JP2011238036A - 認証システム、シングルサインオンシステム、サーバ装置およびプログラム - Google Patents

認証システム、シングルサインオンシステム、サーバ装置およびプログラム Download PDF

Info

Publication number
JP2011238036A
JP2011238036A JP2010109103A JP2010109103A JP2011238036A JP 2011238036 A JP2011238036 A JP 2011238036A JP 2010109103 A JP2010109103 A JP 2010109103A JP 2010109103 A JP2010109103 A JP 2010109103A JP 2011238036 A JP2011238036 A JP 2011238036A
Authority
JP
Japan
Prior art keywords
client
mobile
session
time password
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010109103A
Other languages
English (en)
Inventor
Haruo Hayami
治夫 速水
Yuta Tezuka
悠太 手塚
Satoru Hattori
哲 服部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ikutoku Gakuen School Corp
Original Assignee
Ikutoku Gakuen School Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ikutoku Gakuen School Corp filed Critical Ikutoku Gakuen School Corp
Priority to JP2010109103A priority Critical patent/JP2011238036A/ja
Publication of JP2011238036A publication Critical patent/JP2011238036A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】本発明は、パソコンの設定環境を問わず、また、ユーザに認証用の物理デバイスを別途携帯させる必要のない新規な認証システムを提供することを目的とする。
【解決手段】サーバ装置は、クライアントPCのウェブブラウザから送信されたログイン要求に割り当てられたクライアントセッションIDを表示するクライアントセッションID表示情報を生成して前記ウェブブラウザに送信する手段と、携帯電話の個体識別番号を含むログイン情報を管理する手段とを含み、前記携帯電話は、前記クライアントセッションIDを入力する手段と、入力された前記クライアントセッションIDと前記個体識別番号を前記サーバ装置に送信する手段とを含み、前記サーバ装置は、前記携帯電話から受信した前記個体識別番号に基づいて前記クライアントセッションIDに対応するログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する。
【選択図】図5

Description

本発明は、認証システムに関し、より詳細には、移動携帯端末を使用した認証システムに関する。
一般に、アクセス権限の設定されたWebアプリケーションを利用する場合、ユーザは、ログイン画面においてユーザIDとパスワードの入力を要求される。しかしながら、ユーザが記憶していられるほどの短い文字列をパスワードとしたのでは、専用のソフトウェアを使った総当たり攻撃や辞書攻撃によって容易になりすまされてしまう。この点につき、非特許文献1は、ハードウェアトークンを利用してユーザ認証を行うシングルサインオンシステムを開示する。
しかしながら、非特許文献1のシステムは、前提として、クライアントであるパソコンが、ハードウェアトークンと鍵管理サーバ間の通信を仲介し、鍵管理サーバから取り出した認証情報を各種サービスの認証機構へ渡す機能を備えるクライアントエージェントを搭載している必要があるため、たとえば、宿泊先のホテルでパソコンの貸出を受けて使用したり、他人のパソコンを借りて使用したりするユーザに対応することができない。また、ユーザに対してハードウェアトークンの常時携帯を強いることになるため、ユーザフレンドリーなシステムとは言い難い。
ハードウェアトークンと鍵管理サーバを用いたシングルサインオンシステムの開発,野林 大起,中村 豊,池永 全志,信学技報.vol.106,no.62,IA2006-2,pp7-12,2006年5月
本発明は、上記従来技術における課題に鑑みてなされたものであり、本発明は、パソコンの設定環境を問わず、また、ユーザにハードウェアトークンなど、認証用の物理デバイスを別途携帯させる必要のない新規な認証システムを提供することを目的とする。
本発明者らは、パソコンの設定環境を問わず、また、ユーザに認証用の物理デバイスを別途携帯させる必要のない新規な認証システムにつき鋭意検討した結果、人口普及率が約90%の携帯電話と汎用ウェブブラウザを利用した認証システムの構成に想到し、本発明に至ったのである。すなわち、本発明によれば、ネットワークを介してクライアントPCに接続されるサーバ装置と、該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末とを含む認証システムであって、前記サーバ装置は、前記クライアントPCのウェブブラウザから送信されたログイン要求に割り当てられたクライアントセッションIDを表示するクライアントセッションID表示情報を生成して前記ウェブブラウザに送信する手段と、前記移動携帯端末の個体識別番号をログイン情報として管理する手段とを含み、前記移動携帯端末は、前記クライアントセッションIDを入力する手段と、入力された前記クライアントセッションIDと前記個体識別番号を前記サーバ装置に送信する手段とを含み、前記サーバ装置は、前記移動携帯端末から受信した前記個体識別番号に基づいて前記クライアントセッションIDに対応するログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段を含む認証システムが提供される。
また、本発明によれば、ネットワークを介してクライアントPCに接続されるサーバ装置と、該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末とを含む認証システムであって、前記サーバ装置は、前記クライアントPCのウェブブラウザから送信されたログイン要求に応答してワンタイム・パスワードの入力フォームを含む認証ページを生成して前記ウェブブラウザに送信する手段と、第1のワンタイム・パスワードを生成して前記移動携帯端末に送信する手段と、前記移動携帯端末の個体識別番号をログイン情報として管理する手段とを含み、前記移動携帯端末は、モバイルブラウザと、第2のワンタイム・パスワードを生成する手段と、前記移動携帯端末の個体識別番号と前記第2のワンタイム・パスワードを前記サーバ装置に送信する手段とを含み、前記モバイルブラウザは、前記サーバ装置から受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを表示し、前記サーバ装置は、前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶する手段と、前記ウェブブラウザから前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを受信し、前記一時記憶手段を検索して該第1および第2のワンタイム・パスワードの組に対応付けられた前記モバイルセッションIDを取得し、該モバイルセッションIDに対応する個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段とを含む認証システムが提供される。
また、本発明によれば、ネットワークを介してクライアントPCに接続されるサーバ装置と、該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末とを含む認証システムであって、前記サーバ装置は、前記クライアントPCのウェブブラウザから送信されたログイン要求に応答して、ワンタイム・パスワードの入力フォームと前記ログイン要求に割り当てられたクライアントセッションIDを表示する情報を含む認証ページを生成して前記ウェブブラウザに送信する手段と、第1のワンタイム・パスワードを生成して前記移動携帯端末に送信する手段と、前記移動携帯端末の個体識別番号をログイン情報として管理する手段とを含み、前記移動携帯端末は、モバイルブラウザと、第2のワンタイム・パスワードを生成する手段と、前記移動携帯端末の個体識別番号と前記第2のワンタイム・パスワードを前記サーバ装置に送信する手段とを含み、前記モバイルブラウザは、前記サーバ装置から受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを表示し、前記サーバ装置は、前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶する手段と、前記ウェブブラウザから受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードの組に基づいて前記一時記憶手段を検索して該組に対応付けられた前記モバイルセッションIDを取得し、該モバイルセッションIDと前記ウェブブラウザのクライアントセッションIDを対応付けて一時記憶手段に記憶する手段と、前記移動携帯端末から受信した前記個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段と、前記ログイン要求に割り当てられたクライアントセッションIDを表示する確認ダイアログを生成して前記モバイルブラウザに送信する手段と、前記確認ダイアログを介した承認応答を待ってログイン認証結果を前記クライアントPCに通知する手段とを含む認証システムが提供される。
さらに、本発明によれば、複数のサービスを提供する少なくとも1つのサービスサーバおよびクライアントPCにネットワークを介して接続される上記サーバ装置ならびに該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末を含むシングルサインオンシステムであって、前記サーバ装置は、前記クライアントPCのウェブブラウザから送信されるサービスを指定したアクセス要求に応答してサービスサーバからログインページを取得する手段と、前記サービスサーバが提供するサービスにアクセスするためのログイン情報であって、共通鍵暗号方式によって暗号化されたログイン情報を管理する手段をさらに含み、前記移動携帯端末は、前記サーバ装置からの要求に応じて前記暗号化されたログイン情報を復号するための共通鍵を送信する手段をさらに含み、前記サーバ装置は、前記移動携帯端末から受信した共通鍵を使用して前記暗号化されたログイン情報を復号し、復号したログイン情報を前記サービスサーバから取得した前記ログインページに埋め込む手段と、前記ログイン情報が埋め込まれた前記ログインページを前記アクセス要求の送信元のクライアントPCのユーザのウェブブラウザに送信する手段とをさらに含むシングルサインオンシステムが提供される。
上述したように、本発明によれば、パソコンの設定環境を問わず、また、ユーザに認証用の物理デバイスを別途携帯させる必要のない新規な認証システムが提供される。
本発明の認証システムのネットワーク構成図。 第1の実施形態の認証システムの機能ブロック図。 第1の実施形態の認証システムのユーザ登録処理のシーケンス図。 第1の実施形態のユーザ登録画面を示す図。 第1の実施形態のログイン認証処理のシーケンス図。 第1の実施形態のログイン認証画面を示す図。 第2の実施形態の認証システムの機能ブロック図。 第2の実施形態の認証システムのログイン認証処理のシーケンス図。 第2の実施形態のログイン認証画面を示す図。 第3の実施形態の認証システムの機能ブロック図。 第3の実施形態のログイン認証処理のシーケンス図。 第3の実施形態のログイン認証画面および確認ダイアログを示す図。 本発明のシングルサインオンシステムのネットワーク構成図。 第4の実施形態のシングルサインオンシステムの機能ブロック図。 第4の実施形態のシングルサインオン処理のシーケンス図。 第4の実施形態のシングルサインオンサービス画面を示す図。
以下、本発明を図面に示した実施の形態をもって説明するが、本発明は、図面に示した実施の形態に限定されるものではない。なお、以下に参照する各図においては、共通する要素について同じ符号を用い、適宜、その説明を省略するものとする。
図1は、本発明の認証システムのネットワーク構成図を示す。本発明の認証システムは、インターネット10を介してパーソナルコンピュータ20(以下、クライアントPC20として参照する)に接続されるサーバ装置30と、移動体通信網12およびインターネット10を介してサーバ装置30と通信可能な移動携帯端末40を含んで構成されている。本システムにおいて、クライアントPC20は、必ずしもユーザが所有・管理するものである必要はない。すなわち、本発明の認証システムは、たとえば、宿泊先のホテルの貸出用パソコンや外出先の他人のパソコンを使用して構築することができる。
一方、移動携帯端末40は、ユーザが所有・管理するものであることを前提とする。本発明における移動携帯端末40は、PDAやスマートフォンなどの移動情報端末として構成することができ、より好ましくは、普及率の高い高機能携帯電話として構成することができる。以下の説明においては、説明の便宜上、移動携帯端末40を携帯電話40として参照する。
図2は、本発明の第1の実施形態である認証システム100の機能ブロック図を示す。クライアントPC20は、標準的なウェブブラウザ22と表示装置26を備える一般的なパーソナル・コンピュータであれば良く、認証システム100においては、クライアントPC20に何らの追加的なアプリケーションをインストールする必要がない。
一方、本実施形態における携帯電話40は、高機能携帯電話であり、記憶手段41、表示手段42、標準的なモバイルブラウザ43ならびに標準的なOSを備え、移動体通信網12およびインターネット10を介してサーバ装置30と通信可能に構成されている。携帯電話40は、さらに、クライアントPC20の表示装置26に表示されたクライアントセッションID表示情報を基にクライアントセッションIDを入力するためのクライアントセッションID入力部44と、クライアントセッションID入力部44から入力されたCセッションIDと記憶手段41に格納された携帯電話40の個体識別番号を対応付けてネットワークサーバ30に送信するためのサーバ通信部45を含んで構成されている。
また、本実施形態におけるサーバ装置30は、ユーザからの要求に応じてネットワークを通して各種サービスを提供するサービスサーバであり、ユーザ認証機能を備える。サーバ装置30は、移動体通信網12あるいはインターネット10を介して携帯電話40およびクライアントPC20のいずれとも通信可能に構成されおり、クライアントPC通信部33、移動携帯端末通信部34、ログイン認証部35を含んで構成されている。なお、本発明におけるサーバ装置は、サービスサーバに限定されず、他のサービスサーバに代行してユーザ認証を実行する認証専用サーバであってもよい。以下の説明においては、サーバ装置30をサービスサーバ30として参照する。
サービスサーバ30は、クライアントPC20のウェブブラウザ22から送信されたログイン要求に応答してクライアントセッションを生成し、これにクライアントセッションID(以下、CセッションIDとして参照する)を割り当てる。本実施形態におけるクライアントPC通信部33は、CセッションIDを表示するための情報を生成するクライアントセッションID表示情報生成部を含み、生成したクライアントセッションID表示情報をウェブブラウザ22に送信する。
本実施形態におけるクライアントセッションID表示情報生成部は、クライアントセッションID表示情報をテキストデータとして生成することができる。その場合、CセッションIDを示す文字列がクライアントPC20のウェブブラウザ22によって表示装置26に表示される。ユーザは、表示装置26に表示された文字列を見ながら、モバイルブラウザ43に表示された入力フォームにこれを入力する。この場合、モバイルブラウザ43がクライアントセッションID入力部44をして機能する。一方、本実施形態においては、クライアントセッションID表示情報をQRコードとして生成することもできる。その場合、QRコードがクライアントPC20のウェブブラウザ22によって表示装置26に表示される。ユーザは、表示装置26に表示されたQRコードを携帯電話40に標準搭載されたQRコードリーダで読み取り、クライアントセッションIDを取得する。この場合、QRコードリーダがクライアントセッションID入力部44をして機能する。
移動携帯端末通信部34は、携帯電話40からCセッションIDと対応付けられて送信される携帯電話40の個体識別番号を受信するため手段である。また、ログイン認証部35は、携帯電話40から受信した個体識別番号に基づいてクライアントPC20のユーザのログイン認証を実行する。さらに、サーバ装置30は、ログイン情報管理部31を備えており、ログイン情報管理部31には、ユーザが所有・管理する携帯電話の個体識別番号と当該ユーザの識別情報(ユーザID)とが対応付けて管理されている。なお、本実施形態のユーザ認証においては、ユーザIDを使用せず、携帯電話の個体識別番号のみを認証情報として使用する。したがって、本実施形態においては、ユーザIDを、ユーザ登録時に自動的に連番を付与するなどしてサービスサーバ30側で独自に設定することができる。携帯電話の個体識別番号は、携帯電話端末毎に付与される一意情報であり、且つ、そのユーザのみが提供しうる情報という前提があるので、これを単独でユーザの認証情報とするものである。以上、本実施形態の認証システム100の基本構成について説明してきたが、次に、本システムにおけるユーザ登録処理について、以下説明する。
図3は、第1の実施形態である認証システム100におけるユーザ登録処理のシーケンス図を示す。クライアントPC20のユーザがウェブブラウザ22からサービスサーバ30に対して新規ユーザ登録を要求すると(ステップ101)、サービスサーバ30において、クライアントセッションが生成され、CセッションIDが割り当てられる(ステップ102)。これに伴って、CセッションIDおよびユーザ登録実行用のURLを埋め込んだQRコードを生成する(ステップ103)。サービスサーバ30は、生成したQRコードを表示するページ(以下、QRコード表示ページとして参照する)を生成し(ステップ104)、クライアントPC20のウェブブラウザ22に送信する(ステップ105)。
ウェブブラウザ22は、受信したQRコード表示ページを表示装置26に表示する(ステップ106)。図4(a)は、表示されたQRコード表示ページを示す。図4(a)に示す例においては、QRコード表示ページがユーザ登録フォームとして構成されており、ユーザの書誌事項を入力するためのボックスとともに、QRコード(すなわち、CセッションID表示情報)が表示され、「必要事項の入力が完了したらQRコードをお手持ちの携帯電話で読み取ってください」という案内が添えられている。
ユーザが自身の携帯する携帯電話40に搭載されたQRコードリーダを起動し、案内に従ってクライアントPC20の表示装置26に表示されたQRコードを読み取ると、QRコードリーダがQRコードを解析してCセッションIDとユーザ登録実行用のURLを取得し(ステップ107)、図4(b)に示されるように、携帯電話40の表示手段42にユーザ登録実行用のURLを表示する(ステップ108)。
ユーザが携帯電話40を操作して表示手段42に表示された「送信」アイコンを選択すると、これに応答して、携帯電話40は、ユーザ登録フォームに入力された書誌情報と、QRコードを解析して取得したCセッションIDと、携帯電話40の個体識別番号とを関連付けてサービスサーバ30に送信する(ステップ109)。
サービスサーバ30は、受信したCセッションIDに基づいて新規ユーザ登録要求のクライアントセッションを検出するとともに(ステップ110)、ユーザIDを自動的に付与し(ステップ111)、当該ユーザIDと受信した個体識別番号を対応付けてログイン情報管理部31に格納した後(ステップ112)、検出したクライアントセッション内でウェブブラウザ22に対してユーザ登録が完了した旨を通知する(ステップ113)。なお、本実施形態においては、自動付与したユーザIDは、サービスサーバ30内のみで利用・管理され、ユーザには通知されない。
本実施形態においては、ユーザ登録完了通知とともに、本システムを利用するために必要な専用アプリケーションのダウンロード用リンクを含むページがサービスサーバ30から携帯電話40に表示される。図4(c)は、携帯電話40に表示された専用アプリケーションダウンロード用ページを示す。ユーザが「Down Load」アイコンをクリックすると、携帯電話40からダウンロード要求がサービスサーバ30に送信される(ステップ114)。これに応答してサービスサーバ30は、携帯電話40に専用アプリケーションを送信し(ステップ115)、携帯電話40がこれをインストールする(ステップ116)。なお、新規ユーザ登録処理は上述した方法に限定されるものではなく、サービスサーバ30の管理者が、ユーザから提出された登録申請書等に基づいて、ユーザが所有・管理する携帯電話の個体識別番号に対してユーザIDを対応付けてログイン情報管理部31に手入力で登録することもできる。以上、第1の実施形態における新規ユーザ登録処理について説明してきたが、次に、第1の実施形態におけるログイン認証処理について説明する。
以下、ユーザが「ABCネットバンク」というサービスを提供するサービスサーバ30にログインする場合を例にとって説明する。図5は、第1の実施形態である認証システム100におけるログイン認証処理のシーケンス図を示す。ユーザが「ABCネットバンク」のホームページにアクセスすると、図6(a)に示す「ABCネットバンク」のログインページが表示される。ユーザがログインページに表示された「ログイン」アイコンをクリックして、サービスサーバ30に対してログイン認証を要求すると(ステップ201)、サービスサーバ30において、クライアントセッションが生成され、CセッションIDが割り当てられる(ステップ202)。これに伴って、CセッションIDおよびログイン認証実行用URLを埋め込んだQRコードが生成される(ステップ203)。サービスサーバ30は、生成されたQRコードを表示する認証ページを生成し(ステップ204)、ウェブブラウザ22に送信する(ステップ205)。
ウェブブラウザ22は、受信した認証ページを表示装置26に表示する(ステップ206)。本実施形態においては、認証ページをポップアップウィンドウあるいは別ウィンドウで表示させることができる。図6(a)は、認証ページが重ねて表示された「ABCネットバンク」のログインページを示す。図6(a)に示されるように、認証ページには、CセッションIDおよびログイン認証実行用URLを埋め込んだQRコード(すなわち、CセッションID表示情報)とともに、「QRコードをお手持ちの携帯電話で読み取ってください」という案内が表示されている。
ユーザが自身の携帯する携帯電話40に搭載されたQRコードリーダを起動し、案内に従ってクライアントPC20の表示装置26に表示されたQRコードを読み取るとQRコードリーダがQRコードを解析してセッションIDとログイン認証実行用URLを取得し(ステップ207)、図6(b)に示されるように、携帯電話40の表示手段42にログイン認証実行用URLを表示する(ステップ208)。
ユーザが携帯電話40を操作して表示手段42に表示された「送信」アイコンを選択すると、これに応答して、携帯電話40は、QRコードを解析して取得したCセッションIDと携帯電話40の個体識別番号とを関連付けてサービスサーバ30に送信する(ステップ209)。
サービスサーバ30は、受信したCセッションIDに基づいてログイン認証要求のクライアントセッションを検出するとともに(ステップ210)、受信した個体識別番号に基づいてログイン情報管理部31を照合する(ステップ211)。その結果、携帯電話40から受信した個体識別番号がログイン情報管理部31に格納されていた場合にはログインが成功した旨を、格納されていない場合にはログインが失敗した旨を、ステップ202で検出したクライアントセッション内でウェブブラウザ22に通知する(ステップ212)。以上、説明したように、本実施形態においては、携帯電話40の個体識別番号のみを認証情報として使用するため、ユーザは、認証情報としてユーザIDやパスワードを記憶しておく必要から開放される。
次に、本発明の第2の実施形態について説明する。図7は、第2の実施形態の認証システム200の機能ブロック図を示す。なお、以下の説明においては、重複する事項については、適宜、その説明を省略するものとする。本実施形態における携帯電話40は、標準的なモバイルブラウザ43と、乱数を生成するワンタイム・パスワード生成部46と、サーバ通信部47を含んで構成されている。サーバ通信部47は、ワンタイム・パスワード生成部46が生成するワンタイム・パスワードと記憶手段41に格納される個体識別番号を関連付けてサービスサーバ30に送信するとともに、サービスサーバ30に対してワンタイム・パスワード表示ページを要求する手段である。また、モバイルブラウザ43は、サービスサーバ30から受領したワンタイム・パスワード表示ページを表示手段42に表示する。
本実施形態におけるサービスサーバ30は、クライアントPC通信部36、移動携帯端末通信部37、乱数を発生するワンタイム・パスワード生成部38、ログイン認証部39を含んで構成されている。
クライアントPC通信部36は、クライアントPC20のウェブブラウザ22から送信されたログイン要求に応答してワンタイム・パスワードの入力フォームを生成するワンタイム・パスワード入力フォーム生成部を含み、生成したワンタイム・パスワード入力フォームを認証ページとしてウェブブラウザ22に送信する。また、クライアントPC通信部36は、生成したワンタイム・パスワード入力フォームを介してウェブブラウザ22から送信されるワンタイム・パスワードを受信してログイン認証部39に渡す。
移動携帯端末通信部37は、携帯電話40から送信されるワンタイム・パスワードと個体識別番号を受信する。また、移動携帯端末通信部37は、携帯電話40からの要求に応答してワンタイム・パスワード表示情報を生成するワンタイム・パスワード生成部38を備え、生成されたワンタイム・パスワードをモバイルブラウザ43に送信する。さらに、移動携帯端末通信部37は、携帯電話40から送信されるワンタイム・パスワードと、ワンタイム・パスワード生成部38が生成したワンタイム・パスワードと、携帯電話40とクライアントPC20との間に生成されたモバイルセッションのセッションID(以下、MセッションIDとして参照する)とを対応付けて一時記憶手段50に格納する。
ログイン認証部39は、ウェブブラウザ22から受信した第1のワンタイム・パスワードと第2のワンタイム・パスワードの組に基づいて一時記憶手段50を検索して、当該ワンタイム・パスワードの組に対応付けられたMセッションIDを取得し、当該MセッションIDに基づいて携帯電話40から受信した個体識別番号を検出し、当該個体識別番号を使用してクライアントPC20のユーザのログイン認証を実行する。以上、本実施形態の認証システム200の基本構成について説明してきたが、次に、本システムにおけるログイン認証処理について、以下説明する。
以下の説明においても、ユーザが「ABCネットバンク」というサービスを提供するサービスサーバ30にログインする場合を例にとる。図8は、第2の実施形態である認証システム200におけるログイン認証処理のシーケンス図を示す。ユーザが「ABCネットバンク」のホームページにアクセスすると、図9(a)に示す「ABCネットバンク」のフロントページが表示される。ユーザがフロントページに表示された「ログイン」アイコンをクリックし、サービスサーバ30に対してログイン認証を要求すると(ステップ301)、サービスサーバ30において、クライアントセッションが生成され、CセッションIDが割り当てられる(ステップ302)。さらに、サービスサーバ30は、携帯電話40が生成するワンタイム・パスワード(以下、携帯認証用1TPWとして参照する)およびサービスサーバ30が生成するワンタイム・パスワード(以下、サーバ認証用1TPWとして参照する)を入力するための入力フォームが設けられた認証ページを生成し(ステップ303)、これをウェブブラウザ22に送信する(ステップ304)。サービスサーバ30から認証ページを受信したウェブブラウザ22はこれを表示する(ステップ305)。
図9(a)は、認証ページが重ねて表示された「ABCネットバンク」のログインページを示す。図9(a)に示されるように、認証ページには、「携帯電話に表示されたパスワードを入力してください」という案内の下に、携帯認証用1TPW(パスワード1)およびサーバ認証用1TPW(パスワード2)を入力するための入力フォームが表示されている。
クライアントPC20に認証ページが表示されると(あるいは、認証ページが表示される前に予め)、ユーザは、自身が携帯する携帯電話40にインストールされた専用アプリケーションを起動する。専用アプリケーションは、起動されると自動的に携帯認証用1TPWを生成し(ステップ306)、携帯認証用1TPWと携帯電話40の個体識別番号を関連付けてサービスサーバ30に送信するとともに(ステップ307)、サービスサーバ30に対してサーバ認証用1TPWを要求する(ステップ308)。
携帯電話40からサーバ認証用1TPW要求を受信したサービスサーバ30は、モバイルセッションを生成し、モバイルセッションID(以下、MセッションIDとして参照する)を割り当てる(ステップ309)。さらに、サービスサーバ30は、サーバ認証用1TPWを生成し(ステップ310)、これを携帯電話40に送信する(ステップ311)。さらに、サービスサーバ30は、携帯電話40から受信した携帯認証用1TPWとサービスサーバ30が生成したサーバ認証用1TPWとをステップ309で割り当てたMセッションIDに対応付けて一時記憶手段50に格納する(ステップ312)。
サービスサーバ30からサーバ認証用1TPWを受信した携帯電話40は、受信したサーバ認証用1TPWと自身が生成した携帯認証用1TPWを共に表示手段42に表示する(ステップ313)。図9(b)は、2つのワンタイム・パスワードが表示された携帯電話40の表示画面を示す。図9(b)に示されるように、携帯電話40の表示画面には、「下記パスワードをパソコンに入力してください」という案内の下に、携帯電話40が生成した携帯認証用1TPW(パスワード1「1234」)とサービスサーバ30が生成したサーバ認証用1TPW(パスワード2「5678」)が表示されている。
ユーザは、携帯電話40の表示画面を見ながら、図9(a)に示すクライアントPC20に表示された認証ページの入力フォームにパスワード1「1234」およびパスワード2「5678」を入力し、「送信」アイコンを選択する。「送信」アイコンの選択に応答して、クライアントPC20は、入力された携帯認証用1TPW(パスワード1)とサーバ認証用1TPW(パスワード2)を関連付けてサービスサーバ30に送信する(ステップ314)。
携帯認証用1TPWとサーバ認証用1TPWを受信したサービスサーバ30は、2つのパスワードの組に基づいて一時記憶手段50を検索し、当該パスワードの組に対応付けて格納されたMセッションIDを取得する(ステップ315)。次に、サービスサーバ30は、取得したMセッションIDに基づいて、ステップ307で携帯電話40から受信した個体識別番号を検出し(ステップ316)、当該個体識別番号がログイン情報管理部31に登録されているか否か照合する(ステップ317)。携帯電話40から受信した個体識別番号がログイン情報管理部31に登録されている場合にはログインが成功した旨を、登録されていない場合にはログインが失敗した旨を、ステップ302で検出したクライアントセッション内でウェブブラウザ22に通知する(ステップ318)。
次に、本発明の第3の実施形態について説明する。図10は、第3の実施形態の認証システム300の機能ブロック図を示す。本実施形態においては、クライアントPC通信部36がさらにCセッションIDを表示するための情報(テキスト情報)を生成するクライアントセッションID表示情報生成部を含む。クライアントPC通信部36は、クライアントセッションID表示情報生成部が生成したクライアントセッションID表示情報とワンタイム・パスワード入力フォームを併せて認証ページを生成し、これをウェブブラウザ22に送信する。
本実施形態においては、ログイン認証部39は、移動携帯端末通信部37が受信した携帯電話40の個体識別番号に基づいてログイン情報管理部31を検索し、当該個体識別番号が登録されているか否かを判断する。個体識別番号が登録されている場合には、その旨を移動携帯端末通信部37に通知する。本実施形態における移動携帯端末通信部37は、さらに確認ダイアログ生成部を含み、確認ダイアログ生成部は、上記通知を受けてクライアントセッションID表示情報生成部が生成したクライアントセッションID表示情報を表示する確認ダイアログを生成して携帯電話40に送信する。移動携帯端末通信部37は、確認ダイアログを介した携帯電話40からのログイン承認応答をログイン認証部39に通知し、ログイン認証部39は、移動携帯端末通信部37からの通知を待ってログイン認証結果をクライアントPC通信部36に渡し、クライアントPC通信部36がこれをクライアントPC20に通知する。図10に示すその他の機能部については、図7について説明したのと同様であるので、これ以上の説明は省略する。
図11は、第3の実施形態である認証システム300におけるログイン認証処理のシーケンス図を示す。なお、図11においては、図8に示した認証システム200と共通する処理フローについては、同じステップ番号を付してその説明を省略するものとし、ここでは、異なる処理についてのみ説明する。
クライアントPC20のユーザが「ABCネットバンク」のフロントページに表示された「ログイン」アイコンをクリックしてサービスサーバ30に対してログイン認証を要求すると、サービスサーバ30は、クライアントセッションを生成してCセッションIDを割り当てるとともに認証ページを生成する(ステップ303−1)。本実施形態における認証ページは、携帯認証用1TPWとサーバ認証用1TPWの入力フォームに加え、CセッションIDを表示する情報(テキスト情報)を表示するように生成される。生成された認証ページは、ウェブブラウザ22に送信され、表示装置26に表示される(ステップ305−1)。図12(a)は、クライアントPC20に表示された認証ページを示し、図12(b)は、携帯電話40に表示された1TPW表示ページを示す。図12(a)に示されるように、本実施形態における認証ページには、携帯認証用1TPWとサーバ認証用1TPWの入力フォームに加え、CセッションID「abcdefgh」が表示されている。
本実施形態において、サービスサーバ30は、ステップ307で送信された個体識別番号を受信すると、当該個体識別番号がログイン情報管理部31に登録されているか否か照合する(ステップ308−1)。携帯電話40から受信した個体識別番号がログイン情報管理部31に登録されていない場合には処理をそのまま終了し、登録されている場合には、モバイルセッションを生成し、MセッションIDを割り当てる(ステップ309)。
本実施形態において、サービスサーバ30は、ステップ315で取得したMセッションIDとクライアントPC20のCセッションIDとを関連付けて一時記憶手段50に格納する(ステップ315−2)。すなわち、本実施形態においては、サービスサーバにアクセス権限を有するユーザの携帯電話のセッションとクライアントPC20のセッションが一時記憶手段50において関連付けられて管理される。なお、一時記憶手段50は、セッション管理データベースとして構成することができる。さらに、サービスサーバ30は、MセッションIDに関連付けられたCセッションIDの表示情報を含む確認ダイアログを生成する(ステップ315−3)。サービスサーバ30は、ステップ315で取得したMセッションIDが示すモバイルセッション内で生成した確認ダイアログを携帯電話40に送信する(ステップ315−4)。サービスサーバ30から確認ダイアログを受信した携帯電話40は、これを表示する(ステップ315−5)。
図12(c)は、携帯電話40において、1TPW表示ページの上に確認ダイアログが重ねて表示された態様を示す。確認ダイアログには、CセッションID「abcdefgh」が表示され、「パソコン画面に表示されたセッションIDと同じですか?」という問いかけとともに、選択アイコン(「はい」、「いいえ」)が表示されている。ユーザは、図12(a)に示したクライアントPC20に表示された認証ページに表示されたCセッションID「abcdefgh」と、図12(c)に示した携帯電話40の確認ダイアログに表示されたCセッションID「abcdefgh」を比較する。図12に示す例においては、両画面に表示されたCセッションIDが同じなので、ユーザは、携帯電話40の確認ダイアログの「はい」アイコンを選択する。これに応答して、携帯電話40は、サービスサーバ30に承認応答を通知する(ステップ315−6)。サービスサーバ30は、この間、携帯電話40からの承認応答を待機しており、上記承認応答を受領すると、一時記憶手段50を検索して承認応答のMセッションIDに対応するCセッションIDを取得し、当該CセッションIDに基づいてクライアントセッションを検出して(ステップ315−7)、当該クライアントセッション内で認証結果(ログイン成功)をクライアントPC20に通知する(ステップ318)。以上、第1〜第3の実施形態をもって、本発明の認証システムについて説明してきたが、上述した本発明の認証の手法は、シングルサインオンシステムに拡張することができる。この点について、本発明の第4の実施形態として、以下説明する。
図13は、本発明のシングルサインオンシステムのネットワーク構成図を示す。シングルサインオンシステムにおいては、シングルサインオンサーバ60がインターネット10を介してサービスサーバ30に接続されている。ユーザは、1つまたは複数のサービスサーバ30によって提供される複数のサービスについて利用権限を有しており、各サービスに設定されたログイン情報(認証情報)は全て異なる。
図14は、本発明の第4の実施形態であるシングルサインオンシステム400の機能ブロック図を示す。第1〜第3の実施形態においては、サービスの提供主体であるサービスサーバ30が自らユーザ認証を実行する場合について説明してきたが、シングルサインオンシステム400においては、複数のサービスサーバ30に対するユーザ認証をシングルサインオンサーバ60が一括して代行する。なお、シングルサインオンサーバ60は、上述した第3の実施形態に示したのと同様のログインのための構成を備えるが、説明の便宜上、図14においては、適宜、その図示および説明を省略するものとする。
シングルサインオンサーバ60は、第3の実施形態について説明した構成に加え、シングルサインオン制御部52と、サービスログイン情報管理部53と、サービスサーバ通信部54とを含んで構成されている。サービスログイン情報管理部53においては、各サービスにアクセスするためのログイン情報(ユーザID、パスワード等)が共通鍵暗号方式によって暗号化され、各サービスに付与された識別情報(サービスID)とユーザIDに対応付けられて管理されている。
サービスログイン情報管理部53に格納された暗号化されたログイン情報の復号鍵(共通鍵)は、各ユーザによって秘匿されているので、シングルサインオンサーバ60の管理者をはじめとする第三者からユーザのログイン情報は保護される。ユーザは、サービスサーバ30が提供する複数のサービスを利用するに際して、シングルサインオンサーバ60にさえログインすれば、サービス毎に異なる認証情報を入力することなく、自動的にログインすることができる。
サービスサーバ通信部54は、サービスログインページ取得部を含む。サービスログインページ取得部は、ウェブブラウザ22から送信されるサービスを指定したアクセス要求に応答してサービスサーバ30からログインページを取得する。また、本実施形態における移動携帯端末通信部37は、携帯電話40に対して共通鍵を要求し、これを取得する共通鍵取得部を含む。また、シングルサインオン制御部52は、サービスログイン情報埋込部を含む。サービスログイン情報埋込部は、サービスログイン情報管理部53からアクセス要求に対応する暗号化されたサービスログイン情報を取得し、これを共通鍵取得部が取得した共通鍵で復号した上で、これをサービスサーバ30から取得したサービスログインページに埋め込む。サービスログイン情報を埋め込まれたサービスログインページは、クライアントPC通信部36のサービスログインページ送信部によってウェブブラウザ22に送信される。
なお、本実施形態において、一時記憶手段50は、携帯電話40とシングルサインオンサーバ60との間に生成されたモバイルセッションのMセッションIDとクライアントPC20とシングルサインオンサーバ60との間に生成されたクライアントセッションのCセッションIDを対応付けて格納する。以上、本実施形態のシングルサインオンシステム400の基本構成について説明してきたが、次に、本システムにおけるシングルサインオン処理について、以下説明する。
図15は、シングルサインオンシステム400のシングルサインオン処理のシーケンス図を示す。なお、図15においては、図11に示した認証システム300と共通する処理フローについては、同じステップ番号を付してその説明を省略する。ユーザは、まず、クライアントPC20からシングルサインオンサーバ60が提供するシングルサインオンサービスに対しログイン認証要求を送信する(ステップ301)。シングルサインオンサーバ60は、図11に示したのと同様の手順でログイン認証処理を実行し、認証結果をクライアントPC20に通知する(ステップ318)。上述したログイン認証処理を経た後、クライアントPC20とシングルサインオンサーバ60とのクライアントセッション(CセッションID)および携帯電話40とシングルサインオンサーバ60とのモバイルセッション(MセッションID)は、一時記憶手段50(以下、セッション管理データベースとして参照する)において関連付けられて管理される(ステップ315−2)。
シングルサインオンサーバ60は、ログイン認証に成功したユーザのクライアントPC20に対してサービスリストページを送信し(ステップ510)、クライアントPC20は、これを表示する(ステップ511)。図16(a)は、クライアントPC20に表示されたサービスリストページを示す。サービスリストページには、ユーザがシングルサインオンを利用することができる各種サービスのアイコンが表示されており、ユーザは、アイコンをクリックすることによって所望のサービス選択することができるように構成されている。
仮に、ユーザが「OPQネット証券」のアイコンをクリックしたとすると、「OPQネット証券」のサービスの識別情報(以下、サービスIDとして参照する)を指定したアクセス要求がシングルサインオンサーバ60に送信される(ステップ512)。ここで、シングルサインオンサーバ60のサービスログイン情報管理部53においては、ユーザIDに対して少なくとも1つのサービスIDが関連付けられ、各サービスIDに対して、対応するサービス(サービスサーバ30)を指定するURLとそのサービスの暗号化されたログイン情報(たとえば、ユーザIDおよびパスワード等)が関連付けられて管理されている。シングルサインオンサーバ60は、アクセス要求に含まれるサービスIDに基づいてサービスログイン情報管理部53を検索することによって、「OPQネット証券」のサービスを提供するサービスサーバ30のURLを特定し、当該サービスサーバ30に対してログインページを要求する(ステップ513)。サービスサーバ30は、これを受けてシングルサインオンサーバ60に「OPQネット証券」のログインページを送信する(ステップ514)。
次に、シングルサインオンサーバ60は、セッション管理データベースを検索し、アクセス要求を送ってきたクライアントPC20に関連付けられた携帯電話40(すなわち、アクセス要求を送ってきたクライアントPC20のユーザが携帯する携帯電話)のモバイルセッションを特定し、当該モバイルセッション内で携帯電話40に対して共通鍵を要求し(ステップ515)、携帯電話40は、当該要求に応答して、記憶手段41に格納された共通鍵をシングルサインオンサーバ60に送信する(ステップ516)。
シングルサインオンサーバ60は、携帯電話40から共通鍵を受信すると、セッション管理データベースを検索して、共通鍵を送ってきた携帯電話40に関連付けられたクライアントPC20(すなわち、携帯電話40を携帯するユーザが操作するクライアントPC)のアクセス要求を特定し、当該アクセス要求に含まれるサービスIDに基づいてサービスログイン情報管理部53を検索することによって、「OPQネット証券」のサービスの暗号化されたログイン情報(ユーザIDおよびパスワード)を検出し、これをステップ516で携帯電話40から受信した共通鍵で復号する(ステップ517)。
シングルサインオンサーバ60は、復号したログイン情報をステップ514でサービスサーバ30から取得した「OPQネット証券」のログインページに埋め込む(ステップ518)。続いて、シングルサインオンサーバ60は、セッション管理データベースを検索して特定したアクセス要求元のクライアントPC20に対してログイン情報埋込み済サービスログインページを送信する(ステップ519)。クライアントPC20のウェブブラウザ22は、受信した「OPQネット証券」のログインページを表示する(ステップ520)。図16(b)は、クライアントPC20に表示された「OPQネット証券」のログインページを示す。図16(b)に示されるように、「OPQネット証券」のログインページにおけるユーザIDおよびパスワードの入力ボックスは、表示された時点で既に埋まっており、ユーザは新たにログイン情報を入力する必要がない。ユーザが「ログイン」アイコンをクリックすると、ログインページに埋め込まれたログイン情報がサービスサーバ30に送信され(ステップ521)、サービスサーバ30においてユーザ認証が成功してサービスが開始される(ステップ522)。
以上、説明したように、本発明の認証システムによれば、ユーザは、ユーザIDやパスワードを覚えておく必要性から解放される。また、本発明の認証システムは、人口普及率が約90%の携帯電話と汎用ウェブブラウザを利用して構築することができ、本発明によれば、ユビキタスなサービス環境をユーザに提供することが可能になる。
以上、本発明について実施形態をもって説明してきたが、本発明は上述した実施形態に限定されるものではない。たとえば、上述した第2の実施形態において、図8におけるステップ315の後に、携帯認証用1TPWとサーバ認証用1TPWの組に対応するモバイルセッションIDと上記2つの1TPWを送信するウェブブラウザのクライアントセッションIDと対応付けて一時記憶手段に記憶するステップを挿入することができ、そのように構成することによって、第2の実施形態のサーバ装置を第4に実施形態として示したシングルサインオンサーバに拡張することができる。その他、当業者が推考しうる実施態様の範囲内において、本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
10…インターネット
12…移動体通信網
20…パーソナルコンピュータ(クライアントPC)
22…ウェブブラウザ
26…表示装置
30…サーバ装置(サービスサーバ)
31…ログイン情報管理部
33…クライアントPC通信部
34…移動携帯端末通信部
35…ログイン認証部
36…クライアントPC通信部
37…移動携帯端末通信部
38…ワンタイム・パスワード生成部
39…ログイン認証部
40…移動携帯端末(携帯電話)
41…記憶手段
42…表示手段
43…モバイルブラウザ
44…クライアントセッションID入力部
45…サーバ通信部
46…ワンタイム・パスワード生成部
47…サーバ通信部
50…一時記憶手段
52…シングルサインオン制御部
53…サービスログイン情報管理部
54…サービスサーバ通信部
60…シングルサインオンサーバ
100,200,300…認証システム
400…シングルサインオンシステム

Claims (12)

  1. ネットワークを介してクライアントPCに接続されるサーバ装置と、該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末とを含む認証システムであって、
    前記サーバ装置は、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に割り当てられたクライアントセッションIDを表示するクライアントセッションID表示情報を生成して前記ウェブブラウザに送信する手段と、
    前記移動携帯端末の個体識別番号をログイン情報として管理する手段とを含み、
    前記移動携帯端末は、
    前記クライアントセッションIDを入力する手段と、
    入力された前記クライアントセッションIDと前記個体識別番号を前記サーバ装置に送信する手段とを含み、
    前記サーバ装置は、
    前記移動携帯端末から受信した前記個体識別番号に基づいて前記クライアントセッションIDに対応するログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段を含む、
    認証システム。
  2. 前記クライアントセッションID表示情報がQRコードによって構成され、前記クライアントセッションIDを入力する手段は、QRコードリーダである、請求項1に記載の認証システム。
  3. ネットワークを介してクライアントPCに接続されるサーバ装置であって、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に割り当てられたクライアントセッションIDを表示するクライアントセッションID表示情報を生成して前記ウェブブラウザに送信する手段と、
    前記クライアントPCのユーザが管理する移動携帯端末から前記クライアントセッションIDと該移動携帯端末の個体識別番号を受信する手段と、
    前記個体識別番号をログイン情報として管理する手段と、
    前記個体識別番号に基づいて前記クライアントセッションIDに対応するログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段と
    を含む、
    サーバ装置。
  4. ネットワークを介してクライアントPCに接続されるサーバ装置にログイン認証を実行させるためのコンピュータ実行可能なプログラムであって、
    サーバ装置に、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に割り当てられたクライアントセッションIDを表示するクライアントセッションID表示情報を生成して前記ウェブブラウザに送信するための機能手段と、
    前記クライアントPCのユーザが管理する移動携帯端末から前記クライアントセッションIDと該移動携帯端末の個体識別番号を受信するための機能手段と、
    前記個体識別番号をログイン情報として管理するための機能手段と、
    前記個体識別番号に基づいて前記クライアントセッションIDに対応するログイン要求の送信元のクライアントPCのユーザのログイン認証を実行するための機能手段と
    を実現させるためのプログラム。
  5. ネットワークを介してクライアントPCに接続されるサーバ装置と、該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末とを含む認証システムであって、
    前記サーバ装置は、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に応答してワンタイム・パスワードの入力フォームを含む認証ページを生成して前記ウェブブラウザに送信する手段と、
    第1のワンタイム・パスワードを生成して前記移動携帯端末に送信する手段と、
    前記移動携帯端末の個体識別番号をログイン情報として管理する手段とを含み、
    前記移動携帯端末は、
    モバイルブラウザと、
    第2のワンタイム・パスワードを生成する手段と、
    前記移動携帯端末の個体識別番号と前記第2のワンタイム・パスワードを前記サーバ装置に送信する手段とを含み、
    前記モバイルブラウザは、前記サーバ装置から受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを表示し、
    前記サーバ装置は、
    前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶する手段と、
    前記ウェブブラウザから前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを受信し、前記一時記憶手段を検索して該第1および第2のワンタイム・パスワードの組に対応付けられた前記モバイルセッションIDを取得する手段と、
    取得した前記モバイルセッションIDに対応する個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段とを含む、
    認証システム。
  6. ネットワークを介してクライアントPCに接続されるサーバ装置であって、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に応答してワンタイム・パスワードの入力フォームを含む認証ページを生成して前記ウェブブラウザに送信する手段と、
    第1のワンタイム・パスワードを生成する手段と、
    前記クライアントPCのユーザが管理する移動携帯端末から、該移動携帯端末が生成した第2のワンタイム・パスワードと該移動携帯端末の個体識別番号を受信し、前記第1のワンタイム・パスワードを前記移動携帯端末のモバイルブラウザに送信する手段と、
    前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶する手段と、
    前記個体識別番号をログイン情報として管理する手段と、
    前記一時記憶手段を検索して前記ウェブブラウザから受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードの組に対応付けられた前記モバイルセッションIDを取得する手段と、
    取得した前記モバイルセッションIDに対応する個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段とを含む、
    サーバ装置。
  7. 取得した前記モバイルセッションIDと前記ウェブブラウザのクライアントセッションIDを対応付けて一時記憶手段に記憶する手段をさらに含む、請求項6に記載のサーバ装置。
  8. ネットワークを介してクライアントPCに接続されるサーバ装置にログイン認証を実行させるためのコンピュータ実行可能なプログラムであって、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に応答してワンタイム・パスワードの入力フォームを含む認証ページを生成して前記ウェブブラウザに送信するための機能手段と、
    第1のワンタイム・パスワードを生成するための機能手段と、
    前記クライアントPCのユーザが管理する移動携帯端末から、該移動携帯端末が生成した第2のワンタイム・パスワードと該移動携帯端末の個体識別番号を受信し、前記第1のワンタイム・パスワードを前記移動携帯端末のモバイルブラウザに送信するための機能手段と、
    前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶するための機能手段と、
    前記個体識別番号をログイン情報として管理するための機能手段と、
    前記一時記憶手段を検索して前記ウェブブラウザから受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードの組に対応付けられた前記モバイルセッションIDを取得するための機能手段と、
    取得した前記モバイルセッションIDに対応する個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行するための機能手段と
    を実現させるためのプログラム。
  9. ネットワークを介してクライアントPCに接続されるサーバ装置と、該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末とを含む認証システムであって、
    前記サーバ装置は、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に応答して、ワンタイム・パスワードの入力フォームと前記ログイン要求に割り当てられたクライアントセッションIDを表示する情報を含む認証ページを生成して前記ウェブブラウザに送信する手段と、
    第1のワンタイム・パスワードを生成して前記移動携帯端末に送信する手段と、
    前記移動携帯端末の個体識別番号をログイン情報として管理する手段とを含み、
    前記移動携帯端末は、
    モバイルブラウザと、
    第2のワンタイム・パスワードを生成する手段と、
    前記移動携帯端末の個体識別番号と前記第2のワンタイム・パスワードを前記サーバ装置に送信する手段とを含み、
    前記モバイルブラウザは、前記サーバ装置から受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを表示し、
    前記サーバ装置は、
    前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶する手段と、
    前記ウェブブラウザから受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードの組に基づいて前記一時記憶手段を検索して該組に対応付けられた前記モバイルセッションIDを取得する手段と、
    取得した前記モバイルセッションIDと前記ウェブブラウザのクライアントセッションIDを対応付けて一時記憶手段に記憶する手段と、
    前記移動携帯端末から受信した前記個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段と
    前記ログイン要求に割り当てられたクライアントセッションIDを表示する確認ダイアログを生成して前記モバイルブラウザに送信する手段と、
    前記確認ダイアログを介した承認応答を待ってログイン認証結果を前記クライアントPCに通知する手段と
    を含む、
    認証システム。
  10. ネットワークを介してクライアントPCに接続されるサーバ装置であって、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に応答してワンタイム・パスワードの入力フォームと前記ログイン要求に割り当てられたクライアントセッションIDを表示する情報を含む認証ページを生成して前記ウェブブラウザに送信する手段と、
    第1のワンタイム・パスワードを生成する手段と、
    前記クライアントPCのユーザが管理する移動携帯端末から、該移動携帯端末が生成した第2のワンタイム・パスワードと該移動携帯端末の個体識別番号を受信し、前記第1のワンタイム・パスワードを前記移動携帯端末のモバイルブラウザに送信する手段と、
    前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶する手段と、
    前記個体識別番号をログイン情報として管理する手段と、
    前記移動携帯端末から受信した前記個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行する手段と、
    前記ウェブブラウザから受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードの組に基づいて前記一時記憶手段を検索して該組に対応付けられた前記モバイルセッションIDを取得する手段と、
    取得した前記モバイルセッションIDと前記ウェブブラウザのクライアントセッションIDを対応付けて一時記憶手段に記憶する手段と、
    前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを受信したクライアントセッションに割り当てられたクライアントセッションIDを表示する確認ダイアログを生成して前記モバイルブラウザに送信する手段と、
    前記確認ダイアログを介した承認応答を待ってログイン認証結果を前記クライアントPCに通知する手段とを含む、
    サーバ装置。
  11. ネットワークを介してクライアントPCに接続されるサーバ装置にログイン認証を実行させるためのコンピュータ実行可能なプログラムであって、
    前記クライアントPCのウェブブラウザから送信されたログイン要求に応答してワンタイム・パスワードの入力フォームと前記ログイン要求に割り当てられたクライアントセッションIDを表示する情報を含む認証ページを生成して前記ウェブブラウザに送信するための機能手段と、
    第1のワンタイム・パスワードを生成するための機能手段と、
    前記クライアントPCのユーザが管理する移動携帯端末から、該移動携帯端末が生成した第2のワンタイム・パスワードと該移動携帯端末の個体識別番号を受信し、前記第1のワンタイム・パスワードを前記移動携帯端末のモバイルブラウザに送信するための機能手段と、
    前記個体識別番号の送信元の前記移動携帯端末との間に生成されたモバイルセッションに割り当てられたモバイルセッションIDと、前記第1のワンタイム・パスワードと、前記第2のワンタイム・パスワードとを対応付けて一時記憶手段に記憶するための機能手段と、
    前記個体識別番号をログイン情報として管理するための機能手段と、
    前記移動携帯端末から受信した前記個体識別番号に基づいて前記ログイン要求の送信元のクライアントPCのユーザのログイン認証を実行するための機能手段と、
    前記ウェブブラウザから受信した前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードの組に基づいて前記一時記憶手段を検索して該組に対応付けられた前記モバイルセッションIDを取得するための機能手段と、
    取得した前記モバイルセッションIDと前記ウェブブラウザのクライアントセッションIDを対応付けて一時記憶手段に記憶するための機能手段と、
    前記第1のワンタイム・パスワードと前記第2のワンタイム・パスワードを受信したクライアントセッションに割り当てられたクライアントセッションIDを表示する確認ダイアログを生成して前記モバイルブラウザに送信するための機能手段と、
    前記確認ダイアログを介した承認応答を待ってログイン認証結果を前記クライアントPCに通知するための機能手段と
    を実現させるためのプログラム。
  12. 複数のサービスを提供する少なくとも1つのサービスサーバおよびクライアントPCにネットワークを介して接続される請求項7または10に記載のサーバ装置ならびに該サーバ装置と通信自在な前記クライアントPCのユーザが管理する移動携帯端末を含むシングルサインオンシステムであって、
    前記サーバ装置は、
    前記クライアントPCのウェブブラウザから送信されるサービスを指定したアクセス要求に応答してサービスサーバからログインページを取得する手段と、
    前記サービスサーバが提供するサービスにアクセスするためのログイン情報であって、共通鍵暗号方式によって暗号化されたログイン情報を管理する手段をさらに含み、
    前記移動携帯端末は、
    前記サーバ装置からの要求に応じて前記暗号化されたログイン情報を復号するための共通鍵を送信する手段をさらに含み、
    前記サーバ装置は、
    前記移動携帯端末から受信した共通鍵を使用して前記暗号化されたログイン情報を復号し、復号したログイン情報を前記サービスサーバから取得した前記ログインページに埋め込む手段と、
    前記ログイン情報が埋め込まれた前記ログインページを前記アクセス要求の送信元のクライアントPCのユーザのウェブブラウザに送信する手段と
    をさらに含む、
    シングルサインオンシステム。
JP2010109103A 2010-05-11 2010-05-11 認証システム、シングルサインオンシステム、サーバ装置およびプログラム Pending JP2011238036A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010109103A JP2011238036A (ja) 2010-05-11 2010-05-11 認証システム、シングルサインオンシステム、サーバ装置およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010109103A JP2011238036A (ja) 2010-05-11 2010-05-11 認証システム、シングルサインオンシステム、サーバ装置およびプログラム

Publications (1)

Publication Number Publication Date
JP2011238036A true JP2011238036A (ja) 2011-11-24

Family

ID=45325939

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010109103A Pending JP2011238036A (ja) 2010-05-11 2010-05-11 認証システム、シングルサインオンシステム、サーバ装置およびプログラム

Country Status (1)

Country Link
JP (1) JP2011238036A (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101459283B1 (ko) 2013-09-17 2014-11-07 주식회사 아이넵 2채널 인증장치와 방법
JP2014225096A (ja) * 2013-05-15 2014-12-04 株式会社Hde 認証サーバ、認証システム及びプログラム
CN104520832A (zh) * 2012-06-20 2015-04-15 大流株式会社 信息处理方法及装置、数据处理方法及其装置
JP2015526784A (ja) * 2012-06-07 2015-09-10 オーセンティファイ・インクAuthentify Inc. 問い合わせ型トランザクションによる強化された2chk認証セキュリティ
JP2015213307A (ja) * 2014-04-30 2015-11-26 富士通株式会社 安全な通信のためのデバイス設定
US9306919B2 (en) 2013-03-26 2016-04-05 Fuji Xerox Co., Ltd. Information processing apparatus, information processing system, information processing method, and non-transitory computer readable storage medium
KR101861757B1 (ko) * 2016-09-28 2018-07-02 주식회사 엔비티 간편로그인 수행 방법 및 장치
JP6405071B1 (ja) * 2017-12-28 2018-10-17 株式会社Isao 認証のためのシステム、方法、プログラム、及びプログラムを記録した記録媒体
JP2019020902A (ja) * 2017-07-13 2019-02-07 株式会社Lte−X 認証サーバ、認証コアシステム、認証システム及び認証方法
JP2019032646A (ja) * 2017-08-07 2019-02-28 モバイルクリエイト株式会社 通信端末の登録認証システムおよび登録認証方法
JP2019519827A (ja) * 2016-07-12 2019-07-11 キム ジュハンKIM, Juhan アプリの偽変造が探知可能な2チャンネル認証代行システム及びその方法
WO2021166848A1 (ja) 2020-02-18 2021-08-26 学校法人東京理科大学 暗号認証システム、ユーザ端末、サービスサーバ、及びプログラム
CN115150141A (zh) * 2022-06-22 2022-10-04 青岛海信网络科技股份有限公司 一种单点登录方法以及单点管理设备
WO2023281799A1 (ja) * 2021-07-07 2023-01-12 ソニーグループ株式会社 情報処理装置および方法、並びにプログラム

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015526784A (ja) * 2012-06-07 2015-09-10 オーセンティファイ・インクAuthentify Inc. 問い合わせ型トランザクションによる強化された2chk認証セキュリティ
CN104520832A (zh) * 2012-06-20 2015-04-15 大流株式会社 信息处理方法及装置、数据处理方法及其装置
JP2015532720A (ja) * 2012-06-20 2015-11-12 ヒュージフロー カンパニー リミテッド 情報処理方法及び装置、並びにデータ処理方法及びこれを用いる装置
US9306919B2 (en) 2013-03-26 2016-04-05 Fuji Xerox Co., Ltd. Information processing apparatus, information processing system, information processing method, and non-transitory computer readable storage medium
JP2014225096A (ja) * 2013-05-15 2014-12-04 株式会社Hde 認証サーバ、認証システム及びプログラム
KR101459283B1 (ko) 2013-09-17 2014-11-07 주식회사 아이넵 2채널 인증장치와 방법
JP2015213307A (ja) * 2014-04-30 2015-11-26 富士通株式会社 安全な通信のためのデバイス設定
JP2019519827A (ja) * 2016-07-12 2019-07-11 キム ジュハンKIM, Juhan アプリの偽変造が探知可能な2チャンネル認証代行システム及びその方法
KR101861757B1 (ko) * 2016-09-28 2018-07-02 주식회사 엔비티 간편로그인 수행 방법 및 장치
JP2019020902A (ja) * 2017-07-13 2019-02-07 株式会社Lte−X 認証サーバ、認証コアシステム、認証システム及び認証方法
JP2019032646A (ja) * 2017-08-07 2019-02-28 モバイルクリエイト株式会社 通信端末の登録認証システムおよび登録認証方法
JP6405071B1 (ja) * 2017-12-28 2018-10-17 株式会社Isao 認証のためのシステム、方法、プログラム、及びプログラムを記録した記録媒体
WO2019130798A1 (ja) * 2017-12-28 2019-07-04 株式会社Isao 認証のためのシステム、方法、プログラム、及びプログラムを記録した記録媒体
WO2021166848A1 (ja) 2020-02-18 2021-08-26 学校法人東京理科大学 暗号認証システム、ユーザ端末、サービスサーバ、及びプログラム
WO2023281799A1 (ja) * 2021-07-07 2023-01-12 ソニーグループ株式会社 情報処理装置および方法、並びにプログラム
CN115150141A (zh) * 2022-06-22 2022-10-04 青岛海信网络科技股份有限公司 一种单点登录方法以及单点管理设备
CN115150141B (zh) * 2022-06-22 2024-03-08 青岛海信网络科技股份有限公司 一种单点登录方法以及单点管理设备

Similar Documents

Publication Publication Date Title
JP2011238036A (ja) 認証システム、シングルサインオンシステム、サーバ装置およびプログラム
JP5591232B2 (ja) 仮想入力レイアウトを用いた情報伝送
JP7202688B2 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
JP5749236B2 (ja) 鍵付け替え管理装置および鍵付け替え管理方法
JP2014529837A (ja) 身分認証管理装置及びその方法
WO2013119385A1 (en) Protecting user credentials from a computing device
CN101953113A (zh) 对可漫游凭证存储的安全且可用保护
JPWO2012046304A1 (ja) 二要素ユーザ認証システム、およびその方法
WO2015188424A1 (zh) 一种密钥存储设备及其使用方法
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
JP2011175394A (ja) シングル・サインオン・システムを構成するウェブ・サーバならびにその動作制御方法およびその動作制御プログラム
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
JP5900058B2 (ja) 認証プログラム、情報処理装置、認証システム、及びユーザ端末
TW201342107A (zh) 帳號密碼重置系統及方法
JP7422241B2 (ja) パスワード回復方法、システム、クラウドサーバー及び電子デバイス
JP4979210B2 (ja) ログイン情報管理装置及び方法
US10218505B1 (en) Server based settings for client software with asymmetric signing
US20100095372A1 (en) Trusted relying party proxy for information card tokens
JP5197681B2 (ja) ログインシール管理システム及び管理サーバ
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
JP7079528B2 (ja) サービス提供システム及びサービス提供方法
JP2012079284A (ja) オフライン二要素ユーザ認証システム、その方法、およびそのプログラム
JP2023532976A (ja) ユーザの身元の検証のための方法およびシステム
JP5919497B2 (ja) ユーザ認証システム
JP2018106515A (ja) サーバ、ログイン処理方法、及び、ログイン処理プログラム