JP2004272380A - Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded - Google Patents

Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded Download PDF

Info

Publication number
JP2004272380A
JP2004272380A JP2003058945A JP2003058945A JP2004272380A JP 2004272380 A JP2004272380 A JP 2004272380A JP 2003058945 A JP2003058945 A JP 2003058945A JP 2003058945 A JP2003058945 A JP 2003058945A JP 2004272380 A JP2004272380 A JP 2004272380A
Authority
JP
Japan
Prior art keywords
authentication
group
user
service
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003058945A
Other languages
Japanese (ja)
Inventor
Yusho Koga
祐匠 古賀
Kenji Takahashi
健司 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003058945A priority Critical patent/JP2004272380A/en
Publication of JP2004272380A publication Critical patent/JP2004272380A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To achieve user identification without increasing the labor of a user, and to realize service provision corresponding to a group to which a user is belonging even at the time of forming a virtual group as the group of mutual users belonging to authentication domains different from each other. <P>SOLUTION: This service providing device 20 acquires a group authentication ticket for proving that a user associated with a service is belonging to a predetermined user group from a user terminal 10 or an authenticating device 30 prior to the service provision to the user terminal 10, and executes the service provision corresponding to the group identified with the group authentication ticket to the user terminal. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上の複数の認証ドメインで分散管理されるユーザ認証情報の管理流通方法に関し、特に単一のユーザの認証処理による複数のサービスの提供を可能とするシングルサインオン技術に関する。
【0002】
【従来の技術】
従来より、一以上のユーザをグループに所属させ、ユーザがサービス提供装置に対してサービスを要求してきたときに、該ユーザの所属するグループに応じてサービス提供を行う方法が提案されている。
【0003】
例えば、UNIX(登録商標)におけるユーザ管理システムでは、ユーザを何れかのグループに所属させるとともに、ユーザ及びグループに対してファイル及びディレクトリへのアクセス権を関連付けている。より具体的には、ファイルサーバとして機能するUNIXマシンは、自身が所属する単一認証ドメイン内に、各ユーザのユーザアカウント情報と、各ユーザアカウントに対応するユーザがどのグループに所属するかということを表すグループアカウント情報を保持し、該サービスにアクセスしてくる各々のユーザを認証することにより、該ユーザがどのグループに所属するかも認証し、ファイル共有のグループに基づくアクセス制御を実現していた(非特許文献1参照)。
【0004】
また、特許文献1に記載の技術では、グループメンバの連名の署名により、協調作業に避ける共有リソースへのアクセス制御を実現していた。すなわち、グループのメンバである全てのユーザの許可がないと、共有リソースである文書の更新をかける、といったことができないような方法が実現されていた。
【0005】
【非特許文献1】
砂原秀樹/石井秀治/植原啓介/林周志・共著,「プロフェッショナルBSD」,アスキー出版社,1994年7月21日発行
【0006】
【特許文献1】
特開平7−21127号公報
【0007】
【発明が解決しようとする課題】
しかしながら、上記従来の技術では、ユーザが複数のサービス提供者によって提供されるサービスを、それぞれが提供するグループアカウントに基づいて利用する場合、サービスを利用するユーザは、各々のサービス提供者における認証のための情報を一つ一つ記憶しておく必要があった。このため、利用するサービスが増えれば増えるほど、ユーザにとっては自身が管理する必要がある認証情報が増加してしまっていた。特に、昨今はオンライン上でバーチャルグループを形成することによりグループで情報を共有して業務を進めていく機会が非常に増えてきていえる。このため、ユーザは、バーチャルグループを形成するたびに、新しいアカウント認証情報を覚える必要が出てきてしまい、ユーザの負担は多大なものとなっていた。
【0008】
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、それぞれ異なった認証ドメインに所属するユーザ同士の集合としてバーチャルなグループを形成した場合であっても、ユーザの負担を増大することなくユーザ認証を可能とし且つユーザの属するグループに応じたサービス提供を行うことにある。
【0009】
【課題を解決するための手段】
上記目的を達成するために、本願発明では、ユーザの認証管理単位である認証ドメイン毎に少なくとも1台以上設置された認証装置と、何れかの認証ドメインに属するユーザ端末と、何れかの認証ドメインに属し且つユーザ端末に対してサービスを提供するサービス提供装置とをネットワークを介して接続し、サービス提供装置がユーザ端末にサービスを提供する際にユーザを認証する方法において、前記サービス提供装置は、ユーザ端末へのサービス提供に先立ち、該サービスに係るユーザが所定のユーザグループに属する事を証明するグループ認証チケットをユーザ端末又は認証装置から取得し、該グループ認証チケットで識別されたグループに応じたサービス提供をユーザ端末に対して行うことを特徴とするものを提案する。
【0010】
本発明によれば、サービス提供装置は、ユーザの認証情報を有していなくても該ユーザの本人性を確認し且つ該ユーザが所定のグループに所属するということを確認できるようになるため、それぞれ異なった認証ドメインに所属するユーザ同士の集合として、バーチャルなグループを形成できるようになる。
【0011】
前記グループ認証チケットの発行の一例として、本願発明では、認証装置は、予め、前記グループ認証チケットを作成して該グループ認証チケットに係るグループを構成するユーザが属する各認証ドメインの認証装置に対して該グループ認証チケットを配布するとともに、他の認証装置から受信したグループ認証チケットを管理することを特徴とするものを提案する。
【0012】
本発明によれば、サービス提供装置はユーザに対してサービスを提供する際に、該ユーザの属する認証ドメインに設置された認証装置から直接又はユーザ端末など他の装置を介して、グループ認証チケットを取得できる。
【0013】
また、本願発明では、ユーザ端末は、サービス提供装置へのサービス要求に先立ち、自身が属する認証ドメインの認証装置でユーザ認証を行うとともに該認証装置からグループ認証チケットを取得し、取得したグループ認証チケットをサービス提供装置に送信することを特徴とするものを提案する。
【0014】
本発明によれば、グループ認証チケットはユーザ端末が自身の属する認証ドメインの認証装置から入手され、ユーザ端末からサービス提供装置に送信されるので、認証装置においてユーザの認証を実施することにより本人性の確認を確実に行うことができる。換言すれば、ユーザは、自身の属する認証ドメインの認証装置で認証を行えば、それぞれ異なった認証ドメインに所属するユーザ同士の集合であるバーチャルなグループについて、該グループに応じたサービスを受けることができる。
【0015】
また、本願発明では、ユーザ端末は、サービス提供装置へのサービス要求に先立ち、自身が属する認証ドメインの認証装置でユーザ認証を行うとともにサービス提供装置に前記認証装置から受信したユーザ認証を確認する情報及びグループ情報を通知し、サービス提供装置は、ユーザ端末から受信したユーザ認証確認情報及びグループ情報に基づき該ユーザが属する認証ドメインの認証装置からグループ認証チケットを取得することを特徴とするものを提案する。
【0016】
本発明によれば、ユーザが該ユーザの属する認証装置で認証された後に、そのユーザ認証確認情報及びグループ情報に基づいてサービス提供装置が認証装置からグループ認証チケットを取得できるので、ユーザは、自身の属する認証ドメインの認証装置で認証を行えば、それぞれ異なった認証ドメインに所属するユーザ同士の集合であるバーチャルなグループについて、該グループに応じたサービスを受けることができる。
【0017】
【発明の実施の形態】
本発明の一実施の形態に係るグループ認証システムについて図面を参照して説明する。図1は本発明のグループ認証システム全体を示す構成図、図2は本システムにおけるサービス提供コンピュータの説明図、図3はグループアカウント情報の例の説明図、図4は本システムにおける認証チケット発行コンピュータの説明図、図5は本システムにおけるグループ認証チケットの説明図である。
【0018】
図1に示すように、本発明のグループ認証システムは、ユーザ1が利用するユーザ利用コンピュータ10と、ユーザ利用コンピュータ10にサービスを提供するサービス提供コンピュータ20と、後述するグループ認証チケットの発行や認証処理などを行う認証チケット発行コンピュータ30とが、ネットワーク40を介して接続されている。これらのコンピュータ10,20,30は、任意の数だけ集まって、認証管理単位である認証ドメイン50を形成する。すなわち、認証チケット発行コンピュータ30は、一認証ドメイン50あたりに少なくとも一つは配置される。
【0019】
図1の例では、認証ドメイン50−1は、認証チケット発行コンピュータ30−1,ユーザ利用コンピュータ10−1a,10−1bによって構成されており、ユーザ1−1a,1−1bは該認証ドメイン50−1に所属する。同様に、認証ドメイン50−2は、認証チケット発行コンピュータ30−2,ユーザ利用コンピュータ10−2a,10−2bによって構成されており、ユーザ1−2a,1−2bは該認証ドメイン50−2に所属する。また、認証ドメイン50−3は、認証チケット発行コンピュータ30−3,ユーザ利用コンピュータ10−3a,10−3bによって構成されており、ユーザ1−3a,1−3bは該認証ドメイン50−3に所属する。さらに、認証ドメイン50−4は、認証チケット発行コンピュータ30−4,サービス提供コンピュータ20によって構成されているが、認証ドメイン50−4に所属するユーザは存在していない。
【0020】
本発明は、このような認証ドメイン50が形成されている場合に、認証ドメイン50を跨ったユーザ1のグループを形成し、サービス提供コンピュータ20が該グループに応じたサービスを容易且つ確実に提供可能とすることを目的としている。
【0021】
サービス提供コンピュータ20は、図2に示すように、通信制御部21と、グループアカウント管理部22と、グループアカウント情報保存部23と、グループ認証チケット精査部24と、サービス提供部25とを備えている。
【0022】
通信制御部21は、他のコンピュータが送信した要求メッセージや応答メッセージをネットワーク40を介して受信し、また他のコンピュータに対して応答メッセージや要求メッセージを送信する。
【0023】
グループアカウント管理部22は、一又は複数のユーザ1によって構成されるグループアカウントを管理するものである。具体的には、グループアカウント管理部22は、グループ作成要求に応じてグループアカウントを作成する機能、グループアカウント情報保存部23に該グループアカウントの情報を保存する機能、既存のグループアカウントの情報をグループアカウント情報保存部23から取り出す機能、認証チケット発行コンピュータ30に対してグループ認証チケットを発行するように要求する(認証チケット発行要求)機能などを有している。
【0024】
図3にグループアカウント情報の一例を示す。図3の例では、グループアカウントの属性情報として、グループのグループID、グループのメンバであるユーザのユーザID、そのユーザが所属する認証ドメイン50の認証チケット発行コンピュータ30の情報がXMLで記述されている。各属性情報のフォーマットとしては、図3の例では、グループIDとしては任意の文字列を、ユーザIDとしては電子メールアドレスを、認証チケット発行コンピュータの情報としてはIPアドレスを用いている。
【0025】
グループアカウント情報保存部23は、グループアカウント管理部22で作成されたグループアカウントの情報を保存する。
【0026】
グループ認証チケット精査部24は、サービス提供部25がユーザ1に対してサービスを提供するときに、ユーザ利用コンピュータ10等から取得したグループ認証チケットを精査し、該ユーザ1が所定のグループに所属するかどうかを判断する。
【0027】
サービス提供部25は、グループ認証チケット精査部24の判断に基づき、ユーザ利用コンピュータ10に対して該ユーザ1の所属するグループに応じたサービス提供を行う。例えば、ユーザ利用コンピュータ10に対してファイル共有サービスを提供する場合では、グループに対してファイルやディレクトリのアクセス権を付与することにより、ファイルやディレクトリのアクセス制御を行う。
【0028】
認証チケット発行コンピュータ30は、図4に示すように、通信制御部31と、ユーザ認証部32と、ユーザ認証情報保存部33と、グループ認証チケット生成部34と、グループ認証チケット管理部35と、グループ認証チケット保存部36とを備えている。
【0029】
通信制御部31は、他のコンピュータが送信した要求メッセージや応答メッセージをネットワーク40を介して受信し、また他のコンピュータに対して応答メッセージや要求メッセージを送信する。
【0030】
ユーザ認証部32は、ユーザ認証情報保存部33に保存されている認証情報を用いて、自認証チケット発行コンピュータ30が所属する認証ドメイン50内のユーザ1の認証を行う。
【0031】
ユーザ認証情報保存部33は、ユーザ認証を行うためのユーザ認証情報を保存する。ユーザ認証情報には、例えば、ユーザ1の識別子(ログイン名)とパスワードの組などが挙げられる。
【0032】
グループ認証チケット生成部34は、サービス提供コンピュータ20からの認証チケット発行要求にしたがい、グループ認証チケットを生成する。ここで、認証チケット発行要求には、後述するようにグループアカウント情報が含まれており、グループ認証チケット生成部34は、該グループアカウント情報を参照し、そのグループのメンバであるユーザ1が所属する認証ドメイン50内の認証チケット発行コンピュータ30に対して、グループ認証チケットを配布する。このグループ認証チケットの配布はグループに属する全てのユーザ1毎に行う。
【0033】
グループ認証チケットは、ユーザがあるグループに所属することを証明する証明書であり、少なくとも、グループ認証チケットを発行した認証チケット発行サーバの情報と、ユーザが所属するグループの情報(グループID)と、ユーザの情報(ユーザID)と、ユーザが所属する認証ドメインの認証チケット発行サーバの情報とが含まれる。図5にXMLで記述したグループ認証チケットの一例を示す。図5の例では、グループIDとしては任意の文字列を、ユーザIDとしては電子メールアドレスを、各認証チケット発行コンピュータの情報としてはIPアドレスを用いている。なお、認証チケット発行コンピュータ30から他のコンピュータに対してグループ認証チケットが送信される際には、該グループ認証チケットには送信元の認証チケット発行コンピュータ30による電子署名が付される。電子署名の形態としては公開鍵暗号方式を用いたものなどが挙げられる。
【0034】
グループ認証チケット管理部35は、認証チケット発行コンピュータ30が発行したグループ認証チケットを受け取ってグループ認証チケット保存部36に保存する機能、要求にしたがってグループ認証チケット保存部36に保存されたグループ認証チケットを取り出す機能などを有する。なお、グループ認証チケットは、他の認証チケット発行コンピュータ30から受信するものの他、自身で生成したものも含まれる。ここで、後者のグループ認証チケットは、グループに係るユーザ1が自認証ドメイン50に属している場合が該当する。
【0035】
グループ認証チケット保存部36は、他の認証チケット発行コンピュータ30から受信したグループ認証チケット、及び、自身のグループ認証チケット生成部34で生成したグループ認証チケットを保存する。
【0036】
次に、本実施の形態に係るグループ認証システムの動作について図面を参照して説明する。ここでは、サービス提供コンピュータ20内の通信制御部21,グループアカウント管理部22,グループ認証チケット精査部24,サービス提供部25,認証チケット発行コンピュータ30内の通信制御部31,ユーザ認証部32,グループ認証チケット生成部34,及びグループ認証チケット管理部35を、CGIやサーブレットとして実装した例を説明する。
【0037】
また、本実施形態では、ユーザ利用コンピュータ10,サービス提供コンピュータ20,及び、認証チケット発行コンピュータ30の間で行われる通信のプロトコルとして、HTTPを用いるものとする。また、ユーザ認証要求してきたユーザ1を認証チケット発行コンピュータ30が認証するための認証情報として、ログイン名とパスワードの組を用いるものとする。さらに、グループアカウント情報及びグループ認証チケットはXML形式で保存されるものとする。さらに、サービス提供コンピュータ20によって提供されるサービスはグループに基づくアクセス制御を行うファイル共有サービスとする。
【0038】
まず、一以上のユーザ1からなるグループを登録する方法について図6のシーケンスチャートを参照して説明する。ここでは、当該グループに属するユーザ1がグループ登録を行う場合について説明するが、グループの登録は当該グループに属さないものが行ってもよい。図6の例では、認証ドメイン50−1に属するユーザ1−1aと、認証ドメイン50−2に属するユーザ1−2aとがグループを形成する場合について例示している。
【0039】
まず、ユーザ1はユーザ端末1を用いてサービス提供コンピュータ20に対して、グループ登録要求を送信する(ステップS1)。このときグループ登録要求には、グループを構成する各ユーザのユーザID及び該ユーザの属する認証ドメイン50からなるグループ構成情報が含まれる。
【0040】
グループ登録要求を受信したサービス提供コンピュータ20は、グループアカウント管理部22において、受信したグループ構成情報をもとに、グループアカウントを生成し、グループアカウント情報保存部23に保存する(ステップS2)。
【0041】
グループアカウント管理部22は、グループアカウントを作成すると、自身が所属する認証ドメイン50の認証チケット発行コンピュータ30−4に対して、当該グループのメンバであるユーザが所属する各認証ドメイン50−1,50−2の認証チケット発行コンピュータ30−1,30−2に対するグループ認証チケットの発行を要求(認証チケット発行要求)する(ステップS3)。ここで、認証チケット発行要求には、前記ステップS2で生成したグループアカウント情報が含まれる。
【0042】
認証チケット発行要求を受信した認証チケット発行コンピュータ30−4は、受信した認証チケット発行要求に基づきグループ認証チケット生成部34においてグループ認証チケットを生成する(ステップS4)。そして、該認証チケットに電子証明を施した後に、該グループアカウント情報を参照して、グループのメンバであるユーザが所属する認証ドメイン50−1,50−2内の認証チケット発行コンピュータ30−1,30−2に対して、グループ認証チケットを発行(配布)する(ステップS5)。
【0043】
グループ認証チケットを受信した認証チケット発行コンピュータ30−1,30−2は、それぞれ電子署名を確認することにより該グループ認証チケットを発行した認証チケット発行コンピュータ30−4を特定し、グループ認証チケット保存部36に該グループ認証チケットを保存する。
【0044】
以上の処理により、グループに関するアカウント情報がサービス提供コンピュータ20に保存されるとともに、グループに属する各ユーザ1が所属する認証ドメイン50の認証チケット発行コンピュータ30には該グループに係るグループ認証チケットが保存される。
【0045】
次に、グループのメンバであるユーザがサービス提供コンピュータ20が提供するサービスを利用する場合について図7のシーケンスチャートを参照して説明する。図7の例では、認証ドメイン50−1に属するユーザ1−1aがユーザ利用コンピュータ10−1aを用いてサービス提供コンピュータ20からサービスを受ける場合について説明する。
【0046】
まず、ユーザ1−1aを所属する認証ドメイン50−1の認証チケット発行コンピュータ30−1に認証してもらうために、ユーザ利用コンピュータ10−1aは、ログイン名とパスワードといった認証情報を含む認証要求を、認証チケット発行コンピュータ30−1に対して送信する(ステップS11)。
【0047】
認証要求を受け取った認証チケット発行コンピュータ30−1は、ユーザ認証部32が、ユーザ認証情報保存部33に保存されている認証要求元ユーザの認証情報と、認証要求と共に送信されてきた認証情報とを照らし合わせて、ユーザの本人性を確認する(ステップS12)。ユーザの本人性が確認されると、グループ認証チケット管理部35は、グループ認証チケット保存部36に保存されているグループ認証チケットを取り出し(ステップS13)、これに電子署名を施し、ユーザ利用コンピュータ10−1aに対して、グループ認証チケットを発行する(ステップS14)。
【0048】
グループ認証チケットを受領したユーザ利用コンピュータ10−1aは、サービス提供コンピュータ20に対して、サービス要求をグループ認証チケットと共に送信する(ステップS15)。
【0049】
サービス要求を受信したサービス提供コンピュータ20は、グループ認証チケット精査部24において、提示されたグループ認証チケットを確認する(ステップS16)。本確認では、グループ認証チケットに電子署名が施されていることにより、当該ユーザが所属する認証ドメイン50−1の認証チケット発行コンピュータ30−1を特定する。そして、当該ユーザが所属するグループを特定し、サービス提供部25に対して、グループに基づくアクセス制御を行いつつ、サービスを提供する(ステップS17)。
【0050】
ここで提供されるサービスは、本実施例における共有サービスの場合、例えばファイル取得要求があった際には、対象のファイルに対して、該ユーザが所属するグループがアクセス権を持っているかどうかを、サービス提供部25が確認し、ファイルを提供する、というものが挙げられる。
【0051】
以上のような処理により、ユーザ1は自身の属する認証ドメイン50の認証チケット発行コンピュータ30で認証を行うだけで、認証ドメイン50を跨ったグループの権限でサービス提供コンピュータ20からサービスを受けることができる。
【0052】
このように、本発明によれば、サービス提供コンピュータ20は、ユーザ1の認証情報を有していなくても該ユーザ1の本人性を確認し且つ該ユーザ1が所定のグループに所属するということをグループ認証チケットにより確認できるようになるため、それぞれ異なった認証ドメイン50に所属するユーザ1同士の集合として、バーチャルなグループを形成できるようになる。
【0053】
以上、本発明の実施の形態について説明したが、本発明はこれに限定されるものではない。例えば、ユーザ利用コンピュータ10,サービス提供コンピュータ20,及び認証チケット発行コンピュータ30の間で行われる通信のプロトコルはHTTPだけではなく、独自に決めたもので実装することも可能である。また、上記実施の形態では、各コンピュータの各機能をCGIにより実装したが、本発明は他の実装方法であっても適用できる。
【0054】
さらに、上記実施の形態では、グループを新規に登録する場合について説明したが、同様の手順によりグループ構成の更新が可能である。すなわち、グループを構成する各ユーザのユーザID及び該ユーザの属する認証ドメイン50からなるグループ構成情報を含むグループ更新情報をサービス提供コンピュータ20に送信することによりグループの更新が可能となる。なお、この場合にも、更新作業を実施するユーザが当該グループに属しているか否かは不問である。
【0055】
さらに、上記実施の形態では、サービス提供時のユーザ利用コンピュータ10からグループ認証チケットを取得していたが、該ユーザ利用コンピュータ10が属する認証チケット発行コンピュータ30から取得するようにしてもよい。以下、このような形態について図8のフローチャートを参照して説明する。
【0056】
図8の例では、認証ドメイン50−1に属するユーザ1−1aがユーザ利用コンピュータ10−1aを用いてサービス提供コンピュータ20からサービスを受ける場合について説明する。
【0057】
まず、ユーザ1−1aを所属する認証ドメイン50−1の認証チケット発行コンピュータ30−1に認証してもらうために、ユーザ利用コンピュータ10−1aは、ログイン名とパスワードといった認証情報を含む認証要求を、認証チケット発行コンピュータ30−1に対して送信する(ステップS21)。
【0058】
認証要求を受け取った認証チケット発行コンピュータ30−1は、ユーザ認証部32が、ユーザ認証情報保存部33に保存されている認証要求元ユーザの認証情報と、認証要求と共に送信されてきた認証情報とを照らし合わせて、ユーザの本人性を確認する(ステップS22)。ユーザの本人性が確認されると、ユーザの認証がなされたことを証明する情報(ユーザ認証証明書)をユーザ利用コンピュータ10−1aに送信する(ステップS23)。このユーザ認証証明書には該証明書を発行する認証チケットコンピュータ30−1による電子署名が付されている。
【0059】
ユーザ認証証明書を受信したユーザ利用コンピュータ10−1aは、サービス要求,ユーザ認証証明書,どのグループに属しているかを示すグループ情報をサービス提供コンピュータ20に送信する(ステップS24)。
【0060】
サービス要求等を受信したサービス提供コンピュータ20は、当該ユーザ1−1aの属する認証ドメイン50−1の認証チケット発行コンピュータ30−1に対して、認証チケットの発行を要求する(ステップS25)。このとき、該要求には、ユーザを識別するために、ユーザ利用コンピュータ10−1aから受信したユーザ認証証明書が付される。
【0061】
グループ認証チケット要求を受信した認証チケット発行コンピュータ30−1は、グループ認証チケット保存部36に保存されているグループ認証チケットを取り出し(ステップS26)、これに電子署名を施し、サービス提供コンピュータ20に対して、グループ認証チケットを発行する(ステップS27)。
【0062】
グループ認証チケットを受信したサービス提供コンピュータ20は、グループ認証チケット精査部24において、提示されたグループ認証チケットを確認する(ステップS28)。本確認では、グループ認証チケットに電子署名が施されていることにより、当該ユーザが所属する認証ドメイン50−1の認証チケット発行コンピュータ30−1を特定する。そして、当該ユーザが所属するグループを特定し、サービス提供部25に対して、グループに基づくアクセス制御を行いつつ、サービスを提供する(ステップS29)。
【0063】
以上のような処理により、前述の実施形態と同様に、ユーザ1は自身の属する認証ドメイン50の認証チケット発行コンピュータ30で認証を行うだけで、認証ドメイン50を跨ったグループの権限でサービス提供コンピュータ20からサービスを受けることができる。
【0064】
さらに、上記実施の形態では、サービス提供コンピュータ20が属する認証ドメイン50−4にはユーザ利用コンピュータ10が所属していなかったが、該認証ドメイン50にユーザ利用コンピュータ10を所属するような形態であっても本発明を適用可能である。
【0065】
【発明の効果】
以上詳述したように、本発明によれば、サービス提供装置は、ユーザの認証情報を有していなくても該ユーザの本人性を確認し且つ該ユーザが所定のグループに所属するということを確認できるようになるため、それぞれ異なった認証ドメインに所属するユーザ同士の集合として、バーチャルなグループを形成できるようになる。
【図面の簡単な説明】
【図1】グループ認証システム全体を示す構成図
【図2】サービス提供コンピュータの説明図
【図3】グループアカウント情報の例の説明図
【図4】認証チケット発行コンピュータの説明図
【図5】グループ認証チケットの例の説明図
【図6】グループ登録時の動作を説明するシーケンスチャート
【図7】サービス提供時の動作を説明するシーケンスチャート
【図8】他の例に係るサービス提供時の動作を説明するシーケンスチャート
【符号の説明】
1…ユーザ、10…ユーザ利用コンピュータ、20…サービス提供コンピュータ、21…通信制御部、22…グループアカウント管理部、23…グループアカウント保存部、24…グループ認証チケット精査部、25…サービス提供部、30…認証チケット発行コンピュータ、31…通信制御部、32…ユーザ認証部、33…ユーザ認証情報保存部、34…グループ認証チケット生成部、35…グループ認証チケット管理部、36…グループ認証チケット保存部、40…ネットワーク、50…認証ドメイン[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a management and distribution method of user authentication information distributed and managed by a plurality of authentication domains on a network, and more particularly to a single sign-on technique capable of providing a plurality of services by a single user authentication process.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, a method has been proposed in which one or more users belong to a group, and when a user requests a service from a service providing apparatus, a service is provided according to the group to which the user belongs.
[0003]
For example, in a user management system in UNIX (registered trademark), a user belongs to any one of the groups, and access rights to files and directories are associated with the user and the group. More specifically, the UNIX machine that functions as a file server has, within the single authentication domain to which it belongs, the user account information of each user and the group to which the user corresponding to each user account belongs. By holding group account information indicating the user and authenticating each user who accesses the service, it also authenticates which group the user belongs to, and realizes access control based on a file sharing group. (See Non-Patent Document 1).
[0004]
Further, in the technique described in Patent Document 1, access control to a shared resource to be avoided for cooperative work is realized by a signature of a group member's joint name. In other words, a method has been realized in which it is not possible to update a document as a shared resource without permission of all users who are members of the group.
[0005]
[Non-patent document 1]
Hideki Sunahara / Hideharu Ishii / Keisuke Uehara / Shuji Hayashi, co-authored, "Professional BSD", ASCII Publishing, July 21, 1994
[0006]
[Patent Document 1]
JP-A-7-21127
[0007]
[Problems to be solved by the invention]
However, in the above-described conventional technology, when a user uses a service provided by a plurality of service providers based on a group account provided by each of the services, the user using the service requires authentication of each service provider. Information had to be stored one by one. For this reason, the more services are used, the more authentication information the user needs to manage. In particular, in recent years, there has been a great increase in opportunities to form a virtual group online and share information with the group to proceed with work. For this reason, each time a user forms a virtual group, it becomes necessary to remember new account authentication information, and the burden on the user has become enormous.
[0008]
The present invention has been made in view of the above circumstances, and an object of the present invention is to reduce the burden on users even when a virtual group is formed as a set of users belonging to different authentication domains. Another object of the present invention is to enable user authentication without increasing the number of services and to provide services according to the group to which the user belongs.
[0009]
[Means for Solving the Problems]
In order to achieve the above object, according to the present invention, at least one authentication device is installed for each authentication domain which is an authentication management unit of a user, a user terminal belonging to any authentication domain, A service providing device that provides a service to a user terminal and a service providing device that connects to the user terminal via a network, and the service providing device authenticates a user when the service providing device provides a service to the user terminal. Prior to providing the service to the user terminal, a group authentication ticket that certifies that the user who belongs to the service belongs to a predetermined user group is obtained from the user terminal or the authentication device, and the group authentication ticket corresponding to the group identified by the group authentication ticket is obtained. A service providing service to a user terminal is proposed.
[0010]
According to the present invention, the service providing apparatus can confirm the identity of the user without having the authentication information of the user and can confirm that the user belongs to a predetermined group, A virtual group can be formed as a set of users belonging to different authentication domains.
[0011]
As an example of the issuance of the group authentication ticket, in the present invention, the authentication device generates the group authentication ticket in advance and sends the group authentication ticket to the authentication device of each authentication domain to which the user configuring the group related to the group authentication ticket belongs. A proposal is made of distributing the group authentication ticket and managing the group authentication ticket received from another authentication device.
[0012]
According to the present invention, when providing a service to a user, the service providing apparatus generates a group authentication ticket directly from an authentication apparatus installed in an authentication domain to which the user belongs or through another apparatus such as a user terminal. Can be obtained.
[0013]
Further, in the present invention, the user terminal performs user authentication with an authentication device of an authentication domain to which the user terminal belongs, obtains a group authentication ticket from the authentication device, and obtains the obtained group authentication ticket prior to a service request to the service providing device. Is transmitted to the service providing apparatus.
[0014]
According to the present invention, the group authentication ticket is obtained from the authentication device of the authentication domain to which the user terminal belongs and is transmitted from the user terminal to the service providing device. Can be surely confirmed. In other words, if the user authenticates with the authentication device of the authentication domain to which the user belongs, the user can receive a service corresponding to the virtual group, which is a set of users belonging to different authentication domains. it can.
[0015]
Further, in the present invention, the user terminal performs user authentication with the authentication device of the authentication domain to which the user terminal belongs, prior to the service request to the service providing device, and the service providing device confirms the user authentication received from the authentication device. And a service providing device that obtains a group authentication ticket from an authentication device of an authentication domain to which the user belongs based on the user authentication confirmation information and the group information received from the user terminal. I do.
[0016]
According to the present invention, after the user is authenticated by the authentication device to which the user belongs, the service providing device can acquire the group authentication ticket from the authentication device based on the user authentication confirmation information and the group information. If authentication is performed by the authentication device of the authentication domain to which the user belongs, a service corresponding to the group can be received for a virtual group that is a set of users belonging to different authentication domains.
[0017]
BEST MODE FOR CARRYING OUT THE INVENTION
A group authentication system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a configuration diagram showing the entire group authentication system of the present invention, FIG. 2 is an explanatory diagram of a service providing computer in the present system, FIG. 3 is an explanatory diagram of an example of group account information, and FIG. FIG. 5 is an explanatory diagram of a group authentication ticket in the present system.
[0018]
As shown in FIG. 1, the group authentication system of the present invention includes a user use computer 10 used by the user 1, a service providing computer 20 for providing services to the user use computer 10, a group authentication ticket issuance and authentication described later. An authentication ticket issuing computer 30 that performs processing and the like is connected via a network 40. An arbitrary number of these computers 10, 20, and 30 form an authentication domain 50 as an authentication management unit. That is, at least one authentication ticket issuing computer 30 is arranged per one authentication domain 50.
[0019]
In the example of FIG. 1, the authentication domain 50-1 includes an authentication ticket issuing computer 30-1 and user use computers 10-1a and 10-1b, and the users 1-1a and 1-1b are connected to the authentication domain 50. -1. Similarly, the authentication domain 50-2 includes an authentication ticket issuing computer 30-2 and user use computers 10-2a and 10-2b, and the users 1-2a and 1-2b are assigned to the authentication domain 50-2. belong to. The authentication domain 50-3 includes an authentication ticket issuing computer 30-3 and user use computers 10-3a and 10-3b, and the users 1-3a and 1-3b belong to the authentication domain 50-3. I do. Further, the authentication domain 50-4 is composed of the authentication ticket issuing computer 30-4 and the service providing computer 20, but there is no user belonging to the authentication domain 50-4.
[0020]
According to the present invention, when such an authentication domain 50 is formed, a group of the users 1 is formed across the authentication domain 50, and the service providing computer 20 can easily and reliably provide the service corresponding to the group. It is intended to be.
[0021]
As shown in FIG. 2, the service providing computer 20 includes a communication control unit 21, a group account management unit 22, a group account information storage unit 23, a group authentication ticket scrutinizing unit 24, and a service providing unit 25. I have.
[0022]
The communication control unit 21 receives a request message or a response message transmitted by another computer via the network 40, and transmits a response message or a request message to another computer.
[0023]
The group account management unit 22 manages a group account composed of one or a plurality of users 1. Specifically, the group account management unit 22 has a function of creating a group account in response to a group creation request, a function of storing the information of the group account in the group account information storage unit 23, and a function of storing the information of the existing group account in the group. It has a function of taking out from the account information storage unit 23 and a function of requesting the authentication ticket issuing computer 30 to issue a group authentication ticket (authentication ticket issuance request).
[0024]
FIG. 3 shows an example of the group account information. In the example of FIG. 3, the group ID of the group, the user ID of the user who is a member of the group, and the information of the authentication ticket issuing computer 30 of the authentication domain 50 to which the user belongs are described in XML as the attribute information of the group account. I have. As the format of each attribute information, in the example of FIG. 3, an arbitrary character string is used as the group ID, an e-mail address is used as the user ID, and an IP address is used as the information on the authentication ticket issuing computer.
[0025]
The group account information storage unit 23 stores information on the group account created by the group account management unit 22.
[0026]
When the service providing unit 25 provides a service to the user 1, the group authentication ticket scrutinizing unit 24 scrutinizes the group authentication ticket acquired from the user computer 10 or the like, and the user 1 belongs to a predetermined group. Determine whether or not.
[0027]
The service providing unit 25 provides a service to the user computer 10 according to the group to which the user 1 belongs based on the determination of the group authentication ticket scrutinizing unit 24. For example, when providing a file sharing service to the user computer 10, access control of files and directories is performed by granting file and directory access rights to groups.
[0028]
As shown in FIG. 4, the authentication ticket issuing computer 30 includes a communication control unit 31, a user authentication unit 32, a user authentication information storage unit 33, a group authentication ticket generation unit 34, a group authentication ticket management unit 35, And a group authentication ticket storage unit 36.
[0029]
The communication control unit 31 receives a request message or a response message transmitted by another computer via the network 40, and transmits a response message or a request message to another computer.
[0030]
The user authentication unit 32 authenticates the user 1 in the authentication domain 50 to which the self-authentication ticket issuing computer 30 belongs, using the authentication information stored in the user authentication information storage unit 33.
[0031]
The user authentication information storage unit 33 stores user authentication information for performing user authentication. The user authentication information includes, for example, a set of an identifier (login name) of the user 1 and a password.
[0032]
The group authentication ticket generation unit 34 generates a group authentication ticket according to an authentication ticket issuance request from the service providing computer 20. Here, the authentication ticket issuance request includes group account information as described later, and the group authentication ticket generation unit 34 refers to the group account information and belongs to the user 1 who is a member of the group. The group authentication ticket is distributed to the authentication ticket issuing computer 30 in the authentication domain 50. This group authentication ticket is distributed for every user 1 belonging to the group.
[0033]
The group authentication ticket is a certificate for certifying that the user belongs to a certain group. At least information on the authentication ticket issuing server that has issued the group authentication ticket, information on the group to which the user belongs (group ID), User information (user ID) and information on the authentication ticket issuing server of the authentication domain to which the user belongs are included. FIG. 5 shows an example of a group authentication ticket described in XML. In the example of FIG. 5, an arbitrary character string is used as the group ID, an e-mail address is used as the user ID, and an IP address is used as information on each authentication ticket issuing computer. When a group authentication ticket is transmitted from the authentication ticket issuing computer 30 to another computer, an electronic signature is attached to the group authentication ticket by the sender authentication ticket issuing computer 30. Examples of the form of the electronic signature include one using a public key cryptosystem.
[0034]
The group authentication ticket management unit 35 has a function of receiving the group authentication ticket issued by the authentication ticket issuing computer 30 and storing the group authentication ticket in the group authentication ticket storage unit 36, and stores the group authentication ticket stored in the group authentication ticket storage unit 36 according to the request. It has a function to take out. It should be noted that the group authentication ticket includes one generated by itself as well as one received from another authentication ticket issuing computer 30. Here, the latter group authentication ticket corresponds to a case where the user 1 related to the group belongs to the self-authentication domain 50.
[0035]
The group authentication ticket storage unit 36 stores the group authentication ticket received from another authentication ticket issuing computer 30 and the group authentication ticket generated by the own group authentication ticket generation unit 34.
[0036]
Next, the operation of the group authentication system according to the present embodiment will be described with reference to the drawings. Here, the communication control unit 21, the group account management unit 22, the group authentication ticket scrutinizing unit 24, the service providing unit 25 in the service providing computer 20, the communication control unit 31, the user authentication unit 32, and the group An example in which the authentication ticket generation unit 34 and the group authentication ticket management unit 35 are implemented as a CGI or a servlet will be described.
[0037]
In the present embodiment, it is assumed that HTTP is used as a protocol of communication performed between the user use computer 10, the service providing computer 20, and the authentication ticket issuing computer 30. Also, a pair of a login name and a password is used as authentication information for the authentication ticket issuing computer 30 to authenticate the user 1 who has requested the user authentication. Further, it is assumed that the group account information and the group authentication ticket are stored in an XML format. Further, the service provided by the service providing computer 20 is a file sharing service that performs access control based on groups.
[0038]
First, a method of registering a group including one or more users 1 will be described with reference to a sequence chart of FIG. Here, a case will be described where the user 1 belonging to the group performs group registration, but a group that does not belong to the group may perform group registration. The example of FIG. 6 illustrates a case where the user 1-1a belonging to the authentication domain 50-1 and the user 1-2a belonging to the authentication domain 50-2 form a group.
[0039]
First, the user 1 transmits a group registration request to the service providing computer 20 using the user terminal 1 (step S1). At this time, the group registration request includes the user ID of each user constituting the group and the group configuration information including the authentication domain 50 to which the user belongs.
[0040]
The service providing computer 20 that has received the group registration request generates a group account based on the received group configuration information in the group account management unit 22, and stores it in the group account information storage unit 23 (step S2).
[0041]
When the group account management unit 22 creates the group account, the authentication account issuing computer 30-4 of the authentication domain 50 to which the group belongs belongs to each authentication domain 50-1, 50 to which the user who is a member of the group belongs. A request for issuing a group authentication ticket (authentication ticket issuance request) to the -2 authentication ticket issuing computers 30-1 and 30-2 (step S3). Here, the authentication ticket issuance request includes the group account information generated in step S2.
[0042]
Upon receiving the authentication ticket issuance request, the authentication ticket issuance computer 30-4 generates a group authentication ticket in the group authentication ticket generation unit 34 based on the received authentication ticket issuance request (step S4). Then, after performing the electronic certification on the authentication ticket, referring to the group account information, the authentication ticket issuing computer 30-1, in the authentication domain 50-1, 50-2 to which the user who is a member of the group belongs. A group authentication ticket is issued (distributed) to 30-2 (step S5).
[0043]
The authentication ticket issuing computers 30-1 and 30-2 that have received the group authentication ticket respectively identify the authentication ticket issuing computer 30-4 that has issued the group authentication ticket by confirming the electronic signature, and store the group authentication ticket storage unit. 36, the group authentication ticket is stored.
[0044]
Through the above processing, the account information regarding the group is stored in the service providing computer 20, and the group authentication ticket related to the group is stored in the authentication ticket issuing computer 30 of the authentication domain 50 to which each user 1 belonging to the group belongs. You.
[0045]
Next, a case where a user who is a member of a group uses a service provided by the service providing computer 20 will be described with reference to a sequence chart of FIG. In the example of FIG. 7, a case will be described where the user 1-1a belonging to the authentication domain 50-1 receives a service from the service providing computer 20 using the user use computer 10-1a.
[0046]
First, in order to have the authentication ticket issuing computer 30-1 of the authentication domain 50-1 to which the user 1-1a belongs authenticate, the user use computer 10-1a issues an authentication request including authentication information such as a login name and a password. Is transmitted to the authentication ticket issuing computer 30-1 (step S11).
[0047]
Upon receiving the authentication request, the authentication ticket issuing computer 30-1 checks whether the user authentication unit 32 has the authentication information of the authentication requesting user stored in the user authentication information storage unit 33 and the authentication information transmitted with the authentication request. To confirm the identity of the user (step S12). When the identity of the user is confirmed, the group authentication ticket management unit 35 takes out the group authentication ticket stored in the group authentication ticket storage unit 36 (step S13), applies an electronic signature to this, and applies the digital signature to the user authentication computer 10. A group authentication ticket is issued to -1a (step S14).
[0048]
The user computer 10-1a that has received the group authentication ticket transmits a service request to the service providing computer 20 together with the group authentication ticket (step S15).
[0049]
The service providing computer 20, which has received the service request, checks the presented group authentication ticket in the group authentication ticket examining unit 24 (step S16). In this confirmation, since the electronic signature is given to the group authentication ticket, the authentication ticket issuing computer 30-1 of the authentication domain 50-1 to which the user belongs is specified. Then, the group to which the user belongs is specified, and the service is provided to the service providing unit 25 while performing access control based on the group (step S17).
[0050]
The service provided here is the shared service in the present embodiment. For example, when a file acquisition request is issued, it is determined whether the group to which the user belongs has access right to the target file. , And the service providing unit 25 confirms and provides the file.
[0051]
With the above-described processing, the user 1 can receive a service from the service providing computer 20 with the authority of a group across the authentication domains 50 only by performing authentication with the authentication ticket issuing computer 30 of the authentication domain 50 to which the user 1 belongs. .
[0052]
As described above, according to the present invention, the service providing computer 20 confirms the identity of the user 1 even if it does not have the authentication information of the user 1 and that the user 1 belongs to a predetermined group. Can be confirmed by a group authentication ticket, so that a virtual group can be formed as a set of users 1 belonging to different authentication domains 50.
[0053]
The embodiment of the present invention has been described above, but the present invention is not limited to this. For example, the protocol of communication performed between the user use computer 10, the service providing computer 20, and the authentication ticket issuing computer 30 is not limited to HTTP, and may be implemented by a uniquely determined protocol. Further, in the above embodiment, each function of each computer is implemented by CGI, but the present invention can be applied to other implementation methods.
[0054]
Furthermore, in the above-described embodiment, the case where a group is newly registered has been described. However, the group configuration can be updated by the same procedure. That is, the group can be updated by transmitting the group update information including the user ID of each user constituting the group and the group configuration information including the authentication domain 50 to which the user belongs to the service providing computer 20. In this case as well, it does not matter whether the user performing the update work belongs to the group.
[0055]
Further, in the above-described embodiment, the group authentication ticket is obtained from the user computer 10 at the time of providing the service. However, the group authentication ticket may be obtained from the authentication ticket issuing computer 30 to which the user computer 10 belongs. Hereinafter, such an embodiment will be described with reference to the flowchart of FIG.
[0056]
In the example of FIG. 8, a case will be described where the user 1-1a belonging to the authentication domain 50-1 receives a service from the service providing computer 20 using the user use computer 10-1a.
[0057]
First, in order to have the authentication ticket issuing computer 30-1 of the authentication domain 50-1 to which the user 1-1a belongs authenticate, the user use computer 10-1a issues an authentication request including authentication information such as a login name and a password. Is transmitted to the authentication ticket issuing computer 30-1 (step S21).
[0058]
Upon receiving the authentication request, the authentication ticket issuing computer 30-1 checks whether the user authentication unit 32 has the authentication information of the authentication requesting user stored in the user authentication information storage unit 33 and the authentication information transmitted with the authentication request. To confirm the identity of the user (step S22). When the identity of the user is confirmed, information (user authentication certificate) proving that the user has been authenticated is transmitted to the user computer 10-1a (step S23). This user authentication certificate is given an electronic signature by the authentication ticket computer 30-1 that issues the certificate.
[0059]
The user computer 10-1a that has received the user authentication certificate transmits a service request, the user authentication certificate, and group information indicating which group the user belongs to to the service providing computer 20 (step S24).
[0060]
The service providing computer 20, which has received the service request, requests the authentication ticket issuing computer 30-1 of the authentication domain 50-1 to which the user 1-1a belongs to issue an authentication ticket (step S25). At this time, a user authentication certificate received from the user computer 10-1a is attached to the request to identify the user.
[0061]
Upon receiving the group authentication ticket request, the authentication ticket issuing computer 30-1 extracts the group authentication ticket stored in the group authentication ticket storage unit 36 (step S26), applies an electronic signature to this, and sends the electronic signature to the service providing computer 20. Then, a group authentication ticket is issued (step S27).
[0062]
The service providing computer 20, which has received the group authentication ticket, checks the presented group authentication ticket in the group authentication ticket reviewing unit 24 (step S28). In this confirmation, since the electronic signature is given to the group authentication ticket, the authentication ticket issuing computer 30-1 of the authentication domain 50-1 to which the user belongs is specified. Then, the group to which the user belongs is specified, and the service is provided to the service providing unit 25 while performing access control based on the group (step S29).
[0063]
With the above processing, as in the above-described embodiment, the user 1 simply authenticates with the authentication ticket issuing computer 30 of the authentication domain 50 to which the user 1 belongs, and executes the service providing computer with the authority of the group across the authentication domains 50. 20.
[0064]
Further, in the above-described embodiment, the user use computer 10 does not belong to the authentication domain 50-4 to which the service providing computer 20 belongs, but the user use computer 10 belongs to the authentication domain 50. However, the present invention can be applied.
[0065]
【The invention's effect】
As described in detail above, according to the present invention, the service providing apparatus checks the identity of the user even if the user does not have the authentication information, and determines that the user belongs to a predetermined group. Since it is possible to confirm, a virtual group can be formed as a set of users belonging to different authentication domains.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an entire group authentication system.
FIG. 2 is an explanatory diagram of a service providing computer.
FIG. 3 is an explanatory diagram of an example of group account information.
FIG. 4 is an explanatory diagram of an authentication ticket issuing computer.
FIG. 5 is an explanatory diagram of an example of a group authentication ticket.
FIG. 6 is a sequence chart illustrating an operation at the time of group registration.
FIG. 7 is a sequence chart illustrating an operation at the time of providing a service.
FIG. 8 is a sequence chart illustrating an operation at the time of providing a service according to another example.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... User, 10 ... User use computer, 20 ... Service providing computer, 21 ... Communication control part, 22 ... Group account management part, 23 ... Group account storage part, 24 ... Group authentication ticket examination part, 25 ... Service provision part, Reference Signs List 30: Authentication ticket issuing computer, 31: Communication control unit, 32: User authentication unit, 33: User authentication information storage unit, 34: Group authentication ticket generation unit, 35: Group authentication ticket management unit, 36: Group authentication ticket storage unit , 40 ... network, 50 ... authentication domain

Claims (14)

ユーザの認証管理単位である認証ドメイン毎に少なくとも1台以上設置された認証装置と、何れかの認証ドメインに属するユーザ端末と、何れかの認証ドメインに属し且つユーザ端末に対してサービスを提供するサービス提供装置とをネットワークを介して接続し、サービス提供装置がユーザ端末にサービスを提供する際にユーザを認証する方法において、
前記サービス提供装置は、ユーザ端末へのサービス提供に先立ち、該サービスに係るユーザが所定のユーザグループに属する事を証明するグループ認証チケットをユーザ端末又は認証装置から取得し、該グループ認証チケットで識別されたグループに応じたサービス提供をユーザ端末に対して行う
ことを特徴とするグループ認証方法。At least one authentication device installed for each authentication domain, which is a unit of user authentication management, a user terminal belonging to any authentication domain, and a service belonging to any authentication domain and providing a service to the user terminal A method of connecting a service providing device via a network and authenticating a user when the service providing device provides a service to a user terminal,
Prior to providing the service to the user terminal, the service providing apparatus obtains a group authentication ticket for proving that the user associated with the service belongs to a predetermined user group from the user terminal or the authentication apparatus, and identifies the user with the group authentication ticket. Providing a service to the user terminal in accordance with the selected group. 認証装置は、予め、前記グループ認証チケットを作成して該グループ認証チケットに係るグループを構成するユーザが属する各認証ドメインの認証装置に対して該グループ認証チケットを配布するとともに、他の認証装置から受信したグループ認証チケットを管理する
ことを特徴とする請求項1記載のグループ認証方法。The authentication device distributes the group authentication ticket to the authentication devices of the respective authentication domains to which the users constituting the group related to the group authentication ticket belong, creating the group authentication ticket in advance, and transmitting the group authentication ticket from another authentication device. The group authentication method according to claim 1, wherein the received group authentication ticket is managed. ユーザ端末は、サービス提供装置へのサービス要求に先立ち、自身が属する認証ドメインの認証装置でユーザ認証を行うとともに該認証装置からグループ認証チケットを取得し、取得したグループ認証チケットをサービス提供装置に送信する
ことを特徴とする請求項2記載のグループ認証方法。Prior to a service request to the service providing apparatus, the user terminal performs user authentication with the authentication apparatus of the authentication domain to which the user terminal belongs, obtains a group authentication ticket from the authentication apparatus, and transmits the obtained group authentication ticket to the service providing apparatus. 3. The group authentication method according to claim 2, wherein: ユーザ端末は、サービス提供装置へのサービス要求に先立ち、自身が属する認証ドメインの認証装置でユーザ認証を行うとともにサービス提供装置に前記認証装置から受信したユーザ認証を確認する情報及びグループ情報を通知し、
サービス提供装置は、ユーザ端末から受信したユーザ認証確認情報及びグループ情報に基づき該ユーザが属する認証ドメインの認証装置からグループ認証チケットを取得する
ことを特徴とする請求項2記載のグループ認証方法。Prior to a service request to the service providing apparatus, the user terminal performs user authentication with the authentication apparatus of the authentication domain to which the user terminal belongs, and notifies the service providing apparatus of information for confirming the user authentication received from the authentication apparatus and group information. ,
3. The group authentication method according to claim 2, wherein the service providing device acquires a group authentication ticket from an authentication device of an authentication domain to which the user belongs based on the user authentication confirmation information and the group information received from the user terminal. ユーザの認証管理単位である認証ドメイン毎に少なくとも1台以上設置された認証装置と、何れかの認証ドメインに属するユーザ端末と、何れかの認証ドメインに属し且つユーザ端末に対してサービスを提供するサービス提供装置とをネットワークを介して接続し、サービス提供装置がユーザ端末にサービスを提供する際にユーザを認証するシステムにおいて、
前記サービス提供装置は、ユーザ端末へのサービス提供に先立ち、該サービスに係るユーザが所定のユーザグループに属する事を証明するグループ認証チケットをユーザ端末又は認証装置から取得し、該グループ認証チケットで識別されたグループに応じたサービス提供をユーザ端末に対して行う
ことを特徴とするグループ認証システム。At least one authentication device installed for each authentication domain, which is a unit of user authentication management, a user terminal belonging to any authentication domain, and a service belonging to any authentication domain and providing a service to the user terminal In a system that connects a service providing device via a network and authenticates a user when the service providing device provides a service to a user terminal,
Prior to providing the service to the user terminal, the service providing apparatus obtains a group authentication ticket for proving that the user associated with the service belongs to a predetermined user group from the user terminal or the authentication apparatus, and identifies the user with the group authentication ticket. A group authentication system for providing a service to a user terminal in accordance with a given group. 認証装置は、予め、前記グループ認証チケットを作成して該グループ認証チケットに係るグループを構成するユーザが属する各認証ドメインの認証装置に対して該グループ認証チケットを配布するとともに、他の認証装置から受信したグループ認証チケットを管理する
ことを特徴とする請求項5記載のグループ認証システム。The authentication device distributes the group authentication ticket to the authentication devices of the respective authentication domains to which the users constituting the group related to the group authentication ticket belong, creating the group authentication ticket in advance, and transmitting the group authentication ticket from another authentication device. The group authentication system according to claim 5, wherein the received group authentication ticket is managed. ユーザ端末は、サービス提供装置へのサービス要求に先立ち、自身が属する認証ドメインの認証装置でユーザ認証を行うとともに該認証装置からグループ認証チケットを取得し、取得したグループ認証チケットをサービス提供装置に送信する
ことを特徴とする請求項6記載のグループ認証システム。Prior to a service request to the service providing apparatus, the user terminal performs user authentication with the authentication apparatus of the authentication domain to which the user terminal belongs, obtains a group authentication ticket from the authentication apparatus, and transmits the obtained group authentication ticket to the service providing apparatus. 7. The group authentication system according to claim 6, wherein ユーザ端末は、サービス提供装置へのサービス要求に先立ち、自身が属する認証ドメインの認証装置でユーザ認証を行うとともにサービス提供装置に前記認証装置から受信したユーザ認証を確認する情報及びグループ情報を通知し、
サービス提供装置は、ユーザ端末から受信したユーザ認証確認情報及びグループ情報に基づき該ユーザが属する認証ドメインの認証装置からグループ認証チケットを取得する
ことを特徴とする請求項6記載のグループ認証システム。Prior to a service request to the service providing apparatus, the user terminal performs user authentication with the authentication apparatus of the authentication domain to which the user terminal belongs, and notifies the service providing apparatus of information for confirming the user authentication received from the authentication apparatus and group information. ,
7. The group authentication system according to claim 6, wherein the service providing device acquires a group authentication ticket from an authentication device of an authentication domain to which the user belongs based on the user authentication confirmation information and the group information received from the user terminal. ユーザの認証管理単位である認証ドメイン毎に少なくとも1台以上設置された認証装置及び何れかの認証ドメインに属するユーザ端末とネットワークを介して接続するとともに、何れかの認証ドメインに属し且つユーザ端末に対してサービスを提供するサービス提供装置において、
ユーザ端末へのサービス提供に先立ち、該サービスに係るユーザが所定のユーザグループに属する事を証明するグループ認証チケットをユーザ端末又は認証装置から取得してユーザの属するグループを識別するグループ識別手段と、該認証手段による認証されたグループに応じたサービス提供をユーザ端末に対して行うサービス提供手段とを備えた
ことを特徴とするサービス提供装置。At least one authentication device installed for each authentication domain, which is a unit of user authentication management, and a user terminal belonging to any one of the authentication domains are connected via a network. In a service providing device that provides services to
Prior to providing the service to the user terminal, a group identification unit that obtains a group authentication ticket certifying that the user related to the service belongs to a predetermined user group from the user terminal or the authentication device and identifies the group to which the user belongs; A service providing unit for providing a service to the user terminal according to the group authenticated by the authentication unit. ユーザの認証管理単位である認証ドメインの何れかに属するユーザ端末及び何れかの認証ドメインに属し且つユーザ端末に対してサービスを提供するサービス提供装置とネットワークを介して接続し、何れかの認証ドメインに属する認証装置において、
前記グループ認証チケットを生成するとともに、生成した認証チケットに係るグループを構成するユーザが属する各認証ドメインの認証装置に対して、該グループ認証チケットを配布するグループ認証チケット生成手段を備えた
ことを特徴とする認証装置。A user terminal belonging to any one of the authentication domains, which is a unit of user authentication management, and a service providing device belonging to any one of the authentication domains and providing a service to the user terminal are connected via a network, and any one of the authentication domains In the authentication device belonging to
A group authentication ticket generating means for generating the group authentication ticket and distributing the group authentication ticket to an authentication device of each authentication domain to which a user configuring a group related to the generated authentication ticket belongs. Authentication device. ユーザの認証管理単位である認証ドメイン毎に少なくとも1台以上設置された認証装置及び何れかの認証ドメインに属するユーザ端末とネットワークを介して接続するとともに、何れかの認証ドメインに属し且つユーザ端末に対してサービスを提供するサービス提供装置を、
ユーザ端末へのサービス提供に先立ち、該サービスに係るユーザが所定のユーザグループに属する事を証明するグループ認証チケットをユーザ端末又は認証装置から取得してユーザの属するグループを識別するグループ識別手段と、
該認証手段による認証されたグループに応じたサービス提供をユーザ端末に対して行うサービス提供手段として機能させる
ことを特徴とするサービス提供プログラム。At least one authentication device installed for each authentication domain, which is a unit of user authentication management, and a user terminal belonging to any one of the authentication domains are connected via a network. Service providing device that provides services to
Prior to providing the service to the user terminal, a group identification unit that obtains a group authentication ticket certifying that the user related to the service belongs to a predetermined user group from the user terminal or the authentication device and identifies the group to which the user belongs;
A service providing program for functioning as a service providing unit for providing a service to a user terminal according to a group authenticated by the authentication unit. ユーザの認証管理単位である認証ドメインの何れかに属するユーザ端末及び何れかの認証ドメインに属し且つユーザ端末に対してサービスを提供するサービス提供装置とネットワークを介して接続し、何れかの認証ドメインに属する認証装置を、
ユーザが所定のユーザグループに属する事を証明するグループ認証チケットを作成して該グループ認証チケットに係るグループを構成するユーザが属する各認証ドメインの認証装置に対して該グループ認証チケットを配布するグループ認証チケット生成手段と、
他の認証装置から受信したグループ認証チケットを管理するグループ認証チケット管理手段として機能させる
ことを特徴とする認証プログラム。A user terminal belonging to any one of the authentication domains, which is a unit of user authentication management, and a service providing device belonging to any one of the authentication domains and providing a service to the user terminal are connected via a network, and any one of the authentication domains An authentication device belonging to
Group authentication in which a group authentication ticket that certifies that a user belongs to a predetermined user group is created and the group authentication ticket is distributed to authentication devices in each authentication domain to which a user configuring a group related to the group authentication ticket belongs. Ticket generation means,
An authentication program for functioning as group authentication ticket management means for managing a group authentication ticket received from another authentication device. 請求項11記載のサービス提供プログラムを記録した記録媒体。A recording medium on which the service providing program according to claim 11 is recorded. 請求項12記載の認証プログラムを記録した記録媒体。A recording medium on which the authentication program according to claim 12 is recorded.
JP2003058945A 2003-03-05 2003-03-05 Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded Pending JP2004272380A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003058945A JP2004272380A (en) 2003-03-05 2003-03-05 Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003058945A JP2004272380A (en) 2003-03-05 2003-03-05 Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded

Publications (1)

Publication Number Publication Date
JP2004272380A true JP2004272380A (en) 2004-09-30

Family

ID=33121932

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003058945A Pending JP2004272380A (en) 2003-03-05 2003-03-05 Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded

Country Status (1)

Country Link
JP (1) JP2004272380A (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146559A (en) * 2004-11-19 2006-06-08 Nec Corp System, method, apparatus and program for managing dynamic organization
WO2006059639A1 (en) * 2004-11-30 2006-06-08 Nec Corporation Information sharing system, information sharing method, group management program, and compartment management program
JP2008257598A (en) * 2007-04-06 2008-10-23 Nec Corp Electronic money transaction method and electronic money system
JP4892008B2 (en) * 2007-02-07 2012-03-07 日本電信電話株式会社 Certificate authentication method, certificate issuing device, and authentication device
JP2012137995A (en) * 2010-12-27 2012-07-19 Fujitsu Ltd Resource providing system, access control program and access control method
JP2014511511A (en) * 2010-11-22 2014-05-15 マイクロソフト コーポレーション Backend constraint delegation model
JP2014238651A (en) * 2013-06-06 2014-12-18 キヤノン株式会社 Content management device, content management method, and program
JP2016508259A (en) * 2013-11-08 2016-03-17 チームブラインド インコーポレイテッドTeamblind inc Authentication system and authentication method
JP2018014025A (en) * 2016-07-22 2018-01-25 富士ゼロックス株式会社 Information processing apparatus, security system, and program
US10038699B2 (en) 2015-03-19 2018-07-31 Ricoh Company, Ltd. Management device, management system, and management method
US10038568B2 (en) 2015-03-19 2018-07-31 Ricoh Company, Limited Management device, management method, and computer program product

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4556636B2 (en) * 2004-11-19 2010-10-06 日本電気株式会社 Dynamic organization management system, dynamic organization management method, dynamic organization management device, and dynamic organization management program
JP2006146559A (en) * 2004-11-19 2006-06-08 Nec Corp System, method, apparatus and program for managing dynamic organization
US8656161B2 (en) 2004-11-30 2014-02-18 Nec Corporation Information sharing system, information sharing method, group management program and compartment management program
WO2006059639A1 (en) * 2004-11-30 2006-06-08 Nec Corporation Information sharing system, information sharing method, group management program, and compartment management program
JP4892008B2 (en) * 2007-02-07 2012-03-07 日本電信電話株式会社 Certificate authentication method, certificate issuing device, and authentication device
US8775796B2 (en) 2007-02-07 2014-07-08 Nippon Telegraph And Telephone Corporation Certificate authenticating method, certificate issuing device, and authentication device
JP2008257598A (en) * 2007-04-06 2008-10-23 Nec Corp Electronic money transaction method and electronic money system
JP2014511511A (en) * 2010-11-22 2014-05-15 マイクロソフト コーポレーション Backend constraint delegation model
JP2012137995A (en) * 2010-12-27 2012-07-19 Fujitsu Ltd Resource providing system, access control program and access control method
JP2014238651A (en) * 2013-06-06 2014-12-18 キヤノン株式会社 Content management device, content management method, and program
US9971901B2 (en) 2013-06-06 2018-05-15 Canon Kabushiki Kaisha Content management apparatus and content management method
JP2016508259A (en) * 2013-11-08 2016-03-17 チームブラインド インコーポレイテッドTeamblind inc Authentication system and authentication method
US10038699B2 (en) 2015-03-19 2018-07-31 Ricoh Company, Ltd. Management device, management system, and management method
US10038568B2 (en) 2015-03-19 2018-07-31 Ricoh Company, Limited Management device, management method, and computer program product
JP2018014025A (en) * 2016-07-22 2018-01-25 富士ゼロックス株式会社 Information processing apparatus, security system, and program

Similar Documents

Publication Publication Date Title
JP4226665B2 (en) Logon certificate
US7823187B2 (en) Communication processing method and system relating to authentication information
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
JP4410324B2 (en) Qualification management method and apparatus
JP5215289B2 (en) Method, apparatus and system for distributed delegation and verification
JP2003296281A (en) Method and system for access control
JP2004272380A (en) Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded
JP4332071B2 (en) Client terminal, gateway device, and network system including these
JP5012574B2 (en) Common key automatic sharing system and common key automatic sharing method
JP2010191801A (en) Authentication system and authentication method
JP4761348B2 (en) User authentication method and system
WO2002005484A2 (en) Systems and methods for pki-enabling applications using application-specific certificates
JP3914193B2 (en) Method for performing encrypted communication with authentication, authentication system and method
JP2003244123A (en) Common key management system, server, and method and program
JP4730814B2 (en) User information management method and system
JP2008217300A (en) System and method for encrypting and decrypting file with biological information
JP2007074745A (en) Method for performing encrypted communication by obtaining authentication, authentication system and method
JP2002132996A (en) Server for authenticating existence of information, method therefor and control program for authenticating existence of information
JP4706165B2 (en) Account management system, account management method, and account management program
JP2005318269A (en) Electronic certificate management system, method and server
JP6715293B2 (en) Personal authentication device and personal authentication method
JP2005227891A (en) Device, method and program for providing authentication service, and recording medium
JP2000322353A (en) Information providing device, information providing service authenticating method and recording medium for recording information providing service authentication program
JP2003263518A (en) Device, method, and computer program for processing document data
JP2000261428A (en) Authentication device in decentralized processing system