JP5565408B2 - Id認証システム、id認証方法、認証サーバ、端末装置、認証サーバの認証方法、端末装置の通信方法、及びプログラム - Google Patents
Id認証システム、id認証方法、認証サーバ、端末装置、認証サーバの認証方法、端末装置の通信方法、及びプログラム Download PDFInfo
- Publication number
- JP5565408B2 JP5565408B2 JP2011509193A JP2011509193A JP5565408B2 JP 5565408 B2 JP5565408 B2 JP 5565408B2 JP 2011509193 A JP2011509193 A JP 2011509193A JP 2011509193 A JP2011509193 A JP 2011509193A JP 5565408 B2 JP5565408 B2 JP 5565408B2
- Authority
- JP
- Japan
- Prior art keywords
- time
- user
- authentication
- service providing
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Description
本発明はID認証システム、ID認証方法、ID認証プログラムに関し、特に複数のサービス提供装置に対する認証にかかるID認証システム、ID認証方法、ID認証プログラムに関する。
PC(Personal Computer)や携帯電話といった端末から、ネットワークで接続されたサーバ上で提供されるサービスを利用する場合には、通常、ユーザを識別するためのIDおよびパスワードを用いてサービスにログインする。そのことにより、利用しようとしているユーザがサービス側に識別され、ユーザは、ユーザとサービス提供者との契約に応じたサービスを利用することが可能となる。
ユーザが複数のサーバ上でそれぞれ提供されるサービスを利用する場合には、通常はサービスごとに異なるIDとパスワードを用いてログインすることになる。ただしその場合、ログイン手続が煩雑になるため、シングルサインオンと呼ばれる仕組みが利用されることがある。シングルサインオンとは、ある一つのIDとパスワードを用いて一度サービスにログインすることにより、他のサービスへは再度のID及びパスワードの入力手続なしにログインできる仕組みである。このシングルサインオンの仕組みは、ユーザの識別情報が、最初にログインしたサービスと、次にログインするサービスとで共有されることで実現されている。
各サービス提供者は各ユーザに対応するユーザ情報を保有する。ここで、ユーザ情報とは、ユーザがサービス提供者と契約した際に登録された、サービスの利用コース等の契約情報、ユーザの氏名、住所、電話番号等の個人情報及び、サービス側でユーザを識別するための識別子等を含む情報である。サービス提供者はこれらのユーザ情報と、ユーザのID及びパスワードを互いに関連付けて管理している。以下、シングルサインオンに関連する技術を開示した例を挙げる。
特許文献1に記載の認証システムは、利用者端末を識別するための識別情報を利用者端末が保持し、認証サーバがログイン認証済みの利用者端末の識別情報を格納するサインオン管理テーブルを備えるように構成されている。利用者端末からアプリケーションサーバにログイン要求があった場合には、アプリケーションサーバは利用者端末から送信された識別情報を基に、サインオン管理テーブルに当該利用者端末の識別情報が含まれているか否かを判定する。アプリケーションサーバは、当該識別情報が含まれている場合にはログイン認証成功とし、含まれていない場合にはログイン認証情報を利用者端末から取得するように動作する。このような処理により、特許文献1に記載の認証システムにおいてシングルサインオンを実現している。
特許文献2に記載の認証システムは、複数のアプリケーションサーバに接続されたログイン代行システムであり、ログイン代行サーバと、認証サーバと、ログインテンプレートテーブル、URL変換テーブルからなるDBサーバとから構成されている。利用者は、あらかじめログイン代行システム内の認証サーバへのログインを行っておく。その後、利用者端末からユーザがアプリケーションサーバにログインする場合には、ログイン代行サーバが利用者端末から送信されるユーザのアプリケーションサーバへのログイン要求に応答して、当該ユーザの当該アプリケーションサーバに対するログイン認証情報を含む要求を、DBサーバ及び認証サーバの認証情報を利用して生成し、当該ユーザに代わってアプリケーションサーバにログインする。アプリケーションサーバから返信されるレスポンスに対しては、その内容を当該利用者端末が当該アプリケーションサーバから直接受け取った場合と同様に機能するようにDBサーバを用いて変換し、当該利用者端末へと返信する。このような処理によって、特許文献2に記載の認証システムにおいてシングルサインオンを実現している。
本発明が解決しようとする課題は、特に特許文献1における問題点であるが、端末が一意な識別情報を複数のサービス提供装置(たとえばアプリケーションサーバ)に送信することに起因する問題が挙げられる。すなわち、ユーザが端末を通して複数のサービスを利用している場合に、単一のサービス提供者内において端末及びそれを利用しているユーザの特定が可能であるだけでなく、複数のサービス提供者にまたがって端末及びユーザの特定及び追跡が可能になる点である。
具体的には、あるユーザがアプリケーションサーバA上のサービスを利用し、年齢、氏名、住所等の個人情報を入力したとする。その場合、特許文献1ではユーザの識別情報がアプリケーションサーバAに送付されるため、アプリケーションサーバAを管理するサービス提供者aは、ユーザの識別情報と、ユーザの個人情報を関連づけて把握することが可能である。
次にユーザがアプリケーションサーバBやC上のサービスを利用し、それらで物品の購入をしたとする。この場合、アプリケーションサーバB及びCを管理するサービス提供者b及びcは、ユーザの識別情報(これはアプリケーションサーバAに送付されたものと同一である)と、ユーザの購入履歴を関連づけて把握することが可能である。
ここで、サービス提供者b及びcと、サービス提供者aがお互いの情報を交換することにより、共通する識別情報を用いてユーザの個人情報と購入情報等の履歴情報を結びつけて把握することが可能となり、ユーザのプライバシ保護の観点から問題である。
本発明は、このような問題点を解決するためになされたものであり、複数のサービス提供装置間でのユーザの識別の防止、及びユーザの行動履歴情報等の共有を防止したシングルサインオンを実現することができるID認証システム、ID認証方法、及びID認証プログラムを提供することを目的とする。
本発明にかかるID認証システムの一態様は端末装置と、複数のサービス提供装置と、認証サーバとを備え、
前記端末装置は、
一時的に使用されるワンタイムIDを生成するワンタイムID生成手段と、
前記ワンタイムID生成手段により生成されたワンタイムIDを前記サービス提供装置に対して送信するワンタイムID送信手段と、
前記ワンタイムID送信手段により送信したワンタイムIDと、ユーザを一意に識別するユーザIDとを前記認証サーバに対して、送信するユーザID送信手段を有し、
前記サービス提供装置は、
前記端末装置から送信されたワンタイムIDを受信し、前記認証サーバに対して、受信したワンタイムIDに対応する認証情報を問い合わせるID問い合わせ手段を有し、
前記認証サーバは、
ユーザIDと、前記サービス提供装置において認証するための認証情報を互いに関連付けて記憶する認証情報管理手段と、
前記端末装置から送信された前記ワンタイムIDとユーザIDとを受信するID受信手段と、
前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応する当該ユーザIDを、前記ID受信手段により受信された前記ワンタイムIDとユーザIDより取得し、さらに取得したユーザIDに基づいて前記認証情報管理手段において当該ユーザIDと関連づけられた認証情報を取得して、当該サービス提供装置に送信するサーバID応答手段を備えるものである。
前記端末装置は、
一時的に使用されるワンタイムIDを生成するワンタイムID生成手段と、
前記ワンタイムID生成手段により生成されたワンタイムIDを前記サービス提供装置に対して送信するワンタイムID送信手段と、
前記ワンタイムID送信手段により送信したワンタイムIDと、ユーザを一意に識別するユーザIDとを前記認証サーバに対して、送信するユーザID送信手段を有し、
前記サービス提供装置は、
前記端末装置から送信されたワンタイムIDを受信し、前記認証サーバに対して、受信したワンタイムIDに対応する認証情報を問い合わせるID問い合わせ手段を有し、
前記認証サーバは、
ユーザIDと、前記サービス提供装置において認証するための認証情報を互いに関連付けて記憶する認証情報管理手段と、
前記端末装置から送信された前記ワンタイムIDとユーザIDとを受信するID受信手段と、
前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応する当該ユーザIDを、前記ID受信手段により受信された前記ワンタイムIDとユーザIDより取得し、さらに取得したユーザIDに基づいて前記認証情報管理手段において当該ユーザIDと関連づけられた認証情報を取得して、当該サービス提供装置に送信するサーバID応答手段を備えるものである。
本発明にかかるID認証方法は、
端末装置においてワンタイムIDを生成し、
前記端末装置からサービス提供装置に対して前記ワンタイムIDを送信し、
前記端末装置から認証サーバに対して前記ワンタイムIDと、ユーザを一意に識別するためのユーザIDとを送信し、
前記サービス提供装置が、前記端末装置からワンタイムIDを受信し、そのワンタイムIDに基づいて前記認証サーバに一時的IDに対応する認証情報を問い合わせる処理を実行し、
前記認証サーバが、前記端末装置から前記ワンタイムIDと前記ユーザIDとを受信し、
前記認証サーバが、前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応するユーザIDを取得し、さらに当該ユーザIDに対応する認証情報を取得して、当該サービス提供装置にその認証情報を送信するものである。
端末装置においてワンタイムIDを生成し、
前記端末装置からサービス提供装置に対して前記ワンタイムIDを送信し、
前記端末装置から認証サーバに対して前記ワンタイムIDと、ユーザを一意に識別するためのユーザIDとを送信し、
前記サービス提供装置が、前記端末装置からワンタイムIDを受信し、そのワンタイムIDに基づいて前記認証サーバに一時的IDに対応する認証情報を問い合わせる処理を実行し、
前記認証サーバが、前記端末装置から前記ワンタイムIDと前記ユーザIDとを受信し、
前記認証サーバが、前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応するユーザIDを取得し、さらに当該ユーザIDに対応する認証情報を取得して、当該サービス提供装置にその認証情報を送信するものである。
本発明にかかるID認証プログラムは、
ユーザがサービス提供装置にログインするための認証を実行するID認証プログラムであって、
端末装置から送信されたワンタイムIDとユーザIDとを取得し、
前記端末装置から前記ワンタイムIDを受信したサービス提供装置からの問い合わせに含まれるワンタイムIDに対応するユーザIDを取得し、さらに当該ユーザIDに対応する認証情報を取得して、当該サービス提供装置にする認証情報を送信し処理実行させる処理を認証サーバに対して実行させるものである。
ユーザがサービス提供装置にログインするための認証を実行するID認証プログラムであって、
端末装置から送信されたワンタイムIDとユーザIDとを取得し、
前記端末装置から前記ワンタイムIDを受信したサービス提供装置からの問い合わせに含まれるワンタイムIDに対応するユーザIDを取得し、さらに当該ユーザIDに対応する認証情報を取得して、当該サービス提供装置にする認証情報を送信し処理実行させる処理を認証サーバに対して実行させるものである。
本発明により、複数のサービス提供装置間でのユーザの識別の防止、及びユーザの行動履歴情報等の共有を防止したシングルサインオンを実現できる。
実施の形態1
以下、図面を参照して本発明の実施の形態について説明する。
まず、図1を用いて、本発明の実施の形態1にかかるID認証システムの構成について説明する。このID認証システムは、図1に示されるように、端末100、認証サーバ200、複数のアプリケーションサーバ群300(301〜30N)を備えている。これらは、ネットワークに接続され、相互に通信を行うことができる。
以下、図面を参照して本発明の実施の形態について説明する。
まず、図1を用いて、本発明の実施の形態1にかかるID認証システムの構成について説明する。このID認証システムは、図1に示されるように、端末100、認証サーバ200、複数のアプリケーションサーバ群300(301〜30N)を備えている。これらは、ネットワークに接続され、相互に通信を行うことができる。
上述の実施の形態では、端末100、認証サーバ200、複数のアプリケーションサーバ群300をハードウェアの構成として説明したが、本発明は、これに限定されるものではない。本発明は、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。この場合、コンピュータプログラムは、記録媒体に記録して提供することも可能であり、また、インターネットその他の通信媒体を介して伝送することにより提供することも可能である。また、非一時的なコンピュータ可読媒体には、例えば、フレキシブルディスク、ハードディスク、磁気ディスク、光磁気ディスク、CD−ROM、DVD、ROMカートリッジ、バッテリバックアップ付きRAMメモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジ等が含まれる。また、通信媒体には、電話回線等の有線通信媒体、マイクロ波回線等の無線通信媒体等が含まれる。
端末100は、PC(Personal Computer)や携帯電話、PDA(Personal Digital Assistant)などが該当する。アプリケーションサーバ群300は、サービス提供装置の一例として例示したものであり、ネットワーク接続された何らかのサービスを提供する装置であればよい。
端末100はサービス確認部110と、ワンタイムID自動生成部120と、ワンタイムID送信部130と、ユーザID送信部140を備えている。認証サーバ200は、ID受信部210と、ID管理部220と、サーバID応答部230とを含む。アプリケーションサーバ群300は、ID問い合わせ部310(311〜31N)をそれぞれのアプリケーションサーバ上に含む。
サービス確認部110は、今回接続したアプリケーションサーバ及びその上で提供されるサービスが本ID認証システムに対応しているかどうかを確認する。なお、認証サーバ200に接続するアプリケーションサーバ群300全てが本ID認証システムに対応している状況下では、本処理部は必須の構成要件ではない。
ワンタイムID自動生成部120は、今回の接続用に、一時的な仮のIDであるワンタイムIDを生成する。ワンタイムID自動生成部120は接続毎に異なるワンタイムIDを生成する。
ワンタイムID送信部130は、今回の接続用に生成されたワンタイムIDを、今回接続しているアプリケーションサーバ300に送信する。ユーザID送信部140は、ワンタイムIDと、認証サーバが当該ユーザを認識するために事前に発行していた端末ユーザIDを認証サーバ200に送信する。この端末ユーザIDはユーザを一意に識別する識別情報であるが、ユーザ個人のみならず、グループを識別する識別情報も含む概念である。
ID受信部210は、端末100から送信されたワンタイムID及び端末ユーザIDを受信し、それらの組を管理するテーブルに保存する。
ID管理部220は、認証サーバ200が管理しているユーザ毎に、その端末ユーザIDと、当該ユーザの各アプリケーションサーバ300の認証情報をテーブルで管理する認証情報管理部である。ここで、認証情報は各アプリケーションサーバ300にログインするためのパスワードや身分情報等である。
サーバID応答部230は、アプリケーションサーバ300から上述のワンタイムIDによる問い合わせを受信し、ID受信部210で管理しているワンタイムIDと端末ユーザIDの組から該当するワンタイムIDを検索し、組となっている端末ユーザIDを得る。その後、サーバID応答部230は、ID管理部220によって管理されている端末ユーザIDと、各アプリケーションサーバ300のサーバユーザID及びパスワードの組の中から、問い合わせのあったアプリケーションサーバ及び、当該端末ユーザIDに対応した、サーバユーザIDとパスワードを取得し、それらをアプリケーションサーバ300に返信する。
ID問い合わせ部310は、端末から送信されたワンタイムIDを受信し、そのワンタイムIDを使って認証サーバに該当ユーザの認証情報を問い合わせ、返答として当該ユーザのサーバユーザIDおよびパスワードを受信し、当該ユーザのログイン処理を実施する。
続いて、図1及び、図2のフローチャート、図3のシーケンス図を参照して本発明の実施形態1にかかるID認証システムの処理について説明する。
ユーザが端末100を用いて、複数のアプリケーションサーバ群300上で提供される複数のサービスのうち、アプリケーションサーバ301上のサービスを利用する場合、本システムは次のような手順で動作する。
端末100がアプリケーションサーバ301上とネットワーク接続される(図2及び図3のステップA1)。接続方式としては、一例として、HTTP(HyperText Transfer Protocol)や、HTTPS(HyperText Transfer Protocol Security)といったプロトコルを利用して接続することが想定される。
その場合、端末上のサービス確認部110は、接続されたサーバ及びサービスが、本発明のID認証システムに対応しているかどうかを判定する(図2及び図3のステップA2)。
この判定手順の一例としては、本システムに対応しているサーバ及びサービスのURL(Uniform Resource Locator)やIP(Internet Protocol)アドレス、及び接続時のポート番号等のリストを端末に保存しておき、そのリストと、今回接続したサーバ及びサービスの当該情報と比較してリストに含まれるかどうかを判定するというやり方が考えられる。
また他の例としては、HTTPS接続時に行われるサーバのデジタル証明書の認証処理を利用するやり方が考えられる。具体的には、本発明の実施の形態にかかるID認証システムに対応したサーバ及びサービスの場合は、サーバのデジタル証明書内の特定のフィールドに、本システムに対応している識別子として特定の文字列をあらかじめ埋め込んでおき、接続したサーバから送信されたこのサーバのデジタル証明書を端末上で認証する場合に、その識別子が含まれているかどうかを判定するという方法が考えられる。
他にもサーバのデジタル証明書の認証処理を利用した判定方法としては、本発明の実施の形態にかかるID認証システムに対応したサーバ及びサービスの場合は、サーバのデジタル証明書を発行する認証局を特定の認証局に限定するという方法がある。これによって、接続したサーバから送信されたデジタル証明書を端末上で認証する場合に、この特定の認証局によって発行された証明書であれば、本システムに対応していると判定することができる。
本システムに対応していないサーバ及びサービスの場合は、本システムの認証機能は利用できない。しかし、端末上のユーザインタフェイスを通して当該サーバ及びサービス用のユーザID及びパスワードを入力する、通常のログイン方式にてサービスを利用することは可能である(図2のステップA3a)。一方、本システムに対応しているサーバ及びサービスであると判定された場合は、以降の手順で本システムのシングルサインオン処理を開始する(図2及び図3のステップA3b)。
サービス確認部110により接続されたサーバ及びサービスが本システムに対応していると判定された場合、ワンタイムID自動生成部120は今回のサーバ及びサービス接続用のワンタイムIDを新たに生成する(図2及び図3のステップA4)。
ワンタイムIDは、同一端末での複数回に渡るワンタイムIDの生成及び、他の端末におけるワンタイムIDと偶然同じものを生成しないように、十分な桁数を持ったIDにすることが望ましい。また必要に応じてIDの有効期限を設定することで、同じワンタイムIDが生成される可能性を減らすことも可能である。さらに、このワンタイムIDには、以降で述べるワンタイムIDの問い合わせ手順において必要な認証サーバ200のアドレスが埋め込まれていてもよい。
ワンタイムIDの例として、「a323912z9dw0afcdsl@authentication.server.co.jp」のような形式が挙げられる。区切り文字として使用した「@」の前半部分「a323912z9dw0afcdsl」が、自動で生成されたランダムな文字列であり、「@」の後半部分「authentication.server.co.jp」が、このワンタイムIDを問い合わせる認証サーバのアドレスとなる。ここではワンタイムIDに認証サーバのアドレスを埋め込む実装例を示したが、認証サーバのアドレスはワンタイムIDに含めずに、別途送信するように実装してもよい。
次にユーザID送信部140は、ステップA4で生成されたワンタイムIDと、認証サーバ200が端末ユーザを認識するために事前に発行していた端末ユーザIDを認証サーバ200に送信する(図2及び図3のステップA5)。ここでは、ユーザID送信部140は、ワンタイムIDとして「a323912z9dw0afcdsl」、端末ユーザIDとして「user001」を認証サーバ200に送信するものとする。
端末ユーザは、認証サーバ200に対して事前にユーザ登録を行い、認証サーバ200が端末100及び端末100を利用しているユーザを認識するための端末ユーザIDを発行してもらっておく必要がある。さらに当該ユーザIDを端末100上の端末ユーザID送信部に予め登録しておくことで、ユーザがユーザIDをこのステップA5において入力する手間が省け、自動で一連の処理を実行することが可能となる。また端末ユーザIDと同時に、パスワードも設定し、認証サーバ200に送付してもよい。
次に、端末100上のワンタイムID送信部130は、ステップA4で生成されたワンタイムIDをアプリケーションサーバ301に送信する(図2及び図3のステップA6)。ここでは、ワンタイムID送信部130はワンタイムIDとして「a323912z9dw0afcdsl」をアプリケーションサーバ301に送信するものとする。
端末100からステップA5で認証サーバ200に送信されたワンタイムID及び端末ユーザIDは、認証サーバ上のID受信部210によって受信され、ワンタイムIDとユーザIDが組としてID受信部210が管理するテーブルに保存される(図2及び図3のステップA7)。ここでは、ID受信部210は図4に示すように、ワンタイムID「a323912z9dw0afcdsl」と端末ユーザID「user001」の組をテーブルに格納し、管理する。本実施形態では、ワンタイムIDと端末ユーザIDをデータベースのテーブルで管理する例を示したが、サーバ内の主記憶装置等で管理してもよい。
なお、ユーザID送信部140による認証サーバ200に対する処理(図2及び図3のステップA5、A7)とワンタイムID送信部130によるアプリケーションサーバに対する処理(図2及び図3のステップA6)の処理順序はどちらが先でも構わず、同時に行われてもよい。
端末100からステップA6でアプリケーションサーバ301に送信されたワンタイムIDは、アプリケーションサーバ301上のID問い合わせ部311によって受信され、このワンタイムIDを基に認証サーバ200に対して現在接続中の端末ユーザの認証情報を問い合わせる(図2及び図3のステップA8)。ここでは、ID問い合わせ部311は、ワンタイムID「a323912z9dw0afcdsl」を基に認証サーバ200に対して端末ユーザの認証情報を問い合わせるものとする。
ワンタイムID内に認証サーバのアドレスが埋め込まれている場合は、ID問い合わせ部311は、このアドレスが表す認証サーバに対して問い合わせを行う。一方ワンタイムIDと別に端末100から認証サーバのアドレスが送信された場合は、そのアドレスを用いる。これらの方法を用いた、端末100からの認証サーバの指定がない場合は、アプリケーションサーバ301は事前に既知の認証サーバのアドレスのリストを備えておき、これを用いてIDの問い合わせを行ってもよい。
認証サーバ上のサーバID応答部230は、アプリケーションサーバ301からの、ワンタイムIDによる認証情報問い合わせを受信すると、ID受信部210が管理するワンタイムIDとユーザIDの組から該当するワンタイムIDを検索し、組となっている端末ユーザIDを取得する(図2及び図3のステップA9)。ここで、サーバID応答部230はワンタイムIDとして「a323912z9dw0afcdsl」を受信した場合、ワンタイムIDと端末ユーザIDが格納されたテーブル(図4)を検索し、端末ユーザIDとして「user001」を取得する。
引き続きサーバID応答部230は、ID管理部220によって管理されている端末ユーザIDと、各アプリケーションサーバのサーバユーザID及びパスワードの組の中から、問い合わせのあったアプリケーションサーバ301及び、当該端末ユーザIDに対応した、サーバユーザIDとパスワードを取得し、それらをアプリケーションサーバ301に返信する(図2及び図3のステップA10)。ここでは、アプリケーションサーバ301が「http://abcde.com」というアドレスを持つサーバであった場合、ID応答部230は問い合わせに対し、ID管理部220が管理するテーブル(図5)から端末ユーザID「user001」に対応するサーバユーザID「yamada-taro」とパスワード「Xed241w」を取得する。その後、ID応答部230はアプリケーションサーバ301にサーバユーザID「yamada-taro」とパスワード「Xed241w」を送信する。
認証サーバ上のID管理部220は、認証サーバが管理している端末ユーザ毎に端末ユーザIDと関連付けて、当該ユーザが各アプリケーションサーバ上のサービスにログインするためのサーバユーザIDとパスワードとの組を管理している(図5)。なお、これらの情報をデータベースのテーブルで管理する例を示したが、サーバ内の主記憶装置等で管理してもよい。このサーバユーザIDとパスワードの組は、アプリケーションサーバ毎に異なっており、これらは端末ユーザが事前に各アプリケーションサーバに対して登録等を行い発行してもらっておく必要がある。 本実施の形態の認証情報はIDとパスワードの組であるが、その他の認証情報であってもよい。
サーバユーザIDとパスワードを取得したアプリケーションサーバ301は、当該端末ユーザのログイン処理を行い、当該端末ユーザに対してサービスの提供を開始する(図2及び図3のステップA11)。
本実施形態では、端末100はアプリケーションサーバ300のそれぞれに対しては、それぞれ異なるワンタイムIDしか送信しないため、複数のアプリケーションサーバ300をまたがって、ある特定の端末ユーザを識別し、その端末ユーザの各アプリケーションサーバ300上での行動を追跡することを防止することができる。
また、ユーザがアプリケーションサーバ300利用時に、認証サーバ200側は、認証サーバ200内で管理している当該アプリケーションサーバに対応した、当該ユーザのサーバユーザID及びパスワードをアプリケーションサーバのワンタイムIDを用いた問い合わせに応じて送信することで、各アプリケーションサーバに対するユーザの手動ログイン操作が不要な自動シングルサインオンを実現することができる。
実施の形態2
本発明の実施の形態2は、図6に示すように認証サーバが複数個あることを特徴とするものである。この場合、端末ユーザは認証サーバ200(201〜20N)のうちの任意の複数個の認証サーバに対してユーザ登録を行い、端末ユーザIDをあらかじめ発行してもらっておく。また各アプリケーションサーバ300に対して、当該端末ユーザがログインするためのサーバユーザID及びパスワードは、端末ユーザがユーザ登録を実施した認証サーバのうちのいずれのID管理部において管理されていてもよい。
本発明の実施の形態2は、図6に示すように認証サーバが複数個あることを特徴とするものである。この場合、端末ユーザは認証サーバ200(201〜20N)のうちの任意の複数個の認証サーバに対してユーザ登録を行い、端末ユーザIDをあらかじめ発行してもらっておく。また各アプリケーションサーバ300に対して、当該端末ユーザがログインするためのサーバユーザID及びパスワードは、端末ユーザがユーザ登録を実施した認証サーバのうちのいずれのID管理部において管理されていてもよい。
この構成における本発明のID認証システムの動作について、第1の実施の形態と異なる部分のみ説明する。
図2及び図3のステップA4において端末100上のワンタイムID自動生成部120がワンタイムIDを生成する場合には、複数の認証サーバ200(201〜20N)のうち、今回問い合わせるべき認証サーバのアドレスを、ワンタイムIDに埋め込んでおく。 例えば今回認証サーバ205を利用するとして、認証サーバ205のアドレスが「authentication.server205.co.jp」であった場合は、この情報を第1の実施の形態で述べた手順でワンタイムIDに埋め込んでおく。別の手段として、同じく第1の実施の形態で説明したように、この認証サーバのアドレスをアプリケーションサーバにワンタイムIDと別に送信するようにしてもよい。
図2及び図3のステップA8においてアプリケーションサーバがID問い合わせ部を用いて認証サーバにワンタイムIDの問い合わせを行う際には、アプリケーションサーバにて受信したワンタイムIDに埋め込まれた認証サーバのアドレス、もしくは別途受信した認証サーバのアドレスを用いて、問い合わせるべき認証サーバを決定し、当該認証サーバに問い合わせを行うように動作する。
このような一連の処理により、複数台認証サーバが存在する図6の構成においても、本発明のID認証システムは動作することができる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、端末ユーザIDは認証サーバから提供されるものでなく、MACアドレス(Media Access Control address)のように端末を一意に識別できるものであってもよい。
また、ユーザが複数の端末を保有する場合、各端末で同一の端末ユーザIDを共有してもよい。例えば、ユーザがPCと携帯電話、PDAを保有している場合、それらの端末で同一の端末ユーザIDを共有してもよい。
この出願は、2009年4月15日に出願された日本出願特願2009−098998を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、例えば、ユーザ認証を要するインターネット上の電子商取引システムについて利用可能性を有する。
100 端末 200 認証サーバ 301〜30N サービス提供装置 110 サービス確認部 120 ワンタイムID自動生成部 130 ワンタイムID送信部 140 ユーザID送信部 210 ID受信部 220 ID管理部 230 サーバID応答部 310 ID問い合わせ部
Claims (13)
- 端末装置と、複数のサービス提供装置と、認証サーバとを備え、
前記端末装置は、
一時的に使用されるワンタイムIDを生成するワンタイムID生成手段と、
前記ワンタイムID生成手段により生成されたワンタイムIDを前記サービス提供装置に対して送信するワンタイムID送信手段と、
前記ワンタイムID送信手段により送信したワンタイムIDと、ユーザを一意に識別するユーザIDとを前記認証サーバに対して、送信するユーザID送信手段を有し、
前記サービス提供装置の少なくとも1つは、
前記端末装置から送信されたワンタイムIDを受信し、受信したワンタイムIDに対応する、自装置へのログインに用いる認証情報を前記認証サーバに対して問い合わせるID問い合わせ手段を有し、
前記認証サーバは、
ユーザIDと、前記サービス提供装置へのログインに用いる認証情報を互いに関連付けて記憶する認証情報管理手段と、
前記端末装置から送信された前記ワンタイムIDと前記ユーザIDとを受信し、当該ワンタイムIDと当該ユーザIDとを組として管理するID受信手段と、
前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応する前記ユーザIDを、前記管理されたワンタイムIDとユーザIDとの組から取得し、さらに取得したユーザIDに対応する前記認証情報を前記認証情報管理手段から取得して、前記認証情報を当該サービス提供装置に送信するサーバID応答手段を有するID認証システム。 - 前記端末装置のワンタイムID生成手段は、前記認証サーバのアドレス情報を含むワンタイムIDを生成し、
前記サービス提供装置は、当該ワンタイムIDに含まれるアドレス情報により指定された認証サーバに対して問い合わせを行うことを特徴とする請求項1記載のID認証システム。 - 前記認証サーバのアドレス情報を含むワンタイムIDは、一時的な識別情報である文字列とドメイン名から構成されることを特徴とする請求項2記載のID認証システム。
- 前記ID認証システムは、複数の認証サーバを備えたことを特徴とする請求項2又は3記載のID認証システム。
- 端末装置においてワンタイムIDを生成し、
前記端末装置からサービス提供装置に対して前記ワンタイムIDを送信し、
前記端末装置から認証サーバに対して前記ワンタイムIDと、ユーザを一意に識別するためのユーザIDとを送信し、
前記サービス提供装置の少なくとも1つが、前記端末装置からワンタイムIDを受信し、前記認証サーバに対して、受信したワンタイムIDに対応する、自装置へのログインに用いる認証情報を問い合わせる処理を実行し、
前記認証サーバが、前記端末装置から前記ワンタイムIDと前記ユーザIDとを受信し、当該ワンタイムIDと当該ユーザIDとを組として管理し、
前記認証サーバが、前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応するユーザIDを前記管理されたワンタイムIDとユーザIDとの組から取得し、さらに当該ユーザIDに対応する前記認証情報を取得して、当該サービス提供装置に前記認証情報を送信するID認証方法。 - 前記ワンタイムIDは、前記認証サーバのアドレス情報を含み、
前記サービス提供装置は、当該ワンタイムIDに含まれるアドレス情報により指定された認証サーバに対して問い合わせを行うことを特徴とする請求項5記載のID認証方法。 - 前記認証サーバのアドレス情報を含むワンタイムIDは、一時的な識別情報である文字列とドメイン名から構成されることを特徴とする請求項6記載のID認証方法。
- サービス提供装置に対して端末装置の認証を行う認証サーバであって、
ユーザを一意に識別するユーザIDと、前記サービス提供装置へのログインに用いる認証情報を互いに関連付けて記憶する認証情報管理手段と、
前記端末装置から送信された、一時的に使用されるワンタイムIDとユーザIDとを受信し、当該ワンタイムIDと当該ユーザIDとを組として管理するID受信手段と、
前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応する当該ユーザIDを、前記管理されたワンタイムIDとユーザIDとの組から取得し、さらに取得したユーザIDに基づいて前記認証情報管理手段において当該ユーザIDと関連づけられた前記認証情報を取得して、当該サービス提供装置に送信するサーバID応答手段を有する認証サーバ。 - 認証サーバとサービス提供装置とネットワークを介して接続される端末装置であって、
一時的に使用されるワンタイムIDを生成するワンタイムID生成手段と、
前記サービス提供装置に対して、前記ワンタイムID生成手段により生成されたワンタイムIDを送信するワンタイムID送信手段と、
前記認証サーバに対して、前記ワンタイムID送信手段により送信するワンタイムIDと、ユーザを一意に識別するユーザIDとを送信するユーザID送信手段を有することを特徴とする端末装置。 - サービス提供装置に対して端末装置の認証を行う認証サーバの認証方法であって、
ユーザを一意に識別するユーザIDと、前記サービス提供装置へのログインに用いる認証情報を互いに関連付けて記憶し、
前記端末装置から送信された、一時的に使用されるワンタイムIDとユーザIDとを受信し、当該ワンタイムIDと当該ユーザIDとを組として管理し、
前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応する当該ユーザIDを、前記管理されたワンタイムIDとユーザIDとの組から取得し、さらに取得したユーザIDに基づいて前記認証情報管理手段において当該ユーザIDと関連づけられた前記認証情報を取得して、当該サービス提供装置に送信する認証サーバの認証方法。 - 認証サーバとサービス提供装置とネットワークを介して接続される端末装置の通信方法であって、
一時的に使用されるワンタイムIDを生成し、
前記サービス提供装置に対して、前記ワンタイムID生成手段により生成されたワンタイムIDを送信し、
前記認証サーバに対して、前記ワンタイムID送信手段により送信するワンタイムIDと、ユーザを一意に識別するユーザIDとを送信する端末装置の通信方法。 - サービス提供装置に対して端末装置の認証を行う認証サーバの認証方法をコンピュータに実行させるプログラムであって、
ユーザを一意に識別するユーザIDと、前記サービス提供装置へのログインに用いる認証情報を互いに関連付けて記憶する処理と、
前記端末装置から送信された、一時的に使用されるワンタイムIDとユーザIDとを受信し、当該ワンタイムIDと当該ユーザIDとを組として管理する処理と、
前記サービス提供装置からの問い合わせに含まれるワンタイムIDに対応する当該ユーザIDを、前記管理されたワンタイムIDとユーザIDとの組から取得し、さらに取得したユーザIDに基づいて前記認証情報管理手段において当該ユーザIDと関連づけられた前記認証情報を取得して、当該サービス提供装置に送信する処理をコンピュータに実行させるプログラム。 - 認証サーバとサービス提供装置とネットワークを介して接続される端末装置の通信方法をコンピュータに実行させるプログラムであって、
一時的に使用されるワンタイムIDを生成し、
前記サービス提供装置に対して、前記ワンタイムID生成手段により生成されたワンタイムIDを送信し、
前記認証サーバに対して、前記ワンタイムID送信手段により送信するワンタイムIDと、ユーザを一意に識別するユーザIDとを送信する処理をコンピュータに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011509193A JP5565408B2 (ja) | 2009-04-15 | 2010-03-24 | Id認証システム、id認証方法、認証サーバ、端末装置、認証サーバの認証方法、端末装置の通信方法、及びプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009098998 | 2009-04-15 | ||
| JP2009098998 | 2009-04-15 | ||
| JP2011509193A JP5565408B2 (ja) | 2009-04-15 | 2010-03-24 | Id認証システム、id認証方法、認証サーバ、端末装置、認証サーバの認証方法、端末装置の通信方法、及びプログラム |
| PCT/JP2010/002073 WO2010119626A1 (ja) | 2009-04-15 | 2010-03-24 | Id認証システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2010119626A1 JPWO2010119626A1 (ja) | 2012-10-22 |
| JP5565408B2 true JP5565408B2 (ja) | 2014-08-06 |
Family
ID=42982301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011509193A Active JP5565408B2 (ja) | 2009-04-15 | 2010-03-24 | Id認証システム、id認証方法、認証サーバ、端末装置、認証サーバの認証方法、端末装置の通信方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8875270B2 (ja) |
| JP (1) | JP5565408B2 (ja) |
| WO (1) | WO2010119626A1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013047093A1 (ja) * | 2011-09-29 | 2013-04-04 | 沖電気工業株式会社 | Id管理装置、プログラム、利用者端末、およびid管理システム |
| KR101924962B1 (ko) * | 2012-10-04 | 2018-12-04 | 엘지전자 주식회사 | 이동 단말기, 홈 어플라이언스 및 그 동작방법 |
| US9467445B2 (en) * | 2013-11-08 | 2016-10-11 | Launchkey, Inc. | Systems and methods for group authentication |
| JP6204854B2 (ja) | 2014-03-12 | 2017-09-27 | 株式会社Nttドコモ | 情報提供システム、情報提供方法、近距離通信デバイス、情報提供装置及びサーバ |
| US9736647B2 (en) * | 2014-03-19 | 2017-08-15 | Verizon Patent And Licensing Inc. | Method, apparatus, and system for network identifier supression |
| JP6590180B2 (ja) * | 2014-08-08 | 2019-10-16 | 公立大学法人首都大学東京 | サービス利用情報共有システム |
| US10291147B2 (en) * | 2016-09-29 | 2019-05-14 | Ge Global Sourcing Llc | Current reduction system for inverters connected to a common bus |
| JP6977664B2 (ja) * | 2018-05-30 | 2021-12-08 | 日本電信電話株式会社 | 管理装置、管理方法及び管理プログラム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002334056A (ja) * | 2001-05-08 | 2002-11-22 | Infocom Corp | ログイン代行システム及びログイン代行方法 |
| JP2005519365A (ja) * | 2002-02-28 | 2005-06-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置 |
| JP2006004149A (ja) * | 2004-06-17 | 2006-01-05 | Kddi Corp | 利用者認証システムおよび方法 |
| JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
| JP2006135431A (ja) * | 2004-11-02 | 2006-05-25 | Olympus Corp | 電子機器 |
| JP2008186201A (ja) * | 2007-01-29 | 2008-08-14 | Nec Soft Ltd | リバースプロキシサーバ、その制御方法及びプログラム |
| JP2008225573A (ja) * | 2007-03-08 | 2008-09-25 | Terumo Corp | 代理サーバ、代理サーバのためのプログラム及び代理アクセス方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020122063A1 (en) * | 2000-12-29 | 2002-09-05 | Weinberg Carl B. | System and method for storing and displaying information |
| JP2005267529A (ja) | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 |
-
2010
- 2010-03-24 US US13/256,698 patent/US8875270B2/en not_active Expired - Fee Related
- 2010-03-24 JP JP2011509193A patent/JP5565408B2/ja active Active
- 2010-03-24 WO PCT/JP2010/002073 patent/WO2010119626A1/ja active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002334056A (ja) * | 2001-05-08 | 2002-11-22 | Infocom Corp | ログイン代行システム及びログイン代行方法 |
| JP2005519365A (ja) * | 2002-02-28 | 2005-06-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置 |
| JP2006004149A (ja) * | 2004-06-17 | 2006-01-05 | Kddi Corp | 利用者認証システムおよび方法 |
| JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
| JP2006135431A (ja) * | 2004-11-02 | 2006-05-25 | Olympus Corp | 電子機器 |
| JP2008186201A (ja) * | 2007-01-29 | 2008-08-14 | Nec Soft Ltd | リバースプロキシサーバ、その制御方法及びプログラム |
| JP2008225573A (ja) * | 2007-03-08 | 2008-09-25 | Terumo Corp | 代理サーバ、代理サーバのためのプログラム及び代理アクセス方法 |
Non-Patent Citations (2)
| Title |
|---|
| CSND200500893001; '次世代認証システムSKIP9 使い捨てのワンタイムIDでネットセキュリティの概念が変わる' 日経ソリューションビジネス 第223号, 20050430, 52-53, 日経BP社 * |
| JPN6013057017; '次世代認証システムSKIP9 使い捨てのワンタイムIDでネットセキュリティの概念が変わる' 日経ソリューションビジネス 第223号, 20050430, 52-53, 日経BP社 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2010119626A1 (ja) | 2012-10-22 |
| WO2010119626A1 (ja) | 2010-10-21 |
| US20120023561A1 (en) | 2012-01-26 |
| US8875270B2 (en) | 2014-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5565408B2 (ja) | Id認証システム、id認証方法、認証サーバ、端末装置、認証サーバの認証方法、端末装置の通信方法、及びプログラム | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| EP2705642B1 (en) | System and method for providing access credentials | |
| US9608814B2 (en) | System and method for centralized key distribution | |
| US8646057B2 (en) | Authentication and authorization of user and access to network resources using openid | |
| US8978100B2 (en) | Policy-based authentication | |
| JP4880699B2 (ja) | サービスアカウントを保護するための方法、システム、及び装置 | |
| EP3228069B1 (en) | Stack fusion architecture including distributed software clusters to enable software communication services | |
| EP1909430A1 (en) | Access authorization system of communication network and method thereof | |
| RU2008114665A (ru) | Защищенная обработка мандата клиентской системы для доступа к ресурсам на основе web | |
| JP2016523416A (ja) | アカウントログイン方法、デバイス及びシステム | |
| CN101426009A (zh) | 身份管理平台、业务服务器、统一登录系统及方法 | |
| EP3017582A1 (en) | Method to enroll a certificate to a device using scep and respective management application | |
| US11165768B2 (en) | Technique for connecting to a service | |
| CN101420416A (zh) | 身份管理平台、业务服务器、登录系统及方法、联合方法 | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| TW201127098A (en) | User-based authentication for realtime communications | |
| WO2011144081A2 (zh) | 用户业务鉴权方法、系统及服务器 | |
| JP2019040319A (ja) | 代理認証システム、代理認証方法、プログラム | |
| JP4950095B2 (ja) | サービス提供システム、サービス提供方法およびサービス提供プログラム | |
| WO2013109556A1 (en) | Integrating server applications with multiple authentication providers | |
| JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
| JP5384462B2 (ja) | 認証システムおよび認証方法 | |
| US8589519B2 (en) | Method and device for uniform resource identifier handling of user device | |
| JP2020173507A (ja) | 認証仲介装置及び認証仲介プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130207 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131119 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140110 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140325 Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140325 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140520 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140602 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5565408 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |