JP6055546B2 - 認証装置、認証方法、およびプログラム - Google Patents

認証装置、認証方法、およびプログラム Download PDF

Info

Publication number
JP6055546B2
JP6055546B2 JP2015526056A JP2015526056A JP6055546B2 JP 6055546 B2 JP6055546 B2 JP 6055546B2 JP 2015526056 A JP2015526056 A JP 2015526056A JP 2015526056 A JP2015526056 A JP 2015526056A JP 6055546 B2 JP6055546 B2 JP 6055546B2
Authority
JP
Japan
Prior art keywords
challenge
authentication
client terminal
user
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015526056A
Other languages
English (en)
Other versions
JPWO2015004744A1 (ja
Inventor
亮一 寺村
亮一 寺村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Application granted granted Critical
Publication of JP6055546B2 publication Critical patent/JP6055546B2/ja
Publication of JPWO2015004744A1 publication Critical patent/JPWO2015004744A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Description

本発明は、認証装置、認証方法、およびプログラムに関する。
企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、ノード端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。
このような業務情報システムを構成するサーバへのアクセスに対して、IT統制の監査などの場面において「いつ」、「誰が」、「どんな目的で」利用したのかなどの細かな利用状況について管理することが求められる。
そのため、たとえば本出願人による提案により、業務情報システムを構成するサーバに接続する前に、中継装置に接続させて細かな利用状況を管理する方法が知られている(特許文献1)。
特許文献1に開示される中継装置では、業務情報システムの各サーバへ接続する前に中継装置においてユーザ認証を行うことで、中継装置にて登録されているユーザIDと接続先のサーバで使用されるIDとを紐つけ、利用者を特定することで細かな利用状況を管理するように構成されている。また、特許文献1に開示される中継装置では、クライアント端末から業務情報システムを構成するサーバ(以下、単に「接続先サーバ」という。)へ接続する場合、プロキシサーバによるユーザ認証処理(以下、この処理を単に「プロキシ認証」という。)を通過してから接続先サーバに接続させることで細かな利用状況を把握することができるように構成されている。
図13は、プロキシ認証の概要を示す図である。図13に示すようにプロキシサーバ100は、クライアント端末200との間でプロキシ認証を実行し、この認証が成功した場合に接続先サーバ300との通信を中継する。なおプロキシサーバ100とクライアント端末200との間では、プロキシサーバ100の内部に保持されているユーザ情報(プロキシ内部ユーザ情報)を提供するディレクトリサービス110を参照してチャレンジ/レスポンス方式によるユーザ認証が実行される。なお、上記でいうディレクトリサービスとは、たとえば、Active Directory(登録商標)やLDAP(Lightweight Directory Access Protocol)などを利用して提供されるサービスであり、LANなどの所定のコンピュータネットワーク上で利用されるユーザ情報、接続されているプリンターなどの外部装置に関する情報を記憶し、検索しやすいようにまとめたディレクトリサービスシステムのことである。
クライアント端末200がプロキシサーバ100に認証要求を送ると、プロキシサーバ100はこの認証要求に対して「チャレンジ」と呼ばれるランダムな数値列(以下、単に「チャレンジ」という。)を送信する。クライアント端末200は、ユーザが入力したパスワードとこの「チャレンジ」を特定のアルゴリズムに従って合成し、「レスポンス」と呼ばれる数値列を作成し、プロキシサーバ100に送信する。プロキシサーバ100側では、自分が送信した「チャレンジ」とあらかじめプロキシ内部ユーザ情報としてディレクトリサービス110に登録されているそのユーザのパスワードから同じように「レスポンス」を作成し、送られてきた「レスポンス」と比較する。そして、両者の「レスポンス」が一致すれば、そのユーザのパスワードは正しいことになり、認証は成功となる。このような認証方法とすることで、パスワード情報が実際の通信で用いられることなく、安全にユーザ認証ができるように構築されている。そして、プロキシサーバ100は、これらの認証が完了するとクライアント端末200と接続先サーバ300との通信を中継する。
特開2012−203624号公報
ところで、図13に示すような構成の業務情報システムでは、外部のITベンダや派遣社員などの一時的に登録する必要があるユーザ情報についてもディレクトリサービス110に登録する必要がある。そのため、ディレクトリサービス110に登録されている一部のユーザ情報を変更する場合であっても、プロキシサーバ100を直接操作する必要があるため、万が一トラブルがあった場合、全体のユーザまでにそのトラブルが波及してしまう可能性がある。
このような問題を解決するための方法として、たとえば、図14に示すようなシステム構成とする場合がある。図14に示すシステム構成では、プロキシサーバ100とは別に常時登録されている必要がある外部ユーザ情報を有するディレクトリサービス410を有するパスワード管理サーバ400が構築されている。このような構成の場合、一時的に登録する必要があるユーザ情報は、プロキシサーバ100側で管理され、それ以外のユーザについては外部のパスワード管理サーバ400にて管理する構成となる。このような構成とすれば、常時登録されているユーザ情報と一時的なユーザ情報とが物理的に異なる装置で管理されているため、一時的に登録する必要があるユーザ情報を変更する場合には、プロキシサーバ100のディレクトリサービス110を変更するのみで対応することが可能となる。そのため、万が一トラブルがあった場合であっても、全体のユーザまでにそのトラブルが波及してしまう可能性を低減させることが可能となる。
しかしながら、このような物理的に異なる複数の装置で複数のユーザ情報を管理している構成では別の問題がある。すなわち、クライアント端末200とプロキシサーバ100とは1つのセッションにおいてチャレンジ/レスポンス方式によるユーザ認証を実行する関係上、プロキシサーバ100は、クライアント端末200との間で実行しているセッション内で外部のパスワード管理サーバ400の外部ユーザ情報を参照することができない。そのため、プロキシサーバ100は、内部のディレクトリサービス110が保持しているユーザ情報に登録されていないユーザの場合にはチャレンジ/レスポンス方式によるユーザ認証を適切に実行することができない。
本発明は、上述した課題を鑑みてなされたものであり、内部のディレクトリサービスに登録されていないユーザについてのチャレンジ/レスポンス方式によるユーザ認証であっても適切に認証することができる認証装置、認証方法、およびプログラムを提供することを目的とする。
本発明の一側面は、認証装置に関するものである。すなわち、本発明に係る認証装置は、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置において、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置であって、クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ認証要求を転送する認証要求転送部と、認証要求に基づいて外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得部と、チャレンジ取得部により取得したチャレンジをクライアント端末へ転送するチャレンジ転送部と、クライアント端末から送信されてきたレスポンスとチャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理部とを有し、チャレンジ転送部は、チャレンジ取得部が取得した外部のサーバからのチャレンジをクライアント端末へ転送する際に、そのクライアント端末を識別するためのUIDを付与して、クライアント端末とのセッションを管理するものである。
また、上述した認証装置であって、認証処理部は、内部のディレクトリサービスで保持されているユーザ情報にクライアント端末のユーザが存在し、かつチャレンジ/レスポンス方式のユーザ認証が成功した場合にはその成功した認証結果をクライアント端末へ送信し、内部のディレクトリサービスで保持されているユーザ情報にクライアント端末のユーザが存在しない場合には、クライアント端末から送信されてきたレスポンスを外部のサーバへと転送し、外部のサーバとの間でチャレンジ/レスポンス方式のユーザ認証を実行し、外部のサーバから送信されてくる認証結果を、クライアント端末のユーザの認証結果としてクライアント端末へと送信することができる。
また、本発明の一側面は、認証方法に関するものである。すなわち、本発明に係る認証方法は、認証要求転送部と、チャレンジ取得部と、チャレンジ転送部と、認証処理部とを有し、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置で用いられる認証方法において、認証要求転送部が、クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ認証要求を転送する認証要求転送ステップと、チャレンジ取得部が、認証要求に基づいて外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得ステップと、チャレンジ転送部が、チャレンジ取得ステップにより取得したチャレンジをクライアント端末へ転送するチャレンジ転送ステップと、認証処理部が、クライアント端末から送信されてきたレスポンスとチャレンジ取得ステップで取得したチャレンジに基づいてユーザ認証を実行する認証処理ステップと、を有し、チャレンジ転送ステップでは、チャレンジ取得部が取得した外部のサーバからのチャレンジをクライアント端末へ転送する際に、そのクライアント端末を識別するためのUIDを付与して、クライアント端末とのセッションを管理するものである。
また、本発明の一側面は、プログラムに関するものである。すなわち、本発明に係るプログラムは、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置としてコンピュータを機能させるためのプログラムであって、コンピュータを、クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ認証要求を転送する認証要求転送手段と、認証要求に基づいて外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得手段と、チャレンジ取得部により取得したチャレンジをクライアント端末へ転送するチャレンジ転送手段と、クライアント端末から送信されてきたレスポンスとチャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理手段として機能させ、チャレンジ転送手段は、チャレンジ取得手段が取得した外部のサーバからのチャレンジをクライアント端末へ転送する際に、そのクライアント端末を識別するためのUIDを付与して、クライアント端末とのセッションを管理することを特徴とするプログラムである。
本発明によれば、内部のディレクトリサービスに登録されていないユーザについてのチャレンジ/レスポンス方式によるユーザ認証であっても適切に認証することができる認証装置、認証方法、およびプログラムを提供することができる。
図1は、本発明の認証装置の第1実施形態であるプロキシサーバ1を含む業務情報システムの構成例を示す図である。 図2は、図1に示すプロキシサーバ1の機能構成例を示すブロック図である。 図3は、図1の構成における各装置間の通信を示した図である。 図4は、図3の通信処理によってクライアント端末4側で表示される画面の一例を示す図である。 図5は、本発明の認証装置の第2実施形態であるプロキシサーバ1Aを含む業務情報システムの構成例を示す図である。 図6は、図5に示すプロキシサーバ1Aの機能構成例を示すブロック図である。 図7は、図5の構成における各装置間の通信を示した図である。 図8は、クライアント端末4での画面遷移例を示す図である。 図9は、プロキシサーバ1Aの認証判定処理の一例を示すフローチャートである。 図10は、図9に示す処理のうち、パスワード管理サーバ6の外部のディレクトリサービス5に基づいてユーザ認証を実行する場合(図9のS43)の通信処理例を示す図である。 図11は、図9に示す処理のうち、プロキシサーバ1Aの内部のディレクトリサービス2にのみ基づいてユーザ認証を実行する場合(図9のS45)の通信処理例を示す図である。 図12は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されているユーザである場合の通信処理例を示す図である。 図13は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されていないユーザである場合の通信処理例を示す図である。 図14は、プロキシ認証の概要を示す図である。
本発明に係る認証装置、認証方法、およびプログラムの実施形態について図面を参照しながら説明する。なお、本発明に係る認証方法の実施形態については、認証装置の動作説明と共に行い、本発明に係るプログラムについては認証装置にインストールされているプログラムとして説明する。しかしながら、本発明に係る認証装置、認証方法、およびプログラムは、以下に説明する各実施形態に限定されるものではない。
(第1実施形態)
図1は、本発明の認証装置の第1実施形態であるプロキシサーバ1を含む業務情報システムの構成例を示す図である。同図に示す業務情報システムは、プロキシ内部ユーザ情報を保持し、これを提供するディレクトリサービス2を有するプロキシサーバ1と、プロキシサーバ1を介して接続先サーバ3のリソースにアクセスする際に用いられるクライアント端末4と、たとえばCIFS(Common Internet File System)プロトコルによりファイル共有サービスを提供する接続先サーバ3と、外部ユーザ情報を格納するディレクトリサービス5を有し、外部ユーザ情報をディレクトリサービス5によって提供するパスワード管理サーバ6とを有する。また、プロキシサーバ1とクライアント端末4とは不図示のネットワークを介して接続されている。また、接続先サーバ3およびパスワード管理サーバ6はプロキシサーバ1を介して不図示のネットワークに接続されている。
なお、図1に示す接続先サーバ3は、ファイル共有サービスに加えて、ユーザ認証が必要な他のサービスを提供するように構成されていてもよいし、ファイル共有サービス以外で、ユーザ認証が必要な他のサービスを提供するものであってもよい。また接続先サーバ3は実際には複数存在してもよい。
また、上記でいうディレクトリサービスとは、たとえば、Active Directory(登録商標)やLDAP(Lightweight Directory Access Protocol)などを利用して提供されるサービスであり、LANなどの所定のコンピュータネットワーク上で利用されるユーザ情報、接続されているプリンターなどの外部装置に関する情報を記憶し、検索しやすいようにまとめたディレクトリサービスシステムのことである。
また、上記でいうプロキシ内部ユーザ情報は、外部のITベンダや派遣社員などのユーザが業務情報システムを利用する上で一時的に登録する必要があるユーザ情報であり、外部ユーザ情報は、企業の役員や正社員などの業務情報システムを常時利用する必要があるユーザ情報が登録されていることとして説明するが、これらの関係が逆となっていてもよい。すなわち、プロキシ内部ユーザ情報に企業の役員や正社員などの業務情報システムを常時利用する必要があるユーザ情報が登録されており、外部ユーザ情報に外部のITベンダや派遣社員などのユーザが登録されていてもよい。なお、ここでいう内部ユーザ、外部ユーザの「内部」、「外部」とは、プロキシサーバ1の側からみて内部か外部かを表現しており、必ずしも業務情報システムを利用する企業の内部の社員と外部のITベンダや派遣社員ののことを意図して表現しているものではない。
(プロキシサーバ1の役割)
プロキシサーバ1は、クライアント端末4から不図示のネットワークを介して接続先サーバ3へのリモートログイン要求を一元的に受け付ける装置であって、ネットワークセキュリティ境界に設置される。プロキシサーバ1は、クライアント端末4からの通信に関してのアクセス制御、およびログ取得による監査を行うことができる。たとえば、CIFS(Common Internet File System)、TELNET(Telecommunication network)、SSH(Secure SHell)、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、WindowsRDP(Remote Desktop Protocol)などの各種プロトコルについてのアクセス制御、およびログ取得を行うことができるように構成されている。また、後述するが、プロキシサーバ1は、パスワード管理サーバ6に対してクライアント端末4からの認証要求を転送してユーザ認証を実行させることも可能である。
(クライアント端末4の構成)
クライアント端末4は、接続先サーバ3へ接続するためのコンピュータである。クライアント端末4は、たとえばノートパソコンであり、業務情報システムのユーザがプロキシサーバ1、接続先サーバ3へと接続する際に用いられる。なお、クライアント端末4は、ノートパソコンではなく、デスクトップパソコンやタブレット端末などであってもよい。クライアント端末4は、ユーザによって、接続先サーバ3へログインするためのユーザIDとパスワードが入力されると、プロキシサーバ1に対してセッション確立をするための認証要求を送信することができる。なお、クライアント端末4は、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的にはWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録商標)などの各種クライアント用のOS、コンピュータプログラム等によって実現される。
(不図示のネットワークの構成)
不図示のネットワークは、インターネットやローカルエリアネットワーク(LAN)等を組み合わせて構築されたものである。しかしながら、プロキシサーバ1、クライアント端末4、接続先サーバ3およびパスワード管理サーバ6は、互いに専用回線にて接続される構成であってもよい。
(接続先サーバ3、パスワード管理サーバ6の構成)
接続先サーバ3は、たとえばファイル共有サービスを提供するサーバである。パスワード管理サーバ6は、常に登録されている必要があるユーザ情報を管理するディレクトリサービス5を提供するサーバである。パスワード管理サーバ6では、外部ユーザ情報を提供するためのディレクトリサービス5が実行されている。なお、接続先サーバ3およびパスワード管理サーバ6は、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的にはたとえばWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録商標)などのサーバ用のOS、コンピュータプログラム等によって実現される。
(プロキシサーバ1の機能構成例)
図2は、図1に示すプロキシサーバ1の機能構成例を示すブロック図である。プロキシサーバ1は、認証制御部11と記憶部12とを少なくとも有している。認証制御部11は、更に第1認証処理部21と、第2認証処理部22および通信記録制御部23とを有している。第1認証処理部21は、チャレンジ生成部31と、レスポンス取得部32と、認証処理部33とを更に有している。第2認証処理部22は、認証要求転送部41、チャレンジ転送部42、レスポンス転送部43、認証結果転送部44を有している。また記憶部12には、制御プログラム51、プロキシ内部ユーザ情報52が記憶されている。
なお、図2に示す認証制御部11および記憶部12の各ブロックは、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的には、OS、制御プログラム51およびその他のコンピュータプログラム等が上記のハードウェアにインストールされることによって実現することができる。しかし、図2ではそれらの連携によって実現される機能ブロックを示している。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現することができる。また、プロキシサーバ1に記憶部12を有する構成としたが、この記憶部12に記憶されるデータを他のログ管理装置(外部記憶装置)などで記憶、管理させる構成としてもよい。
認証制御部11は、クライアント端末4との間で最大2回のセッションを要求してクライアント端末4との間で実行されるチャレンジ/レスポンス認証処理を制御する。以下、具体的に説明する。
第1認証処理部21は、クライアント端末4からの認証要求に応じてチャレンジ/レスポンス認証処理を実行する。具体的には、チャレンジ生成部31は、チャレンジ(ランダムな数値列)を生成する。レスポンス取得部32は、クライアント端末4から送信されてきたレスポンスを取得する。認証処理部33は、チャレンジ生成部31で生成したチャレンジと、プロキシ内部ユーザ情報52に登録されているユーザのパスワードから生成されるレスポンスと、レスポンス取得部32が取得したレスポンスに基づいてユーザ認証を実行し、認証できた場合にはクライアント端末4へその認証結果を通知する。
第2認証処理部22は、第1認証処理部21の認証結果においてユーザが登録されておらず認証が失敗した場合であって、クライアント端末4からの2回目のセッション要求があるとさらにユーザ認証を実行する。具体的には、認証要求転送部41は、クライアント端末4からの2回目の認証要求を受信すると、その2回目の認証要求をパスワード管理サーバ6へそのまま転送する。チャレンジ転送部42は、認証要求転送部41によって転送したクライアント端末4の認証要求に応じてパスワード管理サーバ6より送信されてくるチャレンジを取得して、クライアント端末4へと転送する。レスポンス転送部43は、パスワード管理サーバ6より取得したチャレンジをクライアント端末4へと転送する。認証結果転送部44は、パスワード管理サーバ6より送信されてくる認証結果をクライアント端末4へ転送する。
通信記録制御部23は、クライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶部12に記憶する。なお、不図示のネットワークを介して接続可能な外部の記憶部(不図示)にクライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶するように構成してもよい。また、通信記録制御部23は、クライアント端末4と接続先サーバ3との間の通信処理内容について取得して記憶部12に記憶するようにしてもよい。
記憶部12には、制御プログラム51、プロキシ内部ユーザ情報52が記憶される。
制御プログラム51は、プロキシサーバ1(コンピュータ)を、図2の認証制御部11に示す各ブロックとして説明したように機能させるためのプログラムである。
プロキシ内部ユーザ情報52は、図1に示したディレクトリサービス2で管理されているユーザ識別情報であり、プロキシサーバ1が管理するユーザIDとパスワードなどのユーザ識別情報である。プロキシサーバ1では、クライアント端末4との間では、プロキシ内部ユーザ情報52に基づいてチャレンジ/レスポンス方式のユーザ認証を実行する。なお、パスワード管理サーバ6から送信されてきたチャレンジ情報を記憶部12に記憶するようにしてもよい。
(プロキシ認証、各装置間の通信)
図3は、図1の構成における各装置間の通信を示した図である。図3に示すように、まず、クライアント端末4は、認証要求1をプロキシサーバ1へ送信する(S1)。プロキシサーバ1のチャレンジ生成部31は、認証要求1を受信するとランダムな数字列のチャレンジ1を生成して、クライアント端末4へ送信する(S2)。クライアント端末4は、ユーザが入力したパスワードとこのチャレンジ1を特定のアルゴリズムに従って合成し、レスポンス1を作成してプロキシサーバ1に送信する(S3)。プロキシサーバ1のレスポンス取得部32がクライアント端末2からレスポンス1を取得する。そして、プロキシサーバ1の認証処理部33がチャレンジ1とあらかじめディレクトリサービス2に登録されているプロキシ内部ユーザ情報52を参照して、該当のユーザのパスワードを特定する。そして、プロキシサーバ1の認証処理部33は、特定したパスワードからレスポンスを作成し、送られてきたレスポンス1と比較する。そして、プロキシサーバ1の認証処理部33は、両者を比較した結果の認証結果1をクライアント端末4へ送信する(S4)。なお、ここで、認証結果1においてユーザが登録されておらず認証できなかった場合には、ユーザに対して認証情報の入力が再度求められる。
そして、クライアント端末4では、ユーザにより認証情報が再度入力されると、認証要求2がプロキシサーバ1へと送信される(S5)。するとプロキシサーバ1では第2認証処理部22が認証処理を開始する。具体的には、第2認証処理部22の認証要求転送部41が、認証要求2をそのまま外部のパスワード管理サーバ6へと転送する(S6)。パスワード管理サーバ6は、ランダムな数字列のチャレンジ2を生成して、プロキシサーバ1へ送信する(S7)。プロキシサーバ1のチャレンジ転送部42がこのチャレンジ2を取得し、レスポンス転送部43によりクライアント端末4へそのまま転送される(S8)。クライアント端末4は、ユーザが入力したパスワードとこのチャレンジ2を特定のアルゴリズムに従って合成し、レスポンス2を作成してプロキシサーバ1に送信する(S9)。
プロキシサーバ1のレスポンス転送部43は、レスポンス2をパスワード管理サーバ6へと転送する(S10)。パスワード管理サーバ6では、自ら送信したチャレンジ2と、あらかじめ外部のディレクトリサービス5に登録されているそのユーザのパスワードからレスポンスを作成すると共に、送られてきたレスポンス2と比較し、そのレスポンス2に基づく認証結果2をプロキシサーバ1へと送信する(S11)。プロキシサーバ1の認証結果転送部44は、認証結果2をクライアント端末4へ転送する(S12)。ここで認証情報2が成功している場合には、プロキシサーバ1は、クライアント端末4と接続先サーバ3との間で認証以降に発生する通信を中継する(S13,S14)。
[クライアント端末4での画面遷移例]
図4は、図3の通信処理によってクライアント端末4側で表示される画面の一例を示す図である。なお、ユーザは接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前申請しなくても利用できるようにしてもよい。
画面45は、たとえば、クライアント端末4でプロキシサーバ1を示すIPアドレスやホスト名をプロンプトで指定する際に表示される画面である。そして画面45において実際にプロキシサーバ1を示すIPアドレスやホスト名が入力されて指定された場合に、画面46が新たにポップアップ表示されて、ユーザ名とパスワードの入力が求められる。画面46に入力された情報に基づいて、図3における認証要求1が行われる。そして画面47は、画面46において実際にプロキシサーバ1を示すIPアドレスやホスト名が入力されて指定された場合に、新たにポップアップされる画面である。画面47は、画面46と同様の画面であるが、プロキシサーバ1がパスワード管理サーバ6へ問い合わせをするために、再度ユーザに対してユーザ名とパスワードの入力を取得するために表示される画面である。画面47に入力された情報に基づいて、図3における認証要求2が行われる。なお、パスワード管理サーバ6に問い合わせた結果、認証が成功した場合には接続先サーバ3の所望の場所を示す画面48が表示されることになる。図3における認証要求2による認証が成功した場合、クライアント端末4に画面48が表示される。
(第2実施形態)
図5は、本発明の認証装置の第2実施形態であるプロキシサーバ1Aを含む業務情報システムの構成例を示す図である。図5には、ユーザ認証に関わる処理の説明が模式的に示されている。なお、図5に示す業務情報システムにおいて、第1実施形態と同様の部分に関しては同一の符号を付し、説明を省略する。
図6は、図5に示すプロキシサーバ1Aの機能構成例を示すブロック図である。プロキシサーバ1Aは、認証制御部61と記憶部62とを少なくとも有している。認証制御部61は、更に認証要求転送部63、チャレンジ取得部64、チャレンジ転送部65、認証処理部66、および通信記録制御部67を有している。また記憶部62には、制御プログラム68、プロキシ内部ユーザ情報69が記憶されている。
なお、図6に示す認証制御部61および記憶部62の各ブロックは、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的には、OS、制御プログラム68およびその他のコンピュータプログラム等が上記のハードウェアにインストールされることによって実現することができる。しかし、図6ではそれらの連携によって実現される機能ブロックを示している。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現することができる。また、プロキシサーバ1Aに記憶部62を有する構成としたが、この記憶部62に記憶されるデータを他のログ管理装置(外部記憶装置)などで記憶、管理させる構成としてもよい。
認証要求転送部63は、クライアント端末4からの認証要求を受信すると、その認証要求をパスワード管理サーバ6へそのまま転送する。
チャレンジ取得部64は、認証要求転送部63によって転送したクライアント端末4の認証要求に基づいて、パスワード管理サーバ6より送信されてくるチャレンジを取得する。
チャレンジ転送部65は、チャレンジ取得部64により取得したチャレンジをクライアント端末4へそのまま転送する。
認証処理部66は、クライアント端末4から送信されてきたレスポンスと、チャレンジ取得部64にて取得したチャレンジとに基づいてユーザ認証を実行する。
通信記録制御部67は、クライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶部62に記憶する。なお、不図示のネットワークを介して接続可能な外部の記憶部(不図示)にクライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶するように構成してもよい。また、通信記録制御部67は、クライアント端末4と接続先サーバ3との間の通信処理内容について取得して記憶部62に記憶するようにしてもよい。
記憶部62には、制御プログラム68、プロキシ内部ユーザ情報69が記憶される。
制御プログラム68は、プロキシサーバ1A(コンピュータ)を、図6の認証制御部61に示す各ブロックとして説明したように機能させるためのプログラムである。
プロキシ内部ユーザ情報69は、プロキシサーバ1Aが管理するユーザIDとパスワードなどのユーザ識別情報である。プロキシサーバ1Aでは、クライアント端末4との間では、プロキシ内部ユーザ情報69に基づいてチャレンジ/レスポンス方式のユーザ認証を実行する。なお、パスワード管理サーバ6から送信されてきたチャレンジ情報を記憶部62に記憶するようにしてもよい。
図7は、図5の構成における各装置間の通信を示した図である。
クライアント端末4は、認証要求1をプロキシサーバ1Aへ送信する(S20)。プロキシサーバ1Aの認証要求転送部63は、クライアント端末4から認証要求1を受信すると、その認証要求1をパスワード管理サーバ6へ転送する(S21)。
パスワード管理サーバ6では、認証要求1に基づいて、ランダムな数字列で構成されるチャレンジ1を生成してプロキシサーバ1Aへと送信する(S22)。プロキシサーバ1Aのチャレンジ取得部64がチャレンジ1を受信して取得すると、チャレンジ転送部23が取得したチャレンジ1をクライアント端末4へ転送する(S23)。
クライアント端末4は、プロキシサーバ1から送信されてきたチャレンジ1とユーザが入力したパスワードを特定のアルゴリズムに従って合成し、レスポンス1を作成し、ユーザ情報と共にプロキシサーバ1に送信する(S25)。
プロキシサーバ1Aの認証処理部66は、S25の処理でクライアント端末4から送信されてきたレスポンス1およびS25の処理でクライアント端末4から送信されてきたユーザ情報に基づいてユーザ認証を試みる。具体的には、プロキシサーバ1Aは、クライアント端末4から送信されてきたユーザ情報がプロキシ内部ユーザ情報に登録されている場合には、そのユーザ情報に対応するパスワードと、チャレンジ1とからレスポンスを作成し、クライアント端末4から送られてきたレスポンス1と比較する。そして、両者が一致した場合にはユーザ認証が成功したと判断して認証結果1Aをクライアント端末4へと送信する(S26)。
一方、プロキシサーバ1Aの認証処理部66は、プロキシ内部ユーザ情報に該当するユーザ情報が存在しない場合には、クライアント端末4から送信されてきたレスポンス1をパスワード管理サーバ6へと転送する(S27)。なお、プロキシサーバ1Aは、ユーザ認証が失敗した場合であってもクライアント端末4から送信されてきたレスポンス1をパスワード管理サーバ6へと送信するようにしてもよい。
パスワード管理サーバ6では、プロキシサーバ1Aから送信されてきたレスポンス1に基づいてチャレンジ/レスポンス方式によるユーザ認証を行う。具体的には、自ら送信したチャレンジ1とあらかじめ外部ユーザ情報に登録されているそのユーザのパスワードからレスポンスを作成し、送られてきたレスポンス1と比較する。そして、その比較結果を認証結果1Bとしてプロキシサーバ1Aへと返す(S28)。
プロキシサーバ1Aの認証処理部66は、パスワード管理サーバ6から認証結果1Bを受信すると、その認証結果1Bをクライアント端末4へ転送する(S29)。
プロキシサーバ1Aは、認証結果1Bが認証に成功している場合には、以後、クライアント端末4と接続先サーバ3との通信を中継する(S30、S31)。
[クライアント端末4での画面遷移例]
図8は、クライアント端末4での画面遷移例を示す図である。なお、ユーザは接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前申請しなくても利用できるようにしてもよい。
ユーザは、上述の事前承認をした後に、クライアント端末4で表示される画面81からプロキシサーバ1AのIPアドレス(またはホスト名)、プロキシサーバ1Aでのフォルダ名を指定する。するとログイン画面82が別途ポップアップ表示される。このログイン画面82から、プロキシサーバ1Aで管理されているユーザ名およびパスワード、またはパスワード管理サーバ6で管理されているユーザ名およびパスワードが入力される。
するとプロキシサーバ1側では、図7で説明した処理が実行され目的の接続先サーバ3のフォルダにアクセスできるようになると、クライアント端末4において画面83が表示される。
以上、プロキシサーバ1Aの基本的な通信処理およびクライアント端末4での画面表示について説明したが、プロキシサーバ1Aは、プロキシサーバ1とは異なり、複数の認証判定方法を有している。以下、複数の認証判定処理の具体例について図9〜図13を参照してさらに詳しく説明する。
(認証判定処理)
図9は、プロキシサーバ1Aの認証判定処理の一例を示すフローチャートである。プロキシサーバ1は、以下に説明する判定処理により、どのような認証方法を採用するのかを決定する。なお、図9に示す認証判定処理は、このプロキシサーバ1Aが起動するか、認証判定処理を実行する機能がONになると処理が開始される(START)。まず、プロキシサーバ1Aは、ユーザ認証を実行するに際に内部のディレクトリサービス2を利用する設定となっているか否かを判定する(S41)。そしてプロキシサーバ1Aは、ユーザ認証を実行するに際に内部のディレクトリサービス2を利用する設定となっている場合には(S41でYES)、さらに外部のディレクトリサービス5を有するパスワード管理サーバ6のアドレスが登録されているか否かを判定する(S42)。一方、プロキシサーバ1Aは、内部のディレクトリサービス2を利用する設定となっていない場合には(S41でNO)、外部のディレクトリサービス5を利用する処理(後述の図10)を実行する(S43)。
S42の判定においてプロキシサーバ1Aは、外部のディレクトリサービス5を有するパスワード管理サーバ6のアドレスが登録されていると判定した場合には(S42でYES)、まず内部のディレクトリサービス2をはじめに利用してユーザ認証を実行し、ユーザが登録されていない場合には外部のディレクトリサービス5を利用する処理を実行する(S44)。なお、プロキシサーバ1Aは、S42の判定において外部のディレクトリサービス5を有するパスワード管理サーバ6のアドレスが登録されていない場合には(S42でNo)、内部のディレクトリサービス2を利用する処理を実行する(S45)。S44またはS45のユーザ認証処理が完了すると認証判定処理は終了する(END)。
図10は、図9に示す処理のうち、パスワード管理サーバ6の外部のディレクトリサービス5に基づいてユーザ認証を実行する場合(図9のS43)の通信処理例を示す図である。図10に示す例では、クライアント端末4とプロキシサーバ1Aの間でネゴシエーション処理が実行されると、プロキシサーバ1Aとパスワード管理サーバ6との間でも同様にネゴシエーション処理が実行される(図10のNEGOTIATE)。これによりプロキシサーバ1Aはクライアント端末4との間でのセッションの確立と、パスワード管理サーバ6との間でのセッションの確立の両方が可能な状態となる。なお、図10の中でプロキシサーバ1Aはチャレンジと共に、「UID」をクライアント端末4へ送信している。この「UID」は、1つのセッションの間だけクライアント端末4のユーザを識別するために振り分けられる一時的な番号である。プロキシサーバ1Aは、クライアント端末4からセッション確立要求の度にこの「UID」を新たに発行し、クライアント端末4へ通知する。これにより、認証をあくまでもセッションの間だけのものとして管理しやすくすると共に、ユーザ側でユーザ名の変更等が発生しても、それまでの通信で利用しているセッションを引き続き利用することが可能となっている。
続いて、プロキシサーバ1Aは、クライアント端末4との間で実行されるチャレンジ/レスポンス方式のユーザ認証処理に関する処理要求を、パスワード管理サーバ6へと転送する。すなわち、プロキシサーバ1Aは、クライアント端末4との間で実行されるセッションセットアップ処理要求に応じて、パスワード管理サーバ6に対して同様のセッションセットアップ処理要求を送信する。そして、プロキシサーバ1Aは、パスワード管理サーバ6から送信されてくる、チャレンジおよびユーザ認証可否についての応答をクライアント端末4へそのまま送信する。このような通信処理とすることにより、プロキシサーバ1Aはパスワード管理サーバ6との間で、外部のディレクトリサービス5に基づくチャレンジ/レスポンス方式のユーザ認証処理を実行することができる。
図11は、図9に示す処理のうち、プロキシサーバ1Aの内部のディレクトリサービス2にのみ基づいてユーザ認証を実行する場合(図9のS45)の通信処理例を示す図である。図11に示す例では、クライアント端末4からプロキシサーバ1Aへ送信されてくる処理要求はすべてプロキシサーバ1Aの内部のディレクトリサービス2に基づいて認証処理が実行される。なお、図11に示すクライアント端末4とプロキシサーバ1Aとの間で実行される通信処理は、図10で説明したクライアント端末4とプロキシサーバ1Aとの間で実行される通信処理と同様であるため、説明を省略する。
図12は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されているユーザである場合の通信処理例を示す図である。図12に示す例では、プロキシサーバ1Aは、まず、クライアント端末4からの認証要求をパスワード管理サーバ6へと転送する。そして、プロキシサーバ1Aは、パスワード管理サーバ6から送信されてきたUIDとチャレンジを自己の記憶部62に保存すると共に、クライアント端末4へ送信する。そして、クライアント端末4から送信されてきたレスポンスと、内部のディレクトリサービス2に登録されているユーザに対応するパスワードから所定のアルゴリズムによって生成されたレスポンスとを比較する。そして、その比較結果であるユーザ認証可否をクライアント端末4へと送信する。
図13は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されていないユーザである場合の通信処理例を示す図である。図13に示す例では、プロキシサーバ1Aは、まず、クライアント端末4からの認証要求をパスワード管理サーバ6へと転送する。そして、プロキシサーバ1は、パスワード管理サーバ6から送信されてきたUIDとチャレンジを自己の記憶部62に保存すると共に、クライアント端末4へと送信する。そして、内部のディレクトリサービス2に登録されていないユーザである場合に、当該レスポンスをパスワード管理サーバ6へと転送し、パスワード管理サーバ6から送信されてきた認証結果であるユーザ認証可否をクライアント端末4へと送信する。
[発明の実施の形態における効果]
以上のように、プロキシサーバ1,1Aは、クライアント端末4からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置であって、クライアント端末4からの認証要求を受信すると、ディレクトリサービス5を提供している外部のパスワード管理サーバ6へその認証要求を転送し、転送した認証要求に基づいてパスワード管理サーバ6より送信されてくるチャレンジを取得し、取得したチャレンジをクライアント端末4へ送信し、クライアント端末4から送信されてきたレスポンスとパスワード管理サーバ6から取得したチャレンジに基づいてユーザ認証を実行する構成となっている。このような構成により、プロキシサーバ1,1Aはパスワード管理サーバ6が発行するチャレンジをクライアント端末4との間でのユーザ認証において利用することができ、クライアント端末4のユーザがパスワード管理サーバ6に登録されているユーザである場合には、パスワード管理サーバ6に対してクライアント端末4から受け取ったレスポンスを転送して、その後にパスワード管理サーバ6との間でのチャレンジ/レスポンス方式のユーザ認証を実行させることが可能となる。すなわち、プロキシサーバ1,1A(認証装置)は、内部のディレクトリサービス2に登録されていないユーザに対してもチャレンジ/レスポンス方式のユーザ認証を適切に実行することができる。
また、プロキシサーバ1,1Aは、内部のディレクトリサービス2にクライアント端末4のユーザが存在し、かつユーザ認証が成功した場合にはその成功した認証結果をクライアント端末4へ送信し、内部のディレクトリサービス2にクライアント端末4のユーザが存在しない場合には、クライアント端末4から送信されてきたレスポンスをパスワード管理サーバ6へと転送し、パスワード管理サーバ6から送信されてくる認証結果をクライアント端末4のユーザの認証結果としてクライアント端末4へと送信するように構成されている。
これにより、プロキシサーバ1,1Aは、クライアント端末4のユーザを認証するための情報(ユーザID,パスワードなど)の登録場所が自己の記憶部12である場合には、内部のディレクトリサービス2に登録されているユーザのパスワードと、パスワード管理サーバ6が生成したチャレンジとを特定のアルゴリズムに従って合成してレスポンスを作成し、クライアント端末4から送信されてきたレスポンスと一致するか否かを判定することができる。一方で、プロキシサーバ1,1Aは、クライアント端末4のユーザを認証するための情報が自己の記憶部12に登録されていない場合(すなわち、パスワード管理サーバ6記憶部62に登録されている場合)には、クライアント端末4から取得したレスポンスをパスワード管理サーバ6へと転送して、外部のディレクトリサービス5に登録されているユーザのパスワードと、パスワード管理サーバ6が生成したチャレンジとを特定のアルゴリズムに従って合成してレスポンスを作成し、プロキシサーバ1,1Aから送信されてきたレスポンスと一致するか否かによりユーザ認証を実行することができる。
したがって、クライアント端末4のユーザに対応するユーザ情報の記憶されている場所がいずれであってもチャレンジ/レスポンス方式のユーザ認証することが可能となるため、ユーザに対して自己のユーザ情報がどこに記憶されているのかを意識させることがない。なお、プロキシサーバ1の場合には、クライアント端末4との間において最大で2回のセッションが必要となるが、プロキシサーバ1Aの場合には、クライアント端末4とのセッションでパスワード管理サーバ6のチャレンジを最初から利用する構成のため、1回のセッションでチャレンジ/レスポンス方式のユーザ認証を確実に行うことが可能である。
また、上述したプロキシサーバ1、1Aとして説明した装置の認証方法、およびプロキシサーバ1、1Aとしてコンピュータを機能させるための制御プログラム51、68は上述したプロキシサーバ1、1Aが奏する効果と同様の効果を奏するものである。
以上、プロキシサーバ1、1Aを例に挙げ説明したが、この発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化したり、上記実施の形態に開示されている複数の構成要素を適宜組み合わせたりすることにより種々の発明を形成できる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施の形態に亘る構成要素を適宜組み合わせても良い。
また、プロキシサーバ1、1Aの上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、専用のハードウェアに組み込まれているコンピュータ、または、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどに、非一時的プログラム記録媒体からインストールされる。
1,1A…プロキシサーバ(認証装置の一例)、2…ディレクトリサービス、3…接続先サーバ、4…クライアント端末、5…ディレクトリサービス、6…パスワード管理サーバ(外部のサーバの一例)、41…認証要求転送部、42…チャレンジ転送部、44…認証結果転送部(認証処理部の一例)、63…認証要求転送部、65…チャレンジ転送部、66…認証処理部

Claims (4)

  1. クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置であって、
    前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送部と、
    前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得部と、
    前記チャレンジ取得部により取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送部と、
    前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理部と
    有し、
    前記チャレンジ転送部は、前記チャレンジ取得部が取得した前記外部のサーバからのチャレンジを前記クライアント端末へ転送する際に、そのクライアント端末を識別するためのUIDを付与して、前記クライアント端末とのセッションを管理する
    ことを特徴とする認証装置。
  2. 請求項1に記載の認証装置であって、
    前記認証処理部は、
    内部のディレクトリサービスで保持されているユーザ情報に前記クライアント端末のユーザが存在し、かつチャレンジ/レスポンス方式のユーザ認証が成功した場合にはその成功した認証結果を前記クライアント端末へ送信し、内部のディレクトリサービスで保持されているユーザ情報に前記クライアント端末のユーザが存在しない場合には、前記クライアント端末から送信されてきたレスポンスを前記外部のサーバへと転送し、前記外部のサーバとの間でチャレンジ/レスポンス方式のユーザ認証を実行し、外部のサーバから送信されてくる認証結果を、前記クライアント端末のユーザの認証結果としてクライアント端末へと送信する
    ことを特徴とする認証装置。
  3. 認証要求転送部と、チャレンジ取得部と、チャレンジ転送部と、認証処理部とを有し、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置で用いられる認証方法において、
    前記認証要求転送部が、前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送ステップと、
    前記チャレンジ取得部が、前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得ステップと、
    前記チャレンジ転送部が、前記チャレンジ取得ステップにより取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送ステップと、
    前記認証処理部が、前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得ステップで取得したチャレンジに基づいてユーザ認証を実行する認証処理ステップと、を有し、
    前記チャレンジ転送ステップでは、前記チャレンジ取得部が取得した前記外部のサーバからのチャレンジを前記クライアント端末へ転送する際に、そのクライアント端末を識別するためのUIDを付与して、前記クライアント端末とのセッションを管理する
    ことを特徴とする認証方法。
  4. クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置としてコンピュータを機能させるためのプログラムであって、
    前記コンピュータを、
    前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送手段と、
    前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得手段と、
    前記チャレンジ取得部により取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送手段と、
    前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理手段として機能させ
    前記チャレンジ転送手段は、前記チャレンジ取得手段が取得した前記外部のサーバからのチャレンジを前記クライアント端末へ転送する際に、そのクライアント端末を識別するためのUIDを付与して、前記クライアント端末とのセッションを管理することを特徴とするプログラム。
JP2015526056A 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム Active JP6055546B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/068842 WO2015004744A1 (ja) 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP6055546B2 true JP6055546B2 (ja) 2016-12-27
JPWO2015004744A1 JPWO2015004744A1 (ja) 2017-02-23

Family

ID=52279470

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015526056A Active JP6055546B2 (ja) 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム

Country Status (2)

Country Link
JP (1) JP6055546B2 (ja)
WO (1) WO2015004744A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7220722B2 (ja) * 2018-10-22 2023-02-10 株式会社ソニー・インタラクティブエンタテインメント 情報処理システムおよび情報処理装置
JP7322732B2 (ja) * 2020-02-03 2023-08-08 トヨタ自動車株式会社 認証システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002366550A (ja) * 2001-06-08 2002-12-20 Fujitsu Ltd 個人情報管理装置、個人情報管理方法、記録媒体およびプログラム
JP2003318894A (ja) * 2002-02-21 2003-11-07 Matsushita Electric Ind Co Ltd チャレンジ−レスポンス方式による機器間の認証処理方法
JP2008529368A (ja) * 2005-01-28 2008-07-31 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信システムにおけるユーザ認証及び認可
JP2010282596A (ja) * 2009-06-02 2010-12-16 Canon Software Information Systems Inc 情報処理装置、およびその制御方法、情報処理システム、プログラム、記録媒体。

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002366550A (ja) * 2001-06-08 2002-12-20 Fujitsu Ltd 個人情報管理装置、個人情報管理方法、記録媒体およびプログラム
JP2003318894A (ja) * 2002-02-21 2003-11-07 Matsushita Electric Ind Co Ltd チャレンジ−レスポンス方式による機器間の認証処理方法
JP2008529368A (ja) * 2005-01-28 2008-07-31 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信システムにおけるユーザ認証及び認可
JP2010282596A (ja) * 2009-06-02 2010-12-16 Canon Software Information Systems Inc 情報処理装置、およびその制御方法、情報処理システム、プログラム、記録媒体。

Also Published As

Publication number Publication date
WO2015004744A1 (ja) 2015-01-15
JPWO2015004744A1 (ja) 2017-02-23

Similar Documents

Publication Publication Date Title
US8065390B2 (en) Virtual folders for tracking HTTP sessions
US9473419B2 (en) Multi-tenant cloud storage system
US9401909B2 (en) System for and method of providing single sign-on (SSO) capability in an application publishing environment
US8220042B2 (en) Creating secure interactive connections with remote resources
US8171538B2 (en) Authentication and authorization of extranet clients to a secure intranet business application in a perimeter network topology
JP5494816B2 (ja) 通信制御装置、システム、方法及びプログラム
JP5296726B2 (ja) Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム
US20160234343A1 (en) Client side redirection
US11469894B2 (en) Computing system and methods providing session access based upon authentication token with different authentication credentials
US20120246226A1 (en) System and method for sharing data from a local network to a remote device
JP2010531516A (ja) 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
US8839396B1 (en) Providing single sign-on for wireless devices
JP6055546B2 (ja) 認証装置、認証方法、およびプログラム
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
US11095436B2 (en) Key-based security for cloud services
JP6076890B2 (ja) 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体
US20200204544A1 (en) Biometric security for cloud services
JP6266049B1 (ja) 情報処理システム、情報処理方法、情報処理装置及びプログラム
JP6100376B2 (ja) 中継処理装置、中継処理方法、およびプログラム
JP2006319909A (ja) データ通信の方法、ピアツーピア型のネットワーク、および情報処理装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161012

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161202

R150 Certificate of patent or registration of utility model

Ref document number: 6055546

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250