JP4573820B2 - 認証システムおよび認証方法 - Google Patents
認証システムおよび認証方法 Download PDFInfo
- Publication number
- JP4573820B2 JP4573820B2 JP2006276665A JP2006276665A JP4573820B2 JP 4573820 B2 JP4573820 B2 JP 4573820B2 JP 2006276665 A JP2006276665 A JP 2006276665A JP 2006276665 A JP2006276665 A JP 2006276665A JP 4573820 B2 JP4573820 B2 JP 4573820B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- card
- unit
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title description 15
- 230000005540 biological transmission Effects 0.000 claims description 44
- 230000004044 response Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 19
- 238000004891 communication Methods 0.000 description 17
- 238000012545 processing Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 12
- 230000010365 information processing Effects 0.000 description 8
- 230000008859 change Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 101100079899 Caenorhabditis elegans nfx-1 gene Proteins 0.000 description 2
- 240000000220 Panda oleosa Species 0.000 description 2
- 235000016496 Panda oleosa Nutrition 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004804 winding Methods 0.000 description 1
Description
本発明は、認証システムおよび認証方法に関する。
近年、コンピュータシステムにおけるセキュリティを向上すべく、耐タンパ性のあるIC(Integrated Circuit)カードが利用者の認証に用いられている。例えば、特許文献1には、ICカードにホストコンピュータへのアクセスコードを格納することで、ホストコンピュータへの不正アクセスを防止するとともに、使用者のキー入力を低減する仕組みが提案されている。
特開平7−200481号公報
しかしながら、特許文献1に記載のシステムでは、サーバ側のホストコンピュータからクライアント側のICカードにアクセスすることは考慮されておらず、サーバ側においてICカードに記録されているデータを取得して利用者の認証を行うことはできない。
本発明は、このような背景を鑑みてなされたものであり、サーバ側からクライアント側のICカードに記録されているデータを取得して認証を行うことのできる認証システムおよび認証方法を提供することを目的とする。
上記課題を解決するための本発明のうち請求項1に記載の発明は、利用者の認証システムであって、利用者が操作するクライアント装置と、利用者の認証を行うサーバ装置とを含んで構成され、前記クライアント装置は、利用者を特定する利用者IDを記憶するICカードから前記利用者IDを読み取るICカードリーダと、前記ICカードリーダを制御して前記ICカードから前記利用者IDを読み取るためのID読取プログラムを記憶する記憶装置と、を備え、前記サーバ装置は、前記ID読取プログラムを起動させる命令を含み、前記利用者IDを表示するとともに利用者の認証情報を入力する認証画面を表示するための画面データである認証画面データを前記クライアント装置に送信する認証画面データ送信部を備え、前記クライアント装置は、前記認証画面データを受信する認証画面データ受信部と、前記認証画面データに基づいて前記認証画面を表示する認証画面表示部と、前記認証画面データに含まれている前記命令に応じて前記ID読取プログラムを起動し、前記ID読取プログラムにより前記ICカードリーダから読み取られた前記利用者IDを取得し、取得した前記利用者IDを前記サーバ装置に送信する利用者ID送信部と、前記認証画面を介して前記認証情報の入力を受け付ける認証情報入力部と、前記認証情報を前記サーバ装置に送信する認証情報送信部と、を備え、前記サーバ装置は、前記クライアント装置から前記利用者IDを受信する利用者ID受信部と、利用者に一時的に貸与された第1のICカードに記憶されている第1の利用者IDと、利用者が所有する前記第1のICカードとは異なる第2のICカードに記憶されている第2の利用者IDとを対応付けて記憶する貸与情報データベースと、前記利用者ID受信部が受信した前記利用者IDが所定の条件を満たすかどうかにより、前記ICカードが利用者に一時的に貸与されたものであるかどうかを判定する貸与判定部と、前記ICカードが利用者に一時的に貸与されたものであると判定した場合には、前記クライアント装置から受信した前記利用者IDに対応する前記第2の利用者IDを前記貸与情報データベースから読み出し、読み出した前記第2の利用者IDを認証に用いる利用者IDとして決定し、前記ICカードが利用者に一時的に貸与されたものでないと判定した場合には、前記クライアント装置から受信した前記利用者IDを前記認証に用いる利用者IDとして決定する利用者ID取得部と、前記認証に用いる利用者IDに対応する認証情報と前記クライアント装置から受信した前記認証情報とを照合して利用者の認証を行う利用者認証部と、
を備えることとする。
を備えることとする。
本発明の認証システムによれば、サーバ装置から送信される認証画面データに基づいてクライアント装置においてID読取プログラムが起動されるので、サーバ装置からクライアント装置におけるICカードへのアクセスを制御することができる。すなわち、サーバ装置は、クライアント装置10が備えるICカードリーダを利用して、ICカードに記録されている利用者IDを取得し、取得した利用者IDに基づいて利用者の認証を行うことができる。
また、ICカードに記録されている利用者IDと、利用者本人のみが知るパスワードとの両方に基づいて利用者の認証を行うことができる。したがって、例えば他人のICカードを利用して利用者になりすまして認証を受けようとしても、パスワードを知らなければ認証を受けることができないので、他人のICカードを悪用した、いわゆる「なりすまし」を防ぐことができる。
また、ICカードに記録されている利用者IDと、利用者本人のみが知るパスワードとの両方に基づいて利用者の認証を行うことができる。したがって、例えば他人のICカードを利用して利用者になりすまして認証を受けようとしても、パスワードを知らなければ認証を受けることができないので、他人のICカードを悪用した、いわゆる「なりすまし」を防ぐことができる。
また、本発明のうち請求項2に記載の発明は、請求項1に記載の認証システムであって、前記クライアント装置が備える前記記憶装置は、前記利用者ID送信部を実現するプラグインプログラムを記憶しており、前記認証画面データに含まれている前記命令には、前記プラグインプログラムを特定する情報が含まれており、前記クライアント装置は、前記認証画面データに応じた画面を表示するとともに、前記命令によって特定される前記プラグインプログラムを起動する画面表示部を備えることとする。
また、本発明のうち請求項3に記載の発明は、請求項1に記載の認証システムでは、前記サーバ装置は、前記認証に用いる利用者IDとは異なる利用者IDを用いて認証を受ける権限を有する利用者を特定する前記利用者IDを記憶する特殊権限者記憶部を備え、前記認証に用いる利用者IDが前記特殊権限者記憶部に登録されている場合、前記認証画面データ送信部は、前記認証に用いる利用者IDおよび前記認証情報の両方を入力する前記認証画面を表示するための前記認証画面データを前記クライアント装置に送信し、前記利用者認証部は、前記クライアント装置から受信した、前記認証画面に入力された前記利用者IDおよび前記認証情報に基づいて利用者の認証を行うこととする。
また、本発明のうち請求項5に記載の発明は、請求項1に記載の認証システムであって、前記サーバ装置は、利用者に一時的に貸与された前記ICカードに記憶されている第1の前記利用者IDと、利用者が所有する前記ICカードに記憶されている第2の前記利用者IDとを対応付けて記憶する貸与情報データベースと、前記利用者ID受信部が受信した前記利用者IDが所定の条件を満たすかどうかにより、前記ICカードが利用者に一時的に貸与されたものであるかどうかを判定する貸与判定部と、前記ICカードが利用者に一時的に貸与されたものであると判定した場合には、前記クライアント装置から受信した前記利用者IDに対応する前記第2の利用者IDを前記貸与情報データベースから読み出し、読み出した前記第2の利用者IDを前記利用者IDとする利用者ID取得部と、を備えることとする。
この場合、利用者がICカードを忘れた場合でも、一時的に貸与したICカードを利用して、その利用者の認証を行うことができる。
この場合、利用者がICカードを忘れた場合でも、一時的に貸与したICカードを利用して、その利用者の認証を行うことができる。
また、本発明のうち請求項6に記載の発明は、請求項1に記載の認証システムであって、前記利用者ID送信部は所定の前記サーバ装置にのみ前記利用者IDを送信することとする。
この場合、クライアント装置において、認証画面データに基づかずに、ID読取プログラムが不正に実行されたとしても、ICカードから読み取られた利用者IDは、所定のサーバ装置にのみ送信される。したがって、例えば、汎用的なプログラムが不正に利用されることにより、ICカードに記録されているデータが他のコンピュータに送信されるようなことがないので、利用者IDの漏洩リスクを低減することができる。
この場合、クライアント装置において、認証画面データに基づかずに、ID読取プログラムが不正に実行されたとしても、ICカードから読み取られた利用者IDは、所定のサーバ装置にのみ送信される。したがって、例えば、汎用的なプログラムが不正に利用されることにより、ICカードに記録されているデータが他のコンピュータに送信されるようなことがないので、利用者IDの漏洩リスクを低減することができる。
その他本願が開示する課題やその解決方法については、発明の実施形態の欄及び図面により明らかにされる。
本発明によれば、サーバ側からクライアント側のICカードに記録されているデータを取得して認証を行うことができる。
以下、本発明の一実施形態である認証システムについて説明する。本実施形態の認証システムでは、Webによる情報処理サービスの提供に先だって、ICカードを用いて利用者の認証を行うことを想定している。
ICカードには、ICカードの識別情報(以下、カードIDという。)が記憶されており、通常はICカードに記憶されているカードIDを、そのICカードを携帯する利用者を特定する識別情報(以下、利用者IDという。)として用いるものとする。また、本実施形態では、貸出用のICカード(以下、貸与カードという。)が準備されているものとし、利用者がICカードを携帯し忘れた場合には、利用者に対して貸与カードが一時的に貸し出され、貸与カードを利用して利用者の認証が行われる。
利用者IDは0〜8の何れかから始まる英数字の文字列とする。一方、利用者がICカードを携帯し忘れた場合にその利用者に一時的に貸与されるICカードには、0〜8以外の英数字で始まるカードIDが記録される。したがって、ICカードに記録されているカードIDの頭1桁が0〜8であるかどうかにより、ICカードが一時的に貸与されたものかどうかが判断可能となっている。
==システム構成==
図1は、本実施形態に係る認証システムの全体構成を示す図である。本実施形態の認証システムは、利用者端末10、ポータルサーバ20、LDAPサーバ30、および管理者端末40を含んで構成されている。利用者端末10、ポータルサーバ20、LDAPサーバ30、および管理者端末40はそれぞれ通信ネットワーク50に接続されており、互いに通信が可能となっている。通信ネットワーク50は、例えば、イーサネット(登録商標)やATM(Asynchronous Transfer Mode)ネットワーク、LAN(Local Area Network)などである。
図1は、本実施形態に係る認証システムの全体構成を示す図である。本実施形態の認証システムは、利用者端末10、ポータルサーバ20、LDAPサーバ30、および管理者端末40を含んで構成されている。利用者端末10、ポータルサーバ20、LDAPサーバ30、および管理者端末40はそれぞれ通信ネットワーク50に接続されており、互いに通信が可能となっている。通信ネットワーク50は、例えば、イーサネット(登録商標)やATM(Asynchronous Transfer Mode)ネットワーク、LAN(Local Area Network)などである。
ポータルサーバ20(本発明のサーバ装置に該当する。)は、利用者に対して情報処理サービスを提供する、例えば、パーソナルコンピュータやワークステーションなどのコンピュータである。ポータルサーバ20は、HTTP(HyperText Transfer Protocol)リクエストに応答する、いわゆるWebアプリケーションの形態により情報処理サービスを提供する。本実施形態では、ポータルサーバ20が提供する情報処理サービスは、各種の情報をまとめて表示するための画面データを生成するポータルサイトを提供することを想定している。ポータルサーバ20は、情報処理サービスの提供前に利用者の認証を行う。ポータルサーバ20が行う認証は、例えば、ユーザ名(利用者ID)とパスワードを用いる一般的なものである。
利用者端末10(本発明のクライアント装置に該当する。)は、利用者が操作する例えばパーソナルコンピュータやワークステーション、携帯電話、PDA(Personal Digital Assistant)などのコンピュータである。利用者端末10は、HTTPプロトコルによりポータルサーバ20にアクセスするWebブラウザの機能を有しており、利用者は利用者端末10のWebブラウザを操作してポータルサーバ20が提供する情報処理サービスにアクセスする。
LDAPサーバ30は、利用者に関するディレクトリ情報を管理する、例えば、パーソナルコンピュータやワークステーションなどのコンピュータである。LDAPサーバ30は、LDAP(Lightweight Directory Access Protocol)に従って、ディレクトリ情報を提供する。LDAPサーバ30が管理するディレクトリ情報の一例を図2に示す。同図に示すように、LDAPサーバ30が管理するディレクトリ情報には、カードIDをキーとして、利用者のパスワード、利用者の姓名およびその読み仮名(カナ1、カナ2)、利用者が所属する部署等を示す所属コードおよび所属名、利用者の役職を示す役職コードおよび役職名、一時利用区分、ポータルID、オンラインID等が含まれている。一時利用区分は、利用者の区分を示す項目であり、「社員」「出向」および「一時利用」の何れかが設定される。利用者がICカードを忘れて、貸与カードを一時的に貸与された場合などには、一時利用区分に「一時利用」が設定される。ポータルIDは、ICカードを携帯している利用者を特定する利用者IDである。通常カードIDとポータルIDとは一致するが、貸与カードでは、カードIDとポータルIDとは異なる。オンラインIDは、ポータルサーバ20が提供する情報処理サービスのひとつとして、他のホストコンピュータにアクセスする場合に用いられるIDである。
管理者端末40は、LDAPサーバ30に管理されるディレクトリ情報を管理する管理者が操作する、例えば、パーソナルコンピュータやワークステーション、携帯電話、PDAなどである。
本実施形態では、管理者には、LDAPサーバ30に管理されるディレクトリ情報の管理を行うLDAP設定変更管理者と、ICカードの管理を行うカード保管管理者とがいるものとする。利用者は、ICカードを携帯し忘れた場合、カード保管管理者に届け出て、カード保管管理者から貸与カードの貸与を受ける。LDAP設定変更管理者は、貸与カードを貸し出した利用者を、後述するように、LDAPサーバ30に登録する。
==管理者端末40==
図3は管理者端末40のハードウェア構成を示す図である。同図に示すように管理者端末40は、CPU401、メモリ402、記憶装置403、通信インタフェース404、入力装置405、表示装置406、ICカードリーダ407を備えている。
記憶装置403は、プログラムやデータを記憶する、例えば、ハードディスクドライブやCD−ROMドライブ、フラッシュメモリなどである。CPU401は、記憶装置403に記憶されているプログラムをメモリ402に読み出して実行することにより、各種の機能を実現する。通信インタフェース404は、通信ネットワーク50に接続するためのインタフェースである。通信インタフェース404は、例えば、イーサネット(登録商標)に接続するためのアダプタや、電話回線網に接続するためのモデムなどである。入力装置405は、LDAP設定変更管理者からデータの入力を受け付ける、例えば、キーボードやマウスなどである。表示装置406は、LDAP設定変更管理者に対して情報を表示する、例えば、ディスプレイである。ICカードリーダ407は、接触型または非接触型のICカードに記録されているデータを読み出す装置である。
図3は管理者端末40のハードウェア構成を示す図である。同図に示すように管理者端末40は、CPU401、メモリ402、記憶装置403、通信インタフェース404、入力装置405、表示装置406、ICカードリーダ407を備えている。
記憶装置403は、プログラムやデータを記憶する、例えば、ハードディスクドライブやCD−ROMドライブ、フラッシュメモリなどである。CPU401は、記憶装置403に記憶されているプログラムをメモリ402に読み出して実行することにより、各種の機能を実現する。通信インタフェース404は、通信ネットワーク50に接続するためのインタフェースである。通信インタフェース404は、例えば、イーサネット(登録商標)に接続するためのアダプタや、電話回線網に接続するためのモデムなどである。入力装置405は、LDAP設定変更管理者からデータの入力を受け付ける、例えば、キーボードやマウスなどである。表示装置406は、LDAP設定変更管理者に対して情報を表示する、例えば、ディスプレイである。ICカードリーダ407は、接触型または非接触型のICカードに記録されているデータを読み出す装置である。
図4は、管理者端末40のソフトウェア構成を示す図である。同図に示すように、管理者端末40は、貸与利用者入力部411、カードID取得部412、エントリ更新部413を備えている。
貸与利用者入力部411は、LDAP設定変更管理者から、入力装置405を介して、貸与カードを貸し出した利用者(以下、貸与利用者という。)の利用者IDの入力を受け付ける。
カードID取得部412は、ICカードリーダ407を介して、ICカードに記憶されているカードIDを取得する。
エントリ更新部413は、カードID取得部412が取得したカードIDに対応するディレクトリ情報のポータルIDを、貸与利用者入力部411が受け付けた利用者IDに更新する。エントリ更新部413は、LDAPに規定される更新コマンド(changetype:modify replace:ポータルID)をLDAPサーバ30に送信することにより、LDAPサーバ30で管理されているディレクトリ情報を更新する。
なお、貸与利用者入力部411、カードID取得部412、およびエントリ更新部413は、管理者端末40が備えるCPU401が記憶装置403に記憶されているプログラムを実行することにより実現される。
貸与利用者入力部411は、LDAP設定変更管理者から、入力装置405を介して、貸与カードを貸し出した利用者(以下、貸与利用者という。)の利用者IDの入力を受け付ける。
カードID取得部412は、ICカードリーダ407を介して、ICカードに記憶されているカードIDを取得する。
エントリ更新部413は、カードID取得部412が取得したカードIDに対応するディレクトリ情報のポータルIDを、貸与利用者入力部411が受け付けた利用者IDに更新する。エントリ更新部413は、LDAPに規定される更新コマンド(changetype:modify replace:ポータルID)をLDAPサーバ30に送信することにより、LDAPサーバ30で管理されているディレクトリ情報を更新する。
なお、貸与利用者入力部411、カードID取得部412、およびエントリ更新部413は、管理者端末40が備えるCPU401が記憶装置403に記憶されているプログラムを実行することにより実現される。
本実施形態では、上述したように、利用者がICカードを携帯し忘れた場合、カード保管管理者は利用者からの届出に応じて、貸与カードをその利用者に貸与する。LDAP設定変更管理者は、カード保管管理者が利用者に貸与カードを貸し出す前に、貸与カードに記録されているカードIDに対応するディレクトリ情報のポータルIDを、貸与先となる利用者の利用者IDに更新する。図5は、貸与カードに対応するディレクトリ情報を更新する処理の流れを示す図である。
カードID取得部412は、ICカードリーダ407を介してICカードにアクセスできない場合には(S441:NO)、その旨のエラーを表示して(S447)、処理を終了する。
カードID取得部412は、ICカードにアクセスできる場合(S441:YES)、ICカードからカードIDを取得し(S442)、カードIDの先頭1桁が0〜8であれば(S443:NO)、エラーを表示して(S447)、処理を終了する。
カードID取得部412は、ICカードにアクセスできる場合(S441:YES)、ICカードからカードIDを取得し(S442)、カードIDの先頭1桁が0〜8であれば(S443:NO)、エラーを表示して(S447)、処理を終了する。
ICカードのカードIDが0〜8以外の英数字で始まっている場合(S443:YES)、貸与利用者入力部411は、キーボードやマウス等の入力装置105から、貸与カードの貸出先となる利用者を特定する利用者IDの入力を受け付ける(S444)。
エントリ更新部413は、カードID取得部412が取得したカードIDをキーにして、ディレクトリ情報のポータルIDを、貸与利用者入力部411が受け付けた利用者IDに更新するように指示する更新コマンドをLDAPサーバ30に送信して、ディレクトリ情報を更新する(S445)。
以上のようにして、利用者に貸与カードが一時的に貸し出された場合には、貸与カードのカードIDに対応するポータルIDには、その利用者の利用者IDが設定されることになる。後述するように、貸与カードのカードIDに対応するポータルIDが利用者の認証に用いられるため、利用者がICカードを携帯し忘れた場合でも、その利用者自身の利用者IDを用いて認証を行うことができる。ポータルサイトでは、利用者IDに応じて表示する情報を変化させる、いわゆるパーソナライゼーションが行われるが、利用者は常に自分自身の利用者IDを利用してポータルサーバ20のサービスを受けることができるので、ポータルサーバ20によるパーソナライゼーションも適切に行われるようにすることができる。
==利用者端末10==
図6は、利用者端末10のハードウェア構成を示す図である。同図に示すように、利用者端末10は、CPU101、メモリ102、記憶装置103、通信インタフェース104、入力装置105、表示装置106、ICカードリーダ107を備えている。
図6は、利用者端末10のハードウェア構成を示す図である。同図に示すように、利用者端末10は、CPU101、メモリ102、記憶装置103、通信インタフェース104、入力装置105、表示装置106、ICカードリーダ107を備えている。
ICカードリーダ107は、接触型または非接触型のICカードに記憶されているデータを読み出す装置である。記憶装置103は、ID読取プログラム11やID読取ドライバ12などのプログラムや、プログラムの実行時に用いられる各種のデータを記憶する。記憶装置103には、例えば、ハードディスクドライブやCD−ROMドライブ、フラッシュメモリなどを用いることができる。
ID読取ドライバ12は、利用者端末10で実行される各種のプログラムからICカードリーダ107を介してデータを読み出すためのデバイスドライバプログラムである。ID読取プログラム11は、ID読取ドライバ12を用いてICカードに記憶されているカードIDを読み出すためのプログラムである。ID読取プログラム11は、例えば、ActiveX(登録商標)コントロールや、Java(登録商標)アプレットといった、利用者端末10で動作するWebブラウザから呼び出されるプラグインプログラムである。
CPU101は記憶装置103に記憶されているプログラムをメモリ102に読み出して実行することにより各種の機能を提供する。通信インタフェース104は、通信ネットワーク50に接続するためのインタフェースであり、例えば、イーサネット(登録商標)に接続するためのアダプタや、公衆電話回線網に接続するためのモデムなどである。入力装置105、利用者からの操作を受け付ける、例えば、キーボードやマウスなどである。表示装置106は、利用者に対して情報を表示するディスプレイなどである。
図7は、利用者端末10のソフトウェア構成を示す図である。同図に示すように、利用者端末10は、認証要求送信部111、カードID取得画面受信部112、カードID取得部113、カードID送信部114、認証画面データ受信部115、認証情報入力部116、認証情報送信部117を備えている。
認証要求送信部111は、利用者の認証を行うように指示するコマンド(以下、認証要求という。)をポータルサーバ20に送信する。本実施形態では、認証要求送信部111は、利用者の操作に応じて、ポータルサーバ20上の所定のURL(Uniform Resource Locator)に対するHTTPリクエストを認証要求としてポータルサーバ20に送信するものとする。
カードID取得画面受信部112は、認証要求に応じてポータルサーバ20から送信される、ID読取プログラム11を起動するコマンドを含む画面データ(以下、カードID取得画面データという。)を受信する。なお、本実施形態では、カードID取得画面データはHTML(HyperText Markup Language)で記述されているものとし、カードID取得画面データに含まれるコマンドは、例えば、ActiveX(登録商標)コントロールやJava(登録商標)アプレットなどのプラグインプログラムを起動するための、<OBJECT>タグや<EMBED>タグなどである。利用者端末10は、カードID取得画面データに基づく画面をWebブラウザに表示する際に、ID読取プログラム11を起動することになる。
カードID取得部113は、ICカードリーダ107を介してICカードからカードIDを取得する。カードID送信部114(本発明の利用者ID送信部に該当する。)は、カードID取得部113が取得したカードIDを、例えば、HTTPに規定されるGET要求やPOST要求により、ポータルサーバ20に送信する。なお、カードID取得部113およびカードID送信部114は、ID読取プログラム11が実行されることにより実現される。
認証画面データ受信部115は、利用者を認証するための情報(以下、認証情報という。)の入力を受け付ける画面(以下、認証画面という。)を表示するための画面データ(以下、認証画面データという。)をポータルサーバ20から受信する。なお、本実施形態では、認証情報はパスワードである。また、本実施形態では、後述するように、認証画面には、ICカードから特定される利用者の利用者IDの入力欄と、パスワードの入力欄とが含まれるが、管理者以外の利用者の認証時には、利用者IDの入力欄は編集不能となる。
認証情報入力部116は、利用者からパスワードの入力を受け付ける。また、認証情報入力部116は、認証画面において利用者IDの入力欄が編集可能になっている場合には、利用者IDとパスワードとの両方の入力を受け付ける。
認証情報送信部117は利用者IDとパスワードとをポータルサーバ20に送信する。
認証情報送信部117は利用者IDとパスワードとをポータルサーバ20に送信する。
なお、上述した認証要求送信部111、カードID取得画面受信部112、認証画面データ受信部115、認証情報入力部116、認証情報送信部117は、利用者端末10が備えるCPU101が記憶装置103に記憶されているプログラム(不図示)を実行することにより実現される。
==ポータルサーバ20==
図8は、ポータルサーバ20のハードウェア構成を示す図である。同図に示すように、ポータルサーバ20は、CPU201、メモリ202、記憶装置203、通信インタフェース204、入力装置205、表示装置206を備えている。
図8は、ポータルサーバ20のハードウェア構成を示す図である。同図に示すように、ポータルサーバ20は、CPU201、メモリ202、記憶装置203、通信インタフェース204、入力装置205、表示装置206を備えている。
記憶装置203は、データやプログラムを記憶する、例えば、ハードディスクドライブやCD−ROMドライブ、フラッシュメモリなどである。CPU201は、記憶装置203に記憶されているプログラムをメモリ202に読み出して実行することにより各種の機能を実現する。通信インタフェース204は、通信ネットワーク50に接続するためのインタフェースであり、例えば、イーサネット(登録商標)に接続するためのアダプタや、公衆電話回線網に接続するためのモデムなどである。入力装置205、利用者からの操作を受け付ける、例えば、キーボードやマウスなどである。表示装置206は、利用者に対して情報を表示するディスプレイなどである。
図9は、ポータルサーバ20のソフトウェア構成を示す図である。同図に示すように、ポータルサーバ20は、認証要求受信部211、IPアドレス認証部212、カードID取得画面送信部213、カードID受信部214、ディレクトリ情報取得部215、認証画面作成部216、認証画面データ送信部217、認証情報受信部218、認証処理部219、画面データ送信部220、アドレス管理テーブル251、管理者管理テーブル252を備えている。
アドレス管理テーブル251は、通信ネットワーク50上における利用者端末10のネットワーク上で端末を特定するためのアドレスと、その利用者端末10を使用している利用者の利用者IDとを含む情報(以下、アドレス管理情報という。)を記憶する。なお、本実施携帯において、利用者端末10のアドレスは、IPアドレスであるものとする。
図10は、アドレス管理テーブル251に記憶されるアドレス管理情報の構成例を示す図である。同図に示すように、アドレス管理情報には、利用者端末10のIPアドレスをキーとして、利用者IDと、管理者フラグとが含まれている。管理者フラグは、利用者端末10を使用する利用者が管理者であるかどうかを示す情報である。後述するように、利用者が管理者である場合には、他の利用者の利用者IDを入力して、他の利用者としてポータルサーバ20にアクセスすることができる。これにより、例えば、管理者が、通常業務においてポータルサーバ20にアクセスする場合の利用者IDと、管理業務においてポータルサーバ20にアクセスする場合の利用者IDとを変えているような場合に対応できるようにしている。
なお、アドレス管理テーブル251には、全ての利用者端末10についてのアドレス管理情報が登録されていなくてもよい。
なお、アドレス管理テーブル251には、全ての利用者端末10についてのアドレス管理情報が登録されていなくてもよい。
管理者管理テーブル252は、管理者を特定する利用者IDを記憶する。本実施形態において、管理者は、他の利用者の利用者IDに基づく認証を行う権限を有するものとする。図11に管理者管理テーブル252の構成例を示す。同図に示すように、管理者管理テーブル252には利用者IDが登録される。利用者IDが管理者管理テーブル252に登録されているかどうかにより、利用者が管理者であるかどうかを判別することができる。
認証要求受信部211は、利用者端末10から送信される認証要求を受信する。
IPアドレス認証部212は、認証要求の送信元となる利用者端末10のIPアドレスに対応するアドレス管理情報がアドレス管理テーブル251に登録されているかどうかを判定する。利用者端末10のIPアドレスに対応するアドレス管理情報が登録されている場合には、後述するように、そのアドレス管理情報に含まれる利用者IDを利用して利用者の認証が行われる。
IPアドレス認証部212は、認証要求の送信元となる利用者端末10のIPアドレスに対応するアドレス管理情報がアドレス管理テーブル251に登録されているかどうかを判定する。利用者端末10のIPアドレスに対応するアドレス管理情報が登録されている場合には、後述するように、そのアドレス管理情報に含まれる利用者IDを利用して利用者の認証が行われる。
カードID取得画面送信部213は、認証要求に応じてカードID取得画面データを作成し、作成したカードID取得画面データを利用者端末10に送信する。
カードID受信部214(本発明の利用者ID受信部に該当する。)は、カードID取得画面データに応じて利用者端末10からカードIDを受信する。利用者端末10では、上述したように、ICカード取得画面データに含まれるコマンドに応じてID読取プログラム11が起動されて、ICカードリーダ107を介してICカードからカードIDが読み取られる。
カードID受信部214(本発明の利用者ID受信部に該当する。)は、カードID取得画面データに応じて利用者端末10からカードIDを受信する。利用者端末10では、上述したように、ICカード取得画面データに含まれるコマンドに応じてID読取プログラム11が起動されて、ICカードリーダ107を介してICカードからカードIDが読み取られる。
ディレクトリ情報取得部215は、利用者端末10から受信したカードIDに対応するディレクトリ情報をLDAPサーバ30から取得する。また、ディレクトリ情報取得部215は、カードIDが貸与カードである場合(本実施形態では、カードIDの先頭1桁が0〜8以外の英数字である場合)には、取得したディレクトリ情報に含まれるポータルIDに対応するディレクトリ情報を取得する。
認証画面作成部216は、利用者IDの入力欄と、パスワードの入力欄とを備える認証画面を表示するための認証画面データを作成する。認証画面作成部216は、認証画面の利用者IDの入力欄に、予めディレクトリ情報取得部215が取得したディレクトリ情報のカードIDを設定する。認証画面作成部216は、利用者が管理者である場合、すなわち利用者IDが管理者管理テーブル252に登録されている場合には、利用者IDの入力欄が編集可能になるようにし、それ以外の利用者については利用者IDの入力欄は編集不能になるように認証画面データを作成する。
認証画面データ送信部217は、認証画面作成部216が作成した認証画面データを利用者端末10に送信する。
認証画面データ送信部217は、認証画面作成部216が作成した認証画面データを利用者端末10に送信する。
認証情報受信部218は、利用者端末10から送信される認証情報を受信する。本実施形態では、認証情報受信部218は、利用者端末10から利用者IDとパスワードとを受信する。
認証処理部219は、認証情報受信部218が受信した認証情報を用いて利用者の認証を行う。本実施形態では、認証処理部219は、認証情報受信部218が受信した利用者IDとパスワードとを用いて認証を行う。具体的には、認証処理部219は、利用者IDに対応するディレクトリ情報のパスワードエントリをLDAPサーバ30から取得し、取得したパスワードエントリの内容と、利用者端末10から受信したパスワードとが一致するかどうかにより利用者の認証を行うことができる。
画面データ送信部220は、認証に成功した場合に、利用者に応じたポータルサイトを実現する画面データを利用者端末10に送信する。また、認証に失敗した場合には、画面データ送信部220は、その旨を示すエラーメッセージを表示するための画面データを利用者端末10に送信する。
==処理==
次に、本実施形態に係る認証システムにおいて、利用者の認証を行う仕組みについて説明する。図12は、利用者を認証する処理の流れを示す図である。本実施形態の認証システムでは、まずICカードからカードIDを取得し(S501)、取得したカードIDに基づいて利用者に対応するディレクトリ情報をLDAPサーバ30から取得し(S502)、取得したディレクトリ情報に基づいて利用者の認証処理を行う(S503)。以下、詳細について説明する。
次に、本実施形態に係る認証システムにおいて、利用者の認証を行う仕組みについて説明する。図12は、利用者を認証する処理の流れを示す図である。本実施形態の認証システムでは、まずICカードからカードIDを取得し(S501)、取得したカードIDに基づいて利用者に対応するディレクトリ情報をLDAPサーバ30から取得し(S502)、取得したディレクトリ情報に基づいて利用者の認証処理を行う(S503)。以下、詳細について説明する。
図13は、ICカードからカードIDを取得する処理の流れを示す図である。
利用者が利用者端末10で動作するWebブラウザを操作してポータルサーバ20にアクセスすると、利用者端末10からは、所定のURLへのHTTPリクエストとして、認証要求がポータルサーバ20に送信される(S521)。
利用者が利用者端末10で動作するWebブラウザを操作してポータルサーバ20にアクセスすると、利用者端末10からは、所定のURLへのHTTPリクエストとして、認証要求がポータルサーバ20に送信される(S521)。
ポータルサーバ20は、利用者端末10から認証要求を受信すると、認証要求の送信元となる利用者端末10のIPアドレスを取得する。IPアドレス認証部212は、取得したIPアドレスに対応するアドレス管理情報をアドレス管理テーブル251から検索する(S522)。認証要求の送信元のIPアドレスに対応するアドレス管理情報がアドレス管理テーブル251に登録されていれば(S523:YES)、アドレス管理情報の利用者IDをカードIDとして(S524)、処理を終了する。
一方、認証要求の送信元のIPアドレスに対応するアドレス管理情報が登録されていない場合には(S523:NO)、カードID取得画面送信部213は、ICカードからカードIDを読み出すためのカードID取得画面データを作成する(S525)。カードID取得画面データ16の一例を図14に示す。同図の例では、カードID取得画面データ16には、ICカードリーダ107からICカードにアクセス可能になるように指示するメッセージ161と、利用者端末10においてID読取プログラム11を起動するように示すコマンド162が含まれている。図14の例では、コマンド162は、WebブラウザからActiveX(登録商標)コントロールを起動するためのOBJECTタグとなっている。カードID取得画面送信部213は、作成したカードID取得画面データを利用者端末10に送信する(S526)。
利用者端末10において、カードID取得画面受信部112は、カードID取得画面データを受信し、受信したカードID取得画面データに基づいてカードID取得画面162を表示する(S527)。カードID取得画面受信部112が表示するカードID取得画面17の一例を図15に示す。同図の例では、カードID取得画面17の表示欄171には、上述の図14に示すカードID取得画面データ16に含まれていたメッセージ161が表示されている。また、カードID取得画面受信部112は、上記のカードID取得画面17を表示するとともに、カードID取得画面データに含まれているコマンド162に応じてID読取プログラム11を起動する(S528)。ID読取プログラム11が実行されることにより実現されるカードID取得部113は、ICカードリーダ107を介してICカードからカードIDを読み取り(S529)、カードID送信部114は、読み取ったカードIDをポータルサーバ20に送信する(S530)。
ポータルサーバ20では、カードID受信部214が、利用者端末10から送信されるカードIDを受信する(S531)。
ポータルサーバ20では、カードID受信部214が、利用者端末10から送信されるカードIDを受信する(S531)。
このように、本実施形態の認証システムでは、ActiveX(登録商標)コントロールなどのプラグインプログラムを起動することにより、ポータルサーバ20からICカードリーダ107を制御してICカードからカードIDを取得することを可能としている。一般に、ポータルサーバ20側から、クライアントである利用者端末10に接続されているデバイスを制御することは困難であるが、本実施形態の認証システムによれば、プラグインプログラムを起動するためのタグを含むカードID取得画面データを用いて、ICカードを利用した利用者の認証を、Webアプリケーションの形態であっても、容易に実現することができる。
次に、カードIDに基づいてディレクトリ情報を取得する処理の流れを図16に示す。
ディレクトリ情報取得部215は、上述の図15の処理により取得されるカードIDに対応するディレクトリ情報を、LDAPサーバ30から取得する(S541)。
ディレクトリ情報取得部215は、カードIDの先頭1桁が0〜8であるかどうかにより、ICカードが貸与カードであるかどうかを判定する(S542)。カードIDの先頭1桁が0〜8である場合、すなわち貸与カードでない場合には(S542:YES)、ディレクトリ情報取得部215は、カードIDを利用者IDとして(S543)、処理を終了する。
ディレクトリ情報取得部215は、上述の図15の処理により取得されるカードIDに対応するディレクトリ情報を、LDAPサーバ30から取得する(S541)。
ディレクトリ情報取得部215は、カードIDの先頭1桁が0〜8であるかどうかにより、ICカードが貸与カードであるかどうかを判定する(S542)。カードIDの先頭1桁が0〜8である場合、すなわち貸与カードでない場合には(S542:YES)、ディレクトリ情報取得部215は、カードIDを利用者IDとして(S543)、処理を終了する。
一方、カードIDの先頭1桁が0〜8以外の英数字である場合、すなわち貸与カードである場合には(S542:NO)、ディレクトリ情報取得部215は、上記のディレクトリ情報に含まれているポータルIDを利用者IDとして(S544)、ポータルIDにカードIDが一致するディレクトリ情報をLDAPサーバ30から取得する(S545)。
上述したように、貸与カードが利用者に貸し出される場合には、貸与カードのカードIDに対応するディレクトリ情報のポータルIDには、貸出先となった利用者の利用者IDが設定される。したがって、貸与カードの場合には、ポータルIDに対応するディレクトリ情報が取得され、通常のICカードの場合には、ICカードに記録されているカードIDに対応するディレクトリ情報が取得される。このように、本実施形態の認証システムでは、利用者がICカードを携帯し忘れた場合であっても、ポータルサーバ20は、適切なディレクトリ情報を取得することができるようになっている。
また、本実施形態の認証システムでは、利用者がICカードを携帯し忘れた場合であっても、貸与カードのカードIDに対応するポータルIDが利用者IDとして決定される。したがって、認証に用いられる利用者IDが適切に利用者を識別することが可能となる。
以上のようにして、利用者IDが決定されて、ディレクトリ情報が取得されると、次に利用者の認証処理が行われる。図17は、利用者の認証処理の流れを示す図である。
ポータルサーバ20において、認証画面作成部216は、利用者IDの入力欄のためのINPUTタグと、パスワードの入力欄のためのINPUTタグとを含む認証画面データ18を作成する(S561)。認証画面作成部216は、利用者IDが管理者管理テーブル252に登録されているかどうかを判定し(S562)、利用者IDが管理者管理テーブル252に登録されていない場合には(S562:NO)、認証画面データ18に含まれる利用者IDの入力欄を編集不能にすべく、利用者IDの入力欄のためのINPUTタグにDISABLED属性を設定する(S563)。上記のようにして作成された認証画面データ18の一例を図18に示す。同図の例において、認証画面データ18には、利用者IDの入力欄のためのタグ181と、パスワードの入力欄のためのタグ182とが含まれており、タグ181には「DISABLED」属性が設定されている。上記のようにして認証画面データ18が作成されると、認証画面データ送信部217は、認証画面データ18を利用者端末10に送信する(S564)。
ポータルサーバ20において、認証画面作成部216は、利用者IDの入力欄のためのINPUTタグと、パスワードの入力欄のためのINPUTタグとを含む認証画面データ18を作成する(S561)。認証画面作成部216は、利用者IDが管理者管理テーブル252に登録されているかどうかを判定し(S562)、利用者IDが管理者管理テーブル252に登録されていない場合には(S562:NO)、認証画面データ18に含まれる利用者IDの入力欄を編集不能にすべく、利用者IDの入力欄のためのINPUTタグにDISABLED属性を設定する(S563)。上記のようにして作成された認証画面データ18の一例を図18に示す。同図の例において、認証画面データ18には、利用者IDの入力欄のためのタグ181と、パスワードの入力欄のためのタグ182とが含まれており、タグ181には「DISABLED」属性が設定されている。上記のようにして認証画面データ18が作成されると、認証画面データ送信部217は、認証画面データ18を利用者端末10に送信する(S564)。
利用者端末10では、認証画面データ受信部115がポータルサーバ20から認証画面データ18を受信し、受信した認証画面データ18に基づく認証画面19を表示装置106に表示する(S565)。上述した図18の例の認証画面データ18に基づく認証画面19の一例を図19に示す。同図に示すように、認証画面19は、利用者IDの入力欄191と、パスワードの入力欄192とを備えている。しかし、図18の例の認証画面データ18に基づく認証画面19では、タグ181に「DISABLED」属性が設定されているため、入力欄191は編集不能の状態となる。認証情報入力部116は、入力欄191に入力されたパスワードを受け付ける(S566)。なお、利用者が管理者である場合には、上述したように、入力欄191は編集可能となる。この場合、認証情報入力部116は、入力欄191に入力された利用者IDと、入力欄192に入力されたパスワードとの両方を受け付ける。
認証画面19において、ログインボタン193が押下されると、認証情報送信部117は、入力欄191に設定されている利用者IDと、入力欄192に入力されたパスワードとをポータルサーバ20に送信する(S567)。
ポータルサーバ20では、認証情報受信部218が、利用者端末10から送信される利用者IDとパスワードとを受信し、受信した利用者IDと、上記図16に示す処理により決定された利用者IDとが異なる場合には(S568:NO)、ディレクトリ情報取得部215は、受信した利用者IDに対応するディレクトリ情報をLDAPサーバ30から取得する(S569)。
認証処理部219は、利用者端末10から受信したパスワードが、利用者IDに対応するディレクトリ情報のパスワードと一致するかどうかを判断する(S570)。画面データ送信部220は、受信したパスワードとディレクトリ情報のパスワードとが一致すれば(S570:YES)、ポータルサイトに係る画面データを利用者端末10に送信し(S571)、一致しなければ(S570:NO)、その旨を示すエラーメッセージを表示するための画面データを利用者端末10に送信する(S572)。
上記のようにして、管理者以外の利用者に対しては、利用者IDの入力欄が編集不能となった認証画面が利用者端末10に表示され、利用者からのパスワードが利用者端末10からポータルサーバ20に応答される。これにより、ポータルサーバ20においては、ICカードに記録されていた利用者IDと、認証画面において入力されたパスワードとを用いて利用者の認証を行うことができる。本実施形態の認証システムでは、ICカードに記録されている利用者IDに加えて、認証画面においてパスワードの入力も受け付けるようにしている。したがって、他人のICカードを使用したとしても、その他人のパスワードを知らなければ、他人としてポータルサーバ20において認証を受けることはできない。よって、他人のICカードを利用して他人になりすますような不正な認証を防ぐことができる。
その一方で、管理者に対しては、利用者IDの入力欄が編集可能となった認証画面が利用者端末10に表示される。したがって、例えば、ポータルサイトにおいて異なる利用権限が付与された利用者IDを複数用意しておき、管理者がそれらの利用者IDを使い分けることが可能となる。これにより、管理者は、例えば、ポータルサイトにおいて、利用権限に応じた使い勝手を調査することができる。
なお、本実施形態では、利用者IDとパスワードによる認証に先だって、IPアドレスによる認証を行うものとしたが、IPアドレスを利用した認証を省略してもよい。
また、本実施形態では、管理者管理テーブル252に利用者IDが登録されているかどうかにより、利用者が管理者であるかどうかを判断するものとしたが、これに限らず、例えば、利用者IDの先頭1桁が0である場合など、利用者IDに対する所定の条件を満たすかどうかにより管理者であるかどうかを判断するようにしてもよい。
また、本実施形態では、LDAPにより利用者のディレクトリ情報を管理するものとしたが、これに限らず、ポータルサーバ20が備えるRDBMSにおいてディレクトリ情報を管理するようにしてもよい。
また、本実施形態では、ポータルサーバ20が提供する情報処理サービスは、Webアプリケーションの形態であるものとしたが、これに限らず、各種のクライアント・サーバ形態に適用することができる。
また、本実施形態では、管理者以外の利用者については、認証画面において、INPUTタグに「DISABLED」属性を設定することにより、利用者IDの入力欄を編集不能にするものとしたが、入力欄を表示することなく、利用者IDを表示するテキスト情報を認証画面に表示するようにしてもよい。
以上、本実施形態について説明したが、上記実施形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明は、その趣旨を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物も含まれる。
10 利用者端末 11 ID読取プログラム
12 ID読取ドライバ 101 CPU
102 メモリ 103 記憶装置
104 通信インタフェース 105 入力装置
106 表示装置 107 ICカードリーダ
111 認証要求送信部 112 カードID取得画面受信部
113 カードID取得部 114 カードID送信部
115 認証画面データ受信部 116 認証情報入力部
117 認証情報送信部 161 メッセージ
162 コマンド 17 カードID読取画面
18 認証画面データ 181 タグ
182 タグ 19 認証画面
191 入力欄 192 入力欄
193 ログインボタン 20 ポータルサーバ
201 CPU 202 メモリ
203 記憶装置 204 通信インタフェース
205 入力装置 206 表示装置
211 認証要求受信部 212 IPアドレス認証部
213 カードID取得画面送信部 214 カードID受信部
215 ディレクトリ情報取得部 216 認証画面作成部
217 認証画面データ送信部 218 認証情報受信部
219 認証処理部 220 画面データ送信部
251 アドレス管理テーブル 252 管理者管理テーブル
30 LDAPサーバ 40 管理者端末
401 CPU 402 メモリ
403 記憶装置 404 通信インタフェース
405 入力装置 406 表示装置
407 ICカードリーダ 411 貸与利用者入力部
412 カードID取得部 413 エントリ更新部
50 通信ネットワーク
12 ID読取ドライバ 101 CPU
102 メモリ 103 記憶装置
104 通信インタフェース 105 入力装置
106 表示装置 107 ICカードリーダ
111 認証要求送信部 112 カードID取得画面受信部
113 カードID取得部 114 カードID送信部
115 認証画面データ受信部 116 認証情報入力部
117 認証情報送信部 161 メッセージ
162 コマンド 17 カードID読取画面
18 認証画面データ 181 タグ
182 タグ 19 認証画面
191 入力欄 192 入力欄
193 ログインボタン 20 ポータルサーバ
201 CPU 202 メモリ
203 記憶装置 204 通信インタフェース
205 入力装置 206 表示装置
211 認証要求受信部 212 IPアドレス認証部
213 カードID取得画面送信部 214 カードID受信部
215 ディレクトリ情報取得部 216 認証画面作成部
217 認証画面データ送信部 218 認証情報受信部
219 認証処理部 220 画面データ送信部
251 アドレス管理テーブル 252 管理者管理テーブル
30 LDAPサーバ 40 管理者端末
401 CPU 402 メモリ
403 記憶装置 404 通信インタフェース
405 入力装置 406 表示装置
407 ICカードリーダ 411 貸与利用者入力部
412 カードID取得部 413 エントリ更新部
50 通信ネットワーク
Claims (5)
- 利用者の認証システムであって、
利用者が操作するクライアント装置と、
利用者の認証を行うサーバ装置とを含んで構成され、
前記クライアント装置は、
利用者を特定する利用者IDを記憶するICカードから前記利用者IDを読み取るICカードリーダと、
前記ICカードリーダを制御して前記ICカードから前記利用者IDを読み取るためのID読取プログラムを記憶する記憶装置と、
を備え、
前記サーバ装置は、前記ID読取プログラムを起動させる命令を含み、前記利用者IDを表示するとともに、利用者の認証情報を入力する認証画面を表示するための画面データである認証画面データを前記クライアント装置に送信する認証画面データ送信部を備え、
前記クライアント装置は、
前記認証画面データを受信する認証画面データ受信部と、
前記認証画面データに基づいて前記認証画面を表示する認証画面表示部と、
前記認証画面を介して前記認証情報の入力を受け付ける認証情報入力部と、
前記認証画面データに含まれている前記命令に応じて、前記ID読取プログラムを起動し、前記ID読取プログラムにより前記ICカードリーダから読み取られた前記利用者IDを取得し、取得した前記利用者IDを前記サーバ装置に送信する利用者ID送信部と、
前記認証情報を前記サーバ装置に送信する認証情報送信部と、
を備え、
前記サーバ装置は、
前記クライアント装置から前記利用者IDを受信する利用者ID受信部と、
利用者に一時的に貸与された第1のICカードに記憶されている第1の利用者IDと、利用者が所有する前記第1のICカードとは異なる第2のICカードに記憶されている第2の利用者IDとを対応付けて記憶する貸与情報データベースと、
前記利用者ID受信部が受信した前記利用者IDが所定の条件を満たすかどうかにより、前記ICカードが利用者に一時的に貸与されたものであるかどうかを判定する貸与判定部と、
前記ICカードが利用者に一時的に貸与されたものであると判定した場合には、前記クライアント装置から受信した前記利用者IDに対応する前記第2の利用者IDを前記貸与情報データベースから読み出し、読み出した前記第2の利用者IDを認証に用いる利用者IDとして決定し、前記ICカードが利用者に一時的に貸与されたものでないと判定した場合には、前記クライアント装置から受信した前記利用者IDを前記認証に用いる利用者IDとして決定する利用者ID取得部と、
前記認証に用いる利用者IDに対応する認証情報と前記クライアント装置から受信した前記認証情報とを照合して利用者の認証を行う利用者認証部と、
を備えることを特徴とする認証システム。 - 請求項1に記載の認証システムであって、
前記クライアント装置が備える前記記憶装置は、前記利用者ID送信部を実現するプラグインプログラムを記憶しており、
前記認証画面データに含まれている前記命令には、前記プラグインプログラムを特定する情報が含まれており、
前記クライアント装置は、前記認証画面データに応じた画面を表示するとともに、前記命令によって特定される前記プラグインプログラムを起動する画面表示部を備えること、
を特徴とする認証システム。 - 請求項1に記載の認証システムであって、
前記サーバ装置は、前記認証に用いる利用者IDとは異なる利用者IDを用いて認証を受ける権限を有する利用者を特定する前記利用者IDを記憶する特殊権限者記憶部を備え、
前記認証に用いる利用者IDが前記特殊権限者記憶部に登録されている場合、
前記認証画面データ送信部は、前記認証に用いる利用者IDおよび前記認証情報の両方を入力する前記認証画面を表示するための前記認証画面データを前記クライアント装置に送信し、
前記利用者認証部は、前記クライアント装置から受信した、前記認証画面に入力された前記利用者IDおよび前記認証情報に基づいて利用者の認証を行うこと、
を特徴とする認証システム。 - 請求項1に記載の認証システムであって、
前記利用者ID送信部は所定の前記サーバ装置にのみ前記利用者IDを送信すること、
を特徴とする認証システム。 - 請求項1に記載の認証システムであって、
前記クライアント装置は、利用者の認証を行うように指示する認証要求を前記サーバ装置に送信する認証要求送信部を備え、
前記サーバ装置は、
前記クライアント装置に付与されているアドレスに対応付けて、前記利用者IDを記憶するアドレス管理テーブルと、
前記認証要求の送信元となる前記クライアント装置の前記アドレスを取得するアドレス取得部と、
を備え、
前記利用者認証部は、取得した前記アドレスに対応する前記利用者IDが前記アドレス管理テーブルに登録されている場合には、前記アドレスに対応する前記利用者IDに基づいて利用者の認証を行うこと、
を特徴とする認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006276665A JP4573820B2 (ja) | 2006-10-10 | 2006-10-10 | 認証システムおよび認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006276665A JP4573820B2 (ja) | 2006-10-10 | 2006-10-10 | 認証システムおよび認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008097205A JP2008097205A (ja) | 2008-04-24 |
| JP4573820B2 true JP4573820B2 (ja) | 2010-11-04 |
Family
ID=39380006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006276665A Expired - Fee Related JP4573820B2 (ja) | 2006-10-10 | 2006-10-10 | 認証システムおよび認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4573820B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010090664A1 (en) * | 2009-02-05 | 2010-08-12 | Wwpass Corporation | Centralized authentication system with safe private data storage and method |
| JP5578096B2 (ja) * | 2011-01-28 | 2014-08-27 | コニカミノルタ株式会社 | 表示システム |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05324937A (ja) * | 1992-05-22 | 1993-12-10 | Fujitsu Ltd | 貸出カードの検出方法 |
| JPH0619913A (ja) * | 1992-06-30 | 1994-01-28 | Fujitsu Ltd | 入退室管制装置 |
| JP2002133384A (ja) * | 2000-10-18 | 2002-05-10 | Ntt Data Corp | Icカード、登録装置、及びサービス提供システム |
| JP2002169898A (ja) * | 2000-11-30 | 2002-06-14 | Ricoh Co Ltd | 情報記憶カード、医療情報処理システム、データベースセンタにおけるコンピュータ・システム、医療情報処理方法、及び医療情報保管処理方法 |
| JP2004234633A (ja) * | 2003-01-06 | 2004-08-19 | Sony Corp | 認証システム、認証サーバ、端末、可搬式記憶媒体、認証方法、認証情報登録方法、情報送信方法、情報送受信方法、認証プログラム、情報送信プログラム、情報送受信プログラム、記憶媒体、情報処理装置、及び情報処理方法 |
| JP2004264890A (ja) * | 2003-01-29 | 2004-09-24 | Canon Inc | 認証装置 |
| JP2005174020A (ja) * | 2003-12-11 | 2005-06-30 | Bank Of Tokyo-Mitsubishi Ltd | ネットバンキングサービスの利用者認証方法及びシステム、ネットバンキングサービスで利用者認証を受ける方法、並びに、コンピュータプログラム |
| JP2005173865A (ja) * | 2003-12-10 | 2005-06-30 | Matsushita Electric Ind Co Ltd | ネット機器の所有者特定方法 |
| JP2005339093A (ja) * | 2004-05-26 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 |
| JP2006148492A (ja) * | 2004-11-18 | 2006-06-08 | Toshiba Corp | 公開鍵基盤システム及び公開鍵基盤方法 |
-
2006
- 2006-10-10 JP JP2006276665A patent/JP4573820B2/ja not_active Expired - Fee Related
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05324937A (ja) * | 1992-05-22 | 1993-12-10 | Fujitsu Ltd | 貸出カードの検出方法 |
| JPH0619913A (ja) * | 1992-06-30 | 1994-01-28 | Fujitsu Ltd | 入退室管制装置 |
| JP2002133384A (ja) * | 2000-10-18 | 2002-05-10 | Ntt Data Corp | Icカード、登録装置、及びサービス提供システム |
| JP2002169898A (ja) * | 2000-11-30 | 2002-06-14 | Ricoh Co Ltd | 情報記憶カード、医療情報処理システム、データベースセンタにおけるコンピュータ・システム、医療情報処理方法、及び医療情報保管処理方法 |
| JP2004234633A (ja) * | 2003-01-06 | 2004-08-19 | Sony Corp | 認証システム、認証サーバ、端末、可搬式記憶媒体、認証方法、認証情報登録方法、情報送信方法、情報送受信方法、認証プログラム、情報送信プログラム、情報送受信プログラム、記憶媒体、情報処理装置、及び情報処理方法 |
| JP2004264890A (ja) * | 2003-01-29 | 2004-09-24 | Canon Inc | 認証装置 |
| JP2005173865A (ja) * | 2003-12-10 | 2005-06-30 | Matsushita Electric Ind Co Ltd | ネット機器の所有者特定方法 |
| JP2005174020A (ja) * | 2003-12-11 | 2005-06-30 | Bank Of Tokyo-Mitsubishi Ltd | ネットバンキングサービスの利用者認証方法及びシステム、ネットバンキングサービスで利用者認証を受ける方法、並びに、コンピュータプログラム |
| JP2005339093A (ja) * | 2004-05-26 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 |
| JP2006148492A (ja) * | 2004-11-18 | 2006-06-08 | Toshiba Corp | 公開鍵基盤システム及び公開鍵基盤方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008097205A (ja) | 2008-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4716704B2 (ja) | 認証システム及び認証方法 | |
| US7103912B2 (en) | User authorization management system using a meta-password and method for same | |
| US8056122B2 (en) | User authentication method and system using user's e-mail address and hardware information | |
| JP4604736B2 (ja) | 情報取得制御システム,携帯端末およびプログラム | |
| KR100858144B1 (ko) | 이동통신 단말기를 이용한 인터넷 사이트에서의 사용자인증 방법 및 장치 | |
| US20070077916A1 (en) | User authentication system and user authentication method | |
| JP2001243413A (ja) | 名刺管理システム、方法、そのサーバ装置及びクライアント装置、携帯端末装置、並びに記録媒体 | |
| JP2008097207A (ja) | 認証システム、認証方法、およびプログラム | |
| US20020193142A1 (en) | System and method for controlling access to personal information | |
| US20140101772A1 (en) | Input method, input apparatus, and input program | |
| JP2011086198A (ja) | 個人情報管理システム、管理サーバ、及び、プログラム | |
| US8135383B2 (en) | Information security and delivery method and apparatus | |
| JP4135151B2 (ja) | Rfidを用いたシングルサインオン方法及びシステム | |
| JP3520264B2 (ja) | 認証情報入力システム、認証情報保管システム、認証情報入力方法および認証情報入力プログラム | |
| JP4573820B2 (ja) | 認証システムおよび認証方法 | |
| JP5475226B2 (ja) | 渉外営業支援システム及びその方法 | |
| JP2011100268A (ja) | サービス提供システム、認証装置、サービス提供装置、制御方法、及びプログラム | |
| JP2005346136A (ja) | 認証システム、情報処理装置及びそれらの制御方法、プログラム | |
| WO2007029849A1 (en) | Personal password management method, personal password association assistance apparatus, personal password association assistance program, personal password management system and authentication server | |
| JP5012261B2 (ja) | パスワード発行システム | |
| JP2006059280A (ja) | 電子機器 | |
| JP2004341637A (ja) | 情報管理システム | |
| JP2009230625A (ja) | 端末認証システム | |
| US20220366029A1 (en) | Uilization control system, use permit issuance device, uilization control method, and computer-readable program | |
| JP2005004569A (ja) | 認証システム及び認証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090604 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20090604 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20090624 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090707 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090903 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100122 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100413 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100705 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100720 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100810 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100817 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4573820 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |