JP4078289B2 - Authentication system - Google Patents
Authentication system Download PDFInfo
- Publication number
- JP4078289B2 JP4078289B2 JP2003379449A JP2003379449A JP4078289B2 JP 4078289 B2 JP4078289 B2 JP 4078289B2 JP 2003379449 A JP2003379449 A JP 2003379449A JP 2003379449 A JP2003379449 A JP 2003379449A JP 4078289 B2 JP4078289 B2 JP 4078289B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- information
- requesting device
- attribute information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012545 processing Methods 0.000 claims description 74
- 238000004891 communication Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000000034 method Methods 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 4
- 102100024061 Integrator complex subunit 1 Human genes 0.000 description 13
- 101710092857 Integrator complex subunit 1 Proteins 0.000 description 13
- 230000006870 function Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 102100028043 Fibroblast growth factor 3 Human genes 0.000 description 6
- 108050002021 Integrator complex subunit 2 Proteins 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
この発明は、認証システムに関するものであり、特に、認証処理の一元化に関するものである。 The present invention relates to an authentication system, and more particularly, to unification of authentication processing.
特開2002−73561号公報には、同一のユーザが、異なる通信端末によってアクセスした場合であっても、同一ユーザであることを判別できるようにしたシステムが開示されている。この技術では、通信端末IDに加えて、個人ごとにユニークな個人IDを与え、両者の組み合わせによって認証を行うので、異なる通信端末からアクセスがあった場合であっても、同一人であることを認識できる。 Japanese Patent Application Laid-Open No. 2002-73561 discloses a system in which the same user can be identified even when accessed by different communication terminals. In this technology, in addition to the communication terminal ID, a unique personal ID is given to each individual, and authentication is performed by a combination of both. Therefore, even if there is an access from a different communication terminal, the same person is identified. Can be recognized.
上記の従来技術では、同一人からの異なる通信端末によるアクセスを判定でき、この意味では、認証の一元化が図られている。しかし、一つのシステムにおける認証を考慮するのみであって、複数の企業におけるサーバシステム、複数のサービスなどに対し、これらを一元的に認証を行うことのできるシステムではない。また、一つのシステム内であっても、異なる認証を行う異なる通信経路からのアクセスに対する一元化も考慮されていなかった。このように、通信経路ごと、あるいは、企業ごと、サービスごとに、認証に必要な情報が異なることが一般的であり、これらを一元化することは容易ではなかった。 In the above prior art, access by different communication terminals from the same person can be determined, and in this sense, authentication is unified. However, only authentication in one system is considered, and it is not a system that can perform centralized authentication for server systems and services in a plurality of companies. Further, even within a single system, unification of accesses from different communication paths that perform different authentications has not been considered. Thus, information required for authentication is generally different for each communication path, for each company, and for each service, and it has not been easy to unify these.
特に、複数の認証を希望する装置(認証要求装置)に対して、集中的に認証を一元管理する装置を構築しようと試みると、認証要求装置の側においても、特定のユーザやグループに対するアクセス制限をするなどの処理を行う場合があり、これらを含めての一元化は困難であった。 In particular, if an attempt is made to construct a device that centrally manages authentication for a plurality of devices (authentication request devices) that desire authentication, the authentication request device also restricts access to specific users and groups. In some cases, it is difficult to unify these processes.
この発明は、上記のような問題点を解決して、異なる企業やサービスにおける、異なる通信端末に対する認証処理を一元化できるシステムを提供することを目的とする。 An object of the present invention is to solve the above-described problems and provide a system that can unify authentication processing for different communication terminals in different companies and services.
(1)この発明に係る認証システム、認証処理装置、認証処理プログラムは、
前記認証要求装置が、
ユーザ端末装置から、認証処理のためのユーザ属性情報を受信し、
受信したユーザ属性情報を含む認証要求を認証処理装置に送信し、
前記認証処理装置が、
認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録しており、
認証要求装置からの認証要求を受けて、ユーザ属性情報に基づいて認証処理を行い、結果が否定的であれば、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信し、結果が肯定的であれば、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信するとともに、
認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴としている。
したがって、認証処理の一元化を実現しつつ、認証に関連する処理について認証要求装置側で行う場合であっても、当該認証要求装置のための返送データを認証装置に返送することにより、認証処理の一元化を図ることができる。
(1) An authentication system, an authentication processing device, and an authentication processing program according to the present invention are:
The authentication requesting device is
User attribute information for authentication processing is received from the user terminal device,
Send the authentication request including the received user attribute information to the authentication processing device,
The authentication processing device is
For each authentication request device, if the authentication processing result is affirmative, the user attribute to be returned to the authentication request device is recorded for each user and the return data information described for each authentication request source ,
In response to an authentication request from the authentication requesting device, authentication processing is performed based on the user attribute information. If the result is negative, a negative user authentication result is sent to the authentication requesting device that made the authentication request. If the result is affirmative, a positive user authentication result is transmitted to the authentication requesting device that has issued the authentication request.
When the authentication result is affirmative, the user attribute specified by the user and the authentication request source is extracted from the return data information, and the user attribute is also returned to the authentication requesting apparatus.
Therefore, even if the authentication requesting device performs the processing related to authentication while realizing the centralization of the authentication processing, by returning the return data for the authentication requesting device to the authentication device, Centralization can be achieved.
(4)この発明に係る認証システム、認証処理装置、認証処理プログラムにおいては、返送データ情報は、ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報を備えており、認証手段は、認証結果が肯定的である場合、前記ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報とに基づいて、返送データとしてのユーザ属性を抽出することを特徴としている。 (4) In the authentication system, the authentication processing device, and the authentication processing program according to the present invention, the return data information includes attribute information recorded for each user and information indicating the type of attribute information recorded for each authentication requesting device. And when the authentication result is affirmative, the authentication means returns the information based on the attribute information recorded for each user and the information indicating the type of attribute information recorded for each authentication requesting device. It is characterized by extracting user attributes as data.
したがって、返送データ情報を効率的に記録でき、返送データ抽出処理も迅速である。 Therefore, the return data information can be recorded efficiently and the return data extraction process is quick.
(5)この発明に係る認証システム、認証処理装置、認証処理プログラムは、複数の認証要求装置は、異なる種類の通信経路によってユーザ端末装置と接続される2以上の認証要求装置を含むことを特徴としている。 (5) In the authentication system, the authentication processing device, and the authentication processing program according to the present invention, the plurality of authentication request devices include two or more authentication request devices connected to the user terminal device through different types of communication paths. It is said.
(6)この発明に係る認証システム、認証処理装置、認証処理プログラムは、認証要求装置は、受け取った返送データの内容に基づいて、当該ユーザに対する処理内容を変えることを特徴としている。 (6) The authentication system, authentication processing device, and authentication processing program according to the present invention are characterized in that the authentication requesting device changes the processing content for the user based on the content of the received return data.
したがって、認証処理の一元化を実現しつつ、認証要求装置は、返送データに基づき、ユーザによって異なる処理を実現することができる。 Therefore, the authentication requesting apparatus can realize different processing depending on the user based on the return data while realizing centralization of the authentication processing.
(7)この発明に係る認証システム、認証処理装置、認証処理プログラムは、
前記記録部には、ユーザごとに、当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報、およびユーザごとに、認証要求装置が認証のために必要とする必要ユーザ属性を明らかにした認証必要情報が記録されており、
前記認証手段は、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
送信されてきたユーザ属性情報が、当該ユーザに対して認証のために必要とされる必要属性情報に合致するか否かを、記録部の認証必要情報に基づいて判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果および返送データを送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
をさらに備えていることを特徴としている。
(7) An authentication system, an authentication processing device, and an authentication processing program according to the present invention include:
The recording unit includes, for each user, permitted device information that clarifies an authentication requesting device that is permitted to access the user, and a required user that the authentication requesting device needs for authentication for each user. Authentication required information that clarifies the attribute is recorded,
The authentication means includes
Based on the permission device information of the recording unit, it is determined whether or not the user specified by the user identification information in the user attribute information is permitted to access the authentication requesting device that has sent the user attribute information. 1 judging means,
Second determination means for determining whether the transmitted user attribute information matches the required attribute information required for authentication of the user based on the authentication required information of the recording unit; ,
If both the first and second determination means make an affirmative determination, a positive user authentication result and return data are transmitted to the authentication requesting apparatus that has issued the authentication request, and the first and second When any one of the determination means makes a negative determination, a transmission means for transmitting a negative user authentication result to the authentication requesting apparatus that has issued the authentication request;
Is further provided.
したがって、許可装置情報と認証必要情報との組合せにより、様々な形態の認証に対しても対応しつつ、認証処理の一元化を図ることができる。 Therefore, the combination of the authorization device information and the authentication required information can be used to unify the authentication process while supporting various forms of authentication.
この発明において、「プログラム」とは、CPUにより直接実行可能なプログラムだけでなく、ソース形式のプログラム、圧縮処理がされたプログラム、暗号化されたプログラム等を含む概念である。 In the present invention, the “program” is a concept including not only a program that can be directly executed by the CPU but also a source format program, a compressed program, an encrypted program, and the like.
「返送データ情報」は、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した1つのテーブルであってもよいし、2以上のテーブルによって実現したものでもよい。実施形態では、認証要求元データテーブル62の認証対象の返答属性と、認証対象データテーブル64の属性情報が、返送データ情報に該当する。 The “return data information” may be a single table describing user attributes to be returned to the authentication requesting device for each user and for each authentication requesting source, or may be realized by two or more tables. Good. In the embodiment, the authentication target response attribute of the authentication request source data table 62 and the attribute information of the authentication target data table 64 correspond to the return data information.
「認証要求装置の受信手段」は、実施形態では、図8のフローチャートにおけるステップS1によって実現されるCPUの機能がこれに対応する。 In the embodiment, the “reception unit of the authentication requesting apparatus” corresponds to the CPU function realized by step S1 in the flowchart of FIG.
「認証要求装置の送信手段」は、実施形態では、図8のフローチャートにおけるステップS2によって実現されるCPUの機能がこれに対応する。 In the embodiment, “the transmitting means of the authentication requesting apparatus” corresponds to the function of the CPU realized by step S2 in the flowchart of FIG.
「認証処理装置の受信手段」は、実施形態では、図8のフローチャートにおけるステップS2に対応して、認証処理装置がこれを受信する機能がこれに対応する。 In the embodiment, “reception means of the authentication processing device” corresponds to the function of the authentication processing device receiving this corresponding to step S2 in the flowchart of FIG.
「認証手段」は、実施形態では、図9のフローチャートにおけるステップS54、S55、S56、S57、S58によって実現されるCPUの機能がこれに対応する。 In the embodiment, the “authentication means” corresponds to the CPU function realized by steps S54, S55, S56, S57, and S58 in the flowchart of FIG.
「第1の判断手段」は、実施形態では、図9のフローチャートにおけるステップS54によって実現されるCPUの機能がこれに対応する。 In the embodiment, the “first determination unit” corresponds to the function of the CPU realized by step S54 in the flowchart of FIG.
「第2の判断手段」は、実施形態では、図9のフローチャートにおけるステップS56によって実現されるCPUの機能がこれに対応する。 In the embodiment, the “second determination means” corresponds to the function of the CPU realized by step S56 in the flowchart of FIG.
「認証処理装置の送信手段」は、実施形態では、図9のフローチャートにおけるステップS55、S58によって実現されるCPUの機能がこれに対応する。 In the embodiment, the “transmitting means of the authentication processing apparatus” corresponds to the function of the CPU realized by steps S55 and S58 in the flowchart of FIG.
図1に、この発明の一実施形態による認証システムの概念図を示す。認証対象T1,T2....Tnは、それぞれ、認証要求元R1,R2....Rmのいずれかを選んで接続可能であるとする。つまり、同じ認証対象T1,T2....Tnが、異なる認証要求元R1,R2....Rmに接続できるようになっている。認証要求元R1,R2....Rmは、認証処理装置Sに接続されている。 FIG. 1 shows a conceptual diagram of an authentication system according to an embodiment of the present invention . It is assumed that the authentication targets T1, T2 .... Tn can be connected by selecting one of the authentication request sources R1, R2 .... Rm, respectively. That is, the same authentication target T1, T2 .... Tn can be connected to different authentication request sources R1, R2 .... Rm. Authentication request sources R1, R2... Rm are connected to an authentication processing device S.
認証対象T1,T2....Tnのいずれか(ここでは、認証対象T2とする)が、認証要求元R1,R2....Rmのいずれか(ここでは、認証要求元R5とする)にアクセスすると、認証要求元R5は、認証対象T2から認証対象の属性情報を取得する。認証要求元R5は、この認証対象属性情報と自己の属性情報を、認証処理装置Sに送信する。 One of authentication targets T1, T2 .... Tn (here, authentication target T2) is one of authentication request sources R1, R2 .... Rm (here, authentication request source R5) When accessing the authentication request source R5, the authentication target attribute information is acquired from the authentication target T2. The authentication request source R5 transmits the authentication target attribute information and its own attribute information to the authentication processing device S.
認証処理装置Sは、受信した認証対象属性情報と認証要求元の属性情報との組み合わせに基づいて、記録されている認証必要情報Vを参照し、認証対象T2に対する認証を行う。 Based on the combination of the received authentication target attribute information and the authentication request source attribute information, the authentication processing device S refers to the recorded authentication required information V and performs authentication for the authentication target T2.
このように、認証対象属性情報と認証要求元属性情報との組み合わせに基づいて、認証の可否を判断するようにしているので、認証対象が異なるグループ(企業、部署など)に所属しており、各グループによって認証の方法が異なる場合においても、認証処理装置によって一元的な管理を行うことができる。また、認証対象が同じであっても、いずれの認証要求元にアクセスを要求したかによって認証の可否を変えるようにしたい場合においても、認証処理装置によって一元的な管理を行うことができる。 In this way, since authentication is determined based on the combination of the authentication target attribute information and the authentication request source attribute information, the authentication target belongs to a different group (company, department, etc.) Even when the authentication method differs for each group, the authentication processing apparatus can perform unified management. Even if the authentication target is the same, even when it is desired to change whether or not authentication is possible depending on which authentication request source is requested to access, the authentication processing apparatus can perform unified management.
図2に、この発明の一実施形態による認証システムの全体構成を示す。ユーザU1,U2,U3,U4が、図1の概念図における認証対象T1,T2...に対応している。また、リモートアクセスサーバ装置RS1,RS2、無線LANアクセスポイント装置WL、仮想プライベートネットワーク(VPN)ゲートウエイ装置VPN、アプリケーションサーバ装置APSは、認証要求元R1,R2....に対応している。ユーザU1,U2,U3,U4は、端末装置などによって、これらの認証要求元と通信可能である。また、認証処理装置Sには、認証必要情報Vとして、ユーザに関する認証対象情報V1、認証要求元に関する認証要求元情報V2が記録されている。 FIG. 2 shows the overall configuration of an authentication system according to an embodiment of the present invention. The users U1, U2, U3, U4 correspond to the authentication targets T1, T2,... In the conceptual diagram of FIG. The remote access server devices RS1, RS2, the wireless LAN access point device WL, the virtual private network (VPN) gateway device VPN, and the application server device APS correspond to authentication request sources R1, R2. Users U1, U2, U3, and U4 can communicate with these authentication request sources through a terminal device or the like. Further, in the authentication processing device S, authentication target information V1 related to the user and authentication request source information V2 related to the authentication request source are recorded as the authentication required information V.
図3に、認証システムの全体的ハードウエア構成の例を示す。イントラネットINT1は、ユーザU1,U2,U3が所属する企業の社内イントラネットである。また、イントラネットINT2は、ユーザU4の所属する企業の社内イントラネットである。 FIG. 3 shows an example of the overall hardware configuration of the authentication system. The intranet INT1 is an in-house intranet of a company to which the users U1, U2, and U3 belong. The intranet INT2 is an in-house intranet of a company to which the user U4 belongs.
各ユーザU1,U2,U3,U4は、端末装置20,22,24,26,28などから、許可されたイントラネットINT1,INT2にアクセス可能となっている。
Each user U1, U2, U3, U4 can access the permitted intranets INT1, INT2 from the
社内に設けられたイントラネットINT1に対しては、複数の通信経路を介してアクセス可能になっている。インターネットINNを介してのアクセスのために、VPNゲートウエイ装置VPNが設けられている。公衆回線網PBNを介してのアクセスのために、リモートアクセスサーバ装置RS1が設けられている。また、社内からLANカード等によってイントラネットINT1にアクセスするためのウエブ・アプリケーションサーバAPSが設けられている。さらに、社内から無線LANによってイントラネットINT1にアクセスするための無線LANアクセスポイント装置WLが設けられている。イントラネットINT1と認証処理装置Sは、ルータROOT1によって、接続されている。 The intranet INT1 provided in the company can be accessed via a plurality of communication paths. A VPN gateway device VPN is provided for access via the Internet INN. A remote access server device RS1 is provided for access via the public network PBN. In addition, a web application server APS for accessing the intranet INT1 by a LAN card or the like from within the company is provided. Furthermore, a wireless LAN access point device WL for accessing the intranet INT1 by wireless LAN from the office is provided. The intranet INT1 and the authentication processing device S are connected by a router ROOT1.
他の社内のイントラネットINT2には、公衆回線網PBNを介してのアクセスのための、リモートアクセスサーバ装置RS2が設けられている。図示はしていないが、イントラネットINT1と同じように、イントラネットINT1と同様、VPNゲートウエイ装置、ウエブアプリケーションサーバ装置、無線LANアクセスポイント装置が設けられている。イントラネットINT2と認証処理装置Sは、ルータROOT2によって、接続されている。 The other in-house intranet INT2 is provided with a remote access server device RS2 for access via the public network PBN. Although not shown, like the intranet INT1, a VPN gateway device, a web application server device, and a wireless LAN access point device are provided as in the intranet INT1. The intranet INT2 and the authentication processing device S are connected by a router ROOT2.
図4に、リモートアクセスサーバ装置RS1,RS2、VPNゲートウエイ装置VPN、ウエブアプリケーションサーバ装置APS、無線LANアクセスポイント装置WLの各機器の基本的ハードウエア構成を示す。なお、図4は、各機器に共通な構成部分を示したものであり、各機器は、それぞれの機能に応じた構成、プログラムを有している。 FIG. 4 shows a basic hardware configuration of each device of the remote access server devices RS1 and RS2, the VPN gateway device VPN, the web application server device APS, and the wireless LAN access point device WL. FIG. 4 shows components common to each device, and each device has a configuration and a program corresponding to each function.
通信回路2は、ユーザU1,U2,U3,U4が操作する端末装置20,22,24,26,28との通信および認証処理装置Sとの通信を行うためのものである。CPU4は、ハードディスク8に格納されたオペレーティングシステム12、認証要求プログラム10にしたがって、認証要求処理を行う。メモリ6は、一時記憶などのワーク領域である。ハードディスク8には、オペレーティングシステム12、認証要求プログラム10が記憶されている。なお、これらプログラムは、CD−ROMドライブ(図示せず)を介して、CD−ROM(図示せず)などの記録媒体からインストールされたものである。
The
図5に、認証処理装置Sのハードウエア構成を示す。通信回路52は、認証要求装置であるリモートアクセスサーバ装置RS1,RS2、VPNゲートウエイ装置VPN、ウエブアプリケーションサーバ装置APS、無線LANアクセスポイント装置WLとの通信を行うためのものである。CPU54は、ハードディスク58に格納されたオペレーティングシステム66、認証処理プログラム60にしたがって、認証要求元データテーブル62、認証対象データテーブル64を用いて認証処理を行う。メモリ56は、一時記憶などのワーク領域である。ハードディスク58には、オペレーティングシステム66、認証処理プログラム60、認証要求元データテーブル62、認証対象データテーブル64が記憶されている。なお、これらプログラムおよびデータは、CD−ROMドライブ(図示せず)を介して、CD−ROM(図示せず)などの記録媒体からインストールされたものである。
FIG. 5 shows a hardware configuration of the authentication processing device S. The
図6に、認証要求元データテーブル62の例を示す。このテーブル62には、それぞれの認証要求装置に対応づけて、その認証要求装置自身の認証を行うための情報を記録している(属性情報の欄)。図においては、認証要求装置のid(id=の項目)とパスワード(password=の項目)とIPアドレス(ipaddress=の項目)が認証のための情報である旨が記録されている。 FIG. 6 shows an example of the authentication request source data table 62. In this table 62, information for authenticating the authentication requesting device itself is recorded in association with each authentication requesting device (attribute information column). In the figure, it is recorded that the authentication requesting device id (id = item), password (password = item), and IP address (ipaddress = item) are information for authentication.
また、それぞれの認証要求装置に対応づけて、当該認証要求装置において要求するユーザ認証情報の種類を記録している(認証対象の確認属性の欄)。たとえば、リモートアクセスサーバRS1は、ユーザ識別情報(uid1)、パスワード(password1)、発信者電話番号(clid)による認証を必要としていることが示されている。また、無線LANアクセスポイント装置WLは、ユーザ識別情報(uid1)、パスワード(password1)、ユーザグループのID(ssid)による認証を必要としていることが示されている。 In addition, the type of user authentication information requested in the authentication requesting device is recorded in association with each authentication requesting device (authentication target confirmation attribute column). For example, it is shown that the remote access server RS1 requires authentication based on user identification information (uid1), password (password1), and caller telephone number (clid). Further, it is shown that the wireless LAN access point device WL requires authentication based on user identification information (uid1), password (password1), and user group ID (ssid).
さらに、認証結果が肯定的であった場合に、当該認証装置に返送すべき情報を記録している(認証対象の返答属性の欄)。たとえば、リモートアクセスサーバ装置RS1に対しては、IPアドレス(ipaddress)を返送する旨が示されている。VPNゲートウエイ装置VPNに対しては、グループ情報(group)を返送する旨が示されている。これらの返送情報は、認証要求元テーブル62の当該ユーザについての属性情報の欄から取得することができる。また、無線LANアクセスポイント装置WLに対しては、何も返送しないことが示されている。 Further, when the authentication result is affirmative, information to be returned to the authentication apparatus is recorded (reaction attribute column to be authenticated). For example, it is indicated that an IP address (ipaddress) is returned to the remote access server apparatus RS1. It is indicated that group information (group) is returned to the VPN gateway device VPN. The return information can be acquired from the attribute information column for the user in the authentication request source table 62. Also, nothing is returned to the wireless LAN access point device WL.
図7に、認証対象データテーブル64の例を示す。このテーブル64には、認証対象であるユーザU1,U2,U3,U4ごとに、当該ユーザが、いずれの認証要求装置を介してイントラネットINT1,INT2に接続することが許されているかが示されている(許可された認証要求元の欄)。たとえば、ユーザU1は、リモートアクセスサーバ装置RS1、無線LANアクセスポイント装置WL、アプリケーションサーバ装置APS、VPNゲートウエイ装置VPNを介して、接続が可能である旨が示されている。 FIG. 7 shows an example of the authentication target data table 64. This table 64 shows, for each user U1, U2, U3, U4 to be authenticated, through which authentication requesting device the user is allowed to connect to the intranets INT1, INT2. (Authorized authentication requester field). For example, it is shown that the user U1 can connect via the remote access server device RS1, the wireless LAN access point device WL, the application server device APS, and the VPN gateway device VPN.
また、各ユーザU1,U2,U3,U4ごとに、接続が許されている認証要求装置が要求する認証項目としての属性情報を記録している(属性情報の欄)。認証処理を行う際には、ここに記載された属性情報のうち、認証要求元データテーブル62に記録された認証要求元に応じたユーザ認証情報の種類(認証対象の確認属性の欄)に対応する属性のみを抽出して用いる。また、この実施形態では、認証が肯定的であった場合に、認証要求装置に返送するための属性(たとえば、ipaddress)も記録されている。 In addition, attribute information as an authentication item requested by the authentication requesting apparatus permitted to be connected is recorded for each user U1, U2, U3, U4 (attribute information column). When performing authentication processing, among the attribute information described here, it corresponds to the type of user authentication information corresponding to the authentication request source recorded in the authentication request source data table 62 (column of verification attribute to be authenticated) Only the attributes to be extracted are used. In this embodiment, an attribute (for example, ipaddress) for returning to the authentication requesting device when the authentication is positive is also recorded.
図8〜図10に、認証要求装置の認証要求プログラム10、認証処理装置Sの認証処理プログラム60のフローチャートを示す。ここでは一例として、ユーザU1が、端末装置24(この実施形態では端末装置によって認証結果は変わらないので、いずれの端末装置を用いてもよい)を用い、公衆回線網PBNを介して、リモートアクセスサーバ装置RS1にアクセスしてきたものとして説明する。以下、装置の処理動作として示すものは、CPUがプログラムに基づいて行う処理動作である。
8 to 10 show flowcharts of the
まず、端末装置24からのアクセスを受けたリモートアクセスサーバ装置RS1は、端末装置24に対して、ユーザ属性情報(ユーザ識別情報、パスワードなど)入力のための画面を送信する。端末装置24のユーザは、これに応じて、ユーザ属性情報を入力して、リモートアクセスサーバ装置RS1に送信する。この際、当該端末装置24を特定する情報clid(発信元の電話番号など)も併せて送信される。このようにして、リモートアクセスサーバ装置RS1は、ユーザ属性情報を取得する(ステップS1)。ここでは、予め定められたとおり、ユーザidとしてuesr1が、パスワードpasswordとしてpassword1が、発信元情報clidとして07000000001がリモートアクセスサーバ装置RS1に送られる。リモートアクセスサーバ装置RS1は、受け取ったこれら情報に、さらに、当該端末装置24に対して割り当てたIPアドレスを加えて、ユーザ属性情報とする。
First, the remote access server device RS1 that has received access from the
続いて、リモートアクセスサーバ装置RS1は、認証処理装置Sに対して、認証要求を行う。まず、リモートアクセスサーバ装置RS1自身の認証を行うため、予め定められているリモートアクセスサーバ装置RS1の属性情報を送信する
ここでは、ハードディスク8に、属性情報として、図11のようなデータが記録されているものとする。識別情報idとしてras01が記録され、パスワードpasswordとしてpasswordras01が記録され、IPアドレスipaddressとして172.16.1.1が記録されている。
この属性情報を受けた認証処理装置Sは、認証要求を行ってきた認証要求装置に対応する認証のための属性情報を、認証要求元データテーブル62から読み出す。なお、いずれの認証要求装置からの要求であるかは、属性情報に含まれる認証要求装置識別情報idによって知ることができる。ここでは、リモートアクセスサーバ装置RS1に対して記述された、識別情報idとしてras01が読み出され、パスワードpasswordとしてpasswordras01が読み出され、IPアドレスipaddressとして172.16.1.1が読み出される(図6参照)。次に、認証処理装置Sは、送信されてきた認証要求装置の属性情報が、テーブル62から読み出した認証情報と等しいか否かを判断して認証を行う(ステップS51)。
Subsequently, the remote access server device RS1 makes an authentication request to the authentication processing device S. First, in order to authenticate the remote access server RS1 itself, predetermined attribute information of the remote access server RS1 is transmitted. Here, data as shown in FIG. 11 is recorded on the hard disk 8 as attribute information. It shall be. Ras01 is recorded as the identification information id, passwordras01 is recorded as the password password, and 172.16.1.1 is recorded as the IP address ipaddress.
Upon receiving this attribute information, the authentication processing device S reads from the authentication request source data table 62 the attribute information for authentication corresponding to the authentication requesting device that has issued the authentication request. Note that it is possible to know from which authentication requesting device the request is received by the authentication requesting device identification information id included in the attribute information. Here, ras01 is read as the identification information id described for the remote access server device RS1, passwordras01 is read as the password password, and 172.16.1.1 is read as the IP address ipaddress (see FIG. 6). Next, the authentication processing device S performs authentication by determining whether or not the transmitted attribute information of the authentication requesting device is equal to the authentication information read from the table 62 (step S51).
合致しなければ、認証”不可”の旨を認証要求装置に返送する(ステップS52)。認証”不可”であれば、認証要求装置は、ステップS3から、ステップS7へ進み、端末装置に対して認証”不可”の旨を送信する。 If they do not match, an authentication “impossible” message is returned to the authentication requesting device (step S52). If the authentication is “impossible”, the authentication requesting device proceeds from step S3 to step S7, and transmits an authentication “impossible” message to the terminal device.
ここでは、認証要求装置であるリモートアクセスサーバ装置RS1からの属性情報(図11)は、認証要求元データテーブル62の属性情報(図6)と一致する。したがって、認証処理装置Sは、認証”可”の旨をリモートアクセスサーバ装置RS1に送り返す(ステップS53)。 Here, the attribute information (FIG. 11) from the remote access server device RS1 that is the authentication requesting device matches the attribute information (FIG. 6) of the authentication request source data table 62. Therefore, the authentication processing device S sends back an authentication “permitted” message to the remote access server device RS1 (step S53).
認証”可”の結果を受けたリモートアクセスサーバ装置RS1は、ステップS3からステップS4に進む。ステップS4で、リモートアクセスサーバ装置RS1は、ステップS1にて取得したユーザ属性情報を、認証処理装置Sに送信する。 The remote access server apparatus RS1 that has received the result of the authentication “OK” proceeds from step S3 to step S4. In step S4, the remote access server apparatus RS1 transmits the user attribute information acquired in step S1 to the authentication processing apparatus S.
これを受けて、認証処理装置Sは、ユーザ属性情報中のユーザ識別情報に基づいてユーザを特定する。次に、認証対象データテーブル64の「許可された認証要求元」の欄を参照して、認証要求を行ってきた認証要求装置が、当該ユーザに対してアクセスが許可されているか否かを判断する(ステップS54)。つまり、認証要求を行ってきた認証要求装置が、当該ユーザの「許可された認証要求元」の欄に記載されていれば、アクセスが許可されていると判断する。 In response to this, the authentication processing device S identifies the user based on the user identification information in the user attribute information. Next, referring to the “permitted authentication request source” column of the authentication target data table 64, the authentication requesting apparatus that has issued the authentication request determines whether or not access to the user is permitted. (Step S54). That is, if the authentication requesting apparatus that has issued the authentication request is described in the “permitted authentication request source” column of the user, it is determined that access is permitted.
記載されていなければ、アクセスが許可されていないと判断する。当該ユーザに対してアクセスが許可されていないと判断した場合、認証”不可”の旨を、認証要求装置に送り返す(ステップS55)。認証要求装置は、ステップS5を経てステップS7を実行し、端末装置に対して認証”不可”の旨を送信する。 If not described, it is determined that access is not permitted. If it is determined that access is not permitted for the user, an authentication “impossible” message is sent back to the authentication requesting device (step S55). The authentication requesting device executes step S7 through step S5, and transmits an authentication “impossible” message to the terminal device.
ここでは、認証対象データテーブル64において、ユーザU1についての「許可された認証要求元」の欄には、リモートアクセスサーバ装置RS1が含まれているので、アクセス可能であると判断する。 Here, in the authentication target data table 64, the “permitted authentication request source” column for the user U1 includes the remote access server device RS1, and therefore it is determined that access is possible.
次に、認証処理装置Sは、認証要求元データテーブル62から、認証要求装置に対応する「認証対象の確認属性」を取得する。ここでは、リモートアクセスサーバ装置RS1に対応する、ユーザ識別情報uid1、パスワードpassword、発信元情報clidが取得される。続いて、認証対象テーブル64を参照して、当該ユーザに対応する「属性情報」の欄から、上記の種類に合致する属性情報を抽出する。ここでは、ユーザU1に対応する属性情報の記述のうち、uid1=user1、password1=password01、clid=07000000001が抽出される。このようにして、認証に必要なユーザ属性情報を得る。 Next, the authentication processing device S acquires the “authentication target confirmation attribute” corresponding to the authentication requesting device from the authentication request source data table 62. Here, the user identification information uid1, password password, and transmission source information clid corresponding to the remote access server device RS1 are acquired. Subsequently, with reference to the authentication target table 64, attribute information matching the above type is extracted from the “attribute information” column corresponding to the user. Here, uid1 = user1, password1 = password01, and clid = 07000000001 are extracted from the description of the attribute information corresponding to the user U1. In this way, user attribute information necessary for authentication is obtained.
次に、認証処理装置Sは、ステップS2においてリモートアクセスサーバ装置RS1から取得したユーザ属性情報が、上記の認証に必要なユーザ属性情報に合致するかどうかを判断する(ステップS56)。合致しなければ、ステップS55に進み、前述のように認証不可である場合の処理を行う。 Next, the authentication processing device S determines whether or not the user attribute information acquired from the remote access server device RS1 in step S2 matches the user attribute information necessary for the authentication (step S56). If they do not match, the process proceeds to step S55, and processing is performed when authentication is not possible as described above.
ここでは、ステップS2において、ユーザidとしてuesr1を、パスワードpasswordとしてpassword1を、発信元情報clidとして07000000001を取得しており、これは、認証に必要なユーザ属性情報に合致しているので、認証”可”であるとする。 Here, in step S2, the uesr1 as user id, the password1 as password password, originating holds a 07,000,000,001 as source information clid, which, because it matches the user attribute information necessary for authentication, the authentication " Assume that it is “possible”.
認証”可”と判断した場合、次に、認証要求元データテーブル62を参照して、認証要求装置に対応する「認証対象の返答属性」の欄から返答属性の種類を取得する。ここでは、リモートアクセスサーバ装置RS1に対応して記述されているIPアドレスipaddressを取得することになる。次に、認証処理装置Sは、認証要求装置から送られてきたユーザ属性情報中からIPアドレスを抽出する(ステップS57)。続いて、認証”可”である旨のデータと、抽出した返答データ(ここではIPアドレス)を、これを認証要求装置に送信する(ステップS58)。 If it is determined that the authentication is “permitted”, the authentication request source data table 62 is referred to, and the response attribute type is acquired from the “response attribute to be authenticated” column corresponding to the authentication requesting device. Here, the IP address ipaddress described in correspondence with the remote access server apparatus RS1 is acquired. Next, the authentication processing device S extracts an IP address from the user attribute information sent from the authentication requesting device (step S57). Subsequently, the data indicating that the authentication is “permitted” and the extracted response data (IP address here) are transmitted to the authentication requesting device (step S58).
これを受けた認証要求装置は、認証可かどうかを判断し(ステップS5)、”可”でなければ、端末装置42に対して認証”不可”の旨を送信し、アクセスを許可しない(ステップS7)。また、”可”であれば、端末装置42に対して、認証”可”の旨を送信し、アクセスを許可する(ステップS6)。 Upon receipt of this, the authentication requesting device determines whether or not authentication is possible (step S5). If it is not “permitted”, it transmits an authentication “impossible” message to the terminal device 42 and does not permit access (step). S7). On the other hand, if it is “permitted”, the terminal device 42 is transmitted “authentication permitted” to permit access (step S6).
なお、認証の後、認証要求装置は所定の処理を行う。なお、その処理内容は、返答データの内容に基づいて変わるようにされる。たとえば、IPアドレスに基づいて、所定のコンテンツに対するアクセス制限をかけたりする等の処理を行う。 Note that after the authentication, the authentication requesting device performs a predetermined process. The processing content is changed based on the content of the response data. For example, processing such as restricting access to predetermined content is performed based on the IP address.
また、ユーザをグループ分けしておき、そのグループ識別情報を認証要求装置に返送データとして送信すれば、認証要求装置は、グループに応じたアクセス制限などを行うことができる。図6のテーブル62では、VPNゲートウエイVPN、アプリケーションサーバAPSが、グループ識別情報groupを返送するようになっており、認証対象データテーブル64のユーザの属性情報には、グループ識別情報groupが記録されており、これを実現している。以上のようにして、認証が行われる。 Further, if the users are grouped and the group identification information is transmitted as return data to the authentication requesting device, the authentication requesting device can perform access restriction according to the group. In the table 62 of FIG. 6, the VPN gateway VPN and the application server APS return the group identification information group, and the group identification information group is recorded in the user attribute information of the authentication target data table 64. This is realized. Authentication is performed as described above.
上記の例は、認証”可”となる場合を示したが、たとえば、ユーザU2が、アプリケーションサーバ装置APSを通してイントラネットINT1にアクセスしようとした場合、ステップS54において、認証”不可”であると判断されてアクセスが拒否される。 The above example shows a case where the authentication is “permitted”. For example, when the user U2 tries to access the intranet INT1 through the application server device APS, it is determined that the authentication is “impossible” in step S54. Access is denied.
また、同じユーザU1であっても、リモートアクセスサーバ装置RS2を通してイントラネットINT2にアクセスしようとした場合、ステップS54において、認証”不可”であると判断されてアクセスが拒否される。 Further, even when the same user U1 tries to access the intranet INT2 through the remote access server device RS2, in step S54, it is determined that the authentication is “impossible” and the access is denied.
認証要求元データテーブル62において、無線LANアクセスポイント装置WLにつき、認証対象の確認属性として、グループ情報ssidが含まれている。このグループ情報は、端末装置と認証要求装置との間で予め定められて記録されたものであり、同一のグループに属する端末装置(つまりユーザ)に対しては、同一のグループ情報ssidが記録されることになる。 In the authentication request source data table 62, group information ssid is included as a confirmation attribute to be authenticated for the wireless LAN access point device WL. This group information is predetermined and recorded between the terminal device and the authentication requesting device, and the same group information ssid is recorded for terminal devices (that is, users) belonging to the same group. Will be.
このグループ情報ssidは、認証要求装置が端末装置から取得してユーザ情報に含めて認証処理装置に送る。このようにして、グループ情報ssidを認証に用いることにより、特定のグループに属する端末装置(ユーザ)に対してのみ認証を可として、特別なサービスを提供することができる。 This group information ssid is acquired from the terminal device by the authentication requesting device, is included in the user information, and is sent to the authentication processing device. In this way, by using the group information ssid for authentication, only a terminal device (user) belonging to a specific group can be authenticated, and a special service can be provided.
この実施形態では、いずれの認証要求装置を介してイントラネットにアクセスするかにより、同一人であっても、認証の可否を変えることを実現しつつ、その認証処理を認証処理装置によって一元管理することを可能としている。 In this embodiment, it is possible to centrally manage the authentication processing by the authentication processing device while realizing whether or not the same person can change the authentication depending on which authentication requesting device is used to access the intranet. Is possible.
なお、上記実施形態では、ルータROOT1によって、イントラネットINT1と認証処理装置Sとを接続している。しかし、ルータROOT1に代えて、専用回線もしくは実質的な専用回線を用いてもよい。たとえば、インターネット上の仮想プライベートネットワークなどを用いて、イントラネットINT1と認証処理装置Sを接続してもよい。 In the above embodiment, the intranet INT1 and the authentication processing device S are connected by the router ROOT1. However, a dedicated line or a substantial dedicated line may be used instead of the router ROOT1. For example, the intranet INT1 and the authentication processing device S may be connected using a virtual private network on the Internet.
また、ウエブ・アプリケーションサーバAPSを、認証処理装置Sと同じ認証サービス事業者ネットワークNT内に置き、当該アプリケーションサーバAPSと、イントラネットINT1とを、専用回線もしくは実質的な専用回線によって接続するようにしてもよい。 The web application server APS is placed in the same authentication service provider network NT as the authentication processing device S, and the application server APS and the intranet INT1 are connected by a dedicated line or a substantial dedicated line. Also good.
上記の実施形態では、認証要求元データテーブル62に、認証対象の確認属性の種類が記載され、認証対象データテーブル64に当該種類に対応して、認証に用いるデータが記録されている。これによって、ユーザごとに、認証要求装置が認証のために必要とする必要ユーザ属性を明らかにした認証必要情報を記録するようにしている。 In the above embodiment, the type of the authentication attribute to be authenticated is described in the authentication request source data table 62, and data used for authentication is recorded in the authentication target data table 64 corresponding to the type. As a result, for each user, authentication required information that clarifies necessary user attributes required for authentication by the authentication requesting device is recorded.
しかし、ユーザごと、認証要求装置ごとに、認証に用いるデータを記録した一つのテーブルを作成し、ユーザごとに、認証要求装置が認証のために必要とする必要ユーザ属性を明らかにした認証必要情報を記録するようにしてもよい。 However, for each user, for each authentication requesting device, a table that records the data used for authentication is created, and for each user, authentication required information that clarifies the necessary user attributes required for authentication by the authentication requesting device May be recorded.
U1,U2,U3・・・ユーザ
RS1,RS2・・・リモートアクセスサーバ装置
WL・・・無線LANアクセスポイント装置
VPN・・・VPNゲートウエイ装置
APS・・・アプリケーションサーバ装置
S・・・認証処理装置
V1・・・認証対象情報
V2・・・認証要求元情報
U1, U2, U3 ・ ・ ・ User
RS1, RS2 ・ ・ ・ Remote access server device
WL ... Wireless LAN access point device
VPN ・ ・ ・ VPN gateway device
APS: Application server device
S ... Authentication processing device
V1 Information for authentication
V2 ... Authentication requester information
Claims (7)
当該各認証要求装置と通信可能に接続された認証処理装置と、
を備えた認証システムであって、
前記認証要求装置は、
ユーザ端末装置から、ユーザ識別情報およびパスワードを含むユーザ属性情報を受信する受信手段と、
受信したユーザ属性情報を含む認証要求を認証処理装置に送信する送信手段と、
前記認証処理装置は、
ユーザごとにユーザ識別情報に対応付けて当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報と、認証要求装置ごとに当該認証要求装置がユーザを認証するために要求する必要ユーザ属性の種類情報と、ユーザごとに認証要求装置が認証のために必要とする必要ユーザ属性情報を明らかにした認証必要情報と、認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録した記録部と、
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取る受信手段と、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
を備えており、
前記送信手段は、認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とする認証システム。 A plurality of authentication requesting devices that permit access from the user after receiving an access request from the user terminal device and obtaining a positive result for user authentication;
An authentication processing device communicably connected to each authentication requesting device;
An authentication system comprising:
The authentication requesting device includes:
Receiving means for receiving user attribute information including user identification information and a password from the user terminal device;
A transmission means for transmitting an authentication request including the received user attribute information to the authentication processing device;
The authentication processing device includes:
Permitted device information that identifies the authentication requesting device that is permitted to access the user in association with the user identification information for each user, and the authentication requesting device requests that the authentication requesting device authenticate the user for each authentication requesting device. The authentication processing result is positive for each type of authentication request device and authentication required information that clarifies necessary user attribute information required for authentication by the authentication request device for each user. A user attribute to be returned to the authentication requesting device, a recording unit that records return data information described for each user and for each authentication request source, and
Receiving means for receiving an authentication request including the user attribute information transmitted from the authentication requesting device;
Based on the permission device information of the recording unit, it is determined whether or not the user specified by the user identification information in the user attribute information is permitted to access the authentication requesting device that has sent the user attribute information. 1 judging means,
The authentication requesting apparatus acquires necessary user attribute type information required for authentication from the recording unit, selects necessary user attribute information from the authentication required information recorded in the recording unit based on the type information, and performs the authentication. Second determination means for determining whether the user attribute information transmitted from the requesting device matches the selected required user attribute information;
When both the first and second determination means make an affirmative determination, a positive user authentication result is transmitted to the authentication requesting apparatus that has issued the authentication request, and the first and second determination means When any one makes a negative determination, a transmission unit that transmits a negative user authentication result to the authentication requesting device that has issued the authentication request;
With
When the authentication result is affirmative , the transmission means extracts a user attribute specified by a user and an authentication request source from the return data information, and returns the user attribute to the authentication request apparatus. Authentication system.
ユーザごとにユーザ識別情報に対応付けて当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報と、認証要求装置ごとに当該認証要求装置がユーザを認証するために要求する必要ユーザ属性の種類情報と、ユーザごとに認証要求装置が認証のために必要とする必要ユーザ属性情報を明らかにした認証必要情報と、認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録した記録部と、
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取る受信手段と、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
を備えており、
前記送信手段は、認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とする認証処理装置。 After receiving an access request from a user terminal device and obtaining a positive result for user authentication, an authentication processing device connected to be communicable with a plurality of authentication request devices that permit access from the user,
Permitted device information that identifies the authentication requesting device that is permitted to access the user in association with the user identification information for each user, and the authentication requesting device requests that the authentication requesting device authenticate the user for each authentication requesting device. The authentication processing result is positive for each type of authentication request device and authentication required information that clarifies necessary user attribute information required for authentication by the authentication request device for each user. A user attribute to be returned to the authentication requesting device, a recording unit that records return data information described for each user and for each authentication request source, and
Receiving means for receiving an authentication request including the user attribute information transmitted from the authentication requesting device;
Based on the permission device information of the recording unit, it is determined whether or not the user specified by the user identification information in the user attribute information is permitted to access the authentication requesting device that has sent the user attribute information. 1 judging means,
The authentication requesting apparatus acquires necessary user attribute type information required for authentication from the recording unit, selects necessary user attribute information from the authentication required information recorded in the recording unit based on the type information, and performs the authentication. Second determination means for determining whether the user attribute information transmitted from the requesting device matches the selected required user attribute information;
When both the first and second determination means make an affirmative determination, a positive user authentication result is transmitted to the authentication requesting apparatus that has issued the authentication request, and the first and second determination means When any one makes a negative determination, a transmission unit that transmits a negative user authentication result to the authentication requesting device that has issued the authentication request;
With
When the authentication result is affirmative , the transmission means extracts a user attribute specified by a user and an authentication request source from the return data information, and returns the user attribute to the authentication request apparatus. Authentication processing device to do.
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取る受信手段と、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
をコンピュータによって実現するためのプログラムであり、
前記送信手段は、認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とするプログラム。 After receiving an access request from a user terminal device and obtaining a positive result for user authentication, it is connected to be able to communicate with multiple authentication request devices that permit access from the user, and corresponds to user identification information for each user. Approved device information that clarifies the authentication requesting device that permits access to the user, and type information of necessary user attributes that the authentication requesting device requests for authenticating the user for each authentication requesting device, Authentication required information that clarifies necessary user attribute information required for authentication by the authentication requesting device for each user, and when the authentication processing result is positive for each authentication requesting device, the authentication requesting device An authentication processing apparatus having a recording unit that records return data information described for each user and for each authentication request source is sent to a computer. A program for realizing using over data,
Receiving means for receiving an authentication request including the user attribute information transmitted from the authentication requesting device;
Based on the permission device information of the recording unit, it is determined whether or not the user specified by the user identification information in the user attribute information is permitted to access the authentication requesting device that has sent the user attribute information. 1 judging means,
The authentication requesting apparatus acquires necessary user attribute type information required for authentication from the recording unit, selects necessary user attribute information from the authentication required information recorded in the recording unit based on the type information, and performs the authentication. Second determination means for determining whether the user attribute information transmitted from the requesting device matches the selected required user attribute information;
When both the first and second determination means make an affirmative determination, a positive user authentication result is transmitted to the authentication requesting apparatus that has issued the authentication request, and the first and second determination means When any one makes a negative determination, a transmission unit that transmits a negative user authentication result to the authentication requesting device that has issued the authentication request;
Is a program for realizing the
When the authentication result is affirmative , the transmission means extracts a user attribute specified by a user and an authentication request source from the return data information, and returns the user attribute to the authentication request apparatus. Program to do.
前記返送データ情報は、ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報を備えており、
前記認証手段は、認証結果が肯定的である場合、前記ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報とに基づいて、返送データとしてのユーザ属性を抽出することを特徴とする認証処理装置。 The authentication processing device according to claim 2,
The return data information includes attribute information recorded for each user and information indicating the type of attribute information recorded for each authentication requesting device,
If the authentication result is affirmative, the authenticating means determines the user as return data based on the attribute information recorded for each user and the information indicating the type of attribute information recorded for each authentication requesting device. An authentication processing apparatus characterized by extracting an attribute .
前記複数の認証要求装置は、異なる種類の通信経路によってユーザ端末装置と接続される2以上の認証要求装置を含むことを特徴とする認証処理装置。 The authentication processing device according to claim 2 or 4,
The plurality of authentication requesting devices include two or more authentication requesting devices connected to the user terminal device through different types of communication paths .
前記認証要求装置は、受け取った返送データの内容に基づいて、当該ユーザに対する処理内容を変えることを特徴とする認証処理装置。 The authentication processing device according to claim 2, 4 or 5,
The authentication requesting apparatus, wherein the authentication requesting apparatus changes the processing contents for the user based on the contents of the received return data .
前記認証要求装置は、
ユーザ端末装置から、ユーザ識別情報およびパスワードを含むユーザ属性情報を受信し、
受信したユーザ属性情報を含む認証要求を認証処理装置に送信し、
前記認証処理装置は、
ユーザごとにユーザ識別情報に対応付けて当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報と、認証要求装置ごとに当該認証要求装置がユーザを認証するために要求する必要ユーザ属性の種類情報と、ユーザごとに認証要求装置が認証のために必要とする必要ユーザ属性情報を明らかにした認証必要情報と、認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録部に記録しており、
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取り、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断し、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断し、
前記両判断がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、前記両判断のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する方法であって、
認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とする認証方法。 After receiving an access request from a user terminal device and obtaining a positive result for user authentication, a plurality of authentication request devices permitting access from the user, and authentication connected to be communicable with each authentication request device An authentication method using a processing device,
The authentication requesting device includes:
Receive user attribute information including user identification information and password from the user terminal device,
Send the authentication request including the received user attribute information to the authentication processing device,
The authentication processing device includes:
Permitted device information that identifies the authentication requesting device that is permitted to access the user in association with the user identification information for each user, and the authentication requesting device requests that the authentication requesting device authenticate the user for each authentication requesting device. The authentication processing result is positive for each type of authentication request device and authentication required information that clarifies necessary user attribute information required for authentication by the authentication request device for each user. If the user attribute to be returned to the authentication requesting device, the return data information described for each user and for each authentication request source is recorded in the recording unit,
Receiving an authentication request including the user attribute information transmitted from the authentication requesting device;
The user specified by the user identification information in the user attribute information determines whether access is permitted to the authentication requesting device that has sent the user attribute information based on the permission device information of the recording unit,
The authentication requesting apparatus acquires necessary user attribute type information required for authentication from the recording unit, selects necessary user attribute information from the authentication required information recorded in the recording unit based on the type information, and performs the authentication. Determining whether the user attribute information transmitted from the requesting device matches the selected required user attribute information;
When both of the above determinations are affirmative, a positive user authentication result is transmitted to the authentication requesting device that issued the authentication request, and when either one of the above determinations is negative Is a method of transmitting a negative user authentication result to an authentication requesting device that has made an authentication request,
If the authentication result is affirmative, a user attribute specified by the user and the authentication request source is extracted from the return data information, and the user attribute is also returned to the authentication requesting apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003379449A JP4078289B2 (en) | 2003-11-10 | 2003-11-10 | Authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003379449A JP4078289B2 (en) | 2003-11-10 | 2003-11-10 | Authentication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005141613A JP2005141613A (en) | 2005-06-02 |
JP4078289B2 true JP4078289B2 (en) | 2008-04-23 |
Family
ID=34689500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003379449A Expired - Lifetime JP4078289B2 (en) | 2003-11-10 | 2003-11-10 | Authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4078289B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4729365B2 (en) * | 2005-08-12 | 2011-07-20 | 株式会社野村総合研究所 | Access control system, authentication server, access control method, and access control program |
CN101056179B (en) * | 2007-06-13 | 2010-06-09 | 中兴通讯股份有限公司 | Method and system for controlling the user to visit the network at the specific area |
CN102801694B (en) * | 2011-05-27 | 2015-07-08 | 阿尔卡特朗讯公司 | Method and system for implementing third-party authentication based on grey list |
-
2003
- 2003-11-10 JP JP2003379449A patent/JP4078289B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2005141613A (en) | 2005-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8549588B2 (en) | Systems and methods for obtaining network access | |
US5944794A (en) | User identification data management scheme for networking computer systems using wide area network | |
JP5632380B2 (en) | System and method for identifying a network | |
US8191124B2 (en) | Systems and methods for acquiring network credentials | |
JP4742903B2 (en) | Distributed authentication system and distributed authentication method | |
CN102427484B (en) | Determine whether equipment is in the method and apparatus of network internal based on DNS | |
JP5276592B2 (en) | System and method for gaining network access | |
JP4173866B2 (en) | Communication device | |
US20080060065A1 (en) | Systems and methods for providing network credentials | |
US20070005964A1 (en) | Methods and apparatus for authenticating a remote service to another service on behalf of a user | |
CN103190130A (en) | Registration server, gateway apparatus and method for providing a secret value to devices | |
WO2009074082A1 (en) | Access controlling method?system and device | |
KR100714100B1 (en) | Method and system for user authentication in home network system | |
EP1611725B1 (en) | Method and apparatuses for provisioning network access | |
JPH08153072A (en) | Computer system and computer system managing method | |
JP5002065B1 (en) | Authentication system, authentication method of authentication system, positioning device, and positioning program | |
CN101771722B (en) | System and method for WAPI terminal to access Web application site | |
JP2003248659A (en) | Method for controlling access to content and system for controlling access to content | |
JP4078289B2 (en) | Authentication system | |
JP4078288B2 (en) | Authentication system | |
JP2004343440A (en) | Communication control method and system thereof | |
JP3973357B2 (en) | Port number convergence, deployment method and gateway server thereof | |
JPWO2020092619A5 (en) | ||
JP2001282998A (en) | Service system | |
KR20040101616A (en) | System and method for managing user's contents access privilege on wireless Internet, computer readable recording medium having user's contents access privilege management software stored therein |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050331 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070104 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070115 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070316 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080121 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080204 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4078289 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110208 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120208 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130208 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130208 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140208 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |