JP2006107007A - Authentication procedure analyzing device and method - Google Patents
Authentication procedure analyzing device and method Download PDFInfo
- Publication number
- JP2006107007A JP2006107007A JP2004291105A JP2004291105A JP2006107007A JP 2006107007 A JP2006107007 A JP 2006107007A JP 2004291105 A JP2004291105 A JP 2004291105A JP 2004291105 A JP2004291105 A JP 2004291105A JP 2006107007 A JP2006107007 A JP 2006107007A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- communication
- authentication procedure
- user
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、例えば、Web業務システム等、ネットワーク内に構築されたシステムにおいて、ユーザIDと秘密情報とによって認証処理を行うシステムに対して認証手順を解析する認証手順解析装置、及び、そのための認証手順解析方法に関する。 The present invention relates to an authentication procedure analyzing apparatus that analyzes an authentication procedure for a system that performs an authentication process using a user ID and secret information in a system built in a network such as a Web business system, and authentication for the same. It relates to a procedure analysis method.
従来、以下の特許文献1により知られるイントラネットユーザー会員に対する選別情報案内システムによれば、仲介するサーバ上のユーザ認証情報や、セッション情報を含めたリンクをユーザがクリックすると、情報提供側の自動ログイン・モジュールに接続して、情報提供サイトにログイン処理を行い、ユーザの再度のログイン作業を省くことが出来る業務システムにおける連携技術は、既に知られている。 Conventionally, according to the selection information guidance system for intranet user members known from the following Patent Document 1, when a user clicks on a link including user authentication information and session information on an intermediary server, automatic login on the information providing side Linking technology in a business system that can connect to a module, log in to an information providing site, and save the user from logging in again is already known.
ところで、HTML言語で構成された画面をもち、個別に認証システムを持つ複数の業務システムを連携させる場合、それらを仲立ちするサーバがログイン処理を代理実行させることにより、ユーザにログイン作業を省かせ、もって、ユーザが業務システム間の境界を意識しないようにすることが望まれている。 By the way, when a plurality of business systems that have screens configured in HTML language and individually have an authentication system are linked, the server that intervenes them performs login processing as a proxy, allowing the user to save login work, Therefore, it is desired that the user is not aware of the boundary between business systems.
しかしながら、かかる場合、既に完成しているシステムの処理を変更し、又は、そのための処理を付け加えることが必要となり、これらの作業量は、システムを構築する者の負担となり、或いは、例えば、システム自体が別組織で開発されている場合には、かかる処理の変更や追加は、それ自体が出来ない場合が多い。 However, in such a case, it is necessary to change the process of the already completed system or add a process for the process, and the amount of work becomes a burden on the person who builds the system or, for example, the system itself Is often developed by another organization, it is often impossible to change or add such processing.
更には、上述した状況に加え、また、多くの場合、仲介するサーバ上のアプリケーションが、連携するシステムよりも後に作成される場合も多く、そのため、仲介するサーバに対しては、ユーザに代わって、連携するシステムに対するログイン処理を実行することが求められている。 Furthermore, in addition to the situation described above, in many cases, the application on the intermediary server is often created after the system that cooperates. There is a need to execute login processing for linked systems.
ところで、従来技術においても、例えば、仲介するサーバがログイン処理を行って、通信状態を保持するために発行する値、所謂、セッションを取得でき、この取得したセッションをユーザの閲覧ソフトに引き渡すことによれば、ユーザはログイン後の状態となり、即ち、ユーザは再度のログイン作業を行うことなく、連携するシステムの任意のページを表示させることが出来る。 By the way, even in the prior art, for example, a value that is issued to maintain a communication state by performing a login process by a mediating server, that is, a so-called session can be acquired, and the acquired session is delivered to the user's browsing software. According to this, the user is in a state after login, that is, the user can display an arbitrary page of the linked system without performing the login operation again.
しかしながら、仲介するサーバが、自動でログイン処理を実行するためには、連携するシステム毎に異なるログイン処理を解析して、ログイン手順を作成し、その手順を実行する必要がある。ところで、かかるログイン手順の作成は、専門知識を持った技術者が、画面の構成や通信上のデータに対して解析を行う必要がある、手間のかかる作業である。そのため、システムを構築するための時間が少ない場合には、かかる自動でログイン処理を実行することが出来る連携するシステムの数が限られてしまい、そのため、連携可能なシステムの数が少なくなってしまうという問題があった。 However, in order for the intermediary server to automatically execute the login process, it is necessary to analyze a different login process for each linked system, create a login procedure, and execute the procedure. By the way, the creation of such a login procedure is a time-consuming work that requires an engineer with specialized knowledge to analyze the screen configuration and communication data. Therefore, when the time for building the system is small, the number of linked systems that can automatically execute such login processing is limited, and therefore the number of systems that can be linked is reduced. There was a problem.
そこで、本発明では、上述した従来技術における問題点に鑑み、具体的には、ログイン作業時における通信的な処理を解析する認証手順解析装置及びそのための解析方法を提供し、もって、ログイン手順の作成を簡単に実行可能にすることで、個別に認証システムを備える複数の業務システム間での連携を簡単に実現できるようにすることをその目的とする。 Therefore, in the present invention, in view of the above-described problems in the prior art, specifically, an authentication procedure analysis apparatus for analyzing communication processing at the time of login work and an analysis method therefor are provided. It is an object of the present invention to make it possible to easily realize cooperation between a plurality of business systems each having an authentication system by making creation easy.
本発明によれば、上記の目的を達成するため、まず、ユーザIDと秘密情報とによって認証処理を行うシステムに対して認証手順を解析する装置であって、実際の認証作業の実行により得られる複数の通信データを入力する手段と、当該通信データを解析する手段と、当該解析手段により得られた結果を出力する手段とを備えた認証手順解析装置が提供される。 According to the present invention, in order to achieve the above object, first, an apparatus for analyzing an authentication procedure for a system that performs an authentication process using a user ID and secret information, which is obtained by executing an actual authentication operation. There is provided an authentication procedure analyzing apparatus including means for inputting a plurality of communication data, means for analyzing the communication data, and means for outputting a result obtained by the analyzing means.
なお、本発明では、前記の認証手順解析装置において、前記解析手段は、通信データを要素分解して前記ユーザIDと秘密情報を得る手段を備え、又は、入力した前記複数の通信データ間で差分的に比較する手段を備えることが好ましい。また、本発明では、前記解析手段は、不要な通信を削除する正規化手段を備えていてもよい。 In the present invention, in the authentication procedure analyzing apparatus, the analyzing means includes means for decomposing communication data to obtain the user ID and secret information, or a difference between the plurality of input communication data. It is preferable to provide a means for comparison. In the present invention, the analysis unit may include a normalization unit that deletes unnecessary communication.
更に、本発明によれば、上記の目的を達成するため、ユーザIDと秘密情報とによって認証処理を行うシステムに対して認証手順を解析する認証手順解析方法であって、実際の認証作業の実行により複数の通信データを入力し、当該入力した複数の通信データを要素分解し、差分的に比較し、もって、認証手順を解析して出力する認証手順解析方法が提供される。 Further, according to the present invention, in order to achieve the above object, there is provided an authentication procedure analysis method for analyzing an authentication procedure for a system that performs an authentication process using a user ID and secret information, and performing an actual authentication operation Provides an authentication procedure analysis method for inputting a plurality of communication data, decomposing the input plurality of communication data, comparing them differentially, and analyzing and outputting the authentication procedure.
なお、本発明では、前記の認証手順解析方法において、更に、当該入力した複数の通信データを正規化して出力することが好ましい。 In the present invention, in the authentication procedure analyzing method, it is preferable to further normalize and output the plurality of input communication data.
より具体的には、インターネットもしくはイントラネット内に構築されたHTML言語で構成された画面をもちユーザIDと秘密情報によって認証処理を行うシステムに対して、実際に認証作業を行うことによって得た2つ以上の通信データを入力値として、通信データを通信データ間で差分的に比較することで、認証手順を解析する。更には、その解析結果と共に、通信を木構造に並べることで認証処理とは関係のない不要な通信を削除する正規化により手順を解析する。 More specifically, two obtained by actually performing an authentication operation on a system having a screen configured in the HTML language constructed in the Internet or an intranet and performing an authentication process using a user ID and secret information. The authentication procedure is analyzed by comparing the communication data differentially between the communication data using the above communication data as an input value. Further, along with the analysis result, the procedure is analyzed by normalization that deletes unnecessary communication unrelated to the authentication process by arranging the communication in a tree structure.
そして、通信データを取得するときに認証作業をおこなったホストと同じ認証処理もつ任意のホストへ、任意のユーザのユーザIDと秘密情報を出力することで、任意のユーザで認証処理を容易に実行することを可能とする。また、上記の認証処理解析装置は、例えば、インターネットまたはイントラネット内に構築された1つの仲介するサーバと複数の業務システムを仲介するサーバに設置される。 The authentication process can be easily executed by any user by outputting the user ID and secret information of any user to any host that has the same authentication process as the host that performed the authentication work when acquiring communication data. It is possible to do. The authentication processing analysis apparatus is installed in, for example, one intermediary server constructed in the Internet or an intranet and a server intermediating a plurality of business systems.
すなわち、上記の本発明になる認証手順解析装置及び認証手順解析方法によれば、ログイン手順の作成を簡単に実行可能にすることが可能となり、個別に認証システムを備える複数の業務システム間での連携を簡単に実現できるようにするという優れた効果を発揮する。 That is, according to the authentication procedure analysis apparatus and the authentication procedure analysis method according to the present invention described above, it is possible to easily execute the creation of a login procedure, and between a plurality of business systems each having an authentication system. Demonstrates the excellent effect of making it easy to achieve collaboration.
以下、添付の図面を参照しながら、本発明になる実施の形態について詳細に説明する。なお、以下にその詳細を説明する本発明の実施の形態になる認証解析装置は、インターネットもしくはイントラネット内に構築された、ユーザIDと秘密情報によって認証処理を行うシステムに対して、ログイン手順を簡単に行うための装置であり、例えば、プロクシ装置などに組み込まれ、そして、かかる本発明の装置によれば、通信データを要素分解し、差分的解析を行い、不要な通信の削除を行ってログイン手順の正規化を行い、解析した認証手順コードを出力する。なお、仲介サーバは、この認証手順コードを読み込んで、認証に必要なユーザ名、秘密情報、ホスト名等の認証情報を与えることでログイン処理として実行することが出来る。 Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. The authentication analysis apparatus according to the embodiment of the present invention, which will be described in detail below, can simplify the login procedure for a system constructed in the Internet or an intranet that performs an authentication process using a user ID and secret information. For example, the device of the present invention is incorporated into a proxy device, and according to the device of the present invention, the communication data is decomposed into elements, differential analysis is performed, unnecessary communication is deleted, and login is performed. Normalize the procedure and output the analyzed authentication procedure code. The intermediary server can execute the login process by reading this authentication procedure code and providing authentication information such as a user name, secret information, and host name necessary for authentication.
まず、本発明になる認証解析装置におけるログイン処理の解析のための原理について、添付の図2を参照しながら、以下に詳細に説明する。 First, the principle for analyzing the login process in the authentication analysis apparatus according to the present invention will be described in detail below with reference to FIG.
このログイン処理の解析のためには、連携するシステムに対し、特定の条件に従ってログイン作業を行い、もって、複数の通信データを取得する。なお、これらの通信データを取得するためには、この図2に示す閲覧ソフト1(例えば、一般に普及している閲覧ブラウザ)が、プロキシ装置2をプロキシサーバとして指定し、連携する業務システム3に対して特定の条件でログイン作業を行う。なお、このプロキシ装置2は、一般的なプロキシ装置において、通信データを取得するための通信データ取得部4と、通信データを出力するための通信データ出力部5を追加したものであり、具体的には、上記閲覧ソフト1からの通信要求や通信応答を中継すると同時に、当該通信要求の要求順に、その通信要求データと通信応答データとを1つの組として取得し、一連の処理を実行して、通信データ6として出力する。
In order to analyze the login process, a login operation is performed on the linked system in accordance with specific conditions, thereby acquiring a plurality of communication data. In order to obtain these communication data, the browsing software 1 shown in FIG. 2 (for example, a popular browsing browser) designates the
次に、添付の図1には、上記した認証解析装置7の構成、即ち、ログイン処理を解析するための手段について具体的に説明する。
Next, FIG. 1 attached specifically describes the configuration of the above-described
この認証解析装置7は、通信データ6を入力し、通信データ読み込み部8により、装置内に通信データを取り込む。その後、要素分解部9では、装置内に取り込んだ通信データ内の通信要求と通信応答を要素ごとに分解し、装置内のメモリに格納する(なお、要素分解した通信要求データや通信応答データのデータ構造は、後に、図3〜図6に示す)。
The
そして、差分的解析部10では、特定の条件で取得した複数のキャプチャを差分として比較することで、認証手順を解析する。このように、通信の要求及び通信の応答(即ち、通信要求データや通信応答データ)に対して解析作業を行うことで、ユーザID変数、秘密情報変数、セッション変数、2つの通信間でセッションとして使用する限定セッション変数、値の変わらない固定変数を判定する。更に、不要通信削除部11では、取得した通信データ内のログイン手順とは関係のない通信要求を削除し(正規化)、そして、手順出力部12において、解析した結果を出力して、図1の認証手順コード13を得る。なお、上述した認証解析装置7の各部は、当該装置を構成するサーバやプロクシ装置において、プログラムとして構成されている。
And the
次に、添付の図3には、上記で述べた通信要求データのデータ構造が示されている。図からも明らかなように、通信要求データは、基本的には、要求するコンテンツである要求URL(Uniform Resource Locator)14と、通信要求の制御部分である要求ヘッダー15と、そして、ポストデータである要求コンテンツ16とから構成されている。
Next, FIG. 3 attached here shows the data structure of the communication request data described above. As is apparent from the figure, the communication request data basically includes a request URL (Uniform Resource Locator) 14 that is a requested content, a
なお、上記要求URL14は、ホスト名23、ファイルパス24、パスパラメータ17、クエリー18を含み、また、上記要求ヘッダー15は、クッキー19と参照元URL22を含んでいる。更に、上記要求コンテンツ16は、ポストデータ20から成る。そして、図に示すように、上記パスパラメータ17、クエリー18、クッキー19、そして、ポストデータ20は、それぞれ、変数名と変数値との対21を含んでいる。
The
そこで、上記にその構成を説明した認証解析装置7における要素分解部9では、入力した通信要求データを、この図3に示したパスパラメータ17、クエリー18、クッキー19、そして、ポストデータ20の要素に分解し、最終的には、図に符号21で示す送信名と送信値(その変数名と変数値)を抽出して、1つの変数とする。なお、図3において符号22で示す参照元URLは、通信要求の要求元を示すURLが格納されているが、しかしながら、ここでは、その変数の取得は行わない。
Therefore, in the
更に、上記でそのデータ構造を説明した通信要求データについて、より具体的な要素分解処理の一例を、添付の図4を参照して説明する。なお、ここでは、通信要求データはHTML言語で構成された例を示している。即ち、図からも明らかなように、上記認証解析装置7では、通信データ読み込み部8により装置内に取り込んだ通信データを、上記要素分解部9において、その通信要求と通信応答を要素ごとに分解することにより、ログイン作業に必要なデータとして取得することが出来る。より具体的には、クエリー18の変数名及び変数値21である「Time」と「1500」が、クッキー19の変数名及び変数値21である「SessionID」と「SessionNo123」、そして、ポストデータ20の変数名及び変数値21である「LoginAction」と「Below」、「InUserId」と「TestUser」、そして「InPasswd」と「Password」が得られる。
Furthermore, an example of more specific element disassembly processing will be described with reference to the attached FIG. 4 for the communication request data whose data structure has been described above. Here, an example in which the communication request data is configured in the HTML language is shown. That is, as is apparent from the figure, in the
次に、添付の図5には、上記で述べた通信応答データのデータ構造が示されている。この図からも明らかなように、通信応答データは、基本的には、通信の制御を表す部分である応答ヘッダー25と、そして、画面文字列である応答コンテンツで26とから構成されている。
Next, FIG. 5 attached here shows the data structure of the communication response data described above. As is clear from this figure, the communication response data basically consists of a
そして、上記応答ヘッダー25内には、場所URLやクッキーなどの変数を含んでいる。即ち、図示のように、上記クッキー、そして、上記場所URLに含まれるパスパラメータやクエリーは、それぞれ、変数名と変数値の対32を含んでいる。即ち、この応答ヘッダー25内には、URLやクッキーなどの変数を含んでおり、そこで、上記認証解析装置7における要素分解部9では、上記図3に示した通信要求データと同じようにして、要素分解を行う。
The
一方、上記応答コンテンツ26は、上述したように画面文字列である。しかしながら、この画面文字列を分解することにより、以下に説明するように、その変数である、所謂、変数名と変数値との対32を求める。
On the other hand, the
即ち、この応答コンテンツ26には、その分解途中において、フォーム27が含まれており、これには、入力を纏める要素であり、開始と終了で挟まれる入力タグ30と、URL29が枝として登録されている。更に、このURL29は、図に示すように、パスパラメータとクエリーを含んでおり、これらは、上記入力タグ30と同様に、それぞれ、変数名と変数値との対32を含んでいる。また、図中の符号28は、上記応答コンテンツ26に含まれるタグであり、このタグ28は、URL31を含み、更に、このURL31内にはパスパラメータとクエリーを含んでおり、これらは、それぞれ、変数名と変数値との対32を含んでいる。
That is, the
更に、添付の図6には、上記でそのデータ構造を説明した通信応答データについて、より具体的な要素分解処理の一例を示しており、ここでも、通信応答データはHTML言語で構成された例を示している。即ち、図からも明らかなように、上記認証解析装置7では、通信データ読み込み部8により装置内に取り込んだ通信データを、上記要素分解部9において、その通信要求と通信応答を要素ごとに分解することにより、ログイン作業に必要なデータとして取得することが出来る。より具体的には、URL29の変数名及び変数値32である「Time」と「1500」が、フォーム27に含まれる変数名及び変数値32である「InUserId」と「なし」、「InPasswd」と「なし」、「LoginAction」と「Below」が得られる。
Further, FIG. 6 attached shows an example of more specific element decomposition processing for the communication response data whose data structure has been described above. Here, the communication response data is also an example in which the communication response data is configured in the HTML language. Is shown. That is, as is apparent from the figure, in the
ところで、認証手順で与える通信データの条件及び与える通信データの個数は、解析する認証手順によって異なる。ここでは、その具体的な一例として、ログイン処理を解析する場合の通信データの取得条件について説明する。なお、ここでは、予め、ユーザ名も秘密情報も異なるユーザを2つ用意し、以下の条件のA、B、C、Dのキャプチャを用意する。 By the way, the conditions of communication data given in the authentication procedure and the number of communication data given vary depending on the authentication procedure to be analyzed. Here, as a specific example, communication data acquisition conditions when a login process is analyzed will be described. Here, two users with different user names and secret information are prepared in advance, and A, B, C, and D captures with the following conditions are prepared.
まず、「キャプチャA」では、任意のユーザにおいて、通常の使用と同じようにログイン画面からログイン作業を行い、ログイン後の画面が表示されるまでの作業の通信データを取得する。 First, in “capture A”, an arbitrary user performs login work from the login screen in the same way as normal use, and acquires communication data of work until the screen after login is displayed.
次に、「キャプチャB」では、上記キャプチャAの取得時と同じユーザにおいて、同じようにログイン作業を行い、この間の作業中における通信データを取得する。 Next, in “capture B”, the same user as that at the time of acquisition of the capture A performs the log-in operation in the same manner, and acquires communication data during the operation during this time.
更に、「キャプチャC」では、上記キャプチャAの取得時にログインしたユーザとは異なるユーザにおいてログイン作業を行い、この間の作業中における通信データを取得する。 Further, in “capture C”, a login operation is performed by a user different from the user who logged in when the capture A was acquired, and communication data during the operation is acquired.
そして、「キャプチャD」では、上記キャプチャAのデータ取得時と同じユーザではあるが、しかしながら、事前に秘密情報の変更を行い、その変更作業が終了してから改めてログイン作業を行い、このログイン作業中の通信データを取得する。 In “Capture D”, the user is the same as that at the time of acquisition of the data of the capture A. However, the secret information is changed in advance, and the login operation is performed again after the change operation is completed. Get the communication data inside.
即ち、上記図1に示した認証解析装置7の差分的解析部10は、上述したように、特定の条件下で取得した複数のキャプチャを差分として比較することによって、認証手順を解析するプログラムである。即ち、複数の条件下で実行された通信の要求及び通信の応答に対して解析作業を行うことにより、ユーザID変数、秘密情報変数、セッション変数、2つの通信間でセッションとして使用する限定セッション変数、そして、値の変わらない固定変数を判定するものである。
That is, as described above, the
この差分的解析部10における差分比較の具体的な方法について、即ち、上記に説明した「キャプチャA」〜「キャプチャD」のキャプチャデータを使用した場合における解析処理フローチャートを、添付の図7に示す。
The specific method of the difference comparison in the
なお、この図7に示すフローチャートは、複数が存在する通信要求の順に、その通信要求内に存在する全ての変数名(A〜D)に対し、判定作業を行うものである。ここで、その差分判定において比較される対象は、異なる条件下で取得した通信データにおいて、同じ通信要求における同じ変数名の変数値であり、これらを比較することによって行われる。 In the flowchart shown in FIG. 7, a determination operation is performed on all variable names (A to D) existing in the communication request in the order of the communication requests having a plurality. Here, the object to be compared in the difference determination is the variable value of the same variable name in the same communication request in the communication data acquired under different conditions, and is performed by comparing these.
具体的には、処理が開始すると、通信データがAの通信要求ループであることを確認し(ステップS71)、更に、通信要求内変数ループであることを確認する(ステップS72)。その後、こればキャプチャBと同じであるか否かを判定する(ステップS73)。 Specifically, when the process is started, it is confirmed that the communication data is a communication request loop of A (step S71), and further, it is confirmed that the communication data is a communication request variable loop (step S72). Thereafter, it is determined whether or not this is the same as the capture B (step S73).
上記の判定ステップS73の結果、Bと同じ(YES)と判断された場合には、更に、Cと同じであるか否かを判定する(ステップS74)。その結果、Cと同じ(YES)と判断された場合には、固定値として登録し(ステップS75)、更に、通信要求内変数ループの確認(ステップS76)とAの通信要求ループの確認(ステップS77)を経て終了する。 If it is determined that the result is the same as B (YES) as a result of the determination step S73, it is further determined whether or not it is the same as C (step S74). As a result, if it is determined to be the same as C (YES), it is registered as a fixed value (step S75), and further confirmation of the communication request variable loop (step S76) and confirmation of the communication request loop of A (step S75) The process is ended through S77).
一方、上記の判定ステップS74の結果、Cと同じでない(NO)と判断された場合には、次に、Dと同じであるか否かを判定する(ステップS78)。その結果、Dと同じである(YES)と判断された場合には、更に、ユーザID変数として登録済みであるか否かを判定し(ステップS79)、その結果、登録済みである(YES)と判断された場合には、限定セッションとして登録を行い(ステップS80)、やはり、上記確認ステップS76とS77を経て終了する。なお、上記の判定ステップS79の結果、未だ登録されていない(NO)と判断された場合には、ユーザID変数登録を行い(ステップS81)、やはり、上記確認ステップS76とS77を経て終了する。また、上記の判定ステップステップS78の結果、Dと同じでない(NO)と判断された場合には、秘密情報変数登録を行い(ステップS82)、やはり、上記確認ステップS76とS77を経て終了する。 On the other hand, if it is determined that the result of the determination step S74 is not the same as C (NO), it is next determined whether or not it is the same as D (step S78). As a result, if it is determined that it is the same as D (YES), it is further determined whether or not it is already registered as a user ID variable (step S79), and as a result, it is already registered (YES). If it is determined, registration is performed as a limited session (step S80), and the process is ended through the confirmation steps S76 and S77. If it is determined as a result of the determination step S79 that it is not yet registered (NO), user ID variable registration is performed (step S81), and the process is also terminated through the confirmation steps S76 and S77. If it is determined that the result of the determination step S78 is not the same as D (NO), secret information variable registration is performed (step S82), and the process is also terminated through the confirmation steps S76 and S77.
そして、上記の判定ステップS73の結果、Bと同じでない(NO)と判断された場合には、更に、限定セッションとして登録済みであるか否かを判定し(ステップS83)、その結果、登録済みである(YES)と判定された場合には、セッション登録を行い(ステップS84)、他方、未だ登録していない(NO)と判断された場合には、限定セッションとして登録し、その後は、上記と同様に、上記確認ステップS76とS77を経て終了する。なお、上記の処理を、全ての変数名(A〜D)に対して繰り返す。 If it is determined that the result of the determination step S73 is not the same as B (NO), it is further determined whether or not the session is registered as a limited session (step S83). If it is determined (YES), session registration is performed (step S84). On the other hand, if it is determined that it has not yet been registered (NO), it is registered as a limited session. In the same manner as above, the process is completed through the confirmation steps S76 and S77. The above process is repeated for all variable names (A to D).
上記の処理が実行される具体的なデータの一例が、添付の図8の上方に示されている。なお、この図8に示す例は、上記認証解析装置7内のメモリ上に格納されたデータの構成の一例を示す。そして、上述した解析処理では、通信要求1〜3における全ての変数(変数名)に対して、それぞれのキャプチャA〜Dで得られた変数を基にして上記図7の判定を実行し、その結果、上記図8の下方に示されような判定結果を得ることとなる。即ち、各変数名「InUserID」、「InPasswd」、「time」、「loginaction」、「Sessid」を、それぞれ、「ユーザID変数」、「秘密情報変数」、「限定セッション」、「固定値」、「セッション」として登録することが可能となる。
An example of specific data on which the above processing is executed is shown in the upper part of the attached FIG. The example shown in FIG. 8 shows an example of the configuration of data stored on the memory in the
なお、上記の説明における限定セッションに関しては、上記図5において要素分解した通信応答の結果を基に、その送信名と送信値から木構造の座標を求め、これを参照箇所とする。これにより、ログイン手順を実行する時には、通信応答データの画面文字列から、限定セッションの変数値を取得することが出来る。なお、この差分的判定には、具体的な例として、4つの通信データ(キャプチャA〜キャプチャD)を使用した例について述べたが、その他、例えば、通信応答の画面文字列内の情報をより詳細に解析することで、使用する通信データ数を減らすことができる。 For the limited session in the above description, the coordinates of the tree structure are obtained from the transmission name and the transmission value based on the result of the communication response decomposed in FIG. 5, and this is used as a reference location. Thereby, when executing the login procedure, the variable value of the limited session can be acquired from the screen character string of the communication response data. In addition, although the example which used four communication data (capture A-capture D) was described as a specific example for this differential determination, other information, for example, the screen character string of a communication response is used. By analyzing in detail, the number of communication data to be used can be reduced.
具体的には、上記の例では、キャプチャDのデータを取得する理由としては、ユーザ名と秘密情報の区別を行うために使用しているが、しかしながら、認知学的な知識を用いることによれば、直前の通信応答データ内から、秘密データを判定することも可能である。例えば、上記図5における応答コンテンツ26において、秘密情報を示す情報を表す変数には、「Password」や「Secret」等の変数名が使用されることが多く、また、ユーザID変数には、「User」等の変数名が使用される。そこで、秘密情報が1つと限定できるのであれば、変数名だけで判定することができる。また、入力タグの属性から判定することも可能である。ここでいう秘密データとは、所謂、パスワードを含むが、これに限らない。
Specifically, in the above example, the reason for acquiring the data of the capture D is used to distinguish the user name from the secret information. However, by using cognitive knowledge, For example, it is possible to determine secret data from the immediately preceding communication response data. For example, in the
これにより、使用する通信データの個数を減らすことができる。なお、判定する条件は、決定されているものではなく、別の条件で取得した通信データを使用することも可能であり、上記における具体例で挙げた条件だけに限定されるものではない。 Thereby, the number of communication data to be used can be reduced. Note that the determination condition is not determined, and communication data acquired under another condition can be used, and is not limited to only the condition described in the specific example above.
次に、上記図1において符号11で示した不要通信削除(正規化)部11において、取得した通信データ内のログイン手順とは関係のない通信要求を削除する(正規化)プログラムについて説明する。 Next, a program for deleting (normalizing) a communication request unrelated to the login procedure in the acquired communication data in the unnecessary communication deleting (normalizing) unit 11 denoted by reference numeral 11 in FIG. 1 will be described.
認証手順の解析対象となるシステムは、認証、即ち、そのユーザを特定することを目的としているため、ユーザを特定するためのユーザIDや秘密情報の送信が、更には、セッションの取得を行うための通信が必ず存在する。また、システムによっては、認証を行う上で、限定セッションを行う通信が必要なシステムも存在する。逆に言えば、上記以外の通信では、ユーザを特定すべき情報を送受信していないため、この認証が行われなくても同一の応答が得られる通信である。それ故、これらユーザを特定すべき情報を送受信しない通信は、認証手順とは無関係な通信であると判定することが出来る。そこで、ユーザIDや秘密情報の送信、限定セッションの取得、セッションの取得を行う通信を、順序どおりに再生する一連の通信だけを残し、それ以外の通信を削除することによれば、ログイン手順再生時の通信を減らすことが可能となる。 Since the system to be analyzed in the authentication procedure is intended for authentication, that is, to identify the user, the transmission of the user ID and secret information for identifying the user and further the acquisition of the session There is always communication. In addition, depending on the system, there is a system that requires communication for performing a limited session for authentication. In other words, in communications other than the above, information that should identify the user is not transmitted / received, and therefore the same response can be obtained even if this authentication is not performed. Therefore, it is possible to determine that the communication that does not transmit / receive information that should identify the user is communication that is unrelated to the authentication procedure. Therefore, the login procedure is replayed by leaving only a series of communications that are played in order, and transmitting the user ID and secret information, obtaining a limited session, and obtaining a session, and deleting other communications. It becomes possible to reduce communication at the time.
例えば、上記図3で示した、送信元となった通信のURLが記載されている送信元URL22を利用することにより、通信要求を木構造に並べることにより、不要な通信を削除することが出来る。つまり、ユーザID送信変数、秘密情報送信変数、セッションの取得している通信要求を行っている通信要求部分を木の幹の部分として残し、それ以外の枝の部分にあたる通信要求は、認証手順とは関係ない通信として、これらを一括して削除する。
For example, unnecessary communication can be deleted by arranging communication requests in a tree structure by using the
より具体的な例を、添付の図9を参照して説明する。まず、この図の通信要求では、通信要求2(33)において、ユーザID及び秘密情報を送信しており、また、その後の通信応答である通信要求3(34)では、限定セッションの取得を、更に、通信要求4(35)では、セッションの取得を行っている。そこで、図における破線36により示すように、通信要求1、通信要求2、通信要求3、通信要求4が、ログイン手順の通信要求であり、木の幹の部分として、即ち、認証に必要な通信要求として残す。これに対し、それ以外の通信要求、例えば、図の破線37で示される通信要求5、通信要求6、通信要求7は、上記した木構造の枝に属する通信部分、即ち、不要な通信部分として、ログイン手順から削除する。なお、ここで、通信要求が幹となるための条件としては、例えば、上記したようい、ユーザID、秘密情報の送信、セッションの取得、限定セッションの取得の何れか1つを含むことであり、そのため、場合によっては、この幹が複数存在する場合もある。
A more specific example will be described with reference to FIG. First, in the communication request of this figure, the user ID and the secret information are transmitted in the communication request 2 (33), and in the communication request 3 (34) as the subsequent communication response, the acquisition of the limited session is performed. Furthermore, in communication request 4 (35), a session is acquired. Therefore, as shown by the
以上のように、上記図1に示した認証解析装置7、より具体的には、上記にその動作の詳細を説明した、要素分解部9、差分的解析部10、そして、不要通信削除部(規格化)11において解析された結果は、上記図1の手順出力部12において出力され、もって、認証手順コード13が得られることは、上述した通りである。なお、この出力される認証手順コード13の一例が、添付の図10に示される。
As described above, the
また、上記の認証解析装置7から得られた認証手順コード13を、予め、仲介するサーバに入力した一例を、添付の図12に示す。このように、予め、仲介するサーバにログインしたユーザ名と連携するシステム名から、認証情報を参照出来るようにしておけば、その仲介するサーバにアクセスしたユーザが連携するシステムの画面を表示させたい時、その参照先から認証情報を自動的に取得してログイン処理を自動実行することにより、ユーザは、再度のログイン作業なしに、任意の連携するシステム上のページにアクセスすることが可能となる。なお、具体的な認証情報参照先としては、一般的なデータベース装置(ユーザID参照用データベース42)を用いる。この図に示す例では、参照先にはデータベースを使用すると仮定して、1つのテーブル43に、仲介サーバにログインしたユーザ名、連携システム側ユーザ名、連携するシステム側秘密情報、ログインする連携システムのホスト名を各フィールドに格納しておく。
An example in which the
また、上記の説明では、ログイン処理の自動実行に関して述べているが、本発明は、他の認証処理に応用可能である。たとえば、パスワードの変更に関しては、通信データを取得するときの取得条件を変更して、解析する項目を増やせばログイン処理と同じように、正規化した認証手順コードを得ることができる。また、認証手順コードを、仲介するサーバの実行装置に与えることによれば、ユーザは、秘密情報の変更を行うために連携するシステムにアクセスすることなく、パスワードの変更が可能になり、仲介サーバ上でのパスワードの一括変更が行えるようになる。 In the above description, the automatic execution of the login process is described. However, the present invention can be applied to other authentication processes. For example, regarding the change of the password, if the acquisition conditions for acquiring the communication data are changed and the number of items to be analyzed is increased, the normalized authentication procedure code can be obtained in the same manner as the login process. Further, by giving the authentication procedure code to the execution device of the mediating server, the user can change the password without accessing the system that cooperates to change the secret information, and the mediation server The password can be changed at once.
さらに、その使用用途に関しても、上述した仲介するサーバ上に限定されることはなく、例えば、システム同士の単純な、1対1の相互呼び出しにも使用できる。このように、本発明では、システム連携を簡単に行えるようにすることを利点としている。 Further, the usage is not limited to the above-described intermediary server. For example, it can be used for simple one-to-one mutual calls between systems. As described above, the present invention has an advantage that the system cooperation can be easily performed.
また、正規化された認証手順を実行するためには、実行する時のデータ参照先を設定する必要がある。この参照先の設定は、例えば、構築する者が画面上で設定できるようにして、簡単に設定できるようにする。例えば、この設定画面の具体的な一例を、添付の図11に示す。 Further, in order to execute the normalized authentication procedure, it is necessary to set a data reference destination at the time of execution. The setting of the reference destination can be easily set, for example, by allowing the person who constructs it to set it on the screen. For example, a specific example of this setting screen is shown in FIG.
すなわち、この図11に示す参照先設定画面は、仲介するサーバが、上記図10に示した認証手順コードを読み込んだ(図12の認証手順読み込み44)結果を表示している。例えば、この参照先設定画面上では、図に符号40で示す部分には、連携するシステムのホスト名、そのフィールド名を指定する。また、符号38で示す部分には、ユーザID変数のフィールド名を、更に、符号39で示す部分には、秘密情報のフィールド名を指定する。なお、この時、上記図12に示した認証情報の参照先テーブル43のフィールド名により指定する。
That is, the reference destination setting screen shown in FIG. 11 displays the result of the authentication server code shown in FIG. 10 read by the intermediary server (authentication procedure read 44 in FIG. 12). For example, on the reference destination setting screen, the host name of the system to be linked and its field name are designated in the part indicated by
また、正規化されたログイン手順は、仲介するサーバ上において、その認証手順再生機能によって実行される(図12の符号41を参照)。まず、ユーザは、仲介サーバに対して連携システムへのアクセスを要求する。仲介サーバは、その認証手順再生機能41によって、要求したユーザIDと要求したシステム名に基づいて、データベース42に問い合わせを行い、連携システムにおけるユーザIDを求めて、その認証情報を取得する。次に、要求のあった連携システムの認証手順コードを読み取り(図12の符号44を参照)で、上記認証手順再生機能41で実行する。なお、この認証手順再生機能41を実行すると、自動的にログイン手順が再生されて、セッションを取得できる。そして、この得られたセッション情報をユーザの閲覧ソフトに引き継ぐことで、ユーザはログイン後状態になり、連携するシステムの任意の画面を呼び出すことが出来る。
Further, the normalized login procedure is executed by the authentication procedure reproduction function on the intermediary server (see
なお、以上には、本発明になる認証手順解析装置における構成及び動作について詳細に説明したが、以下には、上記本発明の認証手順解析装置及びその解析方法について要約して述べる。即ち、本発明では、認証手順解析装置を認証手順の解析を行う手段として用意し、予め決められた条件下において、ユーザに対して複数回のログイン作業を行わせ、それらの通信データを取得する。そして、この取得した通信データを読み込んで、解析する。即ち、ユーザを識別するユーザID、認証に必要な秘密の情報、ログインする連携するシステムのホスト名等を入手する。また、ログイン手順を正規化する。なお、このログイン手順の正規化とは、無駄な通信を省き、任意のユーザがログインでき、同じ認証手順を持つシステムならば、任意のホストに対してログイン処理を実行できるように、ログイン作業を手順化することである。そして、この正規化されたログイン手順に加え、ユーザを識別するユーザID及び認証に必要な秘密情報、ログインする連携するシステムのホスト名等を与えることでログイン手順として実行できるようになる。なお、ここで言う秘密のデータ(秘密情報)とは、所謂、パスワードを含むが、しかしながら、これだけに限られるものではない。また、これら認証情報の参照先としては、一般的なデータベース装置が挙げられる。 Although the configuration and operation of the authentication procedure analysis apparatus according to the present invention have been described in detail above, the authentication procedure analysis apparatus and analysis method of the present invention will be summarized below. That is, in the present invention, the authentication procedure analysis device is prepared as a means for analyzing the authentication procedure, and the user is made to perform a plurality of log-in operations under predetermined conditions to acquire their communication data. . Then, the acquired communication data is read and analyzed. That is, a user ID for identifying a user, secret information necessary for authentication, a host name of a linked system to log in, and the like are obtained. Also normalize the login procedure. Note that the normalization of this login procedure means that login operations are performed so that any user can log in and login processing can be executed for any host if the system has the same authentication procedure, eliminating unnecessary communication. It is to make a procedure. Then, in addition to this normalized login procedure, a user ID for identifying a user, secret information necessary for authentication, a host name of a linked system to log in, and the like can be provided as a login procedure. Note that the secret data (secret information) referred to here includes a so-called password, but is not limited thereto. Further, as a reference destination of the authentication information, a general database device can be cited.
そして、上記のようにして得たログイン手順を、例えば、仲介するサーバに組み込むことによれば、ユーザが、連携するシステム上の情報を取得する操作を行った時に、ログイン処理を自動的に実行させることで、ログイン作業を代行し、即ち、連携するシステムからセッションに関する情報を取得する。その結果、連携するシステムからセッションを取得できれば、ユーザは、任意の画面を呼び出すことや、仲介するサーバが、ユーザの代わりに情報の収集を行って仲介するサーバ上で、ユーザに情報を提示することが出来ることとなる。これにより、高度な知識を有しなくても、ユーザは、簡単に、業務システムの連携を行えるようになる。 Then, by incorporating the login procedure obtained as described above into, for example, an intermediary server, the login process is automatically executed when the user performs an operation for acquiring information on the linked system. By doing so, the login work is performed, that is, information on the session is acquired from the cooperating system. As a result, if the session can be acquired from the linked system, the user calls an arbitrary screen, or the mediating server collects information on behalf of the user and presents the information to the user on the mediating server It will be possible. As a result, even if the user does not have advanced knowledge, the user can easily link the business systems.
6 通信データ
7 認証手順解析装置
8 通信データ読み込み部
9 要素分解部
10 差分的解析部
11 不要通信削除部
12 手順出力部
13 認証手順コード。
6
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004291105A JP2006107007A (en) | 2004-10-04 | 2004-10-04 | Authentication procedure analyzing device and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004291105A JP2006107007A (en) | 2004-10-04 | 2004-10-04 | Authentication procedure analyzing device and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006107007A true JP2006107007A (en) | 2006-04-20 |
Family
ID=36376694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004291105A Pending JP2006107007A (en) | 2004-10-04 | 2004-10-04 | Authentication procedure analyzing device and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006107007A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010092260A (en) * | 2008-10-08 | 2010-04-22 | Fujitsu Microelectronics Ltd | Thinking quality improvement system |
JP2011197874A (en) * | 2010-03-18 | 2011-10-06 | Fujitsu Ltd | Server apparatus and program |
JP2015056056A (en) * | 2013-09-12 | 2015-03-23 | 富士通株式会社 | Relay program, relay method and relay server |
-
2004
- 2004-10-04 JP JP2004291105A patent/JP2006107007A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010092260A (en) * | 2008-10-08 | 2010-04-22 | Fujitsu Microelectronics Ltd | Thinking quality improvement system |
JP2011197874A (en) * | 2010-03-18 | 2011-10-06 | Fujitsu Ltd | Server apparatus and program |
US8863263B2 (en) | 2010-03-18 | 2014-10-14 | Fujitsu Limited | Server apparatus and program for single sign-on |
JP2015056056A (en) * | 2013-09-12 | 2015-03-23 | 富士通株式会社 | Relay program, relay method and relay server |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hong et al. | WebQuilt: A proxy-based approach to remote web usability testing | |
US20060117055A1 (en) | Client-based web server application verification and testing system | |
US20100058118A1 (en) | Storage medium recording information reacquisition procedure generation program and information reacquisition procedure generation apparatus | |
JP4940791B2 (en) | Test support program, test support apparatus, and test support method | |
JP5321586B2 (en) | Application extension system, extension method, extension program | |
US8732252B2 (en) | Cooperating system, chat server, program, and cooperating method | |
GB2555157A (en) | Selective sharing for collaborative application usage | |
JP2005157965A (en) | Apparatus and method for creating document link structure information | |
JP2017005756A (en) | Hover to call | |
JP2006331044A (en) | Single sign-on achievement method | |
CN108268635B (en) | Method and apparatus for acquiring data | |
JP2016536683A (en) | Run and display events in a web browser | |
JP2008293152A (en) | Method and apparatus for coordinating web system | |
JP5112401B2 (en) | Web action history acquisition system, Web action history acquisition method, gateway device, and program | |
US20080189618A1 (en) | Smart browsing providers | |
Parvatikar et al. | Analysis of user behavior through web usage mining | |
CN103970882A (en) | Method and device for rendering page | |
JPH09325906A (en) | Computer system | |
JP2016071398A (en) | Test execution device, test execution method, and computer program | |
JP2006107007A (en) | Authentication procedure analyzing device and method | |
JP2007079988A (en) | Www browser, html page sharing system and html page sharing method | |
JP2005250826A (en) | Information provision system, information provision method and information provision processing program | |
US20100287292A1 (en) | Method, apparatus and computer program product for generating a content website in a data communications network | |
JP4488700B2 (en) | PROGRAM GENERATION DEVICE, PROGRAM GENERATION METHOD, AND PROGRAM | |
JP5414633B2 (en) | Application execution apparatus and application execution method |