JP2006268719A - Password authentication system and method - Google Patents

Password authentication system and method Download PDF

Info

Publication number
JP2006268719A
JP2006268719A JP2005089044A JP2005089044A JP2006268719A JP 2006268719 A JP2006268719 A JP 2006268719A JP 2005089044 A JP2005089044 A JP 2005089044A JP 2005089044 A JP2005089044 A JP 2005089044A JP 2006268719 A JP2006268719 A JP 2006268719A
Authority
JP
Japan
Prior art keywords
password
authentication
user terminal
terminal device
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005089044A
Other languages
Japanese (ja)
Inventor
Satoru Hatanaka
覚 畑中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005089044A priority Critical patent/JP2006268719A/en
Publication of JP2006268719A publication Critical patent/JP2006268719A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To perform authentication even if a fault occurs in a management device that manages passwords in a centralized manner, and to improve security rather than the prior art. <P>SOLUTION: A management device 20 issues new authentication information each time it is accessed from a user terminal device 10, and newly generates a password based on the issued authentication information. The management device 20 updates a former password within a user authentication device 30 and notifies the user terminal device 10 of the newly generated password and the authentication information used for generating the password. The user terminal device 10 updates former authentication information stored in an authentication information storage means 12 when it is notified of the authentication information and the password from the management device 20. The user terminal device 10 generates the same password as one generated by the management device 20 based on authentication information in the storage means 12 when it is not notified of the authentication information and the password from the management device 20 even if access to the management device 20 is attempted. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、パスワード認証システム、このパスワード認証システムが備える管理装置、このパスワード認証システムが備えるユーザ端末装置、パスワード認証方法及びプログラムに関する。   The present invention relates to a password authentication system, a management device provided in the password authentication system, a user terminal device provided in the password authentication system, a password authentication method, and a program.

従来、複数のシステムからなるコンピュータシステムを利用するユーザは、各システム毎にユーザID及びパスワードの管理が必要であった。   Conventionally, a user who uses a computer system composed of a plurality of systems has to manage a user ID and a password for each system.

しかし、各ユーザにユーザID及びパスワードを管理させると、ユーザがユーザID及びパスワードを忘れてしまった場合などにシステム管理者の管理負荷が高まるといった問題や、パスワード流出による不正アクセスが発生するといった問題や、同一パスワードを複数のシステムで利用したり長期間利用したりすることによりセキュリティ性が低下してしまうといった問題があった。   However, if each user manages the user ID and password, there is a problem that the management load of the system administrator increases when the user forgets the user ID and password, or a problem that unauthorized access due to password leakage occurs. In addition, there is a problem that security is lowered by using the same password in a plurality of systems or for a long time.

このような問題に鑑み、特許文献1及び2には、パスワードを一括管理(集中管理)し、シングルサインオンを可能とする技術が開示されている。   In view of such a problem, Patent Documents 1 and 2 disclose a technology that enables single sign-on by collectively managing passwords (centralized management).

特許文献3には、パスワードを一括で変更することが記載されている。
特開2000−259566号公報 特開2003−050781号公報 特開2002−169777号公報 Patent Document 3 describes that passwords are changed in a batch.
Japanese Patent Laid-Open No. 2000-259566 JP 2003-050781 A JP 2002-169777 A

しかしながら、上記のような従来のパスワード集中管理方式では、パスワードを集中管理する管理装置に障害(ダウンなど)が発生した場合には、認証が一切できなくなってしまうという問題があった。   However, the conventional password centralized management method as described above has a problem that authentication cannot be performed at all when a failure (such as down) occurs in a management apparatus that centrally manages passwords.

また、特許文献1及び2のような従来技術では、本人確認のために個人認証装置が必要であった。また、パスワードの変更の際、シングルサインオンを実現するプログラムへのパスワードの変更設定が必要であった。また、パスワードの変更は各ユーザが管理していたため、セキュリティ性が低かった。   Further, in the conventional techniques such as Patent Documents 1 and 2, a personal authentication device is required for identity verification. Also, when changing the password, it was necessary to change the password to the program that implements single sign-on. Moreover, since the password change was managed by each user, the security was low.

また、特許文献3の技術では、複数システムのパスワードを一括変更を可能にしているが、パスワードの変更はユーザが自ら行うため、セキュリティ性が低かった。   In the technique of Patent Document 3, the passwords of a plurality of systems can be changed at once, but the security is low because the user changes the password by himself.

本発明は、上記のような問題点を解決するためになされたもので、パスワードを集中管理する管理装置に障害が発生しても認証を行うことが可能であるとともに、従来よりもセキュリティ性を高めることが可能なパスワード認証システム、このパスワード認証システムが備える管理装置、このパスワード認証システムが備えるユーザ端末装置、パスワード認証方法及びプログラムを提供することを目的とする。   The present invention has been made to solve the above-described problems, and can perform authentication even when a failure occurs in a management apparatus that centrally manages passwords, and has higher security than before. An object of the present invention is to provide a password authentication system that can be enhanced, a management device provided in the password authentication system, a user terminal device provided in the password authentication system, a password authentication method, and a program.

上記課題を解決するため、本発明のユーザに使用されるユーザ端末装置と、該ユーザ端末装置からの認証要求に応じて認証処理を行うユーザ認証装置と、該ユーザ認証装置による認証に用いられるパスワードを管理するパスワード管理装置と、を備えるパスワード認証システムにおいて、前記ユーザ認証装置は、各ユーザ端末装置に対応するパスワードを記憶保持するパスワード記憶手段と、前記ユーザ端末装置からパスワードを用いた認証要求があると、該パスワードを前記パスワード記憶手段に記憶されたパスワードのうちの対応するパスワードと照合することによって認証を行う認証手段と、を備えて構成され、前記パスワード管理装置は、前記ユーザ端末装置からアクセスされる度に新規に認証情報を発行する認証情報発行手段と、前記認証情報発行手段により認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第1のパスワード生成手段と、前記第1のパスワード生成手段により新規に生成されたパスワードによって、前記ユーザ認証装置の前記パスワード記憶手段に記憶された古いパスワードを更新するパスワード更新手段と、前記第1のパスワード生成手段により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する通知手段と、を備えて構成され、前記ユーザ端末装置は、前記パスワード管理装置に対するアクセスを行うアクセス手段と、前記認証情報を記憶保持する認証情報記憶手段と、前記パスワード管理装置の前記通知手段により認証情報及びパスワードが通知された場合に、該通知された認証情報によって、前記認証情報記憶手段に記憶されている古い認証情報を更新する認証情報更新手段と、前記アクセス手段によって前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から認証情報及びパスワードが通知されない場合に、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記第1のパスワード生成手段と同一の手法により新規にパスワードを生成する第2のパスワード生成手段と、前記パスワード管理装置の前記通知手段によりパスワードが通知されるか、又は、前記第2のパスワード生成手段によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて前記ユーザ認証装置に対する認証要求を行う認証要求手段と、を備えて構成されていることを特徴としている。   In order to solve the above problems, a user terminal device used by a user of the present invention, a user authentication device that performs authentication processing in response to an authentication request from the user terminal device, and a password used for authentication by the user authentication device In the password authentication system comprising the password management device for managing the password, the user authentication device includes password storage means for storing and holding a password corresponding to each user terminal device, and an authentication request using a password from the user terminal device. An authentication unit configured to perform authentication by comparing the password with a corresponding password stored in the password storage unit, and the password management device includes: An authentication information issuing means for newly issuing authentication information every time it is accessed; Each time authentication information is newly issued by the authentication information issuing means, a first password generating means for newly generating a password based on the issued authentication information, and a new password by the first password generating means A password update unit that updates an old password stored in the password storage unit of the user authentication device with the generated password, a password newly generated by the first password generation unit, and generation of the password A notification means for notifying the used authentication information to the user terminal device as an access source, the user terminal device comprising: an access means for accessing the password management device; and the authentication information. Authentication information storage means for storing and holding the authentication information by the notification means of the password management device. And when the password is notified, the authentication information updating means for updating the old authentication information stored in the authentication information storage means with the notified authentication information, and access to the password management device by the access means. If the authentication information and the password are not notified from the password management device even if the attempt is made, the password management device newly uses the same method as the first password generation unit based on the authentication information stored in the authentication information storage unit. When the password is notified by the second password generation means for generating a password and the notification means of the password management device, or when the password is generated by the second password generation means, the notification or generation Authentication request for making an authentication request to the user authentication device using the password that has been set And means.

本発明のパスワード認証システムにおいては、前記ユーザ端末装置の前記アクセス手段は、前記ユーザ認証装置による認証が必要な場合に、自動的に前記パスワード管理装置に対するアクセスを試行することが好ましい。   In the password authentication system of the present invention, it is preferable that the access means of the user terminal device automatically tries to access the password management device when authentication by the user authentication device is required.

本発明のパスワード認証システムにおいては、前記ユーザ端末装置は、該ユーザ端末装置の前記アクセス手段による前記パスワード管理装置に対するアクセスを試行する際に、予め、所定のアクセス用パスワードの入力操作をユーザに対して要求する処理と、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、前記アクセス手段による前記パスワード管理装置に対するアクセスの試行を許可する処理と、を行う予備認証手段を更に備えることが好ましい。   In the password authentication system of the present invention, when the user terminal device attempts to access the password management device by the access means of the user terminal device, the user terminal device performs an input operation of a predetermined access password to the user in advance. Processing for requesting, and authentication of an access password input in response to the request, and processing for permitting an access attempt to the password management device by the access means only when the authentication is successful; It is preferable to further include preliminary authentication means for performing the above.

本発明のパスワード認証システムにおいては、前記ユーザ端末装置の前記予備認証手段は、前記ユーザ認証装置による認証が必要な場合に、自動的に、前記アクセス用パスワードの入力操作をユーザに対して要求する処理を行うことが好ましい。   In the password authentication system of the present invention, the preliminary authentication means of the user terminal device automatically requests the user to input the access password when authentication by the user authentication device is required. It is preferable to carry out the treatment.

本発明のパスワード認証システムにおいては、前記パスワード管理装置の前記第1のパスワード生成手段は、前記認証情報発行手段により発行された認証情報と、前記ユーザ端末装置の前記アクセス手段によるアクセスがあった際に該ユーザ端末装置より取得したユーザ固有情報と、の2つの情報に基づいてパスワードを生成する一方で、前記ユーザ端末装置の前記第2のパスワード生成手段は、前記認証情報記憶手段に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することが好ましい。   In the password authentication system of the present invention, the first password generation unit of the password management device receives the authentication information issued by the authentication information issuing unit and the access by the access unit of the user terminal device And generating the password on the basis of the two pieces of user-specific information acquired from the user terminal device, while the second password generating means of the user terminal device is stored in the authentication information storage means. It is preferable to generate a password based on two pieces of information: authentication information that is stored in the user terminal device and user-specific information stored in the user terminal device.

本発明のパスワード認証システムにおいては、前記ユーザ端末装置の前記第2のパスワード生成手段は、前記アクセス手段によって前記パスワード管理装置に対するアクセスが試行されてから所定時間が経過しても、前記パスワード管理装置から認証情報及びパスワードが通知されない場合に、パスワードを生成することが好ましい。   In the password authentication system according to the present invention, the second password generation means of the user terminal device may be configured such that, even if a predetermined time elapses after the access means tries to access the password management apparatus, the password management apparatus It is preferable to generate a password when authentication information and a password are not notified from.

本発明のパスワード管理装置は、本発明のパスワード認証システムにおける前記パスワード管理装置であることを特徴としている。   The password management device of the present invention is the password management device in the password authentication system of the present invention.

本発明のユーザ端末装置は、本発明のパスワード認証システムにおける前記ユーザ端末装置であることを特徴としている。   The user terminal device of the present invention is the user terminal device in the password authentication system of the present invention.

本発明のプログラムは、本発明のパスワード管理装置による処理をコンピュータに実行させるためのプログラムであることを特徴としている。   The program of the present invention is a program for causing a computer to execute processing by the password management apparatus of the present invention.

本発明のプログラムは、本発明のユーザ端末装置による処理をコンピュータに実行させるためのプログラムであることを特徴としている。   The program of the present invention is a program for causing a computer to execute processing by the user terminal device of the present invention.

また、本発明のパスワード認証方法は、ユーザに使用されるユーザ端末装置と、該ユーザ端末装置からの認証要求に応じて認証処理を行うユーザ認証装置と、該ユーザ認証装置による認証に用いられるパスワードを管理するパスワード管理装置と、を備えるパスワード認証システムにおけるパスワードの認証を行う方法において、前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行する第1の過程と、前記アクセスがある度に前記パスワード管理装置にて新規に認証情報を発行する第2の過程と、前記認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第3の過程と、前記第3の過程により新規に生成されたパスワードによって、前記ユーザ認証装置に記憶された古いパスワードを更新する第4の過程と、前記第3の過程により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する第5の過程と、前記ユーザ端末装置に対し認証情報及びパスワードが通知された場合に、該通知された認証情報によって、該ユーザ端末装置に予め記憶されている古い認証情報を更新する第6の過程と、前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から前記ユーザ端末装置に対して認証情報及びパスワードが通知されない場合に、該ユーザ端末装置に記憶されている認証情報に基づいて、前記第3の過程におけるのと同一の手法により新規にパスワードを生成する第7の過程と、前記パスワード管理装置から前記ユーザ端末装置に対してパスワードが通知されるか、又は、前記第7の過程によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて、前記ユーザ端末装置から前記ユーザ認証装置に対する認証要求を行う第8の過程と、を備えることを特徴としている。   The password authentication method of the present invention includes a user terminal device used for a user, a user authentication device that performs authentication processing in response to an authentication request from the user terminal device, and a password used for authentication by the user authentication device. In a method for authenticating a password in a password authentication system comprising: a password management device that manages the password management device, a first step of trying to access the password management device from the user terminal device; and A second step of newly issuing authentication information in the management device; and a third step of generating a new password based on the issued authentication information each time the authentication information is newly issued; The old path stored in the user authentication device by the password newly generated by the third process A fourth process of updating the password, a password newly generated by the third process, and authentication information used to generate the password are notified to the access source user terminal device. And, when authentication information and a password are notified to the user terminal device, a sixth step of updating old authentication information stored in advance in the user terminal device with the notified authentication information; The authentication stored in the user terminal device when authentication information and password are not notified from the password management device to the user terminal device even if the user terminal device attempts to access the password management device. A seventh step of generating a new password based on the information by the same method as in the third step, and the password management; When the password is notified from the device to the user terminal device, or when the password is generated by the seventh process, the user terminal device uses the password generated by the notification or the generated password. And an eighth step of making an authentication request to the authentication device.

本発明のパスワード認証方法においては、前記ユーザ認証装置による認証が必要な場合に、自動的に前記第1の過程を実行することが好ましい。   In the password authentication method of the present invention, it is preferable that the first process is automatically executed when authentication by the user authentication device is required.

本発明のパスワード認証方法においては、前記ユーザ端末装置では、前記第1の過程の前に、所定のアクセス用パスワードの入力操作をユーザに対して要求し、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、前記第1の過程の実行を許可することが好ましい。   In the password authentication method of the present invention, the user terminal device requests the user to input a predetermined access password before the first step, and the access terminal input in response to the request. It is preferable to execute the first process only when password authentication is executed and the authentication is successful.

本発明のパスワード認証方法においては、前記ユーザ端末装置では、前記ユーザ認証装置による認証が必要な場合に、自動的に、前記アクセス用パスワードの入力操作をユーザに対して要求する処理を行うことが好ましい。   In the password authentication method of the present invention, the user terminal device may automatically perform a process of requesting the user to input the access password when authentication by the user authentication device is required. preferable.

本発明のパスワード認証方法においては、前記第3の過程では、前記第2の過程により発行された認証情報と、前記第1の過程でのアクセスがあった際に前記ユーザ端末装置より取得したユーザ固有情報と、の2つの情報に基づいてパスワードを生成する一方で、前記第7の過程では、前記ユーザ端末装置に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することが好ましい。   In the password authentication method of the present invention, in the third step, the authentication information issued in the second step and the user acquired from the user terminal device when there is an access in the first step While generating the password based on the two pieces of information, the unique information, in the seventh process, the authentication information stored in the user terminal device and the user specific information stored in the user terminal device It is preferable to generate a password based on these two pieces of information.

本発明のパスワード認証方法においては、前記第1の過程が実行されてから所定時間が経過しても、前記パスワード管理装置から前記ユーザ端末装置に認証情報及びパスワードが通知されない場合に、前記第7の過程を実行することが好ましい。   In the password authentication method of the present invention, when the authentication information and the password are not notified from the password management device to the user terminal device even after a predetermined time has elapsed since the execution of the first process, It is preferable to carry out the following process.

本発明によれば、パスワード管理装置に障害が発生している場合であっても、ユーザ端末装置側で同様のパスワード生成処理を代行し、ユーザ認証装置による認証処理を実現することができる。   According to the present invention, even when a failure occurs in the password management device, the same password generation processing can be performed on the user terminal device side, and the authentication processing by the user authentication device can be realized.

また、ユーザ自身がパスワードを管理するのではないので、高いセキュリティ性を確保することができるとともに、シングルサインオンが可能となる。   Further, since the user does not manage the password, high security can be ensured and single sign-on can be performed.

以下、図面を参照して、本発明に係る実施形態について説明する。   Embodiments according to the present invention will be described below with reference to the drawings.

〔第1の実施形態〕
図1は第1の実施形態に係るパスワード認証システム100の構成を示すブロック図である。 [First Embodiment]
FIG. 1 is a block diagram showing a configuration of a password authentication system 100 according to the first embodiment.

図1に示すように、第1の実施形態に係るパスワード認証システム100は、各ユーザに割り当てられたユーザ端末装置10と、各ユーザ端末装置10の認証に用いられるパスワードを集中管理するパスワード集中管理装置(パスワード管理装置)20と、各ユーザ端末装置10からの認証要求に応じて認証処理を行うユーザ認証装置30と、を備えて構成されている。   As shown in FIG. 1, a password authentication system 100 according to the first embodiment includes a user terminal device 10 assigned to each user and a password centralized management for centrally managing passwords used for authentication of each user terminal device 10. A device (password management device) 20 and a user authentication device 30 that performs an authentication process in response to an authentication request from each user terminal device 10 are configured.

ユーザ端末装置10と、パスワード集中管理装置20と、ユーザ認証装置30とは、ローカルエリアネットワークなどのネットワークを介して相互に接続されている。   The user terminal device 10, the password central management device 20, and the user authentication device 30 are connected to each other via a network such as a local area network.

ユーザ端末装置10は、ユーザ認証装置30による認証が必要な際にパスワード集中管理装置20に対するアクセスを試行する集中管理装置アクセス手段(アクセス手段)11と、該集中管理装置アクセス手段11によるアクセスが成功した場合にパスワード集中管理装置20から通知された認証ID(認証情報)を記憶保持する認証ID記憶部(認証情報記憶手段)12と、パスワード集中管理装置20から認証IDが通知された場合に、該通知された認証IDによって、認証ID記憶部12に記憶されている認証IDを更新する処理を行う認証ID更新手段(認証情報更新手段)13と、パスワード集中管理装置20からの応答が無く(パスワード集中管理装置20に対するアクセスが成功せず)該パスワード集中管理装置20からパスワード及び認証IDが通知されない場合に、認証ID記憶部12に記憶されている認証IDを用いてパスワードを生成するパスワード生成手段(第2のパスワード生成手段)15と、パスワード集中管理装置20から通知されるパスワード、又は、パスワード生成手段15により生成されるパスワードを用いて、ユーザ認証装置30に対する認証要求を行う認証要求手段14と、を備えて構成されている。   The user terminal device 10 has a centralized management device access means (access means) 11 for trying to access the password centralized management device 20 when authentication by the user authentication device 30 is required, and the centralized management device access means 11 has succeeded in access. If the authentication ID storage unit (authentication information storage unit) 12 stores and holds the authentication ID (authentication information) notified from the password central management device 20 and the authentication ID is notified from the password central management device 20, There is no response from the authentication ID update means (authentication information update means) 13 for performing the process of updating the authentication ID stored in the authentication ID storage unit 12 and the password centralized management apparatus 20 based on the notified authentication ID ( Pass from the password centralized management apparatus 20 without successful access to the password centralized management apparatus 20) A password generation unit (second password generation unit) 15 that generates a password using the authentication ID stored in the authentication ID storage unit 12 and the password central management device 20 when the password and the authentication ID are not notified. The authentication request unit 14 is configured to make an authentication request to the user authentication device 30 using the notified password or the password generated by the password generation unit 15.

なお、ユーザ端末装置10は、例えば、パーソナルコンピュータ或いはその他の情報処理装置であり、各種の制御動作を行うCPUと、このCPUの制御用プログラムを記憶保持したROMと、CPUの作業領域などとして機能するRAMと、を備えて構成されている。   The user terminal device 10 is, for example, a personal computer or other information processing device, and functions as a CPU that performs various control operations, a ROM that stores a control program for the CPU, and a work area of the CPU. And a RAM to be configured.

ユーザ端末装置10は、そのROMに記憶されたプログラムに従って動作することにより、集中管理装置アクセス手段11、認証ID更新手段13、パスワード生成手段15及び認証要求手段14として機能する。   The user terminal device 10 functions as a centralized management device access unit 11, an authentication ID update unit 13, a password generation unit 15, and an authentication request unit 14 by operating according to a program stored in the ROM.

なお、ユーザ端末装置10のROMに記憶された制御用プログラムには、ユーザ認証装置30による認証を受けるための処理を実行するためのアプリケーションプログラムである認証用プログラムが含まれている。   The control program stored in the ROM of the user terminal device 10 includes an authentication program that is an application program for executing processing for receiving authentication by the user authentication device 30.

パスワード集中管理装置20は、ユーザ端末装置10の集中管理装置アクセス手段11からのアクセスを受け付け、該ユーザ端末装置10よりユーザIDを取得するアクセス受付手段21と、このアクセス受付手段21がユーザ端末装置10の集中管理装置アクセス手段11からのアクセスを受け付ける度にランダムな認証IDを新規に発行する認証ID発行手段(認証情報発行手段)22と、この認証ID発行手段22により認証IDが発行される度に、該発行された認証IDとアクセス受付手段21が取得したユーザIDとを用い所定のアルゴリズムに従って新規にパスワードを生成するパスワード生成手段(第1のパスワード生成手段)23と、このパスワード生成手段23により新規に生成されたパスワードによって、ユーザ認証装置30の後述するパスワード記憶部(パスワード記憶手段)32に記憶された古いパスワードを更新するパスワード更新手段27と、各ユーザ毎に生成したパスワードを記憶保持するパスワード記憶部26と、パスワード生成手段23により新規に生成されたパスワードと、該パスワードの生成に用いられた認証IDと、をアクセス元のユーザ端末装置10に通知する通知手段25と、を備えて構成されている。   The password centralized management device 20 receives access from the centralized management device access unit 11 of the user terminal device 10 and obtains a user ID from the user terminal device 10, and the access reception unit 21 is a user terminal device. An authentication ID issuing means (authentication information issuing means) 22 for newly issuing a random authentication ID every time an access from the 10 centralized management apparatus access means 11 is accepted, and an authentication ID is issued by the authentication ID issuing means 22 A password generation means (first password generation means) 23 that newly generates a password in accordance with a predetermined algorithm using the issued authentication ID and the user ID acquired by the access reception means 21, and the password generation means 23, the user authentication device A password update unit 27 that updates an old password stored in a password storage unit (password storage unit) 32 described later, a password storage unit 26 that stores and holds a password generated for each user, and a password generation unit 23 And a notification unit 25 that notifies the access source user terminal device 10 of the newly generated password and the authentication ID used to generate the password.

なお、パスワード集中管理装置20は、例えば、サーバコンピュータ或いはその他の情報処理装置であり、各種の制御動作を行うCPUと、このCPUの制御用プログラムを記憶保持したROMと、CPUの作業領域などとして機能するRAMと、を備えて構成されている。   The password central management apparatus 20 is, for example, a server computer or other information processing apparatus, and includes a CPU that performs various control operations, a ROM that stores a control program for the CPU, a work area for the CPU, and the like. And a functioning RAM.

パスワード集中管理装置20は、そのROMに記憶されたプログラムに従って動作することにより、アクセス受付手段21、認証ID発行手段22、パスワード生成手段23、パスワード更新手段27及び通知手段25として機能する。   The password central management apparatus 20 functions as an access receiving means 21, an authentication ID issuing means 22, a password generating means 23, a password updating means 27, and a notifying means 25 by operating according to a program stored in the ROM.

ユーザ認証装置30は、各ユーザ端末装置10の認証に用いられるパスワードを記憶保持するパスワード記憶部32と、パスワード集中管理装置20のパスワード更新手段27からの指令に従って、パスワード記憶部32に記憶保持されている古いパスワードを新しいパスワードに更新するパスワード更新手段31と、各ユーザ端末装置10からの認証要求に応じて認証処理を行う認証手段33と、を備えている。   The user authentication device 30 is stored and held in the password storage unit 32 in accordance with an instruction from the password update unit 27 of the password central management device 20 and a password storage unit 32 that stores and holds a password used for authentication of each user terminal device 10. Password updating means 31 that updates the old password that is being used to a new password, and authentication means 33 that performs authentication processing in response to an authentication request from each user terminal device 10 are provided.

なお、ユーザ認証装置30は、例えば、サーバコンピュータ或いはその他の情報処理装置であり、各種の制御動作を行うCPUと、このCPUの制御用プログラムを記憶保持したROMと、CPUの作業領域などとして機能するRAMと、を備えて構成されている。   The user authentication device 30 is, for example, a server computer or other information processing device, and functions as a CPU that performs various control operations, a ROM that stores a control program for the CPU, and a work area of the CPU. And a RAM to be configured.

ユーザ認証装置30は、そのROMに記憶されたプログラムに従って動作することにより、パスワード更新手段31及び認証手段33として機能する。   The user authentication device 30 functions as a password update unit 31 and an authentication unit 33 by operating according to a program stored in the ROM.

次に、図2乃至図4のフローチャートを参照して、パスワード認証システム100の動作を説明する。   Next, the operation of the password authentication system 100 will be described with reference to the flowcharts of FIGS.

図2はユーザ端末装置10の動作の流れを示すフローチャート、図3はパスワード集中管理装置20の動作の流れを示すフローチャート、図4はユーザ認証装置30の動作の流れを示すフローチャートである。   2 is a flowchart showing an operation flow of the user terminal device 10, FIG. 3 is a flowchart showing an operation flow of the password centralized management device 20, and FIG. 4 is a flowchart showing an operation flow of the user authentication device 30.

なお、以下では、ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要である例を説明する。   In the following, an example in which authentication by the user authentication device 30 is necessary to use the user terminal device 10 will be described.

先ず、ユーザ端末装置10を使用したいユーザは、ユーザ端末装置10を起動する。   First, a user who wants to use the user terminal device 10 activates the user terminal device 10.

すると、ユーザ端末装置10では、該ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要であるので、ユーザ認証装置30による認証を受けるための処理を実行するための認証用プログラムが自動的に起動する。   Then, since the user terminal device 10 requires authentication by the user authentication device 30 in order to use the user terminal device 10, an authentication program for executing processing for receiving authentication by the user authentication device 30 Will start automatically.

次に、ユーザ端末装置10の集中管理装置アクセス手段21は、その起動した認証用プログラムに従って、パスワード集中管理装置20に対するアクセスを試行する(図2のステップS1)。パスワード集中管理装置20に障害(ダウンするなど)が発生していなければ、このアクセスは成功する。   Next, the centralized management device access means 21 of the user terminal device 10 tries to access the password centralized management device 20 in accordance with the activated authentication program (step S1 in FIG. 2). If there is no failure (such as down) in the central password management apparatus 20, this access is successful.

パスワード集中管理装置20では、ユーザ端末装置10からのアクセスがあった場合に、図3の処理を行う。   The password centralized management apparatus 20 performs the process of FIG. 3 when there is an access from the user terminal apparatus 10.

すなわち、先ず、アクセス受付手段21が、ユーザ端末装置10から、該ユーザ端末装置10に記憶保持されているユーザIDを取得する(図3のステップS11)。   That is, first, the access receiving means 21 acquires the user ID stored and held in the user terminal device 10 from the user terminal device 10 (step S11 in FIG. 3).

次に、認証ID発行手段22が、認証IDを発行する処理を行う(図3のステップS12)。ここで、認証ID発行手段22は、ユーザ端末装置10からアクセスされる度にランダムな認証IDを新規に発行する。   Next, the authentication ID issuing means 22 performs a process for issuing an authentication ID (step S12 in FIG. 3). Here, the authentication ID issuing means 22 issues a new random authentication ID every time it is accessed from the user terminal device 10.

次に、パスワード生成手段23が、先のステップS12にて認証ID発行手段により新規に発行された認証IDと、先のステップS11にてユーザ端末装置10から取得したユーザIDと、を用いて、パスワードを新規に生成する(図3のステップS13)。すなわち、例えば、ユーザIDと認証IDとをスクランブルして、パスワードを生成する。   Next, the password generation unit 23 uses the authentication ID newly issued by the authentication ID issuing unit in the previous step S12 and the user ID acquired from the user terminal device 10 in the previous step S11. A new password is generated (step S13 in FIG. 3). That is, for example, the user ID and the authentication ID are scrambled to generate a password.

次に、パスワード更新手段27は、ユーザ認証装置30のパスワード記憶部32に記憶された古いパスワードを、先のステップS13にて新規に生成されたパスワードによって更新させる処理を行う。すなわち、パスワード更新手段27は、先のステップS13にて新規に生成されたパスワードと、先のステップS11にて取得したユーザIDと、をユーザ認証装置30に通知する(図3のステップS14)。   Next, the password update unit 27 performs a process of updating the old password stored in the password storage unit 32 of the user authentication device 30 with the password newly generated in the previous step S13. That is, the password update unit 27 notifies the user authentication device 30 of the password newly generated in the previous step S13 and the user ID acquired in the previous step S11 (step S14 in FIG. 3).

パスワード集中管理装置20のパスワード更新手段27からの通知(新たなパスワード及び該パスワードに対応するユーザIDの通知)を受けたユーザ認証装置30では、図4の処理を行う。   The user authentication device 30 that has received the notification (new password and notification of the user ID corresponding to the password) from the password update unit 27 of the password centralized management device 20 performs the process of FIG.

先ず、ユーザ認証装置30のパスワード更新手段31は、該ユーザ認証装置30のパスワード記憶部32に記憶されているパスワードを更新する。すなわち、パスワード記憶部32に記憶されているパスワードのうち、新たに通知されたパスワードと対応する(同じユーザ端末装置10用の)古いパスワードを、該新しいパスワードに更新する(図4のステップS21)。   First, the password update unit 31 of the user authentication device 30 updates the password stored in the password storage unit 32 of the user authentication device 30. That is, of the passwords stored in the password storage unit 32, the old password (for the same user terminal device 10) corresponding to the newly notified password is updated to the new password (step S21 in FIG. 4). .

次に、ユーザ認証装置30のパスワード更新手段31は、パスワードの更新が完了した旨を、パスワード集中管理装置20に対して通知する(図4のステップS22)。   Next, the password update unit 31 of the user authentication device 30 notifies the password central management device 20 that the password update has been completed (step S22 in FIG. 4).

ユーザ認証装置30のパスワード更新手段31からの通知を受けたパスワード集中管理装置20では、図3の処理の続きを行う。   Upon receiving the notification from the password update unit 31 of the user authentication device 30, the central password management device 20 continues the processing of FIG.

すなわち、パスワード集中管理装置20のパスワード更新手段27は、先のステップS13にて生成された新しいパスワードによって、該パスワード集中管理装置20のパスワード記憶部26に記憶されている古いパスワードを更新する。すなわち、パスワード記憶部26に記憶されているパスワードのうち、先のステップS13にて生成された新しいパスワードと対応する(同じユーザ端末装置10用の)古いパスワードを、該新しいパスワードに更新する(図3のステップS15)。   That is, the password update unit 27 of the central password management apparatus 20 updates the old password stored in the password storage unit 26 of the central password management apparatus 20 with the new password generated in the previous step S13. That is, of the passwords stored in the password storage unit 26, the old password (for the same user terminal device 10) corresponding to the new password generated in the previous step S13 is updated to the new password (FIG. 3 step S15).

次に、パスワード集中管理装置20の通知手段25は、先のステップステップS13にて新たに生成したパスワードと、該パスワードの生成用に先のステップS12にて発行した認証IDと、を今回のアクセスを行ったアクセス元のユーザ端末装置10に通知する(図3のステップS16)。具体的には、例えば、パスワード記憶部26に記憶されたパスワードのうちアクセスを行ったユーザ端末装置10に対応するパスワードを抽出し、該抽出したパスワードと、該パスワードの生成に用いられた認証IDと、を該ユーザ端末装置10に通知する。   Next, the notifying unit 25 of the central password management apparatus 20 accesses the password newly generated in the previous step S13 and the authentication ID issued in the previous step S12 for the generation of the password this time. Is notified to the access source user terminal device 10 (step S16 in FIG. 3). Specifically, for example, a password corresponding to the accessed user terminal device 10 is extracted from the passwords stored in the password storage unit 26, and the extracted password and the authentication ID used to generate the password are extracted. To the user terminal device 10.

パスワード集中管理装置20の通知手段25からの通知を受けたユーザ端末装置10では、図2の処理の続きを行う。   In the user terminal device 10 that has received the notification from the notification means 25 of the password centralized management device 20, the processing in FIG. 2 is continued.

すなわち、パスワード集中管理装置20から新しいパスワード及び該パスワードの生成に用いられた認証IDが通知されると、ユーザ端末装置10は、パスワード及び認証IDを取得できたと判定する(図2のステップS2のYES)。   That is, when a new password and an authentication ID used to generate the password are notified from the password central management device 20, the user terminal device 10 determines that the password and the authentication ID have been acquired (in step S2 in FIG. 2). YES)

次に、ユーザ端末装置10の認証ID更新手段13は、今回新たにパスワード集中管理装置20から通知された認証IDによって、既に認証ID記憶部12に記憶保持されている古い認証IDを更新する(図2のステップS3)。   Next, the authentication ID update unit 13 of the user terminal device 10 updates the old authentication ID already stored and held in the authentication ID storage unit 12 with the authentication ID newly notified from the password central management device 20 this time ( Step S3 in FIG.

次に、ユーザ端末装置10の認証要求手段14は、今回新たにパスワード集中管理装置20から通知されたパスワードを用いて、ユーザ認証装置30に対する認証要求としてのアクセスを行う。すなわち、認証要求手段14は、ユーザ認証装置30に対して、ユーザID及び新たなパスワードを通知する(図2のステップS4)。   Next, the authentication request means 14 of the user terminal device 10 accesses the user authentication device 30 as an authentication request using the password newly notified from the password central management device 20 this time. In other words, the authentication request unit 14 notifies the user authentication device 30 of the user ID and the new password (step S4 in FIG. 2).

ここで、ユーザ端末装置10では、パスワード集中管理装置20から通知されるパスワードを、当該ユーザ端末装置10のユーザに対して非公開な状態で使用する。このため、このパスワードがユーザに知られることはない。   Here, in the user terminal device 10, the password notified from the password central management device 20 is used in a state that is not disclosed to the user of the user terminal device 10. For this reason, this password is not known to the user.

ユーザ端末装置10の認証要求手段14から認証要求としてのアクセスを受けたユーザ認証装置30の認証手段33は、該アクセスの際にユーザ端末装置10から通知されたパスワード及びユーザIDを用いて、認証を行う。すなわち、認証手段33は、ユーザ端末装置10から通知されたユーザIDと対応するパスワードをパスワード記憶部32から抽出し、該抽出したパスワードと、ユーザ端末装置10から通知されたパスワードと、が一致しているか否かを判定する。そして、双方のパスワードが一致している場合には認証が成功したと判定する一方で、一致していない場合には認証が成功しなかったと判定する。   The authentication means 33 of the user authentication device 30 that has received access as an authentication request from the authentication request means 14 of the user terminal device 10 uses the password and user ID notified from the user terminal device 10 at the time of the access. I do. That is, the authentication unit 33 extracts the password corresponding to the user ID notified from the user terminal device 10 from the password storage unit 32, and the extracted password matches the password notified from the user terminal device 10. It is determined whether or not. If both passwords match, it is determined that the authentication has succeeded, whereas if they do not match, it is determined that the authentication has not succeeded.

認証が成功した場合、ユーザ認証装置30の認証手段33は、その旨をアクセス元のユーザ端末装置10に対して通知する。また、認証が成功しなかった場合にも、認証手段33は、その旨をアクセス元のユーザ端末装置10に対して通知する。   When the authentication is successful, the authentication unit 33 of the user authentication device 30 notifies the user terminal device 10 of the access source to that effect. Even when the authentication is not successful, the authentication unit 33 notifies the access source user terminal device 10 to that effect.

なお、図2乃至図4に示す正規の手順に従って認証動作を行う場合、認証の結果は成功となるので、その旨がユーザ端末装置10に対して通知される。   When the authentication operation is performed according to the regular procedure shown in FIG. 2 to FIG. 4, the result of the authentication is successful, and the user terminal device 10 is notified accordingly.

また、図2のステップS1にて、ユーザ端末装置10からパスワード集中管理装置20に対するアクセスを試行した際に、該パスワード集中管理装置20に障害が発生していた場合には、ユーザ端末装置10にはパスワード及び認証IDが通知されないので、図2のステップS2にてNoと判定される。   In addition, when a failure occurs in the central password management apparatus 20 when an attempt is made to access the central password management apparatus 20 from the user terminal apparatus 10 in step S1 of FIG. Since the password and the authentication ID are not notified, it is determined No in step S2 of FIG.

なお、ステップS2の判定、すなわち、新たなパスワード及び新たな認証IDをパスワード集中管理装置20から取得できたか否かの判定では、例えば、ステップS1の処理(パスワード集中管理装置20に対するアクセスを試みる処理)が実行されてから、所定時間(例えば、60秒)が経過するまでの間に、新たなパスワード及び新たな認証IDをパスワード集中管理装置20から取得できない場合に、取得できない(図2のステップS2のNo)と判定する。   In the determination in step S2, that is, in determining whether a new password and a new authentication ID have been acquired from the password central management device 20, for example, the process in step S1 (processing for attempting to access the password central management device 20) ) Is executed and a new password and a new authentication ID cannot be obtained from the password central management apparatus 20 until a predetermined time (for example, 60 seconds) elapses (step in FIG. 2). S2 is determined as No).

図2のステップS2にてNoと判定された場合、ユーザ端末装置10のパスワード生成手段15は、認証ID記憶部12に記憶保持されている認証IDを該認証ID記憶部12より取得する(図2のステップS5)。   When it is determined No in step S2 of FIG. 2, the password generation unit 15 of the user terminal device 10 acquires the authentication ID stored and held in the authentication ID storage unit 12 from the authentication ID storage unit 12 (FIG. 2). 2 step S5).

次に、ユーザ端末装置10のパスワード生成手段15は、先のステップS5にて取得した認証IDと、ユーザIDと、を用いて、新たなパスワードを生成する(図2のステップS6)。ここで、ユーザ端末装置10のパスワード生成手段15は、パスワード集中管理装置20のパスワード生成手段23と同一のアルゴリズムに従って(同一の手法により)、パスワードを生成する。   Next, the password generation unit 15 of the user terminal device 10 generates a new password using the authentication ID and the user ID acquired in the previous step S5 (step S6 in FIG. 2). Here, the password generation unit 15 of the user terminal device 10 generates a password in accordance with the same algorithm (by the same method) as the password generation unit 23 of the password central management device 20.

次に、ユーザ端末装置10の認証装置アクセス手段14は、該ユーザ端末装置10のパスワード生成手段15によって新たに生成されたパスワードを用いて、ユーザ認証装置30に対する認証要求としてのアクセスを行う。すなわち、認証装置アクセス手段14は、ユーザ認証装置30に対して、ユーザID及び新たなパスワードを通知する(図2のステップS7)。   Next, the authentication device access unit 14 of the user terminal device 10 accesses the user authentication device 30 as an authentication request using the password newly generated by the password generation unit 15 of the user terminal device 10. That is, the authentication device access unit 14 notifies the user authentication device 30 of the user ID and the new password (step S7 in FIG. 2).

なお、ユーザ端末装置10では、パスワード生成手段15によって生成されるパスワードを、当該ユーザ端末装置10のユーザに対して非公開な状態で使用する。このため、このパスワードがユーザに知られることはない。   In the user terminal device 10, the password generated by the password generation unit 15 is used in a state that is not disclosed to the user of the user terminal device 10. For this reason, this password is not known to the user.

ここで、ユーザ端末装置10のパスワード生成手段15は、上記のように、パスワード集中管理装置20のパスワード生成手段23と同一のアルゴリズムに従って、パスワードを生成するため、ユーザ端末装置10のパスワード生成手段15によって図2のステップS6にて新たに生成されるパスワードは、前回ユーザ端末装置10からパスワード集中管理装置20に対するアクセスが成功した際に、該パスワード集中管理装置20からユーザ端末装置10に通知されたパスワードと同一のパスワードとなる。   Here, since the password generation means 15 of the user terminal device 10 generates a password according to the same algorithm as the password generation means 23 of the password central management device 20 as described above, the password generation means 15 of the user terminal device 10. The password newly generated in step S6 in FIG. 2 is notified from the central password management device 20 to the user terminal device 10 when the previous access from the user terminal device 10 to the central password management device 20 was successful. The password is the same as the password.

また、図2のステップS7での認証要求を行う段階では、ユーザ認証装置30においてパスワード記憶部32に記憶保持しているパスワードは、前回ユーザ端末装置10からパスワード集中管理装置20に対するアクセスが成功した際にパスワード集中管理装置20からユーザ認証装置30に対して通知されたパスワードである。   Further, at the stage of performing the authentication request in step S7 of FIG. 2, the password stored in the password storage unit 32 in the user authentication device 30 has been successfully accessed from the previous user terminal device 10 to the password centralized management device 20. The password is notified to the user authentication apparatus 30 from the central password management apparatus 20 at this time.

つまり、この段階では、ユーザ認証装置30においてパスワード記憶部32に記憶保持しているパスワードは、今回の図2のステップS6にてユーザ端末装置10のパスワード生成手段15により新たに生成され、今回の図2のステップS7にてユーザ端末装置10の認証装置アクセス手段14により通知されたパスワードと同一である。   That is, at this stage, the password stored in the password storage unit 32 in the user authentication device 30 is newly generated by the password generation means 15 of the user terminal device 10 in step S6 of FIG. This is the same as the password notified by the authentication device access means 14 of the user terminal device 10 in step S7 of FIG.

従って、ユーザ認証装置30の認証手段33による認証の結果は、成功となり、その旨がユーザ端末装置10に対して通知される。   Therefore, the result of the authentication by the authentication unit 33 of the user authentication device 30 is successful, and that fact is notified to the user terminal device 10.

以上のような第1の実施形態によれば、パスワード認証システム100において、原則として(パスワード集中管理装置20に障害が発生しない限りは)、同一のパスワードを、ユーザ認証装置30での1回の認証にしか使用できないので、同一パスワードの長期運用は回避でき、従って、高いセキュリティ性を確保することができる。   According to the first embodiment as described above, in the password authentication system 100, in principle (unless a failure occurs in the central password management apparatus 20), the same password is used once in the user authentication apparatus 30. Since it can only be used for authentication, long-term operation of the same password can be avoided, and thus high security can be ensured.

また、そのように、原則としては同一のパスワードをユーザ認証装置30での1回の認証にしか使用できないように構成されたパスワード認証システム100において、ユーザ端末装置10からパスワード集中管理装置20に対するアクセスを試行しても該パスワード集中管理装置20からユーザ端末装置10に対してパスワード及び認証IDが通知されない場合には、ユーザ端末装置10にて、予め記憶しておいた認証IDを用いてパスワードを生成し、該生成したパスワードを用いてユーザ認証装置30に対する認証要求を行うので、パスワード管理装置に障害が発生している場合であっても、ユーザ認証装置による認証処理を実現することができる。   As described above, in principle, in the password authentication system 100 configured such that the same password can be used only for one-time authentication by the user authentication device 30, access from the user terminal device 10 to the password central management device 20 is performed. If the password centralized management device 20 does not notify the user terminal device 10 of the password and the authentication ID even after trying the password, the user terminal device 10 uses the authentication ID stored in advance to enter the password. Since the password is generated and an authentication request is made to the user authentication apparatus 30 using the generated password, the authentication process by the user authentication apparatus can be realized even when a failure has occurred in the password management apparatus.

また、ユーザ端末装置10のユーザ自身がパスワードを管理するのではないので、高いセキュリティ性を確保することができるとともに、シングルサインオンが可能となる。   In addition, since the user of the user terminal device 10 does not manage the password, high security can be ensured and single sign-on can be performed.

更に、ユーザ端末装置10にて記憶保持する情報は認証IDのみであり、パスワードは記憶保持しないため、更にセキュリティが向上する。   Further, since the information stored and held in the user terminal device 10 is only the authentication ID and the password is not stored and held, security is further improved.

〔第2の実施形態〕
次に、第2の実施形態について説明する。 [Second Embodiment]
Next, a second embodiment will be described.

図5は第2の実施形態に係るパスワード認証システム200の構成を示すブロック図である。   FIG. 5 is a block diagram showing the configuration of the password authentication system 200 according to the second embodiment.

図5に示すように、第2の実施形態に係るパスワード認証システム200は、上記の第1の実施形態に係るパスワード認証システム100よりもセキュリティ性を高めるために、そのユーザ端末装置10が認証用プログラム実行用パスワード認証手段(予備認証手段)201を更に備えている。   As shown in FIG. 5, in the password authentication system 200 according to the second embodiment, the user terminal device 10 is used for authentication in order to improve security compared to the password authentication system 100 according to the first embodiment. A program execution password authentication means (preliminary authentication means) 201 is further provided.

なお、第2の実施形態に係るパスワード認証システム200は、認証用プログラム実行用パスワード認証手段201を追加で備えている点でのみ上記の第1の実施形態に係るパスワード認証システム100と相違し、その他の点では第1の実施形態に係るパスワード認証システム100と同様に構成されている。   The password authentication system 200 according to the second embodiment is different from the password authentication system 100 according to the first embodiment only in that an authentication program execution password authentication means 201 is additionally provided. In other respects, the configuration is the same as that of the password authentication system 100 according to the first embodiment.

認証用プログラム実行用パスワード認証手段201は、認証用プログラムが起動すると、所定の認証用プログラム実行用パスワード(アクセス用パスワード)の入力操作をユーザに対して要求する処理と、該要求に応じて入力された認証用プログラム実行用パスワードの認証を実行し、該認証が成功した(正しい認証用プログラム実行用パスワードが入力されたと判定した)場合に限り、集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスの試行を許可する。   The authentication program execution password authenticating means 201, when the authentication program is started, processes to request the user to input a predetermined authentication program execution password (access password), and input in response to the request The centralized password management apparatus 20 by the centralized management apparatus access means 11 is used only when the authentication program execution password is authenticated and the authentication is successful (determined that the correct authentication program execution password has been input). Allow access attempts to.

次に、第2の実施形態の場合の動作を説明する。   Next, the operation in the case of the second embodiment will be described.

図6はパスワード認証システム200のユーザ端末装置10の動作の流れを示すフローチャートである。   FIG. 6 is a flowchart showing an operation flow of the user terminal device 10 of the password authentication system 200.

なお、以下では、ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要である例を説明する。   In the following, an example in which authentication by the user authentication device 30 is necessary to use the user terminal device 10 will be described.

先ず、ユーザ端末装置10を使用したいユーザは、ユーザ端末装置10を起動する。   First, a user who wants to use the user terminal device 10 activates the user terminal device 10.

すると、ユーザ端末装置10では、該ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要であるので、ユーザ認証装置30による認証を受けるための処理を実行するための認証用プログラムが自動的に起動する。   Then, since the user terminal device 10 requires authentication by the user authentication device 30 in order to use the user terminal device 10, an authentication program for executing processing for receiving authentication by the user authentication device 30 Will start automatically.

次に、ユーザ端末装置10の認証用プログラム実行用パスワード認証手段201は、所定の認証用プログラム実行用パスワード(アクセス用パスワード)の入力操作をユーザに対して要求する入力画面を、ユーザ端末装置10が備える図示しない表示装置に表示させることにより、認証用プログラム実行用パスワードの入力を促す(図6のステップS61)。   Next, the authentication program execution password authentication means 201 of the user terminal device 10 displays an input screen for requesting the user to input a predetermined authentication program execution password (access password). 6 is prompted to input an authentication program execution password (step S61 in FIG. 6).

次に、ユーザ端末装置10の認証用プログラム実行用パスワード認証手段20は、ユーザにより入力されたパスワードが、正しい認証用プログラム実行用パスワードであるか否かの認証を行う(図6のステップS62)。   Next, the authentication program execution password authentication means 20 of the user terminal device 10 authenticates whether or not the password input by the user is the correct authentication program execution password (step S62 in FIG. 6). .

入力されたパスワードが正しかった場合(図6のステップS62のYES)、ステップS1に移行し、ユーザ端末装置10の集中管理装置アクセス手段21は、パスワード集中管理装置20に対するアクセスを試行する(図6のステップS1)。以後は上記の第1の実施形態と同様の動作を行う。   When the input password is correct (YES in step S62 in FIG. 6), the process proceeds to step S1, and the centralized management device access means 21 of the user terminal device 10 tries to access the password centralized management device 20 (FIG. 6). Step S1). Thereafter, the same operation as in the first embodiment is performed.

他方、入力したパスワードが正しくなかった場合、(図6のステップS62のNo)、例えば、「入力したパスワードは間違っています」との表示を表示画面にて表示した後、認証用プログラムを終了する。従って、集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスは実行されない。   On the other hand, if the input password is not correct (No in step S62 in FIG. 6), for example, an indication that “the input password is incorrect” is displayed on the display screen, and then the authentication program is terminated. . Therefore, access to the password central management apparatus 20 by the central management apparatus access means 11 is not executed.

以上のような第2の実施形態によれば、ユーザ端末装置10の集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスを試行する前に、所定の認証用プログラム実行用パスワード(アクセス用パスワード)の入力操作をユーザに対して要求し、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスの試行を許可するので、上記の第1の実施形態よりも更にセキュリティ性を高めることができる。   According to the second embodiment as described above, before attempting to access the password central management apparatus 20 by the central management apparatus access means 11 of the user terminal apparatus 10, a predetermined authentication program execution password (access password) is used. The centralized password management device 20 by the centralized management device access means 11 is used only when the authentication of the access password entered in response to the request is performed, and the authentication is successful. Therefore, the security can be further improved as compared with the first embodiment.

なお、上記の各実施形態では、ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要である例を説明したが、本発明はこの例に限らず、ユーザ端末装置10にて特定の処理を実行する場合にのみユーザ認証装置30による認証が必要であるような構成であっても良い。   In each of the above embodiments, an example in which authentication by the user authentication device 30 is necessary to use the user terminal device 10 has been described, but the present invention is not limited to this example, and the user terminal device 10 The configuration may be such that authentication by the user authentication device 30 is required only when specific processing is executed.

また、上記の各実施形態では、パスワード集中管理装置20のパスワード生成手段23、並びに、ユーザ端末装置10のパスワード生成手段15にて、それぞれ、ユーザIDと認証IDとを用いてパスワードを生成することにより、セキュリティ性を高めている例を説明したが、それぞれ、認証IDのみを用いてパスワードを生成するようにしても良い。   Further, in each of the above embodiments, the password generation unit 23 of the password central management device 20 and the password generation unit 15 of the user terminal device 10 generate a password using the user ID and the authentication ID, respectively. Thus, the example in which the security is improved has been described, but the password may be generated using only the authentication ID.

第1の実施形態に係るパスワード認証システム100の構成を示すブロック図である。It is a block diagram which shows the structure of the password authentication system 100 which concerns on 1st Embodiment. 図1のパスワード認証システムにおけるユーザ端末装置の動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of the user terminal device in the password authentication system of FIG. 図1のパスワード認証システムにおけるパスワード集中管理装置の動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of the password centralized management apparatus in the password authentication system of FIG. 図1のパスワード認証システムにおけるユーザ認証装置の動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of the user authentication apparatus in the password authentication system of FIG. 第2の実施形態に係るパスワード認証システム100の構成を示すブロック図である。It is a block diagram which shows the structure of the password authentication system 100 which concerns on 2nd Embodiment. 図5のパスワード認証システムにおけるユーザ端末装置の動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of the user terminal device in the password authentication system of FIG.

符号の説明Explanation of symbols

10 ユーザ端末装置
11 集中管理装置アクセス手段(アクセス手段)
12 認証ID記憶部(認証情報記憶手段)
13 認証ID更新手段(認証情報更新手段)
14 認証要求手段
15 パスワード生成手段(第2のパスワード生成手段)
20 パスワード集中管理装置(パスワード管理装置)
22 認証ID発行手段(認証情報発行手段)
23 パスワード生成手段(第1のパスワード生成手段)
25 通知手段
27 パスワード更新手段
30 ユーザ認証装置
32 パスワード記憶部(パスワード記憶手段)
33 認証手段
100 パスワード認証システム
200 パスワード認証システム
201 認証用プログラム実行用パスワード認証手段(予備認証手段) 10 User terminal device 11 Centralized management device access means (access means)
12 Authentication ID storage unit (authentication information storage means)
13 Authentication ID update means (authentication information update means)
14 Authentication request means 15 Password generation means (second password generation means)
20 Centralized password management device (password management device)
22 Authentication ID issuing means (authentication information issuing means)
23 Password generation means (first password generation means)
25 Notification means 27 Password update means 30 User authentication device 32 Password storage unit (password storage means)
33 Authentication means 100 Password authentication system 200 Password authentication system 201 Password authentication means for executing authentication program (preliminary authentication means)

Claims (16)

ユーザに使用されるユーザ端末装置と、該ユーザ端末装置からの認証要求に応じて認証処理を行うユーザ認証装置と、該ユーザ認証装置による認証に用いられるパスワードを管理するパスワード管理装置と、を備えるパスワード認証システムにおいて、
前記ユーザ認証装置は、
各ユーザ端末装置に対応するパスワードを記憶保持するパスワード記憶手段と、
前記ユーザ端末装置からパスワードを用いた認証要求があると、該パスワードを前記パスワード記憶手段に記憶されたパスワードのうちの対応するパスワードと照合することによって認証を行う認証手段と、
を備えて構成され、
前記パスワード管理装置は、
前記ユーザ端末装置からアクセスされる度に新規に認証情報を発行する認証情報発行手段と、
前記認証情報発行手段により認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第1のパスワード生成手段と、
前記第1のパスワード生成手段により新規に生成されたパスワードによって、前記ユーザ認証装置の前記パスワード記憶手段に記憶された古いパスワードを更新するパスワード更新手段と、
前記第1のパスワード生成手段により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する通知手段と、
を備えて構成され、
前記ユーザ端末装置は、
前記パスワード管理装置に対するアクセスを行うアクセス手段と、
前記認証情報を記憶保持する認証情報記憶手段と、
前記パスワード管理装置の前記通知手段により認証情報及びパスワードが通知された場合に、該通知された認証情報によって、前記認証情報記憶手段に記憶されている古い認証情報を更新する認証情報更新手段と、
前記アクセス手段によって前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から認証情報及びパスワードが通知されない場合に、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記第1のパスワード生成手段と同一の手法により新規にパスワードを生成する第2のパスワード生成手段と、
前記パスワード管理装置の前記通知手段によりパスワードが通知されるか、又は、前記第2のパスワード生成手段によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて前記ユーザ認証装置に対する認証要求を行う認証要求手段と、
を備えて構成されていることを特徴とするパスワード認証システム。 A user terminal device used by a user; a user authentication device that performs authentication processing in response to an authentication request from the user terminal device; and a password management device that manages a password used for authentication by the user authentication device. In the password authentication system,
The user authentication device includes:
Password storage means for storing and holding a password corresponding to each user terminal device;
When there is an authentication request using a password from the user terminal device, an authentication unit that performs authentication by checking the password against a corresponding password among the passwords stored in the password storage unit;
Configured with
The password management device
Authentication information issuing means for newly issuing authentication information whenever accessed from the user terminal device;
A first password generating means for newly generating a password based on the issued authentication information each time authentication information is newly issued by the authentication information issuing means;
Password update means for updating an old password stored in the password storage means of the user authentication device with a password newly generated by the first password generation means;
A notification means for notifying the access source user terminal device of the password newly generated by the first password generation means and the authentication information used to generate the password;
Configured with
The user terminal device
Access means for accessing the password management device;
Authentication information storage means for storing and holding the authentication information;
Authentication information update means for updating old authentication information stored in the authentication information storage means with the notified authentication information when the notification information and password are notified by the notification means of the password management device;
If the password management device does not notify the authentication information and the password even if the access unit attempts to access the password management device, the first information is stored based on the authentication information stored in the authentication information storage unit. Second password generation means for newly generating a password by the same method as the password generation means of
When the password is notified by the notifying unit of the password management device, or when the password is generated by the second password generating unit, the user authentication device is authenticated using the notification or the generated password An authentication request means for making a request;
A password authentication system comprising: 前記ユーザ端末装置の前記アクセス手段は、前記ユーザ認証装置による認証が必要な場合に、自動的に前記パスワード管理装置に対するアクセスを試行することを特徴とする請求項1に記載のパスワード認証システム。   2. The password authentication system according to claim 1, wherein the access means of the user terminal device automatically tries to access the password management device when authentication by the user authentication device is required. 前記ユーザ端末装置は、該ユーザ端末装置の前記アクセス手段による前記パスワード管理装置に対するアクセスを試行する際に、予め、所定のアクセス用パスワードの入力操作をユーザに対して要求する処理と、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、前記アクセス手段による前記パスワード管理装置に対するアクセスの試行を許可する処理と、を行う予備認証手段を更に備えることを特徴とする請求項1に記載のパスワード認証システム。   When the user terminal device attempts to access the password management device by the access means of the user terminal device, the user terminal device requests the user to input a predetermined access password in advance, and And a pre-authentication unit that performs authentication of the access password input in response to the request and permits the access unit to try to access the password management device only when the authentication is successful. The password authentication system according to claim 1. 前記ユーザ端末装置の前記予備認証手段は、前記ユーザ認証装置による認証が必要な場合に、自動的に、前記アクセス用パスワードの入力操作をユーザに対して要求する処理を行うことを特徴とする請求項3に記載のパスワード認証システム。   The preliminary authentication unit of the user terminal device automatically performs a process of requesting the user to input the access password when authentication by the user authentication device is required. Item 4. The password authentication system according to item 3. 前記パスワード管理装置の前記第1のパスワード生成手段は、前記認証情報発行手段により発行された認証情報と、前記ユーザ端末装置の前記アクセス手段によるアクセスがあった際に該ユーザ端末装置より取得したユーザ固有情報と、の2つの情報に基づいてパスワードを生成する一方で、
前記ユーザ端末装置の前記第2のパスワード生成手段は、前記認証情報記憶手段に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することを特徴とする請求項1乃至4の何れか一項に記載のパスワード認証システム。 The first password generation means of the password management device includes the authentication information issued by the authentication information issuing means and the user acquired from the user terminal device when accessed by the access means of the user terminal device While generating a password based on two pieces of information, unique information,
The second password generating means of the user terminal device is based on two pieces of information: authentication information stored in the authentication information storage means and user specific information stored in the user terminal device. The password authentication system according to any one of claims 1 to 4, wherein the password authentication system is generated. 前記ユーザ端末装置の前記第2のパスワード生成手段は、前記アクセス手段によって前記パスワード管理装置に対するアクセスが試行されてから所定時間が経過しても、前記パスワード管理装置から認証情報及びパスワードが通知されない場合に、パスワードを生成することを特徴とする請求項1乃至5の何れか一項に記載のパスワード認証システム。   When the second password generation means of the user terminal device is not notified of authentication information and password from the password management device even after a predetermined time has elapsed since the access device tried to access the password management device. The password authentication system according to claim 1, wherein a password is generated. 請求項1乃至6の何れか一項に記載のパスワード認証システムにおける前記パスワード管理装置。   The said password management apparatus in the password authentication system as described in any one of Claims 1 thru | or 6. 請求項1乃至6の何れか一項に記載のパスワード認証システムにおける前記ユーザ端末装置。   The user terminal device in the password authentication system according to any one of claims 1 to 6. 請求項7に記載のパスワード管理装置による処理をコンピュータに実行させるためのプログラム。   The program for making a computer perform the process by the password management apparatus of Claim 7. 請求項8に記載のユーザ端末装置による処理をコンピュータに実行させるためのプログラム。   The program for making a computer perform the process by the user terminal device of Claim 8. ユーザに使用されるユーザ端末装置と、該ユーザ端末装置からの認証要求に応じて認証処理を行うユーザ認証装置と、該ユーザ認証装置による認証に用いられるパスワードを管理するパスワード管理装置と、を備えるパスワード認証システムにおけるパスワードの認証を行う方法において、
前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行する第1の過程と、
前記アクセスがある度に前記パスワード管理装置にて新規に認証情報を発行する第2の過程と、
前記認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第3の過程と、
前記第3の過程により新規に生成されたパスワードによって、前記ユーザ認証装置に記憶された古いパスワードを更新する第4の過程と、
前記第3の過程により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する第5の過程と、
前記ユーザ端末装置に対し認証情報及びパスワードが通知された場合に、該通知された認証情報によって、該ユーザ端末装置に予め記憶されている古い認証情報を更新する第6の過程と、
前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から前記ユーザ端末装置に対して認証情報及びパスワードが通知されない場合に、該ユーザ端末装置に記憶されている認証情報に基づいて、前記第3の過程におけるのと同一の手法により新規にパスワードを生成する第7の過程と、
前記パスワード管理装置から前記ユーザ端末装置に対してパスワードが通知されるか、又は、前記第7の過程によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて、前記ユーザ端末装置から前記ユーザ認証装置に対する認証要求を行う第8の過程と、
を備えることを特徴とするパスワード認証方法。 A user terminal device used by a user; a user authentication device that performs authentication processing in response to an authentication request from the user terminal device; and a password management device that manages a password used for authentication by the user authentication device. In the method of authenticating the password in the password authentication system,
A first step of trying to access the password management device from the user terminal device;
A second step of newly issuing authentication information in the password management device each time the access is made;
A third step of generating a new password based on the issued authentication information each time the authentication information is newly issued;
A fourth step of updating an old password stored in the user authentication device with a password newly generated by the third step;
A fifth step of notifying the access source user terminal device of the password newly generated by the third step and the authentication information used to generate the password;
When authentication information and a password are notified to the user terminal device, a sixth process of updating old authentication information stored in advance in the user terminal device with the notified authentication information;
Authentication information stored in the user terminal device when authentication information and a password are not notified from the password management device to the user terminal device even if the user terminal device attempts to access the password management device. And a seventh process for generating a new password by the same method as in the third process,
When the password is notified from the password management device to the user terminal device, or when the password is generated by the seventh process, the user terminal device is used by using the notification or the generated password. An eighth step of making an authentication request to the user authentication device from:
A password authentication method comprising: 前記ユーザ認証装置による認証が必要な場合に、自動的に前記第1の過程を実行することを特徴とする請求項11に記載のパスワード認証方法。   12. The password authentication method according to claim 11, wherein the first process is automatically executed when authentication by the user authentication device is required. 前記ユーザ端末装置では、前記第1の過程の前に、所定のアクセス用パスワードの入力操作をユーザに対して要求し、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、前記第1の過程の実行を許可することを特徴とする請求項11に記載のパスワード認証方法。   Prior to the first step, the user terminal device requests the user to input a predetermined access password, executes authentication of the access password input in response to the request, and executes the authentication. 12. The password authentication method according to claim 11, wherein execution of the first process is permitted only when the password is successful. 前記ユーザ端末装置では、前記ユーザ認証装置による認証が必要な場合に、自動的に、前記アクセス用パスワードの入力操作をユーザに対して要求する処理を行うことを特徴とする請求項13に記載のパスワード認証方法。   The said user terminal device performs the process which requests | requires the input operation of the said access password automatically from a user, when the authentication by the said user authentication apparatus is required. Password authentication method. 前記第3の過程では、前記第2の過程により発行された認証情報と、前記第1の過程でのアクセスがあった際に前記ユーザ端末装置より取得したユーザ固有情報と、の2つの情報に基づいてパスワードを生成する一方で、
前記第7の過程では、前記ユーザ端末装置に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することを特徴とする請求項11乃至14の何れか一項に記載のパスワード認証方法。 In the third process, the authentication information issued in the second process and the user specific information acquired from the user terminal device when accessed in the first process are included in the two information While generating a password based on
In the seventh step, a password is generated based on two pieces of information: authentication information stored in the user terminal device and user-specific information stored in the user terminal device. The password authentication method according to any one of claims 11 to 14. 前記第1の過程が実行されてから所定時間が経過しても、前記パスワード管理装置から前記ユーザ端末装置に認証情報及びパスワードが通知されない場合に、前記第7の過程を実行することを特徴とする請求項11乃至15の何れか一項に記載のパスワード認証方法。

The seventh process is performed when authentication information and a password are not notified from the password management apparatus to the user terminal apparatus even after a predetermined time has elapsed since the first process was performed. The password authentication method according to any one of claims 11 to 15.

JP2005089044A 2005-03-25 2005-03-25 Password authentication system and method Pending JP2006268719A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005089044A JP2006268719A (en) 2005-03-25 2005-03-25 Password authentication system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005089044A JP2006268719A (en) 2005-03-25 2005-03-25 Password authentication system and method

Publications (1)

Publication Number Publication Date
JP2006268719A true JP2006268719A (en) 2006-10-05

Family

ID=37204579

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005089044A Pending JP2006268719A (en) 2005-03-25 2005-03-25 Password authentication system and method

Country Status (1)

Country Link
JP (1) JP2006268719A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009157482A1 (en) * 2008-06-27 2009-12-30 エヌ・ティ・ティ・コミュニケーションズ株式会社 Communication terminal, authentication information generation device, authentication system, authentication information generation program, authentication information generation method and authentication method
JP2010027028A (en) * 2008-07-17 2010-02-04 Symantec Corp Control of website usage via online storage of restricted authentication credential
JP2016192715A (en) * 2015-03-31 2016-11-10 株式会社東芝 Encryption key management system and encryption key management method
JP2018516403A (en) * 2015-05-07 2018-06-21 ジェムアルト エスアー How to manage access to services
KR102017038B1 (en) * 2019-02-22 2019-09-02 주식회사 넷앤드 An access control system for web applications

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009157482A1 (en) * 2008-06-27 2009-12-30 エヌ・ティ・ティ・コミュニケーションズ株式会社 Communication terminal, authentication information generation device, authentication system, authentication information generation program, authentication information generation method and authentication method
JP2010027028A (en) * 2008-07-17 2010-02-04 Symantec Corp Control of website usage via online storage of restricted authentication credential
JP2016192715A (en) * 2015-03-31 2016-11-10 株式会社東芝 Encryption key management system and encryption key management method
JP2018516403A (en) * 2015-05-07 2018-06-21 ジェムアルト エスアー How to manage access to services
US10251062B2 (en) 2015-05-07 2019-04-02 Gemalto Sa Method of managing access to a service
KR102017038B1 (en) * 2019-02-22 2019-09-02 주식회사 넷앤드 An access control system for web applications

Similar Documents

Publication Publication Date Title
US9769179B2 (en) Password authentication
EP3123692B1 (en) Techniques to operate a service with machine generated authentication tokens
US9641521B2 (en) Systems and methods for network connected authentication
US10009184B1 (en) Methods and apparatus for controlling access to encrypted computer files
US8667294B2 (en) Apparatus and method for preventing falsification of client screen
US20110113484A1 (en) Unified system interface for authentication and authorization
US20180191702A1 (en) Multiple field authentication
US10447682B1 (en) Trust management in an electronic environment
US20180219864A1 (en) Account login method and apparatus
WO2017000351A1 (en) Identity verification method and apparatus
WO2015116847A1 (en) Authentication sequencing based on normalized levels of assurance of identity services
JP2006268719A (en) Password authentication system and method
JP2010086175A (en) Remote access management system and method
JP4862551B2 (en) Authentication control program and authentication device
AU2024200365A1 (en) Apparatus, method, and computer program product for claim management device lockout
US20180048635A1 (en) Method and system for a multiple password web service and management dashboard
JP2009003501A (en) Onetime password authentication system
CN114766084A (en) Automated manipulation of managed devices for re-registration
WO2017092507A1 (en) Application encryption method and device, and application access method and device
US10785213B2 (en) Continuous authentication
WO2021015711A1 (en) Automatic password expiration based on password integrity
JP2006260002A (en) Single sign-on system, server device, single sign-on method and program
JP2002222171A (en) Security system for information processing
KR102452717B1 (en) Apparatus and Method for User Authentication
JP5854070B2 (en) Access control device, terminal device, and program