JP5722271B2 - Attribute information acquisition method, attribute information acquisition system using the method, each device and program - Google Patents

Attribute information acquisition method, attribute information acquisition system using the method, each device and program Download PDF

Info

Publication number
JP5722271B2
JP5722271B2 JP2012099009A JP2012099009A JP5722271B2 JP 5722271 B2 JP5722271 B2 JP 5722271B2 JP 2012099009 A JP2012099009 A JP 2012099009A JP 2012099009 A JP2012099009 A JP 2012099009A JP 5722271 B2 JP5722271 B2 JP 5722271B2
Authority
JP
Japan
Prior art keywords
attribute information
attribute
authentication
type
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012099009A
Other languages
Japanese (ja)
Other versions
JP2013228805A (en
Inventor
健一郎 武藤
健一郎 武藤
知加良 盛
盛 知加良
亮太 佐藤
亮太 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012099009A priority Critical patent/JP5722271B2/en
Publication of JP2013228805A publication Critical patent/JP2013228805A/en
Application granted granted Critical
Publication of JP5722271B2 publication Critical patent/JP5722271B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、属性情報を利用した処理を行う際の属性情報の取得に関し、属性情報の種別を明らかにして属性情報を取得する属性情報取得方法と、その方法を用いた属性情報取得システムと、各装置とプログラムに関する。   The present invention relates to acquisition of attribute information when performing processing using attribute information, an attribute information acquisition method for acquiring attribute information by clarifying the type of attribute information, an attribute information acquisition system using the method, It relates to each device and program.

情報システムで利用する属性情報は、大きく分類すると、属性A:認証を行うための属性と、属性B:認証により保証される属性と、属性C:非認証で取得可能な属性と、の三つの種別に分類される。以降、属性A,属性Bは、属性種別A,属性種別Bと称する。   The attribute information used in the information system can be roughly classified into three categories: attribute A: an attribute for performing authentication, attribute B: an attribute guaranteed by authentication, and attribute C: an attribute obtainable by non-authentication. Classified by type. Hereinafter, attribute A and attribute B are referred to as attribute type A and attribute type B.

属性種別Aに該当する属性情報aが正しいという前提条件の下で属性種別Bに該当する属性情報bを取得する技術として、例えばアイデンティティ管理技術がある。アイデンティティ管理技術としては、Webアプリケーションでシングルサインオンを利用する枠組みであるSAML(非特許文献1)や、ユーザアカウント及びユーザ属性を組織的に管理するためのプロトコルであるLDAP(非特許文献2)などがある。   As a technique for acquiring the attribute information b corresponding to the attribute type B under the precondition that the attribute information a corresponding to the attribute type A is correct, for example, there is an identity management technique. As an identity management technique, SAML (Non-Patent Document 1), which is a framework that uses single sign-on in Web applications, and LDAP (Non-Patent Document 2), which is a protocol for systematically managing user accounts and user attributes. and so on.

Security Assertion Markup Language(SAML)V2.0 Technical Overview, http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdfSecurity Assertion Markup Language (SAML) V2.0 Technical Overview, http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf Lightweight Directory Access Protocol(V3) http://tools.ietf.org/html/rfc2251Lightweight Directory Access Protocol (V3) http://tools.ietf.org/html/rfc2251

従来の技術では、例えばアプリケーションの枠を超えて属性情報を取得して利用することが出来なかった。図10に従来技術の課題を示す。アプリケーションαは、属性情報aによる属性情報管理装置90でのユーザ認証のあと、属性情報管理装置90からアプリケーションαに属性情報bを提供する。その後、新たに他の属性情報管理装置91から属性情報bを入手しようとしても入手することが出来ない。図中の丸と斜めの線による記号は、アプリケーションαが属性情報管理装置91にアクセス出来ないことを表している。 In the conventional technology, for example, attribute information cannot be acquired and used beyond the frame of an application. FIG. 10 shows the problems of the prior art. The application α provides the attribute information b 1 from the attribute information management device 90 to the application α after user authentication at the attribute information management device 90 by the attribute information a. Thereafter, it is impossible to even obtain an attempt to obtain a new attribute information b 2 from other attribute information managing device 91. Symbols with circles and diagonal lines in the figure indicate that the application α cannot access the attribute information management apparatus 91.

属性を取得するシステムの構築において、従来技術では、取り扱う属性情報の属性種別を事前に決定することを前提とするため、アプリケーションを再構築しない限り「事前に決定した属性の種別以外の属性情報を取得することが出来ない」といった技術的限界が存在する。   In the construction of a system for acquiring attributes, the conventional technology assumes that the attribute type of the attribute information to be handled is determined in advance. Therefore, unless the application is reconfigured, the attribute information other than the attribute type determined in advance is used. There is a technical limit such as “cannot be acquired”.

この限界点により、属性種別が混在する属性情報を取り扱う状況下において属性種別に応じて柔軟に属性情報の取得先を変更することができず、取得可能な属性情報が特定の属性種別の情報に限定されてしまう課題が発生する。   Due to this limitation, it is not possible to flexibly change the attribute information acquisition source according to the attribute type in the situation where attribute information with mixed attribute types is handled, and the attribute information that can be acquired becomes information of a specific attribute type. A limited problem arises.

本発明は、このような課題に鑑みてなされたものであり、属性種別が混在している状況下であっても、アプリケーションを再構築する事無く属性情報を取得することが出来る属性情報取得方法と、その方法を用いた属性情報取得システムと、各装置とプログラムを提供することを目的とする。   The present invention has been made in view of such problems, and an attribute information acquisition method capable of acquiring attribute information without restructuring an application even in a situation where attribute types are mixed. Another object of the present invention is to provide an attribute information acquisition system using the method, each device, and a program.

この発明の属性情報取得方法は、ユーザ端末が、属性情報流通サーバに対して属性情報取得要求を送出して属性情報の取得を要求する属性情報要求過程と、属性情報流通サーバ若しくは認証属性情報管理サーバが、ユーザ端末から認証を行うための属性種別である属性種別Aに該当する属性情報aを取得して当該ユーザを認証し、当該認証結果と認証元を表す識別子を出力するユーザ認証過程と、認証属性情報管理サーバが、認証により保証される属性種別である属性種別Bに該当する属性情報bを管理し、上記認証結果に対応する属性情報bを上記属性情報流通サーバに提供する属性情報提供過程と、属性情報流通サーバが、上記認証結果と認証元を表す識別子を用いて属性情報を管理する認証属性情報管理サーバから当該認識結果に対応する属性情報bを取得してユーザ端末に流通する属性情報流通過程と、ユーザ端末が、属性情報流通サーバから属性情報bと、情報提供サーバから非認証で取得可能な属性種別である属性種別Cに該当する属性情報cの、一方又は両方を取得し、上記属性情報bを認証が取れた属性情報として利用する属性情報利用過程と、を有する。   The attribute information acquisition method of the present invention includes an attribute information request process in which a user terminal sends an attribute information acquisition request to an attribute information distribution server to request acquisition of attribute information, and the attribute information distribution server or authentication attribute information management A user authentication process in which the server acquires attribute information a corresponding to the attribute type A, which is an attribute type for authentication from the user terminal, authenticates the user, and outputs the authentication result and an identifier representing the authentication source; , The attribute information management server manages the attribute information b corresponding to the attribute type B which is the attribute type guaranteed by the authentication, and provides the attribute information b corresponding to the authentication result to the attribute information distribution server The provision process and the attribute information distribution server respond to the recognition result from the authentication attribute information management server that manages the attribute information using the authentication result and the identifier representing the authentication source. Attribute information distribution process for acquiring attribute information b to be distributed to the user terminal, and attribute type C that is an attribute type that the user terminal can acquire without attribute information b from the attribute information distribution server and unauthenticated from the information providing server One or both of the attribute information c corresponding to the above, and using the attribute information b as authenticated attribute information.

また、この発明の属性情報取得システムは、上記した属性情報取得方法を実行する認証属性情報管理サーバと、属性情報流通サーバと、ユーザ端末と、を備える。   Moreover, the attribute information acquisition system of this invention is provided with the authentication attribute information management server which performs the above-mentioned attribute information acquisition method, an attribute information distribution server, and a user terminal.

本発明の属性情報取得方法によれば、認証により保証される属性種別である属性種別Bに該当する属性情報bと、非認証で取得可能な属性種別である属性種別Cに該当する属性情報cとを、区別して取得することが出来ると共に、認証結果と認証元を表す識別子を用いて属性情報を管理する1個以上の認証属性情報管理装置から属性情報bを取得することが可能である。その結果、柔軟に属性情報の取得先を変更することができ、アプリケーションを再構築する事無く新しい属性情報を取得することが可能になる。   According to the attribute information acquisition method of the present invention, the attribute information b corresponding to the attribute type B that is an attribute type guaranteed by the authentication, and the attribute information c corresponding to the attribute type C that is an attribute type that can be acquired by non-authentication. And the attribute information b can be acquired from one or more authentication attribute information management devices that manage the attribute information using the identifier representing the authentication result and the authentication source. As a result, the acquisition destination of attribute information can be flexibly changed, and new attribute information can be acquired without restructuring the application.

本発明の属性情報取得システム100のシステム構成を示す図。The figure which shows the system configuration | structure of the attribute information acquisition system 100 of this invention. 図1の動作シーケンスを示す図。The figure which shows the operation | movement sequence of FIG. 認証属性情報管理サーバ50の機能を、認証管理サーバ60と属性情報管理サーバ50′とに、分離して持たせた場合の動作シーケンスを示す図。The figure which shows the operation | movement sequence at the time of giving separately the function of the authentication attribute information management server 50 to the authentication management server 60 and the attribute information management server 50 '. ユーザ端末10の機能構成例を示す図。The figure which shows the function structural example of the user terminal. ユーザ端末10の動作フローを示す図。The figure which shows the operation | movement flow of the user terminal 10. 属性情報取得提供サーバ70の機能構成例を示す図。The figure which shows the function structural example of the attribute information acquisition provision server 70. FIG. 属性情報流通サーバ30の機能構成例を示す図。The figure which shows the function structural example of the attribute information distribution server 30. FIG. 属性情報流通サーバ30の動作フローを示す図。The figure which shows the operation | movement flow of the attribute information distribution server 30. 本発明の属性情報取得システム100′の動作シーケンス図を示す図。The figure which shows the operation | movement sequence diagram of attribute information acquisition system 100 'of this invention. 従来技術の課題を説明するための図。The figure for demonstrating the subject of a prior art.

以下、この発明の実施の形態を図面を参照して説明する。複数の図面中同一のものには同じ参照符号を付し、説明は繰り返さない。   Embodiments of the present invention will be described below with reference to the drawings. The same reference numerals are given to the same components in a plurality of drawings, and the description will not be repeated.

図1に、この発明の属性情報取得システム100のシステム構成を示す。属性情報取得システム100は、ユーザの操作により属性種別の異なる属性情報を利用するユーザ端末10と、認証により保証される属性種別Bの属性情報を1台以上の認証属性情報管理サーバから取得してユーザ端末10に流通する属性情報流通サーバ30と、認証不要の属性情報cを提供する情報提供サーバ40と、ユーザの認証を行うための属性種別Aに該当する属性情報である属性情報aを管理すると共に、認証により保証される属性種別Bに該当する属性情報の属性情報bを管理する1台以上の認証属性情報管理サーバ50(50,50,…50)とを具備する。情報提供サーバ40は、例えばGPS受信装置などの従来技術で構成される(詳しくは後述する)。また、認証属性情報管理サーバ50は、例えば上記した非特許文献1や2に記載された従来技術で構成される。 FIG. 1 shows a system configuration of an attribute information acquisition system 100 of the present invention. The attribute information acquisition system 100 acquires, from one or more authentication attribute information management servers, the user terminal 10 that uses attribute information of different attribute types according to user operations and the attribute type B attribute information guaranteed by the authentication. Manages attribute information distribution server 30 distributed to user terminal 10, information providing server 40 that provides attribute information c that does not require authentication, and attribute information a that is attribute information corresponding to attribute type A for user authentication And one or more authentication attribute information management servers 50 (50 1 , 50 2 ,... 50 n ) that manage the attribute information b of the attribute information corresponding to the attribute type B guaranteed by the authentication. The information providing server 40 is configured by a conventional technique such as a GPS receiver (details will be described later). Further, the authentication attribute information management server 50 is configured by, for example, conventional techniques described in Non-Patent Documents 1 and 2 described above.

各サーバ30,40,50と、ユーザ端末10とは、ネットワーク(以降「NW」と称する)20を介してお互いに接続されている。サーバは「装置」に置き換えることが可能な文言であり、以降、サーバに表現を統一する。   The servers 30, 40, 50 and the user terminal 10 are connected to each other via a network (hereinafter referred to as “NW”) 20. The server is a word that can be replaced with “device”, and the expression is unified to the server thereafter.

図2を参照して属性情報取得システム100の動作を説明する。ユーザ端末10は、アプリケーションが必要とする属性情報の取得を要求する属性情報取得要求を生成する(ステップS1)。属性情報取得要求には、要求する属性情報の属性種別B又は属性種別Cに該当する属性項目が含まれている。ここで、属性項目とは、属性値を格納するフィールドの名称、例えば、役職情報、氏名、温度などの、属性情報のまとまりを表現するものである。属性値とは、例えば、「課長」、「山田」、「25度」といったものである。   The operation of the attribute information acquisition system 100 will be described with reference to FIG. The user terminal 10 generates an attribute information acquisition request for requesting acquisition of attribute information required by the application (step S1). The attribute information acquisition request includes attribute items corresponding to the attribute type B or attribute type C of the requested attribute information. Here, the attribute item represents a group of attribute information such as the name of a field storing the attribute value, for example, post information, name, temperature, and the like. The attribute value is, for example, “section manager”, “Yamada”, or “25 degrees”.

ユーザ端末10は、要求する属性情報の属性種別が、認証無しで取得できる属性である属性種別Cで有るか否かを判断する(ステップS2)。ステップ2は、ユーザ端末10からの引き出し線上に無いが、ユーザ端末10における処理である。要求属性種別が属性種別Cの場合(ステップS2のYes)、認証不要の属性である属性種別Cに該当する属性情報cを提供する情報提供サーバ40に属性情報cを要求する(ステップS3)。情報提供サーバ40は、属性種別Cに該当する属性情報cをユーザ端末10に提供する(ステップS4)。   The user terminal 10 determines whether or not the attribute type of the requested attribute information is an attribute type C that is an attribute that can be acquired without authentication (step S2). Step 2 is processing on the user terminal 10 although it is not on the lead line from the user terminal 10. If the requested attribute type is attribute type C (Yes in step S2), the attribute information c is requested from the information providing server 40 that provides the attribute information c corresponding to the attribute type C that is an attribute that does not require authentication (step S3). The information providing server 40 provides the attribute information c corresponding to the attribute type C to the user terminal 10 (step S4).

情報提供サーバ40は、例えば、無線LANのアクセスポイント、IPサイマルラジオ、GPS受信装置などである。それぞれの情報提供サーバ40から入手できる属性情報は、アクセスポイントを識別するためのSSIDや、接続元IPアドレスなどのような接続地域の所在を表す情報や、GPSの座標情報や、各種センサ情報などの、ユーザ端末10の利用環境に対応した情報である。なお、位置情報や各種センサ情報は、最近のスマートフォンのようにユーザ端末10の内部に存在する場合があり得る。例えば、情報提供サーバ40は、ユーザ端末10と一体であっても良い。   The information providing server 40 is, for example, a wireless LAN access point, an IP simulcast radio, a GPS receiver, or the like. Attribute information that can be obtained from each information providing server 40 includes SSID for identifying an access point, information indicating the location of a connection area such as a connection source IP address, GPS coordinate information, and various sensor information. This is information corresponding to the usage environment of the user terminal 10. In addition, position information and various sensor information may exist in the user terminal 10 like a recent smart phone. For example, the information providing server 40 may be integrated with the user terminal 10.

ユーザ端末10が要求する要求属性種別が属性種別Bである場合(ステップS2のNo)。属性情報流通サーバ30は、ユーザ端末10と認証管理サーバ50間で認証を行う(ステップS5)。例えば、ID・パスワードで認証を行う。その場合、属性情報流通サーバ30は、ユーザ端末10にユーザ認証のための属性種別Aに該当する属性情報aであるID・パスワードの入力を要求して入手する。そして、属性情報aを管理する認証属性情報管理サーバ50に、ユーザに対応する認証管理側のID・パスワードを要求して入手する(ステップS7,S8)。   When the request attribute type requested by the user terminal 10 is attribute type B (No in step S2). The attribute information distribution server 30 performs authentication between the user terminal 10 and the authentication management server 50 (step S5). For example, authentication is performed using an ID / password. In that case, the attribute information distribution server 30 requests the user terminal 10 to input an ID / password that is the attribute information a corresponding to the attribute type A for user authentication, and obtains it. Then, the authentication attribute information management server 50 that manages the attribute information a is requested and obtained from the authentication management side ID / password corresponding to the user (steps S7 and S8).

このユーザを認証するステップ5は、認証属性情報管理サーバ50の処理に含めても良い(破線で示す認証(S5))。その場合、ユーザ端末10に入力されたID・パスワードは直接、認証属性情報管理サーバ50に入力される。そして、認証属性情報管理サーバ50から認証結果と認証元を表す識別子が、属性情報流通サーバ30に与えられる。なお、認証属性情報管理サーバ50は複数あっても良く、それぞれの認証属性情報管理サーバによって認証レベルが異なっても良い。ID・パスワードよりも認証レベルの高い認証が要求され、例えば電子証明書を用いた認証を行う場合には、ユーザ端末10から認証に必要な電子証明書が属性情報流通サーバ30或いは認証属性情報管理サーバ50に出力される。   Step 5 for authenticating the user may be included in the processing of the authentication attribute information management server 50 (authentication indicated by a broken line (S5)). In this case, the ID / password input to the user terminal 10 is directly input to the authentication attribute information management server 50. Then, the authentication attribute information management server 50 gives an authentication result and an identifier representing the authentication source to the attribute information distribution server 30. Note that there may be a plurality of authentication attribute information management servers 50, and the authentication level may be different depending on each authentication attribute information management server. When authentication with an authentication level higher than that of the ID / password is required, for example, when authentication is performed using an electronic certificate, the electronic certificate necessary for authentication is sent from the user terminal 10 to the attribute information distribution server 30 or the authentication attribute information management. It is output to the server 50.

ユーザが認証された場合(ステップS9のYes)、認証結果により属性情報を抽出する対象ユーザを特定し、対応する属性情報bを認証属性情報管理サーバ50に要求する(ステップS10)。この時、認証属性情報管理サーバ50の識別子によって、属性情報bを要求する認証属性情報管理サーバ50,50,…,50の中からアクセス先が一意に決定される。又は、ユーザ端末10からの属性情報取得要求に、認証属性情報管理サーバ50の例えばサーバに固有のID情報(PSID:Personal Station ID)を含めるようにしておき、そのID情報の認証属性情報管理サーバから属性情報を取得するようにしても良い。又は、アクセス先情報を指定する方法としてURL(Uniform Resource Locator)を用いても良い。 If the user is authenticated (Yes in step S9), the target user whose attribute information is to be extracted is specified based on the authentication result, and the corresponding attribute information b is requested to the authentication attribute information management server 50 (step S10). At this time, the access destination is uniquely determined from the authentication attribute information management servers 50 1 , 50 2 ,..., 50 n that request the attribute information b, based on the identifier of the authentication attribute information management server 50. Alternatively, the attribute information acquisition request from the user terminal 10 includes ID information (PSID: Personal Station ID) unique to the authentication attribute information management server 50, for example, and the authentication attribute information management server of the ID information You may make it acquire attribute information from. Alternatively, a URL (Uniform Resource Locator) may be used as a method for specifying access destination information.

認証属性情報管理サーバ50の1台は、属性情報bを属性情報流通サーバ30に提供する(ステップS11)。   One of the authentication attribute information management servers 50 provides the attribute information b to the attribute information distribution server 30 (step S11).

属性情報bとは、「属性情報aに紐づく情報」であり、例えば人に対応した情報である人事情報(所属、勤続年数、役職等)などの情報である。属性情報bは、属性情報流通サーバ30において属性種別Aに該当する属性情報である属性情報aによって認証された結果得られた情報としてユーザ端末10に出力される(ステップS12)。なお、ステップS12の属性情報流通ステップは、図の記載上の都合により属性情報流通サーバ30からの引き出し線上に無いが、属性情報流通サーバ30における処理である。   The attribute information b is “information associated with the attribute information a”, and is information such as personnel information (affiliation, length of service, job title, etc.) corresponding to a person, for example. The attribute information b is output to the user terminal 10 as information obtained as a result of being authenticated by the attribute information a that is attribute information corresponding to the attribute type A in the attribute information distribution server 30 (step S12). Note that the attribute information distribution step of step S12 is a process in the attribute information distribution server 30 although it is not on the lead line from the attribute information distribution server 30 for convenience of illustration.

ユーザ端末10は、ステップS4によって非認証で得られた属性情報cと、認証された結果得られた属性情報bと、を区別して取得することが出来る。また、認証属性情報管理サーバ50を特定する識別子によって、適宜、属性情報を取得する際のアクセス先(認証属性情報管理サーバ50,50,…,50)が変更されるので、新たな属性情報bを追加して入手することが可能である。これにより、アプリケーションを再構築する事無く、新たな属性情報bを取得することができる。図2においては、アプリケーションを明示していない。アプリケーションは、ユーザ端末10内に設けられステップS6とステップS13と、図示していない処理を含んで取得した属性情報を利用してユーザに何らかの情報提供をするものである。つまり、この実施例では、属性情報を利用する利用過程のことを、アプリケーションと表現する。 The user terminal 10 can separately acquire the attribute information c obtained by non-authentication in step S4 and the attribute information b obtained as a result of the authentication. Further, the access destination (authentication attribute information management servers 50 1 , 50 2 ,..., 50 n ) when acquiring the attribute information is appropriately changed depending on the identifier that identifies the authentication attribute information management server 50, so that a new It is possible to obtain additional attribute information b. Thereby, new attribute information b can be acquired without restructuring the application. In FIG. 2, the application is not clearly shown. The application is provided in the user terminal 10 and provides some information to the user by using step S6 and step S13 and attribute information acquired including processing not shown. That is, in this embodiment, a use process using attribute information is expressed as an application.

なお、認証属性情報管理サーバ50の認証機能と属性情報管理機能とを、二つに分離しても良い。その場合、図1に破線で示すように、複数の認証管理サーバ60(60,60,60)と、複数の属性情報管理サーバ50′(50′の図示は省略)とを、含む形で属性情報提供システム100′が構成される。その場合の属性情報提供システムの動作シーケンスを図3に示す。認証属性情報管理サーバ50が、認証管理サーバ60と属性情報管理サーバ60とに分離されるだけで、動作シーケンスは同じである。 Note that the authentication function and the attribute information management function of the authentication attribute information management server 50 may be separated into two. In this case, as shown by a broken line in FIG. 1, a plurality of authentication management servers 60 (60 1 , 60 2 , 60 n ) and a plurality of attribute information management servers 50 ′ (50 ′ is not shown) are included. The attribute information providing system 100 ′ is configured in the form. The operation sequence of the attribute information providing system in that case is shown in FIG. Only the authentication attribute information management server 50 is separated into the authentication management server 60 and the attribute information management server 60, and the operation sequence is the same.

次に、この発明の属性情報取得システム100を構成するユーザ端末10と、属性情報流通サーバ30の機能構成例を示して更に詳しく説明する。   Next, a functional configuration example of the user terminal 10 and the attribute information distribution server 30 constituting the attribute information acquisition system 100 of the present invention will be described in further detail.

〔ユーザ端末〕
図4に、ユーザ端末10の機能構成例を示す。ユーザ端末10は、通信インターフェース11と、機能ブロック12と、制御手段13とを備える。機能ブロック12は、属性情報要求部110と、認証部111と、属性情報取得部112と、を具備する。機能ブロック12の各部は、制御手段13によって制御される。機能ブロック12は、通信インターフェース11を介してNW20と接続される。機能ブロック12内の各機能部は、この発明の特別な技術的特徴を有する機能部のみを表記している。キーボードや、表示部等の特別な技術的特徴を示さない機能部は省略している。他のサーバについても同様である。 [User terminal]
FIG. 4 shows a functional configuration example of the user terminal 10. The user terminal 10 includes a communication interface 11, a function block 12, and a control unit 13. The functional block 12 includes an attribute information request unit 110, an authentication unit 111, and an attribute information acquisition unit 112. Each part of the functional block 12 is controlled by the control means 13. The functional block 12 is connected to the NW 20 via the communication interface 11. Each functional unit in the functional block 12 represents only functional units having special technical features of the present invention. Functional parts that do not show special technical features such as a keyboard and a display part are omitted. The same applies to other servers.

通信インターフェース11と、機能ブロック12と、制御手段13は、例えばコンピュータ上で所定のプログラムを実行させることにより構成することにしてもよい。つまり、ユーザ端末10は、コンピュータ端末で構成しても良い。   The communication interface 11, the functional block 12, and the control means 13 may be configured by executing a predetermined program on a computer, for example. That is, the user terminal 10 may be configured with a computer terminal.

図5に示すユーザ端末10の動作フローも参照してその動作を説明する。属性情報要求部110は、要求する属性情報の属性種別と属性項目とから成る属性情報取得要求を、属性種別に応じて属性情報流通サーバ30又は情報提供サーバ40に送出して属性情報を要求する(ステップS110)。要求する属性情報の属性種別が属性種別Cの場合は情報提供サーバ40に(ステップS110a)、属性種別Bの場合は属性情報流通サーバ30に(ステップS110b)、それぞれ属性情報を要求する。要求する属性情報は、アプリケーションが要求する属性種別に対応して、属性情報要求部110が定める。又は、アプリケーション毎に必要な属性情報を、その属性項目と属性種別とを対応させた対応テーブル113として用意しておいても良い。この場合、対応テーブル113に用意された要求する属性情報を、例えばシステム管理者が必要に応じて追加・削除・変更できるようにしておくことで、属性情報の取得の自由度を更に高めることが可能である。   The operation will be described with reference to the operation flow of the user terminal 10 shown in FIG. The attribute information request unit 110 requests attribute information by sending an attribute information acquisition request including the attribute type and attribute item of the requested attribute information to the attribute information distribution server 30 or the information providing server 40 according to the attribute type. (Step S110). When the attribute type of the requested attribute information is the attribute type C, the attribute information is requested to the information providing server 40 (step S110a), and when the attribute type is B, the attribute information distribution server 30 is requested (step S110b). The requested attribute information is determined by the attribute information requesting unit 110 corresponding to the attribute type requested by the application. Alternatively, the attribute information necessary for each application may be prepared as the correspondence table 113 in which the attribute items are associated with the attribute types. In this case, the attribute information requested in the correspondence table 113 can be added / deleted / changed as necessary, for example, so that the degree of freedom in acquiring the attribute information can be further increased. Is possible.

認証部111は、属性情報流通サーバ30又は認証属性情報管理サーバ50からの認証要求に応答して、ユーザの認証を行うための属性種別である属性種別Aに該当する属性情報aを送出してユーザの認証を要求する(ステップS111a,b)。ユーザを認証するための属性情報aの要求がない場合は、ユーザは非認証で取得可能な属性情報cのみを要求している場合(ステップS111aなし)であり、この場合、属性情報取得部112は情報提供サーバ40から属性種別Cに該当する属性情報の属性情報cを取得する(ステップS112b)。   In response to the authentication request from the attribute information distribution server 30 or the authentication attribute information management server 50, the authentication unit 111 sends out attribute information a corresponding to the attribute type A that is an attribute type for authenticating the user. User authentication is requested (steps S111a, b). When there is no request for the attribute information a for authenticating the user, the user is requesting only the attribute information c that can be acquired by non-authentication (no step S111a). In this case, the attribute information acquisition unit 112 Acquires the attribute information c of the attribute information corresponding to the attribute type C from the information providing server 40 (step S112b).

属性情報流通サーバ30又は認証属性情報管理サーバ50から属性情報aの要求がある場合は(ステップS111aのあり)、ユーザの属性情報aが、その要求元に送出される。属性情報aとして送出される情報は、認証のレベルに応じて定められる。例えば簡易な認証でも構わない場合には、ID・パスワードのみを利用した認証方式に従い、強固な認証を必要とする場合には、電子証明書を用いた認証方式に従えば良い。ユーザが認証された後、属性情報取得部112は属性情報流通サーバ30を介して、認証属性情報管理サーバ50から認証により保証された属性種別である属性種別に該当する属性情報bを取得する(ステップS112a)。   When there is a request for attribute information a from the attribute information distribution server 30 or the authentication attribute information management server 50 (there is step S111a), the user attribute information a is sent to the request source. Information transmitted as the attribute information a is determined according to the level of authentication. For example, when simple authentication is acceptable, an authentication method using only an ID / password is used. When strong authentication is required, an authentication method using an electronic certificate may be used. After the user is authenticated, the attribute information acquisition unit 112 acquires attribute information b corresponding to the attribute type, which is the attribute type guaranteed by the authentication, from the authentication attribute information management server 50 via the attribute information distribution server 30 ( Step S112a).

ユーザ端末10は、属性情報cを非認証で得られた属性情報、属性情報bを認証が取れた属性情報として利用する(ステップS113)。つまり、非認証で得られた属性情報cと、認証された結果得られた属性情報bと、を区別して取得することが出来る。また、認証属性情報管理サーバ50を特定する識別子によって、適宜、属性情報を取得する際のアクセス先(認証属性情報管理サーバ50,50,…,50)が変更されるので、新たな属性情報bを追加して入手する必要が生じた場合に、アプリケーションを再構築する必要がない。 The user terminal 10 uses the attribute information c as attribute information obtained by non-authentication, and the attribute information b as authenticated attribute information (step S113). That is, the attribute information c obtained by non-authentication and the attribute information b obtained as a result of authentication can be distinguished and acquired. Further, the access destination (authentication attribute information management servers 50 1 , 50 2 ,..., 50 n ) when acquiring the attribute information is appropriately changed depending on the identifier that identifies the authentication attribute information management server 50, so that a new When it becomes necessary to obtain additional attribute information b, there is no need to reconstruct the application.

なお、ユーザ端末10の内部に属性情報取得部112を備える例で説明したが、属性情報提供がASP(Application Service Provider)などのサービス形態で実現されても良い。その場合のユーザ端末10は、情報の入出力手段と認証部のみを具備し、ASPにより提供される情報提供サービスは、図6に示す属性情報取得提供サーバ70によって構成される。   In addition, although the example provided with the attribute information acquisition part 112 inside the user terminal 10 demonstrated, attribute information provision may be implement | achieved by service forms, such as ASP (Application Service Provider). In this case, the user terminal 10 includes only information input / output means and an authentication unit, and the information providing service provided by the ASP is configured by the attribute information acquisition / providing server 70 shown in FIG.

属性情報取得提供サーバ70の機能ブロック72は、認証部720と、属性情報要求受信部721、属性情報取得部722と、属性情報提供部723と、を備える。認証部720は、ユーザ端末10と属性情報流通サーバ30を認証する。認証部720は、ユーザ端末10と属性情報流通サーバ30を、それぞれ個別に認証しても良いし、認証属性情報管理サーバ50における認証結果をそのまま利用して、属性情報流通サーバ30の認証は不要にしても良い。その場合、属性情報流通サーバ30は、認証されたユーザ端末10に、ユーザを認証した認証属性情報管理サーバ50から属性情報bを中継するだけの機能を果たす。   The functional block 72 of the attribute information acquisition and provision server 70 includes an authentication unit 720, an attribute information request reception unit 721, an attribute information acquisition unit 722, and an attribute information provision unit 723. The authentication unit 720 authenticates the user terminal 10 and the attribute information distribution server 30. The authentication unit 720 may authenticate the user terminal 10 and the attribute information distribution server 30 individually, or the authentication result in the authentication attribute information management server 50 is used as it is, and authentication of the attribute information distribution server 30 is unnecessary. Anyway. In that case, the attribute information distribution server 30 performs the function of only relaying the attribute information b from the authentication attribute information management server 50 that has authenticated the user to the authenticated user terminal 10.

属性情報受信部721は、ユーザ端末10から属性情報取得要求を受信する。   The attribute information receiving unit 721 receives an attribute information acquisition request from the user terminal 10.

属性情報取得部721は、属性情報取得要求に基づいて、認証された属性情報流通サーバ30から認証によって保証された属性種別である属性種別Bに該当する属性情報bと、情報提供サーバ40から認証不要で取得可能な属性種別である属性種別Cに該当する属性情報cを取得する。属性情報提供部722は、属性情報取得部721で取得した属性情報b、又は属性情報cをユーザ端末10に提供する。   Based on the attribute information acquisition request, the attribute information acquisition unit 721 authenticates the attribute information b corresponding to the attribute type B, which is the attribute type guaranteed by the authentication from the authenticated attribute information distribution server 30, and the authentication from the information providing server 40. Attribute information c corresponding to attribute type C, which is an unnecessary and acquirable attribute type, is acquired. The attribute information providing unit 722 provides the user terminal 10 with the attribute information b or the attribute information c acquired by the attribute information acquisition unit 721.

このように属性情報取得提供サーバ70から属性情報の提供を受ける実施形態であっても、上記した本発明の効果を奏することが出来る。   Thus, even the embodiment that receives provision of attribute information from the attribute information acquisition and provision server 70 can achieve the effects of the present invention described above.

〔属性情報流通サーバ〕
図7に、属性情報流通サーバ30の機能構成例を示す。属性情報流通サーバ30は、通信インターフェース31と、機能ブロック32と、制御手段33とを備える。機能ブロック32は、流通認証部320と、属性流通部321と、を具備する。機能ブロック32の各部は、制御手段33によって制御される。機能ブロック32は、通信インターフェース31を介してNW20と接続される。通信インターフェース31、機能ブロック32、制御手段33、のそれぞれの関係他については、上記したユーザ端末10と同じである。 [Attribute information distribution server]
FIG. 7 shows a functional configuration example of the attribute information distribution server 30. The attribute information distribution server 30 includes a communication interface 31, a function block 32, and a control unit 33. The functional block 32 includes a distribution authentication unit 320 and an attribute distribution unit 321. Each part of the functional block 32 is controlled by the control means 33. The functional block 32 is connected to the NW 20 via the communication interface 31. The relationship between the communication interface 31, the function block 32, and the control means 33 is the same as that of the user terminal 10 described above.

図8に示すユーザ端末10の動作フローも参照してその動作を説明する。流通認証部320は、ユーザ端末10との間でユーザの認証を行うか、もしくは認証管理サーバ50でユーザが認証された認証結果と当該認証管理サーバの識別子を取得して、属性情報の流通の可否を判断する。この流通認証過程は、認証待機ステップS320′と流通可否判定ステップS320とを含む。ここで、認証待機ステップS320′は、ユーザ端末10からの認証要求が発生するまで待機するステップのことであり、認証要求が発生する度に流通可否判定ステップS320を実行し、属性情報の流通が不可の場合に、再び次の認証要求が発生するまで待機する。   The operation will be described with reference to the operation flow of the user terminal 10 shown in FIG. The distribution authentication unit 320 authenticates the user with the user terminal 10 or acquires the authentication result obtained by authenticating the user by the authentication management server 50 and the identifier of the authentication management server, and distributes the attribute information. Judgment is made. This distribution authentication process includes an authentication standby step S320 ′ and a distribution permission / inhibition determination step S320. Here, the authentication waiting step S320 ′ is a step of waiting until an authentication request from the user terminal 10 is generated, and the distribution permission determination step S320 is executed every time an authentication request is generated. If not, it waits until the next authentication request occurs again.

属性流通部321は、流通認証部320が属性情報の流通可と判断した場合に、認証属性情報管理サーバ50から対応する認証により保証された属性種別である属性種別Bに該当する属性情報bを取得して、ユーザ端末10に流通する(ステップS321)。   When the distribution authentication unit 320 determines that the attribute information can be distributed, the attribute distribution unit 321 obtains the attribute information b corresponding to the attribute type B that is the attribute type guaranteed by the corresponding authentication from the authentication attribute information management server 50. Acquired and distributed to the user terminal 10 (step S321).

実施例1では、非認証で得られた属性情報cと、認証された結果得られた属性情報bと、を区別して取得することが出来る属性情報取得システムを説明した。属性情報cと属性情報bとを区別して取得できるので、属性情報cの属性項目と属性情報bの属性項目とを照合することで、属性情報cの認証レベルを引き上げて属性情報bに相当する情報として取り扱うことが出来る属性情報取得システムも考えられる。   In the first embodiment, the attribute information acquisition system capable of distinguishing and acquiring the attribute information c obtained by non-authentication and the attribute information b obtained as a result of authentication has been described. Since the attribute information c and the attribute information b can be acquired separately, the attribute item of the attribute information c and the attribute item of the attribute information b are collated to raise the authentication level of the attribute information c and correspond to the attribute information b. An attribute information acquisition system that can be handled as information is also conceivable.

例えば、ユーザがあるアプリケーションで免許書番号を使用する場面を想定する。その場合、ユーザは免許書を見ながらユーザ端末にその番号を、キーボード等を用いて入力する。その時点では、その番号は属性種別Cに該当する属性情報cに過ぎないが、その番号を認証により保証された属性情報bとして利用したい場合がある。   For example, assume that a user uses a license number in an application. In that case, the user inputs the number into the user terminal using a keyboard or the like while looking at the license. At that time, the number is only the attribute information c corresponding to the attribute type C, but there are cases where it is desired to use the number as the attribute information b guaranteed by the authentication.

図9に、属性情報cの認証レベルを引き上げることが出来る属性情報取得システムの動作シーケンス図を示す。図9は、ユーザ端末10で属性照合(ステップS14)を行う点のみが実施例1(図2)と異なる。   FIG. 9 shows an operation sequence diagram of the attribute information acquisition system that can raise the authentication level of the attribute information c. FIG. 9 is different from the first embodiment (FIG. 2) only in that attribute matching is performed on the user terminal 10 (step S14).

ステップS14の属性照合で、属性情報cの属性項目が、属性情報bの属性項目に一致するか否かを検証する。検証は、ユーザ端末10の照合部114(図3)で行う。一致することが検証されれば、例えばキーボード等を用いて入力された番号のような属性種別Cに該当する属性情報を、属性種別Bに該当する情報として扱うことが可能になる。一致しない場合は、アプリケーションの処理を中断する。   In the attribute collation in step S14, it is verified whether or not the attribute item of the attribute information c matches the attribute item of the attribute information b. The verification is performed by the verification unit 114 (FIG. 3) of the user terminal 10. If matching is verified, attribute information corresponding to the attribute type C, such as a number input using a keyboard or the like, can be handled as information corresponding to the attribute type B. If they do not match, the application processing is interrupted.

このように、属性値が「認証により保証された情報」である事が求められるアプリケーションにおいて、属性種別Cに該当する属性情報cと、属性種別Bに該当する属性情報bとを照合することで、属性種別Cに該当する属性情報cの信頼性のレベルを「認証により保証された情報」に引き上げることが可能である。なお、この属性種別Cに該当する属性情報の信頼性のレベルを「認証により保証された情報」に引き上げる機能は、上記した属性情報取得提供サーバ70に持たせることも可能である。その場合、機能ブロックに照合部114に相当する機能部を備え、属性種別Cに該当する属性情報の属性情報cと、属性種別Bに該当する属性情報の属性情報bとを照合する。   In this way, in an application in which an attribute value is required to be “information guaranteed by authentication”, attribute information c corresponding to attribute type C and attribute information b corresponding to attribute type B are collated. The reliability level of the attribute information c corresponding to the attribute type C can be raised to “information guaranteed by authentication”. The attribute information acquisition / providing server 70 can be provided with a function of raising the reliability level of attribute information corresponding to the attribute type C to “information guaranteed by authentication”. In this case, the functional block includes a functional unit corresponding to the collating unit 114, and collates the attribute information c of the attribute information corresponding to the attribute type C and the attribute information b of the attribute information corresponding to the attribute type B.

以上述べたように、本発明の属性情報取得方法によれば、認証により保証される属性である属性情報bと、非認証で取得可能な属性情報cとを、区別して取得することが出来ると共に、認証結果と認証元を表す識別子を用いて属性情報を管理する1個以上の属性管理装置から属性情報bを取得することが可能である。その結果、柔軟に属性情報の取得先を変更することができ、アプリケーションを再構築する事無く新しい属性情報を取得することが可能になる。   As described above, according to the attribute information acquisition method of the present invention, the attribute information b that is an attribute guaranteed by authentication and the attribute information c that can be acquired by non-authentication can be acquired separately. The attribute information b can be acquired from one or more attribute management devices that manage the attribute information using the authentication result and an identifier representing the authentication source. As a result, the acquisition destination of attribute information can be flexibly changed, and new attribute information can be acquired without restructuring the application.

なお、上記方法及び装置において説明した処理は、記載の順に従って時系列に実行され
るのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。 Note that the processes described in the above method and apparatus are not only executed in time series according to the order of description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Good.

また、上記装置における処理手段をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、各装置における処理手段がコンピュータ上で実現される。   Further, when the processing means in the above apparatus is realized by a computer, the processing contents of functions that each apparatus should have are described by a program. Then, by executing this program on the computer, the processing means in each apparatus is realized on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used. Specifically, for example, as a magnetic recording device, a hard disk device, a flexible disk, a magnetic tape or the like, and as an optical disk, a DVD (Digital Versatile Disc), a DVD-RAM (Random Access Memory), a CD-ROM (Compact Disc Read Only). Memory), CD-R (Recordable) / RW (ReWritable), etc., magneto-optical recording medium, MO (Magneto Optical disc), etc., semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory), etc. Can be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記録装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Further, the program may be distributed by storing the program in a recording device of a server computer and transferring the program from the server computer to another computer via a network.

また、各手段は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   Each means may be configured by executing a predetermined program on a computer, or at least a part of these processing contents may be realized by hardware.

Claims (9)

ユーザ端末が、属性情報流通サーバに対して属性情報取得要求を送出して属性情報の取得を要求する属性情報要求過程と、
上記属性情報流通サーバ若しくは認証属性情報管理サーバが、上記ユーザ端末から認証を行うための属性種別である属性種別Aに該当する属性情報aを取得してユーザを認証し、当該認証結果と認証元を表す識別子を生成するユーザ認証過程と、
上記認証属性情報管理サーバが、認証により保証される属性種別である属性種別Bに該当する属性情報bを管理し、上記認証結果に対応する属性情報bを上記属性情報流通サーバに提供する属性情報提供過程と、
上記属性情報流通サーバが、上記認証結果と認証元を表す識別子を用いて属性情報を管理する認証属性情報管理サーバから当該認識結果に対応する属性情報bを取得してユーザ端末に流通する属性情報流通過程と、
ユーザ端末が、上記属性情報流通サーバから属性情報bと、情報提供サーバから非認証で取得可能な属性種別である属性種別Cに該当する属性情報cの、一方又は両方を取得し、上記属性情報bを認証が取れた属性情報として利用する属性情報利用過程と、
を有する属性情報取得方法。 An attribute information request process in which the user terminal sends an attribute information acquisition request to the attribute information distribution server to request acquisition of attribute information;
The attribute information distribution server or the authentication attribute information management server acquires attribute information a corresponding to the attribute type A that is an attribute type for performing authentication from the user terminal to authenticate the user, and the authentication result and the authentication source A user authentication process for generating an identifier representing
Attribute information in which the authentication attribute information management server manages attribute information b corresponding to attribute type B, which is an attribute type guaranteed by authentication, and provides attribute information b corresponding to the authentication result to the attribute information distribution server Providing process,
Attribute information that the attribute information distribution server acquires attribute information b corresponding to the recognition result from the authentication attribute information management server that manages the attribute information using the authentication result and an identifier representing the authentication source, and distributes the attribute information to the user terminal Distribution process,
User terminal, obtains attribute information b from the attribute information distribution server, the attribute information c that corresponds the information providing server on the attribute type C is obtainable attribute types in unauthenticated, one or both, the attribute An attribute information utilization process in which information b is used as authenticated attribute information;
Attribute information acquisition method having ユーザ端末が、属性情報流通サーバに対して属性情報取得要求を送出して属性情報の取得を要求する属性情報要求過程と、
上記属性情報流通サーバ若しくは認証属性情報管理サーバが、上記ユーザ端末から認証を行うための属性種別である属性種別Aに該当する属性情報aを取得してユーザを認証し、当該認証結果と認証元を表す識別子を生成するユーザ認証過程と、
上記認証属性情報管理サーバが、認証により保証される属性種別である属性種別Bに該当する属性情報bを管理し、上記認証結果に対応する属性情報bを上記属性情報流通サーバに提供する属性情報提供過程と、
上記属性情報流通サーバが、上記認証結果と認証元を表す識別子を用いて属性情報を管理する認証属性情報管理サーバから当該認識結果に対応する属性情報bを取得してユーザ端末に流通する属性情報流通過程と、
ユーザ端末が、上記属性情報流通サーバから属性情報bと、情報提供サーバから非認証で取得可能な属性種別である属性種別Cに該当する属性情報cの、一方又は両方を取得して上記属性情報bと上記属性情報cとを照合する属性照合過程と、上記属性照合過程において照合された属性情報cを属性種別Bの属性情報bとして利用する属性情報利用過程と、
を有する属性情報取得方法。 An attribute information request process in which the user terminal sends an attribute information acquisition request to the attribute information distribution server to request acquisition of attribute information;
The attribute information distribution server or the authentication attribute information management server acquires attribute information a corresponding to the attribute type A that is an attribute type for performing authentication from the user terminal to authenticate the user, and the authentication result and the authentication source A user authentication process for generating an identifier representing
Attribute information in which the authentication attribute information management server manages attribute information b corresponding to attribute type B, which is an attribute type guaranteed by authentication, and provides attribute information b corresponding to the authentication result to the attribute information distribution server Providing process,
Attribute information that the attribute information distribution server acquires attribute information b corresponding to the recognition result from the authentication attribute information management server that manages the attribute information using the authentication result and an identifier representing the authentication source, and distributes the attribute information to the user terminal Distribution process,
User terminal, the attribute information and attribute information b from the distribution server, information from the providing server attribute information c that corresponds to the attribute type C is obtainable attribute types unauthenticated, the attribute acquired one or both An attribute collation process for collating information b with the attribute information c, an attribute information utilization process for using the attribute information c collated in the attribute collation process as attribute information b of the attribute type B,
Attribute information acquisition method having 請求項1又は2に記載した属性情報取得方法において、
上記属性情報取得要求は、
上記属性情報が、認証を行うための属性又は認証により保証される属性又は非認証で取得可能な属性であることを表す属性種別と、上記属性情報を格納する属性情報のまとまりを表現する属性項目と、を含むことを特徴とする属性情報取得方法。 In the attribute information acquisition method according to claim 1 or 2,
The attribute information acquisition request is
An attribute item that represents a group of attribute information for storing the attribute information and an attribute type indicating that the attribute information is an attribute for performing authentication, an attribute guaranteed by the authentication, or an attribute that can be acquired by non-authentication. And obtaining attribute information. ユーザの認証を行うための属性種別である属性種別Aに該当する属性種別の属性情報aによる認証により保証される属性種別である属性種別Bに該当する属性種別の属性情報bを管理し、当該認証結果に対応する属性情報bを属性情報流通サーバに提供する認証属性情報管理サーバと、
上記認証属性情報管理サーバから上記認識結果に対応する属性情報bを取得してユーザ端末に流通する属性情報流通サーバと、
上記属性情報aによる認証を上記認証属性情報管理サーバ又は上記属性情報流通サーバに要求し、上記属性情報bを取得し、情報提供サーバから非認証で取得可能な属性種別である属性種別Cに該当する属性情報cを取得し、上記属性情報bを認証が取れた属性情報として利用するユーザ端末と、
を備えたことを特徴とする属性情報取得システム。 Managing attribute information b of the attribute type corresponding to attribute type B that is an attribute type guaranteed by the attribute information a of attribute type corresponding to attribute type A corresponding to the attribute type A for authenticating the user; An authentication attribute information management server that provides attribute information b corresponding to the authentication result to the attribute information distribution server;
An attribute information distribution server that acquires attribute information b corresponding to the recognition result from the authentication attribute information management server and distributes the attribute information b to a user terminal;
Requests the authentication attribute information management server or the attribute information distribution server to authenticate with the attribute information a, acquires the attribute information b, and corresponds to the attribute type C that is an attribute type that can be acquired without authentication from the information providing server A user terminal that acquires attribute information c to be used and uses the attribute information b as authenticated attribute information;
An attribute information acquisition system characterized by comprising: ユーザの認証を行うための属性種別である属性種別Aに該当する属性情報aによる認証により保証される属性種別である属性種別Bに該当する属性情報bを管理し、当該認証結果に対応する属性情報bを属性情報流通サーバに提供する認証属性情報管理サーバと、
上記認証属性情報管理サーバから当該認識結果に対応する属性情報を取得してユーザ端末に流通する属性情報流通サーバと、
上記属性情報aによる認証を上記認証属性情報管理サーバ又は上記属性情報流通サーバに要求し、上記属性情報bを取得し、情報提供サーバから非認証で取得可能な属性種別である属性種別Cに該当する属性情報cを取得し、上記属性情報bと上記属性情報cとを照合する属性照合過程と、上記属性照合過程において照合された属性情報cを属性種別Bに該当する属性情報の属性情報bとして利用するユーザ端末と、
を備えたことを特徴とする属性情報取得システム。 The attribute information b corresponding to the attribute type B, which is the attribute type guaranteed by the attribute information a corresponding to the attribute type A corresponding to the attribute type A for authenticating the user, is managed, and the attribute corresponding to the authentication result An authentication attribute information management server for providing information b to the attribute information distribution server;
An attribute information distribution server that acquires attribute information corresponding to the recognition result from the authentication attribute information management server and distributes the attribute information to the user terminal;
Requests the authentication attribute information management server or the attribute information distribution server to authenticate with the attribute information a, acquires the attribute information b, and corresponds to the attribute type C that is an attribute type that can be acquired without authentication from the information providing server Attribute information c to be acquired, the attribute matching process for matching the attribute information b with the attribute information c, and the attribute information c of the attribute information corresponding to the attribute type B as the attribute information c verified in the attribute matching process. As a user terminal,
An attribute information acquisition system characterized by comprising: ネットワークを介して属性情報流通サーバと認証属性情報管理サーバとに接続されるユーザ端末であって、
要求する属性情報の属性種別と属性項目とから成る属性情報取得要求を属性情報流通サーバと情報提供サーバに送出して属性情報を要求する属性情報要求部と、
上記属性情報流通サーバ又は認証属性情報管理サーバに、ユーザの認証を行うための属性種別である属性種別Aに該当する属性情報aを送出してユーザの認証を要求する認証部と、
認証不要で取得できる属性種別である属性種別Cに該当する属性情報cを情報提供サーバから、認証により保証された属性種別である属性種別Bに該当する属性情報bを認証属性情報管理サーバから、それぞれ取得する属性情報取得部と、
を具備したことを特徴とするユーザ端末。 A user terminal connected to the attribute information distribution server and the authentication attribute information management server via a network,
An attribute information requesting unit for requesting attribute information by sending an attribute information acquisition request including an attribute type and an attribute item of the requested attribute information to the attribute information distribution server and the information providing server;
An authentication unit that sends the attribute information a corresponding to the attribute type A that is an attribute type for performing user authentication to the attribute information distribution server or the authentication attribute information management server, and requests user authentication;
From the information providing server, attribute information c corresponding to the attribute type C, which is an attribute type that can be acquired without authentication, and from the authentication attribute information management server, attribute information b corresponding to the attribute type B that is an attribute type guaranteed by the authentication. An attribute information acquisition unit to acquire each;
A user terminal comprising: ネットワークを介してユーザ端末と認証属性情報管理サーバとに接続される属性情報流通サーバであって、
上記ユーザ端末との間でユーザの認証を行うか、もしくは上記認証属性情報管理サーバでユーザが認証された認証結果と当該認証属性情報管理サーバの識別子を取得する流通認証部と、
上記流通認証部が出力する認証結果に基づいて対応する認証属性情報管理サーバから対応する認証により保証された属性種別である属性種別Bに該当する属性情報bを取得して、当該属性情報bを上記ユーザ端末に流通する属性情報流通部と、
を具備したことを特徴とする属性情報流通サーバ。 An attribute information distribution server connected to a user terminal and an authentication attribute information management server via a network,
A distribution authentication unit that authenticates a user with the user terminal or acquires an authentication result of authentication of the user by the authentication attribute information management server and an identifier of the authentication attribute information management server;
The attribute information b corresponding to the attribute type B that is the attribute type guaranteed by the corresponding authentication is acquired from the corresponding authentication attribute information management server based on the authentication result output by the distribution authentication unit, and the attribute information b is An attribute information distribution unit distributed to the user terminal;
An attribute information distribution server characterized by comprising: ネットワークを介してユーザ端末と認証属性情報管理サーバと属性情報流通サーバに接続される属性情報取得提供サーバであって、
上記ユーザ端末と上記属性情報流通サーバを認証する認証部と、
認証された上記属性情報流通サーバから認証によって保証された属性種別である属性種別Bに該当する属性情報bを取得する属性情報取得部と、
上記属性情報取得部で取得した属性情報を上記ユーザ端末に提供する属性情報提供部と、
を具備したことを特徴とする属性情報取得提供サーバ。 An attribute information acquisition and provision server connected to a user terminal, an authentication attribute information management server, and an attribute information distribution server via a network,
An authentication unit for authenticating the user terminal and the attribute information distribution server;
An attribute information acquisition unit that acquires attribute information b corresponding to the attribute type B from Kishoku of information distribution servers on the authenticated is guaranteed attribute type by the authentication,
An attribute information providing unit that provides the user terminal with the attribute information acquired by the attribute information acquiring unit;
An attribute information acquisition and provision server characterized by comprising: 請求項6に記載したユーザ端末、又は、請求項7に記載した属性情報流通サーバ、又は、請求項8に記載した属性情報取得提供サーバとしてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the user terminal according to claim 6, the attribute information distribution server according to claim 7, or the attribute information acquisition / providing server according to claim 8.
JP2012099009A 2012-04-24 2012-04-24 Attribute information acquisition method, attribute information acquisition system using the method, each device and program Expired - Fee Related JP5722271B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012099009A JP5722271B2 (en) 2012-04-24 2012-04-24 Attribute information acquisition method, attribute information acquisition system using the method, each device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012099009A JP5722271B2 (en) 2012-04-24 2012-04-24 Attribute information acquisition method, attribute information acquisition system using the method, each device and program

Publications (2)

Publication Number Publication Date
JP2013228805A JP2013228805A (en) 2013-11-07
JP5722271B2 true JP5722271B2 (en) 2015-05-20

Family

ID=49676397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012099009A Expired - Fee Related JP5722271B2 (en) 2012-04-24 2012-04-24 Attribute information acquisition method, attribute information acquisition system using the method, each device and program

Country Status (1)

Country Link
JP (1) JP5722271B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003263412A (en) * 2002-03-08 2003-09-19 Toshiba Corp Method of merging confidential information and general- purpose information, and device for connection between closed area network and wide area network
JP2008134936A (en) * 2006-11-29 2008-06-12 Hitachi Ltd Database management method, database management device, and database management program
JP2010186250A (en) * 2009-02-10 2010-08-26 Nippon Telegr & Teleph Corp <Ntt> Distributed information access system, distributed information access method, and program

Also Published As

Publication number Publication date
JP2013228805A (en) 2013-11-07

Similar Documents

Publication Publication Date Title
EP2963884B1 (en) Bidirectional authorization system, client and method
US20130269007A1 (en) Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
US11671418B2 (en) Methods and systems for accessing a resource
CN103986584A (en) Double-factor identity verification method based on intelligent equipment
CN102597981A (en) Modular device authentication framework
US20110289567A1 (en) Service access control
JP5951094B1 (en) Generation device, terminal device, generation method, generation program, and authentication processing system
US11870766B2 (en) Integration of legacy authentication with cloud-based authentication
US20160205091A1 (en) Information processing system, control method of information processing apparatus, and storage medium
US9621349B2 (en) Apparatus, method and computer-readable medium for user authentication
JP4847483B2 (en) Personal attribute information providing system and personal attribute information providing method
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
KR101803535B1 (en) Single Sign-On Service Authentication Method Using One-Time-Token
JP6570480B2 (en) Generation device, terminal device, generation method, generation program, and authentication processing system
CN109460647B (en) Multi-device secure login method
WO2009066858A1 (en) Personal information management apparatus and personal information management method
CN103118025A (en) Single sign-on method based on network access certification, single sign-on device and certificating server
KR101627896B1 (en) Authentication method by using certificate application and system thereof
JP6848275B2 (en) Program, authentication system and authentication cooperation system
JP5722271B2 (en) Attribute information acquisition method, attribute information acquisition system using the method, each device and program
KR20180039037A (en) Cross authentication method and system between online service server and client
KR20110063025A (en) System for managing service user information, method for acquiring and managing of service user information
KR101084205B1 (en) Method for administering an information of user on network
JP5402301B2 (en) Authentication program, authentication system, and authentication method
JP6053205B2 (en) Information distribution system, method and processing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140626

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150325

R150 Certificate of patent or registration of utility model

Ref document number: 5722271

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees