JP4651644B2 - Authentication system and authentication program - Google Patents
Authentication system and authentication program Download PDFInfo
- Publication number
- JP4651644B2 JP4651644B2 JP2007147937A JP2007147937A JP4651644B2 JP 4651644 B2 JP4651644 B2 JP 4651644B2 JP 2007147937 A JP2007147937 A JP 2007147937A JP 2007147937 A JP2007147937 A JP 2007147937A JP 4651644 B2 JP4651644 B2 JP 4651644B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- server
- client terminal
- user identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、端末へのログイン等を認証する認証システムおよび認証プログラムに関し、特に認証サーバがダウンしたときにも認証できることを特徴とするものである。 The present invention relates to an authentication system and an authentication program for authenticating login or the like to a terminal, and is characterized in that authentication can be performed even when an authentication server is down.
利用者が、各種業務システムとネットワーク接続された端末(クライアントコンピュータ)から業務システムにログインして業務を実行するとき、セキュリティを強化するために、認証サーバにより認証を行ってから、業務システムへのログインを可能とするように構成することがある。ログイン前に認証サーバにより認証を行うことで、業務システムのセキュリティが強化するだけでなく、ログイン名毎のアクセス権の設定が可能になる。 When a user logs in to a business system from a terminal (client computer) connected to various business systems (client computer) and executes the business, the authentication server authenticates and then the business system May be configured to allow login. Authenticating with an authentication server before login not only enhances the security of the business system, but also allows access rights to be set for each login name.
しかしながら、認証サーバがシステムダウンしたとき、あるいはネットワーク接続がなんらかの理由で遮断したとき、上述の構成によると、認証サーバから認証情報を取得できないため、業務サーバまたは業務アプリケーションへのログインが不可能となり、利用者は業務を継続することができない。 However, when the authentication server goes down, or when the network connection is interrupted for some reason, according to the above configuration, authentication information cannot be acquired from the authentication server, so login to the business server or business application becomes impossible. Users cannot continue their business.
特許文献1(特開2004−318547号公報)に開示された認証システムは、上述の問題点を解決するために、認証サーバをフィールド側と、センター側とに設け、フィールド側、センター側と順番に認証を行うため、単純な二重化と比較して、ネットワーク障害の影響を受けにくくしている。 In order to solve the above-described problems, an authentication system disclosed in Patent Document 1 (Japanese Patent Application Laid-Open No. 2004-318547) is provided with an authentication server on the field side and the center side, and in order from the field side to the center side. Therefore, it is less susceptible to network failure than simple duplexing.
また特許文献2(特開2005−165704号公報)に開示されたセキュリティチェックシステムは、サーバ側で一元管理しているロックアウトチェックリストを都度コピーし、クライアント側でロックアウトチェックリストに基づき、ログインの認証を行う。それにより、サーバが停止したときでもユーザ認証を行うことを特徴としている。 The security check system disclosed in Patent Document 2 (Japanese Patent Laid-Open No. 2005-165704) copies a lockout check list that is centrally managed on the server side each time, and logs in based on the lockout check list on the client side. Authenticate. Thereby, the user authentication is performed even when the server is stopped.
特許文献1の方法によると、ネットワーク障害の影響が受けにくくなるとは言え、認証サーバを二重化または多重化で構成する必要がある。また特許文献2の方法によると、常にクライアント側にコピーされた情報によりユーザ認証を行うため、サーバとのネットワークが故意に切断された場合、それを認知する機能がなく、クライアント側にコピーされた情報で認証を行うため、セキュリティが低下するという問題がある。
本発明は、認証サーバがシステムダウンしたとき、あるいはネットワーク接続がなんらかの理由で遮断したときでも、一定レベルの認証機能を有した、認証システムを提供することを課題とする。 An object of the present invention is to provide an authentication system having a certain level of authentication function even when the authentication server goes down or when the network connection is interrupted for some reason.
本発明に係る認証システムは、ネットワーク接続された、認証サーバとクライアント端末と認証代理サーバとを有する認証システムであって、上記クライアント端末から受信したユーザ識別情報を予め記憶されている認証管理情報と照合し、認証するかどうかを判定し、認証すると判定したときは上記ユーザ識別情報と対応する認証情報を上記認証管理情報から取り出し特定する認証手段と、上記認証手段が特定した認証情報を、予め記憶され上記ユーザ識別情報と対応する暗号鍵により暗号化し、暗号化した暗号化認証情報を生成する暗号化手段と、上記ユーザ識別情報を上記クライアント端末から受信し、上記認証手段が判定した認証結果情報と、上記認証手段が認証したときは認証情報と暗号化認証情報とを上記クライアント端末に送信する認証サーバ送受信手段とを備えた認証サーバ、ユーザ識別情報と第1のアプリケーションへのログイン要求とを受け付ける認証要求手段と、上記認証サーバとの接続が可能と判断したときは上記認証サーバに認証を要求するために、上記ユーザ識別情報を上記認証サーバに送信し、上記認証サーバにより判定された認証結果情報と、上記認証サーバが認証したときは認証情報と暗号化認証情報とを受信し、受信した暗号化認証情報を記憶装置に記憶する第1の端末送受信手段と、上記認証サーバとの接続が不可能と判断したときは上記認証代理サーバに認証を要求するために、上記暗号化認証情報を上記認証代理サーバに送信し、上記認証代理サーバから復号された認証情報を受信する第2の端末送受信手段と、上記第1の端末送受信手段あるいは上記第2の端末送受信手段が受信した認証情報に基づき第1のアプリケーションへのログインを要求するアプリケーションインタフェースとを備えたクライアント端末、上記クライアント端末から受信した暗号化認証情報を、予め記憶されている復号鍵で復号する認証代理手段と、暗号化認証情報をクライアント端末から受信し、上記認証代理手段が復号した認証情報をクライアント端末に送信する認証代理サーバ送受信手段とを備えた認証代理サーバを有することを特徴とするものである。 An authentication system according to the present invention is an authentication system having an authentication server, a client terminal, and an authentication proxy server connected to a network, wherein user identification information received from the client terminal is stored in advance as authentication management information The authentication means for extracting and specifying the authentication information corresponding to the user identification information from the authentication management information and the authentication information specified by the authentication means in advance Encryption means for generating encrypted encrypted authentication information encrypted with an encryption key corresponding to the stored user identification information, and an authentication result determined by the authentication means received from the client terminal Information and when the authentication means authenticates, the authentication information and encrypted authentication information are sent to the client terminal. An authentication server having an authentication server transmission / reception means, an authentication request means for accepting user identification information and a login request to the first application, and authentication to the authentication server when it is determined that the authentication server can be connected. To send the user identification information to the authentication server, receive authentication result information determined by the authentication server, and authentication information and encrypted authentication information when the authentication server authenticates, In order to request authentication from the authentication proxy server when it is determined that a connection between the first terminal transmitting / receiving means for storing the received encrypted authentication information in the storage device and the authentication server is impossible, the encryption authentication is performed. Second terminal transmitting / receiving means for transmitting information to the authentication proxy server and receiving authentication information decrypted from the authentication proxy server; and first terminal transmission / reception Or a client terminal having an application interface for requesting login to the first application based on the authentication information received by the second terminal transmitting / receiving means, and the encrypted authentication information received from the client terminal are stored in advance. Authentication proxy server comprising: authentication proxy means for decrypting with a decryption key, and authentication proxy server transmitting / receiving means for receiving encrypted authentication information from the client terminal and transmitting the authentication information decrypted by the authentication proxy means to the client terminal It is characterized by having.
また上記認証情報は、上記第1のアプリケーションに対応するログイン名とパスワードからなることを特徴とするものである。 In addition, the authentication information includes a login name and a password corresponding to the first application.
また上記認証管理情報には、第1のアプリケーションに対応するアクセス権情報が記憶され、上記認証手段は、上記認証管理情報から認証情報を取り出すとき、合わせてアクセス権情報も取り出し、上記認証サーバ送受信手段は、上記認証手段が認証したとき、認証情報と暗号化認証情報と合わせてアクセス権情報を送信し、上記第1の端末送受信手段は、認証情報と暗号化認証情報とを受信するとき、合わせてアクセス権情報も受信し、上記アプリケーションインタフェースは、認証情報とアクセス権情報に基づき、第1のアプリケーションへのログインを要求することを特徴とするものである。 In the authentication management information, access right information corresponding to the first application is stored. When the authentication unit extracts the authentication information from the authentication management information, it also extracts the access right information and transmits / receives the authentication server. The means transmits the access right information together with the authentication information and the encrypted authentication information when the authentication means authenticates, and the first terminal transmitting / receiving means receives the authentication information and the encrypted authentication information. The access right information is also received, and the application interface requests login to the first application based on the authentication information and the access right information.
本発明に係る認証システムは、ネットワーク接続された、認証サーバとクライアント端末と認証代理サーバとを有する認証システムであって、上記クライアント端末から受信したユーザ識別情報を予め記憶されている認証管理情報と照合し、認証するかどうかを判定し、認証すると判定したときは上記ユーザ識別情報と対応する認証情報を上記認証管理情報から取り出し特定する認証手段と、上記認証手段が特定した認証情報を、予め記憶され上記ユーザ識別情報と対応する暗号鍵により暗号化し、暗号化した暗号化認証情報を生成する暗号化手段と、上記ユーザ識別情報を上記クライアント端末から受信し、上記認証手段が判定した認証結果情報と、上記認証手段が認証したときは認証情報と暗号化認証情報とを上記クライアント端末に送信する認証サーバ送受信手段とを備えた認証サーバ、ユー
ザ識別情報と上記クライアント端末へのログイン要求とを受け付けるログイン処理手段と、上記認証サーバとの接続が可能と判断したときは上記認証サーバに認証を要求するために、上記ユーザ識別情報を上記認証サーバに送信し、上記認証サーバにより判定された認証結果情報と、上記認証サーバが認証したときは認証情報と暗号化認証情報とを受信し、受信した暗号化認証情報を記憶装置に記憶する第1の端末送受信手段と、上記認証サーバとの接続が不可能と判断したときは上記認証代理サーバに認証を要求するために、上記暗号化認証情報を上記認証代理サーバに送信し、上記認証代理サーバから復号された認証情報を受信する第2の端末送受信手段と、を備え、上記ログイン処理手段は、上記第1の端末送受信手段あるいは上記第2の端末送受信手段が受信した認証情報に基づきクライアント端末へのログイン要求を処理することを特徴とするクライアント端末、上記クライアント端末から受信した暗号化認証情報を、予め記憶されている復号鍵で復号する認証代理手段と、暗号化認証情報をクライアント端末から受信し、上記認証代理手段が復号した認証情報をクライアント端末に送信する認証代理サーバ送受信手段とを備えた認証代理サーバを有することを特徴とするものである。
An authentication system according to the present invention is an authentication system having an authentication server, a client terminal, and an authentication proxy server connected to a network, wherein user identification information received from the client terminal is stored in advance as authentication management information The authentication means for extracting and specifying the authentication information corresponding to the user identification information from the authentication management information and the authentication information specified by the authentication means in advance Encryption means for generating encrypted encrypted authentication information encrypted with an encryption key corresponding to the stored user identification information, and an authentication result determined by the authentication means received from the client terminal Information and when the authentication means authenticates, the authentication information and encrypted authentication information are sent to the client terminal. An authentication server having an authentication server transmission / reception means, a login processing means for accepting user identification information and a login request to the client terminal, and authenticating the authentication server when it is determined that the authentication server can be connected. In order to request, the user identification information is transmitted to the authentication server, and the authentication result information determined by the authentication server and the authentication information and the encrypted authentication information when the authentication server authenticates are received and received. In order to request authentication from the authentication proxy server when it is determined that connection between the first terminal transmitting / receiving means for storing the encrypted authentication information in the storage device and the authentication server is impossible, the encrypted authentication information Second terminal transmitting / receiving means for transmitting authentication information to the authentication proxy server and receiving authentication information decrypted from the authentication proxy server. Processing means, it received from the first terminal transmitting and receiving means or the client terminal, which comprises treating the login request to the second client terminal based on the authentication information terminal transmitting and receiving means has received, the client terminal Authentication proxy means for decrypting the encrypted authentication information with a decryption key stored in advance, and an authentication proxy server for receiving the encrypted authentication information from the client terminal and transmitting the authentication information decrypted by the authentication proxy means to the client terminal It has an authentication proxy server provided with a transmission / reception means.
また上記認証情報は、上記クライアント端末に対応するログイン名とパスワードからなることを特徴とするものである。 Further, the authentication information includes a login name and a password corresponding to the client terminal.
また上記認証代理サーバ送受信手段は、上記認証サーバとの接続かどうかを定期的に確認することを特徴とするものである。 Further, the authentication proxy server transmitting / receiving means periodically confirms whether or not it is connected to the authentication server.
また本発明に係る認証プログラムは、コンピュータを、請求項1〜6のいずれかに記載の認証システムとして機能させることを特徴とするものである。 An authentication program according to the present invention causes a computer to function as the authentication system according to any one of claims 1 to 6.
本発明の認証システムによると、認証サーバの二重化(データの二重化)システムに比較して、簡素なシステムにて、ネットワーク障害時の業務継続が可能となる。 According to the authentication system of the present invention, it is possible to continue business in the event of a network failure with a simple system as compared with a dual authentication server (data duplex) system.
実施の形態1.
図1は、本実施の形態におけるシステム構成図である。図1に示すように認証システムは、クライアント端末1、認証サーバ2、業務サーバ3、認証代理サーバ4とがネットワーク5により接続されている。図1では簡略化のため、業務サーバ3は1台のみ記載しているが、複数台の業務サーバ3を本システムに接続することが可能である。業務サーバ3は、特定の業務を実行する業務アプリケーション(第1のアプリケーション)31を備えるが、1台の業務サーバ3の中に、複数の業務アプリケーション31を備えるように構成することができる。業務サーバ送受信手段32は、ネットワーク5を介して、クライアント端末1との間で業務アプリケーション31を実行するためのデータのやりとりを行う。
Embodiment 1 FIG.
FIG. 1 is a system configuration diagram according to the present embodiment. As shown in FIG. 1, in the authentication system, a client terminal 1, an authentication server 2, a
クライアント端末1は、ユーザから情報入力を受け付ける端末であるが、認証要求手段12は、ユーザ識別情報と業務アプリケーション31へのログイン要求とを受け付け、業務アプリケーションインタフェース(アプリケーションインタフェース)13は、認証サーバ2または認証代理サーバ4により認証された情報に基づき、業務アプリケーション31へのログイン処理と、アプリケーション実行に伴うユーザとのインタフェースを提供する。なおユーザ識別情報とは、図9を用いて後述するが、ユーザIDとパスワードの組み合わせ、または指紋や眼球の虹彩、声紋等の生体情報(バイオメトリクス情報)のいずれかを用いて構成され、ユーザごとに異なる識別情報を用いるように構成することも可能である。
The client terminal 1 is a terminal that accepts information input from a user, but the
端末送受信手段(第1の端末送受信手段、第2の端末送受信手段)11は、認証サーバ2、認証代理サーバ4および業務サーバ3と接続するが、認証要求時には最初に認証サーバ2と接続し、認証サーバ2と接続不可能のときは、認証代理サーバ4と接続するように優先度を有している。そして認証サーバ2との接続が可能と判断したときは認証サーバ2に認証を要求するために、ユーザ識別情報を認証サーバ2に送信し、認証サーバ2により判定された認証結果情報と、認証サーバ2が認証したときは認証情報と暗号化認証情報とを受信し、受信した暗号化認証情報を、クライアント認証情報(以下、「クライアント認証情報ファイル」とも言う)14として記憶装置に記憶する。クライアント認証情報14は、クライアント端末1の記憶装置にユーザ(ユーザ識別情報)ごとに特定できるファイル形式で記憶されている。
また端末送受信手段11は、認証サーバ2との接続が不可能と判断したときは認証代理サーバ4に認証を要求するために、クライアント認証情報14から暗号化認証情報を取り出し、取り出した暗号化認証情報を認証代理サーバ4に送信し、認証代理サーバ4から復号された認証情報を受信する。
The terminal transmission / reception means (first terminal transmission / reception means, second terminal transmission / reception means) 11 is connected to the authentication server 2, the authentication proxy server 4, and the
Further, when it is determined that the connection with the authentication server 2 is impossible, the terminal transmission / reception means 11 extracts the encrypted authentication information from the
認証サーバ2は、クライアント端末1からの要求により、ユーザ識別情報を認証する機能を備えるが、認証手段21は、クライアント端末1から受信したユーザ識別情報を予め認証サーバ2の記憶装置に記憶されている認証管理情報24と照合し、認証するかどうかを判定し、認証すると判定したときはユーザ識別情報と対応する認証情報を認証管理情報24から取り出し特定する。また暗号化手段22は、認証手段21が特定した認証情報を、予め記憶装置に記憶され、該当のユーザ識別情報と対応する暗号鍵情報25により暗号化し、暗号化した暗号化認証情報を生成する。認証管理情報(以下、「認証管理情報ファイル」とも言う)24および暗号鍵情報(以下、「暗号鍵情報ファイル」とも言う)25は、認証サーバ2の記憶装置にユーザ(ユーザ識別情報)ごとに特定できるファイル形式で記憶されている。
認証サーバ送受信手段23は、ユーザ識別情報をクライアント端末1から受信し、認証手段21が判定した認証結果情報をクライアント端末1に送信し、また認証手段21が判定の結果認証するとしたときは、認証結果情報を送信するときに、合わせて認証情報と暗号化認証情報とをクライアント端末1に送信する。
The authentication server 2 has a function of authenticating user identification information in response to a request from the client terminal 1. The authentication unit 21 stores the user identification information received from the client terminal 1 in a storage device of the authentication server 2 in advance. The
The authentication server transmission / reception means 23 receives the user identification information from the client terminal 1, sends the authentication result information determined by the authentication means 21 to the client terminal 1, and when the authentication means 21 authenticates the determination result, When transmitting the result information, the authentication information and the encrypted authentication information are transmitted to the client terminal 1 together.
認証代理サーバ4は、クライアント端末1が認証サーバ2と接続できないときに、代理で認証する機能を有する装置であって、認証代理手段42はクライアント端末1から受信した暗号化認証情報を、予め記憶部(記憶装置)に記憶されている復号鍵(以下、「復号鍵ファイル」とも言う)43で復号する。復号鍵43は、ユーザ識別情報と対応付けられて、1または複数が記憶されている。また認証代理サーバ送受信手段41は、暗号化認証情報をクライアント端末から受信し、復号鍵43により復号した認証情報をクライアント端末1に送信する。なお認証代理サーバ4は、「サーバ」という名称を付しているが、認証サーバ2のような高いセキュリティ機能を有するサーバコンピュータである必要はなく、パソコンや簡易機能を有するコンピュータで構成することができる。記憶装置(記憶部)もハードディスクである必要はなく、復号鍵43が格納できればよいので、フラッシュメモリ等の記憶装置で構成でき、また認証代理サーバ4はそれらの記憶装置が挿入できる機能を有するコンピュータで構成することができる。
The authentication proxy server 4 is a device having a function of performing authentication by proxy when the client terminal 1 cannot connect to the authentication server 2, and the authentication proxy means 42 stores the encrypted authentication information received from the client terminal 1 in advance. Decryption is performed with a decryption key (hereinafter also referred to as “decryption key file”) 43 stored in the unit (storage device). One or a plurality of
図2は、クライアント端末1、認証サーバ2および業務サーバ3のハードウェア資源の一例を示す図である。
FIG. 2 is a diagram illustrating an example of hardware resources of the client terminal 1, the authentication server 2, and the
図2において、各コンピュータは、システムユニット(図示せず)、CRT(Cathode・Ray・Tube)やLCD(液晶ディスプレイ)の表示画面を有する表示装置901、キーボード902(K/B)、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(Compact・Disc・Drive)、プリンタ装置906などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニットは、コンピュータであり、LANに接続されている。
In FIG. 2, each computer includes a system unit (not shown), a
各コンピュータは、プログラムを実行するCPU911(「演算装置」、「マイクロプロセッサ」、「マイクロコンピュータ」、「プロセッサ」ともいう)を備えている。CPU911は、図1で示した各処理部(〜手段)でデータや情報の演算、加工、読み取り、書き込みなどを行うために利用される処理装置である。CPU911は、バス912を介してROM913(Read・Only・Memory)、RAM914(Random・Access・Memory)、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカードリーダライタなどの記憶媒体が用いられてもよい。
Each computer includes a CPU 911 (also referred to as “arithmetic unit”, “microprocessor”, “microcomputer”, or “processor”) that executes a program. The
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、それぞれのコンピュータが用いる記憶装置(記憶部)929の一例である。通信ボード915、キーボード902、マウス903、FDD904、CDD905などは、入力装置(図示せず)の一例である。また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置(図示せず)の一例である。
The
通信ボード915は、ネットワーク5に接続されている。ネットワーク5は、LANに限らず、インターネット、あるいは、WANなどで構成されていても構わない。
The
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。プログラム群923には、本実施の形態の説明において「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。また、ファイル群924には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(IDentifier)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として記憶されている。「〜ファイル」や「〜データベース」や「〜テーブル」は、ディスクやメモリなどの記憶媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理(動作)に用いられる。抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
The
また、本実施の形態の説明において説明するブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号は、RAM914などのメモリ、FDD904のフレキシブルディスク(FD)、CDD905のコンパクトディスク(CD)、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク(MD)、DVD(Digital・Versatile・Disc)などの記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体により伝送される。
In the block diagrams and flowcharts described in the description of this embodiment, the arrows indicate mainly input and output of data and signals. Data and signals are stored in a memory such as a
また、本実施の形態の説明において「〜手段」として説明するものは、「〜部」、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜手段」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアのみ、あるいは、素子・デバイス・基板・配線などのハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVDなどの記録媒体に記憶される。このプログラムはCPU911により読み出され、CPU911により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜手段」としてコンピュータを機能させるものである。あるいは、本実施の形態の説明で述べる「〜手段」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “to means” in the description of the present embodiment may be “to part”, “to circuit”, “to device”, and “to device”, and “to step”. , “˜step”, “˜procedure”, and “˜treatment”. That is, what is described as “˜means” may be realized by firmware stored in the
次に、図3〜4を用いて、本実施の形態における処理概要を説明する。図3は、正常時の動作について記載したものである。クライアント端末1にて、ユーザがユーザ認証情報を入力し、業務アプリケーション31へのログイン要求を入力すると、それを受け付け(ステップS101)、ユーザ情報と認証要求情報とを認証サーバ2に送信する(ステップS102)。認証サーバ2では、認証要求を受信し(ステップS103)、認証処理を行う(ステップS104)。クライアント端末1は、認証サーバ2から認証結果と認証情報(暗号化形式(A)とクライアント識別可能形式(B))を取得し(ステップS105)、取得した認証情報に基づきログイン要求を業務サーバ3に送信する(ステップS106)。その後、業務サーバ3では、ログイン処理を行い(ステップS107)、クライアント端末1との間で、業務アプリケーションを実行する(ステップS108)。認証情報(暗号化形式(A)とクライアント識別可能形式(B))については、後述する。
Next, an outline of processing in the present embodiment will be described with reference to FIGS. FIG. 3 describes the normal operation. When the user inputs user authentication information and inputs a login request to the
図4は、認証サーバ2との接続で障害が発生したときの動作について記載したものである。認証代理サーバ4の認証代理サーバ送受信手段41は、認証サーバ2との接続が可能かどうかを定期的なポーリングにより、常に監視していて、障害を検知したとき(ステップS201)、認証処理の代行を開始する(ステップS202)。なおステップS201では、認証サーバ2自体がシステムダウンしたとき、またはネットワーク5が回線接続不可能な状態となったときを含み、クライアント端末1が認証サーバ2と接続できないときを障害として検知する。
FIG. 4 describes the operation when a failure occurs in the connection with the authentication server 2. The authentication proxy server transmission / reception means 41 of the authentication proxy server 4 constantly monitors whether or not the connection with the authentication server 2 is possible by regular polling, and when a failure is detected (step S201), the proxy processing of the authentication process Is started (step S202). In step S201, a case where the client terminal 1 cannot connect to the authentication server 2 is detected as a failure, including when the authentication server 2 itself goes down or when the
クライアント端末1では、ユーザがユーザ認証情報を入力し、業務アプリケーション31へのログイン要求を入力すると、それを受け付け(ステップS203)、ユーザ情報と認証情報(暗号化形式(A))とを認証代理サーバ4に送信する(ステップS204)。前述したように端末送受信手段11は、認証サーバ2との接続が不可能と判断したときは認証代理サーバ4に認証を要求するために、記憶部に記憶されている暗号化認証情報を認証代理サーバ4に送信する機能を有するため、ステップS204の説明のように動作する。次に、認証代理サーバ4では、認証要求を受信すると(ステップS205)、認証処理として、認証情報(暗号化形式(A))を復号し(ステップS206)、クライアント端末1は認証情報(クライアント識別可能形式(B))を取得する(ステップS207)。その後、クライアント端末1では、認証情報(クライアント識別可能形式(B))を用いてログイン要求を行い(ステップS208)、業務サーバ3ではログイン処理を行い(ステップS209)、クライアント端末1との間で、業務アプリケーションを実行する(ステップS210)。
In the client terminal 1, when the user inputs user authentication information and inputs a login request to the
次に図5〜6を用いて、本実施の形態における正常時の処理の流れを説明する。図5は、正常時の認証処理の流れについて説明したものである。ユーザからの入力により処理を開始し、クライアント端末1の認証要求手段12は、ユーザ識別情報と業務アプリケーション31へのログイン要求とを受け付ける(ステップS1)。前述したように、ユーザ識別情報は、ユーザIDとパスワードの組み合わせ、または生体情報によりユーザを特定できる情報であり、業務アプリケーションインタフェース13が動作させる初期画面で入力される。また認証要求手段12は、ユーザ識別情報が入力されたことにより、ログイン要求がなされたと判断する。
Next, a normal processing flow in the present embodiment will be described with reference to FIGS. FIG. 5 explains the flow of authentication processing at the normal time. The process is started by an input from the user, and the
次に端末送受信手段11は、認証要求手段12が受け付けた、ユーザ識別情報と認証要求情報とを認証サーバ2に送信し(ステップS2)、認証サーバ2の認証サーバ送受信手段23は、ユーザ識別情報と、認証要求情報とを端末送受信手段11より受信し、ユーザ識別情報を認証手段21に受け渡す(ステップS3)。その後、認証手段21は、受け渡されたユーザ識別情報を認証管理情報ファイル24と照合し、認証するかどうかを判定し、認証すると判定したときは、認証管理情報ファイル24から認証情報(クライアント識別可能形式(B))と、アクセス権情報とを取得する(ステップS4)。暗号化手段22は、認証手段21が取得した認証情報に対応する暗号鍵を、暗号鍵情報25を検索することで特定し、特定された暗号鍵にて認証情報を暗号化し、認証情報(暗号化形式(A))を生成する(ステップS5)。認証サーバ送受信手段23は、認証手段21が判定した認証結果情報をクライアント端末1に送信し、また認証手段21が判定の結果認証するとしたときは、認証結果情報を送信するときに合わせて、ユーザ識別情報、業務アプリケーション名、アクセス権情報、認証情報(暗号化形式(A)、クライアント識別可能形式(B))をクライアント端末1に送信する(ステップS6)。
Next, the terminal transmission / reception means 11 transmits the user identification information and the authentication request information received by the authentication request means 12 to the authentication server 2 (step S2), and the authentication server transmission / reception means 23 of the authentication server 2 receives the user identification information. The authentication request information is received from the terminal transmission / reception means 11 and the user identification information is transferred to the authentication means 21 (step S3). Thereafter, the authentication unit 21 compares the passed user identification information with the authentication
続いて図6を用いて、正常時のログイン処理の流れについて説明する。ステップS6の処理により、認証サーバ送受信手段23が認証結果情報(判定の結果、認証するとしたときは、合わせてユーザ識別情報、業務アプリケーション名、アクセス権情報、認証情報(暗号化形式(A)、クライアント識別可能形式(B)))を送信したとき、クライアント端末1の端末送受信手段11は、認証結果情報と、判定の結果認証するとしたときは、ユーザ識別情報、業務アプリケーション名、アクセス権情報、認証情報(暗号化形式(A)、クライアント識別可能形式(B)))を受信し(ステップS11)、業務アプリケーション、アクセス権情報、認証情報(暗号化形式(A))をユーザ識別情報と対応付けて、クライアント認証情報14として記憶装置に記憶し、認証情報(クライアント識別可能形式(B))とアクセス権情報とを業務アプリケーションインタフェース13に受け渡す(ステップS12)。
Next, a normal login process flow will be described with reference to FIG. As a result of the processing in step S6, the authentication server transmission / reception means 23 performs authentication result information (when the result of determination is authentication, user identification information, business application name, access right information, authentication information (encryption format (A), When the client identifiable format (B))) is transmitted, the terminal transmission / reception means 11 of the client terminal 1 authenticates the authentication result information, and when the authentication result is determined, the user identification information, business application name, access right information, Authentication information (encrypted format (A), client identifiable format (B))) is received (step S11), and business application, access right information, and authentication information (encrypted format (A)) are associated with user identification information. At the same time, it is stored in the storage device as
業務アプリケーションインタフェース13は、認証情報(クライアント識別可能形式(B))とアクセス権情報とにより業務サーバ3に対してログイン要求を送信し(ステップS13)、業務サーバ3の業務サーバ送受信手段32は、ログイン要求を検知すると、受信した認証情報(クライアント識別可能形式(B))やアクセス権情報を業務アプリケーション31に受け渡す(ステップS14)。業務アプリケーション31は、ログイン可否判断を行い(ステップS15)、ログイン可と判定した後は、業務アプリケーションインタフェース13との間で、業務アプリケーションに対応する処理を実行する(ステップS16)。ステップS15におけるログイン可否判断は、業務アプリケーション31の設定により、任意の方法により判断される。
The
図9は、認証管理情報ファイル24のファイル構成を示した一例であり、図10は、クライアント認証情報ファイル14のファイル構成を示した一例である。認証管理情報ファイル24には、「ユーザ識別情報」と対応して、「ログイン可能な業務アプリケーション名」、「アクセス権の設定内容」、「ログイン名」、「パスワード」が記憶されている。1つの「ユーザ識別情報」に、複数の「ログイン可能な業務アプリケーション名、アクセス権の設定内容、ログイン名、パスワード」を対応付けることが可能であり、例えばユーザ情報241の例では、「ユーザIDがAAA、パスワードがBBB」のユーザ識別情報に対応して、「業務アプリケーションA」へのログインを許可し、そのときのアクセス権は「権限A」と設定され、認証情報は「ログイン名がCCC、パスワードがDDD」と記憶され、さらに「業務アプリケーションB」へのログインを許可し、そのときのアクセス権は「文書の閲覧のみ」と設定され、認証情報は「ログイン名がEEE、パスワードがFFF」と記憶されている。ユーザ識別情報は、ユーザごとに選択することもできるため、ユーザ情報242の例では、ユーザ識別情報に生体情報を用いている。なお図9に例示した、ログイン名と、パスワードの組み合わせが、クライアント識別可能形式(B)となるが、クライアント識別可能形式(B)は、ログイン名、パスワードの組み合わせによらず、業務アプリケーションに応じて任意に、必要な情報の組み合わせで、設定できる。本実施の形態では、クライアント識別可能形式(B)の一例として、ログイン名、パスワードの組み合わせにて説明している。
FIG. 9 is an example showing the file configuration of the authentication
ステップS4で説明した処理にて、認証手段21は、受け渡されたユーザ識別情報が図9に示した認証管理情報ファイル24のユーザ識別情報のいずれかと一致するかどうかを照合し、いずれかと一致すれば認証すると判定する。いずれとも一致しないときは、認証しないと判定する。認証すると判定したときは、ユーザ識別情報と一致する認証情報(ログイン名と、パスワード(クライアント識別可能形式(B)))と、アクセス権情報を取得する。
ステップS5で認証情報(ログイン名と、パスワード(クライアント識別可能形式(B)))を暗号化した認証情報(暗号化形式(A))を生成する。
図10は、クライアント端末1の記憶装置に記憶するクライアント認証情報ファイル14の一例を示した図であるが、ステップS12の処理で、クライアント端末1の記憶装置に記憶される。ユーザ情報141は、ユーザ情報241に対応するが、ステップS11で受け渡された情報の中から認証情報(クライアント識別可能形式(B))を除いた、ユーザ識別情報、業務アプリケーション名、アクセス権情報、認証情報(暗号化形式(A))を記憶する。このようにクライアント端末1の記憶装置に記憶された、認証情報は、暗号化されているため、情報漏えいを防止することができる。
In the processing described in step S4, the authentication unit 21 checks whether or not the delivered user identification information matches any of the user identification information of the authentication
In step S5, authentication information (encrypted format (A)) is generated by encrypting the authentication information (login name and password (client identifiable format (B))).
FIG. 10 is a diagram illustrating an example of the client
続いて、図7〜8を用いて、認証サーバ2との接続で障害が発生したときの処理の流れについて説明する。認証代理サーバ送受信手段41は、定期ポーリングにより、認証サーバ2またはネットワーク5の障害を検知し(ステップS21)、認証代理手段42は代理認証処理の受付けを開始する(ステップS22)。ステップS21〜S22の処理で、認証代理サーバ4側の代理処理が開始され、その処理とは非同期に認証要求手段12は、利用者からユーザ識別情報と、業務アプリケーションへのログイン要求とを受け付ける(ステップS23)。ログイン要求を受けて、端末送受信手段11は、ユーザ識別情報と認証要求情報とを認証サーバ2に送信しようと動作するが、認証サーバとの接続が不可能と判断したとき、認証要求手段12を動作させ、認証要求手段12はユーザから入力されたユーザ識別情報と対応する認証情報(暗号化形式(A))をクライアント認証情報14から取り出し、端末送受信手段11がユーザ識別情報と、取り出された認証情報(暗号化形式(A))とを認証代理サーバ4に送信する(ステップS24)。
Next, the flow of processing when a failure occurs in connection with the authentication server 2 will be described with reference to FIGS. The authentication proxy server transmission / reception means 41 detects a failure of the authentication server 2 or the
認証代理サーバ送受信手段41は、ユーザ識別情報と認証情報(暗号化形式(A))とを受信し(ステップS25)、認証代理手段42は、ユーザ識別情報と対応する復号鍵を復号鍵43から取り出し、認証情報(暗号化形式(A))を復号する(ステップS26)。その後認証代理サーバ送受信手段41は、認証情報(暗号化形式(A))を復号した認証情報(クライアント識別可能形式(B))をクライアント端末1に対して送信する(ステップS27)。なおステップS21では、認証代理サーバ送受信手段41が定期ポーリングにより障害を検知するように構成しているが、認証システムの管理者がなんらかの障害を検知したときに、認証機能を認証代理サーバ4へ切り替えるように構成することができる。
The authentication proxy server transmission / reception means 41 receives the user identification information and the authentication information (encrypted format (A)) (step S25), and the authentication proxy means 42 receives the decryption key corresponding to the user identification information from the
次に図8を用いて、認証サーバ2との接続に障害が発生した時のログイン処理について、説明する。ステップS27の処理を受けて、端末送受信手段11は認証情報(クライアント識別可能形式(B))を受信し(ステップS31)、受信した認証情報(クライアント識別可能形式(B))を業務アプリケーションインタフェース13に受け渡す(ステップS32)。業務アプリケーションインタフェース13は、受信した認証情報(クライアント識別可能形式(B))、クライアント認証情報14に記憶され、ユーザ識別情報と対応するアクセス権情報により、業務サーバに対してログイン要求を送信する(ステップS33)。業務サーバ送受信手段32は、ログイン要求を検知すると、受信した認証情報(クライアント識別可能形式(B))やアクセス権情報を業務アプリケーション31に受け渡し(ステップS34)、業務アプリケーション31はログイン可否判断を行い(ステップS35)、ログイン可と判定した後は、業務アプリケーションインタフェース13との間で、業務アプリケーションに対応する処理を実行する(ステップS36)。ステップS35におけるログイン可否判断は、業務アプリケーション31の設定により、任意の方法により判断される。
Next, a login process when a failure occurs in the connection with the authentication server 2 will be described with reference to FIG. In response to the processing in step S27, the terminal transmitting / receiving means 11 receives the authentication information (client identifiable format (B)) (step S31), and uses the received authentication information (client identifiable format (B)) as the
以上説明したように、本実施の形態によると、認証サーバ2がシステムダウンしたとき、あるいはネットワーク接続がなんらかの理由で遮断したときでも、一定レベルの認証機能を有した、認証システムを提供することができる。つまり、通常時は認証サーバ2にて認証を行い、障害時にはクライアント端末1に記憶された暗号化認証情報を使用することを、認証代理サーバにより認証を行うように構成することで、通常時、障害時とも一定レベルの認証機能が保たれる。 As described above, according to the present embodiment, it is possible to provide an authentication system having an authentication function at a certain level even when the authentication server 2 goes down or the network connection is cut off for some reason. it can. In other words, the authentication server 2 authenticates at normal times, and the encrypted authentication information stored in the client terminal 1 is used at the time of failure. A certain level of authentication function is maintained even in the event of a failure.
またクライアント認証情報ファイル14には、認証情報(暗号化形式(A))を記憶するように構成しているため、情報漏えいを防止することができる。さらに暗号化された認証情報を、クライアント端末1で復号するように構成すると、故意に認証サーバ2とのネットワーク接続が切断された場合、クライアント端末1の不正利用者に認証情報を復号されてしまう可能性がある。その点本実施の形態では、認証代理サーバ4にて認証情報(暗号化形式(A))を復号するように構成するため、悪意を持った不正利用者によるクライアント端末1での復号を防止することができる。
In addition, since the client
また本実施の形態の認証システムによると、認証代理サーバ4は、認証サーバ2のような高いセキュリティ機能を有するサーバコンピュータである必要はなく、パソコンや簡易機能を有するコンピュータで構成することができるため、認証サーバの二重化(データの二重化)システムに比較して、簡素なシステムにて、ネットワーク障害時の業務継続が可能となる。また、記憶部に記憶する情報もユーザに対応する復号鍵43のみで構成できるため、データ量が少なく、また変動の可能性があるユーザ情報は不要のため、定期的な更新手続きも不要である。
Further, according to the authentication system of the present embodiment, the authentication proxy server 4 does not have to be a server computer having a high security function like the authentication server 2, but can be configured by a personal computer or a computer having a simple function. Compared to a dual authentication server (duplex data) system, a simple system enables business continuity in the event of a network failure. In addition, since the information stored in the storage unit can be configured only by the
また本実施の形態の業務アプリケーション31は、業務サーバ3に存在することとして説明したが、一部または全部の業務アプリケーション31がクライアント端末1に存在するように構成することも可能であり、その場合は、業務アプリケーションインタフェース13と業務アプリケーション31間でデータのやりとりを行うように構成すればよい。
Further, although the
実施の形態2.
図11は、本実施の形態におけるシステム構成図である。図11に示すように認証システムは、クライアント端末1、認証サーバ2、業務サーバ3、認証代理サーバ4とがネットワーク5により接続されている。実施の形態1と同じ構成については、同じ図番を付している。本実施の形態において特徴的なことは、ログイン処理手段15がクライアント端末1へのログイン要求を受け付け、クライアント端末1側にもクライアント側業務アプリケーション16が存在することである。
Embodiment 2. FIG.
FIG. 11 is a system configuration diagram according to the present embodiment. As shown in FIG. 11, in the authentication system, a client terminal 1, an authentication server 2, a
次に図12〜13を用いて、本実施の形態における正常時の処理の流れを説明する。図12は、正常時の認証処理の流れについて説明したものである。ユーザからの入力により処理を開始し、クライアント端末1のログイン処理手段15は、ユーザ識別情報とクライアント端末1へのログイン要求とを受け付ける(ステップS41)。実施の形態1にて説明したように、ユーザ識別情報は、ユーザIDとパスワードの組み合わせ、または生体情報によりユーザを特定できる情報であり、ログイン処理手段15が動作させる初期画面で入力され、ユーザ識別情報が入力されたことにより、ログイン要求がなされたと判断する。 Next, the normal processing flow in the present embodiment will be described with reference to FIGS. FIG. 12 explains the flow of authentication processing at the normal time. The process is started by an input from the user, and the login processing means 15 of the client terminal 1 receives the user identification information and a login request to the client terminal 1 (step S41). As described in the first embodiment, the user identification information is information that can identify a user by a combination of a user ID and a password, or biometric information, and is input on the initial screen operated by the login processing unit 15 to identify the user. It is determined that a login request has been made based on the input of information.
次に端末送受信手段11は、ログイン処理手段15が受け付けた、ユーザ識別情報と認証要求情報とを認証サーバ2に送信し(ステップS42)、認証サーバ2の認証サーバ送受信手段23は、ユーザ識別情報と、認証要求情報とを端末送受信手段11より受信し、ユーザ識別情報を認証手段21に受け渡す(ステップS43)。その後、認証手段21は、受け渡されたユーザ識別情報を認証管理情報ファイル24と照合し、認証するかどうかを判定し、認証すると判定したときは、認証管理情報ファイル24から認証情報(クライアント識別可能形式(B))と、アクセス権情報を取得する(ステップS44)。暗号化手段22は、認証手段21が取得した認証情報に対応する暗号鍵を、暗号鍵情報25を検索することで特定し、特定された暗号鍵にて認証情報を暗号化し、認証情報(暗号化形式(A))を生成する(ステップS45)。認証サーバ送受信手段23は、認証手段21が判定した認証結果情報をクライアント端末1に送信し、また認証手段21が判定の結果認証するとしたときは、認証結果情報を送信するときに合わせて、ユーザ識別情報、業務アプリケーション名、アクセス権情報、認証情報(暗号化形式(A)、クライアント識別可能形式(B))をクライアント端末1に送信する(ステップS46)。
Next, the terminal transmitting / receiving unit 11 transmits the user identification information and the authentication request information received by the login processing unit 15 to the authentication server 2 (step S42), and the authentication server transmitting / receiving
続いて図13を用いて、正常時のログイン処理の流れについて説明する。ステップS46の処理により、認証サーバ送受信手段23が認証結果情報(判定の結果、認証するとしたときは、合わせてユーザ識別情報、業務アプリケーション名、アクセス権情報、認証情報(暗号化形式(A)、クライアント識別可能形式(B)))を送信したとき、クライアント端末1の端末送受信手段11は、認証結果情報と、判定の結果認証するとしたときは、ユーザ識別情報、業務アプリケーション名、アクセス権情報、認証情報(暗号化形式(A)、クライアント識別可能形式(B))を受信し(ステップS51)、業務アプリケーション、アクセス権情報、認証情報(暗号化形式(A))をユーザ識別情報と対応付けて、クライアント認証情報14として記憶装置に記憶し、認証情報(クライアント識別可能形式(B))とアクセス権情報とをログイン処理手段15に受け渡す(ステップS52)。
Next, a normal login process flow will be described with reference to FIG. As a result of the processing in step S46, the authentication server transmission / reception means 23 performs authentication result information (when the result of determination is authentication, user identification information, business application name, access right information, authentication information (encryption format (A), When the client identifiable format (B))) is transmitted, the terminal transmission / reception means 11 of the client terminal 1 authenticates the authentication result information, and when the authentication result is determined, the user identification information, business application name, access right information, Authentication information (encrypted format (A), client identifiable format (B)) is received (step S51), and business application, access right information, and authentication information (encrypted format (A)) are associated with user identification information. And stored in the storage device as the
ログイン処理手段15は、認証情報(クライアント識別可能形式(B))とアクセス権情報とによりクライアント端末1へのログイン要求処理を行う(ステップS53)。続けて所定の業務アプリケーションに対するログイン要求がユーザからなされたとき、業務アプリケーションインタフェース13が所定の業務アプリケーションが業務サーバ3に存在すると判断したときは、業務サーバ3に対して、認証情報(クライアント識別可能形式(B))とアクセス権情報とにより業務サーバ3に対してログイン要求を送信し(ステップS55への分岐)、業務アプリケーションがクライアント端末1に存在すると判断したときは、クライアント側業務アプリケーション16に対して、認証情報(クライアント識別可能形式(B))とアクセス権情報とを受け渡し、ログインを要求する(ステップS58への分岐)。
The login processing means 15 performs a login request process to the client terminal 1 based on the authentication information (client identifiable format (B)) and access right information (step S53). Subsequently, when a login request for a predetermined business application is made by the user, when the
業務サーバ送受信手段32は、ログイン要求を検知すると、受信した認証情報(クライアント識別可能形式(B))やアクセス権情報を業務アプリケーション31に受け渡す(ステップS55)。業務アプリケーション31は、ログイン可否判断を行い(ステップS56)、ログイン可と判定した後は、業務アプリケーションインタフェース13との間で、業務アプリケーションに対応する処理を実行する(ステップS57)。またクライアント側業務アプリケーション16は、ログイン要求を検知すると、受け渡された認証情報(クライアント識別可能形式(B))やアクセス権情報を業務アプリケーションに基づき、ログイン可否判断を行い(ステップS58)、ログイン可と判定した後は、業務アプリケーションインタフェース13との間で、クライアント側業務アプリケーション16に対応する処理を実行する(ステップS59)。ステップS55〜S57、ステップS58〜S59の処理は、ユーザの入力により随時開始され、ユーザの終了処理により終了する。また、ステップS55〜S57の処理と、ステップS58〜S59の処理は、非同期に、同時に実施されることが可能であり、開始と終了はユーザからの入力により動作する。さらにステップS56、S58におけるログイン可否判断は、業務アプリケーション(クライアント側業務アプリケーション16または、業務アプリケーション31)の設定により、任意の方法により判断される。
When detecting the login request, the business server transmission / reception means 32 delivers the received authentication information (client identifiable format (B)) and access right information to the business application 31 (step S55). The
図16は、認証管理情報ファイル24のファイル構成を示した一例であり、図17は、クライアント認証情報ファイル14のファイル構成を示した一例である。実施の形態1で用いた図9および図10と比較すると、クライアント端末1へのログイン情報が追加されたところが特徴である。ユーザ情報243の例示では、クライアント端末1へのログイン情報に対応するアクセス権情報は設定されていないが、任意で設定することが可能である。またクライアント認証情報ファイル14のユーザ情報143は、ユーザ情報243に対応してクライアント端末1の記憶装置に記憶されている。
FIG. 16 is an example showing the file configuration of the authentication
続いて、図14〜15を用いて、認証サーバ2との接続で障害が発生したときの処理の流れについて説明する。認証代理サーバ送受信手段41は、定期ポーリングにより、認証サーバ2またはネットワーク5の障害を検知し(ステップS61)、認証代理手段42は代理認証処理の受付けを開始する(ステップS62)。ステップS61〜S62の処理で、認証代理サーバ4側の代理処理が開始され、その処理とは非同期にログイン処理手段15は、利用者からユーザ識別情報と、クライアント端末1へのログイン要求とを受け付ける(ステップS63)。ログイン要求を受けて、端末送受信手段11は、ユーザ識別情報と認証要求情報とを認証サーバ2に送信しようと動作するが、認証サーバ2との接続が不可能と判断したとき、ログイン処理手段15はユーザから入力されたユーザ識別情報と対応する認証情報(A)をクライアント認証情報14から取り出し、端末送受信手段11がユーザ識別情報と、取り出された認証情報(A)とを認証代理サーバ4に送信する(ステップS64)。
Next, a processing flow when a failure occurs in the connection with the authentication server 2 will be described with reference to FIGS. The authentication proxy server transmission / reception means 41 detects a failure of the authentication server 2 or the
認証代理サーバ送受信手段41は、ユーザ識別情報と認証情報(A)とを受信し(ステップS65)、認証代理手段42は、ユーザ識別情報と対応する復号鍵を復号鍵43から取り出し、認証情報(A)を復号する(ステップS66)。その後認証代理サーバ送受信手段41は、認証情報(A)を復号した認証情報(B)をクライアント端末1に対して送信する(ステップS67)。実施の形態1で説明したようにステップS61では、認証代理サーバ送受信手段41が定期ポーリングにより障害を検知するように構成しているが、認証システムの管理者がなんらかの障害を検知したときに、認証機能を認証代理サーバ4へ切り替えるように構成することができる。
The authentication proxy server transmission / reception means 41 receives the user identification information and the authentication information (A) (step S65), and the authentication proxy means 42 extracts the decryption key corresponding to the user identification information from the
ステップS67の処理を受けて、端末送受信手段11は認証情報(B)を受信し(ステップS71)、受信した認証情報(B)をログイン処理手段15に受け渡す(ステップS72)。ログイン処理手段15は、受信した認証情報(B)、クライアント認証情報14に記憶され、ユーザ識別情報と対応するアクセス権情報とにより、ログイン処理を行う(ステップS73)。
それ以降のステップS75〜S79は、図13を用いて説明した、ステップS55〜S59の処理と同様に動作し、ユーザの入力により随時開始され、ユーザの終了処理により終了する。
In response to the processing in step S67, the terminal transmission / reception means 11 receives the authentication information (B) (step S71), and transfers the received authentication information (B) to the login processing means 15 (step S72). The login processing means 15 performs login processing based on the access right information stored in the received authentication information (B) and
Subsequent steps S75 to S79 operate in the same manner as the processes of steps S55 to S59 described with reference to FIG. 13, are started as needed by the user's input, and are ended by the user's end process.
以上説明したように、本実施の形態によると、認証サーバ2がシステムダウンしたとき、あるいはネットワーク接続がなんらかの理由で遮断したときでも、一定レベルの認証機能を有した、認証システムを提供することができる。そのときに、業務アプリケーションへのログイン処理と同様に、クライアント端末1へのログイン処理も認証するため、セキュリティがより向上する。 As described above, according to the present embodiment, it is possible to provide an authentication system having an authentication function at a certain level even when the authentication server 2 goes down or the network connection is cut off for some reason. it can. At that time, since the login process to the client terminal 1 is also authenticated in the same manner as the login process to the business application, the security is further improved.
なお本実施の形態では、クライアント端末1へのログイン処理と、業務アプリケーションへのログイン処理とを、続けて要求された場合について説明したが、クライアント端末1へのログイン処理のみを認証するように構成することができる。その場合、認証管理情報24には、ユーザ識別情報に対応する「クライアント端末1へのログイン情報」のみが記憶され、「クライアント端末1へのログイン情報」は認証情報としてやりとりされる。また図13に示した処理では、ステップS53の処理で終了し、図15に示した処理では、ステップS73の処理で終了する。
In the present embodiment, the case where the login process to the client terminal 1 and the login process to the business application are requested in succession has been described, but only the login process to the client terminal 1 is authenticated. can do. In this case, the
実施の形態3.
本実施の形態におけるシステム構成は、実施の形態2で用いた、図11と同様である。本実施の形態での特徴を、図18〜図20を用いて説明する。本実施の形態での特徴は、認証代理サーバ4からクライアント端末1に対して、認証情報(B)を返送するとき、ユーザ認証処理を加え、よりセキュリティ機能を高めたことである。
The system configuration in this embodiment is the same as that in FIG. 11 used in the second embodiment. Features in this embodiment will be described with reference to FIGS. A feature of this embodiment is that when authentication information (B) is returned from the authentication proxy server 4 to the client terminal 1, a user authentication process is added to further enhance the security function.
図18は、本実施の形態における正常時の認証処理であり、図18において、ステップS41〜S44及びS46の処理は、図12を用いて実施の形態2で説明したとおりである。ステップS81において暗号化手段22は、認証手段21が取得した認証情報と、ステップS43で受信したユーザ識別情報とを、ユーザ識別情報に対応する暗号鍵25にて暗号化し、暗号化した認証情報(A)を生成する。
FIG. 18 shows a normal authentication process in the present embodiment. In FIG. 18, the processes in steps S41 to S44 and S46 are as described in the second embodiment with reference to FIG. In step S81, the encryption unit 22 encrypts the authentication information acquired by the authentication unit 21 and the user identification information received in step S43 with the
正常時のログイン処理の流れは、実施の形態2で用いた図13のとおりであるが、ステップS81の処理の結果、ステップS51で受信する認証情報(A)は、ユーザ識別情報を含んだ、「ユーザ識別情報と認証情報(A)とを暗号化した情報」となり、ステップS52で記憶されるユーザ情報は、図20のユーザ情報144で例示したような「ユーザ識別情報と認証情報(A)とを暗号化した情報」となる。
The normal login process flow is as shown in FIG. 13 used in the second embodiment. As a result of the process in step S81, the authentication information (A) received in step S51 includes user identification information. The user information stored in step S52 is “user identification information and authentication information (A)” as exemplified by the
さらに、図19で示した認証サーバ障害発生時の認証処理については、ステップS61〜S66は、図14を用いて実施の形態2で説明したとおりであるが、ステップS66では認証情報(A)とともにユーザ識別情報が復号される。ステップS66の処理の後、復号されたユーザ識別情報と、復号鍵43に記憶されているユーザ識別情報とを照合し、一致するときは、認証情報(A)を復号した、認証情報(B)をクライアント端末に送信する(ステップS83)。ステップS82の処理で、照合した情報が一致しないときは、処理を終了する。このように、本実施の形態では、実施の形態2と比較して、認証代理サーバ4側での認証処理を加えたことにより、セキュリティ機能がより向上する特徴が得られる。
Further, regarding the authentication process when the authentication server failure occurs as shown in FIG. 19, steps S61 to S66 are as described in the second embodiment with reference to FIG. 14, but in step S66, the authentication information (A) is used. User identification information is decoded. After the process of step S66, the decrypted user identification information and the user identification information stored in the
1 クライアント端末、2 認証サーバ、3 業務サーバ、4 認証代理サーバ、5 ネットワーク、11 端末送受信手段(第1の端末送受信手段,第2の端末送受信手段)、12 認証要求手段、13 業務アプリケーションインタフェース(アプリケーションインタフェース)、14 クライアント認証情報、15 ログイン処理手段、16 クライアント側業務アプリケーション、21 認証手段、22 暗号化手段、23 認証サーバ送受信手段、31 業務アプリケーション、32 業務サーバ送受信手段、41 認証代理サーバ送受信手段、42 認証代理手段、43 復号鍵、929 記憶装置(記憶部)。
DESCRIPTION OF SYMBOLS 1 Client terminal 2
Claims (7)
上記クライアント端末から受信したユーザ識別情報を予め記憶されている認証管理情報と照合し、認証するかどうかを判定し、認証すると判定したときは上記ユーザ識別情報と対応する認証情報を上記認証管理情報から取り出し特定する認証手段と、
上記認証手段が特定した認証情報を、予め記憶され上記ユーザ識別情報と対応する暗号鍵により暗号化し、暗号化した暗号化認証情報を生成する暗号化手段と、
上記ユーザ識別情報を上記クライアント端末から受信し、上記認証手段が判定した認証結果情報と、上記認証手段が認証したときは認証情報と暗号化認証情報とを上記クライアント端末に送信する認証サーバ送受信手段と、
を備えた認証サーバ、
ユーザ識別情報と第1のアプリケーションへのログイン要求とを受け付ける認証要求手段と、
上記認証サーバとの接続が可能と判断したときは上記認証サーバに認証を要求するために、上記ユーザ識別情報を上記認証サーバに送信し、上記認証サーバにより判定された認証結果情報と、上記認証サーバが認証したときは認証情報と暗号化認証情報とを受信し、受信した暗号化認証情報を記憶装置に記憶する第1の端末送受信手段と、
上記認証サーバとの接続が不可能と判断したときは上記認証代理サーバに認証を要求するために、上記暗号化認証情報を上記認証代理サーバに送信し、上記認証代理サーバから復号された認証情報を受信する第2の端末送受信手段と、
上記第1の端末送受信手段あるいは上記第2の端末送受信手段が受信した認証情報に基づき第1のアプリケーションへのログインを要求するアプリケーションインタフェースと、
を備えたクライアント端末、
上記クライアント端末から受信した暗号化認証情報を、予め記憶されている復号鍵で復号する認証代理手段と、
暗号化認証情報をクライアント端末から受信し、上記認証代理手段が復号した認証情報をクライアント端末に送信する認証代理サーバ送受信手段と、
を備えた認証代理サーバ、
を有することを特徴とする認証システム。 A network-connected authentication system having an authentication server, a client terminal, and an authentication proxy server,
The user identification information received from the client terminal is checked against authentication management information stored in advance to determine whether or not to authenticate. When it is determined to authenticate, the authentication information corresponding to the user identification information is the authentication management information. Authentication means to identify and extract from
Encryption means for encrypting authentication information specified by the authentication means with an encryption key stored in advance and corresponding to the user identification information, and generating encrypted authentication information;
Authentication server transmission / reception means for receiving the user identification information from the client terminal and transmitting authentication result information determined by the authentication means and authentication information and encrypted authentication information to the client terminal when the authentication means authenticates When,
An authentication server with
Authentication request means for accepting user identification information and a login request to the first application;
When it is determined that connection with the authentication server is possible, the user identification information is transmitted to the authentication server to request authentication from the authentication server, and the authentication result information determined by the authentication server and the authentication First terminal transmitting / receiving means for receiving authentication information and encrypted authentication information when the server authenticates, and storing the received encrypted authentication information in a storage device;
When it is determined that connection with the authentication server is impossible, the encrypted authentication information is transmitted to the authentication proxy server to request authentication to the authentication proxy server, and the authentication information decrypted from the authentication proxy server A second terminal transmitting / receiving means for receiving
An application interface that requests login to the first application based on the authentication information received by the first terminal transmission / reception means or the second terminal transmission / reception means;
With client terminal,
Authentication proxy means for decrypting the encrypted authentication information received from the client terminal with a decryption key stored in advance;
An authentication proxy server transmitting / receiving means for receiving encrypted authentication information from the client terminal and transmitting the authentication information decrypted by the authentication proxy means to the client terminal;
Authentication proxy server with
An authentication system comprising:
上記認証サーバ送受信手段は、上記認証手段が認証したとき、認証情報と暗号化認証情報と合わせてアクセス権情報を送信し、
上記第1の端末送受信手段は、認証情報と暗号化認証情報とを受信するとき、合わせてアクセス権情報も受信し、
上記アプリケーションインタフェースは、認証情報とアクセス権情報に基づき、第1のアプリケーションへのログインを要求することを特徴とする請求項1または2に記載の認証システム。 In the authentication management information, access right information corresponding to the first application is stored, and when the authentication unit extracts the authentication information from the authentication management information, the access right information is also extracted.
When the authentication means authenticates, the authentication server transmission / reception means transmits access right information together with authentication information and encrypted authentication information,
When the first terminal transmission / reception means receives the authentication information and the encrypted authentication information, the first terminal transmission / reception means also receives the access right information together,
The authentication system according to claim 1 or 2, wherein the application interface requests login to the first application based on the authentication information and the access right information.
上記クライアント端末から受信したユーザ識別情報を予め記憶されている認証管理情報と照合し、認証するかどうかを判定し、認証すると判定したときは上記ユーザ識別情報と対応する認証情報を上記認証管理情報から取り出し特定する認証手段と、
上記認証手段が特定した認証情報を、予め記憶され上記ユーザ識別情報と対応する暗号鍵により暗号化し、暗号化した暗号化認証情報を生成する暗号化手段と、
上記ユーザ識別情報を上記クライアント端末から受信し、上記認証手段が判定した認証結果情報と、上記認証手段が認証したときは認証情報と暗号化認証情報とを上記クライアント端末に送信する認証サーバ送受信手段と、
を備えた認証サーバ、
ユーザ識別情報と上記クライアント端末へのログイン要求とを受け付けるログイン処理手段と、
上記認証サーバとの接続が可能と判断したときは上記認証サーバに認証を要求するために、上記ユーザ識別情報を上記認証サーバに送信し、上記認証サーバにより判定された認証結果情報と、上記認証サーバが認証したときは認証情報と暗号化認証情報とを受信し、受信した暗号化認証情報を記憶装置に記憶する第1の端末送受信手段と、
上記認証サーバとの接続が不可能と判断したときは上記認証代理サーバに認証を要求するために、上記暗号化認証情報を上記認証代理サーバに送信し、上記認証代理サーバから復号された認証情報を受信する第2の端末送受信手段と、
を備え、上記ログイン処理手段は、上記第1の端末送受信手段あるいは上記第2の端末送受信手段が受信した認証情報に基づきクライアント端末へのログイン要求を処理することを特徴とするクライアント端末、
上記クライアント端末から受信した暗号化認証情報を、予め記憶されている復号鍵で復号する認証代理手段と、
暗号化認証情報をクライアント端末から受信し、上記認証代理手段が復号した認証情報をクライアント端末に送信する認証代理サーバ送受信手段と、
を備えた認証代理サーバ、
を有することを特徴とする認証システム。 A network-connected authentication system having an authentication server, a client terminal, and an authentication proxy server,
The user identification information received from the client terminal is checked against authentication management information stored in advance to determine whether or not to authenticate. When it is determined to authenticate, the authentication information corresponding to the user identification information is the authentication management information. Authentication means to identify and extract from
Encryption means for encrypting authentication information specified by the authentication means with an encryption key stored in advance and corresponding to the user identification information, and generating encrypted authentication information;
Authentication server transmission / reception means for receiving the user identification information from the client terminal and transmitting authentication result information determined by the authentication means and authentication information and encrypted authentication information to the client terminal when the authentication means authenticates When,
An authentication server with
Login processing means for receiving user identification information and a login request to the client terminal;
When it is determined that connection with the authentication server is possible, the user identification information is transmitted to the authentication server to request authentication from the authentication server, and the authentication result information determined by the authentication server and the authentication First terminal transmitting / receiving means for receiving authentication information and encrypted authentication information when the server authenticates, and storing the received encrypted authentication information in a storage device;
When it is determined that connection with the authentication server is impossible, the encrypted authentication information is transmitted to the authentication proxy server to request authentication to the authentication proxy server, and the authentication information decrypted from the authentication proxy server A second terminal transmitting / receiving means for receiving
The provided, the login processing means, the client terminal, which comprises treating the login request to the client terminal based on the authentication information in the first terminal receiving means or said second terminal receiving means receives,
Authentication proxy means for decrypting the encrypted authentication information received from the client terminal with a decryption key stored in advance;
An authentication proxy server transmitting / receiving means for receiving encrypted authentication information from the client terminal and transmitting the authentication information decrypted by the authentication proxy means to the client terminal;
Authentication proxy server with
An authentication system comprising:
上記認証サーバとの接続かどうかを定期的に確認することを特徴とする請求項1〜5のいずれかに記載の認証システム。 The authentication proxy server transmission / reception means includes:
6. The authentication system according to any one of claims 1 to 5, wherein the authentication system periodically confirms whether the connection is made with the authentication server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007147937A JP4651644B2 (en) | 2007-06-04 | 2007-06-04 | Authentication system and authentication program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007147937A JP4651644B2 (en) | 2007-06-04 | 2007-06-04 | Authentication system and authentication program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008299782A JP2008299782A (en) | 2008-12-11 |
JP4651644B2 true JP4651644B2 (en) | 2011-03-16 |
Family
ID=40173221
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007147937A Expired - Fee Related JP4651644B2 (en) | 2007-06-04 | 2007-06-04 | Authentication system and authentication program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4651644B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7331532B2 (en) | 2019-07-30 | 2023-08-23 | 京セラドキュメントソリューションズ株式会社 | Information processing system, information processing device, and information processing method |
JP7540992B2 (en) | 2021-12-24 | 2024-08-27 | エイチ・シー・ネットワークス株式会社 | Network system and access control method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001111544A (en) * | 1999-10-05 | 2001-04-20 | Nec Corp | Authenticating method in radio lan system and authentication device |
JP2002132727A (en) * | 2000-10-27 | 2002-05-10 | Nippon Telegr & Teleph Corp <Ntt> | Method and system device for authenticating user |
JP2005085102A (en) * | 2003-09-10 | 2005-03-31 | Canon Inc | Guarantee system |
-
2007
- 2007-06-04 JP JP2007147937A patent/JP4651644B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001111544A (en) * | 1999-10-05 | 2001-04-20 | Nec Corp | Authenticating method in radio lan system and authentication device |
JP2002132727A (en) * | 2000-10-27 | 2002-05-10 | Nippon Telegr & Teleph Corp <Ntt> | Method and system device for authenticating user |
JP2005085102A (en) * | 2003-09-10 | 2005-03-31 | Canon Inc | Guarantee system |
Also Published As
Publication number | Publication date |
---|---|
JP2008299782A (en) | 2008-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110463161B (en) | Password state machine for accessing protected resources | |
US10397008B2 (en) | Management of secret data items used for server authentication | |
CN108322461B (en) | Method, system, device, equipment and medium for automatically logging in application program | |
US9047458B2 (en) | Network access protection | |
JP4302732B2 (en) | Login authentication system for network cameras | |
JP4219965B2 (en) | One-time ID authentication | |
US20120167169A1 (en) | Method, system, and computer-readable storage medium for authenticating a computing device | |
US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
WO2011089788A1 (en) | Classified information leakage prevention system, classified information leakage prevention method and classified information leakage prevention programme | |
US20080010453A1 (en) | Method and apparatus for one time password access to portable credential entry and memory storage devices | |
US20090240907A1 (en) | Remote storage access control system | |
US9954853B2 (en) | Network security | |
KR102372503B1 (en) | Method for providing authentification service by using decentralized identity and server using the same | |
JP4185346B2 (en) | Storage apparatus and configuration setting method thereof | |
JP5380063B2 (en) | DRM system | |
US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
JP4499678B2 (en) | Multi-terminal user authentication system, authentication server and authentication integrated terminal | |
US20110202768A1 (en) | Apparatus for managing identity data and method thereof | |
JP4651644B2 (en) | Authentication system and authentication program | |
KR102435307B1 (en) | Account management method and device using authentication by vaccine program | |
JP2007060581A (en) | Information management system and method | |
JP2004295761A (en) | Terminal device and information processor | |
JP5434441B2 (en) | Authentication ID management system and authentication ID management method | |
Choi et al. | Integrated user authentication method using BAC (Brokerage Authentication Center) in Multi-clouds | |
JP2005157571A (en) | Information processor, apparatus, information processing system, authentication program, and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101118 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101207 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101214 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131224 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |