JP2007257500A - 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット - Google Patents
被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット Download PDFInfo
- Publication number
- JP2007257500A JP2007257500A JP2006083465A JP2006083465A JP2007257500A JP 2007257500 A JP2007257500 A JP 2007257500A JP 2006083465 A JP2006083465 A JP 2006083465A JP 2006083465 A JP2006083465 A JP 2006083465A JP 2007257500 A JP2007257500 A JP 2007257500A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication device
- server
- authentication request
- authenticated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ネットワーク上に複数の認証装置が存在する場合でも、シングルサインオンを簡易に実現することを課題とする。
【解決手段】サーバおよび認証装置にネットワークを介してそれぞれ接続され、サーバにアクセスして受信した認証要求情報(例えば、乱数であるチャレンジデータなど)を認証装置へ転送する被認証装置であって、サーバがチャレンジデータを認証装置アドレス情報(例えば、URLなど)と対応づけて利用者に提示する手法と異なり、認証要求情報が特定の認証装置と対応付けられることなく含まれる認証要求ページをサーバから受信し、所定の認証装置にアクセスするための認証装置アドレス情報を保持し、認証装置アドレス情報で指定する認証装置に対するアクセス要求が行われた場合に、認証要求ページから認証要求情報を抽出し、認証要求情報が抽出された場合に、認証要求情報をアクセス要求が行われた認証装置に転送する。
【選択図】 図1
【解決手段】サーバおよび認証装置にネットワークを介してそれぞれ接続され、サーバにアクセスして受信した認証要求情報(例えば、乱数であるチャレンジデータなど)を認証装置へ転送する被認証装置であって、サーバがチャレンジデータを認証装置アドレス情報(例えば、URLなど)と対応づけて利用者に提示する手法と異なり、認証要求情報が特定の認証装置と対応付けられることなく含まれる認証要求ページをサーバから受信し、所定の認証装置にアクセスするための認証装置アドレス情報を保持し、認証装置アドレス情報で指定する認証装置に対するアクセス要求が行われた場合に、認証要求ページから認証要求情報を抽出し、認証要求情報が抽出された場合に、認証要求情報をアクセス要求が行われた認証装置に転送する。
【選択図】 図1
Description
この発明は、被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレットに関する。
従来より、電子商取引等の普及に伴い、利用者がサーバからサービスの提供を受けるにあたり、認証を求められる場合が増えている。通常、この認証は、各種サーバごとに管理される利用者IDおよびパスワードが、利用者によって利用者装置から各種サーバに送信され、各種サーバにおいて認証処理をすることによって行われる。このような認証の場合、利用者は、各種サーバごとの利用者IDおよびパスワードを個別に管理しなければならなかった。そこで、このような各種サーバごとの個別の認証を認証装置が一元的に引き受け、利用者は、認証装置用の利用者IDおよびパスワードを管理するだけで、各種サーバからサービスの提供を受けることが可能になるシングルサインオンと呼ばれる認証連携方式がある。
このシングルサインオンの実現形態について簡単に説明すると、まず、利用者装置は、サービスの提供を要求するためにサーバにアクセスし、サーバから認証要求情報(例えば、乱数であるチャレンジデータなど)とサーバが信頼する特定の認証装置アドレス情報(例えば、認証装置のURLなど)とを受信する。そして、利用者装置は、サーバから特定されて受信した認証装置のURLに基づいて、認証装置にチャレンジデータを転送し、認証を要求する。すると、利用者装置は、認証装置からログインページを受信するので、認証装置用の利用者IDおよびパスワードを認証装置に送信する。そして、利用者装置から送信された利用者IDおよびパスワードを認証装置が保持しているか否かが認証装置によって認証され、この認証が成功すると、利用者装置が転送したチャレンジデータから認証結果情報が認証装置において生成され、利用者装置は、この認証結果情報を認証装置から受信して再びサーバにアクセスし、認証結果情報をサーバに転送する。そして、サーバによって認証結果情報の検証が行われ、この検証が成功すると、利用者装置は、サーバからサービスの提供を受ける。なお、サーバが特定の認証装置を信頼するということは、サーバが、特定の認証装置において認証された利用者については、認証されたとみなすという信頼関係を構築済みであることを意味するものとする。
例えば、非特許文献1に開示された方法では、利用者装置がサーバに対してサービスの提供を要求すると、利用者装置は、認証要求情報とサーバが信頼する特定の認証装置アドレス情報とが対応付けられて組み込まれたWebページをサーバから受信し、受信したWebページに組み込まれたこれらの情報がマウスクリックなどの操作で利用者に選択されることによって、サーバが信頼する特定の認証装置に認証要求情報を転送する。
" Liberty ID-FF Architecture Overview"、[online]、[平成18年2月20日検索]、インターネット<http://www.projectliberty.org/specs/draft-liberty-idff-arch-overview-1.2-errata-v1.0.pdf>
ところで、上記した従来の技術では、ネットワーク上に複数の認証装置が存在し、かつ、サーバが信頼する特定の認証装置と利用者の認証情報を保持し利用者を認証可能な所定の認証装置とが異なる場合には、利用者を認証可能な認証装置をサーバ側で把握できないためサーバが送信するWebページに認証装置のアドレスを含めることができないことから、利用者装置は、サーバから特定されて受信する認証装置アドレス情報を用いることでは利用者の認証情報を保持し利用者を認証可能な所定の認証装置に認証要求情報を転送することができない。このため、サーバが信頼する特定の認証装置に新たに利用者の認証情報を保持させる手続きを行わなければならず、もしくは、サーバからサービスの提供を受けることを諦めなければならず、結果として、シングルサインオンを実現することができないという課題があった。
このような課題は、サーバが特定の認証装置のみを信頼するのではなく、複数の認証装置を信頼することで、なるべく多くの利用者を認証できるようにすれば一定程度解決可能である。すなわち、このような課題を解決するため、サーバがあらかじめ複数の認証装置を信頼しておき、認証要求情報とネットワーク上に存在する複数の認証装置アドレス情報とを対応付けて組み込んだWebページを被認証装置に送信し、利用者装置でサーバから受信した複数の認証装置アドレス情報を候補リストとして利用者に提示して、その中から利用者の認証情報を保持し利用者を認証可能な所定の認証装置が利用者に選択されると、利用者装置が、認証要求情報を所定の認証装置に転送するという方法が考えられる。
しかしながら、この方法では、シングルサインオンを簡易に実現することができないという課題がある。すなわち、認証装置のアドレスをサーバ側で把握できない場合、例えば、メールアドレスのドメイン毎に認証装置が設置される場合や、利用者の個人サーバが認証装置となる場合など、多数の認証装置が存在する場合には、サーバが誘導先を決定できず、シングルサインオンできないという課題がある。さらに、認証装置のアドレスをサーバ側で把握できる場合であっても、ネットワーク上の認証装置が増える度に、認証装置アドレス情報が組み込まれるWebページに新しい認証装置アドレス情報が追加されるなどの管理がなされなければならず、また、所定の認証装置が利用者によって選択されるに際しても、数多くの候補リストから利用者の認証情報を保持し利用者を認証可能な所定の認証装置が探し出されなければならず、結果として、シングルサインオンを簡易に実現することができないという課題がある。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ネットワーク上に複数の認証装置が存在する場合でも、シングルサインオンを簡易に実現することが可能な被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレットを提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する被認証装置であって、前記認証要求情報が特定の前記認証装置と対応付けられることなく含まれる認証要求ページを前記サーバから受信する認証要求情報受信手段と、所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持手段と、前記認証装置アドレス情報保持手段によって保持された前記認証装置アドレス情報で指定する前記認証装置に対するアクセス要求が行われた場合に、前記認証要求受信手段によって受信された前記認証要求ページから前記認証要求情報を抽出する認証要求情報抽出手段と、前記認証要求情報抽出手段によって前記認証要求情報が抽出された場合に、当該認証要求情報を前記アクセス要求が行われた前記認証装置に転送する認証要求情報転送手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法をコンピュータに実行させる被認証プログラムであって、前記認証要求情報が特定の前記認証装置と対応付けられることなく含まれる認証要求ページを前記サーバから受信する認証要求情報受信手順と、所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持手順と、前記認証装置アドレス情報保持手順によって保持された前記認証装置アドレス情報で指定する前記認証装置に対するアクセス要求が行われた場合に、前記認証要求受信手順によって受信された前記認証要求ページから前記認証要求情報を抽出する認証要求情報抽出手順と、前記認証要求情報抽出手順によって前記認証要求情報が抽出された場合に、当該認証要求情報を前記アクセス要求が行われた前記認証装置に転送する認証要求情報転送手順と、をコンピュータに実行させることを特徴とする。
また、請求項3に係る発明は、サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法であって、前記認証要求情報が特定の前記認証装置と対応付けられることなく含まれる認証要求ページを前記サーバから受信する認証要求情報受信工程と、所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持工程と、前記認証装置アドレス情報保持工程によって保持された前記認証装置アドレス情報で指定する前記認証装置に対するアクセス要求が行われた場合に、前記認証要求受信工程によって受信された前記認証要求ページから前記認証要求情報を抽出する認証要求情報抽出工程と、前記認証要求情報抽出工程によって前記認証要求情報が抽出された場合に、当該認証要求情報を前記アクセス要求が行われた前記認証装置に転送する認証要求情報転送工程と、を含んだことを特徴とする。
また、請求項4に係る発明は、サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法をコンピュータに実行させるWebブラウザに組み込まれるWebブラウザ用プラグインであって、所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持手順と、前記認証要求情報を特定の前記認証装置と対応付けられることなく含む認証要求ページが前記Webブラウザ経由で前記サーバから受信され、前記認証装置アドレス情報保持手順によって保持された前記認証装置アドレス情報で指定する当該認証装置に対するアクセス要求が行われた場合に、当該アクセス要求が行われた認証装置に対して当該認証要求情報が当該Webブラウザ経由で転送されるように、当該認証要求ページから転送対象の当該認証要求情報を抽出する認証要求情報抽出手順と、をコンピュータに実行させることを特徴とする。
また、請求項5に係る発明は、サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法をコンピュータに実行させるWebブラウザに組み込まれるWebブラウザブックマークレットであって、所定の前記認証装置にアクセスするための認証装置アドレス情報をWebブラウザブックマークと同じ形態で提示されるように保持する認証装置アドレス情報保持手順と、前記認証要求情報を特定の前記認証装置と対応付けられることなく含む認証要求ページが前記Webブラウザ経由で前記サーバから受信され、前記認証装置アドレス情報保持手順によって保持されWebブラウザブックマークと同じ形態で提示された前記認証装置アドレス情報で指定する当該認証装置に対するアクセス要求が行われた場合に、当該アクセス要求が行われた認証装置に対して当該認証要求情報が当該Webブラウザ経由で転送されるように、当該認証要求ページから転送対象の当該認証要求情報を抽出する認証要求情報抽出手順と、をコンピュータに実行させることを特徴とする。
請求項1、2または3の発明によれば、従来技術では、サーバが被認証装置に送信するWebページに認証装置アドレス情報を含めていたが、本発明では、被認証装置に認証装置アドレス情報を保持させることにより、サーバがWebページに認証装置アドレス情報を含めることが不要となり、認証装置が多数あり、利用者を認証可能な認証装置をサーバ側で把握できない場合にも、シングルサインオンを実現することが可能になる。さらに、認証装置のアドレスをサーバ側で把握できる場合であっても、ネットワーク上の認証装置が増える度に新しい認証装置アドレス情報が認証要求ページに追加されるなどの管理がなされる必要がなく、また、所定の認証装置が利用者に選択されるに際しても、数多くの候補リストから所定の認証装置が探し出される必要もない結果、シングルサインオンを簡易に実現することが可能になる。
また、請求項4の発明によれば、従来技術では、サーバが被認証装置に送信するWebページに認証装置アドレス情報を含めていたが、本発明では、被認証装置においてWebブラウザに組み込まれるWebブラウザ用プラグインに認証装置アドレス情報を保持させることにより、サーバがWebページに認証装置アドレス情報を含めることが不要となり、認証装置が多数あり、利用者を認証可能な認証装置をサーバ側で把握できない場合にも、シングルサインオンを実現することが可能になる。さらに、認証装置のアドレスをサーバ側で把握できる場合であっても、ネットワーク上の認証装置が増える度に新しい認証装置アドレス情報が認証要求ページ追加されるなどの管理がなされる必要がなく、所定の認証装置が利用者に選択されるに際しても、数多くのリストから所定の認証装置が探し出される必要もなく、また、被認証装置においてWebブラウザ以外のアプリケーションが起動される必要もない結果、シングルサインオンをより簡易に実現することが可能になる。
また、請求項5の発明によれば、従来技術では、サーバが被認証装置に送信するWebページに認証装置アドレス情報を含めていたが、本発明では、被認証装置においてWebブラウザに組み込まれるWebブラウザブックマークレットに認証装置アドレス情報を保持させることにより、サーバがWebページに認証装置アドレス情報を含めることが不要となり、認証装置が多数あり、利用者を認証可能な認証装置をサーバ側で把握できない場合にも、シングルサインオンを実現することが可能になる。さらに、認証装置のアドレスをサーバ側で把握できる場合であっても、ネットワーク上の認証装置が増える度に新しい認証装置アドレス情報が認証要求ページに追加されるなどの管理がなされる必要がなく、所定の認証装置が利用者に選択されるに際しても、数多くのリストから所定の認証装置が探し出される必要もなく、被認証装置においてWebブラウザ以外のアプリケーションが起動される必要もなく、一般的なブックマークと同様の操作環境を提供できるため特殊な操作がなされる必要もなく、また、既存のWebブラウザにブックマークが登録されるのみで利用可能となるためWebブラウザのプログラムに変更が加えられる必要もない結果、シングルサインオンをより簡易かつ簡略に実現することが可能になる。
以下に添付図面を参照して、この発明に係る被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレットの実施例を詳細に説明する。なお、以下では、この発明に係る被認証装置を含んで構成される認証連携システムを実施例として説明する。また、以下の実施例で用いる主要な用語(用語の説明)、実施例1に係る認証連携システムの概要および特徴(認証連携システムの概要および特徴)、認証連携システムの構成および処理の流れ(認証連携システムの構成、認証連携システムによる処理)、実施例1の効果を順に説明し、最後に他の実施例を説明する。
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。以下の実施例で用いる「サーバ(特許請求の範囲に記載の「サーバ」に対応する)」とは、ネットワークを介して接続する利用者装置(特許請求の範囲に記載の「被認証装置」に対応する)に対して電子商取引等のサービスを提供する装置である。このようなサーバでは、安全にサービスを提供することを目的として、サービス提供の前にあらかじめ利用者装置に対する認証を行う。通常、この認証は、各種サーバにおいて認証処理をすることによって行われるが、以下の実施例におけるサーバは、サーバにおける認証処理によって認証された利用者装置に対してサービスを提供する他に、各種サーバの認証処理を一元的に引き受ける認証装置(特許請求の範囲に記載の「認証装置」)と連携し、認証装置によって認証された利用者装置に対してもサービスを提供する仕組みになっている。
まず最初に、以下の実施例で用いる主要な用語を説明する。以下の実施例で用いる「サーバ(特許請求の範囲に記載の「サーバ」に対応する)」とは、ネットワークを介して接続する利用者装置(特許請求の範囲に記載の「被認証装置」に対応する)に対して電子商取引等のサービスを提供する装置である。このようなサーバでは、安全にサービスを提供することを目的として、サービス提供の前にあらかじめ利用者装置に対する認証を行う。通常、この認証は、各種サーバにおいて認証処理をすることによって行われるが、以下の実施例におけるサーバは、サーバにおける認証処理によって認証された利用者装置に対してサービスを提供する他に、各種サーバの認証処理を一元的に引き受ける認証装置(特許請求の範囲に記載の「認証装置」)と連携し、認証装置によって認証された利用者装置に対してもサービスを提供する仕組みになっている。
また、以下の実施例で用いる「チャレンジデータ(特許請求の範囲に記載の「認証要求情報」に対応する)」とは、利用者装置がサーバから受信し、その後、利用者装置が認証装置に転送し、認証装置における認証処理に用いられる情報である。例えば、サーバがチャレンジデータとして「9361923416」などの乱数を生成し、この乱数が認証装置において暗号化されて認証結果情報となり、この認証結果情報がサーバにて再び復号化されることで、サーバは認証装置における認証結果を検証する。
また、以下の実施例で用いる「Webブラウザブックマークレット(特許請求の範囲に記載の「Webブラウザブックマークレット」に対応する)」とは、Webブラウザにブックマークと同じ形態で保持され、かつ、利用者に選択されるべく同じ形態で提示されるように組み込まれるプログラムである。具体的には、通常、Webブラウザのブックマーク提示欄は利用者装置によってアクセスされるWebサイトのURLを格納するが、Webブラウザブックマークレットは、JavaScript等で記述されたプログラムを格納する。すると、利用者によってURLを格納するブックマークが選択されると、Webブラウザは選択されたURLで指定するアドレスのWebサイトに接続し、コンテンツを取得して利用者に提示するが、利用者によってプログラムを格納するWebブラウザブックマークレットが選択されると、WebブラウザはWebブラウザブックマークレットが格納するJavaScript等で記述された処理を実行する。
[認証連携システムの概要および特徴]
続いて、図1を用いて、実施例1に係る認証連携システムの概要および特徴を説明する。図1は、実施例1に係る認証連携システムの概要および特徴を説明するための図である。
続いて、図1を用いて、実施例1に係る認証連携システムの概要および特徴を説明する。図1は、実施例1に係る認証連携システムの概要および特徴を説明するための図である。
実施例1に係る認証連携システムは、この発明に係る被認証装置と、サーバと、認証装置とで構成される。そして、実施例1における被認証装置は、サーバおよび認証装置にネットワークを介してそれぞれ接続され、サーバにアクセスして受信した認証要求情報(チャレンジデータ)を認証装置へ転送することを概要とし、ネットワーク上に複数の認証装置が存在する場合でも、シングルサインオンを簡易に実現することを主たる特徴とする。なお、図1では、ひとつのサーバおよびひとつの認証装置に、ひとつの被認証装置がネットワークを介してそれぞれ接続される場合を示したが、必ずしもひとつであることに限定されることはなく、複数のサーバおよび複数の認証装置に、複数の被認証装置がネットワークを介して接続される場合も同様である。
この主たる特徴について簡単に説明すると、図1に示すように、実施例1における被認証装置は、Webブラウザのブックマーク提示欄(favorites)に、サービスの提供を要求するサーバにアクセスするためのサーバブックマーク識別情報(図1の「サーバへ」を参照)と、被認証装置が所属する所定の認証装置にアクセスするための認証装置ブックマーク識別情報(図1の「認証装置へ」を参照)とを提示し、サーバアドレス情報と認証装置アドレス情報とを保持している。ここで、認証装置アドレス情報を保持するブックマーク識別情報の外観は通常のブックマーク識別情報と変わらないが、実際には、JavaScript等で記述されたプログラムを組み込まれたWebブラウザブックマークレットである。また、図示してはいないが、認証装置は、被認証装置の利用者IDおよびパスワードをあらかじめパスワード記憶部に格納する。
まず、実施例1における被認証装置は、サーバにサービスの提供を要求するために、被認証装置のWebブラウザ経由でサーバにアクセスする(図1の(1)を参照)。すると、サーバは、自ら保持する認証情報により認証可能な被認証装置の他に、認証装置によって認証された被認証装置に対してもサービスを提供する仕組みになっているので、チャレンジデータ(認証要求情報)を生成する(図1の(2)を参照)。なお、チャレンジデータは、例えば、「9361923416」といった乱数などが生成される。
次に、被認証装置は、チャレンジデータが特定の認証装置と対応付けられることなく含まれる認証要求ページをWebブラウザ経由でサーバから受信する(図1の(3)を参照)。例えば、図1に示すように、被認証装置が受信する認証要求ページには、サーバにおける認証処理を希望する利用者装置のための利用者IDおよびパスワードの入力を求める情報と、認証装置によって認証されることを希望する被認証装置のためのチャレンジデータとが提示されており、サーバがチャレンジデータを認証装置アドレス情報と対応付けて利用者に提示する手法と異なり、特定の認証装置アドレス情報は提示されていない。
そして、実施例1における被認証装置は、所属する所定の認証装置によって認証されるために、Webブラウザブックマークレットに保持された認証装置アドレス情報で指定する認証装置に対するアクセス要求が、Webブラウザブックマークレット上で利用者に選択されることによって行われると、アクセス要求が行われた認証装置に転送されるように認証要求ページからチャレンジデータおよびサーバアドレス情報を抽出する(図1の(4)を参照)。そして、被認証装置は、チャレンジデータおよびサーバアドレス情報をWebブラウザ経由で転送する(図1の(5)を参照)。
続いて、認証装置では、被認証装置から転送されたチャレンジデータを受信すると、被認証装置を認証するために、図4に示すように、被認証装置に対して利用者IDおよびパスワードの入力を求めるログインページを送信し、被認証装置から認証装置のパスワード記憶部にあらかじめ格納された利用者IDおよびパスワードと一致する情報を受信すると、被認証装置が認証装置に所属する被認証装置であることを認証する(図1の(6)を参照)。そして、このように認証が成功すると、チャレンジデータから認証結果情報を生成する(図1の(7)を参照)。
そして、被認証装置は、この認証結果情報を受信するとともに、認証装置によりリダイレクトされて再びサーバにアクセスし、認証装置から受信した認証結果情報をサーバに転送してサービスの提供を要求する(図1の(8)を参照)。すると、サーバによって認証結果情報の検証が行われ(図1の(9)を参照)、この検証が成功すると、被認証装置は、図5に示すように、サーバからサービス提供ページを受信する(図1の(10)を参照)。
[認証連携システムの構成]
次に、実施例1に係る認証連携システムの構成を説明する。実施例1に係る認証連携システムは、この発明に係る被認証装置と、サーバと、認証装置とで構成されるので、以下では、実施例1における被認証装置の構成、実施例1におけるサーバの構成、実施例1における認証装置の構成を順に説明する。
次に、実施例1に係る認証連携システムの構成を説明する。実施例1に係る認証連携システムは、この発明に係る被認証装置と、サーバと、認証装置とで構成されるので、以下では、実施例1における被認証装置の構成、実施例1におけるサーバの構成、実施例1における認証装置の構成を順に説明する。
[被認証装置の構成]
まず、図2〜図6を用いて、実施例1における被認証装置の構成を説明する。図2は、実施例1に係る認証連携システムの構成を示すブロック図であり、図3は、サーバから受信した認証要求ページを説明するための図であり、図4は、認証装置から受信したログインページを説明するための図であり、図5は、サーバから受信したサービス提供ページを説明するための図であり、図6は、ブックマーク管理部を説明するための図である。
まず、図2〜図6を用いて、実施例1における被認証装置の構成を説明する。図2は、実施例1に係る認証連携システムの構成を示すブロック図であり、図3は、サーバから受信した認証要求ページを説明するための図であり、図4は、認証装置から受信したログインページを説明するための図であり、図5は、サーバから受信したサービス提供ページを説明するための図であり、図6は、ブックマーク管理部を説明するための図である。
図2に示すように、被認証装置100は、入力部110と、出力部120と、入出力制御IF部130と、ネットワーク通信部140と、制御部150とから主に構成される。
入力部110は、制御部150による各種処理に用いるデータや、各種処理をするための操作などを、キーボード、マウス、または記憶媒体などによって入力する入力手段である。例えば、後述するWebブラウズ部153の操作や、後述するブックマーク管理部151の操作や、利用者IDおよびパスワードなどを入力する。
出力部120は、制御部150による各種処理の結果や、各種処理をするための操作指示などを、モニタ、プリンタ、またはスピーカーなどに出力する出力手段である。例えば、後述するWebブラウズ部153がサーバ200から受信した認証要求ページや、認証装置300から受信したログインページや、サーバ200から受信したサービス提供ページなどをモニタに出力する。
すなわち、例えば、図3に示すように、被認証装置の出力部120のモニタは、後述するWebブラウズ部153と、Webブラウズ部153によって取得されたコンテンツ(サーバ200から受信した認証要求ページ)とを出力する。ここで、Webブラウズ部153とは、図3の「http://www.serverA.com」で示されるURL入力の部分や、ブックマーク提示欄(favorites)の部分を指す。一方、サーバ200から受信した認証要求ページとは、図3の上部をのぞくウィンドウ全体に示されている部分であり、例えば、図3に示すように、サーバ200における認証処理を希望する利用者装置のための利用者IDおよびパスワードの入力を求める情報と、認証装置300によって認証されることを希望する被認証装置100のためのチャレンジデータ(challenge_data=9361923416)とを出力する。
また、例えば、図4に示すように、被認証装置100の出力部120のモニタは、図3と同様に、後述するWebブラウズ部153と、Webブラウズ部153によって取得されたコンテンツ(認証装置300から受信したログインページ)とを出力する。ここで、認証装置300から受信したログインページとは、図4の上部をのぞくウィンドウ全体に示されている部分であり、例えば、図4に示すように、認証装置300が被認証装置100を認証するために被認証装置100に対して利用者IDおよびパスワードの入力を求める情報を出力する。なお、図4では、利用者ID「sato」およびパスワードを入力した状態を示しているが、パスワードは「●●●●」のようにモニタ上では具体的な英数字などを出力しないことが通常である。
また、例えば、図5に示すように、被認証装置100の出力部120のモニタは、図3および図4と同様に、後述するWebブラウズ部153と、Webブラウズ部153によって取得されたコンテンツ(サーバ200から受信したサービス提供ページ)とを出力する。ここで、サービス提供ページとは、図5の上部をのぞくウィンドウ全体に示されている部分であり、例えば、図5に示すように、利用者ID「sato」の被認証装置100が認証装置300での認証に成功したことを示す情報や、サービス提供画面へ遷移するためのリンク(「サービス提供画面へ(クリック)」)などを出力する。
ここで、図2に戻ると、入出力制御IF部130は、入力部110および出力部120と、ネットワーク通信部140と、制御部150との間におけるデータ転送を制御する手段である。
ネットワーク通信部140は、被認証装置100が、後述するサーバ200および後述する認証装置300や、その他のネットワーク上の装置にネットワークを介して接続され、アクセスするための通信を行う通信手段である。具体的には、パソコンに搭載されたLANボード(Local Area Networkボード)などによって通信を行う。例えば、ネットワーク上の他の装置にアクセスしたり、認証装置300に利用者IDおよびパスワードを送信したりするための通信を行う。
制御部150は、被認証装置100を制御して各種処理を実行する制御手段であり、特に本発明に密接に関連するものとしては、図2に示すように、ブックマーク管理部151と、認証装置ブックマークレット部152と、Webブラウズ部153とを備える。
かかる制御部150のなかで、ブックマーク管理部151は、被認証装置100において利用者が利用するWebサイトのアドレス情報等を格納して管理する管理手段である。通常は、Webサイトのアドレス情報であるURLを格納して管理するが、後述する認証装置ブックマークレット部152のようなJavaScript等で記述されたプログラムもWebブラウザブックマークレットとして格納して管理する。そして、後述するWebブラウズ部153とともに利用されることで、利用者によって頻繁に利用されるWebサイトに短時間でアクセスさせることを可能にする。
例えば、ブックマーク管理部151は、図6に示すように、サービス提供サイトAとして、サービス提供サイトAのアドレス情報であるURL「http://www.serverA.com」を格納して管理する一方で、認証装置ブックマークレットとして、JavaScript等で記述されたプログラムを格納して管理する。そして、ブックマーク管理部151が、後述するWebブラウズ部153とともにモニタに出力され、URLを格納するブックマーク識別情報が利用者によって選択されると、URLで指定するアドレスのWebサイトにWebブラウズ部153によって接続され、コンテンツが取得されてモニタに出力される。一方、プログラムを格納するブックマーク識別情報が利用者によって選択されると、JavaScript等で記述された処理が実行される。なお、実施例1では、ブックマーク管理部151がサーバアドレス情報(サービス提供サイトA)と認証装置ブックマークレットとを登録している場合を例示したが、サーバアドレス情報を登録せずに認証装置ブックマークレットのみを登録する場合や、他のアドレス情報も登録する場合など、認証装置ブックマークレットが登録されていれば、いずれでもよい。
ここで、図2に戻ると、ブックマーク管理部151によって管理される認証装置ブックマークレット部152は、認証装置アドレス情報保持部152aと、認証要求情報抽出部152bとを備える。なお、認証装置アドレス情報保持部152aは、特許請求の範囲に記載の「認証装置アドレス情報保持手段」に対応し、認証要求情報抽出部152bは、特許請求の範囲に記載の「認証装置アドレス情報抽出手段」に対応する。
認証装置アドレス情報保持部152aは、被認証装置100が所属する所定の認証装置にアクセスするための認証装置アドレス情報を保持する保持手段である。例えば、図6に示すように、“JavaScriptで特定のHTMLタグで囲まれたデータを抽出したり、特定のキーワードに続くデータを抽出したりする処理を記述して、認証装置アドレス情報を保持する。
認証要求情報抽出部152bは、認証装置アドレス情報保持部152aによって保持された認証装置アドレス情報で指定する認証装置300に対するアクセス要求が行われた場合に、後述するWebブラウズ部153によって受信された認証要求ページから認証要求情報(チャレンジデータ)を抽出する抽出手段である。例えば、図6に示すように、JavaScriptで「var challenge=”document,getElementByTagName・・・」などと記述して、認証要求情報を抽出する。なお、認証要求情報抽出部152bによる認証要求情報抽出処理の具体的な流れについては、後述する。
Webブラウズ部153は、後述するサーバ200および後述する認証装置300や、その他のネットワーク上の装置にネットワークを介して接続され、サーバ200にアクセスして受信した認証要求情報を認証装置300へ転送する手段である。具体的には、認証要求情報が特定の認証装置と対応付けられることなく含まれる認証要求ページをサーバ200から受信し、認証要求情報抽出部152bによって認証要求情報が抽出された場合に、認証要求情報をアクセス要求が行われた認証装置300に転送する。なお、Webブラウズ部153は、特許請求の範囲に記載の「認証要求情報受信手段」と「認証要求情報転送手段」とに対応する。
また、Webブラウズ部153は、具体的には、パソコンなどで利用されるWebブラウザソフトウェアであって、例えば、図3の「http://www.serverA.com」で示されるURL入力の部分や、ブックマーク提示欄(favorites)の部分を指す。一方、図3の上部をのぞくウィンドウ全体に示されている部分は、Webブラウズ部153が取得したコンテンツである。この「http://www.serverA.com」は、現在Webブラウズ部153が取得したコンテンツのアドレス情報であるURLを示している。また、ブックマーク提示欄は、ブックマーク管理部151によって管理される情報をWebブラウズ部153が提示したものであり、サーバにアクセスするためのサーバブックマーク識別情報(「サーバへ」)と、所属する所定の認証装置にアクセスするための認証装置ブックマーク識別情報(「認証装置へ」)とを示している。なお、本実施例では、ブックマーク識別情報がプルダウンメニュー形式で構成されている場合を例示したが、本発明はこれに限定されるものではなく、Webブラウズ部153の左端にブックマーク識別情報のリストを提示するなど、ブックマーク識別情報に登録されたアドレス情報(またはプログラム)が利用者によって利用可能な形態であれば、いずれでもよい。
[サーバの構成]
次に、図2を用いて、実施例1におけるサーバの構成を説明する。図2に示すように、サーバ200は、ネットワーク通信部210と、記憶部220と、制御部230とから主に構成される。
次に、図2を用いて、実施例1におけるサーバの構成を説明する。図2に示すように、サーバ200は、ネットワーク通信部210と、記憶部220と、制御部230とから主に構成される。
ネットワーク通信部210は、サーバ200が、被認証装置100および後述する認証装置300や、その他のネットワーク上の装置にネットワークを介して接続され、アクセスするための通信を行う通信手段である。具体的には、パソコンに搭載されたLANボードなどによって通信を行う。例えば、ネットワーク上の他の装置にアクセスしたり、被認証装置100に認証要求ページを送信したりするための通信を行う。
記憶部220は、制御部230による各種処理に用いるデータを記憶する記憶手段であり、特に本発明に密接に関連するものとしては、図2に示すように、公開鍵記憶部221を備える。
かかる公開鍵記憶部221を説明すると、サーバ200が承認する特定の認証装置300ごとの固有の公開鍵(公開鍵暗号方式で使用される一対の鍵のうち、一般に公開される方の鍵)を、認証装置300の識別子とともに記憶する記憶手段である。具体的には、サーバ200が、認証装置300で生成された認証結果情報を後述する認証結果検証部232によって検証する際に利用する公開鍵を記憶する。なお、公開鍵記憶部221が記憶する公開鍵を利用して行われる認証結果検証部232による認証結果検証処理の具体的な流れについては、後述する。
制御部230は、サーバ200を制御して各種処理を実行する制御手段であり、特に本発明に密接に関連するものとしては、図2に示すように、認証要求部231と、認証結果検証部232とを備える。
かかる認証要求部231を説明すると、被認証装置100からのアクセス要求に応じ、認証要求情報であるチャレンジデータが特定の認証装置と対応付けられることなく含まれる認証要求ページを生成し、被認証装置100に送信する認証要求手段である。具体的には、サーバ200は、サーバ200における認証処理によって認証された被認証装置100に対してサービスを提供するとともに、認証装置300と連携し、認証装置300によって認証された被認証装置100に対してもサービスを提供する仕組みになっているので、図3に示すように、サーバ200における認証処理を希望する利用者装置のための利用者IDおよびパスワードの入力を求める情報と、認証装置300によって認証されることを希望する被認証装置100のためのチャレンジデータ(challenge_data=9361923416)とを含む認証要求ページを生成し、被認証装置100に送信する。
認証結果検証部232は、認証装置300において生成された認証結果情報を被認証装置100から受信し、認証結果検証を行う検証手段である。そして、認証結果検証部232による検証に成功すると、サーバ200は、図5に示すように、被認証装置100が認証装置300での認証に成功したことを示す情報や、サービス提供画面へ遷移するためのリンク(「サービス提供画面へ(クリック)」などを含むページを生成し、被認証装置100に送信する。なお、図5では、サービス提供ページに実際のサービス提供画面へ遷移するリンクを表示する場合を説明したが、直接実際のサービス提供画面を表示する場合など、サーバ200において検証が成功した後サービス提供画面へと利用者を誘導できれば、いずれでもよい。また、認証結果検証部232による認証結果検証処理の具体的な流れについては、後述する。
[認証装置の構成]
次に、図2および図7を用いて、実施例1における認証装置の構成を説明する。図7は、パスワード記憶部を説明するための図である。図2に示すように、認証装置300は、ネットワーク通信部310と、記憶部320と、制御部330とから主に構成される。
次に、図2および図7を用いて、実施例1における認証装置の構成を説明する。図7は、パスワード記憶部を説明するための図である。図2に示すように、認証装置300は、ネットワーク通信部310と、記憶部320と、制御部330とから主に構成される。
ネットワーク通信部310は、認証装置300が、被認証装置100およびサーバ200や、その他のネットワーク上の装置にネットワークを介して接続され、アクセスするための通信を行う通信手段である。具体的には、パソコンに搭載されたLANボードなどによって通信を行う。例えば、ネットワーク上の他の装置にアクセスしたり、被認証装置100にログインページを送信したりするための通信を行う。
記憶部320は、制御部330による各種処理に用いるデータを記憶する記憶手段であり、特に本発明に密接に関連するものとしては、図2に示すように、パスワード記憶部321と、固有鍵記憶部322とを備える。
かかるパスワード記憶部321を説明すると、認証装置300に所属する被認証装置100の利用者IDおよびパスワードを記憶する記憶手段である。具体的には、認証装置300が、後述する認証処理部332によって被認証装置100から受け付けた利用者IDおよびパスワードを認証する際に利用する利用者IDおよびパスワードを記憶する。例えば、図7に例示するように、パスワード記憶部321は、利用者IDとパスワードとを対応づけて記憶しており、利用者ID「sato」に対応するパスワードは「otas」、利用者ID「tanaka」に対応するパスワードは「tana1234」、利用者ID「yamada」に対応するパスワードは「tarou」などの情報を記憶する。
固有鍵記憶部322は、認証装置300に固有の秘密鍵(公開鍵暗号方式で使用される一対の鍵のうち、一般に公開されない方の鍵)を記憶する記憶手段である。具体的には、後述する認証結果生成部333において認証結果情報を生成する際に利用する認証装置300に固有の秘密鍵を記憶する。なお、固有鍵記憶部322が記憶する固有鍵を利用して行われる認証結果生成部333による認証結果生成処理の具体的な流れについては、後述する。
制御部330は、認証装置300を制御して各種処理を実行する制御手段であり、特に本発明に密接に関連するものとしては、図2に示すように、認証要求受付部331と、認証処理部332と、認証結果生成部333とを備える。
かかる認証要求受付部331を説明すると、被認証装置100から認証要求を受け付ける受付手段である。具体的には、被認証装置100から認証要求を受け付けると、被認証装置100が認証装置300に所属する被認証装置100であるか否かを認証するために、ログインページを被認証装置100に送信する。例えば、図4に示すように、認証装置300が被認証装置100を認証するために被認証装置100に対して利用者IDおよびパスワードの入力を求める情報を含むログインページを送信する。
認証処理部332は、認証装置300に所属する被認証装置100から利用者IDおよびパスワードを受け付けて認証を行う処理手段である。具体的には、被認証装置100によってログインページに入力された利用者IDおよびパスワードを、パスワード記憶部321に記憶されている利用者IDおよびパスワードと一致するか否かを判断する。なお、実施例1では、認証装置300が被認証装置100に対して利用者IDおよびパスワードの入力を求める場合を説明したが、パソコンに接続したICカードリーダーにICカードを入力させて認証する場合など、被認証装置100を認証できる形態であれば、いずれでもよい。
認証結果生成部333は、認証処理部332によって認証された認証結果に応じて認証結果情報を生成する生成手段である。具体的には、認証処理部332によって、ログインページに入力された利用者IDおよびパスワードが、パスワード記憶部321に記憶された利用者IDおよびパスワードと一致すると判断されると、被認証装置100から転送された認証要求情報を用いて認証結果情報を生成する。なお、認証結果生成部333による認証結果生成処理の具体的な流れについては、後述する。
[認証連携システムによる処理]
次に、図8から図11を用いて、実施例1における認証連携システムによる処理を説明する。図8は、認証連携システムによる処理の手順を示すシーケンス図であり、図9は、認証要求情報抽出処理の手順を示すフローチャートであり、図10は、認証結果生成処理の手順を示すフローチャートであり、図11は、認証結果検証処理の手順を示すフローチャートである。
次に、図8から図11を用いて、実施例1における認証連携システムによる処理を説明する。図8は、認証連携システムによる処理の手順を示すシーケンス図であり、図9は、認証要求情報抽出処理の手順を示すフローチャートであり、図10は、認証結果生成処理の手順を示すフローチャートであり、図11は、認証結果検証処理の手順を示すフローチャートである。
図8に示すように、まず、被認証装置100は、サーバ200へのアクセス要求を、HTTP(HyperText Transfer Protocol)要求メッセージとしてWebブラウズ部153経由で送信する(ステップS801)。このアクセス要求には、被認証装置100の識別子として利用者ID「U」を含む。
次に、サーバ200は、被認証装置100からアクセス要求を受信すると、認証要求部231において認証要求情報(チャレンジデータ)を生成する(ステップS802)。なお、認証要求部231は、生成したチャレンジデータに認証完了に通常要する時間を有効期限として設定した上で、利用者ID「U」と有効期限とを対応付けて有効チャレンジデータリストに保持する。
そして、サーバ200は、認証要求部231において、チャレンジデータが特定の認証装置と対応付けられることなく含まれる認証要求ページを生成し、被認証装置100に送信する(ステップS803)。例えば、チャレンジデータが「9361923416」という乱数であった場合、図3に示すような形態で認証要求ページに埋め込み、サーバ200から被認証装置100へHTTP応答メッセージとして送信する。すると、被認証装置100は、チャレンジデータが含まれる認証要求ページをWebブラウズ部153経由でサーバ200から受信する。
続いて、被認証装置100は、認証装置アドレス情報保持部152aによって保持された認証装置アドレス情報で指定する認証装置300に対するアクセス要求が、Webブラウザブックマークレット部152上で利用者に選択されることによって行われると、認証要求情報抽出部152bにおいてステップS803で受信した認証要求ページからチャレンジデータを抽出し、また、認証要求ページからサーバのアドレス情報(URL)を抽出する(ステップS804)。
次に、被認証装置100は、認証要求情報抽出部152bによってチャレンジデータが抽出されると、チャレンジデータおよびサーバのURLをアクセス要求が行われた認証装置300にWebブラウズ部153経由で転送する(ステップS805)。
すると、認証装置300では、認証要求受付部331において、ステップS805で転送されたチャレンジデータおよびサーバのURLを保持し、被認証装置100が認証装置300に所属する被認証装置であるか否かを認証するために、図4に示すように、ログインページを送信する(ステップS806)。
続いて、被認証装置100は、認証装置300から受信したログインページに、利用者ID「U」およびパスワードを入力し、Webブラウズ部153経由で認証装置300に送信する(ステップS807)。
すると、認証装置300は、認証処理部332において、被認証装置100から受信した利用者ID「U」およびパスワードを受け付け、パスワード記憶部321に記憶されている利用者ID「U」およびパスワードと一致するか否かを判断する(ステップS808)。
そして、認証装置300は、認証処理部332によって、被認証装置100から受信した利用者ID「U」およびパスワードが、パスワード記憶部321に記憶されている利用者ID「U」およびパスワードと一致すると判断した場合、次に、認証結果生成部333において、認証結果情報を生成する(ステップS809)。なお、一致しないと判断した場合には、認証失敗として以降の処理は行わず、被認証装置100にエラーページを応答として送信する。
続いて、認証装置300は、被認証装置100をリダイレクト(被認証装置がアクセスしたURLとは別のURLにアクセスさせること)によってサーバ200に誘導するための情報や、認証結果生成部333によって生成された認証結果情報や、認証装置300の識別子や、利用者ID「U」などを、被認証装置100に送信する(ステップS810)。
すると、被認証装置100は、認証装置300によりリダイレクトされ、認証装置300から受信した認証結果生成部333によって生成された認証結果情報や、認証装置300の識別子や、被認証装置100の識別子などとともに、サーバ200にアクセス要求を行う(ステップS811)。
次に、サーバ200は、認証結果検証部232において、認証装置300において生成された認証結果情報を被認証装置100から受信し、認証結果検証を行う(ステップS812)。
そして、サーバ200は、認証結果検証部232による検証に成功すると、図5に示すように、被認証装置100が認証装置300での認証に成功したことを示す情報や、サービス提供画面へ遷移するためのリンクなどを含むページを生成し、被認証装置100に送信する(ステップS813)。
[認証要求情報抽出処理]
次に、図8のステップS804における認証要求情報抽出処理の手順について具体的に説明すると、図9に示すように、まず、被認証装置100において、認証要求情報抽出部152bは、ブックマーク管理部151にあらかじめ登録されている認証装置ブックマークレット部152に対する利用者の選択を受け付けて、認証装置ブックマークレットを起動する(ステップS901)。
次に、図8のステップS804における認証要求情報抽出処理の手順について具体的に説明すると、図9に示すように、まず、被認証装置100において、認証要求情報抽出部152bは、ブックマーク管理部151にあらかじめ登録されている認証装置ブックマークレット部152に対する利用者の選択を受け付けて、認証装置ブックマークレットを起動する(ステップS901)。
すると、認証要求情報抽出部152bは、サーバ200のアドレス情報(URL)として、現在Webブラウズ部153が表示している認証要求ページのURLを取得し、「U_A」とする(ステップS902)。
続いて、認証要求情報抽出部152bは、認証要求ページから“challenge_data=”という文字列に続くチャレンジデータを抽出する(ステップS903)。
そして、認証要求情報抽出部152bは、認証装置ブックマークレット部152に含まれる認証装置300のURLの末尾に“?challenge_data=”チャレンジデータ、“&U_A=”およびU_AをURLエスケープしたデータを連結して、認証装置300への認証要求URL「U_B」を生成する(ステップS904)。このようにして生成された認証要求URLで被認証装置100が認証装置300へアクセスすることで、認証装置300では、図8のステップS806において、チャレンジデータおよびサーバのURLを保持することができる。
[認証結果情報生成処理]
次に、図8のステップS809における認証結果生成処理について具体的に説明すると、図10に示すように、まず、認証装置300において、認証結果生成部333は、チャレンジデータと、サーバ200のURL「U_A」と、利用者ID「U」とを、“|”を区切り文字として連結し、データXとする(ステップS1001)。
次に、図8のステップS809における認証結果生成処理について具体的に説明すると、図10に示すように、まず、認証装置300において、認証結果生成部333は、チャレンジデータと、サーバ200のURL「U_A」と、利用者ID「U」とを、“|”を区切り文字として連結し、データXとする(ステップS1001)。
次に、認証結果生成部333は、データXのハッシュ値を求め、得られたデータをデータYとする(ステップS1002)。
そして、認証結果生成部333は、固有鍵記憶部322に格納された秘密鍵を取得し、秘密鍵を用いてデータYを暗号化したものをデータZとする(ステップS1003)。
続いて、認証結果生成部333は、データXの末尾に“|”を区切り文字としてデータZを付加したものを認証結果情報Tとする(ステップS1004)。このようにして生成された認証結果情報Tは、図8のステップS810において、被認証装置100に送信される際に用いられる。
[認証結果検証処理]
次に、図8のステップS812における認証結果検証処理について具体的に説明すると、まず、サーバ200において、認証結果検証部232は、認証結果情報Tからデータを復元する(ステップS1101)。具体的には、認証結果情報Tの3番目の“|”以前のデータをデータXとして復元し、認証結果情報Tの3番目の“|”以降のデータをデータZとして復元し、データXの1番目の“|”以前のデータをチャレンジデータとして復元し、データXの1番目の“|”から2番目の“|”までのデータをデータ「U_A」として復元し、データXの2番目の“|”以降のデータをデータ「U’」として復元する。
次に、図8のステップS812における認証結果検証処理について具体的に説明すると、まず、サーバ200において、認証結果検証部232は、認証結果情報Tからデータを復元する(ステップS1101)。具体的には、認証結果情報Tの3番目の“|”以前のデータをデータXとして復元し、認証結果情報Tの3番目の“|”以降のデータをデータZとして復元し、データXの1番目の“|”以前のデータをチャレンジデータとして復元し、データXの1番目の“|”から2番目の“|”までのデータをデータ「U_A」として復元し、データXの2番目の“|”以降のデータをデータ「U’」として復元する。
そして、認証結果検証部232は、利用者ID「U」とチャレンジデータとが対応付けられて有効チャレンジリストに含まれており、かつ、対応する有効期限が過ぎていないか否かを判断し(ステップS1102)、利用者ID「U」とチャレンジデータとが対応付けられて有効チャレンジリストに含まれており、かつ、対応する有効期限が過ぎていない場合には(ステップS1102肯定)、データXのハッシュ値を求め、得られたデータをデータYとする(ステップS1103)。
次に、認証結果検証部232は、公開鍵記憶部221から認証装置300の識別子をキーにして公開鍵を取得する(ステップS1104)。
続いて、認証結果検証部232は、データZを公開鍵により復号して得られたデータがデータYと一致するか否かを判断し(ステップS1105)、一致すれば(ステップS1105肯定)、次に、利用者ID「U」とデータ「U’」とが一致するか否かを判断し(ステップS1106)、一致すれば(ステップS1106肯定)、検証結果は成功であるとして、処理を終了する。
また、ステップS1102で、利用者ID「U」とチャレンジデータとが対応付けられて有効チャレンジリストに含まれていない、または、対応する有効期限が過ぎている場合(ステップS1102否定)や、ステップS1105でデータZを公開鍵により復号して得られたデータがデータYと一致しない場合(ステップS1105否定)や、ステップS1106で利用者ID「U」とデータ「U’」とが一致しない場合(ステップS1106否定)には、検証結果は失敗であるとして、処理を終了する。
[実施例1の効果]
上述してきたように、実施例1によれば、従来技術では、サーバが被認証装置に送信するWebページに認証装置アドレス情報を含めていたが、本発明では、被認証装置に認証装置アドレス情報を保持させることにより、サーバがWebページに認証装置アドレス情報を含めることが不要となり、認証装置が多数あり、利用者を認証可能な認証装置をサーバ側で把握できない場合にも、シングルサインオンを実現することが可能になる。さらに、認証装置のアドレスをサーバ側で把握できる場合であっても、ネットワーク上の認証装置が増える度に新しい認証装置アドレス情報が認証要求ページに追加されるなどの管理がなされる必要がなく、また、所定の認証装置が利用者に選択されるに際しても、数多くの候補リストから所定の認証装置が探し出される必要もない結果、シングルサインオンを簡易に実現することが可能になる。
上述してきたように、実施例1によれば、従来技術では、サーバが被認証装置に送信するWebページに認証装置アドレス情報を含めていたが、本発明では、被認証装置に認証装置アドレス情報を保持させることにより、サーバがWebページに認証装置アドレス情報を含めることが不要となり、認証装置が多数あり、利用者を認証可能な認証装置をサーバ側で把握できない場合にも、シングルサインオンを実現することが可能になる。さらに、認証装置のアドレスをサーバ側で把握できる場合であっても、ネットワーク上の認証装置が増える度に新しい認証装置アドレス情報が認証要求ページに追加されるなどの管理がなされる必要がなく、また、所定の認証装置が利用者に選択されるに際しても、数多くの候補リストから所定の認証装置が探し出される必要もない結果、シングルサインオンを簡易に実現することが可能になる。
また、実施例1によれば、従来技術では、サーバが被認証装置に送信するWebページに認証装置アドレス情報を含めていたが、本発明では、被認証装置においてWebブラウザに組み込まれるWebブラウザブックマークレットに認証装置アドレス情報を保持させることにより、サーバがWebページに認証装置アドレス情報を含めることが不要となり、認証装置が多数あり、利用者を認証可能な認証装置をサーバ側で把握できない場合にも、シングルサインオンを実現することが可能になる。さらに、認証装置のアドレスをサーバ側で把握できる場合であっても、ネットワーク上の認証装置が増える度に新しい認証装置アドレス情報が認証要求ページに追加されるなどの管理がなされる必要がなく、所定の認証装置が利用者に選択されるに際しても、数多くのリストから所定の認証装置が探し出される必要もなく、被認証装置においてWebブラウザ以外のアプリケーションが起動される必要もなく、一般的なブックマークと同様の操作環境を提供できるため特殊な操作がなされる必要もなく、また、既存のWebブラウザにブックマークが登録されるのみで利用可能となるためWebブラウザのプログラムに変更が加えられる必要もない結果、シングルサインオンをより簡易かつ簡略に実現することが可能になる。
[他の実施例]
ところで、これまで実施例1に係る被認証装置について説明したが、本発明は上述した実施例以外にも、他の形態にて実施されてよいものである。そこで、以下では、実施例2における被認証装置として、他の実施例を説明する。
ところで、これまで実施例1に係る被認証装置について説明したが、本発明は上述した実施例以外にも、他の形態にて実施されてよいものである。そこで、以下では、実施例2における被認証装置として、他の実施例を説明する。
上記の実施例1では、サーバが、電子商取引等のサービスを提供するサーバであり、また、認証装置が、各種サーバの認証処理を一元的に引き受ける認証装置である場合を説明したが、本発明はこれに限定されるものではなく、サーバが各個人で所有する個人のサーバである場合や、複数人で共有するサーバに存在する個人が管理するWebサイトである場合や、個人間で互いのサーバ領域に対してアクセスするような場合など、サーバ機能を有する装置と認証機能を有する装置との間で適用する場合であれば、本発明を同様に適用することができる。
具体的には、例えば、個人間で互いのサーバにアクセスしあうような場合、すなわち、利用者からアクセスされるサーバが、個人のサーバであり、一方、認証装置が、利用者がログイン可能な利用者自身の個人のサーバであり、立場が入れ替わると、サーバおよび認証装置の機能もそれに対応して入れ替わる場合を説明すると、このような場合、サーバは、信頼関係にある利用者(利用者自身の個人のサーバである認証装置)のリストを保持していることになる。しかし、認証装置以外の被認証装置(信頼関係にない利用者)からのアクセスを受け付けた場合には、信頼関係にある利用者のリストをサーバが開示する必要はなく、被認証装置のWebブラウザに組み込まれたWebブラウザブックマークレットによって認証が行われるので、プライバシーを保護することが可能になる。
また、上記の実施例1では、被認証装置が装備するWebブラウザとWebブラウザに組み込まれるWebブラウザブックマークレットとで実現する場合を説明したが、本発明はこれに限定されるものではなく、被認証装置が装備するWebブラウザとWebブラウザに組み込まれるWebブラウザ用プラグインとで実現する場合や、Webブラウザとは関係なく同様の機能を有するソフトウェアで実現する場合や、同様の機能を有するハードウェアで実現する場合などでも、本発明を同様に適用することができる。
また、上記の実施例1では、認証装置のパスワード記憶部に、被認証装置の利用者IDおよびパスワードがあらかじめ記憶されている場合を説明したが、本発明はこれに限定されるものではなく、被認証装置のWebブラウザブックマークレットを起動して初めて認証装置への登録を開始する場合など、認証装置に対する登録の時期は、いずれでもよい。
また、上記の実施例1では、被認証装置が、認証要求ページからチャレンジデータを抽出し、かつ、サーバのアドレス情報を抽出する場合を説明したが、本発明はこれに限定されるものではなく、サーバのアドレス情報を抽出しない場合でもよい。この場合には、認証装置において認証結果情報が生成され、被認証装置に送信された際に、サーバにリダイレクトされることができなくなる。この場合は、Webブラウザ側のプラグインやブックマークレットがアクセス履歴に基づいてサーバへと戻り、認証結果を送信するようにする等の手段が別途必要である。
[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明した被認証方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレットは、サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する場合に有用であり、特に、ネットワーク上に複数の認証装置が存在する場合でも、シングルサインオンを簡易に実現することに適する。
100 被認証装置
110 入力部
120 出力部
130 入出力制御IF部
140 ネットワーク通信部
150 制御部
151 ブックマーク管理部
152 認証装置ブックマークレット部
152a 認証装置アドレス情報保持部
152b 認証要求情報抽出部
200 サーバ
210 ネットワーク通信部
220 記憶部
221 公開鍵記憶部
230 制御部
231 認証要求部
232 認証結果検証部
300 認証装置
310 ネットワーク通信部
320 記憶部
321 パスワード記憶部
322 固有鍵記憶部
330 制御部
331 認証要求受付部
332 認証処理部
333 認証結果生成部
110 入力部
120 出力部
130 入出力制御IF部
140 ネットワーク通信部
150 制御部
151 ブックマーク管理部
152 認証装置ブックマークレット部
152a 認証装置アドレス情報保持部
152b 認証要求情報抽出部
200 サーバ
210 ネットワーク通信部
220 記憶部
221 公開鍵記憶部
230 制御部
231 認証要求部
232 認証結果検証部
300 認証装置
310 ネットワーク通信部
320 記憶部
321 パスワード記憶部
322 固有鍵記憶部
330 制御部
331 認証要求受付部
332 認証処理部
333 認証結果生成部
Claims (5)
- サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する被認証装置であって、
前記認証要求情報が特定の前記認証装置と対応付けられることなく含まれる認証要求ページを前記サーバから受信する認証要求情報受信手段と、
所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持手段と、
前記認証装置アドレス情報保持手段によって保持された前記認証装置アドレス情報で指定する前記認証装置に対するアクセス要求が行われた場合に、前記認証要求受信手段によって受信された前記認証要求ページから前記認証要求情報を抽出する認証要求情報抽出手段と、
前記認証要求情報抽出手段によって前記認証要求情報が抽出された場合に、当該認証要求情報を前記アクセス要求が行われた前記認証装置に転送する認証要求情報転送手段と、
を備えたことを特徴とする被認証装置。 - サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法をコンピュータに実行させる被認証プログラムであって、
前記認証要求情報が特定の前記認証装置と対応付けられることなく含まれる認証要求ページを前記サーバから受信する認証要求情報受信手順と、
所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持手順と、
前記認証装置アドレス情報保持手順によって保持された前記認証装置アドレス情報で指定する前記認証装置に対するアクセス要求が行われた場合に、前記認証要求受信手順によって受信された前記認証要求ページから前記認証要求情報を抽出する認証要求情報抽出手順と、
前記認証要求情報抽出手順によって前記認証要求情報が抽出された場合に、当該認証要求情報を前記アクセス要求が行われた前記認証装置に転送する認証要求情報転送手順と、
をコンピュータに実行させることを特徴とする被認証プログラム。 - サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法であって、
前記認証要求情報が特定の前記認証装置と対応付けられることなく含まれる認証要求ページを前記サーバから受信する認証要求情報受信工程と、
所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持工程と、
前記認証装置アドレス情報保持工程によって保持された前記認証装置アドレス情報で指定する前記認証装置に対するアクセス要求が行われた場合に、前記認証要求受信工程によって受信された前記認証要求ページから前記認証要求情報を抽出する認証要求情報抽出工程と、
前記認証要求情報抽出工程によって前記認証要求情報が抽出された場合に、当該認証要求情報を前記アクセス要求が行われた前記認証装置に転送する認証要求情報転送工程と、
を含んだことを特徴とする被認証方法。 - サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法をコンピュータに実行させるWebブラウザに組み込まれるWebブラウザ用プラグインであって、
所定の前記認証装置にアクセスするための認証装置アドレス情報を保持する認証装置アドレス情報保持手順と、
前記認証要求情報を特定の前記認証装置と対応付けられることなく含む認証要求ページが前記Webブラウザ経由で前記サーバから受信され、前記認証装置アドレス情報保持手順によって保持された前記認証装置アドレス情報で指定する当該認証装置に対するアクセス要求が行われた場合に、当該アクセス要求が行われた認証装置に対して当該認証要求情報が当該Webブラウザ経由で転送されるように、当該認証要求ページから転送対象の当該認証要求情報を抽出する認証要求情報抽出手順と、
をコンピュータに実行させることを特徴とするWebブラウザプラグイン。 - サーバおよび認証装置にネットワークを介してそれぞれ接続され、当該サーバにアクセスして受信した認証要求情報を当該認証装置へ転送する方法をコンピュータに実行させるWebブラウザに組み込まれるWebブラウザブックマークレットであって、
所定の前記認証装置にアクセスするための認証装置アドレス情報をWebブラウザブックマークと同じ形態で提示されるように保持する認証装置アドレス情報保持手順と、
前記認証要求情報を特定の前記認証装置と対応付けられることなく含む認証要求ページが前記Webブラウザ経由で前記サーバから受信され、前記認証装置アドレス情報保持手順によって保持されWebブラウザブックマークと同じ形態で提示された前記認証装置アドレス情報で指定する当該認証装置に対するアクセス要求が行われた場合に、当該アクセス要求が行われた認証装置に対して当該認証要求情報が当該Webブラウザ経由で転送されるように、当該認証要求ページから転送対象の当該認証要求情報を抽出する認証要求情報抽出手順と、
をコンピュータに実行させることを特徴とするWebブラウザブックマークレット。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006083465A JP2007257500A (ja) | 2006-03-24 | 2006-03-24 | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006083465A JP2007257500A (ja) | 2006-03-24 | 2006-03-24 | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007257500A true JP2007257500A (ja) | 2007-10-04 |
Family
ID=38631651
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006083465A Pending JP2007257500A (ja) | 2006-03-24 | 2006-03-24 | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007257500A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009093580A (ja) * | 2007-10-12 | 2009-04-30 | Nomura Research Institute Ltd | ユーザ認証システム |
| JP2012511196A (ja) * | 2008-12-04 | 2012-05-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | メディアファイルを移動デバイスに送信する方法およびそのエンティティ |
| WO2012073559A1 (ja) | 2010-11-30 | 2012-06-07 | 日本電気株式会社 | 認定情報検証装置及び認定情報検証プログラム並びに認定情報検証システム及び認定情報検証方法 |
| EP2495947A2 (en) | 2011-03-04 | 2012-09-05 | Canon Kabushiki Kaisha | Information processing apparatus, information processing system, method for controlling information processing apparatus, and program |
| JP6023394B1 (ja) * | 2013-11-13 | 2016-11-09 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ネットワークを通じた、位置に基づくデータ通信のための方法及びシステム |
| US9497190B2 (en) | 2013-12-26 | 2016-11-15 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, storage medium and information processing system |
| US11251956B2 (en) | 2018-07-02 | 2022-02-15 | Avaya Inc. | Federated blockchain identity model and secure personally identifiable information data transmission model for RCS |
-
2006
- 2006-03-24 JP JP2006083465A patent/JP2007257500A/ja active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009093580A (ja) * | 2007-10-12 | 2009-04-30 | Nomura Research Institute Ltd | ユーザ認証システム |
| JP2012511196A (ja) * | 2008-12-04 | 2012-05-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | メディアファイルを移動デバイスに送信する方法およびそのエンティティ |
| WO2012073559A1 (ja) | 2010-11-30 | 2012-06-07 | 日本電気株式会社 | 認定情報検証装置及び認定情報検証プログラム並びに認定情報検証システム及び認定情報検証方法 |
| EP2495947A2 (en) | 2011-03-04 | 2012-09-05 | Canon Kabushiki Kaisha | Information processing apparatus, information processing system, method for controlling information processing apparatus, and program |
| JP2012185651A (ja) * | 2011-03-04 | 2012-09-27 | Canon Inc | 情報処理装置、情報処理システム、情報処理装置の制御方法、及びプログラム |
| CN102707912A (zh) * | 2011-03-04 | 2012-10-03 | 佳能株式会社 | 信息处理设备、信息处理系统以及控制信息处理设备的方法 |
| KR101487768B1 (ko) * | 2011-03-04 | 2015-01-29 | 캐논 가부시끼가이샤 | 정보처리장치, 정보처리시스템, 정보처리장치의 제어 방법, 및 기억매체 |
| JP6023394B1 (ja) * | 2013-11-13 | 2016-11-09 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ネットワークを通じた、位置に基づくデータ通信のための方法及びシステム |
| JP2017500674A (ja) * | 2013-11-13 | 2017-01-05 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ネットワークを通じた、位置に基づくデータ通信のための方法及びシステム |
| US9692769B2 (en) | 2013-11-13 | 2017-06-27 | Alibaba Group Holding Limited | Method and system for data communication over network |
| US9497190B2 (en) | 2013-12-26 | 2016-11-15 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, storage medium and information processing system |
| US11251956B2 (en) | 2018-07-02 | 2022-02-15 | Avaya Inc. | Federated blockchain identity model and secure personally identifiable information data transmission model for RCS |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102509688B1 (ko) | 디지털 신원 인증 방법, 장치, 기기 및 저장 매체 | |
| JP6643373B2 (ja) | 情報処理システムと、その制御方法とプログラム | |
| JP4829697B2 (ja) | 情報処理装置、情報処理方法、コンピュータプログラム及び記録媒体 | |
| US8984593B2 (en) | Securing asynchronous client server transactions | |
| CN106375321B (zh) | 朝向内容消费者迁移经过认证的内容的方法和系统 | |
| JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
| BRPI0919158B1 (pt) | Dispositivo de autorização, aparelho para controle de operações de um servidor, servidor para realização de operações e sistema de comunicação de dados | |
| JPWO2007110951A1 (ja) | ユーザ確認装置、方法及びプログラム | |
| TW200810458A (en) | Method and system for extending step-up authentication operations | |
| JP2008197973A (ja) | ユーザ認証システム | |
| JP5193787B2 (ja) | 情報処理方法、中継サーバおよびネットワークシステム | |
| JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
| JP2007257500A (ja) | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット | |
| JP2011100489A (ja) | ユーザ確認装置、方法及びプログラム | |
| JP2011034462A (ja) | 情報処理装置及びその処理方法 | |
| JP2008257492A (ja) | 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム | |
| JP2005301577A (ja) | 認証システム、サーバ用認証プログラム、およびクライアント用認証プログラム | |
| JP2011221729A (ja) | Id連携システム | |
| JP2008083759A (ja) | ログイン処理装置、ログイン処理システム、プログラム、及び記録媒体 | |
| JP5161053B2 (ja) | ユーザ認証方法、ユーザ認証システム、サービス提供装置、及び認証制御装置 | |
| JP7200776B2 (ja) | 情報処理システム及びプログラム | |
| JP2005157845A (ja) | サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 | |
| JP2002342270A (ja) | リモートアクセス制御方法、リモートアクセス制御プログラム | |
| JP2020053100A (ja) | 情報処理システムと、その制御方法とプログラム | |
| JP2009122921A (ja) | 認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラム |