JP6574265B2 - 認証制御システム、サーバ装置、認証制御方法、及びプログラム - Google Patents
認証制御システム、サーバ装置、認証制御方法、及びプログラム Download PDFInfo
- Publication number
- JP6574265B2 JP6574265B2 JP2017556441A JP2017556441A JP6574265B2 JP 6574265 B2 JP6574265 B2 JP 6574265B2 JP 2017556441 A JP2017556441 A JP 2017556441A JP 2017556441 A JP2017556441 A JP 2017556441A JP 6574265 B2 JP6574265 B2 JP 6574265B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- server device
- target information
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
[概要]
まず概要を説明する。第1認証方式を採用する既存の認証システムに、第1認証方式とは異なる第2認証方式が導入される状況を想定する。第1クライアント装置、通信サーバ装置、および第1認証サーバ装置は、第1認証方式を採用する既存の認証システムを構成していた装置である。第2クライアント装置および第2認証サーバ装置は、新たに導入する第2認証方式に対応する装置である。第1認証方式の例はパスワード認証方式であり、第2認証方式の例はパスワード認証方式以外の認証方式(公開鍵暗号技術(電子署名技術、すなわちデジタル署名技術等)を利用した認証方式、生体認証を利用した認証方式、物理デバイスの固有情報を利用した認証方式など)である。ただし、これは本発明を限定するものではなく、第1認証方式がパスワード認証方式以外の認証方式であってもよい。
図面を用いて第1実施形態を説明する。
<構成>
図1に例示するように、本形態の認証制御システム1は、クライアント装置11,12、通信サーバ装置13、認証制御サーバ装置14(サーバ装置)、および認証サーバ装置15,16を有する。クライアント装置11,12と通信サーバ装置13とはネットワークを通じて通信可能であり、認証制御サーバ装置14は、通信サーバ装置13および認証サーバ装置15,16とネットワークを通じて通信可能である。なお、本形態の認証制御システム1はクライアント装置11,12を1個ずつ有するが、複数個のクライアント装置11,12を有していてもよい。同様に、通信サーバ装置13、認証制御サーバ装置14、および認証サーバ装置15,16が複数個存在してもよい。
第1認証方式を採用する既存の認証システムに、第1認証方式とは異なる第2認証方式を導入する例を説明する。クライアント装置11(第1クライアント装置)、通信サーバ装置13、および認証サーバ装置15(第1認証サーバ装置)は、第1認証方式を採用する既存の認証システムを構成していた装置である。クライアント装置12(第2クライアント装置)および認証サーバ装置16(第2認証サーバ装置)は、新たに導入する第2認証方式に対応する装置である。本形態では第1認証方式がパスワード認証方式であり、第2認証方式がパスワード認証方式以外の認証方式(公開鍵暗号技術を利用した認証方式、PINコードと公開鍵暗号技術を利用した認証方式、生体認証を利用した認証方式、物理デバイスの固有情報を利用した認証方式など)である例を説明する。
クライアント装置12(図2B)の記憶部121に、第2認証方式に則ったデータ内容の第2入力認証情報を生成するための認証生成情報を格納する。例えば、第2認証方式が公開鍵暗号技術を利用した認証方式の場合、認証生成情報は公開鍵暗号方式に則った秘密鍵である。第2認証方式が生体認証を利用した認証方式の場合、認証生成情報は生体認証から特徴量を抽出するために必要な情報である。第2認証方式が物理デバイスの固有情報を利用した認証方式の場合、認証生成情報はクライアント装置12を構成する物理デバイスに固有の情報である。
通信サーバ装置13にアクセスしようとするクライアント装置11の認証処理を説明する。まず、クライアント装置11(図2A)の入力部112に、識別子id1(第1識別子)およびパスワードpw1(第1認証方式に則ったデータ内容の第1入力認証情報)が入力される(ステップS112−1)。これらは演算部113に送られ、演算部113は識別子id1およびパスワードpw1を第1認証方式に則ったデータ形式とした第1認証対象情報(ID1,PW1)を生成して出力する。例えば図5Aに例示するように、演算部113は、識別子領域ID1に識別子id1を格納し、パスワード領域PW1のヘッダ領域H1に第1認証方式を表す情報sc1(認証方式を判定するための判定情報)を格納し、ボディ領域B1にパスワードpw1を格納した第1認証対象情報(ID1,PW1)を生成して出力する(ステップS113−1)。第1認証対象情報(ID1,PW1)は送信部115に送られ、送信部115は第1認証対象情報(ID1,PW1)に対応する情報を通信サーバ装置13に送信する。第1認証対象情報(ID1,PW1)に対応する情報は、例えば、第1認証対象情報(ID1,PW1)そのものであってもよいし、第1認証対象情報(ID1,PW1)の暗号文(SSL:Secure Sockets Layer等に基づく暗号文)であってもよい(ステップS115−1)。
通信サーバ装置13にアクセスしようとするクライアント装置12の認証処理を説明する。まず、クライアント装置12(図2B)の入力部122に、識別子id2(第2識別子)およびパスワード以外の認証情報au2が入力される。例えば、第2認証方式が公開鍵暗号技術を利用した認証方式の場合には署名対象の情報がau2である。例えば、第2認証方式がPINコードと公開鍵暗号技術を利用した認証方式の場合にはPINコードがau2である。例えば、第2認証方式が生体認証を利用した認証方式の場合、指紋画像、静脈画像、虹彩画像、手書き文字画像、音声情報などの生体情報がau2である。第2認証方式が物理デバイスの固有情報を利用した認証方式の場合、物理デバイスを指定する情報などがau2であってもよいし、ヌル値がau2であってもよい(ステップS122−2)。これらは演算部123に送られ、演算部123は、これらと記憶部121に格納された認証生成情報とを用い、認証情報au2に対応する第2認証情報au21を設定する。例えば、第2認証方式が公開鍵暗号技術を利用した認証方式の場合、演算部123は、認証生成情報である秘密鍵を用いて認証情報au2に電子署名を生成し、au2と電子署名とを第2認証情報au21とする。第2認証方式が生体認証を利用した認証方式の場合、演算部123は、認証生成情報を用いて認証情報au2から特徴量を抽出して第2認証情報au21を生成する。第2認証方式が物理デバイスの固有情報を利用した認証方式の場合、演算部123は、認証情報au2によって特定される物理デバイスの固有情報である認証生成情報、または認証情報au2を用いることなく特定される物理デバイスの固有情報である認証生成情報を、第2認証情報au21とする。識別子id2および第2認証情報au21(第2認証方式に則ったデータ内容の第2入力認証情報)はデータ形式変換部124に送られる(ステップS123−2)。
新たに導入された第2認証方式に対応するクライアント装置12が通信サーバ装置13にアクセスしようとする場合、クライアント装置12は、第2認証方式に則ったデータ内容の第2入力認証情報を第1認証方式に則ったデータ形式の第2認証対象情報(ID2,PW2)に変換し、それに対応する情報を通信サーバ装置13に送信する。通信サーバ装置13は認証制御サーバ装置14に第2認証対象情報(ID2,PW2)に対応する情報を送信し、それに対する認証結果(OK/NG)を取得する。ここで通信サーバ装置13に入出力される情報のデータ形式は従前の第1認証方式のデータ形式と同じである。また、通信サーバ装置13への情報の入出力回数も従前の第1認証方式のデータ形式と同じである。そのため、通信サーバ装置13の設定をほぼ変更することなく、第2認証方式を導入できる。一方、第2認証対象情報(ID2,PW2)のデータ内容は第2認証方式に対応するため、第1認証方式よりも安全性の高い第2認証方式を用いれば、システムの安全性が向上する。
第1実施形態では、認証対象情報が含むパスワード領域の一部に認証方式を表す情報(sc1またはsc2)が格納された。しかしながら、識別子領域の一部に認証方式を表す情報が格納されてもよいし、パスワード領域および識別子領域の両方に認証方式を表す情報が格納されてもよいし、認証対象情報が含むその他の領域に認証方式を表す情報が格納されてもよい。
第1実施形態では、パスワード領域のヘッダ領域に認証方式を特定するための判定情報を格納しておき、認証制御サーバ装置がこの判定情報のみを用いて認証方式を特定した。しかしながら、第1認証方式に則ったデータ形式の認証対象情報が認証方式を特定する情報を含まない場合、この方法を使用することはできない。本形態では、認証制御サーバ装置に判定情報とそれに対応する認証方式とを対応付けた対応表を格納しておき、認証制御サーバ装置がさらにこの対応表を用いて認証方式を特定する。以下では、第1実施形態との相違点を中心に説明し、これまで説明した事項と共通する部分については同じ参照番号を用いて説明を簡略化する。
図1に例示するように、本形態の認証制御システム2は、クライアント装置21,22、通信サーバ装置13、認証制御サーバ装置24(サーバ装置)、および認証サーバ装置15,16を有する。クライアント装置21,22と通信サーバ装置13とはネットワークを通じて通信可能であり、認証制御サーバ装置24は、通信サーバ装置13および認証サーバ装置15,16とネットワークを通じて通信可能である。なお、本形態の認証制御システム2はクライアント装置21,22を1個ずつ有するが、複数個のクライアント装置21,22を有していてもよい。同様に、通信サーバ装置13、認証制御サーバ装置24、および認証サーバ装置15,16が複数個存在してもよい。
クライアント装置12に代えてクライアント装置22に、第2認証方式に則ったデータ内容の第2入力認証情報を生成するための認証生成情報を格納する。また認証制御サーバ装置24の記憶部246に、判定情報に対応する認証方式を特定する対応表が格納される。例えば、識別子idn(判定情報)とその識別子が割り当てられたクライアント装置が採用する認証方式を表す情報sc1またはsc2とを対応付けた複数の組みからなる対応表(リスト)が記憶部246に格納される(図6C)。その他は第1実施形態の事前処理と同じである。
通信サーバ装置13にアクセスしようとするクライアント装置21の認証処理を説明する。まず、クライアント装置21(図2A)の入力部112に、識別子id1(第1識別子)およびパスワードpw1(第1認証方式に則ったデータ内容の第1入力認証情報)が入力される(ステップS212−1)。これらは演算部213に送られ、演算部213は識別子id1およびパスワードpw1を第1認証方式に則ったデータ形式とした第1認証対象情報(ID1,PW1)を生成して出力する。第1実施形態との相違点は第1認証対象情報(ID1,PW1)のみから認証方式を特定できない点である。例えば図6Aに例示するように、演算部113は、識別子領域ID1に識別子id1を格納し、パスワード領域PW1にパスワードpw1を格納した第1認証対象情報(ID1,PW1)を生成して出力する(ステップS213−1)。その後、第1実施形態で説明したステップS115−1,S13−1,ステップS141a−1が実行され、第1認証対象情報(ID1,PW1)が判定部243に送られる。ただし、認証制御サーバ装置14に代えて認証制御サーバ装置24が処理を行う。
通信サーバ装置13にアクセスしようとするクライアント装置22の認証処理を説明する。まず、第1実施形態で説明したステップS122−2,S123−2の処理が行われる。ただし、クライアント装置12に代えてクライアント装置22が処理を行う。
本形態では第1実施形態と同じ効果を得ることができる。さらに、本形態では第1認証方式に則ったデータ形式の認証対象情報が認証方式を特定する情報を含まない場合であっても、既存の通信サーバ装置やクライアント装置の設定を変更することなく、新たな認証方式を導入できる。
第2認証方式に則ったデータ内容の入力認証情報のデータ量が大きく、そのままでは第1認証方式に則ったデータ形式に変更できない場合がある。本形態は、第2認証方式に対応するクライアント装置と第2認証サーバ装置との間で事前認証処理を行い、その事前認証結果に対応する識別子を用い、第1認証方式に則ったデータ形式の認証対象情報を生成する。以下では、第1実施形態との相違点を中心に説明し、これまで説明した事項と共通する部分については同じ参照番号を用いて説明を簡略化する。
図1に例示するように、本形態の認証制御システム3は、クライアント装置11,32、通信サーバ装置13、認証制御サーバ装置34(サーバ装置)、および認証サーバ装置15,36を有する。クライアント装置11,32と通信サーバ装置13とはネットワークを通じて通信可能であり、認証制御サーバ装置34は、通信サーバ装置13および認証サーバ装置15,36とネットワークを通じて通信可能である。クライアント装置32はさらに認証サーバ装置36とネットワークを通じて通信可能である。なお、本形態の認証制御システム3はクライアント装置11,32を1個ずつ有するが、複数個のクライアント装置11,32を有していてもよい。同様に、通信サーバ装置13、認証制御サーバ装置34、および認証サーバ装置15,36が複数個存在してもよい。
第1実施形態と同じである。ただし、クライアント装置12に代えてクライアント装置32に対し、前述したクライアント装置12の事前処理が行われる。
第1実施形態と同じである。
通信サーバ装置13にアクセスしようとするクライアント装置32の認証処理を説明する。まず、クライアント装置32(図2B)の入力部122に、識別子id2(第2識別子)およびパスワード以外の認証情報au2が入力される(ステップS122−2)。これらは演算部323に送られ、演算部323は、これらと記憶部121に格納された認証生成情報とを用い、認証情報au2に対応する事前認証情報au21’を設定する。事前認証情報au21’は、例えば第1実施形態で説明した第2認証情報au21と同じである。演算部323は、識別子id2および事前認証情報au21’を含む事前認証要求AU2’=(id2,au21’)を生成し、送信部125に送る(ステップS323−21)。送信部125は、事前認証要求AU2’を認証サーバ装置36に送信する(ステップS325−2)。
本形態では第1実施形態と同じ効果を得ることができる。さらに、本形態では、事前認証結果に応じた識別子id2およびヌル値au21を第1認証方式に則ったデータ形式の第2認証対象情報(ID2,PW2)に変換する。そのため、第2認証方式に則ったデータ内容の入力認証情報のデータ量が大きく、そのままでは第1認証方式に則ったデータ形式に変更できない場合でも、第2認証対象情報(ID2,PW2)を生成することができる。
第3実施形態では、クライアント装置32の入力部122に入力された識別子id2を「第2識別子」とした。これに代えて、認証サーバ装置36で新たに生成したワンタイムパスワードであるワンタイムトークンを「第2識別子」としてもよい。この場合のクライアント装置32の認証処理は以下のようになる。
第3実施形態の変形例2では、認証サーバ装置36で行われる事前認証処理の具体例を示す。この具体例では、まず、クライアント装置32(図2B)の入力部122に、識別子id2(第3識別子)およびPINコード(任意の番号)である認証情報au2が入力される(ステップS122’−2)。これらは演算部323に送られる。演算部323は、これらと記憶部121に格納された認証生成情報とを用い、認証情報au2に対応する事前認証情報au21’を設定する。この変形例2では、演算部323が以下のように事前認証情報au21’を生成する。
ステップI:認証部364は、現在のタイムスロットを表すTiを用いて上述のようにgを計算する。認証部364は、g=1であれば認証成功とし、g≠1であればステップIIに進む。
ステップII:認証部364は、現在のタイムスロットの直前のタイムスロットを表すTiを用いて上述のようにgを計算する。認証部364は、g=1であれば認証成功とし、再びg≠1であれば認証失敗とする。
第3実施形態およびその変形例1,2は第1実施形態の変形例であった。しかし、第2実施形態の変形例として同様の処理が行われてもよい。すなわち、第2実施形態において、第2認証対象情報(ID2,PW2)が認証サーバ装置36で行われた事前認証処理に対応する識別子id2またはid2’を含み、第2情報が識別子id2またはid2’に対応する情報を含む情報に対応し、認証サーバ装置36での認証結果が、認証サーバ装置36で識別子id2に対応する情報を用いて行われた再認証結果であってもよい。
第4実施形態は第1実施形態の変形例である。第1実施形態では、認証制御サーバ装置14の判定部143が第1認証対象情報(ID1,PW1)または第2認証対象情報(ID2,PW2)である認証対象情報のデータ内容が第1認証方式に則っているか第2認証方式に則っているかを判定した。認証対象情報に対応する情報は、この判定結果に応じて認証サーバ装置15または認証サーバ装置16に送信された。しかし、このような判定が行われなくてもよい。認証制御サーバ装置が認証サーバ装置15に認証対象情報に対応する第1情報を提供する「第1処理」、および、認証サーバ装置16に認証対象情報に対応する第2情報を提供する「第2処理」の両方の実行が可能であり、認証サーバ装置15,16から認証結果を得られるのであればどのような構成でもよい。すなわち、認証対象情報のデータ内容が第1認証方式に則っていないにもかかわらず、認証対象情報に対応する第1情報が第1認証方式に則った認証処理を行う認証サーバ装置15に送信された場合(第1処理の場合)、その認証は不合格(NG)となる。同じく、認証対象情報のデータ内容が第2認証方式に則っていないにもかかわらず、認証対象情報に対応する第2情報が第2認証方式に則った認証処理を行う認証サーバ装置16に送信された場合(第2処理の場合)、その認証は不合格(NG)となる。そのため、認証制御サーバ装置が最初に第1,2処理の何れかを実行し、そこで得られた認証結果が不合格(NG)であれば次に他方の処理(第1処理が行われた場合には第2処理、第2処理が行われた場合には第1処理)が行われてもよい。最初に第2処理を実行し、そこで得られた認証結果が不合格(NG)であれば次に第1処理を実行してもよいし、最初に第1処理を実行し、そこで得られた認証結果が不合格(NG)であれば次に第2処理を実行してもよい。最初に行われた処理で認証結果が合格(OK)となれば、他方の処理を実行することなく認証が合格である旨の認証結果(OK)が通信サーバ装置13に返される。他方の処理で認証結果が合格(OK)となった場合も、認証が合格である旨の認証結果(OK)が通信サーバ装置13に返される。一方、第1,2処理の何れの場合も認証結果が不合格(NG)であれば、認証が不合格である旨の認証結果(NG)が通信サーバ装置13に返される。以下に、認証制御サーバ装置が最初に第2処理を実行し、そこで得られた認証結果が不合格(NG)であれば次に第1処理を実行する場合の具体例を示す。
図1に例示するように、本形態の認証制御システム4は、第1実施形態の認証制御システム1の認証制御サーバ装置14を認証制御サーバ装置44に置換したものである。
図7に例示するように、本形態の認証制御サーバ装置44は、受信部141a,141b、送信部142a(提供部)、送信部142b、認証処理部443、および通信処理部445を有する。その他の構成は第1実施形態と同じである。
第1実施形態と同じである。
<クライアント装置11の認証処理>
第1実施形態との相違点は、前述した認証制御サーバ装置14の処理が以下のように置換される点である。ただし、第1認証対象情報(ID1,PW1)のPW1のヘッダ領域H1は不要である。領域H1がヌルであってもよいし、図6Aに例示したような第1認証対象情報(ID1,PW1)であってもよい。ステップS13−1で送信された第1認証対象情報(ID1,PW1)に対応する情報は、認証制御サーバ装置44(図7)の受信部141aで受信される。受信部141aは、第1認証対象情報(ID1,PW1)に対応する情報から得られる第1認証対象情報(ID1,PW1)を認証処理部443に送る。
第1実施形態との相違点は、前述した認証制御サーバ装置14の処理が以下のように置換される点である。ただし、第2認証対象情報(ID2,PW2)のPW2のヘッダ領域H2は不要である。領域H2がヌルであってもよいし、図6Bに例示したような第2認証対象情報(ID2,PW2)であってもよい。ステップS13−2で送信された第2認証対象情報(ID2,PW2)に対応する情報は、認証制御サーバ装置44(図7)の受信部141aで受信される。受信部141aは、第2認証対象情報(ID2,PW2)に対応する情報から得られる第2認証対象情報(ID2,PW2)を認証処理部443に送る。
第3実施形態において、認証制御サーバ装置の判定部が第1認証対象情報(ID1,PW1)または第2認証対象情報(ID2,PW2)である認証対象情報のデータ内容が第1認証方式に則っているか第2認証方式に則っているかを判定しないこととしてもよい。すなわち、第3実施形態において第4実施形態と同様に、認証制御サーバ装置が最初に第1,2処理の何れかを実行し、そこで得られた認証結果が不合格(NG)であれば次に他方の処理(第1処理が行われた場合には第2処理、第2処理が行われた場合には第1処理)が行われてもよい。最初に行われた処理で認証結果が合格(OK)となれば、他方の処理を実行することなく認証が合格である旨の認証結果(OK)が通信サーバ装置13に返される。他方の処理で認証結果が合格(OK)となった場合も、認証が合格である旨の認証結果(OK)が通信サーバ装置13に返される。一方、第1,2処理の何れの場合も認証結果が不合格(NG)であれば、認証が不合格である旨の認証結果(NG)が通信サーバ装置13に返される。
<クライアント装置32の認証処理>
まず、第3実施形態のクライアント装置32の認証処理で説明したステップS122−2からステップS33−2までの処理が実行される。ステップS33−2で送信された第2認証対象情報(ID2,PW2)に対応する情報は、認証制御サーバ装置44(図7)の受信部141aで受信される。受信部141aは、第2認証対象情報(ID2,PW2)に対応する情報から得られる第2認証対象情報(ID2,PW2)を認証処理部443に送る。
第4実施形態の変形例1のさらなる変形として、第3実施形態の変形例1で説明したように、認証サーバ装置36で新たに生成したワンタイムパスワードであるワンタイムトークンを「第2識別子」としてもよい。また、事前認証処理として第3実施形態の変形例2のものが用いられてもよい。
なお、本発明は上述の実施形態に限定されるものではない。例えば、認証制御サーバ装置14,24,34が、認証対象情報のデータ内容が第2認証方式に則っていないと判定した場合に、認証サーバ装置15(第1認証サーバ装置)に認証対象情報に対応する第1情報を送信してもよい。また認証制御サーバ装置14,24,34が、認証対象情報のデータ内容が第1認証方式に則っていないと判定した場合に、認証サーバ装置16,36(第2認証サーバ装置)に認証対象情報に対応する第2情報を送信してもよい。
(例1)両方の認証結果が合格(OK)の場合に認証結果情報が合格(OK)を表し、それ以外の場合に認証結果情報が不合格(NG)を表す。
(例2)両方の認証結果が不合格(NG)の場合に認証結果情報が不合格(NG)を表し、それ以外の場合に認証結果情報が合格(OK)を表す。
また、通常のセキュリティレベルが要求される場合には前述の実施形態の処理を行い、高いセキュリティレベルが要求される場合にこのような処理がなされてもよい。セキュリティレベルの向上のためには(例2)よりも(例1)のほうが望ましい。またシステム構成上、認証サーバ装置15での認証が必須である場合や、認証サーバ装置15での認証を必要としている他のシステムを変更できない場合などにも(例1)が望ましい。
13 通信サーバ装置
14,24,34 認証制御サーバ装置(サーバ装置)
15,16,36 認証サーバ装置
Claims (12)
- データ形式およびデータ内容が第1認証方式に則った第1認証対象情報に対応する情報の受信、および、データ形式が前記第1認証方式に則り、データ内容が前記第1認証方式とは異なる第2認証方式に則った第2認証対象情報に対応する情報の受信、の両方が可能な受信部と、
前記第1認証方式に則った認証処理を行う第1認証サーバ装置に前記第1認証対象情報または前記第2認証対象情報である認証対象情報に対応する第1情報を提供する第1処理、および、前記第2認証方式に則った認証処理を行う第2認証サーバ装置に前記認証対象情報に対応する第2情報を提供する第2処理の両方の実行が可能な提供部と、
前記第1情報に基づいた前記第1認証サーバ装置での認証結果および前記第2情報に基づいた前記第2認証サーバ装置での認証結果の少なくとも一方に基づく認証結果情報を前記認証対象情報に対応する情報の送信元に送信する送信部と、
を有するサーバ装置。 - 請求項1のサーバ装置であって、
前記提供部は、前記第2処理に対する前記第2認証サーバ装置での認証結果が不合格の場合に前記第1処理を行う、サーバ装置。 - 請求項1のサーバ装置であって、
前記認証対象情報のデータ内容が前記第1認証方式に則っているか否か、および、前記認証対象情報のデータ内容が前記第1認証方式とは異なる第2認証方式に則っているか否か、の少なくとも一方を判定する判定部をさらに有し、
前記認証対象情報のデータ内容が前記第1認証方式に則っている場合または前記第2認証方式に則っていない場合に前記第1認証サーバ装置に前記第1情報を提供し、前記認証対象情報のデータ内容が前記第2認証方式に則っている場合または前記第1認証方式に則っていない場合に前記第2認証サーバ装置に前記第2情報を提供する、サーバ装置。 - 請求項1から3の何れかのサーバ装置であって、
前記認証対象情報は、識別子領域およびパスワード領域を含み、
前記第1情報は、前記識別子領域に格納されている第1識別子および前記パスワード領域に格納されている第1認証情報を含む情報に対応し、
前記第2情報は、前記識別子領域に格納されている第2識別子および前記パスワード領域に格納されている第2認証情報を含む情報に対応し、
前記第1認証情報はパスワードに対応し、
前記第2認証情報はパスワード以外の認証情報に対応する、サーバ装置。 - 請求項1から4の何れかのサーバ装置であって、
前記認証対象情報は、前記第2認証サーバ装置で行われた事前認証処理に対応する第2識別子を含み、
前記第2情報は、前記第2識別子に対応する情報を含む情報に対応し、
前記第2認証サーバ装置での認証結果は、前記第2認証サーバ装置で前記第2識別子に対応する情報を用いて行われた再認証結果である、サーバ装置。 - 請求項1から5の何れかのサーバ装置であって、
前記提供部は、前記認証対象情報のデータ内容が前記第2認証方式に則っている場合に、さらに前記第1認証サーバ装置に前記第1情報を提供し、
前記送信部は、
前記認証対象情報のデータ内容が前記第1認証方式に則っている場合または前記第2認証方式に則っていない場合に、前記第1情報に基づいた前記第1認証サーバ装置での認証結果を表す前記認証結果情報を前記送信元に送信し、
前記認証対象情報のデータ内容が前記第2認証方式に則っている場合に、前記第1情報に基づいた前記第1認証サーバ装置での認証結果および前記第2情報に基づいた前記第2認証サーバ装置での認証結果、の両方に基づく前記認証結果情報を前記送信元に送信する、サーバ装置。 - 請求項1から6の何れかのサーバ装置であって、
前記認証対象情報が認証方式を判定するための判定情報を含み、
前記判定部は、少なくとも前記判定情報を用い、前記認証対象情報のデータ内容が前記第1認証方式に則っているか否か、および、前記認証対象情報のデータ内容が前記第1認証方式とは異なる第2認証方式に則っているか否か、の少なくとも一方を判定する、サーバ装置。 - 請求項7のサーバ装置であって、
前記判定部は、さらに前記判定情報に対応する認証方式を特定する対応表を用い、前記認証対象情報のデータ内容が前記第1認証方式に則っているか否か、および、前記認証対象情報のデータ内容が前記第1認証方式とは異なる第2認証方式に則っているか否か、の少なくとも一方を判定する、サーバ装置。 - (a)第1認証方式に則ったデータ内容の第1入力認証情報を第1認証方式に則ったデータ形式の第1認証対象情報とし、前記第1認証対象情報に対応する情報を通信サーバ装置に送信する第1クライアント装置と、
(b)前記第1認証方式とは異なる第2認証方式に則ったデータ内容の第2入力認証情報を前記第1認証方式に則ったデータ形式の第2認証対象情報に変換し、前記第2認証対象情報に対応する情報を前記通信サーバ装置に送信する第2クライアント装置と、
(c)前記第1認証対象情報または前記第2認証対象情報である認証対象情報に対応する情報を前記通信サーバ装置から受信し、
前記第1認証方式に則った認証処理を行う第1認証サーバ装置に前記認証対象情報に対応する第1情報を提供する第1処理、および、前記第2認証方式に則った認証処理を行う第2認証サーバ装置に前記認証対象情報に対応する第2情報を提供する第2処理の両方の実行が可能であり、
前記第1情報に基づいた前記第1認証サーバ装置での認証結果および前記第2情報に基づいた前記第2認証サーバ装置での認証結果の少なくとも一方に基づく認証結果情報を前記通信サーバ装置に送信するサーバ装置と、
を有する認証制御システム。 - データ形式およびデータ内容が第1認証方式に則った第1認証対象情報に対応する情報の受信、および、データ形式が前記第1認証方式に則り、データ内容が前記第1認証方式とは異なる第2認証方式に則った第2認証対象情報に対応する情報の受信、の両方が受信部で可能なステップと、
提供部が、前記第1認証方式に則った認証処理を行う第1認証サーバ装置に前記第1認証対象情報または前記第2認証対象情報である認証対象情報に対応する第1情報を提供する第1処理、および、前記第2認証方式に則った認証処理を行う第2認証サーバ装置に前記認証対象情報に対応する第2情報を提供する第2処理の両方を実行可能なステップと、
送信部が、前記第1情報に基づいた前記第1認証サーバ装置での認証結果および前記第2情報に基づいた前記第2認証サーバ装置での認証結果の少なくとも一方に基づく認証結果情報を前記認証対象情報に対応する情報の送信元に送信するステップと、
を有する認証制御方法。 - (a)第1クライアント装置が、第1認証方式に則ったデータ内容の第1入力認証情報を第1認証方式に則ったデータ形式の第1認証対象情報とし、前記第1認証対象情報に対応する情報を通信サーバ装置に送信するステップと、
(b)第2クライアント装置が、第1認証方式とは異なる第2認証方式に則ったデータ内容の第2入力認証情報を前記第1認証方式に則ったデータ形式の第2認証対象情報に変換し、前記第2認証対象情報に対応する情報を前記通信サーバ装置に送信するステップと、
(c)サーバ装置が、
前記第1認証対象情報または前記第2認証対象情報である認証対象情報に対応する情報を前記通信サーバ装置から受信し、
前記第1認証方式に則った認証処理を行う第1認証サーバ装置に前記認証対象情報に対応する第1情報を提供する第1処理、および、前記第2認証方式に則った認証処理を行う第2認証サーバ装置に前記認証対象情報に対応する第2情報を提供する第2処理の両方の実行が可能であり、
前記第1情報に基づいた前記第1認証サーバ装置での認証結果および前記第2情報に基づいた前記第2認証サーバ装置での認証結果の少なくとも一方に基づく認証結果情報を前記通信サーバ装置に送信するステップと、
を有する認証制御方法。 - 請求項1から8の何れかのサーバ装置としてコンピュータを機能させるためのプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562269598P | 2015-12-18 | 2015-12-18 | |
US62/269,598 | 2015-12-18 | ||
PCT/JP2016/087386 WO2017104750A1 (ja) | 2015-12-18 | 2016-12-15 | 認証制御システム、サーバ装置、クライアント装置、認証制御方法、認証方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2017104750A1 JPWO2017104750A1 (ja) | 2018-09-13 |
JP6574265B2 true JP6574265B2 (ja) | 2019-09-11 |
Family
ID=59056891
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017556441A Active JP6574265B2 (ja) | 2015-12-18 | 2016-12-15 | 認証制御システム、サーバ装置、認証制御方法、及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US10979411B2 (ja) |
EP (1) | EP3376709B1 (ja) |
JP (1) | JP6574265B2 (ja) |
CN (1) | CN108292997B (ja) |
WO (1) | WO2017104750A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11190514B2 (en) * | 2019-06-17 | 2021-11-30 | Microsoft Technology Licensing, Llc | Client-server security enhancement using information accessed from access tokens |
US11997486B2 (en) * | 2019-12-20 | 2024-05-28 | Lenovo (Singapore) Pte. Ltd | Method and system of providing WiFi credentials through remote invitations |
JP2021140338A (ja) | 2020-03-03 | 2021-09-16 | 株式会社リコー | 中継サーバ、認証システム、中継方法およびプログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05336108A (ja) * | 1992-06-04 | 1993-12-17 | Toshiba Corp | 無線通信システム |
EP1806869A4 (en) | 2004-10-28 | 2009-05-27 | Mitsubishi Electric Corp | COMMUNICATION DEVICE AND COMMUNICATION METHOD |
JP2007011755A (ja) * | 2005-06-30 | 2007-01-18 | Sumitomo Mitsui Banking Corp | ロック機能付き出金システム、その方法およびプログラム |
US8171531B2 (en) * | 2005-11-16 | 2012-05-01 | Broadcom Corporation | Universal authentication token |
JP2009025936A (ja) * | 2007-07-18 | 2009-02-05 | Seiko Epson Corp | 仲介サーバ、その制御方法及びそのプログラム |
US8910256B2 (en) | 2008-08-08 | 2014-12-09 | Microsoft Corporation | Form filling with digital identities, and automatic password generation |
US8800022B2 (en) | 2010-07-01 | 2014-08-05 | Broadcom Corporation | Method and system for handling security in an IP multimedia gateway |
US8434132B2 (en) * | 2010-08-31 | 2013-04-30 | Intel Corporation | Roaming between networks employing different authentication protocols |
US10069827B2 (en) * | 2012-10-31 | 2018-09-04 | International Business Machines Corporation | Extending authentication and authorization capabilities of an application without code changes |
JP2014143568A (ja) | 2013-01-24 | 2014-08-07 | Canon Inc | 認証システム及び認証子変換器 |
US20140331337A1 (en) * | 2013-05-02 | 2014-11-06 | International Business Machines Corporation | Secure isolation of tenant resources in a multi-tenant storage system using a gatekeeper |
US9202031B2 (en) * | 2014-02-10 | 2015-12-01 | Level 3 Communications, Llc | Authentication system and method |
-
2016
- 2016-12-15 JP JP2017556441A patent/JP6574265B2/ja active Active
- 2016-12-15 CN CN201680070364.4A patent/CN108292997B/zh active Active
- 2016-12-15 US US15/781,292 patent/US10979411B2/en active Active
- 2016-12-15 WO PCT/JP2016/087386 patent/WO2017104750A1/ja active Application Filing
- 2016-12-15 EP EP16875727.6A patent/EP3376709B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2017104750A1 (ja) | 2017-06-22 |
EP3376709A4 (en) | 2019-09-25 |
JPWO2017104750A1 (ja) | 2018-09-13 |
CN108292997A (zh) | 2018-07-17 |
EP3376709B1 (en) | 2020-10-21 |
US10979411B2 (en) | 2021-04-13 |
EP3376709A1 (en) | 2018-09-19 |
CN108292997B (zh) | 2021-07-09 |
US20180359234A1 (en) | 2018-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11665006B2 (en) | User authentication with self-signed certificate and identity verification | |
US11329981B2 (en) | Issuing, storing and verifying a rich credential | |
CN110493202B (zh) | 登录令牌的生成及验证方法、装置和服务器 | |
CN108092776B (zh) | 一种基于身份认证服务器和身份认证令牌的系统 | |
KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
US8667280B2 (en) | Method and apparatus for applying a partial password in a multi-factor authentication scheme | |
US20210234857A1 (en) | Authentication system, authentication method, and application providing method | |
US20180167388A1 (en) | Distributed storage of authentication data | |
US20170048225A1 (en) | Method, Apparatus, and System for Secure Authentication | |
US11343243B2 (en) | Machine-to-machine streaming authentication of network elements | |
US20210073359A1 (en) | Secure one-time password (otp) authentication | |
JP6574265B2 (ja) | 認証制御システム、サーバ装置、認証制御方法、及びプログラム | |
KR20170053063A (ko) | 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법 | |
US20230403155A1 (en) | Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication | |
JP2010033562A (ja) | 通信端末、認証情報生成装置、認証システム、認証情報生成プログラム、認証情報生成方法および認証方法 | |
US20220263818A1 (en) | Using a service worker to present a third-party cryptographic credential | |
KR102094606B1 (ko) | 인증 장치 및 방법 | |
KR20220122224A (ko) | 사용자 단말 및 대상 서버에서의 분산 id에 기반한 사용자 통합 인증 방법 | |
Sadqi et al. | A cryptographic mutual authentication scheme for web applications | |
JPWO2020121459A1 (ja) | 認証システム、クライアントおよびサーバ | |
US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
US20230104633A1 (en) | Management system and method for user authentication on password based systems | |
JP6172774B2 (ja) | ユーザ認証を管理するための方法、デバイス、及びシステム | |
JP6398308B2 (ja) | 情報処理システム、情報処理方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180522 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180522 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20180522 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190611 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190729 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190813 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190815 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6574265 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |