課金情報データベースを設定し、当該課金データベ
ースの適用により、前記代理認証機構が、前記利用者認
証情報が正当なものと検証されるのに伴い、前記業務サ
ーバ接続処理過程の実行が開始されてから前記業務サー
バとの間のネットワーク接続が解除されるまでの期間に
亙り、前記課金情報データベースをアクセスして前記業
務サーバ利用料に関する前記課金情報を記録する課金処
理過程を実行してなる、利用者認証方法の構成採用にあ
る。
【0026】本発明方法の第6の特徴は、上記本発明方
法の第5の特徴における前記代理認証機構を、複数の業
務サーバとの間のネットワーク接続を可能とするよう設
定すると共に、前記認証情報データベース及び前記課金
情報データベースを、前記複数の業務サーバを利用する
全ての端末装置の利用者認証を可能とするよう設定し
て、これらを認証サーバとして前記ネットワーク上に設
定し、当該認証サーバの適用により、前記代理認証機構
が、前記認証サーバの手続業務により、前記全ての端末
装置の各利用者から前記業務サーバ利用料の集計額を前
記複数の業務サーバに代わって代理徴収すると共に、当
該複数の業務サーバから前記業務サーバ利用料の徴収代
行手数料として認証サーバ使用料を徴収するために、前
記認証情報データベース及び前記課金情報データベース
を参照することにより、前記全ての端末装置の各利用者
についての前記業務サーバ利用料を定期的に集計する処
理を実行してなる、利用者認証方法の構成採用にある。
【0027】本発明方法の第7の特徴は、上記本発明方
法の第2、第3、第4、第5又は第6の特徴における前
記端末装置が、前記利用者認証情報を前記代理認証機構
へ返却するに当り、当該利用者認証情報を所定の暗号鍵
を用いて暗号化する処理を実行し、前記代理認証機構
が、前記認証要求検証処理過程において、返却された暗
号化後の前記利用者認証情報を前記暗号鍵に対応する復
号鍵を用いて復号化する処理を実行した後に、当該利用
者認証情報の正当性を検証する処理を実行してなる、利
用者認証方法の構成採用にある。
【0028】一方、本発明システム装置の第1の特徴
は、任意の形態をなすネットワーク上に設定された業務
サーバとの間でネットワーク接続を確立しようとする端
末装置の利用者認証を行うための利用者認証システム装
置であって、前記端末装置の利用者を前記業務サーバに
代わって認証するために前記ネットワーク上に設定され
た代理認証機構と、前記業務サーバの利用のため前記端
末装置の利用者へ事前に与えられている利用者認証情報
を蓄積するために前記代理認証機構から直接アクセス可
能な領域に設定された認証情報データベースとを有し、
前記代理認証機構が、前記端末装置から前記業務サーバ
に対する接続要求の発生を監視する接続監視処理手段
と、当該接続監視処理手段により前記接続要求が検出さ
れたときに、前記端末装置との間でネットワーク接続を
確立すると共に、当該端末装置に対し、その利用者に関
する前記利用者認証情報の入力を要求するための利用者
認証要求を送付する認証要求処理手段と、当該認証要求
処理手段により前記利用者認証要求が送付されるのに伴
って、前記端末装置から所要の前記利用者認証情報が返
却されたときに、前記認証情報データベースをアクセス
して当該利用者認証情報の正当性を検証する認証要求検
証処理手段と、当該認証要求検証処理手段により前記利
用者認証情報が正当なものと検証されたときに、前記業
務サーバとの間でネットワーク接続を確立する業務サー
バ接続処理手段とを具備してなる、利用者認証システム
装置の構成採用にある。
【0029】本発明システム装置の第2の特徴は、上記
本発明システム装置の第1の特徴における前記利用者認
証システム装置が、前記端末装置の利用者が保有してい
る利用者秘密鍵を用いてデジタル署名を生成するために
当該端末装置から直接アクセス可能な領域に設定された
秘密鍵管理機構と、前記デジタル署名を検証するために
前記代理認証機構内に設定されたデジタル署名検証手段
とをさらに有し、前記代理認証機構における前記認証要
求処理手段が、前記接続要求が発生する毎に乱数を発生
してセッションIDを生成すると共に、当該セッション
IDを前記利用者認証要求と共に前記端末装置へ送付す
る処理手段を具備し、前記秘密鍵管理機構が、前記端末
装置に前記セッションIDが送付されたときに、これを
当該端末装置から取得して前記利用者秘密鍵により所要
の前記デジタル署名を生成すると共に、当該セッション
IDデジタル署名を前記端末装置へ返却する署名生成処
理手段を具備し、前記代理認証機構における前記認証要
求検証処理手段が、前記端末装置から前記セッションI
Dデジタル署名が返却されたときに、前記デジタル署名
検証手段により当該セッションIDデジタル署名の正当
性を検証する処理手段を具備してなる、利用者認証シス
テム装置の構成採用にある。
【0030】本発明システム装置の第3の特徴は、上記
本発明システム装置の第2の特徴における前記端末装置
が、前記セッションIDデジタル署名を所定の暗号鍵を
用いて暗号化する処理手段を具備し、前記代理認証機構
における前記認証要求検証処理手段が、暗号化後の前記
セッションIDデジタル署名を前記暗号鍵に対応する復
号鍵を用いて復号化する処理手段を具備してなる、利用
者認証システム装置の構成採用にある。
【0031】本発明システム装置の第4の特徴は、上記
本発明システム装置の第2又は第3の特徴における前記
デジタル署名検証手段が、前記利用者秘密鍵に対応した
利用者公開鍵である、利用者認証システム装置の構成採
用にある。
【0032】本発明システム装置の第5の特徴は、上記
本発明システム装置の第2又は第3の特徴における前記
デジタル署名検証手段が、前記利用者秘密鍵に対応した
利用者公開鍵につき公的認証機関から発行された証明証
である、利用者認証システム装置の構成採用にある。
【0033】本発明システム装置の第6の特徴は、上記
本発明システム装置の第1、第2、又は第3の特徴にお
ける前記利用者認証システム装置が、前記業務サーバへ
のネットワーク接続に伴って前記端末装置の利用者に課
金される業務サーバ利用料に関する課金情報を蓄積する
ために前記代理認証機構から直接アクセス可能な領域に
設定された課金情報データベースをさらに有し、前記代
理認証機構が、前記認証要求検証処理手段により前記利
用者認証情報が正当なものと検証されるのに伴い、前記
業務サーバ接続処理手段による前記業務サーバとの間の
ネットワーク接続が開始されてから当該ネットワーク接
続が解除されるまでの期間に亙り、前記課金情報データ
ベースをアクセスして前記業務サーバ利用料に関する前
記課金情報を記録する課金処理手段を具備してなる、利
用者認証システム装置の構成採用にある。
【0034】本発明システム装置の第7の特徴は、上記
本発明システム装置の第6の特徴における前記利用者認
証システム装置が、前記ネットワーク上に、複数の業務
サーバとの間のネットワーク接続を可能とするよう設定
された前記代理認証機構と、前記複数の業務サーバを利
用する全ての端末装置の利用者認証を可能とするよう設
定された前記認証情報データベース及び前記課金情報デ
ータベースとからなる認証サーバを有し、前記代理認証
機構が、前記認証サーバの手続業務により、前記全ての
端末装置の各利用者から前記業務サーバ利用料の集計額
を前記複数の業務サーバに代わって代理徴収すると共
に、当該複数の業務サーバから前記業務サーバ利用料の
徴収代行手数料として認証サーバ使用料を徴収するため
に、前記認証情報データベース及び前記課金情報データ
ベースを参照することにより、前記全ての端末装置の各
利用者についての前記業務サーバ利用料を定期的に集計
する処理手段を具備してなる、利用者認証システム装置
の構成採用にある。
【0035】本発明システム装置の第8の特徴は、上記
本発明システム装置の第1、第2、第3、第4、第5、
第6又は第7の特徴における前記端末装置が、前記利用
者認証情報を所定の暗号鍵を用いて暗号化する処理手段
を具備し、前記代理認証機構における前記認証要求検証
処理手段が、暗号化後の前記利用者認証情報を前記暗号
鍵に対応する復号鍵を用いて復号化する処理手段を具備
してなる、利用者認証システム装置の構成採用にある。
【0036】
【発明の実施の形態】以下、本発明の実施の形態につ
き、添付図面を参照しつつ、その第1〜第3装置例及び
これらにそれぞれ対応する第1〜第3方法例を挙げて詳
細に説明する。なお、以降の各装置例の説明に用いる図
面には、従来技術で説明したものと同一又は同等の構成
要素につき、同一の符号を付してある。
【0037】(第1装置例)まず初めに、業務サーバに
おいて実行されるサーバ処理プログラムを改造すること
なく所要の利用者認証を行うための基本構成を具備し
た、第1装置例に係る利用者認証システム装置について
説明する。
【0038】図1は、本発明の第1装置例に係る利用者
認証システム装置の構成図である。
【0039】同図に示すように、この第1装置例に係る
利用者認証システム装置γ1は、既に従来例にて説明し
た端末装置1、ネットワーク2、業務サーバ3、及びパ
スワードデータベース4(本発明にいう「認証情報デー
タベース」)の各構成要素に加え、端末装置1の利用者
(図示せず)を業務サーバ3に代わって認証するために
ネットワーク2上に設定された代理認証機構5を有して
構成される。
【0040】ここで、代理認証機構5は、端末装置1か
ら業務サーバ3に対する接続要求の発生を監視する接続
監視処理手段(図示せず)と、当該接続監視処理手段に
より接続要求が検出されたときに、端末装置1との間で
ネットワーク接続を確立すると共に、当該端末装置1に
対し、その利用者に関する利用者認証情報の入力を要求
するための利用者認証要求を送付する認証要求処理手段
(図示せず)と、当該認証要求処理手段により利用者認
証要求が送付されるのに伴って、端末装置1からユーザ
ID(ID:Identification)やパスワード等の所要の
利用者認証情報が返却されたときに、パスワードデータ
ベース4をアクセスして当該利用者認証情報の正当性を
検証する認証要求検証処理手段(図示せず)と、当該認
証要求検証処理手段により利用者認証情報が正当なもの
と検証されたときに、業務サーバ3との間でネットワー
ク接続を確立する業務サーバ接続処理手段(図示せず)
とを具備して構成される。
【0041】以上の代理認証機構5は、実際にはコンピ
ュータ等の情報処理機器により構成され、従って、以上
に示した各処理手段は、当該代理認証機構5上で実行さ
れる所定の認証処理アプリケーションプログラム(以
下、単に「認証処理プログラム」という)により実現さ
れる。
【0042】一方、パスワードデータベース4は、業務
サーバ3の利用のため端末装置1の利用者へ事前に与え
られているユーザIDやパスワード等の利用者認証情報
を蓄積するために、図示のように、代理認証機構5から
直接アクセス可能な領域に設定されるものであり、その
内部には、図2(図1に示したパスワードデータベース
4の内部構成図)に示すように、複数の利用者について
の「ユーザID」、「パスワード」、及び「その他の属
性」がそれぞれ登録される。
【0043】なお、端末装置1から代理認証機構5へ返
却される上記ユーザIDやパスワード等の利用者認証情
報が、ネットワーク2を通じて第三者から盗聴されるの
を防止するため、所望により、端末装置1に、当該利用
者認証情報を所定の暗号鍵を用いて暗号化する処理手段
(図示せず)を具備させ、また、この暗号化に対応する
ため、代理認証機構5における認証要求検証処理手段
に、暗号化後の利用者認証情報を上記暗号鍵に対応する
復号鍵を用いて復号化する処理手段(図示せず)を具備
させてもよい。
【0044】(第1方法例)続いて、以上のように構成
された第1装置例に係る利用者認証システム装置γ1に
適用される第1方法例について説明する。
【0045】図3及び図4は、ぞれぞれ、図1に示した
利用者認証システム装置γ1の動作を説明するためのシ
ーケンス図及びフローチャートである。
【0046】同図に示すように、この第1方法例におい
て、端末装置1からネットワーク2を経由して業務サー
バ3を利用する場合には、まず、代理認証機構5が、接
続監視処理過程(ST11)を定常的に実行し、端末装
置1から業務サーバ3に対する接続処理過程(ST1
2)の通信(即ち、接続要求の発生)を監視する。
【0047】次に、端末装置1から接続要求が為されて
接続処理過程の通信が発生すると、代理認証機構5は、
その通信に割り込んで端末装置1との間でネットワーク
接続を確立し、さらに、次の認証要求処理過程(ST1
3)を実行することにより、端末装置1に対し、その利
用者に関するユーザIDやパスワード等の利用者認証情
報の入力を要求するための利用者認証要求を送付する。
【0048】なお、以上の代理認証機構5による割込み
は、端末装置1から業務サーバ3に対する接続を、いわ
ば、当該代理認証機構5が横取りすることにより自動的
に行われ、業務サーバ3自体は、この割込み処理に一切
関与していない。このため、上記ネットワーク接続及び
利用者認証要求の送付は、ネットワーク2上の代理認証
機構5の存在を、端末装置1の利用者に何ら意識させる
ことなく行われる。
【0049】次に、代理認証機構5から利用者認証要求
が送付されると、端末装置1は、ユーザIDやパスワー
ド等の利用者認証情報の入力をディスプレイ表示等によ
り利用者へ促し、さらに、認証要求検証処理過程(ST
14)を実行することにより、利用者入力として受け取
ったユーザIDやパスワード等の利用者認証情報を代理
認証機構5へと返却する。
【0050】なお、端末装置1は、ユーザIDやパスワ
ード等の利用者認証情報を代理認証機構5へ返却するに
当り、利用者からの要求に応じ、当該利用者認証情報を
所定の暗号鍵を用いて暗号化する処理を実行することが
可能である。
【0051】次に、端末装置1からユーザIDやパスワ
ード等の利用者認証情報が返却されると、代理認証機構
5は、上記認証要求検証処理過程において、パスワード
データベース4をアクセスする(参照する)ことによ
り、その返却された利用者認証情報の正当性を検証する
(本発明にいう「認証要求検証処理過程」)。
【0052】なお、端末装置1から返却された利用者認
証情報が暗号化されていた場合、代理認証機構5は、ま
ず、当該暗号化後の利用者認証情報を、端末装置1で適
用した暗号鍵に対応する復号鍵を用いて復号化する処理
を実行し、その後に、当該利用者認証情報の正当性を検
証する処理を実行する。
【0053】次に、代理認証機構5は、利用者認証情報
の正当性を検証した結果、それが正当なものであった場
合には(ST14;Yes)、続く業務サーバ接続処理
過程(ST15)を実行することにより、業務サーバ3
との間でネットワーク接続を確立する。これに対し、そ
の利用者認証情報が不当なものであった場合には(ST
14;No)、代理認証機構5は、以上の業務サーバ接
続処理過程及びこれに次ぐ処理過程を実行することな
く、所要の一連の処理を直ちに終了させる。
【0054】次に、代理認証機構5と業務サーバ3との
間でネットワーク接続が確立されると、業務サーバ3
は、業務処理過程(ST16)を実行することにより、
端末装置1の利用者から指定された業務処理プログラム
を実行する。
【0055】そして最後に、業務サーバ3は、結果返却
処理過程(ST17)を実行することにより、上記業務
処理プログラムの実行結果(業務処理結果)を代理認証
機構5を経由して端末装置1へと返却し、以上により、
業務サーバ3において実行されるサーバ処理プログラム
を改造することなく所要の利用者認証を行うための利用
者認証処理方法が実現される。
【0056】(第2装置例)続いて、所要の利用者認証
を高セキュリティに行うための構成を具備した、第2装
置例に係る利用者認証システム装置について説明する。
【0057】図5は、本発明の第2装置例に係る利用者
認証システム装置の構成図である。
【0058】同図に示すように、この第2装置例に係る
利用者認証システム装置γ2は、既に第1装置例にて説
明した端末装置1、ネットワーク2、業務サーバ3、パ
スワードデータベース4、及び代理認証機構5の基本構
成要素に加え、端末装置1の利用者(図示せず)が保有
している利用者秘密鍵6を用いてデジタル署名を生成す
るために当該端末装置1から直接アクセス可能な領域に
設定された秘密鍵管理機構7と、上記デジタル署名を検
証するために代理認証機構5内に設定された、上記利用
者秘密鍵6に対応した利用者公開鍵8(本発明にいう
「デジタル署名検証手段」)とを有して構成される。
【0059】なお、以上のデジタル署名検証手段として
は、上記利用者公開鍵8に代え、例えば、端末装置1の
利用者が保有する利用者秘密鍵6に対応した利用者公開
鍵(8)につき公的認証機関から発行された証明証(利
用者公開鍵証明証。図示せず)等も適用することができ
る。
【0060】ここで、代理認証機構5は、第1装置例と
同様、接続監視処理手段、認証要求処理手段、認証要求
検証処理手段、及び業務サーバ接続処理手段を具備して
構成されるが、このうち、認証要求処理手段は、さら
に、端末装置1から業務サーバ3に対する接続要求が発
生する毎に乱数を発生してセッションID(ID:Iden
tification)を生成すると共に、当該セッションIDを
利用者認証要求と共に端末装置1へ送付する処理手段
(図示せず)を具備して構成される。
【0061】また、秘密鍵管理機構7は、以上の認証要
求手段の設定に伴い、端末装置1に上記セッションID
が送付されたときに、これを取得して利用者秘密鍵6に
よりデジタル署名を生成すると共に、当該セッションI
Dデジタル署名を端末装置1へ返却する署名生成処理手
段(図示せず)を具備して構成される。
【0062】さらに、代理認証機構5における認証要求
検証処理手段は、以上の秘密鍵管理機構における署名生
成処理手段の設定に伴い、端末装置1からセッションI
Dデジタル署名が返却されたときに、上記利用者秘密鍵
6により当該セッションIDデジタル署名の正当性を検
証する処理手段(図示せず)を具備して構成される。
【0063】なお、以上の代理認証機構5は、第1装置
例の場合と同様、コンピュータ等の情報処理機器により
構成され、以上に示した新たな処理手段は、当該代理認
証機構5上で実行される所定の認証処理プログラムの一
部として具現化される。
【0064】また、端末装置1から代理認証機構5へ返
却される上記セッションIDデジタル署名が、ネットワ
ーク2を通じて第三者から盗聴されるのを防止するた
め、第1装置例にて述べた利用者認証情報に対する暗号
化及び復号化の場合と同様、所望により、端末装置1
に、当該セッションIDデジタル署名を所定の暗号鍵を
用いて暗号化する処理手段(図示せず)を具備させ、ま
た、この暗号化に対応するため、代理認証機構5におけ
る認証要求検証処理手段に、暗号化後のセッションID
デジタル署名を上記暗号鍵に対応する復号鍵を用いて復
号化する処理手段(図示せず)を具備させてもよい。
【0065】(第2方法例)続いて、以上のように構成
された第2装置例に係る利用者認証システム装置γ2に
適用される第2方法例について説明する。
【0066】図6及び図7は、ぞれぞれ、図5に示した
利用者認証システム装置γ2の動作を説明するためのシ
ーケンス図及びフローチャートである。
【0067】同図に示すように、この第2方法例におい
て、端末装置1からネットワーク2を経由して業務サー
バ3を利用する場合には、第1方法例における場合と同
様、まず、代理認証機構5が、接続監視処理過程(ST
21)を定常的に実行することにより、端末装置1から
業務サーバ3に対する接続処理過程(ST22)の通信
を監視する。
【0068】次に、端末装置1から接続要求が為されて
接続処理過程の通信が発生すると、代理認証機構5は、
第1方法例におけるのと同様な形態により、その通信に
割り込んで端末装置1との間でネットワーク接続を確立
し、さらに、次の認証要求処理過程(ST23)を実行
することにより、端末装置1に対し、その利用者に関す
る利用者認証情報の入力を要求するための利用者認証要
求と共に、今回の通信セッションをコード表示するため
のセッションIDを送付する。
【0069】ここで、上記セッションIDは、端末装置
1から接続要求が発生する毎に、代理認証機構5が乱数
を発生することによって生成されるため、各通信セッシ
ョン毎に異なった値をとり、この特質が、所要の利用者
認証を高セキュリティに行うことを可能にしている。
【0070】次に、代理認証機構5から利用者認証要求
と共にセッションIDが送付されると、端末装置1は、
ユーザIDやパスワード等の利用者認証情報の入力を利
用者へ促すと共に、次の署名生成処理過程(ST24)
を実行することにより、その送付されたセッションID
を秘密鍵管理機構7へと送付する。
【0071】次に、端末装置1からセッションIDが送
付されると、秘密鍵管理機構7は、上記署名生成処理過
程において、当該セッションIDを利用者秘密鍵6によ
り暗号化して所要のセッションIDデジタル署名を生成
し、さらに、当該セッションIDデジタル署名を端末装
置1へ返却する。
【0072】次に、秘密鍵管理機構7からセッションI
Dデジタル署名が返却されると、端末装置1は、認証要
求検証処理過程(ST25)を実行することにより、利
用者入力として受け取った利用者認証情報と共に、その
セッションIDデジタル署名を代理認証機構5へと返却
する(本発明にいう「署名生成処理過程」)。
【0073】なお、端末装置1は、利用者認証情報及び
デジタルIDデジタル署名を代理認証機構5へ返却する
に当り、第1方法例における場合と同様、利用者からの
要求に応じ、当該利用者認証情報及びセッションIDデ
ジタル署名を、所定の暗号鍵を用いて暗号化する処理を
実行することが可能である。
【0074】次に、端末装置1から利用者認証情報及び
セッションIDデジタル署名が返却されると、代理認証
機構5は、上記認証要求検証処理過程において、まず、
パスワードデータベース4をアクセスすることにより、
その返却された利用者認証情報の正当性を検証し、次い
で、利用者公開鍵8(又は利用者公開鍵証明証)を用い
ることにより、セッションIDデジタル署名を検証す
る。
【0075】なお、端末装置1から返却された利用者認
証情報及びセッションIDデジタル署名が暗号化されて
いた場合、代理認証機構5は、まず、当該暗号化後の利
用者認証情報及びセッションIDデジタル署名を、端末
装置1で適用した暗号鍵に対応する復号鍵を用いて復号
化する処理を実行し、その後に、当該利用者認証情報及
びセッションIDデジタル署名の正当性を検証する処理
を実行する。
【0076】次に、代理認証機構5は、利用者認証情報
及びセッションIDデジタル署名の正当性を検証した結
果、それらが正当なものであった場合には(ST25;
Yes)、続く業務サーバ接続処理過程(ST26)を
実行することにより、業務サーバ3との間でネットワー
ク接続を確立する。これに対し、それら利用者認証情報
及びセッションIDデジタル署名が不当なものであった
場合には(ST26;No)、代理認証機構5は、以上
の業務サーバ接続処理過程及びこれに次ぐ処理過程を実
行することなく、所要の一連の処理を直ちに終了させ
る。
【0077】そして、代理認証機構5と業務サーバ3と
の間でネットワーク接続が確立されると、業務サーバ3
は、業務処理過程(ST27)を実行することにより、
端末装置1の利用者から指定された業務処理プログラム
を実行し、さらに、結果返却処理過程(ST28)を実
行することにより、上記業務処理プログラムの実行結果
を代理認証機構5を経由して端末装置1へと返却し、以
上により、所要の利用者認証を高セキュリティに行うた
めの利用者認証処理方法が実現される。
【0078】(第3装置例)続いて、所要の利用者認証
と共に業務サーバの利用に伴う利用者課金を併せて行う
ための構成を具備した、第3装置例に係る利用者認証シ
ステム装置について説明する。
【0079】図8は、本発明の第3装置例に係る利用者
認証システム装置の構成図である。
【0080】同図に示すように、この第3装置例に係る
利用者認証システム装置γ3は、既に第1装置例にて説
明した端末装置1、ネットワーク2、業務サーバ3、パ
スワードデータベース4、及び代理認証機構5の基本構
成要素に加え、業務サーバ3へのネットワーク接続に伴
って端末装置1の利用者(図示せず)に課金される業務
サーバ利用料に関する課金情報を蓄積するために代理認
証機構5から直接アクセス可能な領域に設定された課金
データベース9(本発明にいう「課金情報データベー
ス」)を有して構成される。
【0081】ここで、代理認証機構5は、第1装置例に
おける接続監視処理手段、認証要求処理手段、認証要求
検証処理手段、及び業務サーバ接続処理手段に加え、以
下の手段、即ち、認証要求検証処理手段により利用者認
証情報が正当なものと検証されるのに伴い、業務サーバ
接続処理手段による業務サーバ3との間のネットワーク
接続が開始されてから当該ネットワーク接続が解除され
るまでの期間に亙り、課金データベース9をアクセスし
て業務サーバ利用料に関する課金情報を記録する課金処
理手段(図示せず)を具備して構成される。
【0082】なお、以上の代理認証機構5は、第1及び
第2装置例の場合と同様、コンピュータ等の情報処理機
器により構成され、以上に示した新たな処理手段も、当
該代理認証機構5上で実行される所定の認証処理プログ
ラムの一部として具現化される。
【0083】一方、課金データベース9は、業務サーバ
利用料に関する課金情報を蓄積するために、その内部に
は、図9(図8に示した課金データベース9の内部構成
図)に示すように、複数の利用者についての「ユーザI
D」毎に、「日付」、「利用時間」、「利用料金」、及
び「その他の属性」がそれぞれ記録される。
【0084】なお、端末装置1から代理認証機構5へ返
却される利用者認証情報が、ネットワーク2を通じて第
三者から盗聴されるのを防止するため、本第3装置例に
おいても、第1装置例にて述べた利用者認証情報に対す
る暗号化及び復号化の手法を同様に適用することが可能
である。
【0085】(第3方法例)続いて、以上のように構成
された第3装置例に係る利用者認証システム装置γ3に
適用される第3方法例について説明する。
【0086】図10及び図11は、ぞれぞれ、図8に示
した利用者認証システム装置γ3の動作を説明するため
のシーケンス図及びフローチャートである。
【0087】同図に示すように、この第3方法例におい
て、端末装置1からネットワーク2を経由して業務サー
バ3を利用する場合には、第1方法例における場合と同
様、まず、代理認証機構5が、接続監視処理過程(ST
31)を定常的に実行することにより、端末装置1から
業務サーバ3に対する接続処理過程(ST32)の通信
を監視する。
【0088】次に、端末装置1から接続要求が為されて
接続処理過程の通信が発生すると、代理認証機構5は、
第1方法例におけるのと同様な形態により、その通信に
割り込んで端末装置1との間でネットワーク接続を確立
し、さらに、次の認証要求処理過程(ST33)を実行
することにより、端末装置1に対し、その利用者に関す
る利用者認証情報の入力を要求するための利用者認証要
求を送付する。
【0089】次に、代理認証機構5から利用者認証要求
が送付されると、端末装置1は、利用者認証情報の入力
をディスプレイ表示等により利用者へ促し、さらに、認
証要求検証処理過程(ST34)を実行することによ
り、利用者入力として受け取った利用者認証情報を代理
認証機構5へと返却する。
【0090】なお、端末装置1は、利用者認証情報を代
理認証機構5へ返却するに当り、第1方法例における場
合と同様、利用者からの要求に応じ、当該利用者認証情
報を所定の暗号鍵を用いて暗号化する処理を実行するこ
とができる。
【0091】次に、端末装置1から利用者認証情報が返
却されると、代理認証機構5は、上記認証要求検証処理
過程において、パスワードデータベース4をアクセスす
ることにより、その返却された利用者認証情報の正当性
を検証する。
【0092】なお、端末装置1から返却された利用者認
証情報が暗号化されていた場合、代理認証機構5は、ま
ず、当該暗号化後の利用者認証情報を、端末装置1で適
用した暗号鍵に対応する復号鍵を用いて復号化する処理
を実行し、その後に、当該利用者認証情報の正当性を検
証する処理を実行する。
【0093】次に、代理認証機構5は、利用者認証情報
の正当性を検証した結果、それが正当なものであった場
合には(ST34;Yes)、続く課金処理過程(ST
35)を実行することにより、上記利用者認証情報に含
まれるユーザIDに基づき、業務サーバ処理過程の実行
が開始されてから業務サーバ3との間のネットワーク接
続が解除されるまでの間に亙り、課金データベース9を
アクセスして業務サーバ利用料に関する課金情報を記録
して保管する。これに対し、その利用者認証情報が不当
なものであった場合には(ST34;No)、代理認証
機構5は、以上の課金処理過程及びこれに次ぐ処理過程
を実行することなく、所要の一連の処理を直ちに終了さ
せる。
【0094】次に、課金データベース9への課金情報の
記録が開始されると、代理認証機構5は、その記録と同
時に、業務サーバ接続処理過程(ST36)を実行する
ことにより、業務サーバ3との間でネットワーク接続を
確立する。
【0095】そして、代理認証機構5と業務サーバ3と
の間でネットワーク接続が確立されると、業務サーバ3
は、業務処理過程(ST37)を実行することにより、
端末装置1の利用者から指定された業務処理プログラム
を実行し、さらに、結果返却処理過程(ST38)を実
行することにより、上記業務処理プログラムの実行結果
を代理認証機構5を経由して端末装置1へと返却し、以
上により、所要の利用者認証と共に業務サーバの利用に
伴う利用者課金を併せて行うための利用者認証処理方法
が実現される。
【0096】
【実施例】最後に、以上の第3装置例で説明した利用者
課金を可能とする利用者認証システム装置γ3を、ビジ
ネスモデルとして適用した実施例について説明する。
【0097】図12は、本発明の一実施例に係る利用者
認証システム装置の構成図である。
【0098】同図に示すように、この一実施例に係る利
用者認証システム装置δは、ネットワーク2上に、複数
の業務サーバ3,3,3,…(業務サーバ群10)との
間のネットワーク接続を可能とするよう設定された前記
代理認証機構5と、複数の業務サーバ3,3,3,…を
利用する全ての端末装置1,1,1…(端末装置群1
1)の利用者認証を可能とするよう設定された前記パス
ワードデータベース4及び前記課金データベース9とか
らなる認証サーバ12を有して構成される。
【0099】ここで、認証サーバ12における代理認証
機構5には、当該認証サーバ12の手続業務により、全
ての端末装置1,1,1,…の各利用者から業務サーバ
利用料の集計額を複数の業務サーバ3,3,3,…に代
わって代理徴収すると共に、当該複数の業務サーバ3,
3,3,…から業務サーバ利用料の徴収代行手数料とし
て認証サーバ使用料を徴収するために、パスワードデー
タベース4及び課金データベース9を参照することによ
り、全ての端末装置1,1,1,…の各利用者について
の業務サーバ利用料を定期的に集計する処理過程を実行
するための処理手段(図示せず)が新たに具備される。
【0100】以上の構成において、端末装置群11にお
ける特定の端末装置1が、業務サーバ群10に含まれる
何れかの業務サーバ3を用いてある業務を行った場合、
認証サーバ12は、パスワードデータベース4及び課
金データベース9のデータに基づき、端末装置1の利用
者から業務サーバ利用料の代理徴収を行うと共に、そ
の代理徴収に係る業務サーバ利用料を個々の業務サーバ
3,3,3,…へ定期的に支払い、さらに、個々の業
務サーバ3,3,3,…から徴収代行手数料としての認
証サーバ使用料を定期的に徴収する(支払いを受け
る)。
【0101】そして以上により、本来は個々の業務サー
バ3,3,3,…にて実施すべき利用者課金業務を、上
記認証サーバ使用料を運営資金としながら認証サーバ1
2において一括して代行することが可能となり、これに
伴い、個々の業務サーバ3,3,3,…にて個別に利用
者課金業務を行う必要がなくなって、それら個々の業務
サーバ3,3,3,…の運営管理コストの削減を図るこ
とが可能となる。
【0102】以上、本発明の実施の形態につき、第1〜
第3装置例及びこれらに対応する第1〜第3方法例を挙
げて説明し、さらに、本発明の一実施例につき説明した
が、本発明は、必ずしも上述した手段及び手法にのみ限
定されるものではなく、本発明にいう目的を達成し、後
述する効果を有する範囲内において、適宜、変更実施す
ることが可能なものである。
【0103】なお、本発明の特徴的構成要素をなす代理
認証機構(認証サーバ)は、これまでの説明から示唆さ
れるように、記録媒体を読め取るための読取装置と、そ
の記録媒体から読み取ったプログラムや各アプリケーシ
ョンプログラムファイルを格納し、それを自由に読み出
すことの可能なメモリ装置と、各種の操作を行う際に必
要なデータを保持するバッファやこれに準ずる装置と、
その処理の過程で必要な情報等を表示するディスプレイ
等の出力装置と、アプリケーションプログラムの検索条
件等の必要な指示を与えるキーボードやマウス等の入力
装置を具備して構成される。
【0104】従って、それらメモリ装置、バッファ、出
力装置、入力装置等を、上記プログラムによって予め定
められた手順に従って制御するコンピュータやこれに準
ずる装置を適用することにより、本発明の実施の形態及
び実施例にて説明した各過程又は各部での処理の手順な
いしアルゴリズムを適宜実行することが可能であり、こ
の手順ないしアルゴリズムをコンピュータ等に実行させ
るためのプログラムを上記読取装置が読み取り可能な、
例えば、フロッピー(登録商標)ディスク、メモリカー
ド、MO(光磁気ディスク)、CD(コンパクトディス
ク)、DVD(デジタルビデオディスク)等の各種記録
媒体に記録して配布することが可能である。
【0105】
【発明の効果】以上、詳細に説明したように、本発明に
よれば、業務サーバにて利用者認証を行うためのサーバ
処理プログラムの改造が必要ないことから、既存の業務
サーバに、高セキュリティの利用者認証機能を容易に導
入することが可能となる。
【0106】また、これに伴い、本発明によれば、既存
の業務サーバ及び当該業務サーバ上におけるサーバ処理
プログラムの流用を図ることができるため、システム全
体の維持管理運用コストを低減させることが期待でき
る。
【図面の簡単な説明】
【図1】本発明の第1装置例に係る利用者認証システム
装置の構成図である。
【図2】図1に示したパスワードデータベースの内部構
成図である。
【図3】図1に示した利用者認証システム装置の動作を
説明するためのシーケンス図である。
【図4】図1に示した利用者認証システム装置の動作を
説明するためのフローチャートである。
【図5】本発明の第2装置例に係る利用者認証システム
装置の構成図である。
【図6】図5に示した利用者認証システム装置の動作を
説明するためのシーケンス図である。
【図7】図5に示した利用者認証システム装置の動作を
説明するためのフローチャートである。
【図8】本発明の第3装置例に係る利用者認証システム
装置の構成図である。
【図9】図8に示した課金データベースの内部構成図で
ある。
【図10】図8に示した利用者認証システム装置の動作
を説明するためのシーケンス図である。
【図11】図8に示した利用者認証システム装置の動作
を説明するためのフローチャートである。
【図12】方発明の一実施例に係る利用者認証システム
装置の構成図である。
【図13】従来のネットワークシステム装置の構成図で
ある。
【図14】図13に示したネットワークシステム装置の
動作を説明するためのシーケンス図である。
【図15】図13に示したネットワークシステム装置の
動作を説明するためのフローチャートである。
【図16】従来の利用者認証システム装置の構成図であ
る。
【図17】図16に示した利用者認証システム装置の動
作を説明するためのシーケンス図である。
【図18】図16に示した利用者認証システム装置の動
作を説明するためのフローチャートである。
【符号の説明】
α…従来のネットワークシステム装置 β…従来の利用者認証システム装置 γ1,γ2,γ3…第1〜第3装置例に係る利用者認証
システム装置 δ…一実施例に係る利用者認証システム装置 1…端末装置 2…ネットワーク 3…業務サーバ 4…パスワードデータベース 5…代理認証機構 6…利用者秘密鍵 7…秘密鍵管理機構 8…利用者公開鍵 9…課金データベース 10…業務サーバ群 11…端末装置群 12…認証サーバ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 足立 佳彦 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B085 AA01 AC04 AE01 5J104 AA07 AA09 EA05 KA01 KA05 LA03 LA06 MA02 NA02 NA05 PA11

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】任意の形態をなすネットワーク上に存在す
    る業務サーバとの間でネットワーク接続を確立しようと
    する端末装置の利用者認証を行うための利用者認証方法
    であって、 前記ネットワーク上に、前記端末装置の利用者を前記業
    務サーバに代わって認証するための代理認証機構を設定
    すると共に、 当該代理認証機構から直接アクセス可能な領域に、前記
    業務サーバの利用のため前記端末装置の利用者へ事前に
    与えられている利用者認証情報を蓄積するための認証情
    報データベースを設定し、 当該代理認証機構及び認証情報データベースの適用によ
    り、所要の前記端末装置の利用者認証を前記業務サーバ
    から独立して透過的に行う、 ことを特徴とする利用者認証方法。
  2. 【請求項2】前記代理認証機構は、 前記端末装置から前記業務サーバに対する接続要求の発
    生を監視する接続監視処理過程と、 前記接続要求が発生したときに、前記端末装置との間で
    ネットワーク接続を確立すると共に、当該端末装置に対
    し、その利用者に関する前記利用者認証情報の入力を要
    求するための利用者認証要求を送付する認証要求処理過
    程と、 前記利用者認証要求に伴って、前記端末装置から所要の
    前記利用者認証情報が返却されたときに、前記認証情報
    データベースをアクセスして当該利用者認証情報の正当
    性を検証する認証要求検証処理過程と、 前記利用者認証情報が正当なものと検証されたときに、
    前記業務サーバとの間でネットワーク接続を確立する業
    務サーバ接続処理過程と、を順次実行する、 ことを特徴とする請求項1に記載の利用者認証方法。
  3. 【請求項3】前記端末装置から直接アクセス可能な領域
    に、当該端末装置の利用者が保有している利用者秘密鍵
    を用いてデジタル署名を生成するための秘密鍵管理機構
    を設定すると共に、 前記代理認証機構内に、前記デジタル署名を検証するた
    めのデジタル署名検証手段を設定し、 当該秘密鍵管理機構及びデジタル署名検証手段の適用に
    より、 前記代理認証機構は、 前記認証要求処理過程において、前記接続要求が発生す
    る毎に乱数を発生してセッションIDを生成すると共
    に、当該セッションIDを前記利用者認証要求と共に前
    記端末装置へ送付する処理を実行し、 前記秘密鍵管理機構は、 前記端末装置に前記セッションIDが送付されたとき
    に、これを当該端末装置から取得して前記利用者秘密鍵
    により所要の前記デジタル署名を生成すると共に、当該
    セッションIDデジタル署名を前記端末装置へ返却する
    署名生成処理過程を実行し、 前記代理認証機構は、 前記認証要求検証処理過程において、前記端末装置から
    前記セッションIDデジタル署名が返却されたときに、
    前記デジタル署名検証手段により当該セッションIDデ
    ジタル署名の正当性を検証する処理を実行する、 ことを特徴とする請求項2に記載の利用者認証方法。
  4. 【請求項4】前記端末装置は、 前記セッションIDデジタル署名を前記代理認証機構へ
    返却するに当り、当該セッションIDデジタル署名を所
    定の暗号鍵を用いて暗号化する処理を実行し、 前記代理認証機構は、 前記認証要求検証処理過程において、返却された暗号化
    後の前記セッションIDデジタル署名を前記暗号鍵に対
    応する復号鍵を用いて復号化する処理を実行した後に、
    当該セッションIDデジタル署名の正当性を検証する処
    理を実行する、 ことを特徴とする請求項3に記載の利用者認証方法。
  5. 【請求項5】前記代理認証機構から直接アクセス可能な
    領域に、前記業務サーバへのネットワーク接続に伴って
    前記端末装置の利用者に課金される業務サーバ利用料に
    関する課金情報を蓄積するための課金情報データベース
    を設定し、 当該課金データベースの適用により、 前記代理認証機構は、 前記利用者認証情報が正当なものと検証されるのに伴
    い、前記業務サーバ接続処理過程の実行が開始されてか
    ら前記業務サーバとの間のネットワーク接続が解除され
    るまでの期間に亙り、前記課金情報データベースをアク
    セスして前記業務サーバ利用料に関する前記課金情報を
    記録する課金処理過程を実行する、 ことを特徴とする請求項2、3又は4に記載の利用者認
    証方法。
  6. 【請求項6】前記代理認証機構を、複数の業務サーバと
    の間のネットワーク接続を可能とするよう設定すると共
    に、前記認証情報データベース及び前記課金情報データ
    ベースを、前記複数の業務サーバを利用する全ての端末
    装置の利用者認証を可能とするよう設定して、これらを
    認証サーバとして前記ネットワーク上に設定し、 当該認証サーバの適用により、 前記代理認証機構は、 前記認証サーバの手続業務により、前記全ての端末装置
    の各利用者から前記業務サーバ利用料の集計額を前記複
    数の業務サーバに代わって代理徴収すると共に、当該複
    数の業務サーバから前記業務サーバ利用料の徴収代行手
    数料として認証サーバ使用料を徴収するために、 前記認証情報データベース及び前記課金情報データベー
    スを参照することにより、前記全ての端末装置の各利用
    者についての前記業務サーバ利用料を定期的に集計する
    処理を実行する、 ことを特徴とする請求項5に記載の利用者認証方法。
  7. 【請求項7】前記端末装置は、 前記利用者認証情報を前記代理認証機構へ返却するに当
    り、当該利用者認証情報を所定の暗号鍵を用いて暗号化
    する処理を実行し、 前記代理認証機構は、 前記認証要求検証処理過程において、返却された暗号化
    後の前記利用者認証情報を前記暗号鍵に対応する復号鍵
    を用いて復号化する処理を実行した後に、当該利用者認
    証情報の正当性を検証する処理を実行する、 ことを特徴とする請求項2、3、4、5又は6に記載の
    利用者認証方法。
  8. 【請求項8】任意の形態をなすネットワーク上に存在す
    る業務サーバとの間でネットワーク接続を確立しようと
    する端末装置の利用者認証を行うための利用者認証シス
    テム装置であって、 前記端末装置の利用者を前記業務サーバに代わって認証
    するために前記ネットワーク上に設定された代理認証機
    構と、 前記業務サーバの利用のため前記端末装置の利用者へ事
    前に与えられている利用者認証情報を蓄積するために前
    記代理認証機構から直接アクセス可能な領域に設定され
    た認証情報データベースと、を有し、 前記代理認証機構は、 前記端末装置から前記業務サーバに対する接続要求の発
    生を監視する接続監視処理手段と、 当該接続監視処理手段により前記接続要求が検出された
    ときに、前記端末装置との間でネットワーク接続を確立
    すると共に、当該端末装置に対し、その利用者に関する
    前記利用者認証情報の入力を要求するための利用者認証
    要求を送付する認証要求処理手段と、 当該認証要求処理手段により前記利用者認証要求が送付
    されるのに伴って、前記端末装置から所要の前記利用者
    認証情報が返却されたときに、前記認証情報データベー
    スをアクセスして当該利用者認証情報の正当性を検証す
    る認証要求検証処理手段と、 当該認証要求検証処理手段により前記利用者認証情報が
    正当なものと検証されたときに、前記業務サーバとの間
    でネットワーク接続を確立する業務サーバ接続処理手段
    と、を具備する、 ことを特徴とする利用者認証システム装置。
  9. 【請求項9】前記利用者認証システム装置は、 前記端末装置の利用者が保有している利用者秘密鍵を用
    いてデジタル署名を生成するために当該端末装置から直
    接アクセス可能な領域に設定された秘密鍵管理機構と、 前記デジタル署名を検証するために前記代理認証機構内
    に設定されたデジタル署名検証手段と、をさらに有し、 前記代理認証機構における前記認証要求処理手段は、 前記接続要求が発生する毎に乱数を発生してセッション
    IDを生成すると共に、当該セッションIDを前記利用
    者認証要求と共に前記端末装置へ送付する処理手段を具
    備し、 前記秘密鍵管理機構は、 前記端末装置に前記セッションIDが送付されたとき
    に、これを当該端末装置から取得して前記利用者秘密鍵
    により所要の前記デジタル署名を生成すると共に、当該
    セッションIDデジタル署名を前記端末装置へ返却する
    署名生成処理手段を具備し、 前記代理認証機構における前記認証要求検証処理手段
    は、 前記端末装置から前記セッションIDデジタル署名が返
    却されたときに、前記デジタル署名検証手段により当該
    セッションIDデジタル署名の正当性を検証する処理手
    段を具備する、 ことを特徴とする請求項8に記載の利用者認証システム
    装置。
  10. 【請求項10】前記端末装置は、 前記セッションIDデジタル署名を所定の暗号鍵を用い
    て暗号化する処理手段を具備し、 前記代理認証機構における前記認証要求検証処理手段
    は、 暗号化後の前記セッションIDデジタル署名を前記暗号
    鍵に対応する復号鍵を用いて復号化する処理手段を具備
    する、 ことを特徴とする請求項9に記載の利用者認証システム
    装置。
  11. 【請求項11】前記デジタル署名検証手段は、 前記利用者秘密鍵に対応した利用者公開鍵である、 ことを特徴とする請求項9又は10に記載の利用者認証
    システム装置。
  12. 【請求項12】前記デジタル署名検証手段は、 前記利用者秘密鍵に対応した利用者公開鍵につき公的認
    証機関から発行された証明証である、 ことを特徴とする請求項9又は10に記載の利用者認証
    システム装置。
  13. 【請求項13】前記利用者認証システム装置は、 前記業務サーバへのネットワーク接続に伴って前記端末
    装置の利用者に課金される業務サーバ利用料に関する課
    金情報を蓄積するために前記代理認証機構から直接アク
    セス可能な領域に設定された課金情報データベースをさ
    らに有し、 前記代理認証機構は、 前記認証要求検証処理手段により前記利用者認証情報が
    正当なものと検証されるのに伴い、前記業務サーバ接続
    処理手段による前記業務サーバとの間のネットワーク接
    続が開始されてから当該ネットワーク接続が解除される
    までの期間に亙り、前記課金情報データベースをアクセ
    スして前記業務サーバ利用料に関する前記課金情報を記
    録する課金処理手段を具備する、 ことを特徴とする請求項8、9又は10に記載の利用者
    認証システム装置。
  14. 【請求項14】前記利用者認証システム装置は、 前記ネットワーク上に、 複数の業務サーバとの間のネットワーク接続を可能とす
    るよう設定された前記代理認証機構と、 前記複数の業務サーバを利用する全ての端末装置の利用
    者認証を可能とするよう設定された前記認証情報データ
    ベース及び前記課金情報データベースと、からなる認証
    サーバを有し、 前記代理認証機構は、 前記認証サーバの手続業務により、前記全ての端末装置
    の各利用者から前記業務サーバ利用料の集計額を前記複
    数の業務サーバに代わって代理徴収すると共に、当該複
    数の業務サーバから前記業務サーバ利用料の徴収代行手
    数料として認証サーバ使用料を徴収するために、 前記認証情報データベース及び前記課金情報データベー
    スを参照することにより、前記全ての端末装置の各利用
    者についての前記業務サーバ利用料を定期的に集計する
    処理手段を具備する、 ことを特徴とする請求項13に記載の利用者認証システ
    ム装置。
  15. 【請求項15】前記端末装置は、 前記利用者認証情報を所定の暗号鍵を用いて暗号化する
    処理手段を具備し、 前記代理認証機構における前記認証要求検証処理手段
    は、 暗号化後の前記利用者認証情報を前記暗号鍵に対応する
    復号鍵を用いて復号化する処理手段を具備する、 ことを特徴とする請求項8、9、10、11、12、1
    3又は14に記載の利用者認証システム装置。
JP2000329544A 2000-10-27 2000-10-27 利用者認証方法及びシステム装置 Pending JP2002132727A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000329544A JP2002132727A (ja) 2000-10-27 2000-10-27 利用者認証方法及びシステム装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000329544A JP2002132727A (ja) 2000-10-27 2000-10-27 利用者認証方法及びシステム装置

Publications (1)

Publication Number Publication Date
JP2002132727A true JP2002132727A (ja) 2002-05-10

Family

ID=18806200

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000329544A Pending JP2002132727A (ja) 2000-10-27 2000-10-27 利用者認証方法及びシステム装置

Country Status (1)

Country Link
JP (1) JP2002132727A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008099756A1 (ja) 2007-02-07 2008-08-21 Nippon Telegraph And Telephone Corporation クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体
JP2008299782A (ja) * 2007-06-04 2008-12-11 Mitsubishi Electric Information Systems Corp 認証システムおよび認証プログラム
JP2009282561A (ja) * 2008-05-19 2009-12-03 Kddi Corp ユーザ認証システム、ユーザ認証方法およびプログラム
JP2012509517A (ja) * 2008-08-29 2012-04-19 エヌイーシー ヨーロッパ リミテッド ネットワークプロバイダ経由でサービスプロバイダへのネットワークアクセスをユーザに提供するプロセス
US8732815B2 (en) 2011-03-16 2014-05-20 Fujitsu Limited System, method of authenticating information management, and computer-readable medium storing program
CN111510764A (zh) * 2020-04-15 2020-08-07 青岛海信宽带多媒体技术有限公司 一种显示设备的显示方法及设备

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008099756A1 (ja) 2007-02-07 2008-08-21 Nippon Telegraph And Telephone Corporation クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体
US8352743B2 (en) 2007-02-07 2013-01-08 Nippon Telegraph And Telephone Corporation Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium
JP2008299782A (ja) * 2007-06-04 2008-12-11 Mitsubishi Electric Information Systems Corp 認証システムおよび認証プログラム
JP4651644B2 (ja) * 2007-06-04 2011-03-16 三菱電機インフォメーションシステムズ株式会社 認証システムおよび認証プログラム
JP2009282561A (ja) * 2008-05-19 2009-12-03 Kddi Corp ユーザ認証システム、ユーザ認証方法およびプログラム
JP2012509517A (ja) * 2008-08-29 2012-04-19 エヌイーシー ヨーロッパ リミテッド ネットワークプロバイダ経由でサービスプロバイダへのネットワークアクセスをユーザに提供するプロセス
US10313142B2 (en) 2008-08-29 2019-06-04 Nec Corporation Process for providing network access for a user via a network provider to a service provider
US8732815B2 (en) 2011-03-16 2014-05-20 Fujitsu Limited System, method of authenticating information management, and computer-readable medium storing program
CN111510764A (zh) * 2020-04-15 2020-08-07 青岛海信宽带多媒体技术有限公司 一种显示设备的显示方法及设备

Similar Documents

Publication Publication Date Title
CN103795692B (zh) 开放授权方法、系统与认证授权服务器
US8589442B2 (en) Intersystem single sign-on
WO2020062668A1 (zh) 一种身份认证方法、身份认证装置及计算机可读介质
JP5009294B2 (ja) 分散シングルサインオンサービス
JP2005537559A (ja) トランザクションの安全な記録
CN109547445A (zh) 一种验证客户端网络请求合法的方法及系统
JP2004072777A (ja) ユニバーサル一般取引のためのセキュリティフレームワーク及びプロトコル
US11909728B2 (en) Network resource access control methods and systems using transactional artifacts
KR101452708B1 (ko) Ce 장치 관리 서버, ce 장치 관리 서버를 이용한drm 키 발급 방법, 및 그 방법을 실행하기 위한프로그램 기록매체
MXPA04007546A (es) Metodo y sistema para proporcionar una tercera autenticacion de autorizacion.
CN102201915A (zh) 一种基于单点登录的终端认证方法和装置
US20030135734A1 (en) Secure mutual authentication system
JPH07325785A (ja) ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ
CN102209046A (zh) 网络资源整合系统及方法
JP2001186122A (ja) 認証システム及び認証方法
WO2020160391A1 (en) An efficient, environmental and consumer friendly consensus method for cryptographic transactions
CN111641615A (zh) 一种基于证书的分布式身份验证方法及系统
US8027921B1 (en) Method and software for migrating protected authentication data
CN113872992B (zh) 一种在BMC系统中实现远程Web访问强安全认证的方法
JP2002132727A (ja) 利用者認証方法及びシステム装置
TWI698113B (zh) 電子裝置之認證方法及系統
JP2019192150A (ja) データ管理システム及びデータ管理システムの制御方法
JP3999527B2 (ja) コンピュータネットワークの認証方法及びデータ配信方法
JPH11215121A (ja) 認証装置および方法
JP2004140715A (ja) 電子文書管理方法及びシステム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060116

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070426

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070507

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20080926