JP2008269220A - Authentication transfer system, authentication transfer method, terminal device and authentication server - Google Patents

Authentication transfer system, authentication transfer method, terminal device and authentication server Download PDF

Info

Publication number
JP2008269220A
JP2008269220A JP2007110430A JP2007110430A JP2008269220A JP 2008269220 A JP2008269220 A JP 2008269220A JP 2007110430 A JP2007110430 A JP 2007110430A JP 2007110430 A JP2007110430 A JP 2007110430A JP 2008269220 A JP2008269220 A JP 2008269220A
Authority
JP
Japan
Prior art keywords
authentication
agent
application
access management
management information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007110430A
Other languages
Japanese (ja)
Inventor
Gen Okuyama
玄 奥山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007110430A priority Critical patent/JP2008269220A/en
Publication of JP2008269220A publication Critical patent/JP2008269220A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an authentication system and authentication method, capable of flexibly responding to authentication needed for use of a service and rapidly performing authentication processing even in an environment where a plurality of different authentication protocols by a plurality of authentication servers is used, and an authentication condition is differed depending on a client, a user of the client or an application. <P>SOLUTION: A request receiving part 202 determines whether authentication in an authentication server has been performed in the past or not. When the determination result is affirmative, an agent control part 204 activates, in response to a request from the request receiving part 202, a corresponding agent. The agent activated by the agent control part 204 performs preset authentication processing based on access management information. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、認証委譲システム及び認証委譲方法に関し、特にダウンロードしたアプリケーションに適用することができる認証委譲システム及び認証委譲方法並びに端末装置及び認証サーバに関する。   The present invention relates to an authentication delegation system and an authentication delegation method, and more particularly to an authentication delegation system, an authentication delegation method, a terminal device, and an authentication server that can be applied to a downloaded application.

従来より、サーバ・クライアント型の認証方式が使用されている。ユーザあるいはアプリケーションが特定の機能を使用する際に、クライアントはネットワーク上のサーバ(以下、認証サーバ)に伺いをたて、決められた制限内で機能を使用するという方式である。しかしながら、この方式では、特定の機能を使用するたびに認証サーバに接続しなければならず、このための時間及び料金が必要となり、また、ネットワークに接続していない場合は機能を使用することができないという問題点があった。   Conventionally, a server / client type authentication method has been used. When a user or an application uses a specific function, the client asks a server on the network (hereinafter referred to as an authentication server) and uses the function within a predetermined limit. However, with this method, it is necessary to connect to the authentication server each time a specific function is used, and this requires time and fees. In addition, if the function is not connected to the network, the function may be used. There was a problem that it was not possible.

このような従来の問題を解決するための技術(方法)が提案されている(特許文献1参照)。この方法では、認証情報をクライアント(クライアントマシン)に保存しておき、認証処理時にネットワークに接続できない場合は、クライアント内で認証処理を行うことで、上述した問題を解消している。   A technique (method) for solving such a conventional problem has been proposed (see Patent Document 1). In this method, authentication information is stored in the client (client machine), and if the connection to the network is not possible during the authentication process, the authentication process is performed in the client to solve the above-described problem.

図12は、上述した特許文献1の方法を実現するためのクライアントマシンにおけるアプリケーション管理クライアント41の構成を示す構成図である。この動作について説明すると、クライアント内で認証処理を行う際、まず、クライアント側認証部51が、ログインフォーム59を表示デバイス42に表示し、クライアントのユーザにユーザ認証に必要な情報の入力を求める。この結果、ユーザの操作により所定の情報が入力されると、クライアント側認証部51が、ログインフォーム59に入力デバイス43を通じてクライアントのユーザが入力した入力情報と、認証情報52を比較してユーザ認証を行う。   FIG. 12 is a configuration diagram showing the configuration of the application management client 41 in the client machine for realizing the method of Patent Document 1 described above. To explain this operation, when performing authentication processing in the client, first, the client side authentication unit 51 displays the login form 59 on the display device 42 and requests the client user to input information necessary for user authentication. As a result, when predetermined information is input by the user's operation, the client-side authentication unit 51 compares the input information input by the client user to the login form 59 through the input device 43 and the authentication information 52 to perform user authentication. I do.

また、クライアント端末からのサービス認証要求を受け付け認証処理を経てエージェント認証証明書を発行し、クライアント端末からのサービス利用要求を受け付け、当該サービス利用要求に添付された認証証明書が正当なものであれば、クライアント端末又はユーザが指定した第一サーバの第一サーバ認証証明書を内部保持する認証情報を用いて第一サーバSから取得するか、又は、前に取得済みであれば以前取得した第一サーバ認証証明書を必要に応じて取り出し、当該取得した又は当該取り出したサーバ認証証明書を提示してサービス利用要求を第一サーバに行い、第一サーバからの送信結果をクライアント端末に返却する技術も提案されている(特許文献2参照)。この技術によれば、クライアント端末による複数のサーバへの処理依頼時に、二回以上の認証作業が不要となり、クライアント端末自体が、複数サーバへアクセスする為に必要な情報を保持する必要が無くなる。   Also, it accepts service authentication requests from client terminals, issues an agent authentication certificate through authentication processing, accepts service use requests from client terminals, and if the authentication certificate attached to the service use request is valid For example, the first server authentication certificate of the first server designated by the client terminal or the user is acquired from the first server S using the authentication information internally held, or the first acquired if previously acquired Take out one server authentication certificate as necessary, present the acquired or taken out server authentication certificate, make a service use request to the first server, and return the transmission result from the first server to the client terminal Technology has also been proposed (see Patent Document 2). According to this technique, when a client terminal requests processing to a plurality of servers, authentication work is not required twice or more, and the client terminal itself does not need to hold information necessary for accessing the plurality of servers.

特開2005−141427号公報JP 2005-141427 A 特開2002−324049号公報JP 2002-324049 A

しかしながら、従来の技術においては、次に示すような問題があった。まず、第1の問題点は、サービスを利用するための認証処理が固定であり、柔軟性がないということである。この理由は、従来の技術では、ユーザの操作により入力されるIDとパスワードによる認証処理が前提となっているためである(例えば特許文献1、段落0042又は0159など参照)。   However, the conventional technique has the following problems. First, the first problem is that the authentication process for using the service is fixed and not flexible. This is because the conventional technology presupposes an authentication process using an ID and a password input by a user operation (see, for example, Patent Document 1, paragraph 0042 or 0159).

一般的に、認証処理は認証サーバによって認証プロトコルが異なるため、クライアントは複数の認証サーバに対応する必要があり、上述のような認証処理が前提となっていると、複数の認証サーバや認証処理に対応することが困難である。例えば、ある認証サーバでは、IDとパスワード以外に名前などの情報を求める場合があり、他の認証サーバでは、IDとパスワードは必要ないが機能を使用許可する回数や期間のみを設定する場合もある。また、クライアント,クライアントのユーザ,あるいはアプリケーションごとにより、認証処理や認証の条件が異なるため、これらの諸条件も考慮したシステムにする必要がある。   Generally, the authentication protocol differs depending on the authentication server, so the client needs to support a plurality of authentication servers. If the above authentication process is assumed, a plurality of authentication servers and authentication processes It is difficult to deal with For example, some authentication servers may ask for information such as names in addition to IDs and passwords, while other authentication servers do not require IDs and passwords, but may only set the number of times or the period for which the function is allowed to be used. . In addition, since the authentication process and the authentication conditions differ depending on the client, the client user, and the application, it is necessary to set the system in consideration of these conditions.

次に、第2の問題点は、認証のための時間がかかるということである。この理由は、従来の技術では、認証時にネットワークに接続できない場合に、クライアント内での認証処理が行われるためである(特許文献1、段落0157など参照)。このため、ネットワークに接続できないと判断するまでの時間を要する。また、従来の技術(特許文献2)では、サービスの利用のためには利用の都度サーバに接続することになり、サービスを利用するために時間を要する。   Next, the second problem is that it takes time for authentication. This is because in the conventional technique, authentication processing is performed in the client when connection to the network is not possible at the time of authentication (see Patent Document 1, paragraph 0157, etc.). For this reason, it takes time to determine that connection to the network is impossible. Further, in the conventional technique (Patent Document 2), the service is connected to the server every time it is used, and it takes time to use the service.

本発明は、以上のような問題点を解消するためになされたものであり、その目的は、複数の認証サーバによる異なる複数の認証プロトコルが用いられ、また、クライアント,クライアントのユーザ,あるいはアプリケーションによって認証条件が異なる環境下においても、サービスの利用に必要な認証が柔軟に対応でき、また、迅速に認証処理をすることができる認証システム及び認証方法を提供することにある。   The present invention has been made in order to solve the above-described problems. The object of the present invention is to use a plurality of different authentication protocols by a plurality of authentication servers, and depending on a client, a client user, or an application. An object of the present invention is to provide an authentication system and an authentication method capable of flexibly dealing with authentication required for use of a service even in an environment with different authentication conditions and capable of promptly performing authentication processing.

本発明に係る認証委譲システムは、ネットワークを介して接続された端末装置,認証サーバ,及びアプリケーション配信サーバを備え、端末装置は、アプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、アプリケーションの実行動作を制御するアプリケーション制御部と、認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、認証サーバより受け付けたエージェントを格納するとともに、認証判定手段による認証がすでにされていることの判定で、アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段とを少なくとも備え、認証サーバは、端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、端末装置において認証を行うエージェントを生成するエージェント生成手段と、エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を端末装置に送出するサーバ通信制御手段とを少なくとも備え、エージェント生成手段は、端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとにエージェントを生成し、端末装置において、エージェントは、端末装置記憶部に記憶されている対応するアクセス管理情報をもとに認証を行うようにしたものである。   An authentication delegation system according to the present invention includes a terminal device, an authentication server, and an application distribution server connected via a network, and the terminal device uses the application distribution server to execute applications and application service information. Corresponding to the terminal device communication control means to download the attribute file consisting of, the application control unit to control the execution operation of the application, and the agent that is accepted from the authentication server and authenticates the service required when the application is executed Authentication determination for determining that the authentication of the service required when the application control unit executes the application downloaded by the communication control means and the terminal device storage unit that stores the access management information to be performed In addition, the agent control that stores the agent received from the authentication server and activates the agent that authenticates the service requested by the application executed by the application control unit by determining that the authentication determination unit has already authenticated. And an agent generating means for receiving an authentication request for a service from the terminal device and generating an agent for performing authentication in the terminal device based on access management information provided in advance. At least an agent generated by the agent generating means and a server communication control means for sending the access management information used for generating the agent to the terminal device. The agent generating means responds to the authentication request received from the terminal device. Corresponding Generating an agent based on the access management information, in the terminal device, the agent is obtained to perform authentication based on the corresponding access management information stored in the terminal device storage unit.

上記認証委譲システムにおいて、端末装置は、認証判定手段による、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う認証要求手段を備える。また、エージェントは、対応するアクセス管理情報が備える使用制限情報をもとに、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する。この場合、認証サーバは、エージェントからの認証の要求により、エージェントに対応する新たなアクセス管理情報を端末装置に送出する。   In the authentication delegation system, the terminal device determines that the service requested when the application control unit executes the application downloaded by the communication control unit by the authentication determination unit is not yet authenticated to the authentication server. Authentication request means for requesting authentication for the service is provided. In addition, the agent requests authentication from the authentication server based on the use restriction information included in the corresponding access management information, and as a result of this request, the agent handles the new access management information received from the authentication server. Updated as access management information. In this case, the authentication server sends new access management information corresponding to the agent to the terminal device in response to an authentication request from the agent.

また、本発明に係る認証委譲方法は、ネットワークを介して接続されたアプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードし、ネットワークを介して接続された認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶し、アプリケーション配信サーバよりダウンロードしたアプリケーションを実行したときに要求されるサービスの認証が既にされていることの判定で、実行されたアプリケーションが要求するサービスの認証を行うエージェントを起動し、起動したエージェントに対応するアクセス管理情報をもとにしたエージェントの動作により認証を行うようにしたものである。   In addition, the authentication delegation method according to the present invention downloads an attribute file composed of an application and service information used when the application is executed from an application distribution server connected via the network, and is connected via the network. Stores access management information corresponding to an agent that is accepted from the authentication server and authenticates the service requested when the application is executed, and authenticates the service requested when the application downloaded from the application distribution server is executed. In response to the action of the agent based on the access management information corresponding to the started agent, the agent that authenticates the service requested by the executed application is started. It is obtained to carry out the testimony.

上記認証委譲方法において、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う。また、起動したエージェントに対応するアクセス管理情報が備える使用制限情報をもとにしたエージェントの動作により、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新するようにしてもよい。   In the above authentication delegation method, a request for authentication of the service is made to the authentication server by determining that the service requested when the application control unit executes the application downloaded by the communication control means is not yet authenticated. . In addition, authentication is requested to the authentication server by the agent action based on the usage restriction information included in the access management information corresponding to the activated agent, and the new access management received from the authentication server as a result of this request. The information may be updated as access management information corresponding to itself.

また、本発明に係る端末装置は、ネットワークを介して接続するアプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、アプリケーションの実行動作を制御するアプリケーション制御部と、ネットワークを介して接続された認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、認証サーバより受け付けたエージェントを格納するとともに、認証判定手段による認証がすでにされていることの判定で、アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段とを少なくとも備え、エージェントは、予め備えられているアクセス管理情報をもとに生成されたものであり、エージェントは、端末装置記憶部に記憶されている対応するアクセス管理情報をもとに認証を行うものである。   In addition, the terminal device according to the present invention includes a terminal device communication control unit that downloads an attribute file including information on an application and a service used when the application is executed from an application distribution server connected via a network, and execution of the application. An application control unit that controls operations, and a terminal device storage that stores access management information corresponding to an agent that authenticates a service required when an application is executed, received from an authentication server connected via a network An authentication determination unit that determines that the service requested when the application control unit executes the application downloaded by the communication control unit, and an agent received from the authentication server. And at least agent control means for starting an agent that authenticates the service requested by the application executed by the application control unit when it is determined that authentication by the authentication determination means has already been performed. The agent is generated based on the access management information provided, and the agent performs authentication based on the corresponding access management information stored in the terminal device storage unit.

上記端末装置において、認証判定手段による、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う認証要求手段を備える。また、エージェントは、対応するアクセス管理情報が備える使用制限情報をもとに、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する。   In the above terminal device, the authentication determining means authenticates the service to the authentication server by determining that the service requested when the application control unit executes the application downloaded by the communication control means has not yet been authenticated. Authentication request means for making the above request. In addition, the agent requests authentication from the authentication server based on the use restriction information included in the corresponding access management information, and as a result of this request, the agent handles the new access management information received from the authentication server. Updated as access management information.

また、本発明に係る認証サーバは、ネットワークを介して接続された端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、端末装置において認証を行うエージェントを生成するエージェント生成手段と、エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を端末装置に送出するサーバ通信制御手段とを少なくとも備え、エージェント生成手段は、端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとにエージェントを生成するようにしたものである。   The authentication server according to the present invention receives an authentication request for a service from a terminal device connected via a network, and performs authentication in the terminal device based on access management information provided in advance. Agent generating means, and an agent generated by the agent generating means and server communication control means for sending access management information used to generate the agent to the terminal device, the agent generating means comprising the terminal device The agent is generated based on the access management information corresponding to the accepted authentication request.

以上説明したように、本発明によれば、対応するアクセス管理情報をもとにしたエージェントの動作により、アプリケーションが実行されるときに要求されるサービスの認証を行うようにし、この認証が既に行われていることが判定された場合は、端末装置が備えるエージェントを起動させることで認証を行うようにしたので、複数の認証サーバによる異なる複数の認証プロトコルが用いられ、また、クライアント,クライアントのユーザ,あるいはアプリケーションによって認証条件が異なる環境下においても、サービスの利用に必要な認証が柔軟に対応でき、また、迅速に認証処理をすることができるようになるという優れた効果が得られる。   As described above, according to the present invention, the service required when the application is executed is authenticated by the operation of the agent based on the corresponding access management information, and this authentication has already been performed. Authentication is performed by activating an agent provided in the terminal device, a plurality of different authentication protocols by a plurality of authentication servers are used, and clients and client users Even in an environment where the authentication conditions differ depending on the application, it is possible to flexibly cope with the authentication necessary for using the service, and it is possible to obtain an excellent effect that authentication processing can be performed quickly.

以下、本発明の実施の形態について図を参照して説明する。図1は、本発明の実施の形態における認証委譲システムの構成例を示す構成図であり、本システムは、複数の認証サーバ100と、携帯端末(端末装置)200と、アプリケーションサーバ(アプリケーション配信サーバ)300とから構成される。例えば、各認証サーバ100は、各々異なる認証プロトコルが用いられている。これらは、例えばインターネットなどのネットワークにより接続されている。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a configuration diagram showing a configuration example of an authentication delegation system according to an embodiment of the present invention. This system includes a plurality of authentication servers 100, a portable terminal (terminal device) 200, and an application server (application distribution server). ) 300. For example, each authentication server 100 uses a different authentication protocol. These are connected by a network such as the Internet.

認証サーバ100は、通信制御部101と、記憶装置(サーバ記憶部)102と、アクセス制御部103と、エージェント生成部104とから構成される。通信制御部101は、携帯端末200からの要求を受け付ける機能を備える。また、エージェント生成部104が生成したエージェント、及びアクセス制御部103が取得したアクセス管理情報を携帯端末200へ送信する機能を備える。記憶装置102は、携帯端末200の情報及びサービスの情報を含む管理テーブルを格納する。アクセス制御部103は、記憶装置102が格納している管理テーブルを参照し、携帯端末200から送信されてくる要求に対応したアクセス管理情報を取得する機能を備える。エージェント生成部104は、アクセス制御部103が取得したアクセス管理情報を基に、所定の処理を実行するプログラム及びデータで構成されるエージェントを生成する機能を備える。従って、エージェントは、アクセス制御情報もとに、認証処理の実行処理を行う。   The authentication server 100 includes a communication control unit 101, a storage device (server storage unit) 102, an access control unit 103, and an agent generation unit 104. The communication control unit 101 has a function of receiving a request from the mobile terminal 200. In addition, a function of transmitting the agent generated by the agent generation unit 104 and the access management information acquired by the access control unit 103 to the mobile terminal 200 is provided. The storage device 102 stores a management table including information on the mobile terminal 200 and service information. The access control unit 103 has a function of referring to a management table stored in the storage device 102 and acquiring access management information corresponding to a request transmitted from the mobile terminal 200. The agent generation unit 104 has a function of generating an agent composed of a program and data for executing a predetermined process based on the access management information acquired by the access control unit 103. Therefore, the agent performs an authentication process based on the access control information.

携帯端末200は、通信制御部201と、要求受付部202と、アプリケーション制御部203と、エージェント制御部204と、記憶装置(端末記憶部)205と、サービス群206とから構成される。通信制御部201は、要求受付部202からの情報を基に認証サーバ100と通信する機能を備える。また、認証サーバ100から送信されてくるエージェント及びアクセス管理情報を受信する機能を備える。さらに、アプリケーションサーバ300からアプリケーション及び属性ファイルをダウンロードする機能を備える。要求受付部202は、アプリケーション制御部203からの要求を受け、記憶装置205内のアクセス要求情報を基に、受け付けた要求を通信制御部201又はエージェント制御部204へ渡す機能を備える。また、記憶装置205内のアクセス要求情報を作成・更新する機能を備える。   The portable terminal 200 includes a communication control unit 201, a request reception unit 202, an application control unit 203, an agent control unit 204, a storage device (terminal storage unit) 205, and a service group 206. The communication control unit 201 has a function of communicating with the authentication server 100 based on information from the request reception unit 202. In addition, a function of receiving an agent and access management information transmitted from the authentication server 100 is provided. Furthermore, a function of downloading an application and an attribute file from the application server 300 is provided. The request reception unit 202 has a function of receiving a request from the application control unit 203 and passing the received request to the communication control unit 201 or the agent control unit 204 based on access request information in the storage device 205. In addition, a function of creating / updating access request information in the storage device 205 is provided.

アプリケーション制御部203は、アプリケーションの起動及び終了などのライフサイクル(実行動作)を管理する機能を備える。また、アプリケーションからのサービス要求を受けて、これを要求受付部202へと渡す機能を備える。さらに、サービス群206を管理し、アプリケーションにサービスを提供する機能を備える。エージェント制御部204は、認証サーバ100から送信されて受信されたエージェントを格納し、また、要求受付部202からの要求を受け、対応するエージェントを起動する機能を備える。   The application control unit 203 has a function of managing a life cycle (execution operation) such as activation and termination of an application. Further, it has a function of receiving a service request from an application and passing it to the request receiving unit 202. Furthermore, it has a function of managing the service group 206 and providing a service to an application. The agent control unit 204 has a function of storing an agent transmitted from the authentication server 100 and receiving a request from the request receiving unit 202 and starting a corresponding agent.

記憶装置205は、認証サーバ100から送信されてくるアクセス管理情報、アプリケーションサーバ300からダウンロードしたアプリケーション及び属性ファイル、さらに要求受付部202によって作成されるアクセス要求情報を格納する装置である。また、サービス群206は、ファイルシステムやストレージなどのハードウェアリソース又はイメージファイルや動画ファイルなどのデータを含むサービスを管理する。   The storage device 205 is a device that stores access management information transmitted from the authentication server 100, applications and attribute files downloaded from the application server 300, and access request information created by the request receiving unit 202. The service group 206 manages services including hardware resources such as a file system and storage, or data such as image files and moving image files.

次に、図1及び図2、図3、図4のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。   Next, the overall operation of the present embodiment will be described in detail with reference to the flowcharts of FIGS. 1, 2, 3, and 4.

はじめに、携帯端末200内におけるサービス要求処理について、図2のフローチャートを用いて説明する。まず、ユーザによる携帯端末200の操作で起動したアプリケーションは、実行時にファイルシステムなどのサービスへのアクセスを要求する(ステップS21)。この要求の際、アプリケーション制御部203は、要求元のアプリケーション名と要求するサービス名を要求受付部202へと渡す。ここで、アプリケーション名及びサービス名は、名前でなくてもよく、アプリケーション及びサービスが特定できる情報であればよい。   First, service request processing in the mobile terminal 200 will be described with reference to the flowchart of FIG. First, an application activated by a user's operation of the mobile terminal 200 requests access to a service such as a file system at the time of execution (step S21). At the time of this request, the application control unit 203 passes the request source application name and the requested service name to the request reception unit 202. Here, the application name and the service name do not have to be names, but may be information that can identify the application and service.

このようにして要求元のアプリケーション名と要求するサービス名を受け付けた要求受付部202は、アプリケーション制御部203から渡された上記情報をキーとして記憶装置205に記憶されている情報の中でアクセス要求情報を検索し、これまでに認証サーバ100における認証が行われているか否かを判定する(ステップS22)。本例では、要求受け付け部202が、認証判定手段となる。ここで、認証が行われていない場合、通信制御部201を通してアプリケーションに対応した認証の認証サーバ100への要求処理を行う(ステップS23)。   The request receiving unit 202 that has received the request source application name and the requested service name in this way uses the above information passed from the application control unit 203 as a key to access request among the information stored in the storage device 205. Information is searched, and it is determined whether or not the authentication server 100 has been authenticated so far (step S22). In this example, the request reception unit 202 serves as an authentication determination unit. Here, when the authentication is not performed, a request process to the authentication server 100 for authentication corresponding to the application is performed through the communication control unit 201 (step S23).

通信制御部201は、端末IDを取得し、要求受付部202から渡されたサービス名とともに認証サーバ100へ送信する。認証サーバ100への接続は、予め携帯端末200内に格納(記憶)されているURLなどにより行う方法や、アプリケーションの属性に記載されている(含まれている)認証サーバ100のURLなどにより行う方法が考えられるがここでは特に規定しない。アプリケーションに対応付けられた認証サーバ100にアクセスできればよい。この認証処理に関しては後述する。   The communication control unit 201 acquires the terminal ID and transmits it to the authentication server 100 together with the service name passed from the request reception unit 202. Connection to the authentication server 100 is performed by a method such as a URL stored (stored) in the mobile terminal 200 in advance, or by a URL of the authentication server 100 described (included) in an application attribute. Although a method is conceivable, it is not specified here. It is only necessary to access the authentication server 100 associated with the application. This authentication process will be described later.

一方、ステップS22においてすでに認証が行われており、1回目の要求ではない場合、ステップS24に移行し、携帯端末200における認証処理に遷移する。ステップS24において、要求受付部202は、アプリケーション制御部203から渡されたアプリケーション名を基に、アプリケーションに対応したエージェントの起動をエージェント制御部204に要求する。この結果、エージェント制御部204は、対応するエージェントを起動する。エージェントは、認証サーバ100によって生成されたプログラム又はデータである。次に、起動されたエージェントは、アクセス管理情報を基に、予め設定された認証処理を行う(ステップS25)。この認証処理は、ID及びパスワードの入力を促すダイアログを、ユーザに視認可能に表示して認証を行う処理や、期間・回数制限などによりアクセスを制御する処理などが考えられるが、ここでは特に規定しない。   On the other hand, if the authentication has already been performed in step S22 and it is not the first request, the process proceeds to step S24, and the process proceeds to the authentication process in the mobile terminal 200. In step S24, the request reception unit 202 requests the agent control unit 204 to start an agent corresponding to the application based on the application name passed from the application control unit 203. As a result, the agent control unit 204 activates the corresponding agent. The agent is a program or data generated by the authentication server 100. Next, the activated agent performs a preset authentication process based on the access management information (step S25). This authentication process includes a process for displaying a dialog prompting the user to input an ID and a password so that the user can see it, and a process for controlling access by limiting the period and the number of times. do not do.

上述したエージェントによる認証処理が完了し、この認証処理の結果により認証が確認された場合は(ステップS26)、アプリケーションはサービスを実行する(ステップS27)。これに対し、ステップS26の認証で、認証がとれない場合は、サービス要求を中断する(ステップS28)。   When the authentication process by the agent described above is completed and the authentication is confirmed based on the result of the authentication process (step S26), the application executes the service (step S27). On the other hand, if the authentication in step S26 is not successful, the service request is interrupted (step S28).

次に、図2のS23以降の認証サーバ100における認証処理について、図3のフローチャートを用いて説明する。通信制御部101は、携帯端末200からのサービス要求を受け、送信されてきた情報(端末ID及びサービス名)をアクセス制御部103へと渡す(ステップS31)。ここで、認証サーバ100と携帯端末200間の通信制御部101と201による通信は、HTTP(Hyper Text Transport Protocol)通信や電子メールなどの既存の通信手段を使用してもよいし、独自の通信手段を設けてこれを使用してもよい。   Next, the authentication process in the authentication server 100 after S23 in FIG. 2 will be described with reference to the flowchart in FIG. The communication control unit 101 receives a service request from the mobile terminal 200 and passes the transmitted information (terminal ID and service name) to the access control unit 103 (step S31). Here, the communication by the communication control units 101 and 201 between the authentication server 100 and the portable terminal 200 may use existing communication means such as HTTP (Hyper Text Transport Protocol) communication or e-mail, or unique communication. Means may be provided and used.

次に、アクセス制御部103は、端末ID及びサービス名をキーとして記憶装置102内の管理テーブルを参照し、要求の可否を判定する(ステップS32)。要求がNGである場合、その旨を通信制御部101から携帯端末200へ通知する(ステップS33)。一方、要求がOKである場合、管理テーブルからアクセス管理情報を取得する(ステップS34)。このアクセス管理情報には、アプリケーションが、アプリケションにより提供されるサービスにアクセス可能な回数や期間などが設定されている。   Next, the access control unit 103 refers to the management table in the storage device 102 using the terminal ID and the service name as keys, and determines whether or not the request can be made (step S32). If the request is NG, the communication control unit 101 notifies the portable terminal 200 to that effect (step S33). On the other hand, if the request is OK, access management information is acquired from the management table (step S34). In this access management information, the number of times that the application can access the service provided by the application, a period, and the like are set.

次に、エージェント生成部104は、上述したアクセス管理情報及び端末IDを基に、所定の処理を行うためのエージェントを生成する(ステップS35)。本処理によって生成されるエージェントは、携帯端末200内で認証を行うものであり、認証サーバ100が認証処理を委譲するための役割を担う。認証サーバ100は、例えば認証のためのパスワードを入力させるようなプログラムなど、自身が行う認証処理に対応した処理をエージェントに埋め込む。これらの処理により、取得したアクセス管理情報、及び生成したエージェントは、通信制御部101を通して携帯端末200へと送信される(ステップS36)。   Next, the agent generation unit 104 generates an agent for performing a predetermined process based on the above-described access management information and terminal ID (step S35). The agent generated by this process performs authentication in the mobile terminal 200, and plays a role for the authentication server 100 to delegate the authentication process. The authentication server 100 embeds processing corresponding to the authentication processing performed by itself, such as a program for inputting a password for authentication, in the agent. Through these processes, the acquired access management information and the generated agent are transmitted to the mobile terminal 200 through the communication control unit 101 (step S36).

次に、携帯端末200のエージェント制御部204における記憶装置205内のアクセス管理情報の更新処理について、図4のフローチャートを用いて説明する。エージェント制御部204内のエージェントは、自身に対応するアクセス管理情報を監視している(ステップS41)。監視するタイミングや周期は、適宜設定すればよく、ここでは特に規定しない。例えば、認証サーバ100が、エージェント生成時に設定したタイミングや周期でもよく、アプリケーションごとに決められたものでもよい。また、携帯端末ごとに決められたタイミングや周期でもよい。   Next, update processing of access management information in the storage device 205 in the agent control unit 204 of the portable terminal 200 will be described with reference to the flowchart of FIG. The agent in the agent control unit 204 monitors access management information corresponding to itself (step S41). The timing and cycle for monitoring may be set as appropriate, and are not specified here. For example, the authentication server 100 may have a timing or period set when generating an agent, or may be determined for each application. Moreover, the timing and period decided for every portable terminal may be sufficient.

エージェントは、記憶装置205に記憶(格納)されているアクセス管理情報が備える回数や期間(期限)など、アクセス管理情報が備える使用制限情報をもとに現在格納されているアクセス管理情報が有効であるか否かを監視し、アクセス管理情報の更新が必要かを判定する(ステップS42)。更新が必要な場合、対応する認証サーバ100へ認証要求を行う(ステップS43)。アクセス管理情報には、対応する認証サーバの情報(URL)などが備えられている。ここで、携帯端末200がネットワークに繋がれていないなどの理由で認証サーバ100に接続できない場合は、次回の監視タイミングにて再度接続を試みる。又は、携帯端末200がネットワークに接続したタイミングで接続を試みてもよい。   The agent uses the access management information currently stored based on the use restriction information provided in the access management information such as the number of times and the period (expiration date) provided in the access management information stored (stored) in the storage device 205. Whether the access management information needs to be updated is monitored (step S42). If updating is required, an authentication request is made to the corresponding authentication server 100 (step S43). The access management information includes corresponding authentication server information (URL). Here, when the mobile terminal 200 cannot be connected to the authentication server 100 because it is not connected to the network, the connection is attempted again at the next monitoring timing. Alternatively, connection may be attempted at the timing when the mobile terminal 200 is connected to the network.

上記の認証処理が必要である場合、要求元の端末ID及びサービス名、さらに要求元エージェント名を認証サーバ100へ送信し、認証処理を依頼する(ステップS44)。この認証処理は、アクセス管理情報の更新を含む再認証の処理になる。ここで、エージェント名は、名前でなくてもよい。すなわち、エージェントが特定できる情報であればよい。   If the above authentication processing is necessary, the request source terminal ID and service name, and further the request source agent name are transmitted to the authentication server 100, and the authentication processing is requested (step S44). This authentication process is a re-authentication process including an update of access management information. Here, the agent name may not be a name. That is, any information can be used as long as the agent can be identified.

次に、依頼を受けた認証サーバ100は、認証処理を行う(ステップS45)。認証サーバ100は、送信されてきた情報の中にエージェント名が含まれている場合、エージェントの生成は行わず、図3のステップS32及びステップS34で示した認証処理及びアクセス管理情報の取得のみを行う。ステップS46における認証がOKである場合、携帯端末200にアクセス管理情報を送信する。また、エージェント制御部204内のエージェントは、記憶装置205内のアクセス管理情報を更新する(ステップS47)。   Next, the authentication server 100 that has received the request performs an authentication process (step S45). When the agent name is included in the transmitted information, the authentication server 100 does not generate the agent, but only performs the authentication processing and access management information acquisition shown in steps S32 and S34 of FIG. Do. When the authentication in step S46 is OK, the access management information is transmitted to the portable terminal 200. Further, the agent in the agent control unit 204 updates the access management information in the storage device 205 (step S47).

ステップS46における認証がNGである場合、携帯端末200にその旨を通知する。また、エージェント制御部204内のエージェントは、記憶装置205内のアクセス要求情報内のエントリを削除する(ステップS48)。これにより、次回のサービス要求時、図2のステップS22で示した処理において認証されていないと判定され、再び認証サーバ100へ認証処理を依頼することとなる。以上に説明したように、エージェントは、対応するアクセス管理情報をもとに認証動作を行う。   If the authentication in step S46 is NG, the mobile terminal 200 is notified accordingly. Further, the agent in the agent control unit 204 deletes the entry in the access request information in the storage device 205 (step S48). Thereby, at the time of the next service request, it is determined that the authentication is not performed in the process shown in step S22 of FIG. 2, and the authentication server 100 is requested to perform the authentication process again. As described above, the agent performs an authentication operation based on the corresponding access management information.

なお、認証サーバ100及び端末装置は、例えば、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。また、端末装置は、これらと同等の機能を備えた携帯電話であっても良い。   The authentication server 100 and the terminal device are, for example, computer devices including a CPU, a main storage device, an external storage device, a network connection device, and the like, and the CPU is operated by a program developed in the main storage device. Each function described above is realized. Each function may be distributed among a plurality of computer devices. Further, the terminal device may be a mobile phone having functions equivalent to these.

次に、上述した本実施の形態における認証委譲システム及び認証委譲方法の効果について説明する。   Next, effects of the authentication delegation system and the authentication delegation method in the present embodiment described above will be described.

本システム及び方法によると、アプリケーションと認証サーバ100、及びエージェントが紐付けされている。このため、認証サーバ100は、自身に対応した認証処理を行うエージェントを作成し、携帯端末200において動作させることが可能である。この結果、複数の異なる認証サーバ100による認証処理の違い(認証プロトコルなど)をエージェントによって吸収することが可能である。従って、本システム及び方法によれば、異なる認証プロトコルの複数の認証サーバが用いられている環境など、様々な条件下においても柔軟に対応できるようになる。   According to this system and method, the application, the authentication server 100, and the agent are associated with each other. For this reason, the authentication server 100 can create an agent that performs authentication processing corresponding to the authentication server 100 and operate the mobile terminal 200. As a result, it is possible to absorb differences in authentication processing (authentication protocols, etc.) by a plurality of different authentication servers 100 by the agent. Therefore, according to the present system and method, it is possible to flexibly cope with various conditions such as an environment in which a plurality of authentication servers of different authentication protocols are used.

また、本実施の形態における認証委譲システム及び認証委譲方法によれば、認証サーバ100が行う認証処理は、エージェントに行わせる(委譲する)ようにしているので、認証処理のたびに認証サーバ100に接続する必要がなくなる。この結果、本実施の形態におけるシステム及び方法によれば、より迅速な認証処理が実現可能となり、認証のための時間や料金が削減できるようになる。   Further, according to the authentication delegation system and the authentication delegation method in the present embodiment, the authentication process performed by the authentication server 100 is caused to be performed (delegated) by the agent. No need to connect. As a result, according to the system and method in the present embodiment, it is possible to realize a quicker authentication process and to reduce the time and fee for authentication.

ところで、上述した実施の形態においては、図3のステップS31において、端末ID及びサービス名を送信しているがこれに限るものではない。例えば、SIM(Subscriber Identification Module)のIDを送信してもよい。この場合、認証サーバ100側では、「契約者によるサービス可否」という認証が可能となる。このように、認証サーバ100では、携帯端末200から送信されてくる情報が何であっても、送信された情報を基に、サービスへのアクセス可否を判断するための条件を制御又は管理することが可能である。   Incidentally, in the above-described embodiment, the terminal ID and the service name are transmitted in step S31 of FIG. 3, but the present invention is not limited to this. For example, a SIM (Subscriber Identification Module) ID may be transmitted. In this case, the authentication server 100 side can perform authentication “service availability by contractor”. As described above, the authentication server 100 can control or manage the conditions for determining whether to access the service based on the transmitted information, regardless of the information transmitted from the mobile terminal 200. Is possible.

さらに、上述では、図4のステップS48において、認証処理がNGとなった際はアクセス要求情報のエントリのみを削除することとした。この場合、認証処理がNGとなったにもかかわらず、エージェントがアクセス管理情報を参照するたびに再び認証処理を行ってしまう。このため、認証処理にNGとなった場合は、アクセス要求情報のエントリの削除のほか、エージェント及びエージェントに対応するアクセス管理情報を削除するようにしてもよい。また、上述では、アプリケーションを配信するアプリケーションサーバは1つであったが、複数のアプリケーションサーバが存在してもよい。さらに、上述した実施の形態では、クライアントとして携帯端末を例としたが、パーソナルコンピュータや家電などの通信機能を備えた機器(固定端末)でもよい。   Further, in the above description, when the authentication process is NG in step S48 of FIG. 4, only the entry of the access request information is deleted. In this case, the authentication process is performed again every time the agent refers to the access management information even though the authentication process is NG. For this reason, when the authentication process is NG, in addition to deleting the entry of the access request information, the access management information corresponding to the agent and the agent may be deleted. In the above description, the number of application servers that distribute applications is one, but a plurality of application servers may exist. Furthermore, in the above-described embodiment, a mobile terminal is used as an example of a client. However, a device (fixed terminal) having a communication function such as a personal computer or a home appliance may be used.

さらにまた、上述では、データの暗号化を行うようにはしていないが、セキュリティの観点上、送受信するデータを暗号化してもよい。例えば、アプリケーションサーバ300から配信されるアプリケーション及び属性ファイル、携帯端末200から認証サーバ100へ送信される端末ID及びサービス名、認証サーバ100から携帯端末200に送信されるアクセス管理情報及びエージェント、携帯端末200内のアクセス管理情報、アクセス要求情報は、暗号化され、閲覧や改ざんができない仕組みになっていてもよい。   Furthermore, in the above description, data encryption is not performed, but data to be transmitted / received may be encrypted from the viewpoint of security. For example, the application and attribute file distributed from the application server 300, the terminal ID and service name transmitted from the mobile terminal 200 to the authentication server 100, the access management information and agent transmitted from the authentication server 100 to the mobile terminal 200, the mobile terminal Access management information and access request information in 200 may be encrypted so that they cannot be browsed or altered.

次に、具体的な実施例を用いてより詳細に説明する。まず、図1を用いて、アプリケーションのダウンロード処理について説明する。携帯端末200のユーザは、携帯端末200の図示しない入力装置を操作することで、所望とするアプリケーションのダウンロードを選択する指示入力を行う。この操作指示により、携帯端末200の通信制御部201は、指定されたアプリケーション及びこの属性ファイルをアプリケーションサーバ300よりダウンロードし、記憶装置205内に格納する。上記属性ファイルには、アプリケーション名のほか、当該アプリケーションが使用するサービス及び認証サーバ100のURLなどが含まれている。本実施例では、図5で示す属性が含まれているものとする。なお、その他の属性が含まれていてもよいがここでは特に規定しない。   Next, it demonstrates in detail using a specific Example. First, application download processing will be described with reference to FIG. The user of the portable terminal 200 performs an instruction input for selecting download of a desired application by operating an input device (not shown) of the portable terminal 200. In response to this operation instruction, the communication control unit 201 of the mobile terminal 200 downloads the designated application and this attribute file from the application server 300 and stores them in the storage device 205. In addition to the application name, the attribute file includes the service used by the application and the URL of the authentication server 100. In this embodiment, it is assumed that the attributes shown in FIG. 5 are included. Other attributes may be included, but are not specified here.

次に、アプリケーション実行時のサービス要求処理について説明する。携帯端末200のユーザは、図示しない入力装置を操作することで所望とするアプリケーションの選択を指示する。ここでは、叙述したことによってダウンロードしたアプリケーション(アプリA)を選択することとする。この指示入力により、アプリケーション制御部203は、記憶装置205内のアプリAを起動する。   Next, service request processing during application execution will be described. The user of the portable terminal 200 instructs selection of a desired application by operating an input device (not shown). Here, it is assumed that the downloaded application (application A) is selected as described. In response to this instruction input, the application control unit 203 activates the application A in the storage device 205.

次に、起動したアプリAは、実行時にサービスを要求する。例として、アプリAを構成しているプログラム内で「getSDCardInfo()」などの関数を呼び出すことで、自身の属性ファイルで示されているSDカードへのアクセスを試みる。この際、アプリケーション制御部203が上記関数の発行を検知し、アプリAがSDカードへアクセスしてよいかの認証が行われる。   Next, the activated application A requests a service at the time of execution. As an example, by calling a function such as “getSDCardInfo ()” in the program constituting the application A, an attempt is made to access the SD card indicated by its own attribute file. At this time, the application control unit 203 detects the issuance of the above function and authenticates whether the application A can access the SD card.

この後、要求受付部202は、図2のステップS22で示したようにアプリケーション制御部203から渡されたアプリケーション名及びサービス名をキーとして記憶装置205内のアクセス要求情報を検索する。これを図6に示す。本例では、アクセス要求情報内に対応するエントリが存在しないため、これまでに認証処理を行っていないと判定し、認証サーバ100への要求処理へと遷移する。ここでは、認証サーバ100への要求時、端末ID及びサービス名を送信することとする。通信制御部101は、要求受付部102から渡された端末ID及びサービス名を認証サーバ100へと送信する。接続先は、前述した記憶装置205内の属性ファイルの認証サーバ100のURLを参照する。   Thereafter, the request receiving unit 202 searches the access request information in the storage device 205 using the application name and service name passed from the application control unit 203 as keys as shown in step S22 of FIG. This is shown in FIG. In this example, since there is no corresponding entry in the access request information, it is determined that no authentication process has been performed so far, and the process proceeds to a request process to the authentication server 100. Here, when requesting the authentication server 100, the terminal ID and the service name are transmitted. The communication control unit 101 transmits the terminal ID and service name passed from the request reception unit 102 to the authentication server 100. The connection destination refers to the URL of the authentication server 100 of the attribute file in the storage device 205 described above.

次に、認証サーバ100における認証処理について説明する。図3のステップS31に示したように、通信制御部101は、携帯端末200から送信されてきた情報をアクセス制御部103へと渡す。アクセス制御部103は、渡された情報をキーとして記憶装置102内の管理テーブルを参照し、要求の可否を判定する。この動作について図7を用いて説明する。図7に示すように、アクセス制御部103は、端末ID「000A」に対応するテーブルである「1」を参照することになる。   Next, authentication processing in the authentication server 100 will be described. As illustrated in step S <b> 31 of FIG. 3, the communication control unit 101 passes the information transmitted from the mobile terminal 200 to the access control unit 103. The access control unit 103 refers to the management table in the storage device 102 using the passed information as a key, and determines whether or not the request can be made. This operation will be described with reference to FIG. As illustrated in FIG. 7, the access control unit 103 refers to “1” that is a table corresponding to the terminal ID “000A”.

このID「1」のテーブルについて、一例を示すと、図8に示すように、「SDカード」へのアクセスの条件として、「パスワード入力」及び「アクセス回数制限」が設定されている。このため、アプリAは上記条件の範囲内でSDカードへのアクセスが可能であることがわかる。アクセス制御部103は、管理テーブルより、「SDカード」に関するエントリを切り出す。切り出した情報は図3のステップS34で示したアクセス管理情報である。アクセス制御部103は、上記テーブル内にサービス名に対応したエントリが存在しない場合は、要求はNGとなり、この旨を携帯端末200へと通知する。通知手段は、ここでは特に規定しない。   As an example of the table of ID “1”, as shown in FIG. 8, “password input” and “access count limitation” are set as conditions for accessing the “SD card”. Therefore, it can be seen that the application A can access the SD card within the range of the above conditions. The access control unit 103 cuts out an entry related to “SD card” from the management table. The cut out information is the access management information shown in step S34 in FIG. If there is no entry corresponding to the service name in the table, the access control unit 103 makes a request NG and notifies the mobile terminal 200 of this. The notification means is not particularly defined here.

次に、エージェント生成部104によるエージェント生成処理について説明する。エージェント生成部104は、携帯端末200の端末ID及びアクセス制御部103が取得したアクセス管理情報を基にエージェントを生成する。エージェント生成部104は、端末IDよりこれまでにエージェントを生成したかの判定を行う。生成している場合は、今回のアクセス管理情報に対応した処理を行う部分のみを生成する(以下、これを差分エージェントという)。 本例では、これまでエージェントを生成していないこととする。   Next, agent generation processing by the agent generation unit 104 will be described. The agent generation unit 104 generates an agent based on the terminal ID of the mobile terminal 200 and the access management information acquired by the access control unit 103. The agent generation unit 104 determines whether an agent has been generated so far from the terminal ID. If it is generated, only the part that performs processing corresponding to the current access management information is generated (hereinafter referred to as a differential agent). In this example, it is assumed that no agent has been generated so far.

上記アクセス管理情報を参照すると、エージェントは「パスワード照会」及び「アクセス回数管理」が少なくとも含まれることになる。「パスワード照会」に関しては、(1)パスワード入力のためのダイアログを表示し、(2)入力されたパスワードが正しいかを検証する処理、を少なくとも含む。また、「アクセス回数管理」に関しては、(1)アクセス回数を管理する処理、(2)アクセス回数が制限を超えた場合にエラーを通知する処理、(3)残回数を通知する処理、などを含む。これらのことによって取得したアクセス管理情報、及び生成したエージェントは、携帯端末200へと送信される。取得したアクセス情報及び生成されたエージェントの一例を、図9に示す。   Referring to the access management information, the agent includes at least “password inquiry” and “access count management”. The “password inquiry” includes at least a process of (1) displaying a dialog for inputting a password and (2) verifying whether the input password is correct. As for “access count management”, (1) processing for managing the number of accesses, (2) processing for notifying an error when the number of accesses exceeds the limit, (3) processing for notifying the remaining number of times, etc. Including. The access management information acquired by these things and the generated agent are transmitted to the mobile terminal 200. An example of the acquired access information and the generated agent is shown in FIG.

次に携帯端末200における処理(動作)について説明する。通信制御部201は、図9に示した情報を受信し、アクセス管理情報を記憶装置205に格納する。また、エージェントをエージェント制御部204に格納する。ここで、いずれかの認証サーバ100より送信されてきたエージェントが差分エージェントである場合、アクセス管理情報を更新し、対応するエージェントに差分処理の追加を行う。   Next, processing (operation) in the mobile terminal 200 will be described. The communication control unit 201 receives the information illustrated in FIG. 9 and stores access management information in the storage device 205. Further, the agent is stored in the agent control unit 204. Here, when the agent transmitted from any one of the authentication servers 100 is a differential agent, the access management information is updated, and a differential process is added to the corresponding agent.

通信制御部201は、上記受信した情報内に情報が含まれている場合は、アプリAからの要求が許可されたと判定し、この旨を要求受付部202へと通知する。通知を受けた要求受付部202は、図10に示すように、アクセス要求情報を更新する。
要求受付部202は、許可の通知を受け、アプリケーションマネージャ203にその旨を通知する。アプリケーションマネージャは、アプリAにSDカードへのアクセスを許可する。すなわち、アプリAが発行した関数である「getSDCardInfo()」に対し、成功の戻り値を返す。アプリAは、SDカードへアクセスする。
以上がサービスへの初回アクセス時のサービス要求処理である。 If the received information includes information, the communication control unit 201 determines that the request from the application A is permitted, and notifies the request reception unit 202 to that effect. Upon receiving the notification, the request receiving unit 202 updates the access request information as shown in FIG.
The request reception unit 202 receives the permission notification and notifies the application manager 203 to that effect. The application manager permits the application A to access the SD card. That is, a return value of success is returned to “getSDCardInfo ()” that is a function issued by the application A. Application A accesses the SD card.
The above is the service request processing at the first access to the service.

次に、上記以降(2回目以降)のサービス要求処理について説明する。
上記認証処理後に再びアプリAを起動し、アプリAは関数「getSDCardInfo()」を呼び出したものとする。前述したように、アプリケーション制御部203が上記関数の発行を検知し、要求受付部202がアプリケーション名及びサービス名をキーとして記憶装置205内のアクセス要求情報を検索する。ここで、図10に示すようにアクセス要求情報内には該当するエントリが存在するため、認証サーバ100への接続は行わず、携帯端末200内での認証処理に遷移する。 Next, the service request process after the above (second and subsequent times) will be described.
Assume that the application A is activated again after the authentication processing, and the application A calls the function “getSDCardInfo ()”. As described above, the application control unit 203 detects the issuance of the function, and the request reception unit 202 searches the access request information in the storage device 205 using the application name and service name as keys. Here, as shown in FIG. 10, since the corresponding entry exists in the access request information, the connection to the authentication server 100 is not performed, and the process proceeds to the authentication process in the mobile terminal 200.

要求受付部202は、アプリケーション制御部203から渡されたアプリケーション名及びサービス名を基に、アプリケーションに対応したエージェントを起動する。これを図11に示す。要求を受けたエージェント制御部204内のエージェントマネージャは対応テーブルを参照し、エージェントを起動する。本例では、アプリAに対応するエージェントである「Agent01.prog」が起動する。   The request reception unit 202 activates an agent corresponding to the application based on the application name and service name passed from the application control unit 203. This is shown in FIG. The agent manager in the agent control unit 204 that has received the request refers to the correspondence table and activates the agent. In this example, “Agent01.prog” that is an agent corresponding to the application A is activated.

起動したエージェントは、エージェントマネージャより渡されたサービス名を基に、所定の認証処理を行う。本例では、前述したように、「パスワード照会」及び「アクセス回数管理」を行うこととする。「パスワード照会」では、ダイアログを表示し、図示しない携帯端末200のユーザの入力を待つ。入力されたパスワードと、アクセス管理情報内のパスワードが一致するかを判定する。一致しない場合は図示しない出力装置によってエラーを通知する。本例では、一致したこととする。また、「アクセス回数管理」では、累計アクセス回数を記憶してもよいし、アクセス管理情報内のアクセス回数制限の数値を1回減らしてもよい。本例では、後者のように数値を書き換えることとする。   The activated agent performs a predetermined authentication process based on the service name passed from the agent manager. In this example, as described above, “password inquiry” and “access count management” are performed. In “password inquiry”, a dialog is displayed and the input of the user of the portable terminal 200 (not shown) is waited for. It is determined whether the input password matches the password in the access management information. If they do not match, an error is notified by an output device (not shown). In this example, it is assumed that they match. In the “access count management”, the cumulative access count may be stored, or the access count limit in the access management information may be reduced by one. In this example, the numerical value is rewritten as in the latter case.

認証処理が完了し、エージェント制御部204は、要求受付部202に成功した旨を通知する。要求受付部202は、許可の通知を受け、アプリケーションマネージャ203にその旨を通知する。アプリケーションマネージャは、アプリAにSDカードへのアクセスを許可し、アプリAが発行した関数である「getSDCardInfo()」に対し、成功の戻り値を返す。この結果、アプリAは、SDカードへアクセスする。   When the authentication process is completed, the agent control unit 204 notifies the request reception unit 202 of success. The request reception unit 202 receives the permission notification and notifies the application manager 203 to that effect. The application manager permits the application A to access the SD card, and returns a success return value to “getSDCardInfo ()” that is a function issued by the application A. As a result, the application A accesses the SD card.

以上がサービスへの2回目以降のサービス要求処理である。携帯端末200内で認証処理を行うことが可能であるため、認証サーバ100に接続できない場合であっても許可された範囲内でサービスを使用することが可能である。   This is the second and subsequent service request processing for the service. Since the authentication process can be performed in the portable terminal 200, the service can be used within the permitted range even when the authentication server 100 cannot be connected.

次に、携帯端末200のエージェント制御部204における記憶装置205内のアクセス管理情報の更新処理について説明する。図4のステップS41に示したように、エージェント制御部204内のエージェントは対応するアクセス管理情報を監視している。本例では、監視するタイミングを週に1回と予め決まっていることとする。   Next, update processing of access management information in the storage device 205 in the agent control unit 204 of the portable terminal 200 will be described. As shown in step S41 of FIG. 4, the agent in the agent control unit 204 monitors the corresponding access management information. In this example, it is assumed that the monitoring timing is determined once a week.

アプリAのエージェントである「Agent01.prog」は、対応するアクセス管理情報内のアクセス回数制限を監視している。ここで、アクセス回数制限が「0」となっていたとする。この場合、エージェントは、認証処理が必要であると判定し、認証サーバ100へ接続する。この際、端末ID、サービス名、及び要求元エージェント名を送信する。以後の処理については、前述した更新処理と同じである。上記更新処理において、認証OKである場合、エージェントはアクセス管理情報内のアクセス回数制限を更新する(例えば「10」に)。認証NGである場合、エージェントはアクセス要求情報内のエントリを削除する。   “Agent01.prog”, which is the agent of application A, monitors the access frequency limit in the corresponding access management information. Here, it is assumed that the access frequency limit is “0”. In this case, the agent determines that authentication processing is necessary and connects to the authentication server 100. At this time, the terminal ID, the service name, and the request source agent name are transmitted. Subsequent processing is the same as the update processing described above. In the above update process, if the authentication is OK, the agent updates the access frequency limit in the access management information (for example, to “10”). If it is authentication NG, the agent deletes the entry in the access request information.

上記のような更新処理を行うことで、本発明では、一度認証されたとしても、携帯端末200内のアプリケーションによるサービスの使用を認証サーバ100側で制限することが可能である。   By performing the updating process as described above, in the present invention, even if authentication is performed once, use of a service by an application in the mobile terminal 200 can be restricted on the authentication server 100 side.

本発明によれば、サービスを使用する際に認証を行う認証システムや、認証処理を実現するための方法といった用途に適用できる。   The present invention can be applied to uses such as an authentication system that performs authentication when using a service, and a method for realizing authentication processing.

本発明の実施の形態における認証委譲システムの構成例を示す構成図である。It is a block diagram which shows the structural example of the authentication delegation system in embodiment of this invention. 本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。It is a flowchart for demonstrating the authentication delegation method by the authentication delegation system in embodiment of this invention. 本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。It is a flowchart for demonstrating the authentication delegation method by the authentication delegation system in embodiment of this invention. 本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。It is a flowchart for demonstrating the authentication delegation method by the authentication delegation system in embodiment of this invention. 属性ファイルの1例を示す説明図である。It is explanatory drawing which shows an example of an attribute file. 要求受付部202及びアプリケーション制御部203の動作を説明するための説明図である。6 is an explanatory diagram for explaining operations of a request receiving unit 202 and an application control unit 203. FIG. 通信制御部101及びアクセス制御部103の動作を説明するための説明図である。6 is an explanatory diagram for explaining operations of a communication control unit 101 and an access control unit 103. FIG. 記憶装置102が記憶する管理テーブルの構成例を示す構成図である。3 is a configuration diagram illustrating a configuration example of a management table stored in a storage device 102. FIG. アクセス情報及び生成されたエージェントの構成例を示す構成図である。It is a block diagram which shows the structural example of the access information and the produced | generated agent. 要求受付部202の動作を説明するための説明図である。6 is an explanatory diagram for explaining an operation of a request reception unit 202. FIG. エージェント制御部204の動作を説明するための説明図である。6 is an explanatory diagram for explaining an operation of an agent control unit 204. FIG. 従来よりある認証システムの構成を示す構成図である。It is a block diagram which shows the structure of the conventional authentication system.

符号の説明Explanation of symbols

100…認証サーバ、101…通信制御部、102…記憶装置、103…アクセス制御部、104…エージェント生成部、200…携帯端末(端末装置)、201…通信制御部、202…要求受付部、203…アプリケーション制御部、204…エージェント制御部、205…記憶装置(端末記憶部)、206…サービス群、300…アプリケーションサーバ(アプリケーション配信サーバ)。   DESCRIPTION OF SYMBOLS 100 ... Authentication server 101 ... Communication control part 102 ... Memory | storage device 103 ... Access control part 104 ... Agent production | generation part 200 ... Portable terminal (terminal device) 201 ... Communication control part 202 ... Request reception part 203 ... Application control unit, 204 ... Agent control unit, 205 ... Storage device (terminal storage unit), 206 ... Service group, 300 ... Application server (application distribution server).

Claims (11)

ネットワークを介して接続された端末装置,認証サーバ,及びアプリケーション配信サーバを備え、
前記端末装置は、
前記アプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、
前記アプリケーションの実行動作を制御するアプリケーション制御部と、
前記認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、
前記認証サーバより受け付けた前記エージェントを格納するとともに、前記認証判定手段による前記認証がすでにされていることの判定で、前記アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段と
を少なくとも備え、
前記認証サーバは、
前記端末装置からの前記サービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、前記端末装置において前記認証を行うエージェントを生成するエージェント生成手段と、
前記エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を前記端末装置に送出するサーバ通信制御手段と
を少なくとも備え、
前記エージェント生成手段は、前記端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとに前記エージェントを生成し、
前記端末装置において、前記エージェントは、前記端末装置記憶部に記憶されている対応するアクセス管理情報をもとに前記認証を行う
ことを特徴とする認証委譲システム。 A terminal device, an authentication server, and an application distribution server connected via a network;
The terminal device
A terminal device communication control means for downloading an attribute file comprising information of an application and a service used when the application is executed from the application distribution server;
An application control unit for controlling the execution operation of the application;
A terminal device storage unit that stores access management information corresponding to an agent that performs authentication of the service requested when the application is executed, received from the authentication server;
Authentication determination means for determining that the authentication of the service requested when the application control unit executes the application downloaded by the communication control means;
The agent received from the authentication server is stored, and the agent that authenticates the service requested by the application executed by the application control unit is activated when the authentication determination unit determines that the authentication has already been performed. Agent control means and at least
The authentication server is
An agent generating means for receiving an authentication request for the service from the terminal device and generating an agent for performing the authentication in the terminal device based on access management information provided in advance;
And at least server communication control means for sending the agent generated by the agent generating means and access management information used for generating the agent to the terminal device,
The agent generation means generates the agent based on access management information corresponding to an authentication request received from the terminal device,
In the terminal device, the agent performs the authentication based on corresponding access management information stored in the terminal device storage unit. 請求項1記載の認証委譲システムにおいて、
前記端末装置は、
前記認証判定手段による、前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う認証要求手段を備える
ことを特徴とする認証委譲システム。 In the authentication delegation system according to claim 1,
The terminal device
Authentication by the authentication determination unit with respect to the service with respect to the authentication server by determining that the service requested when the application control unit executes the application downloaded by the communication control unit has not yet been authenticated. An authentication delegation system comprising an authentication request means for making a request. 請求項1又は2記載の認証委譲システムにおいて、
前記エージェントは、
対応するアクセス管理情報が備える使用制限情報をもとに、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする認証委譲システム。 In the authentication delegation system according to claim 1 or 2,
The agent
Based on the use restriction information included in the corresponding access management information, the authentication server is requested to authenticate, and as a result of this request, the new access management information received from the authentication server is associated with the access management corresponding to itself. An authentication delegation system characterized by being updated as information. 請求項3記載の認証委譲システムにおいて、
前記認証サーバは、前記エージェントからの認証の要求により、前記エージェントに対応する新たなアクセス管理情報を前記端末装置に送出する
ことを特徴とする認証委譲システム。 In the authentication delegation system according to claim 3,
The authentication delegation system, wherein the authentication server sends new access management information corresponding to the agent to the terminal device in response to an authentication request from the agent. ネットワークを介して接続されたアプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードし、
ネットワークを介して接続された認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶し、
前記アプリケーション配信サーバよりダウンロードしたアプリケーションを実行したときに要求されるサービスの認証が既にされていることの判定で、実行されたアプリケーションが要求するサービスの認証を行うエージェントを起動し、
起動した前記エージェントに対応するアクセス管理情報をもとにした前記エージェントの動作により前記認証を行う
ことを特徴とする認証委譲方法。 Download an attribute file consisting of application and service information used when the application is executed from an application distribution server connected via a network,
Storing access management information corresponding to an agent that authenticates the service requested when the application is executed, received from an authentication server connected via a network;
In the determination that the service requested when executing the application downloaded from the application distribution server has already been authenticated, start the agent that authenticates the service requested by the executed application,
An authentication delegation method comprising: performing the authentication by the operation of the agent based on access management information corresponding to the activated agent. 請求項5記載の認証委譲方法において、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う
ことを特徴とする認証委譲方法。 In the authentication delegation method according to claim 5,
Requesting the authentication server to authenticate the service by determining that the service requested when the application control unit executes the application downloaded by the communication control means is not yet authenticated. A feature of authentication delegation. 請求項5又は6記載の認証委譲方法において、
起動した前記エージェントに対応するアクセス管理情報が備える使用制限情報をもとにした前記エージェントの動作により、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする認証委譲方法。 In the authentication delegation method according to claim 5 or 6,
The authentication server is requested to authenticate by the operation of the agent based on the use restriction information included in the access management information corresponding to the activated agent. An authentication delegation method characterized by updating access management information as access management information corresponding to itself. ネットワークを介して接続するアプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、
前記アプリケーションの実行動作を制御するアプリケーション制御部と、
ネットワークを介して接続された認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、
前記認証サーバより受け付けた前記エージェントを格納するとともに、前記認証判定手段による前記認証がすでにされていることの判定で、前記アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段と
を少なくとも備え、
前記エージェントは、予め備えられているアクセス管理情報をもとに生成されたものであり、
前記エージェントは、前記端末装置記憶部に記憶されている対応するアクセス管理情報をもとに前記認証を行う
ことを特徴とする端末装置。 A terminal device communication control means for downloading an attribute file comprising information of an application and a service used when the application is executed from an application distribution server connected via a network;
An application control unit for controlling the execution operation of the application;
A terminal storage unit that stores access management information corresponding to an agent that performs authentication of the service requested when the application is executed, received from an authentication server connected via a network;
Authentication determination means for determining that the authentication of the service requested when the application control unit executes the application downloaded by the communication control means;
The agent received from the authentication server is stored, and the agent that authenticates the service requested by the application executed by the application control unit is activated when the authentication determination unit determines that the authentication has already been performed. Agent control means and at least
The agent is generated based on access management information provided in advance,
The terminal device, wherein the agent performs the authentication based on corresponding access management information stored in the terminal device storage unit. 請求項8記載の端末装置において、
前記認証判定手段による、前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う認証要求手段を備える
ことを特徴とする端末装置。 The terminal device according to claim 8, wherein
Authentication by the authentication determination unit for the service to the authentication server by determining that the service requested when the application control unit executes the application downloaded by the communication control unit has not yet been authenticated. A terminal device comprising authentication request means for making a request. 請求項8又は9記載の端末において、
前記エージェントは、
対応するアクセス管理情報が備える使用制限情報をもとに、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする端末装置。 The terminal according to claim 8 or 9,
The agent
Based on the use restriction information included in the corresponding access management information, the authentication server is requested to authenticate, and as a result of this request, the new access management information received from the authentication server is associated with the access management corresponding to itself. A terminal device that is updated as information. ネットワークを介して接続された端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、前記端末装置において前記認証を行うエージェントを生成するエージェント生成手段と、
前記エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を前記端末装置に送出するサーバ通信制御手段と
を少なくとも備え、
前記エージェント生成手段は、前記端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとに前記エージェントを生成する
ことを特徴とする認証サーバ。 An agent generating means for receiving an authentication request for a service from a terminal device connected via a network, and generating an agent for performing the authentication in the terminal device based on access management information provided in advance;
And at least server communication control means for sending the agent generated by the agent generating means and access management information used for generating the agent to the terminal device,
The agent generation means generates the agent based on access management information corresponding to an authentication request received from the terminal device.
JP2007110430A 2007-04-19 2007-04-19 Authentication transfer system, authentication transfer method, terminal device and authentication server Pending JP2008269220A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007110430A JP2008269220A (en) 2007-04-19 2007-04-19 Authentication transfer system, authentication transfer method, terminal device and authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007110430A JP2008269220A (en) 2007-04-19 2007-04-19 Authentication transfer system, authentication transfer method, terminal device and authentication server

Publications (1)

Publication Number Publication Date
JP2008269220A true JP2008269220A (en) 2008-11-06

Family

ID=40048649

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007110430A Pending JP2008269220A (en) 2007-04-19 2007-04-19 Authentication transfer system, authentication transfer method, terminal device and authentication server

Country Status (1)

Country Link
JP (1) JP2008269220A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014505283A (en) * 2011-11-04 2014-02-27 エスケー プラネット カンパニー、リミテッド Method of interlocking security between security area and non-security area, management method of security application download, management server, terminal, and management system using the same
CN104102863A (en) * 2014-07-24 2014-10-15 北京握奇智能科技有限公司 Identity authentication equipment and control method thereof

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331446A (en) * 2000-05-24 2001-11-30 Nippon Telegr & Teleph Corp <Ntt> Secure agent realization method, secure agent system and secure agent management device
JP2002324049A (en) * 2001-04-25 2002-11-08 Nippon Telegr & Teleph Corp <Ntt> Access control method and system
JP2003036246A (en) * 2001-07-24 2003-02-07 Ntt Docomo Inc User authentication method, communication system, and server
JP2003150873A (en) * 2001-11-19 2003-05-23 Bothtec Kk User certification system and system using it
JP2004362385A (en) * 2003-06-06 2004-12-24 Konica Minolta Business Technologies Inc Image processing system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331446A (en) * 2000-05-24 2001-11-30 Nippon Telegr & Teleph Corp <Ntt> Secure agent realization method, secure agent system and secure agent management device
JP2002324049A (en) * 2001-04-25 2002-11-08 Nippon Telegr & Teleph Corp <Ntt> Access control method and system
JP2003036246A (en) * 2001-07-24 2003-02-07 Ntt Docomo Inc User authentication method, communication system, and server
JP2003150873A (en) * 2001-11-19 2003-05-23 Bothtec Kk User certification system and system using it
JP2004362385A (en) * 2003-06-06 2004-12-24 Konica Minolta Business Technologies Inc Image processing system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014505283A (en) * 2011-11-04 2014-02-27 エスケー プラネット カンパニー、リミテッド Method of interlocking security between security area and non-security area, management method of security application download, management server, terminal, and management system using the same
US9100172B2 (en) 2011-11-04 2015-08-04 Sk Planet Co., Ltd. Method for interworking with trustzone between normal domain and secure domain, and management method of trusted application download, management server, device and system using it
CN104102863A (en) * 2014-07-24 2014-10-15 北京握奇智能科技有限公司 Identity authentication equipment and control method thereof

Similar Documents

Publication Publication Date Title
JP3569122B2 (en) Session management system, service providing server, session management server, session management method, and recording medium
JP4863777B2 (en) Communication processing method and computer system
JP4413774B2 (en) User authentication method and system using e-mail address and hardware information
JP5797060B2 (en) Access management method and access management apparatus
JP5296726B2 (en) Web content providing system, web server, content providing method, and programs thereof
JP2018163616A (en) Authentication authorization server, resource server, authentication approval system, authentication method and program
JP6376869B2 (en) Data synchronization system, control method thereof, authorization server, and program thereof
JPH1141230A (en) Method and system for authenticating user
JP2011133951A (en) Authentication state inheritance system
JP2002334056A (en) System and method for executing log-in in behalf of user
EP2875442A2 (en) Systems and methods for facilitating service provision between applications
JP2006018399A (en) Information processor, information processing method and program
JP4989935B2 (en) Session management method, server used therefor, session management program, and recording medium recording the program
JP2017142619A (en) Api cooperation device, api cooperation method, and api cooperation program
JP2016115260A (en) Authority transfer system, authorization server used for authority transfer system, resource server, client, mediation device, authority transfer method and program
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
JP5687455B2 (en) Server, terminal, program, and service providing method
JP2002132728A (en) One-time password authentication system
JP3770173B2 (en) Common key management system and common key management method
JP2008269220A (en) Authentication transfer system, authentication transfer method, terminal device and authentication server
JP4005090B2 (en) Communication profile automatic distribution setting system and method, management apparatus, and program
US20100115584A1 (en) Information processing system
JP6540642B2 (en) Authentication system and authentication method
JP2000172645A (en) Server computer and certificate information managing method for the same
JP2016143370A (en) Information processing device, information processing system, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100316

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120502

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120522

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121002