JP2013073416A - Authentication repeating apparatus, authentication repeating system and authentication repeating method - Google Patents

Authentication repeating apparatus, authentication repeating system and authentication repeating method Download PDF

Info

Publication number
JP2013073416A
JP2013073416A JP2011211874A JP2011211874A JP2013073416A JP 2013073416 A JP2013073416 A JP 2013073416A JP 2011211874 A JP2011211874 A JP 2011211874A JP 2011211874 A JP2011211874 A JP 2011211874A JP 2013073416 A JP2013073416 A JP 2013073416A
Authority
JP
Japan
Prior art keywords
authentication
service
user
request
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011211874A
Other languages
Japanese (ja)
Inventor
Tetsuo Kito
哲郎 鬼頭
Naoki Hayashi
直樹 林
Tadashi Kaji
忠司 鍛
Satoshi Takemoto
敏 武本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2011211874A priority Critical patent/JP2013073416A/en
Priority to PCT/JP2012/064371 priority patent/WO2013046807A1/en
Publication of JP2013073416A publication Critical patent/JP2013073416A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

PROBLEM TO BE SOLVED: To solve the problem since an authentication system installed in a user terminal is not considered in a conventional technology, an authentication system which is unavailable for the user terminal may be requested.SOLUTION: The authentication repeating apparatus includes: an authentication request reception part for receiving an authentication request from a service provision device to which a user has transmitted a service request, and for acquiring user information and requested service information; an authentication system selection part for acquiring an authentication system installed in the user terminal from a user information database on the basis of the user information and an authentication level necessary for service use from a service policy database and the combination of authentication systems and an authentication level to be acquired from this from an authentication system combination database, and for acquiring the combination of the authentication systems necessary and available for the user to use the service; and an authentication request part for transmitting an authentication request to the authentication service provision device on the basis of the acquired combination information.

Description

本発明は、ユーザがサービス提供装置のサービスを利用する際に認証提供装置が提供する認証を中継する技術に関する。   The present invention relates to a technique for relaying authentication provided by an authentication providing apparatus when a user uses a service of the service providing apparatus.

近年、一度の認証で複数のシステムを利用可能とするシングルサインオン技術が注目されている。   In recent years, a single sign-on technique that enables a plurality of systems to be used with a single authentication has attracted attention.

しかしながら、求められる本人確認性の高さ(以下レベルと称す)が異なるサービスが混在している場合には、シングルサインオン技術が適切に機能しないという問題がある。これは、シングルサインオンのために行った一度の認証のレベルが低い場合には、高いレベルが求められる政府調達などのサービスにアクセスすることは不適切である場合があるためである。   However, there is a problem that the single sign-on technology does not function properly when services requiring different levels of identity verification (hereinafter referred to as levels) are mixed. This is because if the level of authentication once performed for single sign-on is low, it may be inappropriate to access services such as government procurement that require a high level.

このような問題を解決するために、例えば特許文献1のような技術がある。特許文献1には、ユーザ端末機器に係る認証レベルを確認し、その確認において、ユーザ端末機器に係る認証レベルがサービスプロバイダ機器の要求を満たしているときはユーザに対して所定のサービスを提供し、その要求を満たしていないときはユーザに対して新たな認証を要求することが記載されている。   In order to solve such a problem, for example, there is a technique as disclosed in Patent Document 1. Patent Document 1 confirms the authentication level related to the user terminal device, and provides a predetermined service to the user when the authentication level related to the user terminal device satisfies the request of the service provider device. It is described that when the request is not satisfied, a new authentication is requested to the user.

特開2010−225078号公報JP 2010-225078 A

しかしながら、特許文献1の技術では、ユーザ端末が備えている認証方式について考慮されていない。近年ユーザが利用する端末もサービスと同様多様化し、パソコン(PC)だけでなく、携帯電話やスマートフォン、タブレットPCなどによるサービス利用が増えてきている。そのため、これらPC以外の端末においては、PCほど利用可能な認証方式が充実していないという問題がある。例えば、PCには指紋読取装置やICカードリーダなどが搭載されている場合や外付けで接続できる場合があるが、携帯電話のような非力な端末ではそのような装置が搭載されていないものや接続できないものが多い。   However, in the technique of Patent Literature 1, no consideration is given to the authentication method provided in the user terminal. In recent years, terminals used by users have been diversified in the same way as services, and the use of services by not only personal computers (PCs) but also mobile phones, smartphones, tablet PCs, and the like is increasing. For this reason, terminals other than PCs have a problem in that there are not as many authentication methods available as PCs. For example, a PC may be equipped with a fingerprint reader or IC card reader, or may be connected externally, but a powerless terminal such as a mobile phone may not have such a device installed. There are many things that cannot be connected.

上記の方式ではこのようなユーザ利用端末の多様化が考慮されていないため、サービスにアクセスしようとしているユーザ端末では利用不可能な認証方式を要求されてしまう場合が発生するという課題がある。例えばICカードリーダを具備していない携帯電話でのサービスへのアクセスの際にICカードによる認証を求められ、認証を行うことができない場合がある。   Since the above-mentioned method does not consider such diversification of user use terminals, there is a problem that an authentication method that cannot be used by a user terminal trying to access a service may be requested. For example, when accessing a service using a mobile phone that does not have an IC card reader, authentication using an IC card is required, and authentication may not be performed.

上記課題を解決するため、本発明の一態様は以下の構成を備える。即ち、認証中継装置は、ユーザがサービス要求を送信したサービス提供装置から、ユーザ情報と要求されているサービス情報を受信するサービスポリシ受信部と、ユーザ情報に基づきユーザ情報データベースからユーザ端末に備えられた認証方式と、サービスポリシデータベースからサービスに必要な認証レベルと、認証方式組み合わせデータベースからユーザがサービスを利用するのに必要な認証方式の組み合わせ情報とを取得する認証方式選択部と、組み合わせ情報をユーザに提示し、ユーザが提示された認証方式で認証成功すると、ユーザとサービスとを接続する。   In order to solve the above problems, one embodiment of the present invention includes the following configuration. That is, the authentication relay device is provided in the user terminal from the service information receiving unit that receives the user information and the requested service information from the service providing device from which the user has transmitted the service request, and from the user information database based on the user information. Authentication method selection unit that obtains the authentication method required for the service from the service policy database, and the combination information of the authentication method necessary for the user to use the service from the authentication method combination database, and the combination information When presented to the user and the user is successfully authenticated by the presented authentication method, the user and the service are connected.

本発明により、ユーザがサービスへのアクセスのために認証を行うときに、ユーザが使用する端末における利用可能な認証方式により認証が要求されるため、ユーザの利便性が向上する。   According to the present invention, when a user performs authentication for access to a service, authentication is requested by an authentication method that can be used in a terminal used by the user, so that convenience for the user is improved.

また、第2の実施形態における認証中継装置により、認証におけるユーザの利便性を向上させるとともに、成りすましなどの不正な活動によるリスクを減らすことができる。   In addition, the authentication relay device according to the second embodiment can improve the convenience of the user in authentication, and can reduce the risk of fraudulent activities such as impersonation.

第一の実施形態における認証中継装置を含んだシングルサインオンシステムのネットワーク構成図である。It is a network block diagram of the single sign-on system containing the authentication relay apparatus in 1st embodiment. 第一の実施形態における認証中継装置のハードウェア構成図である。It is a hardware block diagram of the authentication relay apparatus in 1st embodiment. 第一の実施形態における認証中継装置の構成図である。It is a block diagram of the authentication relay apparatus in 1st embodiment. 第一の実施形態におけるユーザ認証状態データベースを示す図である。It is a figure which shows the user authentication state database in 1st embodiment. 第一の実施形態におけるユーザ端末データベースを示す図である。It is a figure which shows the user terminal database in 1st embodiment. 第一の実施形態における認証方式データベースを示す図である。It is a figure which shows the authentication system database in 1st embodiment. 第一の実施形態における認証方式組み合わせデータベースを示す図である。It is a figure which shows the authentication system combination database in 1st embodiment. 第一の実施形態におけるサービスポリシデータベースを示す図である。It is a figure which shows the service policy database in 1st embodiment. 第一の実施形態における認証方式選択部の処理を示すフローチャートである。It is a flowchart which shows the process of the authentication system selection part in 1st embodiment. 第一の実施形態における認証方式選択部の処理の一部である認証処理を示すフローチャートである。It is a flowchart which shows the authentication process which is a part of process of the authentication method selection part in 1st embodiment. 第一の実施形態における認証方式選択部の処理の一部である認証選択処理を示すフローチャートである。It is a flowchart which shows the authentication selection process which is a part of process of the authentication system selection part in 1st embodiment. 第一の実施形態における認証要求部の処理を示すフローチャートである。It is a flowchart which shows the process of the authentication request | requirement part in 1st embodiment. 第一の実施形態におけるシングルサインオンシステムでのサービス利用のためのシーケンスを表すシーケンス図である。It is a sequence diagram showing the sequence for service utilization in the single sign-on system in 1st embodiment. 第一の実施形態における認証方法取得部でユーザに対して提示するインタフェースを示す図である。It is a figure which shows the interface shown with respect to a user in the authentication method acquisition part in 1st embodiment. 第二の実施形態における認証中継装置の構成図である。It is a block diagram of the authentication relay apparatus in 2nd embodiment. 第二の実施形態におけるユーザログデータベースを示す図である。It is a figure which shows the user log database in 2nd embodiment. 第二の実施形態における認証方式選択部の処理のうち第一の実施形態との差分を示す図である。It is a figure which shows the difference with 1st embodiment among the processes of the authentication system selection part in 2nd embodiment.

以降、本発明を実施するための形態(「本実施形態」という)を、図等を参照して詳細に説明する。   Hereinafter, a mode for carrying out the present invention (referred to as “the present embodiment”) will be described in detail with reference to the drawings.

図1は、第1の実施形態における認証中継装置101を含んだシングルサインオンシステム100のネットワーク構成図である。
認証中継装置101は、サービス提供装置102とネットワーク105を介して接続されている。また、認証中継装置101はさらに、認証サービス提供装置103とネットワーク106を介して接続されている。また、認証中継装置101はさらに、ユーザ端末104とネットワーク107を介して接続されている。
認証中継装置101は本実施例で開示する認証中継装置である。サービス提供装置102は、ユーザに対してネットワークを介してサービスを提供する装置である。認証サービス提供装置103は、ユーザの認証を行うための機能を備える装置である。ユーザ端末104は、PCや携帯電話、スマートフォンなど、ユーザがサービス提供装置102で提供されるサービスを利用する際に使用する機器である。 FIG. 1 is a network configuration diagram of a single sign-on system 100 including an authentication relay apparatus 101 according to the first embodiment.
The authentication relay device 101 is connected to the service providing device 102 via the network 105. Further, the authentication relay apparatus 101 is further connected to the authentication service providing apparatus 103 via the network 106. Further, the authentication relay apparatus 101 is further connected to the user terminal 104 via the network 107.
The authentication relay apparatus 101 is an authentication relay apparatus disclosed in this embodiment. The service providing apparatus 102 is an apparatus that provides a service to a user via a network. The authentication service providing apparatus 103 is an apparatus having a function for authenticating a user. The user terminal 104 is a device used when a user uses a service provided by the service providing apparatus 102 such as a PC, a mobile phone, and a smartphone.

図1において、ネットワーク105とネットワーク106とネットワーク107はそれぞれ別のものとして描かれているが、このうちの任意の2つ、もしくは全てが同一のネットワークであってもよい。これらのネットワークは企業内ネットワークなどのLAN(Local Area Network)でもよいし、LANだけに留まらずインターネットであってもよい。また、ネットワーク105、ネットワーク106、ネットワーク107には図示されていない端末や通信装置などが接続されていてもよい。
また、図1では、サービス提供装置102、認証サービス提供装置103、ユーザ端末104はそれぞれ3つずつ図示されているが、3つに限定するものではなく、それぞれ1つ、もしくは2つ、もしくは4つ以上でもよい。 In FIG. 1, the network 105, the network 106, and the network 107 are depicted as different ones, but any two or all of them may be the same network. These networks may be a local area network (LAN) such as a corporate network, or may be not only the LAN but also the Internet. Further, the network 105, the network 106, and the network 107 may be connected to a terminal or a communication device that is not shown.
In FIG. 1, three service providing apparatuses 102, authentication service providing apparatuses 103, and user terminals 104 are illustrated. However, the number is not limited to three, but one, two, or four, respectively. There may be more than one.

図2は、第1の実施形態における認証中継装置101のハードウェア構成図である。
認証中継装置101は、ネットワークカードなどの通信装置201、キーボードやマウス等の入力装置202、LCD(Liquid Crystal Display)等の表示装置203、演算装置204、メモリ205、ハードディスク等の記憶装置206を備える。演算装置204は、記憶装置206に格納されたプログラムを実行し、各部の制御を行う。記憶装置206は、演算装置204が実行するプログラムおよび演算装置204が使用するデータ等を格納する。通信装置201は、ネットワーク207を介して他の装置からデータを受信して演算装置204へ送ると共に、演算装置204が生成したデータを、ネットワーク106を介して他の装置へ送信する。ここで、ネットワーク207は、図1で示されるネットワーク105、ネットワーク106、ネットワーク107である。認証中継装置101は、通信装置201を複数具備してそれぞれのネットワークに接続する構成を取っていてもよいし、一つの通信装置201により複数のネットワークに接続する構成を取っていてもよい。演算装置204は、入力装置202や表示装置203を制御し、入力装置202からデータを入力し、データを表示装置203へ出力する。記憶装置206にはプログラムや処理に必要なデータ類が格納されており、プログラムは記憶装置206からメモリ205にロードされ、演算装置204によって実行される。認証中継装置101は、これらのプログラムを記憶装置206からロードして実行するが、他の例として、CD、DVD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等の記録媒体からこのプログラムをロードしてもよい。また他の例として、他の装置から、通信媒体を介して、これらのプログラムをロードしてもよい。通信媒体とは、ネットワークまたはこれらを伝搬するディジタル信号または搬送波を指す。 FIG. 2 is a hardware configuration diagram of the authentication relay apparatus 101 according to the first embodiment.
The authentication relay device 101 includes a communication device 201 such as a network card, an input device 202 such as a keyboard and a mouse, a display device 203 such as an LCD (Liquid Crystal Display), an arithmetic device 204, a memory 205, and a storage device 206 such as a hard disk. . The arithmetic device 204 executes a program stored in the storage device 206 and controls each unit. The storage device 206 stores a program executed by the arithmetic device 204, data used by the arithmetic device 204, and the like. The communication device 201 receives data from other devices via the network 207 and sends the data to the arithmetic device 204, and transmits the data generated by the arithmetic device 204 to other devices via the network 106. Here, the network 207 is the network 105, the network 106, and the network 107 shown in FIG. The authentication relay device 101 may have a configuration in which a plurality of communication devices 201 are provided and connected to the respective networks, or a configuration in which a single communication device 201 is connected to a plurality of networks. The arithmetic device 204 controls the input device 202 and the display device 203, inputs data from the input device 202, and outputs the data to the display device 203. The storage device 206 stores programs and data necessary for processing. The program is loaded from the storage device 206 to the memory 205 and executed by the arithmetic device 204. The authentication relay device 101 loads these programs from the storage device 206 and executes them, but as other examples, optical recording media such as CD and DVD, magneto-optical recording media such as MO, tape media, magnetic recording media, Alternatively, this program may be loaded from a recording medium such as a semiconductor memory. As another example, these programs may be loaded from another device via a communication medium. A communication medium refers to a network or a digital signal or carrier wave that propagates through the network.

図3は、第1の実施形態における認証中継装置101の構成図である。以下、図面および明細書で、データベースを「DB」と省略している場合がある。
認証中継装置101は、ユーザ認証状態データベース301、ユーザ端末データベース302、認証方式データベース303、認証方式組み合わせデータベース304、サービスポリシデータベース305、サービスポリシ取得部306、認証要求受信部307、認証方式選択部308、認証要求部309、認証方式取得部310を有し、サービス提供装置102、認証サービス提供装置103、ユーザ端末104とネットワークを介して接続されている。接続に関わるネットワークは図3では図示していない。また、サービス提供装置102、認証サービス提供装置103、ユーザ端末104はそれぞれ1つずつしか図示していないが、前述したように、これらはそれぞれ複数存在していてもよい。以下では複数存在するとして説明する。
ユーザ認証状態データベース301は図4で、ユーザ端末データベース302は図5で、認証方式データベース303は図6で、認証方式組み合わせデータベース304は図7で、サービスポリシデータベース305は図8で、夫々説明する。 FIG. 3 is a configuration diagram of the authentication relay apparatus 101 according to the first embodiment. Hereinafter, the database may be abbreviated as “DB” in the drawings and specification.
The authentication relay apparatus 101 includes a user authentication state database 301, a user terminal database 302, an authentication method database 303, an authentication method combination database 304, a service policy database 305, a service policy acquisition unit 306, an authentication request reception unit 307, and an authentication method selection unit 308. The authentication request unit 309 and the authentication method acquisition unit 310 are connected to the service providing apparatus 102, the authentication service providing apparatus 103, and the user terminal 104 via a network. The network involved in the connection is not shown in FIG. Further, only one service providing device 102, one authentication service providing device 103, and one user terminal 104 are illustrated, but a plurality of these may exist as described above. In the following description, it is assumed that there are a plurality.
The user authentication status database 301 will be described in FIG. 4, the user terminal database 302 in FIG. 5, the authentication method database 303 in FIG. 6, the authentication method combination database 304 in FIG. 7, and the service policy database 305 in FIG. .

ここで、サービスポリシ取得部306について説明する。
サービスポリシ取得部306は、サービス提供装置102で提供されるサービスのポリシ情報(要求レベル、認証方式の選択方法、認証失敗時の挙動、認証失敗許容回数)を取得し、サービスポリシDB305に格納する。ここでの処理は図示しないが、入力用のインタフェースを用意してサービス管理者に入力してもらう、ポリシを定めるデータフォーマットを用意し当該フォーマットに従った形でサービス側からポリシデータを送信する、本実施形態で図示したネットワーク以外の経路(電話など)を用いてポリシに関する情報を伝達し、認証中継装置101の管理者がポリシ情報を入力する、などといった構成を取ることができる。 Here, the service policy acquisition unit 306 will be described.
The service policy acquisition unit 306 acquires service policy information (request level, authentication method selection method, behavior at the time of authentication failure, allowable number of authentication failures) provided by the service providing apparatus 102, and stores it in the service policy DB 305. . Although the processing here is not shown in the drawing, an interface for input is prepared and the service manager inputs it, a data format for defining a policy is prepared, and policy data is transmitted from the service side in accordance with the format. It is possible to adopt a configuration in which policy-related information is transmitted using a route (such as a telephone) other than the network illustrated in the present embodiment, and the administrator of the authentication relay apparatus 101 inputs policy information.

次に、認証要求受信部307について説明する。
認証要求受信部307は、サービスからの認証要求を受信し、認証方式選択部308を呼び出し、認証方式選択部308から認証結果を受信し、認証結果をサービス提供装置102へと送信する。認証要求受信部307はアクセスしようとしているユーザの識別子およびアクセス先のサービスおよびセッション識別子を取得し、認証方式選択部308を呼び出す際にパラメータとして付与する。ユーザ識別子の取得方式については図示しないが、本実施形態においては、サービスからの認証要求時に付与されていればそれを用い、付与されていない場合にはユーザに対してユーザ識別子入力用のインタフェースを用意し、ユーザの入力によりユーザ識別子を取得する。また、セッション識別子の取得については、当該ユーザから提示された場合にはそれを用い、提示されない場合には新規セッションであると判断して新規にセッション識別子を生成する。 Next, the authentication request receiving unit 307 will be described.
The authentication request receiving unit 307 receives the authentication request from the service, calls the authentication method selection unit 308, receives the authentication result from the authentication method selection unit 308, and transmits the authentication result to the service providing apparatus 102. The authentication request receiving unit 307 acquires the identifier of the user who is trying to access, the service and session identifier of the access destination, and assigns them as parameters when calling the authentication method selection unit 308. Although the user identifier acquisition method is not shown in the figure, in the present embodiment, if it is given at the time of authentication request from the service, it is used, and if it is not given, an interface for user identifier input is provided to the user. Prepare and obtain a user identifier by user input. As for the acquisition of the session identifier, when it is presented by the user, it is used, and when it is not presented, it is determined that the session is a new session and a new session identifier is generated.

次に、認証方式選択部308について説明する。
認証方式選択部308は、認証要求受信部307から呼び出され、ユーザ認証状態DB301、ユーザ端末DB302、認証方式DB303、認証方式組み合わせDB304、サービスポリシDB305から情報を収集し、ユーザにとって最適な認証方式を選択し、当該認証方式による認証を提供する認証サービスへの認証中継を認証要求部309を呼び出すことにより実施する。また、認証サービスによる認証の結果を認証要求部から取得し、認証要求受信部307へと認証結果を送信する。なお、認証の必要がない場合には、認証要求部309の呼び出しによる認証サービスへの認証中継は行わず、認証されている旨の認証結果を認証要求受信部307へと送信する。 Next, the authentication method selection unit 308 will be described.
The authentication method selection unit 308 is called from the authentication request reception unit 307, collects information from the user authentication state DB 301, the user terminal DB 302, the authentication method DB 303, the authentication method combination DB 304, and the service policy DB 305, and selects an optimum authentication method for the user. The authentication request unit 309 is called to perform authentication relay to an authentication service that provides authentication according to the selected authentication method. Also, the result of authentication by the authentication service is acquired from the authentication request unit, and the authentication result is transmitted to the authentication request receiving unit 307. If authentication is not required, authentication relay to the authentication service by calling the authentication request unit 309 is not performed, and an authentication result indicating that authentication has been performed is transmitted to the authentication request receiving unit 307.

次に、認証要求部309について説明する。
認証要求部309は認証方式選択部308の処理中に呼び出され(図11のS1106)、認証サービスに対してユーザの認証を要求する。また、各認証サービスでの認証結果を受け取り、認証方式選択部309へと返す。 Next, the authentication request unit 309 will be described.
The authentication request unit 309 is called during the processing of the authentication method selection unit 308 (S1106 in FIG. 11), and requests authentication of the user from the authentication service. Also, the authentication result in each authentication service is received and returned to the authentication method selection unit 309.

次に、認証方式取得部310について説明する。
認証方式取得部310では、ユーザ端末で利用可能な認証方式を取得し、ユーザ端末DB302に格納する。利用可能な認証方式の取得方法としては、端末とそこで利用可能な認証方式とを入力するためのインタフェースを用意し、事前にユーザまたはユーザの所属する組織の管理者などに入力してもらう方式、ユーザ端末に利用可能な認証方式を取得して送信するようなエージェントを導入し認証中継装置へのアクセス時に自動もしくは手動で送信するようにする方式、ユーザが認証中継装置にアクセスしたタイミングで利用可能なインタフェースをその場で選択するインタフェースを用意して選択してもらう方式などがある。 Next, the authentication method acquisition unit 310 will be described.
The authentication method acquisition unit 310 acquires an authentication method that can be used by the user terminal and stores it in the user terminal DB 302. As an acquisition method of available authentication methods, an interface for inputting the terminal and the authentication method available there is prepared, and the user or the administrator of the organization to which the user belongs is input in advance, An agent that acquires and sends authentication methods that can be used for user terminals and then sends them automatically or manually when accessing the authentication relay device. It can be used when the user accesses the authentication relay device. There is a method of preparing and selecting an interface for selecting an appropriate interface on the spot.

以下、認証中継装置101を構成するこれらの構成要素について説明する。
まず、ユーザ認証状態DB301について説明する。
図4は、第1の実施形態におけるユーザ認証状態DB301の構成図である。ユーザ認証状態DB301は、認証中継装置101を介して認証を行うユーザが、現在どのような認証処理を済ませているかを格納するデータベースであり、ユーザ識別子401、認証済サービス402、認証時刻403、認証結果有効期限404、認証結果405、セッション識別子406から構成される。ユーザ認証状態DB301は、図12S1205で更新される情報である。 Hereinafter, these components constituting the authentication relay apparatus 101 will be described.
First, the user authentication state DB 301 will be described.
FIG. 4 is a configuration diagram of the user authentication state DB 301 in the first embodiment. The user authentication status DB 301 is a database that stores what authentication processing the user who performs authentication via the authentication relay apparatus 101 has currently completed, and includes a user identifier 401, an authenticated service 402, an authentication time 403, an authentication It consists of a result expiration date 404, an authentication result 405, and a session identifier 406. The user authentication state DB 301 is information updated in FIG.

ユーザ識別子401はユーザを一意に識別するための識別子である。認証済サービス402はユーザ識別子401で示されるユーザが認証を行ったサービスのサービス識別子である。認証時刻403はユーザ識別子401で示されるユーザが認証を行った時刻、認証結果有効期限404は前記認証の有効期限であり、この時刻を過ぎると当該ユーザは当該認証サービスでは未認証という扱いになる。認証結果405は当該ユーザの当該認証サービスにおける認証が成功であったか失敗であったかを表す。認証結果405で表される認証結果は前記認証結果有効期限404まで有効となる。セッション識別子406は、当該ユーザによる一連の通信を一意に識別する識別子である。   A user identifier 401 is an identifier for uniquely identifying a user. The authenticated service 402 is a service identifier of a service authenticated by the user indicated by the user identifier 401. The authentication time 403 is the time when the user indicated by the user identifier 401 performs authentication, and the authentication result expiration date 404 is the authentication expiration date. After this time, the user is treated as unauthenticated in the authentication service. . The authentication result 405 represents whether the user's authentication in the authentication service was successful or unsuccessful. The authentication result represented by the authentication result 405 is valid until the authentication result expiration date 404. The session identifier 406 is an identifier that uniquely identifies a series of communications by the user.

次に、ユーザ端末DB302について説明する。
図5は、第1の実施形態におけるユーザ端末DB302の構成図である。ユーザ端末DB302は、ユーザの所持する端末とそこで利用可能な認証方式についての情報を格納するデータベースであり、ユーザ識別子501、端末識別子502、利用可能な認証方式503、端末の種類504から構成される。ユーザ端末DB302は、ユーザから予め取得する情報である。 Next, the user terminal DB 302 will be described.
FIG. 5 is a configuration diagram of the user terminal DB 302 in the first embodiment. The user terminal DB 302 is a database that stores information about the terminals owned by the user and the authentication methods available there, and includes a user identifier 501, a terminal identifier 502, an available authentication method 503, and a terminal type 504. . The user terminal DB 302 is information acquired in advance from the user.

ユーザ識別子501はユーザを一意に識別するための識別子である。端末識別子502はユーザの所持する端末を一意に識別するための識別子である。端末識別子502は、ユーザ毎に一意に定まる識別子であってもよいし、また、複数ユーザで同じ識別子を有するがユーザ識別子と組み合わせることで一意に特定可能な識別子であってもよい。後者の構成は、一台の端末を複数のユーザで利用する場合や、複数のユーザが同型の端末を利用している場合などに有効に働く。利用可能な認証方式503は、端末識別子で示される端末、もしくはユーザ識別子と端末識別子の組で示される端末において利用可能な認証方式の一覧を表す。端末の種類504は、当該端末がどのような種類の端末であるかを格納する。一例としてはデスクトップPC、ノートPC、携帯電話などがある。   A user identifier 501 is an identifier for uniquely identifying a user. A terminal identifier 502 is an identifier for uniquely identifying a terminal possessed by the user. The terminal identifier 502 may be an identifier that is uniquely determined for each user, or may be an identifier that is uniquely specified by a combination of user identifiers that have the same identifier among a plurality of users. The latter configuration works effectively when a single terminal is used by a plurality of users, or when a plurality of users are using the same type of terminal. An available authentication method 503 represents a list of authentication methods that can be used in a terminal indicated by a terminal identifier or a terminal indicated by a combination of a user identifier and a terminal identifier. The terminal type 504 stores what type of terminal the terminal is. Examples include desktop PCs, notebook PCs, and mobile phones.

利用可能な認証方式502について、認証方式によっては、ユーザが記憶している情報に基づくもの、ユーザの所持物に基づくがその証明には特別な機器を必要としないものがある。前者の例がパスワード認証であり、後者の例が乱数表を用いた認証である。これらの場合、これらの認証方式が可能な端末に制限はないため、端末識別子502は「全ての端末」を表す情報となる。   Regarding the authentication methods 502 that can be used, some authentication methods are based on information stored by the user, and some are based on the user's belongings, but the certification does not require special equipment. The former example is password authentication, and the latter example is authentication using a random number table. In these cases, since there is no restriction on the terminals that can use these authentication methods, the terminal identifier 502 is information representing “all terminals”.

利用可能な認証方式503には、後述する認証方式DB303の認証方式603に格納される情報と同じものを格納してもよいし、また、認証方式603の複数の情報を表す情報を格納してもよい。例えば、認証方式603に格納する方式として「パスワード(4文字)」と「パスワード(8文字以上)」など同じパスワード認証でも複数の強度を表す情報があった場合に、一般にユーザがパスワードを利用可能である場合には、様々な強度のパスワードを利用可能であることから、利用可能な認証方式503には、全ての強度のパスワード認証を含む「パスワード」という情報を格納してもよい。   The available authentication method 503 may store the same information stored in the authentication method 603 of the authentication method DB 303 described later, or may store information representing a plurality of information of the authentication method 603. Also good. For example, the user can generally use a password when there is information representing multiple strengths even with the same password authentication such as “password (4 characters)” and “password (8 characters or more)” as a method stored in the authentication method 603. In this case, since passwords of various strengths can be used, the available authentication method 503 may store information “password” including password authentications of all strengths.

次に、認証方式DB303について説明する。
図6は、第1の実施形態における認証方式DB303の構成図である。認証方式DB302は、認証サービス提供装置103で提供される認証サービスの各々においてどのような認証が可能かを格納したデータベースであり、認証サービス識別子601、認証サービス提供装置識別子602、認証方式603、タイムアウト時間604から構成される。認証方式DB303は、予め管理者等が入力する情報である。 Next, the authentication method DB 303 will be described.
FIG. 6 is a configuration diagram of the authentication method DB 303 in the first embodiment. The authentication method DB 302 is a database that stores what authentication is possible in each of the authentication services provided by the authentication service providing device 103. The authentication method identifier 302, the authentication service providing device identifier 602, the authentication method 603, the timeout It consists of time 604. The authentication method DB 303 is information input in advance by an administrator or the like.

認証サービス識別子601は、認証サービス提供装置識別子602で示される認証サービス提供装置において提供される認証サービスを一意に表す識別子である。認証サービス提供装置識別子602は、当該認証サービスを提供する認証サービス提供装置を一意に表す識別子である。一台の認証サービス提供装置において複数の認証サービスを提供する場合が考えられるため、認証サービス提供装置識別子602は認証方式DB303全体において複数回出現してもよい。また、認証サービス識別子601のみでシングルサインオンシステム100全体における認証サービスを一意に表す情報となっている必要はなく、認証サービス識別子601と認証サービス提供装置識別子602との組で一意になっていればよい。本実施形態においては認証サービス識別子601を「AuthService A」、認証サービス提供装置識別子を「AuthServiceDevice A」といった形態で表現しているが、このような形態に限定するものではなく、両者を統合し、認証サービスを利用するためのアクセス先を一意に表すURL(Uniform Resource Locator)などの情報を格納する構成としてもよい。認証方式603は、当該認証サービスが用いている認証方式を表した情報である。   The authentication service identifier 601 is an identifier that uniquely represents an authentication service provided in the authentication service providing apparatus indicated by the authentication service providing apparatus identifier 602. The authentication service providing apparatus identifier 602 is an identifier that uniquely represents an authentication service providing apparatus that provides the authentication service. Since a plurality of authentication services may be provided by one authentication service providing apparatus, the authentication service providing apparatus identifier 602 may appear multiple times in the entire authentication method DB 303. In addition, the authentication service identifier 601 alone need not be information that uniquely represents the authentication service in the entire single sign-on system 100, and the authentication service identifier 601 and the authentication service providing apparatus identifier 602 may be unique. That's fine. In this embodiment, the authentication service identifier 601 is expressed as “AuthService A”, and the authentication service providing device identifier is expressed as “AuthService Device A”. However, the present invention is not limited to such a form. Information such as a URL (Uniform Resource Locator) uniquely representing an access destination for using the authentication service may be stored. The authentication method 603 is information representing the authentication method used by the authentication service.

本実施例では単純に方式の違いによって分けているが、例えば同じパスワードによる認証であっても、利用可能なパスワードの強度に違いがある場合には、認証方式603にパスワードの強度の情報等も格納することとしてもよい。また、指紋認証と言っても一本の指の指紋を用いて認証する方式や二本の指を用いる方式があり得る他、乱数表を用いた認証でも乱数表に記載された数字の種類や数で認証の強度が変化する。このように、一見すると同じ認証方式に分類されるが認証サービスによってその強度が変化する場合には、認証強度を反映する形で認証方式を細分化してもよい。また、同じ認証方式で同じ認証強度であっても、認証サービスが異なる場合には、認証方式603に格納する値を認証サービスごとに異なる値としてもよい。タイムアウト時間604は、一度行った認証がどれくらいの時間有効であるかを表す情報である。認証後にタイムアウト時間604で示された時間を経過すると、行った認証は無効化される。図6においては図示していないが、タイムアウト時間604の取りうる値としては、「認証結果の利用後即時に無効化」「一度認証すると明示的に無効化しない限り無期限に有効」といった情報を表す値があってもよい。   In this embodiment, the authentication method is simply divided according to the difference in the method. For example, even if the authentication is performed using the same password, if there is a difference in the strength of the password that can be used, the authentication method 603 includes information on the strength of the password. It may be stored. In addition to fingerprint authentication, there can be a method of authenticating using the fingerprint of one finger or a method of using two fingers, and even with authentication using a random number table, the types of numbers listed in the random number table The strength of authentication varies with the number. As described above, when the authentication methods are classified into the same authentication method, but the strength changes depending on the authentication service, the authentication method may be subdivided to reflect the authentication strength. In addition, even if the authentication method is the same and the authentication strength is the same, if the authentication service is different, the value stored in the authentication method 603 may be different for each authentication service. The timeout time 604 is information indicating how long the authentication once performed is valid. When the time indicated by the timeout time 604 elapses after authentication, the performed authentication is invalidated. Although not shown in FIG. 6, possible values of the timeout time 604 include information such as “invalidation immediately after use of authentication result” and “valid indefinitely unless explicitly invalidated once authenticated”. There may be a value to represent.

次に、認証方式組み合わせDB304について説明する。
図7は、第1の実施形態における認証方式組み合わせDB304の構成図である。認証方式組み合わせDB304は、個々の認証方式による認証によって得られるレベルおよび、複数の認証方式による認証を行った際に得られるレベルについての情報を格納しているデータベースであり、組み合わせ識別子701、達成されるレベル702、認証方式703から構成される。認証方式組み合わせDB304は、予め管理者等が入力する情報である。 Next, the authentication method combination DB 304 will be described.
FIG. 7 is a configuration diagram of the authentication method combination DB 304 in the first embodiment. The authentication method combination DB 304 is a database that stores information on levels obtained by authentication by individual authentication methods and levels obtained when authentication by a plurality of authentication methods is performed. Level 702 and authentication method 703. The authentication method combination DB 304 is information input in advance by an administrator or the like.

組み合わせ識別子701は、認証方式の組み合わせを一意に識別するための識別子である。達成されるレベル702は、認証方式703で示される全ての認証方式による認証を行った際に得られるレベルである。認証方式703は703−1〜703−3で表される認証方式の組となっている。認証方式703は3つの認証方式から構成される情報であるが、構成要素の認証方式は1つのみであってもよいし、2つであってもよい。また、3つの認証方式から構成されるとしているのは本実施形態における一例であり、数を3つに制限するものではなく、4つ以上の認証方式の組み合わせによるレベルが定義されているような構成であってもよい。   The combination identifier 701 is an identifier for uniquely identifying a combination of authentication methods. The achieved level 702 is a level obtained when authentication by all the authentication methods indicated by the authentication method 703 is performed. The authentication method 703 is a set of authentication methods represented by 703-1 to 703-3. The authentication method 703 is information composed of three authentication methods, but the number of component authentication methods may be only one or two. In addition, the configuration including three authentication schemes is an example in the present embodiment, and the number is not limited to three, and a level defined by a combination of four or more authentication schemes is defined. It may be a configuration.

次に、サービスポリシDB305について説明する。
図8は、第1の実施形態におけるサービスポリシDB305の構成図である。サービスポリシDB305は、サービスごとの求めるレベルなどのポリシを格納するためのデータベースであり、サービス識別子801、サービス提供装置識別子802、要求レベル803、認証方式の選択方法804、認証失敗許容回数805から構成される。サービスポリシDB305は、予め管理者等が入力する情報である。 Next, the service policy DB 305 will be described.
FIG. 8 is a configuration diagram of the service policy DB 305 according to the first embodiment. The service policy DB 305 is a database for storing a policy such as a required level for each service, and includes a service identifier 801, a service providing apparatus identifier 802, a request level 803, an authentication method selection method 804, and an authentication failure allowable number of times 805. Is done. The service policy DB 305 is information input in advance by an administrator or the like.

サービス識別子801は、サービス提供装置識別子802で示されるサービス提供装置において提供されるサービスを一意に表す識別子である。サービス提供装置識別子802は、当該サービスを提供するサービス提供装置を一意に表す識別子である。一台のサービス提供装置において複数のサービスを提供する場合が考えられるため、サービス提供装置識別子802はサービスポリシDB305全体において複数回出現してもよい。また、サービス識別子801のみでシングルサインオンシステム100全体におけるサービスを一意に表す情報となっている必要はなく、サービス識別子801とサービス提供装置識別子802との組で一意になっていればよい。本実施形態においてはサービス識別子801を「Service A」、サービス提供装置識別子を「ServiceDevice A」といった形態で表現しているが、このような形態に限定するものではなく、両者を統合し、サービスを利用するためのアクセス先を一意に表すURL(Uniform Resource Locator)などの情報を格納する構成としてもよい。要求レベル803は、当該サービスが求める認証のレベルである。認証方式の選択方法804は、要求レベル803を満たす認証方式が複数存在する場合にどの認証方式を用いるかを決定するための方法についての情報である。本実施形態においては、認証中継装置がユーザの利便性が最も高くなるものを選択する「認証中継装置が選択」と、選択肢をユーザに提示しユーザ自身がどの認証方式を用いるかを選択する「ユーザが選択」の2通りを格納できるものとしている。認証失敗許容回数805は、許容する認証の失敗回数である。失敗を許容しない場合には、認証失敗許容回数805は0となる。   The service identifier 801 is an identifier that uniquely represents a service provided in the service providing apparatus indicated by the service providing apparatus identifier 802. The service providing device identifier 802 is an identifier that uniquely represents a service providing device that provides the service. Since it is conceivable that a single service providing apparatus provides a plurality of services, the service providing apparatus identifier 802 may appear multiple times in the entire service policy DB 305. Further, the service identifier 801 alone does not need to be information that uniquely represents the service in the entire single sign-on system 100, and the service identifier 801 and the service providing apparatus identifier 802 may be unique. In this embodiment, the service identifier 801 is expressed in the form of “Service A” and the service providing device identifier is expressed in the form of “Service Device A”. However, the present invention is not limited to such a form. Information such as a URL (Uniform Resource Locator) uniquely representing an access destination to be used may be stored. The request level 803 is an authentication level required by the service. The authentication method selection method 804 is information on a method for determining which authentication method to use when there are a plurality of authentication methods satisfying the request level 803. In the present embodiment, the authentication relay device selects the one that provides the highest user convenience, “the authentication relay device selects”, and presents the options to the user and selects which authentication method the user himself uses. It is assumed that two types of “user selection” can be stored. The number of allowable authentication failures 805 is the number of allowable authentication failures. If the failure is not allowed, the authentication failure allowable count 805 is zero.

図9は、第1の実施形態における認証要求受信部307と、認証方式選択部308と、認証要求部309の動作を表すフローチャートである。
まずステップS901では認証要求受信部307において、ユーザがユーザ端末を介してサービス要求を送信したサービス提供装置から認証要求を受信し、アクセス先サービスのサービス情報であるサービス識別子、ユーザ情報であるユーザ識別子、およびセッション識別子とを取得する。
次にステップS902で、認証方式選択部308が、ユーザ認証状態DB301を参照し、ユーザ識別子401が当該ユーザ識別子と等しく、かつ、認証結果405が「成功」であり、かつ、セッション識別子406が当該セッション識別子と等しい認証状態を取得する。このとき、認証有効期限(図4の404)を過ぎている認証状態があった場合には、その認証状態を取得した認証状態およびユーザ認証状態DB301から除去する。また、前述した条件を満たす認証状態がない場合は、何も取得せず、ステップS903にすすむ。 FIG. 9 is a flowchart showing operations of the authentication request receiving unit 307, the authentication method selection unit 308, and the authentication request unit 309 in the first embodiment.
First, in step S901, the authentication request receiving unit 307 receives an authentication request from a service providing apparatus from which a user has transmitted a service request via a user terminal, and receives a service identifier that is service information of an access destination service and a user identifier that is user information. , And a session identifier.
In step S902, the authentication method selection unit 308 refers to the user authentication state DB 301, the user identifier 401 is equal to the user identifier, the authentication result 405 is “success”, and the session identifier 406 is Get the authentication status equal to the session identifier. At this time, if there is an authentication state that has passed the authentication expiration date (404 in FIG. 4), the authentication state is removed from the acquired authentication state and user authentication state DB 301. If there is no authentication state that satisfies the above conditions, nothing is acquired and the process proceeds to step S903.

次にステップS903で、認証方式選択部308が、認証方式DB303を参照して認証状態の認証サービス402と認証サービス識別子601とが等しい認証方式を取得し、認証方式(複数の認証方式を組み合わせた場合も含む)とそれにより達成される認証レベルとを対応付けて記憶した認証方式組み合わせDB304を参照して現在の状態におけるレベルを導出する。ここで、得られるレベルが複数あった場合には、最も高いレベルを現在のレベルとする。例えば、当該ユーザがパスワードによる認証とICカードによる認証の両方を行っていた場合には、それぞれレベル1とレベル2が得られるが、現在のレベルとしては両者のうち高い方を選択し、レベル2であるとする。
続いてステップS904で、認証方式選択部308が、サービスごとのポリシ情報を記憶しているサービスポリシDB305を参照し、アクセス先サービスのサービス識別子に対応する要求レベルを取得する。
ステップS905で現在のレベルがサービスの要求レベルを満たしているかどうかを判定し、満たしている場合にはステップS906で既に認証済みである旨の認証結果を生成し、認証要求受信部307はステップS907で認証結果をサービス提供装置102へと送信する。ステップS905で現在のレベルがサービスの要求レベルを満たしていない場合には、ステップS908で認証方式選択部308と認証要求部309が、認証処理を実施するように認証サービス提供装置103に認証要求を送信し、認証サービス提供装置103が認証を実行し、認証結果が認証中継装置に送信され、認証要求受信部307は得られた認証結果をステップS907でサービス提供装置102に送信する。 In step S903, the authentication method selection unit 308 refers to the authentication method DB 303 to acquire an authentication method in which the authentication service 402 in the authentication state and the authentication service identifier 601 are equal, and the authentication method (a combination of a plurality of authentication methods). The level in the current state is derived with reference to the authentication method combination DB 304 in which the authentication method combination DB 304 stored in association with the authentication level achieved thereby is included. Here, when there are a plurality of obtained levels, the highest level is set as the current level. For example, if the user has performed both password authentication and IC card authentication, level 1 and level 2 can be obtained, respectively. As the current level, the higher one is selected and level 2 is selected. Suppose that
Subsequently, in step S904, the authentication method selection unit 308 refers to the service policy DB 305 storing policy information for each service, and acquires a request level corresponding to the service identifier of the access destination service.
In step S905, it is determined whether or not the current level satisfies the service request level. If the current level satisfies the service level, an authentication result indicating that authentication has already been performed is generated in step S906, and the authentication request receiving unit 307 performs step S907. Then, the authentication result is transmitted to the service providing apparatus 102. If the current level does not satisfy the service request level in step S905, the authentication method selection unit 308 and the authentication request unit 309 send an authentication request to the authentication service providing apparatus 103 so as to perform authentication processing in step S908. The authentication service providing apparatus 103 performs authentication, the authentication result is transmitted to the authentication relay apparatus, and the authentication request receiving unit 307 transmits the obtained authentication result to the service providing apparatus 102 in step S907.

図10は、図9のステップS908で実施される、認証処理の流れを表すフローチャートである。なお、以降の処理は図9で示される認証方式選択部308と認証要求部309の動作の一部であり、図9中のステップで取得したユーザ認証状態情報、認証方式情報、認証方式組み合わせ情報、サービスポリシ情報は保持されているものとする。   FIG. 10 is a flowchart showing the flow of authentication processing performed in step S908 of FIG. The subsequent processing is a part of the operations of the authentication method selection unit 308 and the authentication request unit 309 shown in FIG. 9, and the user authentication status information, authentication method information, and authentication method combination information acquired in the steps in FIG. Assume that service policy information is retained.

認証処理では、まずステップS1001で、認証方式選択部308が、ユーザの使用するブラウザがアクセス要求時に送信してくる情報からユーザの使用端末の端末識別子502を取得する。ブラウザの送信情報からユーザ端末の端末識別子を取得する方法についてはエージェント情報(User−Agentヘッダ)を利用する、などの方式がある。また、ブラウザの送信情報から端末識別子を取得する以外にも、ユーザ端末DBに登録されている端末一覧から一つを選択するインタフェースを用意してユーザに選択させる、などといった方式を取ってもよい。
次にステップS1002で、認証方式選択部308がユーザ端末DB302を参照し、ステップS1001で取得した端末識別子502から当該端末で利用可能な認証方式503を取得する。
次にステップS1003で、認証方式選択部308が認証方式組み合わせDB304に格納されている情報の中で、S904で取得したサービスの要求レベル803を満たす認証方式の組み合わせ群を取得する。このとき、ユーザ認証状態情報から得られる認証済みの認証方式603があれば、それを除去する。例として要求レベルが3の場合を考える。図7で示された認証方式組み合わせDB304の中でレベル3を達成するものは、「パスワードと乱数表」「乱数表とICカード」「パスワードと乱数表とICカード」でそれぞれレベル3、3、4を達成する。これらが要求レベルを満たす認証方式の組み合わせ群となる。ユーザが既に乱数表を用いた認証を済ませているとすると、前記組み合わせ群から乱数表を除去し、「パスワード」でレベル3を達成、「ICカード」でレベル3を達成、「パスワードとICカード」でレベル4を達成、という認証方式の組み合わせ群が得られる。
ステップS1004では、認証方式選択部308がステップS1003で得られた組み合わせ群から、ステップS1002で取得した利用可能な認証方式503のみで構成されたものを抽出する。すなわち認証方式選択部308は、ユーザ情報に基づいた認証方式と、サービス情報に基づいた要求レベルとに基づいて、ユーザがサービスの利用に必要な認証方式を選択する。前記の例でいうと、ユーザ端末でパスワード認証(および既に認証済みの乱数表による認証)のみが可能である場合、得られた組み合わせ群からパスワード認証のみで構成されるものを抽出し、「パスワード」でレベル3が達成される、という認証方式の組み合わせ群を取得する。また、ステップS1004において、ステップS1003で得られた組み合わせ群から、ステップS1002で取得した利用可能な認証方式のみで構成された群が存在しなかった場合、図11のS1104のステップの処理にとぶものとしてもよい。
次にステップS1005では、認証方式選択部308と認証要求部309が得られた認証方式の組み合わせ群のうち、実際にどの組み合わせを用いて認証を行うかを選択し認証を行う、認証選択処理を実施する。S1005は、図11で詳細に説明する。
ステップS1006において、認証方式選択部308はステップS1005での処理の結果返された認証結果が成功であるかどうかを判定し、成功の場合にはステップS1007で認証が成功した旨の認証結果を生成し、失敗の場合にはステップS1008で認証が失敗した旨の認証結果を生成する。生成された認証結果は図9のステップS908の結果として、図9のステップS907に渡される。 In the authentication process, first, in step S1001, the authentication method selection unit 308 acquires the terminal identifier 502 of the user's terminal from the information transmitted by the browser used by the user at the time of the access request. As a method for acquiring the terminal identifier of the user terminal from the transmission information of the browser, there is a method of using agent information (User-Agent header). In addition to acquiring the terminal identifier from the transmission information of the browser, a method of preparing an interface for selecting one from the terminal list registered in the user terminal DB and allowing the user to select it may be used. .
In step S1002, the authentication method selection unit 308 refers to the user terminal DB 302, and acquires the authentication method 503 that can be used in the terminal from the terminal identifier 502 acquired in step S1001.
In step S1003, the authentication method selection unit 308 acquires a combination group of authentication methods satisfying the service request level 803 acquired in step S904 from the information stored in the authentication method combination DB 304. At this time, if there is an authenticated authentication method 603 obtained from the user authentication state information, it is removed. As an example, consider a case where the request level is 3. The authentication method combination DB 304 shown in FIG. 7 that achieves level 3 is “password and random number table”, “random number table and IC card”, and “password and random number table and IC card”. Achieve 4. These are a combination group of authentication methods that satisfy the required level. If the user has already authenticated using the random number table, the random number table is removed from the combination group, level 3 is achieved with “password”, level 3 is achieved with “IC card”, “password and IC card” ”Achieves level 4 and a combination group of authentication methods is obtained.
In step S1004, the authentication method selection unit 308 extracts from the combination group obtained in step S1003, the authentication method selection unit 308 that includes only the available authentication methods 503 acquired in step S1002. That is, the authentication method selection unit 308 selects an authentication method necessary for the user to use the service based on the authentication method based on the user information and the request level based on the service information. In the above example, if only password authentication (and authentication using an already authenticated random number table) is possible at the user terminal, a combination consisting only of password authentication is extracted from the obtained combination group, and “password” ”To obtain a combination group of authentication methods that level 3 is achieved. Also, in step S1004, when there is no group composed only of the available authentication methods acquired in step S1002 from the combination group obtained in step S1003, the process skips the process of step S1104 in FIG. It is good.
In step S1005, an authentication selection process is performed in which the authentication method selection unit 308 and the authentication request unit 309 select which combination is actually used from the authentication method combination group obtained by the authentication method and perform authentication. carry out. Step S1005 will be described in detail with reference to FIG.
In step S1006, the authentication method selection unit 308 determines whether or not the authentication result returned as a result of the processing in step S1005 is successful. If it fails, an authentication result indicating that the authentication has failed is generated in step S1008. The generated authentication result is passed to step S907 in FIG. 9 as a result of step S908 in FIG.

図11は、図10のステップS1005で実施される、認証選択処理の流れを表すフローチャートである。
ステップS1101において、認証方式選択部308は、S904で取得したサービスポリシ中の「認証方式の選択方法」(図8の804)が「認証中継装置が選択」であるかどうかを判定する。そうであった場合にはステップS1102で認証方式の組み合わせ群を達成されるレベルの低い順および必要な認証回数の少ない順でソートする。ステップS1103でソート後の組み合わせ群から、最も達成されるレベルが低く、必要な認証回数の少ないものを取得する。その後ステップ1106でその方式を用いる認証サービスに対して認証要求を行うため、認証方式の組み合わせをパラメータとして認証要求部309を呼び出す。ステップ1106については、図12で詳細に説明する。 FIG. 11 is a flowchart showing the flow of authentication selection processing performed in step S1005 of FIG.
In step S1101, the authentication method selection unit 308 determines whether the “authentication method selection method” (804 in FIG. 8) in the service policy acquired in S904 is “select authentication relay device”. If this is the case, in step S1102, the authentication method combination groups are sorted in order from the lowest level to which the authentication methods are combined and from the lowest number of required authentications. In step S1103, a combination that has the lowest achieved level and requires a small number of authentications is acquired from the combination group after sorting. Thereafter, in step 1106, in order to make an authentication request for the authentication service using the method, the authentication request unit 309 is called with the combination of authentication methods as a parameter. Step 1106 will be described in detail with reference to FIG.

本実施例においては、ユーザの利便性を最大にするために、認証方式の組み合わせ群の中から認証を行う組み合わせを選択する際に、達成されるレベルの低い順および必要な認証回数の少ない順でソートしてから選択しているが、選択方法をこれに限定するものではない。例えば、認証方式組み合わせDB304に登録されている順もしくはその逆順にソートしてから選択する方式でもよいし、この後に要求レベルの高いサービスにアクセスしても認証を要求されないように達成されるレベルの高い順にソートしてから選択する方法でもよい。また、完全にランダムに認証方式の組み合わせ群から一つを選択する方式であってもよい。   In the present embodiment, in order to maximize the convenience for the user, when selecting a combination for authentication from a group of authentication schemes, the order in which the level is achieved and the order in which the required number of authentications is small is selected. However, the selection method is not limited to this. For example, it may be a method of selecting after sorting in the order registered in the authentication method combination DB 304 or in the reverse order, or a level achieved so that authentication is not required even if a service with a higher request level is accessed thereafter. It is also possible to select after sorting in descending order. Also, a method of selecting one from a combination group of authentication methods completely randomly may be used.

ステップS1101にて認証方式選択部308は、サービスポリシ305の「認証方式の選択方法804」が「認証中継装置が選択」でなかった場合(すなわち「ユーザが選択」であった場合)には、ステップS1104でインタフェースを用意してユーザに対して認証方式の組み合わせ群を提示し、一つを選択させる。ステップS1105でユーザが選択した認証方式の組み合わせを取得し、ステップS1106でその方式を用いる認証サービスに対して認証要求を行うため、認証方式の組み合わせをパラメータとして認証要求部309を呼び出す。つまり、認証要求部309は、認証サービス提供装置に認証要求を送信する。   In step S1101, the authentication method selection unit 308 determines that the “authentication method selection method 804” of the service policy 305 is not “selection of authentication relay device” (that is, “user selects”). In step S1104, an interface is prepared to present a combination group of authentication methods to the user, and one is selected. In step S1105, a combination of authentication methods selected by the user is acquired. In step S1106, the authentication request unit 309 is called using the combination of authentication methods as a parameter in order to issue an authentication request to an authentication service using the method. That is, the authentication request unit 309 transmits an authentication request to the authentication service providing apparatus.

ここで、ユーザによる選択は、要求レベルを満たす認証方式の組み合わせ群を提示して一つをユーザが選択する方式でもよいし、それらを構成する認証方式の一覧を提示してユーザが選択する方式でもよい。認証方式の一覧を提示する場合には、認証後、図9のステップS902に戻り、現在のレベルを導出して必要なレベルを満たしたか判定し、必要なレベルを満たしたと判断されるまで、認証方式の一覧を提示する、という流れになる。提示の際の付加情報として、認証方式に付随して、当該認証方式による認証が成功した場合に当該サービスへのアクセスが可能になるか否かという情報や、否であった場合にはさらに必要な認証方式のリストを提示するなどの方式を取ってもよい。   Here, the selection by the user may be a method in which a combination group of authentication methods satisfying the required level is presented and the user selects one, or a method in which the user selects a method by presenting a list of authentication methods constituting them. But you can. In the case of presenting a list of authentication methods, after authentication, the process returns to step S902 in FIG. 9 to determine whether the current level is derived and the required level is satisfied, and authentication is performed until it is determined that the required level is satisfied. The flow is to present a list of methods. Additional information at the time of presentation is attached to the authentication method, and information on whether or not access to the service becomes possible when authentication by the authentication method is successful, and if it is not, it is further necessary For example, a list of various authentication methods may be presented.

ステップS1107で認証方式選択部308は、認証要求部から認証の結果を受け取り、S1108で認証方式の組み合わせ内の全ての認証方式で認証が成功したかどうかを判定する。全て認証成功していた場合にはステップS1109で認証結果として認証成功であることを判定する。全て成功ではなかった場合には、ステップS1110で認証失敗回数をインクリメントする。初回の失敗であった場合には認証失敗回数を1とする。次にステップS1111で認証失敗回数がサービスポリシ中の「認証失敗許容回数」(図8の806)を超えたかどうか判定する。超えていた場合にはステップS1112で認証結果として認証失敗であると判定する。まだ超えていない場合にはステップS1113に進み、先ほど使用した認証方式の組み合わせを認証方式の組み合わせ群から除去する。ステップS1114で認証方式の組み合わせ群に残りがあるかどうか判定する。残りがある場合には別の方式で認証するためにステップS1101へ戻る。残りがない場合にはステップS1112で認証失敗であると判定する。   In step S1107, the authentication method selection unit 308 receives the authentication result from the authentication request unit, and determines in step S1108 whether authentication has succeeded in all authentication methods in the combination of authentication methods. If all the authentications are successful, it is determined in step S1109 that the authentication is successful. If all are not successful, the number of authentication failures is incremented in step S1110. If it is the first failure, the number of authentication failures is set to 1. Next, in step S1111, it is determined whether or not the number of authentication failures exceeds the “number of allowable authentication failures” (806 in FIG. 8) in the service policy. If exceeded, it is determined in step S1112 that the authentication result is an authentication failure. If not exceeded, the process advances to step S1113 to remove the authentication method combination used earlier from the authentication method combination group. In step S1114, it is determined whether there is any remaining authentication method combination group. If there is a remainder, the process returns to step S1101 to authenticate by another method. If there is no remaining information, it is determined in step S1112 that the authentication has failed.

ステップS1113では、認証方式の組み合わせを構成する認証方式全ての認証結果を取得してから認証方式の組み合わせ群からの除去を行っているが、別の方式として、認証方式の組み合わせを構成する認証方式による認証結果を一つ一つ取得し、その度に認証に失敗した認証方式を含む認証方式の組み合わせを除去していく、という方式を取ってもよい。例えば、認証方式の組み合わせ群として「パスワード、ICカード、指紋認証」「パスワード、ICカード、乱数表」「パスワード、ワンタイムパスワード」がこの順番であったとする。この中から「パスワード、ICカード、指紋認証」の組み合わせをまず試行し、パスワード認証で認証成功、ICカード認証で認証失敗、指紋認証で認証成功、結果としてこの認証方式の組み合わせでは認証失敗であったとする。前述のステップS1113における方式では、残る認証方式の組み合わせ群は「パスワード、ICカード、乱数表」「パスワード、ワンタイムパスワード」となり、次に「パスワード、ICカード、乱数表」の組み合わせが選択され認証が試行される。本段落で別の方式の例としてあげた方式の場合、まずパスワード認証の結果「認証成功」を取得し、次にICカード認証の結果「認証失敗」を取得する。この時点で、保持している認証方式の組み合わせ群の中からICカード認証を含むものを除去し、残りは「パスワード、ワンタイムパスワード」の組み合わせのみとなり、この組み合わせが施行される。   In step S1113, all authentication results constituting the authentication method combination are acquired and then removed from the authentication method combination group. However, as another method, the authentication method constituting the authentication method combination is used. It is also possible to take a method in which authentication results are acquired one by one and combinations of authentication methods including authentication methods that fail authentication each time are removed. For example, it is assumed that “password, IC card, fingerprint authentication”, “password, IC card, random number table”, “password, one-time password” are in this order as a combination group of authentication methods. Of these, the combination of “password, IC card, fingerprint authentication” is tried first, then the authentication succeeds with password authentication, the authentication fails with IC card authentication, the authentication succeeds with fingerprint authentication, and as a result, the authentication combination fails with this authentication method combination. Suppose. In the method in step S1113 described above, the remaining authentication method combination groups are “password, IC card, random number table” and “password, one-time password”, and then the combination of “password, IC card, random number table” is selected and authenticated. Is tried. In the case of the method given as an example of another method in this paragraph, first, “authentication success” is acquired as a result of password authentication, and then “authentication failure” is acquired as a result of IC card authentication. At this point, the ones that include IC card authentication are removed from the combination groups of authentication methods that are held, and the rest are only combinations of “password, one-time password”, and this combination is enforced.

本実施例においては、認証方式の選択方法をサービスのポリシとして定めている(図8中、サービスポリシDB305の認証方式の選択方法804)が、これは認証方式の選択方法をサービスのポリシとして定めることに限定するものではなく、別の方式を取ってもよい。一例として、毎回認証中継装置がユーザに対し、認証中継装置が選択するかユーザが選択するかを決定させる方式でもよい。また別の一例として、認証試行の初回は認証中継装置が選択し、一度失敗してからはユーザに選択させる、という方式でもよい。
また、本実施例においては、一度認証失敗した認証方式を用いないような選択がなされるが、これに限定するものではなく、認証失敗した認証方式を再度用いる方式を取ってもよい。 In the present embodiment, the authentication method selection method is defined as a service policy (in FIG. 8, the authentication method selection method 804 of the service policy DB 305). This method defines the authentication method selection method as a service policy. The present invention is not limited to this, and another method may be taken. As an example, a method may be used in which the authentication relay apparatus determines whether the authentication relay apparatus selects or the user selects each time. As another example, a method may be used in which the authentication relay apparatus selects the first authentication trial and allows the user to select it after having failed once.
Further, in this embodiment, the selection is made such that the authentication method that has once failed in authentication is not used, but the present invention is not limited to this, and a method that uses the authentication method that has failed in authentication again may be used.

図12は、第1の実施形態における認証要求部309の動作を表すフローチャートである。ステップS1201で認証方式選択部308から認証方式の組み合わせを取得する。ステップS1202で得られた組み合わせからまだ認証要求を送信していない認証方式一つを取り出し、その認証方式による認証を提供する認証サービス提供装置へと認証要求を送信する。その後、認証サービス提供装置がユーザに認証を要求し、認証の結果を中継装置に送信し、中継装置の認証要求部309はステップS1203で認証結果を受信する。ステップS1204で認証要求部は、認証が成功したかどうかを判定する。ステップS1205でユーザ認証状態DB301をアップデート(認証結果である認証成功、認証失敗の情報を格納)し、ステップS1206に進む。具体的には、「ユーザ識別子」に当該ユーザの識別子を、「認証サービス」に当該認証サービスの識別子を、「認証時刻」に現在時刻を、「認証結果有効期限」に現在時刻に認証方式DB303の「タイムアウト時間」(図6の604)を加えた結果の時刻を、「認証結果」に成功または失敗を、「セッション識別子」にセッション識別子を格納する。ステップS1206では、組み合わせ内に認証要求を送信していない認証方式があるかどうか判定し、ある場合にはステップS1202に戻る。全ての認証方式に関して認証要求を送信済みであった場合には、ステップS1207で全ての認証方式の認証結果を認証方式選択部308へと返す。   FIG. 12 is a flowchart showing the operation of the authentication request unit 309 in the first embodiment. In step S1201, a combination of authentication methods is acquired from the authentication method selection unit 308. One authentication method that has not yet transmitted an authentication request is extracted from the combination obtained in step S1202, and the authentication request is transmitted to an authentication service providing apparatus that provides authentication based on the authentication method. Thereafter, the authentication service providing apparatus requests authentication from the user, transmits the authentication result to the relay apparatus, and the authentication request unit 309 of the relay apparatus receives the authentication result in step S1203. In step S1204, the authentication request unit determines whether the authentication is successful. In step S1205, the user authentication state DB 301 is updated (information on authentication success and authentication failure as authentication results is stored), and the process advances to step S1206. Specifically, the identifier of the user in “User identifier”, the identifier of the authentication service in “Authentication service”, the current time in “Authentication time”, and the authentication method DB 303 at the current time in “Authentication result expiration” As a result of adding “timeout time” (604 in FIG. 6), success or failure is stored in “authentication result”, and session identifier is stored in “session identifier”. In step S1206, it is determined whether there is an authentication method that does not transmit an authentication request in the combination. If there is, the process returns to step S1202. If authentication requests have been transmitted for all authentication methods, authentication results for all authentication methods are returned to the authentication method selection unit 308 in step S1207.

本実施例においては、認証方式の組み合わせを構成する認証方式全てにおいて認証を試行し、その結果を返すことにしているが、別の方式として、認証に失敗した認証方式があった場合にはそこで認証試行を打ち切り、そこまでの認証結果を返す、という方式を取ってもよい。   In this embodiment, authentication is attempted in all the authentication methods constituting the combination of authentication methods, and the result is returned. However, as another method, if there is an authentication method that fails authentication, there is A method of aborting the authentication attempt and returning the authentication result up to that point may be adopted.

図14は、第1の実施形態における認証方式取得部310で提供する端末情報を入力するためのインタフェースを表した図である。1401はユーザの利用するブラウザプログラムの画面であり、当該インタフェースは登録済み端末表示部1402と端末情報および認証方法追加部1403とを備える。登録済み端末表示部1402には、既に登録されている当該ユーザの利用端末とそこで利用可能な認証方式の一覧が示されており、端末情報および認証方法追加部1403には端末識別子を入力可能なテキストボックス、利用可能な認証方式を選択するためのコンボボックス、入力された情報をデータベースに追加するための追加ボタンが具備されている。全ての端末で利用可能な認証方式(パスワードや乱数表など)を追加する場合には、端末識別子に「*」を入力する。   FIG. 14 is a diagram illustrating an interface for inputting terminal information provided by the authentication method acquisition unit 310 according to the first embodiment. Reference numeral 1401 denotes a browser program screen used by the user, and the interface includes a registered terminal display unit 1402 and terminal information and authentication method adding unit 1403. The registered terminal display unit 1402 shows a list of the user terminals already registered and the authentication methods available there, and a terminal identifier can be input to the terminal information and authentication method adding unit 1403 A text box, a combo box for selecting an available authentication method, and an add button for adding input information to the database are provided. To add an authentication method (password, random number table, etc.) that can be used by all terminals, enter “*” as the terminal identifier.

以上が認証中継装置101の構成要素ごとの説明となる。   The above is the description for each component of the authentication relay apparatus 101.

次に、認証中継装置101の動作について、実際のシーケンス例を元に説明する。図13がそのシーケンス図である。前提として、各データベースに登録されている情報は図4、図5、図6、図7、図8に示すものと同じ情報であるとする。   Next, the operation of the authentication relay apparatus 101 will be described based on an actual sequence example. FIG. 13 is a sequence diagram thereof. As a premise, it is assumed that the information registered in each database is the same information as shown in FIGS. 4, 5, 6, 7, and 8.

今、ユーザ認証状態DB301内の全ての認証有効期限以前の時刻において、ユーザ識別子が「User A」であるユーザが端末識別子「Device B」の端末を利用してサービス識別子「Service A」のサービスを利用しようとアクセスする(S1301)。サービス要求を受けたサービス「Service A」は認証中継装置101へと認証要求を送信する(S1302)。この時、サービス「Service A」はユーザ「User A」が利用するブラウザのリダイレクト機能を用いて送信する。認証要求を受けた認証中継装置101では、認証方式選択部308により適切な認証方式の選択を行う(S1303)。選択までの流れは以下のようになる。   Now, at the time before all the authentication expiration dates in the user authentication status DB 301, the user with the user identifier “User A” uses the terminal with the terminal identifier “Device B” to execute the service with the service identifier “Service A”. Access to use is made (S1301). The service “Service A” that has received the service request transmits an authentication request to the authentication relay apparatus 101 (S1302). At this time, the service “Service A” is transmitted using the browser redirection function used by the user “User A”. In the authentication relay apparatus 101 that has received the authentication request, the authentication method selection unit 308 selects an appropriate authentication method (S1303). The flow until selection is as follows.

まず、ユーザ「User A」の認証状態を取得し、認証サービス「AuthService A」で認証済みであり、まだ有効期限になっていないことを取得する。次に認証サービス「AuthService A」の認証方式がパスワード認証でありパスワード認証により達成されるレベルが1であることがわかる。次にアクセス先のサービス「Service A」の要求レベルを確認すると、要求レベルが2であるとわかり、現在のレベルでは要求レベルを達成できていないことがわかる。認証方式組み合わせDB304からレベル2以上を達成する組み合わせを取得し、認証済みの方式であるパスワード認証を除去し、利用端末「Device B」で利用可能な認証方式のみで構成された組み合わせを抽出すると、「Combination C」の組み合わせが残り、追加で指紋認証を行うことで要求レベルであるレベル2を達成できることがわかる。   First, the authentication state of the user “User A” is acquired, and it has been authenticated by the authentication service “AuthService A” and has not yet expired. Next, it can be seen that the authentication method of the authentication service “AuthService A” is password authentication, and the level achieved by password authentication is 1. Next, when the request level of the service “Service A” of the access destination is confirmed, it can be seen that the request level is 2, and the request level is not achieved at the current level. When a combination that achieves level 2 or higher is acquired from the authentication method combination DB 304, password authentication, which is an already authenticated method, is removed, and a combination composed only of authentication methods that can be used by the user terminal “Device B” is extracted. It can be seen that the combination of “Combination C” remains, and level 2 which is the required level can be achieved by additionally performing fingerprint authentication.

必要な認証方式が指紋認証であるとわかったので、指紋認証を認証方式として持つ認証サービスの「AuthService B」に認証要求を、リダイレクトを用いて送信する(S1304)。「User A」と「AuthService B」との間で認証処理を行う(S1305)。ここでの認証結果は認証成功であるとする。「AuthService B」は認証結果を認証中継装置へと、リダイレクトを用いて送信する(S1306)。認証結果を受けた認証中継装置は、認証が成功であり、これで「Service A」の要求レベルが満たされたことを確認し、「Service A」へと認証結果を、リダイレクトを用いて送信する(S1307)。「Service A」では、送信されてきた認証結果を検証し、要求しているレベルが達成されていることを確認(S1308)した後、「User A」に対してサービスの提供を行う(S1309)。   Since it has been found that the necessary authentication method is fingerprint authentication, an authentication request is transmitted to the “AuthService B” authentication service having fingerprint authentication as an authentication method using redirection (S1304). An authentication process is performed between “User A” and “AuthService B” (S1305). It is assumed that the authentication result here is a successful authentication. “AuthService B” transmits the authentication result to the authentication relay apparatus using redirection (S1306). Upon receiving the authentication result, the authentication relay apparatus confirms that the authentication is successful, and that the request level of “Service A” is satisfied, and transmits the authentication result to “Service A” using a redirect. (S1307). In “Service A”, the transmitted authentication result is verified, and after confirming that the requested level is achieved (S1308), the service is provided to “User A” (S1309). .

本実施形態はあくまで一例であり、ユーザ利便性を向上させるための変形が許容される。例えば、図9のステップS903で現在の状態におけるレベルを導出しているが、この際にユーザ認証状態DB301に格納されている認証有効期限を考慮してもよい。すなわち、有効期限の近いものがある場合には、ここで認証済みと判断してもすぐ有効期限に到達してしまい、次のサービスへのアクセス時に再度認証が必要になり、利便性が落ちてしまう可能性が考えられる。そこで、有効期限の近い、例えば残り1分しか有効期間のないような認証は無効であるものと判断し、現在のレベルを低く導出することで、再認証もしくはよりレベルの高い認証を促し、結果認証有効期限が伸びることでユーザの利便性が向上する可能性があることから、このような認証有効期限を考慮した現在のレベル導出をするようにしてもよい。   This embodiment is merely an example, and modifications for improving user convenience are allowed. For example, although the level in the current state is derived in step S903 of FIG. 9, the authentication expiration date stored in the user authentication state DB 301 may be considered at this time. In other words, if there is something near the expiry date, the expiry date will soon be reached even if it is determined that authentication has been completed here, and authentication will be required again when accessing the next service, reducing convenience. There is a possibility that it will end. Therefore, it is determined that authentication with an expiry date close to, for example, only one minute remaining is invalid, and the current level is derived low, thereby prompting re-authentication or higher-level authentication. Since the user's convenience may be improved by extending the authentication expiration date, the current level may be derived in consideration of such an authentication expiration date.

本発明で開示する認証中継装置はサービスへのログインのためのユーザ認証において用いられるため、認証時の処理について前述した。ユーザがサービスを利用する際には、ログインで始まりログアウトで終わることから、ユーザのサービスからのログアウトに係る処理を認証中継装置が行ってもよい。ログアウトの処理については図示しないが、処理の一例を以下に示す。   Since the authentication relay device disclosed in the present invention is used in user authentication for logging in to a service, the processing at the time of authentication has been described above. When a user uses a service, the authentication relay apparatus may perform processing related to logout from the user service since log-in starts and logout ends. Although the logout process is not shown, an example of the process is shown below.

ユーザがサービスに対してログアウトを主張すると、サービスはその旨を認証中継装置に送信する。サービスからユーザのログアウトを受信すると、認証中継装置はユーザ識別子、セッション識別子を取得し、ユーザ識別子およびセッション識別子の一致するユーザ状態DB301の情報を削除する。これによりユーザはどの認証サービスにおいても認証されていないことになり、ログアウトが実現される。   When the user claims logout from the service, the service sends a message to that effect to the authentication relay device. When receiving the logout of the user from the service, the authentication relay apparatus acquires the user identifier and the session identifier, and deletes the information in the user state DB 301 that matches the user identifier and the session identifier. As a result, the user is not authenticated by any authentication service, and logout is realized.

第2の実施形態における認証中継装置について説明する。第2の実施形態における認証中継装置によると、認証におけるユーザの利便性を向上させるとともに、成りすましなどの不正な活動によるリスクを減らすことができる。なお、本実施形態の説明において、実施例1にて説明した図に示されたものと同一の符号を付された構成要素、機能部、および処理ステップについては、説明を省略する。   An authentication relay apparatus according to the second embodiment will be described. According to the authentication relay apparatus in the second embodiment, it is possible to improve the convenience of the user in authentication and reduce the risk due to unauthorized activities such as impersonation. In the description of the present embodiment, descriptions of components, functional units, and processing steps that are denoted by the same reference numerals as those illustrated in the drawings described in the first embodiment are omitted.

図15は、第2の実施形態における認証中継装置の構成図である。第2の実施形態における認証中継装置は、図3で図示した第1の実施形態における認証中継装置の構成に加え、ユーザログデータベース1501が追加されている。また、認証方式選択部308の処理内容に追加が発生する。   FIG. 15 is a configuration diagram of the authentication relay device according to the second embodiment. In the authentication relay apparatus according to the second embodiment, a user log database 1501 is added to the configuration of the authentication relay apparatus according to the first embodiment illustrated in FIG. In addition, the processing content of the authentication method selection unit 308 is added.

図16は、第2の実施形態におけるユーザログデータベース1501の構成図である。ユーザログデータベース1501は、ユーザの行動の履歴を格納するデータベースであり、ユーザ識別子1601、アクセス時刻1602、利用端末1603、アクセス元1604、利用サービス1605、連続認証失敗回数1606から構成される。ユーザ識別子1601は、アクセスしたユーザを一意に識別する識別子である。アクセス時刻1602は認証中継装置にアクセスした時刻を表す。利用端末1603は、アクセスに利用された端末の識別子である。アクセス元1604は、アクセスした際にユーザがいた場所やネットワークを表す情報である。本実施形態においてはIP(Internet Protocol)アドレスを格納している。利用サービス1605は、認証中継装置にアクセスした際に利用しようとしていたサービスの識別子である。連続認証失敗回数1606は、これまでに連続して認証に失敗している場合にその回数が格納される。認証に成功した場合は連続認証失敗回数は0になる。   FIG. 16 is a configuration diagram of the user log database 1501 according to the second embodiment. The user log database 1501 is a database that stores a history of user actions, and includes a user identifier 1601, an access time 1602, a use terminal 1603, an access source 1604, a use service 1605, and a continuous authentication failure count 1606. The user identifier 1601 is an identifier that uniquely identifies the accessed user. An access time 1602 represents the time when the authentication relay apparatus is accessed. The use terminal 1603 is an identifier of a terminal used for access. The access source 1604 is information representing the location or network where the user was at the time of access. In the present embodiment, an IP (Internet Protocol) address is stored. The use service 1605 is an identifier of a service that was to be used when accessing the authentication relay apparatus. The number of consecutive authentication failures 1606 is stored when the authentication has failed continuously so far. If the authentication is successful, the number of consecutive authentication failures is zero.

図17は、第2の実施形態における認証方式選択部308の処理内容と第1の実施形態における認証方式選択部308の処理内容との差分の主要部分である。第2の実施形態における主要な処理は、第1の実施形態における図9のS904とS905の間に挿入される。ステップS904で認証方式選択部308が、サービスの要求するレベルを取得したのち、ステップS1701にてユーザログDB1501を参照し、当該ユーザの行動履歴に異常な点がないかどうか判定する。ステップS1702で異常と思われる状況であった場合には、ステップS1703で現在の状態におけるレベルを1下げる。すなわち、アクセス履歴が予め定められた条件を満たす場合に異常であると判定し、異常であると判定された場合は、認証レベルを下げる、もしくは前記サービスの要求レベルを上げるよう更新する。例えば、現在の状態におけるレベルが0(認証済みサービスなし)の状態であった場合には、アクセス先サービスの要求レベルを1上げる。異常と思われる状況ではなかった場合には第1の実施例と同様にステップS905に進み、サービスが要求するレベルを満たしているかどうかの判定を行う。   FIG. 17 is a main part of the difference between the processing content of the authentication method selection unit 308 in the second embodiment and the processing content of the authentication method selection unit 308 in the first embodiment. The main processing in the second embodiment is inserted between S904 and S905 in FIG. 9 in the first embodiment. In step S904, after the authentication method selection unit 308 acquires the level requested by the service, the user log DB 1501 is referred to in step S1701 to determine whether there is an abnormal point in the user's action history. If it is a situation that seems abnormal in step S1702, the level in the current state is lowered by 1 in step S1703. That is, when the access history satisfies a predetermined condition, it is determined to be abnormal, and when it is determined to be abnormal, the authentication level is updated or the service request level is increased. For example, when the level in the current state is 0 (no authenticated service), the request level of the access destination service is increased by 1. If the situation does not seem abnormal, the process proceeds to step S905 as in the first embodiment, and it is determined whether or not the level required by the service is satisfied.

ステップS1701における異常判定方法は、具体的には以下のようなものが例として挙げられる。これらの異常判定方法の例はそれぞれ単体で用いるだけでなく、複数を用いて、そのうち1つの方法で異常と判定された場合にステップS1701で異常だと判定する、全ての方法で異常だと判定された場合にステップS1701で異常だと判定する、異常だと判定した方法の数が一定数を超えた場合にステップS1701で異常だと判定する、など、以下に示す異常判定方法のうち複数を組み合わせた判定方法としてもよい。   Specific examples of the abnormality determination method in step S1701 include the following. These examples of abnormality determination methods are not only used individually, but using a plurality of methods, when it is determined that there is an abnormality in one of them, it is determined that there is an abnormality in step S1701, and it is determined that all methods are abnormal. If it is determined that there is an abnormality in step S1701, or if the number of methods determined to be abnormal exceeds a certain number, it is determined that there is an abnormality in step S1701, etc. A combined determination method may be used.

異常判定方法の一つは、アクセス時刻1602と連続認証失敗回数1606を参照し、短い間隔で多数の認証試行が発生し、失敗している場合に異常だと判定する、という方法がある。   One of the abnormality determination methods is a method of referring to the access time 1602 and the number of consecutive authentication failures 1606, and determining that it is abnormal when a large number of authentication attempts occur at short intervals and fails.

また別の方法として、アクセス時刻1602と利用端末1603を参照し、短い間隔で多数の端末を切り替えて使用している場合に異常だと判定する、という方法がある。   As another method, there is a method of referring to the access time 1602 and the use terminal 1603 and determining that there is an abnormality when a large number of terminals are switched and used at short intervals.

また別の方法として、アクセス時刻1602とアクセス元1603とを参照し、短い間隔で多数のアクセス元からアクセスしている場合に異常だと判定する、という方法がある。   Another method is to refer to the access time 1602 and the access source 1603 and determine that there is an abnormality when accessing from a large number of access sources at short intervals.

また別の方法として、アクセス時刻1602とアクセス元1603とを参照し、アクセス元1603から国や地域などの所在地を割り出し、通常考えられない速度で国や地域間を移動していた場合に異常だと判定する、という方法がある。   As another method, it is abnormal when referring to the access time 1602 and the access source 1603 to determine the location of the country or region from the access source 1603 and moving between countries or regions at an unimaginable speed. There is a method of judging.

また別の方法として、ユーザの職場のネットワークなど、通常アクセスに用いるネットワークを事前に定義しておき、そことは異なるネットワークからのアクセスであった場合に異常だと判定する、という方法がある。これはIPアドレス帯などのネットワークに限らず、当該ユーザが現在いる国や地方などの地理的情報をアクセス元のIPアドレスやその他の情報から判断し、通常いる国からのアクセスかどうかで異常か否かを判定する方法や、アクセス元のIPアドレスが携帯電話のネットワークのものか、専用線のものか、一般ISP(Internet Service Provider)のものか、光ファイバによるインターネットアクセスかADSL(Asymmetric Digital Subscriber Line)によるインターネットアクセスかなどといった情報から異常か否かを判定する方法であってもよい。   As another method, there is a method in which a network used for normal access, such as a user's workplace network, is defined in advance, and it is determined that there is an abnormality when the access is from a different network. This is not limited to networks such as the IP address band, but it is abnormal depending on whether access is from a normal country by judging geographical information such as the country or region where the user is currently located from the IP address of the access source or other information. Or whether the access source IP address is that of a cellular phone network, a dedicated line, a general ISP (Internet Service Provider), an optical fiber Internet access, or an ADSL (Asymmetric Digital Subscriber) It may be a method of determining whether or not there is an abnormality from information such as whether the Internet access is based on (Line).

また別の方法として、ユーザが利用している端末を確認し、携帯電話であった場合には異常だと判定する、という方法がある。ここで携帯電話である場合を異常としているのは、携帯電話のような端末の場合、ユーザによる紛失および他者による取得が比較的発生しやすく、他者が端末の本来の利用者になりすましてアクセスする可能性が高いためである。また、ユーザ端末DB302に登録されていない端末を利用している場合や、登録されているが初めて利用される端末である場合や、アクセス時刻1602を参照した結果長い間使われていなかった端末である場合などに異常だと判定する方法であってもよい。   As another method, there is a method of checking a terminal used by a user and determining that the terminal is abnormal when it is a mobile phone. Here, the case of being a mobile phone is considered to be abnormal. In the case of a terminal such as a mobile phone, loss by the user and acquisition by others are relatively likely to occur, and the other person impersonates the original user of the terminal. This is because there is a high possibility of access. Further, when a terminal that is not registered in the user terminal DB 302 is used, a terminal that is registered but is used for the first time, or a terminal that has not been used for a long time as a result of referring to the access time 1602 A method of determining that there is an abnormality in some cases may be used.

また別の方法として、ユーザが通常アクセスする時間を定義しておき、定義された時間とは異なる時刻にアクセスがあった場合に異常と判定する、という方法がある。例えば、職場の就業時間を登録しておき、その時間外のアクセスは異常だと判定する、夜10時から朝6時までの深夜時間帯のアクセスは異常だと判定する、午前中のアクセスは異常だと判定する、などの方法がある。また、時刻を用いた判定において、ユーザが現在いる地点と認証中継装置が設置されている地点との時差や、ユーザが現在いる地点とユーザが所属する会社がある土地との時差などを考慮する仕組みになっていてもよい。   As another method, there is a method of defining a normal access time for a user and determining that an abnormality occurs when there is an access at a time different from the defined time. For example, registering the working hours of the workplace, judging that access outside that hour is abnormal, judging that access in the late night hours from 10:00 to 6:00 am is abnormal, access in the morning is There is a method of judging that it is abnormal. Also, in the determination using time, the time difference between the point where the user is currently located and the point where the authentication relay device is installed, the time difference between the point where the user is currently located and the land where the user belongs is considered. It may be structured.

また、アクセス元に基づく情報を利用した異常判定において、アクセス元を、ユーザ端末に割り当てられたIPアドレスやそこから割り出せる所在地だけでなく、利用回線の識別子や、滞在している部屋、IPアドレスから求められるFQDN(Fullly Qualified Domain Name)やその一部などにより識別する仕組みになっていてもよい。   Further, in the abnormality determination using information based on the access source, the access source is determined not only from the IP address assigned to the user terminal and the location that can be determined therefrom, but also from the identifier of the used line, the staying room, and the IP address. The system may be identified by a required FQDN (Fully Qualified Domain Name), a part thereof, or the like.

本実施例においては、現在の状態におけるレベルもしくは要求レベルの変化量を1としているが、これは変化量を1に制限するものではない。ステップS1701で判定された異常の度合いによって変化量を2、3、もしくはそれ以上の値としてもよい。   In this embodiment, the amount of change in the current state level or the required level is set to 1, but this does not limit the amount of change to 1. The amount of change may be a value of 2, 3, or more depending on the degree of abnormality determined in step S1701.

また、本実施例においては、異常な状態を判定するようにしているが、異常な状態だけでなく、通常の状態、より信頼できる状態などを判定し、それに応じて現在の状態レベルやアクセス先サービスの要求レベルを変化させてもよい。例えば、あるユーザが所属する会社のネットワークから当該サービスへアクセスしており、当該会社のネットワークに設置されている端末を利用できるのは当該会社に進入する正当な権利を持った者であると事前に分かっており、また契約などにより当該会社が信頼のおけるとわかっているような場合には、当該ユーザはある程度信頼できるものとして現在の状態レベルを1上げる、という方法がある。   In this embodiment, an abnormal state is determined. However, not only an abnormal state but also a normal state and a more reliable state are determined, and the current state level and access destination are determined accordingly. The service request level may be changed. For example, if a user is accessing the service from the company network to which the user belongs and the terminal installed in the company network can be used by a person who has the right to enter the company in advance If the company knows that the company is reliable by a contract or the like, there is a method of raising the current state level by 1 assuming that the user can be trusted to some extent.

さらに、図示していないが、第2の実施形態においては、図9のステップS907にて、ユーザログデータベース1501に当該アクセスの情報を追加する。その際、認証結果が成功だった場合には連続認証失敗回数1606を0にし、認証結果が失敗だった場合にはユーザログデータベース1501に記録されている当該ユーザのログのうちアクセス時刻1602が最も新しいログの連続認証失敗回数1606に1を追加した値を追加ログの連続認証失敗回数1606に格納する値とする。   Further, although not shown, in the second embodiment, the access information is added to the user log database 1501 in step S907 of FIG. At that time, if the authentication result is successful, the consecutive authentication failure count 1606 is set to 0, and if the authentication result is unsuccessful, the access time 1602 is the highest among the logs of the user recorded in the user log database 1501. A value obtained by adding 1 to the number of consecutive authentication failures 1606 of the new log is a value stored in the number of consecutive authentication failures 1606 of the additional log.

図17で示したような処理を追加することで、何らかの異常な状況にあると判断された場合には現在のレベルが下がるもしくはサービスの要求レベルが上がり、同じサービスを利用する際にもよりレベルの高い認証が要求されることになる。このように、ユーザの成りすましやパスワードの総当たり攻撃が試行されている際に異常である旨を検知し、現在のレベルやサービスの要求レベルに反映させることで、攻撃の成功を妨げることが可能になる。   By adding the processing as shown in FIG. 17, if it is determined that there is some abnormal situation, the current level is lowered or the request level of the service is raised, and the level is increased even when the same service is used. High authentication is required. In this way, it is possible to prevent the attack from succeeding by detecting that it is abnormal when a user masquerade or password brute force attack is being attempted and reflecting it in the current level or service request level. become.

100 シングルサインオンシステム
101 認証中継装置
102 サービス提供装置
103 認証サービス提供装置
104 ユーザ端末
301 ユーザ認証状態データベース
302 ユーザ端末データベース
303 認証方式データベース
304 認証方式組み合わせデータベース
305 サービスポリシデータベース
306 サービスポリシ取得部
307 認証要求受信部
308 認証方式選択部
309 認証要求部
310 認証方式取得部
1501 ユーザログデータベース 100 Single Sign-On System 101 Authentication Relay Device 102 Service Providing Device 103 Authentication Service Providing Device 104 User Terminal 301 User Authentication Status Database 302 User Terminal Database 303 Authentication Method Database 304 Authentication Method Combination Database 305 Service Policy Database 306 Service Policy Acquisition Unit 307 Authentication Request receiving unit 308 Authentication method selection unit 309 Authentication request unit 310 Authentication method acquisition unit 1501 User log database

Claims (13)

ユーザがサービス提供装置のサービスを利用する際に必要な認証を中継する認証中継装置であって、
前記ユーザがユーザ端末を介してサービス要求を送信した前記サービス提供装置から、認証要求を受信し、ユーザ情報とサービス情報を取得する認証要求受信部と、
前記ユーザ情報と前記ユーザの端末が備える認証方式を対応付けて記憶するユーザ情報記憶部と、
前記サービス情報と前記サービスの利用に必要な認証レベルである要求レベルを記憶するサービスポリシ記憶部と、
認証方式と認証方式によって得られる認証レベルとを対応付けて記憶する認証方式組み合わせ記憶部と、
前記ユーザ情報に基いた前記認証方式と、前記サービス情報に基づいた前記要求レベルとに基づいて、前記ユーザがサービスの利用に必要な認証方式を選択する認証方式選択部と、
前記ユーザが必要な認証方式を提供する認証サービス提供装置に認証要求を送信する認証要求部とを備え、
前記認証方式選択部は、前記認証サービス提供装置に要求された前記認証が成功の場合、サービス提供装置に前記認証の結果を送信する認証中継装置。 An authentication relay device that relays authentication required when a user uses a service provided by a service providing device,
An authentication request receiving unit that receives an authentication request from the service providing apparatus from which the user has transmitted a service request via a user terminal, and acquires user information and service information;
A user information storage unit that stores the user information and an authentication method included in the user terminal in association with each other;
A service policy storage unit that stores the service information and a request level that is an authentication level necessary for using the service;
An authentication method combination storage unit that stores the authentication method and the authentication level obtained by the authentication method in association with each other;
An authentication method selection unit that selects an authentication method necessary for the user to use a service based on the authentication method based on the user information and the request level based on the service information;
An authentication request unit that transmits an authentication request to an authentication service providing apparatus that provides an authentication method required by the user;
The authentication method selection unit is an authentication relay apparatus that transmits the authentication result to a service providing apparatus when the authentication requested by the authentication service providing apparatus is successful. 請求項1に記載の認証中継装置であって、
前記認証方式選択部は、前記ユーザがサービスの利用に必要な認証方式が複数あった場合、複数の前記認証方式から前記サービス認証レベルに近く、認証回数が少ない認証方式を選択する認証中継装置。 The authentication relay device according to claim 1,
An authentication relay apparatus that selects an authentication method that is close to the service authentication level and has a small number of authentications from a plurality of authentication methods when the user has a plurality of authentication methods necessary for using the service. 請求項1に記載の認証中継装置であって、
前記認証方式選択部は、前記ユーザがサービスの利用に必要な認証方式が複数あった場合、複数の前記認証方式を前記ユーザ端末に送信し、前記ユーザの選択を受信し、
前記認証要求部は、前記ユーザが選択した前記認証方式を前記認証サービス提供装置に送信する認証中継装置。 The authentication relay device according to claim 1,
When there are a plurality of authentication methods necessary for the user to use the service, the authentication method selection unit transmits a plurality of the authentication methods to the user terminal, receives the user's selection,
The authentication request unit is an authentication relay device that transmits the authentication method selected by the user to the authentication service providing device. 請求項1から3のいずれか一つに記載の認証中継装置であって、
要求された前記認証方式の少なくとも一つが失敗であった場合、
前記認証方式選択部は、失敗の前記認証方式を除く認証方式を更に選択する認証中継装置。 The authentication relay device according to any one of claims 1 to 3,
If at least one of the requested authentication methods fails,
The authentication method selection unit is an authentication relay device that further selects an authentication method excluding the failed authentication method. 請求項1から4のいずれか一つに記載の認証中継装置であって、
要求された前記認証方式の少なくとも一つが失敗であった場合、
前記認証方式選択部は、前記失敗の回数を記憶し、前記回数が一定値を超えた場合、認証失敗を選択し、
前記認証要求部は、前記サービス提供装置に認証失敗を送信する認証中継装置。 An authentication relay device according to any one of claims 1 to 4,
If at least one of the requested authentication methods fails,
The authentication method selection unit stores the number of failures, and when the number exceeds a certain value, selects authentication failure,
The authentication request unit is an authentication relay device that transmits an authentication failure to the service providing device. 請求項1から5のいずれか一つに記載の認証中継装置であって、
更に、前記ユーザの過去のアクセス履歴を記憶するユーザログ記憶部を備え、
前記認証方式選択部は、前記アクセス履歴が予め定められた条件を満たす場合に異常であると判定し、異常であると判定された場合は、認証レベルを下げる、もしくは前記サービスの要求レベルを上げるよう更新する認証中継装置。 An authentication relay device according to any one of claims 1 to 5,
Furthermore, a user log storage unit for storing the past access history of the user is provided,
The authentication method selection unit determines that the access history is abnormal if the access history satisfies a predetermined condition. If the access history is determined to be abnormal, the authentication method selection unit decreases the authentication level or increases the service request level. Authentication relay device to be updated. ユーザがサービス提供装置のサービスを利用する際に必要な認証を中継する認証中継装置における認証中継システムであって、
前記認証中継装置は、前記ユーザがユーザ端末を介してサービス要求を送信した前記サービス提供装置から、認証要求を受信し、ユーザ情報とサービス情報を取得し、
前記ユーザ情報と前記ユーザの端末が備える認証方式を対応付けて記憶し、
前記サービス情報と前記サービスの利用に必要な認証レベルである要求レベルを記憶し、
認証方式と認証方式によって得られる認証レベルとを対応付けて記憶し、
前記ユーザ情報に基いた前記認証方式と、前記サービス情報に基づいた前記要求レベルとに基づいて、前記ユーザがサービスの利用に必要な認証方式を選択し、
前記ユーザが必要な認証方式を提供する認証サービス提供装置に認証要求を送信し、
前記認証サービス提供装置は、認証結果を前記認証中継装置に送信し、
前記認証中継装置は、前記認証結果が成功の場合、サービス提供装置に前記認証の結果を送信する認証中継システム。 An authentication relay system in an authentication relay device that relays authentication required when a user uses a service of a service providing device,
The authentication relay device receives an authentication request from the service providing device from which the user has transmitted a service request via a user terminal, acquires user information and service information,
Storing the user information and an authentication method included in the user terminal in association with each other;
Storing the service information and a request level which is an authentication level necessary for using the service;
Store the authentication method and the authentication level obtained by the authentication method in association with each other,
Based on the authentication method based on the user information and the request level based on the service information, the user selects an authentication method necessary for using the service,
Transmitting an authentication request to an authentication service providing apparatus that provides an authentication method required by the user;
The authentication service providing apparatus transmits an authentication result to the authentication relay apparatus,
The authentication relay system, wherein the authentication relay apparatus transmits the authentication result to a service providing apparatus when the authentication result is successful. 請求項7に記載の認証中継システムであって、
前記認証中継装置は、前記ユーザがサービスの利用に必要な認証方式が複数あった場合、複数の前記認証方式から前記サービス認証レベルに近く、認証回数が少ない認証方式を選択する認証中継システム。 The authentication relay system according to claim 7,
The authentication relay system, when the user has a plurality of authentication methods necessary for using the service, selects an authentication method that is close to the service authentication level and has a small number of authentications from the plurality of authentication methods. 請求項7に記載の認証中継システムであって、
前記認証中継装置は、前記ユーザがサービスの利用に必要な認証方式が複数あった場合、複数の前記認証方式を前記ユーザ端末に送信し、前記ユーザの選択を受信し、
前記ユーザが選択した前記認証方式を前記認証サービス提供装置に送信する認証中継システム。 The authentication relay system according to claim 7,
When there are a plurality of authentication methods necessary for the user to use the service, the authentication relay device transmits a plurality of the authentication methods to the user terminal, receives the user's selection,
An authentication relay system that transmits the authentication method selected by the user to the authentication service providing apparatus. 請求項7から9のいずれか一つに記載の認証中継システムであって、
要求された前記認証方式の少なくとも一つが失敗であった場合、
前記認証中継装置は、失敗の前記認証方式を除く認証方式を更に選択する認証中継システム。 The authentication relay system according to any one of claims 7 to 9,
If at least one of the requested authentication methods fails,
The authentication relay system further selects an authentication method excluding the failed authentication method. 請求項7から10のいずれか一つに記載の認証中継システムであって、
要求された前記認証方式の少なくとも一つが失敗であった場合、
前記認証中継装置は、前記失敗の回数を記憶し、前記回数が一定値を超えた場合、認証失敗を選択し、
前記サービス提供装置に認証失敗を送信する認証中継システム。 The authentication relay system according to any one of claims 7 to 10,
If at least one of the requested authentication methods fails,
The authentication relay device stores the number of failures, and when the number exceeds a certain value, selects authentication failure,
An authentication relay system that transmits an authentication failure to the service providing apparatus. 請求項7から11のいずれか一つに記載の認証中継システムであって、
前記認証中継装置は、更に、前記ユーザの過去のアクセス履歴を記憶し、
前記アクセス履歴が予め定められた条件を満たす場合に異常であると判定し、異常であると判定された場合は、認証レベルを下げる、もしくは前記サービスの要求レベルを上げるよう更新する認証中継システム。 The authentication relay system according to any one of claims 7 to 11,
The authentication relay device further stores a past access history of the user,
An authentication relay system that determines that the access history is abnormal if the access history satisfies a predetermined condition, and updates the service level to lower the authentication level or increase the service request level if it is determined to be abnormal. ユーザがサービス提供装置のサービスを利用する際に必要な認証を中継する認証中継方法であって、
前記ユーザがユーザ端末を介してサービス要求を送信した前記サービス提供装置から、認証要求を受信するステップと、
前記ユーザのユーザ情報と前記サービスのサービス情報を取得するステップと、
前記ユーザ情報と前記ユーザの端末が備える認証方式を対応付けて記憶するステップと、
前記サービス情報と前記サービスの利用に必要な認証レベルである要求レベルを記憶するステップと、
認証方式と認証方式によって得られる認証レベルとを対応付けて記憶するステップと、
前記ユーザ情報に基いた前記認証方式と、前記サービス情報に基づいた前記要求レベルとに基づいて、前記ユーザがサービスの利用に必要な認証方式を選択するステップと、
前記ユーザが必要な認証方式を提供する認証サービス提供装置に認証要求を送信するステップと、
前記認証サービス提供装置に要求された前記認証が成功の場合、サービス提供装置に前記認証の結果を送信するステップとを備える認証中継方法。 An authentication relay method for relaying authentication required when a user uses a service provided by a service providing apparatus,
Receiving an authentication request from the service providing apparatus from which the user has transmitted a service request via a user terminal;
Obtaining user information of the user and service information of the service;
Storing the user information and an authentication method included in the user terminal in association with each other;
Storing the service information and a request level which is an authentication level necessary for using the service;
Storing the authentication method and the authentication level obtained by the authentication method in association with each other;
Selecting an authentication method necessary for the user to use a service based on the authentication method based on the user information and the request level based on the service information;
Transmitting an authentication request to an authentication service providing apparatus that provides an authentication method required by the user;
An authentication relay method comprising: when the authentication requested by the authentication service providing apparatus is successful, transmitting the authentication result to the service providing apparatus.
JP2011211874A 2011-09-28 2011-09-28 Authentication repeating apparatus, authentication repeating system and authentication repeating method Pending JP2013073416A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011211874A JP2013073416A (en) 2011-09-28 2011-09-28 Authentication repeating apparatus, authentication repeating system and authentication repeating method
PCT/JP2012/064371 WO2013046807A1 (en) 2011-09-28 2012-06-04 Authentication relay device, authentication relay system and authentication relay method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011211874A JP2013073416A (en) 2011-09-28 2011-09-28 Authentication repeating apparatus, authentication repeating system and authentication repeating method

Publications (1)

Publication Number Publication Date
JP2013073416A true JP2013073416A (en) 2013-04-22

Family

ID=47994871

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011211874A Pending JP2013073416A (en) 2011-09-28 2011-09-28 Authentication repeating apparatus, authentication repeating system and authentication repeating method

Country Status (2)

Country Link
JP (1) JP2013073416A (en)
WO (1) WO2013046807A1 (en)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014215853A (en) * 2013-04-26 2014-11-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 Authentication system and authentication method
JP2014225186A (en) * 2013-05-17 2014-12-04 日本電信電話株式会社 User authentication device, method and program
JP2016045920A (en) * 2014-08-27 2016-04-04 三菱電機株式会社 Authentication system, authentication device, authentication method and program
JP2016071478A (en) * 2014-09-29 2016-05-09 株式会社三井住友銀行 Authentication system for security enhancement according to other company's authentication, authentication method, and authentication program
JP2017072979A (en) * 2015-10-07 2017-04-13 Kddi株式会社 Authentication system, authentication server, provider server, and user terminal
JPWO2015151980A1 (en) * 2014-04-02 2017-04-13 ソニー株式会社 Information processing system and computer program
KR101768942B1 (en) * 2015-11-17 2017-08-18 주식회사 넥슨코리아 System and method for secure authentication to user access
JP2017152877A (en) * 2016-02-24 2017-08-31 日本電信電話株式会社 Electronic key re-registration system, electronic key re-registration method, and program
JP2017527018A (en) * 2014-07-24 2017-09-14 アリババ グループ ホウルディング リミテッド Method and apparatus for using depleted network resources
WO2019139683A1 (en) * 2018-01-15 2019-07-18 Mastercard International Incorporated User authentication systems and methods
JP2019219993A (en) * 2018-06-21 2019-12-26 Intelligence Design株式会社 Authentication system
JP2020074142A (en) * 2016-03-31 2020-05-14 日本電気株式会社 Biometric data registration assisting system, biometric data registration assisting method and program
JP7032598B1 (en) 2021-07-12 2022-03-08 Kddi株式会社 Information processing equipment, information processing methods and programs
WO2022054913A1 (en) * 2020-09-14 2022-03-17 日本電気株式会社 Authentication device, authentication system, authentication method, etc.
WO2024195416A1 (en) * 2023-03-23 2024-09-26 Toppanホールディングス株式会社 Integrated circuit card and method for controlling integrated circuit card
JP7567535B2 (en) 2021-02-12 2024-10-16 株式会社リコー Information processing device, information processing method, and program

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112804224B (en) * 2021-01-07 2023-07-14 沈阳麟龙科技股份有限公司 Authentication and authorization method and device based on micro-service, medium and electronic equipment
CN117349811B (en) * 2023-10-18 2024-04-05 广州元沣智能科技有限公司 Information authentication system based on user identity

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002039294A1 (en) * 2000-11-10 2002-05-16 Ntt Docomo, Inc. Authentication system, authentication agent apparatus, and terminal
JP2009223502A (en) * 2008-03-14 2009-10-01 Ntt Communications Kk Authentication system, authentication method, server device, authentication device and program
JP2009246417A (en) * 2008-03-28 2009-10-22 Hitachi Ltd Authentication server, program, authentication system, and authentication method
JP2010067124A (en) * 2008-09-12 2010-03-25 Nec Corp Authentication management device, authentication management method, and program therefor
JP2010067184A (en) * 2008-09-12 2010-03-25 Toshiba Corp Individual two-step authentication method and system
JP2010128719A (en) * 2008-11-26 2010-06-10 Hitachi Ltd Authentication intermediary server, program, authentication system and selection method
JP2010198536A (en) * 2009-02-27 2010-09-09 Brother Ind Ltd User authentication device, conference system, user authentication method, and user authentication program
JP2010225078A (en) * 2009-03-25 2010-10-07 Nec Corp Authentication method, authentication system thereof, and authentication processing program thereof

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002039294A1 (en) * 2000-11-10 2002-05-16 Ntt Docomo, Inc. Authentication system, authentication agent apparatus, and terminal
JP2009223502A (en) * 2008-03-14 2009-10-01 Ntt Communications Kk Authentication system, authentication method, server device, authentication device and program
JP2009246417A (en) * 2008-03-28 2009-10-22 Hitachi Ltd Authentication server, program, authentication system, and authentication method
JP2010067124A (en) * 2008-09-12 2010-03-25 Nec Corp Authentication management device, authentication management method, and program therefor
JP2010067184A (en) * 2008-09-12 2010-03-25 Toshiba Corp Individual two-step authentication method and system
JP2010128719A (en) * 2008-11-26 2010-06-10 Hitachi Ltd Authentication intermediary server, program, authentication system and selection method
JP2010198536A (en) * 2009-02-27 2010-09-09 Brother Ind Ltd User authentication device, conference system, user authentication method, and user authentication program
JP2010225078A (en) * 2009-03-25 2010-10-07 Nec Corp Authentication method, authentication system thereof, and authentication processing program thereof

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
山田 慈朗,八木 哲志,上野 磯生,北川 毅,高杉 英利: ""認証連携機能を兼ね備えた多要素認証プラットフォームの開発"", 電子情報通信学会技術研究報告, vol. 110, no. 266, JPN6014042906, 29 October 2010 (2010-10-29), JP, pages 47 - 52, ISSN: 0002914651 *
鍛 忠司,矢戸 晃史,林 直樹,藤城 孝宏,入部 真一: ""複数アイデンティティ提供者環境における組合せ認証のためのIdPプロキシの検討"", 電子情報通信学会2011年総合大会講演論文集, vol. 情報・システム2、D−19−2, JPN6014042903, 28 February 2011 (2011-02-28), JP, pages 210, ISSN: 0002914650 *

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014215853A (en) * 2013-04-26 2014-11-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 Authentication system and authentication method
JP2014225186A (en) * 2013-05-17 2014-12-04 日本電信電話株式会社 User authentication device, method and program
JPWO2015151980A1 (en) * 2014-04-02 2017-04-13 ソニー株式会社 Information processing system and computer program
JP2017527018A (en) * 2014-07-24 2017-09-14 アリババ グループ ホウルディング リミテッド Method and apparatus for using depleted network resources
JP2016045920A (en) * 2014-08-27 2016-04-04 三菱電機株式会社 Authentication system, authentication device, authentication method and program
JP2016071478A (en) * 2014-09-29 2016-05-09 株式会社三井住友銀行 Authentication system for security enhancement according to other company's authentication, authentication method, and authentication program
JP2017072979A (en) * 2015-10-07 2017-04-13 Kddi株式会社 Authentication system, authentication server, provider server, and user terminal
KR101768942B1 (en) * 2015-11-17 2017-08-18 주식회사 넥슨코리아 System and method for secure authentication to user access
JP2017152877A (en) * 2016-02-24 2017-08-31 日本電信電話株式会社 Electronic key re-registration system, electronic key re-registration method, and program
US11663308B2 (en) 2016-03-31 2023-05-30 Nec Corporation Biological data registration support device, biological data registration support system, biological data registration support method, biological data registration support program, recording medium for strong biological data registration support program
JP2020074142A (en) * 2016-03-31 2020-05-14 日本電気株式会社 Biometric data registration assisting system, biometric data registration assisting method and program
US11030290B2 (en) 2016-03-31 2021-06-08 Nec Corporation Biological data registration support device, biological data registration support system, biological data registration support method, biological data registration support program, recording medium for strong biological data registration support program
JP2021099878A (en) * 2016-03-31 2021-07-01 日本電気株式会社 Control system, control method, and program
US12067099B2 (en) 2016-03-31 2024-08-20 Nec Corporation Biological data registration support device, biological data registration support system, biological data registration support method, biological data registration support program, recording medium for strong biological data registration support program
WO2019139683A1 (en) * 2018-01-15 2019-07-18 Mastercard International Incorporated User authentication systems and methods
US11140163B2 (en) 2018-01-15 2021-10-05 Mastercard International Incorporated User authentication systems and methods
JP2019219993A (en) * 2018-06-21 2019-12-26 Intelligence Design株式会社 Authentication system
WO2022054913A1 (en) * 2020-09-14 2022-03-17 日本電気株式会社 Authentication device, authentication system, authentication method, etc.
JP7567535B2 (en) 2021-02-12 2024-10-16 株式会社リコー Information processing device, information processing method, and program
JP2023011388A (en) * 2021-07-12 2023-01-24 Kddi株式会社 Information processing apparatus, information processing method, and program
JP7032598B1 (en) 2021-07-12 2022-03-08 Kddi株式会社 Information processing equipment, information processing methods and programs
WO2024195416A1 (en) * 2023-03-23 2024-09-26 Toppanホールディングス株式会社 Integrated circuit card and method for controlling integrated circuit card

Also Published As

Publication number Publication date
WO2013046807A1 (en) 2013-04-04

Similar Documents

Publication Publication Date Title
WO2013046807A1 (en) Authentication relay device, authentication relay system and authentication relay method
US11838324B2 (en) Secure web container for a secure online user environment
US20240106865A1 (en) Secure Web Container for a Secure Online User Environment
US10819693B2 (en) Disposable browsers and authentication techniques for a secure online user environment
US12051075B2 (en) Systems and methods for providing notifications to devices
JP4722056B2 (en) Method and apparatus for personalization and identity management
US8412675B2 (en) Context aware data presentation
US8069166B2 (en) Managing user-to-user contact with inferred presence information
CN105357242B (en) Access the method and system of WLAN, short message pushes platform, gate system
US20150180870A1 (en) Authorization Authentication Method And Apparatus
US9438683B2 (en) Router-host logging
US20080040773A1 (en) Policy isolation for network authentication and authorization
CN104253686B (en) Method, equipment and the system that account logs in
US20090205032A1 (en) Identification and access control of users in a disconnected mode environment
US20070016527A1 (en) Method and system for user-controlled, strong third-party-mediated authentication
CN101969426B (en) Distributed user authentication system and method
CN109474626A (en) A kind of method for network authorization and device based on SNS
KR101331575B1 (en) Method and system blocking for detour hacking of telephone certification
CN106357440B (en) Home gateway dial-up networking method, system and user equipment
JP2020173507A (en) Authentication mediating device and authentication mediating program
Pandey et al. Online Identity Management techniques: identification and analysis of flaws and standard methods
Tao et al. Trusted Mobile Interaction via Extended Digital Certificates
Almazyad et al. A new approach in T-FA authentication with OTP using mobile phone
Hassan Conceptual Design of Identity Management in a profile-based access control

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141007

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141208

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150526