JP2003085140A - クライアント認証方法 - Google Patents
クライアント認証方法Info
- Publication number
- JP2003085140A JP2003085140A JP2001277920A JP2001277920A JP2003085140A JP 2003085140 A JP2003085140 A JP 2003085140A JP 2001277920 A JP2001277920 A JP 2001277920A JP 2001277920 A JP2001277920 A JP 2001277920A JP 2003085140 A JP2003085140 A JP 2003085140A
- Authority
- JP
- Japan
- Prior art keywords
- client
- authentication
- server
- authenticating
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
バのための、セキュリティを考慮した、クライアントの
ハードウエアに依存しない、クライアントの実装に影響
しない、かつ実装コストが安価なHTMLによるクライ
アント認証方法を提供する。 【解決手段】 ネットワークを介してクライアント側よ
りサーバの資源を利用する環境で、前記クライアントを
認証するクライアント認証方法において、前記クライア
ントの利用要求に対して、前記サーバはユニークな認証
用IDを作成して前記クライアントに返信し、前記認証
用IDを受信したクライアントは、受信した認証用ID
と自己の信用照会情報とを前記サーバに送信し、前記サ
ーバは、前記クライアントから送信された認証用IDと
自己が作成した前記ユニークな認証用IDとの一致を認
証する。
Description
してクライアント側よりサーバの資源を利用する環境
で、クライアントを認証するクライアント認証方法のセ
キュリティ改善に関する。
nsfer Protocol)をデータ転送手段とするWebクライ
アント(WWWブラウザ又は携帯端末)により、解読可能な
HTML(Hyper Text Markup Language)を基本としたH
MI(Human Machine Interface)を提供するWebサ
ーバで、クライアント認証を必要とする製品への適用を
主目的とする。
TP1.0で規定されている、Basic認証である。1は
Webクライアント(ブラウザ)、2はWebサーバ、
3はこれらを結ぶネットワークであり、Webサーバ2
がWebクライアント1を認証するための単純なプロト
コルで、信用紹介情報としてユーザID及びパスワード
を使用する。
クライアント1よりWebサーバ2に利用要求(HTM
Lの取得)が送信される。Webサーバ2は未認証のた
め、ステップでWebクライアント1に対して信用照
会情報を要求する。この要求に対して、Webクライア
ント1はステップでユーザID及びパスワードをWe
bサーバ2に送信する。Webサーバ2は、受信したユ
ーザID及びパスワードをデータベース情報(図示せ
ず)と照合し、Webクライアントを認証する。
トにより生成され、Base64によりエンコードされて転送
されるが、デコード方式が一般に公開されているため、
盗用される危険性があり、セキュリティレベルは低い。
Basic認証を使用せずにHTML入力フォームによ
り認証機能を作成し、共通鍵暗号や公開鍵暗号等により
ユーザID及びパスワードを暗号化するものである。し
かしながら。暗号化した内容を、そのまま(暗号は解読
されないが)盗用される危険性がある。つまり、どちら
の方法も基本的な認証機能は実現できるが、セキュリテ
ィ面が弱く、セキュリティを必要とする分野での適応に
は向かない。
tscape Communication社が開発したSSL(Secure Soc
ket Layer)がある。SSLは、TCP/IP(トラン
スポート層)とHTTP(アプリケーション層)等のア
プリケーションプロトコルの間に位置するプロトコル
で、トランスポート層より上位層のデータを全て暗号化
するものである。SSLには、暗号化機能の他に認証機
能も含まれている。
のデータ交換のセキュリティを強固なものにする。現
在、Netscape Communication社製品をはじめとし、対応
製品が増えてきており、電子商取引やオンラインバンキ
ング等のインターネット上でセキュリティを必要とされ
る分野では、標準となりつつある。しかし、SSLは実
装コストが大きいため、携帯電話や産業用コンピュータ
分野における携帯端末等への対応は進んでいない。
HTTPをデータ転送手段としているWebクライアン
トを対象としたWebサーバの利用環境を構築するうえ
で、Basic認証や、HTMLフォームを使用した認
証プロトコルを採用することは、適応クライアントの範
囲を広げる効果があるが、セキュリティ面が損なわれる
可能性がある。一方、セキュリティ面を強化したSSL
等を採用することは、強固なセキュリティを確保できる
が、対応できるクライアントの範囲を狭めることにな
る。
段としたWebサーバのための、セキュリティを考慮し
た、クライアントのハードウエアに依存しない、クライ
アントの実装に影響しない、かつ実装コストが安価なH
TMLによるクライアント認証方法を提供するものであ
る。
るために、本発明のうち請求項1記載発明の特徴は、ネ
ットワークを介してクライアント側よりサーバの資源を
利用する環境で、前記クライアントを認証するクライア
ント認証方法において、前記クライアントの利用要求に
対して、前記サーバはユニークな認証用IDを作成して
前記クライアントに返信し、前記認証用IDを受信した
クライアントは、受信した認証用IDと自己の信用照会
情報とを前記サーバに送信し、前記サーバは、前記クラ
イアントから送信された認証用IDと自己が作成した前
記ユニークな認証用IDとの一致を認証する、点にあ
る。
Dは、発行後1回の認証に使用された後に廃棄される点
にある。
Dは、発行後所定の期間経過後に廃棄される点にある。
D及び前記信用照会情報が暗号化された点にある。
ントがWebクライアントであり、前記サーバがWeb
サーバであり、両者がインターネット又はイントラネッ
トを介して通信する点にある。
ーバは、前記Webクライアントに前記認証用IDを送
信する際に、前記認証用ID並びに前記信用照会情報を
入力するためのHTMLフォームを送信する点にある。
いて説明する。図1は本発明に係るクライアント認証方
法の基本を説明する機能ブロック図、図2は本発明をW
ebクライアントとWebサーバの環境に適用した場合
の機能ブロック図、図3は図2の機能に暗号化手法を追
加した場合の機能ブロック図である。
サーバ2に何らかの要求を行った場合(ステップ)、
サーバ2は、そのクライアントを認証済であるか・そう
でないかを確認し、認証を行っていない場合には、ユニ
ークな認証用ID(ユーザーIDとは異なる。いわゆる
整理番号的な機能)を生成し、クライアント1に返す
(ステップ)。
た認証用IDを、認証時に照合するために記憶する。サ
ーバ2から認証用を返されたクライアント1は、信用照
会情報(ユーザーIDとパスワード)を作成し、認証用
IDと共にサーバに対して返信する。(ステップ)。
アント1から送られた認証用IDを照合し、正規にサー
バが発行したもので有効期限が切れていなければ、信用
照会情報によりクライアントの認証を行う。この認証手
続きが完了すると、サーバ2に記憶した認証用IDを削
除する。このように、認証用IDは、クライアント認証
完了後に削除することで、発行後一回のみ使用可能とな
る。
分)を設けることで、サーバが記憶した発行済認証用I
Dが有効期限内に照合が行われない場合には、これを削
除することができる。したがって、サーバ内に認証用I
Dがリークする恐れはない。
1とWebサーバ2の環境に適用した場合の機能ブロッ
ク図であるが、認証の基本手順は図1と同一である。ス
テップにおいて、Webサーバ2は、そのクライアン
トを認証済であるか・そうでないかを確認し、認証を行
っていない場合には、ユニークな認証用IDを生成し、
信用照会情報を入力するためのHTML入力フォームと
共にクライアント1に返す。更に、サーバ2はクライア
ント1に渡した認証用IDを、認証時に照合するために
記憶する。
1は、サーバ2から認証用IDと信用照会情報入力用H
TMLを返されたクライアント1は、信用照会情報を作
成し、認証用IDと共にサーバに対して返信する。
証用IDと信用照会情報等を暗号化した実施例について
説明する。暗号化を実施しない場合、第三者に認証用I
D及び信用照会情報を盗用される可能性がある。したが
って、本発明のクライアント認証方法は、暗号化技術と
組み合わせることにより、十分なセキュリティを確保で
きるようになる。
ある。図3は、図2で示した認証用ID及び信用照会情
報を、共通鍵暗号方式を使用して転送するものである。
この共通鍵暗号方式に使用する共通鍵は、予めクライア
ント及びサーバ間で取り決めたものを使用する。ここ
で、クライアント上で認証用ID及び信用照会情報を暗
号化する仕組みが必要となるが、Applet(Java
(登録商標))やJava(登録商標)スクリプトが動作す
る環境があれば問題ない。
することで、クライアントのハードウエアに依存しない
実装が可能となる。
ト・サーバ間における、クライアントの認証プロトコル
の提供を主目的とするものである。したがって、HTM
Lを使用したHMIを持つ製品すべてに応用が可能であ
る。
は、クライアント及びサーバのハードウエアに依存しな
い、更にクライアント及びサーバのソフトウエアにも依
存しないので、実装コストが安価であるため、HTTP
以外のトランスポートプロトコルを使用するソフトウエ
アにも適応可能である。
本発明によれば次のような効果がある。 サーバ側で認証用IDを発行し、それをクライアン
トが返すことで、第三者による不正認証を防止すること
ができる。 サーバが発行した認証用IDは、発行後一回のみ使
用可能とすることで、第三者による認証用IDの盗用を
防止することができる。 サーバが発行した認証用IDに有効期限を設けるこ
とにより、サーバ内での認証用IDのリーク及び、第三
者による認証用IDの盗用を防止することができる。 HTMLを使用し、HTTPでデータ転送を行う環
境に適応し、実装コストが小さく、携帯電話や産業用コ
ンピュータ分野における携帯端末等への対応クライアン
トの適応範囲が広がる。 認証用IDを論理的なものにすることで、クライア
ントのハードウエアに依存しない実装が可能である。 実装コストが安価である。
機能ブロック図である。
ebサーバの環境に適用した機能ブロック図である。
ebサーバの環境に適用し、更に暗号機能を付加した機
能ブロック図である。
トコルを説明する機能ブロック図である。
た認証プロトコルを説明する機能ブロック図である。
Claims (6)
- 【請求項1】ネットワークを介してクライアント側より
サーバの資源を利用する環境で、前記クライアントを認
証するクライアント認証方法において、 前記クライアントの利用要求に対して、前記サーバはユ
ニークな認証用IDを作成して前記クライアントに返信
し、 前記認証用IDを受信したクライアントは、受信した認
証用IDと自己の信用照会情報とを前記サーバに送信
し、 前記サーバは、前記クライアントから送信された認証用
IDと自己が作成した前記ユニークな認証用IDとの一
致を認証する、ことを特徴とするクライアント認証方
法。 - 【請求項2】前記認証用IDは、発行後1回の認証に使
用された後に廃棄されることを特徴とする請求項1記載
のクライアント認証方法。 - 【請求項3】前記認証用IDは、発行後所定の期間経過
後に廃棄されることを特徴とする請求項1又は2記載の
クライアント認証方法。 - 【請求項4】前記認証用ID及び前記信用照会情報が暗
号化されたことを特徴とする請求項1乃至3の何れかに
記載のクライアント認証方法。 - 【請求項5】前記クライアントがWebクライアントで
あり、前記サーバがWebサーバであり、両者がインタ
ーネット又はイントラネットを介して通信することを特
徴とする請求項1乃至4の何れかに記載のクライアント
認証方法。 - 【請求項6】前記Webサーバは、前記Webクライア
ントに前記認証用IDを送信する際に、前記認証用ID
並びに前記信用照会情報を入力するためのHTMLフォ
ームを送信することを特徴とする請求項6記載のクライ
アント認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001277920A JP2003085140A (ja) | 2001-09-13 | 2001-09-13 | クライアント認証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001277920A JP2003085140A (ja) | 2001-09-13 | 2001-09-13 | クライアント認証方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2003085140A true JP2003085140A (ja) | 2003-03-20 |
Family
ID=19102370
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001277920A Pending JP2003085140A (ja) | 2001-09-13 | 2001-09-13 | クライアント認証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2003085140A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006195750A (ja) * | 2005-01-13 | 2006-07-27 | Ricoh Co Ltd | ウェブ認証方法、ウェブ認証サーバー、プログラム及び記憶媒体 |
JP2008083759A (ja) * | 2006-09-26 | 2008-04-10 | Nomura Research Institute Ltd | ログイン処理装置、ログイン処理システム、プログラム、及び記録媒体 |
JP4893740B2 (ja) * | 2006-06-12 | 2012-03-07 | ソニー株式会社 | コマンド実行プログラム及びコマンド実行方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH022239A (ja) * | 1988-06-10 | 1990-01-08 | Nec Corp | データ通信方式 |
JPH07250061A (ja) * | 1994-03-11 | 1995-09-26 | Nec Corp | 送受信電文セキュリティ方式 |
JP2001067320A (ja) * | 1999-08-25 | 2001-03-16 | Railway Technical Res Inst | 情報提供支援方法及びその手順を記録した記録媒体 |
JP2001160033A (ja) * | 1999-12-03 | 2001-06-12 | Hitachi Ltd | WWW(WorldWideWeb)適用業務における画面遷移管理方法 |
-
2001
- 2001-09-13 JP JP2001277920A patent/JP2003085140A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH022239A (ja) * | 1988-06-10 | 1990-01-08 | Nec Corp | データ通信方式 |
JPH07250061A (ja) * | 1994-03-11 | 1995-09-26 | Nec Corp | 送受信電文セキュリティ方式 |
JP2001067320A (ja) * | 1999-08-25 | 2001-03-16 | Railway Technical Res Inst | 情報提供支援方法及びその手順を記録した記録媒体 |
JP2001160033A (ja) * | 1999-12-03 | 2001-06-12 | Hitachi Ltd | WWW(WorldWideWeb)適用業務における画面遷移管理方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006195750A (ja) * | 2005-01-13 | 2006-07-27 | Ricoh Co Ltd | ウェブ認証方法、ウェブ認証サーバー、プログラム及び記憶媒体 |
JP4679908B2 (ja) * | 2005-01-13 | 2011-05-11 | 株式会社リコー | ウェブ認証サーバー |
JP4893740B2 (ja) * | 2006-06-12 | 2012-03-07 | ソニー株式会社 | コマンド実行プログラム及びコマンド実行方法 |
US8732189B2 (en) | 2006-06-12 | 2014-05-20 | Sony Corporation | Command execution program and command execution method |
JP2008083759A (ja) * | 2006-09-26 | 2008-04-10 | Nomura Research Institute Ltd | ログイン処理装置、ログイン処理システム、プログラム、及び記録媒体 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2531533C (en) | Session-based public key infrastructure | |
US9143502B2 (en) | Method and system for secure binding register name identifier profile | |
US7533265B2 (en) | Establishment of security context | |
US8554930B2 (en) | Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment | |
CN1701295B (zh) | 用于对计算机网格进行单次登录访问的方法和系统 | |
EP1280317B1 (en) | Multi-domain authorisation and authentication | |
EP0940960A1 (en) | Authentication between servers | |
JP4949032B2 (ja) | 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法 | |
Hess et al. | Advanced Client/Server Authentication in TLS. | |
US6301661B1 (en) | Enhanced security for applications employing downloadable executable content | |
US20030163691A1 (en) | System and method for authenticating sessions and other transactions | |
US20040117486A1 (en) | Secure cache of web session information using web browser cookies | |
US20080294781A1 (en) | Method and system for global logoff from a web-based point of contact server | |
WO2007026228A2 (en) | Secure delegation of trust | |
JP2008511232A (ja) | 制御認証のためのパーソナルトークンおよび方法 | |
Pfitzmann et al. | Federated identity-management protocols | |
JPH1125048A (ja) | ネットワークシステムのセキュリティ管理方法 | |
WO2020207517A1 (en) | Method of authenticating a user to a relying party in federated electronic identity systems | |
JP2003085140A (ja) | クライアント認証方法 | |
Farrell | Why didn't we spot that?[Practical Security] | |
KR100406292B1 (ko) | 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법 | |
JPH10322325A (ja) | 暗号認証方式 | |
CA2398584C (en) | System, method and computer program product for enrolling and authenticating communication protocol-enabled clients for access to information | |
KR20020071644A (ko) | 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템 | |
Ray et al. | Towards a privacy preserving e-commerce protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060110 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090508 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090617 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100421 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100609 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100629 |