JP2006065708A - Password information update system - Google Patents

Password information update system Download PDF

Info

Publication number
JP2006065708A
JP2006065708A JP2004249450A JP2004249450A JP2006065708A JP 2006065708 A JP2006065708 A JP 2006065708A JP 2004249450 A JP2004249450 A JP 2004249450A JP 2004249450 A JP2004249450 A JP 2004249450A JP 2006065708 A JP2006065708 A JP 2006065708A
Authority
JP
Japan
Prior art keywords
password
character string
information
user
password character
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004249450A
Other languages
Japanese (ja)
Inventor
Takeshi Takeuchi
剛 竹内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2004249450A priority Critical patent/JP2006065708A/en
Publication of JP2006065708A publication Critical patent/JP2006065708A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an updated information notification system by which no unauthorized use for a system is immediately related even when periodically automatically updated password information is notified to the past user in the worst case in notifying a user of the periodically automatically updated password information. <P>SOLUTION: The updated information notification system involves: preparing a random character string 32 as a password used in user authentication processing (31); dividing the prepared password character string information 32 into a plurality of portions (33); registering the respective divided partial password character string information on a WEB 36; sending respective URL (Uniform Resource Locator) address information used for referring to the divided partial password character string information 34a, 35a to a registered mail address (L3); and conducting authentication for the user by obtaining the input of other password character string information obtained by asking a group manager involving the user to refer to in reference on the WEB 36 (36). <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、利用者認証処理などにおいて利用するパスワード情報の更新システムに関し、特に、自動的・定期的なパスワード自動更新システムに関する。   The present invention relates to an update system for password information used in user authentication processing, and more particularly to an automatic / periodic automatic password update system.

現在では、日々の業務や電子商取引などにおけるセキュリティを高めるために、パスワード認証を行うこと、パスワードを定期的に更新することが一般的に行われている。従来、セキュリティ確保を目的としてパスワードの定期更新を行う技術として、例えば、下記特許文献1に記載の技術が知られている。特許文献1に記載の装置は、現状のパスワード情報領域と、更新後のパスワード情報を自動的に作成する手段と、更新後パスワードを作成するための種情報入力装置と、装置に入力する唯一絶対の絶対パスワード記憶領域と、から成り立っている。この装置は、更新後パスワード作成のための種情報を元に新たなパスワードを自動生成し、現状のパスワード情報と更新後パスワード情報とを元にパスワード情報の自動更新を実現するものである。より具体的には絶対パスワード入力により絶対パスワード情報を種情報として更新後パスワードを自動生成し、端末のパスワード更新を自動的に行うことで利用者の負担を軽減するようにしたものである。   At present, in order to enhance security in daily operations and electronic commerce, it is generally performed to perform password authentication and periodically update the password. Conventionally, for example, a technique described in Patent Document 1 below is known as a technique for periodically updating a password for the purpose of ensuring security. The device described in Patent Document 1 is a current password information area, a means for automatically creating updated password information, a seed information input device for creating an updated password, and the only absolute input to the device. And an absolute password storage area. This apparatus automatically generates a new password based on seed information for creating an updated password, and realizes automatic update of the password information based on the current password information and the updated password information. More specifically, the absolute password information is automatically generated using the absolute password information as seed information by inputting the absolute password, and the user's burden is reduced by automatically updating the terminal password.

特開平11−203247号公報JP-A-11-203247

しかしながら、上記特許文献1に記載の技術は、パスワード情報を自動更新することにより、全くの第三者へのパスワード情報漏洩時におけるシステム不正利用に対する被害については、パスワード更新を行うことで防ぐことができる。しかしながら、過去には正規にシステムを利用していた利用者は装置の正規の絶対パスワードを知っているため、利用権限を剥奪する場合は絶対パスワードを変更する必要がある。   However, the technique described in Patent Document 1 can prevent damage to unauthorized use of the system when password information is leaked to a third party by updating the password information automatically by updating the password. it can. However, since users who have been using the system in the past know the normal absolute password of the device, it is necessary to change the absolute password when revoking the use authority.

このように、システム利用メンバに変更があった際に絶対パスワード情報の更新を行わないと、過去にシステムを利用していた全ての利用者により不正に利用することができるため、システム管理者はシステム利用メンバに変更が発生する度に絶対パスワード情報を手動で更新しなくてはならず、システムの運用が煩雑になるといった問題点がある。   In this way, if the absolute password information is not updated when the system user is changed, it can be used illegally by all users who have used the system in the past. There is a problem that the system operation becomes complicated because the absolute password information must be manually updated every time the system user changes.

本発明の目的は、パスワードの自動更新を実現しながら、システム利用メンバ変更時にもパスワード情報の更新運用を意識することなく、システムの不正利用を防止することである。   An object of the present invention is to prevent unauthorized use of a system without realizing password password update operation even when system use members are changed, while realizing automatic password update.

本発明のパスワード情報更新通知システムは、利用者認証処理で使用するパスワードとしてランダムな文字列を作成し、作成したパスワード文字列情報を複数部分に分割する。分割した部分的なパスワード文字列情報については、利用者に連絡する箇所と、利用者が属する少なくとも1のグループに連絡する箇所とに区分され、それぞれがウェブサーバ上において参照可能な状態にして登録する。分割した部分的なパスワード文字列情報を参照するためのURLアドレス情報の各々は、利用者と利用者が属するグループ複数に個別に例えばメール通知によって連絡することにより、各々の通知対象者はパスワード文字列情報の一部しか参照可能にはならない。   The password information update notification system of the present invention creates a random character string as a password used in the user authentication process, and divides the created password character string information into a plurality of parts. The divided partial password character string information is divided into a place to contact the user and a place to contact at least one group to which the user belongs, and each is registered in a state that can be referred to on the web server. To do. Each of the URL address information for referring to the divided partial password character string information is obtained by contacting the user and a plurality of groups to which the user belongs individually by e-mail notification, for example. Only part of the column information can be referenced.

利用者は自身が属するグループから残りのパスワードの文字列情報を入手する必要がある場合には、管理者から入手する必要がある。その段階において管理者が現在においても正規の利用者であるか否かを判断することができる。利用資格を失った過去の利用者には文字列情報を送らないが、正規の利用者に対しては承認の証として部分パスワードの文字列情報を送る。送られた部分パスワードを入力することを条件として認証をパスすることができ、最終部分の部分パスワードを入手し、従ってパスワード全体を入手することができる。   When the user needs to obtain the character string information of the remaining password from the group to which the user belongs, the user needs to obtain it from the administrator. At that stage, it can be determined whether or not the administrator is still a regular user. Character string information is not sent to past users who have lost their eligibility, but partial password character string information is sent to authorized users as proof of approval. Authentication can be passed on condition that the sent partial password is entered, the final partial password can be obtained, and thus the entire password can be obtained.

或いは、あるグループを構成する複数人に共通のパスワードを取得・更新する場合に、少なくとも最後の部分パスワード情報を取得する際には、あるグループ内の他の構成員の有する残りの部分パスワードを入手する必要があるようにしておく。これにより、他の構成員全員による承認が得られて初めて、全体のパスワードのうちの最後の部分パスワードを得ることが出来、あるシステムを利用することが可能になる。   Alternatively, when acquiring / updating a password that is common to multiple members of a group, at least when acquiring the last partial password information, obtain the remaining partial passwords of other members of the group. So that you need to. Thus, the final partial password of the entire password can be obtained only after approval by all the other members is obtained, and a certain system can be used.

本発明によれば、1又は2以上のグループに属する利用者が利用者認証資格を失った場合は、単に各々のグループが利用資格を失った利用者への部分パスワード情報通知を行わないことにより、利用者は完全なパスワード情報を得られず、不正利用を防ぐことが可能である。   According to the present invention, when a user belonging to one or more groups loses the user authentication qualification, the partial password information is not notified to the user whose each group has lost the use qualification. The user cannot obtain complete password information and can prevent unauthorized use.

さらに、利用者がWebサーバ上で分割されたパスワード情報を参照する際には、利用者が属する複数のグループが持つ部分パスワード情報の入力を要求するため、所属グループからの部分パスワード情報の提供を受けられない利用者に対して、利用者自身宛の部分パスワード情報についても情報漏洩を防止することが可能である。   In addition, when a user refers to password information divided on the Web server, partial password information from the group to which the user belongs must be provided in order to request input of partial password information possessed by multiple groups to which the user belongs. It is possible to prevent information leakage of partial password information addressed to the user himself / herself to a user who cannot be received.

或いは、あるグループを構成する複数人に共通のパスワードを取得・更新する場合に、少なくとも最後の部分パスワード情報を取得する際には、あるグループ内の他の構成員の有する残りの部分パスワードを入手する必要があるようにしておくことにより、他の構成員全員による認証が得られて初めて、全体のパスワードの最後の部分パスワードを得ることが出来るような仕組みを構築でき、システムにおけるセキュリティを一層向上させることができる。   Alternatively, when acquiring / updating a password that is common to multiple members of a group, at least when acquiring the last partial password information, obtain the remaining partial passwords of other members of the group. By making it necessary to do so, it is possible to build a mechanism that can obtain the last partial password of the entire password only after the authentication by all other members is obtained, further improving the security in the system Can be made.

以下、本発明の一実施の形態によるパスワード情報更新システムについて、図面を参照しつつ説明を行う。図1は、本実施の形態によるパスワード情報更新システムの全体構成例を示す図である。図1に示すように、本実施の形態によるパスワード情報更新システムAは、複数の端末1−1、1−2、・・・1−m(mは2以上の整数)と、ウェブサーバ2−1〜n(nは1以上の整数)と、これらを互いに接続するネットワーク3と、端末1−1、1−2、・・・、1−mをそれぞれローカルに接続するLANを介して端末を管理する管理サーバ5と、を有している。   Hereinafter, a password information update system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an example of the overall configuration of a password information update system according to this embodiment. As shown in FIG. 1, the password information update system A according to the present embodiment includes a plurality of terminals 1-1, 1-2,... 1 -m (m is an integer of 2 or more) and a web server 2-2. 1 to n (n is an integer of 1 or more), a network 3 that connects them to each other, and a terminal that connects the terminals 1-1, 1-2,. And a management server 5 to be managed.

図1に示すシステム構成において、各端末1の利用者は、ウェブサーバ2にアクセスしてパスワードを入力して認証処理を行った後に、実際の業務に関連する作業などを行うことができるようになる。管理サーバ5は、それぞれの端末を管理する管理者のサーバであり、正規の利用者でなくなった者がいる場合に、これに関するパスワードの更新処理などを行う。   In the system configuration shown in FIG. 1, the user of each terminal 1 can access the web server 2, enter a password, perform authentication processing, and then perform operations related to actual work. Become. The management server 5 is a server of an administrator who manages each terminal. When there is a person who is no longer a regular user, the management server 5 performs a password update process related to this.

以下、本発明の第1の実施の形態によるパスワード情報更新システムについて図面を参照して具体的に説明する。適宜図1も参照する。   The password information update system according to the first embodiment of the present invention will be specifically described below with reference to the drawings. Reference is also made to FIG. 1 as appropriate.

図2(A)は、図1に示す本実施の形態によるパスワード情報更新システムにおける各端末1と、ウェブサーバ2と、管理サーバ5と、の間における処理部の構成をより詳細に示すシステム構成図である。図2(B)は、利用者とグループとの関係を例示的に示す図である。図3(A)は、本実施の形態によるパスワード情報更新システムにおいて使用されるパスワードのデータ構成例を示す図である。図3(B)については第2の実施の形態において後述する。図4は、パスワード更新システムにおける更新処理の流れを示すフローチャート図である。   FIG. 2A is a system configuration showing in more detail the configuration of the processing unit among each terminal 1, web server 2, and management server 5 in the password information update system according to the present embodiment shown in FIG. FIG. FIG. 2B is a diagram exemplarily showing a relationship between the user and the group. FIG. 3A is a diagram showing a data configuration example of a password used in the password information update system according to the present embodiment. FIG. 3B will be described later in the second embodiment. FIG. 4 is a flowchart showing the flow of update processing in the password update system.

図2(A)に示すように、本実施の形態によるパスワード情報更新システムは、図3(A)に示すランダム文字列11を生成するランダム文字列生成機構31と、ランダム文字列生成機構31により生成されたパスワード文字列情報32であって図3(A)に示す文字列11)を例えば破線で分割して管理者用のパスワード部分情報34(図3(A)の例えば符号15で示される文字列)と、利用者用のパスワード部分情報34(図3における例えば符号17で示す文字列)と、にファイル化する文字列分割機構33と、利用者用のパスワード部分情報34と、例えば1又は複数のパスワード部分情報ファイル(グループ用)35−1から35−n(35)までを、それぞれ登録する例えばウェブサーバ36と、後述するグループパスワード情報を元に利用者認証を行う認証機構40と、更新後のパスワードに基づいて利用する利用システム41と、を含んで構成されている。   As shown in FIG. 2A, the password information update system according to the present embodiment includes a random character string generation mechanism 31 that generates a random character string 11 and a random character string generation mechanism 31 shown in FIG. The generated password character string information 32, which is the character string 11 shown in FIG. 3A, is divided by a broken line, for example, and is indicated by the password portion information 34 for the administrator (for example, reference numeral 15 in FIG. 3A). Character string), user password partial information 34 (for example, a character string indicated by reference numeral 17 in FIG. 3), a character string dividing mechanism 33 that forms a file, a user password partial information 34, and, for example, 1 Alternatively, a plurality of password partial information files (for groups) 35-1 to 35-n (35) are registered, for example, the web server 36 and a group password described later. The authentication mechanism 40 to perform user authentication based on the distribution, and is configured to include a utilization system 41 be used under the updated password, the.

グループと個人との関係の例としては、例えば図2(B)に示すように、企業内における利用者個人17aと、この利用者が属する部門、部、課、係(小グループ)などの階層的なグループ15aが考えられる。従って、実際には図3(A)に示す管理者用のパスワード領域15は、グループの階層分だけの領域に分割されていることになる。   As an example of the relationship between a group and an individual, for example, as shown in FIG. 2B, a user individual 17a in a company and a hierarchy such as a department, a department, a section, a staff (small group) to which the user belongs A typical group 15a is conceivable. Therefore, the administrator password area 15 shown in FIG. 3A is actually divided into areas corresponding to the group hierarchy.

上記システムをおける処理について図4を参照しつつ説明する。まず、ステップS1において処理を開始すると、ステップS2において、パスワード更新時期であるか否かを判定する。パスワード更新時期でない場合は、更新時期になるまで待機する。パスワード更新時期になった場合には、ステップS3において、ランダム文字列生成機構31が、利用者認証処理で使用するパスワード情報として類推不可能なようにランダムに配列したランダム文字列情報32を生成する。このランダム文字列情報32を更新後のパスワードとして、パスワード更新対象システムにおけるパスワードの更新を行う。   Processing in the above system will be described with reference to FIG. First, when the process is started in step S1, it is determined in step S2 whether or not it is a password update time. If it is not time to update the password, wait until it is time to update. When it is time to update the password, in step S3, the random character string generation mechanism 31 generates random character string information 32 randomly arranged so that it cannot be inferred as password information used in the user authentication process. . Using this random character string information 32 as the updated password, the password in the password update target system is updated.

ステップS4において、文字列分割機構33は、生成されたランダム文字列情報32をパスワード部分情報(利用者用)部分34とパスワード部分情報(グループ用)部分35とに分割してファイルを作成する。またパスワード部分情報(グループ用)部分35については、利用者が属するグループが複数であれば複数のグループ用にさらに分割を行う。分割されたパスワード部分情報34、35はファイル化され、Webサーバ36に登録される(L2:ステップS5)とともに、利用者および利用者が属するグループの管理者宛にWebサーバ36におけるパスワード部分情報の登録先URL情報をメール通知する(L1:ステップS6)。   In step S4, the character string dividing mechanism 33 divides the generated random character string information 32 into a password part information (for user) part 34 and a password part information (for group) part 35 to create a file. The password portion information (for group) portion 35 is further divided for a plurality of groups if there are a plurality of groups to which the user belongs. The divided password portion information 34 and 35 are filed and registered in the Web server 36 (L2: Step S5), and the password portion information in the Web server 36 is sent to the user and the manager of the group to which the user belongs. The registration URL information is notified by e-mail (L1: Step S6).

ここで利用者が2つの階層からなるグループ(例えば、部と課)に所属すると仮定して以下の説明を行う。利用者が属する各グループの管理者(例えば部長と課長)38・39は、通知されたURLに接続することにより(L3−1、L3−2)、パスワードの部分情報35a−1、35−nをそれぞれ入手できる(L3−1、L3−2:ステップS7)。しかしながら、パスワード全体の情報(図3参照)は依然不明のままである。ここで、利用者37が利用者の属するグループの管理者である部長38と課長39とに対してパスワード部分情報の問い合わせを行うと(L3:ステップS8)、部長38と課長39とは、入手したパスワードの部分情報35a−1、35−nを現在でも正規の利用者であるか否かを判定し(ステップS9)、正規の利用者でない場合には部分パスワードを通知しない(ステップS10)。正規の者に宛てて通知する(L3−3、L4−3;ステップS11)。この際、過去の利用者ではあるが現在の利用者ではない者に対してはパスワードの部分情報34aの通知を行わない。これにより、過去の利用者ではあるが現在の利用者ではない者は、自動更新されたパスワードの付与対象から外される。   Here, the following explanation will be given on the assumption that the user belongs to a group (for example, department and section) consisting of two layers. By connecting to the notified URL (L3-1, L3-2), managers (for example, general managers and section managers) 38, 39 of each group to which the user belongs are used, and password partial information 35a-1, 35-n. Can be obtained respectively (L3-1, L3-2: Step S7). However, the entire password information (see FIG. 3) remains unknown. Here, when the user 37 makes an inquiry about the password partial information to the department manager 38 and the section manager 39 who are managers of the group to which the user belongs (L3: step S8), the department manager 38 and the section manager 39 are obtained. It is determined whether or not the partial information 35a-1 and 35-n of the password is still a regular user (step S9). If the partial information is not a regular user, the partial password is not notified (step S10). A notification is sent to a legitimate person (L3-3, L4-3; Step S11). At this time, the password partial information 34a is not notified to those who are past users but are not current users. As a result, a user who is a past user but is not a current user is excluded from the subject of the automatically updated password.

利用者37は、自己が属する各グループ管理者(部長38・課長39)のそれぞれから入手した複数のパスワード部分情報(グループ用)35a’を、Webサーバ36上のパスワード部分情報(ユーザ用)取得用認証機構40に入力することにより(L5:ステップS12)、利用者認証を得ることができる。パスワード部分情報(ユーザ用)取得用認証機構40は、利用者37からの入力情報35a’とWebサーバ36上の部分情報35(複数の場合は、複数を繋げた文字列)とを比較し(ステップS13)、同一の情報が入力されたと判断した場合に初めてパスワード部分情報(利用者用)34aを入手することができる(L6:ステップS15)。認証が得られない場合には、利用者用パスワード部分情報は通知されない(ステップS14)。これにより、利用システム41に更新後のパスワードを入力して(L7)、正規の利用者37のみが利用システム41を用いることができる。   The user 37 acquires a plurality of password partial information (for group) 35a ′ obtained from each of the group managers (department 38 / section 39) to which the user belongs, and obtains password partial information (for user) on the Web server 36. The user authentication can be obtained by inputting to the authentication mechanism 40 (L5: Step S12). The password partial information (for user) acquisition authentication mechanism 40 compares the input information 35a ′ from the user 37 with the partial information 35 on the Web server 36 (in the case of a plurality of characters, a character string connecting a plurality) ( In step S13), the password partial information (for user) 34a can be obtained for the first time when it is determined that the same information is input (L6: step S15). If the authentication cannot be obtained, the password part information for the user is not notified (step S14). As a result, the updated password is input to the usage system 41 (L7), and only the authorized user 37 can use the usage system 41.

以上のように、先に入手しておいた複数のパスワード部分情報(グループ用)5と組み合わせることにより、現在でも正規であると利用者の属するグループの少なくとも1以上の管理者により判断され、かつ、認証機構の認証処理をパスした利用者のみが正しいパスワード情報を入手できるように工夫されている。グループ管理者が複数存在する場合には、全ての管理者からの承認を得てそれぞれの部分パスワード情報を入力しない限り、すなわち利用者はこの認証過程をパスしない限り、利用者自身の部分パスワードを入手することができない。従って、利用するシステムにおけるセキュリティが強固になる。また、グループ管理者がパスワード部分情報(グループ用)35a’を取得してから、利用者37がパスワード部分情報(利用者用)34aを取得するまでの期限として、ある時間制限を設けても良い。このようにすると、上記制限時間内に利用者37がパスワード部分情報(利用者用)34aを取得しない場合には、これまでに取得したパスワード部分情報(グループ用)は全て無効になり、グループ管理者は更新されたパスワードを再度取得しなければならない。従って、長時間パスワード部分情報を放置することによりパスワード部分情報が不正な利用者に漏えいしパスワード全体を取得されてしまう、という危険性が低減する。   As described above, by combining with a plurality of pieces of password partial information (for group) 5 obtained in advance, it is determined by at least one administrator of the group to which the user belongs to that it is still valid, and It is devised so that only users who pass the authentication process of the authentication mechanism can obtain correct password information. If there are multiple group managers, the user must enter his / her partial password unless approval is obtained from all managers and the respective partial password information is entered, that is, unless the user passes this authentication process. It cannot be obtained. Therefore, security in the system to be used is strengthened. Further, a certain time limit may be set as a time limit from when the group administrator acquires the password partial information (for group) 35a ′ until the user 37 acquires the password partial information (for user) 34a. . In this case, if the user 37 does not acquire the password partial information (for user) 34a within the time limit, all the password partial information (for group) acquired so far becomes invalid, and group management is performed. The person must obtain the updated password again. Accordingly, by leaving the password part information for a long time, the risk that the password part information is leaked to an unauthorized user and the entire password is acquired is reduced.

尚、図2に示すパスワード情報更新システムにおいて、Webサーバ36内に設けられている認証機構を、Webサーバから独立させても良い。また、上記パスワード更新処理は、定期的に行われても良いし、必要な場合に随時行われても良い。   In the password information update system shown in FIG. 2, the authentication mechanism provided in the Web server 36 may be independent from the Web server. In addition, the password update process may be performed periodically or as needed.

次に、本発明の第2の実施の形態によるパスワード情報更新システムについて図面を参照しつつ説明を行う。図5は、本実施の形態によるパスワード情報更新システムの構成例を示す図である。本実施の形態によるパスワード情報更新システムは、第1の実施の形態によるパスワード情報更新システムと異なり、利用者とグループの管理者という関係ではなく、例えばグループ内において共通に利用される共通パスワードという概念を含むシステムである。   Next, a password information update system according to a second embodiment of the present invention will be described with reference to the drawings. FIG. 5 is a diagram showing a configuration example of the password information update system according to the present embodiment. Unlike the password information update system according to the first embodiment, the password information update system according to the present embodiment is not based on the relationship between the user and the manager of the group, for example, the concept of a common password that is commonly used in the group It is a system including

図3(B)は、本実施の形態によるパスワード情報更新システムに用いられる全体パスワードの構成例を示す図である。図3(B)に示すように、本実施の形態による全体パスワード21は、例えば、あるグループの構成員の人数分の領域に区切られている。図では、3人分の3領域23、25、27に区切られているが、ここでは人数を限定するものではない。図5において、符号以外で図2に示すパスワード情報更新システムと異なる点は、利用者(1)57の他に利用者2からn(nは2以上の整数)までが存在し、これらの者が共通のパスワードを利用して利用システム61の利用に関する認証を行う点である。すなわち、ランダム文字列生成機構51は、図3(B)に示すようなパスワード文字列情報21を生成し(52)、これを利用者の人数nで除算した数の文字列に分割し(53)、利用者1用のパスワード部分情報54と、利用者2用のパスワード部分情報54−1と、利用者n用のパスワード部分情報54−nとをn分割された1〜nまでの文字列が、Webサーバ56に登録される(パスワード部分情報54a、54a−1,54a−n)。   FIG. 3B is a diagram showing a configuration example of the entire password used in the password information update system according to the present embodiment. As shown in FIG. 3B, the entire password 21 according to the present embodiment is divided into areas for the number of members of a certain group, for example. In the figure, the area is divided into three areas 23, 25, and 27 for three persons, but the number of persons is not limited here. In FIG. 5, the difference from the password information update system shown in FIG. 2 other than the reference sign is that there are users 2 to n (n is an integer of 2 or more) in addition to user (1) 57, and these persons However, it is the point which performs the authentication regarding utilization of the utilization system 61 using a common password. That is, the random character string generation mechanism 51 generates password character string information 21 as shown in FIG. 3B (52), and divides this into character strings of the number divided by the number of users n (53). ), A character string from 1 to n obtained by dividing the password portion information 54 for the user 1, the password portion information 54-1 for the user 2, and the password portion information 54-n for the user n into n parts. Are registered in the Web server 56 (password partial information 54a, 54a-1, 54a-n).

例えば利用者1は、他の利用者2からnまでに対して他の利用者のパスワード部分情報を要求すると、他の利用者が利用者1に関する現在もグループに所属する正規の利用者であるか否かを確認した後、正規の利用者であれば要求に応じてパスワード部分情報をそれぞれから通知する。最後のパスワード部分情報だけは、他の利用者に要求することはできず、自分でWebサーバに登録されているパスワード部分情報を取りに行く必要がある。この際には、認証機構の認証を受ける必要があり、認証を受けるためには他の全てのパスワード部分情報までを取得しこれを提示する必要がある。例えば図6において利用者(1)57を主体として説明すると、利用者(1)57は他の利用者(2)58・(3)59に対してパスワード部分情報54a−1、54a−nを要求すると、要求された他の利用者(2)58・(3)59は、パスワード部分情報に関する最後の取得要求者ではないため、Webサーバ56内に登録されているパスワード部分情報54a−1、54a−nを取得することができる。   For example, when the user 1 requests other users 2 to n for password partial information of other users, the other users are still regular users who belong to the group regarding the user 1. After confirming whether or not it is a legitimate user, the password partial information is notified from each in response to a request. Only the last password part information cannot be requested from other users, and it is necessary to obtain the password part information registered in the Web server by yourself. In this case, it is necessary to receive authentication by an authentication mechanism, and in order to receive authentication, it is necessary to acquire and present all other password partial information. For example, in FIG. 6, the user (1) 57 is mainly described. The user (1) 57 gives password partial information 54a-1 and 54a-n to the other users (2) 58 and (3) 59. When requested, since the other requested users (2) 58 and (3) 59 are not the last acquisition requesters regarding the password partial information, the password partial information 54a-1 registered in the Web server 56, 54a-n can be obtained.

取得したパスワード部分情報54a−1、54a−nは、他の利用者(2)58・(3)59の利用者(1)57に関する現在における利用資格の有無をチェックされた後に資格があると判断されれば、要求者である利用者(1)57に対して提供される。利用者(1)57は、Webサーバ56内に登録されているパスワード部分情報のうちの最後の情報を取得する際には、取得したパスワード部分情報54a−1、54a−nを認証機構60に提示することで初めてWebサーバ56から最後のパスワード部分情報54aを得ることができ、全体のパスワードを知ることができる。主体を他の利用者にした場合でも同様に、最後のパスワードを取得する際にその他のパスワード部分情報を予め取得し認証を得ることが必要になる。   If the acquired password partial information 54a-1, 54a-n is qualified after it is checked whether there is a current usage qualification regarding the user (1) 57 of another user (2) 58 / (3) 59 If judged, it is provided to the user (1) 57 who is the requester. When the user (1) 57 acquires the last piece of password part information registered in the Web server 56, the user (1) 57 sends the acquired password part information 54a-1 and 54a-n to the authentication mechanism 60. By presenting, it is possible to obtain the last password partial information 54a from the Web server 56 for the first time, and to know the entire password. Similarly, when the main user is another user, it is necessary to obtain authentication by obtaining other password part information in advance when the last password is obtained.

このような仕組を構築することで、あるグループ内で共通の全体パスワードをそれぞれが得る場合に、最後の部分パスワード情報以外の部分パスワード情報を入手する際には他の利用者による確認が必要となり、さらに最後の部分パスワードは他の利用者から得た部分パスワードの入力によるWebサーバの認証処理が必要となるため、全体パスワードの入手に関するセキュリティが確保でき、不正な利用者を排除できる。また、利用者2〜nのいずれかがパスワード部分情報を取得してから、利用者1が最後にパスワード部分情報を取得するまでの期限として、ある時間制限を設けても良い。このようにすると、上記制限時間内に利用者1がパスワード部分情報(利用者1用)を取得しない場合には、これまでに取得したパスワード部分情報(利用者1〜n用)は全て無効になり、他の利用者2〜nは更新されたパスワードを再度取得しなければならない。従って、長時間パスワード部分情報を放置することによりパスワード部分情報が不正な利用者に漏えいしパスワード全体を取得されてしまう、という危険性が低減する。   By constructing such a mechanism, when each user obtains a common overall password within a certain group, confirmation by other users is required when obtaining partial password information other than the last partial password information. In addition, since the last partial password needs to be authenticated by the Web server by entering the partial password obtained from another user, security for obtaining the entire password can be secured and unauthorized users can be eliminated. Also, a certain time limit may be provided as a time limit from when any of the users 2 to n acquires the password partial information until the user 1 finally acquires the password partial information. In this way, if the user 1 does not acquire the password partial information (for user 1) within the time limit, the password partial information (for users 1 to n) acquired so far is invalidated. Therefore, the other users 2 to n must obtain the updated password again. Accordingly, by leaving the password part information for a long time, the risk that the password part information is leaked to an unauthorized user and the entire password is acquired is reduced.

尚、本実施の形態において説明したパスワード文字列は、一般的な文字の他に操作により入力可能な例えば絵文字なども含む広い概念である。   The password character string described in the present embodiment is a broad concept including, for example, pictograms that can be input by operation in addition to general characters.

本発明は、パスワード認証を必要とするシステムにおけるセキュリティ向上に役立つ。また、上記システムにおけるパスワード情報更新システムで用いられる方法及びその処理をコンピュータに実行させるためのプログラムも本発明に含まれるものとする。   The present invention is useful for improving security in a system that requires password authentication. Further, the present invention includes a method used in the password information update system in the above system and a program for causing a computer to execute the process.

本発明の実施の形態によるパスワード情報更新システムの構成例を示す図である。It is a figure which shows the structural example of the password information update system by embodiment of this invention. 本発明の第1の実施の形態によるパスワード情報更新システムにおける各処理部の構成を示す図である。It is a figure which shows the structure of each process part in the password information update system by the 1st Embodiment of this invention. 図3(A)は本発明の第1の実施の形態によるパスワード列の構成例を示す図であり、図3(B)は第2の実施の形態によるパスワード列の構成例を示す図である。FIG. 3A is a diagram illustrating a configuration example of a password string according to the first embodiment of the present invention, and FIG. 3B is a diagram illustrating a configuration example of a password string according to the second embodiment. . 本発明の第1の実施の形態によるパスワード情報更新システムにおける処理の流れを示すフローチャート図である。It is a flowchart figure which shows the flow of a process in the password information update system by the 1st Embodiment of this invention. 本発明の第2の実施の形態によるパスワード情報更新システムにおける各処理部の構成を示す図である。It is a figure which shows the structure of each process part in the password information update system by the 2nd Embodiment of this invention.

符号の説明Explanation of symbols

A…パスワード情報更新システム、1…端末、2…ウェブサーバ、3…ネットワーク、4…LAN、5…管理サーバ、11…パスワード、15、17…部分パスワード、31…ランダム文字列生成機構、32…パスワード文字列情報、33…文字列分割機構、34…パスワード部分情報ファイル(利用者用)、35…パスワード部分情報ファイル(グループ用)、36…Webサーバ、37…利用者、38…利用者の属するグループ1、39…利用者の属するグループn、40a…認証機構。 A ... password information update system, 1 ... terminal, 2 ... web server, 3 ... network, 4 ... LAN, 5 ... management server, 11 ... password, 15, 17 ... partial password, 31 ... random character string generation mechanism, 32 ... Password character string information, 33 ... Character string dividing mechanism, 34 ... Password partial information file (for user), 35 ... Password partial information file (for group), 36 ... Web server, 37 ... User, 38 ... User's Group 1, 39 belonging to group n, 40a belonging to user, authentication mechanism.

Claims (4)

パスワード文字列を生成するパスワード文字列生成手段と、
生成された前記パスワード文字列を複数の部分的なパスワード文字列情報に分割する文字列分割手段と、
分割された前記部分的なパスワード文字列情報のそれぞれをウェブサーバの異なるアドレスに登録する登録手段と、
前記分割した部分的なパスワード文字列情報のそれぞれを前記ウェブサーバ上で参照するためのアドレス情報を個別に通知する通知手段と、
前記分割した部分的なパスワード文字列情報のうちの1つについては、それ以外の部分的なパスワード文字列情報の入力を条件として前記ウェブサーバ上での参照を認める認証機構と
を有することを特徴とするパスワード情報通知システム。 A password character string generating means for generating a password character string;
A character string dividing means for dividing the generated password character string into a plurality of partial password character string information;
Registration means for registering each of the divided partial password character string information at different addresses of a web server;
Notifying means for individually notifying address information for referring to each of the divided partial password character string information on the web server;
One of the divided partial password character string information includes an authentication mechanism that permits a reference on the web server on condition that other partial password character string information is input. Password information notification system. パスワード文字列を作成する文字列生成手段と、
作成された前記パスワード文字列を利用者用と管理者用とのそれぞれの部分的なパスワード文字列情報に分割する文字列分割手段と、
分割された前記部分的なパスワード文字列情報のそれぞれをウェブサーバ上の異なるアドレスに登録する登録手段と、
前記分割した部分的なパスワード文字列情報のそれぞれを前記ウェブサーバ上で参照するためのアドレス情報を前記利用者と前記管理者とにそれぞれ通知する通知手段と、
前記分割した部分的なパスワード文字列情報のうちの1つの部分的なパスワード文字列情報以外は前記管理者から通知され、前記ウェブサーバ上で残りの1つの部分的なパスワード文字列情報を参照する際には、前記管理者から取得した部分的なパスワード文字列情報の入力を条件とする認証機構と
を有することを特徴とするパスワード情報通知システム。 A string generation means for creating a password string;
A character string dividing means for dividing the created password character string into partial password character string information for each of a user and an administrator;
Registration means for registering each of the divided partial password character string information at different addresses on a web server;
Notification means for notifying the user and the administrator of address information for referring to each of the divided partial password character string information on the web server;
Other than the partial password character string information of the divided partial password character string information, the administrator is notified and refers to the remaining partial password character string information on the web server. In such a case, the password information notification system includes an authentication mechanism that is conditional on input of partial password character string information acquired from the administrator. 複数の利用者が使用するパスワードに用いられるパスワード文字列を作成する文字列生成手段と、
作成された前記パスワード文字列を部分的なパスワード文字列情報に分割する文字列分割手段と、
分割された前記部分的なパスワード文字列情報のそれぞれをウェブサーバ上の異なるアドレスに登録する登録手段と、
前記分割した部分的なパスワード文字列情報のそれぞれを前記ウェブサーバ上で参照するためのアドレス情報を前記利用者のそれぞれに通知する通知手段と、
前記分割した部分的なパスワード文字列情報のうちの少なくとも最後の1つを前記ウェブサーバ上で参照する際に、他の利用者から取得した前記部分的なパスワード文字列情報の入力を条件とする認証機構と
を有することを特徴とするパスワード情報通知システム。 A character string generating means for creating a password character string used for a password used by a plurality of users;
A character string dividing means for dividing the created password character string into partial password character string information;
Registration means for registering each of the divided partial password character string information at different addresses on a web server;
Notification means for notifying each of the users of address information for referring to each of the divided partial password character string information on the web server;
When referring to at least the last one of the divided partial password character string information on the web server, the partial password character string information acquired from another user is used as a condition. A password information notification system comprising an authentication mechanism. 前記パスワード通知を定期的又は任意の時期において実行するパスワード更新処理部を有することを特徴とする請求項1から3までのいずれか1項に記載のパスワード情報通知システム。


The password information notification system according to any one of claims 1 to 3, further comprising a password update processing unit that executes the password notification periodically or at an arbitrary time.


JP2004249450A 2004-08-30 2004-08-30 Password information update system Pending JP2006065708A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004249450A JP2006065708A (en) 2004-08-30 2004-08-30 Password information update system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004249450A JP2006065708A (en) 2004-08-30 2004-08-30 Password information update system

Publications (1)

Publication Number Publication Date
JP2006065708A true JP2006065708A (en) 2006-03-09

Family

ID=36112129

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004249450A Pending JP2006065708A (en) 2004-08-30 2004-08-30 Password information update system

Country Status (1)

Country Link
JP (1) JP2006065708A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334768A (en) * 2006-06-16 2007-12-27 Sumitomo Mitsui Banking Corp Initial password issuing method and system
US8312556B2 (en) 2006-09-29 2012-11-13 Brother Kogyo Kabushiki Kaisha Information processing apparatus and information processing program updating identification information via E-mail
US8590017B2 (en) 2011-02-28 2013-11-19 International Business Machines Corporation Partial authentication for access to incremental data
JP2014136404A (en) * 2013-01-18 2014-07-28 Brother Ind Ltd Printing apparatus
JP2019192089A (en) * 2018-04-27 2019-10-31 株式会社Pfu Information processing system, information processing method, and program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334768A (en) * 2006-06-16 2007-12-27 Sumitomo Mitsui Banking Corp Initial password issuing method and system
US8312556B2 (en) 2006-09-29 2012-11-13 Brother Kogyo Kabushiki Kaisha Information processing apparatus and information processing program updating identification information via E-mail
US8590017B2 (en) 2011-02-28 2013-11-19 International Business Machines Corporation Partial authentication for access to incremental data
JP2014136404A (en) * 2013-01-18 2014-07-28 Brother Ind Ltd Printing apparatus
JP2019192089A (en) * 2018-04-27 2019-10-31 株式会社Pfu Information processing system, information processing method, and program
JP7080100B2 (en) 2018-04-27 2022-06-03 株式会社Pfu Information processing systems, information processing methods, and programs

Similar Documents

Publication Publication Date Title
CN111183426B (en) System and method for blockchain-based notification
CN102281286B (en) Flexible end-point compliance and strong authentication method and system for distributed hybrid enterprises
CN109509288B (en) Electronic voting system and control method
JP6675163B2 (en) Authority transfer system, control method of authorization server, authorization server and program
JP2022059070A (en) Electronic voting system, apparatus, control method and program
US20190306143A1 (en) Requesting credentials
CN108369614A (en) User authen method and system for carrying out the process
JP2019219782A (en) Service providing system and service providing method
JP5638593B2 (en) Management device, member management program, member management method, service providing device, member card management program, and member management system
JP2019053713A (en) Electronic voting system, and, control method
Cha et al. A blockchain-based privacy preserving ticketing service
EP1458162A2 (en) Non-repudiable distributed security policy synchronization
US7730107B1 (en) System and method for updating and sharing private library profile data to facilitate delivery of electronic content to libraries
JP4965808B2 (en) Software configuration management system for medical equipment
JP2006195716A (en) Password management system, method, and program
JP2006065708A (en) Password information update system
JP6091450B2 (en) Information processing apparatus, information processing method, and program
WO2023233173A1 (en) Implementing self-sovereign identity (ssi) based on configurable individual profiles generated real-time from private attributes stored in the personal secure elements of the users
CN114638020A (en) Block chain-based digital asset processing method and device and electronic equipment
JP2008117052A (en) Management authority setting system
JP5410712B2 (en) Account information management system, management method, and computer program
JP2018109314A5 (en)
JP2007226637A (en) Qualification authentication management system
JP2016024475A (en) Information processing device, management device, program, and system
JP6289431B2 (en) Entrance application management apparatus, control method and program thereof