JP2006268719A - Password authentication system and method - Google Patents
Password authentication system and method Download PDFInfo
- Publication number
- JP2006268719A JP2006268719A JP2005089044A JP2005089044A JP2006268719A JP 2006268719 A JP2006268719 A JP 2006268719A JP 2005089044 A JP2005089044 A JP 2005089044A JP 2005089044 A JP2005089044 A JP 2005089044A JP 2006268719 A JP2006268719 A JP 2006268719A
- Authority
- JP
- Japan
- Prior art keywords
- password
- authentication
- user terminal
- terminal device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、パスワード認証システム、このパスワード認証システムが備える管理装置、このパスワード認証システムが備えるユーザ端末装置、パスワード認証方法及びプログラムに関する。 The present invention relates to a password authentication system, a management device provided in the password authentication system, a user terminal device provided in the password authentication system, a password authentication method, and a program.
従来、複数のシステムからなるコンピュータシステムを利用するユーザは、各システム毎にユーザID及びパスワードの管理が必要であった。 Conventionally, a user who uses a computer system composed of a plurality of systems has to manage a user ID and a password for each system.
しかし、各ユーザにユーザID及びパスワードを管理させると、ユーザがユーザID及びパスワードを忘れてしまった場合などにシステム管理者の管理負荷が高まるといった問題や、パスワード流出による不正アクセスが発生するといった問題や、同一パスワードを複数のシステムで利用したり長期間利用したりすることによりセキュリティ性が低下してしまうといった問題があった。 However, if each user manages the user ID and password, there is a problem that the management load of the system administrator increases when the user forgets the user ID and password, or a problem that unauthorized access due to password leakage occurs. In addition, there is a problem that security is lowered by using the same password in a plurality of systems or for a long time.
このような問題に鑑み、特許文献1及び2には、パスワードを一括管理(集中管理)し、シングルサインオンを可能とする技術が開示されている。 In view of such a problem, Patent Documents 1 and 2 disclose a technology that enables single sign-on by collectively managing passwords (centralized management).
特許文献3には、パスワードを一括で変更することが記載されている。
しかしながら、上記のような従来のパスワード集中管理方式では、パスワードを集中管理する管理装置に障害(ダウンなど)が発生した場合には、認証が一切できなくなってしまうという問題があった。 However, the conventional password centralized management method as described above has a problem that authentication cannot be performed at all when a failure (such as down) occurs in a management apparatus that centrally manages passwords.
また、特許文献1及び2のような従来技術では、本人確認のために個人認証装置が必要であった。また、パスワードの変更の際、シングルサインオンを実現するプログラムへのパスワードの変更設定が必要であった。また、パスワードの変更は各ユーザが管理していたため、セキュリティ性が低かった。 Further, in the conventional techniques such as Patent Documents 1 and 2, a personal authentication device is required for identity verification. Also, when changing the password, it was necessary to change the password to the program that implements single sign-on. Moreover, since the password change was managed by each user, the security was low.
また、特許文献3の技術では、複数システムのパスワードを一括変更を可能にしているが、パスワードの変更はユーザが自ら行うため、セキュリティ性が低かった。 In the technique of Patent Document 3, the passwords of a plurality of systems can be changed at once, but the security is low because the user changes the password by himself.
本発明は、上記のような問題点を解決するためになされたもので、パスワードを集中管理する管理装置に障害が発生しても認証を行うことが可能であるとともに、従来よりもセキュリティ性を高めることが可能なパスワード認証システム、このパスワード認証システムが備える管理装置、このパスワード認証システムが備えるユーザ端末装置、パスワード認証方法及びプログラムを提供することを目的とする。 The present invention has been made to solve the above-described problems, and can perform authentication even when a failure occurs in a management apparatus that centrally manages passwords, and has higher security than before. An object of the present invention is to provide a password authentication system that can be enhanced, a management device provided in the password authentication system, a user terminal device provided in the password authentication system, a password authentication method, and a program.
上記課題を解決するため、本発明のユーザに使用されるユーザ端末装置と、該ユーザ端末装置からの認証要求に応じて認証処理を行うユーザ認証装置と、該ユーザ認証装置による認証に用いられるパスワードを管理するパスワード管理装置と、を備えるパスワード認証システムにおいて、前記ユーザ認証装置は、各ユーザ端末装置に対応するパスワードを記憶保持するパスワード記憶手段と、前記ユーザ端末装置からパスワードを用いた認証要求があると、該パスワードを前記パスワード記憶手段に記憶されたパスワードのうちの対応するパスワードと照合することによって認証を行う認証手段と、を備えて構成され、前記パスワード管理装置は、前記ユーザ端末装置からアクセスされる度に新規に認証情報を発行する認証情報発行手段と、前記認証情報発行手段により認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第1のパスワード生成手段と、前記第1のパスワード生成手段により新規に生成されたパスワードによって、前記ユーザ認証装置の前記パスワード記憶手段に記憶された古いパスワードを更新するパスワード更新手段と、前記第1のパスワード生成手段により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する通知手段と、を備えて構成され、前記ユーザ端末装置は、前記パスワード管理装置に対するアクセスを行うアクセス手段と、前記認証情報を記憶保持する認証情報記憶手段と、前記パスワード管理装置の前記通知手段により認証情報及びパスワードが通知された場合に、該通知された認証情報によって、前記認証情報記憶手段に記憶されている古い認証情報を更新する認証情報更新手段と、前記アクセス手段によって前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から認証情報及びパスワードが通知されない場合に、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記第1のパスワード生成手段と同一の手法により新規にパスワードを生成する第2のパスワード生成手段と、前記パスワード管理装置の前記通知手段によりパスワードが通知されるか、又は、前記第2のパスワード生成手段によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて前記ユーザ認証装置に対する認証要求を行う認証要求手段と、を備えて構成されていることを特徴としている。 In order to solve the above problems, a user terminal device used by a user of the present invention, a user authentication device that performs authentication processing in response to an authentication request from the user terminal device, and a password used for authentication by the user authentication device In the password authentication system comprising the password management device for managing the password, the user authentication device includes password storage means for storing and holding a password corresponding to each user terminal device, and an authentication request using a password from the user terminal device. An authentication unit configured to perform authentication by comparing the password with a corresponding password stored in the password storage unit, and the password management device includes: An authentication information issuing means for newly issuing authentication information every time it is accessed; Each time authentication information is newly issued by the authentication information issuing means, a first password generating means for newly generating a password based on the issued authentication information, and a new password by the first password generating means A password update unit that updates an old password stored in the password storage unit of the user authentication device with the generated password, a password newly generated by the first password generation unit, and generation of the password A notification means for notifying the used authentication information to the user terminal device as an access source, the user terminal device comprising: an access means for accessing the password management device; and the authentication information. Authentication information storage means for storing and holding the authentication information by the notification means of the password management device. And when the password is notified, the authentication information updating means for updating the old authentication information stored in the authentication information storage means with the notified authentication information, and access to the password management device by the access means. If the authentication information and the password are not notified from the password management device even if the attempt is made, the password management device newly uses the same method as the first password generation unit based on the authentication information stored in the authentication information storage unit. When the password is notified by the second password generation means for generating a password and the notification means of the password management device, or when the password is generated by the second password generation means, the notification or generation Authentication request for making an authentication request to the user authentication device using the password that has been set And means.
本発明のパスワード認証システムにおいては、前記ユーザ端末装置の前記アクセス手段は、前記ユーザ認証装置による認証が必要な場合に、自動的に前記パスワード管理装置に対するアクセスを試行することが好ましい。 In the password authentication system of the present invention, it is preferable that the access means of the user terminal device automatically tries to access the password management device when authentication by the user authentication device is required.
本発明のパスワード認証システムにおいては、前記ユーザ端末装置は、該ユーザ端末装置の前記アクセス手段による前記パスワード管理装置に対するアクセスを試行する際に、予め、所定のアクセス用パスワードの入力操作をユーザに対して要求する処理と、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、前記アクセス手段による前記パスワード管理装置に対するアクセスの試行を許可する処理と、を行う予備認証手段を更に備えることが好ましい。 In the password authentication system of the present invention, when the user terminal device attempts to access the password management device by the access means of the user terminal device, the user terminal device performs an input operation of a predetermined access password to the user in advance. Processing for requesting, and authentication of an access password input in response to the request, and processing for permitting an access attempt to the password management device by the access means only when the authentication is successful; It is preferable to further include preliminary authentication means for performing the above.
本発明のパスワード認証システムにおいては、前記ユーザ端末装置の前記予備認証手段は、前記ユーザ認証装置による認証が必要な場合に、自動的に、前記アクセス用パスワードの入力操作をユーザに対して要求する処理を行うことが好ましい。 In the password authentication system of the present invention, the preliminary authentication means of the user terminal device automatically requests the user to input the access password when authentication by the user authentication device is required. It is preferable to carry out the treatment.
本発明のパスワード認証システムにおいては、前記パスワード管理装置の前記第1のパスワード生成手段は、前記認証情報発行手段により発行された認証情報と、前記ユーザ端末装置の前記アクセス手段によるアクセスがあった際に該ユーザ端末装置より取得したユーザ固有情報と、の2つの情報に基づいてパスワードを生成する一方で、前記ユーザ端末装置の前記第2のパスワード生成手段は、前記認証情報記憶手段に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することが好ましい。 In the password authentication system of the present invention, the first password generation unit of the password management device receives the authentication information issued by the authentication information issuing unit and the access by the access unit of the user terminal device And generating the password on the basis of the two pieces of user-specific information acquired from the user terminal device, while the second password generating means of the user terminal device is stored in the authentication information storage means. It is preferable to generate a password based on two pieces of information: authentication information that is stored in the user terminal device and user-specific information stored in the user terminal device.
本発明のパスワード認証システムにおいては、前記ユーザ端末装置の前記第2のパスワード生成手段は、前記アクセス手段によって前記パスワード管理装置に対するアクセスが試行されてから所定時間が経過しても、前記パスワード管理装置から認証情報及びパスワードが通知されない場合に、パスワードを生成することが好ましい。 In the password authentication system according to the present invention, the second password generation means of the user terminal device may be configured such that, even if a predetermined time elapses after the access means tries to access the password management apparatus, the password management apparatus It is preferable to generate a password when authentication information and a password are not notified from.
本発明のパスワード管理装置は、本発明のパスワード認証システムにおける前記パスワード管理装置であることを特徴としている。 The password management device of the present invention is the password management device in the password authentication system of the present invention.
本発明のユーザ端末装置は、本発明のパスワード認証システムにおける前記ユーザ端末装置であることを特徴としている。 The user terminal device of the present invention is the user terminal device in the password authentication system of the present invention.
本発明のプログラムは、本発明のパスワード管理装置による処理をコンピュータに実行させるためのプログラムであることを特徴としている。 The program of the present invention is a program for causing a computer to execute processing by the password management apparatus of the present invention.
本発明のプログラムは、本発明のユーザ端末装置による処理をコンピュータに実行させるためのプログラムであることを特徴としている。 The program of the present invention is a program for causing a computer to execute processing by the user terminal device of the present invention.
また、本発明のパスワード認証方法は、ユーザに使用されるユーザ端末装置と、該ユーザ端末装置からの認証要求に応じて認証処理を行うユーザ認証装置と、該ユーザ認証装置による認証に用いられるパスワードを管理するパスワード管理装置と、を備えるパスワード認証システムにおけるパスワードの認証を行う方法において、前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行する第1の過程と、前記アクセスがある度に前記パスワード管理装置にて新規に認証情報を発行する第2の過程と、前記認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第3の過程と、前記第3の過程により新規に生成されたパスワードによって、前記ユーザ認証装置に記憶された古いパスワードを更新する第4の過程と、前記第3の過程により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する第5の過程と、前記ユーザ端末装置に対し認証情報及びパスワードが通知された場合に、該通知された認証情報によって、該ユーザ端末装置に予め記憶されている古い認証情報を更新する第6の過程と、前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から前記ユーザ端末装置に対して認証情報及びパスワードが通知されない場合に、該ユーザ端末装置に記憶されている認証情報に基づいて、前記第3の過程におけるのと同一の手法により新規にパスワードを生成する第7の過程と、前記パスワード管理装置から前記ユーザ端末装置に対してパスワードが通知されるか、又は、前記第7の過程によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて、前記ユーザ端末装置から前記ユーザ認証装置に対する認証要求を行う第8の過程と、を備えることを特徴としている。 The password authentication method of the present invention includes a user terminal device used for a user, a user authentication device that performs authentication processing in response to an authentication request from the user terminal device, and a password used for authentication by the user authentication device. In a method for authenticating a password in a password authentication system comprising: a password management device that manages the password management device, a first step of trying to access the password management device from the user terminal device; and A second step of newly issuing authentication information in the management device; and a third step of generating a new password based on the issued authentication information each time the authentication information is newly issued; The old path stored in the user authentication device by the password newly generated by the third process A fourth process of updating the password, a password newly generated by the third process, and authentication information used to generate the password are notified to the access source user terminal device. And, when authentication information and a password are notified to the user terminal device, a sixth step of updating old authentication information stored in advance in the user terminal device with the notified authentication information; The authentication stored in the user terminal device when authentication information and password are not notified from the password management device to the user terminal device even if the user terminal device attempts to access the password management device. A seventh step of generating a new password based on the information by the same method as in the third step, and the password management; When the password is notified from the device to the user terminal device, or when the password is generated by the seventh process, the user terminal device uses the password generated by the notification or the generated password. And an eighth step of making an authentication request to the authentication device.
本発明のパスワード認証方法においては、前記ユーザ認証装置による認証が必要な場合に、自動的に前記第1の過程を実行することが好ましい。 In the password authentication method of the present invention, it is preferable that the first process is automatically executed when authentication by the user authentication device is required.
本発明のパスワード認証方法においては、前記ユーザ端末装置では、前記第1の過程の前に、所定のアクセス用パスワードの入力操作をユーザに対して要求し、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、前記第1の過程の実行を許可することが好ましい。 In the password authentication method of the present invention, the user terminal device requests the user to input a predetermined access password before the first step, and the access terminal input in response to the request. It is preferable to execute the first process only when password authentication is executed and the authentication is successful.
本発明のパスワード認証方法においては、前記ユーザ端末装置では、前記ユーザ認証装置による認証が必要な場合に、自動的に、前記アクセス用パスワードの入力操作をユーザに対して要求する処理を行うことが好ましい。 In the password authentication method of the present invention, the user terminal device may automatically perform a process of requesting the user to input the access password when authentication by the user authentication device is required. preferable.
本発明のパスワード認証方法においては、前記第3の過程では、前記第2の過程により発行された認証情報と、前記第1の過程でのアクセスがあった際に前記ユーザ端末装置より取得したユーザ固有情報と、の2つの情報に基づいてパスワードを生成する一方で、前記第7の過程では、前記ユーザ端末装置に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することが好ましい。 In the password authentication method of the present invention, in the third step, the authentication information issued in the second step and the user acquired from the user terminal device when there is an access in the first step While generating the password based on the two pieces of information, the unique information, in the seventh process, the authentication information stored in the user terminal device and the user specific information stored in the user terminal device It is preferable to generate a password based on these two pieces of information.
本発明のパスワード認証方法においては、前記第1の過程が実行されてから所定時間が経過しても、前記パスワード管理装置から前記ユーザ端末装置に認証情報及びパスワードが通知されない場合に、前記第7の過程を実行することが好ましい。 In the password authentication method of the present invention, when the authentication information and the password are not notified from the password management device to the user terminal device even after a predetermined time has elapsed since the execution of the first process, It is preferable to carry out the following process.
本発明によれば、パスワード管理装置に障害が発生している場合であっても、ユーザ端末装置側で同様のパスワード生成処理を代行し、ユーザ認証装置による認証処理を実現することができる。 According to the present invention, even when a failure occurs in the password management device, the same password generation processing can be performed on the user terminal device side, and the authentication processing by the user authentication device can be realized.
また、ユーザ自身がパスワードを管理するのではないので、高いセキュリティ性を確保することができるとともに、シングルサインオンが可能となる。 Further, since the user does not manage the password, high security can be ensured and single sign-on can be performed.
以下、図面を参照して、本発明に係る実施形態について説明する。 Embodiments according to the present invention will be described below with reference to the drawings.
〔第1の実施形態〕
図1は第1の実施形態に係るパスワード認証システム100の構成を示すブロック図である。
[First Embodiment]
FIG. 1 is a block diagram showing a configuration of a
図1に示すように、第1の実施形態に係るパスワード認証システム100は、各ユーザに割り当てられたユーザ端末装置10と、各ユーザ端末装置10の認証に用いられるパスワードを集中管理するパスワード集中管理装置(パスワード管理装置)20と、各ユーザ端末装置10からの認証要求に応じて認証処理を行うユーザ認証装置30と、を備えて構成されている。
As shown in FIG. 1, a
ユーザ端末装置10と、パスワード集中管理装置20と、ユーザ認証装置30とは、ローカルエリアネットワークなどのネットワークを介して相互に接続されている。 The user terminal device 10, the password central management device 20, and the user authentication device 30 are connected to each other via a network such as a local area network.
ユーザ端末装置10は、ユーザ認証装置30による認証が必要な際にパスワード集中管理装置20に対するアクセスを試行する集中管理装置アクセス手段(アクセス手段)11と、該集中管理装置アクセス手段11によるアクセスが成功した場合にパスワード集中管理装置20から通知された認証ID(認証情報)を記憶保持する認証ID記憶部(認証情報記憶手段)12と、パスワード集中管理装置20から認証IDが通知された場合に、該通知された認証IDによって、認証ID記憶部12に記憶されている認証IDを更新する処理を行う認証ID更新手段(認証情報更新手段)13と、パスワード集中管理装置20からの応答が無く(パスワード集中管理装置20に対するアクセスが成功せず)該パスワード集中管理装置20からパスワード及び認証IDが通知されない場合に、認証ID記憶部12に記憶されている認証IDを用いてパスワードを生成するパスワード生成手段(第2のパスワード生成手段)15と、パスワード集中管理装置20から通知されるパスワード、又は、パスワード生成手段15により生成されるパスワードを用いて、ユーザ認証装置30に対する認証要求を行う認証要求手段14と、を備えて構成されている。
The user terminal device 10 has a centralized management device access means (access means) 11 for trying to access the password centralized management device 20 when authentication by the user authentication device 30 is required, and the centralized management device access means 11 has succeeded in access. If the authentication ID storage unit (authentication information storage unit) 12 stores and holds the authentication ID (authentication information) notified from the password central management device 20 and the authentication ID is notified from the password central management device 20, There is no response from the authentication ID update means (authentication information update means) 13 for performing the process of updating the authentication ID stored in the authentication
なお、ユーザ端末装置10は、例えば、パーソナルコンピュータ或いはその他の情報処理装置であり、各種の制御動作を行うCPUと、このCPUの制御用プログラムを記憶保持したROMと、CPUの作業領域などとして機能するRAMと、を備えて構成されている。 The user terminal device 10 is, for example, a personal computer or other information processing device, and functions as a CPU that performs various control operations, a ROM that stores a control program for the CPU, and a work area of the CPU. And a RAM to be configured.
ユーザ端末装置10は、そのROMに記憶されたプログラムに従って動作することにより、集中管理装置アクセス手段11、認証ID更新手段13、パスワード生成手段15及び認証要求手段14として機能する。
The user terminal device 10 functions as a centralized management
なお、ユーザ端末装置10のROMに記憶された制御用プログラムには、ユーザ認証装置30による認証を受けるための処理を実行するためのアプリケーションプログラムである認証用プログラムが含まれている。 The control program stored in the ROM of the user terminal device 10 includes an authentication program that is an application program for executing processing for receiving authentication by the user authentication device 30.
パスワード集中管理装置20は、ユーザ端末装置10の集中管理装置アクセス手段11からのアクセスを受け付け、該ユーザ端末装置10よりユーザIDを取得するアクセス受付手段21と、このアクセス受付手段21がユーザ端末装置10の集中管理装置アクセス手段11からのアクセスを受け付ける度にランダムな認証IDを新規に発行する認証ID発行手段(認証情報発行手段)22と、この認証ID発行手段22により認証IDが発行される度に、該発行された認証IDとアクセス受付手段21が取得したユーザIDとを用い所定のアルゴリズムに従って新規にパスワードを生成するパスワード生成手段(第1のパスワード生成手段)23と、このパスワード生成手段23により新規に生成されたパスワードによって、ユーザ認証装置30の後述するパスワード記憶部(パスワード記憶手段)32に記憶された古いパスワードを更新するパスワード更新手段27と、各ユーザ毎に生成したパスワードを記憶保持するパスワード記憶部26と、パスワード生成手段23により新規に生成されたパスワードと、該パスワードの生成に用いられた認証IDと、をアクセス元のユーザ端末装置10に通知する通知手段25と、を備えて構成されている。
The password centralized management device 20 receives access from the centralized management
なお、パスワード集中管理装置20は、例えば、サーバコンピュータ或いはその他の情報処理装置であり、各種の制御動作を行うCPUと、このCPUの制御用プログラムを記憶保持したROMと、CPUの作業領域などとして機能するRAMと、を備えて構成されている。 The password central management apparatus 20 is, for example, a server computer or other information processing apparatus, and includes a CPU that performs various control operations, a ROM that stores a control program for the CPU, a work area for the CPU, and the like. And a functioning RAM.
パスワード集中管理装置20は、そのROMに記憶されたプログラムに従って動作することにより、アクセス受付手段21、認証ID発行手段22、パスワード生成手段23、パスワード更新手段27及び通知手段25として機能する。
The password central management apparatus 20 functions as an access receiving means 21, an authentication ID issuing means 22, a password generating means 23, a password updating means 27, and a
ユーザ認証装置30は、各ユーザ端末装置10の認証に用いられるパスワードを記憶保持するパスワード記憶部32と、パスワード集中管理装置20のパスワード更新手段27からの指令に従って、パスワード記憶部32に記憶保持されている古いパスワードを新しいパスワードに更新するパスワード更新手段31と、各ユーザ端末装置10からの認証要求に応じて認証処理を行う認証手段33と、を備えている。
The user authentication device 30 is stored and held in the
なお、ユーザ認証装置30は、例えば、サーバコンピュータ或いはその他の情報処理装置であり、各種の制御動作を行うCPUと、このCPUの制御用プログラムを記憶保持したROMと、CPUの作業領域などとして機能するRAMと、を備えて構成されている。 The user authentication device 30 is, for example, a server computer or other information processing device, and functions as a CPU that performs various control operations, a ROM that stores a control program for the CPU, and a work area of the CPU. And a RAM to be configured.
ユーザ認証装置30は、そのROMに記憶されたプログラムに従って動作することにより、パスワード更新手段31及び認証手段33として機能する。
The user authentication device 30 functions as a
次に、図2乃至図4のフローチャートを参照して、パスワード認証システム100の動作を説明する。
Next, the operation of the
図2はユーザ端末装置10の動作の流れを示すフローチャート、図3はパスワード集中管理装置20の動作の流れを示すフローチャート、図4はユーザ認証装置30の動作の流れを示すフローチャートである。 2 is a flowchart showing an operation flow of the user terminal device 10, FIG. 3 is a flowchart showing an operation flow of the password centralized management device 20, and FIG. 4 is a flowchart showing an operation flow of the user authentication device 30.
なお、以下では、ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要である例を説明する。 In the following, an example in which authentication by the user authentication device 30 is necessary to use the user terminal device 10 will be described.
先ず、ユーザ端末装置10を使用したいユーザは、ユーザ端末装置10を起動する。 First, a user who wants to use the user terminal device 10 activates the user terminal device 10.
すると、ユーザ端末装置10では、該ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要であるので、ユーザ認証装置30による認証を受けるための処理を実行するための認証用プログラムが自動的に起動する。 Then, since the user terminal device 10 requires authentication by the user authentication device 30 in order to use the user terminal device 10, an authentication program for executing processing for receiving authentication by the user authentication device 30 Will start automatically.
次に、ユーザ端末装置10の集中管理装置アクセス手段21は、その起動した認証用プログラムに従って、パスワード集中管理装置20に対するアクセスを試行する(図2のステップS1)。パスワード集中管理装置20に障害(ダウンするなど)が発生していなければ、このアクセスは成功する。 Next, the centralized management device access means 21 of the user terminal device 10 tries to access the password centralized management device 20 in accordance with the activated authentication program (step S1 in FIG. 2). If there is no failure (such as down) in the central password management apparatus 20, this access is successful.
パスワード集中管理装置20では、ユーザ端末装置10からのアクセスがあった場合に、図3の処理を行う。 The password centralized management apparatus 20 performs the process of FIG. 3 when there is an access from the user terminal apparatus 10.
すなわち、先ず、アクセス受付手段21が、ユーザ端末装置10から、該ユーザ端末装置10に記憶保持されているユーザIDを取得する(図3のステップS11)。 That is, first, the access receiving means 21 acquires the user ID stored and held in the user terminal device 10 from the user terminal device 10 (step S11 in FIG. 3).
次に、認証ID発行手段22が、認証IDを発行する処理を行う(図3のステップS12)。ここで、認証ID発行手段22は、ユーザ端末装置10からアクセスされる度にランダムな認証IDを新規に発行する。 Next, the authentication ID issuing means 22 performs a process for issuing an authentication ID (step S12 in FIG. 3). Here, the authentication ID issuing means 22 issues a new random authentication ID every time it is accessed from the user terminal device 10.
次に、パスワード生成手段23が、先のステップS12にて認証ID発行手段により新規に発行された認証IDと、先のステップS11にてユーザ端末装置10から取得したユーザIDと、を用いて、パスワードを新規に生成する(図3のステップS13)。すなわち、例えば、ユーザIDと認証IDとをスクランブルして、パスワードを生成する。
Next, the
次に、パスワード更新手段27は、ユーザ認証装置30のパスワード記憶部32に記憶された古いパスワードを、先のステップS13にて新規に生成されたパスワードによって更新させる処理を行う。すなわち、パスワード更新手段27は、先のステップS13にて新規に生成されたパスワードと、先のステップS11にて取得したユーザIDと、をユーザ認証装置30に通知する(図3のステップS14)。
Next, the
パスワード集中管理装置20のパスワード更新手段27からの通知(新たなパスワード及び該パスワードに対応するユーザIDの通知)を受けたユーザ認証装置30では、図4の処理を行う。
The user authentication device 30 that has received the notification (new password and notification of the user ID corresponding to the password) from the
先ず、ユーザ認証装置30のパスワード更新手段31は、該ユーザ認証装置30のパスワード記憶部32に記憶されているパスワードを更新する。すなわち、パスワード記憶部32に記憶されているパスワードのうち、新たに通知されたパスワードと対応する(同じユーザ端末装置10用の)古いパスワードを、該新しいパスワードに更新する(図4のステップS21)。
First, the
次に、ユーザ認証装置30のパスワード更新手段31は、パスワードの更新が完了した旨を、パスワード集中管理装置20に対して通知する(図4のステップS22)。
Next, the
ユーザ認証装置30のパスワード更新手段31からの通知を受けたパスワード集中管理装置20では、図3の処理の続きを行う。
Upon receiving the notification from the
すなわち、パスワード集中管理装置20のパスワード更新手段27は、先のステップS13にて生成された新しいパスワードによって、該パスワード集中管理装置20のパスワード記憶部26に記憶されている古いパスワードを更新する。すなわち、パスワード記憶部26に記憶されているパスワードのうち、先のステップS13にて生成された新しいパスワードと対応する(同じユーザ端末装置10用の)古いパスワードを、該新しいパスワードに更新する(図3のステップS15)。
That is, the
次に、パスワード集中管理装置20の通知手段25は、先のステップステップS13にて新たに生成したパスワードと、該パスワードの生成用に先のステップS12にて発行した認証IDと、を今回のアクセスを行ったアクセス元のユーザ端末装置10に通知する(図3のステップS16)。具体的には、例えば、パスワード記憶部26に記憶されたパスワードのうちアクセスを行ったユーザ端末装置10に対応するパスワードを抽出し、該抽出したパスワードと、該パスワードの生成に用いられた認証IDと、を該ユーザ端末装置10に通知する。
Next, the notifying
パスワード集中管理装置20の通知手段25からの通知を受けたユーザ端末装置10では、図2の処理の続きを行う。 In the user terminal device 10 that has received the notification from the notification means 25 of the password centralized management device 20, the processing in FIG. 2 is continued.
すなわち、パスワード集中管理装置20から新しいパスワード及び該パスワードの生成に用いられた認証IDが通知されると、ユーザ端末装置10は、パスワード及び認証IDを取得できたと判定する(図2のステップS2のYES)。 That is, when a new password and an authentication ID used to generate the password are notified from the password central management device 20, the user terminal device 10 determines that the password and the authentication ID have been acquired (in step S2 in FIG. 2). YES)
次に、ユーザ端末装置10の認証ID更新手段13は、今回新たにパスワード集中管理装置20から通知された認証IDによって、既に認証ID記憶部12に記憶保持されている古い認証IDを更新する(図2のステップS3)。
Next, the authentication
次に、ユーザ端末装置10の認証要求手段14は、今回新たにパスワード集中管理装置20から通知されたパスワードを用いて、ユーザ認証装置30に対する認証要求としてのアクセスを行う。すなわち、認証要求手段14は、ユーザ認証装置30に対して、ユーザID及び新たなパスワードを通知する(図2のステップS4)。
Next, the authentication request means 14 of the user terminal device 10 accesses the user authentication device 30 as an authentication request using the password newly notified from the password central management device 20 this time. In other words, the
ここで、ユーザ端末装置10では、パスワード集中管理装置20から通知されるパスワードを、当該ユーザ端末装置10のユーザに対して非公開な状態で使用する。このため、このパスワードがユーザに知られることはない。 Here, in the user terminal device 10, the password notified from the password central management device 20 is used in a state that is not disclosed to the user of the user terminal device 10. For this reason, this password is not known to the user.
ユーザ端末装置10の認証要求手段14から認証要求としてのアクセスを受けたユーザ認証装置30の認証手段33は、該アクセスの際にユーザ端末装置10から通知されたパスワード及びユーザIDを用いて、認証を行う。すなわち、認証手段33は、ユーザ端末装置10から通知されたユーザIDと対応するパスワードをパスワード記憶部32から抽出し、該抽出したパスワードと、ユーザ端末装置10から通知されたパスワードと、が一致しているか否かを判定する。そして、双方のパスワードが一致している場合には認証が成功したと判定する一方で、一致していない場合には認証が成功しなかったと判定する。
The authentication means 33 of the user authentication device 30 that has received access as an authentication request from the authentication request means 14 of the user terminal device 10 uses the password and user ID notified from the user terminal device 10 at the time of the access. I do. That is, the
認証が成功した場合、ユーザ認証装置30の認証手段33は、その旨をアクセス元のユーザ端末装置10に対して通知する。また、認証が成功しなかった場合にも、認証手段33は、その旨をアクセス元のユーザ端末装置10に対して通知する。
When the authentication is successful, the
なお、図2乃至図4に示す正規の手順に従って認証動作を行う場合、認証の結果は成功となるので、その旨がユーザ端末装置10に対して通知される。 When the authentication operation is performed according to the regular procedure shown in FIG. 2 to FIG. 4, the result of the authentication is successful, and the user terminal device 10 is notified accordingly.
また、図2のステップS1にて、ユーザ端末装置10からパスワード集中管理装置20に対するアクセスを試行した際に、該パスワード集中管理装置20に障害が発生していた場合には、ユーザ端末装置10にはパスワード及び認証IDが通知されないので、図2のステップS2にてNoと判定される。 In addition, when a failure occurs in the central password management apparatus 20 when an attempt is made to access the central password management apparatus 20 from the user terminal apparatus 10 in step S1 of FIG. Since the password and the authentication ID are not notified, it is determined No in step S2 of FIG.
なお、ステップS2の判定、すなわち、新たなパスワード及び新たな認証IDをパスワード集中管理装置20から取得できたか否かの判定では、例えば、ステップS1の処理(パスワード集中管理装置20に対するアクセスを試みる処理)が実行されてから、所定時間(例えば、60秒)が経過するまでの間に、新たなパスワード及び新たな認証IDをパスワード集中管理装置20から取得できない場合に、取得できない(図2のステップS2のNo)と判定する。 In the determination in step S2, that is, in determining whether a new password and a new authentication ID have been acquired from the password central management device 20, for example, the process in step S1 (processing for attempting to access the password central management device 20) ) Is executed and a new password and a new authentication ID cannot be obtained from the password central management apparatus 20 until a predetermined time (for example, 60 seconds) elapses (step in FIG. 2). S2 is determined as No).
図2のステップS2にてNoと判定された場合、ユーザ端末装置10のパスワード生成手段15は、認証ID記憶部12に記憶保持されている認証IDを該認証ID記憶部12より取得する(図2のステップS5)。
When it is determined No in step S2 of FIG. 2, the
次に、ユーザ端末装置10のパスワード生成手段15は、先のステップS5にて取得した認証IDと、ユーザIDと、を用いて、新たなパスワードを生成する(図2のステップS6)。ここで、ユーザ端末装置10のパスワード生成手段15は、パスワード集中管理装置20のパスワード生成手段23と同一のアルゴリズムに従って(同一の手法により)、パスワードを生成する。
Next, the
次に、ユーザ端末装置10の認証装置アクセス手段14は、該ユーザ端末装置10のパスワード生成手段15によって新たに生成されたパスワードを用いて、ユーザ認証装置30に対する認証要求としてのアクセスを行う。すなわち、認証装置アクセス手段14は、ユーザ認証装置30に対して、ユーザID及び新たなパスワードを通知する(図2のステップS7)。
Next, the authentication
なお、ユーザ端末装置10では、パスワード生成手段15によって生成されるパスワードを、当該ユーザ端末装置10のユーザに対して非公開な状態で使用する。このため、このパスワードがユーザに知られることはない。
In the user terminal device 10, the password generated by the
ここで、ユーザ端末装置10のパスワード生成手段15は、上記のように、パスワード集中管理装置20のパスワード生成手段23と同一のアルゴリズムに従って、パスワードを生成するため、ユーザ端末装置10のパスワード生成手段15によって図2のステップS6にて新たに生成されるパスワードは、前回ユーザ端末装置10からパスワード集中管理装置20に対するアクセスが成功した際に、該パスワード集中管理装置20からユーザ端末装置10に通知されたパスワードと同一のパスワードとなる。 Here, since the password generation means 15 of the user terminal device 10 generates a password according to the same algorithm as the password generation means 23 of the password central management device 20 as described above, the password generation means 15 of the user terminal device 10. The password newly generated in step S6 in FIG. 2 is notified from the central password management device 20 to the user terminal device 10 when the previous access from the user terminal device 10 to the central password management device 20 was successful. The password is the same as the password.
また、図2のステップS7での認証要求を行う段階では、ユーザ認証装置30においてパスワード記憶部32に記憶保持しているパスワードは、前回ユーザ端末装置10からパスワード集中管理装置20に対するアクセスが成功した際にパスワード集中管理装置20からユーザ認証装置30に対して通知されたパスワードである。
Further, at the stage of performing the authentication request in step S7 of FIG. 2, the password stored in the
つまり、この段階では、ユーザ認証装置30においてパスワード記憶部32に記憶保持しているパスワードは、今回の図2のステップS6にてユーザ端末装置10のパスワード生成手段15により新たに生成され、今回の図2のステップS7にてユーザ端末装置10の認証装置アクセス手段14により通知されたパスワードと同一である。
That is, at this stage, the password stored in the
従って、ユーザ認証装置30の認証手段33による認証の結果は、成功となり、その旨がユーザ端末装置10に対して通知される。
Therefore, the result of the authentication by the
以上のような第1の実施形態によれば、パスワード認証システム100において、原則として(パスワード集中管理装置20に障害が発生しない限りは)、同一のパスワードを、ユーザ認証装置30での1回の認証にしか使用できないので、同一パスワードの長期運用は回避でき、従って、高いセキュリティ性を確保することができる。
According to the first embodiment as described above, in the
また、そのように、原則としては同一のパスワードをユーザ認証装置30での1回の認証にしか使用できないように構成されたパスワード認証システム100において、ユーザ端末装置10からパスワード集中管理装置20に対するアクセスを試行しても該パスワード集中管理装置20からユーザ端末装置10に対してパスワード及び認証IDが通知されない場合には、ユーザ端末装置10にて、予め記憶しておいた認証IDを用いてパスワードを生成し、該生成したパスワードを用いてユーザ認証装置30に対する認証要求を行うので、パスワード管理装置に障害が発生している場合であっても、ユーザ認証装置による認証処理を実現することができる。
As described above, in principle, in the
また、ユーザ端末装置10のユーザ自身がパスワードを管理するのではないので、高いセキュリティ性を確保することができるとともに、シングルサインオンが可能となる。 In addition, since the user of the user terminal device 10 does not manage the password, high security can be ensured and single sign-on can be performed.
更に、ユーザ端末装置10にて記憶保持する情報は認証IDのみであり、パスワードは記憶保持しないため、更にセキュリティが向上する。 Further, since the information stored and held in the user terminal device 10 is only the authentication ID and the password is not stored and held, security is further improved.
〔第2の実施形態〕
次に、第2の実施形態について説明する。
[Second Embodiment]
Next, a second embodiment will be described.
図5は第2の実施形態に係るパスワード認証システム200の構成を示すブロック図である。
FIG. 5 is a block diagram showing the configuration of the
図5に示すように、第2の実施形態に係るパスワード認証システム200は、上記の第1の実施形態に係るパスワード認証システム100よりもセキュリティ性を高めるために、そのユーザ端末装置10が認証用プログラム実行用パスワード認証手段(予備認証手段)201を更に備えている。
As shown in FIG. 5, in the
なお、第2の実施形態に係るパスワード認証システム200は、認証用プログラム実行用パスワード認証手段201を追加で備えている点でのみ上記の第1の実施形態に係るパスワード認証システム100と相違し、その他の点では第1の実施形態に係るパスワード認証システム100と同様に構成されている。
The
認証用プログラム実行用パスワード認証手段201は、認証用プログラムが起動すると、所定の認証用プログラム実行用パスワード(アクセス用パスワード)の入力操作をユーザに対して要求する処理と、該要求に応じて入力された認証用プログラム実行用パスワードの認証を実行し、該認証が成功した(正しい認証用プログラム実行用パスワードが入力されたと判定した)場合に限り、集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスの試行を許可する。 The authentication program execution password authenticating means 201, when the authentication program is started, processes to request the user to input a predetermined authentication program execution password (access password), and input in response to the request The centralized password management apparatus 20 by the centralized management apparatus access means 11 is used only when the authentication program execution password is authenticated and the authentication is successful (determined that the correct authentication program execution password has been input). Allow access attempts to.
次に、第2の実施形態の場合の動作を説明する。 Next, the operation in the case of the second embodiment will be described.
図6はパスワード認証システム200のユーザ端末装置10の動作の流れを示すフローチャートである。
FIG. 6 is a flowchart showing an operation flow of the user terminal device 10 of the
なお、以下では、ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要である例を説明する。 In the following, an example in which authentication by the user authentication device 30 is necessary to use the user terminal device 10 will be described.
先ず、ユーザ端末装置10を使用したいユーザは、ユーザ端末装置10を起動する。 First, a user who wants to use the user terminal device 10 activates the user terminal device 10.
すると、ユーザ端末装置10では、該ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要であるので、ユーザ認証装置30による認証を受けるための処理を実行するための認証用プログラムが自動的に起動する。 Then, since the user terminal device 10 requires authentication by the user authentication device 30 in order to use the user terminal device 10, an authentication program for executing processing for receiving authentication by the user authentication device 30 Will start automatically.
次に、ユーザ端末装置10の認証用プログラム実行用パスワード認証手段201は、所定の認証用プログラム実行用パスワード(アクセス用パスワード)の入力操作をユーザに対して要求する入力画面を、ユーザ端末装置10が備える図示しない表示装置に表示させることにより、認証用プログラム実行用パスワードの入力を促す(図6のステップS61)。 Next, the authentication program execution password authentication means 201 of the user terminal device 10 displays an input screen for requesting the user to input a predetermined authentication program execution password (access password). 6 is prompted to input an authentication program execution password (step S61 in FIG. 6).
次に、ユーザ端末装置10の認証用プログラム実行用パスワード認証手段20は、ユーザにより入力されたパスワードが、正しい認証用プログラム実行用パスワードであるか否かの認証を行う(図6のステップS62)。 Next, the authentication program execution password authentication means 20 of the user terminal device 10 authenticates whether or not the password input by the user is the correct authentication program execution password (step S62 in FIG. 6). .
入力されたパスワードが正しかった場合(図6のステップS62のYES)、ステップS1に移行し、ユーザ端末装置10の集中管理装置アクセス手段21は、パスワード集中管理装置20に対するアクセスを試行する(図6のステップS1)。以後は上記の第1の実施形態と同様の動作を行う。 When the input password is correct (YES in step S62 in FIG. 6), the process proceeds to step S1, and the centralized management device access means 21 of the user terminal device 10 tries to access the password centralized management device 20 (FIG. 6). Step S1). Thereafter, the same operation as in the first embodiment is performed.
他方、入力したパスワードが正しくなかった場合、(図6のステップS62のNo)、例えば、「入力したパスワードは間違っています」との表示を表示画面にて表示した後、認証用プログラムを終了する。従って、集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスは実行されない。 On the other hand, if the input password is not correct (No in step S62 in FIG. 6), for example, an indication that “the input password is incorrect” is displayed on the display screen, and then the authentication program is terminated. . Therefore, access to the password central management apparatus 20 by the central management apparatus access means 11 is not executed.
以上のような第2の実施形態によれば、ユーザ端末装置10の集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスを試行する前に、所定の認証用プログラム実行用パスワード(アクセス用パスワード)の入力操作をユーザに対して要求し、該要求に応じて入力されたアクセス用パスワードの認証を実行し、該認証が成功した場合に限り、集中管理装置アクセス手段11によるパスワード集中管理装置20に対するアクセスの試行を許可するので、上記の第1の実施形態よりも更にセキュリティ性を高めることができる。 According to the second embodiment as described above, before attempting to access the password central management apparatus 20 by the central management apparatus access means 11 of the user terminal apparatus 10, a predetermined authentication program execution password (access password) is used. The centralized password management device 20 by the centralized management device access means 11 is used only when the authentication of the access password entered in response to the request is performed, and the authentication is successful. Therefore, the security can be further improved as compared with the first embodiment.
なお、上記の各実施形態では、ユーザ端末装置10を使用するためにはユーザ認証装置30による認証が必要である例を説明したが、本発明はこの例に限らず、ユーザ端末装置10にて特定の処理を実行する場合にのみユーザ認証装置30による認証が必要であるような構成であっても良い。 In each of the above embodiments, an example in which authentication by the user authentication device 30 is necessary to use the user terminal device 10 has been described, but the present invention is not limited to this example, and the user terminal device 10 The configuration may be such that authentication by the user authentication device 30 is required only when specific processing is executed.
また、上記の各実施形態では、パスワード集中管理装置20のパスワード生成手段23、並びに、ユーザ端末装置10のパスワード生成手段15にて、それぞれ、ユーザIDと認証IDとを用いてパスワードを生成することにより、セキュリティ性を高めている例を説明したが、それぞれ、認証IDのみを用いてパスワードを生成するようにしても良い。
Further, in each of the above embodiments, the
10 ユーザ端末装置
11 集中管理装置アクセス手段(アクセス手段)
12 認証ID記憶部(認証情報記憶手段)
13 認証ID更新手段(認証情報更新手段)
14 認証要求手段
15 パスワード生成手段(第2のパスワード生成手段)
20 パスワード集中管理装置(パスワード管理装置)
22 認証ID発行手段(認証情報発行手段)
23 パスワード生成手段(第1のパスワード生成手段)
25 通知手段
27 パスワード更新手段
30 ユーザ認証装置
32 パスワード記憶部(パスワード記憶手段)
33 認証手段
100 パスワード認証システム
200 パスワード認証システム
201 認証用プログラム実行用パスワード認証手段(予備認証手段)
10
12 Authentication ID storage unit (authentication information storage means)
13 Authentication ID update means (authentication information update means)
14 Authentication request means 15 Password generation means (second password generation means)
20 Centralized password management device (password management device)
22 Authentication ID issuing means (authentication information issuing means)
23 Password generation means (first password generation means)
25 Notification means 27 Password update means 30
33 Authentication means 100
Claims (16)
前記ユーザ認証装置は、
各ユーザ端末装置に対応するパスワードを記憶保持するパスワード記憶手段と、
前記ユーザ端末装置からパスワードを用いた認証要求があると、該パスワードを前記パスワード記憶手段に記憶されたパスワードのうちの対応するパスワードと照合することによって認証を行う認証手段と、
を備えて構成され、
前記パスワード管理装置は、
前記ユーザ端末装置からアクセスされる度に新規に認証情報を発行する認証情報発行手段と、
前記認証情報発行手段により認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第1のパスワード生成手段と、
前記第1のパスワード生成手段により新規に生成されたパスワードによって、前記ユーザ認証装置の前記パスワード記憶手段に記憶された古いパスワードを更新するパスワード更新手段と、
前記第1のパスワード生成手段により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する通知手段と、
を備えて構成され、
前記ユーザ端末装置は、
前記パスワード管理装置に対するアクセスを行うアクセス手段と、
前記認証情報を記憶保持する認証情報記憶手段と、
前記パスワード管理装置の前記通知手段により認証情報及びパスワードが通知された場合に、該通知された認証情報によって、前記認証情報記憶手段に記憶されている古い認証情報を更新する認証情報更新手段と、
前記アクセス手段によって前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から認証情報及びパスワードが通知されない場合に、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記第1のパスワード生成手段と同一の手法により新規にパスワードを生成する第2のパスワード生成手段と、
前記パスワード管理装置の前記通知手段によりパスワードが通知されるか、又は、前記第2のパスワード生成手段によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて前記ユーザ認証装置に対する認証要求を行う認証要求手段と、
を備えて構成されていることを特徴とするパスワード認証システム。 A user terminal device used by a user; a user authentication device that performs authentication processing in response to an authentication request from the user terminal device; and a password management device that manages a password used for authentication by the user authentication device. In the password authentication system,
The user authentication device includes:
Password storage means for storing and holding a password corresponding to each user terminal device;
When there is an authentication request using a password from the user terminal device, an authentication unit that performs authentication by checking the password against a corresponding password among the passwords stored in the password storage unit;
Configured with
The password management device
Authentication information issuing means for newly issuing authentication information whenever accessed from the user terminal device;
A first password generating means for newly generating a password based on the issued authentication information each time authentication information is newly issued by the authentication information issuing means;
Password update means for updating an old password stored in the password storage means of the user authentication device with a password newly generated by the first password generation means;
A notification means for notifying the access source user terminal device of the password newly generated by the first password generation means and the authentication information used to generate the password;
Configured with
The user terminal device
Access means for accessing the password management device;
Authentication information storage means for storing and holding the authentication information;
Authentication information update means for updating old authentication information stored in the authentication information storage means with the notified authentication information when the notification information and password are notified by the notification means of the password management device;
If the password management device does not notify the authentication information and the password even if the access unit attempts to access the password management device, the first information is stored based on the authentication information stored in the authentication information storage unit. Second password generation means for newly generating a password by the same method as the password generation means of
When the password is notified by the notifying unit of the password management device, or when the password is generated by the second password generating unit, the user authentication device is authenticated using the notification or the generated password An authentication request means for making a request;
A password authentication system comprising:
前記ユーザ端末装置の前記第2のパスワード生成手段は、前記認証情報記憶手段に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することを特徴とする請求項1乃至4の何れか一項に記載のパスワード認証システム。 The first password generation means of the password management device includes the authentication information issued by the authentication information issuing means and the user acquired from the user terminal device when accessed by the access means of the user terminal device While generating a password based on two pieces of information, unique information,
The second password generating means of the user terminal device is based on two pieces of information: authentication information stored in the authentication information storage means and user specific information stored in the user terminal device. The password authentication system according to any one of claims 1 to 4, wherein the password authentication system is generated.
前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行する第1の過程と、
前記アクセスがある度に前記パスワード管理装置にて新規に認証情報を発行する第2の過程と、
前記認証情報が新規に発行される度に、該発行された認証情報に基づいて新規にパスワードを生成する第3の過程と、
前記第3の過程により新規に生成されたパスワードによって、前記ユーザ認証装置に記憶された古いパスワードを更新する第4の過程と、
前記第3の過程により新規に生成されたパスワードと、該パスワードの生成に用いられた認証情報と、をアクセス元の前記ユーザ端末装置に通知する第5の過程と、
前記ユーザ端末装置に対し認証情報及びパスワードが通知された場合に、該通知された認証情報によって、該ユーザ端末装置に予め記憶されている古い認証情報を更新する第6の過程と、
前記ユーザ端末装置から前記パスワード管理装置に対するアクセスを試行しても、該パスワード管理装置から前記ユーザ端末装置に対して認証情報及びパスワードが通知されない場合に、該ユーザ端末装置に記憶されている認証情報に基づいて、前記第3の過程におけるのと同一の手法により新規にパスワードを生成する第7の過程と、
前記パスワード管理装置から前記ユーザ端末装置に対してパスワードが通知されるか、又は、前記第7の過程によりパスワードが生成された場合に、該通知又は生成されたパスワードを用いて、前記ユーザ端末装置から前記ユーザ認証装置に対する認証要求を行う第8の過程と、
を備えることを特徴とするパスワード認証方法。 A user terminal device used by a user; a user authentication device that performs authentication processing in response to an authentication request from the user terminal device; and a password management device that manages a password used for authentication by the user authentication device. In the method of authenticating the password in the password authentication system,
A first step of trying to access the password management device from the user terminal device;
A second step of newly issuing authentication information in the password management device each time the access is made;
A third step of generating a new password based on the issued authentication information each time the authentication information is newly issued;
A fourth step of updating an old password stored in the user authentication device with a password newly generated by the third step;
A fifth step of notifying the access source user terminal device of the password newly generated by the third step and the authentication information used to generate the password;
When authentication information and a password are notified to the user terminal device, a sixth process of updating old authentication information stored in advance in the user terminal device with the notified authentication information;
Authentication information stored in the user terminal device when authentication information and a password are not notified from the password management device to the user terminal device even if the user terminal device attempts to access the password management device. And a seventh process for generating a new password by the same method as in the third process,
When the password is notified from the password management device to the user terminal device, or when the password is generated by the seventh process, the user terminal device is used by using the notification or the generated password. An eighth step of making an authentication request to the user authentication device from:
A password authentication method comprising:
前記第7の過程では、前記ユーザ端末装置に記憶されている認証情報と、該ユーザ端末装置に記憶されているユーザ固有情報と、の2つの情報に基づいてパスワードを生成することを特徴とする請求項11乃至14の何れか一項に記載のパスワード認証方法。 In the third process, the authentication information issued in the second process and the user specific information acquired from the user terminal device when accessed in the first process are included in the two information While generating a password based on
In the seventh step, a password is generated based on two pieces of information: authentication information stored in the user terminal device and user-specific information stored in the user terminal device. The password authentication method according to any one of claims 11 to 14.
The seventh process is performed when authentication information and a password are not notified from the password management apparatus to the user terminal apparatus even after a predetermined time has elapsed since the first process was performed. The password authentication method according to any one of claims 11 to 15.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005089044A JP2006268719A (en) | 2005-03-25 | 2005-03-25 | Password authentication system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005089044A JP2006268719A (en) | 2005-03-25 | 2005-03-25 | Password authentication system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006268719A true JP2006268719A (en) | 2006-10-05 |
Family
ID=37204579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005089044A Pending JP2006268719A (en) | 2005-03-25 | 2005-03-25 | Password authentication system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006268719A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009157482A1 (en) * | 2008-06-27 | 2009-12-30 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Communication terminal, authentication information generation device, authentication system, authentication information generation program, authentication information generation method and authentication method |
JP2010027028A (en) * | 2008-07-17 | 2010-02-04 | Symantec Corp | Control of website usage via online storage of restricted authentication credential |
JP2016192715A (en) * | 2015-03-31 | 2016-11-10 | 株式会社東芝 | Encryption key management system and encryption key management method |
JP2018516403A (en) * | 2015-05-07 | 2018-06-21 | ジェムアルト エスアー | How to manage access to services |
KR102017038B1 (en) * | 2019-02-22 | 2019-09-02 | 주식회사 넷앤드 | An access control system for web applications |
-
2005
- 2005-03-25 JP JP2005089044A patent/JP2006268719A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009157482A1 (en) * | 2008-06-27 | 2009-12-30 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Communication terminal, authentication information generation device, authentication system, authentication information generation program, authentication information generation method and authentication method |
JP2010027028A (en) * | 2008-07-17 | 2010-02-04 | Symantec Corp | Control of website usage via online storage of restricted authentication credential |
JP2016192715A (en) * | 2015-03-31 | 2016-11-10 | 株式会社東芝 | Encryption key management system and encryption key management method |
JP2018516403A (en) * | 2015-05-07 | 2018-06-21 | ジェムアルト エスアー | How to manage access to services |
US10251062B2 (en) | 2015-05-07 | 2019-04-02 | Gemalto Sa | Method of managing access to a service |
KR102017038B1 (en) * | 2019-02-22 | 2019-09-02 | 주식회사 넷앤드 | An access control system for web applications |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9769179B2 (en) | Password authentication | |
EP3123692B1 (en) | Techniques to operate a service with machine generated authentication tokens | |
US9641521B2 (en) | Systems and methods for network connected authentication | |
US10009184B1 (en) | Methods and apparatus for controlling access to encrypted computer files | |
US8667294B2 (en) | Apparatus and method for preventing falsification of client screen | |
US20110113484A1 (en) | Unified system interface for authentication and authorization | |
US20180191702A1 (en) | Multiple field authentication | |
US10447682B1 (en) | Trust management in an electronic environment | |
US20180219864A1 (en) | Account login method and apparatus | |
WO2017000351A1 (en) | Identity verification method and apparatus | |
WO2015116847A1 (en) | Authentication sequencing based on normalized levels of assurance of identity services | |
JP2006268719A (en) | Password authentication system and method | |
JP2010086175A (en) | Remote access management system and method | |
JP4862551B2 (en) | Authentication control program and authentication device | |
AU2024200365A1 (en) | Apparatus, method, and computer program product for claim management device lockout | |
US20180048635A1 (en) | Method and system for a multiple password web service and management dashboard | |
JP2009003501A (en) | Onetime password authentication system | |
CN114766084A (en) | Automated manipulation of managed devices for re-registration | |
WO2017092507A1 (en) | Application encryption method and device, and application access method and device | |
US10785213B2 (en) | Continuous authentication | |
WO2021015711A1 (en) | Automatic password expiration based on password integrity | |
JP2006260002A (en) | Single sign-on system, server device, single sign-on method and program | |
JP2002222171A (en) | Security system for information processing | |
KR102452717B1 (en) | Apparatus and Method for User Authentication | |
JP5854070B2 (en) | Access control device, terminal device, and program |