JP2009223502A - 認証システム、認証方法、サーバ装置、認証装置、プログラム - Google Patents
認証システム、認証方法、サーバ装置、認証装置、プログラム Download PDFInfo
- Publication number
- JP2009223502A JP2009223502A JP2008065981A JP2008065981A JP2009223502A JP 2009223502 A JP2009223502 A JP 2009223502A JP 2008065981 A JP2008065981 A JP 2008065981A JP 2008065981 A JP2008065981 A JP 2008065981A JP 2009223502 A JP2009223502 A JP 2009223502A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- pattern
- database
- resource class
- server device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】認証装置による認証をサーバ装置による認証に転用する認証技術において、サーバ装置が提供可能なソフトウェアリソースに応じて要求される認証方式に従って認証装置が認証を行う。
【解決手段】サーバ装置に、ソフトウェアリソースとソフトウェアリソースの分類を表すリソースクラスとの対応関係を表すリソースクラスデータベースと、認証パターンとリソースクラスとの対応関係を表す認証パターンデータベースとが記憶され、認証装置に、認証パターンと認証方式との対応関係を表す認証方式データベースが記憶されている。サーバ装置ではソフトウェアリソースに対応するリソースクラスから認証パターンを特定し、認証装置ではサーバ装置で特定された認証パターンに対応する認証方式の組合せの中の認証方式で認証を行う。
【選択図】図7
【解決手段】サーバ装置に、ソフトウェアリソースとソフトウェアリソースの分類を表すリソースクラスとの対応関係を表すリソースクラスデータベースと、認証パターンとリソースクラスとの対応関係を表す認証パターンデータベースとが記憶され、認証装置に、認証パターンと認証方式との対応関係を表す認証方式データベースが記憶されている。サーバ装置ではソフトウェアリソースに対応するリソースクラスから認証パターンを特定し、認証装置ではサーバ装置で特定された認証パターンに対応する認証方式の組合せの中の認証方式で認証を行う。
【選択図】図7
Description
この発明は、多要素認証技術とシングルサインオン技術との組合せ技術に関する。
パスワード認証、生体情報を用いた認証、ICカード認証、回線認証、その他さまざまな認証を組み合わせて認証強度を高めることを多要素認証と呼び、現在、徐々にインターネットバンキング等で利用されつつある。
一方、一度の認証で複数のコンピュータ(以下、サーバ装置という。)上のソフトウェアリソースの利用を可能にすることによって、ユーザが異なるサーバ装置上のソフトウェアリソースを利用する毎に認証を実施する必要をなくす機能をシングルサインオンと呼び、徐々にその実施が拡大しつつある(例えば非特許文献1参照)。
シングルサインオン技術として、OASISという団体が標準化を推進しているSAML v2.0(非特許文献2参照)という方式が一般的になりつつあり、サーバ装置(サービスプロバイダー;SP)とユーザ装置(ユーザーエージェント;UA)とは別に認証装置(アイデンティティープロバイダー;IDP)があり、認証を一括して実施する仕組みになっている。
エヌ・ティ・ティ・コミュニケーションズ株式会社、「マスターID」、[平成20年3月5日検索]、インターネット〈URL:https://506506.ntt.com/masterid/〉 OASIS (Organization for the Advancement of Structured Information Standards), "Security Assertion Markup Language(SAML) v2.0", [平成20年3月5日検索], インターネット <URL : http://www.oasis-open.org/specs/index.php#samlv2.0>
エヌ・ティ・ティ・コミュニケーションズ株式会社、「マスターID」、[平成20年3月5日検索]、インターネット〈URL:https://506506.ntt.com/masterid/〉 OASIS (Organization for the Advancement of Structured Information Standards), "Security Assertion Markup Language(SAML) v2.0", [平成20年3月5日検索], インターネット <URL : http://www.oasis-open.org/specs/index.php#samlv2.0>
今後、認証に多要素認証技術およびシングルサインオン技術を利用するというニーズが高まると予想される。
認証装置と複数のサーバ装置との間でシングルサインオン認証を行う場合、各々のサーバ装置で採用される認証強度を確保する方針(ポリシー)が異なることが予想され、この際、認証装置がそれぞれのサーバ装置の要求する強度の認証に柔軟に対応する必要が生じるであろう。
一つのサーバ装置においてソフトウェアリソースの内容に応じて認証強度の異なる複数の認証が必要な例として、インターネットバンキングがある。単に口座の残高確認であればパスワードのみでいいが、振込み等の場合にはセキュリティを高めるために第2の認証を要求するといった仕組みが取り入れられている。
こうした複数の認証を必要とするサーバ装置同士がシングルサインオンで連携する場合として、高額の商品をネットショッピングで購入する場合が考えられる。高額取引である場合、複数の銀行口座から分割してネットショッピングサイトに入金することが考えられるが、各銀行サーバ装置にアクセスするたびに認証を実施しなければならなく、これを煩わしいとユーザが感じるであろう。このような状況に対して、各銀行サーバ装置がシングルサインオンで連携することが考えられるが、各銀行サーバ装置には銀行サーバ装置ごとのポリシーがあり、サービスに必要な認証方式の組み合わせが各銀行サーバ装置で一般的に異なることを考慮しなければならない。例えば取引額が500万円として、A銀行サーバ装置から300万円、B銀行サーバ装置から150万円、C銀行サーバ装置から50万円をネットショッピングサイトに入金する場合の例では、各銀行サーバ装置の振込金額等で定まる認証ポリシーに応じて、A銀行サーバ装置ではパスワード認証、指紋認証、リスクベース認証を必要とし、B銀行サーバ装置では第1パスワード認証、第2パスワード認証、カード認証を必要とし、C銀行サーバ装置ではパスワード認証、カード認証を必要とするといったように、サービスに必要な認証方式の組み合わせが各銀行サーバ装置で異なる。
また、上述の銀行サーバ装置の場合と同様に、インターネットサービスプロバイダーは、サービスごとに認証のポリシーを持っており、このポリシーに基づいて各種認証の組み合わせを要求することが現実的であろう。
このような状況に鑑みて本発明は、認証装置による認証をサーバ装置による認証に転用する認証技術において、サーバ装置が提供可能なソフトウェアリソースに応じて要求される認証方式に従って認証装置が認証を行う技術を提供することを目的とする。
上記課題を解決するため、本発明では、サーバ装置の記憶部に、サーバ装置が提供可能なソフトウェアリソースとソフトウェアリソースの分類を表すリソースクラスとの対応関係を表すリソースクラスデータベースと、認証パターンと少なくともリソースクラスとの対応関係を表す認証パターンデータベースとが記憶されており、認証装置の記憶部に、認証パターンと認証方式との対応関係を表す認証方式データベースが記憶されていることを、特徴の一つとする。サーバ装置のリソースクラス特定部は、リソースクラスデータベースを参照して、ソフトウェアリソースに対応するリソースクラスを特定する。そして、サーバ装置の認証パターン特定部が、認証パターンデータベースを参照して、特定されたリソースクラスに対応する認証パターンを特定する。この特定された認証パターンは、認証装置に送信される。認証装置の認証方式特定部は、認証装置の記憶部に記憶されている認証方式データベースを参照して、サーバ装置から受信した認証パターンに対応する認証方式の中から認証を行う認証方式を特定する。そして、認証装置の認証実行部が、特定された一つまたは複数の認証方式に従って認証を行う。この認証結果はサーバ装置に送信される。
つまり、サーバ装置では、ソフトウェアリソースに対応するリソースクラスから認証パターンを特定し、認証装置では、サーバ装置で特定された認証パターンに対応する認証方式の中から特定された認証方式で認証を行う。認証結果はサーバ装置に送信され、認証パターンに対応した認証結果としてサーバ装置に認識される。
本発明に拠れば、サーバ装置でソフトウェアリソースと認証パターンとの間に関連付けがなされており、認証装置で認証パターンと認証方式との間に関連付けがなされているから、サーバ装置で提供可能なソフトウェアリソースに応じて要求される認証方式に従って認証装置が認証を行うことができる。
図を参照しながら、本発明の実施形態について説明する。
本発明の実施形態である認証システム1は、相互に通信可能とされた、サーバ装置200、認証装置300から構成される(図1参照)。一つの認証装置300に対して複数のサーバ装置200が存在するのが通例の実施形態であり、この発明の理解を容易にする観点から、一つの認証装置300に対して二つのサーバ装置200、400が存在する実施形態として説明する。
本発明の実施形態である認証システム1は、相互に通信可能とされた、サーバ装置200、認証装置300から構成される(図1参照)。一つの認証装置300に対して複数のサーバ装置200が存在するのが通例の実施形態であり、この発明の理解を容易にする観点から、一つの認証装置300に対して二つのサーバ装置200、400が存在する実施形態として説明する。
また、この実施形態では、各サーバ装置200、400の保有するソフトウェアリソースの提供に際して行われる認証として説明を行う観点から、リソース提供の相手方であってかつ認証装置300が行う認証の対象であるユーザ装置100が認証システム1に備わっている。
各サーバ装置200、400は中央処理装置、記憶装置、送受信装置などのハードウェアを備えたコンピュータで実現され、各サーバ装置200、400が発揮する機能構成部は所望の機能を発現するように記述されたプログラムを中央処理装置が解釈・実行することで実現される。ユーザ装置100、認証装置300についても同様である。
ユーザ装置100は、各サーバ装置200、400のソフトウェアリソース(アプリケーションサービス、データ、その他種々のリソースを含む。)を指示する情報であるリソース指示情報を、サーバ装置200あるいはサーバ装置400に対して送信する送信部101と、認証装置300との間で認証を行う認証処理部102とを備える(図1参照)。
サーバ装置200は、記憶部209を備えており、この記憶部209に、後述するリソースクラスデータベース209bと認証パターンデータベース209cが記憶される。また、ユーザ装置100からリソース指示情報を受信する受信部201と、リソースクラスデータベース209bを参照して、リソース指示情報で指示されたソフトウェアリソースに対応するリソースクラスを特定するリソースクラス特定部202と、認証パターンデータベース209cを参照して、リソースクラス特定部202によって特定されたリソースクラスに対応する認証パターンを特定する認証パターン特定部203と、認証パターン特定部203によって特定された認証パターンを認証装置300に送信する送信部204を備える(図1参照)。
リソースクラスデータベース209bは、サーバ装置200で提供可能なソフトウェアリソースとソフトウェアリソースの分類を表すリソースクラスとの対応関係を表すデータベースである(図2参照)。図2に示すように、例えばソフトウェアリソース(1)〜(3)がリソースクラス1に分類されている。このため、リソース指示情報で指示されるソフトウェアリソースがソフトウェアリソース(3)である場合を例に採ると、このリソースクラスデータベース209bを参照することで、ソフトウェアリソース(3)に対応するリソースクラスをリソースクラス1と特定できる。
認証パターンデータベース209cは、リソースクラスとユーザ装置との組合せと、認証パターンとの対応を表すデータベースである(図3参照)。認証パターンは、認証装置300で実施可能な認証方式のうち一つ以上を指定することに用いられる識別力のある名前(識別子)であり、リソースクラスとユーザ装置との組合せに応じて必要な種類が用意される(認証パターンは後述する認証方式データベース309aに関連するので、そこでも説明を加える。)。図3に示す例では、認証パターンA〜Dが用意されている。図3に示す例では、認証パターンデータベース209cは、例えばユーザ装置αについて、リソースクラス1の場合に認証パターンC、リソースクラス2の場合に認証パターンB、リソースクラス3の場合に認証パターンAを対応させている。このため、ユーザ装置αかつリソースクラス2である場合を例に採ると、この認証パターンデータベース209cを参照することで、ユーザ装置αとリソースクラス2との組合せに対応する認証パターンを認証パターンBと特定できる。
同一のリソースクラスにつき、ユーザ装置ごとに認証パターンを定める理由は、様々なユーザの各状況を勘案すると、認証装置300で実施可能な一つ以上の認証方式の中にユーザが実施できない認証方式が含まれる場合があり、このような場合に、同じセキュリティレベルが確保できる代替の認証方式があれば、その認証方式を利用できるようにするためである。
逆に全てのユーザ装置が指定された認証方式で認証を実施できるのであれば、認証パターンデータベース209cは、リソースクラスとユーザ装置との組合せと認証パターンとの対応を表すデータベースである必要はない。つまり、認証パターンと少なくともリソースクラスとの対応を表すデータベースであれば足りる。この場合、認証パターンデータベース209cは、ユーザ装置が何れかに関わりなく、リソースクラスごとに一つの認証パターンを定めたデータベースとなる。
サーバ装置200について説明したことは、サーバ装置400は固よりその他のサーバ装置についても当てはまる。
次に、認証装置300は、記憶部309を備えており、この記憶部309に、認証方式データベース309aが記憶される(図1参照)。
認証方式データベース309aは、認証パターンと認証方式との対応関係を表すデータベースである(図4参照)。認証方式は認証装置300が実施可能な認証方式であり、認証装置300は複数の認証方式を実施可能であるとする。例えば図4に示す認証方式データベース309aは、認証装置300が認証方式ア〜クの8種類の認証方式を実施可能であることを意味する。認証方式の例としては、回線認証、機器認証、パスワード認証、カード認証などが挙げられる。この認証方式データベース309aは、サーバ装置ごとに用意される。このため、図4に示す認証方式データベース309aがサーバ装置200に対応するものとすれば、認証パターンは、サーバ装置200で用意されるその種類と同じだけ用意され、この例では認証パターンA〜Dの4種類の認証パターンが用意されることになる。
また、図4に示す認証方式データベース309aでは、認証パターンに対応する認証方式ごとに、認証成功の要否と有効期間が指定されている。但し、実施不要の認証方式(図中では「×」で略記してある。)については、認証成功の要否と有効期間を指定する必要はない。ここで認証成功の要否は、各認証方式について、サーバ装置がユーザ装置に対してソフトウェアリソースの提供を行うために認証成功することが求められる必要性の程度を表す。認証成功の要否には、認証成功必要と認証成功任意の2種類が存在する(図中では「必要」「任意」で略記してある。)。認証成功必要は、それが指定された認証方式について、サーバ装置がユーザ装置に対してソフトウェアリソースの提供を行うために必ず認証成功することが求められることを表す。認証成功任意は、それが指定された認証方式について、サーバ装置がユーザ装置に対してソフトウェアリソースの提供を行うために必ずしも認証成功することが求められるものではないことを表す。認証成功任意の意義は、サーバ装置において、認証成功任意が指定された認証方式の認証結果次第でソフトウェアリソースの内容に係る付帯条件等を設定することに利用できることにあり、詳しくは後述する。図4に示す例では、例えば認証パターンBについて、認証方式アを認証成功必要かつ1時間有効、認証方式イを認証成功任意かつ1時間有効、認証方式ウを認証成功任意かつ30分有効、認証方式エを認証不要などとして定められている。
認証方式データベース309aでは、この例に限らず、有効期間を定めなくてもよい。また、認証成功の要否を定めることも必須ではなく、認証方式ごとに認証実施/認証不実施の区別だけを定めてもよい。
なお、認証パターンごとに対応する認証方式の指定、認証成功の要否、有効期間は予めサーバ装置200からの指示によって決定されているとする。
同様に、サーバ装置400に対応する認証方式データベースの一例を、認証パターンA〜Cの3種類の認証パターンが用意された場合として、図5に示す。このように、認証方式データベースは、サーバ装置ごとに独立別個に定められる。
記憶部309には、各ユーザ装置について、各認証方式の前回の認証結果を対応させた認証結果データベース309bも記憶されている。例えば、図6に示すように、ユーザ装置ごとに、複数の認証方式に対する認証結果とその認証実施時刻が登録されている。図6に示す例では、例えばユーザ装置βについて、認証方式アで認証成功かつ9時12分実施、認証方式イで未実施、認証方式ウで認証失敗かつ9時11分実施、認証方式エで未実施などとして登録されている。
また、認証装置300は、サーバ装置200から認証パターンを受信する受信部301と、認証方式データベース309aを参照して、受信した認証パターンに対応する認証方式の中から認証を行う認証方式を特定する認証方式特定部302と、認証方式特定部302によって特定された一つまたは複数の認証方式に従って、ユーザ装置100との間で認証を行う認証実行部303と、認証実行部303による認証結果をサーバ装置200に送信する送信部304とを備える(図1参照)。
次に、図7を参照して、認証システム1における処理の流れを叙述的に説明する。
まず、ユーザ装置100の送信部101は、サーバ装置200が提供可能なソフトウェアリソースを指示する情報であるリソース指示情報を、サーバ装置200に対して送信する(ステップS1)。
まず、ユーザ装置100の送信部101は、サーバ装置200が提供可能なソフトウェアリソースを指示する情報であるリソース指示情報を、サーバ装置200に対して送信する(ステップS1)。
サーバ装置200の受信部201が、ユーザ装置100からリソース指示情報を受信すると(ステップS2)、サーバ装置200のリソースクラス特定部202が、記憶部209に記憶されたリソースクラスデータベース209bを参照して、リソース指示情報が指示するソフトウェアリソースに対応するリソースクラスを特定する(ステップS3)。
そして、サーバ装置200の認証パターン特定部203が、記憶部209に記憶された認証パターンデータベース209cを参照して、ステップS3の処理において特定されたリソースクラスとユーザ装置との組合せに対応する認証パターンを特定する(ステップS4)。既述のとおり、ユーザ装置に依存しない場合には、リソースクラスに対応する認証パターンを特定すればよい。
サーバ装置200の送信部204は、ステップS4の処理において特定された認証パターンを認証装置300に送信する(ステップS5)。この処理では、認証装置300で認証結果データベース309bの作成のためにユーザ装置を特定する情報も認証装置300に送信する。この処理は、SAML v2.0を利用する場合、例えば、認証要求情報に併せて、認証パターンとユーザ装置特定情報を記述したAppendixを認証装置300に送信する処理となる。
認証装置300の受信部301が、サーバ装置200から認証パターンとユーザ装置特定情報を受信すると(ステップS6)、認証装置300の認証方式特定部302が、記憶部309に記憶されたサーバ装置200に対応する認証方式データベース309aを参照して、受信した認証パターンに対応する認証方式の中から認証を行う認証方式を特定する(ステップS7)。
図4に示す例で、この特定の手順を、認証パターンが認証パターンBである場合で代表して説明する。サーバ装置200に対応する認証方式データベース309a(図4参照)では、認証パターンBについて、認証方式アが認証成功必要かつ1時間有効、認証方式イが認証成功任意かつ1時間有効、認証方式ウが認証成功任意かつ30分有効、認証方式エが認証不要などとなっている。そこで、認証成功の要否の指定によらず、認証不要と指定された認証方式を除く認証方式を、認証を行う認証方式の候補とする。その例では、認証方式特定部302は、認証方式ア、イ、ウ、カ、キを認証を行う認証方式の候補として特定する。
認証方式特定部302は、認証装置300の現在時刻管理部(図示しない。)が提供する現在時刻および記憶部309に記憶された認証結果データベース309b(図6参照)を参照して、上記候補の認証方式のうち、前回の認証時刻から有効期間を徒過した認証方式、未実施の認証方式、前回の認証結果が認証失敗である認証方式を、認証を行う認証方式として特定する。
このことを、次のような状況設定を例にして説明する。
<状況設定>
前回の認証は、ユーザ装置βがサーバ装置400の或るソフトウェアリソースの提供を受けようとしてサーバ装置400の認証パターンAに対応する認証方式に従い、ユーザ装置βと認証装置300との間で認証が行われた。今回の認証は、ユーザ装置βがサーバ装置200の或るソフトウェアリソースの提供を受けようとしてサーバ装置200の認証パターンBに対応する認証方式に従い、ユーザ装置βと認証装置300との間で認証が行われようとしている。なお、サーバ装置400に対応する前回の認証結果は図6に示す認証結果データベースのとおりであり、サーバ装置400に対応する認証方式データベースは図5に示すとおりとする。
<状況設定>
前回の認証は、ユーザ装置βがサーバ装置400の或るソフトウェアリソースの提供を受けようとしてサーバ装置400の認証パターンAに対応する認証方式に従い、ユーザ装置βと認証装置300との間で認証が行われた。今回の認証は、ユーザ装置βがサーバ装置200の或るソフトウェアリソースの提供を受けようとしてサーバ装置200の認証パターンBに対応する認証方式に従い、ユーザ装置βと認証装置300との間で認証が行われようとしている。なお、サーバ装置400に対応する前回の認証結果は図6に示す認証結果データベースのとおりであり、サーバ装置400に対応する認証方式データベースは図5に示すとおりとする。
このとき、認証装置300の認証方式特定部302は、例えば現在時刻が9時30分である場合、候補である各認証方式ア、イ、ウ、カ、キについて、図6に示す認証結果データベース309bを参照して、
<1>認証方式アの認証結果は認証成功であり、前回認証時刻9時12分から有効期間1時間を徒過していないので、認証方式アを認証を行う認証方式として採用しない、
<2>認証方式イは前回認証で何らかの理由で未実施であるから、認証方式イを認証を行う認証方式として採用する、
<3>認証方式ウは、前回認証時刻9時11分から有効期間30分を徒過していないが、前回の認証結果が認証失敗であるから、認証方式ウを認証を行う認証方式として採用する、
<4>認証方式カの認証結果は認証成功であり、前回認証時刻9時14分から有効期間2時間を徒過していないので、認証方式カを認証を行う認証方式として採用しない、
<5>認証方式キは、前回の認証結果が認証成功であるが、前回認証時刻9時11分から有効期間10分を徒過しているため、認証方式キを認証を行う認証方式として採用する、として、認証を行う認証方式をイ、ウ、キに特定する。
<1>認証方式アの認証結果は認証成功であり、前回認証時刻9時12分から有効期間1時間を徒過していないので、認証方式アを認証を行う認証方式として採用しない、
<2>認証方式イは前回認証で何らかの理由で未実施であるから、認証方式イを認証を行う認証方式として採用する、
<3>認証方式ウは、前回認証時刻9時11分から有効期間30分を徒過していないが、前回の認証結果が認証失敗であるから、認証方式ウを認証を行う認証方式として採用する、
<4>認証方式カの認証結果は認証成功であり、前回認証時刻9時14分から有効期間2時間を徒過していないので、認証方式カを認証を行う認証方式として採用しない、
<5>認証方式キは、前回の認証結果が認証成功であるが、前回認証時刻9時11分から有効期間10分を徒過しているため、認証方式キを認証を行う認証方式として採用する、として、認証を行う認証方式をイ、ウ、キに特定する。
このような認証方式特定処理であれば、前回認証に成功した認証方式であって認証結果の有効期間内であるものについて認証を実施する手間を省くことができる。反面、前回の認証時刻から有効期間を徒過した認証方式、未実施の認証方式、前回の認証結果が認証失敗である認証方式のうち少なくともいずれかを実施する認証方式に採用することで、ソフトウェアリソースの提供に際して要求される認証方式で認証成功する可能性をユーザ装置に失わせないように運用することができる。
勿論、認証実施の手間を厭わない場合には、前回の認証結果に関わらず、認証パターンで指示される認証方式による認証を実施すればよく、この場合は、認証方式データベース309a(図4参照)で決まる上記候補の認証方式を全て実施すればよい。
続いて、認証装置300の認証実行部303は、ステップS7の処理において特定された一つまたは複数の認証方式に従って、ユーザ装置100の認証処理部102との間で認証を行う(ステップS8)。各認証方式の認証結果は、認証装置の制御部(図示しない。)によって、ユーザ装置特定情報で特定されるユーザ装置(この例ではユーザ装置100)に対応した認証結果として、認証結果データベース309bに保存される。
上記の認証が完了すると、認証装置300の送信部304が、ステップS8の処理での認証結果をサーバ装置200に送信する(ステップS9)。送信される認証結果には、認証成功の要否で認証成功必要と指定された各認証方式の認証結果の論理積が含まれる。つまり、例えば認証成功必要が指定された認証方式が、認証方式ア、キである場合、認証方式アの認証結果および認証方式キの認証結果が共に成功の場合のみ論理積は成功であり、それ以外の場合、論理積は失敗となる。また、送信される認証結果は、上記論理積とともに、各認証方式の認証結果(成功/失敗/未実施/エラー)を含むとしてもよい。この処理は、SAML v2.0を利用する場合、例えば、アサーション(Assertion)に上記論理積を記述し、アサーションの属性情報として各認証方式の認証結果(成功/失敗/未実施/エラー)を記述して、これをサーバ装置200に送信する処理となる。
サーバ装置200の受信部203が、認証装置300から上記認証結果を受信すると(ステップS10)、サーバ装置200の制御部(図示しない。)は、ステップS4の処理で特定された認証パターンに対応する各認証方式の上記認証結果を基に、ユーザ装置100に対して指示されたソフトウェアリソースの提供を実施するか否かの判断を行う(ステップS11)。
受信した認証結果について、上記論理積が失敗を示す場合には、サーバ装置200は、リソース指示情報で指示されたソフトウェアリソースの提供を行わない。上記論理積が成功を示す場合には、サーバ装置200は、ユーザ装置100に対してリソース指示情報で指示されたソフトウェアリソースの提供を行う。このとき、個々の認証方式の認証結果を受信している場合では、サーバ装置200は、認証成功任意が指定された認証方式の認証結果次第で、提供するソフトウェアリソースの内容に係る付帯条件等を設定できる。
このことを例を挙げて説明する。例えば、銀行サーバ装置であるサーバ装置200において、振込処理を行うソフトウェアリソース(8)の提供のための認証パターンが認証パターンZに特定され、認証装置300では、認証パターンZに対応して実施する認証方式として、認証方式サ〜セが特定され、認証方式サ、シでは認証成功必要が指定され、認証方式ス、セでは認証成功任意が指定されているとする。このとき、認証成功必要が指定された認証方式サ、シで認証成功することで、サーバ装置200がユーザ装置100に対してソフトウェアリソース(8)の提供を行うことになる。
ところで、一般的な振込処理では、その振込金額に応じて認証強度が異なるのが通例である。例えばパスワード認証と第2パスワード認証にのみ成功した場合には、振込限度額が50万円であり、さらにカード認証に成功した場合には、振込限度額が100万円になるといった具合である。このように、一つのソフトウェアリソースでも、その内容に係る付帯条件等をサーバ装置側で適宜に設定できることが望ましい。また、ユーザ装置にとっても、仮に認証に失敗した場合に、その失敗をもって画一的にソフトウェアリソースの提供を受けることができなくなるよりも、認証成功の程度に応じてソフトウェアリソースの一部でも提供を受けられることが望ましい。
そこで、サーバ装置200は、認証成功必要が指定された認証方式で認証成功することを前提条件として、認証成功任意が指定された認証方式での認証結果に応じてソフトウェアリソースの内容に係る付帯条件等の種類を予め設定しておく。この設定は一覧表として規定される。この一覧表がコンピュータで処理可能なデータ形式となっていることは言うまでもない。上述のソフトウェアリソースが振込処理の例でこの一覧表を図8に示す。図8の例では、認証方式ス、セの全てが認証成功以外(図中では空欄)であれば、振込限度額を50万円であり、認証方式ス、セのいずれかが認証成功以外(図中では空欄)であれば、振込限度額を100万円であり、認証方式ス、セの全てが認証成功であれば、振込限度額を200万円としている。
ステップS11の処理では上述の処理が行われ、この結果、具体的なソフトウェアリソースの提供がサーバ装置200からユーザ装置100に対して行われることになる。
以上の実施形態の他、本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
1 認証システム
100 ユーザ装置
102 認証処理部
200 サーバ装置
202 リソースクラス特定部
203 認証パターン特定部
300 認証装置
302 認証方式特定部
303 認証実行部
400 サーバ装置
100 ユーザ装置
102 認証処理部
200 サーバ装置
202 リソースクラス特定部
203 認証パターン特定部
300 認証装置
302 認証方式特定部
303 認証実行部
400 サーバ装置
Claims (10)
- サーバ装置と認証装置とを含み、認証装置による認証をサーバ装置による認証に転用する認証システムであって、
上記サーバ装置は、
上記サーバ装置が提供可能なソフトウェアリソースとソフトウェアリソースの分類を表すリソースクラスとの対応関係を表すリソースクラスデータベースと、認証パターンと少なくとも上記リソースクラスとの対応関係を表す認証パターンデータベースとを記憶した記憶部と、
上記リソースクラスデータベースを参照して、ソフトウェアリソースに対応するリソースクラスを特定するリソースクラス特定部と、
上記認証パターンデータベースを参照して、上記リソースクラス特定部によって特定されたリソースクラスに対応する認証パターンを特定する認証パターン特定部と、
上記認証パターン特定部によって特定された認証パターンを上記認証装置に送信する送信部とを備え、
上記認証装置は、
上記認証パターンと認証方式との対応関係を表す認証方式データベースを記憶した記憶部と、
上記サーバ装置から上記認証パターンを受信する受信部と、
上記認証方式データベースを参照して、受信した上記認証パターンに対応する認証方式の中から認証を行う認証方式を特定する認証方式特定部と、
上記認証方式特定部によって特定された一つまたは複数の認証方式に従って認証を行う認証実行部と、
上記認証実行部による認証結果を上記サーバ装置に送信する送信部とを備えた
認証システム。 - 上記認証方式データベースでは、上記認証パターンに対応する認証方式ごとに、認証成功の要否が指定されている
ことを特徴とする請求項1に記載の認証システム。 - 上記認証装置の上記送信部は、上記認証実行部が認証方式に従って行った認証の結果を上記サーバ装置に送信するものである
ことを特徴とする請求項1または請求項2に記載の認証システム。 - 上記認証方式データベースでは、上記認証パターンに対応する認証方式ごとに、認証結果の有効期間が指定されており、
上記認証装置の上記認証方式特定部は、認証を行う認証方式に、前回の認証時刻から上記有効期間を徒過した認証方式、未実施の認証方式、前回の認証結果が認証失敗である認証方式の少なくともいずれかを含めるものである
ことを特徴とする請求項1から請求項3のいずれかに記載の認証システム。 - 複数のユーザ装置を含み、
上記認証パターンデータベースは、上記認証パターンと、上記リソースクラスと上記ユーザ装置との組合せとの対応を表すものであり、
上記認証パターン特定部は、上記認証パターンデータベースを参照して、上記リソースクラス特定部によって特定されたリソースクラスと上記認証の対象である上記ユーザ装置との組合せに対応する認証パターンを特定するものである
ことを特徴とする請求項1から請求項4のいずれかに記載の認証システム。 - サーバ装置と認証装置との間において、認証装置による認証をサーバ装置による認証に転用する認証方法であって、
上記サーバ装置の記憶部には、上記サーバ装置が提供可能なソフトウェアリソースとソフトウェアリソースの分類を表すリソースクラスとの対応関係を表すリソースクラスデータベースと、認証パターンと少なくとも上記リソースクラスとの対応関係を表す認証パターンデータベースとが記憶されており、
上記認証装置の記憶部には、上記認証パターンと認証方式との対応関係を表す認証方式データベースが記憶されており、
上記サーバ装置のリソースクラス特定部が、上記リソースクラスデータベースを参照して、ソフトウェアリソースに対応するリソースクラスを特定するリソースクラス特定ステップと、
上記サーバ装置の認証パターン特定部が、上記認証パターンデータベースを参照して、上記リソースクラス特定ステップにおいて特定されたリソースクラスに対応する認証パターンを特定する認証パターン特定ステップと、
上記サーバ装置の送信部が、上記認証パターン特定ステップにおいて特定された認証パターンを上記認証装置に送信する送信ステップと、
上記認証装置の受信部が、上記サーバ装置から上記認証パターンを受信する受信ステップと、
上記認証装置の認証方式特定部が、上記認証方式データベースを参照して、受信した上記認証パターンに対応する認証方式の中から認証を行う認証方式を特定する認証方式特定ステップと、
上記認証装置の認証実行部が、上記認証方式特定ステップにおいて特定された一つまたは複数の認証方式に従って認証を行う認証ステップと、
上記認証装置の送信部が、上記認証ステップでの認証結果を上記サーバ装置に送信する送信ステップとを有する
認証方法。 - 提供可能なソフトウェアリソースとソフトウェアリソースの分類を表すリソースクラスとの対応関係を表すリソースクラスデータベースと、認証パターンと少なくとも上記リソースクラスとの対応を表す認証パターンデータベースとを記憶した記憶部と、
上記リソースクラスデータベースを参照して、ソフトウェアリソースに対応するリソースクラスを特定するリソースクラス特定部と、
上記認証パターンデータベースを参照して、上記リソースクラス特定部によって特定されたリソースクラスに対応する認証パターンを特定する認証パターン特定部と、
上記認証パターン特定部によって特定された認証パターンを外部に送信する送信部と
を備えたサーバ装置。 - 認証パターンと認証方式との対応関係を表す認証方式データベースを記憶した記憶部と、
外部から認証パターンを受信する受信部と、
上記認証方式データベースを参照して、受信した上記認証パターンに対応する認証方式の中から認証を行う認証方式を特定する認証方式特定部と、
上記認証方式特定部によって特定された一つまたは複数の認証方式に従って認証を行う認証実行部と、
上記認証実行部による認証結果を外部に送信する送信部と
を備えた認証装置。 - コンピュータを請求項7に記載のサーバ装置として機能させるためのプログラム。
- コンピュータに請求項8に記載の認証装置として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008065981A JP5227053B2 (ja) | 2008-03-14 | 2008-03-14 | 認証システム、認証方法、サーバ装置、認証装置、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008065981A JP5227053B2 (ja) | 2008-03-14 | 2008-03-14 | 認証システム、認証方法、サーバ装置、認証装置、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009223502A true JP2009223502A (ja) | 2009-10-01 |
| JP5227053B2 JP5227053B2 (ja) | 2013-07-03 |
Family
ID=41240231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008065981A Active JP5227053B2 (ja) | 2008-03-14 | 2008-03-14 | 認証システム、認証方法、サーバ装置、認証装置、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5227053B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013005246A1 (ja) * | 2011-07-01 | 2013-01-10 | 株式会社アイ・ピー・エス | 携帯端末管理サーバ、および携帯端末管理プログラム |
| JP2013073416A (ja) * | 2011-09-28 | 2013-04-22 | Hitachi Ltd | 認証中継装置、認証中継システム及び認証中継方法 |
| JP2013225197A (ja) * | 2012-04-20 | 2013-10-31 | Ricoh Co Ltd | 認証システム、認証方法及び認証プログラム |
| JPWO2014030227A1 (ja) * | 2012-08-22 | 2016-07-28 | 富士通株式会社 | 認証方法及び認証プログラム |
| JP7355386B2 (ja) | 2020-02-26 | 2023-10-03 | ベーステクノロジー株式会社 | 端末管理システムおよびその方法、並びにそのプログラム |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002149494A (ja) * | 2000-11-06 | 2002-05-24 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびアクセス制御装置および記録媒体 |
| JP2003162339A (ja) * | 2001-09-14 | 2003-06-06 | Sony Computer Entertainment Inc | 認証プログラム,認証プログラムを記憶した記憶媒体,認証サーバ装置,クライアント端末装置,認証システム及び認証方法 |
| JP2003216585A (ja) * | 2002-01-18 | 2003-07-31 | Dainippon Printing Co Ltd | 認証アプリケーション、管理アプリケーション、要認証アプリケーション及びicカード |
| JP2006114020A (ja) * | 2004-09-17 | 2006-04-27 | Ricoh Co Ltd | 電子装置システムとその電子装置,制御方法,プログラム,および記録媒体 |
| JP2006127178A (ja) * | 2004-10-29 | 2006-05-18 | Hitachi Omron Terminal Solutions Corp | 生体認証システム |
| JP2006344013A (ja) * | 2005-06-09 | 2006-12-21 | Hitachi Ltd | ユーザ認証システム、および、そのユーザ認証方法 |
| JP2007026294A (ja) * | 2005-07-20 | 2007-02-01 | Ntt Resonant Inc | 認証方法及び認証システム |
| JP2007310426A (ja) * | 2006-05-15 | 2007-11-29 | Canon Inc | 画像処理システム、画像処理装置、携帯端末ならびに情報処理方法 |
-
2008
- 2008-03-14 JP JP2008065981A patent/JP5227053B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002149494A (ja) * | 2000-11-06 | 2002-05-24 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびアクセス制御装置および記録媒体 |
| JP2003162339A (ja) * | 2001-09-14 | 2003-06-06 | Sony Computer Entertainment Inc | 認証プログラム,認証プログラムを記憶した記憶媒体,認証サーバ装置,クライアント端末装置,認証システム及び認証方法 |
| JP2003216585A (ja) * | 2002-01-18 | 2003-07-31 | Dainippon Printing Co Ltd | 認証アプリケーション、管理アプリケーション、要認証アプリケーション及びicカード |
| JP2006114020A (ja) * | 2004-09-17 | 2006-04-27 | Ricoh Co Ltd | 電子装置システムとその電子装置,制御方法,プログラム,および記録媒体 |
| JP2006127178A (ja) * | 2004-10-29 | 2006-05-18 | Hitachi Omron Terminal Solutions Corp | 生体認証システム |
| JP2006344013A (ja) * | 2005-06-09 | 2006-12-21 | Hitachi Ltd | ユーザ認証システム、および、そのユーザ認証方法 |
| JP2007026294A (ja) * | 2005-07-20 | 2007-02-01 | Ntt Resonant Inc | 認証方法及び認証システム |
| JP2007310426A (ja) * | 2006-05-15 | 2007-11-29 | Canon Inc | 画像処理システム、画像処理装置、携帯端末ならびに情報処理方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013005246A1 (ja) * | 2011-07-01 | 2013-01-10 | 株式会社アイ・ピー・エス | 携帯端末管理サーバ、および携帯端末管理プログラム |
| JP5558571B2 (ja) * | 2011-07-01 | 2014-07-23 | 株式会社アイ・ピー・エス | 携帯端末管理サーバ、および携帯端末管理プログラム |
| JP2013073416A (ja) * | 2011-09-28 | 2013-04-22 | Hitachi Ltd | 認証中継装置、認証中継システム及び認証中継方法 |
| JP2013225197A (ja) * | 2012-04-20 | 2013-10-31 | Ricoh Co Ltd | 認証システム、認証方法及び認証プログラム |
| JPWO2014030227A1 (ja) * | 2012-08-22 | 2016-07-28 | 富士通株式会社 | 認証方法及び認証プログラム |
| US9734310B2 (en) | 2012-08-22 | 2017-08-15 | Fujitsu Limited | Authentication method and computer-readable recording medium |
| JP7355386B2 (ja) | 2020-02-26 | 2023-10-03 | ベーステクノロジー株式会社 | 端末管理システムおよびその方法、並びにそのプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5227053B2 (ja) | 2013-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200236147A1 (en) | Brokered authentication with risk sharing | |
| CN102281286B (zh) | 分布式混合企业的灵活端点顺从和强认证的方法和系统 | |
| US8713672B2 (en) | Method and apparatus for token-based context caching | |
| US8950002B2 (en) | Method and apparatus for token-based access of related resources | |
| US8789162B2 (en) | Method and apparatus for making token-based access decisions | |
| US8572683B2 (en) | Method and apparatus for token-based re-authentication | |
| US9069943B2 (en) | Method and apparatus for token-based tamper detection | |
| JP6325095B2 (ja) | カード無しで現金引き出しする取引方法及び装置 | |
| US8566918B2 (en) | Method and apparatus for token-based container chaining | |
| US20130047254A1 (en) | Method and apparatus for token-based transaction tagging | |
| US20090138699A1 (en) | Software module management device and program | |
| US8458781B2 (en) | Method and apparatus for token-based attribute aggregation | |
| KR20120107434A (ko) | 모바일 전화번호를 이용한 카드결제 제공방법 및 그 시스템 | |
| US8474056B2 (en) | Method and apparatus for token-based virtual machine recycling | |
| US8726361B2 (en) | Method and apparatus for token-based attribute abstraction | |
| JP5227053B2 (ja) | 認証システム、認証方法、サーバ装置、認証装置、プログラム | |
| CN108471395A (zh) | 实现认证/授权的方法、装置、云计算系统及计算机系统 | |
| US9361443B2 (en) | Method and apparatus for token-based combining of authentication methods | |
| JP2010086435A (ja) | 情報処理方法およびコンピュータ | |
| US8543810B1 (en) | Deployment tool and method for managing security lifecycle of a federated web service | |
| US8176533B1 (en) | Complementary client and user authentication scheme | |
| US8752143B2 (en) | Method and apparatus for token-based reassignment of privileges | |
| KR100639992B1 (ko) | 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법 | |
| KR101675898B1 (ko) | 금융서비스 제공방법 및 금융서비스 시스템 | |
| JP2012208855A (ja) | 身元確認システムおよび身元確認方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090824 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090831 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100812 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120704 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120717 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120913 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121211 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130226 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130315 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5227053 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160322 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |