JP2008287524A - 認証方法、認証装置及びプログラム - Google Patents
認証方法、認証装置及びプログラム Download PDFInfo
- Publication number
- JP2008287524A JP2008287524A JP2007132101A JP2007132101A JP2008287524A JP 2008287524 A JP2008287524 A JP 2008287524A JP 2007132101 A JP2007132101 A JP 2007132101A JP 2007132101 A JP2007132101 A JP 2007132101A JP 2008287524 A JP2008287524 A JP 2008287524A
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- user
- information
- authentication
- unique
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】サーバ上の情報やプログラムに対するアクセスを制御することができる。
【解決手段】クライアント端末の固有のIDと、その利用者の認証情報と、を対応付けて管理された情報及び前記クライアント端末と、前記利用者と、の組み合わせに対するアクセス可能なリソースを管理する情報に基づいて、サーバ上のリソースへのアクセス可否の判定を行う判定手段を有する認証装置であって、前記クライアント端末の固有のIDが、ネットワーク制御上の汎用IDであることを特徴とする。
【選択図】図2
【解決手段】クライアント端末の固有のIDと、その利用者の認証情報と、を対応付けて管理された情報及び前記クライアント端末と、前記利用者と、の組み合わせに対するアクセス可能なリソースを管理する情報に基づいて、サーバ上のリソースへのアクセス可否の判定を行う判定手段を有する認証装置であって、前記クライアント端末の固有のIDが、ネットワーク制御上の汎用IDであることを特徴とする。
【選択図】図2
Description
本発明はアクセス制御をより確実に行うことができる認証装置等に関する。
汎用のクライアントプログラムであるWWWクライアントを用いた情報提供サービスや、情報システムは、企業内のシステムや、インターネットを用いた一般市場に対するサービス等、広くあらゆる企業、産業分野で利用されている。また、一方で、このようなシステムや、サービスには、部分的に、より強固なセキュリティを要求される場合が多い。従来のアプリケーションプログラムやハードウェア等を特定しない汎用認証システムにおいて、最も一般的なものは、利用者のIDとパスワード等を用いて、利用者を特定するものである。さらに、通信の暗号化や、指紋などの身体認証、を用いるものも多数存在し、実用に供されている。
一方、クライアント端末を特定する認証方式としては、クライアント端末に専用のプログラムや、専用のハードウェアを用いる方式が一般的である。また、上述した方式以外で、クライアント端末を特定する方式としては、専用のネットワークを構築したり、又はネットワークを必要な範囲のみ論理的或いは物理的に分離したりして、その範囲からしかアクセスできないようにする方式もある。
また、サーバへのアクセスのときに、動的に取得されるクライアント端末固有の情報と、利用者の情報と、を判断材料として認証を行う技術が知られている(例えば、特許文献1参照)。
さらには、クライアント端末固有のIDと、利用者の情報と、をサーバで管理して認証の判断材料とする技術が知られている(例えば、特許文献2参照)。
さらには、クライアント端末固有のIDと、利用者の情報と、をサーバで管理して認証の判断材料とする技術が知られている(例えば、特許文献2参照)。
しかしながら、ID等により利用者を特定する認証システムは、利用者自身を特定することは可能であるが、利用者と同時に、利用者が利用しようとしているクライアント端末を特定することはできない。
また、専用プログラムや端末を用いる方式では、一般に利用されている通常のコンピュータからサービスを利用する場合に、専用のハードウェアを導入しなければならない。従って、コストや専用のプログラムを配布/管理するコストがかかるため、汎用認証方式としては、改善する余地がある。
また、専用のネットワークを形成する場合には、当該ネットワークを経由するあらゆるアクセスをネットワーク通信のレベルで無差別に制限することになり、同等のセキュリティが不要な情報提供サービスや、情報システムを利用することもできなくなってしまう。
また、専用プログラムや端末を用いる方式では、一般に利用されている通常のコンピュータからサービスを利用する場合に、専用のハードウェアを導入しなければならない。従って、コストや専用のプログラムを配布/管理するコストがかかるため、汎用認証方式としては、改善する余地がある。
また、専用のネットワークを形成する場合には、当該ネットワークを経由するあらゆるアクセスをネットワーク通信のレベルで無差別に制限することになり、同等のセキュリティが不要な情報提供サービスや、情報システムを利用することもできなくなってしまう。
サーバへのアクセスのときに、動的に取得されるクライアント端末固有の情報と、利用者情報と、を利用する場合は、一旦サーバへのアクセスを始めた後に、アクセス中のクライアント端末の以外からのアクセスを拒絶することは可能となる。しかし、この方式ではサーバ側にアクセス可能なクライアント端末と利用者の情報を持っていないため、予め、特定のクライアント端末からのアクセスを制御することはできない。
また、クライアント端末側で端末固有情報を含む暗号鍵を生成してサーバに送付する方法による場合、クライアント端末側に特殊なプログラムを必要とする点で、汎用認証システムとしては改善する余地がある。
クライアント端末固有のIDと、利用者の情報と、をサーバで管理して、これを認証の判断材料とする場合は、単独の検索システムの利便性とセキュリティ上の堅牢性を両立させることが可能である。しかし、「クライアント固有のIDと利用者の情報の組み合わせ」と、アクセス可能な情報と、の対応を管理する必要があり、また、利用者が利用可能なクライアント端末を登録する必要があるため、汎用の認証システムとしては改善する余地がある。
本発明は、クライアント端末の固有のIDと、その利用者の認証情報と、を対応付けて管理された情報及び前記クライアント端末と、前記利用者と、の組み合わせに対するアクセス可能なリソースを管理する情報に基づいて、サーバ上のリソースへのアクセス可否の判定を行う判定ステップを有する認証方法であって、前記クライアント端末の固有のIDが、ネットワーク制御上の汎用IDであることを特徴とする。
本発明によれば、複数のクライアント端末がアクセス可能なサーバを有し、クライアント端末と、利用者の双方を特定した上で、サーバ上の情報やプログラムに対するアクセスを制御することができる。
このようなアクセス制御は、例えば、企業内の情報システム、あるいは、広くインターネット上でサービスを提供する情報システムにおいて、特に、セキュリティ上、アクセスするクライアント端末を特定する必要がある場合に有効である。
例えば、企業内において、特定の機密情報に対してのみ、同一の利用者であっても、強固な物理セキュリティ対策を施した端末室に設置したクライアント端末からしかアクセスできないようにすることができる。また、例えば、一般市場に対するサービスにおいても、同一の利用者であっても、利用者の自宅に設置したクライアント端末のみからアクセス可能にし、紛失や、他者によるなりすましの危険が大きい携帯端末からはアクセス不可能にすることができる。
以下、図面を参照して本実施形態について説明する。
ここでは、企業内で典型的に利用されている汎用認証システムを一例として取りあげて、本発明がどのように適用されるかを説明する。本発明は、必ずしも企業内の認証システムに利用範囲を限るものではなく、同様の管理を要求されるインターネット上のオープンなサービスやシステムにも十分に適用可能なものである。例えば、インターネット上のオープンなサービスやシステムへ適用する際の実施方法についても本発明の認証方式は適用可能である。
ここでは、企業内で典型的に利用されている汎用認証システムを一例として取りあげて、本発明がどのように適用されるかを説明する。本発明は、必ずしも企業内の認証システムに利用範囲を限るものではなく、同様の管理を要求されるインターネット上のオープンなサービスやシステムにも十分に適用可能なものである。例えば、インターネット上のオープンなサービスやシステムへ適用する際の実施方法についても本発明の認証方式は適用可能である。
(全体構成)
図1は、本実施形態に係るシステムの構成を示す図である。
図1において、認証サーバ1と、クライアント端末6と、アプリケーションサーバ8と、WWWサーバ10とは、それぞれコンピュータである。これらは、キーボード、マウス等の入力装置(不図示)と、ディスプレイ等の表示装置(不図示)と、を必要に応じて備えている。
図1は、本実施形態に係るシステムの構成を示す図である。
図1において、認証サーバ1と、クライアント端末6と、アプリケーションサーバ8と、WWWサーバ10とは、それぞれコンピュータである。これらは、キーボード、マウス等の入力装置(不図示)と、ディスプレイ等の表示装置(不図示)と、を必要に応じて備えている。
個人情報データベース3と、認証情報データベース4と、アプリケーションデータベース9と、WWWリソースデータ11とは、各々データの保存域である。これらについて、さまざまなデータベース管理プログラムを、別のコンピュータ上で動作させる場合もあれば、認証サーバ1、クライアント端末6、アプリケーションサーバ8又はWWWサーバ10上で、動作させる場合もある。さらに、認証サーバ1、アプリケーションサーバ8及びWWWサーバ10は、すべて物理的にひとつのコンピュータで実現することが可能であるし、同種の役割を担う多数のコンピュータで実現することも可能である。こうしたシステム構成の問題は、もっぱら個々の実現形態において、性能その他の要件によって設計されるべきものであり、本発明の効果とは無関係である。
図1は、以上のような要件を含みながら、本実施形態の説明に適した構成を示したものである。図1において、1は、認証サーバである。以後の説明において、本発明の認証システム2がプログラムとして動作する。認証サーバ1は、利用者と、クライアント端末固有のIDと、の組み合わせで、認証を行い、その他のアプリケーションに認証情報を提供する役割を担う。6は、クライアント端末であり、WWWブラウザ7が動作する。利用者は、クライアント端末6を用い、クライアント端末6上で動作するプログラムであるWWWブラウザ7を操作して、各種のアプリケーションサービスや、情報提供サービスを受ける。図1では、便宜上、クライアント端末6は、1つのみで構成されているが、実際には、多数のクライアント端末6が存在するものとして以下の説明を行う。
5は、ネットワークであり、LAN、WAN等の形態を問わず、インターネットプロトコルに代表される標準的なプロトコルを用いたものである。
3は、個人情報データベースである。個人情報データベース3は、企業内のシステムであれば、人事情報データベース、一般に公開されたシステムであれば顧客情報データベース等、システムの利用者の属性情報を保存しているデータベースである。個人情報データベース3は、本発明の利用例を示すためのものであり、個人情報データベース3が、存在しなくてもよい。
3は、個人情報データベースである。個人情報データベース3は、企業内のシステムであれば、人事情報データベース、一般に公開されたシステムであれば顧客情報データベース等、システムの利用者の属性情報を保存しているデータベースである。個人情報データベース3は、本発明の利用例を示すためのものであり、個人情報データベース3が、存在しなくてもよい。
4は、認証情報データベースである。認証情報データベース4は、利用者の認証情報、すなわち、利用者ID、パスワード、クライアント端末固有のID及び利用可能なアプリケーションの組み合わせを管理する。認証情報データベース4の内容については、本発明の中心をなすものであり、後に詳細に説明する。
8は、アプリケーションサーバである。アプリケーションサーバ8は、認証サーバ1によって付与された認証情報に従って、利用者及びクライアント端末を特定した上で、利用者に情報を提供するアプリケーションプログラムが動作する。
9は、上記アプリケーションプログラムが利用するアプリケーションデータベースである。アプリケーションプログラムの種類によっては、アプリケーションデータベース9が、不要な場合がある。また、1つのアプリケーションプログラムに対して複数のアプリケーションデータベース9が存在してもよい。
また、図1では、アプリケーションサーバ8及びアプリケーションデータベース9を1つのみとして説明しているが、これは、説明の便宜のためであって、実際には、アプリケーションサーバ8、アプリケーションデータベース9は多数に存在してもかまわない。本発明においては、原理的には、アプリケーションサーバ8、アプリケーションデータベース9の数に制限はない。
10は、WWWサーバである。11は、WWWリソースデータである。WWWサーバ10は、WWWブラウザ7からの要求に応じて、WWWリソースデータ11から指定のデータを呼び出し、WWWブラウザ7に送信する役割を行う。具体的には、認証サーバ1によって付与された認証情報に従って、WWWリソースデータ11のうち、アクセス可能なもののみをWWWブラウザ7に送信する。また、WWWサーバ10及びWWWリソースデータ11は、同一のコンピュータで実現可能であり、かつ、複数存在してもかまわないことは、アプリケーションサーバ8及びアプリケーションデータベース9と同様である。
(第1の実施形態)
上述した全体構成をもとに、本発明がどのように実現されるかを詳細に説明する。
図2は、第1の実施形態に係る処理を示すフローチャートである。図2のフローチャートは、大きく3段階に分かれている。
1段階目のステップS−A(S1、S2、S3)は、本認証システムに利用者情報と、クライアント端末固有のIDとを登録するステップである。このステップS−Aでは、新たな利用者やクライアント端末を登録する必要が発生するたびに実施するものである。
上述した全体構成をもとに、本発明がどのように実現されるかを詳細に説明する。
図2は、第1の実施形態に係る処理を示すフローチャートである。図2のフローチャートは、大きく3段階に分かれている。
1段階目のステップS−A(S1、S2、S3)は、本認証システムに利用者情報と、クライアント端末固有のIDとを登録するステップである。このステップS−Aでは、新たな利用者やクライアント端末を登録する必要が発生するたびに実施するものである。
2段階目のステップS4は、本認証システムを用いて認証制御を行うアプリケーションや、情報を登録する処理であり、新たに本認証システムを利用するアプリケーションや、WWWサーバが発生するたびに実施するものである。
以上、1段階目であるステップS−A及び2段階目であるステップS3は、認証に必要な情報を登録する事前準備のステップである。
以上、1段階目であるステップS−A及び2段階目であるステップS3は、認証に必要な情報を登録する事前準備のステップである。
3段階目のステップS−B(S5、S6、S7、S8)は、ステップS−A及びステップS3で、登録した情報をもとに、実際に認証を行うステップである。このステップS−Bでは、本認証システムを用いるアプリケーションやWWWサーバへ、利用者がアクセスする際に、実行するものである。
以下、ステップS1から順次説明を行う。
まず、ステップS1は、利用者を認証するステップである。利用者を認証する方式としては、ユーザIDとパスワードを利用者に入力させ、これをチェックする方式が一般的であり、すでに多くのシステムで実現されている。また、ICカード等の物理的な鍵を利用する方法や、生体認証を利用する方式、各種の暗号化と組み合わせる等、さまざまな方式も実現されている。本発明は、利用者とクライアント端末の組み合わせで認証を行う方式である。従って、利用者の認証方式が、どのようなものであろうと、結果としてWWWブラウザ7を経由して、認証システム2にアクセスする利用者が、認証情報データベース4に予め登録されている利用者と同一であることが確認できればよい。本実施形態では、ユーザIDとパスワードを用いて利用者を認証するものとして、説明する。
まず、ステップS1は、利用者を認証するステップである。利用者を認証する方式としては、ユーザIDとパスワードを利用者に入力させ、これをチェックする方式が一般的であり、すでに多くのシステムで実現されている。また、ICカード等の物理的な鍵を利用する方法や、生体認証を利用する方式、各種の暗号化と組み合わせる等、さまざまな方式も実現されている。本発明は、利用者とクライアント端末の組み合わせで認証を行う方式である。従って、利用者の認証方式が、どのようなものであろうと、結果としてWWWブラウザ7を経由して、認証システム2にアクセスする利用者が、認証情報データベース4に予め登録されている利用者と同一であることが確認できればよい。本実施形態では、ユーザIDとパスワードを用いて利用者を認証するものとして、説明する。
ステップS1では、認証情報データベース4に、図3のようなデータが格納されているものとして説明する。図3で示される、ユーザIDとパスワードは必須であり、その他の属性情報は、認証システムの用途によって任意に構築することができる。また、パスワードは、通常暗号化を施してデータベースに登録し、読み出し時に復号することが通常であるが、この機構については、本発明では特に言及しない。
なお、一般に企業等では、利用者情報は、人事情報システムにあらかじめ登録されていることが多い。また、一般の顧客を利用者とするシステムでは、顧客情報がデータベース化されている場合がある。個人情報データベース3は、このような利用者に対する各種の属性情報を管理するデータベースである。
ステップS1で利用者を認証する前に、利用を許可された利用者情報を予め、認証情報データベース4に登録しておく必要がある。この際には、個人情報データベース3より、利用者情報を抽出することで、図3における「その他の属性情報」について登録作業の効率を上げることができる。しかしながら、このような効率化は、すでに常識的に実施されているため、本発明では特に言及しない。
ステップS1では、利用者がクライアント端末6で、WWWブラウザ7を通じてユーザIDとパスワードとを入力し、これをネットワーク5を介して、認証サーバ1に送信する。認証システム2は、認証サーバ1に送信された、ユーザIDとパスワードとを検出し、認証情報データベース4に登録されている図3に例示したデータから、一致するユーザID及びパスワードがあるかどうかを検索する。認証情報データベース4に、一致するユーザID及びパスワードが存在すれば、利用者の認証は成功し、次のステップに進む。認証情報データベース4に、一致するユーザID及びパスワードが存在しない場合は、その旨を示すメッセージを、ネットワーク5を介してクライアント端末6へ送信して処理を中断する。
ステップS2では、アクセスしているクライアント端末6の、クライアント端末固有のIDを取得する。クライアント端末固有のIDとは、一般的には、IPアドレスと呼ばれるネットワーク内で固有のアドレス、又はMACアドレス(Media Access Control Address)と呼ばれるハードウェア固有アドレスを用いる場合がある。これらはいずれも、現状では、ネットワーク制御上において必須の汎用IDであり、これらのアドレスを持っていない汎用ネットワークアクセスは存在しない。
本発明では、このような汎用ID(汎用ネットワークアドレス)を用いることを特徴とするものである。これにより、クライアント端末6に特殊なソフトウェアやハードウェアを搭載したり、ネットワークを物理的に分離したりする等の対策が不要となり、汎用認証システムとしてより有効に利用可能となる。また、このような条件を満たし、かつ、認証サーバ1から取得可能なクライアント端末固有IDとしては、現状では、IPアドレス、MACアドレスが存在し、将来これら以外のクライアント端末固有のIDが一般化した場合は、そのIDを利用するようにしてもよい。以下、IPアドレス又はMACアドレスをクライアント端末固有のIDとして利用するものとして説明をする。
IPアドレスは、通常、一般的なWWWサーバの機能によって取得することが可能である。ただし、DHCP(Dynamic Host Configuration Protocol)を利用している場合等には、クライアント端末6に動的にIPアドレスが割り当てられるため、IPアドレスはクライアント端末固有のIDとしては利用できない。この場合には、MACアドレスをクライアント端末固有のIDとして利用することができる。
MACアドレスを取得する方法としては、一般に、DHCPサーバと呼ばれるネットワーク機器によって提供されているIPアドレスからMACアドレスを検索する機能を用いることができる。また、インターネット環境のように、多数の通信業者のサーバ等が介在してクライアント端末のMACアドレスをネットワーク経由で取得できない場合がある。この場合には、Java(登録商標)Appletに代表されるWWWブラウザ上で動作するプログラムを一時的にダウンロードしてMACアドレスを所得することも可能である。以上のような方法により、認証システム2が、クライアント端末6のMACアドレスを取得することも実現が可能である。
以上のような条件により、認証システムを利用する範囲や、ネットワーク環境に応じて、クライアント端末固有のIDとして、IPアドレスを選択するかMACアドレスを選択するかを決めればよい。ステップS2では、以上、説明したような方式により、クライアント端末固有のIDを取得する。
次に、ステップS3において、ステップS1で認証した利用者情報と、ステップS2で取得したクライアント端末固有のIDと、を対応付けて組み合わせ、認証情報データベース4に登録する。このとき、認証情報データベース4での登録情報は、図4のようになっている。図4は、ステップS2で認証したユーザIDと、クライアント端末固有のIDと、この組み合わせでアクセス可能な情報のアドレスと、を表形式で保存する形式となっている。なお、この時点では、アクセス可能情報は空欄となっている。このアクセス可能情報は、次の、ステップS4で登録する。なお、本実施形態では、認証情報データベース4において、ステップS1にて利用する情報(図3)と、ステップS2にて利用する情報(図4)とは、データベースの構成上、別のテーブルとして管理することを想定して説明する。
なお、これらのテーブルは、図5のようにひとつのテーブルとして管理することも可能である。このような情報の管理方法は、利用者に対して、クライアント端末固有のIDが概ね1つしかない場合に有効である。
また、図6のように、図4に示した情報を2つのテーブルに分けて管理することも可能である。図6に示されるアクセスランクとは、アクセス可能な情報を分類し、個々の分類ごとに付与したランクである。このような情報の管理方法は、利用者とクライアント端末固有のIDの組み合わせに対して、多数のアクセス可能情報が存在する場合に有効である。
図4、図5及び図6に示すような情報の管理方法は、一般にデータベースの正規化と呼ばれるデータベースを設計する上で一般的な手法であって、データの量や条件、要求される性能などによって使い分けられる。どのようなテーブル構成をとったとしても、結果として、利用者と、クライアント端末固有のIDと、アクセス可能情報と、組み合わせが管理できればよい。少なくとも利用者情報(ユーザID)とクライアント端末固有のIDの組み合わせが同一のテーブルで管理され、利用者情報(ユーザID)とクライアント端末固有IDとの組み合わせ及びアクセス可能情報の対応がとられていればよい。
以上のようにして、第1段目のステップS−A(ステップS1、S2、S3)の処理が終了する。この時点で、利用者情報と、クライアント端末固有のIDと、の組み合わせがあらかじめ登録されていることになる。なお、ステップS−Aでは、一般に実用に供されている利用者の認証手段を用いて、クライアント端末固有のIDを登録する事例を示している。これは、「利用者を認証する認証手段と、前記認証手段を用いて、前記利用者が利用可能なクライアント端末の固有のIDを登録する登録手段」を例示したものである。
しかしながら、これらの情報は、あらかじめ別の手段にて登録しておくこともできる。また、ここまでのステップS−Aの説明では、クライアント端末固有IDを、利用者の認証時に自動的に登録する例を示しているが、しかるべき管理者の承認を経て登録する機能等、実際の利用形態によってはさまざまな機能を付加することも可能である。
次に、ステップS4に進み、ステップS−Aで登録した、図4のようなユーザIDと、クライアント端末固有のIDと、の組み合わせに対して、利用可能な情報を登録する。ステップS4では、利用者ではなく、アプリケーションや情報の管理者が、別の機能を用いて登録することを想定している。データベースパッケージに通常付属しているデータ管理機能を用いることもできるし、専用の機能を構築することもできるが、これらの機能については、特に本発明では言及しない。
図7は、アクセス可能情報を登録した場合の概念図である。
本実施形態では、アクセス可能情報の登録形式としては、URL(Uniform Resource Locator)と呼ばれるネットワーク上でユニークな文字列を用いている。一般にURLは、WWWサーバと、WWWクライアント端末と、からなる情報システムにおいては、アプリケーションプログラムの起動や、WWWサーバ上にある特定のファイルを取得するための指示子としても機能する。そのため、認証システム2は、その管理下にあるあらゆるアプリケーションプログラムや、特定の情報に対して、利用者と、クライアント端末固有のIDと、の組み合わせにより、アクセスを許可したり拒否したりすることができる。
本実施形態では、アクセス可能情報の登録形式としては、URL(Uniform Resource Locator)と呼ばれるネットワーク上でユニークな文字列を用いている。一般にURLは、WWWサーバと、WWWクライアント端末と、からなる情報システムにおいては、アプリケーションプログラムの起動や、WWWサーバ上にある特定のファイルを取得するための指示子としても機能する。そのため、認証システム2は、その管理下にあるあらゆるアプリケーションプログラムや、特定の情報に対して、利用者と、クライアント端末固有のIDと、の組み合わせにより、アクセスを許可したり拒否したりすることができる。
なお、本発明を用いれば、さらに、アプリケーションプログラムの内部で制御しているデータベース上の特定のデータについて、アクセスを許可したり拒否したりすることも可能であるが、これについては、第2の実施形態で説明する。以上のようにして、第2段目のステップS4の処理が終了する。
次に、図2のステップS−B(ステップS5、S6、S7、S8)において、実際に利用者からのアクセスがあった際に、どのようにこれを判定し、アクセス可否の制御をするかについて説明する。
ステップS5において、利用者の認証を行う。この時点で、利用者が認証情報データベース4に登録されていない場合には、その旨のメッセージを、WWWブラウザ7に表示し、利用者からの要求を拒絶する。その詳細は、ステップS1と同様であるため、説明を省略する。
ステップS5において、利用者の認証を行う。この時点で、利用者が認証情報データベース4に登録されていない場合には、その旨のメッセージを、WWWブラウザ7に表示し、利用者からの要求を拒絶する。その詳細は、ステップS1と同様であるため、説明を省略する。
次に、ステップS6において、クライアント端末固有のIDを取得する。その詳細は、ステップS2と同様であるため説明を省略する。
ステップS7では、利用者が要求している情報が、当該利用者が、当該クライアント端末からのアクセスを許可されている情報かどうかを判定する。この時点では、図7に示したような、ユーザIDと、クライアント端末固有のIDと、アクセス可能情報と、の組み合わせが、認証情報データベース4に登録されている。
ステップS7では、利用者が要求している情報が、当該利用者が、当該クライアント端末からのアクセスを許可されている情報かどうかを判定する。この時点では、図7に示したような、ユーザIDと、クライアント端末固有のIDと、アクセス可能情報と、の組み合わせが、認証情報データベース4に登録されている。
ステップS5で認証したユーザID及びステップS6で取得した端末固有のIDの組み合わせで、認証情報データベース4に登録されている、図7に例示したテーブルを検索し、一致するものがあるかどうかを調べる。一致している情報があれば、当該利用者は、当該クライアント端末からのアクセスを許可された情報にアクセスしようとしていると判断し、次に進む。一致している情報がない場合には、当該利用者は、当該クライアント端末からのアクセスを許可されていない情報にアクセスしようとしていると判断し、その旨を、WWWブラウザ7に表示し、処理を中断する。
ステップS8では、ステップS7で、アクセスを許可した情報を、WWWブラウザ7に送信する。これは、当該利用者が、当該クライアント端末から、再び、同じ情報にアクセスしようとした際、ステップS5、S6、S7で示した認証処理を、再度実施することを避け、効率を保つためである。この処理は、通常、通信規約であるHTTPプロトコル(Hyper Text Transfer Protocol)に定められたCookieと呼ばれる領域に、認証システム2が、認証結果を書き込むことによって実現できる。
WWWブラウザ7は、認証結果が書き込まれたCookieの領域をそのまま、目的とするアプリケーションサーバ8や、WWWサーバ10に送信する。アプリケーションサーバ8上で動作するアプリケーションは、これを読み取って、認証されたアクセスであることを知ることができる。しかし、特定のアプリケーションに一回のみアクセスする場合等は、必ずしも、認証結果を、WWWブラウザ7に送信する必要はなく、指定されたアプリケーションと、認証システム2の間で直接通信をしてよい。
第1の実施形態によれば、利用者と当該利用者が利用中のクライアント端末の組み合わせで、URLで指示されるアプリケーションプログラムや、WWWサーバ上の特定のファイルへのアクセスが制御可能となる。こうしたアクセス制御は、企業内の情報システム、あるいは、広くインターネット上でサービスを提供する情報システムにおいて、特に、セキュリティ上、アクセスするクライアント端末を特定する必要がある場合に有効である。
第1の実施形態では、URLで指示されるアプリケーションプログラムや、WWWサーバ上の特定のファイルへのアクセスを制御可能とする場合について説明した。しかし、アプリケーションプログラムによっては、アプリケーションが管理するデータベースの特定のデータや、アプリケーション内部の特定の機能について利用者と当該利用者が利用中のクライアント端末の組み合わせでアクセス制御を行う場合も想定される。従って、このような必要性を、どのように本発明を利用してどのように実現するかを、第1の実施形態と異なる部分を中心に説明する。
(第2の実施形態)
図8は、第2の実施形態に係る、図1のアプリケーションサーバ8と、アプリケーションデータベース9の内部を論理的に分割した概念図である。アプリケーションプログラム81は、アプリケーションサーバ8上で動作するアプリケーションプログラムであり、この機能の中で本実施形態で示すアクセス制御を行う。また、アプリケーションデータベース91は、アプリケーションが提供する情報そのものを格納したデータベースである。アクセス制御データベース92は、特に、本実施形態でアクセス制御を行うためのデータベースである。
図8は、第2の実施形態に係る、図1のアプリケーションサーバ8と、アプリケーションデータベース9の内部を論理的に分割した概念図である。アプリケーションプログラム81は、アプリケーションサーバ8上で動作するアプリケーションプログラムであり、この機能の中で本実施形態で示すアクセス制御を行う。また、アプリケーションデータベース91は、アプリケーションが提供する情報そのものを格納したデータベースである。アクセス制御データベース92は、特に、本実施形態でアクセス制御を行うためのデータベースである。
以下、第2の実施形態について、図2のフローチャートを参照しながら、第1の実施形態との違いを中心に説明する。ステップS−A(S1、S2、S3)については、第1の実施形態と同様である。
次に、ステップS4において、第1の実施形態では、認証情報データベース4に、図7に示すように、ユーザIDと、クライアント端末固有のIDと、アクセス可能な情報と、を登録している。この際、アクセス可能情報の登録形式は、アプリケーションの起動が可能な識別子であるURLであった。
第2の実施形態では、これに加えて、起動されたアプリケーションの中で、より詳細な機能やデータの範囲を管理する必要がある。そこで、各アプリケーションプログラム81に対応するアクセス制御データベース92に、その情報を登録しておく。
次に、ステップS4において、第1の実施形態では、認証情報データベース4に、図7に示すように、ユーザIDと、クライアント端末固有のIDと、アクセス可能な情報と、を登録している。この際、アクセス可能情報の登録形式は、アプリケーションの起動が可能な識別子であるURLであった。
第2の実施形態では、これに加えて、起動されたアプリケーションの中で、より詳細な機能やデータの範囲を管理する必要がある。そこで、各アプリケーションプログラム81に対応するアクセス制御データベース92に、その情報を登録しておく。
図9は、この時点でのアクセス制御データを例示した概念図である。図9に示すアクセス可能機能とは、アプリケーションプログラム81内部の詳細な機能を指す識別子であり、プログラム名、機能名、メニュー名等を指している。アプリケーションプログラム81が、識別可能であれば、アプリケーション内部にのみ通用するIDでも構わない。
また、図9に示すアクセス可能データ範囲とは、アプリケーションデータベース91に格納されているデータの特定のキー項目の範囲を示している。例えば、データの機密度に応じて割り振られたIDなどの範囲を登録する。これも、アプリケーションプログラム81が、識別可能であれば、アプリケーション内部にのみ通用するIDでも構わない。次に、ステップS5、S6、S7は、認証システムの動作であり、第1の実施形態と同様である。
次に、ステップS8において第1の実施形態では、認証システム2は、WWWブラウザ7に認証結果情報を送信している。第2の実施形態では、これに加え、少なくとも、ユーザID及びクライアント端末固有のIDも送信する。
次に、図2に示した一連の認証処理を終わり、アプリケーションサーバ8に、WWWブラウザ7がアクセスした後について説明する。WWWブラウザ7は、図2のステップS8で送信されたユーザIDと、クライアント端末固有のIDとを、アプリケーションサーバ8に送信する。アプリケーションプログラム81は、この情報をキーとして、ステップS4で登録済みのアクセス制御データベース92を読み取り、当該利用者と当該クライアント端末からアクセス可能な機能やデータの範囲を読み取る。そして、読み取ったアクセス可能な機能やデータの範囲を基に動作し、必要に応じてアクセス可能な機能やデータ範囲を制限する。
次に、図2に示した一連の認証処理を終わり、アプリケーションサーバ8に、WWWブラウザ7がアクセスした後について説明する。WWWブラウザ7は、図2のステップS8で送信されたユーザIDと、クライアント端末固有のIDとを、アプリケーションサーバ8に送信する。アプリケーションプログラム81は、この情報をキーとして、ステップS4で登録済みのアクセス制御データベース92を読み取り、当該利用者と当該クライアント端末からアクセス可能な機能やデータの範囲を読み取る。そして、読み取ったアクセス可能な機能やデータの範囲を基に動作し、必要に応じてアクセス可能な機能やデータ範囲を制限する。
例えば、ある利用者とクライアント端末との組み合わせでアクセス可能な機能として“A”という機能のみが登録されていた場合には、表示メニュー上、“A”のみを表示する。また、ある利用者とクライアント端末との組み合わせでアクセス可能なデータ範囲として、アプリケーションデータベースの特定テーブルのキー情報が、1以上30以下の範囲に設定されている場合、検索結果から上記の範囲のみを表示する等である。
第2の実施形態によれば、アプリケーションごとの詳細なアクセス制御にも適用可能であることがわかる。なお、第2の実施形態では、アクセス制御データベース92に、図9のように、ユーザIDとクライアント端末固有IDとを持ち、これをキーとして、アクセス可能な機能や、データ範囲を検索するようにしている。また、アプリケーションプログラム81は、認証システム2から、WWWブラウザ7を通じて、ユーザIDとクライアント端末固有のIDとを受け取るようにしている。
しかしながら、このようなアプリケーションプログラム81と、認証システム2の機能分担は、他に様々な機能分担もしてもよい。例えば、図6に示したようなアクセスランクを、アプリケーション共通に定義しておき、アプリケーションプログラム81は、認証システム2から、WWWブラウザ7を通じて、アクセスランクを受け取るようにしても構わない。
上述した本発明の実施形態における認証装置を構成する各手段、並びに認証法の各ステップは、コンピュータのRAMやROM等に記憶されたプログラムが動作することによって実現できる。このプログラム及び前記プログラムを記録したコンピュータ読み取り可能な記録媒体は本発明に含まれる。
1 認証サーバ
2 認証システム
3 個人情報データベース
4 認証情報データベース
5 ネットワーク
6 クライアント端末
7 WWWブラウザ
8 アプリケーションサーバ
9 アプリケーションデータベース
10 WWWサーバ
11 WWWリソースデータ
81 アプリケーションプログラム
91 アプリケーションデータベース
92 アプリケーションが利用する認証データベース
2 認証システム
3 個人情報データベース
4 認証情報データベース
5 ネットワーク
6 クライアント端末
7 WWWブラウザ
8 アプリケーションサーバ
9 アプリケーションデータベース
10 WWWサーバ
11 WWWリソースデータ
81 アプリケーションプログラム
91 アプリケーションデータベース
92 アプリケーションが利用する認証データベース
Claims (5)
- クライアント端末の固有のIDと、その利用者の認証情報と、を対応付けて管理された情報及び前記クライアント端末と、前記利用者と、の組み合わせに対するアクセス可能なリソースを管理する情報に基づいて、サーバ上のリソースへのアクセス可否の判定を行う判定ステップを有する認証方法であって、
前記クライアント端末の固有のIDが、ネットワーク制御上の汎用IDであることを特徴とする認証方法。 - 利用者を認証する認証手段と、前記認証手段を用いて、前記利用者が利用可能なクライアント端末の固有のIDを登録する登録手段と、を有する認証装置の認証方法であって、
前記クライアント端末の固有のIDと、前記利用者の認証情報と、を対応付けて管理された情報及び前記クライアント端末と、前記利用者と、の組み合わせに対するアクセス可能なリソースを管理する情報に基づいて、サーバ上のリソースへのアクセス可否の判定を行う判定ステップを有し、
前記クライアント端末の固有のIDが、ネットワーク制御上の汎用IDであることを特徴とする認証方法。 - 前記クライアント端末の固有のIDは、IPアドレス又はMACアドレスであることを特徴とする請求項1又は2に記載の認証方法。
- クライアント端末の固有のIDと、その利用者の認証情報と、を対応付けて管理された情報及び前記クライアント端末と、前記利用者と、の組み合わせに対するアクセス可能なリソースを管理する情報に基づいて、サーバ上のリソースへのアクセス可否の判定を行う判定手段を有する認証装置であって、
前記クライアント端末の固有のIDが、ネットワーク制御上の汎用IDであることを特徴とする認証装置。 - クライアント端末の固有のIDと、その利用者の認証情報と、を対応付けて管理された情報及び前記クライアント端末と、前記利用者と、の組み合わせに対するアクセス可能なリソースを管理する情報に基づいて、サーバ上のリソースへのアクセス可否の判定を行う判定ステップをコンピュータに実行させるためのプログラムであって、
前記クライアント端末の固有のIDが、ネットワーク制御上の汎用IDであることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007132101A JP2008287524A (ja) | 2007-05-17 | 2007-05-17 | 認証方法、認証装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007132101A JP2008287524A (ja) | 2007-05-17 | 2007-05-17 | 認証方法、認証装置及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008287524A true JP2008287524A (ja) | 2008-11-27 |
Family
ID=40147180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007132101A Pending JP2008287524A (ja) | 2007-05-17 | 2007-05-17 | 認証方法、認証装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008287524A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014157483A (ja) * | 2013-02-15 | 2014-08-28 | Omron Corp | コントローラおよび情報処理装置 |
-
2007
- 2007-05-17 JP JP2007132101A patent/JP2008287524A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014157483A (ja) * | 2013-02-15 | 2014-08-28 | Omron Corp | コントローラおよび情報処理装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6599906B2 (ja) | ログインアカウントのプロンプト | |
| US8688813B2 (en) | Using identity/resource profile and directory enablers to support identity management | |
| JP6306055B2 (ja) | アクセス制御のための自由形式メタデータの使用 | |
| US10375177B1 (en) | Identity mapping for federated user authentication | |
| JP2007164661A (ja) | ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法 | |
| CN105516059B (zh) | 一种资源访问控制方法和装置 | |
| US10326731B2 (en) | Domain name service information propagation | |
| TWI521373B (zh) | 在保護使用者隱私的同時進行單次登入之方法與系統 | |
| US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
| US20150020179A1 (en) | Cloud computing system | |
| US20160269446A1 (en) | Template representation of security resources | |
| CA3122376A1 (en) | Systems and methods for securing login access | |
| JP2008015733A (ja) | ログ管理計算機 | |
| JP2012033042A (ja) | シングルサインオンシステム及びシングルサインオン方法 | |
| JP2007034677A (ja) | ディレクトリ情報提供方法、ディレクトリ情報提供装置、ディレクトリ情報提供システム、及びプログラム | |
| CN113765676B (zh) | 基于用户多身份的接口访问控制方法及相关设备 | |
| JP5116123B2 (ja) | 通信システム、ポータルサーバ、サービスサーバ、通信方法及びプログラム | |
| JP2008287524A (ja) | 認証方法、認証装置及びプログラム | |
| JP6570090B2 (ja) | ルータ装置及びルータ装置のフィルタリング方法 | |
| Al-Bahri et al. | DOA Based Identification for Devices and Applications of IoT in Heterogeneous Networks | |
| US10911404B1 (en) | Attribute based authorization | |
| JP2017062627A (ja) | 認証処理システム、認証処理方法及び認証処理プログラム | |
| JP6395227B2 (ja) | ルータ装置及びルータ装置のフィルタリング方法 | |
| JP2004295711A (ja) | パスワード管理方法 | |
| JP6267932B2 (ja) | ログ取得装置、ログ取得方法、及びプログラム |