JP5429912B2 - 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム - Google Patents

認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム Download PDF

Info

Publication number
JP5429912B2
JP5429912B2 JP2012548721A JP2012548721A JP5429912B2 JP 5429912 B2 JP5429912 B2 JP 5429912B2 JP 2012548721 A JP2012548721 A JP 2012548721A JP 2012548721 A JP2012548721 A JP 2012548721A JP 5429912 B2 JP5429912 B2 JP 5429912B2
Authority
JP
Japan
Prior art keywords
login information
terminal
authentication
hash value
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012548721A
Other languages
English (en)
Other versions
JPWO2012081404A1 (ja
Inventor
伸介 吉垣
幸治 塩谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Software Kyushu Ltd
Original Assignee
NEC Software Kyushu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Software Kyushu Ltd filed Critical NEC Software Kyushu Ltd
Priority to JP2012548721A priority Critical patent/JP5429912B2/ja
Application granted granted Critical
Publication of JP5429912B2 publication Critical patent/JP5429912B2/ja
Publication of JPWO2012081404A1 publication Critical patent/JPWO2012081404A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、クラウドコンピューティングに用いられる、認証システム、認証サーバ、サービス提供サーバ、認証方法、及びこれらを実現するためのプログラムに関する。
近年、「クラウドコンピューティング」と呼ばれるコンピュータの利用形態が増加している。クラウドコンピューティングでは、ユーザに対して、インターネットの向こう側から、各種アプリケーションサービス、サーバなどのハードウェアリーソースが、提供される。
ユーザは、インターネットに接続できる環境にあれば、クラウドコンピューティングが提供するサービス(クラウドコンピューティング・サービス)を受けることができ、その際、サービスインフラを意識する必要がない。特許文献1は、クラウドコンピューティング・サービスを提供するシステム(以下「クラウドシステム」という。)を開示している。
特許文献1に開示されたクラウドシステムは、認証サーバと、複数のサービス提供サーバとを備えている。特許文献1に開示されたクラウドシステムによれば、ユーザは、一度ログインを行うと、各サーバを意識することなく、各サービス提供サーバが提供するサービスを受けることができる。以下に説明する。
先ず、ユーザが、ログインを行うと、認証サーバによる認証処理が行われる。具体的には、ユーザは、端末を用いてサービス要求を示す依頼文を作成し、これを暗号化した後、認証サーバに送信する。そして、認証サーバは、ユーザの端末のIDを復号鍵とする復号化処理を行い、復号化できた場合に、端末からのログインを認める。次に、認証サーバは、ユーザによるログインを認めた場合は、ツアーの予約サービスを提供するサーバ(以下「ツアー予約サーバ」とする。)を呼び出す。
呼び出されたツアー予約サーバは、ユーザの画面に、ツアー予約画面を表示させ、予約を行わせる。そして、ユーザが予約を行うと、ツアー予約サーバは、ホテルの予約サービスを提供するサーバ、及びレストランの予約サービスを提供するサーバを呼び出し、ホテル及びレストランの予約を行わせる。このように、ユーザは、一度のログインで各サービスを受けることができる。
また、企業では、クラウドコンピューティングの導入により、導入しない場合に比べて、極めて短期間で、しかも低コストで、必要な環境を整えることができる。このため、クラウドコンピューティングの導入は企業においても増加している。
特開2010−191801号公報
ところで、企業では、他社に管理されたくないデータについては、自社で管理を行う必要があるため、セキュリティを確保しつつ、企業内システムとクラウドシステムとを連携させる必要がある。例えば、特許文献1に開示された技術を利用し、認証サーバによる認証が行われた場合に、クラウドシステムから企業内システムへのアクセスが許可される仕組みとすることが考えられる。
しかしながら、特許文献1に開示されたクラウドシステムでは、認証の際の復号鍵として、ユーザの端末のIDが利用されており、企業内システムのセキュリティとしては不十分である。また、認証サーバが企業の外に存在することからも、企業内システムとクラウドシステムとを連携させる場合は、セキュリティが十分に確保されたシステムとすることが求められている。
本発明の目的の一例は、上記問題を解消し、認証サーバと、サービスを提供するサーバとの間のセキュリティを高め得る、認証システム、それに用いられる認証サーバ、サービス提供サーバ、認証方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面における認証システムは、ユーザに対して端末を介して認証を行う認証サーバと、前記ユーザに前記端末を介してサービスを提供するサービス提供サーバとを備え、
前記認証サーバは、前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させ、そして、入力された前記ログイン情報を前記サービス提供サーバに送信すると共に、前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出し、
前記サービス提供サーバは、前記認証サーバから送信された前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定し、一致している場合に、前記ハッシュ関数と同一のハッシュ関数を用いて、前記ログイン情報から第2のハッシュ値を算出し、
前記第1のハッシュ値と前記第2のハッシュ値とが一致する場合に、前記認証サーバが前記端末との間でセッションを確立する、
ことを特徴とする。
上記目的を達成するため、本発明の一側面における認証サーバは、サービス提供サーバにサービスの提供を求めるユーザに対して端末を介して認証を行う認証サーバであって、
前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させる、情報入力部と、
入力された前記ログイン情報を前記サービス提供サーバに送信する、送信部と、
前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ハッシュ処理部と、
前記端末との間にセッションを確立する、セッション確立部とを備え、
前記ハッシュ処理部は、
前記サービス提供サーバが、送信された前記ログイン情報に基づいて、それが予め登録されている情報と一致していることを条件に、前記ハッシュ関数と同一のハッシュ関数を用いて、第2のハッシュ値を算出すると、
前記第1のハッシュ値と前記第2のハッシュ値とが一致しているかどうかを判定し、
前記セッション確立部は、前記セッション処理部が一致していると判定する場合に、前記セッションを確立する、
ことを特徴とする。
上記目的を達成するため、本発明の一側面におけるサービス提供サーバは、認証サーバが端末との間にセッションを確立した場合に、前記端末を介してユーザにサービスを提供するサービス提供サーバであって、
前記認証サーバから、前記端末を介して入力されたログイン情報が送信されると、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定する、ログイン情報判定部と、
前記ログイン情報判定部が一致していると判定した場合に、前記ログイン情報からハッシュ関数を用いてハッシュ値を算出する、ハッシュ値算出部と、
前記認証サーバによって、それが前記ハッシュ関数と同一のハッシュ関数を用いて前記ログイン情報から算出したハッシュ値と、前記ハッシュ値算出部が算出したハッシュ値とが一致することを条件にして、前記端末との間にセッションが確立されると、前記端末を介して前記ユーザにサービスを提供する、サービス提供部と、を備えている、
ことを特徴とする。
上記目的を達成するため、本発明の一側面における認証方法は、ユーザに対して端末を介して認証を行う認証サーバと、前記ユーザに前記端末を介してサービスを提供するサービス提供サーバとを用いる認証方法であって、
(a)前記ユーザが前記端末を介して前記認証を要求すると、前記認証サーバが、前記ユーザに前記端末を介してログイン情報を入力させる、ステップと、
(b)前記認証サーバが、入力された前記ログイン情報を前記サービス提供サーバに送信する、ステップと、
(c)前記認証サーバが、入力された前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ステップと、
(d)前記サービス提供サーバが、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定し、一致している場合に、前記ハッシュ関数と同一のハッシュ関数を用いて、前記ログイン情報から第2のハッシュ値を算出する、ステップと、
(e)前記認証サーバが、前記(c)のステップで算出された前記第1のハッシュ値と前記(d)のステップで算出された前記第2のハッシュ値とが一致する場合に、前記端末との間でセッションを確立する、ステップと、を有することを特徴とする。
上記目的を達成するため、本発明の一側面における第1のプログラムは、サービス提供サーバにサービスの提供を求めるユーザに対する、端末を介した認証を、コンピュータによって行うための、プログラムであって、
前記コンピュータに、
(a)前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させる、ステップと、
(b)前記(a)のステップで入力された前記ログイン情報を前記サービス提供サーバに送信する、ステップと、
(c)前記(a)のステップで入力された前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ステップと、
(d)前記サービス提供サーバが、送信された前記ログイン情報に基づいて、それが予め登録されている情報と一致していることを条件に、前記ハッシュ関数と同一のハッシュ関数を用いて、第2のハッシュ値を算出すると、前記(c)のステップで算出した前記第1のハッシュ値と前記サービス提供サーバが算出した前記第2のハッシュ値とが一致しているかどうかを判定する、ステップと、
(e)前記(d)のステップで一致していると判定する場合に、前記端末との間にセッションを確立する、ステップと、
を実行させる、ことを特徴とする。
上記目的を達成するため、本発明の一側面における第2のプログラムは、認証サーバが端末との間にセッションを確立した場合に、コンピュータによって、前記端末を介してユーザにサービスを提供するための、プログラムであって、
前記コンピュータに、
(a)前記認証サーバから、前記端末を介して入力されたログイン情報が送信されると、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定する、ステップと、
(b)前記(a)のステップで一致していると判定した場合に、前記ログイン情報からハッシュ関数を用いてハッシュ値を算出する、ステップと、
(c)前記認証サーバが、それが前記ハッシュ関数と同一のハッシュ関数を用いて前記ログイン情報から算出したハッシュ値と、前記(b)のステップで算出されたハッシュ値とが一致することを条件にして、前記端末との間にセッションを確立すると、前記端末を介して前記ユーザにサービスを提供する、ステップと、
を実行させる、ことを特徴とする。
以上の特徴により、本発明によれば、認証サーバと、サービスを提供するサーバとの間のセキュリティを高めることができる。
図1は、本発明の実施の形態における認証システム、認証サーバ、及びサービス提供サーバの構成を示すブロック図である。 図2は、本実施の形態で用いられる、サービスID、ユーザID、及びセッションIDを紐付けて管理するテーブルの一例を示す図である。 図3は、本実施の形態で用いられる、ユーザID、パスワード、及び別のIDを管理するテーブルの一例を示す図である。 図4は、本実施の形態における認証サーバの動作を示すフロー図である。 図5は、本実施の形態におけるサービス提供用サーバの動作を示すフロー図である。 図6は、本発明の実施の形態における認証サーバ及びサービス提供サーバを実現するコンピュータの一例を示すブロック図である。
(実施の形態)
以下、本発明の実施の形態における、認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラムについて、図1〜図4を参照しながら説明する。
[システム構成]
最初に、本実施の形態における、認証システム、認証サーバ及びサービス提供サーバの構成について図1〜図3を用いて説明する。図1は、図1は、本発明の実施の形態における認証システム、認証サーバ、及びサービス提供サーバの構成を示すブロック図である。
図1に示すように、本実施の形態における認証システム100は、認証サーバ10と、サービス提供サーバ20とを備えている。認証サーバ10とサービス提供サーバ20とは、互いに、インターネットなどのネットワーク(図1において図示せず)を介して接続されている。また、認証サーバ10には、ネットワークを介して、ユーザの端末30が接続される。なお、図1の例では、単一の端末30のみが図示されているが、本実施の形態において端末の数は限定されるものではない。
また、図1に示すように、認証サーバ10は、情報入力部11と、送信部12と、ハッシュ処理部13と、セッション確立部14とを備えている。認証サーバ10は、このような構成により、サービス提供サーバ20にサービスの提供を求めるユーザに対して端末30を介して認証を行う。
情報入力部11は、ユーザが端末30を介して認証を要求すると、ユーザに端末30を介してログイン情報を入力させる。本実施の形態では、情報入力部11は、端末30の表示画面にログインページ31を表示させ、ユーザに、ログインページ31上で、ログイン情報として、ユーザの識別子(ユーザID)とパスワードとを入力させる。
送信部12は、入力されたログイン情報をサービス提供サーバ20に送信する。ハッシュ処理部13は、ログイン情報から、ハッシュ関数を用いて第1のハッシュ値を算出する。そして、ログイン情報がサービス提供サーバ20に送信された後、後述するように、サービス提供サーバ20が、第2のハッシュ値を算出すると、ハッシュ処理部13は、それ自身が算出した第1のハッシュ値と第2のハッシュ値とが一致しているかどうかを判定する。
ハッシュ処理部13が、第1のハッシュ値と第2のハッシュ値とが一致していると判定すると、セッション確立部14は、セッションIDを発行し、端末30との間にセッションを確立する。また、セッション確立部14は、セッションIDを端末30に送信する。端末30は、セッションIDを用いることで、サービス提供サーバ20からサービスを受けることができる。
また、図1に示すように、サービス提供サーバ20は、ログイン情報判定部21と、ハッシュ値算出部22と、サービス提供部23とを備えている。サービス提供サーバ20は、このような構成により、認証サーバ10が端末30との間にセッションを確立すると、端末30を介してユーザにサービスを提供する。
ログイン情報判定部21は、認証サーバ10から、端末30を介して入力されたログイン情報が送信されると、ログイン情報が、予め登録されている情報と一致しているかどうかを判定する。
ハッシュ値算出部22は、ログイン情報判定部21が一致していると判定した場合に、ログイン情報からハッシュ関数を用いて第2のハッシュ値を算出する。なお、第1のハッシュ値の算出に用いられたハッシュ関数と、第2のハッシュ値の算出に用いられたハッシュ関数とは、同一のハッシュ関数であれば良い。本実施の形態において、用いられるハッシュ関数は特に限定されるものではない。
サービス提供部23は、認証サーバ10のセッション確立部14が、第1のハッシュ値と第2のハッシュ値とが一致することを条件に、端末30との間にセッションを確立すると、端末30を介してユーザにサービスを提供する。提供されるサービスの例としては、在庫管理情報、社内情報といった各種情報の情報提供サービスなどが挙げられる。
以上のように、本実施の形態における認証システム100では、認証サーバ10及びサービス提供サーバ20のそれぞれにおいて、別々に、ログイン情報に基づいてハッシュ値が算出される。そして、両者のハッシュ値が一致して初めて、端末30は、サービス提供サーバ20から、サービスを受けることができる。従って、本実施の形態によれば、認証サーバ10と、サービス提供サーバ20との間のセキュリティの向上が図られる。
ここで、図1に加えて図2及び図3を用いて、本実施の形態における認証システム100、認証サーバ10、及びサービス提供サーバ20の構成を更に具体的に説明する。
まず、本実施の形態において、ユーザが利用する端末30は、パーソナルコンピュータ、携帯電話、スマートフォンといった通信機能を備えた情報機器であれば良く、特に限定されるものではない。更に、以下の説明では、サービス提供サーバ20は、企業の社内サーバ(例えばA社のサーバ)であり、認証サーバ10はクラウドコンピューティングを行うサーバ(A社とは別の企業が提供するサーバ)であるとする。ユーザは、A社の社員であるとする。
また、図1に示すように、本実施の形態では、認証サーバ10は、記憶部15を備えており、情報入力部11は、入力されたログイン情報を記憶部15に記憶させる。ハッシュ処理部13は、記憶部15に記憶されているログイン情報から第1のハッシュ値を算出する。
そして、ハッシュ処理部13は、第1のハッシュ値を算出すると、それと同時に、またはその後に、記憶されているログイン情報を記憶部15から削除する。これは、認証サーバ10からのログイン情報の漏洩を抑制するためである。
なお、「算出の後」にログイン情報が削除されるタイミングは、特に限定されるものではないが、第1のハッシュ値の算出時を起点とした経過時間が長すぎると、認証サーバ10からログイン情報が漏洩する可能性が高くなる。よって、経過時間は出来る限り短くなるようにするのが良い。また、本実施の形態では、「算出の後」にログイン情報が削除されるタイミングは、サービス提供サーバ20によって指定されても良い。
送信部12は、本実施の形態では、ログイン情報を示す電子メール16作成し、作成した電子メール16によって、ログイン情報をサービス提供サーバ20に送信する。本実施の形態において、送信部12によるログイン情報の送信方式は、特に限定されるものではないが、電子メール16による場合は、認証子システム100の構築にかかるコストの低減を図ることができる。また、送信部12は、電子メール16を暗号化した状態で送信するのが好ましい。
また、本実施の形態では、ユーザが端末30を介して認証を要求すると、情報入力部11が、端末30に対して、予め設定されたサービスIDを送信し、ログイン情報と共にサービスIDを返信させることができる。具体的には、情報入力部11は、サービスIDが埋め込まれたログインページ31を表示させる。そして、ユーザがログインページ31上のログインボタンをクリックすると、入力されたID及びパスワードと共にサービスIDが返信される。
サービスIDが用いられる場合、記憶部15は、図2に示すように、サービスID、ユーザID、及びセッションIDを紐付けて管理する。図2は、本実施の形態で用いられる、サービスID、ユーザID、及びセッションIDを紐付けて管理するテーブルの一例を示す図である。そして、送信部12は、サービス提供サーバに、ログイン情報に加えてサービスIDを送信する。また、ハッシュ処理部13は、ログイン情報及びサービスIDから第1のハッシュ値を算出する。更に、サービス提供サーバ20のハッシュ値算出部22は、ログイン情報及びサービスIDから第2のハッシュ値を算出する。
また、サービスIDが用いられる場合、認証サーバ10は、使用するサービスIDを、予め、サービス提供サーバ20に送信する。サービス提供サーバ20は、本実施の形態では、記憶部24を備えており、予め送信されてきたサービスIDを記憶部24に登録する。なお、記憶部24は、サービス提供サーバ20に接続されたデータベースによって実現されていても良い。
そして、サービス提供サーバ20は、ユーザによる認証の際に、認証サーバ10からサービスIDが送信されてくると、送信されてきたサービスIDが登録されているかどうかを判定する。判定の結果、サービス提供サーバ20は、送信されてきたサービスIDが登録されていない場合は、認証を認めず、端末30へのサービスの提供を拒否する。これにより、なりすましメールによる攻撃が回避される。
また、本実施の形態では、記憶部24には、ログイン情報としてのユーザID毎に、各ユーザIDに対応するパスワードと、各ユーザIDに関連付けられた別のIDとが記憶されても良い。この場合、ログイン情報判定部21は、まず、ログイン情報として送信されてきたユーザIDが、記憶部24に記憶されている別のIDと関連付けられているか判定する。続いて、ログイン情報判定部21は、ログイン情報として送信されてきたパスワードが、記憶部24に記憶されているパスワードと一致するかどうかも判定する。
そして、ログイン情報判定部21が、ユーザIDが別のIDと関連付けられており、且つ、パスワードが、記憶されているパスワードと一致している、と判定すると、ハッシュ値算出部22は、ログイン情報からハッシュ関数を用いて第2のハッシュ値を算出する。
ここで、図3を用いて具体例を説明する。本例では、記憶部24は、図3に示すテーブルを記憶している。図3は、本実施の形態で用いられる、ユーザID、パスワード、及び別のIDを管理するテーブルの一例を示す図である。
図3の例では、ユーザIDとして、ユーザのニックネームなどが用いられ、別のIDとして、A社の社員であるユーザの社員IDが用いられている。この場合は、ユーザは、ニックネームなどによってログインし、このニックネームなどが社員IDと紐付けられている場合は、サービスの提供を受けることができる。このように、ユーザは、社員IDといった極めて重要なIDを社外から入力することなく、社内のサーバにアクセスすることができる。この結果、社内サーバのセキュリティを確保しつつ、社内サーバと社外サーバとの連携を強化できる。
[システム動作]
次に、本発明の実施の形態における認証システム100、認証サーバ10、サービス提供サーバ20の動作について図4及び図5を用いて説明する。図4は、本実施の形態における認証サーバの動作を示すフロー図である。図5は、本実施の形態におけるサービス提供用サーバの動作を示すフロー図である。以下の説明においては、適宜図1〜図3を参酌する。
また、本実施の形態では、認証システム100を構成する認証サーバ10及びサービス提供サーバ20を動作させることによって、認証方法が実施される。よって、本実施の形態における認証方法の説明は、以下の認証サーバ10及びサービス提供サーバ20の動作説明に代える。また、以下においては、まず、図4を用いて認証サーバの動作を説明し、続いて、図5を用いてサービス提供サーバの動作を説明する。
[認証サーバの動作]
図4に示すように、最初に、認証サーバ10において、情報入力部11は、ユーザから端末30を介して認証が要求されているかどうかを判定する(ステップA1)。ステップA1の判定の結果、認証が要求されていない場合は、情報入力部11は待機状態となる。一方、ステップA1の判定の結果、認証が要求されている場合は、情報入力部11は、更に、ステップA1において認証を要求したユーザが既にログインしているかどうかを判定する(ステップA2)。
ステップA2の判定の結果、ユーザが既にログインしている場合は、情報入力部11は、その旨を端末30の画面に表示させ、処理を終了する。一方、ステップA2の判定の結果、ユーザが未だログインしていない場合は、情報入力部11は、端末30の画面にログインページ31を表示させる(ステップA3))。また、ステップA3において、情報入力部11は、ログインページ31に任意のサービスIDを埋め込ませる。
次に、ユーザが、ログインページ31上で、ユーザIDとパスワードとを入力し、ログインボタンをクリックすると、情報入力部11は、ユーザID、パスワード及びサービスIDを受け取り、これらを記憶部15に記憶させる(ステップA4)。
次に、ステップA4が実行されると、送信部12は、情報入力部11が受け取った、ユーザID、パスワード及びサービスIDをサービス提供サーバ20に送信する(ステップA5)。
次に、ハッシュ処理部13は、記憶部15に記憶されているユーザID、パスワード及びサービスIDを取得し、これらを、予め設定されているハッシュ関数に代入して、ハッシュ値(第1のハッシュ値)を算出する(ステップA6)。また、ハッシュ処理部13は、ステップAの実行と同時に、または実行後に、記憶部15に記憶されているユーザID、パスワード及びサービスIDを削除する。
ステップAの実行後、ハッシュ処理部13は、サービス提供サーバ20から、ハッシュ値(第2のハッシュ値)が送信されているかどうかを判定する(ステップA7)。ステップA7の判定の結果、サービス提供サーバ20からハッシュ値が送信されていない場合は、ハッシュ処理部13は、サービス提供サーバ20が認証失敗の通知を送信していることを条件に、処理を終了する。
一方、ステップA7の判定の結果、サービス提供サーバ20からハッシュ値が送信されている場合は、ハッシュ処理部13は、送信されてきたハッシュ値と、ステップA6で算出したハッシュ値とが一致するかどうかを判定する(ステップA8)。ステップA8の判定の結果、一致する場合は、ハッシュ処理部13は、セッション確立部14にステップA9を実行するように指示する。一方、ステップA8の判定の結果、一致しない場合は、ハッシュ処理部13は、セッション確立部14にステップA10を実行するように指示する。
ステップA9では、セッション確立部14は、セッションIDを発行し、端末30との間にセッションを確立する。また、セッション確立部14は、セッションIDを、記憶部15に格納されているテーブル(図2参照)に書き込むと共に、端末30に送信する。
また、セッションに有効期限が設定されている場合は、ステップA9の実行後、セッション確立部14は、有効期限のチェックを実行する。そして、セッション確立からの経過時間が有効期限に到達した場合は、セッション確立部14は、セッションを終了し、記憶部1に格納されているテーブルからセッションIDを削除する。
一方、ステップA10では、セッション確立部14は、認証が失敗である旨を、端末30に通知する。これにより、端末3の画面には、認証が失敗である旨が表示される。ステップA9またはステップA10の実行後、認証サーバ0における処理は終了する。
[サービス提供サーバの動作]
図5に示すように、最初に、サービス提供サーバ20において、ログイン情報判定部21は、認証サーバ10が送信した、ユーザID、パスワード及びサービスIDを受信する(ステップB1)。
次に、ログイン情報判定部21は、ステップB1で受信した、ユーザID、パスワード及びサービスIDが登録されている情報と一致しているかどうかを判定する(ステップB2)。
具体的には、ログイン情報判定部21は、まず、記憶部24に格納されているテーブル(図3)を抽出する。そして、ログイン情報判定部21は、受信したユーザIDに関連付けられている社員IDがテ−ブルに登録されているか、受信したパスワードがテーブルに登録されているパスワードと一致しているか、について判定する。更に、ログイン情報判定部21は、受信したサービスIDが予め記憶部24に登録されているサービスIDと一致するかどうかについても判定する。
ステップB2の判定の結果、ユーザID、パスワード及びサービスIDが登録されている情報と一致している場合は、ログイン情報判定部21は、ハッシュ値算出部22にステップB3を実行させる。一方、ステップB2の判定の結果、ユーザID、パスワード及びサービスIDが登録されている情報と一致していない場合は、ログイン情報判定部21は、認証が失敗である旨を認証サーバ10に通知する(ステップB7)。
ステップB3では、ハッシュ値算出部22は、ステップB1で受信した、ユーザID、パスワード及びサービスIDを、予め設定されているハッシュ関数に代入して、ハッシュ値(第2のハッシュ値)を算出する。次に、ハッシュ値算出部22は、算出したハッシュ値を認証サーバ10へと送信する(ステップB4)。これにより、認証サーバでは、ハッシュ値の一致判定(図4に示したステップA8)が行われる。
次に、ステップB4が実行されると、サービス提供部23が、認証サーバ10においてセッションIDが発行されているかどうかを判定する(ステップB5)。ステップB5の判定の結果、セッションIDが発行されている場合は、サービス提供部23は、ユーザからの指示に応じてサービスを提供する(ステップB6)。そして、サービス提供部23によるサービスの提供が終了すると、サービス提供サーバ20における処理も終了する。一方、ステップB5の判定の結果、セッションIDが発行されていない場合は、そのまま、サービス提供サーバ20における処理は終了する。
以上のように本実施の形態では、認証サーバ10とサービス提供サーバ20とで、別々にハッシュ値が算出され、二つのハッシュ値の一致を条件にセッションが確立されるので、認証サーバ10とサービス提供サーバ20との間のセキュリティの向上が図られる。また、認証サーバ上でのログイン情報の保持は、ハッシュ値の算出に要する時間だけで済み、更に、認証サーバには、重要な情報を保持させないようにもできるため、これらの点からもセキュリティの向上が図られる。
従って、サービス提供サーバ20が企業の社内サーバであり、認証サーバ10が社外のサーバである場合に、ユーザである社員が社外から端末30を介して社内サーバにアクセスした際においても、十分なセキュリティが確保される。
本発明の実施の形態におけるプログラムとしては、コンピュータに、図4に示すステップA1〜A10を実行させるプログラムと、図5に示すステップB1〜B6を実行させるプログラムとが挙げられる。
前者のプログラムをコンピュータにインストールし、実行することによって、本実施の形態における認証サーバ10を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、情報入力部11、送信部12、ハッシュ処理部13、セッション確立部14として機能し、処理を行なう。また、コンピュータに備えられた、メモリ、ハードディスク等の記憶装置が記憶部15として機能する。
また、後者のプログラムをコンピュータにインストールし、実行することによって、本実施の形態におけるサービス提供サーバ20を実現することができる。この場合、コンピュータのCPUは、ログイン情報判定部21、ハッシュ値算出部22、サービス提供部23として機能し、処理を行なう。また、コンピュータに備えられた、メモリ、ハードディスク等の記憶装置が記憶部24として機能する。
ここで、実施の形態におけるプログラムを実行することによって、認証サーバ及びサービス提供サーバを実現するコンピュータについて図6を用いて説明する。図6は、本発明の実施の形態における認証サーバ及びサービス提供サーバを実現するコンピュータの一例を示すブロック図である。
図6に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記22)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
ユーザに対して端末を介して認証を行う認証サーバと、前記ユーザに前記端末を介してサービスを提供するサービス提供サーバとを備え、
前記認証サーバは、前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させ、そして、入力された前記ログイン情報を前記サービス提供サーバに送信すると共に、前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出し、
前記サービス提供サーバは、前記認証サーバから送信された前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定し、一致している場合に、前記ハッシュ関数と同一のハッシュ関数を用いて、前記ログイン情報から第2のハッシュ値を算出し、
前記第1のハッシュ値と前記第2のハッシュ値とが一致する場合に、前記認証サーバが前記端末との間でセッションを確立する、
ことを特徴とする認証システム。
(付記2)
前記ログイン情報が、第1の識別子とパスワードとを含み、
前記サービス提供サーバが、
予め、前記第1の識別子毎に、当該第1の識別子に対応するパスワードと、当該第1の識別子に関連付けられた第2の識別子とを記憶し、
前記ログイン情報として送信されてきた第1の識別子が、記憶されている前記第2の識別子と関連付けられており、且つ、前記ログイン情報として送信されてきたパスワードが、記憶されているパスワードと一致する場合に、予め登録されている情報と一致していると判定する、付記1に記載の認証システム。
(付記3)
前記認証サーバが、前記ログイン情報を記憶し、記憶した前記ログイン情報から前記第1のハッシュ値を算出し、そして、前記第1のハッシュ値を算出すると同時に、または算出した後に、記憶した前記ログイン情報を削除する、
付記1または2に記載の認証システム。
(付記4)
前記認証サーバが、前記ログイン情報を示す電子メール作成し、作成した前記電子メールによって、前記ログイン情報を前記サービス提供サーバに送信する、付記1から3のいずれかに記載の認証システム。
(付記5)
前記認証サーバが、前記ユーザが前記端末を介して前記認証を要求すると、前記端末に対して、予め設定されたサービスIDを送信し、前記ログイン情報と共に前記サービスIDを返信させ、更に、前記サービス提供サーバに、前記ログイン情報に加えて前記サービスIDを送信し、そして、前記ログイン情報及び前記サービスIDから前記第1のハッシュ値を算出し、
前記サービス提供サーバが、前記ログイン情報及び前記サービスIDから前記第2のハッシュ値を算出する、付記1〜4のいずれかに記載の認証システム。
(付記6)
サービス提供サーバにサービスの提供を求めるユーザに対して端末を介して認証を行う認証サーバであって、
前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させる、情報入力部と、
入力された前記ログイン情報を前記サービス提供サーバに送信する、送信部と、
前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ハッシュ処理部と、
前記端末との間にセッションを確立する、セッション確立部とを備え、
前記ハッシュ処理部は、
前記サービス提供サーバが、送信された前記ログイン情報に基づいて、それが予め登録されている情報と一致していることを条件に、前記ハッシュ関数と同一のハッシュ関数を用いて、第2のハッシュ値を算出すると、
前記第1のハッシュ値と前記第2のハッシュ値とが一致しているかどうかを判定し、
前記セッション確立部は、前記ハッシュ処理部が一致していると判定する場合に、前記セッションを確立する、
ことを特徴とする認証サーバ。
(付記7)
前記ログイン情報を記憶する記憶部を更に備え、
前記ハッシュ処理部が、前記記憶部に記憶されている前記ログイン情報から前記第1のハッシュ値を算出し、そして、前記第1のハッシュ値を算出すると同時に、または算出した後に、記憶されている前記ログイン情報を前記記憶部から削除する、
付記6に記載の認証サーバ。
(付記8)
前記送信部が、前記ログイン情報を示す電子メール作成し、作成した前記電子メールによって、前記ログイン情報を前記サービス提供サーバに送信する、付記6または7に記載の認証サーバ。
(付記9)
前記情報入力部が、前記ユーザが前記端末を介して前記認証を要求すると、前記端末に対して、予め設定されたサービスIDを送信し、前記ログイン情報と共に前記サービスID返信させ、
前記送信部が、前記サービス提供サーバに、前記ログイン情報に加えて前記サービスIDを送信し、
前記ハッシュ処理部が、前記ログイン情報及び前記サービスIDから前記第1のハッシュ値を算出し、そして、前記サービス提供サーバが、前記ログイン情報及び前記サービスIDから前記第2のハッシュ値を算出すると、前記第1のハッシュ値と前記第2のハッシュ値とが一致しているかどうかを判定する、
付記6〜8のいずれかに記載の認証サーバ。
(付記10)
認証サーバが端末との間にセッションを確立した場合に、前記端末を介してユーザにサービスを提供するサービス提供サーバであって、
前記認証サーバから、前記端末を介して入力されたログイン情報が送信されると、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定する、ログイン情報判定部と、
前記ログイン情報判定部が一致していると判定した場合に、前記ログイン情報からハッシュ関数を用いてハッシュ値を算出する、ハッシュ値算出部と、
前記認証サーバによって、それが前記ハッシュ関数と同一のハッシュ関数を用いて前記ログイン情報から算出したハッシュ値と、前記ハッシュ値算出部が算出したハッシュ値とが一致することを条件にして、前記端末との間にセッションが確立されると、前記端末を介して前記ユーザにサービスを提供する、サービス提供部と、を備えている、
ことを特徴とするサービス提供サーバ。
(付記11)
前記ログイン情報が、第1の識別子とパスワードとを含み、
当該サービス提供サーバが、前記第1の識別子毎に、当該第1の識別子に対応するパスワードと、当該第1の識別子に関連付けられた第2の識別子とを記憶する、記憶部を更に備え、
前記ログイン情報判定部は、前記ログイン情報として送信されてきた第1の識別子が、前記記憶部に記憶されている前記第2の識別子と関連付けられており、且つ、前記ログイン情報として送信されてきたパスワードが、前記記憶部に記憶されているパスワードと一致する場合に、予め登録されている情報と一致していると判定する、付記10に記載のサービス提供サーバ。
(付記12)
ユーザに対して端末を介して認証を行う認証サーバと、前記ユーザに前記端末を介してサービスを提供するサービス提供サーバとを用いる認証方法であって、
(a)前記ユーザが前記端末を介して前記認証を要求すると、前記認証サーバが、前記ユーザに前記端末を介してログイン情報を入力させる、ステップと、
(b)前記認証サーバが、入力された前記ログイン情報を前記サービス提供サーバに送信する、ステップと、
(c)前記認証サーバが、入力された前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ステップと、
(d)前記サービス提供サーバが、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定し、一致している場合に、前記ハッシュ関数と同一のハッシュ関数を用いて、前記ログイン情報から第2のハッシュ値を算出する、ステップと、
(e)前記認証サーバが、前記(c)のステップで算出された前記第1のハッシュ値と前記(d)のステップで算出された前記第2のハッシュ値とが一致する場合に、前記端末との間でセッションを確立する、ステップと、を有することを特徴とする認証方法。
(付記13)
前記ログイン情報が、第1の識別子とパスワードとを含み、
(f)前記サービス提供サーバが、前記第1の識別子毎に、当該第1の識別子に対応するパスワードと、当該第1の識別子に関連付けられた第2の識別子とを記憶するステップを更に有し、
前記(d)のステップにおいて、前記サービス提供サーバが、
前記ログイン情報として送信されてきた第1の識別子が、記憶されている前記第2の識別子と関連付けられており、且つ、前記ログイン情報として送信されてきたパスワードが、記憶されているパスワードと一致する場合に、予め登録されている情報と一致していると判定する、付記12に記載の認証方法。
(付記14)
前記(a)のステップにおいて、前記認証サーバが、前記ログイン情報を記憶し、
前記(c)のステップにおいて、前記認証サーバが、前記(a)のステップで記憶した前記ログイン情報から前記第1のハッシュ値を算出し、そして、前記第1のハッシュ値を算出すると同時に、または算出した後に、記憶した前記ログイン情報を削除する、
付記12または13に記載の認証方法。
(付記15)
前記(b)のステップにおいて、前記認証サーバが、前記ログイン情報を示す電子メール作成し、作成した前記電子メールによって、前記ログイン情報を前記サービス提供サーバに送信する、付記12から14のいずれかに記載の認証方法。
(付記16)
前記(a)のステップにおいて、前記認証サーバが、前記ユーザが前記端末を介して前記認証を要求すると、前記端末に対して、予め設定されたサービスIDを送信し、前記ログイン情報と共に前記サービスIDを返信させ、
前記(b)のステップにおいて、前記認証サーバが、前記サービス提供サーバに、前記ログイン情報に加えて前記サービスIDを送信し、
前記(c)のステップにおいて、前記認証サーバが、前記ログイン情報及び前記サービスIDから前記第1のハッシュ値を算出し、
前記(d)のステップにおいて、前記サービス提供サーバが、前記ログイン情報及び前記サービスIDから前記第2のハッシュ値を算出する、
付記12〜15のいずれかに記載の認証方法。
(付記17)
サービス提供サーバにサービスの提供を求めるユーザに対する、端末を介した認証を、コンピュータによって行うための、プログラムであって、
前記コンピュータに、
(a)前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させる、ステップと、
(b)前記(a)のステップで入力された前記ログイン情報を前記サービス提供サーバに送信する、ステップと、
(c)前記(a)のステップで入力された前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ステップと、
(d)前記サービス提供サーバが、送信された前記ログイン情報に基づいて、それが予め登録されている情報と一致していることを条件に、前記ハッシュ関数と同一のハッシュ関数を用いて、第2のハッシュ値を算出すると、前記(c)のステップで算出した前記第1のハッシュ値と前記サービス提供サーバが算出した前記第2のハッシュ値とが一致しているかどうかを判定する、ステップと、
(e)前記(d)のステップで一致していると判定する場合に、前記端末との間にセッションを確立する、ステップと、
を実行させる、プログラム。
(付記18)
前記(a)のステップにおいて、前記ログイン情報を記憶し、
前記(c)のステップにおいて、記憶されている前記ログイン情報から前記第1のハッシュ値を算出し、そして、前記第1のハッシュ値を算出すると同時に、または算出した後に、記憶されている前記ログイン情報を削除する、
付記17に記載のプログラム
(付記19)
前記(b)のステップにおいて、前記ログイン情報を示す電子メール作成し、作成した前記電子メールによって、前記ログイン情報を前記サービス提供サーバに送信する、付記17または18に記載のプログラム
(付記20)
前記(a)のステップにおいて、前記ユーザが前記端末を介して前記認証を要求すると、前記端末に対して、予め設定されたサービスIDを送信し、前記ログイン情報と共に前記サービスIDを返信させ、
前記(b)のステップにおいて、前記サービス提供サーバに、前記ログイン情報に加えて前記サービスIDを送信し、
前記(c)のステップにおいて、前記ログイン情報及び前記サービスIDから前記第1のハッシュ値を算出し、
前記(d)のステップにおいて、前記サービス提供サーバが、前記ログイン情報及び前記サービスIDから前記第2のハッシュ値を算出すると、前記第1のハッシュ値と前記第2のハッシュ値とが一致しているかどうかを判定する、
付記17〜19のいずれかに記載のプログラム
(付記21)
認証サーバが端末との間にセッションを確立した場合に、コンピュータによって、前記端末を介してユーザにサービスを提供するための、プログラムであって、
前記コンピュータに、
(a)前記認証サーバから、前記端末を介して入力されたログイン情報が送信されると、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定する、ステップと、
(b)前記(a)のステップで一致していると判定した場合に、前記ログイン情報からハッシュ関数を用いてハッシュ値を算出する、ステップと、
(c)前記認証サーバが、それが前記ハッシュ関数と同一のハッシュ関数を用いて前記ログイン情報から算出したハッシュ値と、前記(b)のステップで算出されたハッシュ値とが一致することを条件にして、前記端末との間にセッションを確立すると、前記端末を介して前記ユーザにサービスを提供する、ステップと、
を実行させる、プログラム。
(付記22)
前記ログイン情報が、第1の識別子とパスワードとを含み、
d)前記第1の識別子毎に、当該第1の識別子に対応するパスワードと、当該第1の識別子に関連付けられた第2の識別子とを記憶する、ステップを、更に前記コンピュータに実行させ、
前記(a)のステップにおいて、前記ログイン情報として送信されてきた第1の識別子が、前記(d)のステップで記憶されている前記第2の識別子と関連付けられており、且つ、前記ログイン情報として送信されてきたパスワードが、前記(d)のステップで記憶されているパスワードと一致する場合に、予め登録されている情報と一致していると判定する、付記21に記載のプログラム

以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2010年12月16日に出願された日本出願特願2010−280637を基礎とする優先権を主張し、その開示の全てをここに取り込む。
以上のように本発明によれば、認証サーバと、サービスを提供するサーバとの間のセキュリティを高めることができる。従って、本発明は、特に、企業などが、クラウドコンピューティングを利用するため、社外サーバと社内サーバとを連携させる場合に有用である。
10 認証サーバ
11 情報入力部
12 送信部
13 ハッシュ処理部
14 セッション確立部
15 記憶部
16 電子メール
20 サービス提供サーバ
21 ログイン情報判定部
22 ハッシュ値算出部
23 サービス提供部
24 記憶部
30 端末
100 認証システム
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス

Claims (10)

  1. ユーザに対して端末を介して認証を行う認証サーバと、前記ユーザに前記端末を介してサービスを提供するサービス提供サーバとを備え、
    前記認証サーバは、前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させ、そして、入力された前記ログイン情報を前記サービス提供サーバに送信すると共に、前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出し、
    前記サービス提供サーバは、前記認証サーバから送信された前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定し、一致している場合に、前記ハッシュ関数と同一のハッシュ関数を用いて、前記ログイン情報から第2のハッシュ値を算出し、
    前記第1のハッシュ値と前記第2のハッシュ値とが一致する場合に、前記認証サーバが前記端末との間でセッションを確立する、
    ことを特徴とする認証システム。
  2. 前記ログイン情報が、第1の識別子とパスワードとを含み、
    前記サービス提供サーバが、
    予め、前記第1の識別子毎に、当該第1の識別子に対応するパスワードと、当該第1の識別子に関連付けられた第2の識別子とを記憶し、
    前記ログイン情報として送信されてきた第1の識別子が、記憶されている前記第2の識別子と関連付けられており、且つ、前記ログイン情報として送信されてきたパスワードが、記憶されているパスワードと一致する場合に、予め登録されている情報と一致していると判定する、請求項1に記載の認証システム。
  3. 前記認証サーバが、前記ログイン情報を記憶し、記憶した前記ログイン情報から前記第1のハッシュ値を算出し、そして、前記第1のハッシュ値を算出すると同時に、または算出した後に、記憶した前記ログイン情報を削除する、
    請求項1または2に記載の認証システム。
  4. 前記認証サーバが、前記ログイン情報を示す電子メール作成し、作成した前記電子メールによって、前記ログイン情報を前記サービス提供サーバに送信する、請求項1から3のいずれかに記載の認証システム。
  5. 前記認証サーバが、前記ユーザが前記端末を介して前記認証を要求すると、前記端末に対して、予め設定されたサービスIDを送信し、前記ログイン情報と共に前記サービスIDを返信させ、更に、前記サービス提供サーバに、前記ログイン情報に加えて前記サービスIDを送信し、そして、前記ログイン情報及び前記サービスIDから前記第1のハッシュ値を算出し、
    前記サービス提供サーバが、前記ログイン情報及び前記サービスIDから前記第2のハッシュ値を算出する、請求項1〜4のいずれかに記載の認証システム。
  6. サービス提供サーバにサービスの提供を求めるユーザに対して端末を介して認証を行う認証サーバであって、
    前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させる、情報入力部と、
    入力された前記ログイン情報を前記サービス提供サーバに送信する、送信部と、
    前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ハッシュ処理部と、
    前記端末との間にセッションを確立する、セッション確立部とを備え、
    前記ハッシュ処理部は、
    前記サービス提供サーバが、送信された前記ログイン情報に基づいて、それが予め登録されている情報と一致していることを条件に、前記ハッシュ関数と同一のハッシュ関数を用いて、第2のハッシュ値を算出すると、
    前記第1のハッシュ値と前記第2のハッシュ値とが一致しているかどうかを判定し、
    前記セッション確立部は、前記ハッシュ処理部が一致していると判定する場合に、前記セッションを確立する、
    ことを特徴とする認証サーバ。
  7. 認証サーバが端末との間にセッションを確立した場合に、前記端末を介してユーザにサービスを提供するサービス提供サーバであって、
    前記認証サーバから、前記端末を介して入力されたログイン情報が送信されると、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定する、ログイン情報判定部と、
    前記ログイン情報判定部が一致していると判定した場合に、前記ログイン情報からハッシュ関数を用いてハッシュ値を算出する、ハッシュ値算出部と、
    前記認証サーバによって、それが前記ハッシュ関数と同一のハッシュ関数を用いて前記ログイン情報から算出したハッシュ値と、前記ハッシュ値算出部が算出したハッシュ値とが一致することを条件にして、前記端末との間にセッションが確立されると、前記端末を介して前記ユーザにサービスを提供する、サービス提供部と、を備えている、
    ことを特徴とするサービス提供サーバ。
  8. ユーザに対して端末を介して認証を行う認証サーバと、前記ユーザに前記端末を介してサービスを提供するサービス提供サーバとを用いる認証方法であって、
    (a)前記ユーザが前記端末を介して前記認証を要求すると、前記認証サーバが、前記ユーザに前記端末を介してログイン情報を入力させる、ステップと、
    (b)前記認証サーバが、入力された前記ログイン情報を前記サービス提供サーバに送信する、ステップと、
    (c)前記認証サーバが、入力された前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ステップと、
    (d)前記サービス提供サーバが、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定し、一致している場合に、前記ハッシュ関数と同一のハッシュ関数を用いて、前記ログイン情報から第2のハッシュ値を算出する、ステップと、
    (e)前記認証サーバが、前記(c)のステップで算出された前記第1のハッシュ値と前記(d)のステップで算出された前記第2のハッシュ値とが一致する場合に、前記端末との間でセッションを確立する、ステップと、を有することを特徴とする認証方法。
  9. サービス提供サーバにサービスの提供を求めるユーザに対する、端末を介した認証を、コンピュータによって行うための、プログラムであって、
    前記コンピュータに、
    (a)前記ユーザが前記端末を介して前記認証を要求すると、前記ユーザに前記端末を介してログイン情報を入力させる、ステップと、
    (b)前記(a)のステップで入力された前記ログイン情報を前記サービス提供サーバに送信する、ステップと、
    (c)前記(a)のステップで入力された前記ログイン情報からハッシュ関数を用いて第1のハッシュ値を算出する、ステップと、
    (d)前記サービス提供サーバが、送信された前記ログイン情報に基づいて、それが予め登録されている情報と一致していることを条件に、前記ハッシュ関数と同一のハッシュ関数を用いて、第2のハッシュ値を算出すると、前記(c)のステップで算出した前記第1のハッシュ値と前記サービス提供サーバが算出した前記第2のハッシュ値とが一致しているかどうかを判定する、ステップと、
    (e)前記(d)のステップで一致していると判定する場合に、前記端末との間にセッションを確立する、ステップと、
    を実行させる、プログラム。
  10. 認証サーバが端末との間にセッションを確立した場合に、コンピュータによって、前記端末を介してユーザにサービスを提供するための、プログラムであって、
    前記コンピュータに、
    (a)前記認証サーバから、前記端末を介して入力されたログイン情報が送信されると、前記ログイン情報が、予め登録されている情報と一致しているかどうかを判定する、ステップと、
    (b)前記(a)のステップで一致していると判定した場合に、前記ログイン情報からハッシュ関数を用いてハッシュ値を算出する、ステップと、
    (c)前記認証サーバが、それが前記ハッシュ関数と同一のハッシュ関数を用いて前記ログイン情報から算出したハッシュ値と、前記(b)のステップで算出されたハッシュ値とが一致することを条件にして、前記端末との間にセッションを確立すると、前記端末を介して前記ユーザにサービスを提供する、ステップと、
    を実行させる、プログラム。
JP2012548721A 2010-12-16 2011-11-30 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム Active JP5429912B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012548721A JP5429912B2 (ja) 2010-12-16 2011-11-30 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010280637 2010-12-16
JP2010280637 2010-12-16
PCT/JP2011/077692 WO2012081404A1 (ja) 2010-12-16 2011-11-30 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びコンピュータ読み取り可能な記録媒体
JP2012548721A JP5429912B2 (ja) 2010-12-16 2011-11-30 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP5429912B2 true JP5429912B2 (ja) 2014-02-26
JPWO2012081404A1 JPWO2012081404A1 (ja) 2014-05-22

Family

ID=46244513

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012548721A Active JP5429912B2 (ja) 2010-12-16 2011-11-30 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム

Country Status (4)

Country Link
US (1) US9053306B2 (ja)
JP (1) JP5429912B2 (ja)
CN (1) CN103262466A (ja)
WO (1) WO2012081404A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210012781A (ko) * 2019-07-26 2021-02-03 이인형 공유 자전거 서비스 시스템 및 이의 시스템에서 블록체인 기반 보상 프로그램 구현 방법

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6330298B2 (ja) * 2013-02-06 2018-05-30 株式会社リコー 情報処理システム、情報処理方法およびプログラム
US10455276B2 (en) * 2013-03-04 2019-10-22 Time Warner Cable Enterprises Llc Methods and apparatus for controlling unauthorized streaming of content
US9705821B1 (en) * 2013-09-30 2017-07-11 F5 Networks, Inc. Methods for provisioning applications based on anticipated user work load and devices thereof
CN103825746B (zh) * 2014-03-17 2017-03-01 联想(北京)有限公司 信息处理方法和装置
US20160285630A1 (en) * 2015-03-23 2016-09-29 Qualcomm Incorporated Private service identifiers in neighborhood aware networks
EP3320647B1 (en) 2015-07-09 2020-11-18 Nokia Technologies Oy Token based authentication
CN105591928B (zh) * 2015-09-15 2018-09-21 中国银联股份有限公司 用于云平台网络的安全控制方法
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
JP6647258B2 (ja) * 2017-09-11 2020-02-14 Capy株式会社 ユーザ認証方法、評価装置、プログラム、及びユーザ認証システム
EP3698514B1 (en) 2017-10-19 2024-02-21 Autnhive Corporation System and method for generating and depositing keys for multi-point authentication
US10903997B2 (en) 2017-10-19 2021-01-26 Autnhive Corporation Generating keys using controlled corruption in computer networks
US11329817B2 (en) * 2017-10-19 2022-05-10 Devi Selva Kumar Vijayanarayanan Protecting data using controlled corruption in computer networks
US20220232024A1 (en) 2017-11-27 2022-07-21 Lacework, Inc. Detecting deviations from typical user behavior
US10425437B1 (en) 2017-11-27 2019-09-24 Lacework Inc. Extended user session tracking
US11792284B1 (en) 2017-11-27 2023-10-17 Lacework, Inc. Using data transformations for monitoring a cloud compute environment
US11979422B1 (en) 2017-11-27 2024-05-07 Lacework, Inc. Elastic privileges in a secure access service edge
US10560261B1 (en) 2018-05-24 2020-02-11 DeepTruth, LLC Systems and techniques for capture of trusted media data
US11683180B1 (en) 2018-05-24 2023-06-20 Swear Inc. Protecting digital media with nested hashing techniques
US10873592B1 (en) 2019-12-23 2020-12-22 Lacework Inc. Kubernetes launch graph
US11188571B1 (en) 2019-12-23 2021-11-30 Lacework Inc. Pod communication graph
US11201955B1 (en) 2019-12-23 2021-12-14 Lacework Inc. Agent networking in a containerized environment
CN117675254A (zh) * 2022-08-31 2024-03-08 华为技术有限公司 一种设备认证方法和相关设备

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7100054B2 (en) * 2001-08-09 2006-08-29 American Power Conversion Computer network security system
US7228417B2 (en) * 2002-02-26 2007-06-05 America Online, Inc. Simple secure login with multiple-authentication providers
US7251827B1 (en) * 2002-05-01 2007-07-31 Microsoft Corporation In-line sign in
JP2003338823A (ja) * 2002-05-21 2003-11-28 Canon Inc 無線通信システム及びその制御方法
JP2008083859A (ja) * 2006-09-26 2008-04-10 Toshiba Corp 仲介サーバ、通信仲介方法、通信仲介プログラム、および通信システム
JP2009258917A (ja) * 2008-04-15 2009-11-05 Mitsubishi Electric Corp プロキシサーバ、認証サーバおよび通信システム
JP2009282561A (ja) 2008-05-19 2009-12-03 Kddi Corp ユーザ認証システム、ユーザ認証方法およびプログラム
JP2010061302A (ja) * 2008-09-02 2010-03-18 Sony Corp 認証システム、サーバ装置、認証方法、クライアント装置、及び通信制御プログラム
JP4796106B2 (ja) * 2008-09-12 2011-10-19 株式会社東芝 匿名ローミングサービスシステム、装置及びプログラム
JP5264548B2 (ja) 2009-02-19 2013-08-14 株式会社エヌ・ティ・ティ・データ 認証システムおよび認証方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210012781A (ko) * 2019-07-26 2021-02-03 이인형 공유 자전거 서비스 시스템 및 이의 시스템에서 블록체인 기반 보상 프로그램 구현 방법
KR102282796B1 (ko) 2019-07-26 2021-07-27 이인형 공유 자전거 서비스 시스템 및 이의 시스템에서 블록체인 기반 보상 프로그램 구현 방법

Also Published As

Publication number Publication date
CN103262466A (zh) 2013-08-21
JPWO2012081404A1 (ja) 2014-05-22
US20130269007A1 (en) 2013-10-10
US9053306B2 (en) 2015-06-09
WO2012081404A1 (ja) 2012-06-21

Similar Documents

Publication Publication Date Title
JP5429912B2 (ja) 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム
US11595392B2 (en) Gateway enrollment for internet of things device management
US11122028B2 (en) Control method for authentication/authorization server, resource server, and authentication/authorization system
US9288213B2 (en) System and service providing apparatus
US8819787B2 (en) Securing asynchronous client server transactions
US10263978B1 (en) Multifactor authentication for programmatic interfaces
US9769266B2 (en) Controlling access to resources on a network
US11425571B2 (en) Device configuration method, apparatus and system
US9225744B1 (en) Constrained credentialed impersonation
JP2016535880A (ja) 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス
US20090031405A1 (en) Authentication system and authentication method
US20110087692A1 (en) Application whitelisting in a cloud-based computing device
CN109691057A (zh) 经由私人内容分发网络可交换地取回敏感内容
US10567388B1 (en) Automatic account resource and policy decommissioning
US10582348B2 (en) Message-based management service enrollment
US11063922B2 (en) Virtual content repository
US9621349B2 (en) Apparatus, method and computer-readable medium for user authentication
CN109684818A (zh) 一种防止机主登录密码泄露的跨终端式的服务器登录方法
JP2005148952A (ja) 情報処理装置及びその制御方法、プログラム
JP2012088862A (ja) 認証プログラム、認証装置、及び認証方法
KR20140007984A (ko) 인스턴트메시지에 의한 로그인 방법

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131128

R150 Certificate of patent or registration of utility model

Ref document number: 5429912

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350