JP2012079231A - Authentication information management device and authentication information management method - Google Patents
Authentication information management device and authentication information management method Download PDFInfo
- Publication number
- JP2012079231A JP2012079231A JP2010225953A JP2010225953A JP2012079231A JP 2012079231 A JP2012079231 A JP 2012079231A JP 2010225953 A JP2010225953 A JP 2010225953A JP 2010225953 A JP2010225953 A JP 2010225953A JP 2012079231 A JP2012079231 A JP 2012079231A
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- user
- management
- key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、認証情報管理装置および認証情報管理方法に関するものであり、具体的には、複数サービスの認証情報に関して、暗号化を施してセキュリティレベルを確保しつつ、複数ユーザによる1ユーザの認証情報管理も可能とする技術に関する。 The present invention relates to an authentication information management apparatus and an authentication information management method. Specifically, the authentication information of a plurality of services is encrypted, and the authentication information of one user by a plurality of users is secured while ensuring the security level. It relates to technology that enables management.
昨今、インターネットなどのネットワークにおいて様々なWebサービスが提供されている。そのようなサービスをユーザが利用しようとする際、まずユーザはサービスごとにユーザの識別子(ID)、パスワードなどの情報をサービスの提供装置側に登録する作業、すなわちユーザ登録を行う。また、サービス利用時におけるユーザは、クライアントにてIDやパスワードを入力してサービスの提供装置へ送信し、ユーザ認証を受けることになる。なお、企業などの組織の場合は、組織の管理者が、組織内ユーザの数に応じてユーザ登録を一括して行う場合もある。 In recent years, various Web services are provided in networks such as the Internet. When a user intends to use such a service, the user first performs an operation of registering information such as a user identifier (ID) and a password on the service providing apparatus side for each service, that is, user registration. Further, the user at the time of using the service inputs the ID and password at the client and transmits them to the service providing apparatus to receive user authentication. In the case of an organization such as a company, the administrator of the organization may perform user registration all at once according to the number of users in the organization.
利用するサービスの数が増えてくると、そこで用いるIDやパスワードの数も増加し、ユーザがそれらを管理するのが煩雑になってしまう。そこで、こうした複数のサービスの利用にかかるユーザの手間を軽減するため、シングルサインオンの技術が提案されている。シングルサインオンによれば、ユーザは一か所のサービスで認証を行うだけで、他のサービスでも認証が成功したものとしてスムーズにサービスの利用を行うことができる。 When the number of services to be used increases, the number of IDs and passwords used there increases, and it becomes complicated for the user to manage them. Therefore, a single sign-on technique has been proposed in order to reduce the user's trouble in using such a plurality of services. According to single sign-on, the user can authenticate with only one service and can use the service smoothly assuming that other services have been successfully authenticated.
こうしたシングルサインオンを実現するための技術として、例えば特許文献1および特許文献2等に記載された技術がある。これらの技術では、シングルサインオンの対象となっている各サービスの認証情報を所定装置が保持し、ユーザの代わりに各サービスでの認証を行う。
As a technique for realizing such single sign-on, for example, there are techniques described in Patent Document 1,
前述したようなシングルサインオンを実現する従来技術においては、シングルサインオンの対象となっている各サービスの認証情報を、シングルサインオンサービス(のコンピュータ)へと提供する必要がある。ユーザから提供された認証情報を保持するシングルサインオンサービスでは、サービスを提供しているコンピュータへの侵入や、悪意を持った管理者による保持データの覗き見が発生した際にもユーザの認証情報が漏れないよう、保持したデータに対して暗号化を施すことが望ましい。こうした暗号化のための技術としては、特許文献3に記載されているような、ユーザごとに暗号化のための鍵を発行し、その鍵を用いて当該ユーザの情報を暗号化する技術がある。 In the prior art for realizing single sign-on as described above, it is necessary to provide authentication information of each service that is the target of single sign-on to the single sign-on service (computer thereof). In the single sign-on service that holds the authentication information provided by the user, the user's authentication information even when the intrusion into the computer that provides the service or the stored data is peeped by a malicious administrator It is desirable to encrypt the stored data so that the data is not leaked. As a technique for such encryption, there is a technique for issuing an encryption key for each user and encrypting the information of the user using the key, as described in Patent Document 3. .
しかし、そのような方式では、データベースに格納されている情報を閲覧、変更できるのは当該ユーザのみとなってしまう。シングルサインオンサービスにおいては、組織の管理者が、Webサービスに関して組織内ユーザ用のID等を発行し、発行した認証情報をシングルサインオンサービスに登録することも考えられる。このような場合、ユーザごとに暗号鍵を発行して情報を暗号化する方式では、管理者による情報の追加や変更が不可能になってしまうという問題がある。 However, in such a system, only the user can view and change information stored in the database. In the single sign-on service, it is also conceivable that an organization administrator issues an ID for an in-organization user regarding the web service and registers the issued authentication information in the single sign-on service. In such a case, the method of encrypting information by issuing an encryption key for each user has a problem that it becomes impossible for an administrator to add or change information.
そこで本発明の目的は、複数サービスの認証情報に関して、暗号化を施してセキュリティレベルを確保しつつ、複数ユーザによる1ユーザの認証情報管理も可能とする技術を提供することにある。 SUMMARY OF THE INVENTION An object of the present invention is to provide a technique capable of managing authentication information of one user by a plurality of users while encrypting the authentication information of a plurality of services to ensure a security level.
上記課題を解決する本発明の認証情報管理装置は、ユーザが利用する複数サービスの各認証情報を管理するコンピュータであり、各種情報を格納する記憶装置、および他装置との通信を行う通信装置と、所定ユーザの認証情報を暗号化する鍵を用い、該当ユーザの認証情報を暗号化し記憶装置にて保持する処理と、前記鍵を、前記ユーザの認証情報を管理する、該当ユーザを含む複数の管理ユーザ別に暗号化し、該複数の管理ユーザの暗号化鍵を前記ユーザに対応付けて記憶装置にて保持する処理と、所定ユーザに関する認証情報の管理要求を通信装置で受け、該管理要求が示す管理ユーザの識別情報を記憶装置にて照合し、前記所定ユーザに関して該当管理ユーザの暗号化鍵を特定できた場合、該暗号化鍵を前記管理要求が示す前記管理ユーザの認証情報にて復号化して前記鍵を生成し、前記管理要求に応じて更新された前記所定ユーザの認証情報を前記鍵で暗号化し記憶装置に格納する処理と、を実行する演算装置と、を備えることを特徴とする。 An authentication information management apparatus of the present invention that solves the above problems is a computer that manages authentication information of a plurality of services used by a user, a storage device that stores various types of information, and a communication device that communicates with other devices Using a key for encrypting authentication information of a predetermined user, encrypting the authentication information of the corresponding user and storing it in a storage device, and managing the authentication information of the user with a plurality of keys including the corresponding user Processing for encrypting each management user, storing the encryption keys of the plurality of management users in the storage device in association with the user, and receiving a management request for authentication information related to the predetermined user at the communication device, and indicating the management request When the management user identification information is collated in the storage device and the encryption key of the corresponding management user can be specified for the predetermined user, the management key indicated by the management request is indicated by the management key. A processing unit that generates the key by decrypting with the authentication information of the user, encrypts the authentication information of the predetermined user updated in response to the management request with the key, and stores the encrypted information in a storage device; It is characterized by providing.
また、本発明の認証情報管理方法は、各種情報を格納する記憶装置、および他装置との通信を行う通信装置を備え、ユーザが利用する複数サービスの各認証情報を管理するコンピュータが、所定ユーザの認証情報を暗号化する鍵を用い、該当ユーザの認証情報を暗号化し記憶装置にて保持する処理と、前記鍵を、前記ユーザの認証情報を管理する、該当ユーザを含む複数の管理ユーザ別に暗号化し、該複数の管理ユーザの暗号化鍵を前記ユーザに対応付けて記憶装置にて保持する処理と、所定ユーザに関する認証情報の管理要求を通信装置で受け、該管理要求が示す管理ユーザの識別情報を記憶装置にて照合し、前記所定ユーザに関して該当管理ユーザの暗号化鍵を特定できた場合、該暗号化鍵を前記管理要求が示す前記管理ユーザの認証情報にて復号化して前記鍵を生成し、前記管理要求に応じて更新された前記所定ユーザの認証情報を前記鍵で暗号化し記憶装置に格納する処理と、を実行することを特徴とする。 Further, the authentication information management method of the present invention includes a storage device that stores various types of information and a communication device that communicates with other devices, and a computer that manages each authentication information of a plurality of services used by a user is a predetermined user. A process for encrypting the authentication information of the corresponding user and storing it in a storage device, and managing the authentication information of the user for each of a plurality of management users including the corresponding user. The process of encrypting and storing the encryption keys of the plurality of management users in association with the user in the storage device, and receiving a management request for authentication information related to the predetermined user at the communication device, and the management user indicated by the management request When the identification information is collated in the storage device and the encryption key of the corresponding management user can be identified for the predetermined user, the authentication information of the management user indicated by the management request is stored in the encryption key. It decodes and generates the key in, and executes a processing for storing the encrypted storage device by the key authentication information of the predetermined user that has been updated in response to the management request.
本発明によれば、複数サービスの認証情報に関して、暗号化を施してセキュリティレベルを確保しつつ、複数ユーザによる1ユーザの認証情報管理も可能となる。 According to the present invention, it is possible to manage authentication information of one user by a plurality of users while encrypting the authentication information of a plurality of services to ensure a security level.
−−−システム構成例−−−
図1は、本実施例における認証情報管理装置103を含めたシングルサインオンシステム100全体の構成例を示している。シングルサインオンシステム100は、ユーザ端末101、認証サービス提供装置102、認証情報管理装置103、サービス提供装置104および105を備え、これらがネットワーク106で接続されている。ネットワーク106には、図示されていない端末や通信装置などが接続されていてもよい。図1におけるサービス提供装置は2つのみネットワーク106に接続されているが、2つに限定するものではなく3つ以上でも勿論よい。ネットワーク106は企業内ネットワークなどのLAN(Local Area Network)でもよいし、LANだけに留まらずインターネットであってもよい。
--- System configuration example ---
FIG. 1 shows a configuration example of the entire single sign-on
図2は、シングルサインオンシステム100を構成する装置であるユーザ端末101、認証サービス提供サーバ102、認証情報管理装置103、サービス提供サーバ104および105のハードウェア構成例を示している。これらは、実質的に同様の装置構成を有し、各装置で実行されるソフトウェアによって各々の動作が定められる。
FIG. 2 shows a hardware configuration example of the
ユーザ端末101は情報処理装置であり、ユーザが所有するPCなどの端末である。ユーザ端末101は、ネットワークカードなどの通信装置201、キーボードやマウス等の入力装置202、LCD(Liquid Crystal Display)等の表示装置203、演算装置204、メモリ205、ハードディスク等の記憶装置206を備える。演算装置204は、記憶装置206に格納されたプログラムを実行し、各部の制御を行う。記憶装置206は、演算装置204が実行するプログラムおよび演算装置204が使用するデータ等を格納する。通信装置201は、ネットワーク106を介して他の装置からデータを受信して演算装置204へ送ると共に、演算装置204が生成したデータを、ネットワーク106を介して他の装置へ送信する。演算装置204は、入力装置202や表示装置203を制御し、入力装置202からデータを入力し、データを表示装置203へ出力する。記憶装置206にはプログラムや処理に必要なデータ類が格納されており、プログラムは記憶装置206からメモリ205にロードされ、演算装置204によって実行される。ユーザ端末101は、これらのプログラムを記憶装置206からロードして実行するが、他の例として、CD、DVD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等の記録媒体からこのプログラムをロードしてもよい。また他の例として、他の装置から、通信媒体を介して、これらのプログラムをロードしてもよい。通信媒体とは、ネットワークまたはこれらを伝搬するディジタル信号または搬送波を指す。
The
本実施例においては、認証サービス提供装置102、認証情報管理装置103、サービス提供装置104および105のハードウェア構成はユーザ端末101と同様のものであるため省略する。
In the present embodiment, the hardware configuration of the authentication
図3は、シングルサインオンシステム100を構成するユーザ端末101、認証サービス提供装置102、認証情報管理装置103、サービス提供装置104、105のソフトウェア構成例を示す。
FIG. 3 shows a software configuration example of the
ユーザ端末101は、ネットワーク106と情報を送受信するデータ送受信部311と、表示プログラム312とを有する。表示プログラム312は例えばウェブブラウザであり、ユーザ端末101のユーザは、これを用いてネットワーク106を介して接続されているサービス提供装置などからの情報を閲覧し、サービスを享受する。
The
認証サービス提供装置102は、ネットワーク106と情報を送受信するデータ送受信部321と、サービスプログラム322とを有する。サービスプログラム322は、特許文献1や特許文献2に記載されているような、複数のサービスでの認証をユーザ端末に代わって実施し、ユーザの利便性を高めるためのプログラム、すなわちシングルサインオンの実行プログラムである。ただし、本実施例における構成では、認証サービス提供装置102は複数のサービスにおけるユーザの認証情報を保持しない。ユーザの認証情報は、本実施形態における認証情報管理装置103が保持し、認証サービス提供装置102は認証情報をネットワーク106を介して認証情報管理装置103から取得するものとする。
The authentication
一方、認証情報管理装置103は、ネットワーク106と情報を送受信するデータ送受信部331と、管理用画面(のデータ)332と、管理用のインタフェース333と、認証情報データベース334、鍵管理データベース335、ユーザ管理データベース336、セッション管理データベース337、ログデータベース338とを有する。管理用のインタフェース333は、認証情報管理装置103でのユーザの追加、削除、パスワードの変更、認証情報の追加、削除、更新などを行うためのインタフェースである。管理用画面332は、認証情報の管理を行うためのGUIをユーザに提供するものであり、内部的には管理用のインタフェース333を用いて認証情報の管理を行う。
On the other hand, the authentication
サービス提供装置104は、ネットワーク106と情報を送受信するデータ送受信部341と、データ送受信部341を介してネットワーク106に接続された装置にサービスを提供するサービスプログラム342とを有する。同様に、サービス提供装置105は、ネットワーク106と情報を送受信するデータ送受信部351と、データ送受信部351を介してネットワーク106に接続された装置にサービスを提供するサービスプログラム352とを有する。これらサービス提供装置104および105は、ソーシャルネットワークサービスやメールサービス、情報検索サービスなどのユーザが登録して利用するサービスを提供するものであり、本実施例の中で特にそのサービス内容を定めるものではない。
The
−−−データベース構成例−−−
続いて、本実施形態における認証情報管理装置103が記憶装置206に備えるデータベースの詳細について説明する。図4に認証情報データベース334の一例を示す。認証情報データベース334は、ユーザ識別子401をキーとして、サービス402、認証情報403、前記認証情報にハッシュ関数を適用して得られた認証情報ハッシュ値404、および要更新フラグ405で構成される。
--- Database configuration example ---
Next, details of the database included in the
ユーザ識別子401は、認証情報管理装置103のユーザに与えられる識別子である。サービス402は、該当ユーザが享受するサービス名であり、認証情報管理装置103で認証情報を管理するサービスを表す値である。認証情報403は、前記サービス402で表されるサービスで有効な認証情報であり、例えば該当サービスのユーザのユーザ識別子およびパスワードや、認証トークンなどである。認証情報403に格納されている値は認証情報そのものではなく、後述するワーク鍵(鍵)を暗号鍵として暗号化された値である。暗号化して格納する方式については後述する。認証情報ハッシュ値404は、暗号化する前の認証情報をハッシュ関数(所定のアルゴリズム)に入力して得られたハッシュ値(検証用情報)であり、認証情報403を復号して得られ認証情報が正しいものであるかどうか検証するために用いられる。
A
要更新フラグ405は、ユーザによる認証情報の更新が必要かどうかを示す値である。本実施形態では、あるユーザの認証情報が企業等におけるシステムの管理者など別ユーザ(管理ユーザ)により登録もしくは更新された場合に更新が必要と判断し、要更新フラグを「True」にする。例えば前記管理者による認証情報の一括登録や一括更新などが行われた場合、認証情報(パスワードなど)は管理者の設定したものになってしまう。管理者の定めたパスワードをそのまま使い続けることはセキュリティ的に望ましいことではなく、ユーザが自身でパスワードなどを設定することが望ましいため、このフラグを設けている。
The update required
図5に、鍵管理データベース335の一例を示す。鍵管理データベース335は、ユーザ識別子501、ワーク鍵ハッシュ値502、本人用鍵503、別ユーザ識別子甲504、別ユーザ用鍵甲505、別ユーザ識別子乙506、別ユーザ用鍵乙507で構成される。別ユーザ用識別子と別ユーザ用鍵の組は甲と乙の2つ記載されているが、2つのみに制限するものではなく、必要に応じて丙、丁、とその数を増やしてもよい。ユーザ識別子501は、認証情報管理装置103のユーザに与えられる識別子である。ワーク鍵ハッシュ値502は、認証情報管理装置103のユーザごとに生成されるワーク鍵をハッシュ関数(所定のアルゴリズム)の入力として得られたハッシュ値(鍵検証用情報)である。ワーク鍵ハッシュ値502は、本人用鍵503や別ユーザ用鍵甲505などから求められたワーク鍵が正しいものであるかどうかを検証するために用いられる。ワーク鍵の導出、検証などについては後述する。
FIG. 5 shows an example of the
本人用鍵503はワーク鍵をユーザ識別子501で表されるユーザのパスワードを暗号鍵として暗号化した値である。別ユーザ識別子甲504は、ユーザ識別子501で表されるユーザの各サービス提供装置での認証情報を管理可能な、本人以外のユーザの識別子である。なお、ユーザ本人とその認証情報を管理可能な別ユーザ(企業におけるシステムの管理者等)とを含めて管理ユーザと考えて良い。別ユーザ用鍵甲505は、別ユーザ識別子甲504で表されるユーザのパスワードを暗号鍵として、ワーク鍵を暗号化したものである。別ユーザ識別子乙506および別ユーザ用鍵乙507に関しては、別ユーザ識別子甲504、別ユーザ用鍵甲505と同様である。別ユーザ識別子および別ユーザ用鍵は、ユーザ識別子501で表されるユーザ本人以外に、当該ユーザの各サービス提供装置での認証情報を管理可能なユーザ(当該ユーザの所属する組織の管理者など)の数だけ格納される。
The
図6に、ユーザ管理データベース336の一例を示す。ユーザ管理データベース336は、ユーザ識別子601、パスワードハッシュ値602、ユーザクラス603、メールアドレス604で構成される。ユーザ識別子601は、認証情報管理装置103のユーザに与えられる識別子である。パスワードハッシュ値602は、ユーザ識別子601で表されるユーザのパスワードをハッシュ関数に入力して得られた値である。この値は、認証情報管理装置におけるユーザ認証時に用いられる。ユーザクラス603は、当該ユーザが一般ユーザであるか管理者であるかを表すフィールドである。本実施例では、認証情報管理装置103のユーザを作成する権限を持つものを管理者とし、それ以外を一般ユーザとしている。本実施例においては、一般ユーザと管理者の2通りとなっているが、これはユーザのクラス分けを2段階に制限するものではなく、3通り以上のクラスに分けてユーザの管理を行ってもよい。メールアドレス604は、当該ユーザのメールアドレスであり、当該ユーザに通知などを行う際に用いられる。
FIG. 6 shows an example of the
図7に、セッション管理データベース337の一例を示す。セッション管理データベース337は、ユーザ識別子701、認証済みフラグ702、セッション識別子703、タイムアウト時刻704で構成される。ユーザ識別子701は、認証情報管理装置103のユーザに与えられる識別子である。認証済みフラグ702は、ユーザ識別子701で表されるユーザが認証情報管理装置103において認証されているかどうかを表すフラグであり、認証されている場合は「True」に、当該ユーザがログアウトしたりセッションがタイムアウトとなると「False」となる。セッション識別子703は、セッションを一意に表す値であり、ユーザが認証情報管理装置103で認証されるたびに新しい値となりユーザへと送付される。タイムアウト時刻704は、当該ユーザが認証済みの場合、そのセッションがいつまで続くかを表している。この時刻は当該ユーザが認証情報管理装置103において認証された場合に更新される。
FIG. 7 shows an example of the
図8に、ログデータベース338の一例を示す。ログデータベース338は時刻801、対象ユーザ識別子802、ログ情報803で構成される。ログデータベース338は、認証情報管理装置103においてユーザの登録や認証情報の更新、認証の失敗などのイベントごとに記録される。時刻801はそのイベントが発生した時刻を表す。対象ユーザ識別子802はどのユーザの情報に対するイベントなのかを表す。ログ情報803は、そのイベントの内容を表す。
FIG. 8 shows an example of the
−−−処理フロー例1−−−
以下、認証情報管理装置103の動作を、実際に認証情報管理装置103を利用する流れに沿って説明する。まず前提として、管理用のユーザに関する情報は既に少なくとも1つは認証情報管理装置103の記憶装置206に作成されているものとする。なお、ユーザ端末101とのデータ授受に際して、ユーザが情報入力を行う際には認証情報管理装置103からGUI画面のデータがユーザ端末101に送信され、GUI画面を介してユーザからの指示を受け付けるものとする。このGUI画面は、例えば、ユーザ識別子、パスワード、ユーザクラス、メールアドレス、対象ユーザの識別子、実行ユーザの識別子、サービス名などといった、上記データベース334〜338のフィールドに対応した各項目を問うための入力欄を少なくとも含んでいる。
--- Processing flow example 1 ---
Hereinafter, the operation of the authentication
図9に、認証情報管理装置103での一般ユーザ登録のフロー例を示す。まず、ステップ901にて、認証情報管理装置103は、一般ユーザ(すなわちシステムの管理者等ではない組織の一般構成員)の新規登録を行おうと、例えばユーザ端末101を介してアクセスしている(すなわち、管理要求を行っている)ユーザが認証済みであるかどうかを確認する。この処理の詳細は後述する。前記ユーザが認証されていない場合(901:N)、認証情報管理装置103は処理をステップ902に進め、認証処理を行う。この認証処理の詳細は後述する。
FIG. 9 shows a flow example of general user registration in the authentication
一方、前記ステップ901で、前記ユーザが認証済みと判定された場合(901:Y)、または前記ステップ902で前記ユーザに関する認証処理が完了した場合、認証情報管理装置103は、処理をステップ903に進め、認証されているユーザ(以下実行ユーザ)の識別子(実行ユーザ識別子)を前記ユーザ端末101から取得する。
On the other hand, if it is determined in
その後、ステップ904において、認証情報管理装置103は、ユーザ管理データベース336を参照し、ステップ905で実行ユーザのユーザクラスが「管理者」であるかどうかを判定する。前記実行ユーザのユーザクラスが「管理者」でない場合(905:N)、認証情報管理装置103は処理をステップ906に進める。実行ユーザが「管理者」でない場合はユーザ登録の権限がないため、認証情報管理装置103はその旨を実行ユーザの前記ユーザ端末101へと通知してステップ915へと処理を進める。ステップ915において認証情報管理装置103は、前記実行ユーザが新規ユーザの登録を行おうとしたが権限がないため失敗した旨をログデータベース338に記録し、処理を終了する。
Thereafter, in
一方、前記ステップ905で実行ユーザのユーザクラスが「管理者」と判定した場合(905:Y)、認証情報管理装置103は、ステップ907において、新規登録するユーザの識別子と初期パスワード、設定するユーザクラス、メールアドレスを実行ユーザのユーザ端末101から取得し、前記初期パスワードのハッシュ値を計算する。
On the other hand, if it is determined in
その後、認証情報管理装置103は、ステップ908においてワーク鍵を生成する。このワーク鍵の生成は、認証情報管理装置103が備える乱数生成器や乱数生成器の出力を入力としたハッシュ関数などによって行う。こうしてワーク鍵を生成すると、認証情報管理装置103はステップ909にてそのハッシュ値を計算する。
Thereafter, the authentication
次に認証情報管理装置103は、ステップ910において、前記ワーク鍵を新規登録ユーザの初期パスワードで暗号化し、記憶装置206における鍵管理データベース335での「本人用鍵」フィールドの情報を生成する。またステップ911で、認証情報管理装置103は、前記実行ユーザの識別子を「別ユーザ識別子甲」とする。また、ステップ912にて、認証情報管理装置103は、前記ワーク鍵を実行ユーザのパスワード(ユーザ端末101からの要求に含まれるパスワードであり、後述する図11のフローにて得られる)で暗号化し、「別ユーザ用鍵甲」の情報とする。
Next, in step 910, the authentication
続いて認証情報管理装置103は、ステップ913において、ここまでに作成した新規登録ユーザ用の情報のうち、前記ステップ907にて取得した、ユーザ識別子、ユーザクラス、メールアドレス、および前記初期パスワードのハッシュ値を、ユーザ管理データベース336に登録し、前記ステップ909〜912で得た、ワーク鍵のハッシュ値、ワーク鍵を前記初期パスワードで暗号化した「本人用鍵」フィールドの情報、実行ユーザ識別子すなわち「別ユーザ識別子甲」、前記ワーク鍵を実行ユーザのパスワードで暗号化した「別ユーザ用鍵甲」の各情報を、鍵管理データベース335に登録する。
Subsequently, in step 913, the authentication
ステップ914において、認証情報管理装置103は、新規に登録されたユーザのメールアドレス(前記ステップ913で登録されたもの)宛に、認証情報管理装置103においてユーザ登録がされた旨を初期パスワードとともに通知する。また、ステップ915において、認証情報管理装置103は、前記ユーザが新規登録された旨(登録時刻、対象ユーザの識別子、処理内容等)をログデータベース338に記録し、処理を終了する。
In step 914, the authentication
−−−処理フロー例2−−−
図10に、上記ステップ901で行っている、ユーザが認証済みであるかどうかの判定処理のフローの一例を示す。この場合まず、ステップ1001において、認証情報管理装置103は、当該認証情報管理装置103へのアクセス時にユーザ端末101からセッション識別子が送付されているかどうかを確認する。セッション識別子は認証情報管理装置103での認証時にユーザ端末101へと送付され、以後のアクセス時にはユーザ端末101から認証情報管理装置103へと送付される情報である。この枠組みは、例えばウェブブラウザのクッキーなどを利用してセッション識別子の送付を行うなど、既存技術を用いるだけで実現可能である。
--- Processing flow example 2 ---
FIG. 10 shows an example of a flow of determination processing for determining whether or not the user has been authenticated, which is performed in
前記ステップ1001にて、ユーザ端末101からセッション識別子が送付されていないと判断した場合(1001:N)、認証情報管理装置103は、ステップ1002にて、当該アクセスを行っているユーザは未認証であると判断し処理を終了する。他方、前記ステップ1001で、ユーザ端末101からセッション識別子が送付されていると判断した場合(1001:Y)、認証情報管理装置103は、ステップ1003にて、セッション管理データベース337を参照し、ステップ1004にて、ユーザ端末101から送付されているセッション識別子と同じセッション識別子を持つエントリがあるかどうか判定する。
If it is determined in
前記ステップ1004で同じセッション識別子を持つエントリがなかった場合(1004:N)、認証情報管理装置103は処理をステップ1002へと進め、当該アクセスを行っているユーザは未認証であると判断して処理を終了する。ス
一方、前記ステップ1004で同じセッション識別子を持つエントリがあった場合(1001:Y)、認証情報管理装置103は処理をステップ1005へと進め、当該エントリの認証済みフラグが「True」であるかどうか判定する。認証済みフラグが「False」の場合(1005:N)、認証情報管理装置103は処理をステップ1002へと進め、未認証であると判断して処理を終了する。
If there is no entry having the same session identifier in step 1004 (1004: N), the authentication
他方、認証済みフラグが「True」の場合(1005:Y)、認証情報管理装置103は処理をステップ1006へと進め、当該エントリの「タイムアウト時刻」と現在時刻(認証情報管理装置103がコンピュータとして備えるクロック機能より取得できる)とを比較し、現在時刻がタイムアウト時刻よりも前であるかどうか判定する。
On the other hand, if the authenticated flag is “True” (1005: Y), the authentication
現在時刻がタイムアウト時刻以降であった場合(1006:N)、認証情報管理装置103は処理をステップ1002へ進め、未認証と判断して処理を終了する。一方、現在時刻がタイムアウト時刻よりも前の場合(1006:Y)、認証情報管理装置103は処理をステップ1007へと進め、当該アクセスを行っているユーザは認証済みと判断して処理を終了する。この場合、当該アクセスを行っているユーザの識別子(実行ユーザ識別子)は、前記セッション管理データベース337における当該エントリのユーザ識別子フィールドのものとなる。
If the current time is after the timeout time (1006: N), the authentication
−−−処理フロー例3−−−
図11に、上述のステップ902で行っている、ユーザの認証処理の処理フローを示す。この場合、まずステップ1101にて、認証情報管理装置103は、認証情報としてユーザ端末101から入力された、認証情報管理装置103(へのアクセス用)のユーザ識別子、パスワードを取得する。次に、ステップ1102において認証情報管理装置103は、ユーザ管理データベース336を参照し、ステップ1103において、ユーザ識別子が前記ステップ1101で入力されたものと等しいエントリがあるかどうか判定する。
--- Processing flow example 3 ---
FIG. 11 shows a process flow of the user authentication process performed in
ここで等しいエントリがない場合(1103:N)、認証情報管理装置103はステップ1106にて認証失敗をユーザ端末101に通知し、ステップ1111でその旨をログデータベースに記録して処理を終了する。
If there is no equal entry (1103: N), the authentication
他方、等しいエントリがある場合(1103:Y)、認証情報管理装置103は、ステップ1104において、前記ステップ1101で入力されたパスワードのハッシュ値を計算し、ステップ1105にて、当該エントリの「パスワードハッシュ値」と入力されたパスワードのハッシュ値とが一致するかどうかを判定する。両者が一致しない場合(1105:N)、認証情報管理装置103は処理をステップ1106へと進め、認証失敗となる。一方、両者が一致する場合(1105:Y)、認証情報管理装置103は処理をステップ1107へと進め、セッション識別子を生成してユーザ端末101へと送付する。このセッション識別子の生成には乱数生成器などを用い、一意な値が生成されるようにする。
On the other hand, if there is an equal entry (1103: Y), the authentication
続いて、ステップ1108において、認証情報管理装置103は、現在時刻に所定時間を加算するなどしてセッションタイムアウト時刻を計算する。また、ステップ1109において、認証情報管理装置103は、前記ステップ1101で得たユーザ識別子、前記ステップ1107で得たセッション識別子、前記ステップ1108で得たタイムアウト時間の各情報でセッション管理データベース337を更新する。その後、ステップ1110において、認証情報管理装置103は、認証成功した旨を該当ユーザ端末101へ通知し、ステップ1111にてログデータベース338にその旨を記録して処理を終了する。
Subsequently, in
以上でユーザ登録がなされる。次は、そのユーザが認証情報管理装置103で認証され、初期パスワードから自身の使用するパスワードへと変更する処理について、処理フロー例4にて説明する。なお、認証に関する処理は既に説明したから、パスワード変更処理について処理フロー例4にて述べる。
User registration is thus completed. Next, processing in which the user is authenticated by the authentication
−−−処理フロー例4−−−
図12に、パスワード変更フローの例を示す。例えば、認証情報管理装置103が、ユーザ端末101からパスワード変更要求(管理要求)を受信している状況であるとする。この場合、まず、ステップ1201において、認証情報管理装置103は、前記パスワード変更要求を行ってきたユーザ端末101の操作者たるユーザに関し、ワーク鍵を取得する。このワーク鍵取得処理の詳細については後述する。次に、ステップ1202にて、認証情報管理装置103は、ユーザ端末101から新規パスワードを取得し、ステップ1203にて、前記新規パスワードで前記ワーク鍵を暗号化して新しい「本人用鍵」を取得する。認証情報管理装置103は、ステップ1204において、新しい本人用鍵で鍵管理データベース335の該当ユーザのエントリを更新し、処理を終了する。
--- Processing flow example 4 ---
FIG. 12 shows an example of a password change flow. For example, it is assumed that the authentication
−−−処理フロー例5−−−
図13に、上述したワーク鍵取得処理(ステップ1201)の詳細フローの例を示す。この場合、ステップ1301において、認証情報管理装置103は、アクセスしてきているユーザ端末101の操作者たるユーザが認証済みかどうか判断し、認証されていない場合(1301:N)、ステップ1302で認証処理を行って処理をステップ1303へと進める。他方、前記ユーザが認証されている場合(1301:Y)、認証情報管理装置103は、ステップ1303へ処理を進め、認証されている実行ユーザ識別子を取得する。
--- Processing flow example 5 ---
FIG. 13 shows an example of a detailed flow of the above-described work key acquisition process (step 1201). In this case, in
次に、認証情報管理装置103は、ステップ1304にて、ワーク鍵を取得しようとしている対象のユーザ(対象ユーザ)の識別子(対象ユーザ識別子)を取得する。また、ステップ1305で、認証情報管理装置103は、鍵管理データベース335を参照し、ユーザ識別子フィールドが前記対象ユーザ識別子と一致するエントリを取得する。
Next, in
続いてステップ1307において、認証情報管理装置103は、前記実行ユーザ識別子と前記対象ユーザ識別子とが一致するかどうか判定する。この判定の結果、両者が異なっている場合(1307:N)、すなわち他人のワーク鍵が取得されようとしている場合、認証情報管理装置103は処理をステップ1308へ進める。このステップ1308で、認証情報管理装置103は、該当エントリの別ユーザ識別子甲、乙、…に前記実行ユーザ識別子が含まれているかどうかを判定する。前記実行ユーザ識別子が含まれていない場合(1308:N)、認証情報管理装置103は、実行ユーザが当該ユーザの認証情報を管理する権限がないと判定して、処理をステップ1309へ進め、権限がない旨をユーザ端末101に通知する。また、ステップ1316で、認証情報管理装置103は、権限不足でワーク鍵の取得ができなかった旨をログデータベース338に記録し、処理を終了する。
In
他方、前記ステップ1308で、別ユーザ識別子の中に実行ユーザ識別子が含まれていた場合(1308:Y)、認証情報管理装置103は処理をステップ1311へ進め、対応する別ユーザ用鍵フィールドの情報をエントリから取得し、これを実行ユーザのパスワードで復号してワーク鍵を取得して、処理をステップ1312へ進める。
On the other hand, if the execution user identifier is included in the different user identifier in step 1308 (1308: Y), the authentication
また、前記ステップ1307において、実行ユーザ識別子と対象ユーザ識別子とが一致していた場合(1307:Y)、すなわち管理者等ではない一般ユーザのワーク鍵がユーザ自身から取得されようとしていた場合、認証情報管理装置103は、ステップ1310にて、該当エントリより本人用フィールドのデータを取得し、これを実行ユーザのパスワード(初期パスワード等)で復号してワーク鍵を取得し、処理をステップ1312へ進める。
If the execution user identifier and the target user identifier match in step 1307 (1307: Y), that is, if the work key of a general user who is not an administrator or the like is about to be acquired from the user himself, authentication is performed. In
ステップ1312において認証情報管理装置103は、前記復号して得たワーク鍵のハッシュ値を計算する。また、ステップ1313において認証情報管理装置103は、前記計算したハッシュ値と、該当エントリにおける「ワーク鍵ハッシュ値」のフィールドの値とが一致するかどうか判定する。両者が一致しない場合(1313:N)、認証情報管理装置103は、処理をステップ1314に進め、ワーク鍵の検証に失敗した旨をユーザ端末101に通知する。またこの後、ステップ1316にて認証情報管理装置103はログデータベース338に、ワーク鍵検証に失敗した旨の記録を行って処理を終了する。
In
他方、前記ステップ1313で両者が一致していた場合(1313:Y)、認証情報管理装置103は、ステップ1315において、この処理の結果としてワーク鍵を返し(すなわち前記ステップ1201を完了)、ステップ1316でワーク鍵を取得した旨をログデータベース338に記録して処理を終了する。これで、前記ステップ1201以降の処理が実行されることとなり、登録当初に設定されていた初期パスワードから、ユーザ自身のパスワードへの変更がなされることとなる。続いて以下に、認証情報管理対象のサービスの追加処理について説明する。
On the other hand, if the two match at step 1313 (1313: Y), the authentication
−−−処理フロー例6−−−
図14に認証情報管理対象のサービスに関する認証情報を追加登録する際の処理フローの一例を示す。例えば、あるユーザについて、新たなWebサービスの利用が開始されるにあたり、該当ユーザに対応付けて該当サービス利用に必要な認証情報等の登録処理を行う状況を想定する。この場合、ステップ1401において認証情報管理装置103は、対象ユーザのワーク鍵を取得する。このワーク鍵の取得については既に述べているので省略する。
--- Processing flow example 6 ---
FIG. 14 shows an example of a processing flow when additionally registering authentication information related to a service subject to authentication information management. For example, assume that a user performs registration processing of authentication information or the like necessary for using a corresponding service in association with the corresponding user when the use of a new Web service is started. In this case, the authentication
続いてステップ1402において、認証情報管理装置103は、追加するサービスとその認証情報(サービス利用時に必要とされるユーザ識別子とパスワードなど)を、ユーザ端末101から取得する。また、ステップ1403において認証情報管理装置103は、前記ステップ1402で取得した認証情報を前記ステップ1401で取得したワーク鍵で暗号化する。また認証情報管理装置103は、ステップ1404において、前記ステップ1402で取得した認証情報のハッシュ値を計算する。
In
次に、ステップ1405において認証情報管理装置103は、登録対象のサービスと、前記ステップ1403で暗号化した認証情報、前記ステップ1404で得た認証情報のハッシュ値を、対象ユーザのユーザ識別子対応付けて認証情報データベース334へと登録する。
Next, in
その後、ステップ1406において認証情報管理装置103は、当該処理を指示している実行ユーザのユーザ識別子と、前記対象ユーザのユーザ識別子とを照合し、実行ユーザと対象ユーザとが別ユーザであるか判定する。この判定で、両者が同じユーザであった場合(1406:Y)、認証情報管理装置103は処理をステップ1407に進め、登録した当該エントリの「要更新フラグ」を「False」にセットする。その後、認証情報管理装置103は、ステップ1408において、サービスを追加した旨をログデータベース338に記録して処理を終了する。
Thereafter, in step 1406, the authentication
一方、前記ステップ1406で実行ユーザと対象ユーザが別ユーザであると判定した場合(例えば実行ユーザが管理者で、新規サービスの識別子を一括して発行し、各一般ユーザに対してそのサービスの認証情報を追加しようとする場合:1406:Y)、認証情報管理装置103は、ステップ1409において、登録した当該エントリの「要更新フラグ」を「True」にセットする。また、ステップ1410において認証情報管理装置103は、ユーザ管理データベース336から当該対象ユーザのメールアドレスを取得する。また、ステップ1411において、認証情報管理装置103は、別ユーザによりサービスの認証情報が追加された旨の通知を前記ステップ1410で得たメールアドレスに宛ててメール送信する。その後、認証情報管理装置103は、ステップ1408において、ログデータベース338に前記ステップ1407ないしステップ1411の処理結果に対応したログを記録して処理を終了する。
On the other hand, if it is determined in step 1406 that the executing user and the target user are different users (for example, the executing user is an administrator and issues a new service identifier in a lump and authenticates the service to each general user. If information is to be added: 1406: Y), in
こうした認証情報の追加登録処理については、サービス追加を行うたびに同様に実行できる。つまり、このような複数サービスに関する認証情報管理を認証情報管理装置103が行うことで、複数サービスに関するシングルサインオンを前記認証サービス提供装置102が実行可能となる。
Such additional registration processing of authentication information can be performed in the same manner every time a service is added. That is, when the authentication
−−−シングルサインオンのシーケンス例−−−
ここでシングルサインオンの処理について説明しておく。図15に、シングルサインオンのシーケンスの一例を示す。図1に関して述べたように、ユーザ端末101、認証サービス装置102、本実施形態の認証情報管理装置103、サービス提供装置104、およびサービス提供装置105がネットワーク106で結ばれており、ユーザ端末101は認証サービス装置102を介してサービス提供装置104とサービス提供装置105のコンテンツを1回の認証で取得する。
---- Single sign-on sequence example ---
Here, the single sign-on process will be described. FIG. 15 shows an example of a single sign-on sequence. As described with reference to FIG. 1, the
この場合まず、ステップ1501で、ユーザ端末101は(入力装置を介して受けたユーザの指示に応じて)認証サービス装置102にサービス提供装置104のコンテンツを要求する。この時、認証サービス装置102は、ステップ1502において、認証情報管理装置103に対し当該ユーザが認証済みであるかどうか確認する。
In this case, first, in
認証情報管理装置103は、ステップ1503において、例えば当該ユーザが認証されてない旨の応答を返す。それを受けて認証サービス装置102では、ステップ1504において、ユーザ端末101に対し認証のための画面を提示する。ステップ1505においてユーザ端末101は、認証情報管理装置103の(アクセス用の)ユーザ識別子、パスワードの入力をユーザから受け付ける。
In
ステップ1506において認証サービス装置102は、前記入力されたユーザ識別子およびパスワードを含む認証情報を認証情報管理装置103へと送信し、認証を行う。認証情報管理装置103では、前記認証サービス提供装置102から受信した認証情報を用いて、上記ステップ1101〜1111の認証処理を実行することになる。ステップ1507において、認証サービス提供装置102は前記認証情報管理装置103から、認証完了の旨の応答を受ける。この応答の中にはセッション識別子も含まれている。ステップ1508において、認証サービス装置102は、前記ユーザ端末101へ認証情報管理装置103から返ってきた応答を送付する。
In
一方、ユーザ端末101は、ステップ1509において、前記認証サービス提供装置102から返されたセッション識別子を含めて、サービス提供装置104のコンテンツ要求を認証サービス装置102へ再度送信する。前記ステップ1502と同様にステップ1510において、認証サービス提供装置102は、認証情報管理装置103に対し、当該ユーザが認証済みであるかどうか確認する。上記の場合、送信データにセッション識別子が含まれていたため、認証情報管理装置103では「認証済み」と判断し、ステップ1511において、認証されている旨の応答を認証サービス装置102へと返す。
On the other hand, in step 1509, the
続いてステップ1512において、認証サービス装置102は、前記サービス提供装置104の認証情報を認証情報管理装置103に対して要求する。認証情報管理装置103では、当該ユーザのサービス提供装置104(が提供するサービス)に関する認証情報を取得し、この認証情報をステップ1513において認証サービス装置102(すなわち他装置)へと返す。この認証情報の取得処理の詳細については後述する。
In
次にステップ1514において、認証サービス装置102は、前記取得した認証情報を用いてサービス提供装置104に認証要求を行う。一方、サービス提供装置104は、ステップ1515において、認証サービス提供装置102に対して認証完了メッセージを返す。その後、ステップ1516において、認証サービス装置102は、サービス提供装置104に対し、前記ユーザ端末101が要求していたコンテンツの要求メッセージを送る。また、ステップ1517において、サービス提供装置104から認証サービス提供装置102に対して該当コンテンツが返される。
In step 1514, the
ステップ1518において、認証サービス提供装置102は前記コンテンツをユーザ端末101へ送信し、ユーザ端末101ではサービス提供装置104のコンテンツを取得することができる。
In
次にステップ1519において、ユーザ端末101からサービス提供装置105(の提供するサービス)のコンテンツ要求が認証サービス装置102へ出されたとする。この時、ステップ1520において、前記ステップ1510と同様の認証確認が行われるが、一度認証されているため、ステップ1521において、認証されている旨の応答が認証情報管理装置103から認証サービス提供装置102に返る。その後、サービス提供装置104のコンテンツを取得した場合と同様、認証サービス提供装置102はサービス提供装置105の認証情報を取得して、サービス提供装置105の認証を行い、コンテンツを取得する(ステップ1522〜1528)。以上のようにして、シングルサインオンが実現される。
Next, in
−−−処理フロー例7−−−
続いて、前記ステップ1513に関して述べた認証情報の取得処理について説明する。図16に、認証情報の取得フローの一例を示す。この場合まず、ステップ1601において、認証情報管理装置103は、対象ユーザのワーク鍵を取得する(ワーク鍵取得処理については既に述べている)。続いてステップ1602において、認証情報管理装置103は、認証情報取得対象のサービスに関する指定をユーザ端末101から取得し、ステップ1603において、認証情報データベース334を参照する。
--- Processing flow example 7 ---
Next, the authentication information acquisition process described with reference to step 1513 will be described. FIG. 16 shows an example of an authentication information acquisition flow. In this case, first, in step 1601, the authentication
ステップ1604において、認証情報管理装置103は、認証情報データベース334において、「ユーザ識別子」のフィールドが対象ユーザの識別子と一致するエントリを取得する。また認証情報管理装置103は、ステップ1605において、該当エントリの「認証情報」のフィールド値を前記ステップ1601で取得してあるワーク鍵で復号し、認証情報を取得する。
In
次にステップ1606において、認証情報管理装置103は、前記ステップ1605で取得した認証情報についてハッシュ値を計算する。またステップ1607において、認証情報管理装置103は、前記ステップ1606で計算したハッシュ値と、該当エントリにおける「認証情報ハッシュ値」のフィールドの値とが一致するかどうか判定する。
In
両者が一致した場合(1607:Y)、認証情報管理装置103は、ステップ1608において、前記ステップ1605で取得した認証情報をこの処理の結果として返す。また、認証情報管理装置103は、ステップ1609において、認証情報を取得した旨のログをログデータベース338に記録し処理を終了する。一方、前記ステップ1607の判定で両者が一致しなかった場合(1607:N)、認証情報管理装置103は、ステップ1610において、認証情報の検証に失敗した旨をユーザ端末101に通知し、ステップ1609において、認証情報の検証失敗の旨をログデータベース338に記録して処理を終了する。
If the two match (1607: Y), the authentication
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。 Although the best mode for carrying out the present invention has been specifically described above, the present invention is not limited to this, and various modifications can be made without departing from the scope of the invention.
こうした本実施形態によれば、複数サービスの認証情報に関して、暗号化を施してセキュリティレベルを確保しつつ、複数ユーザによる1ユーザの認証情報管理も可能となる。 According to the present embodiment, it is possible to manage authentication information of one user by a plurality of users while encrypting the authentication information of a plurality of services to ensure a security level.
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、前記認証情報管理装置において、前記演算装置は、前記認証情報を所定のアルゴリズムに適用して検証用情報を生成し、該検証用情報を前記認証情報に対応付けて記憶装置にて保持し、管理要求が示す管理ユーザに関する暗号化された認証情報を記憶装置から読み出し、前記管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵で、前記読み出した認証情報を復号化し、復号化した認証情報を前記所定のアルゴリズムに適用して生成した情報と、前記認証情報に関して生成しておいた検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行するものである、としてもよい。 At least the following will be clarified by the description of the present specification. That is, in the authentication information management device, the arithmetic device generates verification information by applying the authentication information to a predetermined algorithm, and holds the verification information in the storage device in association with the authentication information. The encrypted authentication information related to the management user indicated by the management request is read from the storage device, and the key obtained by decrypting the encryption key of the management user with the management user authentication information indicated by the management request, When the read authentication information is decrypted, and the information generated by applying the decrypted authentication information to the predetermined algorithm is compared with the verification information generated for the authentication information. The process according to the management request or the process of sending the authentication information to a predetermined other apparatus may be further executed.
また、前記認証情報管理装置において、前記演算装置は、前記鍵を所定のアルゴリズムに適用して鍵検証用情報を生成し、該鍵検証用情報を該当ユーザに対応付けて記憶装置にて保持し、管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵を前記アルゴリズムに適用して生成した情報と、前記管理ユーザに関して生成しておいた鍵検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行するものである、としてもよい。 In the authentication information management device, the arithmetic device generates key verification information by applying the key to a predetermined algorithm, and stores the key verification information in a storage device in association with the corresponding user. , Information generated by applying the key obtained by decrypting the encryption key of the corresponding management user with the authentication information of the management user indicated by the management request, and key verification generated for the management user It is also possible to further execute a process in response to the management request or a process of sending the authentication information to a predetermined other device when both are matched with each other.
また、前記認証情報管理装置において、前記演算装置は、認証情報を管理要求に際して指示を受け付けるGUI画面のデータを記憶装置より読み出して出力装置に表示させ、該GUI画面を介して管理要求の情報を受け付けるとしてもよい。 Further, in the authentication information management apparatus, the arithmetic unit reads out data of a GUI screen for receiving an instruction when the authentication information is requested from the storage device, displays the data on the output device, and displays the information of the management request via the GUI screen. It may be accepted.
また、前記認証情報管理装置において、前記演算装置は、前記認証成功と判定された管理ユーザにより認証情報が更新された際、前記管理ユーザが当該認証情報を保持するユーザとは別ユーザである場合に、当該認証情報を保持するユーザのクライアントに対し所定通知を送るものであるとしてもよい。 Further, in the authentication information management device, when the authentication information is updated by an administrative user determined to be successful, the computing device is a user other than the user holding the authentication information. In addition, a predetermined notification may be sent to the user client holding the authentication information.
前記認証情報管理方法において、前記コンピュータが、前記認証情報を所定のアルゴリズムに適用して検証用情報を生成し、該検証用情報を前記認証情報に対応付けて記憶装置にて保持し、管理要求が示す管理ユーザに関する暗号化された認証情報を記憶装置から読み出し、前記管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵で、前記読み出した認証情報を復号化し、復号化した認証情報を前記所定のアルゴリズムに適用して生成した情報と、前記認証情報に関して生成しておいた検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行する、としてもよい。 In the authentication information management method, the computer generates verification information by applying the authentication information to a predetermined algorithm, stores the verification information in a storage device in association with the authentication information, and sends a management request The authentication information read out with the key obtained by reading the encrypted authentication information related to the management user indicated by the storage device from the storage device and decrypting the encryption key of the management user with the management user authentication information indicated by the management request. Information is decrypted, information generated by applying the decrypted authentication information to the predetermined algorithm and verification information generated with respect to the authentication information are collated, and if both match, the management request It is also possible to further execute processing according to the above or processing for sending the authentication information to a predetermined other device.
また、前記認証情報管理方法において、前記コンピュータが、前記鍵を所定のアルゴリズムに適用して鍵検証用情報を生成し、該鍵検証用情報を該当ユーザに対応付けて記憶装置にて保持し、管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵を前記アルゴリズムに適用して生成した情報と、前記管理ユーザに関して生成しておいた鍵検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行するとしてもよい。 In the authentication information management method, the computer generates key verification information by applying the key to a predetermined algorithm, and stores the key verification information in a storage device in association with the user. Information generated by applying the key obtained by decrypting the encryption key of the management user in the management user authentication information indicated by the management request to the algorithm, and key verification generated for the management user Information may be collated, and if both match, processing corresponding to the management request or processing for sending the authentication information to a predetermined other device may be further executed.
前記認証情報管理方法において、前記コンピュータが、認証情報を管理要求に際して指示を受け付けるGUI画面のデータを記憶装置より読み出して出力装置に表示させ、該GUI画面を介して管理要求の情報を受け付けるとしてもよい。 In the authentication information management method, the computer may read GUI screen data for accepting an instruction when requesting management of authentication information from the storage device, display the data on the output device, and accept management request information via the GUI screen. Good.
また、前記認証情報管理方法において、前記コンピュータが、前記認証成功と判定された管理ユーザにより認証情報が更新された際、前記管理ユーザが当該認証情報を保持するユーザとは別ユーザである場合に、当該認証情報を保持するユーザのクライアントに対し所定通知を送るものであるとしてもよい。 Further, in the authentication information management method, when the authentication information is updated by the management user determined to be successful, the management user is a different user from the user holding the authentication information. A predetermined notification may be sent to the user's client holding the authentication information.
100 シングルサインオンシステム
101 ユーザ端末
102 認証サービス提供装置
103 認証情報管理装置
104 サービス提供装置
105 サービス提供装置
201 通信装置
202 入力装置
203 表示装置
204 演算装置
205 メモリ
206 記憶装置
332 管理用画面
333 管理用インタフェース
334 認証情報データベース
335 鍵管理データベース
336 ユーザ管理データベース
337 セッション管理データベース
338 ログデータベース
100 Single Sign-
Claims (10)
各種情報を格納する記憶装置、および他装置との通信を行う通信装置と、
所定ユーザの認証情報を暗号化する鍵を用い、該当ユーザの認証情報を暗号化し記憶装置にて保持する処理と、
前記鍵を、前記ユーザの認証情報を管理する、該当ユーザを含む複数の管理ユーザ別に暗号化し、該複数の管理ユーザの暗号化鍵を前記ユーザに対応付けて記憶装置にて保持する処理と、
所定ユーザに関する認証情報の管理要求を通信装置で受け、該管理要求が示す管理ユーザの識別情報を記憶装置にて照合し、前記所定ユーザに関して該当管理ユーザの暗号化鍵を特定できた場合、該暗号化鍵を前記管理要求が示す前記管理ユーザの認証情報にて復号化して前記鍵を生成し、前記管理要求に応じて更新された前記所定ユーザの認証情報を前記鍵で暗号化し記憶装置に格納する処理と、を実行する演算装置と、
を備えることを特徴とした認証情報管理装置。 A computer that manages authentication information for multiple services used by users,
A storage device for storing various information, and a communication device for communicating with other devices;
Using a key for encrypting authentication information of a predetermined user, encrypting the authentication information of the corresponding user and holding it in a storage device;
A process for managing the authentication information of the user, encrypting a plurality of management users including the user, and storing the encryption keys of the plurality of management users in the storage device in association with the users;
When a communication device receives a management request for authentication information related to a predetermined user, collates management user identification information indicated by the management request with a storage device, and if the encryption key of the corresponding management user can be specified for the predetermined user, the The encryption key is decrypted with the management user authentication information indicated by the management request to generate the key, and the predetermined user authentication information updated in response to the management request is encrypted with the key in the storage device. Processing to store, an arithmetic device to execute,
An authentication information management device comprising:
前記演算装置は、前記認証情報を所定のアルゴリズムに適用して検証用情報を生成し、該検証用情報を前記認証情報に対応付けて記憶装置にて保持し、管理要求が示す管理ユーザに関する暗号化された認証情報を記憶装置から読み出し、前記管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵で、前記読み出した認証情報を復号化し、復号化した認証情報を前記所定のアルゴリズムに適用して生成した情報と、前記認証情報に関して生成しておいた検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行するものである、ことを特徴とした認証情報管理装置。 In claim 1,
The arithmetic device generates verification information by applying the authentication information to a predetermined algorithm, holds the verification information in the storage device in association with the authentication information, and encrypts the management user indicated by the management request Read the authentication information from the storage device, decrypts the read authentication information with the key obtained by decrypting the encryption key of the corresponding management user with the authentication information of the management user indicated by the management request, and decrypts it Information generated by applying the authentication information to the predetermined algorithm and the verification information generated with respect to the authentication information, and if both match, the process according to the management request or the An authentication information management apparatus characterized by further executing a process of sending authentication information to a predetermined other apparatus.
前記演算装置は、前記鍵を所定のアルゴリズムに適用して鍵検証用情報を生成し、該鍵検証用情報を該当ユーザに対応付けて記憶装置にて保持し、管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵を前記アルゴリズムに適用して生成した情報と、前記管理ユーザに関して生成しておいた鍵検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行するものである、ことを特徴とした認証情報管理装置。 In claim 2,
The arithmetic device generates key verification information by applying the key to a predetermined algorithm, holds the key verification information in a storage device in association with the corresponding user, and authenticates the management user indicated by the management request The information generated by applying the key obtained by decrypting the encryption key of the corresponding management user with the information to the algorithm and the key verification information generated for the management user are collated. An authentication information management apparatus characterized by further executing a process according to the management request or a process of sending the authentication information to a predetermined other apparatus when they match.
前記演算装置は、認証情報を管理要求に際して指示を受け付けるGUI画面のデータを記憶装置より読み出して出力装置に表示させ、該GUI画面を介して管理要求の情報を受け付けることを特徴とした認証情報管理装置。 In claim 3,
Authentication information management characterized in that said arithmetic device reads GUI screen data for accepting an instruction when authentication information is requested from a storage device, displays the data on an output device, and accepts management request information via said GUI screen apparatus.
前記演算装置は、前記認証成功と判定された管理ユーザにより認証情報が更新された際、前記管理ユーザが当該認証情報を保持するユーザとは別ユーザである場合に、当該認証情報を保持するユーザのクライアントに対し所定通知を送るものであることを特徴とした認証情報管理装置。 In claim 3,
The computing device is a user holding the authentication information when the management user is a different user from the user holding the authentication information when the authentication information is updated by the management user determined to be successful. An authentication information management device characterized by sending a predetermined notification to a client.
所定ユーザの認証情報を暗号化する鍵を用い、該当ユーザの認証情報を暗号化し記憶装置にて保持する処理と、
前記鍵を、前記ユーザの認証情報を管理する、該当ユーザを含む複数の管理ユーザ別に暗号化し、該複数の管理ユーザの暗号化鍵を前記ユーザに対応付けて記憶装置にて保持する処理と、
所定ユーザに関する認証情報の管理要求を通信装置で受け、該管理要求が示す管理ユーザの識別情報を記憶装置にて照合し、前記所定ユーザに関して該当管理ユーザの暗号化鍵を特定できた場合、該暗号化鍵を前記管理要求が示す前記管理ユーザの認証情報にて復号化して前記鍵を生成し、前記管理要求に応じて更新された前記所定ユーザの認証情報を前記鍵で暗号化し記憶装置に格納する処理と、
を実行することを特徴とした認証情報管理方法。 A computer that includes a storage device that stores various types of information and a communication device that communicates with other devices, and that manages each authentication information of a plurality of services used by a user,
Using a key for encrypting authentication information of a predetermined user, encrypting the authentication information of the corresponding user and holding it in a storage device;
A process for managing the authentication information of the user, encrypting a plurality of management users including the user, and storing the encryption keys of the plurality of management users in the storage device in association with the users;
When a communication device receives a management request for authentication information related to a predetermined user, collates management user identification information indicated by the management request with a storage device, and if the encryption key of the corresponding management user can be specified for the predetermined user, the The encryption key is decrypted with the management user authentication information indicated by the management request to generate the key, and the predetermined user authentication information updated in response to the management request is encrypted with the key in the storage device. Processing to store,
An authentication information management method characterized in that:
前記コンピュータが、
前記認証情報を所定のアルゴリズムに適用して検証用情報を生成し、該検証用情報を前記認証情報に対応付けて記憶装置にて保持し、管理要求が示す管理ユーザに関する暗号化された認証情報を記憶装置から読み出し、前記管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵で、前記読み出した認証情報を復号化し、復号化した認証情報を前記所定のアルゴリズムに適用して生成した情報と、前記認証情報に関して生成しておいた検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行する、
ことを特徴とした認証情報管理方法。 In claim 6,
The computer is
The authentication information is applied to a predetermined algorithm to generate verification information, the verification information is stored in the storage device in association with the authentication information, and encrypted authentication information related to the management user indicated by the management request From the storage device, decrypting the read authentication information with the key obtained by decrypting the encryption key of the corresponding management user with the authentication information of the management user indicated by the management request, and deciphering the decrypted authentication information The information generated by applying to the predetermined algorithm is compared with the verification information generated with respect to the authentication information, and if both match, the process according to the management request or the authentication information Further execute processing to send to another device,
An authentication information management method characterized by that.
前記コンピュータが、
前記鍵を所定のアルゴリズムに適用して鍵検証用情報を生成し、該鍵検証用情報を該当ユーザに対応付けて記憶装置にて保持し、管理要求が示す管理ユーザの認証情報にて該当管理ユーザの暗号化鍵を復号化して得た前記鍵を前記アルゴリズムに適用して生成した情報と、前記管理ユーザに関して生成しておいた鍵検証用情報とを照合し、両者が一致する場合に前記管理要求に応じた処理または前記認証情報を所定の他装置に送る処理を更に実行する、
ことを特徴とした認証情報管理方法。 In claim 7,
The computer is
The key verification information is generated by applying the key to a predetermined algorithm, the key verification information is stored in the storage device in association with the corresponding user, and the corresponding management is performed by the management user authentication information indicated by the management request. The information generated by applying the key obtained by decrypting the user's encryption key to the algorithm and the key verification information generated for the management user are collated, and when both match, Further executing a process in response to a management request or a process of sending the authentication information to a predetermined other device;
An authentication information management method characterized by that.
前記コンピュータが、認証情報を管理要求に際して指示を受け付けるGUI画面のデータを記憶装置より読み出して出力装置に表示させ、該GUI画面を介して管理要求の情報を受け付けることを特徴とした認証情報管理方法。 In claim 8,
An authentication information management method in which the computer reads GUI screen data for receiving an instruction in response to a management request for authentication information from the storage device, displays the data on an output device, and receives management request information via the GUI screen. .
前記コンピュータが、前記認証成功と判定された管理ユーザにより認証情報が更新された際、前記管理ユーザが当該認証情報を保持するユーザとは別ユーザである場合に、当該認証情報を保持するユーザのクライアントに対し所定通知を送るものであることを特徴とした認証情報管理方法。 In claim 8,
When the computer is updated with authentication information by the management user determined to be successful, the management user is a user other than the user holding the authentication information. An authentication information management method characterized by sending a predetermined notification to a client.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010225953A JP2012079231A (en) | 2010-10-05 | 2010-10-05 | Authentication information management device and authentication information management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010225953A JP2012079231A (en) | 2010-10-05 | 2010-10-05 | Authentication information management device and authentication information management method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012079231A true JP2012079231A (en) | 2012-04-19 |
Family
ID=46239360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010225953A Pending JP2012079231A (en) | 2010-10-05 | 2010-10-05 | Authentication information management device and authentication information management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012079231A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015158906A (en) * | 2014-02-12 | 2015-09-03 | レジファイ エス.アー. | Network system for extracting configuration-related data |
| JP2017017669A (en) * | 2015-06-30 | 2017-01-19 | 百度在線網絡技術(北京)有限公司 | Communication method, device and system using voiceprint |
| KR101792220B1 (en) * | 2016-08-19 | 2017-11-02 | 라온시큐어(주) | Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication |
| US11310029B2 (en) | 2017-08-28 | 2022-04-19 | Mitsubishi Electric Corporation | Communication apparatus, operation procedure management method, and computer readable medium |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001109668A (en) * | 1999-10-07 | 2001-04-20 | Casio Comput Co Ltd | Data retrieval system, portable terminal equipment and storage medium |
| JP2006318304A (en) * | 2005-05-13 | 2006-11-24 | Toshiba Corp | Password policy management server and password policy management method |
| JP2008148095A (en) * | 2006-12-12 | 2008-06-26 | Buffalo Inc | Storage device and user authentication method |
| JP2008153750A (en) * | 2006-12-14 | 2008-07-03 | Canon Electronics Inc | Image reading apparatus, its control method, and program |
| JP2009134764A (en) * | 2009-03-17 | 2009-06-18 | Mitsubishi Electric Information Systems Corp | Management server and program |
| JP2009245227A (en) * | 2008-03-31 | 2009-10-22 | Fujitsu Ltd | Information storage device |
-
2010
- 2010-10-05 JP JP2010225953A patent/JP2012079231A/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001109668A (en) * | 1999-10-07 | 2001-04-20 | Casio Comput Co Ltd | Data retrieval system, portable terminal equipment and storage medium |
| JP2006318304A (en) * | 2005-05-13 | 2006-11-24 | Toshiba Corp | Password policy management server and password policy management method |
| JP2008148095A (en) * | 2006-12-12 | 2008-06-26 | Buffalo Inc | Storage device and user authentication method |
| JP2008153750A (en) * | 2006-12-14 | 2008-07-03 | Canon Electronics Inc | Image reading apparatus, its control method, and program |
| JP2009245227A (en) * | 2008-03-31 | 2009-10-22 | Fujitsu Ltd | Information storage device |
| JP2009134764A (en) * | 2009-03-17 | 2009-06-18 | Mitsubishi Electric Information Systems Corp | Management server and program |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015158906A (en) * | 2014-02-12 | 2015-09-03 | レジファイ エス.アー. | Network system for extracting configuration-related data |
| US10397048B2 (en) | 2014-02-12 | 2019-08-27 | Regify S.A. | Network system for retrieval of configuration related data |
| JP2017017669A (en) * | 2015-06-30 | 2017-01-19 | 百度在線網絡技術(北京)有限公司 | Communication method, device and system using voiceprint |
| US9865267B2 (en) | 2015-06-30 | 2018-01-09 | Baidu Online Network Technology (Beijing) Co., Ltd. | Communication method, apparatus and system based on voiceprint |
| KR101792220B1 (en) * | 2016-08-19 | 2017-11-02 | 라온시큐어(주) | Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication |
| US11310029B2 (en) | 2017-08-28 | 2022-04-19 | Mitsubishi Electric Corporation | Communication apparatus, operation procedure management method, and computer readable medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9191394B2 (en) | Protecting user credentials from a computing device | |
| RU2417422C2 (en) | Single network login distributed service | |
| US9137017B2 (en) | Key recovery mechanism | |
| WO2019239591A1 (en) | Authentication system, authentication method, application provision device, authentication device, and authentication program | |
| US8953805B2 (en) | Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method | |
| CA3051066A1 (en) | Dynamic implementation and management of hash-based consent and permissioning protocols | |
| US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
| US11757877B1 (en) | Decentralized application authentication | |
| US11722303B2 (en) | Secure enclave implementation of proxied cryptographic keys | |
| US11418329B1 (en) | Shared secret implementation of proxied cryptographic keys | |
| US11804957B2 (en) | Exporting remote cryptographic keys | |
| JP2001186122A (en) | Authentication system and authentication method | |
| WO2022144024A1 (en) | Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization | |
| JP2012079231A (en) | Authentication information management device and authentication information management method | |
| JP7079528B2 (en) | Service provision system and service provision method | |
| US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
| JP7174730B2 (en) | Terminal device, information processing method and information processing program | |
| US20230421399A1 (en) | Cross chain access granting to applications | |
| RU2805537C2 (en) | Methods and systems for authenticating a possible user of the first and second electronic services | |
| US20240143730A1 (en) | Multi-factor authentication using blockchain | |
| US20230299958A1 (en) | Methods and systems for authenticating a candidate user of a first and as second electronic service | |
| CN115150831A (en) | Processing method, device, server and medium for network access request | |
| KR20100038730A (en) | Method and system of strengthening security of member information offered to contents provider |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130215 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140204 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140805 |