JP2007323326A - Authentication device, authentication proxy device, and user authentication method - Google Patents
Authentication device, authentication proxy device, and user authentication method Download PDFInfo
- Publication number
- JP2007323326A JP2007323326A JP2006152284A JP2006152284A JP2007323326A JP 2007323326 A JP2007323326 A JP 2007323326A JP 2006152284 A JP2006152284 A JP 2006152284A JP 2006152284 A JP2006152284 A JP 2006152284A JP 2007323326 A JP2007323326 A JP 2007323326A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- idp
- service provider
- session
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、サービスプロバイダによるサービス提供時の認証を行う認証装置、認証代行装置、およびユーザ認証方法に関する。 The present invention relates to an authentication device that performs authentication when a service provider provides a service, an authentication agent device, and a user authentication method.
近年、ユーザの利便性および個人情報分散防止の観点から、ユーザがID、パスワードを登録していないサービスにおいても、ユーザが登録済みのサービスのID、パスワードにより認証を受けたことを示す情報をもとにして、サービス利用許可を受けられるようにする認証システムの実現が望まれている。このような認証は、ワンストップ型認証とも呼ばれ、また、ワンストップ型認証を実現する認証システムは、ワンストップ型認証システムとも呼ばれる。 In recent years, from the viewpoint of user convenience and prevention of personal information distribution, information indicating that the user has been authenticated by the ID and password of the registered service is also included in the service in which the user does not register the ID and password. Thus, it is desired to realize an authentication system that allows a service use permission. Such authentication is also called one-stop type authentication, and an authentication system that realizes one-stop type authentication is also called a one-stop type authentication system.
図7は、従来のワンストップ型認証システムの構成図の一例である。本発明の説明に用いる用語としては、以下のものがある。
「SP」:オンラインショッピングなど、ユーザが実際に利用するインターネット上のサービスを提供するサイトであり、サービスプロバイダを指す。
「IDP」:ID(Identity)、パスワードなどの手段を用いて、ユーザのアイデンティティ情報の真正性を担保しうる組織・機関のサイトであり、認証サービスプロバイダを指す。
FIG. 7 is an example of a configuration diagram of a conventional one-stop type authentication system. The following terms are used to describe the present invention.
“SP”: a site that provides services on the Internet that users actually use, such as online shopping, and refers to a service provider.
“IDP”: a site of an organization / institution that can ensure the authenticity of a user's identity information using means such as an ID (Identity) and a password, and indicates an authentication service provider.
「ユーザ端末」:PC(Personal Computer)、ネットワーク接続可能な携帯電話など、ユーザがサービス利用のために使う情報端末を指す。具体的には、携帯電話、PDA(Personal Digital Assistance)、ノートパソコンなどWebのブラウザ機能を備えた装置であれば何でもよい。 “User terminal”: refers to an information terminal used by a user to use a service, such as a PC (Personal Computer) or a mobile phone that can be connected to a network. Specifically, any device having a Web browser function, such as a mobile phone, a PDA (Personal Digital Assistance), or a laptop computer, may be used.
図7の従来のワンストップ型認証システムは、ユーザ端末10、第1のSP20、第1のIDP30、および第2のIDP40で構成される。ここで、第1のSP20は、ユーザがアクセスしようとしているSPである。また、第1のIPD30は、第1のSP20が依存しているIDPである。さらに、第2のIDP50は、ユーザが通常使うIDPである。
The conventional one-stop type authentication system in FIG. 7 includes a
図7の前提として、第1のSP20は、第1のIDP30にユーザ認証を依存しているものとする。ここで、「ユーザ認証を依存する」とは、以下のようなSPとIDPとの関係をいうものとする。例えば、一般的なオンラインショッピングモールビジネスにおいて、第1のSP20は、ショッピングモール傘下のショッピングサイトであり、第1のIDP30は、ショッピングモールサイトであるような場合を考える。
As a premise of FIG. 7, it is assumed that the
ここで、ショッピングサイトの運営主体は、個人商店がインターネット直販を行うような場合もあり、運営主体が常に自力でユーザ管理を行う能力を持つとは限らない。このような場合、第1のSP20は、ユーザ認証の完了していないユーザからの利用要求を受け取ると、そのユーザがどのIDPにID、パスワードを登録しているかに関係なく、まず第1のIDP30に当該ユーザの認証を要求する。
Here, the operating entity of the shopping site may be such that an individual store conducts direct Internet sales, and the operating entity does not always have the ability to perform user management by itself. In such a case, when the
ここでは、上述のショッピングモールビジネスのように、ある第1のSP20が、ユーザ認証の完了していないユーザのユーザ端末10から利用要求を受け取ると、第1のSP20は、まず、特定のIDPである第1のIDP30にユーザ認証を要求するような関係にあるとき、この第1のSP20は、第1のIDP30に「ユーザ認証を依存する」と呼ぶ。以下の説明においては、この関係を単に「依存する」と呼ぶ場合がある。
Here, as in the above shopping mall business, when a certain
図7において、ワンストップ型認証システムが必要となるのは、ユーザが通常使うIDPである第2のIDP40にはID、パスワードが登録されているが、第1のSP20に依存する第1のIDP30にはID、パスワードが登録されていない場合に、ユーザが第2のIDP40によるユーザ認証の結果に基づいて第1のSP20のサービス利用を要求するときである。
In FIG. 7, the one-stop type authentication system is required because the ID and password are registered in the
ここで、ユーザが第1のSP20のサービス利用を要求する際、第2のIDP40によるユーザ認証結果に基づくサービス利用を要求すると、ワンストップ型認証において、第2のIDP40は、第1のIDP30に代わってユーザ認証処理(ユーザの入力するID、パスワードの検証など)を実行し、第1のIDP30にユーザ認証結果を証明する情報(認証結果情報)を送る。
Here, when the user requests service use of the
第1のIDP30は、第2のIDP40より認証結果情報を受け取って検証し、その認証結果情報が認証成功を示すものであり、なおかつ、確かに第2のIDP40によるユーザ認証結果であることを確認できた場合には、その認証結果情報を信頼し、当該ユーザによる第1のSP20のサービス利用を許可する。なお、第1のIDP30と第2のIDP40とは、相互にユーザ認証結果を信頼し合い、ワンストップ型認証を許可する関係にある必要がある。
The
ワンストップ型認証システムでは、ユーザは、あるIDPにユーザ登録してあれば、そのIDPを信頼する他のIDPでもユーザとして認められるため、複数のサイトにID、パスワードなどの個人情報を登録する必要がない。このため、ワンストップ型認証システムは、現状のインターネット技術と比べると個人情報の分散を抑えることができる。 In a one-stop type authentication system, if a user has registered as a user with a certain IDP, other IDPs that trust that IDP are also recognized as users, so it is necessary to register personal information such as IDs and passwords at multiple sites. There is no. For this reason, the one-stop type authentication system can suppress the dispersion of personal information as compared with the current Internet technology.
従来の技術としては、SAML、Liberty Allianceといったシングルサインオンの技術をもとに、ワンストップ型認証システムを構成することが可能である。この場合のシステム構成は、図7と同様になる。このとき、ユーザがID、パスワードなどのユーザ情報を登録していないIDP(第1のIDP30に相当)においても、すでに当該ユーザのユーザ情報を登録してあるIDP(第2のIDP40に相当)により認証を受けたことを示す情報をSAML、Liberty Allianceで規定された形式(認証アサーション)で受け取る。さらに、この情報をもとに、第1のIDP30が、第1のIDP30にユーザ認証を依存している各SP(第1のSP20に相当)に対する利用許可を行うように、システムを構成する。
As a conventional technique, a one-stop authentication system can be configured based on a single sign-on technique such as SAML or Liberty Alliance. The system configuration in this case is the same as in FIG. At this time, even in an IDP (corresponding to the first IDP30) in which the user has not registered user information such as an ID and password, the IDP (corresponding to the second IDP40) in which the user information of the user has already been registered. Information indicating that authentication has been received is received in a format (authentication assertion) defined by SAML and Liberty Alliance. Further, based on this information, the system is configured such that the
これら既存技術においては、固定的なアドレスを持たないユーザ端末を特定する情報をIDP、SPが容易に取得できるように、IDP、SPなど認証システムの構成要素をまたがる処理の切り替えの際には、ユーザ端末を経由するHTTP(Hypertext Transfer Protocol)リダイレクト処理を用いる必要がある。 In these existing technologies, in order to easily acquire information for identifying a user terminal that does not have a fixed address, IDP, SP, when switching processing that spans authentication system components such as IDP, SP, It is necessary to use HTTP (Hypertext Transfer Protocol) redirect processing via the user terminal.
ここで、HTTPリダイレクト処理とは、一連の処理のおおもとの呼び出し元(ワンストップ型認証においてはユーザ端末)を経由し、指定したアドレスへ処理を転送する仕組みである。しかし、ユーザ端末は、通常、SPやIDPで用いられているサーバよりも性能が劣る。また、ユーザ端末の接続先通信回線によっては、ユーザ端末とSP、IDPのサーバとの間の通信速度は、他の通信速度よりも劣る。このため、SPとIDPとの間、あるいはIDP同士の間の情報のやりとりにHTTPリダイレクトを多用すると、ワンストップ型認証処理の効率低下を招いてしまうという問題があった。 Here, the HTTP redirect process is a mechanism for transferring a process to a specified address via a caller (a user terminal in the case of one-stop type authentication) as a source of a series of processes. However, the user terminal is generally inferior in performance to a server used in SP or IDP. Further, depending on the connection destination communication line of the user terminal, the communication speed between the user terminal and the SP / IDP server is inferior to other communication speeds. For this reason, if HTTP redirect is frequently used for the exchange of information between the SP and the IDP or between the IDPs, there is a problem in that the efficiency of the one-stop authentication process is reduced.
ここで、HTTPリダイレクト処理を用いるのは、以下の理由からである。ユーザ認証の結果、SPのサービス利用許可を受けるのはユーザ端末である。そして、SP(場合によってはIDP)は、ユーザ端末に対し、SPのサービス利用可否についての情報を伝達する必要がある。しかしながら、上述のように、ユーザ端末は、固定的なアドレスを持たないので、ユーザ端末を特定する情報をIDP、SPが容易に取得できるように構成する必要があり、HTTPリダイレクト処理が用いられている。 Here, the HTTP redirect process is used for the following reason. As a result of the user authentication, it is the user terminal that receives the SP service use permission. The SP (or IDP in some cases) needs to transmit information about whether or not the SP service can be used to the user terminal. However, as described above, since the user terminal does not have a fixed address, it is necessary to configure the IDP and SP so that information for identifying the user terminal can be easily obtained, and HTTP redirection processing is used. Yes.
図8は、従来のワンストップ型認証システムにおける処理シーケンスの一例である。各構成要素は、図7で示したものと同様であり、第1のIDP30には、当該ユーザのID、パスワードは未登録であり、第2のIDP40には、当該ユーザのID、パスワードを登録済みであるとする。
FIG. 8 is an example of a processing sequence in a conventional one-stop authentication system. Each component is the same as that shown in FIG. 7, the ID and password of the user are not registered in the
まず始めに、ユーザは、ユーザ端末10より第1のSP20のサービスを要求する(ステップS801)。次に、第1のSP20は、ユーザ認証を第1のIDP30に依存しているため、第1のIDP30に、ユーザが認証済みであるか否かを問い合わせる(ステップS802)。
First, the user requests the service of the
次に、第1のIDP30は、ユーザが認証済みでなく、また、ユーザのIDが第1のIDP30に登録されていないことを確認すると、ワンストップ型認証を許可する信頼関係にある他のIDPのリスト(プロバイダリスト)を第1のSP20に返す(ステップS803)。次に、第1のSP20は、ステップS803で返されたプロバイダリストをユーザ端末10に返し、ユーザに対し、認証を受けるIDPをプロバイダリスト中より指定することを要求する(ステップS804)。
Next, when the
次に、ユーザは、プロバイダリストから、第2のIDP40を指定し、第1のSP20に指定情報および認証実行要求を送る(ステップS805)。次に、第1のSP20は、HTTPリダイレクト処理により、ユーザ端末10経由でステップS805の指定情報および認証実行要求を第1のIDP30に転送する(ステップS806)。
Next, the user designates the
次に、第1のIDP30は、ユーザが指定情報により指定したIDPである第2のIDP40に、ユーザ認証の実行を要求するため、HTTPリダイレクト処理により、ユーザ端末10経由で第2のIDP40に転送する(ステップS807)。次に、第2のIDP40は、ユーザを認証するため、ユーザ端末10にID、パスワード入力画面を送付する(ステップS808)。
Next, the first IDP 30 transfers the request to the
次に、ユーザは、第2のIDP40の要求に従い、ID、パスワードを入力し、第2のIDP40に送付する(ステップS809)。次に、第2のIDP40は、ステップS809で入力されたID、パスワードを検証し、それらが第2のIDP40に登録されているものである場合には、第1のIDP30に対し、当該ユーザを認証したことを証明する情報をHTTPリダイレクト処理により、ユーザ端末10経由で送る(ステップS810)。
Next, the user inputs the ID and password in accordance with the request of the
次に、第1のIDP30は、ステップS810の情報を受け取って検証し、その情報が認証成功を示し、かつ、確かに第2のIDP40によるユーザ認証結果であることを確認できた場合には、その情報を信頼し、ユーザによる第1のSP20のサービス利用を許可する情報をHTTPリダイレクト処理により、ユーザ端末10経由で第1のSP20に送る(ステップS811)。
Next, the first IDP 30 receives and verifies the information in step S810, and if the information indicates successful authentication and can be confirmed that it is a user authentication result by the
そして最後に、第1のSP20は、ステップS811の情報が第1のIDP30の発行したものであることを検証し、ユーザに第1のSP20のサービス利用を許可する(ステップS812)。このような一連の処理において課題となるのは、図8のステップS806、S807、S810、S811(図8において太線で示したステップに相当)に示されたHTTPリダイレクト処理である。
Finally, the
すでに述べたように、SAML、Liberty Allianceなどの既存技術においては、固定的なアドレスを持たないユーザ端末を特定する情報を、IDP、SPが容易に特定できるよう、処理の切り替えの際には、ユーザ端末10を経由するHTTPリダイレクトを用いる必要があった。
As already described, in existing technologies such as SAML and Liberty Alliance, information for identifying a user terminal that does not have a fixed address can be easily identified by IDP and SP. It was necessary to use an HTTP redirect via the
これに対して、図9のような認証システムが提案されている。図9は、従来の認証システムの構成図の別の例である。この認証システムは、図7に示したワンステップ型認証システムに対して、認証代行装置50(Virtual Authentication Proxy、以下「VAP50」と称す)をさらに備えている。 On the other hand, an authentication system as shown in FIG. 9 has been proposed. FIG. 9 is another example of a configuration diagram of a conventional authentication system. This authentication system further includes an authentication proxy device 50 (Virtual Authentication Proxy, hereinafter referred to as “VAP50”) with respect to the one-step type authentication system shown in FIG.
このような構成により、HTTPリダイレクト処理は、ユーザ端末10でなくVAP50を経由するようになる。VAP50として、処理性能に優れたサーバ装置を用いることにより、ユーザ端末10を経由するHTTPリダイレクト処理で問題となるユーザ端末10の処理性能の制約がなくなり、ワンストップ型認証の処理効率が向上する。
With this configuration, the HTTP redirect process goes through the
しかし、この場合においても、SP、IDPとVAPとの間で冗長なメッセージのやりとりが残るという問題がある。これを解決した処理のシーケンスを、図10に示す。図10は、従来のワンストップ型認証システムにおける改善された処理シーケンスの一例である。この図10の処理の流れについて、以下に説明する。 However, even in this case, there is a problem that redundant message exchange remains between the SP, IDP, and VAP. FIG. 10 shows a processing sequence that solves this problem. FIG. 10 is an example of an improved processing sequence in the conventional one-stop authentication system. The processing flow of FIG. 10 will be described below.
まず始めに、ユーザは、ユーザ端末10よりVAP50に対して、第1のSP20のサービスを要求するメッセージを送付する(ステップS1001)。次に、VAP50は、ステップS1001のメッセージを第1のSP20に転送する(ステップS1002)。次に、第1のSP20は、ユーザ認証を第1のIDP30に依存しているため、第1のIDP30に、ユーザが認証済みであるか否かを問い合わせる(ステップS1003)。
First, the user sends a message requesting the service of the
次に、第1のIDP30は、ユーザが認証済みでなく、また、ユーザのIDが第1のIDP30に登録されていないことを確認すると、ワンストップ型認証を許可する信頼関係にある他のIDPのリスト(プロバイダリスト)を第1のSP20に返す(ステップS1004)。次に、第1のSP20は、ステップS1004で返されたプロバイダリストをVAP50に返す(ステップS1005)。
Next, when the
次に、VAP50は、ステップS1005で返されたプロバイダリストをユーザ端末10に返し、ユーザに対し、認証を受けるIDPをプロバイダリスト中より指定することを要求する(ステップS1006)。次に、ユーザは、プロバイダリストから、第2のIDP40を指定し、VAP50に指定情報と認証実行要求を送る(ステップS1007)。
Next, the
次に、VAP50は、ステップS1007でユーザより送られたIDPの指定情報と認証実行要求を第1のSP20に送る(ステップS1008)。この際、VAP50は、VAP50のアドレスを合わせて送る。次に、第1のSP20は、ステップS1008の指定情報と認証実行要求、およびVAP50のアドレスを、第1のSP20がユーザ認証を依存するIDPである第1のIDP30に転送する(ステップS1009)。
Next, the
次に、第1のIDP30は、ステップS1007でユーザが指定したIDPである第2のIDP40に、ユーザ認証の実行を要求する(ステップS1010)。合わせて、第1のIDP30は、VAP50のアドレスを第2のIDP40に送る。次に、第2のIDP40は、ユーザを認証するため、ステップS1010で送られてきたVAP50のアドレスを元に、VAP50にID、パスワード入力画面を送付する(ステップS1011)。
Next, the
次に、VAP50は、ユーザ端末10に、ステップS1011で第2のIDP40より受け取ったID、パスワード入力画面を送付する(ステップS1012)。次に、ユーザは、ID、パスワードを入力し、VAP50に送付する(ステップS1013)。次に、VAP50は、ステップS1013で受け取ったID、パスワードを第2のIDP40に送付する(ステップS1014)。
Next, the
次に、第2のIDP40は、ステップS1014で入力されたID、パスワードを検証し、それらが第2のIDP40に登録されているものと一致した場合には、第1のIDP30に対し、ユーザを認証したことを証明する認証結果情報を送る(ステップS1015)。
Next, the
次に、第1のIDP30は、ステップS1015の認証結果情報を受け取って検証し、その認証結果情報が認証成功を示し、かつ、確かに第2のIDP40によるユーザ認証結果であることを確認できた場合には、その認証結果情報を信頼し、ユーザによる第1のSP20のサービス利用を許可する情報を第1のSP20に送る(ステップS1016)。
Next, the
次に、第1のSP20は、ステップS1016の情報が第1のIDP30の発行したものであることを検証し、VAP50に第1のSP20のサービス利用を許可する情報を送る(ステップS1017)。そして最後に、VAP50は、ユーザ端末10に第1のSP20のサービス利用を許可する情報を送る(ステップS1018)。
Next, the
この図10において、ステップS1015〜S1018の処理は、第2のIDP40による認証結果にもとづく1つのセッションとして実現するのが自然である。図11は、従来の認証システムにおける図10の一連の処理により、SP、IDP、VAPの間に確立されたセッションの状態を示した図である。
In FIG. 10, the processing of steps S1015 to S1018 is naturally realized as one session based on the authentication result by the
図11において、点線は論理的な存在であるセッション81を示す。ここで「セッション」とは、タイムアウトや明示的な切断を除き、再認証なしで認証システムの構成要素同士が相互に通信し、通信相手の許可する範囲で通信相手のリソースを利用できる論理的な処理の単位を示す。
In FIG. 11, a dotted line indicates a
この「セッション」は、例えば、セッションに参加する構成要素相互が共通のセッション識別情報を保持し、セッション識別情報が有効な間は、構成要素相互が再認証なしで相互に通信し、通信相手の許可する範囲で通信相手のリソースを利用できるように構成することにより実現できる。 In this “session”, for example, the components participating in the session hold common session identification information, and while the session identification information is valid, the components communicate with each other without re-authentication, and This can be realized by configuring so that the resources of the communication partner can be used within the permitted range.
なお、第1のIDP30、または第1のIDP30の信頼するIDPによりユーザが認証済みであるかどうかの状態を、VAP50で管理することもできる。この場合、図10におけるステップS1009とS1010との間に、第1のIDP30からVAP50に上記の状態を問い合わせる処理、およびそれに対するVAP50から第1のIDP30への応答処理を追加することにより構成できる。
Note that the
図12は、従来の認証システムの図10の処理に対して、第1のIDP30とVAP50との間の処理を追加した処理シーケンスの一例である。追加したステップが、S1201およびS1202として記載されている。ただし、この場合は、図10に示す理想的な処理の流れと比べると、図10におけるステップS1009とS1010との間に、ステップS1201、S1202の処理が追加される分、認証の処理効率が低下する。
FIG. 12 is an example of a processing sequence in which processing between the
また、会員制の商取引システムにおけるVAPに近い従来技術がある(例えば、特許文献1参照)。この特許文献1は、加盟店管理会社が会員会社に代わって会員の認証を行い、認証結果を会員管理会社と加盟店が信用し、会員が加盟店から商品を購入するためのシステムを実現する技術を開示している。図9のシステム構成においては、加盟店管理会社がVAP50に相当し、会員会社と会員管理会社がそれぞれIDP30、40に相当し、さらに、加盟店がSP10に相当する。
Further, there is a conventional technique close to VAP in a member-based commercial transaction system (see, for example, Patent Document 1). This
図13は、従来の認証システムの構成図のさらに別の例であり、図9の認証システムに、第2のIDP40に認証を依存する第2のSP60を追加したものである。この図13の認証システムにおいて、ワンストップ型認証を実現するには、ユーザが図10に示す手順にて第2のIDP40による認証結果に基づき第1のSP20のサービスを受けているときに、ユーザが第2のIDP40による同じ認証結果に基づき、第2のIDP40があらためてユーザを認証することなく第2のSP60にアクセスすることを可能にする必要がある。
FIG. 13 is still another example of a configuration diagram of a conventional authentication system, in which a
これを実現するための処理シーケンスを図14に示す。図14は、従来のワンストップ型認証システムにおける第2のSP60へのアクセスを改善した処理シーケンスの一例である。この図14の処理の流れについて、以下に説明する。
A processing sequence for realizing this is shown in FIG. FIG. 14 is an example of a processing sequence in which access to the
まず始めに、ユーザは、ユーザ端末10よりVAP50に対して、第2のSP60のサービスを要求するメッセージを送付する(ステップS1401)。次に、VAP50は、ステップS1401のメッセージを第2のSP60に転送する(ステップS1402)。次に、第2のSP60は、第2のSP60がユーザ認証を依存しているIDPである第2のIDP40に、ユーザが認証済みであるかどうか確認する(ステップS1403)。
First, the user sends a message requesting the service of the
次に、第2のIDP40は、第2のSP60に、ユーザを認証済みであることを示す情報を送る(ステップS1404)。次に、第2のSP60は、ステップS1404の情報が第2のIDP40の発行したものであることを検証し、VAP50に、第2のSP60のサービスへのアクセスを許可する情報を送る(ステップS1405)。次に、VAP50は、ステップS1405の情報を、ユーザ端末10に送る(ステップS1406)。
Next, the
図15は、従来の認証システムにおける図14の一連の処理により、SP、IDP、VAPの間に確立されたセッションの状態を示した図である。図14において、ステップS1404〜S1406の処理にて構成要素間で確立されるセッションは、図10のステップS1015〜S1018の処理にて確立されるセッションと同じ第2のIDP40の認証結果に基づいている。このため、図15においては、SP、IDP、VAPの間は、同じセッションであるセッション81を用いている。
FIG. 15 is a diagram showing the state of a session established among SP, IDP, and VAP by the series of processing of FIG. 14 in the conventional authentication system. In FIG. 14, the session established between the components in the processing of steps S1404 to S1406 is based on the same authentication result of the
しかしながら、従来技術には次のような課題がある。図15のように、同じ第2のIDP40の認証結果にもとづくSP、IDP、VAPの間の関係を全て同一のセッションとして構成すると、第1のSP20または第2のSP60に悪意がある場合、一方のSPが当該セッションの識別情報を用いて当該ユーザになりすまし、他方のSPのサービスを不正に利用できるという問題があった。
However, the prior art has the following problems. As shown in FIG. 15, if all the relationships among the SP, IDP, and VAP based on the same authentication result of the
また、先の特許文献1においても、悪意のある加盟店が、会員の認証結果情報を用いて当該会員になりすまし、他の加盟店に対して不正な商品購入を行うことを防ぐ技術が開示されていない。
Also, in the
本発明は上述のような課題を解決するためになされたもので、VAPを用いたワンストップ型認証システムにおいて、SPがユーザになりすまして他のSPのサービスを不正に利用することを防ぐことを可能にする認証装置、認証代行装置、およびユーザ認証方法を得ることを目的とする。 The present invention has been made to solve the above-described problems, and in a one-stop authentication system using VAP, prevents an SP from impersonating a user and illegally using a service of another SP. It is an object of the present invention to provide an authentication device, an authentication agent device, and a user authentication method that can be enabled.
本発明に係るサービスプロバイダ用の認証装置は、ユーザ認証処理を中継する主体である認証代行装置およびインターネットを経由して、ユーザ端末から送信される利用要求に応じてサービスを提供するサービスプロバイダ内に設けられ、サービスの提供を許可するに当たり利用要求に基づく認証処理を制御するサービスプロバイダ用の認証装置であって、利用要求に応じてサービスプロバイダがユーザ認証処理を依存する第1の認証サービスプロバイダとサービスプロバイダとの間のセッションと、認証代行装置とサービスプロバイダとの間のセッションとをそれぞれ関連付けて管理するものである。 An authentication device for a service provider according to the present invention includes an authentication agent device that is a subject that relays user authentication processing and a service provider that provides a service in response to a use request transmitted from a user terminal via the Internet. An authentication apparatus for a service provider that is provided and controls an authentication process based on a use request when permitting provision of a service, wherein the service provider depends on a user authentication process in response to the use request; A session between the service provider and a session between the authentication proxy device and the service provider are associated with each other and managed.
また、本発明に係る第1の認証サービスプロバイダ用の認証装置は、インターネットを経由したユーザ端末からの利用要求に応じてサービスを提供するサービスプロバイダがユーザ認証を行う際に使用する第1の認証サービスプロバイダ内に設けられ、サービスの提供を許可するに当たり利用要求に基づく認証処理を制御する第1の認証サービスプロバイダ用の認証装置であって、ユーザ端末の認証用IDを有する第2の認証サービスプロバイダと第1の認証サービスプロバイダとの間のセッションと、利用要求に応じて第1の認証サービスプロバイダにユーザ認証処理を依存するサービスプロバイダと第1の認証サービスプロバイダとの間のセッションとをそれぞれ関連付けて管理するものである。 The authentication apparatus for a first authentication service provider according to the present invention is a first authentication used when a service provider that provides a service in response to a use request from a user terminal via the Internet performs user authentication. An authentication apparatus for a first authentication service provider, which is provided in a service provider and controls an authentication process based on a use request when permitting the provision of a service, the second authentication service having an authentication ID for a user terminal A session between the provider and the first authentication service provider, and a session between the service provider and the first authentication service provider that depends on the first authentication service provider for user authentication processing in response to a usage request. It is related and managed.
また、本発明に係る第2の認証サービスプロバイダ用の認証装置は、ユーザ端末の認証用IDを有する第2の認証サービスプロバイダ内に設けられ、ユーザ認証処理を中継する主体である認証代行装置およびインターネットを経由したユーザ端末からの利用要求に応じてサービスを提供するサービスプロバイダがユーザ認証を行う際に使用する第1の認証サービスプロバイダからの要求に応じて、サービスの提供を許可するに当たり認証処理を制御する第2の認証サービスプロバイダ用の認証装置であって、第1の認証サービスプロバイダからユーザ認証実行要求を受信した際に、認証代行装置および第2の認証サービスプロバイダのそれぞれに対して、第1の認証サービスプロバイダと第2の認証サービスプロバイダとの間のセッションを共通の仮IDP−IDPセッションとして割り当て、ユーザ端末による認証要求を認証代行装置から受信した際に、ユーザの認証に成功した場合には、仮IDP−IDPセッションを正規IDP−IDPセッションに変更して第1の認証サービスプロバイダに正規IDP−IDPセッションを送信し、ユーザの認証に失敗した場合には、仮IDP−IDPセッションを無効にするものである。 An authentication device for a second authentication service provider according to the present invention is provided in a second authentication service provider having an authentication ID for a user terminal, and is an authentication agent device that is a subject that relays user authentication processing; Authentication processing for permitting provision of a service in response to a request from a first authentication service provider used when a service provider that provides a service in response to a use request from a user terminal via the Internet performs user authentication An authentication device for a second authentication service provider for controlling the authentication proxy device and each of the second authentication service provider upon receiving a user authentication execution request from the first authentication service provider. A session between the first authentication service provider and the second authentication service provider; If the user authentication is successful when an authentication request by the user terminal is received from the authentication proxy device, the temporary IDP-IDP session is changed to a regular IDP-IDP session. When the regular IDP-IDP session is transmitted to the first authentication service provider and the user authentication fails, the temporary IDP-IDP session is invalidated.
また、本発明に係る認証代行装置は、利用要求に応じてサービスを提供するサービスプロバイダ、サービスプロバイダがユーザ認証を行う際に使用する第1の認証サービスプロバイダ、およびユーザ端末の認証用IDを有し、第1の認証サービスプロバイダからの要求に応じて認証処理を行う第2の認証サービスプロバイダを含む認証システムと、利用要求に応じてサービスの提供を受けるユーザ端末との間に配置され、ユーザ認証処理を中継する主体となる認証代行装置であって、第2の認証サービスプロバイダにより割り当てられる第1の認証サービスプロバイダと第2の認証サービスプロバイダとの間のIDP−IDPセッションと、サービスプロバイダにより割り当てられる認証代行装置とサービスプロバイダとの間のVAP−SPセッションとをそれぞれ関連付けて管理するものである。 The authentication agent device according to the present invention has a service provider that provides a service in response to a use request, a first authentication service provider that is used when the service provider performs user authentication, and an authentication ID for the user terminal. And an authentication system including a second authentication service provider that performs authentication processing in response to a request from the first authentication service provider, and a user terminal that receives service provision in response to a use request, An authentication agent apparatus that is a subject that relays authentication processing, and an IDP-IDP session between a first authentication service provider and a second authentication service provider assigned by a second authentication service provider, and a service provider VAP-SP between assigned authentication agent and service provider A cushion and manages in association with each.
さらに、本発明に係るユーザ認証方法は、利用要求に応じてサービスを提供するサービスプロバイダ、サービスプロバイダがユーザ認証を行う際に使用する第1の認証サービスプロバイダ、およびユーザ端末の認証用IDを有し、第1の認証サービスプロバイダからの要求に応じて認証処理を行う第2の認証サービスプロバイダを含む認証システムと、利用要求に応じてサービスの提供を受けるユーザ端末と認証システムとの間に配置され、ユーザ認証処理を中継する主体となる認証代行装置とを含み、ユーザ端末に割り当てられたユーザIDの認証結果に基づいてサービスを提供するユーザ認証方法であって、第2の認証サービスプロバイダで、認証代行装置のアドレス情報を含む認証要求を第1の認証サービスプロバイダから受信した際に、第1の認証サービスプロバイダと第2の認証サービスプロバイダとの間のセッションを仮IDP−IDPセッションとして割り当てるステップと、アドレス情報に基づいて第2の認証サービスプロバイダから認証代行装置に、認証要求に応じた認証用入力情報および仮IDP−IDPセッションを識別する情報を送信するステップと、認証代行装置で、第2の認証サービスプロバイダによって割り当てられた仮IDP−IDPセッションを記憶するとともに、認証用入力情報に対応したユーザIDをユーザ端末から受信するステップと、認証代行装置から第2の認証サービスプロバイダに、ユーザIDを送信するステップと、第2の認証サービスプロバイダで、ユーザIDと、あらかじめ記憶してある認証用IDとの比較による認証結果情報を生成し、認証に成功した場合には、仮IDP−IDPセッションを正規IDP−IDPセッションに変更し、認証に失敗した場合には仮IDP−IDPセッションを無効にして以降の処理を行わないステップと、認証に成功した場合において、第2の認証サービスプロバイダから第1の認証サービスプロバイダに、認証結果情報および正規IDP−IDPセッションを識別する情報を送信するステップと、第1の認証サービスプロバイダで、正規IDP−IDPセッションを識別する情報に関連付けて、サービスプロバイダと第1の認証サービスプロバイダとの間のセッションをSP−IDPセッションとして割り当て、IDP−IDPセッションとSP−IDPセッションとをそれぞれ関連付けて管理するステップと、第1の認証サービスプロバイダからサービスプロバイダに、認証結果情報およびSP−IDPセッションを識別する情報を送信するステップと、サービスプロバイダで、SP−IDPセッションを識別する情報に関連付けて、認証代行装置とサービスプロバイダとの間のセッションをVAP−SPセッションとして割り当て、SP−IDPセッションとVAP−SPセッションとをそれぞれ関連付けて管理するステップと、サービスプロバイダから認証代行装置に、認証結果情報およびVAP−SPセッションを識別する情報を送信するステップと、認証代行装置で、認証に成功した認証結果情報に基づいて、先に記憶された仮IDP−IDPセッションを正規IDP−IDPセッションに変更し、正規IDP−IDPセッションとVAP−SPセッションとをそれぞれ関連付けて管理するステップと、認証代行装置からユーザ端末に、認証結果情報に基づいて利用許可情報を送信するステップとを備えたものである。 Furthermore, the user authentication method according to the present invention includes a service provider that provides a service in response to a usage request, a first authentication service provider that is used when the service provider performs user authentication, and an authentication ID for the user terminal. And an authentication system including a second authentication service provider that performs an authentication process in response to a request from the first authentication service provider, and a user terminal that receives a service in response to a use request and the authentication system. A user authentication method for providing a service on the basis of an authentication result of a user ID assigned to a user terminal, including an authentication agent device as a main body that relays user authentication processing, wherein the second authentication service provider When an authentication request including the address information of the authentication agent device is received from the first authentication service provider , Assigning a session between the first authentication service provider and the second authentication service provider as a temporary IDP-IDP session, and sending an authentication request from the second authentication service provider to the authentication agent device based on the address information. And a step of transmitting the corresponding authentication input information and information for identifying the temporary IDP-IDP session, and storing the temporary IDP-IDP session assigned by the second authentication service provider in the authentication proxy device, and the authentication input A step of receiving a user ID corresponding to the information from the user terminal; a step of transmitting the user ID from the authentication agent device to the second authentication service provider; and a user ID stored in advance by the second authentication service provider. Authentication result by comparison with existing authentication ID If the authentication is successful, the temporary IDP-IDP session is changed to a regular IDP-IDP session. If the authentication fails, the temporary IDP-IDP session is invalidated and the subsequent processing is not performed. A step of transmitting authentication result information and information for identifying a regular IDP-IDP session from the second authentication service provider to the first authentication service provider when the authentication is successful; a first authentication service provider; The session between the service provider and the first authentication service provider is assigned as the SP-IDP session in association with the information for identifying the regular IDP-IDP session, and the IDP-IDP session and the SP-IDP session are respectively associated with each other. And managing the first authentication service A step of transmitting authentication result information and information identifying the SP-IDP session from the service provider to the service provider, and the service provider in association with the information identifying the SP-IDP session between the authentication proxy device and the service provider. Are assigned as VAP-SP sessions, the SP-IDP session and the VAP-SP session are associated with each other and managed, and the authentication result information and the information for identifying the VAP-SP session are sent from the service provider to the authentication agent device. And a temporary IDP-IDP session stored previously is changed to a regular IDP-IDP session based on authentication result information that has been successfully authenticated by the authentication proxy device, and the regular IDP-IDP session and the VAP-SP session And a step of managing in association with each user terminal from the authentication proxy device, in which a step of transmitting the use permission information based on the authentication result information.
本発明によれば、IDP−IDPセッションとSP−IDPセッションに分けて、それぞれのサービスプロバイダごとに関連付けて管理し、異なるサービスプロバイダが同一の認証結果に基づくセッションに関する識別情報を共有しないように管理することにより、VAPを用いたワンストップ型認証システムにおいて、SPがユーザになりすまして他のSPのサービスを不正に利用することを防ぐことを可能にする認証装置、認証代行装置、およびユーザ認証方法を得ることができる。 According to the present invention, IDP-IDP sessions and SP-IDP sessions are divided and managed in association with each service provider, and management is performed so that different service providers do not share identification information related to sessions based on the same authentication result. By doing so, in the one-stop type authentication system using VAP, an authentication device, an authentication agent device, and a user authentication method that make it possible to prevent an SP from impersonating a user and illegally using a service of another SP Can be obtained.
以下、本発明の認証システムの好適な実施の形態につき図面を用いて説明する。 Hereinafter, preferred embodiments of an authentication system of the present invention will be described with reference to the drawings.
実施の形態1.
図1は、本発明の実施の形態1における認証システムの機能構成図である。基本的な構成は、従来技術の説明で用いた図13と同一である。本発明の実施の形態1における図1の構成は、図13の構成と比較すると、第1のSP20、第2のSP60がそれぞれSP用認証装置21、61をさらに有し、第1のIDP30、第2のIDP40がそれぞれIDP用認証装置31、41をさらに有する点が異なっている。
FIG. 1 is a functional configuration diagram of an authentication system according to
VAP50は、インターネットを介して、第1のSP20、第2のSP60、第1のIDP30、第2のIDP40と通信する。また、VAP50は、ユーザ端末10とはインターネットを介して通信してもよく、あるいはLAN(Local Area Network)を介して通信してもよい。このようなVAP50は、例えば、ユーザの属する組織のイントラネット・エクストラネットが外部のインターネットと接続するポイントに位置するプロキシサーバとして実現することができる。
The
図2は、本発明の実施の形態1の認証システムにおけるセッションの状態を示した図である。本実施の形態1における認証システムの特徴は、ワンストップ認証を実現している状態において、図2に示すように、IDP同士のセッション71、SPとIDPの間のセッション72、そしてVAPとSPの間のセッション73を区別して管理している点にある。
FIG. 2 is a diagram showing a session state in the authentication system according to the first embodiment of the present invention. The feature of the authentication system in the first embodiment is that, in a state where one-stop authentication is realized, as shown in FIG. 2, a session 71 between IDPs, a session 72 between SP and IDP, and between VAP and SP The
具体的には、第1のIDP30と第2のIDP40との間は、セッション71で管理され、第1のIDP30と第1のSP20との間、および第2のIDP40と第2のSP60との間は、セッション72で管理され、VAP50と第1のSP20との間、およびVAP50と第2のSP60との間は、セッション73で管理されている。
Specifically, between the
このような構成により、同一のIDPによる同じ認証結果に基づくセッションであっても、SP同士がセッションに関する共通の情報を持たないようすることが可能となる。この結果、あるSPが、セッション情報を不正に利用して、当該セッションを使用しているユーザになりすまし、他のSPのサービスを不正に利用することを防ぐことができる。 With such a configuration, it is possible to prevent SPs from having common information regarding sessions even in sessions based on the same authentication result by the same IDP. As a result, it is possible to prevent a certain SP from improperly using session information to impersonate a user using the session and illegally use other SP services.
また、本実施の形態1の認証システムにおいて、VAP50は、IDP−IDP間のセッション71の情報を保持し、またIDP−IDP間のセッション71とVAP−SP間のセッション73の対応付けを管理する。これにより、あるIDPがVAP50に対し、当該IDPで認証済みのセッションを保持しているかどうか問い合わせ、認証済みのセッションを保持しているVAP50に対しては、当該ユーザの再認証要求を行わずに、当該IDPによる認証結果を発行することを可能とする。
In the authentication system of the first embodiment, the
本発明による認証システムの処理のシーケンスは、図10と同様である。ただし、図2に示すセッション管理を実現するために、従来技術による認証システムにおける処理の流れに加えて、ステップS1010、S1011、S1014〜S1017において、以下の追加処理を行う。 The processing sequence of the authentication system according to the present invention is the same as that shown in FIG. However, in order to realize the session management shown in FIG. 2, the following additional processing is performed in steps S1010, S1011, and S1014 to S1017 in addition to the processing flow in the authentication system according to the conventional technique.
まず、ステップS1010において、第2のIDP40は、第1のIDP30から転送されてくるユーザ認証実行要求に対し、仮IDP−IDPセッションを割り当てる。また、ステップS1011において、第2のIDP40は、VAP50に対し、ステップS1010で割り当てた仮IDP−IDPセッションを識別する情報を送付する。
First, in step S1010, the
また、ステップS1014において、第2のIDP40は、VAP50から転送されてくるユーザのID、パスワードを検証し、ユーザの認証に成功すると、ステップS1010で割り当てた仮IDP−IDPセッションを正規IDP−IDPセッションに変更する。一方、第2のIDP40は、ユーザの認証に失敗した場合には、仮IDP−IDPセッションを無効にし、以降の処理を行わない。
In step S1014, the
ユーザの認証に成功した場合には、ステップS1015において、第2のIDP40は、第1のIDP30に、ステップS1014で変更した正規IDP−IDPセッションを識別する情報を送付する。また、ステップS1016において、第1のIDP30は、ステップS1014で変更した正規IDP−IDPセッションに対応するSP−IDPセッションを第1のSP20に対して割り当てる。
If the user authentication is successful, in step S1015, the
また、ステップS1017において、第1のSP20は、ステップS1016で割り当てたSP−IDPセッションに対応するVAP−SPセッションを、VAP50に対して割り当てる。
In step S1017, the
これを受けてVAP50は、ステップS1011において受け取った仮IDP−IDPセッションの識別情報の状態を、正規IDP−IDPセッションを示す状態に変更し、合わせて正規IDP−IDPセッションをステップS1017において受け取ったVAP−SPセッションと対応付けて管理する。
In response to this, the
次に、フローチャートを用いて、図1に示した認証システムの一連の処理の詳細を説明する。まず、SP用認証装置21(あるいはSP用認証装置61)の一連の処理について説明する。図3は、本発明の実施の形態1におけるSP用認証装置の一連の処理を示すフローチャートである。以下の説明では、SP用認証装置をSP用認証装置21として説明する。
Next, details of a series of processes of the authentication system shown in FIG. 1 will be described using a flowchart. First, a series of processes of the SP authentication device 21 (or the SP authentication device 61) will be described. FIG. 3 is a flowchart showing a series of processing of the SP authentication apparatus according to
まず始めに、SP用認証装置21は、VAP50経由でユーザ端末10からの利用要求を受け付ける(ステップS301)。次に、SP用認証装置21は、ユーザを認証済みであるか否かを確認する(ステップS302)。そして、SP用認証装置21は、認証済みである場合には、ユーザ端末10にSP用認証装置21を使用しているSPである第1のSP20のサービスを提供する(ステップS303)。
First, the
一方、SP用認証装置21は、ステップS302の処理においてユーザが未認証である場合には、SP用認証装置21を使用している第1のSP20がユーザ認証を依存するIDPである第1のIDP30に、第1のIDP30がワンストップ型認証を許可する信頼関係にある他のIDPのリスト(プロバイダリスト)の送付を要求する(ステップS304)。この処理は、図10のシーケンスにおいては、ステップS1003に相当する。
On the other hand, when the user is unauthenticated in the process of step S302, the
そして、SP用認証装置21は、この要求への応答として、IDPのリストを受信する(ステップS305)。この処理は、図10のシーケンスにおいては、ステップS1004に相当する。
Then, the
次に、SP用認証装置21は、IDPのリスト画面を生成し、VAP50に送付する(ステップS306)。この処理は、図10のシーケンスにおいては、ステップS1005に相当する。
Next, the
次に、SP用認証装置21は、VAP50経由で、ユーザ端末10からユーザによるIDPの選択結果を受け取る(ステップS307)。この処理は、図10のシーケンスにおいては、ステップS1008に相当する。そして、SP用認証装置21は、SP用認証装置21を使用している第1のSP20が依存する第1のIDP30へ、ユーザによるIDPの選択結果を送付する(ステップS308)。この処理は、図10のシーケンスにおいては、ステップS1009に相当する。
Next, the
なお、SP用認証装置21がこのステップS307で受け取るIDPの選択結果には、VAP50のアドレスが付加されており、SP用認証装置21は、ステップS308において、IDPの選択結果と合わせてVAP50のVAPアドレスを送付する。
Note that the address of the
次に、SP用認証装置21は、ステップS308の処理の後、SP用認証装置21を使用している第1のSP20が依存する第1のIDP30から認証結果情報を受け取り、待機モードに入る(ステップS309)。この処理は、図10のシーケンスにおいては、ステップS1016に相当する。
Next, after the processing of step S308, the
次に、SP用認証装置21は、ステップS309で認証結果情報を受け取って待機モードを解除した後、受け取った認証結果情報が成功であったか失敗であったかを確認する(ステップS310)。そして、ステップS310で認証成功を示す場合には、SP用認証装置21は、VAP50経由でユーザ端末10に対して第1のSP20のサービスを提供する(ステップS303)。この処理は、図10のシーケンスにおいては、ステップS1017、S1018に相当する。
Next, the
なお、この場合、SP用認証装置21を使用している第1のSP20が依存する第1のIDP30からSP用認証装置21に対しては、認証成功を示す情報とともに、SP−IDP間のセッション72を識別する情報が送られてくる。SP用認証装置21は、この識別情報を保管するとともに、SP−IDP間のセッション72に対応したVAP−SP間のセッション73をVAP50に割り当て、VAP−SP間のセッション73を識別する情報をVAP50に送付する。
In this case, the SP-IDP session is transmitted from the
一方、ステップS310で認証失敗を示す場合には、SP用認証装置21は、VAP50経由で、ユーザ端末10に対して、認証できないことを通知する。(ステップS311)。
On the other hand, when the authentication failure is indicated in step S310, the
次に、IDP用認証装置31およびIDP用認証装置41の動作について説明する。ここで、例えば、図1において、第1のIDP30内のIDP用認証装置31は、他のIDPである第2のIDP50へ認証を要求する側であり、一方、第2のIDP40内のIDP用認証装置41は、他のIDPである第1のIDP30より認証を要求される側である。
Next, operations of the
しかし、通常のIDPは、実際には他のIDPへ認証を要求する側(先の説明での第1のIDP30に相当)として振舞う場合もあれば、他のIDPより認証を要求される側(先の説明での第2のIDP40に相当)として振舞う場合もある。このため、これら装置は、通常は、1つの装置として構成される。
However, a normal IDP may actually behave as a side that requests authentication from another IDP (corresponding to the
そこで、要求する側であるIDP用認証装置31および要求される側であるIDP用認証装置41の両機能を備えたIDP用認証装置の一連の処理について、フローチャートを用いて説明する。図4は、本発明の実施の形態1におけるIDP用認証装置の一連の処理を示すフローチャートである。
Therefore, a series of processes of the IDP authentication apparatus having both functions of the requesting
まず始めに、IDP用認証装置は、外部からの要求を受け付ける(ステップS401)。この要求が、IDPに認証を依存しているSPから送られてきたものであり、IDPがワンストップ型認証を許可する信頼関係にあるIDPのリストの要求であるか否かを確認する(ステップS402)。 First, the IDP authentication apparatus accepts an external request (step S401). This request is sent from an SP that depends on IDP for authentication, and it is confirmed whether the IDP is a request for a list of IDPs in a trust relationship that permits one-stop authentication (step S402).
そして、ステップS402における要件を満たすプロバイダリストの要求である場合(このとき、このIDP用認証装置を使用するIDPは、図2における第1のIDP30に相当)、IDP用認証装置は、要求されたプロバイダリストを生成して要求元(この場合は、図2における第1のSP20に相当)に応答する(ステップS403)。この処理は、図10のシーケンスにおいては、ステップS1004に相当する。
If the request is for a provider list that satisfies the requirements in step S402 (at this time, the IDP that uses this IDP authentication apparatus corresponds to the first IDP30 in FIG. 2), the IDP authentication apparatus is requested. A provider list is generated and responded to the request source (in this case, corresponding to the
一方、ステップS402における要件を満たすプロバイダリストの要求でない場合には、IDP用認証装置は、その要求が、IDPに認証を依存しているSPから送られてきた、ユーザが指定した他のIDPによる認証要求であるか否かを確認する(ステップS404)。 On the other hand, if it is not a request for a provider list that satisfies the requirements in step S402, the IDP authentication apparatus uses another IDP specified by the user, whose request is sent from an SP that depends on IDP for authentication. It is confirmed whether it is an authentication request (step S404).
もし、この要求が、ユーザの指定した他のIDPによる認証要求である場合(このとき、IDP用認証装置を使用するIDPは、図2の第1のIDP30に相当)には、IDP用認証装置は、他のIDP(図2の第2のIDP40に相当)に認証要求を送付する(ステップS405)。この処理は、図10のシーケンスにおいては、ステップS1010に相当する。
If this request is an authentication request by another IDP designated by the user (in this case, the IDP using the IDP authentication device corresponds to the
さらに、IDP用認証装置は、ステップS405の認証要求に対する返答として、他のIDP(図2の第2のIDP40に相当)より、認証結果情報を受け取る(ステップS406)。この処理は、図10のシーケンスにおいては、ステップS1015に相当する。
Further, the IDP authentication apparatus receives authentication result information from another IDP (corresponding to the
なお、このとき、IDP用認証装置がステップS401で受け取っている要求は、SPの使用する認証装置から送られてきたVAP50のアドレスを含み、ステップS405において、IDP用認証装置は、このVAP50のアドレスを合わせて送付する。そして、IDP用認証装置は、認証結果情報が認証成功か否かを検証する(ステップS407)。
At this time, the request received by the authentication apparatus for IDP in step S401 includes the address of the
そして、認証結果情報が認証成功を示す場合には、IDP用認証装置は、さらに、この認証結果情報の発行元の検証を行う(ステップS408)。 If the authentication result information indicates successful authentication, the IDP authentication apparatus further verifies the issuer of the authentication result information (step S408).
そして、この検証の結果、認証結果情報の発行元が他のIDP(図2の第2のIDP40に相当)であることを確認すると、IDP用認証装置は、ステップS401の要求元(図2では、第1のSP20に相当)に対し、認証可否情報として認証に成功したことを通知する(ステップS409)。この処理は、図10のシーケンスにおいては、ステップS1016に相当する。
Then, as a result of this verification, when it is confirmed that the issuer of the authentication result information is another IDP (corresponding to the
このとき、IDP用認証装置は、他のIDP(図2の第2のIDP40に相当)の発行した正規IDP−IDP間のセッション71を識別する情報をステップS406の処理にて受け取る。そして、IDP用認証装置は、この正規IDP−IDP間のセッション71を識別する情報を保管するとともに、この正規IDP−IDP間のセッション71に対応して新たにSP−IDP間のセッション72を割り当て、このSP−IDP間のセッション72を識別する情報をステップS409の通知に合わせて、ステップS401の要求元(図2では第1のSP20に相当)に通知する。
At this time, the IDP authentication apparatus receives information for identifying the regular IDP-IDP session 71 issued by another IDP (corresponding to the
一方、ステップS407で認証失敗の場合、または、ステップS408で認証結果を示す情報の発行元の検証に失敗した場合には、IDP用認証装置は、ステップS401の要求元(図2では、第1のSP20に相当)に対し、認証可否情報として認証に失敗したことを通知する(ステップS410)。 On the other hand, if the authentication fails in step S407, or if the verification of the issuer of the information indicating the authentication result fails in step S408, the IDP authentication apparatus receives the request source in FIG. To SP20) is notified that the authentication has failed as authentication enable / disable information (step S410).
この一方で、先のステップS404の処理で、ステップS401の要求がユーザの指定した他のIDPによる認証の要求でない場合には、IDP用認証装置(このとき、IDP用認証装置を使用するIDPは、図2の第2のIDP40に相当)は、ステップS411以降の処理を行う。
On the other hand, if the request in step S401 is not a request for authentication by another IDP designated by the user in the process of step S404, the IDP authentication device (in this case, the IDP using the IDP authentication device is , Which corresponds to the
まず、IDP用認証装置は、ID、パスワード入力画面を生成し、ステップS406で受け取ったVAP50のVAPアドレスを用いてVAP50に送付する(ステップS411)。この処理は、図10のシーケンスにおいては、ステップS1011に相当する。
First, the IDP authentication apparatus generates an ID / password input screen and sends it to the
このとき、IDP用認証装置は、ステップS401の要求に対し、仮IDP−IDPセッションを割り当て、この仮IDP−IDPセッションを識別する情報をステップS411に合わせてVAP50に送付する。
At this time, the IDP authentication apparatus allocates a temporary IDP-IDP session to the request in step S401, and sends information for identifying the temporary IDP-IDP session to the
そして、IDP用認証装置は、ユーザの入力したID、パスワードをVAP50より受信するまで、ユーザ端末10およびVAP50の入力を待機する(ステップS412)。この処理は、図10のシーケンスにおいては、ステップS1014に相当する。次に、IDP用認証装置は、ユーザの入力したID、パスワードがIDP用認証装置に登録済であるか否かを検証する(ステップS413)。
The IDP authentication apparatus waits for input of the
そして、ステップS413でユーザの入力したID、パスワードが登録済みであることを確認できた場合には、IDP用認証装置は、ステップS401の要求元(この場合は図2の第1のIDP30に相当)に認証成功を示す認証結果情報を通知する(ステップS409)。この処理は、図10のシーケンスにおいては、ステップS1015に相当する。
If it is confirmed in step S413 that the ID and password entered by the user have already been registered, the IDP authentication apparatus corresponds to the request source in step S401 (in this case, the
このとき、IDP用認証装置は、ステップS411で割り当てた仮IDP−IDPセッションの状態を正規IDP−IDPセッションに変更し、正規IDP−IDPセッションを識別する情報を、ステップS409の通知と合わせて、ステップS401の要求元(このとき、要求元は図2の第1のIDP30に相当)に送付する。
At this time, the IDP authentication apparatus changes the status of the temporary IDP-IDP session assigned in step S411 to the regular IDP-IDP session, and combines information for identifying the regular IDP-IDP session with the notification in step S409, The message is sent to the request source in step S401 (at this time, the request source corresponds to the
一方、ステップS413でユーザの入力したID、パスワードが未登録である場合には、IDP用認証装置は、認証に失敗したことをステップS401の要求元(このとき、要求元は図2の第1のIDP30に相当)に通知する(ステップS410)。このとき、IDP用認証装置は、上記の処理と合わせて、ステップS411で割り当てた仮IDP−IDPセッションを無効にする。 On the other hand, if the ID and password entered by the user in step S413 are unregistered, the IDP authentication apparatus indicates that the authentication has failed and the request source in step S401 (the request source is the first in FIG. 2). To IDP30) (step S410). At this time, the IDP authentication apparatus invalidates the temporary IDP-IDP session assigned in step S411 together with the above processing.
なお、IDP用認証装置は、図10の説明で補足したように、ステップS404とS405との間に、VAP50に対し、IDP用認証装置自身、または、IDP用認証装置を使用しているIDPがワンストップ型認証を許可する信頼関係にある他のIDPの発行した正規IDP−IDPセッションの有無を問い合わせることができる。
As supplemented in the description of FIG. 10, the IDP authentication device has an IDP authentication device itself or an IDP using the IDP authentication device for the
そして、IDP用認証装置は、問い合わせの結果、もしもVAP50がこのような正規IDP−IDPセッションを保持している場合には、以降の認証処理を行わずに、VAP50およびユーザに直接SPへのアクセス許可を与えるように構成してもよい。
Then, as a result of the inquiry, if the
これは、図10のステップS1009とS1010との間に、IDPからVAPへの正規IDP−IDPセッション問い合わせ処理と応答処理を追加することに相当する。ただし、この場合は、すでに説明した通り、図10に示す理想的な処理の流れと比べると、図10のステップS1009とS1010との間に処理が追加される分、認証の処理効率が低下する。 This corresponds to adding a regular IDP-IDP session inquiry process and a response process from IDP to VAP between steps S1009 and S1010 of FIG. However, in this case, as already described, compared to the ideal processing flow shown in FIG. 10, the processing efficiency of authentication is reduced by the amount of processing added between steps S1009 and S1010 in FIG. .
次に、認証代行装置であるVAP50の一連の処理について、フローチャートを用いて説明する。図5は、本発明の実施の形態1における認証代行装置の一連の処理を示すフローチャートである。
Next, a series of processing of the
まず始めに、VAP50は、ユーザ端末10からの処理要求を受け付ける(ステップS501)。この処理は、図10のシーケンスにおいては、ステップS1001またはS1007に相当する。次に、VAP50は、この要求がSPによる利用要求であるか否かを判断する(ステップS502)。
First, the
もし、この要求が、SPによる利用要求である場合には、VAP50は、この利用要求をSPへ転送する(ステップS503)。この処理は、図10のシーケンスにおいては、ステップS1002に相当する。そして、VAP50は、SPからステップS503に対する応答を受け取る(ステップS504)。この処理は、図10のシーケンスにおいては、ステップS1005に相当する。
If this request is a usage request by the SP, the
次に、VAP50は、ステップS504で受け取った応答の内容が、ユーザに対するIDPによる認証要求であるか否かを判断する(ステップS505)。
Next, the
そして、ユーザに対するIDPによる認証要求であると判断した場合には、VAP50は、ユーザ端末へIDPによる認証要求を転送する(ステップS506)。この処理は、図10のシーケンスにおいては、ステップS1006に相当する。
If it is determined that the authentication request is based on IDP for the user, the
このとき、ステップS504と合わせて、IDPのリスト(ユーザが利用要求しているSPが依存するIDPがワンストップ型認証を許可する信頼関係にある他のIDPのリスト)が送付されており、VAP50は、ステップS506に合わせて、このIDPのリストをユーザ端末10に送る。
At this time, in addition to step S504, a list of IDPs (a list of other IDPs in which the IDP on which the SP requested by the user depends is in a trust relationship permitting one-stop authentication) is sent, and the
一方、ステップS505において、ユーザに対するIDPによる認証要求でないと判断した場合には、VAP50は、この要求がSPのサービス利用可否情報の通知であることから、この通知をユーザ端末10に送付する(ステップS507)。
On the other hand, if it is determined in step S505 that the request is not an IDP authentication request for the user, the
この一方で、先のステップS502の処理で、ステップS501の要求がSPによる利用要求でない場合には、VAP50は、ユーザによるIDPを指定しての認証実行要求であるか否かを判断する(ステップS508)。
On the other hand, if the request at step S501 is not a usage request by the SP in the process at step S502, the
もし、この要求が、ユーザによるIDPを指定しての認証実行要求であると判断した場合には、VAP50は、ステップS501にてユーザが利用要求しているSP(図2においては、第1のSP20に相当)へ認証実行要求を転送する(ステップS509)。この処理は、図10のシーケンスにおいては、ステップS1008に相当する。
If it is determined that this request is an authentication execution request by designating an IDP by the user, the
このステップS509において、VAP50は、VAP50自身のVASアドレスを、ステップS509にて転送するメッセージに付加する。
In step S509, the
そして、VAP50は、ユーザの指定したIDPからのメッセージを待ち受け、ユーザの指定したIDP(図2においては、第2のIDP40に相当)からのID、パスワード入力要求を受け取る(ステップS510)。この処理は、図10のシーケンスにおいては、ステップS1011に相当する。
The
このとき、VAP50は、ユーザの指定したIDP(図2においては、第2のIDP40に相当)の割り当てた仮IDP−IDPセッションを識別する情報を合わせて受け取り、VAP50内に保管する。この後、VAP50は、ユーザの指定したIDPからのID、パスワード入力要求をユーザ端末10に転送する(ステップS511)。この処理は、図10のシーケンスにおいては、ステップS1012に相当する。
At this time, the
一方、ステップS508において、ユーザの要求が、ユーザによるIDPを指定しての認証実行要求でないと判断した場合には、VAP50は、ユーザがステップS511に対応して入力したID、パスワードを受け取る(ステップS512)。この処理は、図10のシーケンスにおいては、ステップS1013に相当する。
On the other hand, if it is determined in step S508 that the user's request is not an authentication execution request by specifying the IDP by the user, the
次に、VAP50は、ステップS512にて受け取ったID、パスワードをユーザの指定したIDPへ転送する(ステップS513)。この処理は、図10のシーケンスにおいては、ステップS1014に相当する。さらに、VAP50は、ユーザが利用要求しているSP(図2においては、第1のSP20に相当)からの処理要求を待機する。
Next, the
そして、この待機中にユーザが利用要求しているSP(図2においては、第1のSP20に相当)からの処理を受け取る(ステップS514)。この処理は、図10のシーケンスにおいては、ステップS1017に相当する。
Then, a process is received from the SP requested by the user during the standby (corresponding to the
ここで、ステップS514の要求には、ユーザが利用要求しているSP(図2においては、第1のSP20に相当)の提供しているサービスに対するアクセス可否情報が含まれているので、VAP50は、この情報をユーザ端末10に転送する(ステップS515)。この処理は、図10のシーケンスにおいては、ステップS1018に相当する。
Here, since the request in step S514 includes access permission information for the service provided by the SP requested by the user (corresponding to the
また、ステップS514がユーザへのアクセス許可を含む場合には、ステップS514の処理要求には、合わせて、SPの発行したVAP−SPセッションを識別する情報が含まれる。このとき、VAP50は、ステップS510で受け取った仮IDP−IDPセッションの状態を正規IDP−IDPセッションに変更し、合わせて正規IDP−IDPセッションをステップS514で受け取ったVAP−SPセッションと関連付けて保管する。
If step S514 includes access permission to the user, the processing request in step S514 also includes information for identifying the VAP-SP session issued by the SP. At this time, the
なお、ステップS514がユーザへのアクセス拒否情報を含む場合、VAP50は、ステップS510で受け取った仮IDP−IDPセッションを破棄する。
If step S514 includes access denial information to the user, the
さらに、VAP50は、図5の処理フローに加えて、ステップS509とS510との間に、ユーザの指定したIDP(図2においては、第2のIDP40に相当)より、ユーザの指定したIDP自身またはユーザの指定したIDPがワンストップ型認証を許可する信頼関係にある他のIDPの発行した正規IDP−IDPセッションの有無に関する問い合わせを受けることができる。
Furthermore, in addition to the processing flow of FIG. 5, the
そして、VAP50は、このような正規IDP−IDPセッションの有無を、ユーザの指定したIDPに対して応答するように構成してもよい。
Then, the
これは、図10のステップS1009とS1010との間に、IDPからVAPへの正規IDP−IDPセッション問い合わせ処理と応答処理を追加することに相当する。ただし、この場合は、すでに説明した通り、図10に示す理想的な処理の流れと比べると、図10のステップS1009とS1010との間に処理が追加される分、認証の処理効率が低下する。 This corresponds to adding a regular IDP-IDP session inquiry process and a response process from IDP to VAP between steps S1009 and S1010 of FIG. However, in this case, as already described, compared to the ideal processing flow shown in FIG. 10, the processing efficiency of authentication is reduced by the amount of processing added between steps S1009 and S1010 in FIG. .
なお、以上の説明では、ユーザの認証に必要な情報として、ID、パスワードを想定して説明したが、実際の認証システムおよび認証装置においては、ID、パスワードに限らず、例えば、電子証明書などのユーザを認証するための情報を用いることができる。 In the above description, an ID and a password are assumed as information necessary for user authentication. However, in an actual authentication system and an authentication device, not only an ID and a password but also an electronic certificate, for example, Information for authenticating the user can be used.
また、本発明における図2の認証システムにおいて、ユーザが第2のIDP40の認証結果に基づき第1のSP20を利用しているときに、第2のIDP40の同一の認証結果に基づき第2のSP60のサービス利用許可を受けるときの処理の流れは、例えば、図14と同様に構成することができる。
Further, in the authentication system of FIG. 2 according to the present invention, when the user uses the
このとき、本発明におけるIDP用認証装置は、例えば、VAPを識別する情報をキーとして、IDP用認証装置を使用しているIDP(図2の第2のIDP40に相当)の発行済みの正規IDP−IDPセッションを検索できるように構成しておく。そして、本発明にかかるVAPは、例えば、図14のステップS1402、S1403において、VAP50を識別する情報を付加するように構成することができる。
At this time, the IDP authentication apparatus according to the present invention, for example, has issued an authorized IDP (corresponding to the
これにより、図14において、ユーザが認証を受けようとするIDP(図2の第2のIDP40に相当)は、ステップS1403でVAP50の識別情報を受け取り、この情報をキーとして、IDP(図2の第2のIDP40に相当)の発行済みの正規IDP−IDPセッションを検索し、ユーザおよびVAP50がIDP自身により認証済みであることを知ることができる。
Accordingly, in FIG. 14, the IDP (corresponding to the
この結果、IDPは、ユーザおよびVAP50がIDP自身により認証済みであることを示す認証結果情報を発行することができる。
As a result, the IDP can issue authentication result information indicating that the user and the
あるいは、図14において、ステップS1403とS1404との間に、第2のIDP40がVAP50から正規IDP−IDPセッションを受け取る構成とすることもできる。図6は、本発明の実施の形態1の認証システムにおける正規IDP−IDPセッションを受け取る構成を有する処理シーケンスの一例である。図6の処理シーケンスでは、図14の処理シーケンスに対して、ステップS601、S602の処理が追加されている。
Alternatively, in FIG. 14, the
図6に示すように、第2のIDP40からVAP50に対し、IDP(図2の第2のIDP40に相当)の発行した正規IDP−IDPセッションを直接問い合わせ(ステップS601)、VAP50より応答を受け取る(ステップS602)構成にしてもよい。ただし、この場合は、図14に示すシーケンスと比べて、IDPとVAPによる応答処理が入る分、認証性能が低下する。
As shown in FIG. 6, a regular IDP-IDP session issued by the IDP (corresponding to the
以上のように、実施の形態1によれば、IDP用認証装置、SP用認証装置、VAPを用いて、図2に示す認証システムを構成することにより、SP用認証装置は、認証結果に基づくセッションをIDP−IDPセッション(正規IDP−IDPセッション)とSP−IDPセッションに分けて管理できる。 As described above, according to the first embodiment, by configuring the authentication system shown in FIG. 2 using the IDP authentication device, the SP authentication device, and the VAP, the SP authentication device is based on the authentication result. Sessions can be managed by dividing them into IDP-IDP sessions (regular IDP-IDP sessions) and SP-IDP sessions.
これにより、第1のSPと第2のSPが同一の認証結果に基づくセッションに関する識別情報を共有しないように管理することが可能になる。この結果、SP同士が同一の認証結果に基づいてユーザになりすまし、他のSPのサービスを不正に利用することを防ぐ。 As a result, the first SP and the second SP can be managed so as not to share the identification information regarding the session based on the same authentication result. As a result, it is possible to prevent the SPs from impersonating users based on the same authentication result and illegally using services of other SPs.
10 ユーザ端末、20 第1のSP、21 SP用認証装置(サービスプロバイダ用の認証装置)、30 第1のIDP、31 IDP用認証装置(第1の認証サービスプロバイダ用の認証装置)、40 第2のIDP、41 IDP用認証装置(第2の認証サービスプロバイダ用の認証装置)、50 認証代行装置(VAP)、60 第2のSP、61 SP用認証装置(サービスプロバイダ用の認証装置)、71、72、73、81 セッション。 10 user terminal, 20 first SP, 21 SP authentication device (service provider authentication device), 30 first IDP, 31 IDP authentication device (first authentication service provider authentication device), 40 2 IDP, 41 IDP authentication device (authentication device for second authentication service provider), 50 authentication agent device (VAP), 60 second SP, 61 SP authentication device (authentication device for service provider), 71, 72, 73, 81 sessions.
Claims (6)
前記利用要求に応じて前記サービスプロバイダがユーザ認証処理を依存する第1の認証サービスプロバイダと前記サービスプロバイダとの間のセッションと、前記認証代行装置と前記サービスプロバイダとの間のセッションとをそれぞれ関連付けて管理することを特徴とするサービスプロバイダ用の認証装置。 It is provided in a service provider that provides a service in response to a use request transmitted from a user terminal via an authentication agent device that is a subject that relays user authentication processing and the Internet, and it is natural to permit the provision of the service. An authentication device for a service provider that controls authentication processing based on the usage request,
Associating a session between the service provider and the first authentication service provider on which the service provider depends on user authentication processing in response to the use request, and a session between the authentication agent and the service provider An authentication apparatus for a service provider characterized by
前記ユーザ端末の認証用IDを有する第2の認証サービスプロバイダと前記第1の認証サービスプロバイダとの間のセッションと、前記利用要求に応じて前記第1の認証サービスプロバイダにユーザ認証処理を依存する前記サービスプロバイダと前記第1の認証サービスプロバイダとの間のセッションとをそれぞれ関連付けて管理することを特徴とする第1の認証サービスプロバイダ用の認証装置。 A service provider that provides a service in response to a use request from a user terminal via the Internet is provided in a first authentication service provider that is used when user authentication is performed. An authentication device for a first authentication service provider that controls authentication processing based on a request,
A session between the second authentication service provider having the user terminal authentication ID and the first authentication service provider, and depending on the use request, the first authentication service provider depends on user authentication processing. An authentication apparatus for a first authentication service provider, which manages the session between the service provider and the first authentication service provider in association with each other.
前記第1の認証サービスプロバイダからユーザ認証実行要求を受信した際に、前記認証代行装置および前記第2の認証サービスプロバイダのそれぞれに対して、前記第1の認証サービスプロバイダと前記第2の認証サービスプロバイダとの間のセッションを共通の仮IDP−IDPセッションとして割り当て、前記ユーザ端末による認証要求を前記認証代行装置から受信した際に、ユーザの認証に成功した場合には、前記仮IDP−IDPセッションを正規IDP−IDPセッションに変更して前記第1の認証サービスプロバイダに前記正規IDP−IDPセッションを送信し、ユーザの認証に失敗した場合には、前記仮IDP−IDPセッションを無効にすることを特徴とする第2の認証サービスプロバイダ用の認証装置。 Provided in a second authentication service provider having an authentication ID for a user terminal, and provides a service in response to a request for use from an authentication agent device that is a subject that relays user authentication processing and the user terminal via the Internet An authentication apparatus for a second authentication service provider that controls authentication processing when permitting the provision of the service in response to a request from the first authentication service provider used when the service provider performs user authentication. ,
When the user authentication execution request is received from the first authentication service provider, the first authentication service provider and the second authentication service are respectively provided to the authentication agent device and the second authentication service provider. When a session with a provider is assigned as a common temporary IDP-IDP session and an authentication request by the user terminal is received from the authentication agent device, if the user authentication is successful, the temporary IDP-IDP session Is changed to a regular IDP-IDP session, the regular IDP-IDP session is transmitted to the first authentication service provider, and if the user authentication fails, the temporary IDP-IDP session is invalidated. An authentication apparatus for a second authentication service provider, which is characterized.
前記第2の認証サービスプロバイダにより割り当てられる前記第1の認証サービスプロバイダと前記第2の認証サービスプロバイダとの間のIDP−IDPセッションと、前記サービスプロバイダにより割り当てられる前記認証代行装置と前記サービスプロバイダとの間のVAP−SPセッションとをそれぞれ関連付けて管理することを特徴とする認証代行装置。 A service provider that provides a service in response to a use request, a first authentication service provider that is used when the service provider performs user authentication, and an authentication ID for a user terminal, from the first authentication service provider Authentication that is arranged between an authentication system including a second authentication service provider that performs authentication processing in response to a request of the user and a user terminal that receives service provision in response to a usage request, and is a subject that relays the user authentication processing An agency device,
An IDP-IDP session between the first authentication service provider and the second authentication service provider assigned by the second authentication service provider, the authentication agent device and the service provider assigned by the service provider, An authentication agent device that manages the VAP-SP sessions between the two in association with each other.
前記ユーザ端末による認証要求に先立って前記第1の認証サービスプロバイダと前記第2の認証サービスプロバイダとの間の仮IDP−IDPセッションの割当てを前記第2の認証サービスプロバイダから受け、前記第2の認証サービスプロバイダによるユーザ認証成功通知を受け取った場合には、前記仮IDP−IDPセッションを正規IDP−IDPセッションに変更し、前記第2の認証サービスプロバイダによるユーザ認証失敗通知を受け取った場合には、前記仮IDP−IDPセッションを無効にすることを特徴とする認証代行装置。 The authentication agent device according to claim 4,
Prior to an authentication request by the user terminal, a temporary IDP-IDP session assignment is received from the second authentication service provider between the first authentication service provider and the second authentication service provider, and the second authentication service provider When the user authentication success notification by the authentication service provider is received, the temporary IDP-IDP session is changed to a regular IDP-IDP session, and when the user authentication failure notification by the second authentication service provider is received, An authentication agent device that invalidates the temporary IDP-IDP session.
利用要求に応じてサービスの提供を受けるユーザ端末と前記認証システムとの間に配置され、ユーザ認証処理を中継する主体となる認証代行装置と
を含み、前記ユーザ端末に割り当てられたユーザIDの認証結果に基づいてサービスを提供するユーザ認証方法であって、
前記第2の認証サービスプロバイダで、前記認証代行装置のアドレス情報を含む認証要求を前記第1の認証サービスプロバイダから受信した際に、前記第1の認証サービスプロバイダと前記第2の認証サービスプロバイダとの間のセッションを仮IDP−IDPセッションとして割り当てるステップと、
前記アドレス情報に基づいて前記第2の認証サービスプロバイダから前記認証代行装置に、前記認証要求に応じた認証用入力情報および前記仮IDP−IDPセッションを識別する情報を送信するステップと、
前記認証代行装置で、前記第2の認証サービスプロバイダによって割り当てられた前記仮IDP−IDPセッションを記憶するとともに、前記認証用入力情報に対応したユーザIDを前記ユーザ端末から受信するステップと、
前記認証代行装置から前記第2の認証サービスプロバイダに、前記ユーザIDを送信するステップと、
前記第2の認証サービスプロバイダで、前記ユーザIDと、あらかじめ記憶してある認証用IDとの比較による認証結果情報を生成し、認証に成功した場合には、前記仮IDP−IDPセッションを正規IDP−IDPセッションに変更し、認証に失敗した場合には前記仮IDP−IDPセッションを無効にして以降の処理を行わないステップと、
認証に成功した場合において、前記第2の認証サービスプロバイダから前記第1の認証サービスプロバイダに、前記認証結果情報および前記正規IDP−IDPセッションを識別する情報を送信するステップと、
前記第1の認証サービスプロバイダで、前記正規IDP−IDPセッションを識別する情報に関連付けて、前記サービスプロバイダと前記第1の認証サービスプロバイダとの間のセッションをSP−IDPセッションとして割り当て、前記IDP−IDPセッションと前記SP−IDPセッションとをそれぞれ関連付けて管理するステップと、
前記第1の認証サービスプロバイダから前記サービスプロバイダに、前記認証結果情報および前記SP−IDPセッションを識別する情報を送信するステップと、
前記サービスプロバイダで、前記SP−IDPセッションを識別する情報に関連付けて、前記認証代行装置と前記サービスプロバイダとの間のセッションをVAP−SPセッションとして割り当て、前記SP−IDPセッションと前記VAP−SPセッションとをそれぞれ関連付けて管理するステップと、
前記サービスプロバイダから前記認証代行装置に、前記認証結果情報および前記VAP−SPセッションを識別する情報を送信するステップと、
前記認証代行装置で、認証に成功した前記認証結果情報に基づいて、先に記憶された仮IDP−IDPセッションを正規IDP−IDPセッションに変更し、前記正規IDP−IDPセッションと前記VAP−SPセッションとをそれぞれ関連付けて管理するステップと、
前記認証代行装置から前記ユーザ端末に、前記認証結果情報に基づいて利用許可情報を送信するステップと
を備えたことを特徴とするユーザ認証方法。 A service provider that provides a service in response to a use request, a first authentication service provider that is used when the service provider performs user authentication, and an authentication ID for a user terminal, from the first authentication service provider An authentication system including a second authentication service provider that performs an authentication process in response to the request;
Authentication of a user ID assigned to the user terminal, comprising: an authentication agent device that is arranged between a user terminal that receives a service request in response to a use request and the authentication system, and that is an agent that relays user authentication processing A user authentication method for providing a service based on a result,
When the second authentication service provider receives an authentication request including address information of the authentication agent device from the first authentication service provider, the first authentication service provider, the second authentication service provider, Assigning a session between as a temporary IDP-IDP session;
Transmitting authentication input information corresponding to the authentication request and information for identifying the temporary IDP-IDP session from the second authentication service provider to the authentication agent device based on the address information;
Storing the temporary IDP-IDP session assigned by the second authentication service provider at the authentication agent device and receiving a user ID corresponding to the authentication input information from the user terminal;
Transmitting the user ID from the authentication agent to the second authentication service provider;
The second authentication service provider generates authentication result information by comparing the user ID with a previously stored authentication ID, and if the authentication is successful, the temporary IDP-IDP session is registered as a regular IDP. -Changing to an IDP session and, if authentication fails, invalidating the temporary IDP-IDP session and not performing further processing;
When the authentication is successful, transmitting the authentication result information and information identifying the regular IDP-IDP session from the second authentication service provider to the first authentication service provider;
In the first authentication service provider, a session between the service provider and the first authentication service provider is assigned as an SP-IDP session in association with information for identifying the regular IDP-IDP session, and the IDP- Managing an IDP session and the SP-IDP session in association with each other;
Transmitting the authentication result information and information identifying the SP-IDP session from the first authentication service provider to the service provider;
The service provider allocates a session between the authentication agent and the service provider as a VAP-SP session in association with information for identifying the SP-IDP session, and the SP-IDP session and the VAP-SP session. And managing each of the
Transmitting the authentication result information and information for identifying the VAP-SP session from the service provider to the authentication agent device;
Based on the authentication result information that has been successfully authenticated by the authentication proxy device, the previously stored temporary IDP-IDP session is changed to a regular IDP-IDP session, and the regular IDP-IDP session and the VAP-SP session are changed. And managing each of the
And a step of transmitting use permission information from the authentication proxy device to the user terminal based on the authentication result information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006152284A JP4890105B2 (en) | 2006-05-31 | 2006-05-31 | Authentication device, authentication agent device, and user authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006152284A JP4890105B2 (en) | 2006-05-31 | 2006-05-31 | Authentication device, authentication agent device, and user authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007323326A true JP2007323326A (en) | 2007-12-13 |
JP4890105B2 JP4890105B2 (en) | 2012-03-07 |
Family
ID=38856083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006152284A Expired - Fee Related JP4890105B2 (en) | 2006-05-31 | 2006-05-31 | Authentication device, authentication agent device, and user authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4890105B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009245087A (en) * | 2008-03-31 | 2009-10-22 | Mitsubishi Electric Corp | Communication system and client device |
JP4892008B2 (en) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | Certificate authentication method, certificate issuing device, and authentication device |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1070540A (en) * | 1996-08-27 | 1998-03-10 | Nec Corp | Radio terminal authentication method for radio network, and radio network |
JP2002247112A (en) * | 2001-02-20 | 2002-08-30 | Ntt Docomo Inc | Tcp repeater and sequence number conversion method |
JP2002335239A (en) * | 2001-05-09 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Method and system device for authenticating single sign- on |
JP2003244210A (en) * | 2002-02-13 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | Routing control method, routing controller, recording medium, and control program |
WO2005015422A1 (en) * | 2003-08-11 | 2005-02-17 | Sony Corporation | Authentication method, authentication system, and authentication server |
JP2006011989A (en) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | Authentication method, terminal device, repeater, and authentication server |
WO2006029663A1 (en) * | 2004-09-16 | 2006-03-23 | Matsushita Electric Industrial Co.,Ltd. | Fast context establishment for interworking in heterogeneous network |
-
2006
- 2006-05-31 JP JP2006152284A patent/JP4890105B2/en not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1070540A (en) * | 1996-08-27 | 1998-03-10 | Nec Corp | Radio terminal authentication method for radio network, and radio network |
JP2002247112A (en) * | 2001-02-20 | 2002-08-30 | Ntt Docomo Inc | Tcp repeater and sequence number conversion method |
JP2002335239A (en) * | 2001-05-09 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Method and system device for authenticating single sign- on |
JP2003244210A (en) * | 2002-02-13 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | Routing control method, routing controller, recording medium, and control program |
WO2005015422A1 (en) * | 2003-08-11 | 2005-02-17 | Sony Corporation | Authentication method, authentication system, and authentication server |
JP2006011989A (en) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | Authentication method, terminal device, repeater, and authentication server |
WO2006029663A1 (en) * | 2004-09-16 | 2006-03-23 | Matsushita Electric Industrial Co.,Ltd. | Fast context establishment for interworking in heterogeneous network |
JP2008514061A (en) * | 2004-09-16 | 2008-05-01 | 松下電器産業株式会社 | Fast context establishment for interworking in heterogeneous networks |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4892008B2 (en) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | Certificate authentication method, certificate issuing device, and authentication device |
US8775796B2 (en) | 2007-02-07 | 2014-07-08 | Nippon Telegraph And Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
JP2009245087A (en) * | 2008-03-31 | 2009-10-22 | Mitsubishi Electric Corp | Communication system and client device |
Also Published As
Publication number | Publication date |
---|---|
JP4890105B2 (en) | 2012-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8732815B2 (en) | System, method of authenticating information management, and computer-readable medium storing program | |
TWI380663B (en) | Method and system for secure binding register name identifier profile | |
US9165134B2 (en) | Method for providing authorized access to a service application in order to use a protected resource of an end user | |
JP4301482B2 (en) | Server, information processing apparatus, access control system and method thereof | |
KR100800339B1 (en) | Method and system for user-determined authentication and single-sign-on in a federated environment | |
JP5458888B2 (en) | Certificate generation / distribution system, certificate generation / distribution method, and program | |
US8504704B2 (en) | Distributed contact information management | |
JP5595586B2 (en) | Secure and efficient login and transaction authentication using iPhone ™ and other smart mobile communication devices | |
TWI439883B (en) | Digital rights management (drm)-enabled policy management for an identity provider in a federated environment | |
US7860882B2 (en) | Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations | |
US7240362B2 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
JP5980961B2 (en) | Multi-factor certificate authority | |
CN1941700B (en) | Granting privileges and sharing resources method in a telecommunications system | |
CN101567878B (en) | Method for improving safety of network ID authentication | |
US20130185784A1 (en) | Authority delegate system, server system in authority delegate system, and control method for controlling authority delegate system | |
JP5562143B2 (en) | Authority delegation system, authority delegation method, information processing apparatus, and program | |
JP2005516533A (en) | Single sign-on on the Internet using public key cryptography | |
JP2006512648A (en) | Method, data processing system, and computer program for managing user sessions (method and system for integrated sign-off in heterogeneous environments) | |
EP2936768A1 (en) | A system and method of dynamic issuance of privacy preserving credentials | |
US20140090027A1 (en) | Authorization server system, control method thereof, and storage medium | |
Bin et al. | Open identity management framework for SaaS ecosystem | |
JP2008282212A (en) | Authentication device and authentication system | |
JP4890105B2 (en) | Authentication device, authentication agent device, and user authentication method | |
JP2005301424A (en) | Distributed authentication system, load distribution device, authentication server, load distribution program, and authentication program | |
JP2005217679A (en) | Authentication server performing authentication of communication partner |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090416 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111012 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111018 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111213 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111214 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141222 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |