JP2012118833A - Access control method - Google Patents

Access control method Download PDF

Info

Publication number
JP2012118833A
JP2012118833A JP2010268950A JP2010268950A JP2012118833A JP 2012118833 A JP2012118833 A JP 2012118833A JP 2010268950 A JP2010268950 A JP 2010268950A JP 2010268950 A JP2010268950 A JP 2010268950A JP 2012118833 A JP2012118833 A JP 2012118833A
Authority
JP
Japan
Prior art keywords
authentication
user
access control
level
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010268950A
Other languages
Japanese (ja)
Inventor
Akihiko Kawasaki
明彦 川崎
Tatsunoshin Kawaguchi
龍之進 川口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2010268950A priority Critical patent/JP2012118833A/en
Publication of JP2012118833A publication Critical patent/JP2012118833A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an authentication technique with which user authentication convenience is improved while ensuring security in so-called single sign-on.SOLUTION: An access control system is provided which includes a total authentication device which manages user authentication in a unitary manner, a terminal device that a user utilizes, and a job processing device which performs information processing of various jobs. The access control system further includes processing to substitute user authentication processing, processing to confirm an identity of the user, processing to manage a job authority given to the user, processing to manage an authentication level required for executing a job processing, processing to manage correspondence between the authentication level and an authentication system, a DB which stores authentication information of the user, a DB which stores the job authority given to the user, a DB which stores the authentication level required for executing the job processing, and a DB which stores the authentication level of the user at an arbitrary point in time.

Description

本発明は、アクセス権限およびユーザ認証を一元管理するための技術に関し、とくにシングルサインオンシステムに関する。   The present invention relates to a technique for centrally managing access authority and user authentication, and more particularly to a single sign-on system.

近年、計算機およびアプリケーションを安価に入手できるようになったことで、企業活動を支える各種業務の情報システム化が進んでいる。   In recent years, computer systems and applications can be obtained at low cost, and information systems for various operations supporting corporate activities have been developed.

業務システムを容易に構築できる環境が整備される一方で、企業内の個々の部門が個別に整備を進めることも多く、そうした業務システムを利用するユーザにとっては、システムごとに申請や認証の手続きが必要であったり、IDとパスワードを使い分ける必要があるなど、不便を強いられる状況にあった。   While an environment in which a business system can be easily built is maintained, individual departments within a company often proceed with individual maintenance, and for users who use such business systems, application and authentication procedures are required for each system. It was necessary to use different IDs and passwords.

上記のようなユーザの利便性を向上させる方法のひとつに、一度の認証で以後の認証を必要とせず、かつ複数の業務システムを利用可能にするシングルサインオンシステムがある。   As one of the methods for improving the convenience of the user as described above, there is a single sign-on system that allows a plurality of business systems to be used without requiring subsequent authentication by one authentication.

シングルサインオンシステムは、ユーザの利便性を向上させる一方で、認証方法が全ての業務システムで共通になることから、セキュリティレベルに応じた認証が行えず、生体認証など本人性の高い認証方式を採用すると、セキュリティが高まる一方で利便性が損なわれたうえコスト増になるというデメリットがあり、IDとパスワードなど本人性の低い認証方式を採用すると、重要な業務システムが悪用される可能性が高まるデメリットがある。   While the single sign-on system improves user convenience, the authentication method is common to all business systems, so authentication according to the security level cannot be performed, and a highly authentic authentication method such as biometric authentication is not possible. Adopting has the demerit of increasing security and increasing convenience but also increasing costs. Adopting authentication methods with low identity, such as IDs and passwords, increases the possibility of misuse of important business systems. There are disadvantages.

上記のような課題に対しては、ユーザを登録する際の本人確認方法の違いを業務システムに提供し、業務システムの認証可否の条件に加える技術がある。例えば、特許文献1では、互いに信頼関係や連携関係にない複数のシステムから構成されるネットワークシステムにおいて、一回の認証情報の入力により、認証が必要な複数のアプリケーションを利用可能とするために、以下の構成を採っている。Webサーバ10が、端末13からの認証情報と記憶部の認証情報とを照合して認証を行い、該認証が成立した場合に、前記認証情報に含まれるユーザID、当該Webサーバ10への第一のURL、Webサーバ11への第二のURLおよび前記記憶部の認証強度に関連する情報を含むメッセージを生成してネットワークに出力し、Webサーバ11から認証が成功したことを示すメッセージであって、前記ユーザID、前記第一のURL、前記第二のURLおよび認証強度に関連する情報を含むメッセージを受信すると、該ユーザIDが前記記憶部に記憶されている場合に前記受信した認証強度に関連する情報と前記記憶部の認証強度に関連する情報に基づいて認証を行う。   In order to deal with the above-described problems, there is a technique that provides the business system with a difference in the identity verification method when registering a user, and adds it to the conditions for whether or not the business system is authenticated. For example, in Patent Document 1, in a network system composed of a plurality of systems that are not in a trust relationship or cooperative relationship with each other, in order to be able to use a plurality of applications that require authentication by inputting authentication information once, The following configuration is adopted. When the Web server 10 performs authentication by comparing the authentication information from the terminal 13 with the authentication information in the storage unit, and the authentication is established, the user ID included in the authentication information, This message is a message indicating that authentication is successful from the Web server 11 by generating a message including one URL, a second URL to the Web server 11 and information related to the authentication strength of the storage unit and outputting it to the network. And receiving the message including information related to the user ID, the first URL, the second URL, and the authentication strength, the authentication strength received when the user ID is stored in the storage unit. The authentication is performed based on the information related to the information and the information related to the authentication strength of the storage unit.

特開2010−86435号公報JP 2010-86435 A

しかしながら、特許文献1に記載の技術は、業務システム側に本人確認方法の違いを受け取って判断をする手段が必要となり、既に業務システムが存在する環境では、システムの大幅な改編が必要となる。また、認証時の認証方式は業務システムに応じて変更しないため、セキュリティと利便性を両立できない課題がある。   However, the technique described in Patent Document 1 requires a means for receiving and determining the difference in the identity verification method on the business system side, and in an environment where the business system already exists, the system must be significantly reorganized. Moreover, since the authentication method at the time of authentication is not changed according to the business system, there is a problem that security and convenience cannot be achieved at the same time.

上記の課題を解決するために、本発明では、シングルサインオンにおいて、予め認証された第1の認証の認証レベルとアクセス(ないし認証要求)されているシステム等で要求される第2の認証の認証レベルを比較し、この比較結果に基づいて、第2の認証の要否を判断するものである。より具体的には、第2の認証の認証レベルの方が高い(第1の認証レベルの認証の方が低い)場合に、第2の認証ないしこれに対応する認証を実行する。また、第2の認証の認証レベルの方が低い(第1の認証レベルの認証の方が高い)場合に、第2の認証ないしこれに対応する認証を抑止することも本発明の一態様である。   In order to solve the above-mentioned problem, in the present invention, in the single sign-on, the authentication level of the first authentication that has been authenticated in advance and the second authentication required by the system being accessed (or the authentication request). The authentication levels are compared, and the necessity of the second authentication is determined based on the comparison result. More specifically, when the authentication level of the second authentication is higher (the authentication of the first authentication level is lower), the second authentication or the corresponding authentication is executed. Further, when the authentication level of the second authentication is lower (the authentication of the first authentication level is higher), the second authentication or the authentication corresponding thereto is suppressed in one aspect of the present invention. is there.

また、上記の第2の認証に対応する認証には、第1の認証と第2の認証の差分を特定し、その差分の認証を実行することも本発明の一態様である。ここでの、差分とは、少なくとも第2の認証が複数の認証を組み合わせて実現される場合、この複数の認証のうち、第1の認証に含まれない認証であり、これを実行する。また、第1の認証の認証レベルと、第2の認証の認証レベルのレベル差を算出し、このレベル差分の認証レベルの認証を実行してもよい。   For the authentication corresponding to the second authentication, it is also an aspect of the present invention to specify a difference between the first authentication and the second authentication and execute the authentication of the difference. Here, the difference is an authentication that is not included in the first authentication among the plurality of authentications and is executed when at least the second authentication is realized by combining a plurality of authentications. Further, a level difference between the authentication level of the first authentication and the authentication level of the second authentication may be calculated, and authentication at the authentication level of this level difference may be executed.

また、第1の認証、すなわち、予め認証済み(でその結果がまだ有効として維持されているもの)が複数ある場合、上述の差分には、複数の第1の認証のうち認証レベルが最上位のものを基準に差分を特定する。   In addition, when there are a plurality of first authentications, that is, those that have been authenticated in advance (and whose results are still maintained as valid), the above-mentioned difference has the highest authentication level among the plurality of first authentications. The difference is specified on the basis of the thing.

より詳細には、本発明におけるアクセス制御方法は、ユーザの認証を一元的に管理する統合認証装置と、ユーザが利用する端末装置と、各種業務の情報処理を行う業務処理装置を含むアクセス制御システムにおいて、ユーザ認証処理を代行する処理と、ユーザの本人性を確認する処理と、前記ユーザに与えられた業務権限を管理する処理と、業務処理の実行に必要な認証レベルを管理する処理と、前記認証レベルと認証方式の対応を管理する処理と、前記ユーザの認証情報を格納したDBと、前記ユーザに与えられた業務権限を格納したDBと、業務処理の実行に必要な認証レベルを格納したDBと、任意の時点における前記ユーザの認証レベルを格納したDBと、を含んでいる。   More specifically, an access control method according to the present invention includes an integrated authentication device that centrally manages user authentication, a terminal device used by the user, and a business processing device that performs information processing of various business operations. In the above, a process for performing the user authentication process, a process for confirming the identity of the user, a process for managing the business authority given to the user, a process for managing an authentication level necessary for executing the business process, A process for managing the correspondence between the authentication level and the authentication method, a DB storing the authentication information of the user, a DB storing the business authority given to the user, and an authentication level necessary for executing the business process And a DB storing the authentication level of the user at an arbitrary time.

本発明によれば、実態に即した認証方式を選択できることから、セキュリティと利便性の両立が可能となる。   According to the present invention, it is possible to select an authentication method according to the actual situation, so that both security and convenience can be achieved.

本発明の一実施例におけるアクセス制御システム100の機能を説明する図である。It is a figure explaining the function of the access control system 100 in one Example of this invention. 本発明の一実施例におけるアクセス制御システム100のハードウェア構成を説明する図である。It is a figure explaining the hardware constitutions of the access control system 100 in one Example of this invention. 本発明の一実施例におけるアクセス制御システム100内で処理されるデータの一例を示す図である。It is a figure which shows an example of the data processed within the access control system 100 in one Example of this invention. 本発明の一実施例におけるアクセス制御システム100の代表的な処理の一例を説明する図である。It is a figure explaining an example of the typical process of the access control system 100 in one Example of this invention.

図1に、本発明の一実施例におけるアクセス制御システム100の構成を示す。   FIG. 1 shows a configuration of an access control system 100 according to an embodiment of the present invention.

図1に示すように、アクセス制御システム100は、統合認証装置1100、端末装置1200、業務処理装置1300を含んでいる。各装置間は、ローカルエリアネットワーク(LAN)やインターネットなどの通信路によって結ばれている。なお、アクセス制御システム100に含まれる各装置は、それぞれ複数あっても良い。   As shown in FIG. 1, the access control system 100 includes an integrated authentication device 1100, a terminal device 1200, and a business processing device 1300. Each device is connected by a communication path such as a local area network (LAN) or the Internet. Note that there may be a plurality of devices included in the access control system 100.

統合認証装置1100は、端末装置1200から業務処理装置1300へアクセスするユーザの認証処理を代行する認証代行手段1101、前記ユーザの認証情報を管理するユーザ管理手段1102、前記ユーザの本人性を確認する認証手段1103、前記ユーザの業務処理手段の利用権限を管理するアクセス制御管理手段1104、業務処理手段の利用に必要な認証レベルを管理する認証レベル管理手段1105、認証レベルと認証方式の対応を管理する認証方式管理手段1106、前記ユーザの認証情報を格納したユーザDB1107、前記ユーザが利用可能な業務処理手段の情報を格納したアクセス制御DB1108、業務処理手段の利用に必要な認証レベルの情報を格納した認証レベルDB1109、前記ユーザのある時点における認証レベルを格納した認証状態DB1110、認証レベルと認証方式の対応情報を格納した認証方式DB1111を含む。   The integrated authentication device 1100 confirms the identity of the user, an authentication agent 1101 that performs authentication processing for a user who accesses the business processing device 1300 from the terminal device 1200, a user management unit 1102 that manages the authentication information of the user. Authentication means 1103, access control management means 1104 for managing the usage authority of the user's business processing means, authentication level management means 1105 for managing the authentication level necessary for using the business processing means, and managing the correspondence between the authentication level and the authentication method Authentication method management means 1106, a user DB 1107 storing the user authentication information, an access control DB 1108 storing information on the business processing means available to the user, and information on the authentication level necessary for using the business processing means Authentication level DB 1109, the user at a certain point in time Authentication state DB1110 storing the testimony levels, including authentication method DB1111 which stores correspondence information of the authentication levels and authentication methods.

端末装置1200は、ユーザが業務処理手段に対する操作命令やデータの入力行い、処理結果を受け取るための業務処理入出力手段1201、ユーザが本人性確認のために認証情報を入力する認証情報入力手段1202を含む。端末装置1200は、パソコンなどの情報処理装置である。認証情報入力手段は、IDやパスワードを入力するためのキーボード、認証情報をICカードなどの媒体から読み出すためのリーダ、生体情報を入力するための生体情報スキャナなどである。   The terminal device 1200 includes a business process input / output unit 1201 for a user to input an operation command or data to the business processing unit and receive a processing result, and an authentication information input unit 1202 for the user to input authentication information for identity verification. including. The terminal device 1200 is an information processing device such as a personal computer. The authentication information input means is a keyboard for inputting an ID or a password, a reader for reading authentication information from a medium such as an IC card, a biometric information scanner for inputting biometric information, and the like.

業務処理装置1300は、人事、会計、設計、製造、物流などの業務処理を実施する業務処理手段A1301、業務処理手段B1302を含む。業務処理手段A1301と業務処理手段B1302は、同じ業務処理であっても良く、異なる業務処理であっても良い。業務処理装置1300は、前記業務処理を実施するアプリケーションが動作するサーバである。   The business processing apparatus 1300 includes business processing means A 1301 and business processing means B 1302 for performing business processes such as personnel, accounting, design, manufacturing, and logistics. The business processing unit A 1301 and the business processing unit B 1302 may be the same business process or different business processes. The business processing device 1300 is a server on which an application that performs the business processing operates.

以上の各装置は、いわゆるコンピュータで実現され、後述するフローチャートを含めその処理はプログラムに従ってCPUの如き演算装置で実行される。なお、プログラムに従って処理を実行する演算装置については、図1においては各手段で表現している。   Each of the above devices is realized by a so-called computer, and the processing including a flowchart to be described later is executed by an arithmetic device such as a CPU according to a program. Note that an arithmetic unit that executes processing according to a program is represented by each means in FIG.

図2に、アクセス制御システム100に含まれる、統合認証装置1100、端末装置1200、業務処理装置1300のハードウェア構成の一例を示している。   FIG. 2 illustrates an example of a hardware configuration of the integrated authentication device 1100, the terminal device 1200, and the business processing device 1300 included in the access control system 100.

装置200は、CPU201、RAM、ROMなどのメモリ202、ハードディスク、シリコンディスクなどのディスク203、キーボート、マウス、もしくはスイッチなどの入力装置204、液晶ディスプレイ、CRT、LED、もしくはスピーカーなどの出力装置205、装置200の外部と通信を行う通信インタフェース206などを含み、装置内部の通信路によって結ばれている。   The apparatus 200 includes a CPU 201, a memory 202 such as a RAM and a ROM, a disk 203 such as a hard disk and a silicon disk, an input device 204 such as a keyboard, a mouse, or a switch, an output device 205 such as a liquid crystal display, a CRT, an LED, or a speaker, A communication interface 206 that communicates with the outside of the apparatus 200 is included, and is connected by a communication path inside the apparatus.

図3は、アクセス制御システム100内で処理される各種データの一例を示している。
データ300は、ユーザDB1107の内用を表形式で表した一例である。便宜上、文字列で表現するが、生体情報303などのデータは生体の特徴量を電子化したデータである。データ300は、あらかじめ業務処理の責任者がユーザ管理手段1102を用いて格納する。 FIG. 3 shows an example of various data processed in the access control system 100.
The data 300 is an example in which the internal use of the user DB 1107 is represented in a table format. For convenience, it is expressed as a character string, but the data such as the biometric information 303 is data obtained by digitizing the biometric feature amount. The data 300 is stored in advance by the person in charge of business processing using the user management unit 1102.

データ310は、アクセス制御DB1108の内容を表形式で表した一例である。データ310は、あらかじめ業務処理の責任者がアクセス制御管理手段1103を用いて格納する。
データ320、認証レベルDB1109の内容を表形式で表した一例である。データ320は、あらかじめ業務処理の責任者が認証レベル管理手段1105を用いて格納する。 Data 310 is an example of the contents of the access control DB 1108 expressed in a table format. The data 310 is stored in advance by the person in charge of business processing using the access control management unit 1103.
It is an example which represented the content of the data 320 and authentication level DB1109 in the table format. The data 320 is stored in advance by the person in charge of business processing using the authentication level management means 1105.

データ330は、認証状態DB1110の内容を表形式で表した一例である。データ330は、あらかじめ業務処理の責任者があらかじめ認証レベル管理手段1105を用いて格納する。   The data 330 is an example of the contents of the authentication status DB 1110 expressed in a table format. The data 330 is stored in advance by the person in charge of business processing using the authentication level management unit 1105 in advance.

データ340は、認証方式DB1111の内容を表形式で表した一例である。データ340は、認証方式管理手段1106が、ある時点におけるユーザの認証状態を格納する。   The data 340 is an example of the contents of the authentication method DB 1111 expressed in a table format. The data 340 stores the authentication status of the user at a certain point in time by the authentication method management unit 1106.

図4は、アクセス制御システム100における代表的な処理であるユーザ認証処理を表したものである。
フローチャート400は、ユーザが端末装置1200から業務処理装置1301へアクセスする時に開始される。
ここでは、ユーザが業務処理手段A1301を利用するものとし、業務処理の管理者からユーザに事前に割り振られている「ユーザID」は「0001」とし、ユーザが選択する認証方式は「ユーザID+パスワード」とする。 FIG. 4 shows a user authentication process that is a typical process in the access control system 100.
The flowchart 400 starts when the user accesses the business processing apparatus 1301 from the terminal apparatus 1200.
Here, it is assumed that the user uses the business processing means A 1301, the “user ID” allocated in advance by the business processing administrator to the user is “0001”, and the authentication method selected by the user is “user ID + password”. "

まず、処理401では、業務処理入出力手段1201が認証代行手段1101に対して業務処理手段A1301へのアクセスを要求する。   First, in the process 401, the business process input / output unit 1201 requests the authentication proxy unit 1101 to access the business process unit A 1301.

つぎに、処理402では、認証代行手段1101は、認証レベル管理手段1105を介して認証状態DB1110のユーザID331と認証レベル332を参照して値の有無で、業務処理入出力手段1201からのアクセスが以前に認証されていたか確認をする。これは、データ330の認証レベル332に認証レベルが記録されているかで判断する。また、この際、以前に認証されている場合、当該認証が有効かを確認するとより好適である。この場合、認証が無効化(ログオフなど)する場合、認証レベル332をnullにするなど、その内容を削除することで判断が可能になる。   Next, in the process 402, the authentication proxy means 1101 refers to the user ID 331 and the authentication level 332 of the authentication status DB 1110 via the authentication level management means 1105 and accesses from the business process input / output means 1201 with or without values. Check if you have been previously authenticated. This is determined based on whether the authentication level is recorded in the authentication level 332 of the data 330. In this case, if authentication has been performed before, it is more preferable to confirm whether the authentication is valid. In this case, when authentication is invalidated (logoff, etc.), it is possible to make a determination by deleting the contents, such as setting the authentication level 332 to null.

ここでは、業務処理入出力手段1201からのアクセスが以前にない、ないしアクセス後ログオフなどすることで、認証レベル332の列で、データ333には値が無い(null)の状態とする
つぎに、処理403では、認証代行手段1101は、認証レベル管理手段1105を介して認証レベルDB1109の業務処理手段A322の列を参照して、業務処理手段A1301の利用に必要な「認証レベル」が「1」「2」「3」であることを取得する。 Here, there is no access from the business process input / output means 1201 before, or logoff after access, etc., so that the data 333 has no value (null) in the column of the authentication level 332. In processing 403, the authentication agent 1101 refers to the column of the business processing unit A 322 of the authentication level DB 1109 via the authentication level management unit 1105, and the “authentication level” necessary for using the business processing unit A 1301 is “1”. Get “2” and “3”.

つぎに、処理404では、認証代行手段1101は、処理402で取得した認証レベルと、処理403で抽出した認証レベルとを比較し、処理402で取得した値が、処理403で取得した値以上であれば、ユーザの再認証は不要として処理408を実施する。それ以外の場合には、ユーザ認証が必要として処理405を実施する。
ここでは、処理402で取得した認証レベルに値がないため、処理405を実施する。 Next, in process 404, the authentication agent 1101 compares the authentication level acquired in process 402 with the authentication level extracted in process 403, and the value acquired in process 402 is greater than or equal to the value acquired in process 403. If there is, the processing 408 is performed assuming that re-authentication of the user is unnecessary. In other cases, user authentication is required and the processing 405 is performed.
Here, since the authentication level acquired in process 402 has no value, process 405 is performed.

つぎに、処理405では、認証代行手段1101は、認証レベル管理手段1105を介して認証方式DB1111の認証レベル341の列を検索し、「1」「2」「3」にそれぞれ対応する認証方式341の値として取得した「ユーザID+パスワード」「ICカード」「生体情報」を業務処理入出力手段1201へ送付する。
業務処理入出力手段1201は、認証代行手段1101から受け取った認証方式をユーザに提示し、ユーザによる認証方式の選択と、認証情報入力手段1202への認証情報の入力を待つ。
上記の通り、ここではユーザが「ユーザID+パスワード」を選択し、認証情報として「ユーザID」に「0001」を入力し、「パスワード」に「Saklfjdaf」を入力するものとする。ここでは、ユーザが選択したものとしたが、認証済みの内容との差分での認証としてもよい。この場合、現に要求されている第2の認証が複数の認証の組み合わせであれば、既に行われた(有効な)第1の認証には含まれない認証が第2の認証(組み合わせ)に存在すれば、この認証で認証を実行する。また、認証レベルを比較してこれを用いて、必要とされる認証を特定してもよい。つまり、認証レベルが1であるもので認証されており、アクセス要求を出しているものが認証レベル3を要求される場合、その差分である認証レベル2を特定し、これに対応する認証(図3の例では、ICカード認証)を行うようにしてもよい。 Next, in the process 405, the authentication agent 1101 searches the authentication level 341 column of the authentication method DB 1111 via the authentication level management unit 1105, and the authentication methods 341 respectively corresponding to “1”, “2”, and “3”. The “user ID + password”, “IC card”, and “biometric information” acquired as the value of the user ID are sent to the business process input / output means 1201.
The business process input / output unit 1201 presents the authentication method received from the authentication agent unit 1101 to the user, and waits for the user to select an authentication method and input authentication information to the authentication information input unit 1202.
As described above, it is assumed here that the user selects “user ID + password”, inputs “0001” as “user ID” as authentication information, and “Saklfjdaf” as “password”. Here, it is assumed that the user has selected, but authentication may be performed using a difference from the authenticated content. In this case, if the second authentication currently requested is a combination of a plurality of authentications, the second authentication (combination) includes an authentication that is not included in the already performed (valid) first authentication. Then, authentication is executed with this authentication. Also, the authentication level may be compared and used to identify the required authentication. In other words, if the authentication level is 1 and authentication is performed, and an access request is issued and authentication level 3 is requested, authentication level 2 that is the difference between the authentication level 2 and the corresponding authentication (see FIG. In the example of 3, IC card authentication) may be performed.

つぎに、処理406では、業務処理入出力手段1201は、ユーザが選択した認証方式「ユーザID+パスワード」と、認証情報入力手段1202に入力された「0001」と「Saklfjdaf」を認証代行手段1101へ送付する。   Next, in process 406, the business process input / output unit 1201 sends the authentication method “user ID + password” selected by the user and “0001” and “Saklfjdaf” input to the authentication information input unit 1202 to the authentication proxy unit 1101. Send.

認証代行手段1101は、業務処理入出力手段1201より受け取った情報を認証手段1103へ渡す。
認証手段1103は、ユーザDB1107を参照し、認証代行手段1101より受け取った情報を元に、ユーザID301の列では「001」を、パスワード302の列では「Saklfjdaf」を検索して、一致の有無を確認する。 The authentication proxy unit 1101 passes the information received from the business process input / output unit 1201 to the authentication unit 1103.
The authentication unit 1103 refers to the user DB 1107 and searches for “001” in the column of the user ID 301 and “Saklfjdaf” in the column of the password 302 based on the information received from the authentication proxy unit 1101 to determine whether there is a match. Check.

つぎに、処理407では、認証手段1103は、ユーザDB1107に格納された認証情報の値と、ユーザが入力した認証情報の値が一致した場合には、認証成功と判定して処理408を実施し、一致しなかった場合には認証失敗と判定してフローチャート400を終了する。   Next, in process 407, if the authentication information value stored in the user DB 1107 matches the authentication information value input by the user, the authentication unit 1103 determines that the authentication is successful and executes process 408. If they do not match, it is determined that the authentication has failed, and the flowchart 400 is terminated.

ここでは、処理406にて、一致するものが存在するため、処理408を実施する。
つぎに、処理408では、認証代行手段1101は、認証手段1101から認証情報が一致した結果を受け、認証レベル管理手段1105を介して、「ユーザID」の「001」と「認証レベル」「1」を認証状態DB1110に格納する。
認証代行手段1101は、業務処理手段A1301に対して、端末装置1200の業務処理入出力手段1201からのアクセスを許可する。 Here, since there is a match in the process 406, the process 408 is performed.
Next, in processing 408, the authentication proxy unit 1101 receives the result of the authentication information match from the authentication unit 1101, and receives “001” and “authentication level” “1” of the “user ID” via the authentication level management unit 1105. Is stored in the authentication status DB 1110.
The authentication proxy unit 1101 permits the business processing unit A 1301 to access from the business processing input / output unit 1201 of the terminal device 1200.

つぎに、処理409では、業務管理手段A1301は、業務処理入出力手段1201からの操作命令およびデータの応じた処理を実施し、その結果を業務処理入出力手段1201へと回答する。   Next, in the process 409, the business management means A 1301 executes a process according to the operation command and data from the business process input / output means 1201, and returns the result to the business process input / output means 1201.

以上で説明したように、ユーザが業務処理装置を利用する際に、処理402および処理403で、業務処理ごとに必要な認証レベルおよび認証方式を抽出し、処理404で、その時点におけるユーザの認証レベルが業務処理に必要な認証レベルに到達しない場合にのみ処理404および処理405でユーザ認証を実施し、処理407で認証が成功した場合に処理409の業務処理を実施させるため、複数の認証方式でユーザ認証が実施でき、かつ業務システム毎に認証方式を選択できることから、セキュリティレベルの異なる業務システムのセキュリティを確保しつつ、煩雑なユーザ認証を防いでユーザの利便性を向上できる。   As described above, when the user uses the business processing apparatus, the processing 402 and processing 403 extract the authentication level and authentication method required for each business processing, and the processing 404 authenticates the user at that time. Only when the level does not reach the authentication level required for the business process, the user authentication is performed in the process 404 and the process 405, and when the authentication is successful in the process 407, the business process of the process 409 is performed. Since user authentication can be performed and an authentication method can be selected for each business system, it is possible to prevent complicated user authentication and improve user convenience while ensuring the security of business systems with different security levels.

100 アクセス制御システム
1100 統合認証装置
1101 認証代行手段
1102 ユーザ管理手段
1103 認証手段
1104 アクセス制御管理手段
1105 認証レベル管理手段
1106 認証方式管理手段
1107 ユーザDB
1108 アクセス制御DB
1109 認証レベルDB
1110 認証状態DB
1111 認証方式DB
1200 端末装置
1201 業務処理入出力手段
1202 認証情報入力手段
1300 業務処理装置
1301 業務処理手段A
1302 業務処理手段B
200 装置
201 CPU
202 メモリ
203 ディスク
204 入力装置
205 出力装置
206 通信インタフェース DESCRIPTION OF SYMBOLS 100 Access control system 1100 Integrated authentication apparatus 1101 Authentication agent means 1102 User management means 1103 Authentication means 1104 Access control management means 1105 Authentication level management means 1106 Authentication method management means 1107 User DB
1108 Access control DB
1109 Authentication level DB
1110 Authentication status DB
1111 Authentication method DB
1200 Terminal device 1201 Business processing input / output unit 1202 Authentication information input unit 1300 Business processing device 1301 Business processing unit A
1302 Business processing means B
200 Device 201 CPU
202 Memory 203 Disk 204 Input device 205 Output device 206 Communication interface

Claims (5)

ユーザの認証を一元的に管理する統合認証装置と、ユーザが利用する端末装置と、各種業務の情報処理を行う業務処理装置を含むアクセス制御システムを用いたアクセス制御方法において、
前記統合認証装置が、
ユーザの本人性を確認する第1の認証処理を実行し、
前記第1の認証処理の実行結果を記録し、
前記ユーザから前記端末装置を介して前記業務処理装置に対するアクセス要求を受付けた場合、前記第1の認証処理の結果が有効なものであるかを判断し、
前記判断の結果、有効である場合、前記業務処理装置のアクセスに必要な第2の認証を特定して、当該第2の認証と前記第1の認証を比較し、
前記比較の結果に基づいて、前記第2の認証ないし当該第2の認証に対応する認証の要否を判断し、
前記認証の要否の判断結果に基づいて、前記ユーザに対する認証を制御することを特徴とするアクセス制御方法。 In an access control method using an access control system including an integrated authentication device that centrally manages user authentication, a terminal device used by a user, and a business processing device that performs information processing of various businesses,
The integrated authentication device is
Execute the first authentication process to confirm the user's identity,
Record the execution result of the first authentication process,
When an access request to the business processing device is received from the user via the terminal device, it is determined whether the result of the first authentication processing is valid,
If the result of the determination is valid, the second authentication necessary for accessing the business processing device is specified, and the second authentication is compared with the first authentication.
Based on the result of the comparison, it is determined whether the second authentication or the authentication corresponding to the second authentication is necessary,
An access control method, wherein authentication for the user is controlled based on a determination result of the necessity of the authentication. 請求項1に記載のアクセス制御方法において、
前記統合認証装置は、
前記業務処理装置の業務処理の実行に必要な認証レベルを第1の記憶装置に記憶しておき、
前記認証レベルと認証の仕方を示す認証方法を対応付けて第2の記憶装置に記憶しておき、
前記アクセスに必要な第2の認証の特定は、前記第1のおよび第2の記憶装置の記憶内容に基づいて特定することを特徴とするアクセス制御方法。 The access control method according to claim 1,
The integrated authentication device includes:
An authentication level necessary for execution of business processing of the business processing device is stored in the first storage device,
The authentication level and the authentication method indicating the authentication method are associated with each other and stored in the second storage device,
The access control method characterized in that the second authentication necessary for the access is specified based on the storage contents of the first and second storage devices. 請求項2に記載のアクセス制御方法において、
前記2の認証ないし当該第2の認証に対応する認証の要否の判断は、前記第1の認証における第1の認証レベルと前記第2の認証における認証レベルを比較し、前記第1の認証レベルが低いか同等の場合、前記第2の認証ないし前記第2の認証に対応する認証が必要と判断することを特徴とするアクセス制御方法。 The access control method according to claim 2,
The determination of necessity of authentication corresponding to the second authentication or the second authentication is performed by comparing the first authentication level in the first authentication with the authentication level in the second authentication, and the first authentication. When the level is low or equivalent, it is determined that authentication corresponding to the second authentication or the second authentication is necessary. 請求項3に記載のアクセス制御方法において、
前記第2の認証レベルに対応する認証として、前記第1の認証と前記第2の認証の差分に対応する認証を特定することを特徴とするアクセス制御方法。 The access control method according to claim 3,
An access control method, wherein authentication corresponding to a difference between the first authentication and the second authentication is specified as authentication corresponding to the second authentication level. 請求項4に記載のアクセス制御方法において、
前記差分に対応する認証として、(1)前記第2の認証が複数の認証の組み合わせで実現される場合、前記第1の認証に用いられない認証ないし(2)前記第1の認証レベルと前記第2の認証レベルの差を示す認証レベルの認証を特定することを特徴とするアクセス制御方法。 The access control method according to claim 4,
As the authentication corresponding to the difference, (1) when the second authentication is realized by a combination of a plurality of authentications, authentication that is not used for the first authentication or (2) the first authentication level and the An access control method characterized by specifying authentication at an authentication level indicating a difference between the second authentication levels.
JP2010268950A 2010-12-02 2010-12-02 Access control method Pending JP2012118833A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010268950A JP2012118833A (en) 2010-12-02 2010-12-02 Access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010268950A JP2012118833A (en) 2010-12-02 2010-12-02 Access control method

Publications (1)

Publication Number Publication Date
JP2012118833A true JP2012118833A (en) 2012-06-21

Family

ID=46501556

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010268950A Pending JP2012118833A (en) 2010-12-02 2010-12-02 Access control method

Country Status (1)

Country Link
JP (1) JP2012118833A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103248485A (en) * 2013-04-24 2013-08-14 中国南方电网有限责任公司 Security label-based power secondary system access control method and system
CN103617485A (en) * 2013-11-15 2014-03-05 中国航空无线电电子研究所 Uniform authority management and deployment system
CN112449145A (en) * 2019-08-28 2021-03-05 杭州海康威视数字技术股份有限公司 Camera authority management method and device
WO2022024281A1 (en) * 2020-07-29 2022-02-03 日本電気株式会社 Authentication server, authentication system, authentication request processing method, and storage medium
CN114615403A (en) * 2022-02-21 2022-06-10 广东职业技术学院 Method, device and system for accessing video file of office camera
CN117349811A (en) * 2023-10-18 2024-01-05 广州元沣智能科技有限公司 Information authentication system based on user identity

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010067124A (en) * 2008-09-12 2010-03-25 Nec Corp Authentication management device, authentication management method, and program therefor
JP2010225078A (en) * 2009-03-25 2010-10-07 Nec Corp Authentication method, authentication system thereof, and authentication processing program thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010067124A (en) * 2008-09-12 2010-03-25 Nec Corp Authentication management device, authentication management method, and program therefor
JP2010225078A (en) * 2009-03-25 2010-10-07 Nec Corp Authentication method, authentication system thereof, and authentication processing program thereof

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103248485A (en) * 2013-04-24 2013-08-14 中国南方电网有限责任公司 Security label-based power secondary system access control method and system
CN103248485B (en) * 2013-04-24 2016-12-07 中国南方电网有限责任公司 A kind of electric power secondary system access control method based on safety label and system
CN103617485A (en) * 2013-11-15 2014-03-05 中国航空无线电电子研究所 Uniform authority management and deployment system
CN112449145A (en) * 2019-08-28 2021-03-05 杭州海康威视数字技术股份有限公司 Camera authority management method and device
CN112449145B (en) * 2019-08-28 2022-08-16 杭州海康威视数字技术股份有限公司 Camera authority management method and device
WO2022024281A1 (en) * 2020-07-29 2022-02-03 日本電気株式会社 Authentication server, authentication system, authentication request processing method, and storage medium
CN114615403A (en) * 2022-02-21 2022-06-10 广东职业技术学院 Method, device and system for accessing video file of office camera
CN114615403B (en) * 2022-02-21 2023-10-24 广东职业技术学院 Access method, device and system for video files of office camera
CN117349811A (en) * 2023-10-18 2024-01-05 广州元沣智能科技有限公司 Information authentication system based on user identity
CN117349811B (en) * 2023-10-18 2024-04-05 广州元沣智能科技有限公司 Information authentication system based on user identity

Similar Documents

Publication Publication Date Title
US9967261B2 (en) Method and system for secure authentication
US20230291571A1 (en) Dynamic management and implementation of consent and permissioning protocols using container-based applications
US8984597B2 (en) Protecting user credentials using an intermediary component
US10178081B2 (en) Authentication system, method and storage medium
JP6468013B2 (en) Authentication system, service providing apparatus, authentication apparatus, authentication method, and program
US8869255B2 (en) Method and system for abstracted and randomized one-time use passwords for transactional authentication
WO2017000829A1 (en) Method for checking security based on biological features, client and server
US20220360446A1 (en) Dynamic implementation and management of hash-based consent and permissioning protocols
US20130269007A1 (en) Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
JP6113678B2 (en) Authentication apparatus, authentication system, and authentication method
US20180341759A1 (en) Image processing apparatus, system related to image processing apparatus, and method
US10110578B1 (en) Source-inclusive credential verification
JP2013164835A (en) Authentication system, authentication method, apparatus, and program
US20080015986A1 (en) Systems, methods and computer program products for controlling online access to an account
US10484433B2 (en) Virtual communication endpoint services
WO2019060016A1 (en) Extensible framework for authentication
US11824850B2 (en) Systems and methods for securing login access
JP2012118833A (en) Access control method
US9621349B2 (en) Apparatus, method and computer-readable medium for user authentication
Mustafić et al. Behavioral biometrics for persistent single sign-on
JP2007272600A (en) Personal authentication method, system and program associated with environment authentication
JP5707204B2 (en) Identification system and identification method
CN109428725A (en) Information processing equipment, control method and storage medium
KR101679183B1 (en) Server and method for electronic signature
US20230208634A1 (en) Key management method and apparatus

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120521

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131203

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140415