JP2005267529A - Login authentication method, login authentication system, authentication program, communication program, and storage medium - Google Patents
Login authentication method, login authentication system, authentication program, communication program, and storage medium Download PDFInfo
- Publication number
- JP2005267529A JP2005267529A JP2004082531A JP2004082531A JP2005267529A JP 2005267529 A JP2005267529 A JP 2005267529A JP 2004082531 A JP2004082531 A JP 2004082531A JP 2004082531 A JP2004082531 A JP 2004082531A JP 2005267529 A JP2005267529 A JP 2005267529A
- Authority
- JP
- Japan
- Prior art keywords
- login
- user terminal
- authentication
- information
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ある利用者が、ログイン認証を必要とする複数のアプリケーションサーバへのログイン認証をする際に、当該利用者が、一度、いずれかのアプリケーションサーバにログイン認証を済ませれば、他のアプリケーションサーバにアクセスする際に、ログイン認証に必要な認証情報を入力することを不要とするログイン認証に関するものである。 In the present invention, when a user performs login authentication to a plurality of application servers that require login authentication, once the user completes login authentication to one of the application servers, the other application The present invention relates to login authentication that makes it unnecessary to input authentication information necessary for login authentication when accessing a server.
インターネットの爆発的な普及により、各種のアプリケーションが場所や時間を気にせず気軽に利用できるようになっている。利用者が入力した個人情報のセキュリティを配慮しなければならないようなオンラインショッピングやオンライントレーディングなどのアプリケーションにおいては、利用者が当該アプリケーションを利用しようとした際に、当該利用者がアプリケーション利用者として正当な利用者かどうかを認証するログイン認証処理が用いられている。 With the explosive spread of the Internet, various applications can be used easily without worrying about location and time. In applications such as online shopping and online trading where the security of personal information entered by the user must be considered, when the user attempts to use the application, the user is legitimate as an application user. A login authentication process is used to authenticate whether the user is a valid user.
また、このログイン認証処理においても、アプリケーションを提供するアプリケーションサーバごとにログイン認証処理が必要であるという煩わしさを解消するために、シングルサインオンという方式が用いられることが多くなってきている。 Also in this login authentication process, a method called single sign-on is often used in order to eliminate the inconvenience of requiring a login authentication process for each application server that provides an application.
シングルサインオン方式とは、利用者がアプリケーションを提供しているサーバにアクセスした際に、最初の一度だけログイン認証を行い、正しい認証が行われた後は、同じ利用者が、他のアプリケーションへログインしようとした際に、ログイン認証に対する情報の入力を不要とする方式である。シングルサインオン方式としては一般的にエージェント型と呼ばれる方式と、リバースプロキシ型と呼ばれる方式の2種類が存在している。 The single sign-on method means that when a user accesses a server that provides an application, login authentication is performed only once at the beginning, and after the correct authentication is performed, the same user can access another application. This is a method that makes it unnecessary to input information for login authentication when attempting to log in. There are two types of single sign-on methods, a method generally called an agent type and a method called a reverse proxy type.
図4で示されるようなエージェント型のシングルサインオン方式では、認証サーバ42にインストールされた認証プログラム50と通信を行う通信プログラム47、48、49を、アプリケーションサーバ44、45、46におのおのインストールしておき、認証サーバ42は利用者がアプリケーションを利用できるかどうかを示すログイン認証情報をアカウントデータベース43内に備え、アプリケーションサーバ44、45、46のうちのいずれかひとつに利用者端末41からのログイン要求が来た際に、通信プログラム47、48、49のいずれかが認証サーバ42の認証プログラム50に、当該利用者の認証処理が既に済まされているかを問い合わせ、当該利用者の認証処理が事前に済んでいることがわかった場合は、利用者のログイン情報の入力を不要とした仕組みである。
In the agent type single sign-on method as shown in FIG. 4,
また、図5で示されるようなリバースプロキシ型では、利用者が、あるアプリケーションサーバ54、55、56を利用する際には、必ず認証サーバ52を経由させる形態である。このようにアプリケーションを提供するアプリケーションサーバ54、55、56にアクセスする際に、必ず認証サーバ52を経由させることによって、認証サーバ52内の認証プログラム57が、当該利用者がログイン認証を過去に済ませているかどうかを判断でき、ログイン認証が既に済んでいる場合に、利用者端末51からの再度のログイン情報入力を省くという仕組みである。
Further, in the reverse proxy type as shown in FIG. 5, when a user uses a
さらに、特許文献1には、上記のリバースプロキシ型を応用させた仕組みが明示されている。特許文献1に記載の仕組みは、利用者が、あるサーバAでログイン認証を済ませた後に決済サーバであるサーバBにログインする場合に、サーバA内にて、暗号化認証コードを生成し、その暗号化認証コードを、サーバBをアクセスする際のHTML文あるいはXML文に組み込むことで、利用者からの再度のログイン情報入力を省いたシングルサインオンを実現している。
Furthermore,
さらに、特許文献2には、あるサーバAに、他のサーバ(サーバB)がリンクされており、利用者がサーバAにアクセスした際に、自動的に、サーバAのリンクタグに記載された認証情報をリンク先のサーバ(サーバB)に渡し、認証情報を受信したサーバBが、バックグラウンドにて、認証情報を記載したクッキーファイルを利用者端末に送信することが明示されている。これにより、利用者がサーバBにアクセスしようとした際に、あらかじめ受信しているクッキーファイルを用いることで、ログイン情報の入力を省くことが可能となっている。
しかしながら、上記のようなエージェント型、特許文献1を含めたリバースプロキシ型の形態では、アプリケーションを提供しているサーバすべてに対して、利用者端末がアクセスした際に、必ず、利用者のログイン識別子およびログインパスワードがネットワーク上を流れることになる。従来のシングルサインオンでは、通常、一回目のサーバアクセス後のログイン認証時に、利用者端末に入力された利用者IDおよびパスワードがサーバに送信されるが、ログイン認証が許可された場合には、サーバから当該利用者端末に、バックグラウンドで利用者IDおよびパスワードが返送され、その利用者端末から他のサーバにアクセスする際に、アクセス命令に利用者IDおよびパスワードを付加して送信することで、利用者情報の入力を不要としている。このことにより、認証をおこなっていないサーバにアクセスするごとに、利用者端末から認証情報である利用者IDおよびパスワードがネットワーク上に送信されることになっていた。
However, in the above-described agent-type and reverse proxy-type forms including
さらに、特許文献2では、ひとつめのサーバに対してアクセスし、ログイン認証が許可された場合には、他のサーバにアクセスすることがなくても、利用者の認証情報を利用者端末にクッキーファイルとして送信することになっていた。 Furthermore, in Patent Document 2, when the first server is accessed and login authentication is permitted, the user authentication information is sent to the user terminal as a cookie without accessing another server. It was supposed to be sent as a file.
ネットワーク上を認証情報が流れる回数が多ければ多いほど、認証情報を悪意のある人間に盗聴される危険性が増すことになる。本願は、このような問題を解決するために、考えられたログイン認証方式およびログイン認証システムである。 The more times authentication information flows on the network, the greater the risk that the authentication information will be wiretapped by a malicious person. The present application is a login authentication method and a login authentication system that have been considered in order to solve such problems.
上記課題を解決するため本発明は、ログインが必要な複数のアプリケーションサーバのいずれかに対して、利用者端末がログインを要求した際に、認証サーバが、前記利用者端末がログインを要求した前記アプリケーションサーバにログインできるかどうかのログイン認証を実施し、前記利用者端末が、前記認証サーバによって、前記複数のアプリケーションサーバのいずれかへのログインが既に許可されている場合に、当該利用者端末からのログイン認証情報の取得を不要とするログイン認証方法において、
前記利用者端末は、当該利用者端末を識別するための識別情報を記憶し、前記利用者端末は、前記複数のアプリケーションサーバのいずれかに、ログインを要求する情報と前記識別情報とを送信し、前記アプリケーションサーバは、利用者端末からログインを要求する情報と前記利用者端末の識別情報とを受信し、前記アプリケーションサーバは、前記利用者端末の識別情報を前記認証サーバに送信し、前記認証サーバは、前記アプリケーションサーバから、前記利用者端末の識別情報を受信し、前記認証サーバは、前記複数のアプリケーションサーバのいずれかへのログインが許可された利用者端末の識別情報を記憶している記憶部に、前記受信した識別情報が記憶されているかどうかを判別し、前記認証サーバは、前記識別情報が前記記憶部に記憶されている場合に、前記識別情報のみにてログインを許可する情報を、前記アプリケーションサーバに送信し、前記アプリケーションサーバは、前記認証サーバからログインを許可する情報を受信した際に、前記利用者端末からのログインを許可することを特徴とする。
In order to solve the above-described problem, the present invention provides an authentication server that requests a login from a user terminal when any of a plurality of application servers that require login is requested by the user terminal. When login authentication is performed to determine whether login to the application server is possible, and the user terminal is already permitted to log in to any of the plurality of application servers by the authentication server, the user terminal In the login authentication method that does not require the acquisition of login authentication information,
The user terminal stores identification information for identifying the user terminal, and the user terminal transmits login request information and the identification information to any of the plurality of application servers. The application server receives information requesting login from a user terminal and identification information of the user terminal, and the application server transmits the identification information of the user terminal to the authentication server, and the authentication server The server receives the identification information of the user terminal from the application server, and the authentication server stores the identification information of the user terminal permitted to log in to any of the plurality of application servers. It is determined whether or not the received identification information is stored in a storage unit, and the authentication server determines that the identification information is the recording information. Information that permits login only by the identification information to the application server, and when the application server receives the information that permits login from the authentication server, It is characterized by permitting login from a user terminal.
さらに、本発明は、ログインが必要な複数のアプリケーションサーバのいずれかに対して、利用者端末がログインを要求した際に、認証サーバが、前記利用者端末がログインを要求した前記アプリケーションサーバにログインできるかどうかのログイン認証を実施し、前記利用者端末が、前記認証サーバによって、前記複数のアプリケーションサーバのいずれかへのログインが既に許可されている場合に、当該利用者端末からのログイン認証情報の取得を不要とするログイン認証システムにおいて、
前記複数のアプリケーションサーバのそれぞれとデータ通信可能に接続された前記利用者端末は、前記利用者端末を識別するための識別情報を記憶する手段と、前記複数のアプリケーションサーバのいずれかにログインを要求する情報と当該識別情報とを送信する手段とを有し、
前記複数のアプリケーションサーバのそれぞれとデータ通信可能に接続された認証サーバは、予め、前記複数のアプリケーションサーバにログイン可能な利用者の認証情報を格納するアカウントデータベースと、前記複数のアプリケーションサーバのいずれかへのログインを許可された利用者端末の識別情報を記憶するサインオン管理テーブルと、前記アプリケーションサーバから、ログインを要求した利用者端末の識別情報を受信する手段と、前記受信した識別情報が、前記サインオン管理テーブルに記憶されているかどうかを判別する手段と、前記識別情報が前記サインオン管理テーブルに記憶されている場合に、ログインを許可する情報を前記アプリケーションサーバに送信する手段と、前記識別情報が前記サインオン管理テーブルに記憶されていない場合に、前記識別情報を送信してきたアプリケーションサーバに、前記利用者端末を利用する利用者のログイン認証情報を要求する手段と、前記識別情報を送信してきたアプリケーションサーバから前記ログイン認証情報を受信する手段と、前記受信した前記ログイン認証情報を、前記アカウントデータベースに基づいて、正当なものかどうかを判別する手段と、前記ログイン認証情報が正当なものであった場合に、前記利用者端末の識別情報を前記サインオン管理テーブルに記憶し、ログインを許可する情報を前記アプリケーションサーバに送信する手段とを有し、
前記アプリケーションサーバは、利用者端末からログインを要求する情報と、前記利用者端末の識別情報とを受信する手段と、前記利用者端末の識別情報を前記認証サーバに送信する手段と、前記認証サーバから、前記利用者端末を利用する利用者のログイン認証情報を要求された場合に、前記利用者端末から、利用者のログイン認証情報を受信し、前記認証サーバに前記ログイン認証情報を送信する手段と、前記認証サーバからログインを許可する情報を受信した際に、前記利用者端末からのログインを許可する手段とから構成されることを特徴とする。
Further, according to the present invention, when a user terminal requests login to any one of a plurality of application servers that require login, an authentication server logs in to the application server from which the user terminal requested login. Login authentication information from the user terminal is executed when the user terminal is already permitted to log in to any of the plurality of application servers by the authentication server. In the login authentication system that does not require the acquisition of
The user terminal connected to each of the plurality of application servers so as to be able to perform data communication requests means for storing identification information for identifying the user terminal, and logs in to any of the plurality of application servers. And means for transmitting the identification information and the identification information,
An authentication server connected to each of the plurality of application servers so as to be able to perform data communication includes an account database that stores authentication information of a user who can log in to the plurality of application servers, and one of the plurality of application servers A sign-on management table for storing identification information of user terminals permitted to log in, means for receiving identification information of user terminals that have requested login from the application server, and the received identification information, Means for determining whether the sign-on management table is stored; means for transmitting, when the identification information is stored in the sign-on management table, information allowing login to the application server; Identification information is stored in the sign-on management table. If not remembered, means for requesting login authentication information of a user who uses the user terminal from the application server that has transmitted the identification information, and the login authentication from the application server that has transmitted the identification information. Means for receiving information, means for determining whether the received login authentication information is valid based on the account database, and the use when the login authentication information is valid Storing the identification information of the user terminal in the sign-on management table, and transmitting information permitting login to the application server,
The application server includes means for receiving login request information from a user terminal, identification information for the user terminal, means for transmitting the identification information for the user terminal to the authentication server, and the authentication server. Means for receiving the login authentication information of the user from the user terminal and transmitting the login authentication information to the authentication server when the login authentication information of the user who uses the user terminal is requested And means for permitting login from the user terminal upon receipt of information permitting login from the authentication server.
本願に記載された発明を用いることで、アプリケーションを提供している複数のアプリケーションサーバを、利用者が利用する場合に、利用者の認証情報であるログイン識別子およびログインパスワードは、一度しかネットワーク上を流れないようになる。これにより、認証情報が盗聴される可能性が極めて低くなり、安全性が向上するという効果がある。 By using the invention described in the present application, when a user uses a plurality of application servers providing an application, a login identifier and a login password, which are user authentication information, are only once on the network. It will not flow. Thereby, the possibility that the authentication information is eavesdropped becomes extremely low, and the safety is improved.
本発明を用いたログイン認証システムの形態を図1にて示す。利用者端末11と、アプリケーションを提供する各アプリケーションサーバ15、16、17とがデータ通信可能に接続され、また、アプリケーションサーバ15、16、17のそれぞれは、データベースサーバ12とデータ通信可能に接続されている形態となる。データベースサーバ12は、アカウントデータベース13と、サインオン管理テーブル14とを備え、データベースサーバ12内の認証プログラム21が、アカウントデータベース13と、アプリケーションサーバ15、16、17のそれぞれが持つ通信プログラム18、19、20とやりとりをして、アプリケーション利用者のログイン認証を行う。さらに、認証プログラム21は、サインオン管理テーブル14を用いて、シングルサインオンを実現する。
An embodiment of a login authentication system using the present invention is shown in FIG. The
次に、データベースサーバ12が備えるアカウントデータベース13の一例を図2にて示す。アカウントデータベース13には、アプリケーションサーバ15、16,17が提供するアプリケーションの利用を許可された利用者の認証情報が登録されている。図2では、利用者のIDと、利用者のパスワードが対になって登録されている。この利用者のIDとパスワードは、暗号化されて登録されていても良い。アカウントデータベース13に登録されている利用者は、アプリケーションサーバ15、16、17が提供するアプリケーションを利用できるものとする。
Next, an example of the
このカウントデータベース13は、図4で示されるようなエージェント型の認証サーバ42が備えるアカウントデータベース43、あるいは、図5で示されるようなリバースプロキシ型の認証サーバ52が備えるアカウントデータベース53と同様の役割を果たす。
The
次に、データベースサーバ12が備えるサインオン管理テーブル14の一例を図3に示す。サインオン管理テーブル14には、アプリケーションサーバ15、16、17にて提供されているアプリケーションを、ログイン認証した後に利用している利用者の情報が格納される。図3で示されるサインオン管理テーブル14は、利用者端末11のIPアドレスを値として持つIPアドレスフィールドと、利用者IDを値として持つIDフィールドと、シングルサインオンの対象となる複数のアプリケーションサーバ名をフィールド名として持つフィールドにて構成される。図1と照合すると、図3のサーバAがアプリケーションサーバ15、サーバBがアプリケーションサーバ16、サーバCがアプリケーションサーバ17に対応する。
Next, an example of the sign-on management table 14 provided in the
また、アプリケーションサーバ15、16、17が提供するアプリケーションの利用を、利用者が中止した際や、タイムアウトされてアプリケーションの利用が終了した際に、当該利用者に対応する情報がサインオン管理テーブル14から削除される。当該利用者がアプリケーションサーバ15、16、17にアクセスされるたびに、当該利用者に対応する情報が追加されたり更新されたりする。
Further, when the user stops using the application provided by the
さらに、利用者がどのアプリケーションサーバにログイン済であるかもこのサインオン管理テーブル14内に管理されている。例えば、図3で、IDが” TARO”である利用者は、現在、サーバAおよびサーバBにログイン済であることがわかる。 Further, which application server the user has logged in to is also managed in the sign-on management table 14. For example, in FIG. 3, it can be seen that the user whose ID is “TARO” is currently logged in to server A and server B.
図1のアプリケーションサーバ15、16、17のそれぞれにインストールされる通信プログラム18、19、20は、図6に示すように、ログイン要求受付手段61、ログインチェック手段62、認証情報受信手段63、認証情報送信手段64、機器情報送信手段65、アプリ実行手段66、ログアウト処理手段67から構成される。
As shown in FIG. 6, the
ログイン要求受付手段61は、利用者端末11から、アプリケーションを提供するアプリケーションサーバへのログイン要求と、利用者端末11の識別情報とを受け付ける働きを持つ。利用者端末11から送信される要求の種類としては、各アプリケーションサーバ15、16、17が提供していているアプリケーションの場所を示すURLであっても良い。アプリケーションを提供しているアプリケーションサーバ15、16、17のいずれかにログインした後でアプリケーションが利用できるものとする。
The login request accepting unit 61 has a function of accepting a login request to the application server that provides the application and the identification information of the
ログインチェック手段62は、ログイン要求を送信してきた利用者端末11の識別情報が、データベースサーバ12のサインオン管理テーブル14に登録されているかどうかをデータベースサーバ12に問い合わせる働きを持つ。利用者端末11の識別情報とは、利用者端末11に割り振られたIPアドレスや、利用者端末11が最初にアプリケーションサーバにアクセスした際に生成されたセッションIDに相当する。
The login check unit 62 has a function of inquiring the
認証情報受信手段63は、利用者端末11に認証情報の入力を求める情報を送信するとともに、利用者端末11に入力された認証情報を受信する働きを持つ。
The authentication information receiving unit 63 has a function of transmitting information requesting input of authentication information to the
認証情報送信手段64は、認証情報受信手段63で受信した認証情報を、データベースサーバ12に送信し、アプリケーションサーバをアクセスする利用者として正当な認証情報であるかどうかの判定結果をデータベースサーバ12から受信する働きを持つ。
The authentication information transmitting unit 64 transmits the authentication information received by the authentication information receiving unit 63 to the
機器情報送信手段65は、利用者機器11の識別情報を、データベースサーバ12に送信する働きを持つ。
The device
アプリ実行手段66は、アプリケーションの実行を行う働きを持つ。具体的には、アプリケーションのメニュー情報を表す情報を利用者端末11に送信し、利用者からのメニュー選択情報を受信してアプリケーションの実行を行うような仕組みであっても良い。なお、本実施例で言うところのアプリケーションとは、各種ゲーム、通信ソフトの実行をはじめ、音楽や映像などのコンテンツダウンロードやストリーミング受信をも含めたものとしている。
The
ログアウト処理手段67は、利用者端末11からのログアウト要求を受信し、ログアウト要求を発信した利用者端末11のIPアドレスをデータベースサーバ12に送信する働きを持つ。
The logout processing unit 67 has a function of receiving a logout request from the
次に、図7を用いて、アプリケーションを提供するアプリケーションサーバ内の通信プログラム18、19、20の処理の流れを説明する。
Next, the flow of processing of the
図7のステップS701は、ログイン要求受付手段61が、利用者端末11からアプリケーションの利用要求とともに、利用者端末11に依存する情報として、利用者端末11のIPアドレスと、アプリケーションサーバにアクセスした際に生成されたセッションIDとを受信するステップである。
Step S701 in FIG. 7 is performed when the login request accepting unit 61 accesses the application server from the
ステップS702は、ログインチェック手段62が、ステップS701で受信した利用者端末11のIPアドレスが、データベースサーバ12のサインオン管理テーブル14に含まれているかどうかを、データベースサーバ12に問い合わせるステップである。
Step S702 is a step in which the login check unit 62 inquires of the
ステップS703は、ログインチェック手段62が、ステップS702の問い合わせ結果により、利用者端末11のIPアドレスが、データベースサーバ12のサインオン管理テーブル14に登録されていたかどうかを判定するステップである。利用者端末11のIPアドレスが、データベースサーバ12のサインオン管理テーブル14に登録されていた場合はステップS712に処理が移り、登録されていない場合はステップS704に処理が移る。
Step S703 is a step in which the login check means 62 determines whether or not the IP address of the
ステップS704は、認証情報受信手段63が、ログイン認証情報の入力を促す画面を表示させるためのデータを、利用者端末11に送信するステップである。図8に、利用者端末11にログイン認証情報の入力を促す画面が表示された一例を示す。
Step S <b> 704 is a step in which the authentication information receiving unit 63 transmits data for displaying a screen for prompting input of login authentication information to the
ステップS705は、認証情報受信手段63が、利用者端末11から利用者のログイン認証情報を受信するステップである。認証情報とは、例えば、利用者を識別するための利用者IDと利用者のパスワードとなる。
In step S <b> 705, the authentication information receiving unit 63 receives user login authentication information from the
ステップS706は、認証情報送信手段64が、ステップS705で受信したログイン認証情報をデータベースサーバ12に送信するステップである。
Step S706 is a step in which the authentication information transmitting unit 64 transmits the login authentication information received in step S705 to the
ステップS707は、認証情報送信手段64が、データベースサーバ12からログイン認証結果を受信するステップである。データベースサーバ12内のログイン認証の処理は、後述する。
Step S <b> 707 is a step in which the authentication information transmitting unit 64 receives the login authentication result from the
ステップS708は、認証情報送信手段64がステップS707で受信した認証結果が成功か失敗かを判別するステップである。認証結果が成功である場合は、ステップS709に処理が移り、失敗である場合はステップS713に処理が移る。 Step S708 is a step of determining whether the authentication result received by the authentication information transmitting unit 64 in step S707 is success or failure. If the authentication result is successful, the process proceeds to step S709, and if it is unsuccessful, the process proceeds to step S713.
ステップS709は、アプリ実行手段66がアプリケーションを実行するステップである。
Step S709 is a step in which the
ステップS710は、アプリ実行手段66が、利用者端末11からアプリケーションを終了する信号を受信したかどうかを判定するステップである。アプリケーションを終了する信号を受信した場合は、ステップS711に処理が移り、受信していない場合はステップS710を繰り返す。
Step S <b> 710 is a step of determining whether the
ステップS711は、アプリ実行手段66がアプリケーションを終了するステップである。
Step S711 is a step in which the
ステップS712は、機器情報送信手段65がデータベースサーバ12に、ステップS701で受信した、アプリケーションサーバにアクセスした際に生成されたセッションIDを、データベースサーバ12に送信するステップである。
Step S712 is a step in which the device
ステップS713は、認証情報送信手段64が、ログイン認証の失敗を表示させるための情報を、利用者端末11に送信するステップである。
Step S713 is a step in which the authentication information transmitting unit 64 transmits information for displaying login authentication failure to the
以上が、アプリケーションを提供するアプリケーションサーバ15、16、17内にそれぞれインストールされた通信プログラム18、19、20の処理の流れである。勿論、データベースサーバ12とデータ通信可能に接続されているアプリケーションサーバは3つに限らない。また、通信プログラムはひとつのアプリケーションサーバにひとつインストールされていれば良い。
The above is the processing flow of the
次に、図1のデータベースサーバ12にインストールされた認証プログラム21の構成を、図9を参照しながら説明する。データベースサーバ12にインストールされる認証プログラム21は、図9に示すように、機器情報チェック手段91、認証情報取得手段92、ログイン認証手段93、機器情報登録手段94、機器情報削除手段95によって構成される。
Next, the configuration of the
機器情報チェック手段91は、アプリケーションサーバ15、16、17のいずれかから送信される利用者端末11のIPアドレスが、サインオン管理テーブル14に含まれているかどうかを判定する働きを持つ。
The device information check unit 91 has a function of determining whether the IP address of the
認証情報取得手段92は、アプリケーションサーバ15、16、17のいずれかが利用者端末11から受信したログイン認証情報を取得する働きを持つ。
The authentication information acquisition unit 92 has a function of acquiring login authentication information received from the
ログイン認証手段93は、認証情報取得手段92で取得した利用者のログイン認証情報と、アカウントデータベース13に含まれる情報とに基づいて、利用者のログイン認証情報がアプリケーションを利用する正当な利用者を示すものであるかどうかを判断する働きを持つ。
Based on the login authentication information of the user acquired by the authentication information acquisition unit 92 and the information included in the
機器情報登録手段94は、アプリケーションサーバ15、16、17のいずれかが利用者端末11から取得した利用者端末11のIPアドレスとセッションIDと利用者IDを、サインオン管理テーブル14に登録するステップである。なお、既にログイン認証が済まされている場合は、セッションIDのみがサインオン管理テーブル14に追加される。
The device information registration means 94 registers the IP address, session ID, and user ID of the
機器情報削除手段95は、アプリケーションサーバ15、16、17のいずれかから、ログアウト要求を示す情報と、ログアウト要求を送信した利用者端末11のIPアドレスとを受信するステップである。
The device information deletion unit 95 is a step of receiving information indicating a logout request and the IP address of the
次に、認証プログラム21におけるログイン認証の処理の流れを、図10を参照しながら説明する。
Next, a flow of login authentication processing in the
図10のステップS1001は、認証プログラム21の機器情報チェック手段91が、利用者端末11のIPアドレスをアプリケーションサーバ15、16、17のいずれかから受信するステップである。
Step S1001 in FIG. 10 is a step in which the device information check unit 91 of the
次のステップS1002は、ステップS1001で受信した利用者端末11のIPアドレスが、サインオン管理テーブル14に既に含まれているかどうかを、機器情報チェック手段91がチェックするステップである。当該IPアドレスがサインオン管理テーブル14に含まれている場合は、ステップS1007に処理が移り、含まれていない場合はステップS1003に処理が移る。
The next step S1002 is a step in which the device information check means 91 checks whether the IP address of the
例えば、現在のサインオン管理テーブル14を図3とし、仮に、アプリケーションサーバ15から、IPアドレス”XX.XXX.XX.XXX”を機器情報チェック手段91が受信したときに、図3が示すサインオン管理テーブル14のIPアドレスフィールドの値として、このIPアドレス”XX.XXX.XX.XXX”を持つものがあるかどうかをステップS1002にてチェックする。図3の場合は、IPアドレスフィールドに”XX.XXX.XX.XXX”を持つものが存在することがわかるため、ステップS1007に処理が移る。
For example, when the current sign-on management table 14 is shown in FIG. 3 and the device information check means 91 receives the IP address “XX.XXX.XX.XXX” from the
なお、通常、IPアドレスは数字列で表現されるが、本実施例ではすべてアルファベット列での表現としている。 Normally, the IP address is expressed as a numeric string, but in this embodiment, it is expressed as an alphabetic string.
ステップS1003は、機器情報チェック手段91が、ステップS1001で受信したIPアドレスがサインオン管理テーブル14に含まれていない旨の情報を、利用者端末11のIPアドレスを送信してきたアプリケーションサーバ(アプリケーションサーバ15、16、17のいずれか)に送信するステップである。 In step S1003, the device information check unit 91 transmits information indicating that the IP address received in step S1001 is not included in the sign-on management table 14, and the application server (application server that has transmitted the IP address of the user terminal 11). 15, 16, or 17).
ステップS1004は、認証情報取得手段92が、利用者端末11のIPアドレスを送信してきたアプリケーションサーバ(アプリケーションサーバ15、16、17のいずれか)からログイン認証情報を受信するステップである。例えば、機器情報チェック手段91にIPアドレスを送信してきたアプリケーションサーバがアプリケーションサーバ15だとし、利用者端末11のIPアドレスがサインオン管理テーブル14に存在していた場合に、アプリケーションサーバ15からログイン認証情報を受信する。
Step S1004 is a step in which the authentication information acquisition unit 92 receives login authentication information from the application server (any of the
この場合の、ログイン認証情報は、アプリケーションサーバ15にて提供されているアプリケーションを利用しようとした利用者の利用者IDとパスワードであり、利用者端末11からアプリケーションサーバ11に送信されたものとなる。ログイン認証情報は暗号化されている場合も考えられており、暗号化されている場合は、本ステップにて複合しても良い。
The login authentication information in this case is the user ID and password of the user who tried to use the application provided by the
次のステップS1005は、ステップS1004にて受信したログイン認証情報と、アカウントデータベース13とを照合して、このログイン認証情報がアプリケーションを利用する(アプリケーションサーバにログインする)のに正当な利用者を示す情報であるかどうかを、ログイン認証手段93が判断するステップである。
In the next step S1005, the login authentication information received in step S1004 is compared with the
ログイン認証情報がアプリケーションを利用するに正当なものと認証された場合は、ステップS1006に処理が移り、正当なものでないとされた場合は、ステップS1009に処理が移る。 If the login authentication information is authenticated as valid for using the application, the process proceeds to step S1006. If the login authentication information is not valid, the process proceeds to step S1009.
例えば、現在のアカウントデータベース13が図2で示されるものであり、ステップS1004で受信したログイン認証情報が、利用者IDが”JIROU”で、パスワードが”lo02nhgh”としたとき、このログイン認証情報は、アカウントデータベース13に含まれるので、正当なログイン認証情報であるとされる。
For example, when the
ステップS1006は、機器情報登録手段94が、ステップS1001で受信したIPアドレスと、ステップS1004で受信した利用者IDとセッションIDとを対応づけたレコードを、サインオン管理テーブル14内に新しく追加するステップである。
In step S1006, the device
例えば、現在のサインオン管理テーブル14が図11であったとし、図11のサーバAがアプリケーションサーバ15、サーバBがアプリケーションサーバ16、サーバCがアプリケーションサーバ16に相当するとする。そこで、利用者IDが”JIROU”で、その利用者の利用者端末11のIPアドレスが”ZZZ.ZZZ.ZZZ.ZZZ”で、アプリケーションサーバ15へのログイン認証が正しく終了した場合には、ステップS1006にて、利用者IDが”JIROU”である利用者に相当するレコードが新しく登録され、図12に示されるサインオン管理テーブル14に変更される。
For example, assume that the current sign-on management table 14 is shown in FIG. 11, and server A in FIG. 11 corresponds to
ステップS1007は、機器情報登録手段94が、サインオン管理テーブル14のステップS1001で受信したIPアドレスと、当該IPアドレスを送信してきたアプリケーションサーバとに対応するフィールドに、利用者端末11が当該アプリケーションサーバにアクセスした際に生成されたセッションIDを登録するステップである。
In step S1007, in the field corresponding to the IP address received by the device
例えば、現在のサインオン管理テーブル14が図13であったとし、図13のサーバAがアプリケーションサーバ15、サーバBがアプリケーションサーバ16、サーバCがアプリケーションサーバ16に相当するとする。そこで、利用者IDが”TAROU”で、その利用者の利用者端末11のIPアドレスが”XX.XXX.XX.XXX”で、アプリケーションサーバ17へのログイン認証が正しく終了した場合には、ステップS1007にて、アプリケーションサーバ17に相当するサーバCフィールドの値としてセッションIDが登録され、図14に示されるようなサインオン管理テーブル14に変更される。
For example, assume that the current sign-on management table 14 is shown in FIG. 13, and server A in FIG. 13 corresponds to
なお、ステップS1007にてサインオン管理テーブル14に登録するセッションIDは、ある利用者がどのアプリケーションサーバを現在、利用しているかを示す役割を果たすものであり、セッションIDに限らず、1と0で表されるフラグなどであっても良い。 The session ID registered in the sign-on management table 14 in step S1007 plays a role of indicating which application server is currently used by a certain user. It may be a flag represented by
ステップS1008は、機器情報登録手段94が、ログイン認証が成功した旨のデータを認証要求のあったアプリケーションサーバ(アプリケーションサーバ15、16、17のいずれか)に送信するステップである。
In step S1008, the device
ステップS1009は、機器情報登録手段94が、ログイン認証が失敗した旨のデータを認証要求のあったアプリケーションサーバ(アプリケーションサーバ15、16、17のいずれか)に送信するステップである。
In step S1009, the device
以上が本発明の認証プログラム21のログイン認証の処理の流れである。なお、先に述べた実施例では、利用者端末11のIPアドレスに対応させた情報をサインオン管理テーブル14に登録し、ステップS1002にて、ステップS1001で受信したIPアドレスと同じIPアドレスがサインオン管理テーブル14に登録されているかどうかを判別した。
The above is the flow of the login authentication process of the
他の方法として、利用者端末11が最初にアプリケーションサーバにアクセスした際に生成されたセッションIDをサインオン認証用セッションIDとして、当該サインオン認証用セッションIDに対応づけて情報をサインオン管理テーブル14に登録し、そのサインオン認証用セッションIDを利用者端末11が記録し、データベースサーバ12との通信時に当該サインオン認証用セッションIDを送信することでも実現可能である。この場合は、ステップS1002にて、ステップS1001で受信したサインオン認証用セッションIDと同じサインオン認証用セッションIDがサインオン管理テーブル14に登録されているかどうかを判別することになる。また、他のステップにてIPアドレスを用いているところを、このサインオン認証用セッションIDにて代用することも実現可能である。この場合のサインオン管理テーブル14の一例は、図15に示されるようになる。
As another method, a session ID generated when the
次に、アプリケーションサーバ15、16、17のいずれかにログインしている利用者から、ログインしているアプリケーションサーバに対してログアウト要求が利用者端末11から出された場合の処理の流れを図16および図17を参照しながら説明する。
Next, FIG. 16 shows a processing flow when a user who has logged in to any of the
図16はアプリケーションサーバ15、16、17のそれぞれにインストールされた通信プログラム18、19、20のログアウト処理の流れを示したものであり、図17は、データベースサーバ12にインストールされた認証プログラム21のログアウト処理の流れを示したものである。
FIG. 16 shows the flow of logout processing of the
図16のステップS1601は、通信プログラム18、19、20のログアウト処理手段67が、利用者端末11からログアウト要求と、利用者端末11のIPアドレスを受信するステップである。
Step S1601 in FIG. 16 is a step in which the logout processing means 67 of the
次のステップS1602は、ログアウト処理手段67が、ステップS1601で受信したログアウト要求とIPアドレスとをデータベースサーバ12に送信するステップである。
In the next step S1602, the logout processing means 67 transmits the logout request and the IP address received in step S1601 to the
ステップS1603は、ログアウト処理手段67が、データベースサーバ12からログアウト処理結果を受信するステップである。
In step S1603, the logout processing unit 67 receives the logout processing result from the
ステップS1604は、ログアウト処理手段67が、ステップS1603で受信したログアウト処理結果を表示するための情報を利用者端末11に送信するステップである。利用者端末11には、この情報により、ログアウト処理が無事に終了したか、ログアウト処理が失敗したかが表示される。
In step S1604, the logout processing unit 67 transmits information for displaying the logout processing result received in step S1603 to the
図17のステップS1701は、認証プログラム21の機器情報削除手段95が、アプリケーションサーバ15、16、17にインストールされた通信プログラム18、19、20のいずれかから、ログアウト要求と、ログアウト要求を出した利用者端末11のIPアドレスとを受信するステップである。
In step S1701 of FIG. 17, the device information deletion unit 95 of the
次のステップS1702は、機器情報削除手段95が、ステップS1701にて受信したIPアドレスがサインオン管理テーブル14に含まれているかどうかを判別するステップである。もし、IPアドレスがサインオン管理テーブル14に含まれている場合は、ステップS1703に処理が移り、含まれていない場合はステップS1705に処理が移る。 The next step S1702 is a step in which the device information deleting unit 95 determines whether or not the sign-on management table 14 includes the IP address received in step S1701. If the IP address is included in the sign-on management table 14, the process proceeds to step S1703, and if not, the process proceeds to step S1705.
ステップS1703は、機器情報削除手段95が、サインオン管理テーブル14からステップ1701で受信したIPアドレスに関する情報を削除するステップである。例えば、現在のサインオン管理テーブル14が図18であったとし、図18のサーバAがアプリケーションサーバ15、サーバBがアプリケーションサーバ16、サーバCがアプリケーションサーバ16に相当するとする。そこで、利用者IDが”TAROU”で、その利用者の利用者端末11のIPアドレスが”XX.XXX.XX.XXX”とする利用者が、アプリケーションサーバ17へログアウト要求を出した際に、ステップS1703にて、サインオン管理テーブル14内のIPアドレスが”XX.XXX.XX.XXX”に対応づけられているすべてのデータが削除され、図19に示されるサインオン管理テーブル14に変更される。
Step S1703 is a step in which the device information deleting unit 95 deletes information regarding the IP address received in
ステップS1704は、機器情報削除手段95が、ログアウト処理が終了した旨のデータを、ログアウト要求を送信してきたアプリケーションサーバ(アプリケーションサーバ15、16、17のいずれか)に送信するステップである。
In step S1704, the device information deletion unit 95 transmits data indicating that the logout process has been completed to the application server (any of the
ステップS1705は、機器情報削除手段95が、ログアウト処理が失敗した旨のデータを、ログアウト要求を送信してきたアプリケーションサーバ(アプリケーションサーバ15、16、17のいずれか)に送信するステップである。以上がログアウト処理の流れである。
In step S1705, the device information deleting unit 95 transmits data indicating that the logout process has failed to the application server (any of the
なお、利用者端末11が最初にアプリケーションサーバにアクセスした際に生成されたセッションIDをサインオン認証用セッションIDとして、当該サインオン認証用セッションIDに対応づけて情報をサインオン管理テーブル14に登録した場合は、認証プログラム21および通信プログラム18、19、20における各ステップのIPアドレスをサインオン認証用セッションIDに置き換えることで実現可能である。以上が本発明を用いたログイン認証システムの実施形態である。
The session ID generated when the
また、図20は、上記で示した認証プログラム21を記憶した記憶媒体を利用する実施形態の一例である。データベースサーバ201が記憶媒体202に記憶された認証プログラム21を読みこみ、認証プログラム21を実行することも可能である。以上が本発明の実施例を示したものである。
FIG. 20 is an example of an embodiment using a storage medium storing the
本発明を用いることにより、ある利用者が、アプリケーションが提供される複数のアプリケーションサーバにログインする際において、最初のアプリケーションサーバのみにログイン認証を行い、他のアプリケーションサーバ利用時にはログイン認証情報の入力を不要とするシングルサインオンを実現するとともに、利用者のログイン認証情報を複数回、ネットワーク上に流さないことが実現できる。これにより、ネットワーク上に流れる認証情報を盗聴される危険性を少なくできる効果がある。 By using the present invention, when a user logs in to a plurality of application servers provided with an application, login authentication is performed only on the first application server, and login authentication information is input when using another application server. In addition to realizing unnecessary single sign-on, it is possible to prevent the login authentication information of the user from flowing over the network multiple times. This has the effect of reducing the risk of eavesdropping on authentication information flowing on the network.
11、41、51 利用者端末
12、201 データベースサーバ
13、43、53 アカウントデータベース
14 サインオン管理テーブル
15、16、17、44、45、46、54、55、56 アプリケーションサーバ
18、19、20、47、48、49 通信プログラム
21、50、57 認証プログラム
42、52 認証サーバ
61 ログイン要求受付手段
62 ログインチェック手段
63 認証情報受信手段
64 認証情報送信手段
65 機器情報送信手段
66 アプリ実行手段
67 ログアウト処理手段
91 機器情報チェック手段
92 認証情報取得手段
93 ログイン認証手段
94 機器情報登録手段
95 機器情報削除手段
202 記憶媒体
11, 41, 51
Claims (5)
前記利用者端末は、当該利用者端末を識別するための識別情報を記憶し、
前記利用者端末は、前記複数のアプリケーションサーバのいずれかに、ログインを要求する情報と前記識別情報とを送信し、
前記アプリケーションサーバは、利用者端末からログインを要求する情報と前記利用者端末の識別情報とを受信し、
前記アプリケーションサーバは、前記利用者端末の識別情報を前記認証サーバに送信し、
前記認証サーバは、前記アプリケーションサーバから、前記利用者端末の識別情報を受信し、
前記認証サーバは、前記複数のアプリケーションサーバのいずれかへのログインが許可された利用者端末の識別情報を記憶している記憶部に、前記受信した識別情報が記憶されているかどうかを判別し、
前記認証サーバは、前記識別情報が前記記憶部に記憶されている場合に、前記識別情報のみにてログインを許可する情報を、前記アプリケーションサーバに送信し、
前記アプリケーションサーバは、前記認証サーバからログインを許可する情報を受信した際に、前記利用者端末からのログインを許可することを特徴とするログイン認証方法。 When the user terminal requests login from any of a plurality of application servers that require login, the authentication server performs login authentication as to whether or not the user terminal can log in to the application server that requested the login. A login authentication method that implements and does not require acquisition of login authentication information from the user terminal when login from the user terminal to any of the plurality of application servers is already permitted by the authentication server In
The user terminal stores identification information for identifying the user terminal,
The user terminal transmits information requesting login and the identification information to any of the plurality of application servers,
The application server receives information requesting login from a user terminal and identification information of the user terminal,
The application server transmits identification information of the user terminal to the authentication server;
The authentication server receives identification information of the user terminal from the application server;
The authentication server determines whether the received identification information is stored in a storage unit that stores identification information of a user terminal permitted to log in to any of the plurality of application servers,
The authentication server, when the identification information is stored in the storage unit, transmits information permitting login only with the identification information to the application server,
The application server permits a login from the user terminal when receiving information permitting login from the authentication server.
前記複数のアプリケーションサーバのそれぞれとデータ通信可能に接続された前記利用者端末は、
前記利用者端末を識別するための識別情報を記憶する手段と、
前記複数のアプリケーションサーバのいずれかにログインを要求する情報と当該識別情報とを送信する手段とを有し、
前記複数のアプリケーションサーバのそれぞれとデータ通信可能に接続された認証サーバは、
予め、前記複数のアプリケーションサーバにログイン可能な利用者の認証情報を格納するアカウントデータベースと、
前記複数のアプリケーションサーバのいずれかへのログインを許可された利用者端末の識別情報を記憶するサインオン管理テーブルと、
前記アプリケーションサーバから、ログインを要求した利用者端末の識別情報を受信する手段と、
前記受信した識別情報が、前記サインオン管理テーブルに記憶されているかどうかを判別する手段と、
前記識別情報が前記サインオン管理テーブルに記憶されている場合に、ログインを許可する情報を前記アプリケーションサーバに送信する手段と、
前記識別情報が前記サインオン管理テーブルに記憶されていない場合に、前記識別情報を送信してきたアプリケーションサーバに、前記利用者端末を利用する利用者のログイン認証情報を要求する手段と、
前記識別情報を送信してきたアプリケーションサーバから前記ログイン認証情報を受信する手段と、
前記受信した前記ログイン認証情報を、前記アカウントデータベースに基づいて、正当なものかどうかを判別する手段と、
前記ログイン認証情報が正当なものであった場合に、前記利用者端末の識別情報を前記サインオン管理テーブルに記憶し、ログインを許可する情報を前記アプリケーションサーバに送信する手段とを有し、
前記アプリケーションサーバは、
利用者端末からログインを要求する情報と、前記利用者端末の識別情報とを受信する手段と、
前記利用者端末の識別情報を前記認証サーバに送信する手段と、
前記認証サーバから、前記利用者端末を利用する利用者のログイン認証情報を要求された場合に、前記利用者端末から、利用者のログイン認証情報を受信し、前記認証サーバに前記ログイン認証情報を送信する手段と、
前記認証サーバからログインを許可する情報を受信した際に、前記利用者端末からのログインを許可する手段と、
から構成されることを特徴とするログイン認証システム。 When the user terminal requests login from any of a plurality of application servers that require login, the authentication server performs login authentication as to whether or not the user terminal can log in to the application server that requested the login. A login authentication system that implements and does not require acquisition of login authentication information from the user terminal when login from the user terminal to any of the plurality of application servers is already permitted by the authentication server In
The user terminal connected to each of the plurality of application servers so that data communication is possible,
Means for storing identification information for identifying the user terminal;
Means for transmitting information requesting login to any one of the plurality of application servers and the identification information;
An authentication server connected to each of the plurality of application servers so that data communication is possible.
In advance, an account database that stores authentication information of users who can log in to the plurality of application servers,
A sign-on management table for storing identification information of a user terminal permitted to log in to any of the plurality of application servers;
Means for receiving, from the application server, identification information of a user terminal that has requested login;
Means for determining whether the received identification information is stored in the sign-on management table;
Means for transmitting, to the application server, information permitting login when the identification information is stored in the sign-on management table;
Means for requesting login authentication information of a user who uses the user terminal to the application server that has transmitted the identification information when the identification information is not stored in the sign-on management table;
Means for receiving the login authentication information from the application server that has transmitted the identification information;
Means for determining whether the received login authentication information is legitimate based on the account database;
Means for storing the identification information of the user terminal in the sign-on management table when the login authentication information is valid, and transmitting information permitting login to the application server;
The application server is
Means for receiving information requesting login from the user terminal and identification information of the user terminal;
Means for transmitting identification information of the user terminal to the authentication server;
When the login authentication information of the user who uses the user terminal is requested from the authentication server, the login authentication information of the user is received from the user terminal, and the login authentication information is sent to the authentication server. Means for transmitting;
Means for permitting login from the user terminal upon receiving information permitting login from the authentication server;
A login authentication system comprising:
前記複数のアプリケーションサーバのそれぞれとデータ通信可能に接続され、前記複数のアプリケーションサーバにログインを許可する利用者の認証情報を予め格納するアカウントデータベースと、前記複数のアプリケーションサーバのいずれかとログイン認証を済ませた利用者端末の識別情報を記憶するサインオン管理テーブルとを備えた前記認証サーバを、
前記アプリケーションサーバから、ログインを要求した利用者端末の識別情報を受信する手段と、
前記受信した識別情報が、前記サインオン管理テーブルに記憶されているかどうかを判別する手段と、
前記識別情報が前記サインオン管理テーブルに記憶されている場合に、ログインを許可する情報を前記アプリケーションサーバに送信する手段と、
前記識別情報が前記サインオン管理テーブルに記憶されていない場合に、前記識別情報を送信してきたアプリケーションサーバに、前記利用者端末を利用する利用者のログイン認証情報を要求する手段と、
前記識別情報を送信してきたアプリケーションサーバから前記ログイン認証情報を受信する手段と、
前記受信した前記ログイン認証情報を、前記アカウントデータベースに基づいて、正当なものかどうかを判別する手段と、
前記ログイン認証情報が正当なものであった場合に、前記利用者端末の識別情報を前記サインオン管理テーブルに記憶し、ログインを許可する情報を前記アプリケーションサーバに送信する手段
として機能させることを特徴とする認証プログラム。 When the user terminal requests login from any of a plurality of application servers that require login, the authentication server performs login authentication as to whether or not the user terminal can log in to the application server that requested the login. A login authentication system that implements and does not require acquisition of login authentication information from the user terminal when login from the user terminal to any of the plurality of application servers is already permitted by the authentication server In
An account database that is connected to each of the plurality of application servers so as to be able to perform data communication and stores user authentication information that permits login to the plurality of application servers, and login authentication with any of the plurality of application servers. The authentication server comprising a sign-on management table for storing identification information of the user terminal
Means for receiving, from the application server, identification information of a user terminal that has requested login;
Means for determining whether the received identification information is stored in the sign-on management table;
Means for transmitting, to the application server, information permitting login when the identification information is stored in the sign-on management table;
Means for requesting login authentication information of a user who uses the user terminal to the application server that has transmitted the identification information when the identification information is not stored in the sign-on management table;
Means for receiving the login authentication information from the application server that has transmitted the identification information;
Means for determining whether the received login authentication information is legitimate based on the account database;
When the login authentication information is valid, the identification information of the user terminal is stored in the sign-on management table, and functioning as means for transmitting information permitting login to the application server is provided. An authentication program.
前記複数のアプリケーションサーバのそれぞれとデータ通信可能に接続され、前記複数のアプリケーションサーバにログインを許可する利用者の認証情報を予め格納するアカウントデータベースと、前記複数のアプリケーションサーバのいずれかとログイン認証を済ませた利用者端末の識別情報を記憶するサインオン管理テーブルとを備えた前記認証サーバを、
前記アプリケーションサーバから、ログインを要求した利用者端末の識別情報を受信する手段と、
前記受信した識別情報が、前記サインオン管理テーブルに記憶されているかどうかを判別する手段と、
前記識別情報が前記サインオン管理テーブルに記憶されている場合に、ログインを許可する情報を前記アプリケーションサーバに送信する手段と、
前記識別情報が前記サインオン管理テーブルに記憶されていない場合に、前記識別情報を送信してきたアプリケーションサーバに、前記利用者端末を利用する利用者のログイン認証情報を要求する手段と、
前記識別情報を送信してきたアプリケーションサーバから前記ログイン認証情報を受信する手段と、
前記受信した前記ログイン認証情報を、前記アカウントデータベースに基づいて、正当なものかどうかを判別する手段と、
前記ログイン認証情報が正当なものであった場合に、前記利用者端末の識別情報を前記サインオン管理テーブルに記憶し、ログインを許可する情報を前記アプリケーションサーバに送信する手段
として機能させる認証プログラムを記憶した記憶媒体。 Login authentication as to whether or not the authentication server can log in to the application server from which the user terminal has requested login when the user terminal requests login to any of a plurality of application servers that require login. When the user terminal is already permitted to log in to any of the plurality of application servers by the authentication server, it is not necessary to acquire login authentication information from the user terminal. In the login authentication system,
An account database that is connected to each of the plurality of application servers so as to be able to perform data communication and stores user authentication information that permits login to the plurality of application servers, and login authentication with any of the plurality of application servers. The authentication server comprising a sign-on management table for storing identification information of the user terminal
Means for receiving, from the application server, identification information of a user terminal that has requested login;
Means for determining whether the received identification information is stored in the sign-on management table;
Means for transmitting, to the application server, information permitting login when the identification information is stored in the sign-on management table;
Means for requesting login authentication information of a user who uses the user terminal to the application server that has transmitted the identification information when the identification information is not stored in the sign-on management table;
Means for receiving the login authentication information from the application server that has transmitted the identification information;
Means for determining whether the received login authentication information is legitimate based on the account database;
An authentication program for storing identification information of the user terminal in the sign-on management table and functioning as means for transmitting information allowing login to the application server when the login authentication information is valid; Stored storage medium.
前記認証サーバとデータ通信可能に接続された前記アプリケーションサーバを、
利用者端末からログインを要求する情報と、前記利用者端末の識別情報とを受信する手段と、
前記利用者端末の識別情報を前記認証サーバに送信する手段と、
前記認証サーバから、前記利用者端末を利用する利用者のログイン認証情報を要求された場合に、前記利用者端末から、利用者のログイン認証情報を受信し、前記認証サーバに前記ログイン認証情報を送信する手段と、
前記認証サーバからログインを許可する情報を受信した際に、前記利用者端末からのログインを許可する手段
として機能させることを特徴とする通信プログラム。
Login authentication as to whether or not the authentication server can log in to the application server from which the user terminal has requested login when the user terminal requests login to any of a plurality of application servers that require login. When the user terminal is already permitted to log in to any of the plurality of application servers by the authentication server, it is not necessary to acquire login authentication information from the user terminal. In the login authentication system,
The application server connected to the authentication server so that data communication is possible.
Means for receiving information requesting login from the user terminal and identification information of the user terminal;
Means for transmitting identification information of the user terminal to the authentication server;
When the login authentication information of the user who uses the user terminal is requested from the authentication server, the login authentication information of the user is received from the user terminal, and the login authentication information is sent to the authentication server. Means for transmitting;
A communication program which functions as means for permitting login from the user terminal when receiving information permitting login from the authentication server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004082531A JP2005267529A (en) | 2004-03-22 | 2004-03-22 | Login authentication method, login authentication system, authentication program, communication program, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004082531A JP2005267529A (en) | 2004-03-22 | 2004-03-22 | Login authentication method, login authentication system, authentication program, communication program, and storage medium |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005267529A true JP2005267529A (en) | 2005-09-29 |
Family
ID=35091984
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004082531A Pending JP2005267529A (en) | 2004-03-22 | 2004-03-22 | Login authentication method, login authentication system, authentication program, communication program, and storage medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005267529A (en) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007241590A (en) * | 2006-03-08 | 2007-09-20 | Mitsubishi Electric Information Systems Corp | Authentication system of user of a plurality of terminals, authentication server, and authentication integrating terminal |
JP2007334411A (en) * | 2006-06-12 | 2007-12-27 | Fuji Xerox Co Ltd | Control program and communication system |
JP2010238202A (en) * | 2009-03-31 | 2010-10-21 | Nec Corp | Automatic authentication system |
WO2013115462A1 (en) * | 2012-02-01 | 2013-08-08 | 에스케이플래닛 주식회사 | System and method for providing integrated service |
WO2014032596A1 (en) * | 2012-09-03 | 2014-03-06 | Tencent Technology (Shenzhen) Company Limited | Systems and methods for enhancement of single sign-on protection |
KR101404764B1 (en) | 2012-11-29 | 2014-06-13 | 이니텍(주) | Single Sign On Method at Mobile Device |
KR20140121571A (en) * | 2013-04-08 | 2014-10-16 | 에스케이플래닛 주식회사 | System for intergrated authentication, method and apparatus for intergraged authentication thereof |
US8875270B2 (en) | 2009-04-15 | 2014-10-28 | Nec Corporation | ID authentication system, ID authentication method, and non-transitory computer readable medium storing ID authentication program |
CN105354482A (en) * | 2015-12-09 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | Single sign-on method and device |
CN112395585A (en) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | Database service login method, device, equipment and readable storage medium |
CN113852622A (en) * | 2021-09-18 | 2021-12-28 | 数字广东网络建设有限公司 | Single sign-on method, device, equipment and storage medium based on government affair application |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000106552A (en) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | Authentication method |
JP2000259566A (en) * | 1999-03-05 | 2000-09-22 | Ntt Communicationware Corp | Password management system |
JP2002278930A (en) * | 2001-03-21 | 2002-09-27 | Toyota Motor Corp | Authentication system and authentication server |
JP2002366528A (en) * | 2001-06-12 | 2002-12-20 | Hitachi Ltd | Security system for personal identification |
JP2003188885A (en) * | 2001-12-19 | 2003-07-04 | Canon Inc | Communication system, server device, client device, method for controlling them, programs for performing them, and computer readable storage medium stored with the programs |
-
2004
- 2004-03-22 JP JP2004082531A patent/JP2005267529A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000106552A (en) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | Authentication method |
JP2000259566A (en) * | 1999-03-05 | 2000-09-22 | Ntt Communicationware Corp | Password management system |
JP2002278930A (en) * | 2001-03-21 | 2002-09-27 | Toyota Motor Corp | Authentication system and authentication server |
JP2002366528A (en) * | 2001-06-12 | 2002-12-20 | Hitachi Ltd | Security system for personal identification |
JP2003188885A (en) * | 2001-12-19 | 2003-07-04 | Canon Inc | Communication system, server device, client device, method for controlling them, programs for performing them, and computer readable storage medium stored with the programs |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4499678B2 (en) * | 2006-03-08 | 2010-07-07 | 三菱電機インフォメーションシステムズ株式会社 | Multi-terminal user authentication system, authentication server and authentication integrated terminal |
JP2007241590A (en) * | 2006-03-08 | 2007-09-20 | Mitsubishi Electric Information Systems Corp | Authentication system of user of a plurality of terminals, authentication server, and authentication integrating terminal |
JP2007334411A (en) * | 2006-06-12 | 2007-12-27 | Fuji Xerox Co Ltd | Control program and communication system |
JP2010238202A (en) * | 2009-03-31 | 2010-10-21 | Nec Corp | Automatic authentication system |
US8875270B2 (en) | 2009-04-15 | 2014-10-28 | Nec Corporation | ID authentication system, ID authentication method, and non-transitory computer readable medium storing ID authentication program |
WO2013115462A1 (en) * | 2012-02-01 | 2013-08-08 | 에스케이플래닛 주식회사 | System and method for providing integrated service |
WO2014032596A1 (en) * | 2012-09-03 | 2014-03-06 | Tencent Technology (Shenzhen) Company Limited | Systems and methods for enhancement of single sign-on protection |
KR101404764B1 (en) | 2012-11-29 | 2014-06-13 | 이니텍(주) | Single Sign On Method at Mobile Device |
KR20140121571A (en) * | 2013-04-08 | 2014-10-16 | 에스케이플래닛 주식회사 | System for intergrated authentication, method and apparatus for intergraged authentication thereof |
KR102071281B1 (en) * | 2013-04-08 | 2020-01-30 | 에스케이플래닛 주식회사 | Method for intergraged authentication thereof |
CN105354482A (en) * | 2015-12-09 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | Single sign-on method and device |
CN105354482B (en) * | 2015-12-09 | 2018-05-01 | 浪潮(北京)电子信息产业有限公司 | A kind of single-point logging method and device |
CN112395585A (en) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | Database service login method, device, equipment and readable storage medium |
CN112395585B (en) * | 2019-08-15 | 2023-01-06 | 奇安信安全技术(珠海)有限公司 | Database service login method, device, equipment and readable storage medium |
CN113852622A (en) * | 2021-09-18 | 2021-12-28 | 数字广东网络建设有限公司 | Single sign-on method, device, equipment and storage medium based on government affair application |
CN113852622B (en) * | 2021-09-18 | 2023-09-19 | 数字广东网络建设有限公司 | Single sign-on method, device, equipment and storage medium based on government affair application |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4864289B2 (en) | Network user authentication system and method | |
US7827318B2 (en) | User enrollment in an e-community | |
CN105007280B (en) | A kind of application login method and device | |
CN108200099B (en) | Mobile application, personal status relationship management | |
CN101331731B (en) | Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider | |
US8528058B2 (en) | Native use of web service protocols and claims in server authentication | |
KR101467174B1 (en) | Method and apparatus for communication and method and apparatus for controlling communication | |
US20070277235A1 (en) | System and method for providing user authentication and identity management | |
US20100138899A1 (en) | Authentication intermediary server, program, authentication system and selection method | |
US20030061512A1 (en) | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation | |
CN112468481B (en) | Single-page and multi-page web application identity integrated authentication method based on CAS | |
JPWO2007110951A1 (en) | User confirmation apparatus, method and program | |
WO2012081404A1 (en) | Authentication system, authentication server, service provision server, authentication method, and computer-readable recording medium | |
JP4913457B2 (en) | Federated authentication method and system for servers with different authentication strengths | |
JP2005538434A (en) | Method and system for user-based authentication in a federated environment | |
JP2005317022A (en) | Account creation via mobile device | |
US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
CN101426009A (en) | Identity management platform, service server, uniform login system and method | |
JP2011100489A (en) | User confirmation device and method, and program | |
KR20110055542A (en) | An apparatus for managing user authentication | |
JP2006031064A (en) | Session management system and management method | |
JP2005267529A (en) | Login authentication method, login authentication system, authentication program, communication program, and storage medium | |
CN114238895A (en) | Single sign-on proxy method and device, electronic equipment and storage medium | |
JP5456842B2 (en) | User confirmation apparatus, method, and user authentication system | |
JP5252721B2 (en) | Information providing server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070118 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070531 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070606 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080722 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091201 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100330 |