JP2020035304A - Authentication system and method thereof, and program thereof - Google Patents
Authentication system and method thereof, and program thereof Download PDFInfo
- Publication number
- JP2020035304A JP2020035304A JP2018162878A JP2018162878A JP2020035304A JP 2020035304 A JP2020035304 A JP 2020035304A JP 2018162878 A JP2018162878 A JP 2018162878A JP 2018162878 A JP2018162878 A JP 2018162878A JP 2020035304 A JP2020035304 A JP 2020035304A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- terminal
- account
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 141
- 230000004044 response Effects 0.000 claims abstract description 8
- 238000012545 processing Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 24
- 238000012217 deletion Methods 0.000 claims 1
- 230000037430 deletion Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 27
- 238000004891 communication Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 10
- 238000007726 management method Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、認証システムおよびその方法、並びにそのプログラムに係り、特にネットワークを介して接続される端末及びユーザの認証に関するものである。 The present invention relates to an authentication system and method, and a program thereof, and more particularly to authentication of a terminal and a user connected via a network.
パソコンやスマートフォン、タブレット等の端末を、ネットワークを介して目的のサイトやサーバに接続して、コンテンツを取得したり、アプリケーションを利用することが日常的に行われている。アクセス対象となるコンテンツ等の情報には、個人情報や機密情報等のセキュリティ性の高い情報が含まれている。そこで、アクセス権限のない端末やなりすまし等の不正使用者からの要求に対してはネットワークの接続を拒否することで、セキュリティ保護が図られている。 It is common practice to connect a terminal such as a personal computer, a smartphone, or a tablet to a target site or server via a network to acquire content or use an application. Information such as content to be accessed includes highly secure information such as personal information and confidential information. Therefore, security protection is achieved by rejecting a network connection in response to a request from an unauthorized user such as a terminal without access authority or an impersonation.
正当なユーザを確認するユーザ認証の技術としては、ユーザの端末からパスワードを入力させて、その一致性を検証するものが一般的である。さらに、セキュリティを強化するユーザ認証として、例えば特許文献1に開示されるように、利用者の指紋、顔、筆跡、虹彩等の生体情報を組み合わせて認証する複合認証システムが知られている。また、端末と使用者の両方を認証するものとして、特許文献1に開示されているように、端末機の認証と、端末機の使用者の個人認証による二重認証によって、端末機の通信ネットワークに対するアクセス許可を発行する、通信ネットワークへの複数認証システムが知られている。 As a user authentication technique for confirming a legitimate user, a technique of inputting a password from a user's terminal and verifying its consistency is general. Further, as a user authentication for enhancing security, for example, as disclosed in Patent Document 1, there is known a composite authentication system for performing authentication by combining biometric information such as a user's fingerprint, face, handwriting, and iris. Also, as disclosed in Patent Literature 1, as a device for authenticating both a terminal and a user, a communication network of the terminal is obtained by double authentication based on personal authentication of a terminal user. A multi-authentication system for a communication network that issues an access permission for is known.
特許文献1及び2に記載の技術は、パスワードのみの検証に比べて、確かにセキュリティの強化が図れる。一方で、ユーザが使用する端末には高度な機能を有するものや、セキュリティ対策が脆弱なものなど様々であり、またこれらの端末が使用される環境も様々である。さら、ユーザが要求するセキュリティ対策の機能も種々ある。これらの多様なセキュリティ対策の要求に応じるには、上記特許文献1および2に記載のセキュリティ対策だけでは十分とは言えない。さらに、セキュリティを一層強化したいという要求に対しては、認証機能がより複雑化する傾向にあるが、それに対応してコストも増加しがちである。 The techniques described in Patent Literatures 1 and 2 can certainly enhance security as compared with verification of only a password. On the other hand, there are various types of terminals used by users, such as those having advanced functions, those having weak security measures, and various environments in which these terminals are used. Furthermore, there are various functions of security measures required by the user. The security measures described in Patent Documents 1 and 2 alone are not sufficient to meet the demands of these various security measures. In addition, for a request for further strengthening security, the authentication function tends to be more complicated, but the cost tends to increase correspondingly.
本発明の目的は、ネットワークを介して接続要求のある、端末の使用される様々な環境やユーザの種々の要求に応じてセキュリティの対策を図ることが可能な認証システムおよびその方法、並びにプログラムを提供することにある。 An object of the present invention is to provide an authentication system, a method, and a program capable of taking security measures in accordance with various environments in which a terminal is used and various requests of a user who have a connection request via a network. To provide.
本発明の他の目的は、認証のためのコストを出来るだけ抑えて、認証の運用が複雑にならないようにすることにある。 It is another object of the present invention to minimize the cost for authentication so that the operation of authentication is not complicated.
更にまた、本発明の目的は、真性のあるユーザに対しては認証の手続きを出来るだけ簡素化して、ユーザの利便性を高めることにある。 It is still another object of the present invention to simplify the authentication procedure for a genuine user as much as possible, thereby improving user convenience.
本発明にかかる認証システムは、好ましい例では、ネットワークを通して複数の端末からアクセス要求に対して、認証サーバが認証を行う認証システムであって、該認証サーバは、該認証の制御を行う認証制御部と、1又は複数の異なる認証方式の組み合わせから構成される複数の認証の組を登録する認証管理テーブルを保管する記憶部と、を有し、前記認証制御部は、前記端末からのアクセス要求があると、前記認証管理テーブルを参照して、該アクセス要求に関連する認証の組を選択して、該選択された組に含まれる認証方式に基づいて、認証を行なわせる、ことを特徴とする認証システムとして構成される。
また、本発明は、当該認証システムで行われる認証方法、認証プログラムとしても把握される。
An authentication system according to the present invention, in a preferred example, is an authentication system in which an authentication server authenticates an access request from a plurality of terminals through a network, wherein the authentication server performs an authentication control unit that controls the authentication. And a storage unit for storing an authentication management table for registering a plurality of authentication sets composed of one or a plurality of different authentication methods, wherein the authentication control unit receives an access request from the terminal. The method further comprises the step of referring to the authentication management table, selecting a set of authentications related to the access request, and performing authentication based on an authentication method included in the selected set. Configured as an authentication system.
The present invention is also understood as an authentication method and an authentication program performed by the authentication system.
本発明によれば、ネットワークを介して接続要求のある、端末の使用される様々な環境やユーザの種々の要求に応じてセキュリティの対策を図ることができる。また、認証のためのコストを出来るだけ抑えて、認証の運用が複雑にならないようにすることができる。また、真性のあるユーザに対しては認証の手続きを出来るだけ簡素化して、ユーザの利便性を高めることができる。 According to the present invention, it is possible to take security measures in accordance with various environments in which a terminal is used or various requests of a user who have a connection request via a network. In addition, the cost for authentication can be reduced as much as possible, and the operation of authentication can be prevented from becoming complicated. In addition, the authentication procedure can be simplified as much as possible for a genuine user, thereby improving user convenience.
以下に添付図面を参照して、本発明にかかる認証システムおよびその方法、並びにそのプログラムの実施の形態を詳細に説明する。 Hereinafter, an embodiment of an authentication system and a method thereof, and a program thereof according to the present invention will be described in detail with reference to the accompanying drawings.
[システム構成]
図1は、認証システム1000の構成例を示す図である。
図1に示すように、認証システム1000は、ユーザがコンテンツの利用承認を得るためのユーザ用PC(Personal Computer)100と、携帯端末によりユーザを認証するための携帯端末(例えば、スマートフォン)110と、デバイス(例えば、USB(Universal Serial Bus))を用いてユーザを認証するためのデバイス用PC120と、ユーザに応じた認証方式を用いてユーザを認証する認証サーバ200とが、互いにネットワークN1を介して接続されて構成される。ネットワークN1にはまたコンテンツサーバ300が接続される。ネットワークN1は、例えば、WAN(Wide Area Network)等の一般的な通信回線網である。なお、図1には、1台ずつのユーザ用PC100、携帯端末110、デバイス用PC120を示しているが、実際にはこれら装置が多数台接続される。
[System configuration]
FIG. 1 is a diagram illustrating a configuration example of the
As shown in FIG. 1, an
図1に示すように、ユーザ用PC100は、アプリケーション部101と、表示部102と、通信I/F(インタフェース)部103と、制御部104とを有して構成されている。
As shown in FIG. 1, the
アプリケーション部101は、ユーザからの利用承認要求を受けて、当該ユーザに対応する認証方式を用いて真正なユーザであると認証された場合に、コンテンツサーバ300に格納されたコンテンツの視聴や動作を実行するアプリケーションである。
The
入力表示部102は、例えば、タッチパネル等の入出力装置から構成され、ユーザから本認証システムに必要な各種情報の入力を受け付けたり、ネットワークN1を介して得られた各種情報、アプリケーション部101により処理された情報、認証に用いられる各種画面を表示する。
The
通信部I/F部103は、例えば、NIC(Network Interface Card)等の通信機器から構成され、ネットワークN1を介した各種情報の送受信を司る。
制御部104は、例えば、CPU(Central Processing Unit)のような処理装置により構成され、ユーザ用PC100の各部の動作を制御する。
The communication unit I /
The control unit 104 is configured by a processing device such as a CPU (Central Processing Unit), and controls the operation of each unit of the
上記各部は、制御部104がプログラムを実行することにより、これらの機能が実現される。具体的には、以下に示す処理は、CPUが図示しないROM(Read Only Memory)に記憶されているプログラムを読み出して、RAM(Random access memory)にロードして実行することにより実現される。 These functions of these units are realized by the control unit 104 executing a program. Specifically, the processing described below is realized by the CPU reading a program stored in a ROM (Read Only Memory) not shown, loading the program in a RAM (Random Access Memory), and executing the program.
これらのプログラムは、通信部I/F部103を介してネットワークN1からダウンロードされ、RAM上にロードされて、CPUにより実行されるようにしてもよい。或いは、CD(Compact Disk)やDVD(Digital Versatile Disk)等の可搬性を有するコンピュータで読み取り可能な記憶媒体からRAM上に直接ロードされ、CPUにより実行されるようにしてもよい。ユーザ用PC100が有する各部の具体的な動作については、シーケンス図およびフローチャートを用いて後述する。
These programs may be downloaded from the network N1 via the communication unit I /
図1に示すように、携帯端末110は、携帯端末用認証部111と、入力表示部112と、通信I/F(インタフェース)部113と、制御部114とを有して構成されている。
携帯端末用認証部111は、ユーザ用PC100から利用承認要求したユーザの認証方式が携帯端末110を用いた認証方式(携帯端末認証)を含む場合に、その認証を行うアプリケーションである。
As shown in FIG. 1, the
The mobile
入力表示部112は、認証のための各種情報の入力を受け付けたり、ネットワークN1を介して得られた認証結果等、その他本認証システムで用いられる各種画面を表示する。
The
通信部I/F部113は、ネットワークN1を介した各種情報の送受信を司る。
The communication unit I /
制御部114は、例えばCPUのような処理装置であり、携帯端末110の各部の動作を制御する。
The
上記各部は、制御部114がプログラムを実行することにより、これらの機能が実現される。携帯端末110の各部の具体的な動作については、シーケンス図およびフローチャートを用いて後述する。
These functions of these units are realized by the
図1に示すように、デバイス用PC120は、アプリケーション部121と、デバイス用認証部122と、入力表示部123と、通信I/F(インタフェース)部124と、デバイスI/F(インタフェース)部125と、制御部126とを有して構成されている。
As shown in FIG. 1, the
アプリケーション部121は、ユーザからのコンテンツの利用承認要求を受けて、当該ユーザに対応する認証方式を用いて真正なユーザであると認証された場合に、コンテンツサーバ300に格納されたコンテンツの視聴や動作を実行するアプリケーションである。
The application unit 121 receives a content use approval request from the user, and if the user is authenticated as a genuine user using an authentication method corresponding to the user, the application unit 121 performs viewing and listening of the content stored in the
デバイス用認証部122は、利用承認要求したユーザの認証方式がデバイス用PC120を用いた認証方式(デバイス認証)を含む場合に、その認証を行うアプリケーションである。
The
入力表示部123は、認証のための各種情報の入力を受け付けたり、ネットワークN1を介して得られた認証結果等、その他本認証システムで用いられる各種画面を表示する。
The
通信部I/F部124は、ネットワークN1を介した各種情報の送受信を司る。
The communication unit I /
デバイス部I/F部125は、例えばUSBボードのようなインタフェース機器であり、USB等の各種デバイスの抜き差しを検知する。
The device I /
制御部126は、例えばCPUのような処理装置であり、デバイス用PC120の各部の動作を制御する。
The
上記各部は、制御部126がプログラムを実行することにより、これらの機能が実現される。デバイス用PC120の各部の具体的な動作については、シーケンス図およびフローチャートを用いて後述する。
These functions are realized by the
認証サーバ200は、ユーザ用PC100やデバイス用PC120から利用承認要求されたユーザのアカウントに応じて、ユーザの認証方式を選択し、選択した認証方式によりユーザを認証するサーバである。
The
図1に示すように、認証サーバ200は、記憶部201と、通信部202と、認証制御部204と、制御部205とを有して構成されている。また、認証制御部204は、パスワードの一致により認証を行うパスワード認証部2041と、登録済みの端末(ブラウザ)の利用を以ってユーザを特定する認証を行う端末認証部2042と、登録済みの携帯端末の所有を以って利用者を特定する認証を行う携帯端末認証部2043と、登録済みのデバイスの所有を以って利用者を特定する認証を行うデバイス認証部2044とを有している。
As illustrated in FIG. 1, the
記憶部201は、HDDやSSD等の一般的な記憶装置から構成され、アカウント認証DB(Data Base)2011を記憶する。記憶部201は、ユーザによるアクセスの認証時間帯および利用承認要求の接続元を確認するためのアクセス許可DB2011と、アクセスが許可されたユーザのアカウントに応じて認証方式を選択するためのアカウント認証DB2012と、ユーザが利用承認に用いるユーザ用PC100、ユーザが認証に用いる携帯端末110、デバイス用PC120を登録する初期登録DB2013とを有している。アクセス許可DB2011(図2)、アカウント認証DB2012(図3)、初期登録DB2013(図5)の具体的な構成については後述する。
The
通信部202は、例えばNICやモデムであり、ネットワークN1を介した各種情報の送受信を司る。アクセス制御部203は、ユーザ用PC100等からのアクセス要求(利用承認要求)を受けて処理を実行する。
The
認証制御部204は、アカウント認証DB2012を参照し、ユーザのアカウントに応じて、パスワード認証部2041、端末認証部2042、携帯端末認証部2043、デバイス認証部2044の中から、予め定められた認証方式を選択して実行させる。
The
パスワード認証部2041は、ユーザを、アカウントIDおよびパスワードにより認証する。
端末認証部2042は、ユーザを、端末認証により認証する。
携帯端末認証部2043は、ユーザを、携帯端末認証により認証する。
デバイス認証部2044は、ユーザを、デバイス認証により認証する。
The password authentication unit 2041 authenticates a user with an account ID and a password.
The
The mobile
The device authentication unit 2044 authenticates the user by device authentication.
制御部205は、例えばCPUのような処理装置であり、認証サーバ200の各部の動作を制御する。認証サーバ200の各部の具体的な動作については、シーケンス図およびフローチャートを用いて後述する。上記各部は、制御部205がプログラムを実行することにより、これらの機能が実現される。
The
本認証システムでは、ユーザ及びまたは端末の認証に関して、「パスワード認証」、「端末認証」、「携帯端末認証」、「デバイス認証」の4つの認証方式を採用している。
ここで、パスワード認証は、あらかじめ定めたパスワードを入力することによりユーザの認証を行う。その意味では、最も簡便な方法によるユーザの認証方式といえる。また、端末認証は、ユーザ用PC100やデバイス用PC120等の端末が予め認証システムに登録されたものと同一であるかを認証する。
In the present authentication system, four authentication methods of “password authentication”, “terminal authentication”, “mobile terminal authentication”, and “device authentication” are employed for user and / or terminal authentication.
Here, in the password authentication, the user is authenticated by inputting a predetermined password. In that sense, it can be said that the user authentication method is the simplest method. The terminal authentication authenticates whether terminals such as the user's
携帯端末認証は、ユーザ用PC100等の設置場所や使用時間帯といった使用環境が妥当であるかを、定められた携帯端末を用いてユーザを認証する。複数のユーザがユーザ用PC100を共有する環境にある場合でも、ユーザを認証することができる。この認証方式は、ユーザ自らが予め携帯端末に登録した生体情報やパスワード等の個人情報を用いてユーザを認証するものである。携帯端末は普及率が高いため、BYOD(Bring Your Own Device)環境で業務を遂行するユーザも多い。そこで、「携帯端末認証」を採用することにより、ユーザのみが知り得る個人情報を認証サーバ200に登録しないで、少ないリスクで容易にユーザ本人を認証することができる。
The mobile terminal authentication authenticates the user using a predetermined mobile terminal to determine whether the use environment such as the installation location of the user's
デバイス認証は、デバイス用PC120に装着されるUSBのようなデバイスが、初期登録DB2013に予め登録されたデバイス認証情報を有しているかを確認する認証である。ユーザ毎に持たせる認証デバイス130のデバイス認証情報を変えることで、複数のユーザがそれぞれ所持する認証デバイス130をデバイス用PC120に装着して認証を受けることができる。そのため、コストをかけることなく簡便な方法でユーザの認証を行って、デバイス用PC120を複数のユーザが共用することが可能である。
The device authentication is authentication for checking whether a device such as a USB attached to the
コンテンツサーバ300は、認証サーバ200が真正であると認証したユーザ用PC100、デバイス用PC120へ、要求されたコンテンツを提供する。
The
[認証管理方式]
図2は、アクセス許可DB2011の例を示す図である。図2に示すように、アクセス許可DB2011は、アカウントごとに、接続元のIPアドレスからのアクセスを許可する条件を示す接続元条件と、アクセスを許可する時間帯を示す時間条件とが対応付けて記憶されている。なお、IPアドレスはそれを有する端末の場所を表すとも言えることから、上記接続条件を場所的条件ということができる。
[Authentication management method]
FIG. 2 is a diagram illustrating an example of the
図2において、アカウントIDが「E2」のユーザについて、例えば、IPアドレスが「192.168.0.0/24」であるユーザ用PC100からアクセスがあった場合に、接続元条件としては許可されることを示している。さらに、その接続が勤務時間帯である「9:00〜17:00」である場合に、時間条件としては許可されることを示している。すなわち、アカウントIDが「E2」のユーザは、これらの接続元条件と時間条件とが許可されない限り、後述するユーザの認証処理が行われない。
In FIG. 2, for example, when a user with an account ID “E2” is accessed from a
また、例えば、アカウントIDが「E2」のユーザは、例えば、IPアドレスが「192.168.20.0/24」であるユーザ用PC100からは、接続時間に関わらずアクセスが許可されないことを示している。さらに、接続時間が深夜時間帯である「0:00〜5:00」である場合は、接続元のIPアドレスに関わらずアクセスが許可されないことを示している。このように、「だれが」、「いつ」、「どこから」利用承認要求を行っているのかを確認することにより、認証システム1000に不正にアクセスするユーザを、各認証部による認証処理を行う前に、事前に排除することができる。
Also, for example, a user whose account ID is “E2” indicates that access is not permitted from the
図3は、アカウント認証DB2012の例を示す図である。図3に示すように、アカウント認証DB2011は、アクセスが許可されたユーザのアカウントと、そのユーザの認証方式と、そのアカウントの認証を許可するための場所的な条件を示す認証接続元アドレスと、当該認証要求を行ったアカウントの認証を許可するための時間的な条件を示す認証接続時間とが対応付けて記憶されている。
FIG. 3 is a diagram illustrating an example of the
図3では、例えば、アカウント「C」のユーザは、「パスワード認証」、「携帯端末認証(スマホ認証)」の2種類の認証方式による認証が必要であることを示している。 FIG. 3 shows that, for example, the user of the account “C” needs authentication by two types of authentication methods, “password authentication” and “mobile terminal authentication (smartphone authentication)”.
また、例えば、アカウント「F2」のユーザは、「端末認証」、「携帯端末認証」の2種類の認証方式による認証が必要であることを示している。さらに、このユーザについては、認証接続元アドレスとして定められた「192.168.0.0/24」以外のアドレスからアクセスされている場合に、携帯端末認証を行うことを示している。 Also, for example, it indicates that the user of the account “F2” needs to be authenticated by two types of authentication methods, “terminal authentication” and “mobile terminal authentication”. Further, it indicates that the mobile terminal is to be authenticated when the user is accessed from an address other than “192.168.0.0/24” defined as the authentication connection source address.
また、例えば、アカウント「F3」のユーザは、「端末認証」、「携帯端末認証」の2種類の認証方式による認証が必要であることを示している。さらに、このユーザについては、認証接続時間として定められた「09:00〜17:00」(勤務時間内)以外の時間にアクセスされている場合に、携帯端末認証を行うことを示している。 Further, for example, it indicates that the user of the account “F3” needs to be authenticated by two types of authentication methods, “terminal authentication” and “mobile terminal authentication”. Further, it indicates that the mobile terminal authentication is to be performed when the user is accessed at a time other than “09:00 to 17:00” (during working hours) defined as the authentication connection time.
また、例えば、アカウント「G2」のユーザは、「端末認証」、「デバイス認証」の2種類の認証方式による認証が必要であることを示している。さらに、このユーザについては、認証接続元アドレスとして定められた「192.168.0.11/32」のアドレスからアクセスされている場合は、デバイス認証を行わない(スルーする)ことを示している。 Also, for example, it indicates that the user of the account “G2” needs authentication by two types of authentication methods, “terminal authentication” and “device authentication”. Further, when this user is accessed from the address of “192.168.0.11/32” defined as the authentication connection source address, it indicates that device authentication is not performed (through). .
また、例えば、アカウント「G3」のユーザは、「端末認証」、「デバイス認証」の2種類の認証方式による認証が必要であることを示している。さらに、このユーザについては、認証接続時間として定められた「09:00〜17:00」(勤務時間内)にアクセスされている場合は、デバイス認証を行わない(スルーする)ことを示している。 Also, for example, it indicates that the user of the account “G3” needs to be authenticated by two types of authentication methods, “terminal authentication” and “device authentication”. Further, when this user is accessed at “09: 00 to 17:00” (during working hours) defined as the authentication connection time, it indicates that device authentication is not performed (through). .
このように、この認証システムでは、利用承認要求に対してユーザのアカウントに応じて、様々な認証方式の中からユーザに適した認証方式の組を選択し、そのユーザを認証することができる。さらに、アカウントごとに場所的条件や時間的条件を定めることにより、アカウントのユーザについて個別の認証を行い、ユーザごとに時間的、場所的な条件を用いて認証することができる。しかも、認証方式の組を用いた認証において、最も強固なセキュリティを担保する認証方式(「パスワード認証」かつ「端末認証」かつ「携帯端末認証」)から、最も利便性の高い認証方式(「パスワード認証」のみ)まで、幅広い環境に最適なセキュリティを提供することができる。 As described above, in this authentication system, a set of authentication methods suitable for the user can be selected from various authentication methods according to the user's account in response to the use approval request, and the user can be authenticated. Further, by determining the location condition and the time condition for each account, the user of the account can be individually authenticated, and the user can be authenticated using the time and location conditions. Moreover, in authentication using a set of authentication methods, the authentication method that secures the strongest security (“password authentication”, “terminal authentication”, and “mobile terminal authentication”) has been changed to the most convenient authentication method (“password authentication”). Authentication only) can provide optimal security in a wide range of environments.
本認証システムでは、図2に示したアクセス許可DB2011を用いて利用承認を行うとともに、図3に示したアカウント認証DB2012を用いて認証方式の組を選択して認証するので、ユーザの種別ごとに、時間的条件や場所的条件に応じた認証方法で認証することができる。すなわち、本実施例においては、アクセス許可DB2011を用いて時間的条件及び場所的条件(第1条件という)を満たすかの承認を行い、その後にアカウント認証DB2012を用いて認証方式(第2条件)に基づく認証を行うので、前者を第1認証、後者を第2認証ということができる。さらに後者の第2認証においてもF2,F3,G2,G3のアカウントでは、場所的条件又は時間的条件の認証を行っているので、これらはより厳格な認証と言える。
In the present authentication system, use approval is performed using the
図4は、ユーザの種別ごとに採用される認証方式の例を示す図である。図4では、ユーザの種別が「社員」、「非社員」について、場所的条件(社内外)と時間的条件の関係を示している。図4に示すように、ユーザのアカウントが「社員」である場合、社内からのアクセスの場合には、勤務時間内、勤務時間外を問わず、アカウントおよびパスワード認証(利便性のある軽度な認証方式)を行う。これに対して、社外からのアクセスの場合には、いずれの時間帯でも、上記の認証方式に加えて携帯端末認証(スマホ認証)を行う。この認証は3つの認証方式を行うことから強度の認証方式と言える。また、ユーザのアカウントが「非社員」である場合、社内からのアクセスの場合には、勤務時間内であればアカウントおよびパスワード認証を行う一方、社外からのアクセスの場合には、勤務時間内であれば、さらに端末認証および携帯端末認証(スマホ認証)を行う。そして、勤務時間外の場合は、社内、社外を問わずアクセスを不可とする。 FIG. 4 is a diagram illustrating an example of an authentication method adopted for each type of user. FIG. 4 shows the relationship between the location condition (inside / outside the company) and the time condition for the user types “employee” and “non-employee”. As shown in FIG. 4, when the user's account is “employee”, when accessing from inside the company, the account and password authentication (convenient mild authentication regardless of during or outside of working hours) Method). On the other hand, in the case of access from outside the company, mobile terminal authentication (smartphone authentication) is performed in addition to the above-described authentication method in any time zone. This authentication is a strong authentication method because three authentication methods are performed. Also, if the user's account is "non-employee", if the access is from within the company, the account and password are authenticated during the working hours, while if the access is from outside the company, the user is authenticated during the working hours. If there is, terminal authentication and mobile terminal authentication (smartphone authentication) are further performed. Then, outside of working hours, access is prohibited, both inside and outside the company.
このように、アクセス許可DB2011とアカウント認証DB2012を用いた認証を行うことにより、真正なユーザについては簡便な認証方式とする如く、ユーザの種別や場所的条件、時間的条件に応じて認証方式を変えることができる。すなわち、ユーザの種別に応じて認証方式を動的に変える設定401、場所により認証方式を動的に変える設定402、時間により認証方式を動的に変える設定403が可能となる。従来は、アカウントを認証するにあたり、認証基盤、VPN、認証局等の各システムを組み合わせることが必要であったが、本実施例の認証システムでは、認証サーバ200においてユーザごとにセキュリティの高い認証を実現することができる。従来のようなシステムの組み合わせによる認証の場合、一般的には、導入コストが高価となったり、運用管理が煩雑になり、アカウントの定義や連携をはじめ、認証のための設定に誤りが生じるといったリスクがあるが、本実施例の認証システムによれば、安価な導入コストで、容易かつ安全な運用管理が可能となる。
As described above, by performing authentication using the
図5は、初期登録DB2013の例を示す図である。図5に示すように、初期登録DB2013は、本認証システムを利用するユーザのアカウントと、そのユーザのパスワード情報、端末認証情報、携帯端末認証情報、デバイス認証情報とが対応付けて記憶されている。図5では、例えば、アカウント「A」のユーザは、パスワード情報としてパスワード「123」が登録され、端末認証情報として割符「α(α1、α2)」が登録され、携帯端末認証情報として生体コード「a」が登録され、デバイス認証情報としてUSBのシリアルナンバー「X0001」が登録されていることを示している。なお、図5では、すべての認証方式について登録された場合を例示しているが、少なくとも、ユーザのアカウントに対応する認証方式について登録されていればよい。
FIG. 5 is a diagram illustrating an example of the
[認証制御]
図6は、認証システム1000で行われる処理の処理手順を示すシーケンス図である。図6に示すように、まず、ユーザ用PC100のアプリケーション部101は、ユーザがアカウントを入力するためのアカウントID入力画面を入力表示部102に表示する(S601)。
[Authentication control]
FIG. 6 is a sequence diagram illustrating a processing procedure of processing performed in the
図7は、アカウントID入力画面の例を示す図である。図7に示すように、アカウントID入力画面は、ユーザ用PC100から利用承認要求するユーザのアカウントを入力するための入力欄と、入力されたアカウントIDを認証サーバ200に送信するためのOKボタンとが表示されている。
FIG. 7 is a diagram illustrating an example of an account ID input screen. As shown in FIG. 7, the account ID input screen includes an input field for inputting an account of a user who requests use approval from the
ユーザ用PC100のアプリケーション部101は、OKボタンが押下されると、入力されたアカウントIDを、認証サーバ200に送信する。認証サーバ200の認証制御部204は、ユーザ用PC100から受信したアカウントIDをセッションに登録する(S602)。具体的には、認証制御部204は、アカウントIDに対応するセッションIDを付与したセッション管理テーブルの一例であるセッションデータを生成し、記憶部201に保持する。
When the OK button is pressed, the
図8は、セッションデータの例を示す図である。セッションは、ユーザが利用承認要求を行ってから、当該要求に対する結果が得られるまでにネットワークを介した1つの一連の処理であり、セッションデータは、1つの一連のセッションにおいて行われる処理の結果を含むデータである。セッションデータにより保持される項目は、以下に示す処理の結果に応じて変化する。ここでは、図8(a)に示すように、セッションIDとアカウントIDとを対応付けたセッションデータが保持される。図8(a)では、アカウントID「E」について、セッションID「S0001」が付与されたことを示している。認証制御部204は、セッションIDに対応付けたアカウントIDをキーにしてアクセス許可DB2011を参照し、当該アカウントIDのユーザがアクセスするための接続元条件および時間条件を読み出し、これらの条件を満たしたアクセスであるか否かを判定する(S603、S604)。
FIG. 8 is a diagram illustrating an example of the session data. A session is a series of processes through a network from when a user makes a use approval request to when a result for the request is obtained, and the session data indicates a result of a process performed in a series of sessions. Data. The items held by the session data change according to the results of the processing described below. Here, as shown in FIG. 8A, session data in which a session ID and an account ID are associated is held. FIG. 8A shows that the session ID “S0001” has been assigned to the account ID “E”. The
S603において、認証制御部204がこれらの条件を満たしたアクセスではないと判定した場合(S603;No、または/およびS604;No)、その旨をユーザ用PC100に送信し、ユーザ用PC100のアプリケーション部101が、認証エラー画面を入力表示部102に表示する(S605)。
In S603, if the
図9は、認証エラー画面の例を示す図である。図9に示すように、認証エラー画面は、認証が失敗した旨が表示されている。ユーザは、認証エラー画面が表示されることにより、自身が本認証システムへのアクセス許可条件を満たしていないことを認識することができる。 FIG. 9 is a diagram illustrating an example of the authentication error screen. As shown in FIG. 9, the authentication error screen displays that the authentication has failed. By displaying the authentication error screen, the user can recognize that he or she does not satisfy the conditions for permitting access to the authentication system.
認証制御部204は、利用承認要求されたユーザのアカウントが接続元条件および時間条件(第1条件)のいずれの条件も満たしていると判定した場合(S603;Yes、S604;Yes)、さらに、アカウントIDをキーにしてアカウント認証DB2012を参照し、当該アカウントIDに対応するに認証方式(第2条件)を読み出す(S606)。
If the
例えば、認証制御部204は、アカウントIDが「E」である場合、認証方式として、「パスワード認証」、「デバイス認証」を読み出す。このとき、認証制御部204は、S602で生成したセッションデータに対して、各認証方式の認証結果を示す項目を追加し、認証方式として採用しない項目に、認証に使用しないことを示す情報「−」を書き込む。図8(b)は、各認証方式の認証結果を示す項目を追加したセッションデータの例を示す図である。図8(b)では、図8(a)に示したセッションデータに追加された各認証方式の認証結果を示す項目のうち、採用されない「端末認証」、「携帯端末認証」に「−」が書き込まれていることがわかる。
For example, when the account ID is “E”, the
さらに、認証制御部204は、アカウントIDをキーにしてアカウント認証DB2012を参照し、当該アカウントIDのユーザが、接続元アドレスまたは/および接続時間を満たしたユーザであるか否かを判定する(S607、S608)。ここで、接続元アドレスまたは/および接続時間を満たしたユーザとは、これらの条件を満たすことにより、各認証方式による認証を実行しない(スルーする)ことが可能なユーザのことである。
Further, the
認証制御部204は、アカウントIDのユーザが、認証元接続アドレスまたは/および認証接続時間を満たしたユーザであると判定した場合(S607;Yes、S608;Yes)、S615に進む。一方、認証制御部204は、アカウントIDのユーザが、少なくとも接続元アドレスまたは接続時間のいずれかを満たしていないと判定した場合(S607;No、またはS608;No)、S609に進む。
If the
認証制御部204は、アカウントIDのユーザが、少なくとも接続元アドレスまたは接続時間のいずれかを満たしていないと判定した場合(S607;No、またはS608;No)、その旨および当該アカウントIDに対応付けて定義されている認証方式でユーザの認証を行う指示をユーザ用PC100に送信し、ユーザ用PC100のアプリケーション部101は、当該指示に従って、各認証部にリダイレクトさせる(S609)。例えば、アカウントIDに対応する認証方式が「パスワード認証」、「デバイス認証」である場合、アプリケーション部101は、まず、「パスワード認証」を実行するパスワード認証部2041を呼び出し、パスワード認証部2041による認証処理を実行させる。端末認証部2042による認証、携帯端末認証部2043による認証、デバイス認証部2044による認証を行う場合も同様である。
When the
各認証部は、認証サーバ200の認証制御部204から実行指示を受けると、各認証方式による認証を実行する(S610)。各認証部による認証処理は、例えば、CGI(Common Gateway Interface)プログラムにより実現される。各認証方式については、フローチャートを用いて後述する。
Upon receiving the execution instruction from the
S610において、各認証部により認証が実行され、認証結果がセッションデータに書き込まれると、各認証部は、認証結果が得られた旨をユーザ用PC100に送信し、ユーザ用PC100のアプリケーション部101は、認証制御部204にリダイレクトさせる(S611)。
In S610, when the authentication is performed by each authentication unit and the authentication result is written in the session data, each authentication unit transmits to the
そして、認証制御部204は、セッションチェックを開始し(S612)、各認証部による認証結果が認証OK(許可)であるか否かを判定する(S613)。例えば、認証制御部204は、認証方式が「パスワード認証」である場合、図8(c)に示すように、セッションデータのうち、パスワード認証部2041による認証処理結果を示す項目に認証OK(○印)が書き込まれていることを確認する。
Then, the
認証制御部204は、各認証部による認証結果が認証OKでない(不許可)と判定した場合(S613;No)、その旨をユーザ用PC100に送信し、ユーザ用PC100のアプリケーション部101が、図9に示した認証エラー画面を入力表示部112に表示する(S614)。
When the
一方、認証制御部204は、各認証部による認証結果が認証OKであると判定した場合(S613;Yes)、さらに、セッションデータに追加した未実施の認証方式があるか否かを判定する(S615)。認証制御部204は、未実施の認証方式があると判定した場合(S615;Yes)、S607に戻り、他の認証方式について、以降の処理を繰り返す。
On the other hand, when the
認証制御部204は、未実施の認証方式がないと判定した場合(S615;No)、すなわち、図8(d)に示すように、セッションデータの各認証部のすべての認証処理結果を示す項目に認証OKが書き込まれていることが確認できた場合、SSO(シングル・サイン・オン)処理を実行する(S616)。なお、本例では、SSOについて例示したが、HTTP(Hypertext Transfer Protocol)のリバースプロキシ処理を実行してもよい。
If the
認証制御部204は、シングル・サイン・オン先にリダイレクトさせる指示をユーザ用PC100に送信し(S617)、ユーザ用PC100のアプリケーション部101は、当該指示に従って、コンテンツサーバ300のサイトに認可要求を送信し、コンテンツサーバ300は、当該認可要求にしたがって、上記サイトへのログイン処理を実行する(S618)。コンテンツサーバ300は、ログイン処理を行った後のサイト画面をユーザ用PC100に送信し、ユーザ用PC100のアプリケーション部101は、当該サイト画面を表示部102に表示する(S619)。S619の処理が終了すると、図6に示す全ての処理が終了し、利用承認され、かつユーザに応じて定められたすべての認証方式により認証されたアカウントのユーザのみが、コンテンツサーバ300のコンテンツにアクセスすることができるようになる。続いて、各認証方式による認証について説明する。
The
[各認証方式による認証]
(パスワード認証)
パスワード認証部2041は、あらかじめ定められたパスワードを用いてユーザの認証を行う。パスワード認証部2041は、図6のS610において、認証制御部204から指示を受けると、アカウントIDをキーにして初期登録DB2013を参照し、パスワード認証部2041が入力要求して入力されたパスワードが、初期登録DB2013に登録されているパスワードであるか否かを判定する。パスワード認証部2041は、パスワードの入力を要求する場合、図13(a)に示すようなパスワード入力画面を出力し、ユーザ用PC100のアプリケーション部101がパスワード入力画面を入力表示部102に表示する。
[Authentication by each authentication method]
(Password authentication)
The password authentication unit 2041 authenticates a user using a predetermined password. When receiving an instruction from the
パスワード認証部2041は、入力されたパスワードが、初期登録DB2013に登録されているパスワードであると判定した場合、認証OKとして、セッションデータの該当項目に認証結果を書き込む(図8(c)、図8(d))。なお、パスワード認証部2041は、入力されたパスワードが、初期登録DB2013に登録されているパスワードでないと判定した場合、認証NG(不許可)として、その旨の認証結果をセッションデータの該当項目に書き込む。
If the password authentication unit 2041 determines that the input password is a password registered in the
このように、「パスワード認証」では、あらかじめ定めたパスワードを入力するだけで認証を行うため、本認証システムへのアクセスが許可されたユーザに対して、最も簡便な方法で認証することができ、ユーザに対する認証のための操作負担を軽減することができる。 As described above, in the “password authentication”, authentication is performed only by inputting a predetermined password, so that a user who is permitted to access the authentication system can be authenticated by the simplest method, It is possible to reduce the operation burden for authentication for the user.
(端末認証)
図10は、端末認証処理の処理手順を示すシーケンス図である。以下では、端末認証に用いる端末認証情報(この例では、サーバ側およびクライアント側の割符)が、あらかじめ初期登録DB2013に登録され、クライアント側の割符については、ユーザ用PC100にも登録されているものとする。
(Terminal authentication)
FIG. 10 is a sequence diagram illustrating a processing procedure of the terminal authentication processing. In the following, terminal authentication information (tally on the server side and client side in this example) used for terminal authentication is registered in the
図10に示すように、端末認証部2042は、図6のS610において、認証制御部204から指示を受けると、アカウントIDをキーにして初期登録DB2013を参照し、アカウントIDに対応する端末認証情報として、サーバ側の割符(図5では、例えば、α1)を読み出すとともに、PC側の割符を要求する(S1001)。
As shown in FIG. 10, upon receiving an instruction from the
ユーザ用PC100のアプリケーション部101は、あらかじめメモリに登録されているクライアント側の割符(図5では、例えば、α2)を読み出して、認証サーバ200にその割符を送信する(S1002)。
The
認証サーバ200の端末認証部2042は、ユーザ用PC100から受け取ったクライアント側の割符と、サーバ側の割符とを突合せ、両者が符合するか否かを判定する(S1003)。端末認証部2042は、両者が符合すると判定した場合には認証OKとして、セッションデータの該当項目に認証結果を書き込む(図8(c)、図8(d))。一方、端末認証部2042は、両者が符合しないと判定した場合、認証NGとして、その旨の認証結果をセッションデータの該当項目に書き込む(S1004)。
The
図10では、割符を用いた端末認証について例示したが、ユーザ用PC100のMACアドレスやクライアント証明書を用いた端末認証を行ってもよい。また、必ずしも割符を用いなくてもよい。
FIG. 10 illustrates terminal authentication using a tally, but terminal authentication using the MAC address of the
このように、端末認証では、一般的に使用環境が定められた端末を認証するため、複数のユーザに1つのアカウントが割り当てられ、PCを共有する環境にある場合でも、そのアカウントを認証することができる。 As described above, in the terminal authentication, in general, one account is assigned to a plurality of users in order to authenticate a terminal whose use environment is determined, and even if the PC is shared, the account is authenticated. Can be.
(携帯端末認証)
図11は、携帯端末認証処理の処理手順を示すシーケンス図である。図11に示すように、携帯端末認証部2043は、図6のS610において、認証制御部204から指示を受けると、アカウントIDをキーにして初期登録DB2013を参照し、アカウントIDに対応する携帯端末認証情報(例えば、パスコード)を読み出し(S1101)、携帯端末110に対して、認証要求するためのプッシュ通知を行う(S1102)。認証制御部204は、プッシュ通知を行うと、携帯端末110に対しては、携帯端末認証情報による認証を行うための認証画面を送信し、携帯端末100の携帯端末用認証部111が、入力表示部112に認証画面を表示する(S1103)。一方、認証制御部204は、ユーザ用PC100に対しては、携帯端末による認証中であることを示す携帯端末認証通知画面を送信し、ユーザ用PC100のアプリケーション部101が、入力表示部102に携帯端末認証通知画面を表示する(S1104)。
(Mobile terminal authentication)
FIG. 11 is a sequence diagram illustrating a processing procedure of the mobile terminal authentication processing. As shown in FIG. 11, upon receiving an instruction from the
図13(b)は、携帯端末に表示される画面の例を示す図である。図13(b)右は、S1103における認証画面の例であり、図13(b)左は、S1104における携帯端末認証通知画面の例である。 FIG. 13B is a diagram illustrating an example of a screen displayed on the mobile terminal. 13B shows an example of the authentication screen in S1103, and the left part of FIG. 13B shows an example of the portable terminal authentication notification screen in S1104.
図13(b)右に示すように、認証画面には、携帯端末認証情報による認証を実行する認証ボタンと、認証を実行せずに処理を終了させる閉じるボタンとが表示されている。ユーザが認証ボタンを押下すると、携帯端末用認証部111は、携帯端末認証情報により認証を行う画面(例えば、パスコードの入力画面)を表示し、入力された情報を認証サーバ200に送信する。このように、プッシュ通知により携帯端末110に認証画面が表示されることにより、ユーザに対する認証を直ちに行うことができる。
As shown on the right side of FIG. 13B, the authentication screen displays an authentication button for executing authentication based on mobile terminal authentication information and a close button for terminating the process without executing authentication. When the user presses the authentication button, the mobile
また、図13(b)左に示すように、携帯端末認証通知画面には、携帯端末110により認証するために、携帯端末100にプッシュ通知を行った旨、および確認を促す旨が表示されている。このように、ユーザ用PC100に携帯端末認証通知画面が表示されることにより、ユーザは携帯端末110により認証を実行するために必要な操作を把握することができる。
Further, as shown on the left side of FIG. 13 (b), the mobile terminal authentication notification screen displays that a push notification has been made to the
その後、携帯端末用認証部111が、入力表示部112から入力された携帯端末認証情報を認証サーバ200に送信すると、認証サーバ200の携帯端末認証部2043は、初期登録DB2013に登録されている携帯端末認証情報と、入力された携帯端末認証情報とを突合せ、両者が符合するか否かを判定する(S1105、S1106)。携帯端末認証部2043は、両者が符合すると判定した場合には認証OKとして、セッションデータの該当項目に認証結果を書き込む(S1106;Yes、S1108、図8(c)、図8(d))。一方、端末認証部2042は、両者が符合しないと判定した場合(S1106;No、認証NGとして、その旨の認証結果をセッションデータの該当項目に書き込むとともに、図9に示した認証エラー画面と同様の画面を携帯端末110に送信し、携帯端末110の携帯端末用認証部111が、入力表示部112にその認証エラー画面を表示する(S1107)。
Thereafter, when the mobile
携帯端末認証部2043は、セッションデータに書き込んだ認証結果を読み出し、認証結果が認証OKであるか否かを判定する(S1109、S1110)。携帯端末認証部2043は、認証結果が認証OKであると判定した場合(S1110;Yes)、さらに有効時間が未経過であるか否かを判定する(S1111)。有効時間は、例えば、S1102においてプッシュ通知されてからS1110において認証OKと判定されるまでの時間であり、携帯端末110からの認証操作がタイムアウトする時間(例えば、4分間)である。なお、携帯端末認証部2043は、認証結果が認証OKでない、すなわち認証NGと判定した場合(S1110;No)、S1112に進み、認証結果を確定させる。
The mobile
携帯端末認証部2043は、有効時間が未経過であると判定した場合(S1111;Yes)、S1107、S1108で書き込んだ認証結果を確定させる(S1112)。一方、携帯端末認証部2043は、有効時間が未経過でない、すなわち有効時間を過ぎたと判定した場合(S1111;No)、S1104に戻り、以降の処理を続行する。この場合、S1108において認証結果として認証OKがセッションデータに書き込まれたとしても、携帯端末認証部2043は、有効時間が経過していると判断し、S1112において、認証NGに書き換えて認証結果を確定させる。
When determining that the valid time has not elapsed (S1111; Yes), the portable
なお、この例ではステップS1102おいてプッシュ通知を送信しているが、プッシュ通知に限らず、携帯端末110がプル通知をしてもよい。
Although the push notification is transmitted in step S1102 in this example, the
このように、携帯端末認証では、携帯端末のユーザが自ら登録した個人情報を用いてユーザを認証するので、個人情報を認証サーバ200に登録することなく、少ないリスクで容易にユーザ本人を認証することができる。また、ユーザにとって使い慣れている携帯端末により認証を行うため、違和感なく認証のための操作を行うことができる。
As described above, in the mobile terminal authentication, the user of the mobile terminal authenticates the user using the personal information registered by himself / herself. Therefore, the user himself / herself can be easily authenticated with little risk without registering the personal information in the
(デバイス認証)
図12は、デバイス認証処理の処理手順を示すシーケンス図である。図12に示すように、デバイス認証部2044は、図6のS610において、認証制御部204から指示を受けると、アカウントIDをキーにして初期登録DB2013を参照し、アカウントIDに対応するデバイス認証情報(例えば、USBのシリアルナンバー)を読み出し、読み出したデバイス認証情報をデバイス用PC120に送信し(S1201)、デバイス用PC120に対して、デバイスによる認証を促すデバイス認証通知画面を送信し、デバイス用PC120のデバイス用認証部121が、ブラウザを介して入力表示部122にデバイス認証通知画面を表示する(S1202)。
(Device authentication)
FIG. 12 is a sequence diagram illustrating the procedure of the device authentication process. As shown in FIG. 12, upon receiving an instruction from the
S1202において、デバイス用認証部121が、デバイスI/F部124にデバイスが挿入されたことを検知すると、デバイス認証を実行するためのデバイス認証実行画面を入力表示部122に表示する(S1203)。
In S1202, when the device authentication unit 121 detects that a device has been inserted into the device I /
図13(c)は、デバイス用PCに表示される画面の例を示す図である。図13(c)左は、S1202におけるデバイス認証通知画面の例であり、図13(c)左は、S1203におけるデバイス認証実行画面の例である。 FIG. 13C is a diagram illustrating an example of a screen displayed on the device PC. 13C illustrates an example of the device authentication notification screen in S1202, and FIG. 13C illustrates an example of the device authentication execution screen in S1203.
図13(c)左に示すように、デバイス認証通知画面には、デバイス認証するために、デバイス用PC120に、あらかじめ定められたデバイス130を挿入して認証を促す旨が表示されている。このように、デバイス用PC120にデバイス認証通知画面が表示されることにより、ユーザはデバイス用PC120によりデバイス認証するために必要な操作を把握することができる。
As shown on the left side of FIG. 13C, the device authentication notification screen displays that a
また、図13(c)右に示すように、デバイス認証実行画面には、デバイス130を挿入するドライブを選択するためのドライブ選択欄と、デバイス認証情報による認証を実行する認証ボタンと、認証を実行せずに処理を終了させるキャンセルボタンとが表示されている。このように、デバイス用PC120にデバイス認証実行画面が表示されることにより、ユーザはデバイス用PC120によりデバイス認証するドライブを選択した上でデバイス認証することができる。
13C, the device authentication execution screen includes a drive selection field for selecting a drive into which the
S1203において、ユーザにより認証ボタンが押下されると、デバイス用認証部121は、S1201で認証サーバ200から送信されたデバイス認証情報と、S1203で挿入されたデバイスの認証情報とを突合せ、両者が符合するか否かを判定し、その認証結果を認証サーバ200に送信する。なお、本例では、デバイス用PC120のデバイス用認証部121がデバイス認証を実行しているが、認証サーバ200のデバイス認証部2044がデバイス認証を実行してもよい。
In step S1203, when the authentication button is pressed by the user, the device authentication unit 121 matches the device authentication information transmitted from the
認証サーバ200のデバイス認証部2044は、デバイス用PC120から認証結果を受信すると、セッションデータの該当項目に認証結果を書き込む(S1204、図8(c)、図8(d))。
Upon receiving the authentication result from the
デバイス認証部2044は、セッションデータに書き込んだ認証結果を読み出し(S1205)、認証結果が認証OKであるか否かを判定する(S1206)。デバイス認証部2044は、認証結果が認証OKであると判定した場合(S1206;Yes)、さらに有効時間が未経過であるか否かを判定する(S1207)。有効時間については、図11に示した携帯端末認証の場合と同様であるため、ここではその説明を省略する。なお、デバイス認証部2044は、認証結果が認証OKでない、すなわち認証NGと判定した場合(S1206;No)、S1208に進み、認証結果を確定させる。 The device authentication unit 2044 reads the authentication result written in the session data (S1205), and determines whether the authentication result is authentication OK (S1206). When determining that the authentication result is authentication OK (S1206; Yes), the device authentication unit 2044 further determines whether the valid time has not elapsed (S1207). The valid time is the same as that in the case of the mobile terminal authentication shown in FIG. 11, and the description thereof is omitted here. Note that if the device authentication unit 2044 determines that the authentication result is not authentication OK, that is, the authentication is NG (S1206; No), the process proceeds to S1208 to determine the authentication result.
デバイス認証部2044は、有効時間が未経過であると判定した場合(S1207;Yes)、S1204で書き込んだ認証結果を確定させる(S1208)。一方、携帯端末認証部2043は、有効時間が未経過でない、すなわち有効時間を過ぎたと判定した場合(S1207;No)、S1202に戻り、以降の処理を続行する。この場合、S1204において認証結果として認証OKがセッションデータに書き込まれたとしても、デバイス認証部2044は、有効時間が経過していると判断し、S1208において、認証NGに書き換えて認証結果を確定させる。
If the device authentication unit 2044 determines that the valid time has not elapsed (S1207; Yes), the device authentication unit 2044 determines the authentication result written in S1204 (S1208). On the other hand, when it is determined that the valid time has not elapsed, that is, the valid time has passed (S1207; No), the portable
このように、デバイス認証では、USB等の安価なデバイスを用いてユーザを認証することにより、コストをかけることなく簡便な方法でユーザ本人を認証することができる。また、デバイスがデバイス用PCを介して必要に応じてネットワークに接続するため、ネットワークから独立して認証のために必要な情報を管理することができる。 As described above, in the device authentication, by authenticating the user using an inexpensive device such as a USB, the user can be authenticated by a simple method without adding cost. In addition, since the device is connected to the network as needed via the device PC, information necessary for authentication can be managed independently of the network.
[代案、変形例]
以上、好ましい一実施例について説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で適宜、変形、代替して実施し得る。
[Alternatives and modifications]
As described above, a preferred embodiment has been described, but the present invention is not limited to this, and may be modified or substituted as appropriate without departing from the scope of the invention.
例えば、上記実施例では、図1においてユーザ用PC100とデバイス用PC120を別々に図示した。しかし、変形例においてはユーザ用PC100に認証デバイス130を装着するコネクタを備えたものであるならば、ユーザ用PC100をデバイス用PCとして使用することができる。その場合、認証デバイス130を所持する複数のユーザは当該ユーザ用PC100を共用することが可能となる。
For example, in the above embodiment, the
また、上記実施例では、図6を参照した制御において、ステップS603(時間的条件の判断)と、ステップS604(場所的条件の判断)の両方を行っている。代替例においては、これらのステップS603またはS604のいずれか一方の処理を行う例もあり得る。 Further, in the above embodiment, in the control with reference to FIG. 6, both step S603 (determination of the temporal condition) and step S604 (determination of the location condition) are performed. In an alternative example, there may be an example in which one of these steps S603 and S604 is performed.
また、上記実施例では、図6を参照したステップS604では接続元アドレスであるIPアドレスを用いて場所的条件の判断を行っているが、代替例においては、これに限定されない。例えば、認証制御部204が、接続元のユーザ用PC100やデバイス用PC120が設置された位置情報(GPS情報)を取得して、場所的条件を判断することも可能である。
In the above-described embodiment, the location condition is determined using the IP address that is the connection source address in step S604 with reference to FIG. 6, but the present invention is not limited to this in an alternative example. For example, the
また、上記実施例では、端末からの要求に対して、認証サーバ200の認証制御部204がセッションを生成して、そのセッションに認証方式や認証結果を登録している。他の例によれば、外部からのアクセス要求を制御するアクセス制御部203を備えるサーバにおいて、アクセス制御部203がセッションを生成する場合もあり得る。その場合には、その生成されたセッションに対して、認証サーバ200の認証制御部204が認証に係る種々の情報を登録することができる。さらに他の例として、アクセス制御部203が、図6の制御動作の一部、例えばステップS602〜S604の動作を行っても良い。この場合、認証制御部は、アクセス制御部が行う上記S602乃至S604の動作乃至機能を含むような広義の意味と捉えてよい。
In the above embodiment, the
また、上記実施例では、認証サーバ200が、パスワード認証部2041、端末認証部2042、携帯端末認証部2043、デバイス認証部2044を有する、とした。代替例によれば、これら認証部2041〜2044の1又は複数の部位を、認証サーバ200とは別のサーバで実現しても良い。例えば、端末認証部2042及び又は他の部位をクラウドコンピュータ上で実現することも可能である。その場合でも、認証制御部204の制御の基、他のサーバで実現された認証部が制御されることになる。
In the above embodiment, the
また、上記実施例では、アクセス許可DB2011、アカウント認証DB2012、初期登録DB2013と称したが、これらをそれぞれ、アクセス許可管理テーブル、アカウント認証管理テーブル、初期登録管理テーブルと呼んでもよい。
In the above embodiment, the
また、上記実施例では、認証制御部204は認証サーバ200の一機能部として実現しているが、この機能部をプロキシサーバとして実現することも可能である。
Further, in the above-described embodiment, the
また、本実施例では、認証に用いられる機器として、PC、スマートフォン、デバイスを例示しているが、動画プレーヤや音楽プレーヤ等のメディア再生機器をはじめとする様々なコンテンツを、ネットワークを介して利用するための装置や機器についても同様に適用することができる。 Further, in this embodiment, PCs, smartphones, and devices are exemplified as devices used for authentication, but various contents including media playback devices such as a moving image player and a music player are used via a network. The present invention can be similarly applied to apparatuses and devices for performing the above.
上述したように、本実施例の認証システムでは、複数の異なる認証方式のそれぞれを認証要素として、1または複数の認証要素の組み合わせから成る複数の組(認証組)を定義する。そして、ユーザ(一例ではユーザのアカウント)に応じて、1の認証組を選択して、その認証組に含まれる1または複数の認証要素に対応する認証部で実行して、ユーザまたは接続要求のあった端末を認証する。これにより、ネットワークを介して接続要求のある、端末の使用される様々な環境やユーザの種々の要求に応じてセキュリティの対策を図ることができる。また、認証サーバで認証制御や各認証方式による認証を行うので、認証のためのコストを出来るだけ抑えて、認証の運用を簡素化することができる。また、真性のあるユーザに対しては、図4に示したように、認証の手続きを出来るだけ簡素化して、ユーザの利便性を高めることができる。 As described above, in the authentication system of the present embodiment, a plurality of sets (authentication sets) each including a combination of one or a plurality of authentication elements are defined with each of a plurality of different authentication methods as an authentication factor. Then, one authentication set is selected in accordance with the user (in one example, the user's account) and executed by the authentication unit corresponding to one or more authentication factors included in the authentication set, and the user or the connection request is requested. Authenticate the terminal. Thus, security measures can be taken in accordance with various environments in which the terminal is used or various requests of the user who have a connection request via the network. In addition, since the authentication server performs the authentication control and the authentication by each authentication method, the cost for the authentication can be reduced as much as possible, and the operation of the authentication can be simplified. Further, as shown in FIG. 4, for a genuine user, the authentication procedure can be simplified as much as possible, and the user's convenience can be improved.
本実施例による認証システムは、異なる認証要素の組み合わせから成る複数の認証組(認証パターンと言ってもよい)を用いてユーザ及び端末を認証するので、多要素認証システムと言うことができる。 The authentication system according to the present embodiment authenticates a user and a terminal using a plurality of authentication sets (which may be referred to as authentication patterns) each including a combination of different authentication factors, and thus can be said to be a multi-factor authentication system.
1000 認証システム
100 ユーザ用PC
101 アプリケーション部
102 入力表示部
103 通信I/F部
104 制御部
110 携帯端末
111 携帯端末用認証部
112 入力表示部
113 通信I/F部
114 制御部
120 デバイス用PC
121 アプリケーション部
122 デバイス用認証部
123 入力表示部
124 通信I/F部
125 デバイスI/F部
126 制御部
130 認証デバイス
200 認証サーバ
201 記憶部
2011 アクセス許可DB
2012 アカウント認証DB
2013 初期登録DB
202 通信部
203 アクセス制御部
204 認証制御部
2041 パスワード認証部
2042 端末認証部
2043 携帯端末認証部
2044 デバイス認証部
205 制御部
300 コンテンツサーバ
N1 ネットワーク。
1000
101
121
2012 Account Authentication DB
2013 Initial Registration DB
202
Claims (21)
該認証サーバは、
該認証の制御を行う認証制御部と、
1又は複数の異なる認証方式の組み合わせから構成される複数の認証の組を登録する認証管理テーブルを保管する記憶部と、を有し、
前記認証制御部は、前記端末からのアクセス要求があると、前記認証管理テーブルを参照して、該アクセス要求に関連する認証の組を選択して、該選択された組に含まれる認証方式に基づいて、認証を行なわせる、
ことを特徴とする認証システム。 An authentication system in which an authentication server authenticates an access request from a plurality of terminals through a network,
The authentication server,
An authentication control unit for controlling the authentication,
A storage unit for storing an authentication management table for registering a plurality of authentication sets composed of a combination of one or more different authentication methods,
Upon receiving an access request from the terminal, the authentication control unit refers to the authentication management table, selects a set of authentications related to the access request, and sets an authentication scheme included in the selected set. Based on the authentication,
An authentication system, characterized in that:
前記アクセス要求はアカウントを有し、
前記認証制御部は、前記アクセス要求が有する該アカウントに基づいて、前記認証管理テーブルの該アカウントに対応する認証の組を特定して、
該認証の組に含まれる1又は複数の認証を実行させる、
請求項1に記載の認証システム。 In the authentication management table, a plurality of authentication sets composed of a combination of one or a plurality of different authentication methods are registered in association with an account,
The access request has an account;
The authentication control unit specifies, based on the account that the access request has, an authentication set corresponding to the account in the authentication management table,
Causing one or more authentications included in the authentication set to be performed;
The authentication system according to claim 1.
その後、アクセス要求があったときに、該セッションの該アカウントを基に、前記認証管理テーブルの該アカウントに対応する認証の組を特定する、
請求項2に記載の認証システム。 The authentication control unit assigns and registers the account to a session generated when the access request is issued,
Thereafter, when there is an access request, based on the account of the session, specify a set of authentication corresponding to the account in the authentication management table.
The authentication system according to claim 2.
請求項3に記載の認証システム。 When the authentication set includes a plurality of authentications, the authentication control unit checks an account of the session, executes one authentication method, outputs an authentication result to a browser, and thereafter performs an authentication that has not been performed. Run the method,
The authentication system according to claim 3.
該セッションIDを基に、前記認証管理テーブルの該アカウントに対応する認証の組を特定する、
請求項1乃至4のいずれかの項に記載の認証システム。 The authentication server assigns a session ID to a session generated when the access request is issued, stores the session in the storage unit,
On the basis of the session ID, specify an authentication set corresponding to the account in the authentication management table.
The authentication system according to claim 1.
前記端末の真性を認証する端末認証方式と、該端末を使用するユーザの真性を認証するユーザ認証方式を含む
請求項1乃至5のいずれかに記載の認証システム。 The authentication set registered in the authentication management table is:
The authentication system according to claim 1, further comprising a terminal authentication method for authenticating the authenticity of the terminal and a user authentication method for authenticating the authenticity of a user who uses the terminal.
前記ユーザ認証方式のうちの1つの認証方式は、前記認証サーバが、前記記憶部に予め記憶された第2の端末の認証情報を取得して、該第2の端末においてユーザの許可又は不許可の入力を取得することで該ユーザの認証をする処理であり、
前記第2の端末から許可の入力があった場合、前記アクセスのあった端末からのログインを許可する
請求項6に記載の認証システム。 In the terminal authentication method, the authentication server determines that the authentication information of the terminal related to the terminal that has made the access request, the authentication information of the terminal stored in the storage unit in advance, and the authentication information stored in the other storage unit are predetermined. This is the process of confirming the relationship.
In one of the user authentication methods, the authentication server obtains authentication information of a second terminal stored in the storage unit in advance, and permits or denies a user at the second terminal. Is a process of authenticating the user by obtaining the input of
The authentication system according to claim 6, wherein when the permission is input from the second terminal, the login from the accessed terminal is permitted.
前記端末のユーザの真性を認証するパスワード認証方式と、
前記端末の真性を認証する端末認証方式と、
前記端末以外の第2の端末からの入力の許可を受けて、ユーザの真性を認証する携帯端末認証方式と、
ユーザが所持するデバイスが持つ固有情報を用いて認証するデバイス認証方式と、
のうちの1又は複数の組み合わせから構成される、
請求項1乃至5のいずれかに記載の認証システム。 The authentication set registered in the authentication management table is:
A password authentication method for authenticating the authenticity of the terminal user;
A terminal authentication method for authenticating the authenticity of the terminal,
A mobile terminal authentication method for authenticating the authenticity of the user by receiving input permission from a second terminal other than the terminal;
A device authentication method for authenticating using the unique information of the device possessed by the user,
Consisting of one or more combinations of
The authentication system according to claim 1.
請求項1乃至8のいずれかに記載の認証システム。 The authentication server has processing means for executing a program for each authentication method defined in the authentication management table in response to a request from a browser,
The authentication system according to claim 1.
第1の認証条件としてアクセス要求が予め定めた時間的条件を許容するかの確認(第1の認証という)を行い、
前記第1の認証の結果、該アクセス要求が該時間的条件を満たさない場合、認証エラーとする
請求項1乃至9のいずれかに記載の認証システム。 The authentication control unit, before performing authentication using the authentication management table (referred to as second authentication),
Confirm whether the access request allows a predetermined time condition as the first authentication condition (referred to as first authentication),
The authentication system according to any one of claims 1 to 9, wherein, as a result of the first authentication, when the access request does not satisfy the time condition, an authentication error occurs.
第2の認証条件としてアクセス要求が予め定めた接続元IPアドレスであるかの確認(第1の認証という)を行い、
前記第1の認証の結果、該アクセス要求が該接続元IPアドレスでない場合、認証エラーとする
請求項1又は9に記載の認証システム。 The authentication control unit, before performing authentication using the authentication management table (referred to as second authentication),
Confirming that the access request is a predetermined connection source IP address as a second authentication condition (referred to as first authentication),
The authentication system according to claim 1, wherein, as a result of the first authentication, if the access request is not the connection source IP address, an authentication error occurs.
前記第1の認証の結果、該アクセス要求が該時間的条件を満たす場合、前記第2の認証に含まれるパスワード認証を行なわせる
請求項10に記載の認証システム。 The authentication control unit,
11. The authentication system according to claim 10, wherein as a result of said first authentication, when said access request satisfies said time condition, a password authentication included in said second authentication is performed.
前記第1の認証の結果、該アクセス要求が該接続元IPアドレスである場合、前記第2の認証に含まれるパスワード認証を行なわせる
請求項10に記載の認証システム。 The authentication control unit,
11. The authentication system according to claim 10, wherein, as a result of the first authentication, when the access request is the connection source IP address, a password authentication included in the second authentication is performed.
アクセス制御部がSSO処理を可能とする、
請求項1乃至13のいずれかに記載の認証システム。 If the authentication of all the authentication methods included in the specified set included in the authentication management table is executed and all the authentications are permitted,
The access control unit enables SSO processing,
The authentication system according to claim 1.
請求項1乃至13のいずれかに記載の認証システム。 The authentication system according to any one of claims 1 to 13, wherein the authentication management table is capable of changing addition and deletion of the authentication set and one or a plurality of authentication methods constituting the authentication set.
該認証サーバは、
該認証の制御を行う認証制御部と、
1又は複数の異なる認証方式の組み合わせから構成される複数の認証の組を登録する認証管理テーブルと、を有し、
前記認証制御部は、前記端末からのアクセス要求があると、前記認証管理テーブルを参照して、該アクセス要求に関連する認証の組を選択して、該選択された組に含まれる認証方式に基づいて認証を行なわせる、
ことを特徴とする認証方法。 An authentication method in which an authentication server authenticates an access request from a plurality of terminals through a network,
The authentication server,
An authentication control unit for controlling the authentication,
An authentication management table for registering a plurality of authentication sets composed of one or a plurality of different authentication scheme combinations,
Upon receiving an access request from the terminal, the authentication control unit refers to the authentication management table, selects a set of authentications related to the access request, and sets an authentication scheme included in the selected set. Authentication based on
An authentication method characterized in that:
前記アクセス要求はアカウントを有し、
前記認証制御部は、前記アクセス要求が有する該アカウントに基づいて、前記認証管理テーブルの該アカウントに対応する認証の組を特定して、
該認証の組に含まれる1又は複数の認証を実行する、
請求項16に記載の認証方法。 In the authentication management table, a plurality of authentication sets composed of a combination of one or a plurality of different authentication methods are registered in association with an account,
The access request has an account;
The authentication control unit specifies, based on the account that the access request has, an authentication set corresponding to the account in the authentication management table,
Performing one or more authentications included in the set of authentications;
The authentication method according to claim 16.
該セッションの該アカウントを基に、前記認証管理テーブルの該アカウントに対応する認証の組を特定する、
請求項17に記載の認証方法。 The authentication control unit assigns and registers the account to a session generated when there is an access request,
Identifying an authentication set corresponding to the account in the authentication management table based on the account of the session;
The authentication method according to claim 17.
請求項18に記載の認証方法。 If the authentication set includes a plurality of authentications, check the account of the session, execute one authentication method, output the authentication result to the browser, and then execute another authentication method that has not been performed. Do
An authentication method according to claim 18.
請求項16に記載の認証方法。 In the authentication server, in response to a request from a browser, a program execution processing unit executes a program of each authentication method defined in the authentication management table.
The authentication method according to claim 16.
該認証サーバは、前記端末からのアクセス要求があると、1又は複数の異なる認証方式の組み合わせから構成される複数の認証の組を登録する認証管理テーブルを参照して、
該アクセス要求に関連する認証の組を選択して、該選択された組に含まれる認証方式に基づいて、認証を行なわせる、
ことを特徴とする認証プログラム。 An authentication program executed by an authentication server in response to an access request from a plurality of terminals through a network,
Upon receiving an access request from the terminal, the authentication server refers to an authentication management table for registering a plurality of authentication sets configured by combining one or more different authentication methods,
Selecting a set of authentications associated with the access request, and performing authentication based on an authentication scheme included in the selected set;
An authentication program characterized by the following.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018162878A JP6897977B2 (en) | 2018-08-31 | 2018-08-31 | Authentication system and its method, and its program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018162878A JP6897977B2 (en) | 2018-08-31 | 2018-08-31 | Authentication system and its method, and its program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020035304A true JP2020035304A (en) | 2020-03-05 |
JP6897977B2 JP6897977B2 (en) | 2021-07-07 |
Family
ID=69668265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018162878A Active JP6897977B2 (en) | 2018-08-31 | 2018-08-31 | Authentication system and its method, and its program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6897977B2 (en) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003157234A (en) * | 2001-11-19 | 2003-05-30 | Fujitsu Ltd | Program for authenticating user terminal |
JP2005056207A (en) * | 2003-08-05 | 2005-03-03 | Sanyo Electric Co Ltd | Network system, home equipment control server and intermediation server |
JP2005208993A (en) * | 2004-01-23 | 2005-08-04 | Hitachi Ltd | User authentication system |
JP2007102278A (en) * | 2005-09-30 | 2007-04-19 | Oki Electric Ind Co Ltd | Automatic transaction device |
US20080228721A1 (en) * | 2007-03-17 | 2008-09-18 | Mark Frederick Wahl | System and method for calendar-based anomalous access detection |
JP2010067124A (en) * | 2008-09-12 | 2010-03-25 | Nec Corp | Authentication management device, authentication management method, and program therefor |
JP2010225078A (en) * | 2009-03-25 | 2010-10-07 | Nec Corp | Authentication method, authentication system thereof, and authentication processing program thereof |
JP2017111599A (en) * | 2015-12-16 | 2017-06-22 | パナソニックIpマネジメント株式会社 | Authentication device, authentication system, and authentication method |
-
2018
- 2018-08-31 JP JP2018162878A patent/JP6897977B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003157234A (en) * | 2001-11-19 | 2003-05-30 | Fujitsu Ltd | Program for authenticating user terminal |
JP2005056207A (en) * | 2003-08-05 | 2005-03-03 | Sanyo Electric Co Ltd | Network system, home equipment control server and intermediation server |
JP2005208993A (en) * | 2004-01-23 | 2005-08-04 | Hitachi Ltd | User authentication system |
JP2007102278A (en) * | 2005-09-30 | 2007-04-19 | Oki Electric Ind Co Ltd | Automatic transaction device |
US20080228721A1 (en) * | 2007-03-17 | 2008-09-18 | Mark Frederick Wahl | System and method for calendar-based anomalous access detection |
JP2010067124A (en) * | 2008-09-12 | 2010-03-25 | Nec Corp | Authentication management device, authentication management method, and program therefor |
JP2010225078A (en) * | 2009-03-25 | 2010-10-07 | Nec Corp | Authentication method, authentication system thereof, and authentication processing program thereof |
JP2017111599A (en) * | 2015-12-16 | 2017-06-22 | パナソニックIpマネジメント株式会社 | Authentication device, authentication system, and authentication method |
Also Published As
Publication number | Publication date |
---|---|
JP6897977B2 (en) | 2021-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11431501B2 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
US11736468B2 (en) | Enhanced authorization | |
US11201862B1 (en) | Public authentication systems and methods | |
EP3525415B1 (en) | Information processing system and control method therefor | |
CN108496329B (en) | Controlling access to online resources using device attestation | |
US8369835B2 (en) | Web server constituting single sign-on system, method of controlling operation of same, and recording medium storing program for controlling operation of same | |
KR20180128854A (en) | Method employed in user authentication system and information processing apparatus included in user authentication system | |
WO2017208305A1 (en) | Server device, service method, program, and non-transitory computer-readable information recording medium | |
US11044245B2 (en) | System and control method therefor | |
JP2022504933A (en) | Systems, methods, and media for managing user credentials | |
JP2022113037A (en) | Image forming apparatus having multi-element authentication function | |
JP7112727B2 (en) | Authentication system, its method, and its program | |
JP7112799B2 (en) | Authentication system, its method, and its program | |
JP7355386B2 (en) | Terminal management system and method, and program thereof | |
JP6897977B2 (en) | Authentication system and its method, and its program | |
JP2020035306A (en) | Authentication system and method thereof, and program thereof | |
JP2022137255A (en) | Access control system and method for the same, and program for the same | |
JP7193125B2 (en) | Authentication system and billing method | |
JP7200776B2 (en) | Information processing system and program | |
JP6759691B2 (en) | Information processing equipment, authorization methods and programs | |
JP2019003509A (en) | Information processing device and information processing program | |
US20220300634A1 (en) | Providing and obtaining one or more data sets via a digital communication network | |
JP6733335B2 (en) | Information processing system, information processing apparatus, and information processing program | |
Ali et al. | Risk Based Web Authentication Using Bluetooth Devices | |
TW202347146A (en) | Method for logging in online system without username and password, and authentication server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180911 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180911 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20180921 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181218 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190514 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190712 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190912 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191217 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200316 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20200316 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20200325 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20200331 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20200529 |
|
C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20200602 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20200923 |
|
C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20210126 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210318 |
|
C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20210413 |
|
C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20210518 |
|
C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20210518 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210603 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6897977 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |