JP2008257492A - 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム - Google Patents

認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム Download PDF

Info

Publication number
JP2008257492A
JP2008257492A JP2007099083A JP2007099083A JP2008257492A JP 2008257492 A JP2008257492 A JP 2008257492A JP 2007099083 A JP2007099083 A JP 2007099083A JP 2007099083 A JP2007099083 A JP 2007099083A JP 2008257492 A JP2008257492 A JP 2008257492A
Authority
JP
Japan
Prior art keywords
authentication
information
processing
methods
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007099083A
Other languages
English (en)
Other versions
JP5125187B2 (ja
Inventor
Ryotaro Hayashi
良太郎 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2007099083A priority Critical patent/JP5125187B2/ja
Priority to US12/055,383 priority patent/US8561173B2/en
Publication of JP2008257492A publication Critical patent/JP2008257492A/ja
Application granted granted Critical
Publication of JP5125187B2 publication Critical patent/JP5125187B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

【課題】
複数の認証方法を提供して認証を行う場合に、当該複数の認証方法の中から利用者が認証を行う必要がある認証方法による認証を要求するようにした認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システムを提供する。
【解決手段】
クライアント10では、情報オブジェクトの利用に際しログイン処理を行う。ログイン処理では、情報処理サーバ20で提供される複数の認証方法の中から1または複数の認証方法を選択し認証を行なう。ここで、ログインが済み、クライアント10から所望の情報オブジェクトへのアクセスが試みられると、情報処理サーバ20では、認証済みの認証方法の情報(認証成功情報)等に基づき当該アクセスの可否を判定する。判定の結果、アクセス権限がないと判定された場合には、情報処理サーバ20は、当該アクセスに際して必要とされる認証方法による追加の認証をユーザに要求する。
【選択図】 図1

Description

本発明は、認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システムに関する。
システムが記憶する電子情報やシステムが提供する処理を利用する場合に、利用者が電子情報や処理を利用する権利を有していることを確認するために認証が行われることがある。その認証の方法については、パスワードによる認証、個人証明書による認証、指紋などの生体情報を用いた生体認証等、複数の方法が実現されている。
このような技術に関連して、例えば、特許文献1には、パスワード認証による情報オブジェクトへのアクセス規制、情報オブジェクトへのアクセス可能なユーザの制限、生体認証による本人照合、を行うことでセキュリティを高める技術について言及されている。
また、例えば、特許文献2には、認証の成功回数と各認証方法の順番とに基づき情報オブジェクトに対するアクセスを制御する技術について言及されている。
特開2004−005273号 特開平9−035030号
本発明は、複数の認証方法を提供して認証を行う場合に、当該複数の認証方法の中から利用者が認証を行う必要がある認証方法による認証を要求するようにした認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システムを提供することを目的とする。
上記目的を達成するため、請求項1の認証処理プログラムの発明は、コンピュータを、提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段、前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶部に記憶させる記憶処理手段、1つまたは複数の認証方法と対応付けられた電子情報に対する操作に際して、該電子情報と対応付けられた1つまたは複数の認証方法と前記記憶部に記憶された前記認証成功情報とに基づいて、該電子情報に対する操作を許可するか否かを判定する判定手段、前記判定手段により前記電子情報に対する前記操作を許可しないと判定された場合、該電子情報に対応付けられた1つまたは複数の認証方法の中から前記記憶部に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段として機能させる。
また、請求項2の発明は、請求項1の発明において、前記判定手段は、前記電子情報に対して操作を指示する操作者と前記電子情報に対する操作の種類のうちの少なくとも1つと、前記電子情報と対応付けられた認証方法と、前記認証成功情報とに基づいて、前記電子情報に対する操作を許可するか否かを判定する。
また、請求項3の発明は、請求項1または2の発明において、前記コンピュータを、操作者からの指示に応じて成功した認証を無効にした場合、無効にした該認証について認証が成功したことを示す前記認証成功情報を削除する第1の無効処理手段として更に機能させる。
また、請求項4の発明は、請求項1から3のいずれかの発明において、前記提供した複数の認証方法は、認証方法毎に認証の有効期限を有し、前記コンピュータを、前記有効期限に到達した認証を無効にした場合、無効にした該認証について認証が成功したことを示す前記認証成功情報を削除する第2の無効処理手段として更に機能させる。
また、請求項5の情報処理プログラムの発明は、コンピュータを、提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段、前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶部に記憶させる記憶処理手段、1つまたは複数の認証方法と対応付けられた処理要求に応じた処理、を実行する処理実行手段、前記処理実行手段による前記処理の実行に際して、該処理と対応付けられた1つまたは複数の認証方法と前記記憶部に記憶された前記認証成功情報とに基づいて、該処理の実行を許可するか否かを判定する判定手段、前記判定手段により前記処理の実行を許可しないと判定された場合、該処理に対応付けられた1つまたは複数の認証方法の中から前記記憶部に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段として機能させる。
また、請求項6の認証処理装置の発明は、提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段と、前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶する記憶手段と、1つまたは複数の認証方法と対応付けられた電子情報に対する操作に際して、該電子情報と対応付けられた1つまたは複数の認証方法と前記記憶手段に記憶された前記認証成功情報とに基づいて、該電子情報に対する操作を許可するか否かを判定する判定手段と、前記判定手段により前記電子情報に対する前記操作を許可しないと判定された場合、該電子情報に対応付けられた1または複数の認証方法の中から前記記憶手段で記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段とを具備する。
また、請求項7の情報処理システムの発明は、1つまたは複数の認証方法と対応付けられた電子情報を記憶する電子情報記憶手段と、提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段と、前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶する認証成功情報記憶手段と、前記電子情報記憶手段に記憶された前記電子情報に対する操作に際して、該電子情報と対応付けられた1つまたは複数の認証方法と前記認証成功情報記憶手段に記憶された前記認証成功情報とに基づいて、該電子情報に対する操作を許可するか否かを判定する判定手段と、前記判定手段により前記電子情報に対する前記操作を許可しないと判定された場合、該電子情報に対応付けられた1または複数の認証方法の中から前記認証成功情報記憶手段に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段とを具備する。
また、請求項8の情報処理システムの発明は、提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段と、前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶する記憶手段と、1つまたは複数の認証方法と対応付けられた処理要求に応じた処理、を実行する処理実行手段と、前記処理実行手段による前記処理の実行に際して、該処理と対応付けられた1つまたは複数の認証方法と前記記憶手段に記憶された前記認証成功情報とに基づいて、該処理の実行を許可するか否かを判定する判定手段と、前記判定手段により前記処理の実行を許可しないと判定された場合、該処理に対応付けられた1つまたは複数の認証方法の中から前記記憶手段に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段とを具備する。
本発明によれば、複数の認証方法を提供して認証を行う場合に、当該複数の認証方法の中から利用者が認証を行う必要がある認証方法による認証を要求することができるので、本構成を有しない場合と比較して、利用者が必要な認証を簡便に行うことができる。
以下、本発明に係わる認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システムの実施例について添付図面を参照して詳細に説明する。
図1は、本発明の実施の一形態に係わる認証処理システムの全体構成の一例を示す図である。
この認証処理システムでは、LAN(Local Area Network)やWAN(Wide Area Network)等で構成されたネットワーク40を介してクライアント10と、情報処理サーバ20とが接続される。なお、図1では、1台の情報処理サーバ20に対して複数台のクライアント10が接続されているが、これに限られず、情報処理サーバ20が複数台設けられていてもよいし、また、クライアント10が1台のみであってもよい。
クライアント10は、情報処理サーバ20で管理された情報オブジェクトにアクセスし情報オブジェクトを利用する。情報オブジェクトへのアクセスの種類には、閲覧、編集、削除、印刷等を要求するものがある。
クライアント10では、情報処理サーバ20へのログインを済ませた後、情報処理サーバ20で管理された情報オブジェクトにアクセスすることになる。情報オブジェクトへのアクセスの可否は、ログイン時、追加認証時に行われた1または複数の認証方法の組み合わせ等に基づき決められる。
クライアント10には、ユーザから入力される認証情報を受け付ける認証受付部11が設けられる。認証情報とは、例えば、パスワード認証の場合にはログイン名とパスワードを含む情報で構成され、個人証明書による認証の場合には第三者機関等により発行された個人証明書を含む情報で構成され、指紋認証の場合には指紋を撮像して得られた指紋画像データを含む情報で構成される。
情報処理サーバ20は、情報オブジェクトの管理、ユーザの認証、情報オブジェクトへのアクセス制御を含む処理を行う。ここで、図2を用いて、情報処理サーバ20の機能的な構成の例の一部について説明する。
情報処理サーバ20は、その機能構成として、認証要求部21と、認証処理部22と、プリンシパル管理部23と、ログイン情報記憶処理部24と、ログイン情報管理部25と、認証成功情報無効処理部26と、情報オブジェクト管理部27と、認証方法管理部28と、アクセス可否判定部29と、アクセス制御部30と、処理実行部31とを具備して構成される。
認証要求部21は、ユーザに認証を要求する機能を果たす。認証の要求は、ログイン時、追加認証時等に行われる。認証要求部21による認証の要求は、例えば、画面上に認証を要求するダイアログ等を表示することで行われる。
認証処理部22は、ユーザの認証を行う機能を果たす。認証処理部22は、複数の認証方法による認証に対応しており、ユーザは、当該複数の認証方法の中から1または複数の認証方法を選択して認証を行なうことになる。なお、認証処理部22における認証は、クライアント10から送られてくる認証情報と、後述するプリンシパル管理部23に管理された情報とを照合させることで行われる。
プリンシパル管理部23は、認証の照合に用いる情報を管理する機能を果たす。例えば、パスワード認証に際して照合に用いる情報は、ログイン名と当該ログイン名に対応する正規のパスワード等となる。
ログイン情報管理部25は、ログイン情報を記憶して管理する機能を果たす。ログイン情報の管理には、例えば、図3に示すログイン情報管理テーブルが用いられる。ログイン情報管理テーブルでは、ユーザを識別するための情報を示すユーザ識別子に対応して認証済み認証方法が管理される。また、認証済み認証方法には、認証に成功した認証方法を示す認証成功情報が1または複数管理される。この場合、ユーザAがパスワードによる認証、個人証明書による認証に成功した旨の情報がログイン情報として管理されている。なお、ユーザがログアウトした場合には、ログイン情報管理部25で管理されたログイン情報は無効になる。
ログイン情報記憶処理部24は、上記説明したログイン情報管理部25にログイン情報を記憶させる機能を果たす。すなわち、認証に成功した認証方法を示す認証成功情報と、当該認証を行なったユーザのユーザ識別子とを対応させたログイン情報を上記説明したログイン情報管理テーブルに記憶させる。
認証成功情報無効処理部26は、認証成功情報を無効にする機能を果たす。なお、本実施例における認証成功情報無効処理部26では、認証成功情報を削除することで当該認証成功情報を無効にする場合について説明するが、認証成功情報自体を削除せずに、当該認証成功情報が有効であるか否かのフラグ等をオン、オフさせることで認証成功情報を無効にするようにしてもよい。
情報オブジェクト管理部27は、各種情報オブジェクトを記憶して管理する機能を果たす。情報オブジェクトには、電子化された文書や画像、静止画、動画、音楽、音声といった電子情報全般が相当する。なお、本実施例においては、情報オブジェクト管理部27を情報処理サーバ20の機能的な構成の1つとし、情報オブジェクトをサーバ内で管理することになるが、これに限られず、情報オブジェクトを情報処理サーバ20外部に設けられた記憶手段等で管理するようにしてもよい。
認証方法管理部28は、情報オブジェクトへのアクセスに際して必要とされる認証方法を管理する機能を果たす。必要とされる認証方法(以下、要認証方法と言う)の管理には、例えば、図4に示す認証方法管理テーブルが用いられる。認証方法管理テーブルでは、情報オブジェクトを識別するための情報を示すオブジェクト識別子に対応して、当該オブジェクトへのアクセスに際して必要とされる1または複数の認証方法を示す要認証方法と、アクセス権限リストとが管理される。アクセス権限リストでは、各ユーザ(所定のユーザを括ったグループであってもよい)に対応して許可するアクセスの種類が規定される。この場合、オブジェクト1へのアクセスにはパスワードによる認証が必要となり、オブジェクト2へのアクセスにはパスワード、個人証明書による認証が必要となる。
アクセス可否判定部29は、情報オブジェクトへのアクセスに際して、当該情報オブジェクトに対するアクセスの可否を判定する機能を果たす。アクセス可否の判定は、ログイン情報管理テーブル(図3参照)と認証方法管理テーブル(図4参照)とに基づき行われる。すなわち、情報オブジェクトと対応付けられた1または複数の要認証方法(認証方法管理テーブル)と、認証成功情報(ログイン情報管理テーブル)とに基づいて情報オブジェクトに対するアクセスの可否を判定する。
アクセス制御部30は、アクセス可否判定部29の判定結果に基づき情報オブジェクトへのアクセスを制御する機能を果たす。具体的には、アクセス可否判定部29でアクセス不可と判定された場合にはアクセス権限が認められないため当該アクセスを禁止することになり、アクセス可否判定部29でアクセス可と判定された場合にはアクセス権限が認められるため当該アクセスを許可することになる。
処理実行部31は、クライアント10からのアクセスに応じた処理を実行する機能を果たす。なお、当該アクセスにアクセス権限がないと認められた場合には、上記説明したアクセス制御部30において、処理実行部31による処理は禁止されることになる。
以上が、図1に示す認証処理システムの構成についての説明である。上記説明した、クライアント10、情報処理サーバ20は、主制御手段としてのCPU(Central Processing Unit)等、出力手段としてのディスプレイ等、入力手段としてのキーボード、マウス等、外部記憶手段としてのHDD(Hard Disk Drive)等、主記憶手段としてのROM(Read Only Memoryや、RAM(Random Access Memory)等を具備し、これらがバスに接続されて構成される。なお、これら各構成手段は、外部記憶手段に記憶されたプログラムが主制御手段により実行されることで制御される。
次に、上記図1で説明した認証処理システムにおける動作について説明する。
まず、図5を用いて、クライアント10から情報処理サーバ20にログインする際の動作の流れの一例について説明する。
ログイン処理が開始されると(ステップS101)、情報処理サーバ20は、認証要求部21において、クライアント10を扱うユーザに認証を要求する(ステップS102)。この要求を受けたユーザが情報処理サーバ20により提供されている認証方法の中からいずれかの認証方法を選択し認証を行うと、その認証情報がクライアント10の認証受付部11において受け付けられた後、情報処理サーバ20へと送信される。
すると、認証情報を受信した情報処理サーバ20は、認証処理部22において、当該認証情報に基づく認証を行う(ステップS103)。認証の結果、認証情報が不正であった等の理由により認証に失敗した場合には(ステップS104でNO)、その旨がユーザへ通知された後(ステップS105)、ステップS102に戻り、再度認証が要求されることになる。なお、ユーザが認証処理の中止を指示した場合には、ステップS102には戻らずにこの処理は終了する。
認証に成功した場合には(ステップS104でYES)、これを受けたログイン情報記憶処理部24は、当該認証に成功した認証方法を示す認証成功情報と、当該ユーザのユーザ識別子とを対応させたログイン情報をログイン情報管理部25に記憶させる(ステップS106)。これにより、上記図3で説明したログイン情報管理テーブルにおいて、ユーザ識別子と認証成功情報とが対応付けて管理されることになる。
ここで更に、別の認証方法による認証を追加して行う旨がユーザに指示された場合には(ステップS107でNO)、ステップS102からステップS106の処理が再度実行されることになるが、認証を終了する旨がユーザに指示された場合には(ステップS107でYES)、ログイン処理が終了し(ステップS108)、この処理は終了する。
次に、図6を用いて、情報オブジェクトにアクセスする際の動作の流れの一例について説明する。
ログインを済ませたユーザが、クライアント10から情報処理サーバ20に管理された情報オブジェクトに対してアクセスを試みると、情報処理サーバ20において、そのアクセスが検出される(ステップS201)。
このアクセスを検出した情報処理サーバ20は、アクセス可否判定部29において、当該情報オブジェクトに対する当該アクセスの可否を判定する。判定の結果、情報オブジェクトへのアクセス権限が認められた場合には(ステップS203でYES)、当該情報オブジェクトに対するアクセスが許可され、処理実行部31において、当該アクセスに基づく処理が実行されることになるが(ステップS204)、情報オブジェクトへのアクセス権限が認められなかった場合には(ステップS203でNO)、これを受けた認証要求部21は、当該アクセスに際して必要とされる認証方法を検出し(ステップS205)、当該検出した認証方法による追加の認証をユーザに要求する(ステップS206)。この追加の認証について上記図4で説明した認証方法管理テーブルに管理された情報を用いて具体的に説明すると、ユーザAがパスワード認証しか済んでいない状態でオブジェクト2にアクセスした場合にこのような追加認証が要求されることになり、この場合で言うと、個人証明書による認証が追加して要求されることになる。
追加の認証を要求されたユーザが当該要求された認証方法による認証を行うと、認証処理部21において、当該認証情報に基づく認証が行われる(ステップS207)。なお、アクセス権限を得るために必要とされる認証が複数ある場合には、それに応じて複数回追加の認証が要求される。
ここで、ステップS207における認証に成功した場合には(ステップS208でYES)、当該認証方法による認証に成功したことを示す認証成功情報が追加してログイン情報管理部25に記憶された後、上記同様に当該アクセスに基づく処理が実行されることになるが(ステップS204)、認証に失敗した場合には(ステップS208でNO)、アクセス制御部30において、当該アクセスに基づく処理が禁止されるとともに(ステップS209)、認証に失敗した旨がユーザへ通知される(ステップS210)。その後、この処理は終了する。
次に、認証成功情報を無効にする際の動作の流れついて説明する。なお、ここでは、ユーザからの指示に基づき認証成功情報を無効にする場合と、各認証方法について有効期限を設け、当該期限経過後に自動的に認証成功情報を無効にする場合について説明する。
まず、図7を用いて、ユーザからの指示に基づき認証成功情報を無効にする際の動作の流れの一例について説明する。
ユーザがクライアント10から認証成功情報を選択し、当該認証成功情報を無効にする旨指示すると、当該無効指示が情報処理サーバ20に送られる。この指示を受けた情報処理サーバ20は、認証成功情報無効処理部26において、当該指示に基づく認証成功情報を削除する(ステップS301、ステップS302)。
次に、図8および図9を用いて、有効期限に基づき認証成功情報を無効にする場合について説明する。
ここでは、動作の説明に先立ってまず、有効期限に基づき認証成功情報を無効にする場合、上記説明した情報処理サーバ20の構成を変更する必要があるのでその点について説明する。上記構成からの変更点としては、ログイン情報管理部25で管理するログイン情報管理テーブルの構成にある。この場合、図8に示すログイン情報管理テーブルを用いる。図8に示すログイン情報管理テーブルでは、認証成功情報に対応して有効期限が追加して設けられる。有効期限は、各認証方法に対して予め設けられた所定の有効期間に基づき決められる。
ここで、図9を用いて、有効期限に基づき認証成功情報情報を無効する際の動作の流れの一例について説明する。
情報処理サーバ20は、認証成功情報無効処理部26において、ログイン情報管理テーブルを参照し、有効期限が経過した認証成功情報の確認を行う(ステップS401)。
確認の結果、有効期限が経過した認証成功情報がなければ(ステップS402でNO)、ステップS401の確認処理を再度実行することになるが、有効期限が経過した認証成功情報があれば(ステップS402でYES)、当該認証成功情報を削除した後(ステップS403)、ステップS401の確認処理を再度実行することになる。
以上が、実施例1についての説明である。なお、実施例1において説明した認証方法管理テーブル(図4参照)では、情報オブジェクトに対応して必要とされる認証方法を管理していたが、これに限られず、このテーブル構成を変更しアクセス制御を行うようにしてもよい。例えば、図10(a)に示すように、ユーザに対して必要とされる認証方法を管理してアクセス制御を行うようにしてもよい。また、例えば、図10(b)に示すように、アクセスの種類に対して必要とされる認証方法を管理してアクセス制御を行うようにしてもよいし、また、例えば、図10(c)に示すように、アクセス権限リストに対して必要とされる認証方法を管理してアクセス制御を行うようにしてもよいし、また、例えば、図10(d)に示すように、情報オブジェクトとアクセス権限リストとに対して必要とされる認証方法を管理してアクセス制御を行うようにしてもよい。ここでアクセス制御の一例として、銀行のATMやオンライン口座において図10(b)で説明したテーブルを用いてアクセス制御を行うとした場合、残高確認を要求するアクセスには暗証番号による認証を要求し、当該認証に成功した場合に残高確認処理の実行を制御するようにし、また、振込みを要求するアクセスには暗証番号と指紋とによる認証を要求し、当該認証に成功した場合に振込み処理の実行を制御するようにする、といったアクセス制御等が行える。
次に、実施例2について説明する。実施例2においては、認証方法各々に対して認証レベルを付与し、当該認証レベルに基づきアクセス制御を行う場合について説明する。
ここで、図11を用いて、実施例2に係わる情報処理サーバ20の機能的な構成の例の一部について説明する。なお、実施例1を説明した上記図2と同一の符号が付されているものは、同一であるためその説明を省略するものもある。
情報処理サーバ20は、その機能構成として、認証要求部21と、認証処理部22と、プリンシパル管理部23と、ログイン情報記憶処理部24と、ログイン情報管理部25と、認証成功情報無効処理部26と、情報オブジェクト管理部27と、認証方法管理部28と、アクセス可否判定部29と、アクセス制御部30と、処理実行部31と、認証レベル管理部32とを具備して構成される。
認証レベル管理部32は、認証方法各々に付与された認証レベルを管理する機能を果たす。認証レベルの管理には、例えば、図12に示す認証レベル管理テーブルが用いられる。認証レベル管理テーブルでは、認証方法に対応してその認証レベルが管理される。複数の認証方法が組み合わされた場合には、各認証方法に付与された認証レベルがそれぞれ加算されることになる。この場合、認証レベルの数値が大きいほど高いアクセス権限が得られることになり、パスワード認証の場合には認証レベル1、個人証明書認証の場合には認証レベル2、指紋認証の場合には認証レベル3が付与され、パスワード、個人証明書による認証を組み合わせた場合には認証レベル3、パスワード、個人証明書、指紋による認証を組み合わせた場合には認証レベル7が付与される。
また、これに伴って認証方法管理部28に管理される認証方法管理テーブルのテーブル構成は、例えば、図13に示す構成に変更される。すなわち、要認証方法に代わって要認証レベルが管理される。この場合、オブジェクト1へのアクセスには認証レベル1が得られるパスワード等による認証が必要となり、またオブジェクト2へのアクセスには認証レベル3が得られる指紋認証や、パスワード、個人証明書による認証の組み合わせが必要となる旨の情報が管理されている。オブジェクト2へのアクセスは、3以上の認証レベルが得られればよいため、パスワード、個人証明書、指紋を組み合わせた認証によってもアクセスが許可される。なお、実施例2における認証方法管理テーブルのテーブル構成も勿論、上記実施例1同様に変更することができる。例えば、図14に示すように、情報オブジェクトとアクセス権限リストとに対して要認証レベルを管理するようにしてもよい。この場合、ユーザAはパスワード認証を済ませればオブジェクト1を閲覧できるが、ユーザBの場合、パスワード認証を済ませたとしてもオブジェクト1を閲覧することはできない。ユーザBがオブジェクト1を閲覧するためには、認証レベル3が必要となるので、個人証明書または指紋による認証を追加して行わなければならない。
アクセス可否判定部29によるアクセス可否の判定は、上記図3で説明したログイン情報管理テーブル、図12で説明した認証レベル管理テーブル、図13で説明した認証方法管理テーブル、に基づき行われる。
以上が、実施例2についての説明である。なお、実施例2における認証処理システムの動作は基本的に実施例1と略同様となるため、その説明については省略する。
以上が本発明の代表的な実施形態の一例であるが、本発明は、上記および図面に示す実施例に限定することなく、その要旨を変更しない範囲内で適宜変形して実施できるものである。
例えば、上記実施例においては、情報管理サーバ20で認証を行っていたが、これに限られず、SSO(Single Sign-On)システムを導入し認証を行うようにしてもよいし、また、クライアント10内のアプリケーションで認証を行うようにしてもよい。
また、上記説明した情報処理サーバ20における処理を、コンピュータにインストールされたプログラムにより実施するように構成してもよい。なお、このプログラムは、ネットワーク等の通信手段により提供することはもちろん、CD−ROM等の記録媒体に管理して提供することも可能である。
本発明の実施の一形態に係わる認証処理システムの全体構成の一例を示す図である。 図1に示す情報処理サーバ20の機能的な構成の例の一部を示す図である。 ログイン情報管理テーブルのテーブル構成の一例を示す図である。 認証方法管理テーブルのテーブル構成の一例を示す図である。 図1に示す認証処理システムにおける第1の動作の一例を示すフローチャートである。 図1に示す認証処理システムにおける第2の動作の一例を示すフローチャートである。 図1に示す認証処理システムにおける第3の動作の一例を示すフローチャートである。 ログイン情報管理テーブルのテーブル構成の変形例の一例を示す図である。 図1に示す認証処理システムにおける第4の動作の一例を示すフローチャートである。 認証レベル管理テーブルのテーブル構成の変形例の一例を示す図である。 実施例2に係わる情報処理サーバ20の機能的な構成の例の一部を示す図である。 実施例2に係わる認証レベル管理テーブルのテーブル構成の一例を示す図である。 実施例2に係わる認証方法管理テーブルのテーブル構成の一例を示す図である。 実施例2に係わる認証レベル管理テーブルのテーブル構成の変形例の一例を示す図である。
符号の説明
10 クライアント
11 認証受付部
20 情報処理サーバ
21 認証要求部
22 認証処理部
23 プリンシパル管理部
24 ログイン情報記憶処理部
25 ログイン情報管理部
26 認証成功情報無効処理部
27 情報オブジェクト管理部
28 認証方法管理部
29 アクセス可否判定部
30 アクセス制御部
31 認証レベル管理部
32 処理実行部
40 ネットワーク

Claims (8)

  1. コンピュータを、
    提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段、
    前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶部に記憶させる記憶処理手段、
    1つまたは複数の認証方法と対応付けられた電子情報に対する操作に際して、該電子情報と対応付けられた1つまたは複数の認証方法と前記記憶部に記憶された前記認証成功情報とに基づいて、該電子情報に対する操作を許可するか否かを判定する判定手段、
    前記判定手段により前記電子情報に対する前記操作を許可しないと判定された場合、該電子情報に対応付けられた1つまたは複数の認証方法の中から前記記憶部に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段
    として機能させるための認証処理プログラム。
  2. 前記判定手段は、
    前記電子情報に対して操作を指示する操作者と前記電子情報に対する操作の種類のうちの少なくとも1つと、前記電子情報と対応付けられた認証方法と、前記認証成功情報とに基づいて、前記電子情報に対する操作を許可するか否かを判定する
    請求項1に記載の認証処理プログラム。
  3. 前記コンピュータを、
    操作者からの指示に応じて成功した認証を無効にした場合、無効にした該認証について認証が成功したことを示す前記認証成功情報を削除する第1の無効処理手段
    として更に機能させるための請求項1または2に記載の認証処理プログラム。
  4. 前記提供した複数の認証方法は、認証方法毎に認証の有効期限を有し、
    前記コンピュータを、
    前記有効期限に到達した認証を無効にした場合、無効にした該認証について認証が成功したことを示す前記認証成功情報を削除する第2の無効処理手段
    として更に機能させるための請求項1から3のいずれか一項に記載の認証処理プログラム。
  5. コンピュータを、
    提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段、
    前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶部に記憶させる記憶処理手段、
    1つまたは複数の認証方法と対応付けられた処理要求に応じた処理、を実行する処理実行手段、
    前記処理実行手段による前記処理の実行に際して、該処理と対応付けられた1つまたは複数の認証方法と前記記憶部に記憶された前記認証成功情報とに基づいて、該処理の実行を許可するか否かを判定する判定手段、
    前記判定手段により前記処理の実行を許可しないと判定された場合、該処理に対応付けられた1つまたは複数の認証方法の中から前記記憶部に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段
    として機能させるための情報処理プログラム。
  6. 提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段と、
    前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶する記憶手段と、
    1つまたは複数の認証方法と対応付けられた電子情報に対する操作に際して、該電子情報と対応付けられた1つまたは複数の認証方法と前記記憶手段に記憶された前記認証成功情報とに基づいて、該電子情報に対する操作を許可するか否かを判定する判定手段と、
    前記判定手段により前記電子情報に対する前記操作を許可しないと判定された場合、該電子情報に対応付けられた1または複数の認証方法の中から前記記憶手段で記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段と
    を具備する認証処理装置。
  7. 1つまたは複数の認証方法と対応付けられた電子情報を記憶する電子情報記憶手段と、
    提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段と、
    前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶する認証成功情報記憶手段と、
    前記電子情報記憶手段に記憶された前記電子情報に対する操作に際して、該電子情報と対応付けられた1つまたは複数の認証方法と前記認証成功情報記憶手段に記憶された前記認証成功情報とに基づいて、該電子情報に対する操作を許可するか否かを判定する判定手段と、
    前記判定手段により前記電子情報に対する前記操作を許可しないと判定された場合、該電子情報に対応付けられた1または複数の認証方法の中から前記認証成功情報記憶手段に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段と
    を具備する情報処理システム。
  8. 提供した複数の認証方法の中から選択された認証方法により認証を行う認証処理手段と、
    前記認証処理手段による認証が成功した場合、該認証に用いた認証方法で認証が成功したことを示す認証成功情報を記憶する記憶手段と、
    1つまたは複数の認証方法と対応付けられた処理要求に応じた処理、を実行する処理実行手段と、
    前記処理実行手段による前記処理の実行に際して、該処理と対応付けられた1つまたは複数の認証方法と前記記憶手段に記憶された前記認証成功情報とに基づいて、該処理の実行を許可するか否かを判定する判定手段と、
    前記判定手段により前記処理の実行を許可しないと判定された場合、該処理に対応付けられた1つまたは複数の認証方法の中から前記記憶手段に記憶された前記認証成功情報で認証が成功したことを示されていない認証方法を検出し、検出した認証方法による認証を要求する認証要求手段と
    を具備する情報処理システム。
JP2007099083A 2007-04-05 2007-04-05 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム Active JP5125187B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007099083A JP5125187B2 (ja) 2007-04-05 2007-04-05 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム
US12/055,383 US8561173B2 (en) 2007-04-05 2008-03-26 Authentication processing apparatus, authentication processing method, recording medium storing authentication processing program, recording medium storing information processing program and information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007099083A JP5125187B2 (ja) 2007-04-05 2007-04-05 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム

Publications (2)

Publication Number Publication Date
JP2008257492A true JP2008257492A (ja) 2008-10-23
JP5125187B2 JP5125187B2 (ja) 2013-01-23

Family

ID=39828147

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007099083A Active JP5125187B2 (ja) 2007-04-05 2007-04-05 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム

Country Status (2)

Country Link
US (1) US8561173B2 (ja)
JP (1) JP5125187B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010073364A1 (ja) * 2008-12-26 2010-07-01 富士通株式会社 情報処理装置、権限設定方法および権限設定プログラム
JP2011013891A (ja) * 2009-07-01 2011-01-20 Konica Minolta Holdings Inc 情報処理装置、認証処理を実行する方法、認証処理を設定する方法、および認証処理プログラム
JP2013175027A (ja) * 2012-02-24 2013-09-05 Yahoo Japan Corp アクセス管理システム
JP2015026334A (ja) * 2013-07-29 2015-02-05 株式会社リコー サービス提供システム、情報処理システム、利用制限方法及びプログラム
JP2015534138A (ja) * 2012-07-25 2015-11-26 ファイナンシャル・サービシーズ/インフォメーション・シェアリング・アンド・アナリシス・センターFinancial Services/Information Sharing & Analysis Center セキュアな認証及び情報の共有と分析のための方法及びシステム
JP2016502203A (ja) * 2012-12-10 2016-01-21 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited オンライン取引プラットフォームのアカウントを制御すること
JP2017054360A (ja) * 2015-09-10 2017-03-16 ローレルバンクマシン株式会社 機器セキュリティ管理装置、金融処理システム、機器セキュリティ管理方法及びプログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4672357B2 (ja) * 2004-12-20 2011-04-20 富士フイルム株式会社 認証システム
KR101094577B1 (ko) 2009-02-27 2011-12-19 주식회사 케이티 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말
CN102385672A (zh) * 2010-09-02 2012-03-21 杨丰源 拖曳式认证装置
WO2014128476A2 (en) * 2013-02-22 2014-08-28 Paul Simmonds Methods, apparatus and computer programs for entity authentication
US10606990B2 (en) * 2017-07-06 2020-03-31 Ebay Inc. Machine learning system for computing asset access

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001298779A (ja) * 2000-04-14 2001-10-26 Mitsubishi Electric Corp 携帯情報端末およびこれを用いたサービスシステム
JP2003216585A (ja) * 2002-01-18 2003-07-31 Dainippon Printing Co Ltd 認証アプリケーション、管理アプリケーション、要認証アプリケーション及びicカード
JP2005149093A (ja) * 2003-11-14 2005-06-09 Toppan Printing Co Ltd アクセス権制御機能付記憶装置、アクセス権制御機能付記憶装置の制御プログラム、アクセス権制御方法
JP2006072833A (ja) * 2004-09-03 2006-03-16 Fuji Xerox Co Ltd 認証装置および方法
JP2006163715A (ja) * 2004-12-06 2006-06-22 Shimizu Corp ユーザ認証システム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5469576A (en) * 1993-03-22 1995-11-21 International Business Machines Corporation Front end for file access controller
JPH0935030A (ja) 1995-07-14 1997-02-07 Dainippon Printing Co Ltd 携帯用情報記憶媒体
US5774551A (en) * 1995-08-07 1998-06-30 Sun Microsystems, Inc. Pluggable account management interface with unified login and logout and multiple user authentication services
US5884312A (en) * 1997-02-28 1999-03-16 Electronic Data Systems Corporation System and method for securely accessing information from disparate data sources through a network
US6845453B2 (en) * 1998-02-13 2005-01-18 Tecsec, Inc. Multiple factor-based user identification and authentication
US7134137B2 (en) * 2000-07-10 2006-11-07 Oracle International Corporation Providing data to applications from an access system
US7334031B2 (en) * 2001-01-12 2008-02-19 Siemens Medical Solutions Health Services Corporation System and user interface supporting processing and activity management for concurrently operating applications
US6976017B1 (en) * 2001-02-27 2005-12-13 Verizon Data Services Inc. Method and apparatus for context based querying
JP2004005273A (ja) 2002-05-31 2004-01-08 Ricoh Co Ltd 生体情報を用いる文書管理システム、生体情報を用いる文書管理方法及び該方法をコンピュータに実行させるプログラム
US7546630B2 (en) * 2003-07-17 2009-06-09 International Business Machines Corporation Methods, systems, and media to authenticate a user

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001298779A (ja) * 2000-04-14 2001-10-26 Mitsubishi Electric Corp 携帯情報端末およびこれを用いたサービスシステム
JP2003216585A (ja) * 2002-01-18 2003-07-31 Dainippon Printing Co Ltd 認証アプリケーション、管理アプリケーション、要認証アプリケーション及びicカード
JP2005149093A (ja) * 2003-11-14 2005-06-09 Toppan Printing Co Ltd アクセス権制御機能付記憶装置、アクセス権制御機能付記憶装置の制御プログラム、アクセス権制御方法
JP2006072833A (ja) * 2004-09-03 2006-03-16 Fuji Xerox Co Ltd 認証装置および方法
JP2006163715A (ja) * 2004-12-06 2006-06-22 Shimizu Corp ユーザ認証システム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010073364A1 (ja) * 2008-12-26 2010-07-01 富士通株式会社 情報処理装置、権限設定方法および権限設定プログラム
JP2011013891A (ja) * 2009-07-01 2011-01-20 Konica Minolta Holdings Inc 情報処理装置、認証処理を実行する方法、認証処理を設定する方法、および認証処理プログラム
JP2013175027A (ja) * 2012-02-24 2013-09-05 Yahoo Japan Corp アクセス管理システム
JP2015534138A (ja) * 2012-07-25 2015-11-26 ファイナンシャル・サービシーズ/インフォメーション・シェアリング・アンド・アナリシス・センターFinancial Services/Information Sharing & Analysis Center セキュアな認証及び情報の共有と分析のための方法及びシステム
JP2016502203A (ja) * 2012-12-10 2016-01-21 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited オンライン取引プラットフォームのアカウントを制御すること
JP2015026334A (ja) * 2013-07-29 2015-02-05 株式会社リコー サービス提供システム、情報処理システム、利用制限方法及びプログラム
JP2017054360A (ja) * 2015-09-10 2017-03-16 ローレルバンクマシン株式会社 機器セキュリティ管理装置、金融処理システム、機器セキュリティ管理方法及びプログラム
US10453064B2 (en) 2015-09-10 2019-10-22 Laurel Bank Machines Co., Ltd. Device security management apparatus, financial processing system, device security management method, and program

Also Published As

Publication number Publication date
JP5125187B2 (ja) 2013-01-23
US20080250495A1 (en) 2008-10-09
US8561173B2 (en) 2013-10-15

Similar Documents

Publication Publication Date Title
JP5125187B2 (ja) 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム
JP6124687B2 (ja) 画像形成装置、サーバー装置、情報処理方法及びプログラム
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
JP6643373B2 (ja) 情報処理システムと、その制御方法とプログラム
KR100920871B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
JP6675163B2 (ja) 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム
US20140230020A1 (en) Authorization server and client apparatus, server cooperative system, and token management method
US20100024015A1 (en) System and method for simplified login using an identity manager
JP5318719B2 (ja) 端末装置及び端末装置におけるアクセス制御ポリシー取得方法
JP6815744B2 (ja) サーバ装置、システム、情報処理方法及びプログラム
JPWO2016092630A1 (ja) 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム
JP2007156959A (ja) アクセス制御プログラムおよび情報処理装置およびアクセス制御方法
JP2011034462A (ja) 情報処理装置及びその処理方法
JP6871581B2 (ja) 認証管理方法及びシステム
JP5452374B2 (ja) 認証装置、認証方法及び認証プログラム
JP5734087B2 (ja) 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。
JP4738183B2 (ja) アクセス制御装置及びアクセス制御方法及びプログラム
JP2022113037A (ja) 多要素認証機能を備えた画像形成装置
JP6459270B2 (ja) 情報処理装置及びプログラム
JP2012118833A (ja) アクセス制御方法
JP2010097510A (ja) リモートアクセス管理システム及び方法
JP2020030759A (ja) 権限委譲システム、情報処理装置およびその制御方法、並びにプログラム。
JP4894241B2 (ja) コンピュータシステム、認証制御方法、プログラム及びサーバ・クライアントシステム
JP6918503B2 (ja) システム及び方法
JP2011022942A (ja) プログラム及び情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121002

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121015

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5125187

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151109

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350