JP4135151B2 - Rfidを用いたシングルサインオン方法及びシステム - Google Patents

Rfidを用いたシングルサインオン方法及びシステム Download PDF

Info

Publication number
JP4135151B2
JP4135151B2 JP2004020016A JP2004020016A JP4135151B2 JP 4135151 B2 JP4135151 B2 JP 4135151B2 JP 2004020016 A JP2004020016 A JP 2004020016A JP 2004020016 A JP2004020016 A JP 2004020016A JP 4135151 B2 JP4135151 B2 JP 4135151B2
Authority
JP
Japan
Prior art keywords
user
information
authentication
server
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004020016A
Other languages
English (en)
Other versions
JP2005215870A (ja
Inventor
俊介 吉村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004020016A priority Critical patent/JP4135151B2/ja
Publication of JP2005215870A publication Critical patent/JP2005215870A/ja
Application granted granted Critical
Publication of JP4135151B2 publication Critical patent/JP4135151B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、RFID(Radio Frequency-Identification)を用いたシングルサインオン方法及びシステムに係り、特にシングルサインオンによる認証を得てサインオンした状態において、ユーザが離席した場合でもセキュリティを確保する技術に関する。
コンピュータネットワークでは、通常、ネットワークを通して利用可能なWebページやアプリケーション等の複数のリソースへのアクセスやその利用権限をユーザに応じて制限している。このため、ユーザは各リソースへのアクセス時にユーザ名やパスワード等の情報を入力して、その都度認証を得る必要があった。しかし、個々のリソースへアクセスする度にユーザ名やパスワード等の情報を入力する操作は、ユーザにとっては大変煩わしく、またセキュリティ上の理由でリソース毎に異なるパスワードを設定していれば、パスワード数がリソース数に比例して増えるため、必ずしも利便性のよいものではなかった。
そこで、近年、このような複数のリソースにアクセスする際、一度だけ認証を行うことで、アクセス許可されている全てのリソースを利用できる「シングルサインオン(Single Sign-on)」と呼ばれる認証方法が知られている。このシングルサインオン方法を用いたシステムでは、例えば認証情報をユーザ端末に保管し、リソースへのアクセス時にサーバ側でその認証情報を用いて認証を行う方式等が知られている。
なお、本発明に関連する背景技術としては、1)第三者による携帯型データ通信端末装置の不正利用を防止するため、ユーザ認証装置と携帯型データ通信端末同士の距離が通信可能な距離にあるかどうかで認証を行うという方式(特許文献1参照)、2)POSシステムの不正操作を解決するため、予めRFIDに格納されている鍵データとシステム側で格納されている錠データとの照合を行うという方式(特許文献2参照)、3)FAシステム機器の安全性確保の問題を解決するため、予めRFIDに格納されているユーザIDとパスワードから成る識別情報により照合を行うという方式(特許文献3参照)、4)端末それ自身の操作認証における離席の問題を解決するため、予めRFIDに格納されている個人識別データを元にセキュリティ端末を用意して各端末ごとに認証を行うという方式(特許文献4参照)が開示されている。
特開2000−3336号公報 特開2000−222059号公報 特開2002−116840号公報 特開平9−245138号公報
従来のシングルサインオン方法を用いたシステムでは、認証情報をユーザ端末に保管する方式の場合、一端サインオンした状態でアクセス制御された情報を取得すると、認証情報の有効期限が切れるか、あるいはサインオフしない限り、誰でもその情報の取得を継続することができる。このため、サインオンした状態でユーザが席を外した場合は、不正な第三者によって情報操作等により情報が盗まれる恐れがあり、セキュリティ確保のための対策が望まれている。
この対策例として、ユーザが離席する度にサインオフすることも考えられるが、この場合、再開するためにはその都度サインオンをやり直す必要があり、上記シングルサインオンの利便性が失われてしまう。また、上記1〜4)の背景技術については、いずれもシングルサインオン方法を用いたシステムでの上記離席の問題を解決することを意図したものではない。
本発明は、上記従来の問題点に鑑みてなされたものであって、シングルサインオンの利便性を失うことなく、サインオンした状態でユーザが一時的に離席した場合でもセキュリティを確保することを目的とする。
上記目的を達成するために、本発明に係るRFIDを用いたシングルサインオン方法は、ユーザが携帯し得る大きさを有し、情報を読み書き可能に格納するRFIDカードと、前記RFIDカードとの間で非接触通信により前記情報の読み書きを行うRFIDリーダライタと、前記RFIDリーダライタに接続されるユーザ端末と、前記ユーザ端末にネットワークを介して接続されるサーバとを有し、前記ユーザ端末を操作しているユーザからの前記ネットワーク上の所定リソースへのアクセス要求時にシングルサインオンによる認証を行うシングルサインオン方法であって、前記リソースへのアクセス要求時に、1)前記RFIDカードに所定の認証情報が格納されていない場合は、前記ユーザ端末が前記ユーザにより入力されるユーザID及びパスワードを含む情報を前記サーバに送信、前記サーバが前記ユーザ端末から送られてくるユーザID及びパスワードを含む情報に基づいて前記ユーザを特定する基本認証を行、前記サーバが、前記基本認証で特定されたユーザに対し、ユーザ属性情報、一意的に割り当てられるセッションID、及び該基本認証を省略させるための有効期限の情報を含む認証情報を生成し、該認証情報を暗号化して前記ユーザ端末に送信すると共に、自サーバ内に前記認証情報に対応する前記ユーザ属性情報及びセッションIDを含むセッション情報を生成して格納、前記サーバが、前記基本認証で特定されたユーザに対し、前記リソースへのアクセスを許可し又は不許可に、前記ユーザ端末が、前記サーバから送られてくる前記認証情報を前記RFIDリーダライタを介して前記RFIDカードに書き込み、2)前記RFIDカードに前記認証情報が格納されている場合は、前記ユーザ端末が前記RFIDリーダライタを介して前記RFIDカードから前記暗号化された認証情報を読み込み、該認証情報を前記サーバに送信、前記サーバが前記ユーザ端末から送られてくる前記認証情報を復号化し、該認証情報と自サーバ内に格納された前記セッション情報とに基づいて、前記基本認証を省略させるための有効期限が切れておらず且つ前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致している場合に前記認証情報に問題がないと判断し、前記有効期限が切れている又は前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致していない場合に前記認証情報に問題があると判断、前記サーバが、前記認証情報に問題があると判断された前記ユーザに対し、前記基本認証を行、前記認証情報に問題がないと判断された前記ユーザに対し、前記リソースへのアクセスを許可し又は不許可にすることを特徴とする。
本発明において、前記ユーザの操作により前記認証情報を無効化する申請が行われる場合は、前記ユーザ端末が前記ユーザにより入力されるユーザID及びパスワードを含む情報を前記サーバに送信、前記サーバが前記ユーザ端末から送られてくるユーザID及びパスワードを含む情報に基づいて前記ユーザを特定する基本認証を行い、該基本認証で特定されたユーザに対し自サーバ内に格納された前記セッション情報を削除してもよい
本発明において、前記リソースへのアクセス終了時に、前記ユーザ端末が前記RFIDカードに格納されている前記認証情報を削除するか保存するかの選択を前記ユーザに促し、該選択に応じて、前記RFIDリーダライタを介して前記RFIDカードに格納された前記認証情報を削除し又は保存してもよい
本発明において、前記サーバは、一つ又は複数のサーバからなり、前記ユーザ端末は、1つ又は複数のユーザ端末からなってもよい。また、前記サーバは、Webサーバを備え、前記リソースは、前記Webサーバにより提供されるWebページを有し、前記ユーザ端末は、前記Webページを閲覧可能なWebブラウザを搭載したものであってもよい。
本発明に係るRFIDを用いたシングルサインオンシステムは、ユーザが携帯し得る大きさを有し、情報を読み書き可能に格納するRFIDカードと、前記RFIDカードとの間で非接触通信により前記情報の読み書きを行うRFIDリーダライタと、前記RFIDリーダライタに接続されるユーザ端末と、前記ユーザ端末にネットワークを介して接続されるサーバとを有し、前記ユーザ端末を操作しているユーザからの前記ネットワーク上の所定リソースへのアクセス要求時にシングルサインオンによる認証を行うシングルサインオンシステムであって、前記サーバは、前記リソースへのアクセス要求時に、前記ユーザ端末から送られてくるユーザID及びパスワードを含む情報に基づいて前記ユーザを特定する基本認証を行う手段と、前記基本認証で特定されたユーザに対し、ユーザ属性情報、一意的に割り当てられるセッションID、及び該基本認証を省略させるための有効期限の情報を含む認証情報を生成し、該認証情報を暗号化して前記ユーザ端末に送信すると共に、自サーバ内に前記認証情報に対応する前記ユーザ属性情報及びセッションIDを含むセッション情報を生成して格納する手段と、前記基本認証で特定されたユーザに対し、前記リソースへのアクセスを許可し又は不許可にする手段と、前記リソースへのアクセス要求時に、前記ユーザ端末から送られてくる前記認証情報を復号化し、該認証情報と自サーバ内に格納された前記セッション情報とに基づいて、前記基本認証を省略させるための有効期限が切れておらず且つ前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致している場合に前記認証情報に問題がないと判断し、前記有効期限が切れている又は前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致していない場合に前記認証情報に問題があると判断する手段と、前記認証情報に問題があると判断された前記ユーザに対し、前記基本認証を行う手段を実行し、前記認証情報に問題がないと判断された前記ユーザに対し、前記リソースへのアクセスを許可し又は不許可にする手段とを有し、前記ユーザ端末は、前記リソースへのアクセス要求時に、前記RFIDカードに前記認証情報が格納されていない場合、前記ユーザにより入力されるユーザID及びパスワードを含む情報を前記サーバに送信する手段と、前記リソースへのアクセス要求時に、前記RFIDカードに前記認証情報が格納されている場合、前記RFIDリーダライタを介して前記RFIDカードから前記暗号化された認証情報を読み込み、該認証情報を前記サーバに送信する手段と、前記サーバから送られてくる前記認証情報を前記RFIDリーダライタを介して前記RFIDカードに書き込む手段とを有することを特徴とする。
本発明によれば、頻繁な情報の読み書きを短時間で実行できるRFIDを使って、認証情報の格納先をユーザ端末ではなくRFIDカードに格納し、シングルサインオンで認証情報を利用する場合には、常にこのRFIDカードに格納された認証情報を確認する構成としたため、ユーザが離席するときに、RFIDカードを携帯することによって、第三者がサインオンした状態から情報を盗もうとしても、RFIDカードがないため、認証情報の取得に失敗し、よって情報の取得に失敗し、これにより、シングルサインオンの利便性を失うことなく、サインオンした状態でユーザが一時的に離席した場合でもセキュリティを確保することができる。即ち、本発明では、シングルサインオンの一環で離席時のセキュリティ確保が行える。
以下、本発明に係るRFIDを用いたシングルサインオン方法及びシステムを実施するための最良の形態について、図面を参照して詳細に説明する。
図1は、本実施例に係るシングルサインオンシステムの全体構成を示す。図1に示すシステムは、頻繁な情報の読み書きを短時間で実行できるRFID(Radio Frequency-Identification)を適用したRFIDカード(「RFIDタグ」、「ICタグ」、「データキャリア」、「非接触ICチップ」等とも呼ばれる)1及びRFIDリーダライタ2と、RFIDリーダライタ2が接続されるユーザ端末3と、認証プラグイン41を含むWebサーバ4と、ユーザ端末3とWebサーバ4を相互に接続するインターネット等の通信ネットワーク10とを備える。
RFIDカード1は、ユーザにより携帯が容易な大きさの本体(例えば、ラベル型、カード型、コイン型、スティック型等の形状をもつ)を有し、本体内に情報を読み書き可能に記憶するメモリを有する電子回路(例えば、ICメモリ、通信回路、及び超小型アンテナ等を有する)を内蔵し、RFIDリーダライタ2との間で所定周波数帯(例えば、134.2KHz帯、13.56MHz帯、2.45GHz帯等)の電波による非接触通信によりデータ交信可能となっている。
RFIDリーダライタ2は、RFIDカード1に対して上記周波数帯の電波による非接触通信により情報の読み書きを十分短い時間で実行する機能をもつ情報処理装置(例えば、アンテナ及びコントローラ等を有する)から構成される。このRFIDリーダライタ2の機能は、例えば情報処理装置のコントローラがそのメモリ上に配置される制御プログラムの命令を読み出し実行することで動作する。
ユーザ端末3は、例えばパーソナルコンピュータ(PC)等のプログラム制御で動作する情報処理装置(例えば、CPU、メモリ、入出力インターフェース及びこれに接続される各種入出力デバイス等を有する)で構成され、Webサーバ4がネットワーク10上に提供している情報に対し所定の通信プロトコル(TCP/IP等)に従いアクセスし、その情報を画面に表示する機能(例えば、Webブラウザ等)を備えている。また、ユーザ端末3は、後述の認証情報を持っていない場合は基本認証を行うためのユーザIDやパスワード等の情報を入力する機能(例えば、キーボード、マウス等の入力器)を持ち、その入力した情報をWebサーバ4に送信する機能(例えば、通信インターフェース等の通信機器)を備えている。さらに、ユーザ端末3は、RFIDリーダライタ2を介してRFIDカード1に格納されている情報の読み書きを行う機能を備えている。このようなユーザ端末3の各機能は、例えば情報処理装置内のCPUがそのメモリ上に配置されるプログラムの命令を読み出し実行することで動作する。
Webサーバ4は、例えば通信ネットワーク10上にアクセス制限可能な複数のリソースとしてのWebページ(ホームページ)を開設可能なワークステーション・サーバ等の情報処理装置(例えば、CPU、メモリ、入出力インターフェース及びこれに接続される各種入出力デバイス等を有する)により構成され、通信ネットワーク10上にWebページを開設し、このWebページにアクセスしてくるユーザ端末3との間で通信ネットワーク10を介して情報のやり取りを行う機能を有する。この機能は、例えば情報処理装置内のCPUがそのメモリ上に配置されるプログラムの命令を読み出して実行することで動作する。このWebサーバ4の機能には、認証プラグイン41の機能が含まれる。
また、このWebサーバ4の後段側又はネットワーク10上には、図示しないディレクトリサーバが接続されている。このディレクトリサーバ内には、ネットワーク10を利用するユーザのユーザID及びユーザの役職や所属などのユーザに関するアイデンティティ情報(後述のユーザ属性情報に対応)が予め格納され、シングルサインオンによるユーザ認証時にWebサーバ4の認証プラグイン41からの問い合わせに応答して、指定されたユーザIDに対応するアイデンティティ情報を認証プラグイン41に返す等の処理が可能となっている。
認証プラグイン41は、物理的にはWebサーバ4に含まれるプログラム機能である。この認証プラグイン41は、Webサーバ4のプログラム制御による動作で実行される機能として、ユーザ端末3に対して認証情報(図2参照)を生成し、暗号化して送信する機能と、ユーザ端末3から受け取った認証情報を復号化し、その認証情報を検証してユーザを特定する機能と、ユーザ端末3から送られてくるユーザIDやパスワード等の情報を受け取り、これに基づき基本認証(後述参照)を行う機能と、この基本認証により特定されたユーザがアクセス要求を行っているWebサーバ4上のリソースに対してアクセス許可か不許可かを判定し、この判定結果をユーザ端末3に表示させるようにWebサーバ4を促す機能とを備えている。また、この認証プラグイン41は、上記認証情報に対応するセッション情報(図3参照)を生成し、自身のWebサーバ4内に格納する。
図2は、認証プラグイン41により生成される認証情報を、図3は、認証プラグイン41により生成されるセッション情報をそれぞれ示す。
図2に示す認証情報は、ユーザ属性情報21、セッションID22、及び有効期限23から構成される。また、図3に示すセッション情報は、図2に示す認証情報のユーザ属性情報21及びセッションID22と同じ内容のユーザ属性情報31及びセッションID32から構成される。
ユーザ識別情報21、31は、前述のディレクトリサーバ(図示しない)に予め格納されているユーザID及びユーザの役職や所属などのユーザに関するアイデンティティ情報に対応するものである。このユーザ識別情報21、31には、パスワードの情報は含まれない。これらの情報は、Webコンテンツに対するアクセス制御の条件として使用される。ユーザ識別情報21、31は、少なくともユーザIDが含まれる構成であればよい。
セッションID22、32は、認証プラグイン41が生成する、認証情報を区別し、正当性を保障するためのIDである。認証情報ごとに一意なセッションID22を振ることで、認証情報の管理が行われる。このセッションID22は、本実施例では、後述の認証情報の正当性の確認(図5のステップB4参照)及び認証情報の無効化(図6のステップC3参照)等で使用される。
有効期限23は、次回以降のアクセス要求時にWebサーバ4側で行われる基本認証(後述参照)の処理を省略させるための有効期間を示す。すなわち、この有効期限23が切れていない場合、更に認証情報及びセッション情報の互いのユーザ識別情報21、31及びセッションID22、32の一致を条件として、次回以降のアクセス要求時の基本認証(後述参照)の処理を省略させることが可能となる。
次に、図1〜図6を参照して、本実施例の動作について詳細に説明する。なお、以下の図4〜図6に示すシーケンスにおいて、RFIDリーダライタ2、ユーザ端末3、及びWebサーバ4で実行される処理は、前述したプログラム制御により行われる。
本処理は、RFIDカード1に認証情報が含まれていない場合のアクセス要求時の処理(図4参照)、RFIDカード1に認証情報が含まれている場合のアクセス要求時の処理(図5参照)、及び認証情報を無効化する場合の処理(図6参照)から構成されている。本実施例では、RFIDカード1に認証情報が含まれているかどうかの確認は、例えば、ユーザ端末3において、ユーザがアクセス制限されたWebページにアクセスする(Webページに遷移する)度に行われる。具体的には、このアクセス要求をイベントとして、ユーザ端末3からRFIDリーダライタ2に要求を出し、これに応答してRFIDリーダライタ2がRFIDカード1内の認証情報の有無を検出してユーザ端末3に送り、ユーザ端末3がその認証情報の有無信号に基づいてRFIDカード1に認証情報が含まれているかどうかを判定する。
最初に図4を参照して、RFIDカード1に認証情報が含まれていない場合に、ユーザ端末3からWebサーバ4にアクセスした場合の処理の流れを説明する。
まず、ユーザは、自分のユーザ端末3を介して、Webサーバ4がネットワーク10上に開設しているWebページ(リソース)にアクセスする(ステップA1)。これにより、ユーザ端末3の画面上にはログイン画面が表示されるので、当該ユーザは、ユーザIDとパスワードの情報をログイン画面に入力してWebサーバ4に送信する。
次いで、ユーザ端末3から送られてきたユーザIDとパスワードの情報を受け取ったWebサーバ4は、基本認証処理を行ってユーザ端末3を操作しているユーザが正当なユーザかどうかを検証し、ユーザ端末3を操作しているユーザを特定する(ステップA2)。
上記基本認証の結果がNG(正当なユーザでない)の場合は、Webサーバ4はユーザ端末3に対して再入力を指示する。
上記基本認証の結果がOK(正当なユーザである)の場合は、Webサーバ4は、次回以降、基本認証を省略させるための有効期限付きの認証情報(図2参照)を生成し、この認証情報を暗号化した上でユーザ端末3に送信する。これと同時に、Webサーバ4は、セッション情報(図3参照)を生成し、Webサーバ4内に格納する(ステップA3)。
具体的には、上記基本認証時に、ユーザ端末3からのユーザIDとパスワードを受け取った認証プラグイン41がディレクトリサーバ(図示しない)に対して問い合わせを行い、基本認証がOKの場合には、ディレクトリサーバからそのユーザIDに対応する上記アイデンティティ情報、即ちユーザ属性情報21を取得し、この段階で初めて認証プラグイン41がセッションID22を生成し、これらユーザ属性情報21及びセッションID22の情報を有効期限23の情報と共に認証情報(図2参照)に含め、その認証情報を暗号化してユーザ端末3に送信すると同時に、認証プラグイン41側にユーザ属性情報31とセッションID32の情報、すなわちセッション情報(図3参照)を記録しておく。
上記暗号化された認証情報を受け取ったユーザ端末3は、RFIDリーダライタ2に対して認証情報書き込み要求を行い、上記暗号化された認証情報を送信する(ステップA4)。これに応答して、暗号化された認証情報を受け取ったRFIDリーダライタ2は、RFIDカード1に対して書き込み処理を行う(ステップA5)。これにより、RFIDカード1に認証情報が格納される。
Webサーバ4は、基本認証により特定されたユーザがアクセス要求を行なっているリソース(Webページ等)に対してアクセス許可かアクセス不許可かを判定し、ユーザ端末3を介して当該ユーザに通知する(ステップA6)。ここで、判定結果がアクセス許可の場合には、Webサーバ4はその該当リソースをユーザ端末3の画面に表示させ、アクセス不許可とする場合にはその旨を通知する内容をユーザ端末3の画面に表示させる。
次いで、ユーザは、ユーザ端末3を介して、Webサーバ4へのアクセスを終了するタイミングで、RFIDカード1に格納された認証情報を削除するか保存するかを選択する(ステップA7)。この選択により削除する場合には、ユーザ端末3からRFIDリーダライタ2に認証情報削除要求を出す。この認証情報削除要求を受け取ったRFIDリーダライタ2は、RFIDカード1に対して認証情報削除処理を行う(ステップA8)。これにより、RFIDカード1に格納されていた認証情報が削除される。
次に、図5を参照して、RFIDカード1に認証情報が含まれている場合にユーザ端末3からWebサーバ4にアクセスした場合の処理の流れを説明する。
まず、ユーザは、ユーザ端末3を介して、RFIDリーダライタ2に対して認証情報取得要求を出す(ステップB1)。
上記認証情報取得要求を受け取ったRFIDリーダライタ2は、RFIDカード1に対して読み込み処理を行って認証情報を取得し、その認証情報をユーザ端末3に送信する(ステップB2)。
これにより、ユーザは、ユーザ端末3を介して、Webサーバ4がネットワーク10上に開設しているホームページにアクセスすると共に、RFIDリーダライタ2から受け取った暗号化された認証情報をWebサーバ4に送信する(ステップB3)。
上記暗号化された認証情報を受け取ったWebサーバ4は、その認証情報を復号化し、認証情報確認処理を行う。この処理では、図2に示す有効期限23が切れていないかどうか確認し、有効期限が切れていない場合は、ユーザ属性情報21とセッションID22の組が、図3に示すセッション情報のユーザ属性情報31とセッションID32の組と、内容が一致しているか否かを確認する(ステップB4)。これにより、認証情報に問題がある場合には、Webサーバ4は、ユーザ端末3に対して基本認証要求を行う。これ以降の処理は、前述した図4(ステップA1〜A8)に引き継がれる。
一方、認証情報に問題がない場合は、Webサーバ4は、その認証情報により特定されたユーザがアクセス要求を行なっているリソースに対してアクセス許可かアクセス不許可かを判定してユーザに通知する。アクセス許可の場合には、その該当リソースをユーザ端末3の画面に表示させ、アクセス不許可の場合には、その旨の通知する内容をユーザ端末3の画面に表示させる(ステップB5)。
次いで、ユーザは、ユーザ端末3を介して、Webサーバ4へのアクセスを終了するタイミングで、RFIDカード1に格納された認証情報を削除するか保存するかを選択する(ステップB6)。この選択により削除する場合には、ユーザ端末3からRFIDリーダライタ2に認証情報削除要求を出す。この認証情報削除要求を受け取ったRFIDリーダライタ2は、RFIDカード1に対して認証情報削除処理を行う(ステップB7)。これにより、RFIDカード1に格納されていた認証情報が削除される。
次に、図6を参照して、ユーザ端末3からWebサーバ4に対して現在有効になっている認証情報の無効化申請を行う場合の処理の流れを説明する。
まず、ユーザは、自分のユーザ端末3を介して、Webサーバ4がネットワーク10上に開設している認証情報無効化用ページにアクセスする(ステップC1)。これにより、ユーザー端末3の画面上にはログイン画面が表示されるので、当該ユーザは、ユーザIDとパスワード情報を入力してWebサーバ4に送信する。
これに応答して、ユーザ端末3から送られてきたユーザIDとパスワードの情報を受け取ったWebサーバ4は、基本認証処理を行ってユーザ端末3を操作しているユーザが正当なユーザかどうかを判断し、ユーザを特定する(ステップC2)。この基本認証がNGの場合は、Webサーバ4はユーザ端末3に対して再入力を指示する。
一方、上記基本認証がOKの場合は、Webサーバ4は、認証情報無効化処理を行う(ステップC3)。この処理では、Webサーバ4は、前述のステップA3(図4)で生成されたセッション情報(図3)から、ステップC2で特定したユーザのセッション情報を削除する。そして、ユーザ端末3に対してセッション情報の無効化が完了した旨の通知を行う。これにより、以後、RFIDカード1に有効な認証情報が格納されている状態でも、ステップB4(図5)での認証を失敗させることができる。
従って、本実施例によれば、以下の効果が得られる。
1)シングルサインオンに使用する認証情報をRFIDカード1に格納しているため、サインオンした状態で離席した場合に第三者によって情報操作される恐れがなくなり、セキュリティ強度が高まる。
2)サインオフ時にRFIDカード1に格納している情報を保存するか消去するか選択できることによって、再びサインオンを行うときに認証作業を省略することもできるし、従来のサインオン時には必ず認証を行うという方式を選択することもできる。これにより、シングルサインオンの利便性が高まる。
3)認証情報の無効化申請が行えるため、盗難されたRFIDカード1を使って不正アクセスされる恐れが軽減され、シングルサインオンのセキュリティ強度が高まる。
4)RFIDカード1に格納されている認証情報は暗号化されているため、RFIDカード1に格納されている情報を不正に読み取られた場合でも、その情報から意味のある情報を簡単に取り出すことはできない。これにより、情報漏えいを回避できる。
5)認証情報が格納されたRFIDカード1を携帯して移動できるため、RFIDカード1を別の端末に持って行ったときに、認証せずにアクセスが継続できる。これにより、シングルサインオンの利便性が高まる。
なお、上記実施例では、認証プラグイン41を含むWebサーバ4及びユーザ端末3の数がそれぞれ1個の場合を例示してあるが、本発明はこれに限らず、Webサーバ4の数は自由に設定可能であり、1個ではなくN個の場合でもよく、また認証情報が格納されたRFIDカード1を携帯して移動できるため、ユーザ端末3の数も自由に設定可能であり、1個ではなくM個の場合で適用可能である。
本発明の一実施例に係るシングルサインオンシステムの全体構成を示す図である。 認証情報の構成を示す図である。 セッション情報の構成を示す図である。 RFIDカードに認証情報が含まれていない場合にユーザ端末からWebサーバにアクセスした場合の処理の流れを示す図である。 RFIDカードに認証情報が含まれている場合にユーザ端末からWebサーバにアクセスした場合の処理の流れを示す図である。 ユーザ端末からWebサーバに対して現在有効になっている認証情報の無効化申請を行う場合の処理の流れを示す図である。
符号の説明
1 RFIDカード
2 RFIDリーダライタ
3 ユーザ端末
4 Webサーバ
10 ネットワーク
21 ユーザ属性情報(認証情報)
22 セッションID(認証情報)
23 有効期限(認証情報)
31 ユーザ属性情報(セッション情報)
32 セッションID(セッション情報)
41 認証プラグイン

Claims (10)

  1. ユーザが携帯し得る大きさを有し、情報を読み書き可能に格納するRFIDカードと、
    前記RFIDカードとの間で非接触通信により前記情報の読み書きを行うRFIDリーダライタと、
    前記RFIDリーダライタに接続されるユーザ端末と、
    前記ユーザ端末にネットワークを介して接続されるサーバとを有し、
    前記ユーザ端末を操作しているユーザからの前記ネットワーク上の所定リソースへのアクセス要求時にシングルサインオンによる認証を行うシングルサインオン方法であって、
    前記リソースへのアクセス要求時に、
    1)前記RFIDカードに所定の認証情報が格納されていない場合は、
    前記ユーザ端末が前記ユーザにより入力されるユーザID及びパスワードを含む情報を前記サーバに送信
    前記サーバが前記ユーザ端末から送られてくるユーザID及びパスワードを含む情報に基づいて前記ユーザを特定する基本認証を行
    前記サーバが、前記基本認証で特定されたユーザに対し、ユーザ属性情報、一意的に割り当てられるセッションID、及び該基本認証を省略させるための有効期限の情報を含む認証情報を生成し、該認証情報を暗号化して前記ユーザ端末に送信すると共に、自サーバ内に前記認証情報に対応する前記ユーザ属性情報及びセッションIDを含むセッション情報を生成して格納
    前記サーバが、前記基本認証で特定されたユーザに対し、前記リソースへのアクセスを許可し又は不許可に
    前記ユーザ端末が、前記サーバから送られてくる前記認証情報を前記RFIDリーダライタを介して前記RFIDカードに書き込み、
    2)前記RFIDカードに前記認証情報が格納されている場合は、
    前記ユーザ端末が前記RFIDリーダライタを介して前記RFIDカードから前記暗号化された認証情報を読み込み、該認証情報を前記サーバに送信
    前記サーバが前記ユーザ端末から送られてくる前記認証情報を復号化し、該認証情報と自サーバ内に格納された前記セッション情報とに基づいて、前記基本認証を省略させるための有効期限が切れておらず且つ前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致している場合に前記認証情報に問題がないと判断し、前記有効期限が切れている又は前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致していない場合に前記認証情報に問題があると判断
    前記サーバが、前記認証情報に問題があると判断された前記ユーザに対し、前記基本認証を行、前記認証情報に問題がないと判断された前記ユーザに対し、前記リソースへのアクセスを許可し又は不許可にすることを特徴とするRFIDを用いたシングルサインオン方法。
  2. 前記ユーザの操作により前記認証情報を無効化する申請が行われる場合は、
    前記ユーザ端末が前記ユーザにより入力されるユーザID及びパスワードを含む情報を前記サーバに送信
    前記サーバが前記ユーザ端末から送られてくるユーザID及びパスワードを含む情報に基づいて前記ユーザを特定する基本認証を行い、該基本認証で特定されたユーザに対し自サーバ内に格納された前記セッション情報を削除することを特徴とする請求項1記載のRFIDを用いたシングルサインオン方法。
  3. 前記リソースへのアクセス終了時に、
    前記ユーザ端末が前記RFIDカードに格納されている前記認証情報を削除するか保存するかの選択を前記ユーザに促し、該選択に応じて、前記RFIDリーダライタを介して前記RFIDカードに格納された前記認証情報を削除し又は保存することを特徴とする請求項1又は2に記載のRFIDを用いたシングルサインオン方法。
  4. 前記サーバは、一つ又は複数のサーバからなり
    前記ユーザ端末は、1つ又は複数のユーザ端末からなることを特徴とする請求項1乃至3のいずれか1項に記載のRFIDを用いたシングルサインオン方法。
  5. 前記サーバは、Webサーバを備え、
    前記リソースは、前記Webサーバにより提供されるWebページを有し、
    前記ユーザ端末は、前記Webページを閲覧可能なWebブラウザを搭載したものであることを特徴とする請求項1乃至4のいずれか1項に記載のRFIDを用いたシングルサインオン方法。
  6. ユーザが携帯し得る大きさを有し、情報を読み書き可能に格納するRFIDカードと、
    前記RFIDカードとの間で非接触通信により前記情報の読み書きを行うRFIDリーダライタと、
    前記RFIDリーダライタに接続されるユーザ端末と、
    前記ユーザ端末にネットワークを介して接続されるサーバとを有し、
    前記ユーザ端末を操作しているユーザからの前記ネットワーク上の所定リソースへのアクセス要求時にシングルサインオンによる認証を行うシングルサインオンシステムであって、
    前記サーバは、
    前記リソースへのアクセス要求時に、前記ユーザ端末から送られてくるユーザID及びパスワードを含む情報に基づいて前記ユーザを特定する基本認証を行う手段と、
    前記基本認証で特定されたユーザに対し、ユーザ属性情報、一意的に割り当てられるセッションID、及び該基本認証を省略させるための有効期限の情報を含む認証情報を生成し、該認証情報を暗号化して前記ユーザ端末に送信すると共に、自サーバ内に前記認証情報に対応する前記ユーザ属性情報及びセッションIDを含むセッション情報を生成して格納する手段と、
    前記基本認証で特定されたユーザに対し、前記リソースへのアクセスを許可し又は不許可にする手段と、
    前記リソースへのアクセス要求時に、前記ユーザ端末から送られてくる前記認証情報を復号化し、該認証情報と自サーバ内に格納された前記セッション情報とに基づいて、前記基本認証を省略させるための有効期限が切れておらず且つ前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致している場合に前記認証情報に問題がないと判断し、前記有効期限が切れている又は前記認証情報と前記セッション情報の互いのユーザ属性情報及びセッションIDが一致していない場合に前記認証情報に問題があると判断する手段と、
    前記認証情報に問題があると判断された前記ユーザに対し、前記基本認証を行う手段を実行し、前記認証情報に問題がないと判断された前記ユーザに対し、前記リソースへのアクセスを許可し又は不許可にする手段とを有し、
    前記ユーザ端末は、
    前記リソースへのアクセス要求時に、前記RFIDカードに前記認証情報が格納されていない場合、前記ユーザにより入力されるユーザID及びパスワードを含む情報を前記サーバに送信する手段と、
    前記リソースへのアクセス要求時に、前記RFIDカードに前記認証情報が格納されている場合、前記RFIDリーダライタを介して前記RFIDカードから前記暗号化された認証情報を読み込み、該認証情報を前記サーバに送信する手段と、
    前記サーバから送られてくる前記認証情報を前記RFIDリーダライタを介して前記RFIDカードに書き込む手段と、
    を有することを特徴とするRFIDを用いたシングルサインオンシステム。
  7. 前記ユーザ端末は、前記ユーザの操作により前記認証情報を無効化する申請が行われるとき、前記ユーザにより入力されるユーザID及びパスワードを含む情報を前記サーバに送信する手段をさらに有し、
    前記サーバは、前記申請時に前記ユーザ端末から送られてくるユーザID及びパスワードを含む情報に基づいて前記ユーザを特定する基本認証を行い、該基本認証で特定されたユーザに対し自サーバ内に格納された前記セッション情報を削除する手段をさらに有することを特徴とする請求項6記載のRFIDを用いたシングルサインオンシステム。
  8. 前記ユーザ端末は、前記リソースへのアクセス終了時に、前記RFIDカードに格納されている前記認証情報を削除するか保存するかの選択を前記ユーザに促し、該選択に応じて、前記RFIDリーダライタを介して前記RFIDカードに格納された前記認証情報を削除し又は保存する手段をさらに有することを特徴とする請求項6又は7に記載のRFIDを用いたシングルサインオンシステム。
  9. 前記サーバは、一つ又は複数のサーバからなり
    前記ユーザ端末は、1つ又は複数のユーザ端末からなることを特徴とする請求項6乃至7のいずれか1項に記載のRFIDを用いたシングルサインオンシステム。
  10. 前記サーバは、Webサーバを備え、
    前記リソースは、前記Webサーバにより提供されるWebページを有し、
    前記ユーザ端末は、前記Webページを閲覧可能なWebブラウザを搭載したものであることを特徴とする請求項6乃至9のいずれか1項に記載のRFIDを用いたシングルサインオンシステム
JP2004020016A 2004-01-28 2004-01-28 Rfidを用いたシングルサインオン方法及びシステム Expired - Fee Related JP4135151B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004020016A JP4135151B2 (ja) 2004-01-28 2004-01-28 Rfidを用いたシングルサインオン方法及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004020016A JP4135151B2 (ja) 2004-01-28 2004-01-28 Rfidを用いたシングルサインオン方法及びシステム

Publications (2)

Publication Number Publication Date
JP2005215870A JP2005215870A (ja) 2005-08-11
JP4135151B2 true JP4135151B2 (ja) 2008-08-20

Family

ID=34904066

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004020016A Expired - Fee Related JP4135151B2 (ja) 2004-01-28 2004-01-28 Rfidを用いたシングルサインオン方法及びシステム

Country Status (1)

Country Link
JP (1) JP4135151B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4776890B2 (ja) * 2004-04-12 2011-09-21 株式会社東芝 ログイン管理システムと、このログイン管理システムで使用されるログイン管理装置、医療検査装置および可搬ユニット
JP4831331B2 (ja) * 2006-09-04 2011-12-07 ブラザー工業株式会社 無線タグ並びに無線タグ作成端末及び無線タグ読み取り端末
WO2008026590A1 (fr) * 2006-08-28 2008-03-06 Brother Kogyo Kabushiki Kaisha Dispositif de communication par radio-émetteur, dispositif de traitement de communication par radio-émetteur et système de communication par radio-émetteur
JP4895288B2 (ja) * 2006-12-19 2012-03-14 株式会社日立ソリューションズ 認証システム及び認証方法
JP4964048B2 (ja) * 2007-07-13 2012-06-27 株式会社日立ソリューションズ 非接触icと携帯情報端末を使用した認証システム及び認証方法
JP5204457B2 (ja) * 2007-10-10 2013-06-05 株式会社オービックビジネスコンサルタント 情報処理システム、情報処理装置、認証サーバ、情報処理方法、及びプログラム
JP5341695B2 (ja) * 2009-09-25 2013-11-13 株式会社オービックビジネスコンサルタント 情報処理システム、情報処理方法、およびプログラム
JP5120487B2 (ja) * 2011-11-14 2013-01-16 大日本印刷株式会社 認証情報管理システム
DE112012004804T5 (de) * 2011-11-19 2014-07-31 International Business Machines Corporation Speichereinheit
EP2990981B1 (en) * 2014-08-27 2018-04-11 F. Hoffmann-La Roche AG Identification, authentication and authorization method in a laboratory system
US10541995B1 (en) * 2019-07-23 2020-01-21 Capital One Services, Llc First factor contactless card authentication system and method
KR102161281B1 (ko) * 2019-09-18 2020-09-29 박준희 의사난수생성을 이용한 사용자 단말 접근 통제 서비스 제공 방법

Also Published As

Publication number Publication date
JP2005215870A (ja) 2005-08-11

Similar Documents

Publication Publication Date Title
US10142114B2 (en) ID system and program, and ID method
US8572392B2 (en) Access authentication method, information processing unit, and computer product
US8751801B2 (en) System and method for authenticating users using two or more factors
KR101584510B1 (ko) 아이디 토큰에서 속성을 판독하는 방법
US8683562B2 (en) Secure authentication using one-time passwords
KR100464755B1 (ko) 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법
US6732278B2 (en) Apparatus and method for authenticating access to a network resource
US20110185181A1 (en) Network authentication method and device for implementing the same
US20080059797A1 (en) Data Communication System, Agent System Server, Computer Program, and Data Communication Method
US9667626B2 (en) Network authentication method and device for implementing the same
JP5167835B2 (ja) 利用者認証システム、および方法、プログラム、媒体
WO2009101549A2 (en) Method and mobile device for registering and authenticating a user at a service provider
JP2006190175A (ja) Rfid利用型認証制御システム、認証制御方法及び認証制御プログラム
KR101125088B1 (ko) 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체
JP2009064202A (ja) 認証サーバ、クライアント端末、生体認証システム、方法及びプログラム
JP2006209697A (ja) 個人認証システム、この個人認証システムに使用される認証装置、および個人認証方法
JP4135151B2 (ja) Rfidを用いたシングルサインオン方法及びシステム
US20010048359A1 (en) Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium
KR20080112674A (ko) 보안 기능을 가진 휴대용 저장장치를 이용한 서버 및사용자를 인증하는 장치, 시스템, 방법 및 기록매체
US20060129828A1 (en) Method which is able to centralize the administration of the user registered information across networks
US20040193874A1 (en) Device which executes authentication processing by using offline information, and device authentication method
KR100324248B1 (ko) 지문을 이용한 인터넷 인증 시스템 및 그 방법
JP2005208993A (ja) 利用者認証システム
JP2002312326A (ja) Usbインターフェイスを備える電子デバイスを用いた複数認証方法
KR20110029032A (ko) 공인 인증서 발급처리 방법 및 시스템과 이를 위한 단말 및 기록매체

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080414

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080415

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080509

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080522

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110613

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110613

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120613

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees