JP2004220527A - 認証通信におけるセキュリティ方法 - Google Patents
認証通信におけるセキュリティ方法 Download PDFInfo
- Publication number
- JP2004220527A JP2004220527A JP2003010157A JP2003010157A JP2004220527A JP 2004220527 A JP2004220527 A JP 2004220527A JP 2003010157 A JP2003010157 A JP 2003010157A JP 2003010157 A JP2003010157 A JP 2003010157A JP 2004220527 A JP2004220527 A JP 2004220527A
- Authority
- JP
- Japan
- Prior art keywords
- user
- service provider
- security
- authentication
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】異なるサービス提供者のサーバ間でユーザ認証の引継ぎを行うことで、個人情報及びパスワード漏洩を防止する。
【解決手段】種々のサービスの提供を受けるユーザAと、このユーザAに対してそのサービスを提供するサービス提供者Bのサーバb1間との認証通信を行う方法であって、その認証通信に際して一時的に有効なID(一時固有ID)を使用することで、個人又は企業等の特定の情報及びパスワードの漏洩を心配することなく認証に関係する通信を行う方法である。
【選択図】 図1
【解決手段】種々のサービスの提供を受けるユーザAと、このユーザAに対してそのサービスを提供するサービス提供者Bのサーバb1間との認証通信を行う方法であって、その認証通信に際して一時的に有効なID(一時固有ID)を使用することで、個人又は企業等の特定の情報及びパスワードの漏洩を心配することなく認証に関係する通信を行う方法である。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、インターネット等の通信回線を利用して種々のサービスの提供を受ける際に行う認証方法に係り、特に各サービス提供者との容易な連携を可能とし、かつユーザに余分な負担をかけることなくサービスの提供を受けることができる認証通信におけるセキュリティ方法に関するものである。
【0002】
【従来の技術】
従来より、携帯電話機、PDA(Personal Digital Assistant)、パソコン等を用いてインターネット等の通信回線を利用した種々のサービスの提供を受けることができる。WWW(World Wide Web)は、文字、画像、音声を含むハイパーテキストを介して、インターネット上であらゆる情報にシームレスにアクセスできる情報システムである。このWWWにおいては、ユーザ側の携帯電話機、PDA、パソコン等に搭載されたソフトウェアであるWWWブラウザがWWWサーバと通信処理を行なう。WWWでは、ユーザとWWWサーバとの間の通信プロトコルとしてHTTP(HyperText Transfer Protocol)を用いる。このプロトコルでやりとりされる情報は、一般的にHTML(Hyper Text Markup Language)により記述され、この形式でのテキストとして他の情報への「リンク」が記述され、このリンクを選択することで他の情報へのアクセスが可能となる。
【0003】
ところで、HTTPはセッションレスのプロトコルであり、同一ブラウザからの複数の要求間で関連性を持っていない。そのため、ユーザ認証を経たのち認証結果に応じてユーザ個別の情報を提供しようとする場合には、何らかの手段を用いて、該ユーザからの複数の要求と、それに対する応答の組を同一のセッションと見立てる必要が生じる。通常、WWWサーバで生成したセッション情報をクッキーというものに格納してWWWブラウザに返し、WWWブラウザからWWWサーバヘの以後の要求にこのクッキーを含ませることにより、セッション情報を保持するのが一般的である。
【0004】
【特許文献1】
複数のWWWサーバの連携に関しては、種々の方法により解決できている。例えば、特開平11−212912号公報においてはコンテンツの所在を指定する文字列であるURL(UniformResource Locator)にセッション管理識別子を付与し、セッション管理識別子を1つのサーバで一元管理することにより実現している。
【0005】
【発明が解決しようとする課題】
しかし、上述したように、WWWにおけるサービスが多様化し、複数の企業によってさまざまなサービスが提供されている今日、そのサービスの提供を受けるユーザの認証を伴うサービス提供者間の連携の要請が高い。サービス提供者の運営が一元化されている場合には従来の技術で対応することができる。しかし、セキュリティや情報漏洩のリスクから、一般ユーザ向けのサービスにおいてサービス提供者間で認証情報を持ち回すことは避けられてきた。
【0006】
本発明は、上述した問題点を解決するために創案されたものである。すなわち本発明の目的は、異なるサービス提供者のサーバ間でユーザ認証の引継ぎを行うことで、個人情報及びパスワード漏洩を防止することができる認証通信におけるセキュリティ方法を提供することにある。
【0007】
【課題を解決するための手段】
本発明によれば、ユーザ(A)と、該ユーザ(A)に対して種々のサービスを提供するサービス提供者(B)のサーバ(b1)間との認証通信におけるセキュリティ方法であって、セキュリティ管理者(C)のデータベース(cDB)内に、該セキュリティ管理者(C)における前記ユーザ(A)のユーザ識別IDと、該ユーザ(A)の前記連携サービス提供者(B)におけるユーザ識別IDを対応付けて格納する段階と、前記ユーザ(A)が前記セキュリティ管理者(C)にログインしたときに、該セキュリティ管理者(C)は一時固有IDを発行し、その一時固有ID、該ユーザ(A)のIPアドレス、時刻、ユーザエージェントと該セキュリティ管理者(C)におけるユーザ識別IDとを対応付けてデータベース(cDB)に一時保管する段階と、前記ユーザ(A)が前記セキュリティ管理者(C)へログインした後に、前記ユーザ(A)に対して前記連携サービス提供者(B)へのリンクに一時固有IDを付加して送信する段階と、前記ユーザ(A)がそのリンクを辿って前記連携サービス提供者(B)のサイトの認証ページにアクセスすると、該連携サービス提供者(B)のサイトのコンテンツサーバ(b1)がセキュリティ管理者(C)のセキュアサーバ(c1)に対して、一時固有ID、ユーザ(A)のIPアドレス、ユーザエージェント情報等を暗号化通信にて送信し、問い合わせを行う段階と、前記セキュリティ管理者(C)のセキュアサーバ(c1)は、前記データベース(cDB)に一時保管されているデータを参照し、送られてきた情報に一致するものがあれば、連携サービス提供者(B)におけるユーザ識別IDと結果を合わせて返信する段階と、前記連携サービス提供者(B)では、前記セキュリティ管理者(C)のセキュアサーバ(c1)の返信に基づいて即時にサービスを開始する段階と、を備えた、ことを特徴とする認証通信におけるセキュリティ方法が提供される。
【0008】
前記一時固有IDは、所定の長さを有する制限時間付の固有IDである。前記ユーザ(A)は、パソコン、PDA、携帯端末などを用いて、前記サービス提供者(B)にアクセスすることができる。
【0009】
上記方法では、ユーザ(A)がセキュリティ管理者(C)にログインした時点で、十分な長さを有する制限時間付の一時固有IDを発行し、ユーザ(A)のIPアドレス、時刻、ユーザエージェント、セキュリティ管理者(C)におけるユーザ識別IDを対応付けてデータベース(cDB)に一時保管することにより、この一時固有IDのみが送受信される。即ち、認証通信に際して一時的に有効なIDのみを使用するので、個人情報及びパスワードの漏洩を心配することなく、ユーザ(A)と連携サービス提供者(B)のサーバ間の認証に関係する通信を行うことができる。連携サービス提供者(B)側では、セキュリティ管理者(C)のセキュアサーバ(c1)の返信に基づいて即時にサービスを開始することができる。
【0010】
このように、ユーザ(A)に関する認証時には、連携サービス提供者(B)のデータベース(bDB)の内容が送受信されないので、連携サービス提供者(B)のサイト側としては外部に、そのデータベース(bDB)の情報が漏れるリスクが無く、システム仕様の変更も最小限に抑えることができる。
【0011】
【発明の実施の形態】
以下、本発明の好ましい実施の形態を図面を参照して説明する。
図1は本発明の認証通信におけるセキュリティ方法を示すブロック図である。図2は本発明の認証通信におけるユーザ、セキュリティ管理者及びサービス提供者間を示すフロー図である。
本発明の認証通信におけるセキュリティ方法は、ユーザAと、このユーザAに対して種々のサービスを提供するサービス提供者Bのサーバb1間との認証通信において、セキュリティ管理者Cが介在してそのユーザAに関する個人情報及びパスワード漏洩を防止するキュリティ方法である。このユーザAとは、携帯電話機、PDA、パソコン等を用いてインターネット等の通信回線を利用した種々のサービスの提供を受ける者をいう。このサービス提供者Bは、データベースbDBとコンテンツサーバb1を備えた者をいう。このセキュリティ管理者Cは、ユーザAとサービス提供者Cのサーバ間でユーザ認証の引継ぎを行い、データベースcDB,セキュアサーバc1及びコンテンツサーバc2を備えた者をいう。
なお、図1の下方において、ユーザA側の携帯電話機等の端末に表示されるサイトは、1クリックすると、左側の状態から右側の状態になり、サービス提供者Bへログインすることを示している。具体的なサイト内容は図5に示すようになっている。
【0012】
本発明のセキュリティ方法は、セキュリティ管理者CのデータベースcDB内に、セキュリティ管理者CにおけるユーザAのユーザ識別IDと、このユーザAの連携サービス提供者Bにおけるユーザ識別IDを対応付けて格納する。
【0013】
先ず、ユーザAとサービス提供者Bのサーバb1間の認証通信に際し、ユーザAは、セキュリティ管理者Cにログインする。
このときに、セキュリティ管理者Cは、通常のログイン処理を行った後、図3に示すように、ユーザID対応テーブルを検索し、利用中の連携サービス提供者Bがあれば、一時固有IDを発行し、図4に示すように一時参照テーブルにユーザAのIP、ユーザエージェントとセキュリティ管理者Cにおけるユーザ識別IDとを対応付けてデータベースcDBに一時格納する。この一時固有IDは、所定の長さを有する制限時間付の固有IDである。
【0014】
セキュリティ管理者Cは、利用中の連携サービスを利用しているユーザAに、一時固有IDをつけた連携サービス提供者Bへのリンクを送信する。
【0015】
次に、ユーザA側の携帯電話機、PDA、パソコン等におけるセキュリティ管理者Cの画面内に、連携サービス提供者Bへのリンクが表示される。そこで、ユーザAは利用したい連携サービス提供者Bへのリンクをクリックし、アクセス要求することができる。このときはHTTPもしくは暗号化通信による。
【0016】
暗号化通信によって、取得した一時固有ID、IP、ユーザエージェント、Refererと、連携サービス識別IDをあわせて問い合わせる。
【0017】
図3はセキュリティ管理者と連携サービスにおけるユーザID対応テーブル内のデータ要素を示す説明図である。図4は一時参照テーブル内のデータ要素を示す説明図である。図5はユーザ側の携帯電話機、PDA、パソコン等のサイトを示すものであり、(a)はセキュリティ管理者の画面、(b)は連携サービス提供者の画面である。
本発明のセキュリティ方法は、一時参照テーブル、セキュリティ管理者Cと連携サービス提供者BにおけるユーザID対応テーブルをあらかじめ準備しておく。ユーザID対応テーブルには、あらかじめデータを用意しておく。
セキュリティ管理者Cと連携サービス提供者Bにおける、ユーザID対応テーブル内のデータ要素がある。図示するように、「セキュリティ管理者内のユーザ識別ID」、「連携サービス提供者の識別ID」、「連携サービス提供者内のユーザ識別ID」がある。
【0018】
一時参照テーブル内のデータ要素としては、「一時固有ID」、「セキュリティ管理者内のユーザ識別ID」、「連携サービス提供者の識別ID」、「連携サービス提供者内のユーザ識別ID」、「ユーザIPアドレス」、「ユーザエージェント」、「ユーザの最終参照ページ」等がある。信頼性を向上させるために、さらにユーザ固有のデータを項目として付加しても良い。
【0019】
セキュリティ管理者Cは、一時参照テーブルを参照し、問い合わせに該当するデータを検索する。該当するデータがあれば、セキュリティ管理者CにおけるユーザIDをもとに、連携サービス提供者Bにおけるユーザ識別IDを検索する。次に、ユーザ識別IDが取得できれば、認証成功のデータと、連携サービス提供者Bにおけるユーザ識別IDを暗号化して送信する。
一方、ユーザ識別IDが取得できなければ、認証失敗のデータを暗号化して送信する。
【0020】
この認証結果について、連携サービス提供者Bが受信する。
認証に成功すれば、連携サービス提供者Bは、内部のログイン処理を行い、サービス開始後のコンテンツをコンテンツサーバb1からユーザAに送信する。そこで、ユーザAのサイトには、連携サービス提供者Bに自動ログインし、すでに利用できる状態の画面が表示される。
【0021】
一方、認証に失敗した場合、連携サービス提供者Bは、通常のログイン画面やトップページをユーザAに送信する。そこで、ユーザAのサイトには、連携サービス提供者Bの通常ログイン画面やトップページが表示される。
【0022】
図6は本発明の認証通信におけるセキュリティ方法を示すものであり、複数の連携サービス提供者を配置したブロック図である。
本発明のサービス提供者Bとしては、例えばライブチャット、ストレージサービス、オンラインプリント、ペット見守りサービス、マイホーム診断サービス等の提供する者がある。これらのサービスに限定されないことは勿論である。
【0023】
なお、上述した例では、主にユーザAとサービス提供者Bとの認証通信におけるセキュリティ方法について詳述したが、本発明はこのような実施の形態に限定されない。認証時にユーザIDやパスワードを用いず、一時的に有効なID(一時固有ID)を使用することにより認証通信を行う方法であれば、種々の認証通信に利用することができ、本発明の要旨を逸脱しない範囲で種々変更できることは勿論である。
【0024】
【発明の効果】
上述したように、本発明の認証通信におけるセキュリティ方法は、ユーザとサービス提供者のサーバ間の認証通信において、一時固有IDのみが送受信され、この通信内容は一時的にしか有効でないIDであるために、この認証通信に際して個人情報及びパスワードが漏洩するという危険性を回避することができる。
【0025】
また、セキュリティ管理者Cのセキュアサーバと連携サービス提供者のサーバとの通信による認証時には、一時固有ID、認証結果、連携サービス提供者内のユーザ識別ID、クライアントのIP、ユーザエージェント、Refererは、暗号化されて送受信される。加えて、認証時において、一時固有ID、クライアントのIP、ユーザエージェント、Refererの一致を同時にチェックすることで、一時固有IDのハイジャックに対しても安全性を高めている。
【0026】
更に、認証時には、連携サービス提供者のデータベースの内容が送受信されないので、連携サービス提供者のサイト側としては外部にデータベースの情報が漏れる危険性がなく、システム仕様の変更も最小限に抑えることができる、等の優れた効果を有する。
【図面の簡単な説明】
【図1】本発明の認証通信におけるセキュリティ方法を示すブロック図である。
【図2】本発明の認証通信におけるユーザ、セキュリティ管理者及びサービス提供者間を示すフロー図である。
【図3】セキュリティ管理者と連携サービスにおけるユーザID対応テーブル内のデータ要素を示す説明図である。
【図4】一時参照テーブル内のデータ要素を示す説明図である。
【図5】ユーザ側の携帯電話機、PDA、パソコン等のサイトを示すものであり、(a)はセキュリティ管理者の画面、(b)は連携サービス提供者の画面である。
【図6】本発明の認証通信におけるセキュリティ方法を示すものであり、複数の連携サービス提供者を配置したブロック図である。
【符号の説明】
A ユーザ
B サービス提供者
b1 サービス提供者のコンテンツサーバ
bDB サービス提供者のデータベース
C セキュリティ管理者
c1 セキュリティ管理者のセキュアサーバ
c2 セキュリティ管理者のコンテンツサーバ
cDB セキュリティ管理者のデータベース
【発明の属する技術分野】
本発明は、インターネット等の通信回線を利用して種々のサービスの提供を受ける際に行う認証方法に係り、特に各サービス提供者との容易な連携を可能とし、かつユーザに余分な負担をかけることなくサービスの提供を受けることができる認証通信におけるセキュリティ方法に関するものである。
【0002】
【従来の技術】
従来より、携帯電話機、PDA(Personal Digital Assistant)、パソコン等を用いてインターネット等の通信回線を利用した種々のサービスの提供を受けることができる。WWW(World Wide Web)は、文字、画像、音声を含むハイパーテキストを介して、インターネット上であらゆる情報にシームレスにアクセスできる情報システムである。このWWWにおいては、ユーザ側の携帯電話機、PDA、パソコン等に搭載されたソフトウェアであるWWWブラウザがWWWサーバと通信処理を行なう。WWWでは、ユーザとWWWサーバとの間の通信プロトコルとしてHTTP(HyperText Transfer Protocol)を用いる。このプロトコルでやりとりされる情報は、一般的にHTML(Hyper Text Markup Language)により記述され、この形式でのテキストとして他の情報への「リンク」が記述され、このリンクを選択することで他の情報へのアクセスが可能となる。
【0003】
ところで、HTTPはセッションレスのプロトコルであり、同一ブラウザからの複数の要求間で関連性を持っていない。そのため、ユーザ認証を経たのち認証結果に応じてユーザ個別の情報を提供しようとする場合には、何らかの手段を用いて、該ユーザからの複数の要求と、それに対する応答の組を同一のセッションと見立てる必要が生じる。通常、WWWサーバで生成したセッション情報をクッキーというものに格納してWWWブラウザに返し、WWWブラウザからWWWサーバヘの以後の要求にこのクッキーを含ませることにより、セッション情報を保持するのが一般的である。
【0004】
【特許文献1】
複数のWWWサーバの連携に関しては、種々の方法により解決できている。例えば、特開平11−212912号公報においてはコンテンツの所在を指定する文字列であるURL(UniformResource Locator)にセッション管理識別子を付与し、セッション管理識別子を1つのサーバで一元管理することにより実現している。
【0005】
【発明が解決しようとする課題】
しかし、上述したように、WWWにおけるサービスが多様化し、複数の企業によってさまざまなサービスが提供されている今日、そのサービスの提供を受けるユーザの認証を伴うサービス提供者間の連携の要請が高い。サービス提供者の運営が一元化されている場合には従来の技術で対応することができる。しかし、セキュリティや情報漏洩のリスクから、一般ユーザ向けのサービスにおいてサービス提供者間で認証情報を持ち回すことは避けられてきた。
【0006】
本発明は、上述した問題点を解決するために創案されたものである。すなわち本発明の目的は、異なるサービス提供者のサーバ間でユーザ認証の引継ぎを行うことで、個人情報及びパスワード漏洩を防止することができる認証通信におけるセキュリティ方法を提供することにある。
【0007】
【課題を解決するための手段】
本発明によれば、ユーザ(A)と、該ユーザ(A)に対して種々のサービスを提供するサービス提供者(B)のサーバ(b1)間との認証通信におけるセキュリティ方法であって、セキュリティ管理者(C)のデータベース(cDB)内に、該セキュリティ管理者(C)における前記ユーザ(A)のユーザ識別IDと、該ユーザ(A)の前記連携サービス提供者(B)におけるユーザ識別IDを対応付けて格納する段階と、前記ユーザ(A)が前記セキュリティ管理者(C)にログインしたときに、該セキュリティ管理者(C)は一時固有IDを発行し、その一時固有ID、該ユーザ(A)のIPアドレス、時刻、ユーザエージェントと該セキュリティ管理者(C)におけるユーザ識別IDとを対応付けてデータベース(cDB)に一時保管する段階と、前記ユーザ(A)が前記セキュリティ管理者(C)へログインした後に、前記ユーザ(A)に対して前記連携サービス提供者(B)へのリンクに一時固有IDを付加して送信する段階と、前記ユーザ(A)がそのリンクを辿って前記連携サービス提供者(B)のサイトの認証ページにアクセスすると、該連携サービス提供者(B)のサイトのコンテンツサーバ(b1)がセキュリティ管理者(C)のセキュアサーバ(c1)に対して、一時固有ID、ユーザ(A)のIPアドレス、ユーザエージェント情報等を暗号化通信にて送信し、問い合わせを行う段階と、前記セキュリティ管理者(C)のセキュアサーバ(c1)は、前記データベース(cDB)に一時保管されているデータを参照し、送られてきた情報に一致するものがあれば、連携サービス提供者(B)におけるユーザ識別IDと結果を合わせて返信する段階と、前記連携サービス提供者(B)では、前記セキュリティ管理者(C)のセキュアサーバ(c1)の返信に基づいて即時にサービスを開始する段階と、を備えた、ことを特徴とする認証通信におけるセキュリティ方法が提供される。
【0008】
前記一時固有IDは、所定の長さを有する制限時間付の固有IDである。前記ユーザ(A)は、パソコン、PDA、携帯端末などを用いて、前記サービス提供者(B)にアクセスすることができる。
【0009】
上記方法では、ユーザ(A)がセキュリティ管理者(C)にログインした時点で、十分な長さを有する制限時間付の一時固有IDを発行し、ユーザ(A)のIPアドレス、時刻、ユーザエージェント、セキュリティ管理者(C)におけるユーザ識別IDを対応付けてデータベース(cDB)に一時保管することにより、この一時固有IDのみが送受信される。即ち、認証通信に際して一時的に有効なIDのみを使用するので、個人情報及びパスワードの漏洩を心配することなく、ユーザ(A)と連携サービス提供者(B)のサーバ間の認証に関係する通信を行うことができる。連携サービス提供者(B)側では、セキュリティ管理者(C)のセキュアサーバ(c1)の返信に基づいて即時にサービスを開始することができる。
【0010】
このように、ユーザ(A)に関する認証時には、連携サービス提供者(B)のデータベース(bDB)の内容が送受信されないので、連携サービス提供者(B)のサイト側としては外部に、そのデータベース(bDB)の情報が漏れるリスクが無く、システム仕様の変更も最小限に抑えることができる。
【0011】
【発明の実施の形態】
以下、本発明の好ましい実施の形態を図面を参照して説明する。
図1は本発明の認証通信におけるセキュリティ方法を示すブロック図である。図2は本発明の認証通信におけるユーザ、セキュリティ管理者及びサービス提供者間を示すフロー図である。
本発明の認証通信におけるセキュリティ方法は、ユーザAと、このユーザAに対して種々のサービスを提供するサービス提供者Bのサーバb1間との認証通信において、セキュリティ管理者Cが介在してそのユーザAに関する個人情報及びパスワード漏洩を防止するキュリティ方法である。このユーザAとは、携帯電話機、PDA、パソコン等を用いてインターネット等の通信回線を利用した種々のサービスの提供を受ける者をいう。このサービス提供者Bは、データベースbDBとコンテンツサーバb1を備えた者をいう。このセキュリティ管理者Cは、ユーザAとサービス提供者Cのサーバ間でユーザ認証の引継ぎを行い、データベースcDB,セキュアサーバc1及びコンテンツサーバc2を備えた者をいう。
なお、図1の下方において、ユーザA側の携帯電話機等の端末に表示されるサイトは、1クリックすると、左側の状態から右側の状態になり、サービス提供者Bへログインすることを示している。具体的なサイト内容は図5に示すようになっている。
【0012】
本発明のセキュリティ方法は、セキュリティ管理者CのデータベースcDB内に、セキュリティ管理者CにおけるユーザAのユーザ識別IDと、このユーザAの連携サービス提供者Bにおけるユーザ識別IDを対応付けて格納する。
【0013】
先ず、ユーザAとサービス提供者Bのサーバb1間の認証通信に際し、ユーザAは、セキュリティ管理者Cにログインする。
このときに、セキュリティ管理者Cは、通常のログイン処理を行った後、図3に示すように、ユーザID対応テーブルを検索し、利用中の連携サービス提供者Bがあれば、一時固有IDを発行し、図4に示すように一時参照テーブルにユーザAのIP、ユーザエージェントとセキュリティ管理者Cにおけるユーザ識別IDとを対応付けてデータベースcDBに一時格納する。この一時固有IDは、所定の長さを有する制限時間付の固有IDである。
【0014】
セキュリティ管理者Cは、利用中の連携サービスを利用しているユーザAに、一時固有IDをつけた連携サービス提供者Bへのリンクを送信する。
【0015】
次に、ユーザA側の携帯電話機、PDA、パソコン等におけるセキュリティ管理者Cの画面内に、連携サービス提供者Bへのリンクが表示される。そこで、ユーザAは利用したい連携サービス提供者Bへのリンクをクリックし、アクセス要求することができる。このときはHTTPもしくは暗号化通信による。
【0016】
暗号化通信によって、取得した一時固有ID、IP、ユーザエージェント、Refererと、連携サービス識別IDをあわせて問い合わせる。
【0017】
図3はセキュリティ管理者と連携サービスにおけるユーザID対応テーブル内のデータ要素を示す説明図である。図4は一時参照テーブル内のデータ要素を示す説明図である。図5はユーザ側の携帯電話機、PDA、パソコン等のサイトを示すものであり、(a)はセキュリティ管理者の画面、(b)は連携サービス提供者の画面である。
本発明のセキュリティ方法は、一時参照テーブル、セキュリティ管理者Cと連携サービス提供者BにおけるユーザID対応テーブルをあらかじめ準備しておく。ユーザID対応テーブルには、あらかじめデータを用意しておく。
セキュリティ管理者Cと連携サービス提供者Bにおける、ユーザID対応テーブル内のデータ要素がある。図示するように、「セキュリティ管理者内のユーザ識別ID」、「連携サービス提供者の識別ID」、「連携サービス提供者内のユーザ識別ID」がある。
【0018】
一時参照テーブル内のデータ要素としては、「一時固有ID」、「セキュリティ管理者内のユーザ識別ID」、「連携サービス提供者の識別ID」、「連携サービス提供者内のユーザ識別ID」、「ユーザIPアドレス」、「ユーザエージェント」、「ユーザの最終参照ページ」等がある。信頼性を向上させるために、さらにユーザ固有のデータを項目として付加しても良い。
【0019】
セキュリティ管理者Cは、一時参照テーブルを参照し、問い合わせに該当するデータを検索する。該当するデータがあれば、セキュリティ管理者CにおけるユーザIDをもとに、連携サービス提供者Bにおけるユーザ識別IDを検索する。次に、ユーザ識別IDが取得できれば、認証成功のデータと、連携サービス提供者Bにおけるユーザ識別IDを暗号化して送信する。
一方、ユーザ識別IDが取得できなければ、認証失敗のデータを暗号化して送信する。
【0020】
この認証結果について、連携サービス提供者Bが受信する。
認証に成功すれば、連携サービス提供者Bは、内部のログイン処理を行い、サービス開始後のコンテンツをコンテンツサーバb1からユーザAに送信する。そこで、ユーザAのサイトには、連携サービス提供者Bに自動ログインし、すでに利用できる状態の画面が表示される。
【0021】
一方、認証に失敗した場合、連携サービス提供者Bは、通常のログイン画面やトップページをユーザAに送信する。そこで、ユーザAのサイトには、連携サービス提供者Bの通常ログイン画面やトップページが表示される。
【0022】
図6は本発明の認証通信におけるセキュリティ方法を示すものであり、複数の連携サービス提供者を配置したブロック図である。
本発明のサービス提供者Bとしては、例えばライブチャット、ストレージサービス、オンラインプリント、ペット見守りサービス、マイホーム診断サービス等の提供する者がある。これらのサービスに限定されないことは勿論である。
【0023】
なお、上述した例では、主にユーザAとサービス提供者Bとの認証通信におけるセキュリティ方法について詳述したが、本発明はこのような実施の形態に限定されない。認証時にユーザIDやパスワードを用いず、一時的に有効なID(一時固有ID)を使用することにより認証通信を行う方法であれば、種々の認証通信に利用することができ、本発明の要旨を逸脱しない範囲で種々変更できることは勿論である。
【0024】
【発明の効果】
上述したように、本発明の認証通信におけるセキュリティ方法は、ユーザとサービス提供者のサーバ間の認証通信において、一時固有IDのみが送受信され、この通信内容は一時的にしか有効でないIDであるために、この認証通信に際して個人情報及びパスワードが漏洩するという危険性を回避することができる。
【0025】
また、セキュリティ管理者Cのセキュアサーバと連携サービス提供者のサーバとの通信による認証時には、一時固有ID、認証結果、連携サービス提供者内のユーザ識別ID、クライアントのIP、ユーザエージェント、Refererは、暗号化されて送受信される。加えて、認証時において、一時固有ID、クライアントのIP、ユーザエージェント、Refererの一致を同時にチェックすることで、一時固有IDのハイジャックに対しても安全性を高めている。
【0026】
更に、認証時には、連携サービス提供者のデータベースの内容が送受信されないので、連携サービス提供者のサイト側としては外部にデータベースの情報が漏れる危険性がなく、システム仕様の変更も最小限に抑えることができる、等の優れた効果を有する。
【図面の簡単な説明】
【図1】本発明の認証通信におけるセキュリティ方法を示すブロック図である。
【図2】本発明の認証通信におけるユーザ、セキュリティ管理者及びサービス提供者間を示すフロー図である。
【図3】セキュリティ管理者と連携サービスにおけるユーザID対応テーブル内のデータ要素を示す説明図である。
【図4】一時参照テーブル内のデータ要素を示す説明図である。
【図5】ユーザ側の携帯電話機、PDA、パソコン等のサイトを示すものであり、(a)はセキュリティ管理者の画面、(b)は連携サービス提供者の画面である。
【図6】本発明の認証通信におけるセキュリティ方法を示すものであり、複数の連携サービス提供者を配置したブロック図である。
【符号の説明】
A ユーザ
B サービス提供者
b1 サービス提供者のコンテンツサーバ
bDB サービス提供者のデータベース
C セキュリティ管理者
c1 セキュリティ管理者のセキュアサーバ
c2 セキュリティ管理者のコンテンツサーバ
cDB セキュリティ管理者のデータベース
Claims (3)
- ユーザ(A)と、該ユーザ(A)に対して種々のサービスを提供するサービス提供者(B)のサーバ(b1)間との認証通信におけるセキュリティ方法であって、
セキュリティ管理者(C)のデータベース(cDB)内に、該セキュリティ管理者(C)における前記ユーザ(A)のユーザ識別IDと、該ユーザ(A)の前記連携サービス提供者(B)におけるユーザ識別IDを対応付けて格納する段階と、
前記ユーザ(A)が前記セキュリティ管理者(C)にログインしたときに、該セキュリティ管理者(C)は一時固有IDを発行し、その一時固有ID該ユーザ(A)のIPアドレス、時刻、ユーザエージェントと該セキュリティ管理者(C)におけるユーザ識別IDとを対応付けてデータベース(cDB)に一時保管する段階と、
前記ユーザ(A)が前記セキュリティ管理者(C)へログインした後に、前記ユーザ(A)に対して前記連携サービス提供者(B)へのリンクに一時固有IDを付加して送信する段階と、
前記ユーザ(A)がそのリンクを辿って前記連携サービス提供者(B)のサイトの認証ページにアクセスすると、該連携サービス提供者(B)のサイトのコンテンツサーバ(b1)がセキュリティ管理者(C)のセキュアサーバ(c1)に対して、一時固有ID、ユーザ(A)のIPアドレス、ユーザエージェント情報等を暗号化通信にて送信し、問い合わせを行う段階と、
前記セキュリティ管理者(C)のセキュアサーバ(c1)は、前記データベース(cDB)に一時保管されているデータを参照し、送られてきた情報に一致するものがあれば、連携サービス提供者(B)におけるユーザ識別IDと結果を合わせて返信する段階と、
前記連携サービス提供者(B)では、前記セキュリティ管理者(C)のセキュアサーバ(c1)の返信に基づいて即時にサービスを開始する段階と、を備えた、
ことを特徴とする認証通信におけるセキュリティ方法。 - 前記一時固有IDは、所定の長さを有する制限時間付の固有IDである、ことを特徴とする請求項1の認証通信におけるセキュリティ方法。
- 前記ユーザ(A)が、パソコン、PDA、携帯電話機等の端末を用いて前記サービス提供者(B)にアクセスする、ことを特徴とする請求項1の認証通信におけるセキュリティ方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003010157A JP2004220527A (ja) | 2003-01-17 | 2003-01-17 | 認証通信におけるセキュリティ方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003010157A JP2004220527A (ja) | 2003-01-17 | 2003-01-17 | 認証通信におけるセキュリティ方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004220527A true JP2004220527A (ja) | 2004-08-05 |
Family
ID=32899447
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003010157A Pending JP2004220527A (ja) | 2003-01-17 | 2003-01-17 | 認証通信におけるセキュリティ方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004220527A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007094729A (ja) * | 2005-09-28 | 2007-04-12 | Bank Of Tokyo-Mitsubishi Ufj Ltd | サイト管理装置、サイト運営装置及びプログラム |
| JP2007293760A (ja) * | 2006-04-27 | 2007-11-08 | Hitachi Ltd | 個別認証を用いたシングルサインオン連携方法およびシステム |
| JP2008225988A (ja) * | 2007-03-14 | 2008-09-25 | Nippon Hoso Kyokai <Nhk> | サービス提供方法、および、属性情報管理装置、サービス提供装置、ユーザ端末ならびにそれらのプログラム |
| WO2014050262A1 (ja) * | 2012-09-25 | 2014-04-03 | 株式会社 東芝 | 連携サービス提供システム及びサーバ装置 |
-
2003
- 2003-01-17 JP JP2003010157A patent/JP2004220527A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007094729A (ja) * | 2005-09-28 | 2007-04-12 | Bank Of Tokyo-Mitsubishi Ufj Ltd | サイト管理装置、サイト運営装置及びプログラム |
| JP2007293760A (ja) * | 2006-04-27 | 2007-11-08 | Hitachi Ltd | 個別認証を用いたシングルサインオン連携方法およびシステム |
| JP2008225988A (ja) * | 2007-03-14 | 2008-09-25 | Nippon Hoso Kyokai <Nhk> | サービス提供方法、および、属性情報管理装置、サービス提供装置、ユーザ端末ならびにそれらのプログラム |
| WO2014050262A1 (ja) * | 2012-09-25 | 2014-04-03 | 株式会社 東芝 | 連携サービス提供システム及びサーバ装置 |
| CN104704770A (zh) * | 2012-09-25 | 2015-06-10 | 株式会社东芝 | 合作服务提供系统以及服务器装置 |
| US9813386B2 (en) | 2012-09-25 | 2017-11-07 | Kabushiki Kaisha Toshiba | Cooperation service providing system and server apparatus |
| CN104704770B (zh) * | 2012-09-25 | 2017-12-05 | 株式会社东芝 | 合作服务提供系统以及服务器装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3569122B2 (ja) | セッション管理システム、サービス提供サーバ、セッション管理サーバ、セッション管理方法及び記録媒体 | |
| JP4616352B2 (ja) | ユーザ確認装置、方法及びプログラム | |
| US20100049790A1 (en) | Virtual Identity System and Method for Web Services | |
| US9684628B2 (en) | Mechanism for inserting trustworthy parameters into AJAX via server-side proxy | |
| JP6449993B2 (ja) | シングルサインオンシステムおよびシングルサインオン方法 | |
| JP2001350718A (ja) | コンピュータネットワークシステム及び同システムにおけるセキュリティ保証方法 | |
| WO2003091889A1 (fr) | Serveur de collaboration, systeme de collaboration, son procede de gestion de session et programme | |
| MX2011003223A (es) | Acceso al proveedor de servicio. | |
| JP5373795B2 (ja) | ウェブページのコンテンツをプレゼンス情報で充実させるための方法 | |
| CN103888540B (zh) | 登录信息同步方法、被同步和同步网络服务器 | |
| JP2011100489A (ja) | ユーザ確認装置、方法及びプログラム | |
| JP4932154B2 (ja) | アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム | |
| JP5086024B2 (ja) | ユーザ認証システム、装置、及び方法 | |
| JP2000106552A (ja) | 認証方法 | |
| JP2004220527A (ja) | 認証通信におけるセキュリティ方法 | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和系统 | |
| JP2008077614A (ja) | セッション管理プログラム及びセッション管理方法 | |
| JP2002342270A (ja) | リモートアクセス制御方法、リモートアクセス制御プログラム | |
| JP2000322353A (ja) | 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体 | |
| US20080033961A1 (en) | Electronic Document Browsing | |
| JP5384462B2 (ja) | 認証システムおよび認証方法 | |
| JP2005346571A (ja) | 認証システム及び認証方法 | |
| JP2000172645A (ja) | サーバコンピュータ及びサーバコンピュータにおける認証情報管理方法 | |
| JP2002063138A (ja) | インターネット接続装置、インターネット接続方法、及びインターネット接続プログラムを記録した記録媒体 | |
| US10645067B2 (en) | Search engine for authenticated network resources |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090202 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090601 |