JP5995648B2 - パスワード代行入力システムおよびパスワード代行入力方法 - Google Patents
パスワード代行入力システムおよびパスワード代行入力方法 Download PDFInfo
- Publication number
- JP5995648B2 JP5995648B2 JP2012227626A JP2012227626A JP5995648B2 JP 5995648 B2 JP5995648 B2 JP 5995648B2 JP 2012227626 A JP2012227626 A JP 2012227626A JP 2012227626 A JP2012227626 A JP 2012227626A JP 5995648 B2 JP5995648 B2 JP 5995648B2
- Authority
- JP
- Japan
- Prior art keywords
- password
- password policy
- information
- policy
- business system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、パスワードを生成して登録し、業務システム利用時の認証処理において登録されたパスワードを代行入力するパスワード代行入力システムおよびパスワード代行入力方法に関する。
業務システム利用時には、利用権限を示すために利用者の利用者ID(Identifier)とパスワードを入力することで認証処理を行うことが一般的である。また、近年は、情報漏えいの事故防止の意識が高まり、業務システムのセキュリティが強化されるようになり、パスワードの定期的な変更やパスワード文字列を設定する際の規則(パスワードポリシー)を複雑にすることが通例となっている。このため、利用者は業務システムごとに設定した利用者IDと複雑なパスワードの組み合わせを複数記憶することを求められ、これを管理するための負担が増加している。
そこで、業務システムの認証時に入力された利用者IDとパスワードの組み合わせをハードディスク等に記憶しておき、再度認証を行うときに、記憶されている利用者IDとパスワードの組み合わせを取り出し、指定された入力領域に送り込むことで利用者に代行して入力されたものとすることが実現されている。
また、特許文献1は特権ユーザのパスワードを複数の分割パスワードに分割して複数のメンバで管理するパスワード管理システムを開示するが、このパスワード管理システムは、パスワードを更新する際に新しい分割パスワードを入力しないメンバがいる場合にそのメンバの分割パスワードを自動生成する。
特許文献1に記載のパスワード管理システムを用いることにより、パスワードを定期的に更新し、業務システムのセキュリティを強化することができる。
しかし、複数の業務システムを使用する利用者は、複数のパスワードを定期的に個別に変更しなければならないために、パスワードを喪失する場合がある。パスワードを忘れた場合には、利用者はヘルプデスクに問い合わせることになるが、ヘルプデスクのコストの3割から5割がこうしたパスワード関連の問い合わせ対応に費やされているという調査結果がある。
また、利用者が業務システムの複雑なパスワードポリシーに追従し切れずに、覚えやすい単純な文字列をパスワードとして用いたため、業務システムのセキュリティが低下した事例が発生している。
しかし、複数の業務システムを使用する利用者は、複数のパスワードを定期的に個別に変更しなければならないために、パスワードを喪失する場合がある。パスワードを忘れた場合には、利用者はヘルプデスクに問い合わせることになるが、ヘルプデスクのコストの3割から5割がこうしたパスワード関連の問い合わせ対応に費やされているという調査結果がある。
また、利用者が業務システムの複雑なパスワードポリシーに追従し切れずに、覚えやすい単純な文字列をパスワードとして用いたため、業務システムのセキュリティが低下した事例が発生している。
本発明の目的は、個々の業務システムのパスワードを登録または更新する際に各業務システムのパスワードポリシーに則したパスワードを生成し、各業務システムにおける認証時にそのパスワードを代行入力することができるパスワード代行入力システムおよびパスワード代行入力方法を提供することである。
上記目的を達成するために、本発明のパスワード代行入力システムは、
利用者を認証する認証手段を備えた複数の業務システムと、パスワードポリシー格納サーバと、クライアントとを有するパスワード代行入力システムであって、
前記パスワードポリシー格納サーバは、
業務システムを特定するための業務システム特定情報と、当該業務システムの利用者の権限を示す利用者権限情報と、当該業務システム毎に定義されたパスワードポリシーとを含むパスワードポリシー情報が格納されるパスワードポリシーテーブルと、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報を登録または更新する登録更新手段と、
前記クライアントから、業務システム特定情報と利用者権限情報とを含むダウンロード要求を受信する受信手段と、
前記クライアントから受信したダウンロード要求に応答して、当該ダウンロード要求に含まれる業務システム情報と利用者権限情報とに基づいて前記パスワードポリシーテーブルからパスワードポリシー情報に含まれるパスワードポリシーを取得する検索手段と、
前記ダウンロード要求を送信したクライアントに前記検索手段によって取得されたパスワードポリシーを送信する送信手段と、
を備え、
前記クライアントは、
業務システム毎に、パスワードを含む認証情報を記憶する認証情報記憶手段と、
業務システム特定情報と利用者権限情報とを含むダウンロード要求を前記パスワードポリシー格納サーバに送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから送信されるパスワードポリシーを受信するパスワードポリシー取得手段と、
前記パスワードポリシー取得手段によって受信されたパスワードポリシーに基づいてパスワードを生成し、生成された当該パスワードを含む認証情報を前記認証情報記憶手段に格納するパスワード生成手段と、
業務システムの利用時に要求される認証において、前記認証情報記憶手段に記憶されている認証情報に含まれるパスワードを入力するパスワード入力手段と、
を備える、
ことを特徴とする。
利用者を認証する認証手段を備えた複数の業務システムと、パスワードポリシー格納サーバと、クライアントとを有するパスワード代行入力システムであって、
前記パスワードポリシー格納サーバは、
業務システムを特定するための業務システム特定情報と、当該業務システムの利用者の権限を示す利用者権限情報と、当該業務システム毎に定義されたパスワードポリシーとを含むパスワードポリシー情報が格納されるパスワードポリシーテーブルと、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報を登録または更新する登録更新手段と、
前記クライアントから、業務システム特定情報と利用者権限情報とを含むダウンロード要求を受信する受信手段と、
前記クライアントから受信したダウンロード要求に応答して、当該ダウンロード要求に含まれる業務システム情報と利用者権限情報とに基づいて前記パスワードポリシーテーブルからパスワードポリシー情報に含まれるパスワードポリシーを取得する検索手段と、
前記ダウンロード要求を送信したクライアントに前記検索手段によって取得されたパスワードポリシーを送信する送信手段と、
を備え、
前記クライアントは、
業務システム毎に、パスワードを含む認証情報を記憶する認証情報記憶手段と、
業務システム特定情報と利用者権限情報とを含むダウンロード要求を前記パスワードポリシー格納サーバに送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから送信されるパスワードポリシーを受信するパスワードポリシー取得手段と、
前記パスワードポリシー取得手段によって受信されたパスワードポリシーに基づいてパスワードを生成し、生成された当該パスワードを含む認証情報を前記認証情報記憶手段に格納するパスワード生成手段と、
業務システムの利用時に要求される認証において、前記認証情報記憶手段に記憶されている認証情報に含まれるパスワードを入力するパスワード入力手段と、
を備える、
ことを特徴とする。
好ましくは、本発明のパスワード代行入力システムにおいて、
前記パスワードポリシー格納サーバは、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報が、更新要否情報を含み、
前記受信手段が、更新要否情報を含むダウンロード要求を受信し、
前記検索手段が、前記パスワードポリシーテーブルから取得したパスワードポリシー情報に含まれる更新要否情報と前記受信されたダウンロード要求に含まれる更新要否情報とに基づいて、パスワードポリシーの更新の要否を判別し、
前記送信手段が、前記検索手段によってパスワードポリシーの更新が必要と判別された場合に、前記パスワードポリシーテーブルから取得したパスワードポリシー情報に含まれる更新要否情報とパスワードポリシーとを送信し、
前記クライアントは、
業務システム毎に、パスワードポリシーと更新要否情報とを記憶するパスワードポリシー記憶手段を備え、
前記パスワードポリシー取得手段が、前記パスワードポリシー記憶手段に記憶されている更新要否情報を含む前記ダウンロード要求を送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから更新要否情報とパスワードポリシーとを受信した場合、受信したパスワードポリシーと更新要否情報とを前記パスワードポリシー記憶手段に格納し、
前記パスワード生成手段が、前記パスワードポリシー記憶手段に記憶されているパスワードポリシーに基づいてパスワードを生成する、
ことを特徴とする。
前記パスワードポリシー格納サーバは、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報が、更新要否情報を含み、
前記受信手段が、更新要否情報を含むダウンロード要求を受信し、
前記検索手段が、前記パスワードポリシーテーブルから取得したパスワードポリシー情報に含まれる更新要否情報と前記受信されたダウンロード要求に含まれる更新要否情報とに基づいて、パスワードポリシーの更新の要否を判別し、
前記送信手段が、前記検索手段によってパスワードポリシーの更新が必要と判別された場合に、前記パスワードポリシーテーブルから取得したパスワードポリシー情報に含まれる更新要否情報とパスワードポリシーとを送信し、
前記クライアントは、
業務システム毎に、パスワードポリシーと更新要否情報とを記憶するパスワードポリシー記憶手段を備え、
前記パスワードポリシー取得手段が、前記パスワードポリシー記憶手段に記憶されている更新要否情報を含む前記ダウンロード要求を送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから更新要否情報とパスワードポリシーとを受信した場合、受信したパスワードポリシーと更新要否情報とを前記パスワードポリシー記憶手段に格納し、
前記パスワード生成手段が、前記パスワードポリシー記憶手段に記憶されているパスワードポリシーに基づいてパスワードを生成する、
ことを特徴とする。
また、本発明のパスワード代行入力方法は、
利用者を認証する認証手段を備えた複数の業務システムと、業務システムを特定するための業務システム特定情報と当該業務システムの利用者の権限を示す利用者権限情報と当該業務システム毎に定義されたパスワードポリシーとを含むパスワードポリシー情報が格納されるパスワードポリシーテーブルを備えたパスワードポリシー格納サーバと、業務システム毎に、パスワードを含む認証情報を記憶する認証情報記憶手段を備えたクライアントとを有するパスワード代行入力システムにおけるパスワード代行入力方法であって、
前記パスワードポリシー格納サーバは、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報を登録または更新する登録更新ステップと、
前記クライアントから、業務システム特定情報と利用者権限情報とを含むダウンロード要求を受信する受信ステップと、
前記クライアントから受信したダウンロード要求に応答して、当該ダウンロード要求に含まれる業務システム情報と利用者権限情報とに基づいて前記パスワードポリシーテーブルからパスワードポリシー情報に含まれるパスワードポリシーを取得する検索ステップと、
前記ダウンロード要求を送信したクライアントに前記取得されたパスワードポリシーを送信する送信ステップと、
を備え、
前記クライアントは、
業務システム特定情報と利用者権限情報とを含むダウンロード要求を前記パスワードポリシー格納サーバに送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから送信されるパスワードポリシーを受信するパスワードポリシー取得ステップと、
前記受信されたパスワードポリシーに基づいてパスワードを生成し、生成された当該パスワードを含む認証情報を前記認証情報記憶手段に格納するパスワード生成ステップと、
業務システムの利用時に要求される認証において、前記認証情報記憶手段に記憶されている認証情報に含まれるパスワードを入力するパスワード入力ステップと、
を備える、
ことを特徴とする。
利用者を認証する認証手段を備えた複数の業務システムと、業務システムを特定するための業務システム特定情報と当該業務システムの利用者の権限を示す利用者権限情報と当該業務システム毎に定義されたパスワードポリシーとを含むパスワードポリシー情報が格納されるパスワードポリシーテーブルを備えたパスワードポリシー格納サーバと、業務システム毎に、パスワードを含む認証情報を記憶する認証情報記憶手段を備えたクライアントとを有するパスワード代行入力システムにおけるパスワード代行入力方法であって、
前記パスワードポリシー格納サーバは、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報を登録または更新する登録更新ステップと、
前記クライアントから、業務システム特定情報と利用者権限情報とを含むダウンロード要求を受信する受信ステップと、
前記クライアントから受信したダウンロード要求に応答して、当該ダウンロード要求に含まれる業務システム情報と利用者権限情報とに基づいて前記パスワードポリシーテーブルからパスワードポリシー情報に含まれるパスワードポリシーを取得する検索ステップと、
前記ダウンロード要求を送信したクライアントに前記取得されたパスワードポリシーを送信する送信ステップと、
を備え、
前記クライアントは、
業務システム特定情報と利用者権限情報とを含むダウンロード要求を前記パスワードポリシー格納サーバに送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから送信されるパスワードポリシーを受信するパスワードポリシー取得ステップと、
前記受信されたパスワードポリシーに基づいてパスワードを生成し、生成された当該パスワードを含む認証情報を前記認証情報記憶手段に格納するパスワード生成ステップと、
業務システムの利用時に要求される認証において、前記認証情報記憶手段に記憶されている認証情報に含まれるパスワードを入力するパスワード入力ステップと、
を備える、
ことを特徴とする。
本発明によれば、個々の業務システムのパスワードを登録または更新する際に各業務システムのパスワードポリシーに則したパスワードを生成し、各業務システムにおける認証時にそのパスワードを代行入力することができる。
以下、本発明の実施形態に係るパスワード代行入力システムおよびパスワード代行入力方法について図面を参照しながら説明する。なお、実施形態を説明する全図において、共通の構成要素には同一の符号を付し、繰り返しの説明を省略する。
図1は、本発明の第1の実施形態に係るパスワード代行入力システム1Aの構成の一例を示す。
パスワード代行入力システム1Aは、クライアント11と、業務サーバ12と、パスワードポリシー格納サーバ13とを有する。クライアント11と業務サーバ12とパスワードポリシー格納サーバ13とは、ネットワーク14に通信可能に接続されている。
パスワード代行入力システム1Aは、クライアント11と、業務サーバ12と、パスワードポリシー格納サーバ13とを有する。クライアント11と業務サーバ12とパスワードポリシー格納サーバ13とは、ネットワーク14に通信可能に接続されている。
クライアント11は、各業務システム121における認証処理のためのパスワードを利用者に代行して入力する代行入力部111Aを有する。
クライアント11は、コンピュータであり、CPU(Central Processing Unit)と、RAM(Random Access Memory)等で構成されるメモリと、ハードディスク等で構成される記憶装置と、キーボードやタッチパネル等で構成される入力装置と、ディスプレイ等で構成される出力装置とを備える。クライアント11の記憶装置は代行入力プログラムAを記憶している。クライアント11のCPUが記憶装置からメモリに代行入力プログラムAを読み出して実行することにより、代行入力部111Aの機能が実現される。
クライアント11は、コンピュータであり、CPU(Central Processing Unit)と、RAM(Random Access Memory)等で構成されるメモリと、ハードディスク等で構成される記憶装置と、キーボードやタッチパネル等で構成される入力装置と、ディスプレイ等で構成される出力装置とを備える。クライアント11の記憶装置は代行入力プログラムAを記憶している。クライアント11のCPUが記憶装置からメモリに代行入力プログラムAを読み出して実行することにより、代行入力部111Aの機能が実現される。
業務サーバ12は、認証機能を備えた業務システム121を有する。
業務サーバ12は、コンピュータであり、CPUと、RAM等で構成されるメモリと、ハードディスク等で構成される記憶装置とを備える。業務サーバ12の記憶装置は業務プログラムを記憶している。業務サーバ12のCPUが記憶装置からメモリに業務プログラムを読み出して実行することにより、業務システム121の機能が実現される。
なお、業務サーバ12は複数存在してもよいし、1台の業務サーバ12で複数の業務システム121が稼動していてもよい。また、クライアント11と業務システム121との各機能が同一のコンピュータで実現されていてもよい。
業務サーバ12は、コンピュータであり、CPUと、RAM等で構成されるメモリと、ハードディスク等で構成される記憶装置とを備える。業務サーバ12の記憶装置は業務プログラムを記憶している。業務サーバ12のCPUが記憶装置からメモリに業務プログラムを読み出して実行することにより、業務システム121の機能が実現される。
なお、業務サーバ12は複数存在してもよいし、1台の業務サーバ12で複数の業務システム121が稼動していてもよい。また、クライアント11と業務システム121との各機能が同一のコンピュータで実現されていてもよい。
パスワードポリシー格納サーバ13は、パスワードポリシー情報テーブル131と、検索部132Aと、送受信部133と、登録更新部134とを有する。
検索部132Aは、クライアント11からのパスワードポリシーのダウンロード要求に応答してパスワードポリシー情報テーブル131を検索し、パスワードポリシーを取得する。
送受信部133は、クライアント11からパスワードポリシーのダウンロード要求を受信し、検索部133に渡す。また、取得されたパスワードポリシーを検索部133から受け取り、クライアント11に送信する。
登録更新部134は、業務システム毎にパスワードポリシーを生成し、生成したパスワードポリシーと日時(登録/更新日時)とをパスワードポリシー情報テーブル131に登録または更新する。あるいは、登録更新部134は、個々の業務システム121から送信されるパスワードポリシーを受け付けて、受け付けたパスワードポリシーと日時(登録/更新日時)とをパスワードポリシー情報テーブル131に登録または更新することもできる。
パスワードポリシー格納サーバ13は、コンピュータであり、CPUと、RAM等で構成されるメモリと、ハードディスク等で構成される記憶装置とを備える。パスワードポリシー格納サーバ13の記憶装置はパスワードポリシー格納プログラムAとパスワードポリシー情報テーブル131とを記憶している。パスワードポリシー格納サーバ13のCPUが記憶装置からメモリにパスワードポリシー格納プログラムAを読み出して実行することにより、検索部132Aと送受信部133と登録更新部134との各部の機能が実現される。
検索部132Aは、クライアント11からのパスワードポリシーのダウンロード要求に応答してパスワードポリシー情報テーブル131を検索し、パスワードポリシーを取得する。
送受信部133は、クライアント11からパスワードポリシーのダウンロード要求を受信し、検索部133に渡す。また、取得されたパスワードポリシーを検索部133から受け取り、クライアント11に送信する。
登録更新部134は、業務システム毎にパスワードポリシーを生成し、生成したパスワードポリシーと日時(登録/更新日時)とをパスワードポリシー情報テーブル131に登録または更新する。あるいは、登録更新部134は、個々の業務システム121から送信されるパスワードポリシーを受け付けて、受け付けたパスワードポリシーと日時(登録/更新日時)とをパスワードポリシー情報テーブル131に登録または更新することもできる。
パスワードポリシー格納サーバ13は、コンピュータであり、CPUと、RAM等で構成されるメモリと、ハードディスク等で構成される記憶装置とを備える。パスワードポリシー格納サーバ13の記憶装置はパスワードポリシー格納プログラムAとパスワードポリシー情報テーブル131とを記憶している。パスワードポリシー格納サーバ13のCPUが記憶装置からメモリにパスワードポリシー格納プログラムAを読み出して実行することにより、検索部132Aと送受信部133と登録更新部134との各部の機能が実現される。
パスワードポリシー情報テーブル131は、業務システム毎に、パスワードポリシー情報を格納する。パスワードポリシー情報は、図2に示すように、業務システム特定情報201と、利用者所属202と、利用者職制203と、登録/更新日時204と、パスワードポリシー205とを含む。
業務システム特定情報201は、業務システム121を特定する情報である。例えば、業務システム121が稼動しているWebサーバのWebサイトURLや、業務システム121を実現する業務プログラムのパスを示すシステム起動パス情報等である。
利用者所属202は、認証を受けようとする利用者の所属部署を示す。利用者所属202は、例えば人事部、経理部、全部署等である。また、利用者職制203は、認証を受けようとする利用者の職制を示す。利用者職制203は、例えば、一般、課長、部長、全職制等である。利用者所属202と利用者職制203とは、利用者の権限を示す利用者権限情報の一例である。
登録/更新日時204は、パスワードポリシー情報がパスワードポリシー情報テーブル131に登録された日時または更新された日時を示す。登録/更新日時204は、更新要否情報の一例である。
パスワードポリシー205は、パスワードを生成するための規則である。パスワードポリシー205は、例えば、パスワード文字列を生成するための文字列生成規則である。
業務システム特定情報201は、業務システム121を特定する情報である。例えば、業務システム121が稼動しているWebサーバのWebサイトURLや、業務システム121を実現する業務プログラムのパスを示すシステム起動パス情報等である。
利用者所属202は、認証を受けようとする利用者の所属部署を示す。利用者所属202は、例えば人事部、経理部、全部署等である。また、利用者職制203は、認証を受けようとする利用者の職制を示す。利用者職制203は、例えば、一般、課長、部長、全職制等である。利用者所属202と利用者職制203とは、利用者の権限を示す利用者権限情報の一例である。
登録/更新日時204は、パスワードポリシー情報がパスワードポリシー情報テーブル131に登録された日時または更新された日時を示す。登録/更新日時204は、更新要否情報の一例である。
パスワードポリシー205は、パスワードを生成するための規則である。パスワードポリシー205は、例えば、パスワード文字列を生成するための文字列生成規則である。
検索部132Aは、クライアント11からパスワードポリシーのダウンロード要求を受けると、業務システム特定情報201と、利用者所属202と、利用者職制203とを用いてパスワードポリシー情報テーブル131を検索し、登録/更新日時204とパスワードポリシー205を取得する。
登録更新部134は、パスワードポリシー情報が更新されると、パスワードポリシー情報テーブル131に上書きする。パスワードポリシー情報テーブル131には常に最新のパスワードポリシーと登録/更新日時204とを含むパスワードポリシー情報が保持される。
登録更新部134は、パスワードポリシー情報が更新されると、パスワードポリシー情報テーブル131に上書きする。パスワードポリシー情報テーブル131には常に最新のパスワードポリシーと登録/更新日時204とを含むパスワードポリシー情報が保持される。
図3は、クライアント11で稼働する代行入力部111Aの構成の一例を示す。
代行入力部111Aは、パスワード入力部301と、パスワード生成部302Aと、パスワードポリシー取得部303Aと、認証情報記憶部304とを有する。
パスワード入力部301は、利用者IDが入力されると、その利用者IDに対応するパスワードを認証情報記憶部304から読み出す。なお、利用者IDは、利用者識別情報の一例である。そして、パスワード入力部301は、業務システム121に利用者IDとパスワードの組み合わせを送信し、認証を要求する。
パスワードポリシー取得部303Aは、利用者IDとパスワードを新規に登録するとき、またはパスワードを更新するとき、パスワードポリシー格納サーバ13にダウンロード要求を送信し、パスワードポリシー格納サーバ13からパスワードポリシーをダウンロードする。
パスワード生成部302Aは、パスワードポリシー取得部303Aによって取得されたパスワードポリシーに基づいてパスワードを生成する。
認証情報記憶部304は、業務システム毎に、利用者IDとパスワードの組み合わせを記憶する。なお、認証情報記憶部304は、クライアント11のメモリまたは記憶装置における所定の記憶領域である。
代行入力部111Aは、パスワード入力部301と、パスワード生成部302Aと、パスワードポリシー取得部303Aと、認証情報記憶部304とを有する。
パスワード入力部301は、利用者IDが入力されると、その利用者IDに対応するパスワードを認証情報記憶部304から読み出す。なお、利用者IDは、利用者識別情報の一例である。そして、パスワード入力部301は、業務システム121に利用者IDとパスワードの組み合わせを送信し、認証を要求する。
パスワードポリシー取得部303Aは、利用者IDとパスワードを新規に登録するとき、またはパスワードを更新するとき、パスワードポリシー格納サーバ13にダウンロード要求を送信し、パスワードポリシー格納サーバ13からパスワードポリシーをダウンロードする。
パスワード生成部302Aは、パスワードポリシー取得部303Aによって取得されたパスワードポリシーに基づいてパスワードを生成する。
認証情報記憶部304は、業務システム毎に、利用者IDとパスワードの組み合わせを記憶する。なお、認証情報記憶部304は、クライアント11のメモリまたは記憶装置における所定の記憶領域である。
図4は、パスワードポリシー取得部303Aがパスワードポリシー格納サーバ13に送信するダウンロード要求に含まれる送信フレーム400Aの構成の一例を示す。
送信フレーム400Aは、業務システム特定情報401と、利用者所属402と、利用者職制403とを含む。
業務システム特定情報401は、業務システム121を特定する情報であり、図2のパスワードポリシー情報に含まれる業務システム特定情報201に対応する。
利用者所属402は、認証を受けようとする利用者の所属部署を示し、図2のパスワードポリシー情報に含まれる利用者所属202に対応する。また、利用者職制203は、認証を受けようとする利用者の職制を示し、図2のパスワードポリシー情報に含まれる利用者職制203に対応する。利用者所属402と利用者職制403とは、利用者の権限を示す利用者権限情報の一例である。
送信フレーム400Aは、業務システム特定情報401と、利用者所属402と、利用者職制403とを含む。
業務システム特定情報401は、業務システム121を特定する情報であり、図2のパスワードポリシー情報に含まれる業務システム特定情報201に対応する。
利用者所属402は、認証を受けようとする利用者の所属部署を示し、図2のパスワードポリシー情報に含まれる利用者所属202に対応する。また、利用者職制203は、認証を受けようとする利用者の職制を示し、図2のパスワードポリシー情報に含まれる利用者職制203に対応する。利用者所属402と利用者職制403とは、利用者の権限を示す利用者権限情報の一例である。
図5は、クライアント11の代行入力部111Aにおけるパスワード生成処理の一例を示すフローチャートである。
クライアント11のCPUは、パスワードを新規に登録するとき、またはパスワードを更新するとき、パスワード生成部302Aとパスワードポリシー取得部303Aとを起動する。このとき、業務システム特定情報401と利用者所属402と利用者職制403とは予めクライアント11の記憶装置の所定の領域に記憶されており、認証IDは予め認証情報記憶部304に記憶されているものとする。
まず、パスワードポリシー取得部303Aは、業務システム特定情報401と利用者所属402と利用者職制403とを記憶装置から読み出して送信フレーム400Aを作成する。そして、パスワードポリシー取得部303Aは、送信フレーム400Aを含むダウンロード要求をパスワードポリシー格納サーバ13に送信する(S501)。次に、パスワードポリシー取得部303Aは、パスワードポリシー格納サーバ13からパスワードポリシーを受信した場合(S502:Yes)、パスワード生成部302Aに受信したパスワードポリシーを渡す。
パスワード生成部302Aは、パスワードポリシーに含まれる文字列生成規則に則してパスワードとしてランダムな文字列を生成する(S503)。次に、パスワード生成部302Aは、認証IDと組みになるようにパスワードを認証情報記憶部304に格納する(S504)。
一方、パスワードポリシー取得部303Aは、パスワードポリシー格納サーバ13からパスワードポリシーを受信しなかった場合(S502:No)、すなわち、タイムアウトしたり、所定のエラーメッセージを受信したりした場合、エラーメッセージを出力し、クライアント11のディスプレイ等に表示する(S505)。なお、エラーメッセージは、エラーの内容に応じて「タイムアウトした。」、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」等である。
クライアント11のCPUは、パスワードを新規に登録するとき、またはパスワードを更新するとき、パスワード生成部302Aとパスワードポリシー取得部303Aとを起動する。このとき、業務システム特定情報401と利用者所属402と利用者職制403とは予めクライアント11の記憶装置の所定の領域に記憶されており、認証IDは予め認証情報記憶部304に記憶されているものとする。
まず、パスワードポリシー取得部303Aは、業務システム特定情報401と利用者所属402と利用者職制403とを記憶装置から読み出して送信フレーム400Aを作成する。そして、パスワードポリシー取得部303Aは、送信フレーム400Aを含むダウンロード要求をパスワードポリシー格納サーバ13に送信する(S501)。次に、パスワードポリシー取得部303Aは、パスワードポリシー格納サーバ13からパスワードポリシーを受信した場合(S502:Yes)、パスワード生成部302Aに受信したパスワードポリシーを渡す。
パスワード生成部302Aは、パスワードポリシーに含まれる文字列生成規則に則してパスワードとしてランダムな文字列を生成する(S503)。次に、パスワード生成部302Aは、認証IDと組みになるようにパスワードを認証情報記憶部304に格納する(S504)。
一方、パスワードポリシー取得部303Aは、パスワードポリシー格納サーバ13からパスワードポリシーを受信しなかった場合(S502:No)、すなわち、タイムアウトしたり、所定のエラーメッセージを受信したりした場合、エラーメッセージを出力し、クライアント11のディスプレイ等に表示する(S505)。なお、エラーメッセージは、エラーの内容に応じて「タイムアウトした。」、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」等である。
図6は、パスワードポリシー格納サーバ13におけるパスワードポリシーの検索処理の一例を示すフローチャートである。
送受信部133は、クライアント11から送信フレーム400Aを含むダウンロード要求を受信する(S601)と、ダウンロード要求を検索部132Aに渡す。
検索部132Aは、要求された業務システムについてのパスワードポリシー情報が有るか否かを判別する(S602)。具体的には、検索部132Aは、送信フレーム400Aに含まれる業務システム特定情報401を用いてパスワードポリシー情報テーブル131を検索し、業務システム特定情報401と一致する業務システム特定情報201を有するパスワードポリシー情報の有無を判別する。
要求された業務システムのパスワードポリシー情報が有る場合(S602:Yes)、検索部132Aは、そのパスワードポリシー情報を取得し、利用者権限の有無を判別する(S603)。具体的には、検索部132Aは、取得したパスワードポリシー情報の利用者所属202および利用者職制203が送信フレーム400Aに含まれる利用者所属402および利用者職制403と一致するか否かを判別する。
取得したパスワードポリシー情報の利用者権限が有る場合、すなわち取得したパスワードポリシー情報の利用者所属202および利用者職制203が送信フレーム400Aに含まれる利用者所属402および利用者職制403と一致する場合(S603:Yes)、検索部132Aは、そのパスワードポリシー情報に含まれるパスワードポリシー205を送受信部133に渡す。送受信部133は受け取ったパスワードポリシー205をクライアント11に送信する(S604)。
一方、要求された業務システムのパスワードポリシー情報が無い場合(S602:No)、または、パスワードポリシー情報の利用者権限が無い場合(S603:No)、送受信部133はエラーメッセージをクライアント11に送信する(S605)。エラーメッセージは、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」である。
送受信部133は、クライアント11から送信フレーム400Aを含むダウンロード要求を受信する(S601)と、ダウンロード要求を検索部132Aに渡す。
検索部132Aは、要求された業務システムについてのパスワードポリシー情報が有るか否かを判別する(S602)。具体的には、検索部132Aは、送信フレーム400Aに含まれる業務システム特定情報401を用いてパスワードポリシー情報テーブル131を検索し、業務システム特定情報401と一致する業務システム特定情報201を有するパスワードポリシー情報の有無を判別する。
要求された業務システムのパスワードポリシー情報が有る場合(S602:Yes)、検索部132Aは、そのパスワードポリシー情報を取得し、利用者権限の有無を判別する(S603)。具体的には、検索部132Aは、取得したパスワードポリシー情報の利用者所属202および利用者職制203が送信フレーム400Aに含まれる利用者所属402および利用者職制403と一致するか否かを判別する。
取得したパスワードポリシー情報の利用者権限が有る場合、すなわち取得したパスワードポリシー情報の利用者所属202および利用者職制203が送信フレーム400Aに含まれる利用者所属402および利用者職制403と一致する場合(S603:Yes)、検索部132Aは、そのパスワードポリシー情報に含まれるパスワードポリシー205を送受信部133に渡す。送受信部133は受け取ったパスワードポリシー205をクライアント11に送信する(S604)。
一方、要求された業務システムのパスワードポリシー情報が無い場合(S602:No)、または、パスワードポリシー情報の利用者権限が無い場合(S603:No)、送受信部133はエラーメッセージをクライアント11に送信する(S605)。エラーメッセージは、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」である。
図7は、本発明の第2の実施形態に係るパスワード代行入力システム1Bの構成の一例を示す図である。
パスワード代行入力システム1Bは、第1の実施形態に係るパスワード代行入力システム1Aと同様に、クライアント11と、業務サーバ12と、パスワードポリシー格納サーバ13とを有する。
パスワード代行入力システム1Bは、代行入力部111Bおよび検索部132Bの機能の一部がパスワード代行入力システム1Aの代行入力部111Aおよび検索部132Aとそれぞれ異なる。
クライアント11の記憶装置は代行入力プログラムBを記憶している。クライアント11のCPUが記憶装置からメモリに代行入力プログラムBを読み出して実行することにより、代行入力部111Bの機能が実現される。
また、パスワードポリシー格納サーバ13の記憶装置はパスワードポリシー格納プログラムBを記憶している。パスワードポリシー格納サーバ13のCPUが記憶装置からメモリにパスワードポリシー格納プログラムBを読み出して実行することにより、検索部132Bと送受信部133と登録更新部134との各部の機能が実現される。
パスワード代行入力システム1Bは、第1の実施形態に係るパスワード代行入力システム1Aと同様に、クライアント11と、業務サーバ12と、パスワードポリシー格納サーバ13とを有する。
パスワード代行入力システム1Bは、代行入力部111Bおよび検索部132Bの機能の一部がパスワード代行入力システム1Aの代行入力部111Aおよび検索部132Aとそれぞれ異なる。
クライアント11の記憶装置は代行入力プログラムBを記憶している。クライアント11のCPUが記憶装置からメモリに代行入力プログラムBを読み出して実行することにより、代行入力部111Bの機能が実現される。
また、パスワードポリシー格納サーバ13の記憶装置はパスワードポリシー格納プログラムBを記憶している。パスワードポリシー格納サーバ13のCPUが記憶装置からメモリにパスワードポリシー格納プログラムBを読み出して実行することにより、検索部132Bと送受信部133と登録更新部134との各部の機能が実現される。
図8は、本発明の第2の実施形態に係る代行入力部111Bの構成の一例を示す。
代行入力部111Bは、パスワード入力部301と、パスワード生成部302Bと、パスワードポリシー取得部303Bと、認証情報記憶部304と、パスワードポリシー記憶部701とを有する。
代行入力部111Bは、パスワードポリシー記憶部701を有する点が代行入力部111Aと異なる。また、パスワード生成部302Bおよびパスワードポリシー取得部303Bの機能の一部がそれぞれパスワード生成部302Aおよびパスワードポリシー取得部303Aと異なる。
パスワード生成部302Bは、利用者IDとパスワードを新規に登録するとき、またはパスワードを更新するとき、パスワードポリシー記憶部701に記憶されているパスワードポリシーに基づいてパスワードを生成する。
パスワードポリシー取得部303Bは、パスワードポリシー格納サーバ13にダウンロード要求を送信して、パスワードポリシー格納サーバ13から、パスワードポリシーと登録/更新日時204とをダウンロードし、ダウンロードされたパスワードポリシーと登録/更新日時204とをパスワードポリシー記憶部701に格納する。
パスワードポリシー記憶部701は、業務システム121毎に、ダウンロードされたパスワードポリシーと登録/更新日時204とを記憶する。なお、パスワードポリシー記憶部701は、クライアント11のメモリまたは記憶装置における所定の記憶領域である。
代行入力部111Bは、パスワード入力部301と、パスワード生成部302Bと、パスワードポリシー取得部303Bと、認証情報記憶部304と、パスワードポリシー記憶部701とを有する。
代行入力部111Bは、パスワードポリシー記憶部701を有する点が代行入力部111Aと異なる。また、パスワード生成部302Bおよびパスワードポリシー取得部303Bの機能の一部がそれぞれパスワード生成部302Aおよびパスワードポリシー取得部303Aと異なる。
パスワード生成部302Bは、利用者IDとパスワードを新規に登録するとき、またはパスワードを更新するとき、パスワードポリシー記憶部701に記憶されているパスワードポリシーに基づいてパスワードを生成する。
パスワードポリシー取得部303Bは、パスワードポリシー格納サーバ13にダウンロード要求を送信して、パスワードポリシー格納サーバ13から、パスワードポリシーと登録/更新日時204とをダウンロードし、ダウンロードされたパスワードポリシーと登録/更新日時204とをパスワードポリシー記憶部701に格納する。
パスワードポリシー記憶部701は、業務システム121毎に、ダウンロードされたパスワードポリシーと登録/更新日時204とを記憶する。なお、パスワードポリシー記憶部701は、クライアント11のメモリまたは記憶装置における所定の記憶領域である。
パスワードポリシー取得部303Bは、パスワードを新規に登録するときには、図4に示す送信フレーム400Aを含むダウンロード要求をパスワードポリシー格納サーバ13に送信する。一方、パスワードポリシー取得部303Bは、パスワードを更新するときには、図9に示す送信フレーム400Bを含むダウンロード要求をパスワードポリシー格納サーバ13に送信する。
送信フレーム400Bは、業務システム特定情報401と、利用者所属402と、利用者職制403と、登録/更新日時801とを含む。
送信フレーム400Bは、登録/更新日時801を含む点が送信フレーム400Aと異なる。
登録/更新日時801は、パスワードポリシー記憶部701に記憶されている登録/更新日時204である。すなわち、登録/更新日時801は、パスワードポリシーがパスワードポリシー情報テーブル131に登録または更新された日時を示す。登録/更新日時801は、更新要否情報の一例である。
送信フレーム400Bは、業務システム特定情報401と、利用者所属402と、利用者職制403と、登録/更新日時801とを含む。
送信フレーム400Bは、登録/更新日時801を含む点が送信フレーム400Aと異なる。
登録/更新日時801は、パスワードポリシー記憶部701に記憶されている登録/更新日時204である。すなわち、登録/更新日時801は、パスワードポリシーがパスワードポリシー情報テーブル131に登録または更新された日時を示す。登録/更新日時801は、更新要否情報の一例である。
図10は、本発明の第2の実施形態に係るパスワード生成処理の一例を示すフローチャートである。
クライアント11のCPUは、パスワードを新規に登録するとき、またはパスワードを更新するとき、パスワード生成部302Bとパスワードポリシー取得部303Bとを起動する。このとき、業務システム特定情報401と利用者所属402と利用者職制403とは予めクライアント11の記憶装置の所定の領域に記憶されており、認証IDは予め認証情報記憶部304に記憶されているものとする。
まず、パスワードポリシー取得部303Bは、パスワードポリシー記憶部701にパスワードポリシーが存在するか否かを判別する(S901)。
パスワードポリシー記憶部701にパスワードポリシーが存在する場合(S901:Yes)、パスワードポリシー取得部303Bは、送信フレーム400Bを含むダウンロード要求、すなわち、登録/更新日時801を含むダウンロード要求を送信する(S902)。この場合、パスワードポリシー取得部303Bは、パスワードポリシー格納サーバ13によるパスワードポリシーの送信または更新不要の通知を待ち受ける。
パスワードポリシー格納サーバ13から更新不要を通知された場合、パスワードポリシー取得部303Bは、パスワードポリシー記憶部701に記憶されているパスワードポリシーは最新であると判別し(S904:Yes)、ステップS906に進む。
ステップS901において、パスワードポリシー記憶部701にパスワードポリシーが存在しないと判別された場合(S901:No)、パスワードポリシー取得部303Bは、送信フレーム400Aを含むダウンロード要求、すなわち、登録/更新日時801を含まないダウンロード要求を送信する(S903)。
クライアント11のCPUは、パスワードを新規に登録するとき、またはパスワードを更新するとき、パスワード生成部302Bとパスワードポリシー取得部303Bとを起動する。このとき、業務システム特定情報401と利用者所属402と利用者職制403とは予めクライアント11の記憶装置の所定の領域に記憶されており、認証IDは予め認証情報記憶部304に記憶されているものとする。
まず、パスワードポリシー取得部303Bは、パスワードポリシー記憶部701にパスワードポリシーが存在するか否かを判別する(S901)。
パスワードポリシー記憶部701にパスワードポリシーが存在する場合(S901:Yes)、パスワードポリシー取得部303Bは、送信フレーム400Bを含むダウンロード要求、すなわち、登録/更新日時801を含むダウンロード要求を送信する(S902)。この場合、パスワードポリシー取得部303Bは、パスワードポリシー格納サーバ13によるパスワードポリシーの送信または更新不要の通知を待ち受ける。
パスワードポリシー格納サーバ13から更新不要を通知された場合、パスワードポリシー取得部303Bは、パスワードポリシー記憶部701に記憶されているパスワードポリシーは最新であると判別し(S904:Yes)、ステップS906に進む。
ステップS901において、パスワードポリシー記憶部701にパスワードポリシーが存在しないと判別された場合(S901:No)、パスワードポリシー取得部303Bは、送信フレーム400Aを含むダウンロード要求、すなわち、登録/更新日時801を含まないダウンロード要求を送信する(S903)。
後述するように、パスワードポリシー格納サーバ13は、送信フレーム400Bに含まれる登録/更新日時801とパスワードポリシー情報テーブル131に含まれる登録/更新日時204とを比較してパスワードポリシー記憶部701に格納されているパスワードポリシーが最新か否かを判定する。パスワードポリシー記憶部701に格納されているパスワードポリシーが最新ではなかったため、パスワードポリシー格納サーバ13から更新不要の通知がなく(S904:No)、パスワードポリシー格納サーバ13からパスワードポリシーと登録/更新日時を受信した場合(S502:Yes)、またはステップS903の後にパスワードポリシー格納サーバ13からパスワードポリシーと登録/更新日時を受信した場合(S502:Yes)、パスワードポリシー取得部303Bは、受信したパスワードポリシーと登録/更新日時をパスワードポリシー記憶部701に格納する(S905)。
次に、パスワード生成部302Bは、パスワードポリシー記憶部701からパスワードポリシーを取り出し(S906)、パスワードポリシーに含まれる文字列生成規則に則してパスワードとしてランダムな文字列を生成する(S503)。そして、パスワード生成部302Bは、認証IDと組みになるようにパスワードを認証情報記憶部304に格納する(S504)。
一方、パスワードポリシー取得部303Bは、パスワードポリシー記憶部701に記憶されているパスワードポリシーが最新ではなかったため、パスワードポリシー格納サーバ13から更新不要の通知がなく(S904:No)、かつパスワードポリシー格納サーバ13からパスワードポリシーを受信しなかった場合(S502:No)、またはステップS903の後にパスワードポリシー格納サーバ13からパスワードポリシーを受信しなかった場合(S502:No)、すなわち、タイムアウトしたり、所定のエラーメッセージを受信したりした場合、エラーメッセージを出力し、クライアント11のディスプレイ等に表示する(S505)。なお、エラーメッセージは、エラーの内容に応じて「タイムアウトした。」、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」等である。
次に、パスワード生成部302Bは、パスワードポリシー記憶部701からパスワードポリシーを取り出し(S906)、パスワードポリシーに含まれる文字列生成規則に則してパスワードとしてランダムな文字列を生成する(S503)。そして、パスワード生成部302Bは、認証IDと組みになるようにパスワードを認証情報記憶部304に格納する(S504)。
一方、パスワードポリシー取得部303Bは、パスワードポリシー記憶部701に記憶されているパスワードポリシーが最新ではなかったため、パスワードポリシー格納サーバ13から更新不要の通知がなく(S904:No)、かつパスワードポリシー格納サーバ13からパスワードポリシーを受信しなかった場合(S502:No)、またはステップS903の後にパスワードポリシー格納サーバ13からパスワードポリシーを受信しなかった場合(S502:No)、すなわち、タイムアウトしたり、所定のエラーメッセージを受信したりした場合、エラーメッセージを出力し、クライアント11のディスプレイ等に表示する(S505)。なお、エラーメッセージは、エラーの内容に応じて「タイムアウトした。」、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」等である。
図11は、本発明の第2の実施形態に係るパスワードポリシーの検索処理の一例を示すフローチャートである。
送受信部133は、クライアント11から送信フレーム400Aまたは送信フレーム400Bを含むダウンロード要求を受信する(S601)と、ダウンロード要求を検索部132Bに渡す。
検索部132Bは、要求された業務システムについてのパスワードポリシー情報が有るか否かを判別する(S602)。具体的には、検索部132Bは、送信フレーム400Aまたは送信フレーム400Bに含まれる業務システム特定情報401でパスワードポリシー情報テーブル131を検索し、業務システム特定情報401と一致する業務システム特定情報201を有するパスワードポリシー情報の有無を判別する。
要求された業務システムのパスワードポリシー情報が有る場合(S602:Yes)、検索部132Bは、そのパスワードポリシー情報を取得し、利用者権限の有無を判別する(S603)。具体的には、検索部132Bは、取得したパスワードポリシー情報の利用者所属202および利用者職制203が送信フレーム400Aまたは送信フレーム400Bに含まれる利用者所属402および利用者職制403と一致するか否かを判別する。
送受信部133は、クライアント11から送信フレーム400Aまたは送信フレーム400Bを含むダウンロード要求を受信する(S601)と、ダウンロード要求を検索部132Bに渡す。
検索部132Bは、要求された業務システムについてのパスワードポリシー情報が有るか否かを判別する(S602)。具体的には、検索部132Bは、送信フレーム400Aまたは送信フレーム400Bに含まれる業務システム特定情報401でパスワードポリシー情報テーブル131を検索し、業務システム特定情報401と一致する業務システム特定情報201を有するパスワードポリシー情報の有無を判別する。
要求された業務システムのパスワードポリシー情報が有る場合(S602:Yes)、検索部132Bは、そのパスワードポリシー情報を取得し、利用者権限の有無を判別する(S603)。具体的には、検索部132Bは、取得したパスワードポリシー情報の利用者所属202および利用者職制203が送信フレーム400Aまたは送信フレーム400Bに含まれる利用者所属402および利用者職制403と一致するか否かを判別する。
取得したパスワードポリシー情報の利用者権限が有る場合(S603:Yes)、検索部132Bは、送信フレームが登録/更新日時801を含むか否かを判別する(S1001)。送信フレームが登録/更新日時801を含む場合(S1001:Yes)、検索部132Bは、パスワードポリシー205の更新の要否を判別する(S1002)。
具体的には、送信フレーム400Bの登録/更新日時801とパスワードポリシー情報テーブル131の登録/更新日時204とを比較し、パスワードポリシー情報データ131の登録/更新日時204が送信フレーム400Bの登録/更新日時801よりも後である場合、検索部132Bは、パスワードポリシー205と登録/更新日時204の更新が必要と判別する(S1002:No)。そして、送受信部133は、検索部132Bによって更新が必要と判別された場合(S1002:No)、パスワードポリシー情報データ131に含まれるパスワードポリシー205と登録/更新日時204をクライアント11へ送信する(S1004)。
一方、パスワードポリシー情報データ131の登録/更新日時204と送信フレーム400Bの登録/更新日時801とが一致する場合、検索部132Bは、最新のパスワードポリシー205がクライアント11にダウンロードされていると判断し、パスワードポリシー205は更新不要と判別する(S1002:Yes)。そして、送受信部133は、検索部132Bによって更新不要と判別された場合(S1002:Yes)、クライアント11にパスワードポリシー205の更新不要を通知する(S1003)。
一方、要求された業務システムのパスワードポリシー情報が無い場合(S602:No)、または、パスワードポリシー情報の利用者権限が無い場合(S603:No)、送受信部133はエラーメッセージをクライアント11に送信する(S605)。エラーメッセージは、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」である。
具体的には、送信フレーム400Bの登録/更新日時801とパスワードポリシー情報テーブル131の登録/更新日時204とを比較し、パスワードポリシー情報データ131の登録/更新日時204が送信フレーム400Bの登録/更新日時801よりも後である場合、検索部132Bは、パスワードポリシー205と登録/更新日時204の更新が必要と判別する(S1002:No)。そして、送受信部133は、検索部132Bによって更新が必要と判別された場合(S1002:No)、パスワードポリシー情報データ131に含まれるパスワードポリシー205と登録/更新日時204をクライアント11へ送信する(S1004)。
一方、パスワードポリシー情報データ131の登録/更新日時204と送信フレーム400Bの登録/更新日時801とが一致する場合、検索部132Bは、最新のパスワードポリシー205がクライアント11にダウンロードされていると判断し、パスワードポリシー205は更新不要と判別する(S1002:Yes)。そして、送受信部133は、検索部132Bによって更新不要と判別された場合(S1002:Yes)、クライアント11にパスワードポリシー205の更新不要を通知する(S1003)。
一方、要求された業務システムのパスワードポリシー情報が無い場合(S602:No)、または、パスワードポリシー情報の利用者権限が無い場合(S603:No)、送受信部133はエラーメッセージをクライアント11に送信する(S605)。エラーメッセージは、「ダウンロードを要求された業務システムが存在しない。」、または「利用者権限を有しない。」である。
なお、上述した実施形態では、パスワード入力部301は、利用者IDが入力されると、その利用者IDに対応するパスワードを認証情報記憶部304から読み出すとしたが、例えばクライアント11の起動時にユーザ認証が行われ、クライアント11を使用している利用者が識別されている場合、パスワード入力部301は、業務システム121の認証時に利用者IDとパスワードの組み合わせを認証情報記憶部304から読み出すとしてもよい。
また、上述した実施形態では、要否判定情報の一例として登録/更新日時204と登録/更新日時801とを示したが、パスワードポリシーのバージョンを示すバージョン情報を要否判定情報として用いてもよい。この場合、パスワードポリシー情報テーブル131に格納されるパスワード情報には、登録/更新日時204の代わりにバージョン情報が含まれ、送信フレーム400Bにも、登録/更新日時801の代わりにバージョン情報が含まれる。
以上説明したように、本発明によれば、次のような効果がある。
(1)パスワードの登録・変更操作においてクライアントの代行入力部は、業務システム毎に設定されている最新のパスワードポリシーを自動取得し、取得したパスワードポリシーに基づいたパスワード文字列を利用者に代わって自動生成する。これにより、利用者は複雑なパスワードポリシーを解釈し不規則な文字列を作成することや、過去に設定したパスワード文字列の履歴管理からも解放される。さらに代行入力部は自動生成したパスワード文字列を記録する機構を保持する。よって代行入力部が利用者に代わりパスワード文字列を記録していることで、利用者はパスワードを記憶する負担から解放される。
(2)利用者に代わりパスワードの記憶と管理をクライアントの代行入力部が実施することで、利用者のパスワード喪失を防止することができる。また、パスワードを自動生成することで定期変更がスムーズに実施でき、利用者の変更処理忘れや過怠による有効期限切れ事故を防止することができ、パスワード喪失に起因するパスワード初期化等のヘルプデスクへの問合せを削減することができる。
(3)高セキュリティの業務システムでは、パスワード文字列を長くすることでパスワードの複雑さを増強することが期待できるため、業務の内容により求められるセキュリティレベルが異なることが考えられる。このような場合、業務システム毎にパスワードポリシーが設定される。利用者はパスワード変更契機において、パスワード変更画面に表示されるガイダンス文言やタイトル文言を識別することで操作している業務を判断することができる。さらに、代行入力部はクライアント上にダウンロードされたパスワードポリシーから、操作対象である業務システムのパスワードの文字列長、使用可能文字種別、使用禁止文字等の条件を解析し、条件に合うパスワード文字列を自動的に生成し記録できる。よって、利用者は代行入力部を使用することで、パスワードの管理負担が軽減され、またセキュリティの強化を図ることが容易になる。
(4)利用者の所属部署や職制情報をもとに、利用権限のある業務システムのパスワードポリシーだけを取得することができる。
(5)利用者権限がある場合に限り、パスワードポリシーをダウンロードできるため、利用権限のない業務システムへの誤った登録や、不要な、パスワードポリシーの送信を排除する事が出来る。
(1)パスワードの登録・変更操作においてクライアントの代行入力部は、業務システム毎に設定されている最新のパスワードポリシーを自動取得し、取得したパスワードポリシーに基づいたパスワード文字列を利用者に代わって自動生成する。これにより、利用者は複雑なパスワードポリシーを解釈し不規則な文字列を作成することや、過去に設定したパスワード文字列の履歴管理からも解放される。さらに代行入力部は自動生成したパスワード文字列を記録する機構を保持する。よって代行入力部が利用者に代わりパスワード文字列を記録していることで、利用者はパスワードを記憶する負担から解放される。
(2)利用者に代わりパスワードの記憶と管理をクライアントの代行入力部が実施することで、利用者のパスワード喪失を防止することができる。また、パスワードを自動生成することで定期変更がスムーズに実施でき、利用者の変更処理忘れや過怠による有効期限切れ事故を防止することができ、パスワード喪失に起因するパスワード初期化等のヘルプデスクへの問合せを削減することができる。
(3)高セキュリティの業務システムでは、パスワード文字列を長くすることでパスワードの複雑さを増強することが期待できるため、業務の内容により求められるセキュリティレベルが異なることが考えられる。このような場合、業務システム毎にパスワードポリシーが設定される。利用者はパスワード変更契機において、パスワード変更画面に表示されるガイダンス文言やタイトル文言を識別することで操作している業務を判断することができる。さらに、代行入力部はクライアント上にダウンロードされたパスワードポリシーから、操作対象である業務システムのパスワードの文字列長、使用可能文字種別、使用禁止文字等の条件を解析し、条件に合うパスワード文字列を自動的に生成し記録できる。よって、利用者は代行入力部を使用することで、パスワードの管理負担が軽減され、またセキュリティの強化を図ることが容易になる。
(4)利用者の所属部署や職制情報をもとに、利用権限のある業務システムのパスワードポリシーだけを取得することができる。
(5)利用者権限がある場合に限り、パスワードポリシーをダウンロードできるため、利用権限のない業務システムへの誤った登録や、不要な、パスワードポリシーの送信を排除する事が出来る。
11…クライアント、111A、111B…代行入力部、12…業務サーバ、121…業務システム、13…パスワードポリシー格納サーバ、131…パスワードポリシー情報テーブル、132A、132B…検索部、133…送受信部、134…登録更新部、14…ネットワーク、301…パスワード入力部、302A、302B…パスワード生成部、303A、303B…パスワードポリシー取得部、304…認証情報記憶部、701…パスワードポリシー記憶部
Claims (3)
- 利用者を認証する認証手段を備えた複数の業務システムと、パスワードポリシー格納サーバと、クライアントとを有するパスワード代行入力システムであって、
前記パスワードポリシー格納サーバは、
業務システムを特定するための業務システム特定情報と、当該業務システムの利用者の権限を示す利用者権限情報と、当該業務システム毎に定義されたパスワードポリシーとを含むパスワードポリシー情報が格納されるパスワードポリシーテーブルと、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報を登録または更新する登録更新手段と、
前記クライアントから、業務システム特定情報と利用者権限情報とを含むダウンロード要求を受信する受信手段と、
前記クライアントから受信したダウンロード要求に応答して、当該ダウンロード要求に含まれる業務システム情報と利用者権限情報とに基づいて前記パスワードポリシーテーブルからパスワードポリシー情報に含まれるパスワードポリシーを取得する検索手段と、
前記ダウンロード要求を送信したクライアントに前記検索手段によって取得されたパスワードポリシーを送信する送信手段と、
を備え、
前記クライアントは、
業務システム毎に、パスワードを含む認証情報を記憶する認証情報記憶手段と、
業務システム特定情報と利用者権限情報とを含むダウンロード要求を前記パスワードポリシー格納サーバに送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから送信されるパスワードポリシーを受信するパスワードポリシー取得手段と、
前記パスワードポリシー取得手段によって受信されたパスワードポリシーに基づいてパスワードを生成し、生成された当該パスワードを含む認証情報を前記認証情報記憶手段に格納するパスワード生成手段と、
業務システムの利用時に要求される認証において、前記認証情報記憶手段に記憶されている認証情報に含まれるパスワードを入力するパスワード入力手段と、
を備える、
ことを特徴とするパスワード代行入力システム。 - 前記パスワードポリシー格納サーバは、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報が、更新要否情報を含み、
前記受信手段が、更新要否情報を含むダウンロード要求を受信し、
前記検索手段が、前記パスワードポリシーテーブルから取得したパスワードポリシー情報に含まれる更新要否情報と前記受信されたダウンロード要求に含まれる更新要否情報とに基づいて、パスワードポリシーの更新の要否を判別し、
前記送信手段が、前記検索手段によってパスワードポリシーの更新が必要と判別された場合に、前記パスワードポリシーテーブルから取得したパスワードポリシー情報に含まれる更新要否情報とパスワードポリシーとを送信し、
前記クライアントは、
業務システム毎に、パスワードポリシーと更新要否情報とを記憶するパスワードポリシー記憶手段を備え、
前記パスワードポリシー取得手段が、前記パスワードポリシー記憶手段に記憶されている更新要否情報を含む前記ダウンロード要求を送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから更新要否情報とパスワードポリシーとを受信した場合、受信したパスワードポリシーと更新要否情報とを前記パスワードポリシー記憶手段に格納し、
前記パスワード生成手段が、前記パスワードポリシー記憶手段に記憶されているパスワードポリシーに基づいてパスワードを生成する、
ことを特徴とする請求項1に記載のパスワード代行入力システム。 - 利用者を認証する認証手段を備えた複数の業務システムと、業務システムを特定するための業務システム特定情報と当該業務システムの利用者の権限を示す利用者権限情報と当該業務システム毎に定義されたパスワードポリシーとを含むパスワードポリシー情報が格納されるパスワードポリシーテーブルを備えたパスワードポリシー格納サーバと、業務システム毎にパスワードを含む認証情報を記憶する認証情報記憶手段を備えたクライアントとを有するパスワード代行入力システムにおけるパスワード代行入力方法であって、
前記パスワードポリシー格納サーバは、
前記パスワードポリシーテーブルに格納されているパスワードポリシー情報を登録または更新する登録更新ステップと、
前記クライアントから、業務システム特定情報と利用者権限情報とを含むダウンロード要求を受信する受信ステップと、
前記クライアントから受信したダウンロード要求に応答して、当該ダウンロード要求に含まれる業務システム情報と利用者権限情報とに基づいて前記パスワードポリシーテーブルからパスワードポリシー情報に含まれるパスワードポリシーを取得する検索ステップと、
前記ダウンロード要求を送信したクライアントに前記取得されたパスワードポリシーを送信する送信ステップと、
を備え、
前記クライアントは、
業務システム特定情報と利用者権限情報とを含むダウンロード要求を前記パスワードポリシー格納サーバに送信し、当該ダウンロード要求に応答して前記パスワードポリシー格納サーバから送信されるパスワードポリシーを受信するパスワードポリシー取得ステップと、
前記受信されたパスワードポリシーに基づいてパスワードを生成し、生成された当該パスワードを含む認証情報を前記認証情報記憶手段に格納するパスワード生成ステップと、
業務システムの利用時に要求される認証において、前記認証情報記憶手段に記憶されている認証情報に含まれるパスワードを入力するパスワード入力ステップと、
を備える、
ことを特徴とするパスワード代行入力方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012227626A JP5995648B2 (ja) | 2012-10-15 | 2012-10-15 | パスワード代行入力システムおよびパスワード代行入力方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012227626A JP5995648B2 (ja) | 2012-10-15 | 2012-10-15 | パスワード代行入力システムおよびパスワード代行入力方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014081697A JP2014081697A (ja) | 2014-05-08 |
| JP5995648B2 true JP5995648B2 (ja) | 2016-09-21 |
Family
ID=50785860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012227626A Expired - Fee Related JP5995648B2 (ja) | 2012-10-15 | 2012-10-15 | パスワード代行入力システムおよびパスワード代行入力方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5995648B2 (ja) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003186839A (ja) * | 2001-12-21 | 2003-07-04 | Nec Fielding Ltd | パスワード代行システム及び方法 |
| JP4563775B2 (ja) * | 2004-11-09 | 2010-10-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 認証情報自動入力装置、方法およびプログラム |
| US20130014236A1 (en) * | 2011-07-05 | 2013-01-10 | International Business Machines Corporation | Method for managing identities across multiple sites |
| WO2013101245A1 (en) * | 2011-12-31 | 2013-07-04 | Intel Corporation | Method, device, and system for managing user authentication |
-
2012
- 2012-10-15 JP JP2012227626A patent/JP5995648B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014081697A (ja) | 2014-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11520799B2 (en) | Systems and methods for data visualization, dashboard creation and management | |
| US20180240130A1 (en) | System, information management method, and information processing apparatus | |
| US11714693B2 (en) | Data driven API conversion | |
| JP2016004453A (ja) | サービス提供システム、ログ情報提供方法及びプログラム | |
| JP6354132B2 (ja) | 中継装置、中継システム及びプログラム | |
| EP3716126B1 (en) | Automatic operation detection on protected field with support for federated search | |
| US10785200B2 (en) | Information processing system, information processing terminal, and information processing method for reducing burden of entering a passcode upon signing in to a service | |
| US20140122350A1 (en) | System, apparatus, and method for license management | |
| US10178134B2 (en) | Management apparatus and method for controlling management apparatus | |
| US20190114412A1 (en) | Information processing apparatus, information processing system, and non-transitory computer readable medium | |
| US9996514B2 (en) | Decoupling and relocating bookmarks and annotations from files | |
| JP7035443B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
| JP2023544518A (ja) | オペレーティングシステムを公開するためのブロックチェーンベースのシステムおよび方法 | |
| JP2015028704A (ja) | サービス提供システム、サービス提供方法及びプログラム | |
| JP4240929B2 (ja) | ファイル管理システムにおけるアクセス制御方式 | |
| Saint-Andre | Blocking Command | |
| US20230370467A1 (en) | Apparatuses, methods, and computer program products for centralized access permissions management of a plurality of application instances | |
| JP6184316B2 (ja) | ログイン中継サーバ装置、ログイン中継方法、及びプログラム | |
| JP6205946B2 (ja) | サービス提供システム、情報収集方法及びプログラム | |
| JP5995648B2 (ja) | パスワード代行入力システムおよびパスワード代行入力方法 | |
| JP6119189B2 (ja) | ライセンス管理装置、ライセンス管理システム、及びライセンス管理方法 | |
| JP5197726B2 (ja) | 画面遷移制御装置 | |
| JP2016057737A (ja) | サービス提供システム及びこれに用いる管理サーバー及び管理方法 | |
| JP5565014B2 (ja) | データベースアクセス管理システム、管理方法及びプログラム | |
| JP2012137995A (ja) | リソース提供システム、アクセス制御プログラム及びアクセス制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20150401 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20150413 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20150617 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150907 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160714 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160809 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160823 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5995648 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |