JP6081857B2 - Authentication system and authentication method - Google Patents

Authentication system and authentication method Download PDF

Info

Publication number
JP6081857B2
JP6081857B2 JP2013093379A JP2013093379A JP6081857B2 JP 6081857 B2 JP6081857 B2 JP 6081857B2 JP 2013093379 A JP2013093379 A JP 2013093379A JP 2013093379 A JP2013093379 A JP 2013093379A JP 6081857 B2 JP6081857 B2 JP 6081857B2
Authority
JP
Japan
Prior art keywords
authentication
information
authentication information
terminal
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013093379A
Other languages
Japanese (ja)
Other versions
JP2014215853A (en
Inventor
祥史 水谷
祥史 水谷
忠則 片山
忠則 片山
健太 西亀
健太 西亀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2013093379A priority Critical patent/JP6081857B2/en
Publication of JP2014215853A publication Critical patent/JP2014215853A/en
Application granted granted Critical
Publication of JP6081857B2 publication Critical patent/JP6081857B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワークを介してアクセスされるユーザの正当性を認証する認証システム、および認証方法に関する。   The present invention relates to an authentication system and an authentication method for authenticating the validity of a user accessed via a network.

ユーザが複数のネットワーク上のサービスを受けるためには、サービス毎にそれぞれのサービス提供装置にアクセスし、認証を行わなければならないが、これは、ユーザにとって手間がかかる。このため、一度、認証を行うことで、再度の認証を行うことなく複数のサービスを受けることを可能とする技術としてシングルサインオンが普及してきている。   In order for a user to receive services on a plurality of networks, each service providing apparatus must be accessed and authenticated for each service, which is troublesome for the user. For this reason, single sign-on has become widespread as a technique that allows a plurality of services to be received without performing re-authentication once authentication is performed.

シングルサインオンは、ユーザにとっては利便性のある技術であるが、セキュリティの面からは様々な課題がある。例えば、セキュリティ強度を保つためにワンタイムパスワードと組み合わせることが行われている。さらに、初期認証のみでサービスを利用することができてしまうため、全体のセキュリティを保つ工夫として、サービス提供装置側が必要とする認証レベルを確認した上で認証を行う特許文献1の技術がある。   Single sign-on is a convenient technique for users, but there are various problems from the viewpoint of security. For example, combining with a one-time password is performed in order to maintain security strength. Furthermore, since the service can be used only by the initial authentication, there is a technique of Patent Document 1 in which authentication is performed after confirming the authentication level required by the service providing apparatus side as a device for maintaining the overall security.

特開2007-272542号公報JP 2007-272542 A

しかしながら、特許文献1では、認証方法を知られてしまったような場合においては、ネットワーク上の情報を盗聴され解読されるリスクは依然として残ることとなる。また、認証方法がわかるとその認証強度も把握されてしまう。   However, in Patent Document 1, in the case where the authentication method has been known, there is still a risk that information on the network is eavesdropped and decrypted. If the authentication method is known, the authentication strength is also grasped.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、多様な認証方法を用いることで、セキュリティレベルを向上し、精度の高い認証を行う認証システムおよび認証方法を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide an authentication system and an authentication method for improving security level and performing highly accurate authentication by using various authentication methods. It is in.

上記目的を達成するため、請求項1記載の本発明は、サービスを提供する複数のサービス提供装置にアクセスする端末と、前記端末を使用するユーザを認証する認証装置とを備える認証システムであって、前記認証装置は、複数の認証ロジックを含む認証情報生成ルールを、前記端末に配信する配信手段と、前記端末から認証情報を受信し、当該認証情報を認証する認証手段と、を備え、前記端末は、前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成手段と、生成した認証情報を前記認証装置に送信する送信手段と、を備えることを要旨とする。 To achieve the above object, the present invention according to claim 1 is an authentication system comprising a terminal that accesses a plurality of service providing apparatuses that provide services, and an authentication apparatus that authenticates a user who uses the terminal. The authentication apparatus includes: a distribution unit that distributes an authentication information generation rule including a plurality of authentication logics to the terminal; and an authentication unit that receives the authentication information from the terminal and authenticates the authentication information, An authentication information generation unit configured to select any one of the plurality of authentication logics according to the authentication information generation rule and generate authentication information from the input user information using the selected authentication logic; And transmitting means for transmitting the generated authentication information to the authentication device .

請求項2記載の本発明は、認証システムであって、前記端末の認証情報生成手段は、前記ユーザ情報および時刻を用いて前記複数の認証ロジックの中から使用する認証ロジックを選択し、前記認証装置の認証手段は、前記端末から認証情報とともにユーザ情報を受信し、当該ユーザ情報および時刻を用いて選択された認証ロジックから生成された認証情報と、前記端末から受信した認証情報とを照合して認証することを要旨とする。 The present invention according to claim 2 is an authentication system, wherein the authentication information generation means of the terminal selects an authentication logic to be used from the plurality of authentication logics using the user information and time, and the authentication The authentication means of the device receives user information together with authentication information from the terminal, and compares the authentication information generated from the authentication logic selected using the user information and time with the authentication information received from the terminal. The main point is to authenticate.

請求項3記載の本発明は、認証システムであって、前記認証装置の配信手段は、所定のタイミングで前記認証情報生成ルールを配信し、認証情報の生成方法を変更することを要旨とする。   The gist of the present invention according to claim 3 is the authentication system, wherein the distribution means of the authentication device distributes the authentication information generation rule at a predetermined timing and changes the method for generating the authentication information.

請求項4記載の本発明は、認証システムであって、前記端末は、複数の種類のユーザ情報の中のいずれかのユーザ情報を受け付けるユーザ情報受付手段をさらに備え、前記認証装置の認証手段は、認証情報の認証に失敗した場合、異なる種類のユーザ情報から生成される認証情報を前記端末に要求することを要旨とする。   The present invention according to claim 4 is an authentication system, wherein the terminal further includes user information accepting means for accepting any one of a plurality of types of user information, and the authentication means of the authentication device includes: When the authentication information authentication fails, the gist is to request the terminal for authentication information generated from different types of user information.

請求項5記載の本発明は、認証システムであって、前記認証装置は、現用機と予備機とを備え、前記予備機が用いる認証ロジックは、前記現用機が用いる認証ロジックと異なることを要旨とする。   The present invention according to claim 5 is an authentication system, wherein the authentication device includes an active machine and a spare machine, and an authentication logic used by the spare machine is different from an authentication logic used by the active machine. And

請求項6記載の本発明は、端末にサービスを提供する複数のサービス提供装置と、前記端末を使用するユーザを認証する認証装置とを備える認証システムであって、前記認証装置は、複数の認証ロジックを含む認証情報生成ルールを、前記サービス提供装置に配信する配信手段と、前記サービス提供装置から認証情報を受信し、当該認証情報を認証する認証手段と、を備え、前記サービス提供装置は、前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、前記端末で入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成手段と、生成した認証情報を前記認証装置に送信する送信手段と、を備えることを要旨とする。 The present invention according to claim 6 is an authentication system comprising a plurality of service providing devices that provide services to a terminal and an authentication device that authenticates a user who uses the terminal, wherein the authentication device includes a plurality of authentications. A distribution unit that distributes an authentication information generation rule including logic to the service providing device; and an authentication unit that receives the authentication information from the service providing device and authenticates the authentication information. Authentication information generating means for selecting any one of the plurality of authentication logics according to the authentication information generation rule, and generating authentication information using the selected authentication logic from the user information input at the terminal; And transmitting means for transmitting the generated authentication information to the authentication device .

請求項7記載の本発明は、サービスを提供する複数のサービス提供装置にアクセスする端末と、前記端末を使用するユーザを認証する認証装置とを備える認証システムが行う認証方法であって、前記認証装置は、複数の認証ロジックを含む認証情報生成ルールを、前記端末に配信する配信ステップと、前記端末から認証情報を受信し、当該認証情報を認証する認証ステップと、を行い、前記端末は、前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成ステップと、生成した認証情報を前記認証装置に送信する送信ステップと、を行うことを要旨とする。 The present invention according to claim 7 is an authentication method performed by an authentication system comprising: a terminal that accesses a plurality of service providing apparatuses that provide services; and an authentication apparatus that authenticates a user who uses the terminal. The apparatus performs a distribution step of distributing an authentication information generation rule including a plurality of authentication logics to the terminal, and an authentication step of receiving authentication information from the terminal and authenticating the authentication information. An authentication information generation step of selecting any one of the plurality of authentication logics according to the authentication information generation rule, and generating authentication information from the input user information using the selected authentication logic; The gist is to perform a transmitting step of transmitting authentication information to the authentication device .

請求項8記載の本発明は、端末にサービスを提供する複数のサービス提供装置と、前記端末を使用するユーザを認証する認証装置とを備える認証システムが行う認証方法であって、前記認証装置は、複数の認証ロジックを含む認証情報生成ルールを、前記サービス提供装置に配信する配信ステップと、前記サービス提供装置から認証情報を受信し、当該認証情報を認証する認証ステップと、を行い、前記サービス提供装置は、前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、前記端末で入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成ステップと、生成した認証情報を前記認証装置に送信する送信ステップと、を行うことを要旨とする。 The present invention according to claim 8 is an authentication method performed by an authentication system including a plurality of service providing apparatuses that provide services to a terminal and an authentication apparatus that authenticates a user who uses the terminal, wherein the authentication apparatus includes: A distribution step of distributing an authentication information generation rule including a plurality of authentication logics to the service providing device; an authentication step of receiving authentication information from the service providing device and authenticating the authentication information; and The providing apparatus selects one of the plurality of authentication logics according to the authentication information generation rule, and generates authentication information using the selected authentication logic from the user information input at the terminal The gist is to perform an information generation step and a transmission step of transmitting the generated authentication information to the authentication device .

本発明によれば、多様な認証方法を用いることで、セキュリティレベルを向上し、精度の高い認証を行う認証システムおよび認証方法を提供することができる。   According to the present invention, it is possible to provide an authentication system and an authentication method that improve the security level and perform highly accurate authentication by using various authentication methods.

本発明の第1の実施形態に係る認証システムの構成を示す全体構成図である。It is a whole lineblock diagram showing the composition of the authentication system concerning a 1st embodiment of the present invention. ユーザ端末の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of a user terminal. 認証サーバの構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of an authentication server. 第1の実施形態の認証処理を示すシーケンス図である。It is a sequence diagram which shows the authentication process of 1st Embodiment. 認証ロジック対応表の一例を示す図である。It is a figure which shows an example of an authentication logic correspondence table. ユーザ情報記憶部の一例を示す図である。It is a figure which shows an example of a user information storage part. 認証情報記憶部の一例を示す図である。It is a figure which shows an example of an authentication information storage part. 第2の実施形態のサービス提供サーバの構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the service provision server of 2nd Embodiment. 第2の実施形態の認証処理を示すシーケンス図である。It is a sequence diagram which shows the authentication process of 2nd Embodiment.

以下、本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described.

<第1の実施形態>
図1は、本発明の第1の実施形態に係る認証システムの全体構成を示す図である。 <First Embodiment>
FIG. 1 is a diagram showing an overall configuration of an authentication system according to the first embodiment of the present invention.

本実施形態は、ユーザ端末が認証ロジックを保持し、認証情報を生成するものである。図示する認証システムは、ユーザが使用するユーザ端末1と、複数のサービス提供サーバ2と、負荷分散装置3と、認証サーバ4(現用機)と、認証サーバ5(予備機)とを備える。認証サーバ4(現用機)と、認証サーバ5(予備機)とは独立しており、認証サーバ5(予備機)は、認証サーバ4(現用機)で障害が発生した場合に利用される。また、認証サーバ4(現用機)および認証サーバ5(予備機)は、それぞれ複数のサーバから構成されるものであってもよい。   In the present embodiment, the user terminal holds authentication logic and generates authentication information. The illustrated authentication system includes a user terminal 1 used by a user, a plurality of service providing servers 2, a load distribution device 3, an authentication server 4 (current machine), and an authentication server 5 (standby machine). The authentication server 4 (working machine) and the authentication server 5 (standby machine) are independent, and the authentication server 5 (standby machine) is used when a failure occurs in the authentication server 4 (working machine). Further, the authentication server 4 (active machine) and the authentication server 5 (standby machine) may each be composed of a plurality of servers.

ユーザ端末1は、ユーザが入力したユーザ情報を受け付け、いずれかの認証ロジックを用いてユーザ情報から認証情報を生成して認証サーバ4に送信し、認証サーバ4での認証情報に認証に成功した場合、少なくとも1つのサービス提供サーバ2にログインする。なお、本実施形態の認証システムでは、シングルサインオンが可能なシステムであって、認証サーバ4での認証に成功した後は、個々に各サービス提供サーバ2での認証を行うことなくログインできるものとする。   The user terminal 1 receives user information input by the user, generates authentication information from the user information using any of the authentication logic, transmits the authentication information to the authentication server 4, and successfully authenticates the authentication information in the authentication server 4. In this case, the user logs in to at least one service providing server 2. The authentication system according to the present embodiment is a system capable of single sign-on, and can be logged in without performing authentication on each service providing server 2 individually after successful authentication on the authentication server 4. And

サービス提供サーバ2は、ユーザ端末1にネットワークを介して所定のサービスを提供する。負荷分散装置3は、通常運用時には、現用機である認証サーバ4にユーザ端末1またはサービス提供サーバ1から送信されるデータを振り分け、現用機の認証サーバ4の障害時には、予備機である認証サーバ5にユーザ端末1またはサービス提供サーバ2からのデータを振り分け、障害時における可用性を担保する。また、負荷分散装置3は、並列に運用されている複数の現用機の認証サーバ4(または予備機の認証サーバ5)間での負荷が適切になるようにデータを分散して割り当てる。認証サーバ4、5は、ユーザ端末1から送信される認証情報を認証する。   The service providing server 2 provides a predetermined service to the user terminal 1 via the network. The load balancer 3 distributes data transmitted from the user terminal 1 or the service providing server 1 to the authentication server 4 which is the active machine during normal operation, and an authentication server which is a spare machine when the authentication server 4 of the active machine is faulty Data from the user terminal 1 or the service providing server 2 is distributed to 5 to ensure availability at the time of failure. Further, the load distribution device 3 distributes and allocates data so that the load among the plurality of active server authentication servers 4 (or the spare authentication server 5) operated in parallel is appropriate. The authentication servers 4 and 5 authenticate authentication information transmitted from the user terminal 1.

図2は、ユーザ端末1の構成を示すブロック図である。図示するユーザ端末1は、認証情報生成ルール管理部11と、入力受付部12と、認証情報生成部13と、送信部14と、記憶部15とを備える。   FIG. 2 is a block diagram illustrating a configuration of the user terminal 1. The illustrated user terminal 1 includes an authentication information generation rule management unit 11, an input reception unit 12, an authentication information generation unit 13, a transmission unit 14, and a storage unit 15.

認証情報生成ルール管理部11は、所定のタイミングで認証サーバ4から配信される認証情報生成ルールを受信し、記憶部15に記憶する。認証情報生成ルールには、複数の認証ロジック(一方向性関数などの所定のアルゴリズム)などの認証情報を生成するためのルールが設定されている。   The authentication information generation rule management unit 11 receives the authentication information generation rule distributed from the authentication server 4 at a predetermined timing and stores it in the storage unit 15. In the authentication information generation rule, a rule for generating authentication information such as a plurality of authentication logics (a predetermined algorithm such as a one-way function) is set.

入力受付部12は、複数の異なる種類のユーザ情報の中からユーザが入力したいずれかのユーザ情報を受け付ける。ユーザ情報としては、例えば、ユーザID(社員番号)、ICカード情報、指紋などの生体情報、メールアドレスなど、様々な個人情報を用いることが考えられる。   The input receiving unit 12 receives any user information input by the user from a plurality of different types of user information. As the user information, for example, various personal information such as a user ID (employee number), IC card information, biometric information such as a fingerprint, and an e-mail address can be used.

認証情報生成部13は、記憶部15に記憶された認証情報生成ルールに従って、複数の認証ロジックの中からいずれかの認証ロジックを選択し、入力されたユーザ情報から選択した認証ロジックを用いて認証情報を生成する。   The authentication information generation unit 13 selects any one of the plurality of authentication logics according to the authentication information generation rule stored in the storage unit 15 and authenticates using the authentication logic selected from the input user information. Generate information.

送信部14は、認証情報生成部13が生成した認証情報を、ネットワークを介して認証サーバ4に送信する。   The transmission unit 14 transmits the authentication information generated by the authentication information generation unit 13 to the authentication server 4 via the network.

図3は、認証サーバ4(認証装置)の構成を示すブロック図である。図示する認証サーバ4は、配信部41と、認証部42と、ユーザ情報記憶部43と、認証情報記憶部44と、認証ロジック記憶部45とを備える。
FIG. 3 is a block diagram showing the configuration of the authentication server 4 (authentication device) . The illustrated authentication server 4 includes a distribution unit 41, an authentication unit 42, a user information storage unit 43, an authentication information storage unit 44, and an authentication logic storage unit 45.

配信部41は、各ユーザ端末1に、複数の認証ロジックを含む認証情報生成ルールを配信する。配信部41は、所定のタイミングで各ユーザ端末1に認証情報生成ルールを配信し、所定のタイミングで認証情報の生成方法を変更する。認証情報生成ルールには、複数の認証ロジック(例えば、一方向性関数など)、認証ロジックの選択に用いる情報、認証情報の生成に用いる情報など、認証情報を生成するためのルールが設定されている。なお、各ユーザ端末1に配信する認証情報生成ルールは、ユーザ端末1毎に異なる認証情報生成ルールを配信するものとする。   The distribution unit 41 distributes an authentication information generation rule including a plurality of authentication logics to each user terminal 1. The distribution unit 41 distributes the authentication information generation rule to each user terminal 1 at a predetermined timing, and changes the authentication information generation method at the predetermined timing. In the authentication information generation rule, rules for generating authentication information such as a plurality of authentication logics (for example, a one-way function), information used for selecting an authentication logic, information used for generating authentication information are set. Yes. Note that the authentication information generation rule distributed to each user terminal 1 is distributed differently for each user terminal 1.

認証部42は、ユーザ端末1から認証情報を受信して、当該認証情報を認証し、認証結果をユーザ端末1に送信する。   The authentication unit 42 receives authentication information from the user terminal 1, authenticates the authentication information, and transmits an authentication result to the user terminal 1.

ユーザ情報記憶部43には、各ユーザ端末1を使用するユーザがあらかじめ認証サーバ4に登録したユーザ情報が記憶される。認証情報記憶部44には、ユーザ毎に、当該ユーザが使用する認証ロジックおよび認証情報が記憶される。認証ロジック記憶部45には、当該認証サーバ4がサポートする複数の認証ロジックが記憶される。   The user information storage unit 43 stores user information registered in advance in the authentication server 4 by the user using each user terminal 1. The authentication information storage unit 44 stores, for each user, authentication logic and authentication information used by the user. The authentication logic storage unit 45 stores a plurality of authentication logics supported by the authentication server 4.

なお、予備機の認証サーバ5は、現用機の認証サーバ4と同様の構成である。ただし、認証サーバ4の認証ロジック記憶部45に記憶される複数の認証ロジックと、認証サーバ5の認証ロジック記憶部に記憶される複数の認証ロジックとは異なる(独立した)ものであって、仮に認証サーバ4の認証ロジックが漏洩した場合であっても、これにより認証サーバ5の認証ロジックが推測されることはない。   The spare machine authentication server 5 has the same configuration as the active machine authentication server 4. However, the plurality of authentication logics stored in the authentication logic storage unit 45 of the authentication server 4 and the plurality of authentication logics stored in the authentication logic storage unit of the authentication server 5 are different (independent). Even if the authentication logic of the authentication server 4 leaks, the authentication logic of the authentication server 5 is not inferred.

上記説明したユーザ端末1、サービス提供サーバ2および認証サーバ4、5は、例えば、CPUと、メモリと、HDD等の外部記憶装置と、入力装置と、出力装置とを備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各部の各機能が実現される。例えば、ユーザ端末1、サービス提供サーバ2および認証サーバ4、5の各機能は、ユーザ端末1用のプログラムの場合はユーザ端末1のCPUが、サービス提供サーバ2用のプログラムの場合はサービス提供サーバ2のCPUが、そして、認証サーバ4、5用のプログラムの場合は認証サーバ4、5のCPUがそれぞれ実行することにより実現される。また、ユーザ端末1用のプログラム、サービス提供サーバ2および認証サーバ4、5用のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。   The user terminal 1, the service providing server 2, and the authentication servers 4 and 5 described above are, for example, general-purpose computer systems that include a CPU, a memory, an external storage device such as an HDD, an input device, and an output device. Can be used. In this computer system, each function of each unit is realized by the CPU executing a predetermined program loaded on the memory. For example, each function of the user terminal 1, the service providing server 2, and the authentication servers 4 and 5 is such that the CPU of the user terminal 1 is a program for the user terminal 1 and the service providing server is a program for the service providing server 2. In the case where the two CPUs are programs for the authentication servers 4 and 5, the CPUs of the authentication servers 4 and 5 are executed. Further, the program for the user terminal 1, the service providing server 2, and the authentication server 4, 5 are stored in a computer-readable recording medium such as a hard disk, flexible disk, CD-ROM, MO, DVD-ROM. Can also be distributed over a network.

次に、本実施形態の処理について説明する。   Next, the processing of this embodiment will be described.

図4は、本実施形態の認証処理を示すシーケンス図である。   FIG. 4 is a sequence diagram showing the authentication process of this embodiment.

認証サーバ4の配信部41は、あらかじめ各ユーザ端末1に認証情報生成ルールを配信する(S11)。ユーザ端末1の認証情報生成ルール管理部11は、配信された認証情報生成ルールを記憶部15に記憶する。認証情報生成ルールには、複数の認証ロジックなどの認証情報を生成するためのルールが設定されている。   The distribution unit 41 of the authentication server 4 distributes the authentication information generation rule to each user terminal 1 in advance (S11). The authentication information generation rule management unit 11 of the user terminal 1 stores the distributed authentication information generation rule in the storage unit 15. In the authentication information generation rule, a rule for generating authentication information such as a plurality of authentication logics is set.

ユーザ端末1の入力受付部12は、いずれかのサービス提供サーバ2にアクセスするための認証要求をユーザから受け付け、ユーザ情報の入力を促す入力画面をディスプレイに表示する(S12)。そして、入力受付部12は、ユーザが入力したいずれかの種類のユーザ情報を受け付ける(S13)。   The input receiving unit 12 of the user terminal 1 receives an authentication request for accessing any of the service providing servers 2 from the user, and displays an input screen for prompting input of user information on the display (S12). Then, the input receiving unit 12 receives any type of user information input by the user (S13).

なお、認証情報生成ルールは、S11であらかじめ配信される場合だけでなく、S12の認証要求を受け付けたタイミングで、認証情報生成ルール管理部11が認証サーバ4にアクセスし、認証サーバ4から認証情報生成ルールを取得することとしてもよい。   The authentication information generation rule is not only distributed in advance in S11, but also when the authentication request in S12 is received, the authentication information generation rule management unit 11 accesses the authentication server 4 and receives authentication information from the authentication server 4. It is good also as acquiring a production | generation rule.

認証情報生成部13は、記憶部15に記憶された認証情報生成ルールに従って、使用する認証ロジックを選択する(S14)。本実施形態では、認証情報生成ルールに設定された、認証ロジックの選択に用いる情報を特定し、当該情報をハッシュ関数に入力してハッシュ値(固定長の擬似乱数)を算出する。なお、本実施形態では、ハッシュ関数を用いることとするが、ハッシュ関数以外のアルゴリズム(あるデータが与えられた場合に、そのデータを代表する数値を得るもの)を用いて、認証ロジックの選択に用いる情報から、当該情報に対応する値を算出することとしてもよい。   The authentication information generation unit 13 selects an authentication logic to be used in accordance with the authentication information generation rule stored in the storage unit 15 (S14). In the present embodiment, information used for selecting an authentication logic set in the authentication information generation rule is specified, and the information is input to a hash function to calculate a hash value (fixed-length pseudorandom number). In this embodiment, a hash function is used. However, an algorithm other than the hash function (which obtains a numerical value representative of the data when given data) is used to select an authentication logic. A value corresponding to the information may be calculated from the information to be used.

例えば、認証情報生成ルールには、S13で入力されたユーザ情報(例えば、ユーザIDの全体、またはユーザIDの下n桁)を原文としてハッシュ関数に入力してハッシュ値を算出し、当該ハッシュ値と現在の時刻とを用いて認証ロジックを選択することが設定されているものとする。この場合、認証情報生成部13は、ユーザ情報をハッシュ関数に入力してハッシュ値を算出し、また、図示しない時計部から現在時刻を取得する。そして、認証情報生成部13、認証情報生成ルールに含まれる認証ロジック対応表を用いて認証ロジックを選択する。   For example, in the authentication information generation rule, the user information (for example, the entire user ID or the last n digits of the user ID) input in S13 is input as a text to a hash function to calculate a hash value, and the hash value It is assumed that the authentication logic is selected using the current time and the current time. In this case, the authentication information generation unit 13 inputs user information into a hash function to calculate a hash value, and acquires the current time from a clock unit (not shown). Then, an authentication logic is selected by using the authentication logic correspondence table included in the authentication information generation unit 13 and the authentication information generation rule.

図5は、認証ロジック対応表の一例を示すものである。図示する認証ロジック対応表は、ハッシュ値および時間帯毎に対応する認証ロジックが設定されている。例えば、ハッシュ値が“aa”で、現在の時刻が1時30分の場合、認証情報生成部13は、認証ロジック1−2を選択する。このように、本実施形態では、ユーザ情報および時刻を用いて前記複数の認証ロジックの中から使用する認証ロジックを選択することとする。   FIG. 5 shows an example of the authentication logic correspondence table. In the illustrated authentication logic correspondence table, authentication logic corresponding to each hash value and time zone is set. For example, when the hash value is “aa” and the current time is 1:30, the authentication information generation unit 13 selects the authentication logic 1-2. Thus, in the present embodiment, an authentication logic to be used is selected from the plurality of authentication logics using user information and time.

そして、認証情報生成部13は、S14で選択した認証ロジックを用いて、S13で入力されたユーザ情報から認証情報を生成する(S15)。すなわち、ユーザ情報を、選択した認証ロジック(一方向性関数など)に入力して認証情報を生成する。   And the authentication information production | generation part 13 produces | generates authentication information from the user information input by S13 using the authentication logic selected by S14 (S15). That is, user information is input to selected authentication logic (such as a one-way function) to generate authentication information.

そして、送信部14は、生成した認証情報と、認証情報の生成に用いたユーザ情報とを、認証サーバ4に送信する(S16)。   And the transmission part 14 transmits the produced | generated authentication information and the user information used for the production | generation of authentication information to the authentication server 4 (S16).

認証サーバ4の認証部42は、負荷分散装置3を介して、ユーザ端末1から認証情報およびユーザ情報を受信し、ユーザ情報を用いて認証ロジックを選択する(S17)。例えば、ユーザ端末1から送信されたユーザ情報から、ユーザ情報記憶部43を参照して当該ユーザ情報のユーザ識別情報を特定する。   The authentication unit 42 of the authentication server 4 receives authentication information and user information from the user terminal 1 via the load balancer 3, and selects an authentication logic using the user information (S17). For example, the user identification information of the user information is specified from the user information transmitted from the user terminal 1 with reference to the user information storage unit 43.

図6は、ユーザ情報記憶部43の一例を示すものである。図示するユーザ情報記憶部43には、ユーザ毎に、本認証システム内で当該ユーザを一意に識別するためのユーザ識別情報と、当該ユーザの複数の種類のユーザ情報(ユーザID、ICカード情報、指紋情報など)とが対応付けて記憶されている。認証部42は、受信したユーザ情報に対応するユーザ識別情報を、ユーザ情報記憶部43を参照して特定する。   FIG. 6 shows an example of the user information storage unit 43. In the user information storage unit 43 shown in the figure, for each user, user identification information for uniquely identifying the user in the authentication system and a plurality of types of user information (user ID, IC card information, Fingerprint information and the like) are stored in association with each other. The authentication unit 42 specifies user identification information corresponding to the received user information with reference to the user information storage unit 43.

そして、認証部42は、特定したユーザ識別情報に対応する認証情報が設定された認証情報テーブルを、認証情報記憶部44から読み出す。   Then, the authentication unit 42 reads from the authentication information storage unit 44 an authentication information table in which authentication information corresponding to the specified user identification information is set.

図7は、認証情報記憶部44の認証情報テーブルの一例を示すものである。図示する認証情報テーブルは、ユーザ識別情報(ユーザ)毎に保持され、時間帯と、当該時間帯に用いられる少なくとも1つの認証ロジックと、当該認証ロジックを用いて各ユーザ情報から生成されるユーザ情報毎の認証情報とが設定されている。認証情報テーブルと、ユーザ端末1に配信される認証ロジック対応表(図5参照)とは同期しているものとする。   FIG. 7 shows an example of the authentication information table in the authentication information storage unit 44. The authentication information table shown is held for each user identification information (user), and is generated from each user information using the time zone, at least one authentication logic used in the time zone, and the authentication logic. Each authentication information is set. It is assumed that the authentication information table and the authentication logic correspondence table (see FIG. 5) distributed to the user terminal 1 are synchronized.

なお、認証サーバ側で保持する認証情報テーブルでは、ユーザ端末1と認証サーバ4間の伝送に要する時間(伝送遅延時間)を考慮して、ユーザ端末1に配信する認証ロジック対応表に設定された前後n時間(例えば前後1時間)に使用する認証ロジックをオーバーラップさせている。例えば、図7に示すテーブルでは1時〜2時の時間帯で使用する認証ロジックとして、ユーザ端末1の認証ロジック対応表の1時〜2時の時間帯の認証ロジック1−2と、その前の0時〜1時の時間帯の認証ロジック1−1と、その後の2時〜3時の時間帯の認証ロジック1−3とが設定されている。   The authentication information table held on the authentication server side is set in the authentication logic correspondence table distributed to the user terminal 1 in consideration of the time required for transmission between the user terminal 1 and the authentication server 4 (transmission delay time). The authentication logic used for n hours before and after (for example, 1 hour before and after) is overlapped. For example, in the table shown in FIG. 7, as the authentication logic used in the time zone from 1 o'clock to 2 o'clock, the authentication logic 1-2 in the time zone from 1 o'clock to 2 o'clock in the authentication logic correspondence table of the user terminal 1 The authentication logic 1-1 in the time zone from 0 o'clock to 1 o'clock and the authentication logic 1-3 in the time zone from 2 o'clock to 3 o'clock thereafter are set.

認証部42は、ユーザ識別情報に対応する認証情報テーブルを参照し、図示しない時計部から取得した現在の時刻に対応する認証ロジックを選択する。このように、本実施形態では、ユーザ端末1から受信したユーザ情報と時刻とを用いて、認証ロジックを選択する。   The authentication unit 42 refers to the authentication information table corresponding to the user identification information, and selects an authentication logic corresponding to the current time acquired from a clock unit (not shown). Thus, in this embodiment, an authentication logic is selected using the user information and time received from the user terminal 1.

そして、認証部42は、認証情報テーブルを参照し、選択した認証ロジックの各認証情報の中からS16で受信した種別のユーザ情報に対応する認証情報を特定し、特定した認証情報とS16で受信した認証情報とを照合し、一致するか否かにより認証する(S18)。例えば、図7に示す認証情報テーブルを用いた場合、現在の時刻が1時35分で、S16で受信したユーザ情報がユーザIDの場合、認証情報生成部13は、認証ロジック1−1、1−2、1−3のそれぞれのユーザIDの認証情報を特定し、これらの認証情報とS16でユーザ端末1から受信した認証情報とをそれぞれ照合し、認証情報テーブルから特定したいずれかの認証情報と、S16でユーザ端末1から受信した認証情報とが一致する場合、認証に成功したと判別し、いずれも一致しない場合は認証に失敗したと判別する。   Then, the authentication unit 42 refers to the authentication information table, specifies authentication information corresponding to the type of user information received in S16 from each authentication information of the selected authentication logic, and receives the specified authentication information and S16. The authentication information is verified, and authentication is performed based on whether or not they match (S18). For example, when the authentication information table shown in FIG. 7 is used, if the current time is 1:35 and the user information received in S16 is a user ID, the authentication information generation unit 13 uses the authentication logic 1-1, 1 -2, 1-3 authentication information of each user ID is identified, and these authentication information and the authentication information received from the user terminal 1 in S16 are respectively collated, and any authentication information identified from the authentication information table If the authentication information received from the user terminal 1 in S16 matches, it is determined that the authentication has succeeded, and if both do not match, it is determined that the authentication has failed.

なお、本実施形態の認証処理では、時間の間(例えば2時)にデータが受信された場合、1時〜2時の時間帯の認証ロジック、および、2時〜3時の時間帯の認証ロジックの両方を適用することができる。   In the authentication process of the present embodiment, when data is received during a time (for example, 2 o'clock), the authentication logic for the time zone from 1 o'clock to 2 o'clock and the authentication for the time zone from 2 o'clock to 3 o'clock are performed. Both logic can be applied.

また、本実施形態の認証処理では、ユーザ端末1に対して、例えば図7に示すようにある時間帯(例えば、1時〜2時の時間帯)内で複数の認証ロジックを適用することができ、これにより、一部の認証ロジックの論理不具合が発生しても、業務運用上の支障がでないようにし、可用性を高く保つことができる。   In the authentication process of the present embodiment, a plurality of authentication logics may be applied to the user terminal 1 within a certain time zone (for example, a time zone from 1 o'clock to 2 o'clock) as shown in FIG. As a result, even if some of the authentication logic malfunctions, there is no problem in business operation, and the availability can be kept high.

なお、図7に示す認証情報テーブルでは、あらかじめ生成した認証情報が設定されているが、認証情報テーブルは時間帯と認証ロジックとを対応付けて記憶したテーブルであって、認証部42は、S18において、S17で選択した認証ロジックを認証ロジック記憶部45から読み出して、S16でユーザ端末1から受信したユーザ情報から、S15と同様に認証情報を生成し、照合することとしてもよい。   In the authentication information table shown in FIG. 7, authentication information generated in advance is set. However, the authentication information table is a table in which the time zone and the authentication logic are stored in association with each other. The authentication logic selected in S17 may be read from the authentication logic storage unit 45, and the authentication information may be generated and collated from the user information received from the user terminal 1 in S16 as in S15.

そして、認証部42は、認証結果をユーザ端末1に送信する(S19)。認証に成功した場合(すなわち、いずれかの認証情報と一致した場合)、認証部42は、ユーザ端末1が複数のサービス提供サーバ2へログイン(シングルサインオン)が可能になるように例えば証明書などを、認証に成功した旨の認証結果とともに送信する。   And the authentication part 42 transmits an authentication result to the user terminal 1 (S19). When the authentication is successful (that is, when it matches any of the authentication information), the authenticating unit 42, for example, a certificate so that the user terminal 1 can log in (single sign-on) to the plurality of service providing servers 2. Are transmitted together with the authentication result indicating that the authentication is successful.

また、認証に失敗した場合(すなわち、認証情報が一致しない場合)、認証部42は、認証に失敗した旨の認証結果とともに、S13で入力したユーザ情報とは異なる種類のユーザ情報を入力し、当該ユーザ情報から生成される認証情報を再度、認証サーバ4に送信するようユーザに要求するメッセージを、ユーザ端末1送信することとしてもよい。このように、本実施形態では、複数の種類のユーザ情報の入力が受け付け可能であって、また、ユーザ情報を用いて算出されるハッシュ値に基づいて複数の認証ロジックの中のいずれかの認証ロジックが選択されるため、一部の認証ロジックに論理上の不具合が発生したとしても、別の認証ロジックを選択することで、高い可用性を担保することができる。   When authentication fails (that is, when the authentication information does not match), the authentication unit 42 inputs user information of a type different from the user information input in S13 together with the authentication result indicating that authentication has failed, A message requesting the user to transmit the authentication information generated from the user information to the authentication server 4 again may be transmitted to the user terminal 1. As described above, in this embodiment, input of a plurality of types of user information can be accepted, and any one of a plurality of authentication logics can be authenticated based on a hash value calculated using the user information. Since logic is selected, high availability can be ensured by selecting another authentication logic even if a logical failure occurs in some authentication logic.

ユーザ端末1の送信部14は、認証に成功した旨の認証結果を受信すると、少なくとも1つのサービス提供サーバ2にログイン要求を送信する(S20、S21)。このログイン要求には、例えば、認証サーバから送信されたログインを許可する旨の証明書などが含まれ、サービス提供サーバ2は、当該証明書などを用いてログインを許可し、所定のサービスをユーザ端末1に提供する。   When receiving the authentication result indicating that the authentication is successful, the transmission unit 14 of the user terminal 1 transmits a login request to at least one service providing server 2 (S20, S21). This login request includes, for example, a certificate for permitting login transmitted from the authentication server, and the service providing server 2 permits login using the certificate or the like, and gives a predetermined service to the user. Provided to the terminal 1.

なお、上記説明した図5のS14の認証ロジックの選択において、ハッシュ関数に入力する情報としてS13で入力されたユーザ情報を用いることとした。しかしながらユーザ情報に限定されるものではなく、例えば、ユーザ情報に当該ユーザ端末1に付与されたIPアドレスを付加した情報をハッシュ関数に入力することとしてもよい。ネットワークにアクセスする度に動的に付与されるIPアドレスを用いてハッシュ値を算出することで、より認証強度を高めることができる。また、この場合、S15では、ユーザ情報にIPアドレスを付加した情報から、選択した認証ロジックを用いて認証情報を生成し、S16では、認証情報およびユーザ情報とともに、IPアドレスも認証サーバ4に送信することとしてもよい。   In the above-described selection of the authentication logic in S14 of FIG. 5, the user information input in S13 is used as information input to the hash function. However, the information is not limited to user information. For example, information obtained by adding an IP address assigned to the user terminal 1 to the user information may be input to the hash function. By calculating a hash value using an IP address that is dynamically assigned every time the network is accessed, the authentication strength can be further increased. In this case, in S15, authentication information is generated from the information in which the IP address is added to the user information by using the selected authentication logic. In S16, the IP address is transmitted to the authentication server 4 together with the authentication information and the user information. It is good to do.

以上説明した第1の実施形態では、認証サーバ4が認証情報生成ルールを各ユーザ端末1に配信し、各ユーザ端末1は、認証情報生成ルールに従って複数の認証ロジックの中からいずれかの認証ロジックを選択し、選択した認証ロジックを用いてユーザが入力したユーザ情報から認証情報を生成し、認証サーバ4に送信する。このように、本実施形態では、多様な認証方法を用いることで、セキュリティレベルを向上し、精度の高い認証を行うことができる。   In the first embodiment described above, the authentication server 4 distributes the authentication information generation rule to each user terminal 1, and each user terminal 1 selects one of the plurality of authentication logics according to the authentication information generation rule. The authentication information is generated from the user information input by the user using the selected authentication logic, and is transmitted to the authentication server 4. Thus, in this embodiment, by using various authentication methods, the security level can be improved and highly accurate authentication can be performed.

また、本実施系形態では、複数の認証ロジック中からいずれかの認証ロジックを選択することで、使用される認証ロジックを変動させ、ネットワーク上を流れる認証情報を見ても、認証ロジックが推測させることを防止することができる。また、複数の認証ロジックでの認証を可能とすることで、可用性を向上することができる。また、認証ロジックを動的に変動させることにより、解読方法の特定を困難にし、認証情報の盗聴による悪用を防止することができる。   Also, in this embodiment, by selecting one of a plurality of authentication logics, the authentication logic to be used is changed, and the authentication logic infers even by looking at the authentication information flowing on the network. This can be prevented. In addition, availability can be improved by enabling authentication with a plurality of authentication logics. Further, by dynamically changing the authentication logic, it is difficult to specify the decryption method, and misuse due to wiretapping of authentication information can be prevented.

また、本実施形態では、ユーザが入力したユーザ情報および時刻を用いて複数の認証ロジックの中から使用する認証ロジックを選択し、選択した認証ロジックを用いて認証情報を生成する。これにより、ユーザが入力するユーザ情報が同じものであっても、時刻に応じて選択される認証ロジックが異なるため、認証情報の生成方法を変えることができる。   In this embodiment, an authentication logic to be used is selected from a plurality of authentication logics using user information and time input by the user, and authentication information is generated using the selected authentication logics. Thereby, even if the user information input by the user is the same, the authentication logic selected in accordance with the time is different, so that the method for generating authentication information can be changed.

また、本実施形態では、ユーザは、複数の異なる種類のユーザ情報の中から任意のユーザ情報を入力し、当該ユーザ情報を用いて複数の認証ロジックの中から使用する認証ロジックを選択し、選択した認証ロジックを用いて認証情報を生成する。これにより、ユーザが、異なる種類のユーザ情報を入力することで選択される認証ロジックが異なるため、認証情報の生成方法を変えることができる。   In this embodiment, the user inputs arbitrary user information from a plurality of different types of user information, selects the authentication logic to be used from the plurality of authentication logics using the user information, and selects Authentication information is generated using the authentication logic. Thereby, since the authentication logic selected when a user inputs different types of user information differs, the method for generating authentication information can be changed.

また、本実施形態では、認証サーバ4は、所定のタイミングで各ユーザ端末1に認証情報生成ルールを配信することで、所定のタイミングで認証情報の生成方法を変更することができる。また、ユーザ端末1毎に異なる認証情報生成ルールを配信することで、ユーザ端末1毎に認証情報の生成方法を変えることができる。   In the present embodiment, the authentication server 4 can change the method for generating authentication information at a predetermined timing by distributing the authentication information generation rule to each user terminal 1 at a predetermined timing. Also, by distributing different authentication information generation rules for each user terminal 1, the method for generating authentication information can be changed for each user terminal 1.

また、本実施形態の認証サーバ4は、現用機と予備機とを備え、予備機が用いる認証ロジックは、現用機が用いる認証ロジックと異なる。これにより、可用性を向上することができる。   Further, the authentication server 4 of this embodiment includes an active machine and a spare machine, and the authentication logic used by the spare machine is different from the authentication logic used by the active machine. Thereby, availability can be improved.

<第2の実施形態>
本発明の第2の実施形態は、ユーザ端末1ではなくサービス提供サーバ2が認証ロジックを保持し、認証情報を生成するものである。本実施形態の認証システムは、第1の実施形態の認証システム(図1参照)と同様に、ユーザ端末1と、複数のサービス提供サーバ2と、負荷分散装置3と、認証サーバ4(現用機)と、認証サーバ5(予備機)とを備える。 <Second Embodiment>
In the second embodiment of the present invention, not the user terminal 1 but the service providing server 2 holds the authentication logic and generates authentication information. As in the authentication system of the first embodiment (see FIG. 1), the authentication system of the present embodiment is a user terminal 1, a plurality of service providing servers 2, a load distribution device 3, and an authentication server 4 (active machine). ) And an authentication server 5 (preliminary machine).

図8は、本実施形態のサービス提供サーバ2の構成を示すブロック図である。図示するサービス提供サーバ2は、認証情報生成ルール管理部21と、ログイン要求受付部22と、認証情報生成部23と、送信部24と、サービス提供部25と、記憶部26とを備える。   FIG. 8 is a block diagram showing the configuration of the service providing server 2 of the present embodiment. The service providing server 2 illustrated includes an authentication information generation rule management unit 21, a login request reception unit 22, an authentication information generation unit 23, a transmission unit 24, a service provision unit 25, and a storage unit 26.

認証情報生成ルール管理部21は、所定のタイミングで認証サーバ4から配信される認証情報生成ルールを受信し、記憶部26に記憶する。認証情報生成ルールには、第1の実施形態と同様であって、複数の認証ロジックなどの認証情報を生成するためのルールが設定されている。   The authentication information generation rule management unit 21 receives the authentication information generation rule distributed from the authentication server 4 at a predetermined timing and stores it in the storage unit 26. The authentication information generation rule is the same as that of the first embodiment, and a rule for generating authentication information such as a plurality of authentication logics is set.

ログイン要求受付部22は、複数の異なる種類のユーザ情報の中からユーザが入力したいずれかのユーザ情報をユーザ端末1から受け付ける。ユーザ情報としては、例えば、ユーザID(社員番号)、ICカード情報、指紋などの生体情報、メールアドレスなど、様々な個人情報を用いることが考えられる。   The login request receiving unit 22 receives any user information input by the user from a plurality of different types of user information from the user terminal 1. As the user information, for example, various personal information such as a user ID (employee number), IC card information, biometric information such as a fingerprint, and an e-mail address can be used.

認証情報生成部23は、記憶部26に記憶された認証情報生成ルールに従って、複数の認証ロジックの中からいずれかの認証ロジックを選択し、ユーザ端末1から送信されたユーザ情報から選択した認証ロジックを用いて認証情報を生成する。   The authentication information generation unit 23 selects one of the plurality of authentication logics according to the authentication information generation rule stored in the storage unit 26 and selects the authentication logic selected from the user information transmitted from the user terminal 1 Authentication information is generated using.

送信部24は、認証情報生成部23が生成した認証情報を、ネットワークを介して認証サーバ4に送信する。   The transmission unit 24 transmits the authentication information generated by the authentication information generation unit 23 to the authentication server 4 via the network.

なお、本実施形態では、サービス提供サーバ2が、認証サーバ4から配信される認証情報生成ルールを保持し、認証情報を生成するため、本実施形態のユーザ端末1は、図2に示す第1の実施形態のユーザ端末1の機能のうち、複数の異なる種類のユーザ情報の中からユーザが入力したいずれかのユーザ情報を受け付ける入力受付部12を有する。また、本実施形態の認証サーバ4は、第1の実施形態の認証サーバ4と同様であるが、配信部41は、認証情報生成ルールを各サービス提供サーバ2に配信する。   In the present embodiment, since the service providing server 2 holds the authentication information generation rule distributed from the authentication server 4 and generates the authentication information, the user terminal 1 of the present embodiment has the first function shown in FIG. Among the functions of the user terminal 1 of the embodiment, the input terminal 12 receives any user information input by the user from a plurality of different types of user information. The authentication server 4 of this embodiment is the same as the authentication server 4 of the first embodiment, but the distribution unit 41 distributes the authentication information generation rule to each service providing server 2.

次に、本実施形態の処理について説明する。   Next, the processing of this embodiment will be described.

図9は、本実施形態の認証処理を示すシーケンス図である。   FIG. 9 is a sequence diagram showing the authentication processing of this embodiment.

認証サーバ4の配信部41は、あらかじめ各サービス提供サーバ2に認証情報生成ルールを配信する(S31)。サービス提供サーバ2の認証情報生成ルール管理部21は、配信された認証情報生成ルールを記憶部26に記憶する。なお、配信部41は、サービス提供サーバ2毎に異なる認証情報生成ルールを、所定のタイミングで配信するものとする。   The distribution unit 41 of the authentication server 4 distributes the authentication information generation rule to each service providing server 2 in advance (S31). The authentication information generation rule management unit 21 of the service providing server 2 stores the distributed authentication information generation rule in the storage unit 26. The distribution unit 41 distributes authentication information generation rules that differ for each service providing server 2 at a predetermined timing.

サービス提供サーバ2のログイン要求受付部22は、ログイン要求をユーザから受け付け(S32)、ユーザ情報の入力を促す入力画面をディスプレイに表示する(S33)。ユーザ端末1の入力受付部は、ユーザが入力したいずれかの種類のユーザ情報を受け付け、サービス提供サーバ2に送信する(S34)。   The login request receiving unit 22 of the service providing server 2 receives a login request from the user (S32), and displays an input screen for prompting input of user information (S33). The input receiving unit of the user terminal 1 receives any type of user information input by the user and transmits it to the service providing server 2 (S34).

なお、認証情報生成ルールは、S31であらかじめ配信される場合だけでなく、S32の認証要求を受け付けたタイミングで、認証情報生成ルール管理部21が認証サーバ4にアクセスし、認証サーバ4から認証情報生成ルールを取得することとしてもよい。   The authentication information generation rule is not only distributed in advance in S31, but the authentication information generation rule management unit 21 accesses the authentication server 4 at the timing when the authentication request in S32 is received. It is good also as acquiring a production | generation rule.

認証情報生成部23は、記憶部26に記憶された認証情報生成ルールを読み出し、使用する認証ロジックを選択する(S35)。具体的には、認証情報生成ルールに含まれる、認証ロジックの選択に用いる情報を特定し、当該情報をハッシュ関数に入力してハッシュ値を算出する。認証ロジックの選択については、第1の実施形態の図4のS14と同様である。   The authentication information generation unit 23 reads the authentication information generation rule stored in the storage unit 26 and selects an authentication logic to be used (S35). Specifically, information used for selecting an authentication logic included in the authentication information generation rule is specified, and the information is input to a hash function to calculate a hash value. The selection of the authentication logic is the same as S14 in FIG. 4 of the first embodiment.

そして、認証情報生成部23は、S35で選択した認証ロジックを用いて、S34でユーザ端末1から受信したユーザ情報から認証情報を生成する(S36)。すなわち、ユーザ情報を、選択した認証ロジック(一方向性関数など)に入力して認証情報を生成する。   And the authentication information production | generation part 23 produces | generates authentication information from the user information received from the user terminal 1 by S34 using the authentication logic selected by S35 (S36). That is, user information is input to selected authentication logic (such as a one-way function) to generate authentication information.

そして、送信部24は、生成した認証情報と、認証情報の生成に用いたユーザ情報とを、認証サーバ4に送信する(S37)。   Then, the transmission unit 24 transmits the generated authentication information and the user information used for generating the authentication information to the authentication server 4 (S37).

認証サーバ4の認証部42は、負荷分散装置3を介して、サービス提供サーバ2から認証情報およびユーザ情報を受信し、ユーザ情報を用いて認証ロジックを選択し(S38)、認証情報の照合および認証を行う(S39)。認証ロジックの選択(S38)および認証(S39)については、第1の実施形態の図4のS17およびS18と同様であるため、ここでは説明を省略する。   The authentication unit 42 of the authentication server 4 receives the authentication information and the user information from the service providing server 2 via the load balancer 3, selects an authentication logic using the user information (S38), Authentication is performed (S39). Since the selection of the authentication logic (S38) and the authentication (S39) are the same as S17 and S18 of FIG. 4 of the first embodiment, description thereof is omitted here.

そして、認証部42は、認証結果をサービス提供サーバ2に送信する(S40)。認証に成功した場合(すなわち、認証情報が一致した場合)、認証部42は、ユーザ端末1が複数のサービス提供サーバ2へログイン(シングルサインオン)が可能になるように、例えば証明書などを認証に成功した旨の認証結果とともにサービス提供サーバ2に送信する。   And the authentication part 42 transmits an authentication result to the service provision server 2 (S40). When the authentication is successful (that is, when the authentication information matches), the authentication unit 42 uses, for example, a certificate so that the user terminal 1 can log in (single sign-on) to the plurality of service providing servers 2. The result is transmitted to the service providing server 2 together with the authentication result indicating that the authentication is successful.

サービス提供サーバ2のサービス提供部25は、認証に成功した旨の認証結果を受信すると、ユーザ端末1のログインを許可し、ログイン完了通知をユーザ端末1に送信する(S41)。これにより、サービス提供サーバ2のサービス提供部25は、所定のサービスをユーザ端末1に提供する。また、サービス提供部25は、ログイン完了通知とともに、認証サーバ4から受信した証明書をユーザ端末1に送信することで、ユーザ端末1は、他のサービス提供サーバ2へのログイン要求時に当該証明書を送信することで、認証処理を行うことなくログインすることができる。   When the service providing unit 25 of the service providing server 2 receives the authentication result indicating that the authentication is successful, the service providing unit 25 permits the user terminal 1 to log in and transmits a login completion notification to the user terminal 1 (S41). Thereby, the service providing unit 25 of the service providing server 2 provides a predetermined service to the user terminal 1. In addition, the service providing unit 25 transmits the certificate received from the authentication server 4 together with the login completion notification to the user terminal 1, so that the user terminal 1 receives the certificate at the time of a login request to another service providing server 2. Can be logged in without performing authentication processing.

一方、認証に失敗した場合(すなわち、認証情報が一致しない場合)、認証サーバ4の認証部42は、認証に失敗した旨の認証結果とともに、S34で入力したユーザ情報とは異なる種類のユーザ情報を入力し、当該ユーザ情報から生成される認証情報を再度、認証サーバ4に送信するよう要求するメッセージを、サービス提供サーバ2に送信することとしてもよい。これにより、サービス提供サーバ2の送信部24は、当該メッセージをユーザ端末1に送信し、ユーザに他の種類のユーザ情報の入力を促す。   On the other hand, when the authentication fails (that is, when the authentication information does not match), the authentication unit 42 of the authentication server 4 includes the authentication result indicating that the authentication has failed and the user information of a type different from the user information input in S34. And a message requesting that the authentication information generated from the user information be transmitted again to the authentication server 4 may be transmitted to the service providing server 2. Thereby, the transmission unit 24 of the service providing server 2 transmits the message to the user terminal 1 and prompts the user to input other types of user information.

以上説明した第2の実施形態では、認証サーバ4が認証情報生成ルールを各サービス提供サーバ2に配信し、各サービス提供サーバ2は、認証情報生成ルールに従って複数の認証ロジックの中からいずれかの認証ロジックを選択し、選択した認証ロジックを用いてユーザが入力したユーザ情報から認証情報を生成し、認証サーバ4に送信する。このように、本実施形態では、多様な認証方法を用いることで、セキュリティレベルを向上し、精度の高い認証を行うことができる。また、第2の実施形態においても、第1の実施形態と同様の効果を得ることができる。   In the second embodiment described above, the authentication server 4 distributes the authentication information generation rule to each service providing server 2, and each service providing server 2 selects one of a plurality of authentication logics according to the authentication information generation rule. An authentication logic is selected, authentication information is generated from user information input by the user using the selected authentication logic, and is transmitted to the authentication server 4. Thus, in this embodiment, by using various authentication methods, the security level can be improved and highly accurate authentication can be performed. Also in the second embodiment, the same effect as in the first embodiment can be obtained.

なお、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。   In addition, this invention is not limited to the said embodiment, Many deformation | transformation are possible within the range of the summary.

1 :ユーザ端末
11:認証情報生成ルール管理部
12:入力受付部
13:認証情報生成部
14:送信部
15:記憶部
2 :サービス提供サーバ
21:認証情報生成ルール管理部
22:ログイン要求受付部
23:認証情報生成部
24:送信部
25:サービス提供部
26:記憶部
3 :負荷分散装置
4、5:認証サーバ
41:配信部
42:認証部
43:ユーザ情報記憶部
44:認証情報記憶部
45:認証ロジック記憶部 1: User terminal 11: Authentication information generation rule management unit 12: Input reception unit 13: Authentication information generation unit 14: Transmission unit 15: Storage unit 2: Service providing server 21: Authentication information generation rule management unit 22: Login request reception unit 23: Authentication information generation unit 24: Transmission unit 25: Service providing unit 26: Storage unit 3: Load distribution device 4, 5: Authentication server 41: Distribution unit 42: Authentication unit 43: User information storage unit 44: Authentication information storage unit 45: Authentication logic storage unit

Claims (8)

サービスを提供する複数のサービス提供装置にアクセスする端末と、前記端末を使用するユーザを認証する認証装置とを備える認証システムであって、
前記認証装置は、
複数の認証ロジックを含む認証情報生成ルールを、前記端末に配信する配信手段と、
前記端末から認証情報を受信し、当該認証情報を認証する認証手段と、を備え、
前記端末は、
前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成手段と、
生成した認証情報を前記認証装置に送信する送信手段と、を備えること
を特徴とする認証システム。 An authentication system comprising: a terminal that accesses a plurality of service providing devices that provide services; and an authentication device that authenticates a user who uses the terminal,
The authentication device
A distribution means for distributing an authentication information generation rule including a plurality of authentication logics to the terminal;
Receiving authentication information from the terminal, and authenticating means for authenticating the authentication information,
The terminal
An authentication information generating unit that selects any one of the plurality of authentication logics according to the authentication information generation rule, and generates authentication information using the selected authentication logic from input user information;
An authentication system comprising: a transmission unit configured to transmit the generated authentication information to the authentication device . 請求項1記載の認証システムであって、
前記端末の認証情報生成手段は、前記ユーザ情報および時刻を用いて前記複数の認証ロジックの中から使用する認証ロジックを選択し、
前記認証装置の認証手段は、前記端末から認証情報とともにユーザ情報を受信し、当該ユーザ情報および時刻を用いて選択された認証ロジックから生成された認証情報と、前記端末から受信した認証情報とを照合して認証すること
を特徴とする認証システム。 The authentication system according to claim 1,
The authentication information generating means of the terminal selects an authentication logic to be used from the plurality of authentication logics using the user information and time,
The authentication unit of the authentication device receives user information together with authentication information from the terminal, and generates authentication information generated from an authentication logic selected using the user information and time, and authentication information received from the terminal. An authentication system characterized by verification by verification. 請求項1または2記載の認証システムであって、
前記認証装置の配信手段は、所定のタイミングで前記認証情報生成ルールを配信し、認証情報の生成方法を変更すること
を特徴とする認証システム。 The authentication system according to claim 1 or 2,
The authentication system is characterized in that the distribution means of the authentication device distributes the authentication information generation rule at a predetermined timing and changes a method for generating authentication information. 請求項1から3のいずれか一項に記載の認証システムであって、
前記端末は、
複数の種類のユーザ情報の中のいずれかのユーザ情報を受け付けるユーザ情報受付手段をさらに備え、
前記認証装置の認証手段は、認証情報の認証に失敗した場合、異なる種類のユーザ情報から生成される認証情報を前記端末に要求すること
を特徴とする認証システム。 The authentication system according to any one of claims 1 to 3,
The terminal
A user information receiving means for receiving any one of the plurality of types of user information;
The authentication unit of the authentication device requests authentication information generated from different types of user information from the terminal when authentication of authentication information fails. 請求項1から4のいずれか一項に記載の認証システムであって、
前記認証装置は、現用機と予備機とを備え、
前記予備機が用いる認証ロジックは、前記現用機が用いる認証ロジックと異なること
を特徴とする認証システム。 The authentication system according to any one of claims 1 to 4,
The authentication device includes an active machine and a spare machine,
The authentication system used by the spare machine is different from the authentication logic used by the active machine. 端末にサービスを提供する複数のサービス提供装置と、前記端末を使用するユーザを認証する認証装置とを備える認証システムであって、
前記認証装置は、
複数の認証ロジックを含む認証情報生成ルールを、前記サービス提供装置に配信する配信手段と、
前記サービス提供装置から認証情報を受信し、当該認証情報を認証する認証手段と、を備え、
前記サービス提供装置は、
前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、前記端末で入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成手段と、
生成した認証情報を前記認証装置に送信する送信手段と、を備えること
を特徴とする認証システム。 An authentication system comprising a plurality of service providing devices that provide services to a terminal, and an authentication device that authenticates a user who uses the terminal,
The authentication device
A distribution means for distributing an authentication information generation rule including a plurality of authentication logics to the service providing device;
Receiving authentication information from the service providing apparatus, and authenticating means for authenticating the authentication information,
The service providing apparatus includes:
Authentication information generating means for selecting any one of the plurality of authentication logics according to the authentication information generation rule, and generating authentication information using the selected authentication logic from the user information input at the terminal; ,
An authentication system comprising: a transmission unit configured to transmit the generated authentication information to the authentication device . サービスを提供する複数のサービス提供装置にアクセスする端末と、前記端末を使用するユーザを認証する認証装置とを備える認証システムが行う認証方法であって、
前記認証装置は、
複数の認証ロジックを含む認証情報生成ルールを、前記端末に配信する配信ステップと、
前記端末から認証情報を受信し、当該認証情報を認証する認証ステップと、を行い、
前記端末は、
前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成ステップと、
生成した認証情報を前記認証装置に送信する送信ステップと、を行うこと
を特徴とする認証方法。 An authentication method performed by an authentication system comprising: a terminal that accesses a plurality of service providing apparatuses that provide services; and an authentication apparatus that authenticates a user who uses the terminal,
The authentication device
A distribution step of distributing an authentication information generation rule including a plurality of authentication logics to the terminal;
Receiving authentication information from the terminal and authenticating the authentication information, and
The terminal
An authentication information generation step of selecting any authentication logic from the plurality of authentication logics according to the authentication information generation rule, and generating authentication information using the selected authentication logic from input user information;
And a transmitting step of transmitting the generated authentication information to the authentication device . 端末にサービスを提供する複数のサービス提供装置と、前記端末を使用するユーザを認証する認証装置とを備える認証システムが行う認証方法であって、
前記認証装置は、
複数の認証ロジックを含む認証情報生成ルールを、前記サービス提供装置に配信する配信ステップと、
前記サービス提供装置から認証情報を受信し、当該認証情報を認証する認証ステップと、を行い、
前記サービス提供装置は、
前記認証情報生成ルールに従って前記複数の認証ロジックの中からいずれかの認証ロジックを選択し、前記端末で入力されたユーザ情報から前記選択した認証ロジックを用いて認証情報を生成する認証情報生成ステップと、
生成した認証情報を前記認証装置に送信する送信ステップと、を行うこと
を特徴とする認証方法。 An authentication method performed by an authentication system comprising a plurality of service providing devices that provide services to a terminal and an authentication device that authenticates a user who uses the terminal,
The authentication device
A distribution step of distributing an authentication information generation rule including a plurality of authentication logics to the service providing device;
Receiving authentication information from the service providing apparatus and performing an authentication step of authenticating the authentication information;
The service providing apparatus includes:
An authentication information generation step of selecting any one of the plurality of authentication logics according to the authentication information generation rule, and generating authentication information using the selected authentication logic from the user information input at the terminal; ,
And a transmitting step of transmitting the generated authentication information to the authentication device .
JP2013093379A 2013-04-26 2013-04-26 Authentication system and authentication method Active JP6081857B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013093379A JP6081857B2 (en) 2013-04-26 2013-04-26 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013093379A JP6081857B2 (en) 2013-04-26 2013-04-26 Authentication system and authentication method

Publications (2)

Publication Number Publication Date
JP2014215853A JP2014215853A (en) 2014-11-17
JP6081857B2 true JP6081857B2 (en) 2017-02-15

Family

ID=51941548

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013093379A Active JP6081857B2 (en) 2013-04-26 2013-04-26 Authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP6081857B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888195B (en) 2015-12-16 2020-05-05 阿里巴巴集团控股有限公司 Verification method and device
CN105743893B (en) 2016-01-29 2018-10-23 大连秘阵科技有限公司 One-time dynamic positioning authentication method, system and password changing method
JP6457471B2 (en) 2016-12-12 2019-01-23 ファナック株式会社 Operator identification system
JP7344369B2 (en) * 2020-03-18 2023-09-13 日立Astemo株式会社 Verification device

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003248661A (en) * 2002-02-25 2003-09-05 Sony Corp Authentication processor, authentication processing method, information processor, information processing method, authentication processing system, recording medium and program
JP4892011B2 (en) * 2007-02-07 2012-03-07 日本電信電話株式会社 Client device, key device, service providing device, user authentication system, user authentication method, program, recording medium
JP2009246417A (en) * 2008-03-28 2009-10-22 Hitachi Ltd Authentication server, program, authentication system, and authentication method
JP5679567B2 (en) * 2011-03-31 2015-03-04 西日本電信電話株式会社 Authentication support apparatus and authentication support method
JP2013073416A (en) * 2011-09-28 2013-04-22 Hitachi Ltd Authentication repeating apparatus, authentication repeating system and authentication repeating method

Also Published As

Publication number Publication date
JP2014215853A (en) 2014-11-17

Similar Documents

Publication Publication Date Title
US7698736B2 (en) Secure delegation using public key authentication
US9094212B2 (en) Multi-server authentication token data exchange
CN108183907A (en) A kind of authentication method, server and Verification System
CN112671720B (en) Token construction method, device and equipment for cloud platform resource access control
WO2019239591A1 (en) Authentication system, authentication method, application provision device, authentication device, and authentication program
CN108880821B (en) Authentication method and equipment of digital certificate
US9124571B1 (en) Network authentication method for secure user identity verification
JP2001326632A (en) Distribution group management system and method
JP6081857B2 (en) Authentication system and authentication method
US8875244B1 (en) Method and apparatus for authenticating a user using dynamic client-side storage values
CN111988262B (en) Authentication method, authentication device, server and storage medium
CN113505353A (en) Authentication method, device, equipment and storage medium
CN109257381A (en) A kind of key management method, system and electronic equipment
JP2009003501A (en) Onetime password authentication system
JP6087480B1 (en) Authentication device, authentication system, and authentication program
EP2916509B1 (en) Network authentication method for secure user identity verification
JP2012079231A (en) Authentication information management device and authentication information management method
JP5793593B2 (en) Network authentication method for securely verifying user identification information
CN112653676B (en) Identity authentication method and equipment crossing authentication system
JP2019134333A (en) Information processing system, client device, authentication and authorization server, control method, and program thereof
US11570163B2 (en) User authentication system
TWI698113B (en) Identification method and systerm of electronic device
JP2018037025A (en) Program, authentication system, and authentication cooperative system
JP6364957B2 (en) Information processing system, information processing method, and program
JP6398308B2 (en) Information processing system, information processing method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161101

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170119

R150 Certificate of patent or registration of utility model

Ref document number: 6081857

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250