JP4812456B2 - Password management method, password management system, and password management program - Google Patents

Password management method, password management system, and password management program Download PDF

Info

Publication number
JP4812456B2
JP4812456B2 JP2006036702A JP2006036702A JP4812456B2 JP 4812456 B2 JP4812456 B2 JP 4812456B2 JP 2006036702 A JP2006036702 A JP 2006036702A JP 2006036702 A JP2006036702 A JP 2006036702A JP 4812456 B2 JP4812456 B2 JP 4812456B2
Authority
JP
Japan
Prior art keywords
password
members
update
linked
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006036702A
Other languages
Japanese (ja)
Other versions
JP2007219630A (en
Inventor
義男 木崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu FIP Corp
Original Assignee
Fujitsu FIP Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu FIP Corp filed Critical Fujitsu FIP Corp
Priority to JP2006036702A priority Critical patent/JP4812456B2/en
Publication of JP2007219630A publication Critical patent/JP2007219630A/en
Application granted granted Critical
Publication of JP4812456B2 publication Critical patent/JP4812456B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はパスワード管理方法、及び、パスワード管理システム、並びに、パスワード管理プログラムに係り、特に、特権パスワードを管理するためのパスワード管理方法、及び、パスワード管理システム、並びに、パスワード管理プログラムに関する。   The present invention relates to a password management method, a password management system, and a password management program, and more particularly to a password management method, a password management system, and a password management program for managing privileged passwords.

コンピュータシステムを管理する必要上、システムの管理者には特権が付与される。これにより管理者はシステム運用に必要なあらゆる処置を施せるが、裏を返せば管理者個人にコンピュータシステムのセキュリティや稼動の安定性・安全性に関する判断を無制限・無条件に委ねることになるので、安全性やセキュリティが管理者個人のスキルや見識に依存していた。   In order to manage the computer system, privileges are given to the system administrator. As a result, the administrator can take all measures necessary for system operation, but if you turn it back, the administrator will leave the computer system security, operational stability, and safety decisions unrestrictedly and unconditionally, Safety and security depended on managers' individual skills and insights.

そこで、特に特権ユーザのパスワードを複数メンバで管理することにより、特権の行使を合議制にして歯止めをかけることが必要とされている。   Therefore, it is necessary to manage the password of privileged users with a plurality of members, and to make the enforcement of the privilege a controversial system and stop it.

特権の単独行使を抑止するためにアクセス権を有する複数のユーザがアクセス要求したときにアクセスを許可するアクセス権管理システムが提案されていた(特許文献1参照)。   An access right management system has been proposed that permits access when a plurality of users who have access rights request access in order to suppress the sole use of privileges (see Patent Document 1).

また、管理者にスコアを設定しておいてスコアを譲渡することによりアクセス権を与える権限譲渡システムが提案されていた(特許文献2参照)。
特開2005−293004号公報 特開2002−328907号公報 Also, an authority transfer system has been proposed in which a score is assigned to an administrator and an access right is given by transferring the score (see Patent Document 2).
JP 2005-293004 A JP 2002-328907 A

しかるに、従来のシステムでは、パスワード管理に基づくものではないため、広く利用されているパスワード認証とは別にアクセス権管理システムを構築する必要があった。   However, since the conventional system is not based on password management, it is necessary to construct an access right management system in addition to widely used password authentication.

また、スコアなどによる方法であっても予めスコアを譲渡する処理を行っていおかなければならず、操作性が悪かった。   Moreover, even if the method is based on a score or the like, the process of assigning the score has to be performed in advance, and the operability is poor.

本発明は上記の点に鑑みてなされたもので、従来のパスワード認証システムに容易に適用でき、簡単な操作で、安全性やセキュリティ性を犠牲にすることなく、特権を行使できるパスワード管理方法、及び、パスワード管理システム、並びに、パスワード管理プログラムを提供することを目的とする。   The present invention has been made in view of the above points, and can be easily applied to a conventional password authentication system. A password management method capable of exercising privileges without sacrificing safety or security by a simple operation, Another object of the present invention is to provide a password management system and a password management program.

本発明は、パスワードを管理するパスワード管理方法において、パスワードは、複数の分割パスワードを所定の連結順序に組み合わせた構成とされ、複数の分割パスワード及び連結順序を複数の利用者に対応づけて管理することを特徴とする。   The present invention provides a password management method for managing passwords, wherein the password is configured by combining a plurality of divided passwords in a predetermined connection order, and manages the plurality of divided passwords and the connection order in association with a plurality of users. It is characterized by that.

また、本発明は、複数の分割パスワード及び連結順序を自動更新し、前記複数の利用者に通知することを特徴とすることを特徴とする。   Further, the present invention is characterized in that a plurality of divided passwords and a connection order are automatically updated and notified to the plurality of users.

自動更新は、利用者がログインしたときに行われることを特徴とする。   The automatic update is performed when the user logs in.

本発明によれば、パスワードを複数の分割パスワードに分割して複数のメンバで管理することにより、特権を行使するには複数メンバの合意が必要となるので、特権が個人のモラルに依存することがない。また、障害時の対処も複数人で検討して合意した対処をおこなうことになるので安全性が向上する。   According to the present invention, since the password is divided into a plurality of divided passwords and managed by a plurality of members, it is necessary to agree on the plurality of members in order to exercise the privileges, so that the privileges depend on individual morals. There is no. In addition, the safety at the time of failure will be improved because multiple people will consider and agree to deal with it.

〔システム構成〕
図1は本発明の一実施例のシステム構成図を示す。 〔System configuration〕
FIG. 1 shows a system configuration diagram of an embodiment of the present invention.

本実施例のコンピュータシステム100は、ユーザ端末装置111−1〜111−mとサーバ112とをネットワーク113を介して通信可能に接続した構成とされている。   The computer system 100 of the present embodiment is configured such that user terminal devices 111-1 to 111 -m and a server 112 are communicably connected via a network 113.

ユーザ端末装置111−1〜111−mはコンピュータから構成されており、サーバ112を利用するユーザが使用する端末装置である。端末装置からのログインに必要なユーザID及びパスワードはサーバ112で管理される。   The user terminal devices 111-1 to 111 -m are configured from computers, and are terminal devices used by users who use the server 112. The user ID and password required for login from the terminal device are managed by the server 112.

図2はサーバ112のブロック構成図を示す。   FIG. 2 shows a block diagram of the server 112.

サーバ112は、通信部121、処理部122、システムファイル部123、パスワード管理ファイル部124、ユーザファイル部125から構成されている。   The server 112 includes a communication unit 121, a processing unit 122, a system file unit 123, a password management file unit 124, and a user file unit 125.

通信部121は、ネットワーク113を介してユーザ端末装置111−1〜111−mとの通信を行う。   The communication unit 121 communicates with the user terminal devices 111-1 to 111 -m via the network 113.

処理部122は、システムファイル部123に記憶されたシステムプログラムによって、システムの管理を行い、ユーザファイル部125へのアクセス制御を行う。また、処理部122は、パスワード管理ファイル部124に記憶されたパスワード管理プログラム131及びパスワード管理データベース部132に記憶されたデータベースに基づいてシステムファイル部123及びユーザファイル部125へのアクセス制御を行っている。   The processing unit 122 manages the system by the system program stored in the system file unit 123 and controls access to the user file unit 125. Further, the processing unit 122 performs access control to the system file unit 123 and the user file unit 125 based on the password management program 131 stored in the password management file unit 124 and the database stored in the password management database unit 132. Yes.

〔パスワード管理データベース132〕
図3はパスワード管理データベース部132のデータ構成図を示す。 [Password management database 132]
FIG. 3 shows a data configuration diagram of the password management database unit 132.

パスワード管理データベース部132は、管理ID登録ファイル141、分割パスワード管理ファイル142、パスワード管理ファイル143から構成されている。   The password management database unit 132 includes a management ID registration file 141, a divided password management file 142, and a password management file 143.

〔管理ID登録ファイル141〕
図4は管理ID登録ファイル141のデータ構成図を示す。 [Management ID registration file 141]
FIG. 4 shows a data configuration diagram of the management ID registration file 141.

管理ID登録ファイル141は、管理対象ID格納部151、及び、管理メンバリスト格納部152から構成されている。   The management ID registration file 141 includes a management target ID storage unit 151 and a management member list storage unit 152.

管理対象ID格納部151には、パスワード管理ファイル143で管理されるユーザIDのうち、複数人での管理対象となるユーザIDが格納されている。管理メンバリスト格納部152には、各管理対象IDのパスワードを分割したパスワードを所持するメンバのユーザIDが格納される。   The management target ID storage unit 151 stores user IDs to be managed by a plurality of people among the user IDs managed by the password management file 143. The management member list storage unit 152 stores user IDs of members who have passwords obtained by dividing the passwords of the management target IDs.

図4では、管理対象IDRootのメンバにユーザIDUser11、User12のユーザが属し、管理対象IDSysのメンバにユーザIDUser21、User22、User23のユーザが属することを示している。尚、異なる管理対象IDの管理メンバリストに同一のユーザIDが含まれてもよい。   FIG. 4 shows that the users ID User11 and User12 belong to the members of the management target ID Root, and the users ID User21, User22, and User23 belong to the members of the management target IDSys. Note that the same user ID may be included in the management member list of different management target IDs.

管理ID登録ファイル141を参照することによりパスワードを分割して管理される管理対象IDを認識できるとともに、その管理者を認識できる。   By referring to the management ID registration file 141, it is possible to recognize the management target ID managed by dividing the password and to recognize the manager.

〔分割パスワード管理ファイル142〕
図5は分割パスワード管理ファイル142のデータ構成図を示す。 [Split password management file 142]
FIG. 5 shows a data configuration diagram of the divided password management file 142.

管理対象ID格納部161、ユーザID格納部162、次回パスワード格納部163、連結順序格納部164から構成されている。   The management target ID storage unit 161, the user ID storage unit 162, the next password storage unit 163, and the connection order storage unit 164 are configured.

管理対象ID格納部161には、複数人で管理する対象となるユーザIDが格納されている。ユーザID格納部162には、その管理対象IDを管理するメンバのユーザIDが格納されている。次回パスワード格納部163には、管理対象IDに次回適用される分割パスワードが管理メンバ毎に格納されている。連結順序格納部164には、次回適用される分割パスワードの連結順序が格納されている。連結順序は予め固定の順序に決めて設定しておいてもよいし、或いは管理対象IDのパスワードを更新するたびに再設定してもよい。   The management target ID storage unit 161 stores user IDs to be managed by a plurality of people. The user ID storage unit 162 stores user IDs of members who manage the management target ID. The next password storage unit 163 stores a divided password to be applied to the management target ID next time for each management member. The concatenation order storage unit 164 stores the concatenation order of the divided passwords to be applied next time. The connection order may be determined and set in a fixed order in advance, or may be reset every time the password of the management target ID is updated.

図5では、ユーザIDUser11のユーザは管理対象IDRootの第1の管理メンバであり、次回適用される分割パスワードが「Abc1」であり、その連結順序は、1番目であることを示しており、ユーザIDUser12のユーザは管理対象IDRootの第2の管理メンバであり、次回適用される分割パスワードが「23%&」であり、その連結順序は2番目であることを示している。   In FIG. 5, the user ID User 11 is the first management member of the management target ID Root, the divided password to be applied next time is “Abc1”, and the concatenation order is the first. The user of IDUser12 is the second management member of the management target IDRoot, the divided password to be applied next time is “23% &”, and the connection order is the second.

また、ユーザIDUser21のユーザは管理対象IDSysの第1の管理メンバであり、次回適用される分割パスワードが「♯a3B」であり、その連結順序は2番目であることを示しており、ユーザIDUser22のユーザは管理対象IDSysの第2の管理メンバであり、次回適用される分割パスワードが「58Hu」であり、その連結順序は1番であり、ユーザIDUser23のユーザは管理対象IDSysの第3の管理メンバであり、次回適用される分割パスワードが「A!qq」であり、その連結順序は3番であることを示している。   In addition, the user ID User 21 is the first management member of the management target ID Sys, the divided password to be applied next time is “# a3B”, and the concatenation order is second, indicating that the user ID User 22 The user is the second management member of the management target IDSys, the divided password to be applied next time is “58Hu”, the connection order is No. 1, and the user of the user ID User23 is the third management member of the management target IDSys. The divided password to be applied next time is “A! Qq”, and the connection order is No. 3.

分割パスワード管理ファイル142を参照することにより、各管理対象IDに対応する次回分割パスワード及びその連結順を認識できる。   By referring to the divided password management file 142, it is possible to recognize the next divided password corresponding to each management target ID and its connection order.

なお、分割パスワード管理ファイル142により管理対象IDを識別できるため、管理ID登録ファイル141の管理メンバリスト格納部152がない構成にもできる。   Since the management target ID can be identified by the divided password management file 142, the management member list storage unit 152 of the management ID registration file 141 can be omitted.

〔パスワード管理ファイル143〕
図6はパスワード管理ファイル143のデータ構成図を示す。 [Password management file 143]
FIG. 6 shows a data configuration diagram of the password management file 143.

パスワード管理ファイル143は、ID格納部171、パスワード格納部172、更新期限格納部173から構成されている。   The password management file 143 includes an ID storage unit 171, a password storage unit 172, and an update time limit storage unit 173.

ID格納部171には、ユーザIDが格納されている。   The ID storage unit 171 stores a user ID.

パスワード格納部172には、ID格納部171に格納されたユーザIDに対応して設定されたパスワードが格納されている。更新期限格納部173には、パスワード格納部172に格納されたパスワードの更新期限が格納されている。   The password storage unit 172 stores a password set corresponding to the user ID stored in the ID storage unit 171. The update time limit storage unit 173 stores the update time limit of the password stored in the password storage unit 172.

図6においては、ユーザIDRootのパスワードが「Abc123%&」であり、その更新期限が2005年12月1日であることを示しており、また、ユーザIDSysのパスワードが「58Hu♯a3BA!qq」であり、その更新期限が2005年12月1日であることを示している。   FIG. 6 shows that the password of the user ID Root is “Abc123% &” and the update deadline is December 1, 2005, and the password of the user IDSys is “58Hu # a3BA! Qq”. This indicates that the update deadline is December 1, 2005.

なお、本実施例では、パスワードの有効期間を更新期限で管理しているが、発行されてからの有効期間で管理するようにしてもよい。   In this embodiment, the validity period of the password is managed by the renewal deadline, but it may be managed by the validity period after it is issued.

図7はパスワード管理ファイル143の変形例のデータ構成図を示す。   FIG. 7 shows a data configuration diagram of a modified example of the password management file 143.

パスワード管理ファイル151は、ID格納部181、パスワード格納部182、更新時刻格納部183、有効期間格納部184から構成されている。   The password management file 151 includes an ID storage unit 181, a password storage unit 182, an update time storage unit 183, and an effective period storage unit 184.

ID格納部181には、ユーザIDが格納されている。   The ID storage unit 181 stores a user ID.

パスワード格納部182には、ID格納部181に格納されたユーザIDに対応して設定されたパスワードが格納されている。更新時刻格納部183には、パスワード格納部172に格納されるパスワードが前回更新された時刻が格納されており、有効期間格納部184には、パスワード格納部182に格納されたパスワードの有効期間が格納されている。   The password storage unit 182 stores a password set corresponding to the user ID stored in the ID storage unit 181. The update time storage unit 183 stores the time when the password stored in the password storage unit 172 was last updated, and the validity period storage unit 184 stores the validity period of the password stored in the password storage unit 182. Stored.

図7においては、ユーザIDRootのパスワードが「Abc123%&」であり、その有効期間が前回更新時刻2005年11月1日から1ヶ月であることを示しており、また、ユーザIDSysのパスワードが「58Hu♯a3BA!qq」であり、その有効期間が前回更新時刻2005年11月1日から1ヶ月であることを示している。   In FIG. 7, the password of the user ID Root is “Abc123% &”, and its valid period is one month from the last update time November 1, 2005, and the password of the user ID Sys is “ 58Hu # a3BA! Qq ", which indicates that the valid period is one month from the last update time November 1, 2005.

〔パスワード管理プログラム〕
次にパスワード管理プログラムの処理動作について説明する。 [Password management program]
Next, the processing operation of the password management program will be described.

図8はパスワード管理プログラムの処理フローチャートを示す。当該プログラムはサーバ112において定期的に実行され、例えば1時間に1回実行される。   FIG. 8 shows a process flowchart of the password management program. The program is periodically executed in the server 112, for example, once an hour.

処理部122は、ステップS1−1で現在サーバ112にログインしているユーザを順次選択し、ステップS1−2でログインしているユーザがすべて処理されるまでステップS1−3で分割パスワード取得処理を前記選択されたユーザに対して実行する。処理部122は、ステップS1−2でログインしているユーザのすべてに対して分割パスワード取得処理が実行されると、取得したパスワードに基づいてステップS1−4でパスワードを更新する処理を実行する。   The processing unit 122 sequentially selects users who are currently logged in to the server 112 in step S1-1, and performs split password acquisition processing in step S1-3 until all the users logged in in step S1-2 are processed. Execute for the selected user. When the split password acquisition process is executed for all the users who are logged in at step S1-2, the processing unit 122 executes a process of updating the password at step S1-4 based on the acquired password.

図9はパスワード管理プログラムの別の例の処理フローチャートを示す。当該プログラムはサーバ112において、ユーザがログインする都度、当該ユーザを対象に実行される。   FIG. 9 shows a processing flowchart of another example of the password management program. The program is executed on the server 112 for the user every time the user logs in.

図9は図7に示すパスワード管理ファイル151を用いた場合のパスワード管理プログラムであり、ステップS1−11で対象ユーザに対して分割パスワード取得処理を実行し、ステップS1−2で取得したパスワードを更新する。   FIG. 9 shows a password management program when the password management file 151 shown in FIG. 7 is used. In step S1-11, the divided password acquisition process is executed for the target user, and the password acquired in step S1-2 is updated. To do.

次にステップS1−3、S1−11の分割パスワード取得処理について説明する。   Next, the divided password acquisition process in steps S1-3 and S1-11 will be described.

図10は分割パスワード取得処理の処理フローチャートを示す。   FIG. 10 shows a process flowchart of the split password acquisition process.

処理部122は、呼出し側から渡されるユーザIDをステップS2−1で取得すると、ステップS2−2でメンバの登録確認処理を行い、当該ユーザIDと一致する分割パスワード管理ファイル142の各レコードを検索し、その管理対象IDを取得する。ステップS2−3で当該管理対象IDを順次選択する。   When the processing unit 122 acquires the user ID passed from the calling side in step S2-1, the processing unit 122 performs member registration confirmation processing in step S2-2, and searches each record of the divided password management file 142 that matches the user ID. Then, the management target ID is acquired. In step S2-3, the management target IDs are sequentially selected.

処理部122はステップS2−4で、前記順次選択処理により選択された管理対象IDがあれば、前記呼出し側から渡されるユーザIDのユーザが当該管理対象IDの管理メンバであると判定し、管理対象IDがなければ全ての選択処理が済んだと判定して処理を終了し、呼出し元に制御を戻す。管理メンバであることが確認された場合には、ステップS2−5で分割パスワード管理ファイル142を参照して、次回の分割パスワードの有無を確認し、当該管理対象IDおよび当該ユーザIDを持つレコードの次回パスワードが格納されているか否か確認する。処理部122はステップS2−5での確認の結果、ステップS2−6で次回の分割パスワードが未入力である場合には、ステップS2−7で次回の分割パスワードの入力を要求する。これにより、目的のユーザがログインしているユーザ端末装置に入力要求画面を表示して、ユーザの入力を待ち受ける処理が実行される。   In step S2-4, if there is a management target ID selected by the sequential selection process, the processing unit 122 determines that the user with the user ID passed from the caller is a management member of the management target ID, and manages the management target ID. If there is no target ID, it is determined that all selection processes have been completed, the process is terminated, and control is returned to the caller. If it is confirmed that the user is a management member, the divided password management file 142 is referred to in step S2-5 to confirm the presence or absence of the next divided password, and the record having the management target ID and the user ID is checked. Check whether the password is stored next time. If it is determined in step S2-5 that the next split password has not been input in step S2-6, the processing unit 122 requests the next split password to be input in step S2-7. As a result, a process of displaying the input request screen on the user terminal device to which the target user is logged in and waiting for the user's input is executed.

処理部122は、ステップS2−8でユーザ端末装置111−1〜111−mの選択されたユーザからパスワードの入力があると、ステップS2−9で該入力されたパスワードの連結順序を分割パスワード管理ファイル142の対応するレコードから取得し、パスワードを該レコードに格納して分割パスワード管理ファイル142に保存するとともに、対応するユーザ端末装置に該連結順序を通知して、ステップS2−3に戻り、次の管理対象IDに対して同様な処理を行う。尚、連結順序が常時固定の順序である場合は、連結順序のユーザ端末装置への通知を省いてもよい。   When there is a password input from the selected user of the user terminal devices 111-1 to 111 -m in step S 2-8, the processing unit 122 divides the concatenation order of the input passwords in step S 2-9 to manage divided passwords. Acquired from the corresponding record of the file 142, stores the password in the record and saves it in the divided password management file 142, notifies the corresponding user terminal device of the connection order, and returns to step S2-3. The same processing is performed for the management target ID. If the connection order is a fixed order, notification of the connection order to the user terminal device may be omitted.

処理部122は、ステップS2−8でパスワードの入力がない場合には、そのままステップS2−3に戻る。   If there is no password input in step S2-8, the processing unit 122 returns to step S2-3 as it is.

以上により、分割パスワードが決定される。なお、このとき、分割パスワードは、決定されずにそのまま残る場合もある。   As described above, the split password is determined. At this time, the split password may remain as it is without being determined.

〔パスワード更新処理〕
次にステップS1−4、S1−12のパスワード更新処理について説明する。 [Password update process]
Next, the password update process in steps S1-4 and S1-12 will be described.

図11はパスワード更新処理の処理フローチャートを示す。   FIG. 11 shows a process flowchart of the password update process.

処理部122は、ステップS3−1で管理ID登録ファイル141からレコードを順次読込んで管理対象IDを取得し、ステップS3−2で管理対象IDを取得したか否かを判定する。処理部122は、ステップS3−2で管理対象IDを取得したと判定された場合には、ステップS3−3で現在時刻を取得し、ステップS3−4でパスワード管理ファイル143の対応するIDのレコードのパスワードの期限、あるいは、有効期間を参照して、ステップS3−5でパスワードが期限切れであるか否かを判定する。ステップS3−2で管理対象IDを取得しなかったと判定された場合は、管理ID登録ファイルのレコードを全て処理したと判定して処理を終了し、呼出し元に制御を戻す。   The processing unit 122 sequentially reads records from the management ID registration file 141 in step S3-1 to acquire the management target ID, and determines whether the management target ID is acquired in step S3-2. If it is determined in step S3-2 that the management target ID has been acquired, the processing unit 122 acquires the current time in step S3-3, and the corresponding ID record in the password management file 143 in step S3-4. In step S3-5, it is determined whether or not the password has expired with reference to the password expiration date or validity period. If it is determined in step S3-2 that the management target ID has not been acquired, it is determined that all the records in the management ID registration file have been processed, the process ends, and control is returned to the caller.

処理部122は、ステップS3−5でパスワードが期限切れである場合には、ステップS3−6、S3−7で分割パスワード管理ファイル142からレコードを順次読込む。その際、ステップS3−1で取得した管理対象IDを持つレコードのみを読込む。その結果、ステップS3−7でEOD(End Of Data)であると判定されると、ステップS3−8に進んで、後述するステップS3−13で記憶される連結順序の順に、同じくステップS3−13で記憶される分割パスワードを連結することによって、新規パスワードを合成する。処理部122は、ステップS3−9で該合成された新規パスワードをパスワード管理ファイル143のIDが上記管理対象IDと一致するレコードのパスワードに登録するとともに、該レコードの更新期限をセットする。更新期限は、例えば固定で1ヶ月後の時刻を設定してもよく、或いは図7に示すデータ構成であれば有効期間の情報に基づいて設定してもよい。   If the password has expired in step S3-5, the processing unit 122 sequentially reads records from the divided password management file 142 in steps S3-6 and S3-7. At that time, only the record having the management target ID acquired in step S3-1 is read. As a result, if it is determined in step S3-7 that it is EOD (End Of Data), the process proceeds to step S3-8, and in the same order as stored in step S3-13, which will be described later, in the same order as step S3-13 A new password is synthesized by concatenating the divided passwords stored in (1). The processing unit 122 registers the new password synthesized in step S3-9 as the password of the record whose ID in the password management file 143 matches the management target ID, and sets the update deadline of the record. The update deadline may be set, for example, as a fixed time after one month, or may be set based on information on the validity period in the data configuration shown in FIG.

例えば、図5において管理対象IDRootの連結順序「1」の分割パスワード「Abc1」と連結順序「2」の分割パスワード「23%&」とを連結順序の順に連結したパスワード「Abc123%&」が図6におけるIDRootのパスワードとして登録され、更新期限が例えば2006年1月1日にセットされる。   For example, in FIG. 5, the password “Abc123% &” obtained by concatenating the divided password “Abc1” of the concatenation order “1” of the management target IDRoot and the divided password “23% &” of the concatenation order “2” in the order of the concatenation order. 6 is registered as the IDRoot password in No. 6, and the update deadline is set, for example, on January 1, 2006.

次に、処理部122は、ステップS3−10で分割パスワード管理ファイル142の、前記パスワード更新処理で取得した次回パスワードリセットし、連結順序を再設定する。例えば、図5において管理対象IDRootの分割パスワード「Abc1」と分割パスワード「23%&」がリセットされ、連結順序「1」と「2」が再計算され夫々設定され、例えば「2」と「1」に設定される。尚、連結順序は常時固定の順序としておいてもよく、その場合は連結順序の再設定は行なわずとも良い。   Next, the process part 122 resets the next password acquired by the said password update process of the division | segmentation password management file 142 at step S3-10, and resets a connection order. For example, in FIG. 5, the divided password “Abc1” and the divided password “23% &” of the management target IDRoot are reset, and the connection order “1” and “2” are recalculated and set, for example, “2” and “1” "Is set. The connection order may be a fixed order at all times, and in that case, the connection order may not be reset.

さらに、処理部122は、ステップS3−7でEODでない時にステップS3−11に進んで、ステップS3−6で読込んだ分割パスワード管理レコードの次回パスワードと連結順序を参照し、もし次回パスワードが空である場合には、ステップS3−12で分割パスワードを自動生成してステップS3−13で連結順序と対にして記憶し、空でない場合には当該次回パスワードと連結順序の対を記憶する。更に、ステップS3−13では記憶した分割パスワード及び連結順序を、前記分割パスワード管理レコードに格納されたユーザIDのユーザに対して電子メールなどによって通知する。尚、ステップS3−12における分割パスワードの自動生成は例えば、任意の乱数文字列から任意の一部分を切り出す処理で実現される。また、ステップS3−13において分割パスワードと連結順序をユーザに通知する手段として電子メールではなく、例えば通知先のユーザのみにアクセス許可の権限を設定したファイルに分割パスワードと連結順序を記載して、サーバ112のユーザファイル部125の所定場所に格納してもよい。尚、連結順序が常時固定の順序である場合は、連結順序をユーザに通知しない処理としてもよい。   Further, the processing unit 122 proceeds to step S3-11 when it is not EOD in step S3-7, refers to the next password and the concatenation order of the divided password management record read in step S3-6, and if the next password is empty. In step S3-12, a split password is automatically generated and stored as a pair with the connection order in step S3-13. If it is not empty, the next password and connection order pair are stored. Further, in step S3-13, the stored divided password and connection order are notified by e-mail or the like to the user of the user ID stored in the divided password management record. Note that the automatic generation of the divided password in step S3-12 is realized by, for example, a process of cutting an arbitrary part from an arbitrary random character string. In addition, in step S3-13, as a means for notifying the user of the divided password and the connection order, the divided password and the connection order are described in a file in which access permission authority is set only for the notification destination user, for example, You may store in the predetermined place of the user file part 125 of the server 112. FIG. In addition, when the connection order is a fixed order, it is good also as a process which does not notify a user of a connection order.

以上により、パスワードを複数人で分割管理することができる。   As described above, the password can be divided and managed by a plurality of persons.

次に、システムなどへのアクセス時の動作を説明する。   Next, the operation at the time of accessing the system and the like will be described.

システムへのアクセス時に、管理メンバの1人が特権ユーザになるには、他の管理メンバ全員に連絡をとって、理由説明したうえで、分割パスワード及び連結順序を教えてもらうことによって、特権ユーザとしてシステムへのアクセスが可能となる。   When one of the management members becomes a privileged user when accessing the system, all the other management members are contacted, explained the reason, and given the split password and the connection order, and the system as a privileged user. Can be accessed.

〔効果〕
本実施例のパスワード管理プログラムによれば、コンピュータの利用者IDに対するパスワードを複数に分割し、所定の複数利用者に対応づけて管理することができる。これによって、パスワードを複数に分割し、複数の人間がそれぞれ一部分を管理することにより、ひとりだけでは特権ユーザになり得ないパスワード管理を行うことができる。すなわち、複数の利用者からパスワードを聞き出さなければ、システムなどにアクセスできないので、特権の濫用や不正利用を抑止できる。 〔effect〕
According to the password management program of the present embodiment, the password for the computer user ID can be divided into a plurality of pieces and managed in association with a predetermined plurality of users. As a result, the password is divided into a plurality of parts, and a plurality of persons manage a part of each, whereby password management that cannot be a privileged user alone can be performed. In other words, since the system cannot be accessed unless the password is obtained from a plurality of users, privilege abuse and unauthorized use can be suppressed.

また、分割管理されているパスワードの更新管理を、上記対応づけられた利用者に対して自動的に行うことができる。よって、同じパスワードを使い続けることを防止できる。   In addition, it is possible to automatically perform update management of passwords that are divided and managed for the associated users. Therefore, it can prevent using the same password continuously.

さらに、分割管理されるパスワードの一部分または全てを自動生成して、対応付けられた利用者に通知することができる。利用者が分割パスワード及びその連結順序を確認できる。   Furthermore, a part or all of the divided and managed password can be automatically generated and notified to the associated user. The user can confirm the split password and its connection order.

また、対応付けられた利用者がコンピュータ利用時に、分割管理される更新用パスワードの一部分を指定することができる。これによって、分割パスワードを管理メンバが自由に決めることができる。   The associated user can specify a part of the update password to be divided and managed when using the computer. As a result, the divided password can be freely determined by the management member.

このように、本実施例によれば、特に特権ユーザのパスワードを複数人で管理するので、特権を行使するには複数メンバの合意が必要となり、特定の個人のモラルに依存することを防止できる。また、緊急時の対処も複数人で検討して合意した対処を行うので安全性が向上する。   As described above, according to the present embodiment, since the passwords of privileged users are managed by a plurality of persons, it is necessary to agree with a plurality of members in order to exercise the privileges, and it is possible to prevent depending on a particular individual's morals. . In addition, safety is improved because an emergency response is considered by multiple people and agreed.

〔その他〕
なお、本パスワード管理ツールプログラムを「パスワード更新処理」のみで構成して、システムが作成する部分パスワードを管理メンバに自動通知する運用でもよい。 [Others]
The password management tool program may be configured by only “password update processing”, and the partial password created by the system may be automatically notified to the management member.

本発明の一実施例のシステム構成図である。It is a system configuration figure of one example of the present invention. サーバ112のブロック構成図である。2 is a block configuration diagram of a server 112. FIG. パスワード管理データベース部132のデータ構成図である。4 is a data configuration diagram of a password management database unit 132. FIG. 管理ID登録ファイル141のデータ構成図である。4 is a data configuration diagram of a management ID registration file 141. FIG. 分割パスワード管理ファイル142のデータ構成図である。6 is a data configuration diagram of a divided password management file 142. FIG. パスワード管理ファイル143のデータ構成図である。4 is a data configuration diagram of a password management file 143. FIG. パスワード管理ファイル143の変形例のデータ構成図である。FIG. 10 is a data configuration diagram of a modified example of a password management file 143. パスワード管理プログラムの処理フローチャートである。It is a processing flowchart of a password management program. パスワード管理プログラムの別の例の処理フローチャートである。It is a process flowchart of another example of a password management program. 分割パスワード取得処理の処理フローチャートである。It is a process flowchart of a division | segmentation password acquisition process. パスワード更新処理の処理フローチャートである。It is a process flowchart of a password update process.

符号の説明Explanation of symbols

100 システム
111−1〜111−m ユーザ端末装置
112 サーバ、113 ネットワーク
121 通信部、122 処理部、123 システムファイル部
124 パワード管理ファイル部、125 ユーザファイル部
131 パスワード管理プログラム、132 パスワード管理データベース部
141 管理ID登録ファイル、142 分割パスワード管理ファイル
143 パスワード管理ファイル 100 system 111-1 to 111 -m user terminal device 112 server, 113 network 121 communication unit, 122 processing unit, 123 system file unit 124 powered management file unit, 125 user file unit 131 password management program, 132 password management database unit 141 Management ID registration file, 142 Split password management file 143 Password management file

Claims (10)

複数のメンバのパスワードを所定の連結順序に組み合わせて成る連結パスワードを管理するパスワード管理システムにおけるパスワード管理方法であって
前記パスワード管理システムが、
記憶手段から、前記連結パスワードと該連結パスワードの更新期限、及び、前記複数のメンバ毎の次回パスワードと該次回パスワードの連結順序を読み出す読出手順と、
前記メンバにより入力された次回パスワードを取得し、前記記憶手段に記憶させる次回パスワード取得手順と、
前記連結パスワードの更新期限が切れたとき、前記記憶手段から前記複数のメンバ分の次回パスワードと該次回パスワードの連結順序とを取得し、該連結順序に従い該次回パスワードを連結し、該連結した新規の連結パスワードに前記連結パスワードを更新するとともに、
前記記憶手段の前記複数のメンバの次回パスワードをリセットし、該次回パスワードの連結順序を再設定する連結パスワード更新手順と、
を有し、
前記連結パスワードが更新された後は、前記新規の連結パスワードが入力されたとき、ログイン認証が許可されること、
を特徴とするパスワード管理方法。 A password management method in a password management system for managing a concatenated password formed by combining multiple members password of a predetermined connecting order,
The password management system is
A reading procedure for reading out the concatenated password, the update period of the concatenated password, and the next password for each of the plurality of members and the concatenation order of the next password from the storage means;
The next password acquisition procedure for acquiring the next password input by the member and storing it in the storage means;
When the renewal period of the concatenated password expires, the next password for the plurality of members and the concatenation order of the next password are acquired from the storage means, the next password is concatenated according to the concatenation order, Update the linked password to the linked password of
A linked password update procedure for resetting a next password of the plurality of members of the storage means, and resetting a linkage order of the next password;
Have
After the connection password is updated, login authentication is permitted when the new connection password is input,
Password management method characterized by. 前記連結パスワード更新手段により前記連結パスワードが更新されたときに、前記複数のメンバ毎に対し、メンバ毎の前記次回パスワードを通知する通知手順を有することを特徴とする請求項1記載のパスワード管理方法。 2. The password management method according to claim 1 , further comprising a notification procedure for notifying the next password for each member to each of the plurality of members when the linked password is updated by the linked password update means. . 前記メンバがログインしたとき、該メンバに前記次回パスワードの更新の入力を要求する要求手順を有することを特徴とする請求項記載のパスワード管理方法。 When the member logs in, the password management method according to claim 1, characterized in that it comprises a request procedure for requesting an input of the next password update to the members. 前記連結パスワード更新手順は、前記記憶手段から前記複数のメンバ分の次回パスワードを取得できないとき、取得できない次回パスワードを自動生成することを特徴とする請求項1記載のパスワード管理方法。 2. The password management method according to claim 1, wherein the linked password update procedure automatically generates a next password that cannot be acquired when the next password for the plurality of members cannot be acquired from the storage unit . 複数のメンバのパスワードを所定の連結順序に組み合わせて成る連結パスワードを管理するパスワード管理システムであって、
前記連結パスワードと該連結パスワードの更新期限、及び、前記複数のメンバ毎の次回パスワードと該次回パスワードの連結順序を記憶する記憶手段と、
前記メンバにより入力された次回パスワードを取得し、前記記憶手段に記憶させる次回パスワード取得手段と、
前記連結パスワードの更新期限が切れたとき、前記記憶手段から前記複数のメンバ分の次回パスワードと該次回パスワードの連結順序とを取得し、該連結順序に従い該次回パスワードを連結し、該連結した新規の連結パスワードに前記連結パスワードを更新するとともに、
前記記憶手段の前記複数のメンバの次回パスワードをリセットし、該次回パスワードの連結順序を再設定する連結パスワード更新手段と、
を有し、
前記連結パスワードが更新された後は、前記新規の連結パスワードが入力されたとき、ログイン認証が許可されること、
を特徴とするパスワード管理システム。 A password management system for managing a concatenated password by combining a plurality of member passwords in a predetermined concatenation order,
Storage means for storing the concatenated password and the update period of the concatenated password, and the next password for each of the plurality of members and the concatenation order of the next password;
Next time password acquisition means for acquiring the next password input by the member and storing it in the storage means;
When the renewal period of the concatenated password expires, the next password for the plurality of members and the concatenation order of the next password are acquired from the storage means, the next password is concatenated according to the concatenation order, Update the linked password to the linked password of
A linked password updating unit for resetting a next password of the plurality of members of the storage unit and resetting a coupling order of the next password ;
Have
After the connection password is updated, login authentication is permitted when the new connection password is input,
A password management system. 前記連結パスワード更新手段により前記連結パスワードが更新されたときに、前記複数のメンバ毎に対し、メンバ毎の前記次回パスワードを通知する通知手段を有することを特徴とする請求項5記載のパスワード管理システム。 6. The password management system according to claim 5 , further comprising a notification means for notifying the next password for each member to each of the plurality of members when the linked password is updated by the linked password update means. . 前記メンバがログインしたとき、該メンバに前記次回パスワードの更新の入力を要求することを特徴とする請求項5記載のパスワード管理システム。 6. The password management system according to claim 5 , wherein when the member logs in, the member is requested to input the next password update . 前記連結パスワード更新手段は、前記記憶手段から前記複数のメンバ分の次回パスワードを取得できないとき、取得できない次回パスワードを自動生成すること、
を特徴とする請求項5記載のパスワード管理システム。 The linked password update means automatically generates a next password that cannot be obtained when the next password for the plurality of members cannot be obtained from the storage means;
The password management system according to claim 5. コンピュータに、
複数のメンバのパスワードを所定の連結順序に組み合わせて成る連結パスワードと該連結パスワードの更新期限、及び、前記複数のメンバ毎の次回パスワードと該次回パスワードの連結順序を記憶する記憶手段と、
前記メンバにより入力された次回パスワードを取得し、前記記憶手段に記憶させる次回パスワード取得手段と、
前記連結パスワードの更新期限が切れたとき、前記記憶手段から前記複数のメンバ分の次回パスワードと該次回パスワードの連結順序とを取得し、該連結順序に従い該次回パスワードを連結し、該連結した新規の連結パスワードに前記連結パスワードを更新するとともに、
前記記憶手段の前記複数のメンバの次回パスワードをリセットし、該次回パスワードの連結順序を再設定する連結パスワード更新手段として機能させ、
前記連結パスワードが更新された後は、前記新規の連結パスワードが入力されたとき、ログイン認証が許可されること、
を特徴とするパスワード管理プログラム。 On the computer,
Storage means for storing a concatenated password formed by combining passwords of a plurality of members in a predetermined concatenation order, an update deadline of the concatenated password, a next password for each of the plurality of members, and a concatenation order of the next password;
Next time password acquisition means for acquiring the next password input by the member and storing it in the storage means;
When the renewal period of the concatenated password expires, the next password for the plurality of members and the concatenation order of the next password are acquired from the storage means, the next password is concatenated according to the concatenation order, and the new Update the linked password to the linked password of
Reset the next password of the plurality of members of the storage means, and function as a connected password update means for resetting the next password connection order;
After the connection password is updated, login authentication is permitted when the new connection password is input,
Password management program characterized by コンピュータに、
前記連結パスワード更新手段により前記連結パスワードが更新されたときに、前記複数のメンバ毎に対し、メンバ毎の前記次回パスワードを通知する通知手段として機能させることを特徴とする請求項9記載のパスワード管理プログラム。 On the computer,
10. The password management according to claim 9 , wherein when the linked password is updated by the linked password update unit , the password management unit functions as a notification unit that notifies the next password for each member to each of the plurality of members. program.
JP2006036702A 2006-02-14 2006-02-14 Password management method, password management system, and password management program Expired - Fee Related JP4812456B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006036702A JP4812456B2 (en) 2006-02-14 2006-02-14 Password management method, password management system, and password management program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006036702A JP4812456B2 (en) 2006-02-14 2006-02-14 Password management method, password management system, and password management program

Publications (2)

Publication Number Publication Date
JP2007219630A JP2007219630A (en) 2007-08-30
JP4812456B2 true JP4812456B2 (en) 2011-11-09

Family

ID=38496895

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006036702A Expired - Fee Related JP4812456B2 (en) 2006-02-14 2006-02-14 Password management method, password management system, and password management program

Country Status (1)

Country Link
JP (1) JP4812456B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101515097B1 (en) * 2008-03-05 2015-04-27 삼성전자주식회사 Password system method of generating password and method of checking password using integrity check code
JP7080100B2 (en) * 2018-04-27 2022-06-03 株式会社Pfu Information processing systems, information processing methods, and programs

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2596361B2 (en) * 1993-12-24 1997-04-02 日本電気株式会社 Password update method
JPH08320847A (en) * 1995-05-26 1996-12-03 Hitachi Ltd Password management system
JP2003046500A (en) * 2001-08-03 2003-02-14 Nec Corp Personal information management system, personal information management method, and information processing server
JP4109467B2 (en) * 2002-02-28 2008-07-02 株式会社リコー Authentication information management apparatus and authentication information management system
JP2004046640A (en) * 2002-07-12 2004-02-12 Dainippon Printing Co Ltd Method for concealing password data, software program, and information terminal device

Also Published As

Publication number Publication date
JP2007219630A (en) 2007-08-30

Similar Documents

Publication Publication Date Title
KR101703015B1 (en) System and method for remotely initiating lost mode on a computing device
US8763145B2 (en) Cloud system, license management method for cloud service
US20170223006A1 (en) Policy enforcement of client devices
TWI521432B (en) Development environment systems, development environment installations, development environment provision methods and program products
JP6467869B2 (en) Information processing system and information processing method
JP5743786B2 (en) Server apparatus, information processing method, and program
JP6639850B2 (en) Device use management system, device use management method, and device use management program
CN104685511B (en) Policy management system, ID suppliers system and tactical comment device
JP2005234729A (en) Unauthorized access protection system and its method
JP6242469B1 (en) Personal medical information management method, personal medical information management server and program
JP2010186250A (en) Distributed information access system, distributed information access method, and program
US20210255688A1 (en) Information processing apparatus, information processing method, and program
JP4812456B2 (en) Password management method, password management system, and password management program
JP5770804B2 (en) Notification management method, notification management server, and notification management program
JP5858878B2 (en) Authentication system and authentication method
CN108881317B (en) Multi-system unified authentication method, system and computer storage medium
JP4191239B2 (en) Access authority control system
JP6184316B2 (en) Login relay server device, login relay method, and program
CN113691555B (en) Information resource sharing method facing business activity
JP2009080560A (en) Access authority control system
JP7119797B2 (en) Information processing device and information processing program
JP2004355332A (en) Log-in management system and its method
JP4383441B2 (en) Circulation document management system, circulation document management method, and circulation document management program
JP2012137995A (en) Resource providing system, access control program and access control method
JP5865540B2 (en) Notification management method, notification management server, and notification management program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080801

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110816

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110823

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140902

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees