JP6190106B2 - Authentication system, authentication apparatus, authentication method, and program - Google Patents

Authentication system, authentication apparatus, authentication method, and program Download PDF

Info

Publication number
JP6190106B2
JP6190106B2 JP2012253660A JP2012253660A JP6190106B2 JP 6190106 B2 JP6190106 B2 JP 6190106B2 JP 2012253660 A JP2012253660 A JP 2012253660A JP 2012253660 A JP2012253660 A JP 2012253660A JP 6190106 B2 JP6190106 B2 JP 6190106B2
Authority
JP
Japan
Prior art keywords
authentication
request
information
user
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012253660A
Other languages
Japanese (ja)
Other versions
JP2014102647A (en
Inventor
歩 淺野
歩 淺野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2012253660A priority Critical patent/JP6190106B2/en
Publication of JP2014102647A publication Critical patent/JP2014102647A/en
Application granted granted Critical
Publication of JP6190106B2 publication Critical patent/JP6190106B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、複数の認証方式を用いた認証技術に関する。   The present invention relates to an authentication technique using a plurality of authentication methods.

複数の認証情報を用いてユーザや機器を認証する仕組みがある。例えば、複数の認証情報を用いることでより高いセキュリティを確保する技術や、複数の認証の過程を1度経ることにより以降は最初の認証だけ行い利便性を高める技術がある。   There is a mechanism for authenticating a user or device using a plurality of authentication information. For example, there are a technique for ensuring higher security by using a plurality of authentication information, and a technique for improving convenience by performing only a first authentication after a plurality of authentication processes.

特許文献1には、携帯端末ごとに固有の第1の認証情報と、携帯端末ごとに生成した第2の認証情報とを用いて、第1の認証情報を用いた認証が成功した場合に携帯端末との通信を許可し、第2の認証情報を用いた認証処理を行うシステムが記載されている。また、特許文献2には、端末装置に搭載されたアプリケーションを使用するための第1の認証手段と、外部サービスを使用するための第2の認証手段とを備える認証装置が記載されている。特許文献2に記載の認証装置は、第1の認証と第2の認証の両方の認証に成功した場合に得られる認証子を用いてユーザのログイン操作を簡略化する。   In Patent Document 1, the first authentication information unique to each portable terminal and the second authentication information generated for each portable terminal are used, and when the authentication using the first authentication information succeeds, A system that permits communication with a terminal and performs authentication processing using second authentication information is described. Patent Document 2 describes an authentication device that includes a first authentication unit for using an application installed in a terminal device and a second authentication unit for using an external service. The authentication device described in Patent Literature 2 simplifies a user login operation using an authenticator obtained when both the first authentication and the second authentication are successful.

また、非特許文献1ではHTTPダイジェスト認証とWS−Securityの2つの認証を用いて、過去に公開されたONVIFの仕様において使用されていた認証方式と互換性を保つ方法が開示されている。   Non-Patent Document 1 discloses a method of maintaining compatibility with an authentication method used in the specification of ONVIF published in the past by using two authentications of HTTP digest authentication and WS-Security.

特開2009−123059号公報JP 2009-123059 A 特開2009−223739号公報JP 2009-223739 A

ONVIF Core Spec. Ver. 2.2 pp. 30−31ONVIF Core Spec. Ver. 2.2 pp. 30-31

また、非特許文献1の技術では、Webサーバにおいて、HTTPダイジェストの認証情報とWSS(WS−Security)の両方の認証情報の有無を調べることが要求される。そして、非特許文献1の技術では、WSSの認証情報が含まれていた場合は、HTTPダイジェスト認証の認証情報が含まれていなくても、HTTPダイジェスト認証は行わずにWSSの認証情報だけで認証処理を行う。しかしながら、非特許文献1に記載の認証方法において、認証の利便性を高めるために特許文献1又は特許文献2に記載の技術を適用することは困難である。   Further, in the technique of Non-Patent Document 1, it is required that the Web server checks the presence / absence of both HTTP digest authentication information and WSS (WS-Security) authentication information. In the technique of Non-Patent Document 1, if WSS authentication information is included, even if HTTP digest authentication authentication information is not included, HTTP digest authentication is not performed and authentication is performed using only WSS authentication information. Process. However, in the authentication method described in Non-Patent Document 1, it is difficult to apply the technique described in Patent Document 1 or Patent Document 2 in order to enhance the convenience of authentication.

本発明は上記課題に鑑みなされたものであり、認証の利便性を高めながら、Webサービスを処理する技術を提供することを目的とする。   The present invention has been made in view of the above problems, and an object of the present invention is to provide a technique for processing a Web service while improving the convenience of authentication.

上記目的を達成するため、本発明によるユーザ認証処理を実行する認証システムにおける第1の認証装置ライアント装置からのリクエスト第1の認証情報が含まれる場合に、その第1の認証情報を用いてユーザ認証処理を実行する第1認証手段と、前記リクエストに前記第1の認証情報とは異なる第2の認証情報が含まれるか判定する判定手段と、前記判定手段によって前記リクエストに第2の認証情報が含まれると判定された場合に、その第2の認証情報を用いてユーザ認証処理を実行する第2認証手段を有する第2の認証装置へと、前記第2の認証情報を含む情報を送信する送信手段と、を有する。
To achieve the above object, a first authentication device in the authentication system to perform user authentication processing according to the present invention, if it contains the first authentication information to the request from the client device, the first authentication information A first authenticating unit that executes a user authentication process using the determination unit; a determining unit that determines whether the request includes second authentication information different from the first authentication information; If the authentication information is determined to be included , the second authentication information is included in the second authentication device having the second authentication means for executing the user authentication process using the second authentication information. Transmitting means for transmitting information .

本発明によれば、複数の認証方式を用いて認証を実行する際に、認証の利便性を向上させることができる。   According to the present invention, it is possible to improve the convenience of authentication when performing authentication using a plurality of authentication methods.

実施形態1のWebサービスシステムの構成図。1 is a configuration diagram of a Web service system according to a first embodiment. 実施形態1のWebサーバの認証処理を示すフローチャート。5 is a flowchart showing authentication processing of the Web server according to the first embodiment. 実施形態1のWebサービス処理部の処理を示すフローチャート。5 is a flowchart showing processing of a Web service processing unit according to the first embodiment. 実施形態2のWebサービスシステムの構成図。FIG. 3 is a configuration diagram of a Web service system according to a second embodiment. 実施形態2のWebサーバの認証処理を示すフローチャート。9 is a flowchart showing authentication processing of the Web server according to the second embodiment.

以下、添付図面を参照して本発明の実施の形態を詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

<<実施形態1>>
(システム構成)
本実施形態に係るWebサービスシステムの構成を図1に示す。Webサービスシステムは、例えば、第1の装置であるWebサーバ11と、第2の装置であるWebサービス処理装置12とを含む。そして、Webサーバ11の第1認証処理部1とWebサービス処理装置12の第2認証処理部2とにより、ユーザ認証システムを構築する。Webサーバ11は、ユーザクライアント13から、HTMLメッセージ14によるWebサービスのリクエストを受け付ける。なお、Webサーバ11とWebサービス処理装置12とを、第1の装置及び第2の装置など、別の装置のように記載しているが、これらのWebサービスシステムの全体は、PCなどの1つの装置の中に含まれてもよい。 << Embodiment 1 >>
(System configuration)
FIG. 1 shows the configuration of the Web service system according to the present embodiment. The Web service system includes, for example, a Web server 11 that is a first device and a Web service processing device 12 that is a second device. Then, a user authentication system is constructed by the first authentication processing unit 1 of the Web server 11 and the second authentication processing unit 2 of the Web service processing device 12. The web server 11 accepts a web service request by the HTML message 14 from the user client 13. The Web server 11 and the Web service processing device 12 are described as different devices such as the first device and the second device. However, the entire Web service system includes a PC or the like. It may be included in one device.

第1認証処理部1は、HTMLのユーザ認証の仕組みであるHTMLダイジェスト認証(第1の認証処理)を実行する。第1認証処理部1は、第1の認証情報であるHTMLダイジェスト認証の認証情報の有無の判定と認証処理とを実行する。そして、Webサーバ11は、不図示の送信部により、SOAPメッセージ15をWebサービス処理装置12へ送信する。なお、SOAPメッセージ15には、HTMLメッセージ14を構成する少なくとも一部の情報(例えばボディ部分)が含まれる。   The first authentication processing unit 1 executes HTML digest authentication (first authentication processing) which is a mechanism of HTML user authentication. The first authentication processing unit 1 executes determination of presence / absence of authentication information for HTML digest authentication, which is first authentication information, and authentication processing. Then, the Web server 11 transmits the SOAP message 15 to the Web service processing device 12 by a transmission unit (not shown). Note that the SOAP message 15 includes at least a part of information (for example, a body part) constituting the HTML message 14.

Webサービス処理装置12はWebサービスの処理を行うモジュールで、Webサービスのユーザ認証の仕組みであるWS−Security認証(WSS認証)(第2の認証処理)を行う第2認証処理部2を含む。第2認証処理部2は、XMLで記載されたSOAPメッセージ15を解析するエンジンを備え、第2の認証情報であるWSS認証の認証情報の有無の判定と認証処理とを実行する。Webサービス処理装置12は、ユーザクライアント13からのWebサービスの要求を処理し、Webサーバ11を通して処理結果をユーザクライアント13へ送信する。   The Web service processing device 12 is a module that performs Web service processing, and includes a second authentication processing unit 2 that performs WS-Security authentication (WSS authentication) (second authentication processing), which is a Web service user authentication mechanism. The second authentication processing unit 2 includes an engine that analyzes the SOAP message 15 described in XML, and executes determination of presence / absence of authentication information of WSS authentication that is second authentication information and authentication processing. The Web service processing device 12 processes a Web service request from the user client 13 and transmits the processing result to the user client 13 through the Web server 11.

Webサーバ11は、SOAPメッセージ15(HTMLメッセージ14のボディ)を解析し、第2の認証情報であるWSS認証の認証情報の有無を判定する。そして、WSS認証の認証情報がある場合は、送信部により、SOAPメッセージ15をWebサービス処理装置12へ送信する。   The Web server 11 analyzes the SOAP message 15 (the body of the HTML message 14), and determines the presence / absence of authentication information for WSS authentication, which is the second authentication information. If there is authentication information for WSS authentication, the transmission unit transmits the SOAP message 15 to the Web service processing apparatus 12.

図2は、Webサーバ11内の第1認証処理部1の処理の詳細を示すフローチャートである。Webサーバ11は、ユーザクライアント13からHTMLメッセージ14を受信すると、そのHTMLメッセージを解析してHTTPダイジェスト認証の認証ヘッダが含まれるかどうかを判定する(S21)。HTTPダイジェスト認証の認証ヘッダが含まれている場合(S21でYes)、Webサーバ11は、HTTPダイジェスト認証の処理を実行し(S22)、HTTPダイジェスト認証の結果を判定する(S23)。そして、HTTPダイジェスト認証に失敗した場合(S23でNo)は、Webサーバ11は、ユーザクライアント13へ、HTTP400エラー(Bad Request)を返し、HTTPダイジェスト認証が失敗したことを通知する(S24)。HTTPダイジェスト認証に成功した場合(S23でYes)、Webサーバ11は、SOAPメッセージ15をWebサービス処理装置へ送信する(S25)。   FIG. 2 is a flowchart showing details of processing of the first authentication processing unit 1 in the Web server 11. When receiving the HTML message 14 from the user client 13, the Web server 11 analyzes the HTML message and determines whether or not an HTTP digest authentication authentication header is included (S21). If the HTTP digest authentication header is included (Yes in S21), the Web server 11 executes the HTTP digest authentication process (S22), and determines the result of the HTTP digest authentication (S23). If the HTTP digest authentication has failed (No in S23), the Web server 11 returns an HTTP 400 error (Bad Request) to the user client 13 to notify that the HTTP digest authentication has failed (S24). When the HTTP digest authentication is successful (Yes in S23), the Web server 11 transmits a SOAP message 15 to the Web service processing apparatus (S25).

一方、S21でHTTPダイジェスト認証の認証ヘッダが含まれていないと判定した場合(S21でNo)、Webサーバ11は、HTMLメッセージ14にWSS認証情報が含まれるかを判定する(S26)。そして、WSS認証情報がHTMLメッセージ14に含まれていると判定した場合(S26でYes)、Webサーバ11は、SOAPメッセージ15をWebサービス処理部へ送信する(S25)。   On the other hand, when it is determined in S21 that the authentication header for HTTP digest authentication is not included (No in S21), the Web server 11 determines whether the HTML message 14 includes WSS authentication information (S26). If it is determined that the WSS authentication information is included in the HTML message 14 (Yes in S26), the Web server 11 transmits the SOAP message 15 to the Web service processing unit (S25).

HTMLメッセージ14にWSS認証情報が含まれていないと判定した場合(S26でNo)、Webサーバ11は、HTMLメッセージ14により要求されるWebサービスが特定のサービスであるかどうかを判定する(S27)。ここで、特定のサービスとは、例えば、Webサービスシステムの時刻情報や機能の情報の提供など、ユーザ認証が不要とされるサービスである。そして、HTMLメッセージ14により要求されるWebサービスが特定のサービスであると判定された場合(S27でYes)は、Webサーバ11は、SOAPメッセージ15をWebサービス処理装置12へ送信する(S25)。一方、HTMLメッセージ14で要求されるサービスが特定のサービスでない場合(S27でNo)は、HTMLメッセージ14は、ユーザ認証が要求されるサービスを要求していることとなる。しかしながら、この場合、HTTPダイジェスト認証のヘッダとWSS認証情報の両方がないことから認証ができない。このため、Webサーバ11は、HTTP401エラー(Unauthorized)をユーザクライアント13へ通知し(S28)、認証情報の付与を促す。   When it is determined that the WSS authentication information is not included in the HTML message 14 (No in S26), the Web server 11 determines whether the Web service requested by the HTML message 14 is a specific service (S27). . Here, the specific service is a service that does not require user authentication, such as providing time information and function information of the Web service system. If it is determined that the Web service requested by the HTML message 14 is a specific service (Yes in S27), the Web server 11 transmits a SOAP message 15 to the Web service processing apparatus 12 (S25). On the other hand, if the service requested by the HTML message 14 is not a specific service (No in S27), the HTML message 14 requests a service that requires user authentication. However, in this case, authentication is not possible because there is no header for HTTP digest authentication and WSS authentication information. Therefore, the Web server 11 notifies the user client 13 of an HTTP 401 error (Unauthorized) (S28) and prompts the user to give authentication information.

通常のWebサーバは、HTTPダイジェスト認証の認証情報(第1の認証情報)がない場合は、HTTP401エラーをユーザクライアント13へ通知し、HTTPダイジェスト認証情報を付加するように促す。しかし、本実施形態においては、HTTPダイジェスト認証ヘッダが含まれていなくても(S21でNo)、WSS認証情報が含まれていれば(S26でYes)、SOAPメッセージ15をWebサービス処理装置12へ送信する(S25)。この場合、ユーザ認証は後述するWebサービス処理装置でのWSS認証だけが行われる。   If there is no authentication information (first authentication information) for HTTP digest authentication, a normal Web server notifies the user client 13 of an HTTP 401 error and prompts the user to add HTTP digest authentication information. However, in this embodiment, even if the HTTP digest authentication header is not included (No in S21), if the WSS authentication information is included (Yes in S26), the SOAP message 15 is sent to the Web service processing apparatus 12. Transmit (S25). In this case, the user authentication is performed only by WSS authentication in the Web service processing apparatus described later.

続いて、Webサービス処理装置12における認証処理を説明する。図3は、Webサービス処理装置12内の第2認証処理部2の処理の詳細を示すフローチャートである。   Next, authentication processing in the Web service processing apparatus 12 will be described. FIG. 3 is a flowchart showing details of processing of the second authentication processing unit 2 in the Web service processing apparatus 12.

Webサービス処理装置12は、Webサーバ11から取得したSOAPメッセージ15を解析し、要求されているのが特定のサービスであるかどうかを判定する(S31)。要求されているサービスがユーザ認証が不要なサービスであった場合(S31でYes)、WSS認証は不要であり、Webサービスの利用が許可され、処理が実行される(S35)。一方で、要求されているサービスがユーザ認証が必要なサービスである場合(S31でNo)は、Webサービス処理装置12は、SOAPメッセージ15にWSS認証情報が含まれているかを判定する(S32)。   The Web service processing apparatus 12 analyzes the SOAP message 15 acquired from the Web server 11 and determines whether or not the requested service is a specific service (S31). If the requested service is a service that does not require user authentication (Yes in S31), WSS authentication is unnecessary, use of the Web service is permitted, and processing is executed (S35). On the other hand, if the requested service is a service that requires user authentication (No in S31), the Web service processing apparatus 12 determines whether WSS authentication information is included in the SOAP message 15 (S32). .

SOAPメッセージ15にWSS認証情報が含まれていない場合(S32でNo)は、Webサービス処理装置12は、Webサーバ11でHTTPダイジェスト認証でユーザ認証が成功している。このため、Webサービスの利用が許可され、処理が実行される(S35)。SOAPメッセージ15にWSS認証情報が含まれている場合(S32でYes)は、第1認証処理部1において、HTTPダイジェスト認証ヘッダがなかったためにユーザ認証が終わっていないことがわかる。このため、この場合、Webサービス処理装置12は、WSS認証処理を行い(S33)、WSS認証に成功したかを判定する(S34)。そして、WSS認証に成功した場合(S34でYes)は、Webサービス処理装置12は、Webサービスの利用が許可され、処理が実行される(S35)。また、WSS認証に失敗した場合(S34でNo)は、Webサービス処理装置12は、ユーザクライアント13へ、認証に失敗したことを示すHTTP400エラーを返答する(S36)。   When the WSS authentication information is not included in the SOAP message 15 (No in S32), the Web service processing apparatus 12 has succeeded in user authentication by HTTP digest authentication on the Web server 11. For this reason, the use of the Web service is permitted and the process is executed (S35). If the WSS authentication information is included in the SOAP message 15 (Yes in S32), the first authentication processing unit 1 knows that the user authentication has not ended because there is no HTTP digest authentication header. Therefore, in this case, the Web service processing apparatus 12 performs WSS authentication processing (S33), and determines whether the WSS authentication is successful (S34). If the WSS authentication is successful (Yes in S34), the Web service processing apparatus 12 is permitted to use the Web service and the process is executed (S35). If the WSS authentication fails (No in S34), the Web service processing apparatus 12 returns an HTTP 400 error indicating that the authentication has failed to the user client 13 (S36).

なお、上述の説明では、S36においてHTTP400エラーを通知しているが、Webサービス処理装置12は、HTTP400エラーに加えてSOAPメッセージでもエラー(ter:Unauthorized)を通知してもよい。なお、このエラー通知もWSS認証に失敗したことを示すが、SOAPメッセージのエラーまで解釈するかはユーザクライアント13次第である。   In the above description, an HTTP 400 error is notified in S36, but the Web service processing apparatus 12 may notify an error (ter: Unauthorized) by a SOAP message in addition to the HTTP 400 error. This error notification also indicates that WSS authentication has failed, but it is up to the user client 13 to interpret even the SOAP message error.

本実施形態によれば、Webサーバ11は、WSSの認証情報の有無を解析することで、HTTPダイジェスト認証の結果を踏まえてSOAPメッセージをWebサービス処理装置12に送るか、ユーザクライアント13へ適切なエラーを返す。このように、Webサーバ11でWSSの認証情報を解析することで、HTTPダイジェスト認証情報がない場合にHTTPダイジェスト認証を回避し、Webサービスを処理する技術を提供することができる。そして、これにより、認証の利便性を向上させることが可能となる。   According to this embodiment, the Web server 11 analyzes the presence / absence of WSS authentication information to send a SOAP message to the Web service processing device 12 based on the result of the HTTP digest authentication, or to the user client 13 as appropriate. Returns an error. As described above, by analyzing the WSS authentication information in the Web server 11, it is possible to provide a technique for avoiding HTTP digest authentication and processing a Web service when there is no HTTP digest authentication information. As a result, the convenience of authentication can be improved.

<<実施形態2>>
続いて、図4及び図5を参照して、第2の実施形態について説明する。本実施形態におけるシステムの構成を図4に示す。実施例1との違いは、Webサービス処理装置12で行っていた第2の認証処理を、Webサーバ11で実行し、Webサービス処理装置12ではユーザ認証の処理を行わない点である。また、特定のユーザ権限を有するユーザクライアントを考慮している点も異なる。 << Embodiment 2 >>
Subsequently, the second embodiment will be described with reference to FIGS. 4 and 5. FIG. 4 shows the configuration of the system in this embodiment. The difference from the first embodiment is that the second authentication process performed by the Web service processing apparatus 12 is executed by the Web server 11 and the user authentication process is not performed by the Web service processing apparatus 12. Another difference is that a user client having a specific user authority is considered.

図5は、Webサーバ11での、HTTPダイジェスト認証とWSS認証の処理を示すフローチャートである。Webサーバ11は、ユーザクライアント13から処理装置1214を受信すると、HTMLメッセージを解析して、HTTPダイジェスト認証の認証ヘッダが含まれるかどうかを判定する(S501)。Webサーバ11のHTTP認証方式がベーシック認証である場合や、認証を行わない場合は、HTTPダイジェスト認証ヘッダが含まれないと判定する。   FIG. 5 is a flowchart showing processing of HTTP digest authentication and WSS authentication in the Web server 11. When receiving the processing device 1214 from the user client 13, the Web server 11 analyzes the HTML message and determines whether or not an HTTP digest authentication authentication header is included (S501). When the HTTP authentication method of the Web server 11 is basic authentication or when authentication is not performed, it is determined that the HTTP digest authentication header is not included.

Webサーバ11は、HTTPダイジェスト認証の認証ヘッダが含まれている場合(S501でYes)、HTTPダイジェスト認証の処理を行い(S502)、HTTPダイジェスト認証の結果を判定する(S503)。そして、HTTPダイジェスト認証に失敗した場合(S503でNo)、Webサーバ11は、HTTP400エラー(Bad Request)を返し、ユーザクライアント13にHTTPダイジェスト認証が失敗したことを通知する(S504)。一方、HTTPダイジェスト認証に成功した場合(S503でYes)、Webサーバ11は、HTMLメッセージにWSS認証情報が含まれるかを判定する(S505)。   If the authentication header for HTTP digest authentication is included (Yes in S501), the Web server 11 performs HTTP digest authentication processing (S502), and determines the result of HTTP digest authentication (S503). If the HTTP digest authentication fails (No in S503), the Web server 11 returns an HTTP 400 error (Bad Request) and notifies the user client 13 that the HTTP digest authentication has failed (S504). On the other hand, when the HTTP digest authentication is successful (Yes in S503), the Web server 11 determines whether the WSS authentication information is included in the HTML message (S505).

HTMLメッセージにWSS認証情報が含まれない場合(S505でNo)は、HTTPダイジェスト認証でユーザ認証ができているため、Webサーバ11は、WSS認証は行わずにSOAPメッセージ15をWebサービス処理装置へ送信する(S509)。HTMLメッセージにWSS認証情報が含まれる場合(S505でYes)は、Webサーバ11は、WSS認証処理を行い(S507)、WSS認証に成功したかどうかを判定する(S508)。そして、WSS認証に成功した場合は(S508でYes)、Webサーバ11は、SOAPメッセージ15をWebサービス処理装置12へ送信する(S509)。一方、WSS認証に失敗した場合(S508でYes)は、Webサーバ11は、HTTPダイジェスト認証には成功しているが、WSS認証には失敗しているため、ユーザクライアント13へHTTP400エラーを返答する(S510)。   When the WSS authentication information is not included in the HTML message (No in S505), the user authentication can be performed by the HTTP digest authentication. Therefore, the Web server 11 sends the SOAP message 15 to the Web service processing apparatus without performing the WSS authentication. Transmit (S509). When the WSS authentication information is included in the HTML message (Yes in S505), the Web server 11 performs the WSS authentication process (S507), and determines whether the WSS authentication is successful (S508). If the WSS authentication is successful (Yes in S508), the Web server 11 transmits the SOAP message 15 to the Web service processing apparatus 12 (S509). On the other hand, if the WSS authentication fails (Yes in S508), the Web server 11 succeeds in the HTTP digest authentication but fails in the WSS authentication, and thus returns an HTTP 400 error to the user client 13. (S510).

S501でHTMLメッセージにHTTPダイジェスト認証ヘッダが含まれないと判定した場合(S501でNo)、Webサーバ11は、続いて、HTMLメッセージにWSS認証情報が含まれているかを判定する(S506)。そして、HTMLメッセージにWSS認証情報が含まれていた場合(S506でYes)は、Webサーバ11は、WSS認証処理を行う(S507)。これ以降の処理は、S505でHTMLメッセージにWSS認証情報が含まれていると判定された場合(S505でYes)と同様の処理を行う。   If it is determined in S501 that the HTTP digest authentication header is not included in the HTML message (No in S501), the Web server 11 subsequently determines whether WSS authentication information is included in the HTML message (S506). When the WSS authentication information is included in the HTML message (Yes in S506), the Web server 11 performs the WSS authentication process (S507). The subsequent processes are the same as those performed when it is determined in S505 that WSS authentication information is included in the HTML message (Yes in S505).

S506でHTMLメッセージにWSS認証情報が含まれないと判定した場合(S506でNo)は、HTMLメッセージは認証情報を含まないWebサービスのリクエストであることとなる。しかし、ユーザ認証が不要な特定のサービスへのリクエストに対しては、Webサービスの処理を受け付けることができる。このため、Webサーバ11は、HTMLメッセージによるWebサービスの要求が特定のサービスへのリクエストであるかを判定する(S511)。そして、特定のサービスへのリクエストであれば(S511でYes)、Webサーバ11は、SOAPメッセージ15をWebサービス処理装置12へ送信する。ユーザ認証が必要なサービスである場合は(S511でNo)、ユーザクライアント13へHTTP401エラーを返答し、認証情報を付与することを促す。   If it is determined in S506 that WSS authentication information is not included in the HTML message (No in S506), the HTML message is a request for a Web service that does not include authentication information. However, for a request to a specific service that does not require user authentication, it is possible to accept Web service processing. For this reason, the Web server 11 determines whether the request for the Web service based on the HTML message is a request for a specific service (S511). If the request is for a specific service (Yes in S511), the Web server 11 transmits a SOAP message 15 to the Web service processing apparatus 12. If the service requires user authentication (No in S511), an HTTP 401 error is returned to the user client 13 to prompt the user to add authentication information.

次に、ユーザがサービスを受ける権限を持っていない場合、またはユーザが特定のユーザである場合に、WSSの認証処理の結果によらず、ユーザ認証を不可と判定する機能について説明する。ネットワークの設定など、Webサービスシステムの重要な設定を変更するサービスの場合、特定のユーザ又は権限を持ったユーザだけにサービスを提供したい要求がある。そのため、S509の処理の前に、ユーザクライアント13がWebサービスを実行する権限を有するかを識別するようにしてもよい。ユーザに権限がない場合、Webサービスの利用を許可せず、処理を実行せずにHTTP400エラーを通知する。   Next, a function for determining that user authentication is not possible regardless of the result of the WSS authentication process when the user is not authorized to receive a service or when the user is a specific user will be described. In the case of a service that changes important settings of a Web service system such as a network setting, there is a request for providing a service only to a specific user or an authorized user. Therefore, before the processing of S509, it may be determined whether the user client 13 has the authority to execute the Web service. If the user is not authorized, the HTTP service 400 is notified of the HTTP 400 error without allowing the use of the Web service and executing the process.

本実施形態では、図4に示す通り、Webサービス処理装置は第2認証処理部2を備えていない。ユーザ認証はWebサーバ11がHTTPダイジェスト認証とWSS認証を両方行い、Webサーバ11から送られたSOAPメッセージ15は、Webサービス処理装置はユーザ認証を行わず全てのWebサービスへのリクエストを処理する。   In the present embodiment, as shown in FIG. 4, the Web service processing apparatus does not include the second authentication processing unit 2. As for user authentication, the Web server 11 performs both HTTP digest authentication and WSS authentication, and the SOAP message 15 sent from the Web server 11 processes requests to all Web services without performing user authentication.

本実施形態によれば、Webサーバは、WSSの認証情報の有無に加えてWSS認証の可否を判定することで、HTTPダイジェスト認証の結果を踏まえてSOAPメッセージをWebサービス処理装置に送るか、ユーザクライアントに適切なエラーを返す。このようにすることで、HTTPダイジェスト認証情報が無い場合はHTTPダイジェスト認証を回避し、Webサービスを処理する技術を提供することができる。そして、これにより、認証の利便性を向上させることが可能となる。   According to the present embodiment, the Web server determines whether WSS authentication is possible in addition to the presence / absence of WSS authentication information, so that the SOAP message is sent to the Web service processing apparatus based on the result of the HTTP digest authentication, or the user Return an appropriate error to the client. By doing in this way, when there is no HTTP digest authentication information, the HTTP digest authentication can be avoided and a technique for processing a Web service can be provided. As a result, the convenience of authentication can be improved.

<<その他の実施形態>>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。 << Other Embodiments >>
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, or the like) of the system or apparatus reads the program. It is a process to be executed.

Claims (13)

ユーザ処理を実行する認証システムにおける第1の認証装置であって、
ライアント装置からのリクエスト第1の認証情報が含まれる場合に、その第1の認証情報を用いてユーザ認証処理を実行する第1認証手段と、
前記リクエストに前記第1の認証情報とは異なる第2の認証情報が含まれるか判定する判定手段と、
前記判定手段によって前記リクエストに第2の認証情報が含まれると判定された場合に、その第2の認証情報を用いてユーザ認証処理を実行する第2認証手段を有する第2の認証装置へと、前記第2の認証情報を含む情報を送信する送信手段と、
を有することを特徴とする認証装置A first authentication apparatus definitive authentication system that performs user authentication process,
If the first authentication information included in the request from the client device, a first authentication means for performing a user authentication process using the first authentication information,
Determining means for determining whether the request includes second authentication information different from the first authentication information;
If it is determined to contain a second authentication information to the request by the determination means, to a second authentication apparatus having a second authentication means for executing a user authentication process using the second authentication information Transmitting means for transmitting information including the second authentication information ;
An authentication apparatus comprising: 前記判定手段は、前記リクエストに前記第1の認証情報が含まれるか判定し、
前記送信手段は、前記判定手段によって前記リクエストに記第1の認証情報と前記第2の認証情報とがいずれも含まれないと判定された場合であって前記リクエストがユーザ認証処理を行う対象のリクエストである場合に、前記ライアント装置エラー情報送信
ことを特徴とする請求項1に記載の認証装置 The determination means determines whether the first authentication information is included in the request,
It said transmitting means is a case where the second authentication information with the previous SL first authentication information to the request is determined to not include any by the determination unit, the request for user authentication process If the subject of the request, that sends error information to the client device,
The authentication apparatus according to claim 1. 前記送信手段は、前記リクエストに前記第1の認証情報が含まれている場合であって前記第1認証手段においてユーザ認証処理が失敗した場合前記ライアント装置エラー情報送信する
ことを特徴とする請求項1に記載の認証装置 The transmission unit, when the user authentication process fails in the first authentication means in a case where the first authentication information is included in the request, and transmits the error information to the client device,
The authentication apparatus according to claim 1. 前記判定手段は、前記リクエストに前記第1の認証情報が含まれない場合に、前記リクエストに前記第2の認証情報が含まれるか判定する、The determination means determines whether the second authentication information is included in the request when the request does not include the first authentication information;
ことを特徴とする請求項1から3のいずれか1項に記載の認証装置。The authentication device according to any one of claims 1 to 3, wherein 前記送信手段は、前記判定手段によって前記リクエストに前記第2の認証情報が含まれないと判定された場合であって、前記リクエストがユーザ認証処理を行う対象のリクエストではない場合、前記第2認証手段を有する第2の認証装置へと、前記第2の認証情報を含む情報を送信しない、When the determination unit determines that the second authentication information is not included in the request, and the request is not a request to be subjected to user authentication processing, the transmission unit Do not transmit information including the second authentication information to a second authentication device having means;
ことを特徴とする請求項1から4のいずれか1項に記載の認証装置。The authentication apparatus according to any one of claims 1 to 4, wherein: 前記第1の認証情報は、HTTPダイジェスト認証の認証情報である、The first authentication information is authentication information for HTTP digest authentication.
ことを特徴とする請求項1から5のいずれか1項に記載の認証装置。The authentication apparatus according to any one of claims 1 to 5, wherein: 前記第2の認証情報は、WS−Security認証の認証情報である、The second authentication information is authentication information for WS-Security authentication.
ことを特徴とする請求項1から6のいずれか1項に記載の認証装置。The authentication device according to any one of claims 1 to 6, wherein 請求項1から7のいずれか1項に記載の第1の認証装置と、The first authentication device according to any one of claims 1 to 7,
前記第2の認証装置と、The second authentication device;
を有することを特徴とする認証システム。An authentication system comprising: 前記リクエスト前記第1の認証情報が含まれず、かつ、前記リクエストに前記第2の認証情報が含まれる場合であって、前記第2認証手段において前記第2の認証情報を用いたユーザ認証処理が成功した場合に、前記認証システムにおけるユーザ認証処理が成功したと判定する認証判定手段
をさらに有することを特徴とする請求項に記載の認証システム。 Does not contain the first authentication information to the request, and, in a case that contains the second authentication information to the request, the user authentication process using the second authentication information in the second authentication means Authentication determination means for determining that the user authentication processing in the authentication system is successful when the authentication is successful,
The authentication system according to claim 8 , further comprising: 前記第2の認証装置はWebサービスを処理する装置であり、
前記第1の認証装置と前記第2の認証装置は、前記リクエストが前記ユーザ認証処理が不要なWebサービスリクエストである場合、ユーザ認証処理を行わずに、前記Webサービスの利用を許可する、
ことを特徴とする請求項又はに記載の認証システム。 The second authentication device is a device for processing a Web service;
Wherein the first authentication device second authentication device, when the request is the user authentication process is a request unwanted Web services, without the user authentication process and permits the use of the Web service,
The authentication system according to claim 8 or 9 , characterized in that. 前記リクエストは、Webサービスを利用するためのリクエストであり、
前記ライアント装置に係るユーザが、前記Webサービスを利用する権限を有するかを判定するユーザ判定手段をさらに有し、
前記ユーザが前記Webサービスを利用する権限を有さない場合は、ユーザ認証処理の結果によらず、前記Webサービスの利用を許可しない、
ことを特徴とする請求項から10のいずれか1項に記載の認証システム。 The request is a request for using a web service,
User related to said client device further includes a user determination means for determining whether authorized to use the Web service,
When the user does not have authority to use the web service, the use of the web service is not permitted regardless of the result of user authentication processing .
The authentication system according to any one of claims 8 to 10 , wherein: ユーザ証を実行する認証システムにおける第1の認証装置装置における認証方法であって、
ライアント装置からのリクエスト第1の認証情報が含まれる場合に、その第1の認証情報を用いてユーザ認証処理を実行する第1認証工程と、
前記リクエストに前記第1の認証情報とは異なる第2の認証情報が含まれるか判定する判定工程と、
前記判定工程によって前記リクエストに第2の認証情報が含まれると判定された場合に、その第2の認証情報を用いてユーザ認証処理を実行する第2認証手段を有する第2の認証装置へと、前記第2の認証情報を含む情報を送信する送信工程と、
を有することを特徴とする認証方法。 An authentication method in the first authentication device apparatus in the authentication system to perform user authentication,
If the first authentication information included in the request from the client device, a first authentication step of executing the user authentication process using the first authentication information,
A determination step of determining whether the request includes second authentication information different from the first authentication information;
If the is determined to contain a second authentication information to the request by the determination step, to a second authentication apparatus having a second authentication means for executing a user authentication process using the second authentication information A transmission step of transmitting information including the second authentication information ;
An authentication method characterized by comprising: コンピュータを請求項1から7のいずれか1項に記載の認証装置が備える各手段として機能させるためのプログラム。 The program for functioning a computer as each means with which the authentication apparatus of any one of Claim 1 to 7 is provided.
JP2012253660A 2012-11-19 2012-11-19 Authentication system, authentication apparatus, authentication method, and program Active JP6190106B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012253660A JP6190106B2 (en) 2012-11-19 2012-11-19 Authentication system, authentication apparatus, authentication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012253660A JP6190106B2 (en) 2012-11-19 2012-11-19 Authentication system, authentication apparatus, authentication method, and program

Publications (2)

Publication Number Publication Date
JP2014102647A JP2014102647A (en) 2014-06-05
JP6190106B2 true JP6190106B2 (en) 2017-08-30

Family

ID=51025112

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012253660A Active JP6190106B2 (en) 2012-11-19 2012-11-19 Authentication system, authentication apparatus, authentication method, and program

Country Status (1)

Country Link
JP (1) JP6190106B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5142934B2 (en) * 2008-10-10 2013-02-13 日本電信電話株式会社 Authentication information processing apparatus, authentication information transmission method, and authentication method
US8078870B2 (en) * 2009-05-14 2011-12-13 Microsoft Corporation HTTP-based authentication
JP5882833B2 (en) * 2012-05-29 2016-03-09 キヤノン株式会社 Authentication device, authentication system, authentication method, and program

Also Published As

Publication number Publication date
JP2014102647A (en) 2014-06-05

Similar Documents

Publication Publication Date Title
US10225260B2 (en) Enhanced authentication security
KR101708587B1 (en) Bidirectional authorization system, client and method
JP5521736B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL PROGRAM, AND COMMUNICATION CONTROL SYSTEM
US9313257B2 (en) Method for starting a client program
US20200092101A1 (en) Information processing apparatus, computer program product, and resource providing method
US20160337338A1 (en) Late binding authentication
US20140129828A1 (en) User authentication method using self-signed certificate of web server, client device and electronic device including web server performing the same
US9686257B2 (en) Authorization server system, control method thereof, and storage medium
CN112313648A (en) Authentication system, authentication method, application providing device, authentication device, and authentication program
US10412072B2 (en) Authentication apparatus, authentication system, authentication method and storage medium
JP5383923B1 (en) Information processing apparatus, information processing system, information processing method, and program
CN106470186B (en) A method of accessing third party&#39;s resource in a manner of jumping
JP6190106B2 (en) Authentication system, authentication apparatus, authentication method, and program
JP2005301424A (en) Distributed authentication system, load distribution device, authentication server, load distribution program, and authentication program
JP2016126462A5 (en)
CN112653676B (en) Identity authentication method and equipment crossing authentication system
JP2019003509A (en) Information processing device and information processing program
JP6833658B2 (en) Server equipment, equipment, certificate issuing method, certificate requesting method, certificate issuing program and certificate requesting program
JP6130941B2 (en) Authentication apparatus, method, and program
JP6451498B2 (en) Program, information processing terminal, information processing method, and information processing system
JP5718284B2 (en) Access token verification system and access token verification method
CN115102724B (en) Login method and system of double Token cross-end jump system
JP2011170795A (en) Web authentication system, mobile terminal, web terminal, web server, web authentication method and program for them
JP6825473B2 (en) Access control device, access control program and access control method
JP2010217595A (en) Information processing device, information processing method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161114

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170707

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170804

R151 Written notification of patent or utility model registration

Ref document number: 6190106

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151