JP2004118541A - Authentication processing system, authentication processing method, and program - Google Patents

Authentication processing system, authentication processing method, and program Download PDF

Info

Publication number
JP2004118541A
JP2004118541A JP2002281191A JP2002281191A JP2004118541A JP 2004118541 A JP2004118541 A JP 2004118541A JP 2002281191 A JP2002281191 A JP 2002281191A JP 2002281191 A JP2002281191 A JP 2002281191A JP 2004118541 A JP2004118541 A JP 2004118541A
Authority
JP
Japan
Prior art keywords
authentication
authentication information
user
client
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002281191A
Other languages
Japanese (ja)
Inventor
Miya Kikuchi
菊池 美弥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Information Systems Ltd
Original Assignee
Hitachi Information Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Information Systems Ltd filed Critical Hitachi Information Systems Ltd
Priority to JP2002281191A priority Critical patent/JP2004118541A/en
Publication of JP2004118541A publication Critical patent/JP2004118541A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To prevent unauthorized use by posing as an authorized user even when a user ID and a password are wiretapped. <P>SOLUTION: A server 10 on the Internet 30 performs authentication with the user ID and password sent from a client 20 at the first connection, in an authentication processing part 12, generates authentication information unique to the user ID in a mail transmission processing part 11 for a legal access request, registers the authentication information in an authentication information table 13, and transmits the authentication information given to mail, to the mail address of the user ID. The client 20 makes the following access request using the authentication information given to mail from the server 10, and thereafter repeats the updating of an authentication method. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータネットワーク上のクライアントとサーバ間でのユーザIDとパスワードに基づく認証処理技術に係わり、特に、インターネットにおいて安全にユーザ認証を行うのに好適な認証処理技術に関するものである。
【0002】
【従来の技術】
コンピュータネットワーク、特に、インターネットにおいては、Webコンテンツへの不正なアクセス・利用を制限するために、ユーザIDとパスワードによる認証が使用されている。
【0003】
例えば、一般的なユーザは、契約先のISP(インターネット・サービス・プロバイダ)のコンピュータ(サーバ)を介してインターネットに接続しており、インターネットにアクセスする際には、ISP側のサーバに、予めISPとの契約時に通知されたユーザIDとパスワード(契約後、任意に変更可能)を送信し、ISP側のサーバが、受信したユーザIDとパスワードが予め当該ユーザに対応して登録されているものであるかを検索して認証を行う。
【0004】
しかし、このような認証技術では、サーバに接続するたびに、インターネット上を平文でユーザIDとパスワードが流れるため、他人が、盗聴によってユーザIDやパスワードを入手して、正規ユーザになりすまして不正にアクセスし、システムを不正使用される危険性が高い。
【0005】
このような問題に対処するための従来技術として、例えば、特許文献1に記載のものがある。
【0006】
この特許文献1には、WWW(ワールド・ワイド・ウェブ)において、ユーザ名とパスワードを使用しないアクセス制御技術が記載されており、この技術では、パスワードによる認証の成功後、サーバコンピュータにおいて対話IDと呼ばれる認証情報を発行し、以降の情報授受の際には、この認証情報(対話ID)を用いて認証を行うものである。
【0007】
より詳細には、サーバコンピュータからクライアントコンピュータへの送信時には、クライアントコンピュータへ送信するハイパーテキスト中のリンクのURL(Uniform Resource Locator)部分の後ろに対話IDを付加して送信し、クライアントコンピュータからサーバコンピュータへの送信時には、ハイパーテキスト中のリンクをクリックしたときに、そのURLに対話IDを付加して送信するものである。この技術によれば、最初の認証の時だけユーザ名とパスワードを送信するので、パスワードが盗聴される機会が大幅に削減される。
【0008】
しかし、この特許文献1に記載の技術では、ユーザ名とパスワードによる再度の認証が行われるまでは、同じ対話IDが変更されることなく継続して使用されるので、この対話IDが盗聴されると、次のユーザ名とパスワードによる再度の認証により対話IDが変更されるまで、他人が、そのユーザになりすまして情報を取得することができてしまう。
【0009】
このような問題に対処する技術として、例えば、特許文献2に記載のものがある。
【0010】
この特許文献2に記載の技術では、ユーザIDとパスワードが盗聴される可能性を低くするため、接続のたびに、認証データを変更してサーバからクライアントに送付し、クライアントでは、送付された認証データを付加して次のページを要求する。
【0011】
すなわち、サーバは、最初の接続時にのみ、ユーザIDとパスワードでクライアントに対する認証を行い、その後は、認証コードを生成してクライアントに送信し、クライアントは、再度、情報を要求する場合には、サーバから受信した認証コードをサーバに送信し、認証コードを受け取ったサーバは、さらに、認証コードを新しく変更してクライアントに送信する。
【0012】
このように、特許文献2に記載の技術では、アクセスの度に認証コードを変更することにより、送信途中の認証コードを盗聴した者が、正規のユーザになりすまして、情報を取得する等の不正アクセスを防止することができる。
【0013】
【特許文献1】
特開平09−050422号公報
【特許文献2】
特開2000−172645号公報
【0014】
しかし、特許文献2に記載の技術では、初回接続時にインターネット上を平文で流れるユーザIDとパスワードが盗聴された場合、永久的に正規ユーザになりすましてシステムを不正に使用することが可能となる。
【0015】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、初回接続時におけるユーザIDとパスワードの盗聴による不正アクセスを回避することができない点である。
【0016】
本発明の目的は、これら従来技術の課題を解決し、ユーザIDとパスワードが盗聴された場合でも、正規ユーザになりすましてのシステムの不正使用ができないようにすることである。
【0017】
【課題を解決するための手段】
上記目的を達成するため、本発明では、サーバにおいて、アクセス要求元のクライアントから送られてくるユーザIDとパスワードで正当なアクセスであると認証すると、当該ユーザIDに固有の認証情報を生成してユーザIDに対応付けて記憶装置に登録すると共に、この認証情報を付与したメールを生成して、当該ユーザIDに予め対応付けて登録されているメールアドレス宛に送信し、クライアントにおいては、サーバから送られてきたメールに付与された認証情報を用いて次のアクセス要求を行い、このクライアントからの認証情報を受け取ったサーバは、この認証情報と記憶装置に登録した認証情報とを照合して認証処理を行うことを特徴とする。また、初回接続時にユーザIDとパスワードに基づく認証処理を行い、認証処理後は、接続する度に新しい認証情報に更新する場合にも、サーバにおいて、初回接続時のみはメールで認証情報の通知を行う。
【0018】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0019】
図1は、本発明に係わる認証処理システムの構成例を示すブロック図であり、図2は、図1における認証処理システムのハードウェア構成例を示すブロック図、図3は、図1における認証処理システムの処理動作例を示すシーケンス図である。
【0020】
図2において、21はCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等からなる表示装置、22はキーボードやマウス等からなる入力装置、23はHDD(Hard Disk Drive)等からなる外部記憶装置、24はCPU(Central Processing Unit)24aや主メモリ24bおよび入出力インタフェース24c等を具備してコンピュータ処理を行なう情報処理装置、25は本発明に係わるプログラムやデータを記録したCD−ROM(Compact Disc−Read Only Memory)もしくはDVD(Digital Video Disc/Digital Versatile Disc)等からなる光ディスク、26は光ディスク25に記録されたプログラムおよびデータを読み出すための駆動装置、27はLAN(Local Area Network)カードやモデム等からなる通信装置である。
【0021】
光ディスク25に格納されたプログラムおよびデータを情報処理装置24により駆動装置26を介して外部記憶装置23内にインストールした後、外部記憶装置23から主メモリ24bに読み込みCPU24aで処理することにより、情報処理装置24内に図1に示すサーバ10とクライアント20における各処理部および各機能が構成される。
【0022】
図1において、10はサーバ、20はクライアント、30は公衆網を含むインターネットであり、サーバ10は、インターネット30を介してクライアント20に情報を送信するWebサーバ・メールサーバ等としての機能を持ち、本発明に係わる処理動作を行う機能として、メール送信処理部11と認証処理部12および認証情報テーブル13を有する。この認証情報テーブル13においては、ユーザID(000001〜000005)に対応付けて、パスワード(pass1〜pass5)、認証データ(000001a4c2、・・・、00000588xb)、メールアドレス(000001@abc.com、・・・、000005@abc.com)が登録されている。
【0023】
また、クライアント20は、Webブラウザや電子メールプログラム等からなるクライアントプログラム処理部20a(図中「クライアントプログラム」と記載)を有する。
【0024】
このような構成において、本例の認証処理システムでは、インターネット30を介して接続されたクライアント20とサーバ10間でユーザIDとパスワードに基づき認証処理を行う際、初回接続時には、クライアント20とサーバ10間では、ユーザIDとパスワードに基づき認証処理を行い、以降の接続時には、初回の認証処理時にサーバ10が生成したユーザIDに固有の認証情報を用いて、認証処理を行い、さらに、この認証情報は、接続する度に新しい認証情報に更新する。
【0025】
すなわち、クライアント20は、最初のアクセス要求時に、ユーザIDとパスワードをサーバ10に送り、サーバ10は、認証処理部12において、アクセス要求元のクライアント20から送られてくるユーザIDとパスワードで認証を行う。
【0026】
この認証処理で正当なアクセス要求であると判断すると、サーバ10は、メール送信処理部11において、当該ユーザIDに固有の認証情報を生成し、この認証情報をユーザIDに対応付けて記憶装置内の認証情報テーブル13に登録すると共に、この認証情報を付与したメールを生成し、認証情報テーブル13においてユーザIDに対応付けて予め登録されているメールアドレス宛に送信する。
【0027】
クライアント20は、クライアントプログラム処理部20aにおいて、サーバ10から送られてきたメールを受信し、このメールに付与された認証情報を用いてサーバ10に対する次のアクセス要求を行う。
【0028】
このようにしてクライアント20からの認証情報を受け取ったサーバ10は、認証処理部12において、クライアント20からの認証情報と記憶装置内の認証情報テーブル13において登録した認証情報とを照合して認証処理を行う。さらに、サーバ10は、メール送信処理部11において、当該認証情報を変更し、認証情報テーブル13の更新と、クライアント20への通知を行う。
【0029】
以下、このような本例の認証処理システムにおいてクライアント20がサーバ10から情報(Webページ)を取得する際の動作について図3を用いて説明する。
【0030】
まず、クライアント20からサーバ10にページ要求を行うと(ステップ101)、サーバ10はクライアント20にログイン要求ページを送信する(ステップ102、ステップ103)。
【0031】
ユーザがクライアント20からユーザIDとパスワードを入力し(ステップ104)、サーバ10にユーザIDとパスワードを送信して認証を要求する(ステップ105)と、サーバ10は、認証処理部12において、認証情報テーブル13のユーザIDとパスワードを確認し、認証データを作成して認証情報テーブル13に格納し、認証成功ページをクライアント20に送信する(ステップ106、107)。
【0032】
さらに、サーバ10は、メール送信処理部11において、システム利用のためのURLに、ステップ106で作成した認証データを追加したものをメール本文に追加し、認証情報テーブル13から取得した該当ユーザのメールアドレス宛に送信する(ステップ108、109)。
【0033】
そのメールを受け取ったユーザは、クライアント20を使用してメールに記載されている認証データ付きのURLをクリックすることで(ステップ110)、サーバ10にページ要求を行う(ステップ111)。
【0034】
そして、このページ要求を受け取ったサーバ10は、認証処理部12において、認証情報テーブル13を参照し、認証データが正しいことを確認した後、新しい認証データを作成して認証情報テーブル13に格納し、この新しい認証データを付加したページをクライアント20に送信する(ステップ112、113)。
【0035】
クライアント20が次のページを要求するたびに(ステップ111)、サーバ10は、ステップ112、113の処理を行う。
【0036】
以上、図1〜図3を用いて説明したように、本例の認証処理技術では、コンピュータネットワークとしてのインターネット30を介して接続されたクライアント20とサーバ10間でユーザIDとパスワードに基づき認証処理を行う際、サーバ10は、認証処理部12において、初回の接続時にクライアント20から送られてくるユーザIDとパスワードで認証を行い、正当なアクセス要求であれば、メール送信処理部11において、当該ユーザIDに固有の認証情報を生成してユーザIDに対応付け、認証情報テーブル13(記憶装置)に登録すると共に、この認証情報を付与したメールを生成して、認証情報テーブル13において当該ユーザIDに対応付けて予め登録されているメールアドレス宛に送信する。
【0037】
そして、クライアント20は、クライアントプログラム処理部20aにおいて、サーバ10から送られてきたメールを受信して、このメールに付与された認証情報を用いて次のアクセス要求を行い、このようにしてクライアント20からの認証情報を受け取ったサーバ10は、認証処理部12において、クライアント20からの認証情報と認証情報テーブル13で当該ユーザIDに対応付けて登録されている認証情報とを照合して認証処理を行う。
【0038】
さらに、サーバ10は、クライアント20からの接続を行う度に新しい認証情報に変更して、認証情報テーブル13の更新と、クライアント20への通知を繰り返す。この際、メールではなく、例えば、クライアント20に提供するWebページに、更新した認証情報を付加して通知する。
【0039】
このように、本例では、システム利用のための認証情報はメールで送付されるので、認証を必要とするインターネットシステムにおいてユーザIDとパスワードを盗聴された場合でも、正規ユーザになりすましてシステムを使用されることを防止できる。
【0040】
尚、本発明は、図1〜図3を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、インターネット30を介して接続されたサーバ10とクライアント20間での認証処理例を説明したが、イントラネット等の他のコンピュータネットワークシステムにおいても適用することができる。
【0041】
また、本例でのサーバ10とクライアント20のコンピュータ構成例として、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0042】
【発明の効果】
本発明によれば、システム利用のための認証情報をメールで通知するので、認証を必要とするコンピュータネットワーク上でユーザIDとパスワードを盗聴された場合でも、正規ユーザになりすましてシステムを不正に使用されることを防止することが可能である。
【図面の簡単な説明】
【図1】本発明に係わる認証処理システムの構成例を示すブロック図である。
【図2】図1における認証処理システムのハードウェア構成例を示すブロック図である。
【図3】図1における認証処理システムの処理動作例を示すシーケンス図である。
【符号の説明】
10:サーバ、11:メール送信部、12:認証処理部、13:認証情報テーブル、20:クライアント、20a:クライアントプログラム処理部、21:表示装置、22:入力装置、23:外部記憶装置、24:情報処理装置、24a:CPU、24b:主メモリ、24c:入出力インタフェース、25:光ディスク、26:駆動装置、27:通信装置、30:インターネット。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication processing technique based on a user ID and a password between a client and a server on a computer network, and more particularly to an authentication processing technique suitable for securely performing user authentication on the Internet.
[0002]
[Prior art]
In computer networks, particularly the Internet, authentication using a user ID and a password is used to restrict unauthorized access and use of Web contents.
[0003]
For example, a general user is connected to the Internet via a computer (server) of a contracted ISP (Internet Service Provider), and when accessing the Internet, the server of the ISP sets the ISP in advance. The user ID and password (which can be arbitrarily changed after the contract) notified at the time of the contract with the ISP are transmitted, and the server on the ISP side has the received user ID and password registered in advance corresponding to the user. Search for and authenticate.
[0004]
However, in such an authentication technique, every time a connection is made to a server, a user ID and a password are transmitted in clear text on the Internet. There is a high risk of access and unauthorized use of the system.
[0005]
As a conventional technique for addressing such a problem, for example, there is a technique disclosed in Patent Document 1.
[0006]
This Patent Document 1 discloses an access control technique that does not use a user name and a password in WWW (World Wide Web). In this technique, after successful authentication using a password, a dialog ID and a dialog ID are transmitted from a server computer. This authentication information is issued, and in the subsequent information exchange, authentication is performed using this authentication information (dialogue ID).
[0007]
More specifically, at the time of transmission from the server computer to the client computer, a dialogue ID is added after the URL (Uniform Resource Locator) portion of the link in the hypertext to be transmitted to the client computer, and the transmission is performed. At the time of transmission, when a link in the hypertext is clicked, a dialog ID is added to the URL and transmitted. According to this technique, since the user name and the password are transmitted only at the time of the first authentication, the chance of the password being eavesdropped is greatly reduced.
[0008]
However, in the technique described in Patent Document 1, the same conversation ID is continuously used without being changed until the user name and the password are again authenticated, so that the conversation ID is eavesdropped. Until the conversation ID is changed by the re-authentication using the next user name and password, another person can impersonate the user and acquire information.
[0009]
As a technique for addressing such a problem, for example, there is a technique described in Patent Document 2.
[0010]
According to the technology described in Patent Document 2, in order to reduce the possibility that a user ID and a password are eavesdropped, authentication data is changed and sent from a server to a client each time a connection is established. Request the next page with additional data.
[0011]
That is, the server authenticates the client with the user ID and the password only at the time of the first connection, then generates an authentication code and sends it to the client. When the client requests information again, the server The server sends the authentication code received from the server to the server, and the server receiving the authentication code further changes the authentication code and sends it to the client.
[0012]
As described above, according to the technology described in Patent Document 2, by changing the authentication code every time an access is performed, a person who eavesdrops on the authentication code in the middle of transmission can impersonate a legitimate user and acquire information, for example. Access can be prevented.
[0013]
[Patent Document 1]
Japanese Patent Application Laid-Open No. 09-050422 [Patent Document 2]
JP 2000-172645 A
However, according to the technology described in Patent Document 2, if a user ID and a password that flow in the clear on the Internet at the first connection are wiretapped, it is possible to impersonate a regular user permanently and use the system illegally.
[0015]
[Problems to be solved by the invention]
The problem to be solved is that the conventional technology cannot avoid unauthorized access due to eavesdropping of the user ID and password at the time of the first connection.
[0016]
SUMMARY OF THE INVENTION An object of the present invention is to solve the problems of the prior art, and to prevent unauthorized use of the system by impersonating an authorized user even when a user ID and a password are eavesdropped.
[0017]
[Means for Solving the Problems]
In order to achieve the above object, according to the present invention, when a server authenticates a user with a user ID and a password sent from an access requesting client to determine that the access is valid, the server generates authentication information unique to the user ID. In addition to registering the authentication information in the storage device in association with the user ID, a mail to which the authentication information is added is generated and transmitted to an e-mail address registered in advance in association with the user ID. The next access request is made using the authentication information attached to the sent mail, and the server receiving the authentication information from the client compares the authentication information with the authentication information registered in the storage device to perform authentication. Processing is performed. Also, when performing authentication processing based on the user ID and password at the time of the first connection, and updating the authentication information to new authentication information every time after the authentication processing, the server notifies the authentication information by e-mail only at the time of the first connection. Do.
[0018]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0019]
FIG. 1 is a block diagram showing a configuration example of an authentication processing system according to the present invention, FIG. 2 is a block diagram showing a hardware configuration example of the authentication processing system in FIG. 1, and FIG. It is a sequence diagram showing an example of processing operation of the system.
[0020]
2, reference numeral 21 denotes a display device such as a CRT (Cathode Ray Tube) or an LCD (Liquid Crystal Display); 22, an input device including a keyboard and a mouse; and 23, an external storage device including a HDD (Hard Disk Drive). , 24 are an information processing apparatus having a CPU (Central Processing Unit) 24a, a main memory 24b, an input / output interface 24c and the like for performing computer processing, and 25 is a CD-ROM (Compact Disc) recording programs and data according to the present invention. -An optical disk such as a read only memory (DVD) or a DVD (Digital Video Disc / Digital Versatile Disc); Programs and data drive for reading, 27 is a communication device comprising a LAN (Local Area Network) card or a modem.
[0021]
After the programs and data stored in the optical disk 25 are installed in the external storage device 23 by the information processing device 24 via the driving device 26, the programs and data are read from the external storage device 23 into the main memory 24b, and processed by the CPU 24a. Each processing unit and each function in the server 10 and the client 20 shown in FIG.
[0022]
In FIG. 1, reference numeral 10 denotes a server, reference numeral 20 denotes a client, reference numeral 30 denotes the Internet including a public network, and the server 10 has a function as a Web server or a mail server for transmitting information to the client 20 via the Internet 30, As a function of performing a processing operation according to the present invention, a mail transmission processing unit 11, an authentication processing unit 12, and an authentication information table 13 are provided. In the authentication information table 13, a password (pass1 to pass5), authentication data (000001a4c2,.・ 000005@abc.com) is registered.
[0023]
Further, the client 20 has a client program processing unit 20a (described as “client program” in the figure) including a Web browser, an e-mail program, and the like.
[0024]
In such a configuration, in the authentication processing system of the present example, when performing authentication processing based on the user ID and the password between the client 20 and the server 10 connected via the Internet 30, the client 20 and the server 10 The authentication process is performed based on the user ID and the password between the devices, and at the time of subsequent connection, the authentication process is performed using the authentication information unique to the user ID generated by the server 10 at the time of the first authentication process. Updates the new authentication information every time it connects.
[0025]
That is, the client 20 sends the user ID and the password to the server 10 at the time of the first access request, and the server 10 uses the user ID and the password sent from the access requesting client 20 to authenticate in the authentication processing unit 12. Do.
[0026]
When the server 10 determines that the request is a valid access request in the authentication processing, the server 10 generates authentication information unique to the user ID in the mail transmission processing unit 11 and associates the authentication information with the user ID in the storage device. In addition to the registration in the authentication information table 13, a mail to which the authentication information is added is generated and transmitted to a mail address registered in advance in the authentication information table 13 in association with the user ID.
[0027]
The client 20 receives the mail sent from the server 10 at the client program processing unit 20a, and makes a next access request to the server 10 using the authentication information given to the mail.
[0028]
The server 10 that has received the authentication information from the client 20 in this way performs an authentication process in the authentication processing unit 12 by comparing the authentication information from the client 20 with the authentication information registered in the authentication information table 13 in the storage device. I do. Further, the server 10 changes the authentication information in the mail transmission processing unit 11, updates the authentication information table 13, and notifies the client 20.
[0029]
Hereinafter, an operation when the client 20 acquires information (Web page) from the server 10 in the authentication processing system of the present example will be described with reference to FIG.
[0030]
First, when a page request is made from the client 20 to the server 10 (step 101), the server 10 transmits a login request page to the client 20 (steps 102 and 103).
[0031]
When the user inputs a user ID and a password from the client 20 (step 104), and sends a user ID and a password to the server 10 to request authentication (step 105), the server 10 sends the authentication information The user ID and password in the table 13 are confirmed, authentication data is created and stored in the authentication information table 13, and an authentication success page is transmitted to the client 20 (steps 106 and 107).
[0032]
Further, the server 10 adds, in the mail transmission processing unit 11, the URL for system use to which the authentication data created in step 106 has been added to the mail text, and the mail of the user acquired from the authentication information table 13. The message is transmitted to the address (steps 108 and 109).
[0033]
The user who has received the mail uses the client 20 to click on the URL with the authentication data described in the mail (step 110), and makes a page request to the server 10 (step 111).
[0034]
Then, the server 10 that has received the page request refers to the authentication information table 13 in the authentication processing unit 12, confirms that the authentication data is correct, creates new authentication data, and stores it in the authentication information table 13. Then, the page to which the new authentication data is added is transmitted to the client 20 (steps 112 and 113).
[0035]
Each time the client 20 requests the next page (step 111), the server 10 performs the processing of steps 112 and 113.
[0036]
As described above with reference to FIGS. 1 to 3, in the authentication processing technique of this example, the authentication processing is performed between the client 20 and the server 10 connected via the Internet 30 as a computer network based on the user ID and the password. When the server 10 performs the authentication, the authentication processing unit 12 performs authentication using the user ID and the password sent from the client 20 at the time of the first connection, and if the access request is valid, the mail transmission processing unit 11 performs the authentication. Authentication information unique to the user ID is generated and associated with the user ID, registered in the authentication information table 13 (storage device), and a mail to which the authentication information is added is generated. And sends it to a mail address registered in advance.
[0037]
Then, the client 20 receives the mail sent from the server 10 in the client program processing unit 20a, and makes a next access request using the authentication information given to the mail. The server 10 that has received the authentication information from the server 10 performs authentication processing in the authentication processing unit 12 by comparing the authentication information from the client 20 with the authentication information registered in the authentication information table 13 in association with the user ID. Do.
[0038]
Further, the server 10 changes the authentication information to new authentication information each time a connection is made from the client 20, and repeats updating of the authentication information table 13 and notification to the client 20. At this time, the updated authentication information is added to, for example, a Web page provided to the client 20 instead of the e-mail, and is notified.
[0039]
As described above, in this example, since the authentication information for using the system is sent by e-mail, even if the user ID and password are eavesdropped on the Internet system requiring authentication, the system is used by impersonating the authorized user. Can be prevented.
[0040]
It should be noted that the present invention is not limited to the example described with reference to FIGS. 1 to 3 and can be variously modified without departing from the gist thereof. For example, in the present embodiment, an example of the authentication processing between the server 10 and the client 20 connected via the Internet 30 has been described, but the present invention can also be applied to other computer network systems such as an intranet.
[0041]
Further, as an example of the computer configuration of the server 10 and the client 20 in the present example, a computer configuration without a keyboard or a drive device for an optical disk may be used. In this example, the optical disk is used as the recording medium, but an FD (Flexible Disk) or the like may be used as the recording medium. As for the installation of the program, the program may be downloaded and installed via a network via a communication device.
[0042]
【The invention's effect】
According to the present invention, authentication information for using the system is notified by e-mail, so even if a user ID and password are eavesdropped on a computer network that requires authentication, the system is improperly used by impersonating an authorized user. Can be prevented.
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating a configuration example of an authentication processing system according to the present invention.
FIG. 2 is a block diagram illustrating a hardware configuration example of an authentication processing system in FIG. 1;
FIG. 3 is a sequence diagram illustrating an example of a processing operation of the authentication processing system in FIG. 1;
[Explanation of symbols]
10: server, 11: mail transmission unit, 12: authentication processing unit, 13: authentication information table, 20: client, 20a: client program processing unit, 21: display device, 22: input device, 23: external storage device, 24 : Information processing device, 24a: CPU, 24b: main memory, 24c: input / output interface, 25: optical disk, 26: drive device, 27: communication device, 30: Internet.

Claims (5)

コンピュータネットワークを介して接続されたクライアントとサーバ間でユーザIDとパスワードに基づき認証処理を行うシステムであって、
上記サーバは、
アクセス要求元のクライアントから送られてくる上記ユーザIDと上記パスワードで認証を行う認証処理手段と、
該認証処理手段で正当なアクセス要求であると判断すると、当該ユーザIDに固有の認証情報を生成し、該認証情報をユーザIDに対応付けて記憶装置に登録すると共に該認証情報を付与したメールを生成し、該メールを上記ユーザIDに対応付けて予め記憶装置に登録されているメールアドレス宛に送信するメール送信処理手段とを有し、
上記クライアントは、上記サーバから送られてきたメールに付与された上記認証情報を用いて次のアクセス要求を行う手段を有し、
該クライアントからの認証情報を受け取ったサーバは、上記認証処理手段において、該認証情報と上記記憶装置に登録した認証情報とを照合して認証処理を行うことを特徴とする認証処理システム。A system for performing an authentication process between a client and a server connected via a computer network based on a user ID and a password,
The above server,
Authentication processing means for performing authentication with the user ID and the password sent from the client requesting access;
If the authentication processing means determines that the request is a legitimate access request, it generates authentication information unique to the user ID, registers the authentication information in the storage device in association with the user ID, and adds the authentication information to the mail. And a mail transmission processing unit for transmitting the mail to a mail address registered in advance in the storage device in association with the user ID,
The client has means for making a next access request using the authentication information given to the mail sent from the server,
An authentication processing system, wherein the server that has received the authentication information from the client performs authentication processing in the authentication processing means by comparing the authentication information with authentication information registered in the storage device. コンピュータネットワークを介して接続されたクライアントとサーバ間で初回接続時にユーザIDとパスワードに基づき認証処理を行い、該認証処理後は、上記サーバは上記ユーザIDに固有の認証情報を生成して当該クライアントに通知して該認証情報に基づき該クライアントの認証処理を行うと共に、接続する度に新しい認証情報に更新する認証処理システムにおける認証処理方法であって、
上記サーバにおいて、予めユーザIDに対応付けてメールアドレスを記憶装置に登録しておき、初回接続時にはメールで上記認証情報の通知を行うことを特徴とする認証処理方法。At the first connection between a client and a server connected via a computer network, an authentication process is performed based on a user ID and a password. After the authentication process, the server generates authentication information unique to the user ID and generates the authentication information. An authentication processing method in an authentication processing system for performing authentication processing of the client based on the authentication information by notifying the authentication information and updating the authentication information with new authentication information every time connection is made,
An authentication processing method, wherein the server registers a mail address in a storage device in advance in association with a user ID, and notifies the authentication information by e-mail at the first connection. コンピュータネットワークを介して接続されたクライアントとサーバ間でユーザIDとパスワードに基づき認証処理を行うシステムにおける認証処理方法であって、
上記サーバにおいて、
アクセス要求元のクライアントから送られてくる上記ユーザIDと上記パスワードで認証を行い、
該手順で正当なアクセス要求であると判断すると、当該ユーザIDに固有の認証情報を生成して該ユーザIDに対応付けて記憶装置に登録し、
該認証情報を付与したメールを生成して上記ユーザIDに対応付けて予め記憶装置に登録されているメールアドレス宛に送信し、
上記クライアントにおいて、上記サーバから送られてきたメールに付与された上記認証情報を用いて次のアクセス要求を行い、
該クライアントからの認証情報を受け取ったサーバは、該認証情報と上記記憶装置に登録した認証情報とを照合して認証処理を行うことを特徴とする認証処理方法。An authentication processing method in a system for performing authentication processing based on a user ID and a password between a client and a server connected via a computer network,
In the above server,
Perform authentication with the user ID and the password sent from the access requesting client,
If the access request is determined to be valid in the procedure, authentication information unique to the user ID is generated and registered in the storage device in association with the user ID,
A mail with the authentication information is generated and transmitted to a mail address registered in a storage device in advance in association with the user ID,
The client makes a next access request using the authentication information given to the mail sent from the server,
An authentication processing method, wherein the server receiving the authentication information from the client performs an authentication process by comparing the authentication information with authentication information registered in the storage device. 請求項2、もしくは、請求項3のいずれかに記載の認証処理方法であって、
上記コンピュータネットワークはインターネットからなり、
上記サーバは、初回接続時に生成するメールの本文に、上記クライアントが利用するWebページのURLと上記認証情報を追加して、上記クライアントに送信することを特徴とする認証処理方法。An authentication processing method according to any one of claims 2 and 3,
The computer network comprises the Internet,
An authentication processing method, wherein the server adds a URL of a Web page used by the client and the authentication information to a body of an e-mail generated at the time of the first connection, and transmits the URL to the client. コンピュータに、請求項2から請求項4のいずれかに記載の認証処理方法における各処理手順を実行させるためのプログラム。A program for causing a computer to execute each processing procedure in the authentication processing method according to claim 2.
JP2002281191A 2002-09-26 2002-09-26 Authentication processing system, authentication processing method, and program Pending JP2004118541A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002281191A JP2004118541A (en) 2002-09-26 2002-09-26 Authentication processing system, authentication processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002281191A JP2004118541A (en) 2002-09-26 2002-09-26 Authentication processing system, authentication processing method, and program

Publications (1)

Publication Number Publication Date
JP2004118541A true JP2004118541A (en) 2004-04-15

Family

ID=32275707

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002281191A Pending JP2004118541A (en) 2002-09-26 2002-09-26 Authentication processing system, authentication processing method, and program

Country Status (1)

Country Link
JP (1) JP2004118541A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007195089A (en) * 2006-01-23 2007-08-02 Megachips System Solutions Inc Communication system for preventing unauthorized access to network camera, network camera, and communications apparatus
US8291054B2 (en) 2008-05-27 2012-10-16 International Business Machines Corporation Information processing system, method and program for classifying network nodes
JP2018516403A (en) * 2015-05-07 2018-06-21 ジェムアルト エスアー How to manage access to services

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007195089A (en) * 2006-01-23 2007-08-02 Megachips System Solutions Inc Communication system for preventing unauthorized access to network camera, network camera, and communications apparatus
JP4714938B2 (en) * 2006-01-23 2011-07-06 株式会社メガチップス Communication system for preventing unauthorized access to network camera, network camera and communication device
US8291054B2 (en) 2008-05-27 2012-10-16 International Business Machines Corporation Information processing system, method and program for classifying network nodes
JP2018516403A (en) * 2015-05-07 2018-06-21 ジェムアルト エスアー How to manage access to services

Similar Documents

Publication Publication Date Title
US10104064B2 (en) Secure authentication systems and methods
US6182227B1 (en) Lightweight authentication system and method for validating a server access request
US6993596B2 (en) System and method for user enrollment in an e-community
US9686272B2 (en) Multi factor user authentication on multiple devices
KR100800339B1 (en) Method and system for user-determined authentication and single-sign-on in a federated environment
JP4782986B2 (en) Single sign-on on the Internet using public key cryptography
US7296077B2 (en) Method and system for web-based switch-user operation
US8799639B2 (en) Method and apparatus for converting authentication-tokens to facilitate interactions between applications
US8006289B2 (en) Method and system for extending authentication methods
KR100946110B1 (en) Method and system for stepping up to certificate-based authentication without breaking an existing ssl session
CA2633311C (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
US6934848B1 (en) Technique for handling subsequent user identification and password requests within a certificate-based host session
JP4108461B2 (en) Authentication system, authentication distribution server, authentication method and program
US7043455B1 (en) Method and apparatus for securing session information of users in a web application server environment
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
US20040073660A1 (en) Cross-site timed out authentication management
US20100100950A1 (en) Context-based adaptive authentication for data and services access in a network
JP2005011098A (en) Proxy authentication program, method, and device
US20070028105A1 (en) Apparatus and method for providing security in computing and communication environments
US20060122936A1 (en) System and method for secure publication of online content
JP2004118541A (en) Authentication processing system, authentication processing method, and program
US20230409680A1 (en) System and method for client device authentication through remote browser isolation
JP2004078622A (en) Integrated management of user certification
JP2004046385A (en) Access control method to computer

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060113

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060526