JP3594075B2 - User authentication method and device - Google Patents

User authentication method and device Download PDF

Info

Publication number
JP3594075B2
JP3594075B2 JP27131899A JP27131899A JP3594075B2 JP 3594075 B2 JP3594075 B2 JP 3594075B2 JP 27131899 A JP27131899 A JP 27131899A JP 27131899 A JP27131899 A JP 27131899A JP 3594075 B2 JP3594075 B2 JP 3594075B2
Authority
JP
Japan
Prior art keywords
user authentication
dependency
user
password
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP27131899A
Other languages
Japanese (ja)
Other versions
JP2001092555A (en
Inventor
浩一 久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP27131899A priority Critical patent/JP3594075B2/en
Publication of JP2001092555A publication Critical patent/JP2001092555A/en
Application granted granted Critical
Publication of JP3594075B2 publication Critical patent/JP3594075B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明はユーザ認証が必要な計算機システムにおけるユーザ認証方法および装置に関するものである。
【0002】
【従来の技術】
計算機システムの普及に伴い、不特定多数の人が必要に応じて計算機システムを利用するようになってきた。そのため、利用者を特定するために、一般に、ユーザ名・パスワードから成るユーザ認証情報を利用に先立って入力させてユーザ認証を行なうプログラムやネットワークシステムが増大している。それに伴い、このようなユーザ名・パスワードの入力を必要とするプログラムおよびネットワークシステムを1つの計算機システムで複数使用する機会も増加している。しかし、それぞれのプログラムやネットワークシステムに入力するユーザ名・パスワードは異なることが多く、計算機システム利用者にとってユーザ名・パスワード管理の負担も増大している。そこで、ある程度のセキュリティを確保しながら計算機システム利用者のユーザ名・パスワード管理の負担を軽減させる技術が必要になっている。
【0003】
従来、ユーザ名・パスワード入力を要するプログラムおよびネットワークシステムを複数使用する計算機システムにおいては、計算機システム利用者のユーザ名・パスワード管理の負担を軽減するために、使用するプログラムおよびネットワークシステムのユーザ名・パスワードをユーザ名・パスワード管理システムに登録し、計算機システム利用者がプログラムまたはネットワークシステムの利用に先立って当該ユーザ名・パスワード管理システムに対して、当該管理システム固有のユーザ名・パスワードを入力し正しい利用者として認証された後に、当該管理システムがユーザ名・パスワードを代行して入力する方法、或いは、使用するプログラムおよびネットワークシステムのユーザ名・パスワードを統一または共通にする方法がとられていた。
【0004】
【発明が解決しようとする課題】
しかしながら、上記した従来技術において、ユーザ名・パスワードを統一した場合には、1つのプログラムあるいはネットワークシステムのユーザ名・パスワードが漏洩した場合には、この漏洩したユーザ名・パスワードを用いて第3者がすべてのプログラムおよびネットワークシステムを利用可能になってしまう。
また、ユーザ名・パスワード管理システムを使用した場合には、ユーザ名・パスワード管理システムのユーザ名・パスワードが漏洩した場合にも、登録されたプログラムおよびネットワークシステムがすべて利用可能になってしまう等、いずれもセキュリティレベルの低下が大きいという問題があった。
本発明の目的は、高いセキュリティレベルを維持しながらユーザ認証情報の入力および管理負担を軽減することができるユーザ認証方法を提供することにある。
【0005】
【課題を解決するための手段】
上記目的を達成するために、本発明のユーザ認証方法は、アクセス対象に対するユーザ認証操作に対し、アクセス対象とユーザ認証上の依存関係を有する他の計算機資源およびユーザ認証情報の代行入力可否条件を定義したテーブルを検索し、前記ユーザ認証操作によるアクセス対象とユーザ認証上の依存関係を有する他の計算機資源の状況を検出するステップと、検出した他の計算機資源の状況が前記テーブルに定義された代行入力可否条件を満たす依存関係を有しているか否かを調べ、満たしていた場合には前記アクセス対象に対するユーザ認証情報をユーザに代えて代行入力するステップとを備えることを特徴とする。
【0006】
また、本発明のユーザ認証装置は、アクセス対象に対するユーザ認証操作に対し、アクセス対象とユーザ認証上の依存関係を有する他の計算機資源およびユーザ認証情報の代行入力可否条件を定義したテーブルを検索し、前記ユーザ認証操作によるアクセス対象とユーザ認証上の依存関係を有する他の計算機資源の状況を検出する手段と、検出した他の計算機資源の状況が前記テーブルに定義された代行入力可否条件を満たす依存関係を有しているか否かを調べ、満たしていた場合には前記アクセス対象に対するユーザ認証情報をユーザに代えて代行入力する手段とを備えることを特徴とする。
【0007】
ここで、アクセス対象とは、プログラム、ネットワーク、計算機、データベースなど、計算機システムでユーザ認証が必要とされる全ての資源を含むものである。
さらに、計算機資源とは、ユーザ認証が必要な資源とユーザ認証が不必要な資源とを含むものである。
【0008】
【発明の実施の形態】
以下、本発明の一実施形態について図面を用いて説明する。
図1は、本発明を適用したユーザ名・パスワード管理システムを有する計算機システムの実施形態を示す構成図である。なお、図1においては、本発明の主要部であるユーザ名・パスワード管理システム11と、これに関連する部分のみを示し、他の部分は図示を省略している。
【0009】
本実施形態のユーザ名・パスワード管理システム11(以下、管理システムと略記)は、ユーザ名・パスワードの代行入力の対象に設定したプログラムおよびネットワークシステム群13(アクセス対象群であり、プログラム、ネットワーク、計算機、データベースなど、計算機システムでユーザ認証が必要とされるすべての資源を含む。以下、代行入力対象プログラム群と略記)に対して当該管理システム11のシステム管理者がユーザ認証上の依存関係を設定したプログラムおよびネットワークシステム群12(計算機資源群であり、プログラム、ネットワーク、計算機、データベースなど、計算機システムすべての資源を含む。ユーザ認証が必要とされる資源と必要とされない資源がある。以下、依存関係プログラム群と略記)の前記代行入力対象プログラム群13との対応関係およびユーザ認証上の依存関係を記憶するユーザ認証依存関係テーブル14と、代行入力対象プログラム毎のユーザ名・パスワード管理テーブル15、前述の他の計算機資源群12の起動条件を記憶する依存関係プログラム起動条件管理テーブル16から構成されている。
【0010】
このような計算機システムにおいて、ユーザ認証依存関係テーブル14に定義された任意の代行入力対象プログラム群13の起動要求を計算機システム利用者から受け付けた管理システム11は、当該代行入力対象プログラム群13に対応する依存関係プログラム群12と依存関係をユーザ認証依存関係テーブル14から抽出する。そして、抽出した依存関係プログラム群12の状況が抽出した依存関係を満たしている場合、管理システム11は、当該起動要求のあった代行入力対象プログラム群13に対応するユーザ名・パスワードをユーザ名・パスワード管理テーブル15から求め、求めたユーザ名・パスワードを利用者に代わって当該起動要求のあった代行入力対象プログラム群13に入力して起動要求を完了させる。
抽出した依存関係プログラム群12の状況が依存関係を満たしていない場合には代行入力を行なわない。
【0011】
すなわち、ユーザ名・パスワード代行入力対象プログラム群13は、プログラム13a〜13nで構成されるが、例えばこの中のプログラム13aが依存関係プログラム群12の中のプログラム12a,12bとユーザ認証上において依存関係が「プログラム12a,12bは起動済み」としてユーザ認証依存関係テーブル14に登録されていた場合、代行入力対象プログラム13aの起動要求を受け付けると、プログラム12a,12bが起動済みであるかを調べる。起動済みである場合、代行入力対象プログラム13aのユーザ認証情報(ユーザ名、パスワード)を利用者に代わって入力する。
【0012】
一方、依存関係プログラム群12の起動時においては、当該依存関係プログラム群12がユーザ名・パスワードの入力を必要とするプログラムである場合、管理システム11は計算機システム利用者の入力したユーザ名・パスワードを横取りし、依存関係プログラム起動条件テーブル16の起動条件を満たしている場合にのみ入力されたユーザ名・パスワードを当該依存関係プログラム群12へ引き渡す。条件を満たしていない場合には不正なパスワードを引き渡す事によって、当該依存関係プログラム群12の起動を阻止する。
【0013】
なお、当該管理システム11では、管理システム11に対するユーザ名・パスワードは、代行入力対象プログラム群13のユーザ名・パスワードをユーザ名・パスワード管理テーブル15に登録する際と、代行入力対象プログラム群13および依存関係プログラム群12間のユーザ認証上の依存関係を登録する際にのみシステム管理者だけが使用し、計算機システム利用者が直接使用することはない。
【0014】
図2は、図1のユーザ認証依存関係テーブル14の構成図である。図1の代行入力対象プログラム群13毎のエントリを持つテーブル21を作成し、図1に示した依存関係プログラム群12を定義するテーブル22を作成する。図2においては、2つのテーブル22−1,22−2を作成した状態を示している。
これらのテーブル22−1,22−2は、依存関係プログラムの識別子入力エリア201と代行入力を行なう上での依存関係の条件入力エリア202とを有している。これらのエリア201,202は、依存関係プログラムの個数と同数だけテーブル22−1,22−2内に作成される。
1つの代行入力対象プログラム群13のテーブル21に対して、テーブル22で各々認証を必要とする依存関係プログラムを複数個指定した場合、その指定した依存関係プログラムの全てがユーザ認証処理を正常に終了している場合に代行入力を行なうか、いずれかがユーザ認証処理を正常に終了している場合に代行入力を行なうかは、ユーザ認証依存関係としてテーブル22の依存関係の条件入力エリア202に定義される。この場合、定義の仕方としては、例えば依存関係プログラム12aと12bの両方は起動済みであるといったAND条件、あるいはいずれか一方が起動済みであるといったOR条件、あるいは起動順序が12aが先で12bが次であるといった順序条件などの指定方法がある。これらの条件はエリア202の(**)部分に登録される。
【0015】
図3は、計算機システム利用者からの代行入力対象プログラム群13に対する起動要求を受けた場合の処理を示すフローチャートである。
まず、起動要求を受けると(ステップ31)、管理システム11がユーザ認証依存関係テーブル14内のテーブル21およびテーブル22を参照して、その起動がユーザ名・パスワード代行入力を処理する前提条件となる依存関係プログラム群12の識別子を抽出する(ステップ32)。そして、抽出した識別子から依存関係プログラム群12の状況を調べる(ステップ33)。
次に、当該依存関係プログラム群12の状況が、テーブル22の依存関係の条件入力エリアに定義された依存関係の条件にするかどうかを評価する(ステップ34,35)。評価の結果、代行入力対象プログラム群13の起動条件が満たされていた場合は、ユーザ名・パスワード管理テーブル15から代行入力対象プログラム群13のユーザ名・パスワードを取得して(ステップ36)、ユーザ名・パスワード代行入力対象プログラム群13に対してユーザ名・パスワードの代行入力を行って起動する(ステップ37)。しかし、評価の結果が、代行入力対象プログラム群13の起動条件を満たしていない場合は、代行入力対象プログラム群13に対する起動要求を拒否する(ステップ38)。
【0016】
図4は、図1の依存関係プログラム起動条件管理テーブル16の構成図である。図1の依存関係プログラム群12毎にエントリを持つテーブル41を作成し、テーブル41のエントリ毎に当該依存関係プログラム群12の起動条件を定義したテーブル42(42−1〜42−n)を作成する。起動条件テーブル42は、起動条件の種別を示す識別子エリア401と起動条件に必要なパラメタエリア402の組を1エントリとし、必要条件数分のエントリで構成される。ある依存関係プログラム群12の起動要求があって、当該依存関係プログラム群12の起動には認証が必要である場合に、このテーブル42に定義された条件がすべて満たされた場合にのみ、管理システム11が横取りした当該依存関係プログラム群12に対するユーザ名・パスワードが依存関係プログラム群12に引き渡される。条件未達成の場合には不当なパスワードを依存関係プログラム群12へ引き渡す。
【0017】
図5は、計算機システム利用者から依存関係プログラム群12に対するユーザ名・パスワードが入力された場合の処理を示すフローチャートである。
依存関係プログラム群12に対するユーザ名・パスワードが入力された場合(ステップ51)、管理システム11は、入力されたユーザ名・パスワードを横取りし、依存関係プログラム起動条件テーブル16内のテーブル41およびテーブル42を参照して(ステップ52)、テーブル42に定義された起動条件の達成・未達成を判定するための処理を実行する(ステップ53)。
この評価処理の結果(ステップ54)、条件未達成の場合、パスワードを不正なものに置き換えた上で依存関係プログラム群12にユーザ名・パスワードを引き渡す(ステップ55,56)。条件を達成していた場合には、横取りしたパスワードをそのまま引き渡す(ステップ56)。
【0018】
図6は、図5の依存関係プログラム起動条件評価処理(ステップ53)の詳細を示すフローチャートである。
起動条件評価処理では、まず、評価結果を図5の評価結果判定処理(ステップ54)へ通知するための領域を条件達成時の値で初期化する(ステップ61)。次に、図4のテーブル42の起動条件を読み込み(ステップ62)、未評価の起動条件が存在しない場合には評価処理を終了する(ステップ63)。しかし、未評価の起動条件が存在する場合には、テーブル42の起動条件識別子によって起動条件種別を判定して起動条件に合致する起動条件判定ルーチンをコールし、判定させる(ステップ64,65)。
起動条件判定ルーチンとは、例えば、起動条件1の場合には、使用中の計算機のクリップボード等の予め定めておいた記憶領域に保存してあるデータと、テーブル42の起動条件パラメタの比較を行なうといったものである。比較の結果、データが一致しない場合には、前述の評価結果判定処理(ステップ54)への通知用領域に未達成を示す値を格納した上で評価処理を終了する(ステップ66)。データが一致した場合には、再度、起動条件読み込み処理を行なう(ステップ65,62)。
起動条件2の場合には、ループカウンタにテーブル42の起動条件パラメタの値を設定する(ステップ67)。そして、このカウンタ値分の回数だけユーザ名・パスワードの再入力を計算機使用者に要求し(ステップ69,71,72)、すべての入力が同一でない場合には評価結果判定処理(ステップ54)への通知用領域に未達成を示す値を格納した上で評価処理を終了する(ステップ68,70)。
複数回入力におけるすべての入力が同一であった場合には再度、起動条件読み込み処理を行なう(ステップ72,62)。
【0019】
以上のように、本実施形態においては、ユーザ名・パスワードの代行入力の対象となるプログラムおよびネットワークシステムのユーザ名・パスワードと共に、プログラムおよびネットワークシステム間のユーザ認証上の依存関係を登録しておき、代行入力の対象となるプログラムおよびネットワークシステムへの起動要求が入力された場合には、ユーザ認証上の依存関係を登録されたプログラムおよびネットワークシステムが既に依存関係の条件に合致した状況であれば、登録されたユーザ認証上の依存関係に基づき、以降に利用するプログラムおよびネットワークシステムへのユーザ名・パスワードの代行入力処理を実行するようにしたため、起動対象のプログラムおよびネットワークシステムへの起動要求を行なう以前に、依存関係にあるプログラムを起動しておけば、改めてユーザ名・パスワードを入力する必要がなくなり、ユーザの負担を軽減することができる。
【0020】
また、代行入力を行なうための条件は、システム管理者だけが設定できるため、その条件が漏洩する恐れが少なくなる。よって、セキュリティレベルの低下を抑制した上で計算機システム利用者のユーザ名・パスワード管理の負担を軽減することができる。
【0021】
また、ユーザ名・パスワード代行入力の対象となるプログラムおよびネットワークシステムが、セキュリティレベルの低い短いパスワードによるユーザ認証を行なう仕様である場合や、ユーザ認証手順を持たない場合でも、当該管理システムを利用した場合には、ユーザ認証上の依存関係を登録されたプログラムおよびネットワークシステムと同等のセキュリティレベルを得ることができる。
【0022】
なお、上記実施形態において、代行入力対象のプログラムおよび依存関係プログラムとして、複数のプログラムから構成されたプログラム群を例示したが、本発明はこれに限定されるものではなく、1つのプログラムで構成される場合に同様に適用できるものである。
【0023】
【発明の効果】
以上述べたように、本発明によれば、ユーザ名・パスワード管理システムの管理者がユーザ認証上の依存関係を設定したプログラムおよびネットワークシステムの状況が既に依存関係を満たしている場合にのみ、新たに起動するアクセス対象のユーザ認証情報の入力を省略することができる。これにより、セキュリティレベルを低下させることなく、新たに起動するアクセス対象のすべてに対するユーザ認証を不要にし、利用者の負担を軽減することができる。
また、依存関係のアクセス対象との組み合わせ方によって、セキュリティレベルを向上させることも可能になる。
【図面の簡単な説明】
【図1】本発明のユーザ認証装置を組み込んだ計算機システムの実施形態を示す構成図である。
【図2】ユーザ認証依存関係テーブルの構成図である。
【図3】ユーザ名・パスワード代行入力処理のフローチャートである。
【図4】依存関係プログラム起動条件管理テーブルの構成図である。
【図5】依存関係プログラム起動時の処理を示すフローチャートである。
【図6】依存関係プログラム起動条件評価処理の詳細を示すフローチャートである。
【符号の説明】
11…ユーザ名・パスワード管理システム、12…依存関係プログラム群、13…ユーザ名・パスワード代行入力対象プログラム群、14…ユーザ認証依存関係テーブル、15…ユーザ名・パスワード管理テーブル、16…依存関係プログラム起動条件テーブル。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a user authentication method and apparatus in a computer system requiring user authentication.
[0002]
[Prior art]
With the spread of computer systems, an unspecified number of people have come to use computer systems as needed. Therefore, in order to identify a user, generally, programs and network systems for performing user authentication by inputting user authentication information including a user name and password prior to use are increasing. Along with this, opportunities to use a plurality of programs and network systems that require input of such user names and passwords in one computer system are increasing. However, the user name and password input to each program and network system are often different, and the burden of managing the user name and password for the computer system user is increasing. Therefore, there is a need for a technique for reducing the burden of managing the user name and password of the computer system user while ensuring a certain level of security.
[0003]
Conventionally, in a computer system that uses a plurality of programs and network systems that require input of a user name and password, in order to reduce the burden on the user name and password management of the computer system user, the program to be used and the user name and password of the network system are used. Register the password in the user name / password management system, and enter the correct user name / password for the management system user into the user name / password management system prior to using the program or network system. After the user has been authenticated, the management system either substitutes the user name and password for input, or unifies or shares the program and network system user name and password. Which was.
[0004]
[Problems to be solved by the invention]
However, in the above-mentioned prior art, when the user name and password are unified, when the user name and password of one program or the network system are leaked, a third party is used by using the leaked user name and password. Makes all programs and network systems available.
In addition, when the user name / password management system is used, even if the user name / password of the user name / password management system is leaked, all registered programs and the network system become available. In each case, there was a problem that the security level was greatly reduced.
An object of the present invention is to provide a user authentication method that can reduce the burden of inputting and managing user authentication information while maintaining a high security level.
[0005]
[Means for Solving the Problems]
In order to achieve the above object, a user authentication method according to the present invention provides, in a user authentication operation for an access target, another computer resource having a dependency relationship with the access target and the user authentication and a proxy input / output condition for user authentication information. A step of searching a defined table to detect a status of another computer resource having a dependency on an object to be accessed by the user authentication operation and user authentication, and a status of the detected other computer resource being defined in the table. Checking whether or not the user has a dependency satisfying the proxy input availability condition , and, if so, inputting the user authentication information for the access target by proxy instead of the user.
[0006]
Further, the user authentication apparatus of the present invention searches for a table that defines other computer resources having a dependency on the user authentication and the proxy input permission / prohibition condition of the user authentication information in response to the user authentication operation on the access target . Means for detecting the status of another computer resource having a dependency on the user to be accessed by the user authentication operation and the user authentication, and the detected status of the other computer resource satisfies the proxy input availability condition defined in the table Means for checking whether or not the user has a dependency and , if the condition is satisfied, inputting the user authentication information for the access target on behalf of the user instead of the user.
[0007]
Here, the access target includes all resources that require user authentication in the computer system, such as programs, networks, computers, and databases.
Further, the computer resources include resources that require user authentication and resources that do not require user authentication.
[0008]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a configuration diagram showing an embodiment of a computer system having a user name / password management system to which the present invention is applied. FIG. 1 shows only a user name / password management system 11 which is a main part of the present invention, and parts related thereto, and other parts are not shown.
[0009]
The user name / password management system 11 (hereinafter, abbreviated as a management system) of the present embodiment includes a program and a network system group 13 (a group of access targets, a program, a network, It includes all resources that require user authentication in the computer system, such as a computer and a database. The set program and network system group 12 (computer resource group, including resources of all computer systems such as programs, networks, computers, databases, etc. There are resources that require user authentication and resources that are not required. Dependency programs and abbreviations) A user authentication dependency table 14 for storing the correspondence with the line input target program group 13 and the dependency on the user authentication, a user name / password management table 15 for each proxy input target program, and the other computer resource group 12 described above. Is constituted by a dependency program start condition management table 16 which stores the start conditions.
[0010]
In such a computer system, the management system 11 which has received from the computer system user an activation request for an arbitrary proxy input target program group 13 defined in the user authentication dependency relationship table 14 corresponds to the proxy input target program group 13. The dependency program group 12 and the dependencies to be extracted are extracted from the user authentication dependency table 14. If the status of the extracted dependency program group 12 satisfies the extracted dependency, the management system 11 replaces the user name / password corresponding to the proxy input target program group 13 for which the start request has been made with the user name / password. The start-up request is completed by inputting the obtained user name / password from the password management table 15 into the proxy input target program group 13 that has requested the start-up, on behalf of the user.
If the status of the extracted dependency program group 12 does not satisfy the dependency, proxy input is not performed.
[0011]
That is, the user name / password substitute input target program group 13 is composed of the programs 13a to 13n. For example, the program 13a in this program is dependent on the programs 12a and 12b in the dependency program group 12 in the user authentication. Is registered in the user authentication dependency relationship table 14 as “programs 12a and 12b have been started”, upon receiving a start request for the proxy input target program 13a, it is checked whether the programs 12a and 12b have been started. If the program has been started, the user authentication information (user name, password) of the proxy input target program 13a is input on behalf of the user.
[0012]
On the other hand, when the dependency program group 12 is activated, if the dependency program group 12 is a program that requires input of a user name / password, the management system 11 sends the user name / password input by the computer system user. And passes the input user name and password to the dependency program group 12 only when the start condition of the dependency program start condition table 16 is satisfied. If the condition is not satisfied, the activation of the dependency program group 12 is prevented by delivering an invalid password.
[0013]
In the management system 11, the user name and password for the management system 11 are used when the user name and password of the proxy input target program group 13 are registered in the user name / password management table 15, and when the proxy input target program group 13 and the It is used only by the system administrator when registering user authentication dependencies between the dependency program groups 12, and is not directly used by computer system users.
[0014]
FIG. 2 is a configuration diagram of the user authentication dependency relationship table 14 of FIG. A table 21 having entries for each of the proxy input target program groups 13 in FIG. 1 is created, and a table 22 defining the dependency program group 12 shown in FIG. 1 is created. FIG. 2 shows a state where two tables 22-1 and 22-2 are created.
Each of these tables 22-1 and 22-2 has an identifier input area 201 for a dependency program and a condition input area 202 for dependency in performing proxy input. These areas 201 and 202 are created in the tables 22-1 and 22-2 by the same number as the number of dependency programs.
When a plurality of dependency programs each requiring authentication are specified in the table 22 for the table 21 of one proxy input target program group 13, all of the specified dependency programs end the user authentication process normally. Whether the proxy input is performed when the user authentication process is performed or the proxy input is performed when any of the user authentication processes is normally completed is defined in the dependency input condition area 202 of the table 22 as the user authentication dependency. Is done. In this case, as a definition method, for example, an AND condition that both of the dependency programs 12a and 12b have been started, an OR condition that one of them has been started, or a start sequence of 12a is first and 12b is There is a specification method such as an order condition such as next. These conditions are registered in the (**) portion of the area 202.
[0015]
FIG. 3 is a flowchart showing a process when a start request for the proxy input target program group 13 is received from a computer system user.
First, when an activation request is received (step 31), the management system 11 refers to the tables 21 and 22 in the user authentication dependency table 14 and the activation is a precondition for processing a user name / password substitute input. The identifier of the dependency program group 12 is extracted (step 32). Then, the status of the dependency program group 12 is checked from the extracted identifier (step 33).
Next, it is evaluated whether or not the status of the dependency program group 12 satisfies the dependency condition defined in the dependency condition input area of the table 22 (steps 34 and 35). As a result of the evaluation, when the activation condition of the proxy input target program group 13 is satisfied, the user name / password of the proxy input target program group 13 is obtained from the user name / password management table 15 (step 36). The user name / password is input to the name / password substitute input target program group 13 and the program is started (step 37). However, if the evaluation result does not satisfy the activation condition of the proxy input target program group 13, the activation request to the proxy input target program group 13 is rejected (step 38).
[0016]
FIG. 4 is a configuration diagram of the dependency relationship program activation condition management table 16 of FIG. A table 41 having an entry for each dependency program group 12 in FIG. 1 is created, and a table 42 (42-1 to 42-n) defining the start condition of the dependency program group 12 is created for each entry in the table 41. I do. The activation condition table 42 has a set of an identifier area 401 indicating the type of the activation condition and a parameter area 402 required for the activation condition as one entry. When there is a request to start a certain dependency program group 12 and authentication is required to start the dependency program group 12, the management system is activated only when all the conditions defined in the table 42 are satisfied. The user name and password for the dependency program group 12 intercepted by 11 are transferred to the dependency program group 12. If the condition is not satisfied, an invalid password is delivered to the dependency program group 12.
[0017]
FIG. 5 is a flowchart showing a process when a user name / password for the dependency relationship program group 12 is input from a computer system user.
When the user name / password for the dependency program group 12 is input (step 51), the management system 11 intercepts the input user name / password and sets the tables 41 and 42 in the dependency program start condition table 16. (Step 52), a process for determining whether the activation condition defined in the table 42 has been achieved or not has been performed (step 53).
As a result of the evaluation processing (step 54), if the condition is not satisfied, the password is replaced with an invalid password, and the user name and password are handed over to the dependency program group 12 (steps 55 and 56). If the condition is satisfied, the intercepted password is delivered as it is (step 56).
[0018]
FIG. 6 is a flowchart showing details of the dependency relationship program activation condition evaluation processing (step 53) of FIG.
In the activation condition evaluation processing, first, an area for notifying the evaluation result to the evaluation result determination processing (step 54) in FIG. 5 is initialized with the value at the time when the condition is achieved (step 61). Next, the activation condition in the table 42 of FIG. 4 is read (step 62), and if there is no unevaluated activation condition, the evaluation process ends (step 63). However, if there is an unevaluated activation condition, the activation condition type is determined based on the activation condition identifier in the table 42, and the activation condition determination routine that matches the activation condition is called to make a determination (steps 64 and 65).
The activation condition determination routine compares, for example, in the case of the activation condition 1, the data stored in a predetermined storage area such as the clipboard of the computer in use with the activation condition parameters of the table 42. And so on. If the data do not match as a result of the comparison, a value indicating unachieved is stored in the area for notification to the above-described evaluation result determination processing (step 54), and the evaluation processing ends (step 66). If the data match, the activation condition reading process is performed again (steps 65 and 62).
In the case of the start condition 2, the value of the start condition parameter of the table 42 is set in the loop counter (step 67). Then, the computer user is requested to re-enter the user name / password by the number of times corresponding to the counter value (steps 69, 71, 72). If all the inputs are not the same, the process proceeds to the evaluation result determination processing (step 54). The evaluation processing is terminated after the value indicating the non-achievement is stored in the notification area (steps 68 and 70).
If all inputs are the same in a plurality of times, the activation condition reading process is performed again (steps 72 and 62).
[0019]
As described above, in the present embodiment, the dependency on the user authentication between the program and the network system is registered together with the program and the user name and the password of the network system for which the user name and the password are to be substituted. In the case where a start request to the program and the network system to be subjected to the proxy input is input, if the program and the network system for which the dependency on user authentication has been registered already match the conditions of the dependency, Based on the registered user authentication dependencies, the process to enter the user name and password on behalf of the program and the network system to be used subsequently will be executed. Before doing so, Once you have started a program that, again user name, password do not have to enter, it is possible to reduce the burden on the user.
[0020]
In addition, since the condition for performing the proxy input can be set only by the system administrator, the risk of leaking the condition is reduced. Therefore, it is possible to reduce the burden on the user name and password management of the computer system user while suppressing the security level from being lowered.
[0021]
Further, even when the program and the network system to be subjected to the user name / password substitution input are designed to perform user authentication using a short password with a low security level, or when the user does not have a user authentication procedure, the management system is used. In this case, it is possible to obtain a security level equivalent to that of a program and a network system in which a dependency on user authentication is registered.
[0022]
In the above embodiment, a program group composed of a plurality of programs is exemplified as the proxy input target program and the dependency program. However, the present invention is not limited to this. This can be applied in the same case.
[0023]
【The invention's effect】
As described above, according to the present invention, a program in which the administrator of the user name / password management system has set a dependency on user authentication and a new network only when the status of the network system already satisfies the dependency. It is possible to omit the input of the user authentication information of the access target to be activated at the first time. This makes it unnecessary to authenticate the user for all newly activated access targets without lowering the security level, thereby reducing the burden on the user.
The security level can also be improved depending on how the dependency is combined with the access target.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an embodiment of a computer system incorporating a user authentication device of the present invention.
FIG. 2 is a configuration diagram of a user authentication dependency relationship table.
FIG. 3 is a flowchart of a user name / password substitute input process;
FIG. 4 is a configuration diagram of a dependency relationship program activation condition management table.
FIG. 5 is a flowchart showing a process at the time of starting a dependency relationship program.
FIG. 6 is a flowchart illustrating details of a dependency program activation condition evaluation process.
[Explanation of symbols]
11: User name / password management system, 12: Dependency program group, 13: User name / password proxy input target program group, 14: User authentication dependency table, 15: User name / password management table, 16: Dependency program Start condition table.

Claims (2)

ユーザ認証が必要なアクセス対象を使用する計算機システムにおけるユーザ認証方法であって、
前記アクセス対象に対するユーザ認証操作に対し、アクセス対象とユーザ認証上の依存関係を有する他の計算機資源およびユーザ認証情報の代行入力可否条件を定義したテーブルを検索し、前記ユーザ認証操作によるアクセス対象とユーザ認証上の依存関係を有する他の計算機資源の状況を検出するステップと、検出した他の計算機資源の状況が前記テーブルに定義された代行入力可否条件を満たす依存関係を有しているか否かを調べ、満たしていた場合には前記アクセス対象に対するユーザ認証情報をユーザに代えて代行入力するステップとを備えることを特徴とするユーザ認証方法。A user authentication method in a computer system that uses an access target requiring user authentication,
In response to the user authentication operation for the access target , a search is made for a table that defines another computer resource having a dependency on the access target and the user authentication and a proxy input availability condition of the user authentication information. Detecting the status of another computer resource having a dependency on user authentication; and determining whether the detected status of the other computer resource has a dependency that satisfies the proxy input availability condition defined in the table . And if the user satisfies the condition, the user authentication information for the access target is input on behalf of the user on behalf of the user. ユーザ認証が必要なアクセス対象を使用する計算機システムにおけるユーザ認証装置であって、
前記アクセス対象に対するユーザ認証操作に対し、アクセス対象とユーザ認証上の依存関係を有する他の計算機資源およびユーザ認証情報の代行入力可否条件を定義したテーブルを検索し、前記ユーザ認証操作によるアクセス対象とユーザ認証上の依存関係を有する他の計算機資源の状況を検出する手段と、検出した他の計算機資源の状況が前記テーブルに定義された代行入力可否条件を満たす依存関係を有しているか否かを調べ、満たしていた場合には前記アクセス対象に対するユーザ認証情報をユーザに代えて代行入力する手段とを備えることを特徴とするユーザ認証装置。A user authentication device in a computer system that uses an access target requiring user authentication,
In response to the user authentication operation for the access target , a search is made for a table that defines another computer resource having a dependency on the access target and the user authentication and a proxy input availability condition of the user authentication information. Means for detecting the status of another computer resource having a dependency on user authentication, and determining whether the detected status of the other computer resource has a dependency satisfying the proxy input availability condition defined in the table And a means for inputting the user authentication information for the access target on behalf of the user if the user authentication information is satisfied.
JP27131899A 1999-09-24 1999-09-24 User authentication method and device Expired - Fee Related JP3594075B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP27131899A JP3594075B2 (en) 1999-09-24 1999-09-24 User authentication method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP27131899A JP3594075B2 (en) 1999-09-24 1999-09-24 User authentication method and device

Publications (2)

Publication Number Publication Date
JP2001092555A JP2001092555A (en) 2001-04-06
JP3594075B2 true JP3594075B2 (en) 2004-11-24

Family

ID=17498391

Family Applications (1)

Application Number Title Priority Date Filing Date
JP27131899A Expired - Fee Related JP3594075B2 (en) 1999-09-24 1999-09-24 User authentication method and device

Country Status (1)

Country Link
JP (1) JP3594075B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6832377B1 (en) * 1999-04-05 2004-12-14 Gateway, Inc. Universal registration system
EP1413961A4 (en) 2001-07-27 2008-03-26 Sony Corp Information processing system, information processing apparatus, and method
JP2004295504A (en) * 2003-03-27 2004-10-21 Fujitsu Ltd Security management program and security management method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2697817B2 (en) * 1987-02-17 1998-01-14 富士通株式会社 Job processing system
JPH0764662A (en) * 1993-08-31 1995-03-10 Toshiba Corp Information processor and controlling method
US5742759A (en) * 1995-08-18 1998-04-21 Sun Microsystems, Inc. Method and system for facilitating access control to system resources in a distributed computer system
JPH10177552A (en) * 1996-12-17 1998-06-30 Fuji Xerox Co Ltd Authentication answer method and authentication answer device using the answer method

Also Published As

Publication number Publication date
JP2001092555A (en) 2001-04-06

Similar Documents

Publication Publication Date Title
US11122028B2 (en) Control method for authentication/authorization server, resource server, and authentication/authorization system
US8904549B2 (en) Server system, control method, and storage medium for securely executing access to data of a tenant
US6167517A (en) Trusted biometric client authentication
US7237118B2 (en) Methods and systems for authentication of a user for sub-locations of a network location
US20170286653A1 (en) Identity risk score generation and implementation
US8955041B2 (en) Authentication collaboration system, ID provider device, and program
US8667578B2 (en) Web management authorization and delegation framework
US8935770B2 (en) Authentication system, authentication method, and storage medium for realizing a multitenant service
US8590030B1 (en) Credential seed provisioning system
US20130247142A1 (en) Authentication federation system and id provider device
US20060059569A1 (en) Application and device user verification from an operating system-based authentication service
US20040267749A1 (en) Resource name interface for managing policy resources
US20070118892A1 (en) Method and apparatus for associating a digital certificate with an enterprise profile
JP2008146682A (en) Method and system for account management
WO2008130760A1 (en) Request-specific authentication for accessing web service resources
US8799321B2 (en) License management apparatus, license management method, and computer readable medium
US20090210938A1 (en) Utilizing Previous Password to Determine Authenticity to Enable Speedier User Access
JP2728033B2 (en) Security method in computer network
JP2002073196A (en) Portable information processor provided with shared access managing function
CN111541546A (en) Multi-platform login method, device, equipment and readable medium
CN111177703B (en) Method and device for determining data integrity of operating system
JP3137173B2 (en) Authentication information management device
JP2004295632A (en) Authentication information acquisition device, user authentication system, authentication information acquisition program, document management device, document management program and recording medium
EP3407241B1 (en) User authentication and authorization system for a mobile application
JP3594075B2 (en) User authentication method and device

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040726

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040824

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040824

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100910

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130910

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees