JP4508066B2 - 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。 - Google Patents

可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。 Download PDF

Info

Publication number
JP4508066B2
JP4508066B2 JP2005289512A JP2005289512A JP4508066B2 JP 4508066 B2 JP4508066 B2 JP 4508066B2 JP 2005289512 A JP2005289512 A JP 2005289512A JP 2005289512 A JP2005289512 A JP 2005289512A JP 4508066 B2 JP4508066 B2 JP 4508066B2
Authority
JP
Japan
Prior art keywords
computer
authentication
portable medium
information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005289512A
Other languages
English (en)
Other versions
JP2006073029A5 (ja
JP2006073029A (ja
Inventor
洋子 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005289512A priority Critical patent/JP4508066B2/ja
Publication of JP2006073029A publication Critical patent/JP2006073029A/ja
Publication of JP2006073029A5 publication Critical patent/JP2006073029A5/ja
Application granted granted Critical
Publication of JP4508066B2 publication Critical patent/JP4508066B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

従来の企業情報システムでセキュリティ管理機能を提供すると、エンドユーザは、OSやアプリケーションシステムごとにログイン操作が要求された。例えば、モバイル端末から社内の業務サーバ内のAPを起動する場合には、まずVPN、次にグループウェア、さらには使用する業務AP、流通APやユーザAPごとにログインしなければならなかった。Windows(登録商標) NTサーバを使ってドメイン内のユーザ情報を管理している場合には、NTドメインへのログインも要求された。これは、エンドユーザにとっては大変な負担であり、覚えきれないパスワードをメモ書きして机上に貼っておくことにより、結果的にセキュリティレベルを低下させる危険もはらんでいた。
このようなセキュリティ運用負荷を軽減させるためには、シングルログインを実現するユティリティとAP開発環境及び実行環境の提供が重要である。本発明は、可搬媒体を利用して広域ネットワークシステムでシングルログインを実現するための画面制御方法に関わるもので、先願発明(特願平9-76954)で提案した統合認証サーバとの連携を実現するユーザ認証方法を対象とする。
既に述べたように、セキュリティ運用負荷を軽減させるためには、シングルログインを実現するユティリティとAP開発環境及び実行環境の提供が重要である。シングルログイン方式としては、従来業務ごとに必要だったユーザIDとパスワードを、1つのユーザIDとパスワードに集約する方法がある。すなわち、ユーザが1回ログイン情報を入力すれば、以降全ての業務へのログインを可能とする。確かに、これは、セキュリティの運用負荷を軽減する方式ではあるが、同時にセキュリティを弱めてしまう危険もはらんでいる。もしも、前記集約したユーザIDとパスワードが破られてしまったら、悪意を持った第3者は以前より容易にシステム侵入ができ、これにより企業の機密情報が危険にさらされてしまうからである。
一回のログインにより企業情報システムの資源にアクセスさせるシングルログインは、強固なユーザ認証基盤の提供の上に初めて実現できる。従って、ログイン情報をきちんと管理する基盤として先願発明(特願平9-76954)の技術を用いた上での、シングルログイン方式の提供が必要と考えた。特に、知っている情報による認証から持っている情報、さらには生物的な情報(指紋や網膜、DNA情報等)を視野にいれた技術の適用が要求される。
特開平9−76954号公報
本発明の目的は、企業情報システムにおいて、可搬媒体を利用したシングルログインを実現することである。特願平9-76954の方式では、1枚の証明証の情報で企業情報システムの中でシングルログインを実現するために、統合認証サーバで前記証明証の情報を確認しユーザ認証をする。同様のユーザ認証処理をクライアント側で実現することが本発明の課題である。クライアント側にログイン情報を管理するためには、セキュリティや運用の観点からPCのハードディスクに置くことはできない。そのため、セキュアな可搬媒体の利用が必須となっている。現在では、可搬媒体としてFDやICカードが主流かもしれないが、指輪やネクタイピン、イヤリングなどを用いたり、指紋や網膜等の生物的な情報との併用も課題となっている。
本発明は、クライアント,業務サーバおよび統合認証サーバが相互に通信可能なネットワークシステムにおいて、複数の業務に対するユーザ認証処理を1回にするために、ユーザの可搬媒体(ユーザのログイン情報が格納されている)へのアクセス可否を判定する手段を備え、アクセスが許可された場合には、業務でのユーザ認証処理が必要な度に前記可搬媒体からクライアント側のユーザ認証画面にユーザ識別情報を送信する。また、アクセスが許可されなかった場合には、前記可搬媒体を無効にする。前記可搬媒体を利用しないユーザに対しては、従来のユーザ認証処理を業務ごとにさせるためにユーザ認証画面を表示する。
ユーザに可搬媒体を発行するために、可搬媒体発行申請画面をユーザに表示する手段、ユーザが前記可搬媒体申請画面に入力した情報を統合認証サーバに送信する手段、前記統合認証サーバが発行する可搬媒体を受け取る手段を備える。
アクセス可否判定手段によりアクセスが拒否されたユーザが再度可搬媒体を用いた認証処理を利用したいユーザに対しては、可搬媒体再利用申請画面を表示する手段、ユーザが前記可搬媒体再利用申請画面に入力した情報を統合認証サーバに送信する手段、前記統合認証サーバにより前記ユーザに対する可搬媒体を用いたユーザ認証処理を許可する手段を備える。
さらに、可搬媒体による処理を業務処理と連携させることも可能で、アクセスが許可されたユーザに対して、自動的に業務を開始する手段、前記ユーザが可搬媒体をはずした時に、自動的に業務を終了する手段も提供する。
本発明によれば、企業情報システムで可搬媒体を利用したシングルログインを実現できる。先願発明(特願平9-76954)で提案した強固なユーザ認証及びアクセス制御の基盤を利用し、さらに、クライアント側に可搬媒体利用の画面制御手段、生物学情報による認証手段を設けることによりユーザを厳密に認証できる。アクセス可否判定の結果、不当なユーザに対しては可搬媒体を無効にするので高度なセキュリティが保証されている。ユーザは可搬媒体を用いない従来の認証処理も利用できるが、可搬媒体の利用申請や無効となった可搬媒体を再度利用可能にする処理も可能である。可搬媒体の利用と業務を連携させれば、ユーザの業務運用の簡易化や特定の業務向けに運用のカスタマイズ化もできる。
以下本発明の一実施形態について図面を用いて説明する。
図1は、本実施形態のネットワークシステムの構成図である。インターネットのような広域ネットワーク10には、企業ネットワークシステム1と他企業ネットワークシステム9が接続される。企業ネットワークシステム1には、クライアント8の他に、統合認証サーバ2,セキュリティ情報を管理するサーバ3、アクセス制御サーバ50、データベース(DB)サーバ5、業務サーバ6、グループウェアサーバ4,鍵管理サーバ17,証明証発行サーバ18等のサーバが接続される。DBサーバ5および業務サーバ6は、クライアント8からアクセスされ、業務処理のために利用されるサーバである。グループウェアサーバ4は、クライアント8へ最初の業務メニュー画面を送ったり、クライアント8の電子メールの送受信管理をしたり、ユーザのスケジュールを管理したりするサーバである。他企業ネットワークシステム9には、クライアント20が接続しており、クライアント8のユーザ11とクライアント20のユーザ14は、電子取り引き等の特定の業務を証明証や外部発行証明書を用いて行うものとする。ユーザ11及びユーザ14は、FD,ICカード、腕輪、指輪、ネクタイピン等の可搬媒体700を携帯し、可搬媒体700を用いた認証処理を行なう。サーバ3は、DBサーバ5および業務サーバ6または他企業ネットワークシステム9へのアクセスを制御する情報と業務に応じた証明証の情報を含むユーザの認証情報からなるセキュリティ情報を一元的に管理するサーバである。特願平9-76954の発明では、統合認証サーバ2は、クライアント8から送られる証明証を確認し、サーバ3からセキュリティ情報を取得してユーザが企業ネットワークシステム1にログインする資格を持つかどうか調べていた。しかし、本発明では、クライアント側に認証クライアント22を設けることにより、ログイン情報(証明証あるいはユーザ識別情報等)による認証処理を行なう。アクセス制御サーバ50は、各業務でのユーザのアクセス権限について管理するサーバ、鍵管理サーバ17は、企業ネットワークシステム1内での暗号化通信や認証処理で使用する通信当事者の鍵(秘密鍵と公開鍵の対)を生成するサーバである。広域ネットワーク10には、外部証明書発行サーバ7が接続されている。この外部証明書発行サーバ7は、所定の手順に従って外部証明書を発行するサーバである。なお、いわゆるディレクトリサーバと呼ばれるサーバがサーバ3の情報を有していても良い。
図2には、ユーザ11が可搬媒体700を用いてクライアント8からログインする処理シーケンスを示す。特願平9-76954の発明では、クライアント側のユーザが証明証10を入力し、統合認証サーバで前記証明証10を確認することによりユーザ認証を行なっていた。しかし、本実施例の図2では同様の証明証の確認処理を認証クライアント22で行なう点で異なる。本来であれば、ユーザ11がクライアント8の表示する認証情報入力画面にICカード内の証明証10を入力することが必要であるが、可搬媒体700という特徴を活かし、可搬媒体700にアクセスできる人が正当はユーザと判定することにする。可搬媒体700については常にユーザ本人が所持する運用形態とし、ユーザしか知らないパスワードや生物的な情報によってアクセスが保護されている前提である。可搬媒体700は物理的にもセキュアである必要があり、悪意を持った第3者による不正な情報読み取りに対しても頑強であり、情報自体を暗号化して格納しておいたり、アクセス許可されていない読み取りに対して格納情報を消去するようなしかけを提供している。
まず、ユーザ11は、可搬媒体を可搬媒体読み取り装置705に取り付けると(2001)、認証情報入力画面(2002)が表示されるので、パスワードあるいは指紋や網膜などの生物的情報を入力する(2003)。すると、前記パスワードあるいは指紋や網膜などの生物的情報を確認することによりアクセス可否の判定をする(2004)。ユーザが正当なユーザ11であると判定した場合には、以降の業務認証処理についてシングルログインの処理を提供するが、そうでない場合には、認証クライアント22の公開鍵を用いて当可搬媒体700を無効にし(2005)、アクセス不可通知をユーザ11に送る(2006)。例えば、3回までの不正なパスワード入力を許すような運用も考えられる。可搬媒体700上あるいは可搬媒体700と連動する位置に、生物的情報による認証装置701を設けている場合には、生物的情報による認証装置701の精度を考慮してアクセス判定の失敗許容回数を設定する必要がある。いずれにしても、正当なユーザ11と判定されなかった場合には、可搬媒体700を以降使えなくする必要があるので、可搬媒体内の情報を参照不可能な状態にする。
図2に示すように、正当なユーザに対しては、以降、本来なら業務ごとに要求されるユーザ認証画面は表示しない。ユーザ11が業務サーバ6に対して業務要求をすると(2007)、業務サーバ6からユーザ認証画面が送られるが(2008)、認証クライアント22は前記画面への情報入力をユーザ11に要求せず、可搬媒体700の中から必要なログイン情報を取り出してその情報を前記業務サーバ6に送る(2009)。同様に、次にユーザ11がDBサーバ5に対してアクセスしたい場合には(2014)、DBサーバ5からユーザ認証画面が送られるが(2015)、認証クライアント22は前記画面への情報入力をユーザ11に要求せず、可搬媒体700の中から必要なログイン情報を取り出してその情報をDBサーバ5に送る(2016)。特願平9-76954の発明では、統合認証サーバ2がサーバ3からセキュリティ情報(業務ごとのログイン情報等)を取得してユーザ11が企業ネットワークシステム1にログインする資格を持つかどうか調べていた。しかし、本実施例では、可搬媒体700内に前記セキュリティ情報を含むことができるので、必ずしもサーバ3に問い合わせに行く必要はない。但し、業務の詳細についてのアクセス制御情報まで可搬媒体700に含めることができない場合もあるので、そのような時には、サーバ3あるいはアクセス制御サーバ50との連携が要求される。
ユーザ11が業務終了を要求すると(2012、2019)、業務終了が通知され(2013、2020)、クライアント8内の可搬媒体読み取り装置705から可搬媒体700が取り外される(2021)。
可搬媒体700を用いないユーザは、図3に示すような従来の認証処理をしなければならない。すなわち、ユーザは、業務ごとに要求されるユーザ認証画面(3003、3010)に自分でログイン情報を入力する必要がある(3004、3011)。
次に、可搬媒体700の発行要求シーケンスについて図4で示す。ユーザ14が可搬媒体700の発行要求をすると(4001)、認証クライアント22は可搬媒体発行申請画面を表示する(4002)。前記可搬媒体発行申請画面には、ユーザの識別情報、所属情報、職務権限情報等様々な情報の指定が必要であるが、基本的にこれらの情報はサーバ3で管理されているため、最低限ユーザに識別情報を入力する(4003)。認証クライアント22は、前記入力された情報を統合認証サーバ2に送信すると、統合認証サーバ2では、サーバ3にユーザ14に関するセキュリティ情報を問い合わせることにより、ユーザ14の権限を確認する(4004)。そして、前記権限情報に基づいてユーザ14のためのログイン情報を作成し(4005)、統合認証サーバ2の公開鍵で暗号化し(4006)、可搬媒体700に格納する。統合認証サーバ2と認証クライアント22間でセキュアな通信をすることにより、認証クライアント22側の可搬媒体に前記ユーザ14のためのログイン情報を書き込むことも可能であるし(4007)、可搬媒体自体を通信以外の方法で配送することもできる(4013)。いずれにしても、可搬媒体をユーザ14が受け取ったら、可搬媒体700についてのパスワード設定要求が出されるので(4014)、ユーザ14はパスワードを指定しなければならない。そして、前記パスワード情報は認証クライアント22及び統合認証サーバ2にも送付される(4015)。
図5では、可搬媒体700へのアクセスを拒否されたユーザが再度可搬媒体700を利用可能とするための処理について説明する。ここでは、ユーザ11がアクセスを拒否されたとしよう。ユーザ11は、可搬媒体700の可搬媒体再利用要求をすると(5001)、認証クライアント22は可搬媒体再利用要求画面を表示する(5002)。基本的には、前記可搬媒体発行申請画面に必要だった情報を入力する必要があるが、別の手段により、前記可搬媒体再利用要求をしているユーザが正当なユーザ11であることを確かめることもできる。例えば、ユーザ11しか知らない情報やユーザ11しか持っていない情報を入力させれば本人であることがわかるので、可搬媒体のパスワードをユーザ11の秘密鍵(証明証内の公開鍵に対応)で暗号して送信させるような手順も有効である(5004)。このようにして、正しいユーザ11であると確認できた場合には(5006)、統合認証サーバ2から認証クライアント22に可搬媒体700を再度利用可能な状態にするように指示する。図2の処理2005でも説明したように、可搬媒体700内の情報は認証クライアント22の公開鍵を用いて参照不可能な状態にされているので、それを解除するためには、ユーザ11本人のパスワードと認証クライアント22の秘密鍵が必要である。認証クライアント22は、ユーザ11のパスワードと前記秘密鍵を入力することにより、可搬媒体700を参照可能な状態に戻す(5007)。そして、可搬媒体700の無効化解除の通知をユーザ11に送る(5008)。
ユーザの業務運用を簡易化するという観点から、図6に示す業務との連携機能も実現できる。これは、特定の業務向けにカスタマイズした運用とも考えられる。前記アクセス可否の判定(6004)によりアクセスが許可されたユーザに対して、あらかじめスケジューリングされたとおりに業務を自動的に開始する。図6の例では、業務サーバ6に対する一連の処理を終えた後、それとは関連のないDBサーバ5の更新処理を行なった後で自動的に業務を終了するような運用情報があらかじめ可搬媒体700の中に入れられている。図6の処理6001から処理6006までは、図2と同様であるが、処理6007による業務サーバ6への処理要求が可搬媒体700から出されている点が図2の処理2007とは異なる。上述のように、可搬媒体700には、ユーザ11から次の業務要求が出されたら(6012)、業務サーバ6に対して業務終了通知を出し(6013)、次の業務であるDBサーバ5に対する業務要求を出す(6014)ように指定されている。従って、ユーザ11が業務サーバ6に対する業務終了要求やDBサーバ5に対する業務要求をする必要はない。同様に、可搬媒体700を取り出したら(6019)、DBサーバ5に対して業務終了通知を出すように指定されているので(6020)、ユーザ11がDBサーバ5に対する業務終了要求を出す必要はない。このようにして、可搬媒体700を読み取り装置からはずすと自動的に処理が終了するしかけになっているので、席を一時的にはずす時には、可搬媒体は抜かれることになりその分業務のセキュリティが高まることが期待される。
図7に、前記図2から図6までの処理手順や運用例を実現するための可搬媒体700、クライアント内の可搬媒体読み取り装置705、生物的情報による認証装置701、及びクライアント内の認証クライアント22との関係について説明をする。可搬媒体700は、情報制御部7010とアクセス可否判定部7020から構成される。情報制御部7010ではログイン情報7011、運用情報7012及び可搬媒体状態情報7013を管理する。情報制御部7010では、可搬媒体の状態(有効・無効など)を管理しており、可搬媒体が無効な状態になっている場合には、可搬媒体読み取り装置705を介した情報の読み取りを禁止し、認証クライアント22からの無効化解除機能7222や情報書き込み機能7223により可搬媒体を有効な状態にする。また、アクセス可否判定部7020は、ユーザが入力したパスワードや生物的情報を判定する部分である。
可搬媒体読み取り装置705は、可搬媒体700を挿入し、そこから情報を読み取る装置であり、情報読み取り部7110と挿入状態監視部7120から構成される。
認証クライアント22は、画面制御部7210、可搬媒体制御部7220、情報入出力制御部7230から構成される。画面制御部7210は、可搬媒体の利用時や申請時に必要な認証情報入力画面7211、可搬媒体発行申請画面7212及び可搬媒体再利用要求画面7213、ユーザの業務要求時に必要なユーザ認証画面7212などを管理する。また、可搬媒体制御部7220では、可搬媒体の無効化機能7221、可搬媒体の無効化解除機能7222、可搬媒体への情報書き込み機能7223、パスワード管理機能7224などを含む。情報入出力制御部7230は、ユーザからの入力情報の受け付け機能7231、生物的情報による認証装置701とのインタフェース7232、ユーザへの情報表示機能7233を備える。クライアントの中に、前記認証クライアント22と可搬媒体読み取り装置705がある。
以上述べたように、本発明によれば、企業情報システムで可搬媒体を利用したシングルログインを実現できる。先願発明(特願平9-76954)で提案した強固なユーザ認証及びアクセス制御の基盤を利用し、さらに、クライアント側に可搬媒体利用の画面制御手段、生物学情報による認証手段を設けることによりユーザを厳密に認証できる。アクセス可否判定の結果、不当なユーザに対しては可搬媒体を無効にするので高度なセキュリティが保証されている。ユーザは可搬媒体を用いない従来の認証処理も利用できるが、可搬媒体の利用申請や無効となった可搬媒体を再度利用可能にする処理も可能である。可搬媒体の利用と業務を連携させれば、ユーザの業務運用の簡易化や特定の業務向けに運用のカスタマイズ化もできる。
実施形態のネットワークシステムの構成図である。 実施形態のユーザ11が可搬媒体700を用いてクライアント8からログインする処理手順を示す図である。 従来の認証処理手順を示す図である。 実施形態のユーザ14による可搬媒体700の発行要求処理の手順を示す図である。 実施形態の可搬媒体700へのアクセスを拒否されたユーザが再度可搬媒体700を利用可能とする処理手順を示す図である。 実施形態の可搬媒体700を業務と連携させることによる特定の業務向けにカスタマイズした運用の一例である。 実施形態の図2から図6までの処理手順や運用例を実現するための可搬媒体700、クライアント内の可搬媒体読み取り装置705、生物的情報による認証装置701、及びクライアント内の認証クライアント22との関係について説明をする構成図である。
符号の説明
企業ネットワークシステム1、他企業のネットワークシステム9、広域ネットワークシステム10…ネットワークシステム
FW60,FW61…ファイアウォール装置
統合認証サーバ2,セキュリティ情報を管理するサーバ3,グループウェアサーバ4,DBサーバ5,業務サーバ6,外部証明書発行サーバ7,鍵管理サーバ17,証明証発行サーバ18、証明証取り消しリスト管理サーバ54,アクセス制御サーバ50,ネットワーク管理サーバ41…サーバシステム
クライアント8、クライアント20…クライアント
認証クライアント22…統合認証サーバ2と連携してユーザ認証処理を行なうクライアント上のプログラム
ユーザ11,ユーザ14…ユーザ
可搬媒体700…FD,ICカード、腕輪、指輪、ネクタイピン等の可搬媒体
可搬媒体読み取り装置705…可搬媒体700の内容を読み取るクライアント上の装置生物的情報による認証装置701…指紋、網膜、DNA情報等を利用してユーザを認証する装置
2001〜2021…図2の処理内容
3001〜3014…図3の処理内容
4001〜4016…図4の処理内容
5001〜5008…図5の処理内容
6001〜6020…図6の処理内容
情報制御部7010、ログイン情報7011、運用情報7012、可搬媒体状態情報7013、アクセス可否判定部7020…可搬媒体700の構成要素
情報読み取り部7110、挿入状態監視部7120…可搬媒体読み取り装置705の構成要素
画面制御部7210、認証情報入力画面7211、可搬媒体発行申請画面7212、可搬媒体再利用要求画面7213、ユーザ認証画面7212、可搬媒体制御部7220、可搬媒体の無効化機能7221、可搬媒体の無効化解除機能7222、可搬媒体への情報書き込み機能7223、パスワード管理機能7224、情報入出力制御部7230、入力情報の受け付け機能7231、生物的情報による認証装置701とのインタフェース7232、情報表示機能7233…証クライアント22の構成要素

Claims (18)

  1. 可搬媒体を用いた認証を行うコンピュータであって、
    可搬媒体が接続されているかどうかを検知する挿入状態監視手段と、
    前記挿入状態監視手段により前記可搬媒体が前記コンピュータに接続されていることを検知している場合に、前記可搬媒体が有する第1の認証手段で認証するために、ユーザからの第1の認証情報を受け付ける手段と、
    第2のコンピュータが有する第2の認証手段で認証するために、前記可搬媒体に格納された第2の認証情報を取得する第1の取得手段と、
    第2のコンピュータの処理を終了した後に第3のコンピュータの処理を開始すると記憶された運用情報を可搬媒体から取得する運用情報取得手段とを有し、
    前記コンピュータは、
    ユーザから次に実施する業務要求を受け付けると、前記運用情報取得手段で取得した前記運用情報に基づいて、前記第2のコンピュータに対して業務終了を通知する通知手段と、
    第3のコンピュータが有する第3の認証手段で認証するために、前記可搬媒体に格納された第3の認証情報を取得する第2の取得手段と、
    を有することを特徴とするコンピュータ。
  2. 請求項1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記第3の認証情報を取得する前記第2の取得手段は、前記可搬媒体が前記第1の認証手段で許可と判断した場合に、前記可搬媒体から前記第3の認証情報を取得することを特徴とするコンピュータ。
  3. 請求項1または2に記載の可搬媒体を用いた認証を行うコンピュータであって、
    の認証手段で認証が許可され、
    前記挿入状態監視手段により前記可搬媒体が前記コンピュータに接続されていることを検知している場合に、
    前記第3のコンピュータへ処理要求を送信する送信手段を有することを特徴とするコンピュータ。
  4. 請求項1乃至3のいずれか1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記挿入状態監視手段が、前記コンピュータから前記可搬媒体がはずれたことを検知した場合に、前記第3のコンピュータへ前記処理要求の送信を停止する手段を有することを特徴とするコンピュータ。
  5. 請求項1乃至4のいずれか1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記挿入状態監視手段が、前記コンピュータから前記可搬媒体がはずれたことを検知した場合に、前記第3のコンピュータの処理を停止する手段を有することを特徴とするコンピュータ。
  6. 請求項1乃至5のいずれか1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記挿入状態監視手段が、前記コンピュータから前記可搬媒体がはずれたことを検知した場合に、
    前記可搬媒体の前記第1の認証手段による認証と、前記第2のコンピュータの前記第2の認証手段による認証と、前記第3のコンピュータの前記第3の認証手段による認証とを不許可とする手段を有することを特徴とするコンピュータ。
  7. 請求項1乃至3のいずれか1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記可搬媒体の前記第1の認証手段が前記第1の認証情報に基づいて不許可であると所定回数判断した場合に、前記第2の認証情報と前記第3の認証情報とを無効にする手段を有することを特徴とするコンピュータ。
  8. 請求項1乃至3のいずれか1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記可搬媒体の前記第1の認証手段が前記第1の認証情報に基づいて不許可であると所定回数判断した場合に、前記可搬媒体内の情報を使用不可能な状態にする手段を有することを特徴とするコンピュータ。
  9. 請求項1乃至8のいずれか1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記第2のコンピュータの有する前記第2の認証手段は、前記第2のコンピュータにおけるログイン処理であり、前記第3のコンピュータの有する前記第3の認証手段は、前記第3のコンピュータにおけるログイン処理であることを特徴とするコンピュータ。
  10. 請求項1乃至9のいずれか1に記載の可搬媒体を用いた認証を行うコンピュータであって、
    前記第2のコンピュータと前記第3のコンピュータとは、前記コンピュータに対する処理を行うサーバであることを特徴とするコンピュータ。
  11. 可搬媒体を用いた認証方法であって、
    第1のコンピュータは、可搬媒体が接続されているかどうかを検知し、
    前記可搬媒体が接続されていることを検知した場合、前記第1のコンピュータは第1の認証情報を受付け、
    前記可搬媒体は前記第1の認証情報に基づいて認証し、
    前記認証が許可された場合に、前記第1のコンピュータが、前記可搬媒体に格納された第2の認証情報を取得し、
    前記第2のコンピュータは、前記第2の認証情報に基づいて認証し、
    前記第1のコンピュータは、ユーザから次に実施する業務要求を受付けると、前記第2のコンピュータの処理を終了した後に第3のコンピュータの処理を開始すると記憶された運用情報を可搬媒体から取得し、
    前記第1のコンピュータは、前記運用情報に基づいて前記第2のコンピュータに対して業務終了を通知し、
    前記第1のコンピュータは、前記可搬媒体に格納された第3の認証情報を取得し、
    前記第3のコンピュータは,前記第3の認証情報に基づいて認証する、
    ことを特徴とする可搬媒体を用いた認証方法。
  12. 請求項11に記載の可搬媒体を用いた認証方法であって、
    前記第の認証情報を用いた前記第のコンピュータの前記認証により許可された場合であり、かつ、前記可搬媒体が前記第1のコンピュータに接続されていることを検知している場合に、
    前記第1のコンピュータが前記第のコンピュータへ処理要求を送信することを特徴とする可搬媒体を用いた認証方法。
  13. 請求項11または12に記載の可搬媒体を用いた認証方法であって、
    前記可搬媒体が前記第1のコンピュータからはずされたことを検知した場合に、前記第1のコンピュータは、前記第のコンピュータとの処理を停止することを特徴とする可搬媒体を用いた認証方法。
  14. 請求項11または12に記載の可搬媒体を用いた認証方法であって、
    前記可搬媒体が前記第1のコンピュータからはずれたことを検知した場合に、
    前記第1のコンピュータは、前記可搬媒体による認証と、前記第2のコンピュータによる認証と、前記第3のコンピュータによる認証とを不許可とすることを特徴とする認証方法。
  15. 請求項11乃至12のいずれか1に記載の可搬媒体を用いた認証方法であって、
    前記可搬媒体による認証で所定回数不許可と判断した場合に、前記第1のコンピュータは、前記第2の認証情報と前記第3の認証情報とを無効にすることを特徴とする可搬媒体を用いた認証方法。
  16. 請求項11乃至12のいずれか1に記載の可搬媒体を用いた認証方法であって、
    前記可搬媒体による認証で所定回数不許可と判断した場合に、前記第1のコンピュータは、前記可搬媒体内の情報を使用不可能な状態にすることを特徴とする可搬媒体を用いた認証方法。
  17. 請求項11乃至16のいずれか1に記載の可搬媒体を用いた認証方法であって、
    前記第2のコンピュータによる認証は、前記第2のコンピュータによるログイン処理であり、前記第3のコンピュータによる認証は、前記第3のコンピュータによるログイン処理であることを特徴とする可搬媒体を用いた認証方法。
  18. 請求項11乃至17のいずれか1に記載の可搬媒体を用いた認証方法であって、
    前記第2のコンピュータと前記第3のコンピュータとは、前記第1のコンピュータに対する処理を行うサーバであることを特徴とする可搬媒体を用いた認証方法。
JP2005289512A 2005-10-03 2005-10-03 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。 Expired - Fee Related JP4508066B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005289512A JP4508066B2 (ja) 2005-10-03 2005-10-03 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005289512A JP4508066B2 (ja) 2005-10-03 2005-10-03 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004378761A Division JP2005149528A (ja) 2004-12-28 2004-12-28 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。

Publications (3)

Publication Number Publication Date
JP2006073029A JP2006073029A (ja) 2006-03-16
JP2006073029A5 JP2006073029A5 (ja) 2007-12-20
JP4508066B2 true JP4508066B2 (ja) 2010-07-21

Family

ID=36153509

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005289512A Expired - Fee Related JP4508066B2 (ja) 2005-10-03 2005-10-03 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。

Country Status (1)

Country Link
JP (1) JP4508066B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2407908A4 (en) * 2009-03-13 2014-03-19 Fujitsu Ltd PERSONAL AUTHENTICATION SYSTEM AND PERSONAL AUTHENTICATION PROCEDURE
JP2019125132A (ja) * 2018-01-16 2019-07-25 株式会社デンソー パスコード管理プログラム、パスコード管理方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60181892A (ja) * 1984-02-28 1985-09-17 Omron Tateisi Electronics Co Icカ−ドの不正アクセス防止装置
JPH09153891A (ja) * 1995-06-19 1997-06-10 Nippon Telegr & Teleph Corp <Ntt> 通信装置及びそれに用いる装置
JPH10111900A (ja) * 1996-08-13 1998-04-28 N T T Data Tsushin Kk 情報管理方式
JPH11345208A (ja) * 1998-06-01 1999-12-14 Ibix Kk 認証システム、方法および記録媒体

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60181892A (ja) * 1984-02-28 1985-09-17 Omron Tateisi Electronics Co Icカ−ドの不正アクセス防止装置
JPH09153891A (ja) * 1995-06-19 1997-06-10 Nippon Telegr & Teleph Corp <Ntt> 通信装置及びそれに用いる装置
JPH10111900A (ja) * 1996-08-13 1998-04-28 N T T Data Tsushin Kk 情報管理方式
JPH11345208A (ja) * 1998-06-01 1999-12-14 Ibix Kk 認証システム、方法および記録媒体

Also Published As

Publication number Publication date
JP2006073029A (ja) 2006-03-16

Similar Documents

Publication Publication Date Title
US10298568B1 (en) System integrating an identity selector and user-portable device and method of use in a user-centric identity management system
KR101584510B1 (ko) 아이디 토큰에서 속성을 판독하는 방법
US8510572B2 (en) Remote access system, gateway, client device, program, and storage medium
JP2005242745A (ja) ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム
US9294918B2 (en) Method and system for secure remote login of a mobile device
JP2000010930A (ja) ネットワークシステムでのアクセス制御方法
EP1542135B1 (en) A method which is able to centralize the administration of the user registered information across networks
JP4135151B2 (ja) Rfidを用いたシングルサインオン方法及びシステム
JP3659019B2 (ja) 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置
EP1465380A1 (en) Device which executes authentication processing by using offline information, and device authentication method
JP2002312326A (ja) Usbインターフェイスを備える電子デバイスを用いた複数認証方法
JP5560011B2 (ja) リモートアクセス制御方法及びリモートアクセス制御システム
JP2005208993A (ja) 利用者認証システム
JP4508066B2 (ja) 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。
JP6351061B2 (ja) 管理システム、管理方法、プログラム、および利用者端末
JP3966233B2 (ja) 端末利用認証システム
KR102288445B1 (ko) 단체용 인증모듈의 온보딩 방법, 장치 및 프로그램
JP3945518B2 (ja) 可搬媒体を用いた認証を行うコンピュータおよび認証方法
WO2007099717A1 (ja) データ処理システムおよび可搬型メモリ
JP2005149528A (ja) 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。
JP2011070427A (ja) セキュリティ維持支援システムおよび情報端末
JP2000259802A (ja) Icカード、icカードアクセス装置、およびicカードプログラム、icカードアクセスプログラムを記録した記録媒体
KR20010008028A (ko) 피씨 보안 및 피케이아이 솔루션 기능을 갖는 스마트 카드판독 시스템 및 그 제어 방법
JP2002244944A (ja) インターネット利用環境設定支援システム、自動設定媒体作成方法、インターネット利用環境設定用のプログラム及びプログラムを記録した記録媒体
JP2020036319A (ja) 情報処理システム

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090518

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100216

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100413

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100426

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees