JP2006221506A - Authority transfer method in user password authentication system - Google Patents

Authority transfer method in user password authentication system Download PDF

Info

Publication number
JP2006221506A
JP2006221506A JP2005035667A JP2005035667A JP2006221506A JP 2006221506 A JP2006221506 A JP 2006221506A JP 2005035667 A JP2005035667 A JP 2005035667A JP 2005035667 A JP2005035667 A JP 2005035667A JP 2006221506 A JP2006221506 A JP 2006221506A
Authority
JP
Japan
Prior art keywords
authority
authentication
delegator
client
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005035667A
Other languages
Japanese (ja)
Inventor
Takashi Nishide
隆志 西出
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2005035667A priority Critical patent/JP2006221506A/en
Publication of JP2006221506A publication Critical patent/JP2006221506A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To enable a user to easily and safely transfer a part of his or her authority to other users. <P>SOLUTION: This method comprises a step for a client being an authority transferring person to create an authentication ticket describing the range of authority and effectiveness of the authority to be transferred from the authority transferring person to an authority transferred person and to transfer the ticket to the authority transferred person, a step for the client being the authority transferred person to send the authentication ticket transferred from the authority transferring person to an authentication server and to receive authentication whether being an authentication transferred person regularly transferred with authority from the authority transferring person, a step for the authentication server to send a list describing the range of authority and effective date of the authority transferred by the authority transferring person to the client being the authority transferred person, and a step for the client being the authority transferred person to permit a substitutive operation of the authority transferred person in place of the authority transferring person within the limits of range of authority and effective date of the authority described in the list. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ユーザをパスワードで認証するサーバ・クライアント構成のユーザパスワード認証システムにおいて、あるユーザが自分の権限の一部を他のユーザに一時的に委譲する権限委譲方法に関する。   The present invention relates to an authority delegation method in which a user temporarily delegates part of his / her authority to another user in a server / client user password authentication system for authenticating a user with a password.

従来、ユーザ認証への付加技術として、例えば、下記特許文献1のものが知られている。
下記特許文献1に記載のものは、ユーザが複数のサーバにアクセスする環境において各アクセス毎に認証を受けるのではなく、認証状態を管理するシングルサインオン(SSO)サーバを設けることでユーザの認証操作を減らすようにしたものである。
この方式では、SSOサーバ以外に認証チケットというものも用いており、ユーザが同じサーバに連続でアクセスする場合、最初のアクセスでサーバより取得した認証チケットを2回目以降のアクセスの際にサーバに提示することで認証の簡略化を行う。
特開2003−299277号公報 Conventionally, as a technique added to user authentication, for example, the technique disclosed in Patent Document 1 below is known.
The thing of the following patent document 1 does not receive authentication for every access in the environment where a user accesses a plurality of servers, but authenticates the user by providing a single sign-on (SSO) server that manages the authentication status. The operation is reduced.
In this method, in addition to the SSO server, an authentication ticket is also used. When the user accesses the same server continuously, the authentication ticket acquired from the server at the first access is presented to the server at the second and subsequent accesses. This simplifies authentication.
JP 2003-299277 A

しかしながら、上記特許文献1に記載の技術は、認証回数を減らしユーザの利便性を増やすものの、認証チケットの使用はシングルサインオンに限られており、許可された他のユーザが認証チケットを譲り受けて使用することは考慮されていなかった。
また、認証チケットの偽造を防ぐための方法については何ら考慮されていない。 However, although the technique described in Patent Document 1 reduces the number of times of authentication and increases the convenience of the user, the use of the authentication ticket is limited to single sign-on, and other authorized users can transfer the authentication ticket. The use was not considered.
In addition, no consideration is given to a method for preventing forgery of the authentication ticket.

本発明の目的は、あるユーザが簡単にかつ安全に他のユーザに自分の権限の一部を委譲することができるユーザパスワード認証システムにおける権限委譲方法を提供することにある。   An object of the present invention is to provide an authority delegation method in a user password authentication system that allows a user to delegate a part of his authority to another user easily and safely.

上記目的を達成するために、本発明では、ユーザ認証を各ユーザパスワードによって実施するユーザパスワード認証システムにおける権限委譲方法であって、
権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、
権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、
前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、
権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備えることを特徴とする。
また、権限被委譲者のクライアントが、権限被委譲者のログイン後、認証チケットに記述された有効期限が切れた時点で権限委譲者から委譲された権限の範囲を記述した前記リストを自動消去するステップを備えることを特徴とする。
また、権限被委譲者のクライアントが、権限被委譲者が代理操作した内容を記憶装置内に操作ログとして記録するステップを備えることを特徴とする。
また、権限委譲者のクライアントが生成する前記認証チケットにおける権限委譲先および権限の範囲は、認証サーバのシステム管理者によって設定された範囲内のものであることを特徴とする。
なお、権限委譲者および権限被委譲者とは、1人のユーザまたは2人以上のユーザからなるグループ名を指す。 In order to achieve the above object, the present invention provides an authority delegation method in a user password authentication system in which user authentication is performed by each user password,
A step in which the client of the authority delegator generates an authentication ticket describing the scope of the authority to be delegated from the authority delegator to the authority delegator and the effective authority, and transfers it to the authority delegator;
A client of an authority delegator sends the authentication ticket transferred from the authority delegator to the authentication server, and receives an authentication as to whether the authority delegator has received the authority delegation from the authority delegator.
A step in which the authentication server sends a list describing the scope and validity period of the authority delegated by the authority delegator to the client of the authority delegator;
The authority delegator's client is provided with a step of permitting a proxy operation of the authority delegator on behalf of the authority delegator within the scope of the authority described in the list and the validity period.
In addition, the authority delegator's client automatically erases the list describing the scope of authority delegated from the authority delegator when the expiration date described in the authentication ticket expires after the authority delegator login. It is characterized by comprising a step.
In addition, it is characterized in that the authority delegator's client includes a step of recording, as an operation log, in the storage device, the contents of the authority delegator's proxy operation.
Further, the authority delegation destination and the authority range in the authentication ticket generated by the client of the authority delegator are within the range set by the system administrator of the authentication server.
The authority delegator and the authority delegee indicate a group name composed of one user or two or more users.

本発明によれば、権限委譲者は権限被委譲者にパスワードを教えたり、システム管理者に権限被委譲者のための一時的なアカウントの作成を依頼することなく、認証チケットTを作成し、権限被委譲者に譲渡するだけで簡単に権限を委譲することができる。
これによって、例えば課長不在時に課長代理に相当する者が認証チケットを用いて一時的に作業を代行することが可能となる。
また、クライアントプログラムが認証チケットTに記述された有効期限を認識することで委譲された権限が濫用されることを防ぐことができる。
また、認証チケットTは権限委譲者のパスワードを知っている者しか作成できないため偽造不可能であり、ハッシュ値を用いることから権限委譲者のパスワードが権限被委譲者に漏れないため、安全な権限委譲を実現できる。
また、認証チケットTに委譲する権限について指定することで権限の一部のみの委譲が可能であり、柔軟な権限委譲が可能となる。
更に、委譲された権限で行われた作業についてはクライアントプログラムがログを記録することで、代理ログインの中で不正が行われた場合に後からその操作を追跡することができる。
更に、システム管理者が認証サーバにおいて許可する権限委譲者と権限被委譲者の関係を定義し、それを認証DBに格納することによってシステム管理者の意図しない権限委譲による不正な行為が起きることを禁止することができる。 According to the present invention, the authority delegator creates the authentication ticket T without giving a password to the authority delegator or asking the system administrator to create a temporary account for the authority delegator, Authority can be delegated simply by transferring it to the authority delegate.
As a result, for example, a person corresponding to the section manager can temporarily perform the work using the authentication ticket when the section manager is absent.
Further, it is possible to prevent the delegated authority from being abused by recognizing the expiration date described in the authentication ticket T by the client program.
The authentication ticket T cannot be forged because only a person who knows the authority delegator's password can be created. Since the hash value is used, the authority delegator's password is not leaked to the authority delegator. Delegation can be realized.
Further, by designating the authority to be delegated to the authentication ticket T, it is possible to delegate only a part of the authority, and flexible authority delegation is possible.
Furthermore, the operations performed with the delegated authority are recorded by the client program, so that if an illegal operation is performed during the proxy login, the operation can be traced later.
Furthermore, by defining the relationship between the authority delegator and authority delegator permitted by the system administrator in the authentication server and storing it in the authentication DB, it is possible that an unauthorized action caused by unintended authority delegation by the system administrator will occur. Can be banned.

以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明に係る権限委譲方法を実施するサーバ・クライアントシステムの実施の形態を示すシステム構成図であり、認証サーバ1はサーバプログラム11を有し、クライアント2のユーザの認証情報と権限委譲に関する定義情報からなる認証DB3を利用してユーザ認証を行う。
また、クライアント2のクライアントプログラム21は、ユーザが認証サーバ1との認証処理に成功すると、認証サーバ1より取得したケイパビリティリスト(CL)4に記載された項目についてのみユーザの操作を許可し、その他のユーザの操作を制限する。 Hereinafter, an embodiment for carrying out the present invention will be specifically described with reference to the drawings.
FIG. 1 is a system configuration diagram showing an embodiment of a server / client system for carrying out the authority delegation method according to the present invention. The authentication server 1 has a server program 11 and authentication information and authority of a user of the client 2. User authentication is performed using the authentication DB 3 including definition information related to delegation.
Further, when the user succeeds in the authentication process with the authentication server 1, the client program 21 of the client 2 permits the user's operation only for the items described in the capability list (CL) 4 acquired from the authentication server 1. Restrict user operations.

図2は、認証サーバ1の認証DB3に格納される内容の一例を示す図であり、認証DB3にはユーザ名とパスワードの対からなるデータ以外に、各ユーザが保持している権限と、それを誰あるいはどのグループに対して委譲可能であるかを示すシステム管理者によって許可された権限委譲関係が記録されている。
例えば、図2の例では、ユーザAはユーザBに対して、権限RightA1,RightA2を委譲することができる。
また、ユーザBはグループAnyoneに対して権限RightB2を委譲することができる。
各ユーザはシステム管理者の定義したこの範囲内で自身が有する権限を他のユーザへ委譲することができる。 FIG. 2 is a diagram showing an example of the contents stored in the authentication DB 3 of the authentication server 1. The authentication DB 3 includes the authority held by each user in addition to the data consisting of a pair of user name and password, The authority delegation relationship permitted by the system administrator indicating who or to which group can be delegated is recorded.
For example, in the example of FIG. 2, the user A can delegate the rights RightA1 and RightA2 to the user B.
Further, the user B can delegate the authority RightB2 to the group Anyone.
Each user can delegate his own authority to other users within this range defined by the system administrator.

図3は、本発明で使用する認証チケットTのフォーマット概略図である。
権限委譲者は、本認証チケットTを生成し、権限被委譲者に譲渡する。
図3に示す認証チケットTは、権限委譲者であるユーザAから権限被委譲者であるユーザBへの権限委譲であることを示す項目「A→B」、有効期限を示す項目「Expiration」、AがBへ委譲しようとしているAの権限を示す項目「Rights_A」、ランダム値である「Random」、その他の認証チケットに関する情報(認証チケットの使用可能端末や権限委譲者が生成した認証チケットを廃棄するために指定するシリアル番号など)「Other」、これらの項目に対するユーザAのパスワードを用いてハッシュ関数で生成されるMAC(Message Authentication Code)からなる。
ハッシュ値MACは、ユーザAのパスワードを「PWD_A」で表した場合、次の論理式によって算出する。
MAC=Hash(A→B+Expiration+Rights_A+Random+Other+ PWD_A) FIG. 3 is a schematic diagram of the format of the authentication ticket T used in the present invention.
The authority transferee generates this authentication ticket T and transfers it to the authority transferee.
The authentication ticket T shown in FIG. 3 includes an item “A → B” indicating that authority is transferred from the user A who is the authority delegator to the user B who is the authority delegator, an item “Expiration” indicating the expiration date, The item “Rights_A” indicating the authority of A that A intends to transfer to B, “Random” that is a random value, and other information related to the authentication ticket (the authentication ticket can be used or the authentication ticket generated by the authority delegator is discarded. “Other”, a MAC (Message Authentication Code) generated by a hash function using the user A password for these items.
The hash value MAC is calculated by the following logical expression when the password of the user A is represented by “PWD_A”.
MAC = Hash (A → B + Expiration + Rights_A + Random + Other + PWD_A)

クライアント2は、認証チケットTを生成する認証チケット生成プログラム22を有し、権限委譲者は認証チケットTに必要な上記の各項目と自らのパスワードを入力することで認証サーバ1と通信することなく認証チケットTを生成することができる。   The client 2 has an authentication ticket generation program 22 for generating an authentication ticket T, and the authority delegator does not communicate with the authentication server 1 by inputting each item necessary for the authentication ticket T and its own password. An authentication ticket T can be generated.

図4は、権限を委譲されたユーザが認証サーバより認証を受ける際の処理概要を示す図である。
ユーザのパスワード認証は、安全性を確保するためにCHAP(Challenge Handshake Authentication Protocol)を仮定するので、認証サーバ2は各ユーザのパスワードを管理する認証DB3を保持しており、認証チケットTの正当性を権限委譲者のパスワードから確認する。
権限委譲者であるユーザAがユーザBに対して権限の一部を一時的に委譲する場合、まず事前に図3のフォーマットの認証チケットTを認証チケット生成プログラム22によって作成し、ユーザBに譲渡しておく。ここで、譲渡とは、認証チケットTを電子メール等でユーザBに転送しておくことである。 FIG. 4 is a diagram showing an outline of processing when a user whose authority has been delegated receives authentication from the authentication server.
Since user password authentication assumes CHAP (Challenge Handshake Authentication Protocol) in order to ensure safety, the authentication server 2 holds an authentication DB 3 for managing the password of each user, and the validity of the authentication ticket T From the password of the delegator.
When the user A who is the authority delegator temporarily delegates part of the authority to the user B, the authentication ticket generation program 22 first creates the authentication ticket T in the format of FIG. Keep it. Here, the transfer is to transfer the authentication ticket T to the user B by e-mail or the like.

図5は、ユーザBがユーザAの認証チケットを受取った後に代理認証を受ける手順を示すフローチャートである。
図5において、まず、認証チケットTを受取ったユーザBは認証サーバ2に対して、ユーザB自身のパスワードによるCHAP認証を行う(ステップ501)。認証が成功したならば次のステップ504に進むが、認証失敗の場合には処理を終了する(ステップ502,503)。
ステップ504では、認証サーバ1はユーザBが提示した認証チケットTの有効期限をチェックし、有効期限が切れていた場合には、処理を終了する(ステップ504,505)。
有効期限内であれば次のステップ506でその認証チケットTがユーザBに対して生成されたものかチェックする。
認証チケットTがユーザBに対して生成されたものでなければ、処理を終了する(ステップ507,508)。
認証チケットTがユーザBに対して生成されたものであれば、ステップ509で認証サーバ1はシステム管理者によって許可された権限委譲関係をチェックし、ユーザAからユーザBへの当該権限の委譲が許可されていれば、次のステップ512で認証チケットTのハッシュ値MACの正当性確認をユーザAのパスワードを用いて行う。
全ての処理に成功すれば、認証サーバ1はユーザBに対し、認証チケットTに記載されたユーザAより委譲された権限に相当するケイパビリティリスト4を作成し、ユーザBのクライアントに送信する(ステップ513,515)。
ユーザBのクライアントプログラム21は、ユーザAが許可した権限の範囲内でのみユーザAに代わるユーザ操作を許可し、かつ許可した操作を記憶装置内にログとして記録する。
また、ユーザBのクライアントプログラム21は、認証チケットTに記述された有効期限を常時監視しており、有効期限を逸脱していた場合には、ケイパビリティリスト4を自動消去し、ユーザAの代理操作を禁止する。 FIG. 5 is a flowchart showing a procedure for receiving proxy authentication after user B receives user A's authentication ticket.
In FIG. 5, first, the user B who has received the authentication ticket T performs CHAP authentication with the password of the user B itself to the authentication server 2 (step 501). If the authentication is successful, the process proceeds to the next step 504. If the authentication is unsuccessful, the process is terminated (steps 502 and 503).
In step 504, the authentication server 1 checks the expiration date of the authentication ticket T presented by the user B. If the expiration date has expired, the processing ends (steps 504 and 505).
If it is within the expiration date, it is checked in step 506 whether the authentication ticket T has been generated for the user B.
If the authentication ticket T is not generated for the user B, the process is terminated (steps 507 and 508).
If the authentication ticket T is generated for the user B, the authentication server 1 checks the authority delegation relationship permitted by the system administrator in step 509, and the delegation of the authority from the user A to the user B is confirmed. If permitted, the validity of the hash value MAC of the authentication ticket T is confirmed using the password of the user A in the next step 512.
If all the processes are successful, the authentication server 1 creates a capability list 4 corresponding to the authority delegated by the user A described in the authentication ticket T to the user B and transmits it to the client of the user B (step) 513,515).
The user B's client program 21 permits a user operation on behalf of the user A only within the range of authority permitted by the user A, and records the permitted operation as a log in the storage device.
Further, the client program 21 of the user B constantly monitors the expiration date described in the authentication ticket T. If the expiration date has been exceeded, the capability list 4 is automatically deleted and the proxy operation of the user A is performed. Is prohibited.

以上のことから、本実施の形態においては、次のような効果が得られる。
権限委譲者は権限被委譲者にパスワードを教えたり、システム管理者に権限被委譲者のための一時的なアカウントの作成を依頼することなく、認証チケットTを作成し、権限被委譲者に譲渡するだけで簡単に権限を委譲することができる。
これによって、例えば課長不在時に課長代理に相当する者が認証チケットを用いて一時的に作業を代行することが可能となる。
また、クライアントプログラムが認証チケットTに記述された有効期限を認識することで委譲された権限が濫用されることを防ぐことができる。
また、認証チケットTは権限委譲者のパスワードを知っている者しか作成できないため偽造不可能であり、ハッシュ値を用いることから権限委譲者のパスワードが権限被委譲者に漏れないため、安全な権限委譲を実現できる。
また、認証チケットTに委譲する権限について指定することで権限の一部のみの委譲が可能であり、柔軟な権限委譲が可能となる。
更に、認証チケットTに権限被委譲者の名前を記述することで認証チケットTの第3者の盗用による不正行為を防ぎ、認証チケットTの又貸しを防ぐことで確実な権限委譲を実現できる。
更に、委譲された権限で行われた作業についてはクライアントプログラムがログを記録することで、代理ログインの中で不正が行われた場合に後からその操作を追跡することができる。
更に、システム管理者が認証サーバにおいて許可する権限委譲者と権限被委譲者の関係を定義し、それを認証DBに格納することによってシステム管理者の意図しない権限委譲による不正な行為が起きることを禁止することができる。 From the above, the following effects are obtained in the present embodiment.
The authority delegator creates the authentication ticket T and transfers it to the authority delegator without giving the authority the password to the delegator or requesting the system administrator to create a temporary account for the authority delegator. You can easily delegate authority.
As a result, for example, a person corresponding to the section manager can temporarily perform the work using the authentication ticket when the section manager is absent.
Further, it is possible to prevent the delegated authority from being abused by recognizing the expiration date described in the authentication ticket T by the client program.
The authentication ticket T cannot be forged because only a person who knows the authority delegator's password can be created. Since the hash value is used, the authority delegator's password is not leaked to the authority delegator. Delegation can be realized.
Further, by designating the authority to be delegated to the authentication ticket T, it is possible to delegate only a part of the authority, and flexible authority delegation is possible.
Furthermore, by writing the name of the authority delegator in the authentication ticket T, it is possible to prevent fraudulent acts due to the theft of a third party of the authentication ticket T, and it is possible to realize reliable authority transfer by preventing the authentication ticket T from being lent.
Furthermore, the operations performed with the delegated authority are recorded by the client program, so that if an illegal operation is performed during the proxy login, the operation can be traced later.
Furthermore, by defining the relationship between the authority delegator and authority delegator permitted by the system administrator in the authentication server and storing it in the authentication DB, it is possible that an unauthorized action caused by unintended authority delegation by the system administrator will occur. Can be banned.

本発明における認証サーバとクライアントを含むシステム全体構成図である。1 is an overall system configuration diagram including an authentication server and a client according to the present invention. 本発明で用いる認証DBに格納されるデータの例を示す図である。It is a figure which shows the example of the data stored in authentication DB used by this invention. 本発明で用いる認証チケットのフォーマット構成図である。It is a format block diagram of the authentication ticket used by this invention. 権限を委譲されたユーザが認証サーバより認証を受ける際の処理の概要図である。It is a schematic diagram of a process when the user to whom authority was delegated receives authentication from an authentication server. 権限を委譲されたユーザが認証サーバより認証を受ける際の処理を説明するためのフローチャートである。It is a flowchart for demonstrating the process at the time of the user delegated authority receiving authentication from an authentication server.

符号の説明Explanation of symbols

1 認証サーバ
2 クライアント
3 認証DB
11 サーバプログラム
21 クライアントプログラム
22 認証チケット生成プログラム 1 Authentication server 2 Client 3 Authentication DB
11 Server program 21 Client program 22 Authentication ticket generation program

Claims (4)

ユーザ認証を各ユーザパスワードによって実施するユーザパスワード認証システムにおける権限委譲方法であって、
権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、
権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、
前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、
権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備えることを特徴とするユーザパスワード認証システムにおける権限委譲方法。 An authority delegation method in a user password authentication system that performs user authentication with each user password,
A step in which the client of the authority delegator generates an authentication ticket describing the scope of the authority to be delegated from the authority delegator to the authority delegator and the effective authority, and transfers it to the authority delegator;
A client of an authority delegator sends the authentication ticket transferred from the authority delegator to the authentication server, and receives an authentication as to whether the authority delegator has received the authority delegation from the authority delegator.
A step in which the authentication server sends a list describing the scope and validity period of the authority delegated by the authority delegator to the client of the authority delegator;
A user password, wherein the authority delegator's client permits a proxy operation of the authority delegator on behalf of the authority delegator within the scope of the authority described in the list and the validity period Authority delegation method in the authentication system. 権限被委譲者のクライアントが、権限被委譲者のログイン後、認証チケットに記述された有効期限が切れた時点で権限委譲者から委譲された権限の範囲を記述した前記リストを自動消去するステップを備えることを特徴とする請求項1に記載のユーザパスワード認証システムにおける権限委譲方法。   A step in which the client of the authority delegator automatically deletes the list describing the scope of authority delegated by the authority delegator when the expiration date described in the authentication ticket expires after the authority delegator logs in; The authority delegation method in the user password authentication system according to claim 1, comprising: 権限被委譲者のクライアントが、権限被委譲者が代理操作した内容を記憶装置内に操作ログとして記録するステップを備えることを特徴とする請求項1または2に記載のユーザパスワード認証システムにおける権限委譲方法。   3. The authority delegation in the user password authentication system according to claim 1 or 2, further comprising a step in which a client of the authority delegator records the contents of the proxy operation by the authority delegator as an operation log in the storage device. Method. 権限委譲者のクライアントが生成する前記認証チケットにおける権限委譲先および権限の範囲は、認証サーバのシステム管理者によって設定された範囲内のものであることを特徴とする請求項1〜3のいずれか一項に記載のユーザパスワード認証システムにおける権限委譲方法。   4. The authority delegation destination and the authority range in the authentication ticket generated by the authority delegator client are within the range set by the system administrator of the authentication server. The authority delegation method in the user password authentication system according to one item.
JP2005035667A 2005-02-14 2005-02-14 Authority transfer method in user password authentication system Pending JP2006221506A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005035667A JP2006221506A (en) 2005-02-14 2005-02-14 Authority transfer method in user password authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005035667A JP2006221506A (en) 2005-02-14 2005-02-14 Authority transfer method in user password authentication system

Publications (1)

Publication Number Publication Date
JP2006221506A true JP2006221506A (en) 2006-08-24

Family

ID=36983795

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005035667A Pending JP2006221506A (en) 2005-02-14 2005-02-14 Authority transfer method in user password authentication system

Country Status (1)

Country Link
JP (1) JP2006221506A (en)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009151510A (en) * 2007-12-20 2009-07-09 Fuji Xerox Co Ltd Image processor and image processing system
JP2009205223A (en) * 2008-02-26 2009-09-10 Nippon Telegr & Teleph Corp <Ntt> In-group service authorization method by single sign-on, in-group service providing system using this method, and each server constituting this system
JP2009205342A (en) * 2008-02-27 2009-09-10 Nippon Telegr & Teleph Corp <Ntt> Authority delegation system, authority delegation method and authority delegation program
JP2010503128A (en) * 2006-09-08 2010-01-28 マイクロソフト コーポレーション Control delegation of rights
JP2010061356A (en) * 2008-09-03 2010-03-18 Fuji Xerox Co Ltd Information use control system, provision device, and provision program
JP2011022824A (en) * 2009-07-16 2011-02-03 Nippon Telegr & Teleph Corp <Ntt> Service providing system, and method and program for collecting proxy processing logs
JP2012093801A (en) * 2010-10-22 2012-05-17 Canon Inc Authority transfer system, authority transfer method, authentication device, information processing device, control method, and program
US8365275B2 (en) 2007-09-13 2013-01-29 Ricoh Company, Ltd. Image processing apparatus, session managing method and session managing program
JP2013522722A (en) * 2010-03-12 2013-06-13 アルカテル−ルーセント Secure dynamic privilege delegation
US8584230B2 (en) 2006-09-08 2013-11-12 Microsoft Corporation Security authorization queries
US8656503B2 (en) 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
JP2014067378A (en) * 2012-09-27 2014-04-17 Canon Inc Authorization server system, authority transfer system, control method thereof and program
JP2014529147A (en) * 2011-09-29 2014-10-30 オラクル・インターナショナル・コーポレイション Mobile application, single sign-on management
JP2014235593A (en) * 2013-06-03 2014-12-15 日本電信電話株式会社 Communication control device, communication control method, and communication control program
US8938783B2 (en) 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
JP2016066171A (en) * 2014-09-24 2016-04-28 日本電信電話株式会社 Proxy application approval system, mediation server, and proxy application approval method
US9686286B2 (en) 2010-06-28 2017-06-20 Canon Kabushiki Kaisha Authority transfer system, authority transfer method, information processing apparatus, and recording medium
US20180063137A1 (en) * 2016-08-23 2018-03-01 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503128A (en) * 2006-09-08 2010-01-28 マイクロソフト コーポレーション Control delegation of rights
US8584230B2 (en) 2006-09-08 2013-11-12 Microsoft Corporation Security authorization queries
KR101354848B1 (en) 2006-09-08 2014-02-18 마이크로소프트 코포레이션 Controlling the delegation of rights
US8656503B2 (en) 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
US9282121B2 (en) 2006-09-11 2016-03-08 Microsoft Technology Licensing, Llc Security language translations with logic resolution
US8938783B2 (en) 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
US8365275B2 (en) 2007-09-13 2013-01-29 Ricoh Company, Ltd. Image processing apparatus, session managing method and session managing program
JP2009151510A (en) * 2007-12-20 2009-07-09 Fuji Xerox Co Ltd Image processor and image processing system
JP2009205223A (en) * 2008-02-26 2009-09-10 Nippon Telegr & Teleph Corp <Ntt> In-group service authorization method by single sign-on, in-group service providing system using this method, and each server constituting this system
JP2009205342A (en) * 2008-02-27 2009-09-10 Nippon Telegr & Teleph Corp <Ntt> Authority delegation system, authority delegation method and authority delegation program
JP2010061356A (en) * 2008-09-03 2010-03-18 Fuji Xerox Co Ltd Information use control system, provision device, and provision program
JP2011022824A (en) * 2009-07-16 2011-02-03 Nippon Telegr & Teleph Corp <Ntt> Service providing system, and method and program for collecting proxy processing logs
US8776204B2 (en) 2010-03-12 2014-07-08 Alcatel Lucent Secure dynamic authority delegation
JP2013522722A (en) * 2010-03-12 2013-06-13 アルカテル−ルーセント Secure dynamic privilege delegation
US9686286B2 (en) 2010-06-28 2017-06-20 Canon Kabushiki Kaisha Authority transfer system, authority transfer method, information processing apparatus, and recording medium
US8875245B2 (en) 2010-10-22 2014-10-28 Canon Kabushiki Kaisha Authority delegating system, authority delegating method, authentication apparatus, information processing apparatus, control method, and computer-readable medium
JP2012093801A (en) * 2010-10-22 2012-05-17 Canon Inc Authority transfer system, authority transfer method, authentication device, information processing device, control method, and program
JP2014529147A (en) * 2011-09-29 2014-10-30 オラクル・インターナショナル・コーポレイション Mobile application, single sign-on management
US10621329B2 (en) 2011-09-29 2020-04-14 Oracle International Corporation Mobile application, resource management advice
JP2014067378A (en) * 2012-09-27 2014-04-17 Canon Inc Authorization server system, authority transfer system, control method thereof and program
JP2014235593A (en) * 2013-06-03 2014-12-15 日本電信電話株式会社 Communication control device, communication control method, and communication control program
JP2016066171A (en) * 2014-09-24 2016-04-28 日本電信電話株式会社 Proxy application approval system, mediation server, and proxy application approval method
US20180063137A1 (en) * 2016-08-23 2018-03-01 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium

Similar Documents

Publication Publication Date Title
JP2006221506A (en) Authority transfer method in user password authentication system
EP1498800B1 (en) Security link management in dynamic networks
Gasser et al. An architecture for practical delegation in a distributed system
US8196186B2 (en) Security architecture for peer-to-peer storage system
US7058971B1 (en) Access privilege transferring method
US7533265B2 (en) Establishment of security context
US20050055552A1 (en) Assurance system and assurance method
US10298561B2 (en) Providing a single session experience across multiple applications
US8468359B2 (en) Credentials for blinded intended audiences
US20070271618A1 (en) Securing access to a service data object
JP2004185623A (en) Method and system for authenticating user associated with sub-location in network location
JP2009514072A (en) Method for providing secure access to computer resources
KR20060122676A (en) Pre-licensing of rights management protected content
US20080270571A1 (en) Method and system of verifying permission for a remote computer system to access a web page
JP2006311529A (en) Authentication system and authentication method therefor, authentication server and authentication method therefor, recording medium, and program
US20150328119A1 (en) Method of treating hair
US20150281211A1 (en) Network security
JP2006527880A (en) Password authentication method and apparatus
JP2002259108A (en) Printing system, printer, printing method, recording medium, and program
JP5380063B2 (en) DRM system
JP2010086175A (en) Remote access management system and method
Hu et al. Enhancing Account Privacy in Blockchain-based IoT Access Control via Zero Knowledge Proof
JP4657706B2 (en) Authority management system, authentication server, authority management method, and authority management program
JP2008090701A (en) Authentication access control system and add-in module to be used therefor
JP6868188B2 (en) Communication control device and program