JP5760037B2 - ユーザ認証装置、方法及びプログラム - Google Patents

ユーザ認証装置、方法及びプログラム Download PDF

Info

Publication number
JP5760037B2
JP5760037B2 JP2013104858A JP2013104858A JP5760037B2 JP 5760037 B2 JP5760037 B2 JP 5760037B2 JP 2013104858 A JP2013104858 A JP 2013104858A JP 2013104858 A JP2013104858 A JP 2013104858A JP 5760037 B2 JP5760037 B2 JP 5760037B2
Authority
JP
Japan
Prior art keywords
authentication
request
user
past
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013104858A
Other languages
English (en)
Other versions
JP2014225186A (ja
Inventor
麻美 宮島
麻美 宮島
橋本 順子
順子 橋本
恒子 倉
恒子 倉
芳浩 吉田
芳浩 吉田
一雄 森村
一雄 森村
前田 裕二
裕二 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013104858A priority Critical patent/JP5760037B2/ja
Publication of JP2014225186A publication Critical patent/JP2014225186A/ja
Application granted granted Critical
Publication of JP5760037B2 publication Critical patent/JP5760037B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、ユーザ認証を必要とするコンピュータシステムにおいて、既に認証済のユーザに対する再認証の要否を判定する機能を備えたユーザ認証装置、方法及びプログラムに関する。
インターネット上のサービスや社内の業務システムなど、ネットワークにより接続されたコンピュータ間でデータをやりとりするさまざまなシステムが普及している。これらのシステムの多様化と普及の速度はめざましく、近年では単独用途のシステムだけではなく、複数のシステムをまたがってシームレスに利用できるサービスや、平常時と災害時の両方で継続利用できるサービスも登場している。
これらのサービスを利用する場合には、一般に、ユーザの本人確認のためにID/PWDやICカードなどを用いてユーザ認証を行い、その認証結果に基づいてアクセス範囲などを制御している。用途が限定されたシステムにおいては、基本的に当該システムを利用するユーザの本人確認のためにユーザ認証を一度実施すればよい。しかし、認証方式の異なる複数のシステムをまたがるサービスを利用する場合や、アクセスするデータごとに要求される認証のレベルが異なる場合、また平常時と災害時でシステムの挙動を変えるようなシステムにおいては、ユーザの認証状態や状況に応じて再認証するなど、より複雑な認証が求められる。例えば、アクセスするデータに応じて強度の高い認証方式により再認証が必要かどうかを判断する必要がある。また、本人を確認するのみならず、災害時などの状況や、アクセス元の環境、用途など、本人確認以外の要素も加味して再認証の実施可否や認証方式を選択できるようにする必要がある。
ユーザの認証を実施する装置やプログラムについては、様々な製品が提供されている。例えば、指紋認証を実施するシステム(例えば非特許文献1を参照)や、指静脈認証を実施するシステム(例えば非特許文献2を参照)が挙げられ、これらの認証方式の種類は技術の進展に伴い増加している。また、複数のサーバが接続されたシステムにおいて、ユーザ認証を一元的に実施する認証サーバを設け、認証サーバにて過去に認証が実行済であるか否かを判定し、未実行と判定された場合にのみユーザ認証を実施する方法も提案されている(例えば特許文献1を参照)。
特許第4932861号公報
「SecureFinger for SECUREMASTER」、NEC、インターネット<URL: http://www.nec.co.jp/pid/> 「指静脈認証ソリューション」、日立製作所、インターネット<URL: http://www.hitachi.co.jp/products/it/veinid/index.html>
前述したように、認証方式の異なる複数のシステムをまたがるサービスを利用する場合や、アクセスするデータごとに要求される認証のレベルが異なる場合、さらには平常時/災害時に応じて挙動を変えるシステムなどでは、認証要求時の状況やアクセス先データによって再認証や異なる認証方式での認証が求められる。
ところが、非特許文献1及び非特許文献2に記載されたシステムのように、一つの認証方式を固定的に用いてユーザ認証を実施するための装置およびしくみは様々提供されているが、複数の認証方式をユーザの認証状態や認証要求時の状態に応じて使い分けたり、再認証の要否を判定する方法についてはいまだ提案されていない。
一方、特許文献1には、過去の認証が実行済か否かによりユーザ認証の実施要否を判定する方法について記載されている。しかし、認証方式の異なる複数のシステムをまたがるサービスを利用する場合や、アクセスするデータごとに要求される認証のレベルが異なる場合、さらには平常時と災害時でシステムの挙動を変えるようなシステムにおいて求められる複雑な認証、すなわちユーザの認証状態や災害時などの状況、アクセス元の環境、用途、アクセスするデータの種類などに基づく再認証の実施可否判定や認証方式選択を柔軟に実施するための方法までは、言及されていない。
この発明は上記事情に着目してなされたもので、その目的とするところは、過去の認証の有無のみならず、認証の方式又はレベルの異なる複数種の認証が要求される場合であっても、その都度的確に再認証の要否を判定できるようにしたユーザ認証装置、方法及びプログラムを提供することにある。
上記目的を達成するためにこの発明の第1の態様は、認証要求元となる装置から送信された、ユーザについての認証要求をネットワークを介して受信し、この受信された認証要求に含まれる、上記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方を、予め記憶された判定条件と比較することにより、再認証の要否及び再認証に使用する認証方式を判定し、この判定の結果再認証が必要な場合に、上記判定された認証方式を使用して認証を行う装置又は方法にあって、過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方との組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す認証判定ルール情報を、当該認証判定ルール情報を一意に指定する認証タイプ情報と関連付けて予め記憶しておく。そして、上記再認証の要否及び再認証に使用する認証方式を判定する際に、受信された認証要求に上記認証タイプ情報が含まれているか否かを判定し、含まれていると判定された場合に当該認証タイプ情報をもとに上記記憶された対応する認証判定ルール情報を読み出し、この読み出された認証判定ルール情報と、上記受信された認証要求に含まれる、上記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方に基づいて、再認証の要否及び再認証に使用する認証方式を判定するようにしたものである。
この発明の第2の態様は、認証要求元となる装置から送信された、ユーザについての認証要求をネットワークを介して受信し、この受信された認証要求に含まれる、上記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方を、予め記憶された判定条件と比較することにより、再認証の要否及び再認証に使用する認証方式を判定し、この判定の結果再認証が必要な場合に、上記判定された認証方式を使用して認証を行う装置又は方法にあって、過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方との組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す認証判定ルール情報を、当該認証判定ルール情報を一意に指定する認証タイプ情報と関連付けて予め記憶しておく。またそれと共に、アクセス対象データの識別情報を上記認証タイプ情報と関連付けて記憶しておく。そして、上記再認証の要否及び再認証に使用する認証方式を判定する際に、先ず受信された認証要求に上記アクセス対象データの識別情報が含まれているか否かを判定し、含まれている場合に当該アクセス対象データの識別情報をもとに上記記憶された対応する認証タイプ情報を読み出す。次に、この読み出された認証タイプ情報をもとに上記記憶された対応する認証判定ルール情報を読み出し、この読み出された認証判定ルール情報と、上記受信された認証要求に含まれる、上記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方に基づいて、再認証の要否及び再認証に使用する認証方式を判定するものである。
この発明の第3の態様は、認証要求元となる装置から送信された、ユーザについての認証要求をネットワークを介して受信し、この受信された認証要求に含まれる、上記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方を、予め記憶された判定条件と比較することにより、再認証の要否及び再認証に使用する認証方式を判定し、この判定の結果再認証が必要な場合に、上記判定された認証方式を使用して認証を行う装置又は方法にあって、過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方との組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す、すべての認証要求に対し適用される認証判定ルール情報を予め記憶しておく。そして、認証要求が受信された場合に上記記憶された認証判定ルール情報を読み出し、この読み出された認証判定ルール情報と、上記受信された認証要求に含まれる、上記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方に基づいて、再認証の要否及び再認証に使用する認証方式を判定するものである。
第4の態様は、過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、要求ユーザ、要求元環境、最終認証時刻、用途、緊急度及び要求する認証方式のうちの少なくとも一つとの組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す認証判定ルール情報を予め記憶しておく。そして、認証要求が受信された場合に、上記記憶された認証判定ルール情報を読み出し、この読み出された認証判定ルールと、上記受信された認証要求に含まれる、上記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、要求ユーザ、要求元環境、最終認証時刻、用途、緊急度及び要求する認証方式のうちの少なくとも一つとに基づいて、再認証の要否及び再認証に使用する認証方式を判定するものである。
第5の態様は、上記認証処理による認証結果を表す情報を保存し、この認証結果を表す情報を、認証要求元の次回以降における認証要求の生成処理に再利用させるべく、上記認証要求元の装置へ送信するようにしたものである。
この発明の第1の態様によれば、ユーザの過去の認証の有無に止まらず、過去の認証済の認証方式及びその認証レベルの少なくとも一方まで考慮して、再認証の要否と、再認証で使用すべき認証方式が判定される。このため、認証方式の異なる複数のシステムをまたがるサービスを利用する場合や、アクセスするデータごとに要求される認証のレベルが異なる場合でも、その都度再認証の要否と再認証に必要な認証方式を的確に判定することが可能となる。
第1の態様によれば、認証要求元が認証要求に認証タイプを設定して送信した場合には、ユーザ認証装置において上記設定された認証タイプに対応する認証判定ルールが選択され、この選択された判定ルールを用いて判定処理が行われる。このため、利用するシステムごとに認証タイプが異なる場合でも、認証タイプに応じた認証処理を確実に実行することができる。
第2の態様によれば、認証要求元が認証要求にアクセス対象データの識別情報を設定して送信した場合には、ユーザ認証装置において上記設定されたアクセス対象データの識別情報に対応する認証タイプが先ず選択され、次にこの認証タイプをもとに対応する認証判定ルールが選択され、この選択された判定ルールを用いて判定処理が行われる。このため、アクセス対象データの種類によって求められる認証処理が異なる場合でも、当該アクセス対象データを使用するために必要な認証処理を確実に実行することができる。
第3の態様によれば、すべての認証要求に対し適用される認証判定ルール情報が予め記憶され、この認証判定ルールをもとに認証処理が行われる。このため、システムのポリシとして認証判定ルールが固定の場合でも、この発明を実施できる。
第4の態様によれば、ユーザの過去の認証の有無、過去の認証済の認証方式及びその認証レベルの少なくとも一方を考慮し、さらに要求ユーザ、要求元環境、最終認証時刻、用途、緊急度及び要求する認証方式のうちの少なくとも一つを考慮して、再認証の要否と、再認証で使用すべき認証方式が判定される。このため、災害時などの状況や、アクセス元の環境、用途が異なる場合でも、その都度再認証の要否と再認証に必要な認証方式を的確に判定することが可能となる。
第5の態様によれば、認証処理による認証結果を表す情報が保存され、この認証結果を表す情報が認証要求元の装置へ送信される。このため、認証要求元の装置では、次回以降の認証要求時において上記認証結果を表す情報を利用して認証要求を自動生成することができる。
すなわちこの発明によれば、過去の認証の有無のみならず、認証の方式又はレベルの異なる複数の認証方式が要求される場合であっても、その都度的確に再認証の要否を判定できるようにしたユーザ認証装置、方法及びプログラムを提供することができる。
この発明に係るユーザ認証装置の一実施形態である認証サーバの機能構成を示すブロック図。 図1に示した認証サーバの認証状態チェック部による判定処理手順と処理内容を示すフローチャート。 図1に示した認証サーバの認証状態チェック部への入力項目としての認証状態情報の一例を示す図。 図1に示した認証サーバの認証状態チェック部への入力項目としての認証要求オプション情報の一例を示す図。 図1に示した認証サーバの認証状態チェック部において使用される認証タイプ別判定ルールリストを示す図。 図5に示した認証タイプの判定ルールの一例を示す図。 認証タイプの判定処理の第1の実施例を示すフローチャート。 認証タイプの判定処理の第2の実施例を示すフローチャート。 認証タイプの判定処理の第3の実施例を示すフローチャート。 認証タイプの判定処理の第4の実施例を示すフローチャート。 図1に示した認証サーバの認証状態チェック部において使用される認証方式リストを示す図。
以下、図面を参照してこの発明に係わる実施形態を説明する。
[一実施形態]
(構成)
図1は、この発明に係るユーザ認証装置の一実施形態である認証サーバの機能構成をその周辺装置と共に示したブロック図であり、図中ASVが認証サーバを示している。認証サーバASVには、図示しないネットワークを介してクライアント端末CT、要求サーバRSV、及びデータ提供サーバDSVが接続されている。クライアント端末CT、要求サーバRSV及びデータ提供サーバDSVは何れも複数台存在する。また、要求サーバRSVとデータ提供サーバDSVの役割を兼ねるサーバが存在してもよい。
クライアント端末CTおよび要求サーバRSVは、データ提供サーバDSVに対しデータ閲覧等のアクセスを要求する場合に、認証サーバASVに対してネットワークを介してユーザ認証要求を送付する。また、この認証要求に対し認証サーバASVから認証結果を表す情報が通知された場合に、当該認証結果情報を伴ってデータ提供サーバDSVに対しデータアクセス要求を送付する機能を有する。
データ提供サーバDSVは、クライアント端末CTまたは要求サーバRSVから受信したデータアクセス要求に従い、自らが保存しているデータに対する操作を実施し、その操作結果を表す情報を返却する。その際、上記受信されたデータアクセス要求に含まれる認証結果情報を参照し、必要に応じて認証サーバASVに対し問い合わせを行い、アクセス元ユーザの認証状態の確認を行って操作の可否を判断する機能を有する。また、データ操作に必要な認証方式が未認証の場合には、認証済か否かの確認だけでなく、ユーザ認証要求を認証サーバASVに送付する機能も有する。
ところで、認証サーバASVは認証ユニット1及び認証判定ユニット2を備えている。
認証ユニット1は、認証方式リスト記憶部11と、認証方式リスト記憶制御部12と、複数の認証方式実施部131〜13Nを有している。認証判定ユニット2は、認証状態チェック部21と、認証振分部22を有している。なお、上記認証ユニット1及び認証判定ユニット2が有する各処理部は何れも、図示しないプログラムメモリに格納されたプログラムを認証サーバASVが備えるCPU(Central Processing Unit)に実行させることにより実現される。
認証ユニット1の認証方式リスト記憶部11は、使用が想定される複数種の認証方式をリスト化して記憶する。認証方式とは、例えばID/PWD認証、PKI認証、指紋認証、静脈認証など、特徴や認証強度の異なる認証のことを指す。認証方式のリストは、上記各認証方式に対しユニークに付けられた識別子を、それぞれ対応する認証方式実施部131〜13Nと対応づけて管理する。また認証方式リストには、認証方式IDと対応づけて、認証を実行するアプリケーションの呼出し先が設定される。なお、認証方式リストの認証方式実施部として外部サーバを指定しておくことも可能であり、この場合には「認証サーバ以外のサーバへ認証を委託すること」を1つの認証方式として設定することもできる。
図11は、上記認証方式リストに保存されるデータ項目の一例を示すもので、データ項目として認証方式ID、認証方式名称、認証方式実施部、認証順番、認証レベルを備えた場合を示している。
認証方式リスト記憶制御部12は、クライアント端末CT、要求サーバRSV又はデータ提供サーバDSVから受信した認証要求に応じて、上記認証方式リスト記憶部11に記憶された認証方式リストを参照することにより、識別子で指定された認証方式や認証方式実施部131〜13Nを特定する機能を有する。
認証方式実施部131〜13Nはそれぞれ、上記認証方式をリストに登録された対応する認証方式に応じた認証処理を実行する機能を有する。例えば、ID/PWD認証であれば、認証要求に応じて要求元のクライアント端末などにログインIDとパスワードを入力する画面を提示し、入力されたログインIDとパスワードを自らが管理するデータと照合して認証成否を判断し、結果を要求元に返却する処理を行う。
認証判定ユニット2の認証状態チェック部21は、以下の処理機能を有する。
(1) 認証要求元から送信された認証要求を受信し、この認証要求から入力パラメータ(入力項目)を抽出する機能。
上記入力パラメータ(入力項目)は、認証要求元のユーザの認証状態を表す認証状態情報と、認証要求元サーバの情報、用途、どのような認証を望むか等の当該認証要求の特徴を表す認証要求オプション情報とに大別される。認証状態情報は、「既認証有無」、「既認証方式」、「既認証レベル」及び「最終認証時刻」を含む。図3にこれらの項目の定義を示す。認証要求オプション情報は、「要求ユーザ」、「要求元環境」、「用途」、「緊急度」、「要求認証方式」、「アクセス対象データ」及び「認証タイプ」を含む。図4にこれらの項目の定義を示す。
認証状態情報は通常、ユーザや認証要求元サーバのアプリケーションが変更することはできない。認証状態情報に含まれる項目は、セッション格納、ユーザが操作できない形で認証要求に含める、認証サーバASVで管理する情報を問い合わせて取得する、もしくその両方を併用するなどの方法で、認証サーバASVの認証状態チェック部21に入力される。
一方、認証要求オプション情報は、認証タイプを直接的に示す項目以外は、認証要求元サーバの情報、用途、どのような認証を望むかなど、当該認証要求の特徴を示すもので、ユーザや認証要求元のアプリケーションが設定して認証要求に含める。ただし、認証要求オプション情報に含まれる各項目はいずれもユーザが手動操作で認証要求に含める必要は必ずしもなく、認証要求元の要求サーバやクライアント端末CTが備えるアプリケーションの制御により自動的に認証要求に挿入することができる。なお、「緊急度」など、その条件項目によってユーザが求められる認証レベルが引き下げられるように設計されている項目を認証要求に含める場合には、認証要求側にて当該項目を認証要求に含めてよいか判断する必要があり、この場合はアプリケーションがシステム全体のポリシに則って制御する。
(2) 上記抽出された入力パラメータ(入力項目)、つまり認証状態情報および認証要求オプション情報の少なくとも一つに基づいて認証タイプを決定する機能。
(3) 上記決定された認証タイプごとに、予め定められた条件判定ルールと、上記認証状態情報及び必要に応じて認証要求オプション情報とを照合することにより、「認証実施要否(認証を実施するか否か)」、認証が必要な場合には「認証方式(いずれの認証方式を選択するか)」、「複数認証要否(複数の認証方式を使用するか)」を決定する機能。
上記認証タイプ別の条件判定ルールは、認証タイプごとに、認証状態情報との照合条件および認証要求オプション情報との照合条件の組み合わせと、認証状態チェック部21への入力パラメータがその照合条件に合致した場合の判定結果としての認証実施情報を設定したもので、その設定値は設定ファイルや図示しないデータベースに格納される。図5は、「認証タイプ」と「ルール名」を複合主キーとしたテーブルに判定ルールを保持させた場合を例示したものである。これらの設定項目のうち、要実施認証方式ID(項番15)と要実施認証レベル(項番16)については、そのいずれか一方が設定される。なお、上記認証タイプ別の条件判定ルールは、プログラムの条件分岐で読み出す形で実装してもよいし、個々に判定ロジックとしてプログラム実装してもよい。
認証振分部22は、上記認証状態チェック部21から認証実施情報を受け取り、必要に応じて認証ユニット1に対し認証処理を依頼してその認証結果を取得し、認証結果情報に追加する機能を有する。具体的には、認証状態チェック部21から受け取った認証実施情報の「認証実施要否」が要の場合に、認証ユニット1の認証方式リスト記憶制御部11を介して認証方式リスト記憶部11から認証方式リストを読み出し、この認証方式リストに登録されている対応する認証方式実施部131〜13Nを呼出してユーザ認証処理を実行させ、その認証実施結果を取得する。
(動作)
次に、以上のように構成された認証サーバASVの動作を説明する。
(1)認証タイプの判定
クライアント端末CT、要求サーバRSV或いはデータ提供サーバDSVから、ユーザについての認証要求が送信され、この認証要求が認証サーバASVで受信されたとする。そうすると認証サーバASVでは、先ず認証判定ユニット2の認証状態チェック部21において以下のように認証タイプの判定が行われる。図2の(1)はその判定処理の手順と判定内容を示すフローチャートである。
認証タイプの判定方法には、認証要求に挿入された認証タイプをもとに判定する方法と、データごとにそれに対応する認証タイプを認証サーバASVで管理し、認証要求に挿入されたアクセス対象データの識別子をもとに判定する方法と、システムポリシに従い固定された認証タイプを用いる方法がある。
(1−1)認証要求に挿入された認証タイプをもとに判定する方法
認証状態チェック部21は、先ずステップS11において、受信された認証要求に入力パラメータの一項目として認証タイプが含まれているか否かを判定する。この判定の結果、受信された認証要求オプション情報に図4の項番7に示す「認証タイプ」が含まれていた場合には、ステップS12により上記受信された認証要求オプション情報に含まれる「認証タイプ」の値を抽出して、この抽出した値をこのときの要求に対応する「認証タイプ」として採用する。
(1−2)認証要求に挿入されたアクセス対象データ識別子をもとに判定する方法
認証状態チェック部21は、先ずステップS11において、受信された認証要求に入力パラメータの一項目として「認証タイプ」が含まれていないと判定されると、ステップS13に移行する。そして、このステップS13において、上記受信された認証要求に入力パラメータの一項目としてアクセス対象データ識別子が含まれているか否かを判定する。この判定の結果、受信された認証要求オプション情報に図4の項番6に示す「アクセス対象データ識別子」が含まれていた場合には、ステップS14において、上記受信された認証要求オプション情報に含まれる「アクセス対象データ識別子」をキーとして、自サーバもしくは他サーバが保有するデータ毎に認証タイプを定めた「データ別認証タイプ設定リスト」を検索し、上記「アクセス対象データ識別子」に対応する適切な認証タイプを特定する。
なお、図4に示した認証要求オプション情報に含まれる項目のうち、「アクセス対象データ識別子」及び「認証タイプ」以外の項目、例えば「要求元ユーザ」、「要求元環境」、「用途」、「緊急度」又は「要求認証方式」についても、アクセス対象データ識別子の場合と同様に、認証要求オプション情報の項目ごとに予め設定された認証タイプを認証サーバASVで管理しておき、認証要求の受信時に当該認証要求に含まれる認証要求オプション情報に記載された項目をキーとして認証タイプを検索できるようにする。その場合、図2のフローチャートでは、ステップS13において、認証要求に「要求元ユーザ」、「要求元環境」、「用途」、「緊急度」又は「要求認証方式」が含まれているか否かを判定し、含まれている場合にステップS14において該当する認証タイプを特定すればよい。このようにすることで、認証要求オプション情報の各項目に適した認証タイプを特定することができる。
また、認証要求オプション情報の項目ごとの認証タイプ設定リストで定義される認証タイプとして、「認証実施情報の判定自体を省略すること」を示す値を設定しておくことも可能である。例えば、認証要求オプション情報の“緊急度”項目が災害時を示す値の場合には、上記「判定省略」を設定しておく。
(1−3)システムポリシに従い固定された認証タイプを用いる方法
認証状態チェック部21は、先ずステップS13において、上記受信された認証要求に入力パラメータの一項目として「アクセス対象データ識別子」が含まれていないと判定されると、ステップS15に移行する。そして、このステップS15において、デフォルト値として予め設定しておいた「認証タイプ」を一意に特定する。
(2)認証実施情報の決定
上記認証タイプの判定が終了すると、認証判定ユニット2は引き続き認証状態チェック部21において、以下のように認証実施情報を決定する。図2の(2)はその判定処理の手順と判定内容を示すフローチャートである。
すなわち、認証サーバASV内のデータベースには、認証タイプごとに予め設定された認証タイプ別判定ルールが予め記憶されている。この状態で、上記ステップS11〜S15により認証タイプが判定されると、当該認証タイプに対応する認証タイプ別判定ルールを上記データベースから読み出し、この読み出された判定ルールに従い、認証状態情報や認証要求オプション情報の値をチェックしていくことで、認証実施情報を決定する。
例えば、先ずステップS16により「判定省略」が設定されているか否かを判定する。この判定の結果、「判定省略」が設定されていれば、ステップS18によりデフォルト値として予め設定された認証実施情報を選択する。そして、ステップS19に移行し、ここで上記選択された認証実施情報を認証振分部22に渡す。
これに対し「判定省略」が設定されていなければ、ステップS17において、認証タイプごとに予め定められた判定ルールと、認証要求により受信された認証状態情報及び認証要求オプション情報に記載された項目の値とを照合する。そして、この照合の結果をもとに認証実施情報を決定する。そして、ステップS19に移行し、ここで上記選択された認証実施情報を認証振分部22に渡す。
(3)認証実施情報の決定処理の具体例
認証実施情報の決定処理の具体的な処理手順及び処理内容としては、以下の4つの実施例が考えられる。
(a)第1の実施例(通常認証・複数認証)
第1の実施例は、要求された認証方式が現在から一定時間前までに認証済であれば再認証を行わず、未認証であれば決められた認証方式(例えばID/PWD認証)を使用してユーザ認証を実施するものである。図7はその処理手順と処理内容を示すフローチャートである。
例えば、いま認証タイプの判定ルールとして図6に示す判定ルールが定義されていたとする。この状態で、上記判定された認証タイプをステップS20で受け取ると、先ずステップS21において上記判定された認証タイプに対応する判定ルールを選択する。次に、この選択された判定ルールに基づいて、ステップS22により「判定省略」が選択されているか否かを判定し、「判定省略」が選択されていればステップS27に移行する。そして、認証実施情報として、予めデフォルト値として設定された認証実施情報をセットし、この認証実施情報をステップS28により認証振分部22に渡す。
これに対し「判定省略」が選択されていなければ、ステップS23において「既認証有無」が“有”であるか否かを判定する。この判定の結果、「既認証有無」が“有”だった場合には、ステップS24において、最終認証時刻がルールで指定された一定時間内であるか否かを判定する。そして、最終認証時刻がルールで指定された一定時間内であれば、ステップS25により認証実施情報として認証実施要否=不要をセットする。そして、この認証実施情報をステップS28により認証振分部22に渡す。
一方、上記「既認証有無」が“有”でなかった場合、つまり未認証だった場合、及び上記最終認証時刻がルールで指定された一定時間を経過していた場合にはステップS26に移行し、認証実施情報として、認証実施要否=要、認証方式ID=01をセットする。そして、この認証実施情報をステップS28により認証振分部22に渡す。
なお、上記判定プログラムは、全変数に関する分岐を持たせた汎用的なものとし、図6に示した判定ルールのデータテーブルから変数の値を読み出してきてもよいし、図7に示した判定プログラムを直接プログラム実装してもよい。なお、認証実施情報のうち、「認証実施要否」が“要”の場合には、図6中の※1に示すように「要実施認証方式ID」もしくは「要実施認証レベル」をセットする。また、複数の認証方式で認証を実施したい場合には、「要実施認証方式ID」に複数の認証方式IDを設定するか、「要実施複数認証フラグ」を設定する。さらに、「認証タイプ」と「要実施認証方式ID」との組み合わせについては、別のテーブルで管理してもよい。
(b)第2の実施例(強制認証)
第2の実施例は、過去に認証済か否かを問わず、無条件でユーザ再認証を実施するものである。図8はその判定処理手順と処理内容を示すフローチャートである。
ステップS30により上記判定された認証タイプを受け取ると、先ずステップS31において上記判定された認証タイプに対応する判定ルールを選択する。次に、この選択された判定ルールに基づいて、ステップS32により「判定省略」が選択されているか否かを判定する。この判定の結果、「判定省略」が選択されていればステップS34に移行する。そして、認証実施情報として、予めデフォルト値として設定された認証実施情報をセットし、この認証実施情報をステップS35により認証振分部22に渡す。
一方、「判定省略」が選択されていなければ、ステップS33において認証実施情報として、無条件に認証実施要否=要、認証方式ID=01をセットする。そして、この認証実施情報をステップS35により認証振分部22に渡す。
(c)第3の実施例(認証要求オプション情報を加味した場合の通常認証/多段認証)
第3の実施例は、過去の一定期間内に、認証要求で指定されたアクセス対象データのアクセスに求められる認証方式の認証レベル以上の認証を実施済であれば再認証を行わず、未認証であれば当該データのアクセスに求められる認証方式を使ってユーザ認証を実施するものである。図9はその処理手順と処理内容を示すフローチャートである。
上記認証判定処理により判定された認証タイプをステップS40で受け取ると、先ずステップS41において上記判定された認証タイプに対応する判定ルールを選択する。次に、この選択された判定ルールに基づいて、ステップS42により「判定省略」が選択されているか否かを判定し、「判定省略」が選択されていればステップS51に移行する。そして、認証実施情報として、予めデフォルト値として設定された認証実施情報をセットし、この認証実施情報をステップS52により認証振分部22に渡す。
これに対し「判定省略」が選択されていなければ、ステップS43において「既認証有無」が“有”であるか否かを判定する。この判定の結果、「既認証有無」が“有”だった場合には、ステップS44において、最終認証時刻がルールで指定された一定時間内であるか否かを判定する。そして、最終認証時刻がルールで指定された一定時間内であれば、ステップS45により、自己の認証サーバASV又は他の認証サーバに保存されているデータ別認証タイプ設定リストから認証方式を読み出し、当該認証方式を既認証方式(照合値)とする。またそれと共にステップS46において、予めデータベースに記憶されている認証方式リストから既認証方式(照合値)の認証レベルを読み出し、この読み出した認証レベルを既認証レベル(照合値)とする。
そして、ステップS47において、受信された認証要求に含まれる認証状態情報に記載された認証済の認証レベルを上記既認証レベル(照合値)と比較する。この比較の結果、認証済の認証レベルが既認証レベル(照合値)以上であれば、ステップS48に移行して、「認証実施要否=不要」を認証実施情報に設定する。そして、この認証実施情報をステップS52により認証振分部22に渡す。
一方、上記ステップS43により「既認証有無」が“有”と判定されなかった場合、つまり未認証だった場合と、上記ステップS44により最終認証時刻がルールで指定された一定時間を経過していると判定された場合にはステップS49に移行する。そして、このステップS49により、自己の認証サーバASV又は他の認証サーバに保存されているデータ別認証タイプ設定リストから認証方式を読み出したのち、ステップS50により、認証実施要否=要と、データ別認証タイプ設定リストから取得した認証方式のIDを認証実施情報としてセットする。そして、この認証実施情報をステップS52により認証振分部22に渡す。
また、上記ステップS47により認証済の認証レベルが既認証レベル(照合値)未満と判定された場合には、ステップS50において、認証実施要否=要と、データ別認証タイプ設定リストから取得した認証方式のIDを認証実施情報としてセットする。そして、この認証実施情報をステップS52により認証振分部22に渡す。
なお、第3の実施例において、図5に示す既認証方式(照合値)や既認証レベル(照合値)は、認証要求で指定されたアクセス対象データのアクセスに求められる認証方式の認証レベル以上の認証をユーザが実施済か否かを判定するための照合条件を意味する。これらの値は、図9に示したように、図2の(2)認証タイプごとの判定ルールに則して認証実施情報を決定する処理においてデータ別認証タイプ設定リストと認証方式リストを参照することで一意に特定してもよいが、他に図2の(1)認証要求オプション情報から認証タイプを判定する処理において、データ別認証タイプ設定リストを参照し、認証タイプを選択することで一意に特定するようにしてもよい。
なお、図9のフローチャートでは、入力パラメータの既認証レベルが既認証レベル(照合値)以上であれば認証不要という判定になっているが、他に例えば既認証方式と既認証方式(照合値)が一致したら、もしくは既認証方式が既認証方式(照合値)を含んでいれば認証不要と判定するようにしてもよい。つまり、既認証方式と既認証方式(照合値)の双方に複数の認証方式を設定し、完全一致や部分一致により認証不要と判定するようにしてもよい。
また、条件判定に必要な項目が認証要求に含まれていない場合には、認証サーバASVから取得してもよい。例えば、認証要求に既認証レベルが入っていない場合、既認証方式をキーとして認証サーバASVに予め記憶されている認証方式リストを検索することで取得することができる。
(d)第4の実施例(通常認証(認証状態オプション情報を加味した判定))
第3の実施例は、「緊急度」が“高”の場合において、認証要求に含まれる認証状態オプション情報に記載されたアクセス対象データに対しアクセスするために必要な認証方式の認証レベル以上の認証が実施済でなくても、一定期間以内の過去に何らかの認証処理が行われていれば再認証を行わないようにしたものである。図10はその処理手順と処理内容を示すフローチャートである。
上記認証判定処理により判定された認証タイプをステップS60で受け取ると、先ずステップS61において上記判定された認証タイプに対応する判定ルールを選択する。次に、この選択された判定ルールに基づいて、ステップS62により「判定省略」が選択されているか否かを判定し、「判定省略」が選択されていればステップS67に移行する。そして、認証実施情報として、予めデフォルト値として設定された認証実施情報をセットし、この認証実施情報をステップS73により認証振分部22に渡す。
これに対し「判定省略」が選択されていなければ、ステップS63において「既認証有無」が“有”であるか否かを判定する。この判定の結果、「既認証有無」が“有”だった場合には、ステップS64において、最終認証時刻がルールで指定された一定時間内であるか否かを判定する。そして、最終認証時刻がルールで指定された一定時間内であれば、ステップS65により、認証要求に含まれる認証状態オプション情報に記載された「緊急度」が“高”であるか否かを判定する。この判定の結果、「緊急度」が“高”であれば、認証実施情報として認証実施要否=不要をセットし、この認証実施情報をステップS73により認証振分部22に渡す。
これに対し、上記ステップS65により「緊急度」は“高”ではないと判定された場合には、ステップS70に移行してステップS70により、自己の認証サーバASV又は他の認証サーバに保存されているデータ別認証タイプ設定リストから認証方式を読み出し、当該認証方式を既認証方式(照合値)とする。またそれと共にステップS71において、予めデータベースに記憶されている認証方式リストから既認証方式(照合値)の認証レベルを読み出し、この読み出した認証レベルを既認証レベル(照合値)とする。
そして、ステップS72において、受信された認証要求に含まれる認証状態情報に記載された認証済の認証レベルを上記既認証レベル(照合値)と比較する。この比較の結果、認証済の認証レベルが既認証レベル(照合値)以上であれば、ステップS66に移行して、「認証実施要否=不要」を認証実施情報に設定する。そして、この認証実施情報をステップS73により認証振分部22に渡す。
また、上記ステップS63により「既認証有無」が“有”と判定されなかった場合、つまり未認証だった場合と、上記ステップS64により最終認証時刻がルールで指定された一定時間を経過していると判定された場合にはステップS68に移行する。そして、このステップS68により、自己の認証サーバASV又は他の認証サーバに保存されているデータ別認証タイプ設定リストから認証方式を読み出したのち、ステップS69により、認証実施要否=要と、データ別認証タイプ設定リストから取得した認証方式のIDを認証実施情報としてセットする。そして、この認証実施情報をステップS73により認証振分部22に渡す。
(4)認証処理の実施
認証振分部22では、認証状態チェック部21から渡された認証実施情報の認証実施要否が要の場合には、認証ユニット1の認証方式リスト記憶制御部12を介して認証方式リスト記憶部11に格納されている認証方式リストを参照し、上記認証実施情報に記載された認証方式に対応する認証方式実施部131〜13Nを特定する。そして、この特定された認証方式実施部にユーザ認証処理を実行させる。また、この認証処理の実行後に、認証方式実施部で生成される認証実施結果を受け取る。
認証方式実施部131〜13Nは、上記認証振分部22から受け取った認証実施情報をもとに以下のように認証処理を実行する。すなわち、受け取った認証実施情報に、要実施認証方式ID(図5の項番15)ではなく要実施認証レベル(図5の項番16)の値が設定されていた場合には、認証方式データを参照し、認証レベルが要実施認証レベル以上に設定された認証方式を用いて認証する。また、上記受け取った認証実施情報に、要実施複数認証フラグが設定されている場合には、認証方式リストの認証順番に若い値が設定された認証方式から順次複数の認証方式実施部131〜13Nを選択し、複数の認証方式を用いて認証処理を実施する。
なお、上記受け取った認証実施情報の認証実施要否が要の場合に、認証サーバASVの判断で自動的に認証を実施するのではなく、どの認証方式により認証済である必要があるのかを示す情報、つまり認証実施情報を要求元のクライアント端末CTまたは要求サーバRSVに返却し、前述した(b)に示した方法を用いて要求サーバRSV側が再度認証を依頼するという方法を採用することもできる。
一方、上記認証実施情報の認証実施要否が不要の場合には、認証処理を実施せずに、認証結果情報の更新処理へ移行する。
(5)認証結果情報の更新
上記認証ユニット1により再認証処理が実施されると、その認証結果を表す情報は認証要求元のクライアント端末CT或いは要求サーバRSVに返送される。この返送された認証結果を表す情報は、クライアント端末CT或いは要求サーバRSVにおいて保持され、その後のユーザによるデータアクセス時に再利用される。また、それと共に上記認証結果を表す情報は、認証サーバASVにおいても前回の認証結果を表す情報に代えて更新保持、または認証結果を表す情報に加えて追加保持される。認証結果情報は、少なくともユーザ識別子と、図3に示した認証状態情報に含まれる各項目の情報を持つ。但し、図3の項番2と3はいずれか一方でもよい。
(5−1)認証結果情報の保持
上記認証結果情報の保持手法としては、以下の2つのものが考えられる。
(1) 認証結果情報をセッションに格納し、クライアント端末CTから任意のサーバへのデータアクセスや任意のサーバ間のデータアクセス時にアクセス元ユーザを示す情報として利用できるようにする。
(2) 認証結果情報を認証サーバASVに格納し、その認証情報に対応する識別子をセッションに格納する。クライアント端末CTから任意のデータ提供サーバDSVへのデータアクセスや、任意のサーバ間のデータアクセス時には、セッションから取得した識別子をキーとして認証サーバASVに問い合わせて認証結果情報を取得することで、アクセス元ユーザを示す情報として利用できるようにする。
(5−2)認証結果情報の追加
認証状態チェック部21でのユーザ認証判定結果に基づき、認証が必要と判断された場合には指定された認証方式実施部131〜13Nを選択してユーザ認証を実施し、その認証結果情報を次のいずれかの方法で保持し、再利用できるようにする。
具体的な追加手法としては、以下のようなものが考えられる。
(1) 最新の認証要求時の認証実施結果により認証結果情報を上書きする。
(2) 認証の全履歴として、認証方式や認証レベルの重複を問わず、認証実施する都度、認証実施結果を認証実施時刻と共に認証結果情報に追加する。なお、認証を実施しなかった場合には、認証結果情報には何も追加しなくてもよいし、既にある認証結果を信用したことを示す値を認証方式に設定するなどしてもよい。
(3) 実施したことがある認証の履歴として、認証結果情報に既に設定されていない認証方式であれば追加をし、既にあるものであれば追加しない。最終認証時刻は更新し、認証レベルは最も高いものを上書する。
(効果)
以上詳述したようにこの実施形態では、認証サーバASVにおいて、認証タイプ別に、認証状態情報との照合条件及び認証要求オプション情報との照合条件の組み合わせに応じて認証実施情報を予め設定した判定ルールを記憶しておく。そして、クライアント端末CT又は要求サーバRSVから認証要求を受信した場合に、認証タイプを判定した後、上記受信された認証要求に含まれる認証状態情報を、上記記憶された判定ルールと「既認証の有無」、「最終認証時刻」、「既認証方式」、「既認証レベル」のそれぞれについて順次照合し、その結果から認証実施の要否、認証方式、認証レベルを判定するようにしている。また、認証要求に認証要求オプション情報が挿入されている場合には、当該認証要求オプション情報に含まれる「要求元ユーザ」、「要求元環境」、「用途」、「緊急度」まで考慮して、認証実施の要否、認証方式、認証レベルを判定するようにしている。
したがって、ユーザの認証状態や災害時などの状況、アクセス元の環境、用途、アクセスするデータの種類などに基づく再認証の実施可否判定や認証方式選択ができるようになり、複数のシステムをまたがるサービスやアクセスするデータごとに要求される認証のレベルが異なるシステム、平常時/災害時に応じて挙動を変えるシステムなどで求められる、より複雑なユーザ認証を実現することが可能となる。
[他の実施形態]
前記実施形態では、認証サーバを1台のサーバコンピュータにより構成した場合について述べたが、分散配置された複数台のサーバコンピュータにより構成してもよい。その他、認証状態情報及び認証要求オプション情報の項目の種類、認証タイプ別判定ルールの内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
ASV…認証サーバ、DSV…データ提供サーバ、CT…クライアント端末、RSV…要求サーバ、1…認証ユニット、2…認証判定ユニット、11…認証方式リスト記憶部、12…認証方式リスト記憶制御部、131〜13N…認証方式実施部、21…認証状態チェック部、22…認証振分部。

Claims (7)

  1. 認証要求元となる装置から送信された、ユーザについての認証要求をネットワークを介して受信する受信手段と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方を、予め記憶された判定条件と比較して、再認証の要否及び再認証に使用する認証方式を判定する判定手段と、
    前記再認証が必要と判定された場合に、前記判定された認証方式を使用して認証を行う認証処理手段と
    を具備し、
    前記判定手段は、
    過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方との組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す認証判定ルール情報を、当該認証判定ルール情報を一意に指定する認証タイプ情報と関連付けて記憶する手段と、
    前記受信された認証要求に前記認証タイプ情報が含まれている場合に、当該認証タイプ情報をもとに、前記記憶された対応する認証判定ルール情報を読み出す手段と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、前記読み出された認証判定ルール情報とに基づいて、再認証の要否及び再認証に使用する認証方式を判定する手段と
    を備えることを特徴とするユーザ認証装置。
  2. 認証要求元となる装置から送信された、ユーザについての認証要求をネットワークを介して受信する受信手段と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方を、予め記憶された判定条件と比較して、再認証の要否及び再認証に使用する認証方式を判定する判定手段と、
    前記再認証が必要と判定された場合に、前記判定された認証方式を使用して認証を行う認証処理手段と
    を具備し、
    前記判定手段は、
    過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方との組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す認証判定ルール情報を、当該認証判定ルール情報を一意に指定する認証タイプ情報と関連付けて記憶する手段と、
    アクセス対象データの識別情報を前記認証タイプ情報と関連付けて記憶する手段と、
    前記受信された認証要求に前記アクセス対象データの識別情報が含まれている場合に、当該アクセス対象データの識別情報をもとに、前記記憶された対応する認証タイプ情報を読み出す手段と、
    前記読み出された認証タイプ情報をもとに、前記記憶された対応する認証判定ルール情報を読み出す手段と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、前記読み出された認証判定ルール情報とに基づいて、再認証の要否及び再認証に使用する認証方式を判定する手段と
    を備えることを特徴とするユーザ認証装置。
  3. 認証要求元となる装置から送信された、ユーザについての認証要求をネットワークを介して受信する受信手段と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方を、予め記憶された判定条件と比較して、再認証の要否及び再認証に使用する認証方式を判定する判定手段と、
    前記再認証が必要と判定された場合に、前記判定された認証方式を使用して認証を行う認証処理手段と
    を具備し、
    前記判定手段は、
    過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方との組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す、すべての認証要求に対し適用される認証判定ルール情報を記憶する手段と、
    前記認証要求が受信された場合に、前記記憶された認証判定ルール情報を読み出す手段と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、前記読み出された認証判定ルール情報とに基づいて、再認証の要否及び再認証に使用する認証方式を判定する手段と
    を備えることを特徴とするユーザ認証装置。
  4. 前記判定手段は、
    過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、要求ユーザ、要求元環境、最終認証時刻、用途、緊急度及び要求する認証方式のうちの少なくとも一つとの組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す認証判定ルール情報を記憶する手段と、
    前記認証要求が受信された場合に、前記記憶された認証判定ルール情報を読み出す手段と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、要求ユーザ、要求元環境、最終認証時刻、用途、緊急度及び要求する認証方式のうちの少なくとも一つと、前記読み出された認証判定ルール情報とに基づいて、再認証の要否及び再認証に使用する認証方式を判定する手段と
    を備えることを特徴とする請求項1乃至のいずれかに記載のユーザ認証装置。
  5. 前記認証処理手段による認証結果を表す認証結果情報を保存し、この認証結果情報を、認証要求元の次回以降における認証要求の生成処理に再利用させるべく、前記認証要求元の装置へ送信する手段を、さらに具備することを特徴とする請求項1乃至のいずれかに記載のユーザ認証装置。
  6. 認証要求元となる装置との間でネットワークを介して通信が可能なユーザ認証装置が実行するユーザ認証方法であって、
    前記ユーザ認証装置が、前記認証要求元となる装置から送信された、ユーザについての認証要求をネットワークを介して受信する過程と、
    前記ユーザ認証装置が、前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方を、予め記憶された判定条件と比較して、再認証の要否及び再認証に使用する認証方式を判定する過程と、
    前記ユーザ認証装置が、前記再認証が必要と判定された場合に、前記判定された認証方式を使用して認証を行う過程と
    を具備し、
    前記判定する過程は、
    過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方との組み合わせと、再認証の要否及び再認証に使用する認証方式との対応関係を表す認証判定ルール情報を、当該認証判定ルール情報を一意に指定する認証タイプ情報と関連付けて記憶する過程と、
    アクセス対象データの識別情報を前記認証タイプ情報と関連付けて記憶する過程と、
    前記受信された認証要求に前記アクセス対象データの識別情報が含まれている場合に、当該アクセス対象データの識別情報をもとに、前記記憶された対応する認証タイプ情報を読み出す過程と、
    前記読み出された認証タイプ情報をもとに、前記記憶された対応する認証判定ルール情報を読み出す過程と、
    前記受信された認証要求に含まれる、前記ユーザに係わる過去の認証の有無と、過去の認証済の認証方式及びその認証レベルの少なくとも一方と、前記読み出された認証判定ルール情報とに基づいて、再認証の要否及び再認証に使用する認証方式を判定する過程と
    を備えることを特徴とするユーザ認証方法。
  7. 請求項1乃至のいずれかに記載のユーザ認証装置が具備する各手段が実行する処理を、当該ユーザ認証装置が備えるコンピュータに実行させるプログラム。
JP2013104858A 2013-05-17 2013-05-17 ユーザ認証装置、方法及びプログラム Active JP5760037B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013104858A JP5760037B2 (ja) 2013-05-17 2013-05-17 ユーザ認証装置、方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013104858A JP5760037B2 (ja) 2013-05-17 2013-05-17 ユーザ認証装置、方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2014225186A JP2014225186A (ja) 2014-12-04
JP5760037B2 true JP5760037B2 (ja) 2015-08-05

Family

ID=52123809

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013104858A Active JP5760037B2 (ja) 2013-05-17 2013-05-17 ユーザ認証装置、方法及びプログラム

Country Status (1)

Country Link
JP (1) JP5760037B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6663238B2 (ja) * 2016-02-10 2020-03-11 キヤノン株式会社 画像形成装置、その制御方法、プログラム、及びカートリッジ
US10728240B2 (en) * 2017-10-19 2020-07-28 Global Tel*Link Corporation Variable-step authentication for communications in controlled environment
CN117349811B (zh) * 2023-10-18 2024-04-05 广州元沣智能科技有限公司 一种基于用户身份的信息认证系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010067124A (ja) * 2008-09-12 2010-03-25 Nec Corp 認証管理装置および認証管理方法ならびにそのプログラム
JP5153591B2 (ja) * 2008-11-26 2013-02-27 株式会社日立製作所 認証仲介サーバ、プログラム、認証システム及び選択方法
JP5459583B2 (ja) * 2009-03-25 2014-04-02 日本電気株式会社 認証方法及びその認証システム並びにその認証処理プログラム
JP2013073416A (ja) * 2011-09-28 2013-04-22 Hitachi Ltd 認証中継装置、認証中継システム及び認証中継方法

Also Published As

Publication number Publication date
JP2014225186A (ja) 2014-12-04

Similar Documents

Publication Publication Date Title
US11706218B2 (en) Systems and methods for controlling sign-on to web applications
US9824208B2 (en) Cloud-based active password manager
CA3087858C (en) Authentication and authorization using tokens with action identification
US10362481B2 (en) Multi-tiered user authentication methods
JP5514890B1 (ja) 連続的な不正アクセスを防止する方法
JP5296726B2 (ja) Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム
US9923990B2 (en) User information widgets and methods for updating and retrieving user information
US8365245B2 (en) Previous password based authentication
CN102447677A (zh) 资源访问控制方法、系统和设备
Ferry et al. Security evaluation of the OAuth 2.0 framework
US9686264B2 (en) Service providing apparatus, storage medium and service providing method
US20170011213A1 (en) Cloud-based active password manager
US20180139199A1 (en) Selective authentication system
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
US8756664B2 (en) Management of user authentication
US20150373011A1 (en) Credential collection in an authentication server employing diverse authentication schemes
KR102154736B1 (ko) 관계 정보를 이용한 접근 제어 방법 및 그 장치
US11057362B2 (en) Adaptive selection of authentication schemes in MFA
JP5760037B2 (ja) ユーザ認証装置、方法及びプログラム
JP2014235720A (ja) 情報開示システム、情報開示プログラム及び情報開示方法
JP5753302B1 (ja) ウェブページへのアクセスを警告するためのプログラム、方法、及びシステム
US20170374053A1 (en) Information processing device, information processing method, computer readable storage medium
EP3513316B1 (en) Personalized search environment
CN107294903A (zh) 一种网络地址访问方法及装置
US20130340054A1 (en) Credential collection in an authentication server employing diverse authentication schemes

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150317

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150608

R150 Certificate of patent or registration of utility model

Ref document number: 5760037

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150