JP5153284B2 - 情報処理装置、認証方法、及びコンピュータプログラム - Google Patents
情報処理装置、認証方法、及びコンピュータプログラム Download PDFInfo
- Publication number
- JP5153284B2 JP5153284B2 JP2007262180A JP2007262180A JP5153284B2 JP 5153284 B2 JP5153284 B2 JP 5153284B2 JP 2007262180 A JP2007262180 A JP 2007262180A JP 2007262180 A JP2007262180 A JP 2007262180A JP 5153284 B2 JP5153284 B2 JP 5153284B2
- Authority
- JP
- Japan
- Prior art keywords
- conversion
- authentication information
- authentication
- user
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
本発明は、情報処理装置、認証方法、及びコンピュータプログラムに関し、特に、ユーザの認証を行うために用いて好適なものである。
ハッシュアルゴリズムは、その特徴として一方向性と非衝突性とを有していることから、システム内にパスワードを保存する際に利用されることがある。具体的には、パスワードをそのまま保存するのでなく、パスワードのハッシュ値を保存するといった用途で利用されることがある。
一方近年、ハッシュ関数の一種であるMD5の脆弱性が発見される等、ハッシュアルゴリズムに対する攻撃が成功したことに関する報告が相次いでいる。このようにハッシュアルゴリズムに対する攻撃に成功した場合であっても、必ずしもハッシュ値からパスワードを推測することができるわけではない。しかしながら、セキュリティの向上を考慮する場合、攻撃に成功したものとは異なるハッシュアルゴリズムを採用することが好ましい。
一方近年、ハッシュ関数の一種であるMD5の脆弱性が発見される等、ハッシュアルゴリズムに対する攻撃が成功したことに関する報告が相次いでいる。このようにハッシュアルゴリズムに対する攻撃に成功した場合であっても、必ずしもハッシュ値からパスワードを推測することができるわけではない。しかしながら、セキュリティの向上を考慮する場合、攻撃に成功したものとは異なるハッシュアルゴリズムを採用することが好ましい。
アルゴリズムの変更を行うための従来の技術としては、以下のものがあげられる。
特許文献1では、まず、システムに既に登録されている画像に施したデータ特徴量抽出処理のアルゴリズムのバージョンが現在使用しているバージョンと異なる画像が含まれているか否かを判定する。この判定の結果、現在使用しているバージョンと異なる画像が含まれている場合に、その画像に対して、現在使用しているデータ特徴量抽出処理のアルゴリズムを用いて、特徴量及びその重み情報を算出する。
また、特許文献2では、相互に認証を行う第1装置から第2の装置に古い認証用鍵を送信し、古い認証用鍵が第2の装置で正しく認証されると、新しい認証用鍵を第2の装置から第1の装置に送信する。そして、新しい認証用鍵が第1の装置で正しく認証されると、第1の装置は古い認証用鍵を新しい認証用鍵に更新する。
特許文献1では、まず、システムに既に登録されている画像に施したデータ特徴量抽出処理のアルゴリズムのバージョンが現在使用しているバージョンと異なる画像が含まれているか否かを判定する。この判定の結果、現在使用しているバージョンと異なる画像が含まれている場合に、その画像に対して、現在使用しているデータ特徴量抽出処理のアルゴリズムを用いて、特徴量及びその重み情報を算出する。
また、特許文献2では、相互に認証を行う第1装置から第2の装置に古い認証用鍵を送信し、古い認証用鍵が第2の装置で正しく認証されると、新しい認証用鍵を第2の装置から第1の装置に送信する。そして、新しい認証用鍵が第1の装置で正しく認証されると、第1の装置は古い認証用鍵を新しい認証用鍵に更新する。
しかしながら、前述した従来の技術では、パスワードのハッシュ値であって、古いハッシュアルゴリズムで求めたハッシュ値がシステムに既に登録されている場合に、使用するハッシュアルゴリズムを変更すると、以下に示すような問題点があった。
すなわち、既にシステムに登録されているハッシュ値は、古いハッシュアルゴリズムでないと算出できない。このため、ハッシュアルゴリズムを新しいものに入れ替えると、既にシステムに登録されているハッシュ値は無効になってしまう。この古いハッシュ値がパスワードのハッシュ値であった場合、ユーザが正しいパスワードを入力しても、ハッシュアルゴリズムが異なるため、求まるハッシュ値も異なることになる。そうすると、ユーザがシステムにログインできなくなる。ユーザの利便性を考えた場合、ハッシュアルゴリズムの変更があったとしても、その変更の前と同じパスワードでシステムにログインできた方が、ユーザがシステムの変更を意識する必要がないため、好ましい。
すなわち、既にシステムに登録されているハッシュ値は、古いハッシュアルゴリズムでないと算出できない。このため、ハッシュアルゴリズムを新しいものに入れ替えると、既にシステムに登録されているハッシュ値は無効になってしまう。この古いハッシュ値がパスワードのハッシュ値であった場合、ユーザが正しいパスワードを入力しても、ハッシュアルゴリズムが異なるため、求まるハッシュ値も異なることになる。そうすると、ユーザがシステムにログインできなくなる。ユーザの利便性を考えた場合、ハッシュアルゴリズムの変更があったとしても、その変更の前と同じパスワードでシステムにログインできた方が、ユーザがシステムの変更を意識する必要がないため、好ましい。
そこで、ハッシュアルゴリズムの変更時に、システム内に保存している古いハッシュ値から新しいハッシュアルゴリズムによるハッシュ値を求めることが考えられる。このようにすれば、ハッシュアルゴリズムの変更前後で、ユーザは同じパスワードを用いてシステムにログインできる。新しいハッシュ値を求めるためには、元となるパスワードをシステムが知っていることと、古いハッシュ値から元となるパスワードをシステムが推測できることとの何れかが必要になる。しかしながら、元となるパスワードをシステムに認識させることは非常に困難である。また、ハッシュアルゴリズムの特徴として一方向性があるので、古いハッシュ値から元になったパスワードを推測することは非常に困難である。したがって、古いハッシュ値から新しいハッシュ値を生成することはできない。よって、ハッシュアルゴリズムを変更すると、ユーザは元のパスワードではシステムにログインできなくなる。
また、ユーザがシステムにログインできるようにするために、管理者が各ユーザのパスワードを再設定することも考えられる。この場合、管理者が入力したパスワードから、新しいハッシュアルゴリズムを用いて新しいハッシュ値を求めることが可能である。よって新しいハッシュ値をシステム内に保存すれば、それ以降は管理者が設定したパスワードを利用して、ユーザはシステムにログインできるようになる。しかしながら、パスワードの再設定を必要とするユーザの数が多い場合、パスワードを設定するために管理者にかかる負担が大きくなる。
この他にも、システムが自動で新しいパスワードを生成し、新しいハッシュアルゴリズムで新しいハッシュ値を求め、各ユーザに新しいパスワードを通知することも考えられる。しかしながら、いずれにせよ、ハッシュアルゴリズムが変更されるとユーザは、パスワードの変更を余儀なくされる。
そこで、本発明では、ユーザの認証情報を一方向性関数に基づく値に変換して保存する場合に、変換に使用するアルゴリズムを、管理者の負担を増やすことなく、且つユーザに意識させることなく変更できるようにすることを目的とする。
本発明の情報処理装置は、ユーザのアカウント、および認証情報を取得する取得手段と、前記取得手段により取得されたユーザの認証情報を、第1の一方向性関数に基づいて第1の変換値に変換する第1の変換手段と、前記取得手段により取得されたユーザの認証情報を、第2の一方向性関数に基づいて第2の変換値に変換する第2の変換手段と、前記ユーザのアカウントと、前記第1の変換手段により得られた第1の変換値、前記第2の変換手段により得られた第2の変換値と、を関連付けて記憶する記憶手段と、前記取得手段により取得された認証情報を前記第1の変換手段、または前記第2の変換手段により変換された変換値と、既に前記記憶手段により記憶されている変換値と、を比較して前記ユーザの認証を行う認証手段と、を有し、更に、前記取得手段によりユーザのアカウント、および認証情報が取得された際に、前記ユーザが前記第1の一方向性関数を使用する必要があるユーザである場合は、前記第1の変換手段による前記認証情報の変換を行い、前記認証手段による前記第1の変換値に基づいた認証を行うとともに、前記第2の変換手段による前記認証情報の変換を行い前記第2の変換値を前記記憶手段に記憶させ、前記ユーザが前記第1の一方向性関数を使用する必要がないユーザである場合は、前記第1の変換手段を用いず、前記第2の変換手段による前記認証情報の変換を行い、前記認証手段による前記第2の変換値に基づいた認証を行うよう制御する制御手段を有することを特徴とする。
本発明の認証方法は、ユーザのアカウント、および認証情報を取得する取得ステップと、前記取得ステップにより取得されたユーザの認証情報を、第1の一方向性関数に基づいて第1の変換値に変換する第1の変換ステップと、前記取得ステップにより取得されたユーザの認証情報を、第2の一方向性関数に基づいて第2の変換値に変換する第2の変換ステップと、前記ユーザのアカウントと、前記第1の変換ステップにより得られた第1の変換値、前記第2の変換ステップにより得られた第2の変換値と、を関連付けて記憶手段に記憶する記憶ステップと、前記取得ステップにより取得された認証情報を前記第1の変換ステップ、または前記第2の変換ステップにより変換された変換値と、既に前記記憶ステップにより記憶されている変換値と、を比較して前記ユーザの認証を行う認証ステップと、を有し、更に、前記取得ステップによりユーザのアカウント、および認証情報が取得された際に、前記ユーザが前記第1の一方向性関数を使用する必要があるユーザである場合は、前記第1の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第1の変換値に基づいた認証を行うとともに、前記第2の変換ステップによる前記認証情報の変換を行い前記第2の変換値を前記記憶手段に記憶させ、前記ユーザが前記第1の一方向性関数を使用する必要がないユーザである場合は、前記第1の変換ステップを行わず、前記第2の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第2の変換値に基づいた認証を行うよう制御する制御ステップを有することを特徴とする。
本発明のコンピュータプログラムは、ユーザのアカウント、および認証情報を取得する取得ステップと、前記取得ステップにより取得されたユーザの認証情報を、第1の一方向性関数に基づいて第1の変換値に変換する第1の変換ステップと、前記取得ステップにより取得されたユーザの認証情報を、第2の一方向性関数に基づいて第2の変換値に変換する第2の変換ステップと、前記ユーザのアカウントと、前記第1の変換ステップにより得られた第1の変換値、前記第2の変換ステップにより得られた第2の変換値と、を関連付けて記憶手段に記憶する記憶ステップと、前記取得ステップにより取得された認証情報を前記第1の変換ステップ、または前記第2の変換ステップにより変換された変換値と、既に前記記憶ステップにより記憶されている変換値と、を比較して前記ユーザの認証を行う認証ステップと、をコンピュータに実行させ、更に、前記取得ステップによりユーザのアカウント、および認証情報が取得された際に、前記ユーザが前記第1の一方向性関数を使用する必要があるユーザである場合は、前記第1の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第1の変換値に基づいた認証を行うとともに、前記第2の変換ステップによる前記認証情報の変換を行い前記第2の変換値を前記記憶手段に記憶させ、前記ユーザが前記第1の一方向性関数を使用する必要がないユーザである場合は、前記第1の変換ステップを行わず、前記第2の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第2の変換値に基づいた認証を行うよう制御する制御ステップをコンピュータに実行させることを特徴とする。
本発明によれば、ユーザの認証情報の変換に使用するアルゴリズム(一方向性関数)を変更しても、ユーザの認証情報を変更する必要がなくなる。したがって、ユーザの認証情報を一方向性関数に基づく値に変換して保存する場合に、変換に使用するアルゴリズムを、管理者の負担を増やすことなく、且つユーザに意識させることなく変更できるようにすることができる。
(第1の実施形態)
以下に、図面を参照しながら、本発明の第1の実施形態について説明する。
図1は、ネットワークデバイス管理装置のハードウェアの構成の一例を示す図である。
図1に示すように、ネットワークデバイス管理装置100は、PC(パーソナルコンピュータ)を用いることにより実現できる。図1において、CPU101は、ROM102又はハードディスク(HD)111に記憶されたアプリケーションプログラム、又はフレキシブルディスク(FD)112により供給されるアプリケーションプログラムを実行する。また、CPU101は、システムバス104に接続される各デバイスを総括的に制御する。RAM103は、CPU101の主メモリやワークエリア等として機能する。キーボードコントローラ(KBC)105は、キーボード(KB)109や不図示のポインティングデバイス等からの指示入力を制御する。
以下に、図面を参照しながら、本発明の第1の実施形態について説明する。
図1は、ネットワークデバイス管理装置のハードウェアの構成の一例を示す図である。
図1に示すように、ネットワークデバイス管理装置100は、PC(パーソナルコンピュータ)を用いることにより実現できる。図1において、CPU101は、ROM102又はハードディスク(HD)111に記憶されたアプリケーションプログラム、又はフレキシブルディスク(FD)112により供給されるアプリケーションプログラムを実行する。また、CPU101は、システムバス104に接続される各デバイスを総括的に制御する。RAM103は、CPU101の主メモリやワークエリア等として機能する。キーボードコントローラ(KBC)105は、キーボード(KB)109や不図示のポインティングデバイス等からの指示入力を制御する。
CRTコントローラ(CRTC)106は、CRTディスプレイ(CRT)110の表示を制御する。ディスクコントローラ(DKC)107は、ハードディスク(HD)111及びフレキシブルディスク(FD)112に対するアクセスを制御する。ネットワークインタフェースカード(NIC)108は、ネットワーク150を介して、外部のネットワーク機器等と双方向にデータをやり取りする。ネットワーク150としてはLANやインターネット等が想定される。ハードディスク(HD)111や、フレキシブルディスク(FD)112は、ブートプログラム、種々のアプリケーション、編集ファイル、ユーザファイル、アプリケーションプログラム、及びネットワーク制御プログラム等を記憶する。尚、後述する全ての説明において、特に断りのない限り、実行のハード上の主体は主としてCPU101であり、ソフトウェア上の主体は主としてハードディスク(HD)111にインストールされたアプリケーションプログラムである。
図2は、ネットワークデバイス管理装置100における機能構成(サーバモジュール構成)の一例を示す図である。ネットワークデバイス管理装置100は、入力装置201、判断装置202、第1の認証装置210、第1のハッシュ演算装置211、及び第1の認証情報記憶装置212を有する。更に、ネットワークデバイス管理装置100は、第2の認証装置220、第2のハッシュ演算装置221及び第2の認証情報記憶装置222を有する。
入力装置201が、ユーザによる操作に従って、アカウント名とパスワードとの入力を受け付けることで認証処理を開始する。尚、入力装置201が受け付けるのは必ずしもアカウント名とパスワードとの組でなくてもよい。
入力装置201が、ユーザによる操作に従って、アカウント名とパスワードとの入力を受け付けることで認証処理を開始する。尚、入力装置201が受け付けるのは必ずしもアカウント名とパスワードとの組でなくてもよい。
図3は、ユーザによるにログインを認証する際のネットワークデバイス管理装置100の動作の一例を説明するフローチャートである。尚、ここでは説明のため、第1の認証装置210、第1のハッシュ演算装置211、及び第1の認証情報記憶装置212が扱うハッシュ関数(変更前のハッシュ関数)をMD5としている。また、第2の認証装置220、第2のハッシュ演算装置221、第2の認証情報記憶装置222が扱うハッシュ関数(変更後のハッシュ関数)をSHA−1としている。しかしながら、使用するハッシュ関数は、前述のものに限定されない。また、パスワードを、一方向性の不可逆的な値に変換することができれば(その値から元のパスワードに変換することができなければ)、ハッシュ(ハッシュ値、ハッシュ関数)を用いる必要もない。
まず、ステップS1001において、入力装置201は、ユーザが入力したアカウント名とパスワードとを受信(取得)する。このように本実施形態では、少なくともステップS1001の処理を行うことによって、取得手段が実現される。また、本実施形態では、アカウント名によりユーザの識別情報が実現され、パスワードによりユーザの認証情報が実現される。
次に、ステップS1002において、判断装置202は、使用するハッシュを判定する。具体的に説明すると、判断装置202は、ステップS1001で受信したアカウント名に対応する認証情報が、第1の認証情報記憶装置212と第2の認証情報記憶装置222とのうち、どちらに記憶されているかを判定する。
次に、ステップS1002において、判断装置202は、使用するハッシュを判定する。具体的に説明すると、判断装置202は、ステップS1001で受信したアカウント名に対応する認証情報が、第1の認証情報記憶装置212と第2の認証情報記憶装置222とのうち、どちらに記憶されているかを判定する。
図4は、第1の認証情報記憶装置212と第2の認証情報記憶装置222に記憶されている認証情報管理テーブルの一例を示す図である。認証情報管理テーブル500は、アカウント名と、パスワードから求めたハッシュ値(認証情報)とを互いに関連付けて記憶している。第1の認証情報記憶装置212内の認証情報管理テーブル500で管理されるハッシュ値は、MD5に基づくハッシュ値であり、第2の認証情報記憶装置222内の認証情報管理テーブル500で管理されるハッシュ値は、SHA−1に基づくハッシュ値である。尚、認証情報管理テーブル500で管理する情報は、アカウント名と、パスワードのハッシュ値とに限定されるものではない。
以上のように本実施形態では、少なくともステップS1002の処理を行うことにより、判断手段が実現される。
以上のように本実施形態では、少なくともステップS1002の処理を行うことにより、判断手段が実現される。
ステップS1002の判定の結果、ステップS1001で受信したアカウント名に該当する認証情報が第2の認証情報記憶装置222に記憶されている場合には、ステップS1101に遷移する。一方、ステップS1001で受信したアカウント名に該当する認証情報が第1の認証情報記憶装置212に記憶されている場合には、後述するステップS1201に遷移する。
ステップS1101に遷移すると、第2のハッシュ演算装置221は、ステップS1001で受信されたパスワードから、SHA−1を用いてハッシュ値を算出する。このように本実施形態では、少なくともステップS1101の処理を行うことにより、第3の変換手段が実現される。
次に、ステップS1102において、第2の認証装置220は、ステップS1101で算出されたハッシュ値と、第2の認証情報記憶装置222に記憶されている認証情報であって、ステップS1001で受信されたアカウント名に対応する認証情報とを比較する。そして、第2の認証装置220は、ステップS1101で算出されたハッシュ値と、第2の認証情報記憶装置222に記憶されている認証情報とが一致するか否かを判定する。このように本実施形態では、少なくともステップS1102の処理を行うことにより、第2の認証手段が実現される。
次に、ステップS1102において、第2の認証装置220は、ステップS1101で算出されたハッシュ値と、第2の認証情報記憶装置222に記憶されている認証情報であって、ステップS1001で受信されたアカウント名に対応する認証情報とを比較する。そして、第2の認証装置220は、ステップS1101で算出されたハッシュ値と、第2の認証情報記憶装置222に記憶されている認証情報とが一致するか否かを判定する。このように本実施形態では、少なくともステップS1102の処理を行うことにより、第2の認証手段が実現される。
この判定の結果、ステップS1101で算出されたハッシュ値と、第2の認証情報記憶装置222に記憶されている認証情報とが一致する場合には、ユーザのログインの認証に成功としたと判定して、ステップS1103に遷移する。一方、ステップS1101で算出されたハッシュ値と、第2の認証情報記憶装置222に記憶されている認証情報とが一致しない場合には、ユーザのログインの認証に失敗したと判定して、ステップS1104に遷移する。
ステップS1103に遷移すると、判断装置202は、ユーザのシステムへのログインを許可する。
一方、ステップS1104に遷移すると、判断装置202は、ユーザのシステムへのログインを拒否する。
一方、ステップS1104に遷移すると、判断装置202は、ユーザのシステムへのログインを拒否する。
前述したように、ステップS1002において、ステップS1001で受信したアカウント名に該当する認証情報が第1の認証情報記憶装置212に記憶されていると判定された場合には、ステップS1201に遷移する。ステップS1201に遷移すると、第1のハッシュ演算装置211は、ステップS1001で受信したパスワードから、MD5を用いてハッシュ値を算出する。このように本実施形態では、少なくともステップS1201の処理を行うことにより、第1の変換手段が実現される。また、本実施形態では、MD5により第1の一方向性関数が実現され、MD5を用いて算出されたハッシュ値により第1の変換値が実現される。
次に、ステップS1202において、第1の認証装置210は、ステップS1201で算出されたハッシュ値と、第1の認証情報記憶装置212に記憶されている認証情報であって、ステップS1001で受信されたアカウント名に対応する認証情報とを比較する。そして、第1の認証装置210は、ステップS1201で算出されたハッシュ値と、第1の認証情報記憶装置212に記憶されている認証情報とが一致するか否かを判定する。このように本実施形態では、少なくともステップS1202の処理を行うことにより、認証手段が実現される。
次に、ステップS1202において、第1の認証装置210は、ステップS1201で算出されたハッシュ値と、第1の認証情報記憶装置212に記憶されている認証情報であって、ステップS1001で受信されたアカウント名に対応する認証情報とを比較する。そして、第1の認証装置210は、ステップS1201で算出されたハッシュ値と、第1の認証情報記憶装置212に記憶されている認証情報とが一致するか否かを判定する。このように本実施形態では、少なくともステップS1202の処理を行うことにより、認証手段が実現される。
この判定の結果、ステップS1201で算出されたハッシュ値と、第1の認証情報記憶装置212に記憶されている認証情報とが一致する場合には、ユーザのログインの認証に成功したと判定して、ステップS1203に遷移する。一方、ステップS1201で算出されたハッシュ値と、第1の認証情報記憶装置212に記憶されている認証情報とが一致しない場合には、ユーザのログインの認証に失敗したと判定して、後述するステップS1207に遷移する。
ステップS1203に遷移すると、第2のハッシュ演算装置221は、前記受信したパスワードから、SHA−1を用いてハッシュ値を算出する。このように本実施形態では、少なくともステップS1203の処理を行うことにより、第2の変換手段が実現される。また、本実施形態では、SHA−1により第2の一方向性関数が実現され、SHA−1を用いて算出されたハッシュ値により、第2の変換値が実現される。
次に、ステップS1204において、第2の認証情報記憶装置222は、ステップS1203でSHA−1を用いて算出されたハッシュ値と、ステップS1001で受信したアカウント名とを互いに関連付けて認証情報管理テーブル500に記憶する。このように本実施形態では、少なくともステップS1204の処理を行うことにより、記憶手段が実現される。
次に、ステップS1204において、第2の認証情報記憶装置222は、ステップS1203でSHA−1を用いて算出されたハッシュ値と、ステップS1001で受信したアカウント名とを互いに関連付けて認証情報管理テーブル500に記憶する。このように本実施形態では、少なくともステップS1204の処理を行うことにより、記憶手段が実現される。
次に、ステップS1205において、第1の認証情報記憶装置212は、ステップS1001で受信したアカウント名と、そのアカウント名に関連付けられて記憶されている認証情報とを削除する。このように本実施形態では、少なくともステップS1205の処理を行うことにより、削除手段が実現される。
そして、前述したように、ステップS1202で、ユーザのログインの認証に成功したと判定されているので、ステップS1206において、判断装置202は、ユーザのシステムへのログインを許可する。
一方、前述したように、ステップS1202で、ユーザのログインの認証に失敗したと判定されている場合には、ステップS1207に遷移する。ステップS1207に遷移すると、判断装置202は、ユーザのシステムへのログインを拒否する。
そして、前述したように、ステップS1202で、ユーザのログインの認証に成功したと判定されているので、ステップS1206において、判断装置202は、ユーザのシステムへのログインを許可する。
一方、前述したように、ステップS1202で、ユーザのログインの認証に失敗したと判定されている場合には、ステップS1207に遷移する。ステップS1207に遷移すると、判断装置202は、ユーザのシステムへのログインを拒否する。
以上のように本実施形態では、ユーザにより入力されたアカウント名に対応するハッシュ値として、変更前のハッシュ関数(MD5)により得られたハッシュ値が記憶されている場合、ユーザにより入力されたパスワードからMD5を用いてハッシュ値を算出する。そして、算出したハッシュ値と既に記憶されているハッシュ値とが一致するか否かを判定する。この判定の結果、これらのハッシュ値が一致する場合には、記憶されているハッシュ値を削除すると共に、ユーザにより入力されたパスワードから、変更後のハッシュ関数r(SHA−1)を用いてハッシュ値を新たに算出する。そして、新たに算出したハッシュ値をそのユーザのパスワードのハッシュ値として新たに記憶する。したがって、ハッシュ関数を変更しても、パスワードを変更する必要がなくなる。よって、パスワードのハッシュ値を保存して認証を行うシステムのハッシュアルゴリズム(ハッシュ関数)の変更を、システム管理者の負担を増やすことなく、且つユーザに意識させることなく実施することが可能となる。
尚、本実施形態では、ネットワーク150に接続された図示しないデバイス(印刷装置等)を管理する装置を例に挙げて説明したが、必ずしもこのような装置でなくていもよい。
尚、本実施形態では、ネットワーク150に接続された図示しないデバイス(印刷装置等)を管理する装置を例に挙げて説明したが、必ずしもこのような装置でなくていもよい。
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。前述した第1の実施形態では、2つのハッシュ関数(MD5、SHA−1)のみを使用する場合を例に挙げて説明した。これに対し、本実施形態では、使用するハッシュ関数を追加する場合について説明する。このように本実施形態は、前述した第1の実施形態に対し、使用するハッシュ関数を追加する構成が付加されたものである。したがって、本実施形態の説明において、前述した第1の実施形態と同一の部分については、図1〜図4に示した符号と同一の符号を付すこと等により、詳細な説明を省略する。
次に、本発明の第2の実施形態について説明する。前述した第1の実施形態では、2つのハッシュ関数(MD5、SHA−1)のみを使用する場合を例に挙げて説明した。これに対し、本実施形態では、使用するハッシュ関数を追加する場合について説明する。このように本実施形態は、前述した第1の実施形態に対し、使用するハッシュ関数を追加する構成が付加されたものである。したがって、本実施形態の説明において、前述した第1の実施形態と同一の部分については、図1〜図4に示した符号と同一の符号を付すこと等により、詳細な説明を省略する。
図5は、ネットワークデバイス管理装置における機能構成(サーバモジュール構成)の一例を示す図である。ネットワークデバイス管理装置400は、入力装置201、判断装置202、第1の認証装置210、第1のハッシュ演算装置211、及び第1の認証情報記憶装置212を有する。また、ネットワークデバイス管理装置400は、第2の認証装置220、第2のハッシュ演算装置221及び第2の認証情報記憶装置222を有する。更に、ネットワークデバイス管理装置400は、機能追加装置203を有する。機能追加装置203が追加の認証モジュールを受け付けることで機能追加処理を開始する。
図6は、追加の認証モジュールの構成の一例を示す図である。ソフトウェアモジュールとして構成される追加の認証モジュール413は、第2の判断装置402、第3の認証装置410、第3のハッシュ演算装置411及び第3の認証情報記憶装置412を有する。第2の判断装置402は、入力装置201で受信(取得)したアカウント名に対応する認証情報が、第1の認証情報記憶装置212、第2の認証情報記憶装置222、及び第3の認証情報記憶装置412のいずれに記憶されているかを判断するものである。
図7は、認証モジュール413を追加する際のネットワークデバイス管理装置400における動作の一例を説明するフローチャートである。尚、ここでは説明のため、第3の認証装置410、第3のハッシュ演算装置411、及び第3の認証情報記憶装置412が扱うハッシュ関数をSHA−256としている。しかしながら、追加の認証モジュールが扱うハッシュ関数は前述のものに限定されない。また、パスワードを、一方向性の不可逆的な値に変換することができれば(その値から元のパスワードに変換することができなければ)、ハッシュ(ハッシュ値、ハッシュ関数)を用いる必要もない。
まず、ステップS2001において、機能追加装置203は、追加の認証モジュール413を受信(取得)する。
次に、ステップS2002において、機能追加装置203は、ネットワークデバイス管理装置400内に判断装置202が存在するか否かを判定する。このように本実施形態では、少なくともステップS2002の処理を行うことにより、判定手段が実現される。
この判定の結果、ネットワークデバイス管理装置400内に判断装置202が存在する場合には、ステップS2003に遷移する。一方、ネットワークデバイス管理装置400内に判断装置202が存在しない場合には、ステップS2004に遷移する。
次に、ステップS2002において、機能追加装置203は、ネットワークデバイス管理装置400内に判断装置202が存在するか否かを判定する。このように本実施形態では、少なくともステップS2002の処理を行うことにより、判定手段が実現される。
この判定の結果、ネットワークデバイス管理装置400内に判断装置202が存在する場合には、ステップS2003に遷移する。一方、ネットワークデバイス管理装置400内に判断装置202が存在しない場合には、ステップS2004に遷移する。
ステップS2003に遷移すると、機能追加装置203は、ネットワークデバイス管理装置400内に存在する判断装置202を削除し、その判断装置202の代わりに第2の判断装置402をネットワークデバイス管理装置400に追加する。そして、ステップS2005に遷移する。
一方、ステップS2004に遷移すると、機能追加装置203は、ネットワークデバイス管理装置400に第2の判断装置402を追加する。そして、ステップS2005に遷移する。
一方、ステップS2004に遷移すると、機能追加装置203は、ネットワークデバイス管理装置400に第2の判断装置402を追加する。そして、ステップS2005に遷移する。
ステップS2005に遷移すると、機能追加装置203は、ネットワークデバイス管理装置400に、第3の認証装置410、第3のハッシュ演算装置411、及び第3の認証情報記憶装置412を追加する。
以上のように本実施形態では、少なくともステップS2003〜S2005の処理を行うことにより、追加手段が実現される。
以上のように本実施形態では、少なくともステップS2003〜S2005の処理を行うことにより、追加手段が実現される。
図8は、認証モジュール413が追加された後のネットワークデバイス管理装置400における機能構成(サーバモジュール構成)の一例を示す図である。
認証モジュール413が追加された後のネットワークデバイス管理装置400は、入力装置201、機能追加装置203、第1の認証装置210、及び第1のハッシュ演算装置211を備える。また、ネットワークデバイス管理装置400は、第1の認証情報記憶装置212、第2の認証装置220、第2のハッシュ演算装置221、及び第2の認証情報記憶装置222も備える。更に、ネットワークデバイス管理装置400は、第2の判断装置402、第3の認証装置410、第3のハッシュ演算装置411、及び第3の認証情報記憶装置412も備える。
認証モジュール413が追加された後のネットワークデバイス管理装置400は、入力装置201、機能追加装置203、第1の認証装置210、及び第1のハッシュ演算装置211を備える。また、ネットワークデバイス管理装置400は、第1の認証情報記憶装置212、第2の認証装置220、第2のハッシュ演算装置221、及び第2の認証情報記憶装置222も備える。更に、ネットワークデバイス管理装置400は、第2の判断装置402、第3の認証装置410、第3のハッシュ演算装置411、及び第3の認証情報記憶装置412も備える。
図8に示した例では、入力装置201が、ユーザによる操作に従って、アカウント名とパスワードとの入力を受け付けることで認証処理を開始する。尚、入力装置201が受け付けるのは必ずしもアカウント名とパスワードとの組でなくてもよい。そして、ステップS1001で受信したアカウント名に対応する認証情報が、第1の認証情報記憶装置212と第2の認証情報記憶装置222と第3の認証情報記憶装置412とのうち、何れに記憶されているかを、第2の判断装置402が判定する。
この判定の結果、ステップS1001で受信したアカウント名に対応する認証情報が、第3の認証情報記憶装置412以外の認証情報記憶装置(第1の認証情報記憶装置212、第2の認証情報記憶装置222)に記憶されている場合、例えば、次の処理を行う。すなわち、当該認証情報記憶装置(第1の認証情報記憶装置212、第2の認証情報記憶装置222)に記憶されているハッシュ値と、当該認証情報記憶装置に対応するハッシュ関数(MD5、SHA−1)を用いて算出したハッシュ値とを比較する。
そして、これらが一致しない場合には、ユーザのログインを拒否する。一方、これらが一致する場合には、ステップS1001で受信したパスワードから、SHA−256を用いてハッシュ値を算出する。そして、算出したハッシュ値と、ステップS1001で受信したアカウント名とを互いに関連付けて認証情報管理テーブル500(第3の認証情報記憶装置412)に記憶する。また、ステップS1001で受信したアカウント名と、そのアカウント名に関連付けられて記憶されている認証情報であって、認証情報記憶装置(第1の認証情報記憶装置212、第2の認証情報記憶装置222)に既に記憶されている認証情報とを削除する。
以上のようにした場合、SHA−256により、新たな一方向性関数が実現され、SHA−256を用いて算出したハッシュ値により、新たな一方向性関数に基づいて得られた新たな変換値が実現される。また、MD5を用いて算出したハッシュ値、又はSHA−1を用いて算出したハッシュ値により、第1の変換値が実現され、SHA−256を用いて算出したハッシュ値により、第2の変換値が実現される。
以上のようにした場合、SHA−256により、新たな一方向性関数が実現され、SHA−256を用いて算出したハッシュ値により、新たな一方向性関数に基づいて得られた新たな変換値が実現される。また、MD5を用いて算出したハッシュ値、又はSHA−1を用いて算出したハッシュ値により、第1の変換値が実現され、SHA−256を用いて算出したハッシュ値により、第2の変換値が実現される。
以上のように本実施形態では、認証モジュール413を機能追加装置203によりネットワークデバイス管理装置400に追加するようにした。したがって、前述した第1の実施形態で説明した効果に加え、変更するハッシュアルゴリズムを自由に設定することができるという効果を奏する。
尚、本実施形態では、認証モジュール413を追加する前に、ハッシュ関数による認証を行うモジュール(認証装置、ハッシュ演算装置、及び認証情報記憶装置)が既に2つ存在する場合を例に挙げて示した。しかしながら、認証モジュール413を追加する前に存在しているモジュールの数は、1つであっても、0(ゼロ)であっても、3つ以上であってもよく、2つに限定されない。
尚、本実施形態では、認証モジュール413を追加する前に、ハッシュ関数による認証を行うモジュール(認証装置、ハッシュ演算装置、及び認証情報記憶装置)が既に2つ存在する場合を例に挙げて示した。しかしながら、認証モジュール413を追加する前に存在しているモジュールの数は、1つであっても、0(ゼロ)であっても、3つ以上であってもよく、2つに限定されない。
(第3の実施形態)
次に、本発明の第3の実施形態を説明する。前述した第1及び第2の実施形態では、ユーザによる入力があってから、パスワードのハッシュ値を更新するようにする場合を例に挙げて説明した。これに対し、本実施形態では、パスワードのハッシュ値を自動的に更新する場合を説明する。このように本実施形態と、前述した第1及び第2の実施形態とでは、パスワードのハッシュ値を更新する際の動作の一部が主として異なる。したがって、本実施形態の説明において、前述した第1の実施形態と同一の部分については、図1〜図8に示した符号と同一の符号を付すこと等により、詳細な説明を省略する。尚、ここでは説明のため、ネットワークデバイス管理装置が、図2に示した構成を有している場合を例に挙げて説明するが、ネットワークデバイス管理装置は、図2に示した構成を有していなくてもよく、例えば図8に示した構成を有していてもよい。
次に、本発明の第3の実施形態を説明する。前述した第1及び第2の実施形態では、ユーザによる入力があってから、パスワードのハッシュ値を更新するようにする場合を例に挙げて説明した。これに対し、本実施形態では、パスワードのハッシュ値を自動的に更新する場合を説明する。このように本実施形態と、前述した第1及び第2の実施形態とでは、パスワードのハッシュ値を更新する際の動作の一部が主として異なる。したがって、本実施形態の説明において、前述した第1の実施形態と同一の部分については、図1〜図8に示した符号と同一の符号を付すこと等により、詳細な説明を省略する。尚、ここでは説明のため、ネットワークデバイス管理装置が、図2に示した構成を有している場合を例に挙げて説明するが、ネットワークデバイス管理装置は、図2に示した構成を有していなくてもよく、例えば図8に示した構成を有していてもよい。
まず、判断装置202は、第1の認証情報記憶装置212の認証情報管理テーブル500において、所定時間変更がないハッシュ値を検索する。そして、第1の認証情報記憶装置212は、所定時間変更がないハッシュ値と、そのハッシュ値に対応するアカウント名とを認証情報管理テーブル500から削除する。そして、第2のハッシュ演算装置221は、ランダムで文字列を生成し、生成した文字列から、SHA−1を用いてハッシュ値を算出する。そして、第2の認証情報記憶装置222は、そのハッシュ値と、第1の認証情報記憶装置212の認証情報管理テーブル500から削除したアカウント名とを互いに関連付けて認証情報管理テーブル500に記憶する。そして、例えば、ユーザにより所定の操作がなされたことを入力装置201が受け付けると、前述した文字列をパスワードとして表示する等してユーザに報知する。
以上のように本実施形態では、パスワードのハッシュ値を自動的に更新するようにした。したがって、前述した第1及び第2の実施形態で説明した効果に加え、ハッシュアルゴリズムに対する攻撃を受ける可能性をより低減することができるという効果を奏する。
尚、本実施形態のように、パスワードのハッシュ値を自動的に更新することと、前述した第1及び第2の実施形態のように、ユーザによる入力に基づいてパスワードのハッシュ値を更新することとを組み合わせてもよい。また、本実施形態のように、パスワードのハッシュ値を自動的に更新することを単独で行ってもよい。
また、所定時間変更がないハッシュ値と、そのハッシュ値に対応するアカウント名とを認証情報管理テーブル500から削除した後、パスワードのハッシュ値を更新しないようにしてもよい(ランダムな文字列に基づく新たなハッシュ値を生成しなくてもよい)。このようにするだけでも、ハッシュアルゴリズムに対する攻撃を受ける可能性を低減することができる。
尚、本実施形態のように、パスワードのハッシュ値を自動的に更新することと、前述した第1及び第2の実施形態のように、ユーザによる入力に基づいてパスワードのハッシュ値を更新することとを組み合わせてもよい。また、本実施形態のように、パスワードのハッシュ値を自動的に更新することを単独で行ってもよい。
また、所定時間変更がないハッシュ値と、そのハッシュ値に対応するアカウント名とを認証情報管理テーブル500から削除した後、パスワードのハッシュ値を更新しないようにしてもよい(ランダムな文字列に基づく新たなハッシュ値を生成しなくてもよい)。このようにするだけでも、ハッシュアルゴリズムに対する攻撃を受ける可能性を低減することができる。
(本発明の他の実施形態)
前述した本発明の実施形態における情報処理装置を構成する各手段、並びに認証方法の各ステップは、コンピュータのRAMやROMなどに記憶されたプログラムが動作することによって実現できる。このプログラム及び前記プログラムを記録したコンピュータ読み取り可能な記録媒体は本発明に含まれる。
前述した本発明の実施形態における情報処理装置を構成する各手段、並びに認証方法の各ステップは、コンピュータのRAMやROMなどに記憶されたプログラムが動作することによって実現できる。このプログラム及び前記プログラムを記録したコンピュータ読み取り可能な記録媒体は本発明に含まれる。
また、本発明は、例えば、システム、装置、方法、プログラム若しくは記憶媒体等としての実施形態も可能であり、具体的には、複数の機器から構成されるシステムに適用してもよいし、また、一つの機器からなる装置に適用してもよい。
尚、本発明は、前述した実施形態の機能を実現するソフトウェアのプログラム(実施形態では図3、図7に示すフローチャートに対応したプログラム)を、システムあるいは装置に直接、あるいは遠隔から供給する。そして、そのシステムあるいは装置のコンピュータが前記供給されたプログラムコードを読み出して実行することによっても達成される場合を含む。
したがって、本発明の機能処理をコンピュータで実現するために、前記コンピュータにインストールされるプログラムコード自体も本発明を実現するものである。つまり、本発明は、本発明の機能処理を実現するためのコンピュータプログラム自体も含まれる。
その場合、プログラムの機能を有していれば、オブジェクトコード、インタプリタにより実行されるプログラム、OSに供給するスクリプトデータ等の形態であってもよい。
プログラムを供給するための記録媒体としては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、MO、CD−ROM、CD−R、CD−RWなどがある。また、磁気テープ、不揮発性のメモリカード、ROM、DVD(DVD−ROM,DVD−R)などもある。
その他、プログラムの供給方法としては、クライアントコンピュータのブラウザを用いてインターネットのホームページに接続する。そして、前記ホームページから本発明のコンピュータプログラムそのもの、若しくは圧縮され自動インストール機能を含むファイルをハードディスク等の記録媒体にダウンロードすることによっても供給できる。
また、本発明のプログラムを構成するプログラムコードを複数のファイルに分割し、それぞれのファイルを異なるホームページからダウンロードすることによっても実現可能である。つまり、本発明の機能処理をコンピュータで実現するためのプログラムファイルを複数のユーザに対してダウンロードさせるWWWサーバも、本発明に含まれるものである。
また、本発明のプログラムを暗号化してCD−ROM等の記憶媒体に格納してユーザに配布し、所定の条件をクリアしたユーザに対し、インターネットを介してホームページから暗号化を解く鍵情報をダウンロードさせる。そして、ダウンロードした鍵情報を使用することにより暗号化されたプログラムを実行してコンピュータにインストールさせて実現することも可能である。
また、コンピュータが、読み出したプログラムを実行することによって、前述した実施形態の機能が実現される。その他、そのプログラムの指示に基づき、コンピュータ上で稼動しているOSなどが、実際の処理の一部又は全部を行い、その処理によっても前述した実施形態の機能が実現され得る。
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれる。その後、そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によっても前述した実施形態の機能が実現される。
尚、前述した各実施形態は、何れも本発明を実施するにあたっての具体化の例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその技術思想、又はその主要な特徴から逸脱することなく、様々な形で実施することができる。
100、400 ネットワークデバイス管理装置
201 入力装置
202 判断装置
203 機能追加装置
210 第1の認証装置
211 第1のハッシュ演算装置
212 第1の認証情報記憶装置
220 第2の認証装置
221 第2のハッシュ演算装置
222 第2の認証情報記憶装置
402 第2の判断装置
410 第3の認証装置
411 第3のハッシュ演算装置
412 第3の認証情報記憶装置
413 追加の認証モジュール
500 認証情報管理テーブル
201 入力装置
202 判断装置
203 機能追加装置
210 第1の認証装置
211 第1のハッシュ演算装置
212 第1の認証情報記憶装置
220 第2の認証装置
221 第2のハッシュ演算装置
222 第2の認証情報記憶装置
402 第2の判断装置
410 第3の認証装置
411 第3のハッシュ演算装置
412 第3の認証情報記憶装置
413 追加の認証モジュール
500 認証情報管理テーブル
Claims (6)
- ユーザのアカウント、および認証情報を取得する取得手段と、
前記取得手段により取得されたユーザの認証情報を、第1の一方向性関数に基づいて第1の変換値に変換する第1の変換手段と、
前記取得手段により取得されたユーザの認証情報を、第2の一方向性関数に基づいて第2の変換値に変換する第2の変換手段と、
前記ユーザのアカウントと、前記第1の変換手段により得られた第1の変換値、前記第2の変換手段により得られた第2の変換値と、を関連付けて記憶する記憶手段と、
前記取得手段により取得された認証情報を前記第1の変換手段、または前記第2の変換手段により変換された変換値と、既に前記記憶手段により記憶されている変換値と、を比較して前記ユーザの認証を行う認証手段と、を有し、
更に、前記取得手段によりユーザのアカウント、および認証情報が取得された際に、前記ユーザが前記第1の一方向性関数を使用する必要があるユーザである場合は、前記第1の変換手段による前記認証情報の変換を行い、前記認証手段による前記第1の変換値に基づいた認証を行うとともに、前記第2の変換手段による前記認証情報の変換を行い前記第2の変換値を前記記憶手段に記憶させ、
前記ユーザが前記第1の一方向性関数を使用する必要がないユーザである場合は、前記第1の変換手段を用いず、前記第2の変換手段による前記認証情報の変換を行い、前記認証手段による前記第2の変換値に基づいた認証を行うよう制御する制御手段を有することを特徴とする情報処理装置。 - 前記制御手段は、前記記憶手段に記憶されている第1の変換値が所定時間変更されていない場合、前記第2の一方向性関数に基づく第2の変換値を得るとともに当該第1の変換値を当該第2の変換値に更新することを特徴とする請求項1に記載の情報処理装置。
- ユーザのアカウント、および認証情報を取得する取得ステップと、
前記取得ステップにより取得されたユーザの認証情報を、第1の一方向性関数に基づいて第1の変換値に変換する第1の変換ステップと、
前記取得ステップにより取得されたユーザの認証情報を、第2の一方向性関数に基づいて第2の変換値に変換する第2の変換ステップと、
前記ユーザのアカウントと、前記第1の変換ステップにより得られた第1の変換値、前記第2の変換ステップにより得られた第2の変換値と、を関連付けて記憶手段に記憶する記憶ステップと、
前記取得ステップにより取得された認証情報を前記第1の変換ステップ、または前記第2の変換ステップにより変換された変換値と、既に前記記憶ステップにより記憶されている変換値と、を比較して前記ユーザの認証を行う認証ステップと、を有し、
更に、前記取得ステップによりユーザのアカウント、および認証情報が取得された際に、前記ユーザが前記第1の一方向性関数を使用する必要があるユーザである場合は、前記第1の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第1の変換値に基づいた認証を行うとともに、前記第2の変換ステップによる前記認証情報の変換を行い前記第2の変換値を前記記憶手段に記憶させ、
前記ユーザが前記第1の一方向性関数を使用する必要がないユーザである場合は、前記第1の変換ステップを行わず、前記第2の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第2の変換値に基づいた認証を行うよう制御する制御ステップを有することを特徴とする認証方法。 - 前記制御ステップは、前記記憶手段に記憶されている第1の変換値が所定時間変更されていない場合、前記第2の一方向性関数に基づく第2の変換値を得るとともに当該第1の変換値を当該第2の変換値に更新することを特徴とする請求項3に記載の認証方法。
- ユーザのアカウント、および認証情報を取得する取得ステップと、
前記取得ステップにより取得されたユーザの認証情報を、第1の一方向性関数に基づいて第1の変換値に変換する第1の変換ステップと、
前記取得ステップにより取得されたユーザの認証情報を、第2の一方向性関数に基づいて第2の変換値に変換する第2の変換ステップと、
前記ユーザのアカウントと、前記第1の変換ステップにより得られた第1の変換値、前記第2の変換ステップにより得られた第2の変換値と、を関連付けて記憶手段に記憶する記憶ステップと、
前記取得ステップにより取得された認証情報を前記第1の変換ステップ、または前記第2の変換ステップにより変換された変換値と、既に前記記憶ステップにより記憶されている変換値と、を比較して前記ユーザの認証を行う認証ステップと、をコンピュータに実行させ、
更に、前記取得ステップによりユーザのアカウント、および認証情報が取得された際に、前記ユーザが前記第1の一方向性関数を使用する必要があるユーザである場合は、前記第1の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第1の変換値に基づいた認証を行うとともに、前記第2の変換ステップによる前記認証情報の変換を行い前記第2の変換値を前記記憶手段に記憶させ、
前記ユーザが前記第1の一方向性関数を使用する必要がないユーザである場合は、前記第1の変換ステップを行わず、前記第2の変換ステップによる前記認証情報の変換を行い、前記認証ステップによる前記第2の変換値に基づいた認証を行うよう制御する制御ステップをコンピュータに実行させることを特徴とするコンピュータプログラム。 - 前記制御ステップは、前記記憶手段に記憶されている第1の変換値が所定時間変更されていない場合、前記第2の一方向性関数に基づく第2の変換値を得るとともに当該第1の変換値を当該第2の変換値に更新することを特徴とする請求項5に記載のコンピュータプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007262180A JP5153284B2 (ja) | 2007-10-05 | 2007-10-05 | 情報処理装置、認証方法、及びコンピュータプログラム |
| US12/245,259 US8266440B2 (en) | 2007-10-05 | 2008-10-03 | Information processing apparatus and authentication information migration method |
| US13/567,984 US8738920B2 (en) | 2007-10-05 | 2012-08-06 | Information processing apparatus and authentication information migration method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007262180A JP5153284B2 (ja) | 2007-10-05 | 2007-10-05 | 情報処理装置、認証方法、及びコンピュータプログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012260972A Division JP5460832B2 (ja) | 2012-11-29 | 2012-11-29 | 情報処理装置、認証方法、及びコンピュータプログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2009093342A JP2009093342A (ja) | 2009-04-30 |
| JP2009093342A5 JP2009093342A5 (ja) | 2010-11-18 |
| JP5153284B2 true JP5153284B2 (ja) | 2013-02-27 |
Family
ID=40524323
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007262180A Active JP5153284B2 (ja) | 2007-10-05 | 2007-10-05 | 情報処理装置、認証方法、及びコンピュータプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US8266440B2 (ja) |
| JP (1) | JP5153284B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011243093A (ja) | 2010-05-20 | 2011-12-01 | Canon Inc | 情報処理装置、ユーザ認証方法、及びコンピュータプログラム |
| US8640212B2 (en) * | 2010-05-27 | 2014-01-28 | Red Hat, Inc. | Securing passwords with CAPTCHA based hash when used over the web |
| US8856896B1 (en) * | 2011-06-24 | 2014-10-07 | Amazon Technologies, Inc. | Transparently updating user credentials |
| KR101318703B1 (ko) | 2011-08-04 | 2013-10-16 | 김경숙 | 숫자 또는 그래픽 키 패드를 이용한 보안 인증 장치 및 그 방법 |
| CN104580118B (zh) * | 2013-10-28 | 2018-08-17 | 深圳市腾讯计算机系统有限公司 | 一种密码修改方式的推荐方法及装置 |
| JP6298288B2 (ja) * | 2013-12-20 | 2018-03-20 | キヤノン株式会社 | 情報処理装置、情報処理方法、及びプログラム |
| US9569610B2 (en) | 2014-03-28 | 2017-02-14 | International Business Machines Corporation | Managing a password |
| US10412077B2 (en) | 2016-03-21 | 2019-09-10 | Ca, Inc. | Identity authentication migration between different authentication systems |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3385977B2 (ja) * | 1998-09-07 | 2003-03-10 | 日本電気株式会社 | パスワード認証装置および認証方法及びその認証方法を実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2001023300A (ja) * | 1999-07-09 | 2001-01-26 | Fujitsu Ltd | 記憶装置、記録媒体のアクセス制御装置および記録媒体のアクセス制御方法 |
| JP2001084271A (ja) | 1999-09-16 | 2001-03-30 | Canon Inc | 情報検索装置及びそのアルゴリズム更新方法及びコンピュータ読み取り可能な記憶媒体 |
| JP2001209614A (ja) | 2000-01-25 | 2001-08-03 | Nec Corp | 認証システムおよびその方法 |
| JP4511684B2 (ja) * | 2000-05-16 | 2010-07-28 | 日本電気株式会社 | バイオメトリクス本人確認サービス提供システム |
| US20020095588A1 (en) * | 2001-01-12 | 2002-07-18 | Satoshi Shigematsu | Authentication token and authentication system |
| DE10111756A1 (de) * | 2001-03-12 | 2002-11-14 | Infineon Technologies Ag | Verfahren zur Authentikation |
| AU2002323169A1 (en) | 2002-04-05 | 2003-10-27 | Ipass, Inc. | Method and system for changing security information in a computer network |
| JP2003333038A (ja) * | 2002-05-15 | 2003-11-21 | Sogo Keibi Hosho Co Ltd | 電子検証装置、電子検証方法およびその方法をコンピュータに実行させるプログラム |
| JP2004021491A (ja) * | 2002-06-14 | 2004-01-22 | Canon Inc | 生体パターン認証装置、生体パターン認証方法及びこの方法を記述したプログラム |
| US7389419B2 (en) * | 2003-12-10 | 2008-06-17 | International Business Machines Corporation | Methods for supplying cryptographic algorithm constants to a storage-constrained target |
| JP4541740B2 (ja) | 2004-03-26 | 2010-09-08 | セイコーインスツル株式会社 | 認証用鍵の更新システム、および認証用鍵の更新方法 |
| US8139571B2 (en) * | 2004-04-14 | 2012-03-20 | Rockstar Bidco, LP | Mobile IPv6 authentication and authorization baseline |
| ATE373840T1 (de) * | 2004-08-27 | 2007-10-15 | Research In Motion Ltd | Benutzerdefinierte passwörter mit eindeutigem versionsdatum, um dem benutzer zu helfen, sich sein passwort zu merken |
-
2007
- 2007-10-05 JP JP2007262180A patent/JP5153284B2/ja active Active
-
2008
- 2008-10-03 US US12/245,259 patent/US8266440B2/en not_active Expired - Fee Related
-
2012
- 2012-08-06 US US13/567,984 patent/US8738920B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US8266440B2 (en) | 2012-09-11 |
| US20090094461A1 (en) | 2009-04-09 |
| US20120311700A1 (en) | 2012-12-06 |
| JP2009093342A (ja) | 2009-04-30 |
| US8738920B2 (en) | 2014-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5153284B2 (ja) | 情報処理装置、認証方法、及びコンピュータプログラム | |
| US9401913B2 (en) | Updating stored passwords | |
| EP3500972B1 (en) | Protection feature for data stored at storage service | |
| TWI667586B (zh) | 用以核對uefi認證變量變化之系統及方法 | |
| EP2248298B1 (en) | Secure and usable protection of a roamable credentials store | |
| JP5620781B2 (ja) | 情報処理装置、その制御方法、及びプログラム | |
| US8191127B2 (en) | Information processing apparatus and method | |
| US8365245B2 (en) | Previous password based authentication | |
| JP2005167589A (ja) | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム | |
| KR101580514B1 (ko) | 시드 키를 이용한 패스워드 관리방법, 패스워드 관리장치 및 이를 적용한 컴퓨터로 읽을 수 있는 기록매체 | |
| JP2006268449A (ja) | 計算機システム及び記憶装置とコンピュータ・ソフトウエア並びにストレージ制御における管理者の認証方法 | |
| JP4684714B2 (ja) | ファイル管理システム、及びプログラム | |
| JP4587688B2 (ja) | 暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法 | |
| JP5460832B2 (ja) | 情報処理装置、認証方法、及びコンピュータプログラム | |
| WO2021245786A1 (ja) | パスワード認証装置、パスワード認証方法、及びパスワード認証プログラム | |
| JP2008226146A (ja) | 情報処理装置と情報処理装置のデータ転送方法 | |
| JP2010033562A (ja) | 通信端末、認証情報生成装置、認証システム、認証情報生成プログラム、認証情報生成方法および認証方法 | |
| US7272722B2 (en) | Method for industrially changing the passwords of AIX/UNIX users | |
| US20230103698A1 (en) | Information processing apparatus and control method therefor | |
| JP5511449B2 (ja) | 情報処理装置、情報処理装置の認証方法及びプログラム | |
| KR102424873B1 (ko) | 비밀번호 및 행동 패턴을 이용한 멀티 팩터 인증 시스템 및 방법 | |
| JP2007329731A (ja) | 証明書更新方法、システム及びプログラム | |
| JP2014203362A (ja) | ストレージ装置及びストレージ制御方法 | |
| JP4376960B1 (ja) | ファイル格納システム及びサーバ装置 | |
| JP2007012022A (ja) | セキュリティプログラム及びセキュリティシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101004 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101004 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120718 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120731 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120914 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121106 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121204 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151214 Year of fee payment: 3 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5153284 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151214 Year of fee payment: 3 |