JP2007257426A - Collaborative authentication method and system corresponding to servers different in authentication intensity - Google Patents
Collaborative authentication method and system corresponding to servers different in authentication intensity Download PDFInfo
- Publication number
- JP2007257426A JP2007257426A JP2006082524A JP2006082524A JP2007257426A JP 2007257426 A JP2007257426 A JP 2007257426A JP 2006082524 A JP2006082524 A JP 2006082524A JP 2006082524 A JP2006082524 A JP 2006082524A JP 2007257426 A JP2007257426 A JP 2007257426A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- strength
- server
- request
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、認証のための技術に関し、特に、連携型認証の技術に関する。 The present invention relates to a technique for authentication, and more particularly to a technique for cooperative authentication.
連携型認証と呼ばれる(Federated認証と呼ばれることもある)認証方式が知られている。連携型認証とは、異なるサーバ間にまたがってシングルサインオンを実現するための認証方式である。連携型認証として、例えば、特許文献1及び2に開示の技術が知られている。また、連携型認証として、例えば、SAML(Security Assertion Markup Language)(非特許文献1及び2)、Liberty(非特許文献3)、WS(Web Service)-Federation(非特許文献4)に開示の技術が知られている。また、連携型認証を利用したサービスとして、例えば、e-CAT(非特許文献5)、VISA認証サービス(非特許文献6)、及びPayPal「Website Payments」(非特許文献7)に開示のサービスが知られている。
An authentication method called federated authentication (sometimes called Federated authentication) is known. Federated authentication is an authentication method for realizing single sign-on across different servers. For example, technologies disclosed in
一方、各サーバ毎に、要求する認証強度が異なる場合がある。例えば、認証強度の低い認証方式では、一要素(例えば、ユーザから手で入力されたパスワード)での認証となり、認証強度の高い認証方式では、多要素認証となることがある。多要素認証とは、複数の認証装置を用いた認証方式である。多要素認証の一例として、指紋、網膜などの生体情報と、ICカードとを併用した認証方式がある。多要素認証に関する技術として、例えば、特許文献3に開示の技術がある。
On the other hand, the required authentication strength may be different for each server. For example, in an authentication method with a low authentication strength, authentication is performed with one factor (for example, a password manually input by a user), and in an authentication method with a high authentication strength, multi-factor authentication may be performed. Multi-factor authentication is an authentication method using a plurality of authentication devices. As an example of multi-factor authentication, there is an authentication method in which biometric information such as fingerprints and retinas and an IC card are used in combination. As a technique related to multi-factor authentication, for example, there is a technique disclosed in
連携型認証システムにおいて、全てのサーバが同じ認証強度(言い換えれば、ユーザが正当であることの確実性のレベル)を要求している場合には、いわゆるシングルサインオンを実現することができる。しかし、前述したように、全てのサーバが同じ認証強度を要求するとは限らない。このため、従来の連携型認証システムでは、要求する認証強度の異なるサーバで連携型認証を実現することはできない。具体的には、例えば、ユーザのアカウントを管理するサービスプロバイダ(以下、Identity Service Providerを略して「IdSP」と記載する)に対して、ユーザが、そのIdSPで管理されているアカウント、且つ、認証強度の低い認証手続きでログインした後、その認証強度よりも高い認証強度を要求するサービスプロバイダ(以下、SP)には、いわゆるシングルサインオンすることはできない。この場合には、ユーザは、そのSPから、そのSPで要求される認証強度に従った認証手続きでログインすることを要求され、そのSPにログインするために、そのSPで管理されている、上記アカウントとは別のアカウントでログインする必要がある。つまり、結局、ユーザは、各SP毎のアカウントを管理しておく必要がでる。 In the cooperative authentication system, when all servers require the same authentication strength (in other words, a certainty level that the user is valid), so-called single sign-on can be realized. However, as described above, not all servers require the same authentication strength. For this reason, in the conventional cooperative authentication system, cooperative authentication cannot be realized with servers having different authentication strengths required. Specifically, for example, for a service provider that manages a user's account (hereinafter referred to as “IdSP” for abbreviated as “Identity Service Provider”), the user manages an account managed by the IdSP and authentication. After logging in with a low-strength authentication procedure, a service provider (hereinafter referred to as SP) that requires an authentication strength higher than the authentication strength cannot perform so-called single sign-on. In this case, the user is requested by the SP to log in by an authentication procedure according to the authentication strength required by the SP, and is managed by the SP in order to log in to the SP. You need to log in with an account other than your account. That is, after all, the user needs to manage an account for each SP.
従って、本発明の目的は、認証強度の異なるサーバでの連携型認証を実現することにある。 Accordingly, an object of the present invention is to realize cooperative authentication with servers having different authentication strengths.
本発明の他の目的は、後の説明から明らかになるであろう。 Other objects of the present invention will become clear from the following description.
本発明に従う連携型認証方法は、
(A)連携型認証のためのポータルであるポータルサーバが、複数の認証強度のうちの指定された認証強度で認証することの要求である認証要求と、該認証強度での認証に使用される一以上の認証情報要素とを、ユーザの端末から受信するステップと、
(B)前記受信した認証要求に従い、前記受信した一以上の認証情報要素を用いて前記ユーザが正当か否かを判断する、前記指定された認証強度での認証処理を実行するステップと、
(C)前記ポータルサーバとは別の複数のサーバのうちの一つのサーバが、前記ユーザ端末から所定の要求を受信した場合、前記ポータルサーバに、前記ユーザについて該ポータルサーバで済んでいる認証の強度に関する問合わせを行うステップと、
(D)前記ポータルサーバが、前記サーバからの問合せに応答して、前記ユーザについて済んでいる認証の強度に関する回答を、問合せ元の前記サーバに発行するステップと、
(E)前記サーバは、前記ポータルサーバからの回答から、該サーバで要求される認証強度以上の認証強度での認証処理が前記ポータルサーバで済んでいることが特定されたならば、前記ユーザ端末に対して所定のサービスを提供し、一方、そうでなければ、該サーバで要求される認証強度以上の認証強度での認証が必要であることを意味する再認証要求を前記ユーザ端末に送信するステップと
を有する。この連携型認証方法では、前記再認証要求が前記ユーザ端末に送信された場合、前記(A)のステップにおいて、前記ポータルサーバが、前記再認証要求を受けた前記ユーザ端末から、前記再認証要求に表された認証強度以上の認証強度を指定した認証要求と、該指定された認証強度での認証に使用される一以上の認証情報要素とを受信する。
The federated authentication method according to the present invention is:
(A) The portal server, which is a portal for cooperative authentication, is used for an authentication request that is a request for authentication with a specified authentication strength among a plurality of authentication strengths, and for authentication with the authentication strength. Receiving one or more authentication information elements from a user terminal;
(B) performing an authentication process at the specified authentication strength to determine whether the user is valid using the received one or more authentication information elements according to the received authentication request;
(C) When one of a plurality of servers different from the portal server receives a predetermined request from the user terminal, the portal server confirms the authentication that has been completed by the portal server for the user. Steps to inquire about strength,
(D) in response to an inquiry from the server, the portal server issues an answer regarding the strength of authentication completed for the user to the inquiry source server;
(E) If it is specified from the answer from the portal server that the authentication processing with an authentication strength equal to or higher than the authentication strength required by the server has been completed by the portal server, the user terminal On the other hand, a re-authentication request is transmitted to the user terminal, which means that authentication with an authentication strength higher than that required by the server is necessary. Steps. In this cooperative authentication method, when the re-authentication request is transmitted to the user terminal, in the step (A), the portal server sends the re-authentication request from the user terminal that has received the re-authentication request. And an authentication request designating an authentication strength equal to or higher than the authentication strength represented in (1) and one or more authentication information elements used for authentication at the designated authentication strength.
なお、上述の「サーバ」は、ユーザが正当であることを確認できた場合に何らかのサービスを提供するコンピュータであれば何でも良い。 The above-mentioned “server” may be any computer as long as it provides a certain service when it is confirmed that the user is valid.
また、前記(C)のステップにおいて、「認証の強度に関する問合わせ」は、例えば、認証強度それ自体の問合せであっても良いし、問合せ元のサーバで要求されている認証強度以上の認証強度での認証処理が済んでいるか否かの問合せであっても良い。すなわち、「認証の強度に関する問合わせ」は、問合せ元のサーバにおいて、そのサーバで要求されている認証強度以上の認証強度での認証処理が済んでいるか否かの回答が得られるような問合せであれば種々の問合せを採用し得る。 In the step (C), the “inquiry regarding authentication strength” may be, for example, a query of the authentication strength itself, or an authentication strength higher than the authentication strength required by the server that is the query source. It may be an inquiry as to whether or not the authentication process is completed. In other words, an “inquiry about authentication strength” is an inquiry that can be answered in the inquiry source server whether or not authentication processing with an authentication strength higher than the authentication strength required by the server has been completed. Various queries can be employed if any.
同様に、前記(D)のステップにおいて、「認証の強度に関する回答」とは、例えば、認証強度それ自体の回答であっても良いし、問合せ元のサーバで要求されている認証強度以上の認証強度での認証処理が済んでいるか否かの回答であっても良い。すなわち、「認証の強度に関する回答」は、回答先のサーバにおいて、そのサーバで要求されている認証強度以上の認証強度での認証処理が済んでいるか否かを特定できるような回答であれば種々の回答を採用し得る。 Similarly, in the step (D), the “response regarding the strength of authentication” may be, for example, a response of the authentication strength itself, or an authentication that is higher than the authentication strength required by the inquirer server. It may be an answer as to whether or not the authentication process with strength has been completed. In other words, the “response regarding authentication strength” can be various as long as it is possible to specify whether or not the authentication processing at the authentication strength higher than the authentication strength required by the server has been completed in the response destination server. Can be adopted.
第一の実施態様では、前記(B)のステップにおいて、前記ポータルサイトが、前記認証処理で前記ユーザが正当であると判断された場合、該ポータルサイトの場所を記載した認証許可情報を前記ユーザ端末に送信する。前記(C)のステップにおいて、前記サーバが、前記認証許可情報と前記所定の要求とを受信した場合に、前記認証許可情報に記録されている場所にいる前記ポータルサイトに対して前記問合せを行うようになっている。前記ポータルサイトが、前記認証許可情報に、前記認証処理での認証強度を記載しない。 In the first embodiment, in the step (B), when it is determined that the user is valid in the authentication process, the portal site includes authentication permission information describing the location of the portal site. Send to the terminal. In the step (C), when the server receives the authentication permission information and the predetermined request, the server makes the inquiry to the portal site located at the location recorded in the authentication permission information. It is like that. The portal site does not describe the authentication strength in the authentication process in the authentication permission information.
第二の実施態様では、前記(A)のステップにおいて、前記ポータルサイトは、所定の認証強度以上の認証強度が指定された認証要求を受けた場合、前記ユーザ端末に所定の警告を発行し、該警告を発行したにも関わらず、前記指定された認証強度での認証を要求された場合に、前記認証処理を実行する。 In the second embodiment, in the step (A), when the portal site receives an authentication request in which an authentication strength equal to or higher than a predetermined authentication strength is received, the portal site issues a predetermined warning to the user terminal, The authentication process is executed when authentication with the specified authentication strength is requested in spite of issuing the warning.
第三の実施態様では、前記ユーザ端末と前記ポータルサーバ及び前記サーバとの通信は、不特定の人間が使用可能な第一の通信ネットワークを介して行われ、少なくとも前記ポータルサーバから前記サーバに対する認証強度の回答は、不特定の人間が使用不可能な第二の通信ネットワークを介して行われる。 In the third embodiment, communication between the user terminal, the portal server, and the server is performed via a first communication network that can be used by an unspecified person, and at least authentication from the portal server to the server is performed. The strength answer is made via a second communication network that cannot be used by unspecified persons.
本発明に従う連携型認証システムは、連携型認証のためのポータルであるポータルサーバと、前記ポータルサーバとは別の複数のサーバとを備える。前記ポータルサーバが、複数の認証強度のうちの指定された認証強度で認証することの要求である認証要求と、該認証強度での認証に使用される一以上の認証情報要素とを、ユーザの端末から受付ける認証要求受付部と、前記受付けた認証要求に従い、前記受信した一以上の認証情報要素を用いて前記ユーザが正当か否かを判断する、前記指定された認証強度での認証処理を実行し、前記ユーザについて済んでいる認証の強度を所定の記憶域に登録する認証部と、前記ユーザについて該ポータルサイトで済んでいる認証の強度に関する問合せを前記複数のサーバの各々から受付ける問合せ受付部と、前記各サーバからの問合せに応答して、前記ユーザについて済んでいる認証の強度を前記記憶域から特定し該認証強度に関する回答を問合せ元の前記各サーバに発行する回答部とを備える。前記各サーバが、前記ユーザ端末から所定の要求を受信した場合、前記ポータルサーバに、前記ユーザについて該ポータルサーバで済んでいる認証の強度に関する問合せを行う問合せ部と、前記ポータルサーバからの回から、該サーバで要求される認証強度以上の認証強度での認証処理が前記ユーザについて前記ポータルサーバで済んでいることが特定できたならば、前記ユーザ端末に対して所定のサービスを提供し、一方、それが特定できなければ、該サーバで要求される認証強度以上の認証強度での認証が必要であることを意味する再認証要求を前記ユーザ端末に送信する認証部とを備える。前記ポータルサーバの認証要求受付部が、前記再認証要求が前記ユーザ端末に送信された場合、前記再認証要求を受けた前記ユーザ端末から、前記再認証要求に表された認証強度以上の認証強度を指定した認証要求と、該指定された認証強度での認証に使用される一以上の認証情報要素とを受信する。 The cooperative authentication system according to the present invention includes a portal server that is a portal for cooperative authentication, and a plurality of servers different from the portal server. An authentication request, which is a request for the portal server to authenticate with a specified authentication strength among a plurality of authentication strengths, and one or more authentication information elements used for authentication with the authentication strength, An authentication request accepting unit that accepts from the terminal; and, according to the accepted authentication request, determines whether or not the user is valid using the received one or more authentication information elements; An authentication unit that executes and registers the strength of authentication completed for the user in a predetermined storage area, and accepts an inquiry from each of the plurality of servers for an inquiry regarding the strength of authentication completed for the user at the portal site In response to the inquiry from each server and the server, the authentication strength that has been completed for the user is identified from the storage area, and an answer regarding the authentication strength is obtained from the inquiry source And a reply unit for issuing to the each server. When each of the servers receives a predetermined request from the user terminal, an inquiry unit that inquires the portal server about the strength of authentication that has been completed for the user at the portal server, and a time from the portal server If it is possible to specify that authentication processing with authentication strength equal to or higher than the authentication strength required by the server is completed at the portal server for the user, a predetermined service is provided to the user terminal, If it cannot be specified, an authentication unit is provided that transmits to the user terminal a re-authentication request that means that authentication with an authentication strength higher than that required by the server is required. When the re-authentication request is transmitted to the user terminal, the authentication request reception unit of the portal server receives an authentication strength equal to or higher than the authentication strength represented in the re-authentication request from the user terminal that has received the re-authentication request. , And one or more authentication information elements used for authentication with the specified authentication strength.
前述した連携型認証システムの少なくとも認証部及び回答部は、ハードウェア(例えば回路)、コンピュータプログラム、或いはそれらの組み合わせ(例えば、コンピュータプログラムを読み込んで実行する一又は複数のCPU)によって実現することもできる。各コンピュータプログラムは、コンピュータマシンに備えられる記憶資源(例えばメモリ)から読み込むことができる。その記憶資源には、CD−ROMやDVD(Digital Versatile Disk)等の記録媒体を介してインストールすることもできるし、インターネットやLAN等の通信ネットワークを介してダウンロードすることもできる。 At least the authentication unit and the response unit of the cooperative authentication system described above may be realized by hardware (for example, a circuit), a computer program, or a combination thereof (for example, one or a plurality of CPUs that read and execute a computer program). it can. Each computer program can be read from a storage resource (for example, memory) provided in the computer machine. The storage resource can be installed via a recording medium such as a CD-ROM or DVD (Digital Versatile Disk), or can be downloaded via a communication network such as the Internet or a LAN.
本発明によれば、認証強度の異なるサーバでの連携型認証を実現することができる。 According to the present invention, it is possible to realize cooperative authentication with servers having different authentication strengths.
以下、図面を参照して、本発明の一実施形態について説明する。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
図1は、本発明の一実施形態に係る連携型認証システムの構成例を示す。 FIG. 1 shows a configuration example of a cooperative authentication system according to an embodiment of the present invention.
連携型認証においてユーザ端末1にとってのポータルとなるIdSP(Identity Service Provider)5と、IdSP5での認証後でのユーザ端末1のログイン先となり得る複数のSP(Service Provider)51とが備えられる。IdSP5と各SP51は、互いに通信することができる。具体的には、ユーザ端末1とIdSP5及びSP51との通信は、不特定の人間が利用可能な第一の通信ネットワーク(例えばインターネット)3を介して行われるが、IdSP5と各SP51との通信は、不特定の人間が利用不可能な第二の通信ネットワーク33を介して行われる。ユーザ端末1は、通信部、入力部及び表示部を備えた計算機、例えば、パーソナルコンピュータ、携帯電話機、PDA(Personal Digital Assistants)等の種々の計算機を採用することができる。
In the cooperative authentication, an IdSP (Identity Service Provider) 5 serving as a portal for the
各SP51は、例えば、CPUや記憶資源(例えばメモリやハードディスク)を備えたコンピュータシステムである。各SP51は、例えば、API(Application Program Interface)の一種として、ユーザ端末1から第一の通信ネットワーク3を介して認証要求を受付ける認証要求受付部53を備える。また、各SP51は、APIを介して呼び出されるコンピュータプログラム(記憶資源からCPUに読み出されて実行されるプログラム)として、例えば、認証要求受付部7から呼び出されてユーザの正当が否かを判断するための認証処理を行う認証部55を備える。認証部55は、認証処理において、IdSP5に認証強度情報(認証強度を表す情報)を要求したり、必要に応じて後述の属性情報を要求したりする。また、各SP51は、記憶資源上に、例えば、所定のサービス(例えばログイン)をユーザに提供するために要求される認証強度を表した情報を記憶する記憶域(以下、許可認証強度記憶域)61を備える。
Each
IdSP5は、例えば、CPUや記憶資源(例えばメモリやハードディスク)を備えた一種の計算機である。IdSP5は、ユーザの氏名や住所などの個人情報の登録を受け、その登録に応答して、そのユーザに専用のユーザアカウントをユーザ端末1に発行する。また、IdSP5は、連携型認証システムに備えられる各SP51で要求される全ての認証強度に従う認証処理を実行することができる。その認証処理では、例えば、ユーザ端末1からのユーザアカウントと、認証情報の構成要素(例えば、ユーザアカウントとは別のユーザID、パスワード、ワンタイムパスワード、マトリクスカード内の情報、電子署名情報、バイオメトリクス情報など)とを使用することができる。
The IdSP 5 is a kind of computer that includes, for example, a CPU and storage resources (for example, a memory and a hard disk). The IdSP 5 receives registration of personal information such as a user's name and address, and issues a dedicated user account to the
IdSP5の記憶資源には、例えば、本実施形態に係る連携型認証を利用するユーザを管理するためのユーザ管理テーブル15が記憶される。ユーザ管理テーブル15の構成例を図2に示す。ユーザ管理テーブル15は、例えば、各ユーザ毎に、ユーザアカウント(他種のユーザIDであっても良い)と、各認証強度における属性情報及び現在強度フラグとを備える。属性情報は、ユーザに関する属性を表す情報であり、例えば、氏名、住所及びメールアドレスなどの情報や、対応する認証強度での認証処理に使用される認証情報を含んだ情報である。認証情報は、一要素(例えば、手で入力されるパスワードのみ)で構成される場合もあれば、多要素(例えば、生体情報とICカード内の情報とのセット)で構成される場合もある。現在強度フラグは、ユーザについて済んだ認証処理の認証強度のうち最高の認証強度に対して立てられるものである。図2の例では、ユーザアカウントAAAのユーザについて済んでいる認証強度の最高が2であることがわかる。この例では、例えば、認証強度1の認証処理が済んでも、現在強度フラグの位置は変わらないが、認証強度2よりも高い認証強度での認証処理でユーザが正当と判断された場合には、その高い認証強度に対応した位置に現在強度フラグが立てられ、認証強度2に対応した現在強度フラグが倒される。なお、各ユーザについて最高でどの認証強度まで認証されたかは、他の方法で特定されるようになっていてもよい。
The storage resource of the IdSP 5 stores, for example, a user management table 15 for managing users who use cooperative authentication according to the present embodiment. A configuration example of the user management table 15 is shown in FIG. The user management table 15 includes, for example, a user account (may be another type of user ID), attribute information for each authentication strength, and a current strength flag for each user. The attribute information is information representing an attribute relating to the user, and is information including, for example, information such as a name, an address, and an e-mail address, and authentication information used for authentication processing with a corresponding authentication strength. The authentication information may be composed of one element (for example, only a manually entered password) or may be composed of multiple elements (for example, a set of biometric information and information in an IC card). . The current strength flag is set for the highest authentication strength among the authentication strengths of the authentication processing completed for the user. In the example of FIG. 2, it can be seen that the highest authentication strength for the user of the user account AAA is 2. In this example, for example, the position of the current strength flag does not change even after the authentication processing of
IdSP5は、例えば、API(Application Program Interface)の一種として、ユーザ端末1から認証要求を受付ける認証要求受付部7と、各SP51から認証強度情報の要求を受付ける強度要求受付部21と、各SP51から後述の属性情報の要求を受付ける属性要求受付部25とを備える。
For example, the IdSP 5 includes, as a kind of API (Application Program Interface), an authentication request receiving unit 7 that receives an authentication request from the
また、IdSP5は、APIを介して呼び出されるコンピュータプログラム(記憶資源からCPUに読み出されて実行されるプログラム)として、例えば、認証部11、認証強度回答部23及び属性情報回答部27を備える。認証部11は、認証要求受付部7から呼び出され、認証要求受付部7が指定された認証強度に従う認証処理を行うことにより、ユーザの正当性を判断し、その判断の結果をユーザ端末1に返す。ユーザが正当だと判断された場合には、認証部11は、各SP51での認証処理に用いられる認証結果情報(例えば電子的なチケット、以下、便宜上「認証チケット」と言う)をユーザ端末1に送信する。認証強度回答部23は、強度要求受付部21から呼び出され、強度要求受付部21が受けた要求元SP51に、要求された認証強度情報を回答する。属性情報回答部27は、属性要求受付部25から呼び出され、属性要求受付部25が受けた要求元SP51に、要求された属性情報を回答する。
In addition, the IdSP 5 includes, for example, an
以上が、本実施形態に係る連携型認証システムについての説明である。次に、図3A及び図3Bを参照して、その連携型認証システムで行われる処理流れを説明する。なお、以下の説明では、第一のSP51を「SP1」と記載し、第二のSP51を「SP2」と記載する。また、SP1の許可認証強度記憶域61には、認証強度1を表す認証強度情報が記憶されており(つまり、SP1では、認証強度1以上の認証が済んでいれば認証OKとするようになっており)、SP2の許可認証強度記憶域61には、認証強度3を表す認証強度情報が記憶されている(つまり、SP2では、認証強度3以上の認証が済んでいれば認証OKとするようになっている)ものとする。
The above is the description of the cooperative authentication system according to the present embodiment. Next, with reference to FIG. 3A and FIG. 3B, the processing flow performed in the cooperative authentication system will be described. In the following description, the
図3Aに示すように、ユーザ端末1が、所望の認証強度1での認証をIdSP5に要求する(ステップS1)。具体的には、例えば、IdSP5により、ユーザ端末1に、複数の認証強度を選択可能に表示され、ユーザが、所望の選択強度として選択強度1を選択することにより、ユーザ端末1が、所望の認証強度1での認証をIdSP5に要求する。
As shown in FIG. 3A, the
IdSP5の認証要求受付部7が、その要求を受けて認証部11を呼び出す。認証部11が、認証強度1での認証処理、例えば、ユーザアカウント及びパスワードの入力を受け、そのパスワードが、入力されたユーザアカウント及び認証強度1に対応する属性情報中のパスワードに一致するか否かを判断する処理、を実行する。その結果、ユーザが不当であると判断された場合、認証部11は、認証NGをユーザ端末1に返すが、ユーザが正当であると判断された場合には、認証チケットをユーザ端末1に発行する(S2)。なお、その際、認証部11は、入力されたユーザアカウント及び認証強度1に対応する、現在強度フラグの欄(ユーザ管理テーブル15上の欄)に、現在強度フラグを立てる。また、認証部11は、実行した認証処理に対応する認証強度1に、発行した認証チケットを対応付けて記憶させることができる。また、認証部11は、例えば、その認証チケットに、認証チケットの発行元であるIdSP5を表す発行元情報(例えばIdSP5のURL(Uniform Resource Locator))やユーザアカウント等の情報を記録するが(認証チケットそれ自体のIDを記録しても良い)、少なくとも、実行した認証処理に対応する認証強度を表す認証強度情報を記録しない。認証チケットは、不特定の人間が使用可能な第一の通信ネットワーク3に流れるが、認証チケットには認証強度情報が記録されていないので、その認証チケットが盗聴されたとしても、認証強度情報が漏洩してしまうことを防ぐことができる。
The authentication request reception unit 7 of the IdSP 5 receives the request and calls the
ユーザ端末1は、発行された認証チケットを受信する。そして、ユーザ端末1は、各SPにログインする場合、例えば、SP1にログインする場合、受信した認証チケットと認証要求とをSP1に送信する(S3)。SP1の認証要求受付部7が、その認証チケットと認証要求とを受け、認証部55を呼び出す。認証部55は、認証チケットに記録されている発行元情報が表すIdSP5に、その認証チケットと認証強度情報の要求(換言すれば、認証強度の問い合わせ)とを送信する(S4)。
The
IdSP5の強度要求受付部21が、認証チケットと認証強度情報の要求とを受けて認証強度回答部23を呼び出す。認証強度回答部23が、認証チケットに記録されているユーザアカウントに対応した各現在強度フラグ欄(ユーザ管理テーブル15上の欄)を参照し、現在強度フラグが立っている認証強度を表す情報を、認証強度情報の要求元であるSP1に回答する(S5)。
The strength
SP1の認証部55は、必要があれば、属性情報の要求をIdSP5に送信する(S6)。IdSP5の属性要求受付部25が、その要求を受けて属性情報回答部27を呼び出す。属性情報回答部27は、上記ユーザアカウントに対応する属性情報をユーザ管理テーブル15から取得し、取得した属性情報をSP1に送信する(S7)。
If necessary, the
SP1の認証部55は、S5で回答された認証強度情報と、許可認証強度記憶域61に記憶されている認証強度情報とを比較することにより、認証OKとするか認証NGとするかを判断する。この図3Aの例では、許可認証強度記憶域61内の認証強度情報が表す認証強度も、回答された認証強度情報が表す認証強度も、1となっているので、認証部55は、認証OKを、ユーザ端末1に送信する(S8)。これにより、ユーザが、SP1にログインする。
The
ユーザ端末1がSP2に認証要求する場合にも、上述したS3〜S5と同様の処理が行われる(S9〜S11)。しかし、SP2の許可認証強度記憶域61内の認証強度情報が表す認証強度(つまりSP2で要求される認証強度)は3であり、回答された認証強度情報が表す認証強度1はその認証強度よりも低いので、SP2の認証部55は、認証NGとする。この場合、認証部55は、認証強度3で認証することをIdSPに要求するための再認証要求をユーザ端末1に送信する(S12)。
Even when the
ユーザ端末1は、図3Bに示すように、その再認証要求に従って、認証強度3での認証を行うための画面をIdSP5に要求する(S13)。IdSP5の認証部11は、その要求に応答して、認証強度3で認証を行うための画面をユーザ端末1に表示させる(S14)。ユーザは、ユーザ端末1に表示された画面に従って、認証強度3での認証のために必要な認証情報要素を入力する。ここでは、例えば多要素認証のために多要素が入力される。入力された認証情報要素と認証要求とが、ユーザ端末1からIdSP5に送信される(S15)。IdSP5の認証部11は、入力された認証情報要素と、認証強度3に対応した属性情報中の認証情報要素(ユーザ管理テーブル15に記録されている認証情報要素)とを用いて、ユーザが正当か否かを判断し、正当であると判断した場合に、認証チケットをユーザ端末1に発行する(S16)。また、その際、認証部11は、現在強度フラグを立てる現在強度フラグ欄の位置を、認証強度1に対応した欄から認証強度3に対応した欄に変更する。
As shown in FIG. 3B, the
以後、ユーザは、認証強度3以下の認証強度を要求しているSPであれば、格別認証情報要素を入力することなく、認証チケットと共に認証要求を発行することだけで、ログインすることができる。すなわち、例えば、ユーザ端末1が、SP2に認証チケットと認証要求とを送信すれば(S17)、上述したS4及びS5と同様の処理が行われる。ここでは、IdSP5から、認証強度3を表す認証強度情報が回答され、SP2で要求する認証強度を満たしているので、SP2の認証部55は、認証OKとする(S22)。なお、認証OKとする前に、必要があれば、属性情報を要求して受け取ることができる(S20及びS21)。
Thereafter, the user can log in by issuing an authentication request together with an authentication ticket without inputting a special authentication information element if the SP is requesting an authentication strength of
以上、上述した実施形態によれば、要求する認証強度の異なるサーバ(本実施形態ではSP)に対応した連携型認証が実現される。なお、IdSP5で最近行われた認証強度よりも高い認証強度が所望のSPで要求されている場合には、その高い認証強度での認証をIdSP5で行った上で、その所望のSPに認証要求することになるが、ユーザは、認証手続きを、IdSP5から発行されたユーザアカウントを用いて行えばよく、各SP毎にユーザアカウントを管理する必要が無いので、利便性は高い。 As described above, according to the above-described embodiment, cooperative authentication corresponding to servers (SPs in this embodiment) having different authentication strengths required is realized. If an authentication strength higher than the authentication strength recently performed in IdSP5 is required in the desired SP, authentication with the higher authentication strength is performed in IdSP5 and an authentication request is issued to the desired SP. However, the user only needs to perform the authentication procedure using the user account issued from the IdSP 5, and there is no need to manage the user account for each SP, so the convenience is high.
また、上述した実施形態によれば、初めは低い認証強度に従う認証手続きを行い、必要に応じて、高い認証強度に従う認証手続きを行えば良い。これにより、高い認証強度に従う認証手続きで入力することなる認証情報要素、換言すれば、秘密性の高い情報を、不特定の人間が利用可能な第一の通信ネットワーク3に流すことを抑えることができる。
Further, according to the above-described embodiment, an authentication procedure according to a low authentication strength is initially performed, and an authentication procedure according to a high authentication strength may be performed as necessary. As a result, it is possible to suppress the flow of authentication information elements to be input in an authentication procedure according to high authentication strength, in other words, highly confidential information, to the
また、上述した実施形態によれば、各SPで、要求される認証強度に変更が生じた場合には、SPで対応すれば済み(例えば、許可認証強度記憶域61に記憶させる認証強度除法を変更すれば済み)、ユーザ端末1やIdSP5でそれに対応しなくても良いという利便性もある。
In addition, according to the above-described embodiment, when a change occurs in the required authentication strength at each SP, it is sufficient to deal with the SP (for example, an authentication strength division method stored in the permitted authentication
以上、本発明の一実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実施することが可能である。 The embodiment of the present invention has been described above, but this is an example for explaining the present invention, and the scope of the present invention is not limited to this embodiment. The present invention can be implemented in various other forms.
例えば、IdSP5の認証部11は、初めから所定の認証強度(例えば、最高の認証強度)での認証を要求してきたユーザ端末1に対し、特定の警告(例えば、不必要に高い認証強度で認証手続きを行うのは好ましくない旨の警告)を発行し、その警告を受けてもなお、その認証強度で要求して来た場合に、その認証強度での認証手続きを行うことをユーザに許可しても良い。これにより、不必要に高い認証強度で認証手続きを行うことによる、秘密性の高い情報が漏洩してしまうことの危険性を、抑えることができる。
For example, the
また、例えば、SP51は、認証強度それ自体の問合わせに代えて、そのSP51で要求されている認証強度をIdSP5に通知し、且つ、その認証強度以上の認証が済んでいるか否かを問い合わせても良い。この場合、IdSP5は、通知された認証強度が現在強度フラグに対応した認証強度を超えていれば、認証NGを回答し、通知された認証強度が現在強度フラグに対応した認証強度以下であれば、認証OKを回答しても良い。SP51は、認証NGを受けたら、ユーザに対しても認証NGとし、認証OKを受けたら、ユーザに対しても認証OKとすることができる。
Further, for example, instead of inquiring about the authentication strength itself, the
また、例えば、ユーザ管理テーブル15の別の構成例として、図4の構成例が採用されても良い。この構成例によれば、ユーザについて済んだ認証の強度に対し、その認証が済んだ場合に発行された認証チケットが紐付けられる(例えば、図3Aの例で言えば、S2で発行された認証チケットAが、認証強度1に対応付けられる)。そして、認証チケットが紐付けられている認証強度よりも高い認証強度での認証が行われて認証チケットが発行された場合には、発行された認証チケットがその高い認証強度に紐付けられ、それよりも低い認証強度に紐付け済みの認証チケットが破棄される(例えば、図3Bの例で言えば、S16で発行された認証チケットBが認証強度3に紐付けられ、それよりも低い認証強度1に紐付け済みの認証チケットAが破棄される)。このようにして、ユーザについて済んだ認証の強度のうちの最高の認証強度を管理することができる。
For example, the configuration example of FIG. 4 may be adopted as another configuration example of the user management table 15. According to this configuration example, the authentication ticket issued when the authentication is completed is associated with the strength of the authentication completed for the user (for example, in the example of FIG. 3A, the authentication issued in S2 Ticket A is associated with authentication strength 1). If an authentication ticket is issued after authentication with an authentication strength higher than the authentication strength associated with the authentication ticket, the issued authentication ticket is associated with the higher authentication strength. The authentication ticket linked to the lower authentication strength is discarded (for example, in the example of FIG. 3B, the authentication ticket B issued in S16 is linked to the
1…ユーザ端末 3…第一の通信ネットワーク 5…IdSP(Identity Service Provider) 7…認証要求受付部 11…認証部 15…ユーザ管理テーブル 21…強度要求受付部 23…認証強度回答部 33…第二の通信ネットワーク 51…SP(Service Provider) 53…認証要求受付部 55…認証部 61…許可認証強度記憶域
DESCRIPTION OF
Claims (7)
(B)前記受信した認証要求に従い、前記受信した一以上の認証情報要素を用いて前記ユーザが正当か否かを判断する、前記指定された認証強度での認証処理を実行するステップと、
(C)前記ポータルサーバとは別の複数のサーバのうちの一つのサーバが、前記ユーザ端末から所定の要求を受信した場合、前記ポータルサーバに、前記ユーザについて該ポータルサーバで済んでいる認証の強度に関する問合わせを行うステップと、
(D)前記ポータルサーバが、前記サーバからの問合せに応答して、前記ユーザについて済んでいる認証の強度に関する回答を、問合せ元の前記サーバに発行するステップと、
(E)前記サーバは、前記ポータルサーバからの回答から、該サーバで要求される認証強度以上の認証強度での認証処理が前記ポータルサーバで済んでいることが特定されたならば、前記ユーザ端末に対して所定のサービスを提供し、一方、そうでなければ、該サーバで要求される認証強度以上の認証強度での認証が必要であることを意味する再認証要求を前記ユーザ端末に送信するステップと
を有し、前記再認証要求が前記ユーザ端末に送信された場合、前記(A)のステップにおいて、前記ポータルサーバが、前記再認証要求を受けた前記ユーザ端末から、前記再認証要求に表された認証強度以上の認証強度を指定した認証要求と、該指定された認証強度での認証に使用される一以上の認証情報要素とを受信する、
連携型認証方法。 (A) The portal server, which is a portal for cooperative authentication, is used for an authentication request that is a request for authentication with a specified authentication strength among a plurality of authentication strengths, and for authentication with the authentication strength. Receiving one or more authentication information elements from a user terminal;
(B) performing an authentication process at the specified authentication strength to determine whether the user is valid using the received one or more authentication information elements according to the received authentication request;
(C) When one of a plurality of servers different from the portal server receives a predetermined request from the user terminal, the portal server confirms the authentication that has been completed by the portal server for the user. Steps to inquire about strength,
(D) in response to an inquiry from the server, the portal server issues an answer regarding the strength of authentication completed for the user to the inquiry source server;
(E) If it is specified from the answer from the portal server that the authentication processing with an authentication strength equal to or higher than the authentication strength required by the server has been completed by the portal server, the user terminal On the other hand, a re-authentication request is transmitted to the user terminal, which means that authentication with an authentication strength higher than that required by the server is necessary. And when the re-authentication request is transmitted to the user terminal, in the step (A), the portal server changes the re-authentication request from the user terminal that has received the re-authentication request. Receiving an authentication request specifying an authentication strength greater than or equal to the indicated authentication strength and one or more authentication information elements used for authentication at the specified authentication strength;
Federated authentication method.
前記(C)のステップにおいて、前記サーバが、前記認証許可情報と前記所定の要求とを受信した場合に、前記認証許可情報に記録されている場所にいる前記ポータルサイトに対して前記問合せを行うようになっており、
前記ポータルサイトが、前記認証許可情報に、前記認証処理での認証強度を記載しないことを特徴とする、
請求項1記載の連携型認証方法。 In the step (B), when it is determined that the user is valid in the authentication process, the portal site transmits authentication permission information describing a location of the portal site to the user terminal,
In the step (C), when the server receives the authentication permission information and the predetermined request, the server makes the inquiry to the portal site located at the location recorded in the authentication permission information. And
The portal site does not describe the authentication strength in the authentication process in the authentication permission information.
The cooperative authentication method according to claim 1.
請求項1記載の連携型認証方法。 In the step (A), when the portal site receives an authentication request in which an authentication strength equal to or higher than a predetermined authentication strength is received, the portal site issues a predetermined warning to the user terminal. Regardless, when authentication with the specified authentication strength is requested, the authentication process is executed.
The cooperative authentication method according to claim 1.
請求項1記載の連携型認証方法。 Communication between the user terminal and the portal server and the server is performed via a first communication network that can be used by an unspecified person, and at least an authentication strength response from the portal server to the server is not specified. Over a second communications network that is unusable to humans,
The cooperative authentication method according to claim 1.
前記ポータルサーバとは別の複数のサーバと
を備え、
前記ポータルサーバが、
複数の認証強度のうちの指定された認証強度で認証することの要求である認証要求と、該認証強度での認証に使用される一以上の認証情報要素とを、ユーザの端末から受付ける認証要求受付部と、
前記受付けた認証要求に従い、前記受信した一以上の認証情報要素を用いて前記ユーザが正当か否かを判断する、前記指定された認証強度での認証処理を実行し、前記ユーザについて済んでいる認証の強度を所定の記憶域で管理する認証部と、
前記ユーザについて該ポータルサイトで済んでいる認証の強度に関する問合せを前記複数のサーバの各々から受付ける問合せ受付部と、
前記各サーバからの問合せに応答して、前記ユーザについて済んでいる認証の強度を前記記憶域から特定して該認証強度に関する回答を問合せ元の前記各サーバに発行する回答部と
を備え、
前記各サーバが、
前記ユーザ端末から所定の要求を受信した場合、前記ポータルサーバに、前記ユーザについて該ポータルサーバで済んでいる認証の強度に関する問合わせを発行する問合せ部と、
前記ポータルサーバからの回答からが、該サーバで要求される認証強度以上の認証強度での認証処理が前記ポータルサーバで済んでいることが特定されたならば、前記ユーザ端末に対して所定のサービスを提供し、一方、そうでなければ、該サーバで要求される認証強度以上の認証強度での認証が必要であることを意味する再認証要求を前記ユーザ端末に送信する認証部と
を備え、
前記ポータルサーバの認証要求受付部が、前記再認証要求が前記ユーザ端末に送信された場合、前記再認証要求を受けた前記ユーザ端末から、前記再認証要求に表された認証強度以上の認証強度を指定した認証要求と、該指定された認証強度での認証に使用される一以上の認証情報要素とを受信する、
連携型認証システム。 A portal server that is a portal for federated authentication;
A plurality of servers different from the portal server,
The portal server is
An authentication request for accepting an authentication request, which is a request for authentication at a specified authentication strength among a plurality of authentication strengths, and one or more authentication information elements used for authentication at the authentication strength from a user terminal A reception department;
In accordance with the received authentication request, an authentication process with the designated authentication strength is performed to determine whether or not the user is valid using the received one or more authentication information elements, and the user has been completed. An authentication unit for managing the strength of authentication in a predetermined storage area;
An inquiry reception unit that receives an inquiry about the strength of authentication that has been completed at the portal site for the user from each of the plurality of servers;
In response to an inquiry from each of the servers, an answering unit that specifies the strength of authentication that has been completed for the user from the storage area and issues an answer relating to the authentication strength to each server of the inquiry source, and
Each of the servers is
When a predetermined request is received from the user terminal, an inquiry unit that issues an inquiry to the portal server regarding the strength of authentication that has been completed at the portal server for the user;
If it is determined from the response from the portal server that authentication processing at an authentication strength higher than the authentication strength required by the server is completed at the portal server, a predetermined service is provided to the user terminal. An authentication unit that transmits to the user terminal a re-authentication request that means that authentication with authentication strength equal to or higher than that required by the server is required.
When the re-authentication request is transmitted to the user terminal, the authentication request reception unit of the portal server receives an authentication strength equal to or higher than the authentication strength represented in the re-authentication request from the user terminal that has received the re-authentication request. And an authentication request specifying one and one or more authentication information elements used for authentication with the specified authentication strength.
Federated authentication system.
複数の認証強度のうちの指定された認証強度で認証することの要求である認証要求と、該認証強度での認証に使用される一以上の認証情報要素とを、ユーザの端末から受付ける認証要求受付部と、
前記受付けた認証要求に従い、前記受信した一以上の認証情報要素を用いて前記ユーザが正当か否かを判断する、前記指定された認証強度での認証処理を実行し、前記ユーザについて済んでいる認証の強度を所定の記憶域に登録する認証部と、
前記ユーザについて該ポータルサイトで済んでいる認証の強度に関する問合せを前記複数のサーバの各々から受付ける問合せ受付部と、
前記各サーバからの問合せに応答して、前記ユーザについて済んでいる認証の強度を前記記憶域から特定して該認証強度に関する回答を問合せ元の前記各サーバに発行する回答部と
を備えるサーバ。 A server that is a portal for cooperative authentication of multiple servers,
An authentication request for accepting an authentication request, which is a request for authentication at a specified authentication strength among a plurality of authentication strengths, and one or more authentication information elements used for authentication at the authentication strength from a user terminal A reception department;
In accordance with the received authentication request, an authentication process with the designated authentication strength is performed to determine whether or not the user is valid using the received one or more authentication information elements, and the user has been completed. An authentication unit for registering the strength of authentication in a predetermined storage area;
An inquiry reception unit that receives an inquiry about the strength of authentication that has been completed at the portal site for the user from each of the plurality of servers;
A server comprising: an answering unit that identifies the strength of authentication that has been completed for the user from the storage area and issues an answer relating to the authentication strength to each server of the inquiry source in response to an inquiry from each server;
複数の認証強度のうちの指定された認証強度で認証することの要求である認証要求と、該認証強度での認証に使用される一以上の認証情報要素とを、ユーザの端末から受付けた場合に、前記受付けた認証要求に従い、前記受信した一以上の認証情報要素を用いて前記ユーザが正当か否かを判断する、前記指定された認証強度での認証処理を実行し、前記ユーザについて済んでいる認証の強度を所定の記憶域に登録するステップと、
前記ユーザについて該ポータルサイトで済んでいる認証の強度に関する問合せを、前記複数のサーバのうちの或るサーバから受けた場合に、該或るサーバからの問合せに応答して、前記ユーザについて済んでいる認証の強度を前記記憶域から特定し、特定された認証強度に関する回答を問合せ元の前記或るサーバに発行するステップと
をコンピュータに実行させるためのコンピュータプログラム。 A computer program for providing a server as a portal for cooperative authentication for a plurality of servers,
When an authentication request, which is a request for authentication with a specified authentication strength among a plurality of authentication strengths, and one or more authentication information elements used for authentication with the authentication strength are received from a user terminal In accordance with the received authentication request, the authentication process is performed with the specified authentication strength to determine whether or not the user is valid using the received one or more authentication information elements, and the user has been completed. Registering the strength of authentication in a predetermined storage area;
When an inquiry about the strength of authentication that has been completed at the portal site for the user is received from a certain server among the plurality of servers, the user has been completed in response to the inquiry from the certain server. A computer program for causing a computer to execute the step of specifying the strength of authentication from the storage area and issuing an answer regarding the specified authentication strength to the certain server that is the inquiry source.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006082524A JP4913457B2 (en) | 2006-03-24 | 2006-03-24 | Federated authentication method and system for servers with different authentication strengths |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006082524A JP4913457B2 (en) | 2006-03-24 | 2006-03-24 | Federated authentication method and system for servers with different authentication strengths |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011265913A Division JP5414774B2 (en) | 2011-12-05 | 2011-12-05 | Federated authentication method and system for servers with different authentication strengths |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007257426A true JP2007257426A (en) | 2007-10-04 |
| JP4913457B2 JP4913457B2 (en) | 2012-04-11 |
Family
ID=38631588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006082524A Expired - Fee Related JP4913457B2 (en) | 2006-03-24 | 2006-03-24 | Federated authentication method and system for servers with different authentication strengths |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4913457B2 (en) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010086435A (en) * | 2008-10-02 | 2010-04-15 | Hitachi Ltd | Information processing method and computer |
| JP2010128719A (en) * | 2008-11-26 | 2010-06-10 | Hitachi Ltd | Authentication intermediary server, program, authentication system and selection method |
| JP2010176167A (en) * | 2009-01-27 | 2010-08-12 | Fujitsu Ltd | Program for detecting least privilege violation |
| JP2010225078A (en) * | 2009-03-25 | 2010-10-07 | Nec Corp | Authentication method, authentication system thereof, and authentication processing program thereof |
| JP2011509002A (en) * | 2007-12-20 | 2011-03-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Continued selection of authentication methods |
| JP2011113170A (en) * | 2009-11-25 | 2011-06-09 | Yahoo Japan Corp | Authentication server and method |
| JP2011159189A (en) * | 2010-02-03 | 2011-08-18 | Nippon Telegr & Teleph Corp <Ntt> | Communication system, portal server, authentication server, service server, communication method, and program |
| JP2011210124A (en) * | 2010-03-30 | 2011-10-20 | Ntt Data Corp | Common id issuing system, service providing system, and method of issuing common id |
| JP2013030124A (en) * | 2011-07-29 | 2013-02-07 | Nippon Telegr & Teleph Corp <Ntt> | User authentication system, method, program, and device |
| JP2013506918A (en) * | 2009-09-30 | 2013-02-28 | アマゾン テクノロジーズ インコーポレイテッド | Modular device authentication framework |
| JP2015090620A (en) * | 2013-11-06 | 2015-05-11 | 株式会社東芝 | Authentication system, method and program |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5414774B2 (en) * | 2011-12-05 | 2014-02-12 | 株式会社野村総合研究所 | Federated authentication method and system for servers with different authentication strengths |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331449A (en) * | 2000-03-13 | 2001-11-30 | Yafoo Japan Corp | Access authentication system, storage medium, program and access authentication method |
| JP2002335239A (en) * | 2001-05-09 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Method and system device for authenticating single sign- on |
| JP2003006161A (en) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | Server for providing service to client computer, and method and program for providing service |
| JP2005166024A (en) * | 2003-11-12 | 2005-06-23 | Ricoh Co Ltd | Authentication service providing device, web service providing device, user terminal device, authentication service providing method, web service providing method, web service utilizing method, authentication service providing program, web service providing program, web service utilizing program, and recording medium |
-
2006
- 2006-03-24 JP JP2006082524A patent/JP4913457B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331449A (en) * | 2000-03-13 | 2001-11-30 | Yafoo Japan Corp | Access authentication system, storage medium, program and access authentication method |
| JP2002335239A (en) * | 2001-05-09 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Method and system device for authenticating single sign- on |
| JP2003006161A (en) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | Server for providing service to client computer, and method and program for providing service |
| JP2005166024A (en) * | 2003-11-12 | 2005-06-23 | Ricoh Co Ltd | Authentication service providing device, web service providing device, user terminal device, authentication service providing method, web service providing method, web service utilizing method, authentication service providing program, web service providing program, web service utilizing program, and recording medium |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011509002A (en) * | 2007-12-20 | 2011-03-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Continued selection of authentication methods |
| JP2010086435A (en) * | 2008-10-02 | 2010-04-15 | Hitachi Ltd | Information processing method and computer |
| JP2010128719A (en) * | 2008-11-26 | 2010-06-10 | Hitachi Ltd | Authentication intermediary server, program, authentication system and selection method |
| JP2010176167A (en) * | 2009-01-27 | 2010-08-12 | Fujitsu Ltd | Program for detecting least privilege violation |
| JP2010225078A (en) * | 2009-03-25 | 2010-10-07 | Nec Corp | Authentication method, authentication system thereof, and authentication processing program thereof |
| KR101737146B1 (en) * | 2009-09-30 | 2017-05-29 | 아마존 테크놀로지스, 인크. | Modular device authentication framework |
| JP2013506918A (en) * | 2009-09-30 | 2013-02-28 | アマゾン テクノロジーズ インコーポレイテッド | Modular device authentication framework |
| US8813186B2 (en) | 2009-09-30 | 2014-08-19 | Amazon Technologies, Inc. | Modular device authentication framework |
| JP2011113170A (en) * | 2009-11-25 | 2011-06-09 | Yahoo Japan Corp | Authentication server and method |
| JP2011159189A (en) * | 2010-02-03 | 2011-08-18 | Nippon Telegr & Teleph Corp <Ntt> | Communication system, portal server, authentication server, service server, communication method, and program |
| JP2011210124A (en) * | 2010-03-30 | 2011-10-20 | Ntt Data Corp | Common id issuing system, service providing system, and method of issuing common id |
| JP2013030124A (en) * | 2011-07-29 | 2013-02-07 | Nippon Telegr & Teleph Corp <Ntt> | User authentication system, method, program, and device |
| WO2015068694A1 (en) * | 2013-11-06 | 2015-05-14 | 株式会社 東芝 | Authentication system, method, and program |
| CN105593869A (en) * | 2013-11-06 | 2016-05-18 | 株式会社东芝 | Authentication system, method, and program |
| JP2015090620A (en) * | 2013-11-06 | 2015-05-11 | 株式会社東芝 | Authentication system, method and program |
| US10178081B2 (en) | 2013-11-06 | 2019-01-08 | Kabushiki Kaisha Toshiba | Authentication system, method and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4913457B2 (en) | 2012-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4913457B2 (en) | Federated authentication method and system for servers with different authentication strengths | |
| JP4856755B2 (en) | Customizable sign-on service | |
| KR102390108B1 (en) | Information processing system and control method therefor | |
| US8635679B2 (en) | Networked identity framework | |
| JP4579546B2 (en) | Method and apparatus for handling user identifier in single sign-on service | |
| JP6170158B2 (en) | Mobile multi single sign-on authentication | |
| JP6033990B2 (en) | Multiple resource servers with a single flexible and pluggable OAuth server, OAuth protected REST OAuth permission management service, and OAuth service for mobile application single sign-on | |
| TWI400922B (en) | Authentication of a principal in a federation | |
| EP2109955B1 (en) | Provisioning of digital identity representations | |
| US10135810B2 (en) | Selective authentication system | |
| US20130125222A1 (en) | System and Method for Vetting Service Providers Within a Secure User Interface | |
| US9544311B2 (en) | Secure identity propagation in a cloud-based computing environment | |
| JP2015535984A5 (en) | ||
| US20100299735A1 (en) | Uniform Resource Locator Redirection | |
| US7188252B1 (en) | User editable consent | |
| KR20040049272A (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
| CN111052678B (en) | Adaptive device registration | |
| JP4932154B2 (en) | Method and system for providing user authentication to a member site in an identity management network, method for authenticating a user at a home site belonging to the identity management network, computer readable medium, and system for hierarchical distributed identity management | |
| US9906516B2 (en) | Security system for preventing further access to a service after initial access to the service has been permitted | |
| JP2008282212A (en) | Authentication device and authentication system | |
| CN110869928A (en) | Authentication system and method | |
| JP5252721B2 (en) | Information providing server | |
| JP5414774B2 (en) | Federated authentication method and system for servers with different authentication strengths | |
| Baker | OAuth2 | |
| Wild et al. | Proprotect3: An approach for protecting user profile data from disclosure, tampering, and improper use in the context of webid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081010 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110622 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110628 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110812 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111205 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20111208 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120110 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120119 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4913457 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150127 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |