JP5459583B2 - 認証方法及びその認証システム並びにその認証処理プログラム - Google Patents
認証方法及びその認証システム並びにその認証処理プログラム Download PDFInfo
- Publication number
- JP5459583B2 JP5459583B2 JP2009074213A JP2009074213A JP5459583B2 JP 5459583 B2 JP5459583 B2 JP 5459583B2 JP 2009074213 A JP2009074213 A JP 2009074213A JP 2009074213 A JP2009074213 A JP 2009074213A JP 5459583 B2 JP5459583 B2 JP 5459583B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- service provider
- user terminal
- terminal device
- central server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
このように、ユーザが複数のシステムにログインする場合は、システム毎にログインの手続が必要となりユーザの利便性が損なわれるので、連携型認証方式が提案されている。この連携型認証方式は、中央サーバ(Identity Provider。以下、「IdP」 という。)で一度認証が行われると、他の連携しているシステムにログインすることができるシングルサインオン(Single Sign On。以下、「SSO」という。)を実現することができる。すなわち、このSSOでは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用することができる。
このような問題点を解決するために、指紋認証やワンタイムパスワード認証等によって認証を強固にしたり、あるいは複数の認証方式によって認証を強固にすると、ユーザの利便性を著しく低下させてしまうという新たな問題点が発生する。
ユーザ端末機器1及びSP機器2間、SP機器2及びIdP3間は、図示しないが、不特定の利用者(ユーザ)が利用可能なインターネットのような、周知の通信ネットワークでそれぞれ接続されている。
図2は、第一の認証動作の例を示している。なお、この図2及び後述の図3、図4において、丸印で示されるSP−1〜SP−5は、互いに異なるサービスを提供するSP(サービスプロバイダ)のSP機器2であり、これらSP−1〜SP−5は、IdP3を中心にして連携されている。また、このIdP3における認証方式は、A,B,Cの三方式が用意されていて、その認証強度は、A>B>Cに決められている。さらに、IdP3中の多要素認証コア部33は、認証方式を決定する機能を司る処理部であり、ユーザ情報DB(Data Base)34は、利用者(ユーザ)の情報が格納されているデータベースであり、そして、SP情報DB35は、SPの情報が格納されているデータベースである。
今、ユーザ端末機器1がSP−1にアクセスしたとする(図2の(1)参照)。このとき、IdP3においてログインが済んでいて、かつ、認証レベルが達しているので、ログイン済みの通知がユーザ端末機器1を経由してSP−1に通知される(図2の(1)(2),(3),(4)参照)。通知を受けたSP−1の表示画面には、ログイン完了の画面が表示される。このようにして、SP−1のSSO(シングルサインオン)が実現される。
ここでは、SP−2は認証方式を指定していない場合が示されている。
今、ユーザ端末機器1がSP−2にアクセスしたとする(図3の(1)参照)。アクセスを受けたSP−2からは、IdP3に対してログイン状態の確認が行われる(図3の(2)参照)。ログイン状態の確認が行われたIdP3の多要素認証コア部33では、ユーザ情報DB(Data Base)34及びSP情報DB35を参照して、認証方式が決められる(図3の(3),(4)参照)。ここでは、SP−2は認証方式を指定していないので、最も認証強度の低い認証方式Cが呼び出される(図3の(5)参照)。ユーザ端末機器1が未だ認証方式Cの認証を受けていない場合は、ユーザ端末機器1及びIdP3間で認証方式Cの認証処理が行われる(図3の(6)参照)。なお、ここにおける認証方式は、内部にもつ認証方式でもよいが、外部の認証方式を利用することができる。
認証レベルが認証方式Cのレベルに達すると、ログイン済みの通知がユーザ端末機器1を経由してSP−2に通知される(図3の(7),(8)参照)。通知を受けたSP−2の表示画面には、ログイン完了の画面が表示される。
ここでは、SP−3が認証方式A及び認証方式Bを要求している。なお、IdP3によるユーザ端末機器1に対する認証において、既に認証方式Cは認証済みである。
今、ユーザ端末機器1が SP−3にアクセスしたとする(図4の(1)参照)。アクセスを受けたSP−3からは、IdP3に対して実施して欲しい認証方式のログイン状態の確認が行われる(図4の(2)参照)。ログイン状態の確認が行われたIdP3の多要素認証コア部33では、ユーザ情報DB(Data Base)34及びSP情報DB35を参照して認証方式A及び認証方式Bの認証状態が判断される(図4の(3),(4)参照)。ここでは、SP−3は認証方式A及び認証方式Bを要求しており、現在は認証レベルが要求レベルまで達していないので、認証方式A及び認証方式Bが呼び出される(図3の(5a),(5b)参照)。この呼び出しにより、ユーザ端末機器1及びIdP3間で認証方式A及び認証方式Bの認証処理が行われる(図4の(6a),(6b)参照)。この認証方式は、内部にもつ認証方式でもよく、外部の認証方式を利用することもできる。
図5に示すシーケンス図は、ユーザ端末機器1、SP機器2及びIdP3の三者の処理の流れを示している。先ず、ユーザ端末機器1がSP機器2にアクセスすると(ステップ1。以下、ステップを「S」とする。)、SP機器2はログイン状態の確認及び認証レベルの要求をIdP3に行う(S2)。要求されたIdP3では、ユーザ情報DB34を参照した上で、要求レベルと現在の認証レベルに差異があれば、必要な認証方式を呼び出す(S3)。必要となる認証方式があれば、ユーザ端末機器1側にログイン画面が提示され、ログインが促される(S4)。そして、ユーザ端末機器1からログインが行われ、認証された場合は(S5)、IdP3では認証レベルを更新する(S6)。その後、ログインが完了した旨がSP機器2に伝えられ(S7)、最後に、SP機器2からは、ユーザ端末機器1に対してログイン後の画面が出力される(S8)。
先ず、SP機器2からログイン状態の確認及び認証レベルの要求があった場合、要求された認証方式から認証レベルが判定され(S100)、認証レベルが加算される(S102)。この場合、複数の認証方式が要求された場合には、その数に合わせて判定/加算が繰り返される。その後、ユーザ情報DB34に格納されている該当ユーザの現在の認証レベルが検索され(S104)、要求された認証レベルとユーザ情報DB34に格納されている認証レベルが比較される(S106)。
ここでS106の分岐が発生し、[a]要求された認証レベルが現在の認証レベルを上回っている場合は(S106(Y))、必要な認証方式を呼び出し(S108)、ユーザ端末機器1の追加認証を行う(S110)。この追加認証が成功すると、IdP3は認証レベルの更新を行い、もう一度認証レベルの比較を行う(S106)。この比較において、[b]要求された認証レベルが現在の認証レベル以下の場合は(S106(N))、ユーザ端末機器1に対してSSO(シングルサインオン)を促す(S112)。
なお、図6におけるフローチャートにおいて、S109は、認証方式が呼び出されたとき、必要な認証方式が未認証の場合、ユーザ端末機器1及びIdP3間での認証処理を示している(図3の(6)及び図4の(6a),(6b)参照)。
本発明では、SP機器2が認証方式を指定するようにしているが、以下のパターンでも実施することができる。
ユーザが認証方式を指定するパターン。この場合、ユーザ端末機器1に認証方式を指定する装置を導入するか、あるいは、SP(サービスプロバイダ)のWebサイトでログイン前にユーザに認証方式を選択させることで、実現することができる。
予め、IdP3側に認証方式を登録しておくパターン。この場合、IdP3はユーザの情報やSP機器2の情報をアクセスされることにより確認することができるので、その情報を用いて、予め設定しておいた認証方式を呼び出すことができる。
2 サービスプロバイダ機器(SP機器)
3 中央サーバ(Identity Provider(IdP))
20 通信コンポーネント
20a 認証レベル要求部
20b ログイン完了通知部
20c アクセス受信部
20d ログイン完了画面表示部
30 通信コンポーネント
30a 認証レベル要求受信部
30b ログイン完了通知部
31 内部処理コンポーネント
31a 認証方式レベル判定部
31b 認証レベル加算部
31c 認証レベルDB照会部
31d 多要素認証呼び出し部
32 外部認証コンポーネント
32a 外部認証装置呼び出し部
32b 認証レベルDB更新部
33 多要素認証コア部
34 ユーザ情報DB
35 SP情報DB
Claims (4)
- ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、前記中央サーバによって提供されるシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、前記中央サーバ及び前記サービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証方法であって、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けた場合に、前記中央サーバが、前記サービスプロバイダ機器に係るサービスプロバイダによって要求された認証方式による、前記ユーザ端末機器に係る認証レベルの確認を行う確認段階と、
前記確認段階において前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていることが確認された場合に、前記サービスプロバイダ機器が、前記ユーザ端末機器に対して所定のサービスを提供する提供段階と、
前記確認段階において前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないことが確認された場合に、前記中央サーバが、前記ユーザ端末機器に対して、前記認証レベルを上回るために必要な認証方式による新たな追加認証を要求する要求段階と
を含む認証方法。 - ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、前記中央サーバによって提供されるシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、前記中央サーバ及び前記サービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの前記中央サーバとして第1のコンピュータを機能させ、前記サービスプロバイダ機器として第2のコンピュータを機能させる認証処理プログラムであって、
前記第1のコンピュータを、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けた場合に、前記サービスプロバイダ機器に係るサービスプロバイダによって要求された認証方式による、前記ユーザ端末機器に係る認証レベルの確認を行う確認手段
として機能させ、
前記第2のコンピュータを、
前記確認手段が前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていることを確認した場合に、前記ユーザ端末機器に対して所定のサービスを提供する提供手段
として機能させ、
前記第1のコンピュータを、
前記確認手段が前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないことを確認した場合に、前記ユーザ端末機器に対して、前記認証レベルを上回るために必要な認証方式による新たな追加認証を要求する要求手段
として更に機能させる認証処理プログラム。 - ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、
前記中央サーバによって提供されるシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、
前記中央サーバ及び前記サービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器と
を備え、
前記中央サーバは、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けた場合に、前記サービスプロバイダ機器に係るサービスプロバイダによって要求された認証方式による、前記ユーザ端末機器に係る認証レベルの確認を行う確認手段
を有し、
前記サービスプロバイダ機器は、
前記確認手段が前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていることを確認した場合に、前記ユーザ端末機器に対して所定のサービスを提供する提供手段
を有し、
前記中央サーバは、
前記確認手段が前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないことを確認した場合に、前記ユーザ端末機器に対して、前記認証レベルを上回るために必要な認証方式による新たな追加認証を要求する要求手段
を更に有する認証システム。 - 前記中央サーバは、
前記確認手段が前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていることを確認した場合に、前記ユーザ端末機器にログイン済みの通知を行う通知手段
を更に有する請求項3に記載の認証システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009074213A JP5459583B2 (ja) | 2009-03-25 | 2009-03-25 | 認証方法及びその認証システム並びにその認証処理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009074213A JP5459583B2 (ja) | 2009-03-25 | 2009-03-25 | 認証方法及びその認証システム並びにその認証処理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010225078A JP2010225078A (ja) | 2010-10-07 |
JP5459583B2 true JP5459583B2 (ja) | 2014-04-02 |
Family
ID=43042167
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009074213A Active JP5459583B2 (ja) | 2009-03-25 | 2009-03-25 | 認証方法及びその認証システム並びにその認証処理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5459583B2 (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012118833A (ja) * | 2010-12-02 | 2012-06-21 | Hitachi Ltd | アクセス制御方法 |
JP5433647B2 (ja) * | 2011-07-29 | 2014-03-05 | 日本電信電話株式会社 | ユーザ認証システム、方法、プログラムおよび装置 |
US9659164B2 (en) | 2011-08-02 | 2017-05-23 | Qualcomm Incorporated | Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device |
JP2013073416A (ja) * | 2011-09-28 | 2013-04-22 | Hitachi Ltd | 認証中継装置、認証中継システム及び認証中継方法 |
WO2013132641A1 (ja) * | 2012-03-08 | 2013-09-12 | 株式会社日立システムズ | シングルサインオンシステム |
US20150319156A1 (en) * | 2012-12-12 | 2015-11-05 | Interdigital Patent Holdings Inc. | Independent identity management systems |
JP2014174677A (ja) * | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
WO2014160853A1 (en) * | 2013-03-27 | 2014-10-02 | Interdigital Patent Holdings, Inc. | Seamless authentication across multiple entities |
US20160087957A1 (en) * | 2013-04-26 | 2016-03-24 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
JP5760037B2 (ja) * | 2013-05-17 | 2015-08-05 | 日本電信電話株式会社 | ユーザ認証装置、方法及びプログラム |
JP6555983B2 (ja) * | 2015-08-27 | 2019-08-07 | Kddi株式会社 | 認証方式を決定する装置、方法及びプログラム |
JP6235647B2 (ja) * | 2016-04-26 | 2017-11-22 | ヤフー株式会社 | 推定プログラム、推定装置及び推定方法 |
KR101830129B1 (ko) * | 2016-09-13 | 2018-02-21 | 삼성증권주식회사 | 앱내 채널링 인증방법 및 그 시스템 |
US10681024B2 (en) * | 2017-05-31 | 2020-06-09 | Konica Minolta Laboratory U.S.A., Inc. | Self-adaptive secure authentication system |
JP6897977B2 (ja) * | 2018-08-31 | 2021-07-07 | ベーステクノロジー株式会社 | 認証システムおよびその方法、並びにそのプログラム |
JP2020042372A (ja) * | 2018-09-06 | 2020-03-19 | 株式会社ペンライズ・アンド・カンパニー | 認証システム |
JP7230414B2 (ja) * | 2018-10-09 | 2023-03-01 | 富士フイルムビジネスイノベーション株式会社 | 情報処理システムおよびプログラム |
WO2023132059A1 (ja) * | 2022-01-07 | 2023-07-13 | 日本電気株式会社 | システム、サーバ装置、サーバ装置の制御方法及び記憶媒体 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003006161A (ja) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム |
JP2003296277A (ja) * | 2002-03-29 | 2003-10-17 | Fuji Xerox Co Ltd | ネットワーク装置、認証サーバ、ネットワークシステム、認証方法 |
JP4291213B2 (ja) * | 2004-05-26 | 2009-07-08 | 日本電信電話株式会社 | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 |
JP4913457B2 (ja) * | 2006-03-24 | 2012-04-11 | 株式会社野村総合研究所 | 認証強度の異なるサーバに対応した連携型認証方法及びシステム |
JP5292712B2 (ja) * | 2007-03-23 | 2013-09-18 | 日本電気株式会社 | 認証連携システム、中継装置、認証連携方法および認証連携プログラム |
-
2009
- 2009-03-25 JP JP2009074213A patent/JP5459583B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2010225078A (ja) | 2010-10-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5459583B2 (ja) | 認証方法及びその認証システム並びにその認証処理プログラム | |
US11601412B2 (en) | Securely managing digital assistants that access third-party applications | |
US10805301B2 (en) | Securely managing digital assistants that access third-party applications | |
JP4856755B2 (ja) | カスタマイズ可能なサインオンサービス | |
EP2375688B1 (en) | Managing automatic log in to Internet target resources | |
EP2258095B1 (en) | Identity management | |
US8667560B2 (en) | Authenticating a user with picture messaging | |
US20130125222A1 (en) | System and Method for Vetting Service Providers Within a Secure User Interface | |
JP4913457B2 (ja) | 認証強度の異なるサーバに対応した連携型認証方法及びシステム | |
US10110578B1 (en) | Source-inclusive credential verification | |
JP5764501B2 (ja) | 認証装置、認証方法、及び、プログラム | |
KR20100049653A (ko) | 통보 방법 및 통보 장치 | |
WO2009039223A1 (en) | Methods and systems for management of image-based password accounts | |
JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
US20080134307A1 (en) | Methods for programming a PIN that is mapped to a specific device and methods for using the PIN | |
US11722476B2 (en) | Workflow service back end integration | |
EP2310977A1 (en) | An apparatus for managing user authentication | |
JP6430689B2 (ja) | 認証方法、端末およびプログラム | |
JP5452374B2 (ja) | 認証装置、認証方法及び認証プログラム | |
JP5175490B2 (ja) | 認証装置、認証システム、認証方法および認証プログラム | |
KR102465744B1 (ko) | 로그인 세션 전달을 이용한 기기인증 방법 | |
Russell | Bypassing multi-factor authentication | |
JP2007272542A (ja) | アクセス制御装置、アクセス制御方法、及びプログラム | |
JP5414774B2 (ja) | 認証強度の異なるサーバに対応した連携型認証方法及びシステム | |
JP5460493B2 (ja) | 認証システム及び認証基盤装置及び認証プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100723 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111209 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130305 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130502 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131008 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140102 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5459583 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |