JP2014225096A - 認証サーバ、認証システム及びプログラム - Google Patents

認証サーバ、認証システム及びプログラム Download PDF

Info

Publication number
JP2014225096A
JP2014225096A JP2013103380A JP2013103380A JP2014225096A JP 2014225096 A JP2014225096 A JP 2014225096A JP 2013103380 A JP2013103380 A JP 2013103380A JP 2013103380 A JP2013103380 A JP 2013103380A JP 2014225096 A JP2014225096 A JP 2014225096A
Authority
JP
Japan
Prior art keywords
authentication
information
terminal
image code
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013103380A
Other languages
English (en)
Other versions
JP6178112B2 (ja
Inventor
一宏 小椋
Kazuhiro Ogura
一宏 小椋
健彦 小玉
Takehiko Kodama
健彦 小玉
啓祐 府川
Keisuke Fukawa
啓祐 府川
雅好 鏡
Masayoshi Kagami
雅好 鏡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HDE Inc
Original Assignee
HDE Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HDE Inc filed Critical HDE Inc
Priority to JP2013103380A priority Critical patent/JP6178112B2/ja
Publication of JP2014225096A publication Critical patent/JP2014225096A/ja
Application granted granted Critical
Publication of JP6178112B2 publication Critical patent/JP6178112B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】クラウドコンピューティングにおけるユーザの利便性が高く、セキュリティが高い認証を行うことが可能なプログラム、認証システムを提供する。
【解決手段】認証サーバは、第1の端末から画像コード送信要求を受信すると、認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、第2の端末から認証用端末識別情報の登録要求を受信すると、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する処理を行う登録処理手段と、前記第2の端末から所与の処理要求を受信すると、所与の処理要求を許可する認証処理手段を含む。
【選択図】図12

Description

本発明は、認証サーバ、認証システム及びプログラムに関する。
従来から、ユーザIDとパスワードとに基づき、ユーザを認証する認証サーバが存在する。また、近年は、クラウドコンピューティングと呼ばれるシステムによって、インターネットを介してユーザが何処からでもアクセスできるようになり、ユーザの利便性を図れるようになってきている。
また、従来技術として、端末がサーバから回線識別情報を取得し、回線識別情報が端末側で予め記憶されている場合に決済処理を行うものが存在する(特許文献1の図1、0009段落参照)。
特開2006−261991号公報
従来は、端末から入力されたユーザIDとパスワードとをイントラネットを介して認証サーバに送信することが多く、閉域化されたネットワーク上ではセキュリティ面で安全が確保される状況下にあった。
一方、クラウドコンピューティングでは、広域化されたネットワークであるので、端末から入力されたユーザIDとパスワードとがインターネットを介して認証サーバに送信することになり、イントラネットでの認証システムに比べて、盗聴やなりすまし等のセキュリティ上の問題が生じる可能性が高い。
最近では組織内のネットワークからだけではなく、組織外の特定の端末等から組織のシステムにアクセスする需要が高まっており、かかる場合のセキュリティの確保と運用・管理の容易性の両立が問題となっている。
本発明は、上述した課題に鑑みたものであり、クラウドコンピューティングにおけるユーザの利便性が高く、セキュリティが高い認証を行うことが可能な認証サーバ、認証システム及びプログラムを提供することにある。
(1)本発明は、
第1の端末と、第2の端末と、ネットワークを介して接続される認証サーバであって、
前記第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
前記第2の端末から認証用端末識別情報の登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とと
もに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する処理を行う登録処理手段と、
前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、を含む認証サーバに関する。
また、本発明は、コンピュータにより読み取り可能であって、上記各手段としてコンピュータを機能させるプログラムに関する。
また本発明は、
第1の端末と、第2の端末と、認証サーバとを利用した認証システムであって、
前記第1の端末は、
受け付けたユーザIDとパスワードとともに前記認証サーバに画像コード送信要求を送信する画像コード送信要求手段と、
前記画像コード送信要求に対応して前記認証サーバが送信した画像コード情報を受信して、当該画像コード情報に基づき画像コードを表示部に表示する画像コード表示処理手段と、を含み、
前記第2の端末は、
前記画像コードを撮影する撮影手段と、
撮影された前記画像コード又は当該画像コードを解読して取得した認証情報の少なくとも一部を含む認証用の画像コードの情報と、自機の認証用端末識別情報と、受け付けたユーザIDとパスワードとともに、前記認証用端末識別情報の登録要求を前記認証サーバに送信する登録要求手段と、を含み、
前記認証サーバは、
前記第1の端末から前記画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
前記第2の端末から前記登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する登録処理手段と、
前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、を含む認証システムに関する。
第2の端末が送信する認証用の画像コードの情報、及び認証サーバが第3の条件を判定する際の画像コードの情報は、画像コードの画像データそのものでもよいし、画像コードに含まれる認証情報又はその一部でもよい。
認証情報を画像コードとして表示させるための画像コード情報は、画像コードの画像情報そのものでもよいし、画像コードを第1の端末に表示させるための情報(例えば認証情報と画像コード生成コマンド等)でもよい。
第2の端末とその認証用端末識別情報の登録を行ったユーザの紐づけを行わない場合には、前記認証用端末識別情報は、ユーザIDと関連付けずに認証データベースに登録してもよい。また第2の端末とその認証用端末識別情報の登録を行ったユーザの紐づけを行う場合には、前記第2の端末から受信した前記認証用端末識別情報を、ユーザIDと関連付けて認証データベースに登録してもよい。
ユーザIDとパスワードの正当性は、予め認証データベースに登録されているユーザIDとパスワードと一致するか否かで判断してもよい。
認証情報には、例えば認証用の鍵情報やユーザ特定情報や電子認証情報等を含んでも良い。またユーザID、第2の端末からアクセスを許可するドメイン名やURLのリスト、電子認証情報作成日時、失効日時を含めてもよい。
前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件は、前記第1の端末の送信元のアドレス情報が、所定のアドレス(例えば所定の組織のネットワークのアドレス)であるか否かで判断してもよい。前記第1の端末の送信元のアドレス情報とは、例えば、組織のネットワークのゲートウェイのIP(Internet Protcol)アドレスである。
第2の端末の所与の処理要求とは、例えばファイルやメールの閲覧要求等である。前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件は、前記第2の端末から受信した認証用端末識別情報が、認証データベースに登録されている認証用端末識別情報と一致するか否かで判断してもよい。
第2の端末は携帯端末でもよい。第2の端末には、専用のWebブラウザアプリケーションをインストールして、専用のWebブラウザアプリケーションがメールの閲覧制限やダウンロード制限や閲覧後の情報の削除等をおこなうようにしてもよい。また専用のWebブラウザアプリケーションが認証用端末識別情報を生成、保管、及び画像コードのデコード、認証用端末識別情報の登録要求等を行うようにしてもよい。
また登録処理手段は、前記第2の端末から前記登録要求を受信すると、前記画像コード送信要求とともに受信したユーザIDが予め記憶された登録条件(認証用端末識別情報の登録を許可するユーザIDの情報や、登録許可を受け付ける期間の情報等)と一致するか否か等の条件を満たしている場合に、登録要件を満たしていると判断してもよい。
また登録処理手段は、前記第2の端末から前記登録要求を受信すると、前記画像コード送信要求とともに受信したユーザIDについて、他の端末や他のサーバに承認要求を行い(例えば管理者端末に承認要求を出す)、承認が許可されることを条件に登録要件を満たしていると判断してもよい。
本発明によれば、端末アドレス情報が保障された第1の端末(例えば組織のネットワークに接続された端末)にアクセスできるユーザしか取得することできない画像コード情報を用いて、第2の端末の認証用端末識別情報を認証サーバに登録することができる。したがって、簡単なユーザインターフェースで、組織外のネットワークからのアクセスを許可する特定された端末の正当性を確保することができるので、クラウドコンピューティング
におけるユーザの利便性が高くセキュリティが高い認証を行うことが可能となる。
(2)また、本発明の認証サーバ、認証システム及びプログラムにおいて、
前記画像コード情報送信処理手段は、
前記画像コード送信要求に対応して第1の鍵情報を含む認証情報を生成し、認証情報に基づき前記画像コード情報を生成するとともに、前記第1の鍵情報を送信済み第1の鍵情報として記憶部に保管し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
第1の鍵とは共通鍵暗号方式で用いる共通鍵でもよい。
また前記認証サーバは、画像コード送信要求毎に異なる第1の鍵を生成してもよい。
また認証サーバは、送信した第1の鍵を画像コード送信要求を行ったユーザIDと関連付けて保管し、同じユーザIDで登録要求が行われた場合に、認証用端末識別情報を登録するようにしてもよい。
また認証サーバは、1つの画像コードに対応して登録可能な認証用端末識別情報を1つに限定してもよい。この場合、第1の鍵について最先に登録要求を行った認証用端末識別情報を登録するようにしてもよい。
また認証サーバは1つの画像コードに対応して複数の認証用端末識別情報を登録できるようにしてもよい。
このようにすると認証サーバが生成した第1の鍵情報に対応した認証情報を含む画像コードを取得したユーザのうち、第2の端末の認証用端末識別情報の登録を行うことができるユーザを制限したり、登録できる端末数を制限したりすることができる。
(3)また、本発明の認証サーバ、認証システム及びプログラムにおいて、
前記画像コード情報送信処理手段は、
前記画像コード送信要求とともに受信したユーザIDに対応したユーザ特定情報を含む認証情報を生成し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
このようにすると、第1の端末でログインを行ったユーザに対して当該ユーザ特定情報が指定された画像コードが送信され、当該ユーザが当該画像コードを用いて登録要求を行
った場合のみ第2の端末の認証用端末識別情報の登録を受け付けることができる。したがって、他人の画像コードを取得しても登録は受け付けられないので、第2の端末の登録を行うユーザを厳密に管理することができ、認証用端末識別情報の登録のセキュリティを強化することができる。
(4)また、本発明の認証サーバ、認証システム及びプログラムにおいて、
前記画像コード情報送信処理手段は、
前記認証サーバに対応付けられた第2の鍵に基づく電子認証情報を含む認証情報を生成し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
前記画像コード情報送信処理手段は、
前記認証サーバに対応付けられた第2の鍵(公開鍵暗号方式の秘密鍵)を用いて電子認証情報を作成してもよい。電子認証情報には、ユーザID、第2の端末からアクセスを許可するドメイン名やURLのリスト、電子認証情報作成日時、失効日時を含めてもよい。
第2の鍵に基づく電子認証情報を含む認証情報に基づき作成した画像コード情報が偽造された場合は、偽造されていることを検知することができるため、偽造が困難である。従って、端末アドレス情報が保障された第1の端末から画像コードを取得する以外の方法で認証情報や画像コード情報を取得することは困難であり、認証用端末識別情報の登録のセキュリティを強化することができる。
第1の実施形態のネットワーク図の一例。 第1の実施形態の機能ブロック図の一例。 図3(A)(B)(C)は、データベースに格納されるデータの説明図。 図4(A)(B)は、アクセス成功・失敗フローのフローチャート図。 図5は、OTP確認フロー、証明情報確認フローのフローチャート図。 図6(A)(B)は、証明情報付与フローのフローチャート図。 第1の実施形態の処理の流れを示すフローチャート図。 第1の実施形態の処理の流れを示すフローチャート図。 第2の実施形態のネットワーク図の一例。 第2の実施形態の機能ブロック図の一例 図10(A)(B)は、データベースに格納されるデータの説明図 データベースに格納されるデータの説明図。 第2の実施形態の認証システムの処理の流れを示すフローチャート図。 第2の実施形態の認証サーバの画像コード送信処理の流れを示すフローチャート図。 第2の実施形態の認証サーバの認証用端末識別情報の登録処理の流れを示すフローチャート図。 第2の実施形態の認証サーバの認証処理の流れを示すフローチャート図。
以下、本実施形態について説明する。なお、以下に説明する本実施形態は、特許請求の範囲に記載された本発明の内容を不当に限定するものではない。また本実施形態で説明される構成の全てが、本発明の必須構成要件であるとは限らない。
1. 第1の実施形態
1−1. ネットワーク
図1は、第1の実施形態のネットワーク図の一例である。第1の本実施形態の認証サーバ10(IDプロバイダ)は、ユーザの端末20から送信される情報(データ)に基づいて、ユーザの認証を行う。
認証サーバ10は、ネットワークを介して、複数の端末20と接続される。例えば、第1の実施形態の認証サーバ10は、インターネットを介して、会社や学校などの小規模ネットワーク30を構成する各端末20−A〜20−Eと接続されている。また、認証サーバ10は、インターネットを介して、userAの自宅41の端末20−F、userBが会社から持ち帰った端末20−B、userCの自宅43の端末20−G、userDの携帯用の端末20−H(例えば、スマートフォン)と接続可能である。なお、第1の実施形態の端末20は有線又は無線によって認証サーバ10と接続される。
また、認証サーバ10は、ユーザID、パスワード等の情報が格納された認証データベース11とネットワーク(イントラネット又はインターネット)を介して接続されている。認証サーバ10は、認証データベース11に登録されているデータを参照する処理を行う。また、認証サーバ10は、認証データベース11に対して新たなデータの登録や、データの削除、データの変更の命令を行うことができる。
また、認証サーバ10は、ネットワークを介してメールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34などの種々のサーバ(サービス提供サーバ)と接続されている。例えば、メールサーバ31は、認証サーバ10が認証を許可したユーザIDに関するメールサービスの提供を行う。また、ファイルサーバ32は、認証サーバ10が認証を許可したユーザIDに関するファイルサービスの提供を行う。また、ショッピングサーバ33は、認証サーバ10が認証を許可したユーザIDに関するショッピングサービスの提供を行う。また、写真サーバ34は、認証サーバ10が認証を許可したユーザIDに関する写真サービスの提供を行う。つまり、ユーザは、1つのユーザIDとパスワード等を覚えるだけで、認証サーバ10への認証が許可されると種々のサーバ31〜34からサービスの提供を受けることができるシングルサインオンが可能となる。なお、認証サーバ10と各種サーバ31〜34と認証の許可又は不許可等のデータを送信する場合には、SSL/TLSなどを用いてデータの暗号化を行うようにしてもよい。
1−2. 構成
図2は、第1の実施形態のネットワークシステムの機能ブロック図の一例である。なお、第1の実施形態のネットワークシステムは、図2の各部を全て含む必要はなく、その一部を省略した構成としてもよい。
まず、認証サーバ10の機能について説明する。記憶部170は、処理部100などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
また、情報記憶媒体180は、コンピュータにより読み取り可能であり、この情報記憶媒体180にはプログラムやデータなどが格納されている。即ち、情報記憶媒体180には、第1の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処
理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部100は、この情報記憶媒体180に格納されるプログラム(データ)から読み出されたデータに基づいて第1の実施形態の種々の処理を行うことができる。
例えば、情報記録媒体180は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
処理部100は、記憶部170に格納されるプログラム(データ)に基づいて第1の実施形態の種々の処理を行う。なお、第1の実施形態の処理部100が、情報記憶媒体180に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部170に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
処理部100(プロセッサ)は、記憶部170内の主記憶部をワーク領域として各種処理を行う。処理部100の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
処理部100は、通信制御部111、判断部112、グループ判定部113、認証判定部114を含む。
通信制御部111は、ネットワーク(イントラネット又はインターネット)を介して端末20とデータを送受信する処理を行う。
例えば、通信制御部111は、端末20によって送信されるユーザID、パスワードを受信する処理を行う。また、通信制御部111は、認証の許可又は不許可を端末20に送信するようにしてもよい。
また、通信制御部111は、認証データベース11や、メールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34の各種サーバとネットワーク(イントラネット又はインターネット)を介してデータを送受信する処理を行う。例えば、通信制御部111は、認証の許可又は不許可を各種サーバ31〜34に送信するようにしてもよい。
特に、第1の実施形態の通信制御部111は、端末20が第2のグループに属するユーザIDの端末20である場合には、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合に、第2のグループに属するユーザIDの端末20に、証明情報を送信する処理を行う。
判断部112は、認証のための判断を行う。特に、第1の実施形態の判断部112は、第1の判断部112A、第2の判断部112B、第3の判断部112Cを含む。
第1の判断部112Aは、端末20から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する。
第2の判断部112Bは、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する。
第3の判断部112Cは、端末20から受信した証明情報が、予め認証データベース1
1に登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する。
グループ判定部113は、ユーザIDのグループを判定する。第1の実施形態では、2以上の複数のグループ(例えば、第1、第2のグループ)のうち、ユーザIDがいずれのグループに属するかを、認証データベース11に登録されているユーザ情報を参照して判定する。
認証判定部114は、ユーザIDの認証の許可又は不許可を判定する。そして、認証判定部114は、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合に、第1のグループに属するユーザIDの認証を許可し、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合、又は、第1の判断部112Aの第1の条件及び第3の判断部112Cの第3の条件を満たす場合に、第2のグループに属するユーザIDの認証を許可する。
認証サーバ10は、認証データベース11を含む。認証データベース11には、ユーザID、パスワード、アドレス情報、証明情報などの情報が登録(格納、記憶)される。第1の実施形態では、管理者からの入力情報に基づいて、予め情報を認証データベース11に登録してもよい。また、管理者からの入力情報に基づいて、情報の更新処理、情報の削除処理を行うようにしてもよい。また、第1の実施形態では、認証サーバ10が、登録処理を行ってもよい。例えば、認証サーバ10は、端末20からの登録要求に基づいてユーザID、パスワード等を登録してもよい。また、第1の実施形態では、認証サーバ10が、更新処理を行ってもよい。例えば、認証サーバ10は、端末20からの更新要求に基づいてユーザID、パスワード等を更新してもよい。また、第1の実施形態では、認証サーバ10が削除処理を行ってもよい。例えば、認証サーバ10は、端末20からの削除要求に基づいてユーザID、パスワード等を削除してもよい。なお、第1の実施形態では認証データベース11の記憶部(記憶領域)が認証サーバ10の記憶部170(記憶領域)から物理的に分離されているが、認証サーバ10の記憶部170に、認証データベース11のデータを記憶させるようにしてもよい。
また、第1の実施形態の処理部100は、Webサーバとして機能するWeb処理部を含んでいてもよい。例えば、Web処理部は、HTTP(Hypertext Transfer Protocol)を通じて、端末20にインストールされているWebブラウザ210の要求に応じてデータを送信する処理、端末20のWebブラウザ210によって送信されるデータを受信する処理を行う。特に、第1の実施形態では、Web処理部が、ユーザ認証を行うためのログイン画面を提供し、端末20のWebブラウザ210によって送信されたユーザID、パスワード等のユーザ情報を受信する処理を行うようにしてもよい。
端末20は、コンピュータ、スマートフォン、タブレット型コンピュータ、携帯電話、ゲーム機などである。
記憶部270は、処理部200などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
また、情報記憶媒体280は、コンピュータにより読み取り可能であり、この情報記憶媒体280にはプログラムやデータなどが格納されている。即ち、情報記憶媒体280には、第1の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部200は、この情報記憶媒体280に格納されるプログラム(データ)から読み出されたデータ
に基づいて第1の実施形態の種々の処理を行うことができる。
例えば、情報記録媒体280は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
処理部200は、記憶部270に格納されるプログラム(データ)に基づいて第1の実施形態の種々の処理を行う。なお、第1の実施形態の処理部200が、情報記憶媒体280に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部270に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
処理部200(プロセッサ)は、記憶部270内の主記憶部をワーク領域として各種処理を行う。処理部200の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
処理部200は、Webブラウザ210、通信制御部211を含む。端末20は、Webブラウザ210によって、インターネットを介してURL(Uniform Resource Locator)によって指定されたWebサーバからの情報を表示させることができる。例えば、端末20は、認証サーバ10において認証が許可されると、Webサーバ機能を備えたメールサーバ31からの端末20のユーザIDのメール情報(ユーザの受信メール、送信されたメール等)を表示させることができる。また、第1の実施形態のWebブラウザ210は、ファイルのダウンロードが禁止されているWebブラウザであってもよい。
通信制御部211は、ネットワークを介して認証サーバ10、各種サーバ31〜34等とデータを送受信する処理を行う。例えば、通信制御部211は、入力部220から入力されたユーザIDとパスワードとを、認証サーバ10に送信する処理を行う。また、通信制御部211は、Webブラウザ210に予め証明情報が設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。また、通信制御部211は、認証判定の結果(許可又は不許可)を認証サーバ10から受信するようにしてもよい。また、通信制御部211は、認証サーバ10によって認証が許可された場合に、メールサーバ31から当該端末20のユーザIDに関するメール情報を受信するようにしてもよい。
入力部220は、ユーザ(操作者)からの入力情報を入力するための入力機器(コントローラ)であり、ユーザの入力情報を処理部200に出力する。第1の実施形態の入力部220は、ユーザの入力情報(入力信号)を検出する検出部を備えていてもよい。例えば、入力部220は、キーボードの入力情報を検出し、タッチパネル型ディスプレイの接触位置(タッチ位置)を検出する。
また、入力部220は、3軸の加速度を検出する加速度センサや、角速度を検出するジャイロセンサ、撮像部を備えた入力機器でもよい。また入力部220は、入力機器と一体化されている端末20(スマートフォン、携帯電話、携帯端末、携帯型ゲーム装置)なども含まれる。
表示部290は、Webブラウザの情報、画像を出力するものであり、その機能は、CRT、LCD、タッチパネル型ディスプレイ、あるいはHMD(ヘッドマウントディスプレイ)などにより実現できる。
1−3.第1の実施形態の処理の手法
1−3−1. 概要
第1の実施形態の認証サーバ10は、組織内の複数のユーザについてグループ分けを行い、各グループに応じた認証を行う手法を採用する。つまり、認証サーバ10は、端末のユーザIDのグループを判定し、ユーザIDの属するグループに基づいてユーザIDの認証の許可又は不許可を判定する手法を採用する。
例えば、認証サーバ10は、(1)端末から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する第1の判断と、(2)端末の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報(例えば、会社のネットワークのゲートウェイのIPアドレス)と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する第2の判断と、(3)端末から受信した証明情報が、予め認証データベース11に登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する第3の判断を行う。そして、認証サーバ10は、第1の条件及び第2の条件を満たす場合に、第1のグループに属するユーザID(例えば、開発部のグループのユーザID)の認証を許可し、第1の条件及び第2の条件を満たす場合、又は、第1の条件及び第3の条件を満たす場合に、第2のグループに属するユーザID(例えば、営業部のグループのユーザID)の認証を許可する。
このようにすれば、第1のグループに属するユーザIDと、第2のグループに属するユーザIDで異なった方法・フローで認証を判定するので、利便性とセキュリティを高めつつ、グループに応じた適切な認証を行うことができる。つまり、会社のネットワークのゲートウェイのIPアドレスが認証データベース11に予め登録されている場合には、第1のグループ(例えば開発グループ)に属するユーザIDについては、社内のネットワークからのアクセスに制限することによって、セキュリティを高めることができる。また、第2のグループ(例えば営業グループ)に属するユーザIDについては、社内のネットワークからのアクセスも可能であるし、社外のネットワークからのアクセスであった場合であっても、証明情報の一致を条件に認証を許可する。このように、第1の実施形態では、第2のグループのユーザに対して、セキュリティを高めつつ社外のネットワークからでもアクセス可能なように利便性を高めるようにしている。
1−3−2. 認証データベース
1−3−2−1.ユーザ情報
図3(A)は、認証データベース11に登録されているユーザ情報の一例である。ユーザ情報は、ユーザID(ユーザ識別情報、ユーザ名)、パスワード、ユーザが属するグループID(グループ識別情報)を含む。また、ユーザ情報には、OTP(OTPはワンタイムパスワードの略)のseed番号(種番号)、証明情報を含んでいてもよい。OTPのseed番号、証明情報が登録されていない場合には、NULLが設定される。また、パスワード、グループID、OTPのseed番号、証明情報は、ユーザIDに対応付けられて登録される。なお、第1の実施形態の証明情報は、1ユーザあたり1つの識別された情報(アルファベットや数字からなる文字列)とし、ユーザ毎に異なる証明情報が付与される。なお、図3(A)は、組織IDが1の○○会社のユーザ情報である。第1の実施形態では、組織毎にユーザ情報を管理する。
1−3−2−2. 組織情報
図3(B)は、認証データベース11に登録されている組織情報の一例である。例えば、組織情報は、組織ID(組織識別情報)、組織名、その組織のネットワークのIPアドレス(ネットワークのゲートウェイのIPアドレス)を含む。つまり、組織IDに対応づけて、組織名、組織のネットワークのIPアドレスが登録される。
1−3−2−3.フローパターン(処理パターン)
図3(C)は、認証データベース11に登録されている各種フローパターン(処理パターン、処理類型)の一例である。例えば、図3(C)に示すように、グループIDに対応づけて、アクセス成功・失敗フロー、OTP確認フロー(ワンタイムパスワード確認フロー)、証明情報確認フロー、証明情報付与フローそれぞれのパターン(類型)が登録される。
1−3−2−3−1.アクセス成功・失敗フロー
まず、アクセス成功・失敗フローについて説明する。アクセス成功・失敗フローとは、ユーザの端末20から認証サーバ10へのアクセスの成功又は失敗を判定するための処理の流れである。
図4(A)は、アクセス成功・失敗フローのAパターンである。Aパターンについて説明すると、まず、組織のネットワークからのアクセスか否かを判断する(ステップS1)。つまり、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。例えば、認証サーバ10は、端末20から受信したパケット情報から、端末20の送信元(アクセス元)のIPアドレスを検出し、端末の送信元のIPアドレスが、認証データベースに登録されているIPアドレスと一致するか否かを判断する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図3(B)に示すように、端末20−Aの送信元のIPアドレスが認証データベース11に登録されているので、「○○会社」のネットワークからのアクセスであると判定できる。つまり、組織(○○会社)のネットワークからのアクセスであると判定される。
そして、組織のネットワークからのアクセスである場合(ステップS1のY)、成功と判定し(ステップS2)、一方、組織のネットワークからのアクセスでない場合(ステップS1のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、失敗と判定する(ステップS3)。図3(C)の例によれば、開発部、営業部、管理部のグループはパターンAのフローでアクセス成功・失敗を判定する。
図4(B)は、アクセス成功・失敗フローのBパターンの条件式である。Bパターンについて説明すると、まず、組織のネットワークからのアクセスか否かを判断する(ステップS5)。そして、組織のネットワークからのアクセスである場合(ステップS5のY)、現在時刻が所定時間帯(例えば、午前9時から午後6時まで)であるか否かを判断する(ステップS6)。現在時刻が所定時間帯である場合には(ステップS6のY)、成功と判定する(ステップS7)。一方、組織のネットワークからのアクセスでない場合(ステップS5のN)、或いは、現在時刻が所定時間帯でない場合には(ステップS6のN)、失敗と判定する(ステップS8)。図3(C)の例によれば、アルバイトのグループはパターンBのフローでアクセス成功・失敗を判定する。なお、第1の実施形態では、アクセス成功・失敗フローの他のパターンを用意しておいてもよい。例えば、端末の送信元のIPアドレスのドメイン名が特定の文字列(例えば、「jp」)を含む場合には、成功と判定し、端末の送信元のIPアドレスのドメイン名が特定の文字列を含まない場合には、失敗と判定するフローをCパターンとして用意しておいてもよい。
1−3−2−3−2.OTP確認フロー
次に、OTP確認フロー(ワンタイムパスワード確認フロー)について説明する。OTP確認フローとは、ユーザの端末に対して、OTPの確認を必要とするか否かを判定するための処理の流れである。
図5は、AパターンのOTP確認フローである。例えば、組織のネットワークからのア
クセスか否かを判断する(ステップS10)。つまり、上述したように、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。そして、組織のネットワークからのアクセスである場合(ステップS10のY)、不要と判定し(ステップS11)、組織のネットワークからのアクセスでない場合(ステップS10のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、必要と判定する(ステップS12)。図3(C)の例によれば、開発部、管理部、営業部、アルバイトはパターンAのフローでOTPの確認の要・不要を判定する。なお、第1の実施形態では、OTP確認フローの他のパターンを用意しておいてもよい。
1−3−2−3−3. 証明情報確認フロー
次に、証明情報確認フローについて説明する。証明情報確認フローとは、ユーザの端末に対して、証明情報の確認を必要とするか否かを判定するための処理の流れである。
第1の実施形態では、Aパターンの証明情報確認フローは、OTP確認フローのAパターンと同様のフローを採用している。また、図3(C)の例によれば、開発部、管理部、営業部、アルバイトはパターンAのフローで証明情報の確認の要・不要を判定する。なお、第1の実施形態では、独自の証明情報確認フローを設定してもよいし、複数種類の証明情報確認フローを設定しておいてもよい。
1−3−2−3−4. 証明情報付与フロー
次に、証明情報付与フローについて説明する。証明情報付与フローとは、ユーザの端末に対して、証明情報を付与するか否かを判定するための処理の流れである。
図6(A)は、Aパターンの証明情報付与フローである。例えば、組織のネットワークからのアクセスか否かを判断する(ステップS20)。つまり、上述したように、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。そして、組織のネットワークからのアクセスである場合(ステップS20のY)付与すると判定し(ステップS21)、組織のネットワークからのアクセスでない場合(ステップS20のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、付与しないと判定する(ステップS22)。図3(C)の例によれば、営業部はパターンAの証明情報付与フローで証明情報を付与するか否かを判定する。
図6(B)は、Bパターンの証明情報付与フローである。Bパターンは、常に付与しないと判定する(ステップS23)。つまり、組織(例えば、○○会社)内外のネットワークを問わず常に証明情報を付与しないと判定する。図3(C)の例によれば、開発部、管理部、アルバイトは、パターンBのフローで証明情報を付与しないと判定される。このように、社外のネットワークからのアクセスを禁止したいグループに対しては証明情報を付与しないようにすることで、セキュリティを更に向上させることができる。
1−3−2−4. ワンタイムパスワードの説明
第1の実施形態では、社外のネットワークからのアクセスは、詐欺、盗難などのセキュリティ上の問題があるので、社外のネットワークからアクセスする可能性のある特定のグループに属するユーザ(例えば、営業部のユーザ)の端末20に、認証サーバ10とアルゴリズムが同じOTP(ワンタイムパスワード)を生成するOTP生成プログラムをインストールし、ワンタイムパスワードを用いた認証を行っている。
例えば、端末20にインストールされたOTP生成プログラム(或いはOTP生成装置の生成プログラム)と、認証サーバ10にインストールされたOTP生成プログラムとにおいて、アルゴリズム及びseed番号(種番号)は一致しており、その結果、端末側(ユーザに付与したOTP生成装置側)で生成されたOTPと、認証サーバで生成されたOTPが一致していることになる。例えば、ワンタイムパスワード生成プログラムでは、所定周期(30秒毎)に、時刻とseed番号(種番号)とに基づいてワンタイムパスワードを生成する処理を行う。なお、第1の実施形態では、営業部などの特定のグループについて、ワンタイムパスワードの照合処理を含めて認証を行っているが、ワンタイムパスワードの照合処理を行わないように制御してもよい。
1−3−2−5. 証明情報の説明
また、第1の実施形態では、営業部などの特定のグループに属するユーザの端末20に対して証明情報を付与するようにしている。例えば、認証サーバ10は、端末20が第2のグループ(例えば、営業部のグループ)に属するユーザIDの端末20である場合には、端末20から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致する場合(第1の判断部112Aの第1の条件を満たす場合)及び端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致する場合(第2の判断部112Bの第2の条件を満たす場合)に、当該第2のグループに属するユーザIDの端末に、証明情報を送信する処理を行う。また、端末20は、Webブラウザを用いて、端末20と認証サーバ10との通信を行い、例えば、端末20は、認証サーバ10から証明情報を受信した場合には、当該証明情報をWebブラウザのクッキーとして記憶する処理を行う。「クッキー」とは、HTTPcookieであり、Webブラウザに記憶される情報のことを示す。
例えば、図1を用いて説明すると、認証データベース11に、「○○会社」のネットワーク30のゲートウェイのIPアドレス(122.200.243.240)が登録されているとする。そして、図1に示すように、例えば、営業部のユーザBが社内にいる際に、社内のネットワークに接続された端末20−Bから認証サーバ10にアクセスし、認証許可されると認証サーバ10から証明情報を受信する。つまり、端末20−BのWebブラウザに、クッキーとして証明情報が記憶される。そして、営業部のユーザBが端末20−Bを持ち帰り、例えば、自宅のネットワークに端末20−Bを接続し、端末20−BがWebブラウザを用いてインターネットを介して認証サーバ10にアクセスすると、入力されたユーザID、パスワード、及び、Webブラウザのクッキーとして設定された証明情報を認証サーバ10に送信する。そして、認証サーバ10は、端末20−Bから受信したユーザID、パスワード、証明情報を認証データベース11に登録されているユーザID、パスワード、証明情報と一致している場合に、認証を許可する。
このように、第1の実施形態では、営業部のユーザBが使用する端末20−Bが認証サーバ10に認証許可されることを契機として端末20−Bが証明情報を取得できる仕組みを提供している。つまり、第1の実施形態によれば、社内のネットワークから営業グループのユーザIDとしてWebブラウザを用いて認証サーバ10を正常にログインするだけで証明情報を取得できるので利便性を高めることができる。また、認証サーバ10では社内のネットワークからのアクセスに対して証明情報を付与することによってセキュリティを強固なものにすることができる。なお、認証サーバ10は、ユーザの端末に付与する証明情報に有効期限(例えば、証明情報を付与した日から7日間有効とする有効期限)を設定していてもよく、有効期限が切れた証明情報を受信した場合には、当該証明情報を無効として処理してもよい。このようにすれば、更にセキュリティを高めることができる。
1−3−2−6. その他
第1の実施形態では、認証サーバ10が認証データベース11に登録されているユーザ
情報、組織情報、各種フロー等を参照する。また、認証サーバ10は、端末20からの要求に応じて、ユーザ情報、組織情報、各種フローの登録処理、更新処理、削除処理を行うようにしてもよい。また、第1の実施形態では、管理者が認証データベースを管理可能であり、管理者からの入力情報に基づいて、ユーザ情報、組織情報、各種フローの参照、登録、変更、削除等を行うことができる。また、管理者からの入力情報に基づいて、フローの変更、追加、削除等も行うことができる。
1−3−3. 処理の流れ
図7(A)(B)は、第1の実施形態の認証サーバ10の処理の流れを示すフローチャートである。まず、認証サーバ10は、端末20からユーザIDとパスワードを受信する(ステップS100)。
次に、受信した端末20の送信元のIPアドレスを確認する(ステップS101)。例えば、認証サーバ10は、端末20から受信したパケット情報から、送信元のIPアドレスを検出する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図3(B)に示すように、組織ID=1である「○○会社」のネットワークからのアクセスであると判定できる。一方、端末20−Aの送信元のIPアドレスが認証データベースに登録されていない場合には、会社外(組織外)のネットワークからのアクセス(インターネット上の不特定な端末、不特定なネットワークからのアクセス)であると判定できる。
そして、端末20から受信したユーザIDとパスワードとが正しいか否かを判断する(ステップS102)。つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致するか否かを判断する。
端末20から受信したユーザIDとパスワードとが正しい場合、つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致する場合には(ステップS102のY)、ステップS103に進む。一方、端末20から受信したユーザIDとパスワードとが正しくない場合、つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致しない場合には(ステップS102のN)、認証を不許可と判定する(ステップS113)。
次に、受信したユーザIDのグループIDを判定する(ステップS103)。つまり、図3(A)に示すように、認証データベース11に登録されたユーザIDに対応するグループIDを参照してグループIDを判定する。例えば、受信したユーザIDが「userA」である場合は、「userA」のグループIDは「1」となる。
次に、グループIDに基づいてアクセスが成功か否かを判断する(ステップS104)。図3(C)に示すように、グループID毎に、アクセス成功・失敗フローのパターンが設定されているので、グループIDに対応するパターンに基づいてアクセス成功又は失敗を判断する。
例えば、図3(A)に示すように「userA」はグループIDが「1」でアクセス成功・失敗フローがAパターンである。したがって、図4(A)に示すように「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合には、アクセス成功と判定される(ステップS2、ステップS104のY)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、アクセス失敗と
判定される(ステップS3、ステップS104のN)。
また、例えば、図3(A)に示すように「userF」はグループIDが「4」でアクセス成功・失敗フローがBパターンである。したがって、図4(B)に示すように、「userF」が組織(例えば○○会社)のネットワークからのアクセスした場合であって、現在時刻が所定の時間帯内(例えば、午後2時)である場合には、アクセス成功と判定される(ステップS7、ステップS104のY)。一方、「userF」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合や、「userF」が組織(例えば○○会社)のネットワークからアクセスした場合であっても、現在時刻が所定の時間帯以外の時刻(例えば、午後11時)である場合には、アクセス失敗と判定される(ステップS8、ステップS104のN)。
そして、アクセス成功と判定された場合には(ステップS104のY)、ステップS105に進む。一方、アクセス失敗と判定された場合(ステップS104のN)は、グループID=2か否かを判断する(ステップS114)。つまり、グループが特定のグループ(例えば、第2のグループ)であるか否かを判断する。そして、グループID=2である場合には(ステップS114のY)、ステップS105に進み、グループID=2でない場合には(ステップS114のN)、認証を不許可と判定する(ステップS113)。
次に、ワンタイムパスワード(OTP)を確認するか否かを判断する(ステップS105)。図3(C)に示すように、グループID毎に、OTP確認フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいてOTPを確認するか否かを判断する。
例えば、図3(A)に示すように「userA」はグループIDが「1」でOTP確認フローがAパターンである。したがって、図5に示すように、「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合にはOTPの確認が不要と判断され(ステップS11)、ワンタイムパスワードを確認しない(ステップS105のN)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、OTPの確認が必要と判断され(ステップS12)、ワンタイムパスワードを確認する(ステップS105のY)。
そして、ワンタイムパスワードを確認する場合には(ステップS105のY)、ワンタイムパスワードを端末に要求し(ステップS106)、端末から受信したワンタイムパスワードが正しいか否かを判断する(ステップS107)。つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致するか否かを判断する。ワンタイムパスワードが正しい場合、つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致する場合、(ステップS107のY)は、ステップS108に進む。一方、ワンタイムパスワードが正しくない場合、つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致しない場合(ステップS107のN)、認証を不許可と判定する(ステップS113)。
次に、証明情報を確認するか否かを判断する(ステップS108)。図3(C)に示すように、グループID毎に、証明情報確認フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいて証明情報を確認するか否かを判断する。
例えば、図3(A)に示すように「userA」はグループIDが「1」で証明情報確認フローがAパターンである。したがって、図5に示すように、「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合には証明情報の確認が不要と
判断され(ステップS11)、証明情報を確認しない(ステップS108のN)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、証明情報の確認が必要と判断され(ステップS12)、証明情報を確認する(ステップS108のY)。
そして、証明情報を確認する場合には(ステップS108のY)、端末から受信した証明情報が正しいか否かを判断する(ステップS109)。つまり、端末20から受信した証明情報が、予め認証データベース11に登録されている当該ユーザIDに対応する証明情報と一致するか否かを判断する。例えば、ユーザIDが「userB」である端末20−Bから送信された証明情報が「rg2b9i4g7px」である場合には、認証データベース11に登録されているユーザID「userB」に対応する証明情報「rg2b9i4g7px」と一致するので証明情報が正しいと判断される。そして、証明情報が正しい場合(ステップS109のY)は、ステップS110に進む。一方、証明情報が正しくない場合(ステップS109のN)、認証を不許可と判定する(ステップS113)。
次に、証明情報を付与するか否かを判断する(ステップS110)。図3(C)に示すように、グループID毎に、証明情報付与フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいて証明情報を付与するか否かを判断する。
例えば、図3(A)に示すように「userB」はグループIDが「2」で証明情報付与フローがAパターンである。したがって、図6(A)に示すように、「userB」が組織(例えば○○会社)のネットワークからのアクセスである場合には証明情報を付与すると判定する(ステップS21、ステップS110のY)。一方、「userB」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、証明情報を付与しないと判定する(ステップS22、ステップS110のN)。
また、例えば、図3(A)に示すように「userA」はグループIDが「1」で証明情報付与フローがBパターンである。したがって、図6(B)に示すように、「userA」が○○会社の社内のネットワークからのアクセスか否かにかかわらず、証明情報を付与しないと判定する(ステップS23、ステップS110のN)。
そして、証明情報を付与する場合には(ステップS110のY)、端末20に証明情報を送信する(ステップS111)。そして、ステップS111、又は、ステップS110のNの後、認証を許可と判定する(ステップS112)。以上で処理が終了する。
1−3−4. SSLクライアント証明書を利用する例
第1の実施形態の認証サーバ10は、証明情報を要求する端末に対して、証明情報の照合に追加して(又は証明情報の照合の替わりに)、端末から送信されるSSL(Secure Socket Layer)クライアント証明書を用いた認証を行うようにしてもよい。かかる認証を行う場合には、端末20のWebブラウザに予めSSLクライアント証明書が設定される。
例えば、端末20は認証サーバ10にHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)接続を行い、認証サーバ10は端末20にSSLクライアント証明書を要求する。そして、端末20は、SSLクライアント証明書を認証サーバ10に送信する。そして、認証サーバ10は、署名されたSSLクライアント証明書を解読しクライアント(端末20)の公開鍵を取得する。端末20は、送付メッセージにダイジェストを付加し、端末20の持つ秘密鍵で暗号化する。そして、認証サーバ10は、端末20の公開鍵を使ってメッセージを解読し、解読したメッセージからメッセージ・ダイジェストを作成し、端末20が付加した
メッセージ・ダイジェストと比較する。一致が確認された場合には、信頼できる端末20から改ざんされていないメッセージを受信することになり、認証許可と判定する。
1−3−5. 特別なWebブラウザを利用する例
第1の実施形態では、端末20にファイルのダウンロードが禁止されているWebブラウザ50を設定し、Webブラウザ50に予め証明情報がクッキーとして設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。このようにすれば、ファイルのダウンロードが禁止されている特別なWebブラウザ50を使用するように促すことができる。また、ファイルのダウンロードが禁止されている特別なWebブラウザ50の利用促進を図ることによって、ファイルのダウンロードを防止することができ、更にセキュリティを高めることができる。
例えば、図1に示すように、userDの私物の端末20−H(例えば、スマートフォンやパーソナルコンピュータ)に、ファイルのダウンロードが禁止された特別なWebブラウザ50がインストールされているとする。そして、Webブラウザ50に予め証明情報を設定する(Webブラウザのクッキーとして証明情報を設定する)。なお、管理者からの入力に基づき、端末20−HのWebブラウザに証明情報を設定するようにしてもよい。
すると、userDは、社外のネットワークであっても私物の端末20−Hから、認証サーバ10への認証が許可され、メールサーバ31等のサービス提供サーバへのログインが可能となり、より利便性の高いネットワークシステムを実現できる。また、証明情報は、通常のWebブラウザに設定できずに特殊なWebブラウザ50にのみ設定できるようにすることで、私物の端末20−Hに対してもセキュリティの管理を行うことができる。
1−3−6. その他
第1の実施形態では、ユーザID・パスワード以外の多要素認証の例として、証明情報、OTPの照合、SSLクライアント証明書等を用いた認証を説明したが、他の多要素認証を行うようにしてもよい。
また、第1の実施形態では、ユーザID・パスワード判定処理の例として、認証サーバが、予め認証データベースに格納されているパスワードを用いて判定する処理を説明したが、認証データベースにパスワードを格納しないで、他のシステムにユーザID・パスワード判定処理を委任するようにしてもよい。
2.第2の実施形態
以下、第2の実施形態について説明する。なお、以下に説明する第2の実施形態は、特許請求の範囲に記載された本発明の内容を不当に限定するものではない。また第2の実施形態で説明される構成の全てが、本発明の必須構成要件であるとは限らない。
2−1. ネットワーク
図8は、第2の実施形態のネットワーク図の一例である。第2の実施形態の認証サーバ10(IDプロバイダ)は、ユーザの端末20から送信される情報(データ)に基づいて、ユーザの認証を行う。
認証サーバ10は、ネットワークを介して、複数の端末20と接続される。例えば、第2の実施形態の認証サーバ10は、インターネットを介して、会社や学校などの小規模ネットワーク30を構成する各端末20−A、20−B(第1の端末の一例)と接続されている。また、認証サーバ10は、インターネットを介して、userAの携帯用の端末20−C(第2の端末の一例、例えば、スマートフォン)、userBの携帯用の端末20
−D(第2の端末の一例、例えば、スマートフォン)と接続可能である。なお、第2の実施形態の端末20は有線又は無線によって認証サーバ10と接続される。
また、認証サーバ10は、ユーザID、パスワード等の情報が格納された認証データベース11とネットワーク(イントラネット又はインターネット)を介して接続されている。認証サーバ10は、認証データベース11に登録されているデータを参照する処理を行う。また、認証サーバ10は、認証データベース11に対して新たなデータの登録や、データの削除、データの変更の命令を行うことができる。
また、認証サーバ10は、ネットワークを介してメールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34などの種々のサーバ(サービス提供サーバ)と接続されている。例えば、メールサーバ31は、認証サーバ10が認証を許可したユーザIDに関するメールサービスの提供を行う。また、ファイルサーバ32は、認証サーバ10が認証を許可したユーザIDに関するファイルサービスの提供を行う。また、ショッピングサーバ33は、認証サーバ10が認証を許可したユーザIDに関するショッピングサービスの提供を行う。また、写真サーバ34は、認証サーバ10が認証を許可したユーザIDに関する写真サービスの提供を行う。つまり、ユーザは、1つのユーザIDとパスワード等を覚えるだけで、認証サーバ10への認証が許可されると種々のサーバ31〜34からサービスの提供を受けることができるシングルサインオンが可能となる。なお、認証サーバ10と各種サーバ31〜34と認証の許可又は不許可等のデータを送信する場合には、SSL/TLSなどを用いてデータの暗号化を行うようにしてもよい。
2−2. 構成
図9は、第2の実施形態の認証システムの機能ブロック図の一例である。なお、第2の実施形態の認証システムは、図9の各部を全て含む必要はなく、その一部を省略した構成としてもよい。
まず、認証サーバ10の機能について説明する。記憶部170は、処理部100などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
また、情報記憶媒体180は、コンピュータにより読み取り可能であり、この情報記憶媒体180にはプログラムやデータなどが格納されている。即ち、情報記憶媒体180には、第2の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部100は、この情報記憶媒体180に格納されるプログラム(データ)から読み出されたデータに基づいて第2の実施形態の種々の処理を行うことができる。
例えば、情報記録媒体180は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
処理部100は、記憶部170に格納されるプログラム(データ)に基づいて第2の実施形態の種々の処理を行う。なお、第2の実施形態の処理部100が、情報記憶媒体180に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部170に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
処理部100(プロセッサ)は、記憶部170内の主記憶部をワーク領域として各種処理を行う。処理部100の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
処理部100は、通信制御部111、画像コード情報送信処理部116、登録処理部118、認証判定部114を含む。
通信制御部111は、ネットワーク(イントラネット又はインターネット)を介して端末20とデータを送受信する処理を行う。
例えば、通信制御部111は、端末20によって送信されるユーザID、パスワードを受信する処理を行う。また、通信制御部111は、認証の許可又は不許可を端末20に送信するようにしてもよい。
また、通信制御部111は、認証データベース11や、メールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34の各種サーバとネットワーク(イントラネット又はインターネット)を介してデータを送受信する処理を行う。例えば、通信制御部111は、認証の許可又は不許可を各種サーバ31〜34に送信するようにしてもよい。
画像コード情報送信処理部116は、第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する。
また登録処理部118は、第2の端末から認証用端末識別情報の登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する処理を行う。
認証判定部114は、前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する。
また画像コード情報送信処理部116は、前記画像コード送信要求に対応して第1の鍵情報を含む認証情報を生成し、認証情報に基づき前記画像コード情報を生成するとともに、前記第1の鍵情報を送信済み第1の鍵情報として記憶部に保管してもよい。
また登録処理部118は、前記登録要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
また認証判定部114は、前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
また画像コード情報送信処理部116は、前記画像コード送信要求とともに受信したユーザIDに対応したユーザ特定情報を含む認証情報を生成してもよい。
また登録処理部118は、 前記登録要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
また認証判定部114は、前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
また画像コード情報送信処理部116は、認証サーバに対応付けられた第2の鍵に基づく電子認証情報を含む認証情報を生成してもよい。
また登録処理部118は、 前記登録要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
また認証判定部114は、前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
認証判定部114は、端末からの所与の処理要求(例えばファイルやメールの閲覧要求)の許可又は不許可を判定する。まず受信したユーザIDとパスワードとが正当であるか(例えば予め認証データベースに登録されているユーザIDとパスワードと一致するか否か)の第1の条件を判断し、正当であると判断した場合には、送信元のアドレス情報が、所定のアドレスであるか(例えば組織のネットワークのゲートウェイのIPアドレスであるか)の第3の条件、又は所与の処理要求とともに受信した認証用端末識別情報が、前記認証データベースに登録されている認証用端末識別情報と一致するか否かの第4の条件を判断し、第1の条件及び第3の条件を満たしている場合、又は第1の条件及び第4の条件を満たしている場合には、所与の処理要求を許可してもよい。
認証判定部114は、所与の処理要求(例えばファイルやメールの閲覧要求)が正統であるか否か判断する。認証処理部114は、受信したユーザIDとパスワードとが正当であるかの第1の条件、及び前記第2の端末から受信した認証用端末識別情報が、前記認証データベースに登録されている認証用端末識別情報と一致するか否かの第4の条件を判断し、第1の条件及び第4の条件を満たしている場合に、所与の処理要求(例えばファイルやメールの閲覧要求)が正統なユーザの正当な端末からのものであると判断し、所与の処理要求を許可してもよい。
認証サーバ10は、認証データベース11を含む。認証データベース11には、ユーザID、パスワード、アドレス情報、証明情報、認証用端末識別情報などの情報が登録(格納、記憶)される。第2の実施形態では、管理者からの入力情報に基づいて、予め情報を認証データベース11に登録してもよい。また、管理者からの入力情報に基づいて、情報の更新処理、情報の削除処理を行うようにしてもよい。また、第2の実施形態では、認証サーバ10が、登録処理を行ってもよい。例えば、認証サーバ10は、端末20からの登録要求に基づいてユーザID、パスワード、認証用端末識別情報等を登録してもよい。ま
た、第2の実施形態では、認証サーバ10が、更新処理を行ってもよい。例えば、認証サーバ10は、端末20からの更新要求に基づいてユーザID、パスワード等を更新してもよい。また、第2の実施形態では、認証サーバ10が削除処理を行ってもよい。例えば、認証サーバ10は、端末20からの削除要求に基づいてユーザID、パスワード等を削除してもよい。なお、第2の実施形態では認証データベース11の記憶部(記憶領域)が認証サーバ10の記憶部170(記憶領域)から物理的に分離されているが、認証サーバ10の記憶部170に、認証データベース11のデータを記憶させるようにしてもよい。
また、第2の実施形態の処理部100は、Webサーバとして機能するWeb処理部(図示せず)を含んでいてもよい。例えば、Web処理部は、HTTP(Hypertext Transfer Protocol)を通じて、端末20にインストールされているWebブラウザ210の要求に応じてデータを送信する処理、端末20のWebブラウザ210によって送信されるデータを受信する処理を行う。特に、第2の実施形態では、Web処理部が、ユーザ認証を行うためのログイン画面を提供し、端末20のWebブラウザ210によって送信されたユーザID、パスワード等のユーザ情報を受信する処理を行うようにしてもよい。
第1の端末20は、コンピュータ、スマートフォン、タブレット型コンピュータ、携帯電話、ゲーム機などである。
記憶部270は、処理部200などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
また、情報記憶媒体280は、コンピュータにより読み取り可能であり、この情報記憶媒体280にはプログラムやデータなどが格納されている。即ち、情報記憶媒体280には、第2の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部200は、この情報記憶媒体280に格納されるプログラム(データ)から読み出されたデータに基づいて第2の実施形態の種々の処理を行うことができる。
例えば、情報記録媒体280は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
処理部200は、記憶部270に格納されるプログラム(データ)に基づいて第2の実施形態の種々の処理を行う。なお、第2の実施形態の処理部200が、情報記憶媒体280に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部270に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
処理部200(プロセッサ)は、記憶部270内の主記憶部をワーク領域として各種処理を行う。処理部200の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
処理部200は、Webブラウザ210、通信制御部211を含む。端末20は、Webブラウザ210によって、インターネットを介してURL(Uniform Resource Locator)によって指定されたWebサーバからの情報を表示させることができる。例えば、端末20は、認証サーバ10において認証が許可されると、Webサーバ機能を備えたメールサーバ31からの端末20のユーザIDのメール情報(ユーザの受信メール、送信されたメール等)を表示させることができる。
通信制御部211は、ネットワークを介して認証サーバ10、各種サーバ31〜34等とデータを送受信する処理を行う。例えば、通信制御部211は、入力部220から入力されたユーザIDとパスワードとを、認証サーバ10に送信する処理を行う。また、通信制御部211は、Webブラウザ210に予め証明情報が設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。また、通信制御部211は、認証判定の結果(許可又は不許可)を認証サーバ10から受信するようにしてもよい。また、通信制御部211は、認証サーバ10によって認証が許可された場合に、メールサーバ31から当該端末20のユーザIDに関するメール情報を受信するようにしてもよい。
入力部220は、ユーザ(操作者)からの入力情報を入力するための入力機器(コントローラ)であり、ユーザの入力情報を処理部200に出力する。第2の実施形態の入力部220は、ユーザの入力情報(入力信号)を検出する検出部を備えていてもよい。例えば、入力部220は、キーボードの入力情報を検出し、タッチパネル型ディスプレイの接触位置(タッチ位置)を検出する。
また、入力部220は、3軸の加速度を検出する加速度センサや、角速度を検出するジャイロセンサ、撮像部を備えた入力機器でもよい。また入力部220は、入力機器と一体化されている端末20(スマートフォン、携帯電話、携帯端末、携帯型ゲーム装置)なども含まれる。
表示部290は、Webブラウザの情報、画像を出力するものであり、その機能は、CRT、LCD、タッチパネル型ディスプレイ、あるいはHMD(ヘッドマウントディスプレイ)などにより実現できる。
Webブラウザ210、通信制御部211は、受け付けたユーザIDとパスワードとともに前記認証サーバに画像コード送信要求を送信する画像コード送信要求手段として機能する。
Webブラウザ210、表示部290は、前記画像コード送信要求に対応して前記認証サーバが送信した画像コード情報を受信して、当該画像コード情報に基づき画像コードを表示部に表示する画像コード表示処理手段として機能する。
第2の端末20は、コンピュータ、スマートフォン、タブレット型コンピュータ、携帯電話、ゲーム機などである。第1の端末と同じ構成については同じ番号を付しており、説明を省略する。
第2の端末は撮影部250を含み、前記画像コードを撮影する撮影手段として機能する。
また第2の端末には、専用のWebブラウザアプリケーションがインストールされており、通常のWebブラウザとしての機能が制限された専用Webブラウザ210’として機能する。
専用Webブラウザ210’は、ファイルのダウンロードが禁止されているWebブラウザであってもよい。またファイル閲覧後にファイルの削除等をおこなってもよい。また閲覧中のファイルの更新、コピー等が禁止されているWebブラウザであってもよい。
専用Webブラウザ210’、通信制御部211は、撮影された画像コード又は当該画像コードを解読して取得した認証情報と、自機の認証用端末識別情報と、受け付けたユーザIDとパスワードとともに、前記認証用端末識別情報の登録要求を前記認証サーバに送
信する登録要求手段として機能する。
専用Webブラウザ210’は、第2の端末の認証用端末識別情報の生成、保管、及び画像コードのデコード、認証用端末識別情報の登録要求等を行ってもよい。
2−3. 第2の実施形態の処理
2−3−1. 処理の概要
第2の実施形態では、ユーザAがスマートフォン(第2の端末の一例)を用いて、種々のサービス提供サーバ(例えば図8の31、32、33、34)にアクセスするためのスマートフォンの認証用端末識別情報を認証サーバに登録する例について説明する。ユーザAは組織のネットワークに接続された第1の端末(例えば図8の20−A)に、ログインして、認証サーバに対し、画像コード送信要求を行う。画像コード送信要求を受信した認証サーバ10は、要求の正当性を判定し、正当であると判定した場合には、認証情報を生成し、認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する。
画像コード情報を受信した第1の端末(例えば図8の20−A)は表示部に画像コード(図8の90)を表示する。ユーザAは、第1の端末の表示部に表示された画像コード(図8の90)を、第2端末(例えば図8の20−C)で撮影して、画像コードを取得する。そして認証用の画像コードの情報と自機の認証用端末識別情報とともに認証サーバに対し認証用端末識別情報の登録要求を送信する。
登録要求を受信した認証サーバは、登録要求の正当性を判定し、正当であると判定した場合には、第2の端末の認証用端末識別情報を認証サーバに登録する。
第2の端末の認証用端末識別情報が認証サーバに登録されると、ユーザAは当該第2の端末を用いて種々のサービス提供サーバ(例えば図8の31、32、33、34)にアクセスすることができるようになる。
このように組織のネットワークに接続された端末にアクセスできるユーザしか取得することできない画像コード情報を用いて、第2の端末の認証用端末識別情報を認証サーバに登録することができる。したがって、簡単なユーザインターフェースで、組織外のネットワークからのアクセスを許可する特定された端末の正当性を確保することができる。
なお画像コード情報送信要求を行ったユーザと登録要求を行うユーザの同一性を認証用端末識別情報の登録要件とする場合には、ユーザBが、ユーザAに対して送信された画像コードを自分のスマートフォン(例えば図8の端末20−D)で撮影し、認証用端末識別情報の登録要求を送信しても、自機のスマートフォンの認証用端末識別情報の登録は許可されない。
また送信した画像コードに対して1つの認証用端末識別情報の登録を許可する場合には、ユーザAが端末20−Cで画像コードを撮影して登録要求を行い、その後にユーザAが端末20−Dで画像コードを撮影して登録要求をおこなった場合、最先の登録要求にかかる端末20−Cのみの登録を許可するようにしてもよい。
2.3.2 認証データベース
図10(A)は、認証データベース11に登録されているユーザ認証情報の一例である。ユーザ認証情報300は、ユーザID(ユーザ識別情報、ユーザ名)310、パスワード320を含む。また認証用端末識別情報330を含んでいてもよく、認証用端末識別情報330が登録されていない場合には、NULLを設定してもよい。また、パスワード3
20、認証用端末識別情報330は、ユーザID310に対応付けて登録されてもよい。
なおユーザと認証用端末識別情報330とを紐づけない場合には、認証用端末識別情報をユーザIDに紐づけずに登録してもよい。
図10(B)は、認証データベース11に登録されているアドレス認証情報の一例である。アドレス認証情報350は、組織ID(組織識別情報)360、組織名370、その組織のネットワークのIPアドレス(ネットワークのゲートウェイのIPアドレス)380を含む。つまり、組織IDに対応づけて、組織名、組織のネットワークのIPアドレスが登録されてもよい。
図11は、認証データベースに記憶されている管理情報の一例である。管理情報400は画像コード情報の送信に関連して、送信した画像コード情報に対応する登録要求の認証の際に必要な情報等を含む。
第1の鍵情報を含む画像コード情報が送信された場合には、管理情報400は、送信済み第1の鍵情報420を含んでもよい。また、画像コードの作成日時の情報430や画像コードの失効日時の情報(画像コードに対応する登録要求の受付期限の情報)440、画像コードを送信したユーザID450、画像コードに対する登録状況460等を画像コード管理番号410に関連付けて記憶させてもよい。なお画像コードの画像情報そのものを記憶してもよい。
2−3−3. 認証システムの処理
図12は、認証システムの処理の一例を示す図である。
第2の端末20−2は、例えばスマートフォン等の携帯端末でもよい。第2の端末20−2には、少なくともt9の前までに専用Webブラウザプリケーションがインストールされており、自機の認証用端末識別情報が生成されている。第2の端末20−2は、前記専用Webブラウザを用いて、認証サーバ10との通信を行う。また生成した認証用端末識別情報をWebブラウザのクッキーとして記憶する処理を行ってもよい。「クッキー」とは、HTTPcookieであり、Webブラウザに記憶される情報のことを示す。例えば、第2の端末20−2が専用Webブラウザを用いてインターネットを介して認証サーバ10にアクセスすると、入力されたユーザID、パスワード、及び、Webブラウザのクッキーとして設定された認証用端末識別情報を認証サーバ10に送信する構成でもよい。
第2の端末20−2は、認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする場合には専用Webブラウザを使用する。専用Webブラウザでは、通常のWebブラウザとしての機能は制限され、ファイルのダウンロード等が禁止されたり、ファイル閲覧後の情報の削除等が行われたり、閲覧中のファイルの更新、コピー等が禁止されている。
第1の端末20−1は、例えば所定のIPアドレスを有する端末(図8の端末20−A、20−Bのように所定の組織内のLAN等に接続された端末)である。
例えばユーザAが第1の端末20−1から画像コードの送信要求指示入力を行うと、第1の端末20−1は、ログインされたユーザIDとパスワードで認証サーバに対し、登録認証用の画像コード送信要求を送信する(t1)。
認証サーバ10は、画像コード送信要求を受信すると、送信元のアドレス情報が、組織
内のネットワークからのアクセスか否かを判定する送信元アドレス判定処理を行う(t2)。認証サーバ10は、端末20−1の送信元のアドレス情報が、認証データベース11に登録されている組織のネットワークのアドレス情報と一致するか否か(第2の条件)を判定してもよい。具体的には、端末20−1から受信したパケット情報から、端末20−1の送信元(アクセス元)のIPアドレスを検出し、送信元のIPアドレスが、認証データベースに登録されているIPアドレスと一致するか否かを判断する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図10(B)に示すように、「○○会社」のネットワークのIPアドレスとして認証データベース11に登録されているので、組織(○○会社)のネットワークからのアクセスであると判定する。
また、第1の端末20−1から受信したユーザIDとパスワードとが正しいか否か(第1の条件)を判定する(t3)。つまり、端末20−1から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致するか否かを判定する。
第1の条件及び第2の条件を満たすと判定した場合には、認証サーバは、認証情報を生成する。認証情報は、認証用の第1の鍵(例えば画像コード送信要求毎に生成される共通鍵)情報を含んでもよい。また認証情報は、ユーザID等のユーザ特定情報を含んでもよい。また認証情報は、第2の鍵(例えば認証サーバが有している公開鍵暗号方式の秘密鍵)情報に基づく電子認証情報を含んでもよい。また認証情報は、第2の端末からアクセスを許可するドメイン名やURLのリスト、認証情報作成日時、失効日時等を含んでもよい。
認証用の第1の鍵は、画像コード送信要求毎に異なるものを生成してもよい。
認証情報に基づき、画像コードを生成する(t5)。画像コードとは、QRコード(登録商標)やバーコードでもよいし、その他の2次元コードや3次元コードでもよい。
そして画像コード送信要求元の第1の端末20−1に画像コード情報を送信するとともに(t7)、送信した画像コード情報に関連付けて登録要求の照合の際に必要な情報等を管理情報400として記憶部に保管する(t6)。なお、画像コード情報は、画像コードの画像情報そのものでもよいし、画像コードを第1の端末に表示させるための情報(例えば認証情報と画像コード生成コマンド等)でもよい。また送信した第1の鍵を画像コード送信要求を行ったユーザIDと関連付けて保管し、同じユーザIDで登録要求が行われた場合に、認証用端末識別情報を登録するようにしてもよい。
画像コード情報を受信した第1の端末20−1は、表示部に画像コードを表示する(t8)。
第1の端末20−1は、所定時間経過した後に、自動的に画像コードの表示を終了してもよい。このようにすることで、第3者が画像コードを取得することを防止することができる。
ユーザAが、第1の端末20−1の表示部に表示された画像コードを、第2の端末20−2の撮影部で撮影すると、第2の端末20−2は、画像コードを取得する(t9)。
そして第2の端末20−2は、ログインされたユーザIDとパスワードで認証サーバに対し、取得した認証用の画像コードの情報(画像コードの画像情報そのものでもよいし画像コードに含まれる認証情報でもよい)と、自機の認証用端末識別情報(専用Webブラウザプリケーションが生成した情報)とともに、認証用端末識別情報の登録要求を送信す
る(t10)。第2の端末20−2は、画像コードの画像情報を認証サーバに送信してもよいし、画像コードをデコードして認証情報を取得し、取得した認証情報、又はその一部の情報を認証サーバに送信してもよい。
登録要求を受信した認証サーバ10は、第2の端末20−2から受信したユーザIDとパスワードとが正しいか否か(第1の条件)を判断する(t11)。
次に受信した認証情報又は画像コードの正当性の判断処理(第3の条件)を行う(t12)。例えば画像コードの正当性は、画像コード自体が、認証サーバが送信した画像コードと一致するか否か判断し、一致する場合には正当であると判断してもよい。また画像コードをデコードして認証情報を取得し、取得した認証情報が正当であるか判断してもよい。 例えば認証情報が第1の鍵情報を含む場合には、当該第1の鍵情報が、管理情報として記憶されている第1の鍵情報のいずれかと一致するか否かを判断してもよい。また画像コード送信要求を行ったユーザと、当該画像コード送信要求に対応して送信した画像コードを取得して登録要求を行うユーザが一致していることを要求する場合には、図10(A)に示すように、画像コードをユーザIDに関連付けて記憶しておき、登録要求とともに受信した第1の鍵情報とユーザIDが、管理情報として登録されている第1の鍵と対応するユーザIDと一致する場合に正当であると判断してもよい。
また例えば認証情報がユーザ特定情報を含む場合には、当該ユーザ特定情報が、登録要求を行ったユーザIDに対応するものであるか否かを判断してもよい。
また例えば認証情報に第2の鍵(例えば認証サーバが有している公開鍵暗号方式の秘密鍵)情報に基づく電子認証情報を含む場合には、受信した認証用の画像コードの情報(画像コードの画像情報又は画像コードに含まれる認証情報)が第2の鍵に対応するものであるか否かを判断してもよい。このようにすることで、画像コードや認証情報が偽造されたものでなく、第1の端末に表示されたものを撮影することにより取得したものであることを保証することができる。
また例えば認証情報に、認証情報作成日時、失効日時等を含む場合には、これらに基づき登録要求の受信日時が許可されるか否か判断してもよい。なお認証情報自体には認証情報作成日時、失効日時等を含めないで、管理情報として記憶させてもよい。そして登録要求に対応する管理情報(例えば第1の鍵が一致する管理情報)として記憶されている認証情報作成日時、失効日時等(図11の420、430参照)に基づき登録要求の受信日時が許可されるか否か判断してもよい。このようにすることで、画像コード送信時から所定期間内に行われた登録要求のみを許可したり、再登録を促したりすることができる。
そして登録要求が正当であると判断した場合には、登録要求にかかる認証用端末識別情報を認証データベースに登録する(t13)。
なお前記画像コード送信要求とともに受信したユーザIDについて、他の端末や他のサーバに承認要求を行い(例えば管理者端末に承認要求を出す)、承認された場合に登録要求にかかる認証用端末識別情報を認証データベースに登録してもよい。
なお1つの画像コードに対応して登録可能な認証用端末識別情報を1つに限定してもよい。この場合、第1の鍵について最先に登録要求を行った認証用端末識別情報を登録するようにしてもよい。例えば図11に示す登録状況460等で、登録状況を管理し、同じ画像コードについて既に登録が行われている場合には登録しないようにしてもよい。このようにすると、1つの画像コードに対応して登録可能な認証用端末識別情報を1つに限定することができる。
また1つの画像コードに対応して複数の認証用端末識別情報を登録できるようにしてもよい。
また第2の端末20−2から認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする場合には、ログインされたユーザIDとパスワードで認証サーバに対し認証要求を送信する(t14)。このとき自機の認証用端末識別情報及び、画像コードの画像情報又は画像コードをデコードして取得した認証情報、又はその一部の情報を認証サーバに送信してもよい。
認証要求を受信した認証サーバ10は、第2の端末20−2から受信したユーザIDとパスワードとが正しいか否か(第1の条件)を判断する(t15)。
次に認証要求とともに受信した第2の端末の認証用端末識別情報の正当性の判断処理(第4の条件)を行う(t16)。
次に受信した認証情報又は画像コードの正当性の判断処理(第3の条件)を行う(t17)。
第1の条件、第4の条件、及び第3の条件を満たしていれば正当なアクセスであると判断する。
2−3−4. 認証サーバの処理の流れ
図13は、第2の実施形態の認証サーバの画像コード送信処理の流れを示すフローチャートである。
認証サーバは、画像コード送信要求を受信すると以下の処理を行う(ステップS210のY)。組織のネットワークからのアクセスであるか否か判断する。組織のネットワークからのアクセスであるか否かは、例えば画像コード送信要求元のIPアドレス等により判断してもよい。組織のネットワークからのアクセスであると判断した場合には(ステップS220のY)、ユーザIDとパスワードが正当か否か判断する。ユーザIDとパスワードが正当であるかは、認証データベースを参照して、認証データベースに登録されているか否かに基づき判断してもよい。
ユーザIDとパスワードが正当であると判断した場合(ステップS230のY)には、認証情報を生成し(ステップS240)、認証情報に基づき、画像コードを生成する(ステップS250)。
そして、認証サーバは、画像コード送信要求元の第1の端末に画像コード情報を送信し(ステップS260)、送信した画像コード情報に対応する管理情報を記憶部に保管する(ステップS270)。
図14は、第2の実施形態の認証サーバの認証用端末識別情報の登録処理の流れを示すフローチャートである。
認証サーバは、認証用端末識別情報の登録要求を受信すると以下の処理を行う(ステップS310のY)。ユーザIDとパスワードが正当か否か判断する。ユーザIDとパスワードが正当であるかは、認証データベースを参照して、認証データベースに登録されているか否かに基づき判断してもよい。
ユーザIDとパスワードが正当であると判断した場合には(ステップS320のY)、認証用の画像コードの情報が正当であるか否か判断する。認証用の画像コードの情報の正当性は、認証用の画像コードの情報が、認証サーバが送信した認証用の画像コードの情報と一致するか否か判断し、一致する場合には正当であると判断してもよい。
認証用の画像コードの情報が正当であると判断した場合には(ステップS330のY)、認証用端末識別情報を認証データベースに登録する(ステップS340)。
図15は、第2の実施形態の認証サーバの認証処理の流れを示すフローチャートである。
認証サーバは、所与の処理要求を受信すると以下の処理を行う(ステップS410のY)。ユーザIDとパスワードが正当か否か判断する。ユーザIDとパスワードが正当であるかは、認証データベースを参照して、認証データベースに登録されているか否かに基づき判断してもよい。
ユーザIDとパスワードが正当であると判断した場合には(ステップS420のY)、組織のネットワークからのアクセスであるか否か判断する。組織のネットワークからのアクセスであるか否かは、所与の処理要求元のIPアドレス等により判断してもよい。組織のネットワークからのアクセスでないと判断した場合には(ステップS430のN)、認証用端末識別情報を受信したか否か判断し、受信した場合には(ステップS440のY)、受信した認証用端末識別情報が、前記認証データベースに登録されている認証用端末識別情報と一致するか否か判断する。一致すると判断した場合には(ステップS450のY)、認証用の画像コードの情報が正当であるか否か判断する。認証用の画像コードの情報が正当であると判断した場合には(ステップS455のY)、所与の処理要求を許可する(ステップS460)。
2−3−5. 第2の端末
第2の実施形態では、第2の端末20−2にファイルのダウンロードが禁止されている専用Webブラウザ50をインストールしてもよい。専用Webブラウザは、認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする際に使用するWebブラウザである。専用Webブラウザは、閲覧後のファイルの削除や、閲覧中のファイルの文書が象のコピーを禁止する処理を行ってもよい。
また専用Webブラウザは、インストールされた端末の認証用端末識別情報を生成し、端末内に保管する処理を行ってもよい。またユーザから認証用端末識別情報の登録要求の指示入力を受けた場合に登録要求を生成し、当該端末の認証用端末識別情報として認証サーバに送信する処理を行ってもよい。
また認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする際に、認証サーバに対して認証用端末識別情報とともに認証要求を送信して、アクセス許可を得た場合にアクセス処理を行うようにしてもよい。
2−3−6. その他
上記実施の形態では、認証サーバ10が画像コードを生成する場合について説明したが、これに限られない。認証サーバ10は、認証情報と画像コード生成コマンド等の画像コードを第1の端末に表示させるための画像コード情報として送信する構成でもよい。そして、画像コード情報を受信した第1の端末が、認証情報に基づいて画像コードを生成してもよい。
また上記実施の形態では、画像コードに含まれる認証情報の判定は認証サーバが行う場合を例にとり説明したが第2の端末20−2が画像コードに含まれる認証情報の判定を行う構成でもよい。
例えば、前記第2の端末20−2は、取得した画像コードをデコードして認証情報を取得し、認証情報がユーザ情報を含む場合には、現在ログイン中のユーザIDに対応するものであるか否か判断し、対応することを条件に、認証用端末識別情報の登録要求を行うようにしてもよい。
また前記第2の端末20−2は、取得した画像コードをデコードして認証情報を取得し、認証情報が第2の鍵(公開鍵暗号方式の秘密鍵)に基づく電子認証情報を含む場合、第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、認証用端末識別情報の登録要求を行うようにしてもよい。
また、上記実施形態では、ユーザID・パスワード判定処理の例として、認証サーバが、予め認証データベースに格納されているパスワードを用いて判定する処理を説明したが、認証データベースにパスワードを格納しないで、他のシステムにユーザID・パスワード判定処理を委任するようにしてもよい。
10 認証サーバ、11 認証データベース、100 処理部、111 通信制御部、
112 判断部、112A 第1の判断部、112B 第2の判断部、
112C 第3の判断部、113 グループ判定部、114 認証判定部、116 画像コード情報送信処理部、118 登録処理部、170 記憶部、180 情報記憶媒体、20 端末、20−1 第1の端末、20−2 第2の端末、200 処理部、210 Webブラウザ、210 専用Webブラウザ、211 通信制御部、220 入力部、250 撮影部、270 記憶部、280 情報記憶媒体、
290 表示部、50 ダウンロードが禁止されたWebブラウザ

Claims (6)

  1. 第1の端末と、第2の端末と、ネットワークを介して接続される認証サーバであって、
    前記第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
    前記第2の端末から認証用端末識別情報の登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する処理を行う登録処理手段と、
    前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、を含む認証サーバ。
  2. 請求項1において、
    前記画像コード情報送信処理手段は、
    前記画像コード送信要求に対応して第1の鍵情報を含む認証情報を生成し、認証情報に基づき前記画像コード情報を生成するとともに、前記第1の鍵情報を送信済み第1の鍵情報として記憶部に保管し、
    前記登録処理手段は、
    前記登録要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断し、
    前記認証処理手段は、
    前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断することを特徴とする認証サーバ。
  3. 請求項1又は2において、
    前記画像コード情報送信処理手段は、
    前記画像コード送信要求とともに受信したユーザIDに対応したユーザ特定情報を含む認証情報を生成し、
    前記登録処理手段は、
    前記登録要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断し、
    前記認証処理手段は、
    前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断することを特徴とする認証サーバ。
  4. 請求項1乃至3のいずれかにおいて、
    前記画像コード情報送信処理手段は、
    前記認証サーバに対応付けられた第2の鍵に基づく電子認証情報を含む認証情報を生成し、
    前記登録処理手段は、
    前記登録要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断し、
    前記認証処理手段は、
    前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断することを特徴とする認証サーバ。
  5. 第1の端末と、第2の端末と、認証サーバとを利用した認証システムであって、
    前記第1の端末は、
    受け付けたユーザIDとパスワードとともに前記認証サーバに画像コード送信要求を送信する画像コード送信要求手段と、
    前記画像コード送信要求に対応して前記認証サーバが送信した画像コード情報を受信して、当該画像コード情報に基づき画像コードを表示部に表示する画像コード表示処理手段と、を含み、
    前記第2の端末は、
    前記画像コードを撮影する撮影手段と、
    撮影された前記画像コード又は当該画像コードを解読して取得した認証情報の少なくとも一部を含む認証用の画像コードの情報と、自機の認証用端末識別情報と、受け付けたユーザIDとパスワードとともに、前記認証用端末識別情報の登録要求を前記認証サーバに送信する登録要求手段と、を含み、
    前記認証サーバは、
    前記第1の端末から前記画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
    前記第2の端末から前記登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する登録処理手段と、
    前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段とを含む認証システム。
  6. 第1の端末と、第2の端末と、ネットワークを介して接続される認証サーバのためのプログラムであって、
    前記第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第
    2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
    前記第2の端末から前記登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する登録処理手段と、
    前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、してコンピュータを機能させることを特徴とするプログラム。
JP2013103380A 2013-05-15 2013-05-15 認証サーバ、認証システム及びプログラム Active JP6178112B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013103380A JP6178112B2 (ja) 2013-05-15 2013-05-15 認証サーバ、認証システム及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013103380A JP6178112B2 (ja) 2013-05-15 2013-05-15 認証サーバ、認証システム及びプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017136941A Division JP6532505B2 (ja) 2017-07-13 2017-07-13 認証サーバ、認証システム及びプログラム

Publications (2)

Publication Number Publication Date
JP2014225096A true JP2014225096A (ja) 2014-12-04
JP6178112B2 JP6178112B2 (ja) 2017-08-09

Family

ID=52123741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013103380A Active JP6178112B2 (ja) 2013-05-15 2013-05-15 認証サーバ、認証システム及びプログラム

Country Status (1)

Country Link
JP (1) JP6178112B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018081423A (ja) * 2016-11-15 2018-05-24 野中 誠之 認証システム、認証方法、サーバ、及びプログラム
JP2020521201A (ja) * 2017-05-22 2020-07-16 マジック リープ, インコーポレイテッドMagic Leap,Inc. コンパニオンデバイスとのペアリング
JP2021114181A (ja) * 2020-01-20 2021-08-05 パナソニックIpマネジメント株式会社 電気機器のユーザ管理システム
JP2022094009A (ja) * 2020-12-14 2022-06-24 Kddi株式会社 認証装置、認証方法及び認証プログラム

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004342036A (ja) * 2003-05-19 2004-12-02 Aruze Corp ポイント管理システム
JP2005269571A (ja) * 2004-03-22 2005-09-29 Nec Corp 端末登録システム、端末登録方法および端末登録用サーバ
JP2007164449A (ja) * 2005-12-13 2007-06-28 Fujitsu Ltd 個人情報管理装置、個人情報管理装置を用いた個人情報提供方法、個人情報管理装置用プログラムおよび個人情報提供システム
JP2011141785A (ja) * 2010-01-08 2011-07-21 Girunetto Kk 携帯端末を用いた会員登録システム及び認証システム
JP2011238036A (ja) * 2010-05-11 2011-11-24 Ikutoku Gakuen 認証システム、シングルサインオンシステム、サーバ装置およびプログラム
JP2011243024A (ja) * 2010-05-19 2011-12-01 Kddi Corp サポートシステムおよび方法
JP2013073272A (ja) * 2011-09-26 2013-04-22 Dainippon Printing Co Ltd ユーザ及び端末装置の認証方法、認証システム、認証申請用プログラム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004342036A (ja) * 2003-05-19 2004-12-02 Aruze Corp ポイント管理システム
JP2005269571A (ja) * 2004-03-22 2005-09-29 Nec Corp 端末登録システム、端末登録方法および端末登録用サーバ
JP2007164449A (ja) * 2005-12-13 2007-06-28 Fujitsu Ltd 個人情報管理装置、個人情報管理装置を用いた個人情報提供方法、個人情報管理装置用プログラムおよび個人情報提供システム
JP2011141785A (ja) * 2010-01-08 2011-07-21 Girunetto Kk 携帯端末を用いた会員登録システム及び認証システム
JP2011238036A (ja) * 2010-05-11 2011-11-24 Ikutoku Gakuen 認証システム、シングルサインオンシステム、サーバ装置およびプログラム
JP2011243024A (ja) * 2010-05-19 2011-12-01 Kddi Corp サポートシステムおよび方法
JP2013073272A (ja) * 2011-09-26 2013-04-22 Dainippon Printing Co Ltd ユーザ及び端末装置の認証方法、認証システム、認証申請用プログラム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018081423A (ja) * 2016-11-15 2018-05-24 野中 誠之 認証システム、認証方法、サーバ、及びプログラム
JP2020521201A (ja) * 2017-05-22 2020-07-16 マジック リープ, インコーポレイテッドMagic Leap,Inc. コンパニオンデバイスとのペアリング
JP7080249B2 (ja) 2017-05-22 2022-06-03 マジック リープ, インコーポレイテッド コンパニオンデバイスとのペアリング
JP2022107677A (ja) * 2017-05-22 2022-07-22 マジック リープ, インコーポレイテッド コンパニオンデバイスとのペアリング
JP7305006B2 (ja) 2017-05-22 2023-07-07 マジック リープ, インコーポレイテッド コンパニオンデバイスとのペアリング
US11835717B2 (en) 2017-05-22 2023-12-05 Magic Leap, Inc. Pairing with companion device
US12105282B2 (en) 2017-05-22 2024-10-01 Magic Leap, Inc. Pairing with companion device
JP2021114181A (ja) * 2020-01-20 2021-08-05 パナソニックIpマネジメント株式会社 電気機器のユーザ管理システム
JP7378030B2 (ja) 2020-01-20 2023-11-13 パナソニックIpマネジメント株式会社 電気機器のユーザ管理システム
JP2022094009A (ja) * 2020-12-14 2022-06-24 Kddi株式会社 認証装置、認証方法及び認証プログラム
JP7510340B2 (ja) 2020-12-14 2024-07-03 Kddi株式会社 認証装置、認証方法及び認証プログラム

Also Published As

Publication number Publication date
JP6178112B2 (ja) 2017-08-09

Similar Documents

Publication Publication Date Title
US10979227B2 (en) Blockchain ID connect
US10587609B2 (en) Method and system for authenticated login using static or dynamic codes
KR102390108B1 (ko) 정보 처리 시스템 및 제어 방법
US10484372B1 (en) Automatic replacement of passwords with secure claims
WO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
TR201810238T4 (tr) Bir mobil kimlik doğrulama uygulaması kullanarak kullanıcıya uygun kimlik doğrulama yöntemi ve aparatı.
CN101809585A (zh) 密码管理
US9124571B1 (en) Network authentication method for secure user identity verification
JP5991817B2 (ja) ネットワークシステム
Ferry et al. Security evaluation of the OAuth 2.0 framework
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
JP7196241B2 (ja) 情報処理装置、制御方法、およびプログラム
KR20110055542A (ko) 유저 인증을 관리하기 위한 장치
US11924211B2 (en) Computerized device and method for authenticating a user
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
JP6178112B2 (ja) 認証サーバ、認証システム及びプログラム
US20160205091A1 (en) Information processing system, control method of information processing apparatus, and storage medium
JP2011221729A (ja) Id連携システム
JP6653368B2 (ja) 認証サーバ、認証システム及びプログラム
JP6532505B2 (ja) 認証サーバ、認証システム及びプログラム
JP2012079231A (ja) 認証情報管理装置および認証情報管理方法
KR100993333B1 (ko) 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
JP5919497B2 (ja) ユーザ認証システム
JP2012008727A (ja) ユーザ認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160428

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170602

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170713

R150 Certificate of patent or registration of utility model

Ref document number: 6178112

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250