JP2008059187A - プロキシを用いたネットワーク認証システム - Google Patents
プロキシを用いたネットワーク認証システム Download PDFInfo
- Publication number
- JP2008059187A JP2008059187A JP2006234268A JP2006234268A JP2008059187A JP 2008059187 A JP2008059187 A JP 2008059187A JP 2006234268 A JP2006234268 A JP 2006234268A JP 2006234268 A JP2006234268 A JP 2006234268A JP 2008059187 A JP2008059187 A JP 2008059187A
- Authority
- JP
- Japan
- Prior art keywords
- server
- proxy
- authentication
- network
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 ログイン認証に外部メディアを利用する際は、利用アプリケーションもしくはサーバーのログイン画面・処理に手を加える必要があるが、そのどちらにも手を加えずにそのまま利用することが可能なネットワークサービスを提供できるようにすること。
【解決手段】 プロキシと呼ばれる通信の中継プログラムをクライアントPC104上でネットワーク認証プロキシプログラム107として常駐動作させるか、又は必要に応じて必要に応じて実行して動作させて、クライアントPCからサーバー又はプロキシ装置に送信されるIDやパスワード等の認証情報を、外部メディア101から読み込んだ認証情報102に変更してからサーバー又はプロキシ装置109に送信する機能を組み込むことによりネットワークサービスのログイン認証を可能にする。
【選択図】 図1
【解決手段】 プロキシと呼ばれる通信の中継プログラムをクライアントPC104上でネットワーク認証プロキシプログラム107として常駐動作させるか、又は必要に応じて必要に応じて実行して動作させて、クライアントPCからサーバー又はプロキシ装置に送信されるIDやパスワード等の認証情報を、外部メディア101から読み込んだ認証情報102に変更してからサーバー又はプロキシ装置109に送信する機能を組み込むことによりネットワークサービスのログイン認証を可能にする。
【選択図】 図1
Description
本発明は、ネットワークサービスのログイン認証をクライアントPC上で動作するプロキシによって行うシステムに関するものである。
上記のプロキシ又はプロクシとは、IT用語のProxyを指し、代理サーバーを意味する。ネットワークに接続する場合、直接ネットワークサービスを提供するサーバーに接続しないで、この代理サーバーに接続することによって、一般的には、(1)ネットワークの負担を軽くする機能、(2)接続した者の身元を隠す機能等を期待して利用されている代理サーバーであるとされている。
しかし本発明においては、上記に加え(3)として、ネットワークセキュリティの見地から認証装置のような効果を期待してクライアントPC内で動作させるという新規な構成とした。
つまり従来の、インターネットや企業内イントラネットを用いて提供されるネットワークサービスにおいて、利用者を制限、または利用者の特定を目的としたログイン認証が行われることは一般的である。例えばWebブラウザに表示されたログイン画面から、IDやパスワード等の認証情報を利用者がキーボードから入力し、入力された認証情報がWebサーバーに送信され、Webサーバー上で認証情報の照合を行った結果、正しく認証された場合にのみWebサービス提供を可能としている。
これに対して、キーボードからIDやパスワード等の認証情報を利用者が入力する代わりに、ICカード等の外部メディアから認証情報を読み込んでサーバーに送信すると、利用者がIDやパスワード等の認証情報を記憶する必要がなく、また認証情報の記録されている外部メディアを持っていない限りログインできないようになるため、ログイン認証のセキュリティがより簡単にかつ強力となる。
従来のICカード認証を用いたネットワークシステムでは図3に示すように、認証情報302を記録したICカード301と、利用者用端末であるクライアントPC304と、クライアントPC304に対して情報提供を行うサーバーまたはプロキシ装置307とから構成される。
クライアントPC304はサーバーまたはプロキシ装置307から得る情報を利用するためのアプリケーション305と、クライアントPC304に接続されたICカードリーダライタ303とからなり、アプリケーション305はICカードリーダライタ303を通じてICカード301から認証情報302を読み出す機能を有している。
アプリケーション305は専用アプリケーション以外にWebブラウザのような汎用アプリケーションを利用する場合がある。Webブラウザのような汎用アプリケーションの場合、その汎用アプリケーションはICカードリーダライタ303を通じてICカード301から認証情報302を読み出す機能は有していないため、プラグインプログラムによる機能拡張やアプリケーション自体の改造を行わない限り、ICカードリーダライタ303等を通じてICカード301等から認証情報302を読み出すことはできない。
プロキシ装置を含むネットワークにおいてICカードを利用する技術は、例えば特開2002−55961や特開2002−298096に示されている。これらはいずれも、プロキシ装置はクライアントPCやサーバーとは物理的に別の機器としてネットワークの中間に存在するだけに過ぎず、ICカードへのアクセスはクライアントPC上で動作するアプリケーションの機能となっている点で、本発明の技術思想とは相違しており、本発明を開示ないし示唆しているとは言えない。
特開2002−55961号公報
特開2002−298096号公報
従来においては、例えばWebサービスにおいてWebブラウザからICカードの認証情報を読み込もうとすると、ログイン画面にICカードから認証情報を読み込むためのプラグインプログラムを埋め込んだり、Webブラウザ自体を改造するかWebブラウザ用ICカード読み取りプラグインを組み込んだりする必要があった。前者の場合には、サービスを提供しているサーバー上のログイン画面を変更してICカード読み取り用のプラグインを組み込まなければならなかった。
そればかりか、ICカードリーダライタ303は利用者のクライアントPC304に接続されているので、利用者の環境がサーバーの環境を左右してしまうという不都合が生じた。後者の場合には、改造やプラグインを組み込むWebブラウザを特定しなければならないため、利用者が自由に任意のWebブラウザを利用することができないという不都合が生じた。
Webサービス以外のネットワークサービスにおいても、同様に利用アプリケーションもしくはサーバーのログイン画面・処理になんらかの変更が必要とされていた。
前述のように従来技術ではログイン認証に外部メディアを利用する際は、利用アプリケーションもしくはサーバーのログイン画面・処理に手を加える必要があったが、そのどちらにも手を加えずにそのまま利用することが可能なネットワークサービスの外部メディアを用いたログイン認証技術を提供することが本発明の課題である。
本発明は、プロキシと呼ばれる通信の中継プログラムをクライアントPC上でネットワーク認証プロキシプログラムとして常駐動作させるか、又は必要に応じて必要に応じて実行して動作させ、クライアントPCからサーバーに送信されるIDやパスワード等の認証情報を、外部メディアから読み込んだ認証情報に変更してからサーバーに送信する機能を組み込むことにより、ネットワークサービスのログイン認証を可能とするものである。
本発明は、従来クライアントPCの利用アプリケーションで処理していた外部メディアからの認証情報読み取り機能を、クライアントPCの常駐プログラムとしたプロキシ、又は必要に応じて実行されるプログラムとしたプロキシに組み込むことにより、利用アプリケーション、サーバーのログイン画面・処理のどちらも変更せず、従来のID、パスワード等の認証情報をキーボードから入力する仕様のままで、外部メディアから認証情報を読み込んでログイン処理を行えるようにした。
このため、なりすまし防止や不法侵入防止のような、従来予期しなかったセキュリティ効果が得られることになり、併せて、認証装置や今後に後発的に開発される新規な防犯装置に対して容易に対応可能と言うような派生的な効果が得られる。
ネットワークサービスとしてはWebサービスが最も一般的であり、外部メディアはICカード等の第三者が容易に偽造することの出来ない装置を用いるのが最良の実施形態となる。
ただしネットワークサービスはログイン処理において認証情報を要求する任意のサービスを対象とすることができ、認証情報を得るための外部メディアとしてICカード以外に、メモリーカード、USBキー、ハードディスク等を利用することができ、また認証情報として指紋をはじめとした様々な生体情報を利用する生体認証機器も利用することが可能である。
以下、図面を参照して本発明の実施の形態を説明する。
図1は本発明の構成を示すブロック図である。本実施形態のプロキシを用いたネットワーク認証システムは、認証情報102を記録した外部メディア101と、利用者用端末であるクライアントPC104と、クライアントPC104に対して情報提供を行うサーバーまたはプロキシ装置109とを含んで構成される。
図1は本発明の構成を示すブロック図である。本実施形態のプロキシを用いたネットワーク認証システムは、認証情報102を記録した外部メディア101と、利用者用端末であるクライアントPC104と、クライアントPC104に対して情報提供を行うサーバーまたはプロキシ装置109とを含んで構成される。
クライアントPC104は、サーバーまたはプロキシ装置109から得る情報を利用するためのアプリケーション105と、クライアントPC104に接続された外部メディア読み取り装置103と、ネットワーク認証プロキシプログラム107とを含んで構成される。ネットワーク認証プロキシプログラムの一例として、クライアントPC上で動作するWebブラウザとインターネット又はイントラネットを介して接続されたWebサーバーの通信を中継する際、ログイン認証のための認証情報がICカードに記録された認証情報を、ICカード読取装置から読取り置き換えるものを例示する。
これは、Webブラウザから送信されたWebサーバーへの要求を中継する機能、Webサーバーから受信した要求に対する結果をWebブラウザへ中継する機能、WebブラウザからWebサーバーへの要求がログイン認証である場合、Webブラウザから受信した要求に含まれる認証情報をICカード読取り装置を介してICカードに記録された認証情報に置き換えるなどの機能を有する。
ネットワーク認証プロキシプログラム107は、クライアントPC104上で動作するプログラム、又はシステム常駐プログラムであり、アプリケーション105とサーバーまたはプロキシ装置109との通信の中継を行う機能(図2のステップ201、ステップ202、ステップ203、ステップ204、ステップ205、ステップ208、ステップ209、ステップ210)、および外部メディア読み取り装置103を通して外部メディア101に記録された認証情報102を読み出す機能(図2のステップ206)および、アプリケーション105から受信した認証情報を外部メディア101から読込んだ認証情報102に変更する機能(図2のステップ207)を有する。
図2に図示するように、ネットワーク認証プロキシプログラム107はアプリケーション105からログイン画面の要求を受信し(図2のステップ201)、サーバーまたはプロキシ装置109へログイン画面の要求を送信する(図2のステップ202)。
つづいて図2のステップ202でサーバーまたはプロキシ装置109に送信されたログイン画面要求の結果、サーバーまたはプロキシ装置109からログイン画面を受信し(図2のステップ203)、受信したログイン画面をアプリケーション105に送信する(図2のステップ204)。
利用者がログイン画面においてIDやパスワードに任意のデータを入力、もしくは未入力の状態で送信ボタンを押すと、クライアントPC内に常駐した、又は必要に応じて必要に応じて実行されたネットワーク認証プロキシプログラム107は、アプリケーション105からIDやパスワードの認証情報を受信する(図2のステップ205)。
ここで、常駐させた方が好都合な例は、利用するクライアントPCのメモリの容量やCPUの速度が十分でありネットワーク認証プロキシプログラムを常駐させるに十分な能力を有する場合であり、必要に応じて実行する方が好都合な例は、利用するクライアントPCのメモリの容量やCPUの速度が十分でなくネットワーク認証プロキシプログラムを常駐させるに十分な能力を有していない場合である。
次にネットワーク認証プロキシプログラム107は、外部メディア読み取り装置103を通して外部メディア101から認証情報102を読み取る(図2のステップ206)。
さらにネットワーク認証プロキシプログラム107は、アプリケーション105から受信した認証情報を外部メディア101から読込んだ認証情報102に変更し(図2のステップ207)、変更した認証情報102をサーバーまたはプロキシ装置109に送信する(図2のステップ208)。
最後にネットワーク認証プロキシプログラム107は、図2のステップ208で送信した認証情報102の結果、サーバーまたはプロキシ装置109からサービス開始画面を受信し(図2のステップ209)、受信したサービス開始画面をアプリケーション105に送信する。
インターネットやイントラネットを用いて提供される様々なネットワークサービスを受ける際の、利便性及び安全性の向上が大いに期待できるので、IT産業の進展に伴って利用可能性は益々増進するであろう。
101 外部メディア
102 外部メディアに格納された認証情報
103 外部メディア読み取り装置
104 クライアントPC
105 アプリケーション
106 PC内通信
107 ネットワーク認証プロキシプログラム
108 インターネットまたはイントラネット
109 サーバーまたはプロキシ装置
301 ICカード
302 ICカードに格納された認証情報
303 ICカードリーダライタ
304 クライアントPC
305 アプリケーション
306 インターネットまたはイントラネット
307 サーバーまたはプロキシ装置
102 外部メディアに格納された認証情報
103 外部メディア読み取り装置
104 クライアントPC
105 アプリケーション
106 PC内通信
107 ネットワーク認証プロキシプログラム
108 インターネットまたはイントラネット
109 サーバーまたはプロキシ装置
301 ICカード
302 ICカードに格納された認証情報
303 ICカードリーダライタ
304 クライアントPC
305 アプリケーション
306 インターネットまたはイントラネット
307 サーバーまたはプロキシ装置
Claims (4)
- インターネット又はイントラネットを介してサーバー又はプロキシ装置からのネットワークサービスを受けるため、クライアントPCからサーバー又はプロキシ装置に送信されるIDやパスワード等の認証情報を外部メデイアから読み込んだ認証情報に変更してからサーバー又はプロキシ装置に送信する機能を備えたネットワーク認証プロキシプログラムを、クライアントPC内に常駐させて、又は必要に応じて実行して運用するネットワーク認証システム。
- 上記クライアントPCは、アプリケーション105と、ネットワーク認証プロキシプログラム107と、外部メデイア読み取り装置103とを含んでなることを特徴とする請求項1記載のネットワーク認証システム。
- インターネット又はイントラネットを介してサーバー又はプロキシ装置からのネットワークサービスを受けるため、クライアントPCからサーバー又はプロキシ装置に送信されるIDやパスワード等の認証情報を、外部メデイアから読み込んだ認証情報に変更してからサーバー又はプロキシ装置に送信する機能を備えたネットワーク認証プロキシプログラムを常駐させ、当該ネットワークサービスへのログインに際して、クライアントPCから前記サーバー又はプロキシ装置上のネットワークサービスを有効化する認証情報を入力するようにしたネットワーク認証システム。
- インターネット又はイントラネットを介してサーバー又はプロキシ装置からのネットワークサービスを受けるため、クライアントPCからサーバー又はプロキシ装置に送信されるIDやパスワード等の認証情報を、外部メデイアから読み込んだ認証情報に変更してからサーバー又はプロキシ装置に送信する機能を備えたネットワーク認証プロキシプログラムを必要に応じて実行してから運用するようにして、当該ネットワークサービスへのログインに際して、クライアントPCから前記サーバー又はプロキシ装置上のネットワークサービスを有効化する認証情報を入力するようにしたネットワーク認証システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006234268A JP2008059187A (ja) | 2006-08-30 | 2006-08-30 | プロキシを用いたネットワーク認証システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006234268A JP2008059187A (ja) | 2006-08-30 | 2006-08-30 | プロキシを用いたネットワーク認証システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008059187A true JP2008059187A (ja) | 2008-03-13 |
Family
ID=39241864
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006234268A Pending JP2008059187A (ja) | 2006-08-30 | 2006-08-30 | プロキシを用いたネットワーク認証システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008059187A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011053812A (ja) * | 2009-08-31 | 2011-03-17 | Video Research:Kk | 調査システム、端末装置、調査サーバ、通信方法及び通信プログラム |
KR20110034622A (ko) * | 2008-05-30 | 2011-04-05 | 어데토 캐나다 코포레이션 | 자동설치(무인) 어플리케이션들을 위한 인증 데이터베이스 커넥티비티 |
JP2012164219A (ja) * | 2011-02-08 | 2012-08-30 | Canon Inc | 情報処理装置及びその制御方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006021865A1 (en) * | 2004-08-24 | 2006-03-02 | Axalto Sa | A personal token and a method for controlled authentication. |
-
2006
- 2006-08-30 JP JP2006234268A patent/JP2008059187A/ja active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006021865A1 (en) * | 2004-08-24 | 2006-03-02 | Axalto Sa | A personal token and a method for controlled authentication. |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110034622A (ko) * | 2008-05-30 | 2011-04-05 | 어데토 캐나다 코포레이션 | 자동설치(무인) 어플리케이션들을 위한 인증 데이터베이스 커넥티비티 |
CN102089767A (zh) * | 2008-05-30 | 2011-06-08 | 爱迪德加拿大公司 | 无人值守应用程序的经认证数据库连接 |
JP2011522315A (ja) * | 2008-05-30 | 2011-07-28 | イルデト・カナダ・コーポレイション | 無人のアプリケーションのための認証されたデータベース接続 |
US8839414B2 (en) | 2008-05-30 | 2014-09-16 | Irdeto Canada Corporation | Authenticated database connectivity for unattended applications |
KR101720160B1 (ko) * | 2008-05-30 | 2017-04-10 | 이르데토 비.브이. | 인간의 개입이 없는 어플리케이션들을 위한 인증 데이터베이스 커넥티비티 |
JP2011053812A (ja) * | 2009-08-31 | 2011-03-17 | Video Research:Kk | 調査システム、端末装置、調査サーバ、通信方法及び通信プログラム |
JP2012164219A (ja) * | 2011-02-08 | 2012-08-30 | Canon Inc | 情報処理装置及びその制御方法 |
US8893235B2 (en) | 2011-02-08 | 2014-11-18 | Canon Kabushiki Kaisha | Information processing apparatus, control method therefor, and storage medium storing program thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20050240712A1 (en) | Remote USB security system and method | |
CN104903904B (zh) | 用于资源请求的条形码认证 | |
JP5619007B2 (ja) | サーバ・オペレーションの認可を行うための装置、システムおよびコンピュータ・プログラム | |
US7159121B2 (en) | Transmission of information to a reproduction device having user identification by organism information of a specified type | |
JP2007102778A (ja) | ユーザ認証システムおよびその方法 | |
JP2009032070A (ja) | 認証システム及び認証方法 | |
CN102469080A (zh) | 实现通行证用户安全登录应用客户端的方法和系统 | |
JP7278802B2 (ja) | サービス利用装置、方法、及びプログラム | |
US20170288870A1 (en) | Methods and systems of securing and retrieving secret information | |
JP2008181178A (ja) | ネットワーク出力システム、認証情報登録方法、および認証情報登録プログラム | |
JP5129559B2 (ja) | セキュリティ管理システム、セキュリティ管理方法、情報処理端末装置及び認証用装置 | |
JP4979210B2 (ja) | ログイン情報管理装置及び方法 | |
JP2008059187A (ja) | プロキシを用いたネットワーク認証システム | |
EP3410332B1 (en) | A system and method for transferring data to an authentication device | |
KR20140043836A (ko) | 지문 정보를 이용하는 통신 시스템 및 이러한 통신 시스템의 사용법 | |
JP5347417B2 (ja) | Icカードシステム、その上位機器、プログラム | |
JP2001148753A5 (ja) | 画像処理装置 | |
JP7321788B2 (ja) | 閲覧管理サーバ、閲覧管理方法、および閲覧管理システム | |
JP2005128741A (ja) | 携帯型外部記憶装置 | |
JP5265658B2 (ja) | ログイン認証装置、ログイン認証方法及びプログラム | |
JP4889418B2 (ja) | 秘密情報受渡方法 | |
JP2007065789A (ja) | 認証システム及び方法 | |
JP4475576B2 (ja) | ネットワーク印刷システム、印刷データ授受方法およびサーバコンピュータ用プログラム | |
JP4957436B2 (ja) | ポータルシステム並びにその制御方法、プログラム及び記録媒体 | |
JP2017154492A (ja) | 機器、認証システム、サーバ装置、及び認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081006 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101221 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110412 |