JPWO2015004744A1 - 認証装置、認証方法、およびプログラム - Google Patents
認証装置、認証方法、およびプログラム Download PDFInfo
- Publication number
- JPWO2015004744A1 JPWO2015004744A1 JP2015526056A JP2015526056A JPWO2015004744A1 JP WO2015004744 A1 JPWO2015004744 A1 JP WO2015004744A1 JP 2015526056 A JP2015526056 A JP 2015526056A JP 2015526056 A JP2015526056 A JP 2015526056A JP WO2015004744 A1 JPWO2015004744 A1 JP WO2015004744A1
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- challenge
- client terminal
- user
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000004044 response Effects 0.000 claims abstract description 99
- 238000007726 management method Methods 0.000 description 71
- 230000006854 communication Effects 0.000 description 38
- 238000004891 communication Methods 0.000 description 35
- 238000010586 diagram Methods 0.000 description 26
- 230000008569 process Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 4
- 239000007787 solid Substances 0.000 description 4
- 230000007704 transition Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000002194 synthesizing effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
図1は、本発明の認証装置の第1実施形態であるプロキシサーバ1を含む業務情報システムの構成例を示す図である。同図に示す業務情報システムは、プロキシ内部ユーザ情報を保持し、これを提供するディレクトリサービス2を有するプロキシサーバ1と、プロキシサーバ1を介して接続先サーバ3のリソースにアクセスする際に用いられるクライアント端末4と、たとえばCIFS(Common Internet File System)プロトコルによりファイル共有サービスを提供する接続先サーバ3と、外部ユーザ情報を格納するディレクトリサービス5を有し、外部ユーザ情報をディレクトリサービス5によって提供するパスワード管理サーバ6とを有する。また、プロキシサーバ1とクライアント端末4とは不図示のネットワークを介して接続されている。また、接続先サーバ3およびパスワード管理サーバ6はプロキシサーバ1を介して不図示のネットワークに接続されている。
プロキシサーバ1は、クライアント端末4から不図示のネットワークを介して接続先サーバ3へのリモートログイン要求を一元的に受け付ける装置であって、ネットワークセキュリティ境界に設置される。プロキシサーバ1は、クライアント端末4からの通信に関してのアクセス制御、およびログ取得による監査を行うことができる。たとえば、CIFS(Common Internet File System)、TELNET(Telecommunication network)、SSH(Secure SHell)、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、WindowsRDP(Remote Desktop Protocol)などの各種プロトコルについてのアクセス制御、およびログ取得を行うことができるように構成されている。また、後述するが、プロキシサーバ1は、パスワード管理サーバ6に対してクライアント端末4からの認証要求を転送してユーザ認証を実行させることも可能である。
クライアント端末4は、接続先サーバ3へ接続するためのコンピュータである。クライアント端末4は、たとえばノートパソコンであり、業務情報システムのユーザがプロキシサーバ1、接続先サーバ3へと接続する際に用いられる。なお、クライアント端末4は、ノートパソコンではなく、デスクトップパソコンやタブレット端末などであってもよい。クライアント端末4は、ユーザによって、接続先サーバ3へログインするためのユーザIDとパスワードが入力されると、プロキシサーバ1に対してセッション確立をするための認証要求を送信することができる。なお、クライアント端末4は、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的にはWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録商標)などの各種クライアント用のOS、コンピュータプログラム等によって実現される。
不図示のネットワークは、インターネットやローカルエリアネットワーク(LAN)等を組み合わせて構築されたものである。しかしながら、プロキシサーバ1、クライアント端末4、接続先サーバ3およびパスワード管理サーバ6は、互いに専用回線にて接続される構成であってもよい。
接続先サーバ3は、たとえばファイル共有サービスを提供するサーバである。パスワード管理サーバ6は、常に登録されている必要があるユーザ情報を管理するディレクトリサービス5を提供するサーバである。パスワード管理サーバ6では、外部ユーザ情報を提供するためのディレクトリサービス5が実行されている。なお、接続先サーバ3およびパスワード管理サーバ6は、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的にはたとえばWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録商標)などのサーバ用のOS、コンピュータプログラム等によって実現される。
図2は、図1に示すプロキシサーバ1の機能構成例を示すブロック図である。プロキシサーバ1は、認証制御部11と記憶部12とを少なくとも有している。認証制御部11は、更に第1認証処理部21と、第2認証処理部22および通信記録制御部23とを有している。第1認証処理部21は、チャレンジ生成部31と、レスポンス取得部32と、認証処理部33とを更に有している。第2認証処理部22は、認証要求転送部41、チャレンジ転送部42、レスポンス転送部43、認証結果転送部44を有している。また記憶部12には、制御プログラム51、プロキシ内部ユーザ情報52が記憶されている。
図3は、図1の構成における各装置間の通信を示した図である。図3に示すように、まず、クライアント端末4は、認証要求1をプロキシサーバ1へ送信する(S1)。プロキシサーバ1のチャレンジ生成部31は、認証要求1を受信するとランダムな数字列のチャレンジ1を生成して、クライアント端末4へ送信する(S2)。クライアント端末4は、ユーザが入力したパスワードとこのチャレンジ1を特定のアルゴリズムに従って合成し、レスポンス1を作成してプロキシサーバ1に送信する(S3)。プロキシサーバ1のレスポンス取得部32がクライアント端末2からレスポンス1を取得する。そして、プロキシサーバ1の認証処理部33がチャレンジ1とあらかじめディレクトリサービス2に登録されているプロキシ内部ユーザ情報52を参照して、該当のユーザのパスワードを特定する。そして、プロキシサーバ1の認証処理部33は、特定したパスワードからレスポンスを作成し、送られてきたレスポンス1と比較する。そして、プロキシサーバ1の認証処理部33は、両者を比較した結果の認証結果1をクライアント端末4へ送信する(S4)。なお、ここで、認証結果1においてユーザが登録されておらず認証できなかった場合には、ユーザに対して認証情報の入力が再度求められる。
図4は、図3の通信処理によってクライアント端末4側で表示される画面の一例を示す図である。なお、ユーザは接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前申請しなくても利用できるようにしてもよい。
図5は、本発明の認証装置の第2実施形態であるプロキシサーバ1Aを含む業務情報システムの構成例を示す図である。図5には、ユーザ認証に関わる処理の説明が模式的に示されている。なお、図5に示す業務情報システムにおいて、第1実施形態と同様の部分に関しては同一の符号を付し、説明を省略する。
図8は、クライアント端末4での画面遷移例を示す図である。なお、ユーザは接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前申請しなくても利用できるようにしてもよい。
図9は、プロキシサーバ1Aの認証判定処理の一例を示すフローチャートである。プロキシサーバ1は、以下に説明する判定処理により、どのような認証方法を採用するのかを決定する。なお、図9に示す認証判定処理は、このプロキシサーバ1Aが起動するか、認証判定処理を実行する機能がONになると処理が開始される(START)。まず、プロキシサーバ1Aは、ユーザ認証を実行するに際に内部のディレクトリサービス2を利用する設定となっているか否かを判定する(S41)。そしてプロキシサーバ1Aは、ユーザ認証を実行するに際に内部のディレクトリサービス2を利用する設定となっている場合には(S41でYES)、さらに外部のディレクトリサービス5を有するパスワード管理サーバ6のアドレスが登録されているか否かを判定する(S42)。一方、プロキシサーバ1Aは、内部のディレクトリサービス2を利用する設定となっていない場合には(S41でNO)、外部のディレクトリサービス5を利用する処理(後述の図10)を実行する(S43)。
以上のように、プロキシサーバ1,1Aは、クライアント端末4からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置であって、クライアント端末4からの認証要求を受信すると、ディレクトリサービス5を提供している外部のパスワード管理サーバ6へその認証要求を転送し、転送した認証要求に基づいてパスワード管理サーバ6より送信されてくるチャレンジを取得し、取得したチャレンジをクライアント端末4へ送信し、クライアント端末4から送信されてきたレスポンスとパスワード管理サーバ6から取得したチャレンジに基づいてユーザ認証を実行する構成となっている。このような構成により、プロキシサーバ1,1Aはパスワード管理サーバ6が発行するチャレンジをクライアント端末4との間でのユーザ認証において利用することができ、クライアント端末4のユーザがパスワード管理サーバ6に登録されているユーザである場合には、パスワード管理サーバ6に対してクライアント端末4から受け取ったレスポンスを転送して、その後にパスワード管理サーバ6との間でのチャレンジ/レスポンス方式のユーザ認証を実行させることが可能となる。すなわち、プロキシサーバ1,1A(認証装置)は、内部のディレクトリサービス2に登録されていないユーザに対してもチャレンジ/レスポンス方式のユーザ認証を適切に実行することができる。
Claims (4)
- クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証
を行う認証装置であって、
前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送部と、
前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得部と、
前記チャレンジ取得部により取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送部と、
前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理部と
を有することを特徴とする認証装置。
- 請求項1に記載の認証装置であって、
前記認証処理部は、
内部のディレクトリサービスで保持されているユーザ情報に前記クライアント端末のユーザが存在し、かつチャレンジ/レスポンス方式のユーザ認証が成功した場合にはその成功した認証結果を前記クライアント端末へ送信し、内部のディレクトリサービスで保持されているユーザ情報に前記クライアント端末のユーザが存在しない場合には、前記クライアント端末から送信されてきたレスポンスを前記外部のサーバへと転送し、前記外部のサーバとの間でチャレンジ/レスポンス方式のユーザ認証を実行し、外部のサーバから送信されてくる認証結果を、前記クライアント端末のユーザの認証結果としてクライアント端末へと送信する
ことを特徴とする認証装置。
- 認証要求転送部と、チャレンジ取得部と、チャレンジ転送部と、認証処理部とを有し、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置で用いられる認証方法において、
前記認証要求転送部が、前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送ステップと、
前記チャレンジ取得部が、前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得ステップと、
前記チャレンジ転送部が、前記チャレンジ取得ステップにより取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送ステップと、
前記認証処理部が、前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得ステップで取得したチャレンジに基づいてユーザ認証を実行する
ことを特徴とする認証方法。
- クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証
を行う認証装置としてコンピュータを機能させるためのプログラムであって、
前記コンピュータを、
前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送手段と、
前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得手段と、
前記チャレンジ取得部により取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送手段と、
前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理手段
として機能させるためのプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2013/068842 WO2015004744A1 (ja) | 2013-07-10 | 2013-07-10 | 認証装置、認証方法、およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6055546B2 JP6055546B2 (ja) | 2016-12-27 |
JPWO2015004744A1 true JPWO2015004744A1 (ja) | 2017-02-23 |
Family
ID=52279470
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015526056A Active JP6055546B2 (ja) | 2013-07-10 | 2013-07-10 | 認証装置、認証方法、およびプログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6055546B2 (ja) |
WO (1) | WO2015004744A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210374219A1 (en) * | 2018-10-22 | 2021-12-02 | Sony Interactive Entertainment Inc. | Information processing system, input device, user authentication method, server device, and biometric authentication device |
JP7322732B2 (ja) * | 2020-02-03 | 2023-08-08 | トヨタ自動車株式会社 | 認証システム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002366550A (ja) * | 2001-06-08 | 2002-12-20 | Fujitsu Ltd | 個人情報管理装置、個人情報管理方法、記録媒体およびプログラム |
JP2003318894A (ja) * | 2002-02-21 | 2003-11-07 | Matsushita Electric Ind Co Ltd | チャレンジ−レスポンス方式による機器間の認証処理方法 |
JP2008529368A (ja) * | 2005-01-28 | 2008-07-31 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信システムにおけるユーザ認証及び認可 |
JP2010282596A (ja) * | 2009-06-02 | 2010-12-16 | Canon Software Information Systems Inc | 情報処理装置、およびその制御方法、情報処理システム、プログラム、記録媒体。 |
-
2013
- 2013-07-10 WO PCT/JP2013/068842 patent/WO2015004744A1/ja active Application Filing
- 2013-07-10 JP JP2015526056A patent/JP6055546B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002366550A (ja) * | 2001-06-08 | 2002-12-20 | Fujitsu Ltd | 個人情報管理装置、個人情報管理方法、記録媒体およびプログラム |
JP2003318894A (ja) * | 2002-02-21 | 2003-11-07 | Matsushita Electric Ind Co Ltd | チャレンジ−レスポンス方式による機器間の認証処理方法 |
JP2008529368A (ja) * | 2005-01-28 | 2008-07-31 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信システムにおけるユーザ認証及び認可 |
JP2010282596A (ja) * | 2009-06-02 | 2010-12-16 | Canon Software Information Systems Inc | 情報処理装置、およびその制御方法、情報処理システム、プログラム、記録媒体。 |
Also Published As
Publication number | Publication date |
---|---|
WO2015004744A1 (ja) | 2015-01-15 |
JP6055546B2 (ja) | 2016-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8065390B2 (en) | Virtual folders for tracking HTTP sessions | |
US8220042B2 (en) | Creating secure interactive connections with remote resources | |
US7721322B2 (en) | Enterprise service-to-service trust framework | |
JP5494816B2 (ja) | 通信制御装置、システム、方法及びプログラム | |
JP5296726B2 (ja) | Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム | |
US20120246226A1 (en) | System and method for sharing data from a local network to a remote device | |
US20070220154A1 (en) | Authentication and authorization of extranet clients to a secure intranet business application in a perimeter network topology | |
US11469894B2 (en) | Computing system and methods providing session access based upon authentication token with different authentication credentials | |
JP2010531516A (ja) | 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
JP2020177537A (ja) | 認証認可サーバー、クライアント、サービス提供システム、アクセス管理方法とプログラム | |
US10032027B2 (en) | Information processing apparatus and program for executing an electronic data in an execution environment | |
CA2912774C (en) | Providing single sign-on for wireless devices | |
JP6055546B2 (ja) | 認証装置、認証方法、およびプログラム | |
JP6185934B2 (ja) | サーバー・アプリケーションと多数の認証プロバイダーとの統合 | |
US11095436B2 (en) | Key-based security for cloud services | |
JP6076890B2 (ja) | 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体 | |
US20200204544A1 (en) | Biometric security for cloud services | |
JP6266049B1 (ja) | 情報処理システム、情報処理方法、情報処理装置及びプログラム | |
JP6100376B2 (ja) | 中継処理装置、中継処理方法、およびプログラム | |
JP2006319909A (ja) | データ通信の方法、ピアツーピア型のネットワーク、および情報処理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161012 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161129 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161202 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6055546 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |