JP2005149239A - ユーザ認証システム - Google Patents
ユーザ認証システム Download PDFInfo
- Publication number
- JP2005149239A JP2005149239A JP2003387182A JP2003387182A JP2005149239A JP 2005149239 A JP2005149239 A JP 2005149239A JP 2003387182 A JP2003387182 A JP 2003387182A JP 2003387182 A JP2003387182 A JP 2003387182A JP 2005149239 A JP2005149239 A JP 2005149239A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- address
- user
- cookie
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 ユーザIDやパスワードが他人に知られてしまった場合や認証済みCookieが盗聴された場合でも不正な接続を防ぐユーザ認証システムを提供する。
【解決手段】 ユーザ端末1aを用いてWebサーバ200に初回アクセスした場合、認証サーバ300にリダイレクトされる。前記認証サーバは、情報格納サーバ400にユーザ端末1aのIPアドレスを送信し、連絡用アドレスを要求、得られた連絡用アドレスに被認証権限チケットを送信する。該チケットを受信したユーザ端末1aは、前記認証サーバに該チケットを送信し、認証手続きを行う。前記認証サーバは、認証画面をユーザ端末に送信、ユーザはユーザID等を入力する。正規のユーザであれば、ユーザIDを元に登録端末IPアドレスを情報格納サーバから抽出し、暗号化された登録端末IPアドレスを認証済みCookieに含ませて、ユーザ端末に返送する。認証済みCookieを受信したユーザは、再度前記Webサーバにアクセスを試みる。
【選択図】 図1
【解決手段】 ユーザ端末1aを用いてWebサーバ200に初回アクセスした場合、認証サーバ300にリダイレクトされる。前記認証サーバは、情報格納サーバ400にユーザ端末1aのIPアドレスを送信し、連絡用アドレスを要求、得られた連絡用アドレスに被認証権限チケットを送信する。該チケットを受信したユーザ端末1aは、前記認証サーバに該チケットを送信し、認証手続きを行う。前記認証サーバは、認証画面をユーザ端末に送信、ユーザはユーザID等を入力する。正規のユーザであれば、ユーザIDを元に登録端末IPアドレスを情報格納サーバから抽出し、暗号化された登録端末IPアドレスを認証済みCookieに含ませて、ユーザ端末に返送する。認証済みCookieを受信したユーザは、再度前記Webサーバにアクセスを試みる。
【選択図】 図1
Description
本発明は、ネットワーク情報処理システムにおけるユーザ認証システムに関する。
近年、パーソナルコンピュータ(PC)や携帯情報端末(PDA)、携帯電話機等のユーザ端末(クライアント端末)と、前記ユーザ端末からの要求に応答し、様々な処理を行うサーバとを、ネットワークによって接続した、様々な形態の情報処理システムが普及している。
例えば、ユーザ端末のWebブラウザを用いて、外部のWebサーバにアクセスし、ユーザが所望する情報を取得する、いわゆるインターネットでの情報収集は、現在、広く一般に普及している情報処理システムの一例である。
また、最近では、インターネットを用いることにより、単に情報を収集するだけでなく、例えば、インターネット上に展開されている仮想ショッピングモールにて、ユーザが所望する商品を購入したりするといったことも可能である。
例えば、ユーザ端末のWebブラウザを用いて、外部のWebサーバにアクセスし、ユーザが所望する情報を取得する、いわゆるインターネットでの情報収集は、現在、広く一般に普及している情報処理システムの一例である。
また、最近では、インターネットを用いることにより、単に情報を収集するだけでなく、例えば、インターネット上に展開されている仮想ショッピングモールにて、ユーザが所望する商品を購入したりするといったことも可能である。
このような情報処理システムにおいて、特に、金銭(決済)が絡んでくるような情報処理システムにおいては、ログイン認証は、必要不可欠な手続である。
すなわち、例えば、有料コンテンツにおいては、情報提供者は、決済を行ったユーザにのみ、或いは決済を行う意思のあるユーザにのみ、e−Mailや郵送によりログインIDやパスワード等を与える。更に、正規のログイン手順を済ませたユーザのみが、情報を参照したり、決済を行うことが可能である。
また、仮想ショッピングモールにおいては、正規ユーザのみが買い物(決済)をできるようにするために、ログイン認証を行っている。
もし、ログイン認証が行われなければ、決済を行っていないユーザや決済を行う意思のないユーザに対して、情報を提供してしまうため、情報提供者は不利益を生じてしまうという問題がある。また、仮想ショッピングモールにおいては、他人の名前を語り、買い物をすることが可能となってしまい、正規ユーザにとって不利益を生じてしまう問題もある。
すなわち、例えば、有料コンテンツにおいては、情報提供者は、決済を行ったユーザにのみ、或いは決済を行う意思のあるユーザにのみ、e−Mailや郵送によりログインIDやパスワード等を与える。更に、正規のログイン手順を済ませたユーザのみが、情報を参照したり、決済を行うことが可能である。
また、仮想ショッピングモールにおいては、正規ユーザのみが買い物(決済)をできるようにするために、ログイン認証を行っている。
もし、ログイン認証が行われなければ、決済を行っていないユーザや決済を行う意思のないユーザに対して、情報を提供してしまうため、情報提供者は不利益を生じてしまうという問題がある。また、仮想ショッピングモールにおいては、他人の名前を語り、買い物をすることが可能となってしまい、正規ユーザにとって不利益を生じてしまう問題もある。
また、機密情報の処理を行うような情報処理システムにおいても、ログイン認証は、必要不可欠な手続である。
すなわち、例えば、顧客情報を管理するような顧客情報管理システムにおいては、システム管理者は、最低限のシステムユーザにのみ、ログインIDやパスワード、或いは必要に応じて、システムの利用範囲の制限に関する権限を与えなければならない。そして、正規のログイン手順を済ませたユーザのみが、機密情報を参照することが可能である。
もし、ログイン認証が行われなければ、誰でもシステムにて管理されている重要な情報を参照することが可能となり、その結果として、情報が漏洩する恐れが十分にあり得る。
すなわち、例えば、顧客情報を管理するような顧客情報管理システムにおいては、システム管理者は、最低限のシステムユーザにのみ、ログインIDやパスワード、或いは必要に応じて、システムの利用範囲の制限に関する権限を与えなければならない。そして、正規のログイン手順を済ませたユーザのみが、機密情報を参照することが可能である。
もし、ログイン認証が行われなければ、誰でもシステムにて管理されている重要な情報を参照することが可能となり、その結果として、情報が漏洩する恐れが十分にあり得る。
また、ログイン認証の手段を有する情報処理システムにおいても、いわゆる「なりすまし」でログインして、各種情報を参照する可能性もある。
特に、インターネットは不特定多数が利用することが可能な情報処理通信ネットワークであるが、そのネットワークは網目状になっているため、ネットワーク内の情報処理装置Aから別の情報処理装置Bに情報が送信される間に、数多くの中継点を経由する。そのため、いわゆる「クラッカー」等の第三者により、IDやパスワード等の情報を不正に盗み取られる可能性がある。また、その結果として、インターネットショッピングにおける不正な商品購入や、顧客情報管理システムにおける顧客情報や機密情報が盗み取られる可能性も十分にあり得る。
特に、インターネットは不特定多数が利用することが可能な情報処理通信ネットワークであるが、そのネットワークは網目状になっているため、ネットワーク内の情報処理装置Aから別の情報処理装置Bに情報が送信される間に、数多くの中継点を経由する。そのため、いわゆる「クラッカー」等の第三者により、IDやパスワード等の情報を不正に盗み取られる可能性がある。また、その結果として、インターネットショッピングにおける不正な商品購入や、顧客情報管理システムにおける顧客情報や機密情報が盗み取られる可能性も十分にあり得る。
以下に、情報処理システムにおけるユーザ認証に関する従来の技術を示す。
例えば、利用者に関する情報の保護と、不正利用を防止することのできるサービスすシステムに関する発明がある。
この発明によれば、利用者端末からサービス提供ウェブにアクセスすると、利用者認証装置から、ID、パスワードの入力が求められ、正しいID、パスワードを入力すると、利用者認証装置からアクセスチケットが発行される。利用者は、このアクセスチケットをサービス情報ウェブに提示することにより、サービスの提供を受けることが可能となる(特許文献1参照)。
例えば、利用者に関する情報の保護と、不正利用を防止することのできるサービスすシステムに関する発明がある。
この発明によれば、利用者端末からサービス提供ウェブにアクセスすると、利用者認証装置から、ID、パスワードの入力が求められ、正しいID、パスワードを入力すると、利用者認証装置からアクセスチケットが発行される。利用者は、このアクセスチケットをサービス情報ウェブに提示することにより、サービスの提供を受けることが可能となる(特許文献1参照)。
また、例えば、不正な「なりすまし」を排除して、ユーザ本人の確定を確実に行うことが可能である、通信ネットワークにおけるユーザ認証サーバ、本人認証方法及びプログラムに関する発明がある。
この発明によれば、Webサーバは、ユーザのコンピュータからID及びパスワードを受信し、データベースに記憶されているID及びパスワードと照合し、1回目の認証を行う。1回目の認証が成功すると、Webサーバは、確認コードが記述されたメールを、データベースに記憶されているユーザが指定したメールアドレスに送信する。ユーザは、受信した前記メールから確認コードをコンピュータに入力し、入力された確認コードはWebサーバに返信される。Webサーバは、最初に送信した確認コードと、返送された確認コードとを照合し、一致した場合は第2認証が成功したと判定し、これによりユーザはWebサーバを参照することが可能となる(特許文献2参照)。
この発明によれば、Webサーバは、ユーザのコンピュータからID及びパスワードを受信し、データベースに記憶されているID及びパスワードと照合し、1回目の認証を行う。1回目の認証が成功すると、Webサーバは、確認コードが記述されたメールを、データベースに記憶されているユーザが指定したメールアドレスに送信する。ユーザは、受信した前記メールから確認コードをコンピュータに入力し、入力された確認コードはWebサーバに返信される。Webサーバは、最初に送信した確認コードと、返送された確認コードとを照合し、一致した場合は第2認証が成功したと判定し、これによりユーザはWebサーバを参照することが可能となる(特許文献2参照)。
また、シングルサインオン(SSO:Single Sign On)をより容易に導入できるようにするためのシングルサインオン対応認証装置、ネットワークシステム、及びプログラムに関する発明がある。
この発明によれば、ネットワークに接続された端末装置のユーザの認証を行いアクセスを許可してサービスを提供するサービス提供システムに、認証システムが認証を行って該サービス提供用システムにアクセスするためのチケットを発行した端末装置のユーザの認証を自動的に行わせてシングルサインオンに対応させるために用いられることを前提とし、端末装置から前記サービス提供用システムに送信されたチケットを受信するチケット受信手段と、チケット受信手段が受信したチケットを用いて、該チケットを送信した端末装置のユーザの認証を自動的に行わせる認証手段とを具備することにより、より容易かつ迅速にシングルサインオンを導入することが可能である(特許文献3参照)。
この発明によれば、ネットワークに接続された端末装置のユーザの認証を行いアクセスを許可してサービスを提供するサービス提供システムに、認証システムが認証を行って該サービス提供用システムにアクセスするためのチケットを発行した端末装置のユーザの認証を自動的に行わせてシングルサインオンに対応させるために用いられることを前提とし、端末装置から前記サービス提供用システムに送信されたチケットを受信するチケット受信手段と、チケット受信手段が受信したチケットを用いて、該チケットを送信した端末装置のユーザの認証を自動的に行わせる認証手段とを具備することにより、より容易かつ迅速にシングルサインオンを導入することが可能である(特許文献3参照)。
また、例えば、サービスサーバと認証サーバの独立性及び汎用性を高め、認証サーバを複数のサービスで共通利用することが容易な認証システムに関する発明がある。
この発明によれば、ユーザ認証を終えていないクライアントからWebサービスサーバにアクセスがあった場合には、Web認証サーバにリダイレクトし、Web認証サーバにアクセスして認証手続を完了させる。その後、認証サーバから、認証が完了した旨の情報が記述されたクッキーがクライアントに送信され、そのクッキーをWebサービスサーバに提示することにより、情報を参照することができる。このため、WebサービスサーバとWeb認証サーバとの直接アクセスがなくなるため、Web認証サーバの独立性、汎用性を高めることが可能となる(特許文献4参照)。
特開2001−202437号公報
特開2002−251375号公報
特開2003−85141号公報
特開平11−282804号公報
この発明によれば、ユーザ認証を終えていないクライアントからWebサービスサーバにアクセスがあった場合には、Web認証サーバにリダイレクトし、Web認証サーバにアクセスして認証手続を完了させる。その後、認証サーバから、認証が完了した旨の情報が記述されたクッキーがクライアントに送信され、そのクッキーをWebサービスサーバに提示することにより、情報を参照することができる。このため、WebサービスサーバとWeb認証サーバとの直接アクセスがなくなるため、Web認証サーバの独立性、汎用性を高めることが可能となる(特許文献4参照)。
しかしながら、上記従来の認証システムでは、IDやパスワード等が第三者に知られた場合、接続の認められていない者がサーバに接続し、利用することが可能となってしまうが、その利用を無効なものと判断することができなかった。また、Cookieを用いたSSOシステムにおいて、認証済みを示すCookieを盗聴された場合に、その不正利用を判断することができなかった。
これらのことにより、第三者による認証情報の悪用が可能となってしまっている。
これらのことにより、第三者による認証情報の悪用が可能となってしまっている。
本発明は上記事情を鑑みてなされたものであり、ユーザIDやパスワードが他人に知られてしまった場合や認証済みCookieが盗聴された場合でも不正な接続を防ぐユーザ認証システムを提供することを目的とする。
前記課題を解決するために、請求項1記載の発明は、外部装置へ情報の要求を行う情報要求手段と、送信された情報を表示する情報表示手段とを有する情報処理端末と、前記情報処理端末に対して情報提供を行う情報提供手段を有する情報提供装置と、前記情報処理端末から前記情報提供装置にアクセスした際に認証を行う認証手段を有する認証装置と、前記認証にて必要となる情報を管理している情報管理手段を有する情報格納装置とが、ネットワークを介して互いに情報通信することが可能なユーザ認証システムであって、前記情報処理端末は、認証を得るために認証画面を表示する認証画面表示手段と、認証情報を入力する認証情報入力手段とを有し、前記情報提供装置は、前記情報処理端末から認証済みCookieが送信されたか否かを判断するCookie有無判別手段と、認証済みCookieの内容から、前記情報処理端末からのアクセスが正当なアクセスであるか否かを判別するCookie内容判別手段と、前記Cookie内容判別手段にて、正当なアクセスであると判別された場合は、前記情報処理端末に対して情報提供を行う第2の情報提供手段とを有し、前記認証装置は、前記情報処理端末に関する情報を情報格納装置に送信して連絡用アドレスを問い合わせする連絡用アドレス問い合わせ手段と、被認証権限チケットを作成し、前記情報処理端末に送信するチケット作成・送信手段と、情報処理端末から送信されたチケットを受信し、前記情報処理端末へ認証画面を送信する認証画面送信手段と、情報処理端末から送信された認証情報を受信し、認証を行う第2の認証手段と、前記第2の認証手段で認証された場合は、前記認証情報を前記情報格納装置へ送信して、前記認証情報に対する登録端末IPアドレスを問い合わせする登録端末IP問い合わせ手段と、認証済みCookieを作成し、前記情報処理端末に送信するCookie作成・送信手段とを有し、前記情報格納装置は、前記連絡用アドレス問い合わせに応じて、連絡用アドレスを抽出し、送信する連絡用アドレス抽出・応答手段と、前記登録端末IPアドレス問い合わせに応じて、登録端末IPアドレスを抽出し、送信する登録端末IP抽出・応答手段とを有することを特徴とする。
請求項2記載の発明は、前記Cookie有無判別手段は、前記情報処理端末から認証済みCookieが送信されなかった場合に、前記認証装置にリダイレクト要求を行うリダイレクト要求手段を有することを特徴とする。
請求項3記載の発明は、前記連絡用アドレス抽出・送信手段は、前記認証装置から送信されたIPアドレスをキーにして連絡用アドレスを抽出し、送信する第2の連絡用アドレス抽出・送信手段と、前記IPアドレスに対応する連絡用アドレスが抽出できなかった場合は、見つからなかった旨を送信する第3の連絡用アドレス抽出・送信手段とを有することを特徴とする。
請求項4記載の発明は、前記チケット作成・送信手段は、連絡用アドレスが送信された場合には、被認証権限チケットを作成し、前記被認証権限チケットを前記連絡用アドレスに送信する第2のチケット作成・送信手段と、連絡用アドレスが送信されなかった場合には、連絡用チケットが見つからなかった旨を前記情報処理装置に通知する第1の通知手段とを有することを特徴とする。
請求項5記載の発明は、前記認証情報は、ユーザIDとパスワードであり、前記第2の認証手段は、前記ユーザID及びパスワードから認証可否を決定する認証可否決定手段を有することを特徴とする。
請求項6記載の発明は、前記第2の認証手段にて認証されなかった場合は、前記情報処理装置に認証されなかった旨を通知する第2の通知手段を有することを特徴とする。
請求項7記載の発明は、前記Cookie作成・送信手段は、前記登録端末IP抽出・応答手段にて得られた登録端末IPアドレスを暗号化する暗号化手段と、前記暗号化手段により暗号化された登録端末IPアドレスを含ませて認証済みCookieを作成し、送信する第2の認証済みCookie作成・送信手段とを有することを特徴とする。
請求項8記載の発明は、前記Cookie内容判別手段は、認証済みCookie内の暗号化されたIPアドレスを復号化する復号化手段と、認証済みCookieを送信した情報処理端末のIPアドレスと、前記復号化手段により複合化されたIPアドレスを比較する比較手段とを有することを特徴とする。
請求項9記載の発明は、前記情報提供装置はWebサーバであり、前記認証装置は、認証サーバであり、前記情報格納装置は、情報格納サーバであることを特徴とする。
本発明によれば、外部装置へ情報の要求を行う情報要求手段と、送信された情報を表示する情報表示手段とを有する情報処理端末と、前記情報処理端末に対して情報提供を行う情報提供手段を有する情報提供装置と、前記情報処理端末から前記情報提供装置にアクセスした際に認証を行う認証手段を有する認証装置と、前記認証にて必要となる情報を管理している情報管理手段を有する情報格納装置とが、ネットワークを介して互いに情報通信することが可能なユーザ認証システムであって、前記情報処理端末は、認証を得るために認証画面を表示する認証画面表示手段と、認証情報を入力する認証情報入力手段とを有し、前記情報提供装置は、前記情報処理端末から認証済みCookieが送信されたか否かを判断するCookie有無判別手段と、認証済みCookieの内容から、前記情報処理端末からのアクセスが正当なアクセスであるか否かを判別するCookie内容判別手段と、前記Cookie内容判別手段にて、正当なアクセスであると判別された場合は、前記情報処理端末に対して情報提供を行う第2の情報提供手段とを有し、前記認証装置は、前記情報処理端末に関する情報を情報格納装置に送信して連絡用アドレスを問い合わせする連絡用アドレス問い合わせ手段と、被認証権限チケットを作成し、前記情報処理端末に送信するチケット作成・送信手段と、情報処理端末から送信されたチケットを受信し、前記情報処理端末へ認証画面を送信する認証画面送信手段と、情報処理端末から送信された認証情報を受信し、認証を行う第2の認証手段と、前記第2の認証手段で認証された場合は、前記認証情報を前記情報格納装置へ送信して、前記認証情報に対する登録端末IPアドレスを問い合わせする登録端末IP問い合わせ手段と、認証済みCookieを作成し、前記情報処理端末に送信するCookie作成・送信手段とを有し、前記情報格納装置は、前記連絡用アドレス問い合わせに応じて、連絡用アドレスを抽出し、送信する連絡用アドレス抽出・応答手段と、前記登録端末IPアドレス問い合わせに応じて、登録端末IPアドレスを抽出し、送信する登録端末IP抽出・応答手段とを有することにより、ユーザIDやパスワードが他人に知られた場合やCookieが盗聴された場合でも不正な接続を防ぐことが可能となる。
現在、社会に流通している情報処理システムは、ユーザがデータ処理等の指示を行う、主にパーソナルコンピュータを用いたクライアント端末と、クライアントからの要求に従い、高度且つ高速な処理を行い、その処理結果をクライアントに返すサーバ機器によって構成されているシステムが主流であり、本発明に係るユーザ認証システムも、このような構成で用いられるのが最良の形態である。
しかしながら、クライアント端末は、パーソナルコンピュータに限らず、形態情報端末(PDA)や、Webブラウザを搭載した携帯電話機等を構成要素に含めることも可能である。
また、サーバ機器は、一般的なサーバコンピュータで用いられているオペレーティング・システム上で稼動するサーバに限らず、専用のサーバ装置を用いることも可能である。
しかしながら、クライアント端末は、パーソナルコンピュータに限らず、形態情報端末(PDA)や、Webブラウザを搭載した携帯電話機等を構成要素に含めることも可能である。
また、サーバ機器は、一般的なサーバコンピュータで用いられているオペレーティング・システム上で稼動するサーバに限らず、専用のサーバ装置を用いることも可能である。
次に、添付図面を参照しながら、本発明の実施形態を説明する。
図1は、本発明の第1の実施例であるユーザ認証システムの、第1のネットワーク構成を示す図である。
ユーザ認証システムは、クライアント端末1a、1c、2bと、Webサーバ200と、認証サーバ300と、情報格納サーバ400が、ネットワークを介して接続され、構成されている。
クライアント端末1及び2は、パーソナルコンピュータ(PC)やワークステーション、携帯情報処理端末(PDA)、Webブラウザを搭載した携帯電話機などの情報処理装置である。また、後述する被認証権限チケットを認証サーバ300に送信する機能を有する。
図1は、本発明の第1の実施例であるユーザ認証システムの、第1のネットワーク構成を示す図である。
ユーザ認証システムは、クライアント端末1a、1c、2bと、Webサーバ200と、認証サーバ300と、情報格納サーバ400が、ネットワークを介して接続され、構成されている。
クライアント端末1及び2は、パーソナルコンピュータ(PC)やワークステーション、携帯情報処理端末(PDA)、Webブラウザを搭載した携帯電話機などの情報処理装置である。また、後述する被認証権限チケットを認証サーバ300に送信する機能を有する。
Webサーバ200は、前記クライアント端末1に対して情報提供を行うサーバであり、PCよりも大規模な情報処理装置(大規模ワークステーションやサーバ機器)で構成される。また、認証サーバ300にて作成された、暗号化された認証済みCookieの有無を確認する機能と、前記Cookieを復号化する機能を有する。
認証サーバ300は、Webサーバ200と同様に、PCよりも大規模な情報処理装置(大規模ワークステーションやサーバ機器)で構成され、ユーザを認証する機能と、認証成功時に、暗号化された認証済みCookieを作成する機能と、情報格納サーバ400に問い合わせを行い、登録されている情報を取得する機能がある。
また、動的に被認証権限チケットを作成する機能を有し、作成された被認証権限チケットを、情報格納サーバ400から取得してきた連絡アドレスに対して通知する機能を有する。
また、動的に被認証権限チケットを作成する機能を有し、作成された被認証権限チケットを、情報格納サーバ400から取得してきた連絡アドレスに対して通知する機能を有する。
被認証権限チケットとは、それを提示してきたクライアント端末に、認証サーバ300で認証を受ける権利を与えるものである。すなわち、被認証権限チケットを提示しないクライアント端末に対しては、認証サーバ300は認証を行わないものである。
また、動的に作成された被認証権限チケットは暗号化されていて、その内容には発行者、有効期限があり、有効期限が切れるか、またはユーザ認証が成功した場合には、以降、被認証権限チケットは無効となる。
また、動的に作成された被認証権限チケットは暗号化されていて、その内容には発行者、有効期限があり、有効期限が切れるか、またはユーザ認証が成功した場合には、以降、被認証権限チケットは無効となる。
情報格納サーバ400は、Webサーバ200及び認証サーバ300と同様に、PCよりも大規模な情報処理装置(大規模ワークステーションやサーバ機器)で構成され、あらかじめユーザID、ユーザが利用するクライアント端末のIPアドレス、連絡用アドレスの組を格納しておく。
また、サーバ側の機器構成は、負荷分散の目的から、Webサーバ200、認証サーバ300、情報格納サーバ400の各々を独立したサーバ機器で構成するのが一般的であるが、最近のサーバ向けOS(例えば、Linux等)は、複数のサーバプログラムを同時に起動する(サービス起動)することができるため、1台のサーバ機器で複数のサーバ機能をカバーすることも可能である。
また、ネットワークの形態は、小規模なネットワーク構成であれば、例えば、LAN(Local Area Network)等があり、広域的な構成であれば、例えば、インターネット回線やVPN(Virtual Private Network)等がある。
インターネットの場合は、主に、クライアント端末のユーザが個人レベルのユーザであるシステムであり、VPNであれば、企業ユーザがメインとなるシステムである。
インターネットの場合は、主に、クライアント端末のユーザが個人レベルのユーザであるシステムであり、VPNであれば、企業ユーザがメインとなるシステムである。
図2は、本発明の実施形態であるユーザ認証システムにおけるクライアント側のデータ構成を示す図である。
ユーザ端末は、例えば、ユーザ3aが利用するユーザ端末1aには、IPアドレスIPaを、ユーザ端末1bがIPbを、ユーザ端末1cがIPcを、というように、それぞれがIPアドレスを有する。
ユーザ端末は、例えば、ユーザ3aが利用するユーザ端末1aには、IPアドレスIPaを、ユーザ端末1bがIPbを、ユーザ端末1cがIPcを、というように、それぞれがIPアドレスを有する。
図3は、本発明の実施形態であるユーザ認証システムにおけるサーバ側のデータ構成を示す図である。
情報格納サーバ400は、ログイン認証で必要となる各種ユーザデータを、例えばデータベースの形態で有する。例えば、ユーザ3aがユーザ認証システムによってWebサーバ200から提供される情報を参照するために、情報格納サーバ400に、ユーザID(UIDa)、パスワード(PASSa)、IPアドレス(IPa)、及び連絡用アドレス(ADDRa)が登録されている。
情報格納サーバ400は、ログイン認証で必要となる各種ユーザデータを、例えばデータベースの形態で有する。例えば、ユーザ3aがユーザ認証システムによってWebサーバ200から提供される情報を参照するために、情報格納サーバ400に、ユーザID(UIDa)、パスワード(PASSa)、IPアドレス(IPa)、及び連絡用アドレス(ADDRa)が登録されている。
図4は、本発明の実施形態であるユーザ認証システムにおけるクライアント端末の内部構成を示すブロック図である。
クライアント端末1の内部は、各種演算及び各機構の制御を行う演算・制御部101と、前記演算・制御部にて演算処理を行うデータを一時的に格納するRAM102と、外部機器とのデータ送受信を行うインターフェースである外部通信部103と、ユーザがパスワード等を入力する入力部104と、データや処理結果等を表示する出力部105と、認証サーバ300から受信した被認証権限チケットを、認証手続のために認証サーバ300に送信する被認証権限チケット送信部106と、認証完了時に認証サーバ300から発行され受信した認証済CookieをWebサーバ200に送信するための認証済Cookie送信手段とを有する。
クライアント端末1の内部は、各種演算及び各機構の制御を行う演算・制御部101と、前記演算・制御部にて演算処理を行うデータを一時的に格納するRAM102と、外部機器とのデータ送受信を行うインターフェースである外部通信部103と、ユーザがパスワード等を入力する入力部104と、データや処理結果等を表示する出力部105と、認証サーバ300から受信した被認証権限チケットを、認証手続のために認証サーバ300に送信する被認証権限チケット送信部106と、認証完了時に認証サーバ300から発行され受信した認証済CookieをWebサーバ200に送信するための認証済Cookie送信手段とを有する。
前記クライアント端末1は、本実施例では、パーソナルコンピュータ等の情報処理装置であるため、例えば、前記演算・制御部101はCPUであり、前記外部通信部103は、LANインターフェースカードや公衆回線への専用通信手段であり、前記入力部104はマウスやキーボードであり、前記出力部105はモニタである。また、前記被認証権限チケット送信部106や前記認証済みCookie送信部107は、ハードディスク機器のような記録媒体に格納されたソフトウェアが実行されることにより、実現される。
しかしながら、前記クライアント端末1は、前記手段を有する専用の端末装置であっても構わない。
しかしながら、前記クライアント端末1は、前記手段を有する専用の端末装置であっても構わない。
図5は、本発明の実施形態であるユーザ認証システムにおけるWebサーバの内部構成を示すブロック図である。
Webサーバ200の内部は、各種演算及び各機構の制御を行う演算・制御部201と、前記演算・制御部にて演算処理を行うデータを一時的に格納するRAM202と、外部機器とのデータ送受信を行うインターフェースである外部通信部203と、端末から認証済みCookieが送信されたか否かを判定するためのCookie有無判定部204と、端末から送信された認証済みCookieに含まれるIPアドレスと、前記端末のIPアドレスが一致するか否かを判別するためのIPアドレス判定部205と、クライアント端末1に提供する情報を格納したり、情報提供用にデータを加工する情報提供格納部206と、前記クライアント端末1に情報を送信し提供するための情報提供部とを有する。
前記Webサーバ200は、本実施例では、高速処理が可能なワークステーションやサーバ機器であるため、例えば、前記演算・制御部201はCPUであり、前記外部通信部203は、LANインターフェースカードや公衆回線への専用通信手段である。
また、前記Cookie有無判定部204や、前記IPアドレス判定部205、前記情報提供格納部206、前記情報提供部207は、ハードディスク機器のような記録媒体に格納されたソフトウェアが実行されることにより、実現される。
しかしながら、前記Webサーバ200は、前記手段を有する専用の装置であっても構わない。
また、前記Cookie有無判定部204や、前記IPアドレス判定部205、前記情報提供格納部206、前記情報提供部207は、ハードディスク機器のような記録媒体に格納されたソフトウェアが実行されることにより、実現される。
しかしながら、前記Webサーバ200は、前記手段を有する専用の装置であっても構わない。
図6は、本発明の実施形態であるユーザ認証システムにおける認証サーバの内部構成を示すブロック図である。
認証サーバ300の内部は、各種演算及び各機構の制御を行う演算・制御部301と、前記演算・制御部にて演算処理を行うデータを一時的に格納するRAM302と、外部機器とのデータ送受信を行うインターフェースである外部通信部303と、情報格納サーバ400に対して、アクセスしている端末のIPアドレスを送信し、連絡用アドレスの問い合わせを行うための連絡用アドレス問い合せ部304と、被認証権限チケットの作成し、アクセスしている端末に送信するための被認証権限チケット作成・送信部305と、被認証権限チケットを送信した端末に対して認証画面を送信するための認証画面送信部306と、認証処理を行うための認証処理部307と、情報格納サーバ400にユーザIDを送信し、該ユーザの登録端末IPアドレスを問い合わせるための登録端末IP問い合せ部308と、認証済みCookieを作成し、クライアント端末に送信するための認証済みCookie作成・送信部309とを有する。
認証サーバ300の内部は、各種演算及び各機構の制御を行う演算・制御部301と、前記演算・制御部にて演算処理を行うデータを一時的に格納するRAM302と、外部機器とのデータ送受信を行うインターフェースである外部通信部303と、情報格納サーバ400に対して、アクセスしている端末のIPアドレスを送信し、連絡用アドレスの問い合わせを行うための連絡用アドレス問い合せ部304と、被認証権限チケットの作成し、アクセスしている端末に送信するための被認証権限チケット作成・送信部305と、被認証権限チケットを送信した端末に対して認証画面を送信するための認証画面送信部306と、認証処理を行うための認証処理部307と、情報格納サーバ400にユーザIDを送信し、該ユーザの登録端末IPアドレスを問い合わせるための登録端末IP問い合せ部308と、認証済みCookieを作成し、クライアント端末に送信するための認証済みCookie作成・送信部309とを有する。
前記認証サーバ300は、本実施例では、本実施例では、高速処理が可能なワークステーションやサーバ機器であるため、例えば、前記演算・制御部301はCPUであり、前記外部通信部303は、LANインターフェースカードや公衆回線への専用通信手段である。
また、前記連絡用アドレス問い合せ部304、被認証権限チケット作成・送信部305、認証画面送信部306、認証処理部307、登録端末IP問い合せ部308、認証済みCookie作成・送信部309は、ハードディスク機器のような記録媒体に格納されたソフトウェアが実行されることにより、実現される。
しかしながら、前記認証サーバ300は、前記手段を有する専用の装置であっても構わない。
また、前記連絡用アドレス問い合せ部304、被認証権限チケット作成・送信部305、認証画面送信部306、認証処理部307、登録端末IP問い合せ部308、認証済みCookie作成・送信部309は、ハードディスク機器のような記録媒体に格納されたソフトウェアが実行されることにより、実現される。
しかしながら、前記認証サーバ300は、前記手段を有する専用の装置であっても構わない。
図7は、本発明の実施形態であるユーザ認証システムにおける情報格納サーバの内部構成を示すブロック図である。
情報格納サーバ400の内部は、各種演算及び各機構の制御を行う演算・制御部401と、前記演算・制御部にて演算処理を行うデータを一時的に格納するRAM402と、外部機器とのデータ送受信を行うインターフェースである外部通信部403と、図3に示したようなデータを格納する情報格納部404と、認証サーバ300から送信されたアクセス端末のIPアドレスから連絡用アドレスを抽出し、認証サーバに返すための連絡用アドレス抽出・送信部405と、認証サーバ300から送信されたユーザIDから登録端末IPアドレスを抽出し、認証サーバに返すための登録端末IP抽出・送信部406とを有する。
情報格納サーバ400の内部は、各種演算及び各機構の制御を行う演算・制御部401と、前記演算・制御部にて演算処理を行うデータを一時的に格納するRAM402と、外部機器とのデータ送受信を行うインターフェースである外部通信部403と、図3に示したようなデータを格納する情報格納部404と、認証サーバ300から送信されたアクセス端末のIPアドレスから連絡用アドレスを抽出し、認証サーバに返すための連絡用アドレス抽出・送信部405と、認証サーバ300から送信されたユーザIDから登録端末IPアドレスを抽出し、認証サーバに返すための登録端末IP抽出・送信部406とを有する。
前記情報格納サーバ400は、本実施例では、本実施例では、高速処理が可能なワークステーションやサーバ機器であるため、例えば、前記演算・制御部401はCPUであり、前記外部通信部403は、LANインターフェースカードや公衆回線への専用通信手段である。
また、前記情報格納部404は、データベース形式で情報を格納しても構わないし、リストやファイルのような形式で情報を格納しても構わない。
また、前記連絡用アドレス抽出・送信部405、及び登録端末IP抽出・送信部406は、ハードディスク機器のような記録媒体に格納されたソフトウェアが実行されることにより、実現される。
しかしながら、前記情報格納サーバ400は、前記手段を有する専用の装置であっても構わない。
また、前記情報格納部404は、データベース形式で情報を格納しても構わないし、リストやファイルのような形式で情報を格納しても構わない。
また、前記連絡用アドレス抽出・送信部405、及び登録端末IP抽出・送信部406は、ハードディスク機器のような記録媒体に格納されたソフトウェアが実行されることにより、実現される。
しかしながら、前記情報格納サーバ400は、前記手段を有する専用の装置であっても構わない。
図8は、本発明の実施形態であるユーザ認証システムの、基本的な動作を示すシーケンス図である。
例えば、ユーザID「UIDa」を持つユーザ3aが、クライアント端末1aを使用して、Webサーバ200にアクセスを試みる(シーケンスSQ1)。
Webサーバ200は、前記クライアント端末1aから認証済みCookieが送信されたか否かを確認し、認証済みCookieが送信されていない場合は、認証サーバ300へのリダイレクト要求の指示を行う(シーケンスSQ2)。
クライアント端末1aは、要求指示に従い、認証サーバ300へアクセス(リダイレクト)する。このとき、前記Webサーバ200へ行ったリクエストURL(URL02)をPOSTデータ等で送信する(シーケンスSQ3)。
通常、前記Webサーバ200へ初回アクセスをする場合は、クライアント端末1aは、認証済みCookieを保持していないので、上記シーケンスSQ1〜SQ3の手順を踏み、以下に示すシーケンスSQ4以降の手順を踏む。
例えば、ユーザID「UIDa」を持つユーザ3aが、クライアント端末1aを使用して、Webサーバ200にアクセスを試みる(シーケンスSQ1)。
Webサーバ200は、前記クライアント端末1aから認証済みCookieが送信されたか否かを確認し、認証済みCookieが送信されていない場合は、認証サーバ300へのリダイレクト要求の指示を行う(シーケンスSQ2)。
クライアント端末1aは、要求指示に従い、認証サーバ300へアクセス(リダイレクト)する。このとき、前記Webサーバ200へ行ったリクエストURL(URL02)をPOSTデータ等で送信する(シーケンスSQ3)。
通常、前記Webサーバ200へ初回アクセスをする場合は、クライアント端末1aは、認証済みCookieを保持していないので、上記シーケンスSQ1〜SQ3の手順を踏み、以下に示すシーケンスSQ4以降の手順を踏む。
認証サーバ300は、クライアント端末1aのIPアドレス(IPa)を取得し、取得したIPアドレス(IPa)をキーにして、情報格納サーバ400に連絡アドレスの問い合わせを行う(シーケンスSQ4)。
情報格納サーバ400は、前記認証サーバ300からの問い合わせに対して、送信されたIPアドレス(IPa)に対応する連絡用アドレスが存在するか否かを確認し、存在したらそれを抽出し、前記認証サーバ300へ応答、送信する(シーケンスSQ5)。
この場合では、IPアドレス(IPa)に対応した連絡用アドレス(ADDRa)を送信している。
また、前記IPアドレス(IPa)に対応するアドレスが存在しない場合は、存在しない旨を前記認証サーバ300に送信、応答する。例えば、空の連絡用アドレスを送信する等の方法がある。
情報格納サーバ400は、前記認証サーバ300からの問い合わせに対して、送信されたIPアドレス(IPa)に対応する連絡用アドレスが存在するか否かを確認し、存在したらそれを抽出し、前記認証サーバ300へ応答、送信する(シーケンスSQ5)。
この場合では、IPアドレス(IPa)に対応した連絡用アドレス(ADDRa)を送信している。
また、前記IPアドレス(IPa)に対応するアドレスが存在しない場合は、存在しない旨を前記認証サーバ300に送信、応答する。例えば、空の連絡用アドレスを送信する等の方法がある。
情報格納サーバ400に対する問い合わせの応答を受信した認証サーバ300は、例えば、空でない連絡用アドレスが送信された場合のみ、動的に、被認証権限チケットを作成し(シーケンスSQ6)、クライアント端末1aに対して、処理終了の通知、被認証権限チケットの送信を行う(シーケンスSQ7)。
ただし、チケットの送信は、連絡用アドレス(ADDRa)に送信するため、特にクライアント端末1aで受け取る必要はない。
ただし、チケットの送信は、連絡用アドレス(ADDRa)に送信するため、特にクライアント端末1aで受け取る必要はない。
ユーザ3aは、クライアント端末1aを使って、連絡用アドレス(ADDRa)に送付された被認証権限チケットを認証サーバ300に送信し、認証を試みる(シーケンスSQ8)。このとき、クライアント端末1aが被認証権限チケットを提出しなかった場合は、シーケンスSQ4に戻ることとなる。
認証サーバ300は、被認証権限チケットを受信し、有効期限の確認及び発行者の確認をした後、認証画面を送信する(シーケンスSQ9)。
認証サーバ300は、被認証権限チケットを受信し、有効期限の確認及び発行者の確認をした後、認証画面を送信する(シーケンスSQ9)。
クライアント端末1aは、認証サーバ300から受け取った認証画面を用い、要求された認証情報を入力し、認証情報、リクエストURL(URL02)を認証サーバ300に送信する(シーケンスSQ10)。
認証サーバ300は、クライアント端末1aから送信された認証情報を受け取り、ユーザ認証を行う(シーケンスSQ11)。認証が成功した場合は、情報格納サーバ400に、認証が成功したユーザIDを送信し、対応するユーザ使用端末のIPアドレスを問い合わせる(シーケンスSQ12)。
今回の場合、ユーザ認証にユーザ3aの情報を用いたので、情報格納サーバに対してユーザID「UIDa」を送信することになる。
認証サーバ300は、クライアント端末1aから送信された認証情報を受け取り、ユーザ認証を行う(シーケンスSQ11)。認証が成功した場合は、情報格納サーバ400に、認証が成功したユーザIDを送信し、対応するユーザ使用端末のIPアドレスを問い合わせる(シーケンスSQ12)。
今回の場合、ユーザ認証にユーザ3aの情報を用いたので、情報格納サーバに対してユーザID「UIDa」を送信することになる。
情報格納サーバ400は、認証サーバ300からの問い合わせのあった登録IPアドレスを抽出し(シーケンスSQ13)、認証サーバ300に応答する。
本事例の場合、情報格納サーバに登録されたIPアドレスは「IPa」であり、このIPアドレスを返答する。
本事例の場合、情報格納サーバに登録されたIPアドレスは「IPa」であり、このIPアドレスを返答する。
認証サーバ300は、情報格納サーバ400からの応答を受信した後、認証済みCookieを作成し、クライアント端末1aに対して前記認証済みCookieを送信すると共に、前記URL02へのリダイレクト要求を行う(シーケンスSQ14)。このとき、認証済みCookieには、IPアドレス(IPa)が格納され、暗号化されている。
認証サーバ300より、URL02へのリダイレクト要求を受信したクライアント端末1aは、認証済みCookieと共にURL02へアクセスを行う(シーケンスSQ15)。
クライアント端末1aより認証済みCookieを受信したWebサーバ200は、認証済みCookieを復号化し、IPアドレス(IPa)を取得する。この際、IPaと認証済みCookie送信者であるクライアント端末1aのIPアドレスが異なる場合、不正なアクセスと判断する。本事例の場合、両方のIPアドレスが一致しているので、正当なアクセスと判断し、URL02の開示を許可する(シーケンスSQ16)。
認証サーバ300より、URL02へのリダイレクト要求を受信したクライアント端末1aは、認証済みCookieと共にURL02へアクセスを行う(シーケンスSQ15)。
クライアント端末1aより認証済みCookieを受信したWebサーバ200は、認証済みCookieを復号化し、IPアドレス(IPa)を取得する。この際、IPaと認証済みCookie送信者であるクライアント端末1aのIPアドレスが異なる場合、不正なアクセスと判断する。本事例の場合、両方のIPアドレスが一致しているので、正当なアクセスと判断し、URL02の開示を許可する(シーケンスSQ16)。
図9は、本発明の実施形態であるユーザ認証システムの、第1の例外動作を示すシーケンス図である。
例えば、ユーザIDを持たないユーザがクライアント端末2bを利用して、Webサーバ200にアクセスを試みる(シーケンスSQ21)。
Webサーバ200は、前記クライアント端末2bから認証済みCookieが送信されたか否かを確認し、認証済みCookieが送信されていない場合は、認証サーバ300へのリダイレクト要求の指示を行う(シーケンスSQ22)。
クライアント端末1bは、要求指示に従い、認証サーバ300へアクセス(リダイレクト)する。このとき、前記Webサーバ200へ行ったリクエストURL(URL02)をPOSTデータ等で送信する(シーケンスSQ23)。
例えば、ユーザIDを持たないユーザがクライアント端末2bを利用して、Webサーバ200にアクセスを試みる(シーケンスSQ21)。
Webサーバ200は、前記クライアント端末2bから認証済みCookieが送信されたか否かを確認し、認証済みCookieが送信されていない場合は、認証サーバ300へのリダイレクト要求の指示を行う(シーケンスSQ22)。
クライアント端末1bは、要求指示に従い、認証サーバ300へアクセス(リダイレクト)する。このとき、前記Webサーバ200へ行ったリクエストURL(URL02)をPOSTデータ等で送信する(シーケンスSQ23)。
認証サーバ300は、クライアント端末2bのIPアドレスを取得し、取得したIPアドレスをキーにして、情報格納サーバ400に連絡アドレスの問い合わせを行う(シーケンスSQ24)。
情報格納サーバ400は、前記認証サーバ300からの問い合わせに対して、送信された前記IPアドレス(IP2b)に対応する連絡用アドレスが存在するか否かを確認する。この場合では、前記IPアドレス(IP2b)に対応する連絡用アドレスが存在しないので、存在しない旨を前記認証サーバ300に送信、応答する(シーケンスSQ25)。
情報格納サーバ400から問い合わせ結果を受け取った認証サーバ300は、クライアント端末1bに対して、処理を行ったことを通知する(シーケンスSQ26)。ユーザは、被認証権限チケットを取得することができないため、Webサーバ200へのアクセスが不可能となる。
情報格納サーバ400は、前記認証サーバ300からの問い合わせに対して、送信された前記IPアドレス(IP2b)に対応する連絡用アドレスが存在するか否かを確認する。この場合では、前記IPアドレス(IP2b)に対応する連絡用アドレスが存在しないので、存在しない旨を前記認証サーバ300に送信、応答する(シーケンスSQ25)。
情報格納サーバ400から問い合わせ結果を受け取った認証サーバ300は、クライアント端末1bに対して、処理を行ったことを通知する(シーケンスSQ26)。ユーザは、被認証権限チケットを取得することができないため、Webサーバ200へのアクセスが不可能となる。
図10は、本発明の実施形態であるユーザ認証システムの、第2の例外動作を示すシーケンス図である。
例えば、ユーザ3cが登録されたクライアント端末1cから、Webサーバ200にアクセスし、ユーザ3aの認証を試みる。
クライアント端末1cを使用して、Webサーバ200にアクセスを試みる(シーケンスSQ31)。
Webサーバ200は、前記クライアント端末1cから認証済みCookieが送信されたか否かを確認し、認証済みCookieが送信されていないので、認証サーバ300へのリダイレクト要求の指示を行う(シーケンスSQ32)。
クライアント端末1cは、要求指示に従い、認証サーバ300へアクセス(リダイレクト)する。このとき、前記Webサーバ200へ行ったリクエストURL(URL02)をPOSTデータ等で送信する(シーケンスSQ33)。
例えば、ユーザ3cが登録されたクライアント端末1cから、Webサーバ200にアクセスし、ユーザ3aの認証を試みる。
クライアント端末1cを使用して、Webサーバ200にアクセスを試みる(シーケンスSQ31)。
Webサーバ200は、前記クライアント端末1cから認証済みCookieが送信されたか否かを確認し、認証済みCookieが送信されていないので、認証サーバ300へのリダイレクト要求の指示を行う(シーケンスSQ32)。
クライアント端末1cは、要求指示に従い、認証サーバ300へアクセス(リダイレクト)する。このとき、前記Webサーバ200へ行ったリクエストURL(URL02)をPOSTデータ等で送信する(シーケンスSQ33)。
認証サーバ300は、クライアント端末1cのIPアドレス(IPc)を取得し、取得したIPアドレス(IPc)をキーにして、情報格納サーバ400に連絡アドレスの問い合わせを行う(シーケンスSQ34)。
情報格納サーバ400は、前記認証サーバ300からの問い合わせに対して、送信されたIPアドレス(IPc)に対応する連絡用アドレスが存在するか否かを確認し、存在したらそれを抽出し、前記認証サーバ300へ応答、送信する(シーケンスSQ35)。
この場合では、連絡用アドレスとして、IPアドレス(IPc)に対応したADDRcを認証サーバに送信している。
情報格納サーバ400は、前記認証サーバ300からの問い合わせに対して、送信されたIPアドレス(IPc)に対応する連絡用アドレスが存在するか否かを確認し、存在したらそれを抽出し、前記認証サーバ300へ応答、送信する(シーケンスSQ35)。
この場合では、連絡用アドレスとして、IPアドレス(IPc)に対応したADDRcを認証サーバに送信している。
情報格納サーバ400に対する問い合わせの応答を受信した認証サーバ300は、動的に、被認証権限チケットを作成し(シーケンスSQ36)、クライアント端末1cに対して、処理終了の通知を行い、同時に連絡用アドレスADDRcに被認証権限チケットを送信する(シーケンスSQ37)。
ユーザ3aは、クライアント端末1cを使って、連絡用アドレスADDRcに送付された被認証権限チケットを認証サーバ300に送信し、認証を試みる(シーケンスSQ38)。このとき、クライアント端末1cが被認証権限チケットを提出しなかった場合は、シーケンスSQ34に戻ることとなる。
認証サーバ300は、被認証権限チケットを受信し、有効期限の確認及び発行者の確認をした後、認証画面を送信する(シーケンスSQ39)。
認証サーバ300は、被認証権限チケットを受信し、有効期限の確認及び発行者の確認をした後、認証画面を送信する(シーケンスSQ39)。
クライアント端末1cは、認証サーバ300から受け取った認証画面を用い、要求された認証情報を入力し、認証情報、リクエストURL(URL02)を認証サーバ300に送信する(シーケンスSQ40)。
ここでは、ユーザ3aが認証作業を試みているので、ユーザ3aに関する認証情報を入力して、認証サーバ300に送信する。
認証サーバ300は、クライアント端末1cから送信された認証情報を受け取り、ユーザ認証を行う(シーケンスSQ41)。認証が成功した場合は、情報格納サーバ400に、認証が成功したユーザIDを送信し、対応するユーザ使用端末のIPアドレスを問い合わせる(シーケンスSQ42)。
今回の場合、ユーザ認証にユーザ3aの情報を用いたので、情報格納サーバに対してユーザID「UIDa」を送信することになる。
ここでは、ユーザ3aが認証作業を試みているので、ユーザ3aに関する認証情報を入力して、認証サーバ300に送信する。
認証サーバ300は、クライアント端末1cから送信された認証情報を受け取り、ユーザ認証を行う(シーケンスSQ41)。認証が成功した場合は、情報格納サーバ400に、認証が成功したユーザIDを送信し、対応するユーザ使用端末のIPアドレスを問い合わせる(シーケンスSQ42)。
今回の場合、ユーザ認証にユーザ3aの情報を用いたので、情報格納サーバに対してユーザID「UIDa」を送信することになる。
情報格納サーバ400は、認証サーバ300からの問い合わせのあった登録IPアドレスを抽出し(シーケンスSQ43)、認証サーバ300に応答する。
本事例の場合、ユーザ3aに対応する登録されたIPアドレスは「IPa」となり、このIPアドレスを返答する。
本事例の場合、ユーザ3aに対応する登録されたIPアドレスは「IPa」となり、このIPアドレスを返答する。
認証サーバ300は、情報格納サーバ400からの応答を受信した後、認証済みCookieを作成し、クライアント端末1cに対して前記認証済みCookieを送信すると共に、前記URL02へのリダイレクト要求を行う(シーケンスSQ44)。このとき、認証済みCookieには、IPアドレス(IPa)が格納され、暗号化されている。
認証サーバ300より、URL02へのリダイレクト要求を受信したクライアント端末1cは、認証済みCookieと共にURL02へアクセスを行う(シーケンスSQ45)。
クライアント端末1cより認証済みCookieを受信したWebサーバ200は、認証済みCookieを復号化し、IPアドレス(IPa)を取得する。この際、認証済みCookie情報のIPaと、該認証済みCookie送信者であるクライアント端末1cのIPアドレス(IPc)が互いに異なっているため、不正なアクセスと判断する(シーケンスSQ46)。
認証サーバ300より、URL02へのリダイレクト要求を受信したクライアント端末1cは、認証済みCookieと共にURL02へアクセスを行う(シーケンスSQ45)。
クライアント端末1cより認証済みCookieを受信したWebサーバ200は、認証済みCookieを復号化し、IPアドレス(IPa)を取得する。この際、認証済みCookie情報のIPaと、該認証済みCookie送信者であるクライアント端末1cのIPアドレス(IPc)が互いに異なっているため、不正なアクセスと判断する(シーケンスSQ46)。
本発明の第1の効果は、ユーザID、パスワードが他人に漏洩しても、登録されたユーザ以外では、Webサーバの情報を閲覧できない点である。その理由は、認証サーバにて認証を受けるために必要となる被認証権限チケットが、登録されたユーザにしか配布されないためである。
また、本発明の第2の効果は、認証済みCookieを盗用されても、登録された端末以外ではサーバに接続できない点である。その理由は、暗号化された認証済みCookieに、その正当な所有者の端末のIPアドレスが格納されているためである。
また、前記第2の効果によってもたらされる第3の効果は、Webサーバとクライアント端末間の通信を暗号化する必要がないため、運用コストが軽減できるという点である。
また、本発明の第2の効果は、認証済みCookieを盗用されても、登録された端末以外ではサーバに接続できない点である。その理由は、暗号化された認証済みCookieに、その正当な所有者の端末のIPアドレスが格納されているためである。
また、前記第2の効果によってもたらされる第3の効果は、Webサーバとクライアント端末間の通信を暗号化する必要がないため、運用コストが軽減できるという点である。
図11は、本発明の実施形態であるユーザ認証システムの、第2のネットワーク構成を示す図である。
図1〜図10までは、小規模のユーザ認証システムについて説明したが、図11に示すように、規模を拡大することが可能である。
すなわち、Webサーバが、1台ではなく、m種類の情報提供を行うことが可能である200a〜200mまでのm台であり、ユーザ認証システムに登録されたクライアント端末の数が、2台ではなく、1a〜1nまでのn台であり、ユーザ認証システムに登録されていないクライアント端末の数が、1台ではなく、2a〜2kまでのk台である。
このように、本発明においては、様々な情報提供を行うWebサーバを複数台設置したり、ユーザ認証システムに登録されたクライアント端末の台数、登録されていないクライアント端末の台数を自由に設定することが可能である。
図1〜図10までは、小規模のユーザ認証システムについて説明したが、図11に示すように、規模を拡大することが可能である。
すなわち、Webサーバが、1台ではなく、m種類の情報提供を行うことが可能である200a〜200mまでのm台であり、ユーザ認証システムに登録されたクライアント端末の数が、2台ではなく、1a〜1nまでのn台であり、ユーザ認証システムに登録されていないクライアント端末の数が、1台ではなく、2a〜2kまでのk台である。
このように、本発明においては、様々な情報提供を行うWebサーバを複数台設置したり、ユーザ認証システムに登録されたクライアント端末の台数、登録されていないクライアント端末の台数を自由に設定することが可能である。
図11に示すような構成においては、例えば、Webサーバ200aに初回アクセスを行い、図4で示したシーケンスSQ1〜SQ16の一連の認証手続が完了すると、その後は、Webサーバ200b、200c等に初回アクセスした場合でも、図4で示した一連の認証手続を行わずに、Webサーバ200b、200c等が提供する情報を参照することが可能である。つまり、前記Webサーバ200a〜200mは、いずれも、クライアント端末から送信された認証済みCookieに格納されているIPアドレスと、認証済みCookieを送信したクライアント端末のIPアドレスが一致しているか否かを判別して、前記クライアント端末に情報提供を行うか否かを判別しているからである。
これにより、認証済み情報を、複数の異なる情報を提供するWebサーバで使い回す複合的なシステムにも適用することが可能となる。
これにより、認証済み情報を、複数の異なる情報を提供するWebサーバで使い回す複合的なシステムにも適用することが可能となる。
図12は、本発明の実施形態であるユーザ認証システムの、第2のネットワーク構成におけるデータ構成を示す図である。
本図に示すように、ユーザ3aが利用するユーザ端末1aには、IPアドレスIPaを、ユーザ端末1bがIPbを、・・・、ユーザ端末1nがIPnを、というように、それぞれがIPアドレスを有する。また、ユーザ認証システムの構成に含まれない端末2a、2b、・・・、2kも、それぞれIPアドレスIP2a、IP2b、・・・、IP2kを有する(図12−(a)参照)。
また、サーバ側では、n人分のユーザデータを有している(図12−(b)参照)。
本図に示すように、ユーザ3aが利用するユーザ端末1aには、IPアドレスIPaを、ユーザ端末1bがIPbを、・・・、ユーザ端末1nがIPnを、というように、それぞれがIPアドレスを有する。また、ユーザ認証システムの構成に含まれない端末2a、2b、・・・、2kも、それぞれIPアドレスIP2a、IP2b、・・・、IP2kを有する(図12−(a)参照)。
また、サーバ側では、n人分のユーザデータを有している(図12−(b)参照)。
図13は、本発明の実施形態であるユーザ認証システムの、第3のネットワーク構成を示す図である。
図1〜図10、及び図11〜図12では、Webサーバ200、認証サーバ300、情報格納サーバ400を別々に構成したが、図13に示すように、例えば、認証サーバと情報格納サーバを、同一の情報処理装置(例えば、ワークステーションやサーバ装置)で構成することも可能である。
つまり、一般的に、サーバ装置等の情報処理装置を制御するオペレーション・システム(OS)は、1台の装置で、同一ネットワーク内の情報処理装置からの様々な要求に対して、各要求に対応するサービスという形で、常時待機していて、要求に対する応答を行っているからである。
図1〜図10、及び図11〜図12では、Webサーバ200、認証サーバ300、情報格納サーバ400を別々に構成したが、図13に示すように、例えば、認証サーバと情報格納サーバを、同一の情報処理装置(例えば、ワークステーションやサーバ装置)で構成することも可能である。
つまり、一般的に、サーバ装置等の情報処理装置を制御するオペレーション・システム(OS)は、1台の装置で、同一ネットワーク内の情報処理装置からの様々な要求に対して、各要求に対応するサービスという形で、常時待機していて、要求に対する応答を行っているからである。
なお、上記に示した実施形態(実施例1〜実施例3)は、本発明の好適な実施の一例であるが、本発明の実施形態はこれらに限定されるものではなく、本発明の要旨を逸脱しない範囲内で、様々な変形実施が可能である。
以上の説明から明らかなように、外部装置へ情報の要求を行う情報要求手段と、送信された情報を表示する情報表示手段とを有する情報処理端末と、前記情報処理端末に対して情報提供を行う情報提供手段を有する情報提供装置と、前記情報処理端末から前記情報提供装置にアクセスした際に認証を行う認証手段を有する認証装置と、前記認証にて必要となる情報を管理している情報管理手段を有する情報格納装置とが、ネットワークを介して互いに情報通信することが可能なユーザ認証システムであって、前記情報処理端末は、認証を得るために認証画面を表示する認証画面表示手段と、認証情報を入力する認証情報入力手段とを有し、前記情報提供装置は、前記情報処理端末から認証済みCookieが送信されたか否かを判断するCookie有無判別手段と、認証済みCookieの内容から、前記情報処理端末からのアクセスが正当なアクセスであるか否かを判別するCookie内容判別手段と、前記Cookie内容判別手段にて、正当なアクセスであると判別された場合は、前記情報処理端末に対して情報提供を行う第2の情報提供手段とを有し、前記認証装置は、前記情報処理端末に関する情報を情報格納装置に送信して連絡用アドレスを問い合わせする連絡用アドレス問い合わせ手段と、被認証権限チケットを作成し、前記情報処理端末に送信するチケット作成・送信手段と、情報処理端末から送信されたチケットを受信し、前記情報処理端末へ認証画面を送信する認証画面送信手段と、情報処理端末から送信された認証情報を受信し、認証を行う第2の認証手段と、前記第2の認証手段で認証された場合は、前記認証情報を前記情報格納装置へ送信して、前記認証情報に対する登録端末IPアドレスを問い合わせする登録端末IP問い合わせ手段と、認証済みCookieを作成し、前記情報処理端末に送信するCookie作成・送信手段とを有し、前記情報格納装置は、前記連絡用アドレス問い合わせに応じて、連絡用アドレスを抽出し、送信する連絡用アドレス抽出・応答手段と、前記登録端末IPアドレス問い合わせに応じて、登録端末IPアドレスを抽出し、送信する登録端末IP抽出・応答手段とを有することにより、ユーザIDやパスワードが他人に知られた場合やCookieが盗聴された場合でも不正な接続を防ぐことが可能となる。
また、前記Cookie有無判別手段は、前記情報処理端末から認証済みCookieが送信されなかった場合に、前記認証装置にリダイレクト要求を行うリダイレクト要求手段を有することにより、Webサーバに初回アクセスしたユーザは、必ず認証手続を行わなければならなくなる。
また、前記連絡用アドレス抽出・送信手段は、前記認証装置から送信されたIPアドレスをキーにして連絡用アドレスを抽出し、送信する第2の連絡用アドレス抽出・送信手段と、前記IPアドレスに対応する連絡用アドレスが抽出できなかった場合は、見つからなかった旨を送信する第3の連絡用アドレス抽出・送信手段とを有することにより、正規ユーザでない第三者がシステムを利用することが不可能となる。
また、前記チケット作成・送信手段は、連絡用アドレスが送信された場合には、被認証権限チケットを作成し、前記被認証権限チケットを前記連絡用アドレスに送信する第2のチケット作成・送信手段と、連絡用アドレスが送信されなかった場合には、連絡用チケットが見つからなかった旨を前記情報処理装置に通知する第1の通知手段とを有することにより、正規ユーザでない第三者がシステムを利用することが不可能となる。
また、前記認証情報は、ユーザIDとパスワードであり、前記第2の認証手段は、前記ユーザID及びパスワードから認証可否を決定する認証可否決定手段を有することにより、正規ユーザでない第三者がシステムを利用することが不可能となる。
また、前記第2の認証手段にて認証されなかった場合は、前記情報処理装置に認証されなかった旨を通知する第2の通知手段を有することにより、正規ユーザでない第三者がシステムを利用することが不可能となる。
また、前記Cookie作成・送信手段は、前記登録端末IP抽出・応答手段にて得られた登録端末IPアドレスを暗号化する暗号化手段と、前記暗号化手段により暗号化された登録端末IPアドレスを含ませて認証済みCookieを作成し、送信する第2の認証済みCookie作成・送信手段とを有することにより、Cookieそのものが盗聴されても、Cookieの中身を解読することが不可能となる。
また、前記Cookie内容判別手段は、認証済みCookie内の暗号化されたIPアドレスを復号化する復号化手段と、認証済みCookieを送信した情報処理端末のIPアドレスと、前記復号化手段により複合化されたIPアドレスを比較する比較手段とを有することにより、より安全な認証手続を行うことが可能となる。
また、前記情報提供装置はWebサーバであり、前記認証装置は、認証サーバであり、前記情報格納装置は、情報格納サーバであることにより、一般的に流通している情報処理システムに対して、本発明に係るユーザ認証システムを用いることが可能となる。
1 端末(システムに登録された端末)
2 端末(システムに未登録の端末)
3 ユーザ(端末利用者)
104 入力部
105 出力部
106 被認証チケット送信部
107 認証済みCookie送信部
200 Webサーバ
204 Cookie有無判定部
205 IPアドレス判定部
206 情報格納部
207 情報提供部
300 認証サーバ
304 連絡用アドレス問い合わせ部
305 被認証チケット作成・送信部
306 認証画面送信部
307 認証処理部
308 登録IPアドレス問い合わせ部
309 認証済みCookie作成・送信部
400 情報格納サーバ
404 連絡用アドレス抽出・送信部
405 登録IPアドレス抽出・送信部
500 認証サーバ+情報格納サーバ
ADDRa〜ADDRx 連絡用アドレス
IPa〜IPx クライアント端末IPアドレス
PASSa〜PASSx ログインパスワード
UIDa〜UIDx ユーザID
2 端末(システムに未登録の端末)
3 ユーザ(端末利用者)
104 入力部
105 出力部
106 被認証チケット送信部
107 認証済みCookie送信部
200 Webサーバ
204 Cookie有無判定部
205 IPアドレス判定部
206 情報格納部
207 情報提供部
300 認証サーバ
304 連絡用アドレス問い合わせ部
305 被認証チケット作成・送信部
306 認証画面送信部
307 認証処理部
308 登録IPアドレス問い合わせ部
309 認証済みCookie作成・送信部
400 情報格納サーバ
404 連絡用アドレス抽出・送信部
405 登録IPアドレス抽出・送信部
500 認証サーバ+情報格納サーバ
ADDRa〜ADDRx 連絡用アドレス
IPa〜IPx クライアント端末IPアドレス
PASSa〜PASSx ログインパスワード
UIDa〜UIDx ユーザID
Claims (9)
- 外部装置へ情報の要求を行う情報要求手段と、送信された情報を表示する情報表示手段とを有する情報処理端末と、
前記情報処理端末に対して情報提供を行う情報提供手段を有する情報提供装置と、
前記情報処理端末から前記情報提供装置にアクセスした際に認証を行う認証手段を有する認証装置と、
前記認証にて必要となる情報を管理している情報管理手段を有する情報格納装置とが、ネットワークを介して互いに情報通信することが可能なユーザ認証システムであって、
前記情報処理端末は、
認証を得るために認証画面を表示する認証画面表示手段と、
認証情報を入力する認証情報入力手段とを有し、
前記情報提供装置は、
前記情報処理端末から認証済みCookieが送信されたか否かを判断するCookie有無判別手段と、
認証済みCookieの内容から、前記情報処理端末からのアクセスが正当なアクセスであるか否かを判別するCookie内容判別手段と、
前記Cookie内容判別手段にて、正当なアクセスであると判別された場合は、前記情報処理端末に対して情報提供を行う第2の情報提供手段とを有し、
前記認証装置は、
前記情報処理端末に関する情報を情報格納装置に送信して連絡用アドレスを問い合わせする連絡用アドレス問い合わせ手段と、
被認証権限チケットを作成し、前記情報処理端末に送信するチケット作成・送信手段と、
情報処理端末から送信されたチケットを受信し、前記情報処理端末へ認証画面を送信する認証画面送信手段と、
情報処理端末から送信された認証情報を受信し、認証を行う第2の認証手段と、
前記第2の認証手段で認証された場合は、前記認証情報を前記情報格納装置へ送信して、前記認証情報に対する登録端末IPアドレスを問い合わせする登録端末IP問い合わせ手段と、
認証済みCookieを作成し、前記情報処理端末に送信するCookie作成・送信手段とを有し、
前記情報格納装置は、
前記連絡用アドレス問い合わせに応じて、連絡用アドレスを抽出し、送信する連絡用アドレス抽出・応答手段と、
前記登録端末IPアドレス問い合わせに応じて、登録端末IPアドレスを抽出し、送信する登録端末IP抽出・応答手段とを有することを特徴とするユーザ認証システム。 - 前記Cookie有無判別手段は、前記情報処理端末から認証済みCookieが送信されなかった場合に、前記認証装置にリダイレクト要求を行うリダイレクト要求手段を有することを特徴とする請求項1記載のユーザ認証システム。
- 前記連絡用アドレス抽出・送信手段は、
前記認証装置から送信されたIPアドレスをキーにして連絡用アドレスを抽出し、送信する第2の連絡用アドレス抽出・送信手段と、
前記IPアドレスに対応する連絡用アドレスが抽出できなかった場合は、見つからなかった旨を送信する第3の連絡用アドレス抽出・送信手段とを有することを特徴とする請求項1または2に記載のユーザ認証システム。 - 前記チケット作成・送信手段は、
連絡用アドレスが送信された場合には、被認証権限チケットを作成し、前記被認証権限チケットを前記連絡用アドレスに送信する第2のチケット作成・送信手段と、
連絡用アドレスが送信されなかった場合には、連絡用チケットが見つからなかった旨を前記情報処理装置に通知する第1の通知手段とを有することを特徴とする請求項3記載のユーザ認証システム。 - 前記認証情報は、ユーザIDとパスワードであり、
前記第2の認証手段は、前記ユーザID及びパスワードから認証可否を決定する認証可否決定手段を有することを特徴とする請求項1〜4のいずれか1項に記載のユーザ認証システム。 - 前記第2の認証手段にて認証されなかった場合は、前記情報処理装置に認証されなかった旨を通知する第2の通知手段を有することを特徴とする請求項1〜5のいずれか1項に記載のユーザ認証システム。
- 前記Cookie作成・送信手段は、
前記登録端末IP抽出・応答手段にて得られた登録端末IPアドレスを暗号化する暗号化手段と、
前記暗号化手段により暗号化された登録端末IPアドレスを含ませて認証済みCookieを作成し、送信する第2の認証済みCookie作成・送信手段とを有することを特徴とする請求項1〜6のいずれか1項に記載のユーザ認証システム。 - 前記Cookie内容判別手段は、
認証済みCookie内の暗号化されたIPアドレスを復号化する復号化手段と、
認証済みCookieを送信した情報処理端末のIPアドレスと、前記復号化手段により複合化されたIPアドレスを比較する比較手段とを有することを特徴とする請求項7記載のユーザ認証システム。 - 前記情報提供装置はWebサーバであり、
前記認証装置は、認証サーバであり、
前記情報格納装置は、情報格納サーバであることを特徴とする請求項1〜8のいずれか1項に記載のユーザ認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003387182A JP2005149239A (ja) | 2003-11-17 | 2003-11-17 | ユーザ認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003387182A JP2005149239A (ja) | 2003-11-17 | 2003-11-17 | ユーザ認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005149239A true JP2005149239A (ja) | 2005-06-09 |
Family
ID=34694636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003387182A Pending JP2005149239A (ja) | 2003-11-17 | 2003-11-17 | ユーザ認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005149239A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007109122A (ja) * | 2005-10-17 | 2007-04-26 | Nomura Research Institute Ltd | 認証システム、認証方法および認証プログラム |
| JP2008027113A (ja) * | 2006-07-20 | 2008-02-07 | Sharp Corp | 認証システムおよび認証方法 |
| JP2009521046A (ja) * | 2005-12-23 | 2009-05-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュアなid管理 |
| JP2011154688A (ja) * | 2010-01-27 | 2011-08-11 | Keypasco Ab | ネットワーク認証方法、および、ネットワーク認証方法を実行するためのネットワーク認証デバイス |
| JP2011233128A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 |
| US8474030B2 (en) | 2007-08-21 | 2013-06-25 | Nhn Business Platform Corporation | User authentication system using IP address and method thereof |
| WO2014035220A2 (ko) * | 2012-09-03 | 2014-03-06 | 엘지이노텍 주식회사 | 프로그램 인증 방법 및 시스템 |
| JP2014164544A (ja) * | 2013-02-26 | 2014-09-08 | Genetec Corp | サーバー |
| JP2016192815A (ja) * | 2016-08-12 | 2016-11-10 | ヤマハ株式会社 | 近接通信システムおよび近接通信装置 |
| US9667626B2 (en) | 2010-01-27 | 2017-05-30 | Keypasco Ab | Network authentication method and device for implementing the same |
| JP2020013288A (ja) * | 2018-07-17 | 2020-01-23 | 富士通株式会社 | 認証プログラム、認証方法及び認証装置 |
-
2003
- 2003-11-17 JP JP2003387182A patent/JP2005149239A/ja active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007109122A (ja) * | 2005-10-17 | 2007-04-26 | Nomura Research Institute Ltd | 認証システム、認証方法および認証プログラム |
| JP2009521046A (ja) * | 2005-12-23 | 2009-05-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュアなid管理 |
| US7836298B2 (en) | 2005-12-23 | 2010-11-16 | International Business Machines Corporation | Secure identity management |
| JP2008027113A (ja) * | 2006-07-20 | 2008-02-07 | Sharp Corp | 認証システムおよび認証方法 |
| US8474030B2 (en) | 2007-08-21 | 2013-06-25 | Nhn Business Platform Corporation | User authentication system using IP address and method thereof |
| JP2011154688A (ja) * | 2010-01-27 | 2011-08-11 | Keypasco Ab | ネットワーク認証方法、および、ネットワーク認証方法を実行するためのネットワーク認証デバイス |
| US9667626B2 (en) | 2010-01-27 | 2017-05-30 | Keypasco Ab | Network authentication method and device for implementing the same |
| JP2011233128A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 |
| US8706866B2 (en) | 2010-04-28 | 2014-04-22 | Eletronics And Telecommunications Research Institute | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information |
| WO2014035220A2 (ko) * | 2012-09-03 | 2014-03-06 | 엘지이노텍 주식회사 | 프로그램 인증 방법 및 시스템 |
| WO2014035220A3 (ko) * | 2012-09-03 | 2014-04-24 | 엘지이노텍 주식회사 | 프로그램 인증 방법 및 시스템 |
| US9355243B2 (en) | 2012-09-03 | 2016-05-31 | Lg Innotek Co., Ltd. | Method and system for program authentication |
| JP2014164544A (ja) * | 2013-02-26 | 2014-09-08 | Genetec Corp | サーバー |
| JP2016192815A (ja) * | 2016-08-12 | 2016-11-10 | ヤマハ株式会社 | 近接通信システムおよび近接通信装置 |
| JP2020013288A (ja) * | 2018-07-17 | 2020-01-23 | 富士通株式会社 | 認証プログラム、認証方法及び認証装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100986441B1 (ko) | 정보 보안 방법, 정보 보안 시스템, 및 보안 프로토콜을 갖는 컴퓨터 판독 가능 저장 매체 | |
| AU2009294201B2 (en) | Authorization of server operations | |
| JP5978759B2 (ja) | サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム | |
| CN1701295B (zh) | 用于对计算机网格进行单次登录访问的方法和系统 | |
| CN101350717B (zh) | 一种通过即时通信软件登录第三方服务器的方法及系统 | |
| US9185096B2 (en) | Identity verification | |
| EP1722532A2 (en) | Deliver-upon-request secure electronic message system | |
| JP2003022253A (ja) | サーバ、情報処理装置及びそのアクセス制御システム並びにその方法 | |
| US20030061350A1 (en) | File transfer system for secure remote file accesses | |
| CN1885771A (zh) | 用于建立安全通信会话的方法与装置 | |
| JP2002215582A (ja) | 認証方法及び装置 | |
| KR20010085380A (ko) | 인터넷을 통해 행해진 상업형 트랜잭션을 방호하기 위해장치들을 연관시키는 방법 및 시스템 | |
| JP2004509399A (ja) | ネットワークにわたって配布されるオブジェクトを保護するためのシステム | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| JP2005149239A (ja) | ユーザ認証システム | |
| JP2003518820A (ja) | 循環暗号化および復号化プロセスのための方法および装置 | |
| JP2005115743A (ja) | 携帯電話と暗号を利用した情報通信端末の自動認証システム | |
| JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
| JP4324951B2 (ja) | パスワードシステム | |
| JP2002007355A (ja) | パスワードを用いた通信方法 | |
| JP2004295610A (ja) | 金融取引支援装置及びプログラム | |
| JP2003304242A (ja) | 単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法 | |
| JPH11331142A (ja) | 公開鍵証書管理方法および装置 | |
| Ray et al. | Towards a privacy preserving e-commerce protocol | |
| JP2007279775A (ja) | ウェブ・アクセスポイント認証(wapa)が可能なウェブサーバー認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071212 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080226 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080624 |