WO2004090738A1 - パスワード変更システム - Google Patents

Abstract

同一のパスワードにより、利用者の正当性を認証する複数のアプリサーバにおいて、複数のアプリサーバのうち何れかがパスワードの変更に失敗した場合でも、複数のアプリサーバのパスワードを統一することのできる管理サーバを提供することを目的とする。　　管理サーバはパスワード変更を行う際、何れかのアプリサーバでパスワード変更が失敗した場合に、既にパスワードの変更を終えているアプリサーバのパスワードを元のパスワードに戻す。

Description

明 細 書

パスヮー ド変更システム

技術分野

本発明は、 パスワー ド変更システムに関する。 背景技術

従来-,利用者に複数のサービスを提供する場合に、 サービスを提供する 各アプリケーションプログラムが、 同一のパスワードを用いて、 利用者 の正当性を認証することが広く行われている。

このように、 複数のサービスに対して同一パスワー ドを使用する場合 において、 安全性を確保するため、 利用者はしばしばパスワー ドの変更 を行う必要がある。

特許文献 1では、 同一のパスヮードを用いる複数のサービスのパスヮ ー ド変更方法が開示されている。 このパスワー ド変更方法によると、 パ スワード管理装置は、 サービスを提供する各アプリケーションプログラ ムを順次起動し、 パスワー ドの変更を指示する。 この際に、 複数のプリ ケーシヨンプログラムのうち、 何れかが正常にパスヮードを変更できな いという障害が発生することがある。

パスワードが正常に変更できない場合としては、 例えば、 システムの 外部ディ スクのハード障害や瞬断などの電源不良、 あるいはネッ トヮ一 クケーブルの接続不良などの場合が有り得る。

このような障害が発生すると、 パスワード管理装置は、 正常にパスヮ 一ド変更できないアプリケーションプログラムについては、 利用者が該 当するサービスを利用するためにアプリケーションプログラムを再起動 したときに、 利用者に再度のパスワード変更の操作を促す。

そのため、 前記アプリ ケーシヨ ンプログラムの再起動を契機として、 複数のサービスに対するパスヮ一ドの整合性を維持することが可能であ る。

しかしながら、 特許文献 1の方法では、 パスワード変更に失敗したサ —ビスのパスヮ一 ドは、 次にアプリケーションを起動するまで他のサー ビスと同一のパスワー ドには保たれていないという問題が発生している。 特許文献 1 特開 2 0 0 2 — 169777号公報

発明の開示

そこで本発明はかかる問題点に鑑みてなされたものであり、 複数のァ プリケ一ション装置のうち何れかがパスヮ一 ドの変更に失敗した場合で ¾ , 複数のアプリケーション装置のパスヮ一ドを統一することのできる 管理サーバ装置、 アプリ ケーショ ン装置、 パスワー ド変更システムを提 供することを目的とする。

上記目的を達成するために本発明は、 一のパスワー ドにより認証した 一の利用者へ各サービスを提供する複数のアプリケーシヨン装置に対し て、 当該パスワー ドの更新を指示する管理サーバ装置であって、 全ての アプリケーショ ン装置のパスワー ドの更新を試みる第 1手段と、 各アブ リケ一シ ョン装置について、 パスヮ一ドの更新が不可能か否かを判断す る第 2手段と、 不可能と判断されるアプリケ一シヨン装置が少なく とも

1台存在する場合に、 全てのアプリケ一シ ョン装置のパスヮ一ドを更新 前のものとする第 3手段とを備える。

この構成によると、 前記第 2手段によりパスヮードの更新が不可能で あると判断されるアプリケーション装置が存在すると判断される場合で も、 全てのアプリケーシ ョ ン装置のパスワードを更新前のものとするこ とで、 複数のアプリケ一ション装置のパスヮードの統一を保つことがで きる。

前記管理サーバ装置は、 さらに、 利用者装置からパスワードの更新の 要求を受信する第 4手段を含み、 前記第 1手段は、 受信した前記更新の 要求に基づいて、 パスワードの更新を試みるとしてもよい。

この構成により、 前記管理サーバ装置は、 利用者の意思に基づきパス ヮードの更新を試みることができる。

, また、 前記管理サーバ装置において、 前記第 1手段は、 全てのアプリ ケーション装置に対してパスヮ一ドの更新を指示し、 前記第 2手段は、 各アプリケーショ ン装置について、 パスヮードの更新が失敗したか否か を判断し、 前記第 3手段は、 少なく とも 1台のアプリケーショ ン装置に ついて、 更新が失敗したと判断される場合に、 パスヮー ドの更新が成功 した他のアプリケーション装置に対して、 更新前のパスヮードへの復元 を指示する。

これによると、 前記第 2判断手段は、 何れかのアプリケーショ ン装置 のパスワード更新が失敗したか否かを判断し 前記第 3判断手段は、 少 なく とも 1台のアプリケーショ ン装置のパスヮ一ド更新が失敗したと判 断される場合に、 パスフー ド更新が成功したアプリケ一ショ ン装置に対 し、 更新前のパスワードへの復元を指示するので、 前記アプリケーショ ン装置のうち何れかが、 パスワードの更新に失敗した場合にも、 全ての アプリケ一ション装置のパスヮ一ドを速やかに統一することができる。 本発明において、 前記第 4手段は、 利用者の新パスワー ドと旧パスヮ —ドとを含む前記更新の要求を受信し、 前記第 1手段は、 受信した更新 の要求に含まれる新パスヮ一ドと旧パスヮ一ドとを含む更新の指示を生 成し、 生成した前記更新の指示を全てのアプリケ一シヨン装置に対して 送信することを特徴とする。

この構成によると、 前記第 4手段は利用者から前記新パスヮ一ドを含 む前記パスワード更新の指示を受け付ける。 これにより、 利用者自身が 任意の新パスワー ドを指定するこどができる。

また、 本発明において、 前記第 2手段は、 各アプリケーショ ン装置か らのパスヮードの更新の成功又は失敗を示す応答を受信する応答受信部 と、 受信した前記応答が成功を示す場合に、 当該アプリケーショ ン装置 についてパスヮードの更新が成功したと断定し、 受信した前記応答が失 敗を示す場合に、 当該アプリケーショ ン装置についてパスワー ドの更新 が失敗したと断定する断定部とを含むことを特徴とする。

この構成によると、 前記応答受信部は、 各アプリケーシ ョ ン装置から φ応答を受信し、 前記判断部は、 前記応答が失敗を示す場合にアプリケ —ション装置のパスヮ一ド変更が失敗であると断定する。 これにより、 各アプリケーショ ン装置のパスヮード更新の失敗を正確に検出すること ができる。

また、 本発明は.。 前記第 2手段が、 時間の経過に伴って経過時間を計 測する計時部と、前記第 1手段による更新の指示の送信の時点において、 計時部により計測される経過時間を初期値にリセッ トする初期化部と、 各アプリケーション装置からのパスヮー ドの更新の成功又は失敗を示す 応答を待ち受ける待受部と、 計測された経過時間が 所定のしきい値よ り大きいか否かを判断する判断部と、 判断部により経過時間が前記しき い値と等しいか又は小さいと判断され、 かつ待受部により各アプリケー シヨン装置からの応答を受信し、 かつその応答が成功を示す場合に、 当 該アプリケーショ ン装置について、 パスヮ一ドの更新が成功したと断定 し、 その他の場合に、 当該アプリケーシ ョ ン装置について、 パスワード の更新が失敗したと断定する断定部とを含むことを特徴とする管理サ一 バ装置である。

この構成によると、 前記断定部は、 前記閾値を超えても、 前記応答を 受信しない場合をパスワー ド変更の失敗と断定する、 このため、 前記閾 値以上の無駄な待ち時間を削減できる。

本発明は、 前記第 1手段は、 全てのアプリケーション装置に対してパ スワードの更新の準備を指示し、 前記第 2手段は、 各アプリケーショ ン 装置について、 パスワードの更新の準備が未完了か否かを判断し、 前記 第 3手段は、 少なくとも 1台のアプリケーショ ン装置について、 更新の 準備が未完了と判断される場合に、 更新の準備が完了した他のアプリケ —ショ ン装置に対して、 前記更新の準備の指示を取り消すことを特徴と する管理サーバ装置でもある。

この構成によると、 パスワード更新の準備が未完了のアプリケーショ ン装置が 1つでも存在すると、 前記パスヮード更新の準備が完了したァ プリケ一シヨン装置のパスワード更新の準備を取り消す。 これにより、 全てのアプリケーション装置のパスヮード更新の準備が完了するまで、 各アプリケ一ション装置のパスヮード更新は実行されないため、 ハード ディ スクへの無駄な書き込みを回避できる。

本発明において、 前記第 4手段は、 利用者の新パスワー ドと旧パスヮ 一ドとを含む前記更新の要求を受信し、 前記第 1手段は、 受信した更新 の要求に含まれる新パスヮードと旧パスワードとを含む更新の準備の指 示を生成し、 生成した前記更新の準備の指示を全てのアプリケ一シヨン 装置に対して送信す？）ことを特徴とする。

この構成によると、 前記第 4手段は利用者から前記新パスヮードを含 む前記パスワード更新の指示を受け付ける。 これにより、 利用者自身が 任意の新パスヮードを指定することができる。

また、 本発明の管理サーバ装置において、 前記第 2手段は、 アプリケ ーショ ン装置からのパスヮー ドの更新の準備の完了又は未完了を示す応 答を受信する応答受信部と、 受信した前記応答が完了を示す場合に、 当 該アプリケーション装置についてパスヮードの更新の準備が完了したと 断定し、 受信した前記応答が未完了を示す場合に、 当該アプリケーショ ン装置についてパスヮードの更新の準備が未完了であると断定する断定 部とを含むことを特徴とする。

この構成によると、 前記応答受信部は、 各アプリケーショ ン装置から の応答を受信し、 前記判断部は、 前記応答が未完了を示す場合にアプリ ケーシヨン装置のパスヮード変更準備が未完了であると断定する。 これ により、 各アプリケーシ ョ ン装置のパスワード更新準備の未完了を正確 に検出することができる。

本発明において、 前記第 2手段は、 時間の経過に伴って経過時間を計 測する計時部と、 前記第 1手段による更新の準備の指示の送信の時点に おいて、 計時部により計測される経過時間を初期値にリセッ トする初期 化部と、 アプリケーショ ン装置からのパスワー ドの更新の準備の完了又 は未完了を示す応答を待ち受ける待受部と、 計測された経過時間が、 所 定のしきい値より大きいか否かを判断する判断部と、 判断部により経過 時間が前記しきい値と等しいか又は小さいと判断され、 かつ待受部によ りアプリケーション装置からの応答を受信し、 かつその応答が完了を示 す場合に、 パスワードの更新の準備が完了したと断定し、 その他の場合 に、 パスヮードの更新の準備が未完了であると断定する断定部とを含む ことを特徴とする。

この構成によると、 前記閾値を超えても、 前記応答を受信しない場合 をパスワード変更の失敗と断定することによ り、 前記閾値以上の無駄な 待ち時間を削減できる。

本発明である前記管理サーバ装置は、 さらに、 前記第 2手段によりパ スフ一ドの更新が不可能と判断される場合に、 元のパスヮードに戻す旨 のメッセージを前記利用者装置へ送信するメ ッセージ送信手段を含むこ とを特徴とする。

この構成によると、 前記メ ッセージ送信手段は、 前記利用者装置へ前 記メ ッセージを送信するため、 利用者は、 使用すべきパスワードが更新 前のものであることを知ることができる。

前記管理サーバ装置は、 さらに、 各アプリケーショ ン装置について、 メイ ンテナンス中であるか否かを記憶している管理記憶手段を備え、 前 記第 1手段は、 メ イ ンテナンス中のアプリケーション装置が存在しない 場合に、 パスワー ドの更新を試みることを特徴とする。

この構成によると、 前記第 1手段は、 メインテナンス中のアプリケー ション装置が存在しない場合にパスヮード更新を試みるため、 メ イ ンテ ナンス中のアプリケーション装置のパスワード更新により、 その他のァ プリケ一ション装置のパスヮ一ド変更が妨げられることを予め回避する ことができる。

また、 前記第 1手段は、 メイ ンテナンス中のアプリケーショ ン装置が 存在する場合に、 パスワー ドの更新を中止し、 前記管理サーバ装置は、 さらに、 前記第 1手段によりパスワー ドの更新が中止される場合に、 パ スヮ一ドの更新を中止する旨のメッセージを前記利用者装置へ送信する メッセージ送信手段を含むことを特徴とする。

この構成によると、 前記メ ッセージ送信手段は、 前記利用者装置へパ スヮー ドの更新を中断する旨のメ ッセージを送信するので、 利用者は、 パスヮ一ド更新ができないことを確実に知ることができる。

また、 本発明において、 前記アプリケーション装置は、 第 1ネッ トヮ ークを介して、 前記管理サーバ装置と接続されており 前記利用: ^装置 は、 第 1ネッ ト ワークに接続されていない第 2ネッ トワークを介して、 前記管理サーバ装置と接続されていることを特徴とする。

この構成によると、 前記アプリケーション装置と前記利用者装置は、 前記管理サーバ装置を介して接続されているため 前記管理サーバ装置 は、 前記アプリケーション装置と前記利用者装置の間の通信を監視する ことができる。

本発明において、前記第 1ネッ トワーク及び前記第 2ネッ トワークは、 イントラネッ トであることを特徴とする。

この構成によると、 前記アプリケーショ ン装置と前記利用者装置とは それぞれ異なるィン トラネッ トを介して、 管理サーバ装置と接続されて いるため、 インターネッ トで普及している技術を利用して、 容易に構成 できる。

また、 本発明において、 前記管理サーバ装置と、 各アプリケーシ ョ ン 装置とは、 専用線を介して、 接続されており、 パスワー ドの更新の際に は、 前記管理サーバ装置は、 前記専用線を介して、 各アプリケーシ ョ ン 装置との間で、 パスワードの更新のための情報を送受信し、 各サービス の提供の際には、 前記管理サーバ装置は、 第 1及び第 2ネッ ト ワークを 介して、 前記利用者装置と各アプリケーショ ン装置との間で、 前記サ一 ビスに係る情報の送受信を中継するとしてもよい。

この構成によると、 前記管理サーバ装置は、 パスワードの更新の際に は、 前記専用線を介して、 各アプリケーショ ン装置との間で、 パスヮ一 ドの更新のための情報を送受信する。 専用線によりる通信は、 第三者に よる盗聴の危険性が少ないので、 パスヮ一ド更新の際の情報の送受信の 暗号化の処理を省略することができる。

,また、 各サービスの提供の際には、 前記管理サーバ装置は、 第 1及び 第 2ネッ ト ワークを介して、 前記利用者装置と各アプリケーシヨ ン装置 との間で、 前記サービスに係る情報の送受信を中継するため、 パスヮー ド更新のための情報の送受信と前記サービスに係る情報の送受信は互い に影響を及ぼすことがない。

また、 本発明における前記アプリケ一ション装置及び前記利用者装置 は、 ネッ トワークを介して、 前記管理サーバ装置と接続されており、 前 記管理サーバ装置は、 さらに、 アプリケーショ ンの種類と、 各アプリケ ーショ ン装置のネッ トワーク上における位置情報とを対応付ける対応テ 一ブルを記憶している記憶手段と、 前記利用者装置から、 アプリケーシ ョンを示す種類情報と処理の内容を示す処理情報とを受信する受信手段 と、 前記対応テーブルを用いて、 受信した種類情報に対応するアプリケ ーション装置の位置情報を取得する取得手段と、 取得した位置情報によ り示されるアプリケーショ ン装置に対して、 前記処理情報を送信する送 信手段とを含むとしてもよい。

この構成によると、 前記取得手段は前記対応テーブルを用いて前記種 類情報に対応するアプリケーショ ン装置の位置情報を取得し、 前記^信 手段は、 前記位置情報により示されるアプリケーショ ン装置に対して、 前記利用者装置から受信した前記処理情報を送信する。 これにより、 前 記管理サ一パ装置は、 前記利用者装置から送信された処理情報をアプリ ケ一ション装置へ正確に転送できる。

また、 前記ネッ トワークは、 インターネッ ト.であるとしてもよい。 この構成によると、 前記管理サーバ装置は、 インターネッ トを介して 遠隔地に存在する利用者装置と各アプリケ一ション装置との間で前記処 理情報を転送することができる。

本発明は、 更新後の新パスワードが、 利用者に最初に割り当てられた 初期パスワードであり、 前記第 1手段は、 全てのアプリケーショ ン装置 の初期パスワードへの更新を試み、 前記第 2手段は、 各アプリケーショ ン装置について、 初期パスワー ドへの更新が不可能か否かを判断し、 前 記第 3手段は、 不可能と判断されるアプリケ一ション装置が少なく とも 1台存在する場合に、 全てのアプリケーション装置のパスヮ一ドを更新 前のものとすることを特徴とする管理サーバ装置でもある。

この構成によると、前記第 1手段は、前記初期パスヮ一ドへの更新を試 みる。 これにより、 利用者による新パスワードの指定ができない場合で も、 パスワー ドの更新を試みることができる。

本発明は、 一のパスワードにより認証した一の利用者へサービスを提 供し、 管理サーバ装置からの指示によりパスヮードを更新するアプリケ ーシヨ ン装置であって 更新前のパスヮードを記憶している旧パスヮ一 ド記憶手段と、 利用者の認証に用いるパスワードを記憶している認証用 パスワード記憶手段と、 管理サーバ装置から、 パスワー ドを更新前のも のに復元する復元指示を受信する受信手段と、 前記復元指示を受信する と、 旧パスワード記憶手段から更新前のパスワードを読み出し、 読み出 したパスヮ一ドを認証用パスヮ一ド記憶手段に上書きする書込手段とを 備えることを特徴とするアプリケーショ ン装置である。

この構成によると、 管理サーバ装置から復元指示を受信すると、 旧パ スヮ一ド記憶手段の記憶している旧パスヮード記憶手段から更新前のパ スヮ一ドを読み出し、 読み出したパスヮードを認証用パスヮー ドパスヮ —ド記憶手段に上書きするため、 管理サーバ装置の指示により、 認証用 のパスヮ一ドを更新前のパスヮ一ドに速やかに変更することができる。 また、 前記アプリケーショ ン装置は、 前記管理サーバ装置を介して、 利用者の利用者装置との間で、 前記サービスに関する情報の送受信を行 うことを特徴とする。

この構成によると、前記アプリケーショ ン装置は、前記管理サ一パ装置 を介して利用者端末との間で、 情報の送受信を行うため、 前記管理サ一 バ装置以外からの情報の受信を拒否することで、 正当な利用者以外から のアクセスを回避できる。

本発明のアプリケーション装置は、 メインテナンス中である場合に、 当該旨を前記管理サーバ装置に対して通知することを特徴とする。 t この構成によると、 前記アプリケーショ ン装置は、 メイ ンテナンス中 である旨をあらかじめ管理サーバ装置へ通知しているので、 前記管理サ ーバ装置は、 前記アプリケーショ ン装置がメイ ンテナンス中であること を事前に認識しており、 当該アプリケーショ ン装置に対する情報の送信 及び指示の送信を中止又は延期することができる。

前記アプリケ一シヨ ン装置は、 第 1 ネッ トワークを介して、 前記管理 サーバ装置と接続されており、 前記利用者装置は、 第 1 ネッ トワークに 接続されていない第 2ネッ ト ワークを介して、 前記管理サーバ装置と接 続されていることを特徵とする。

この構成によると、 前記アプリケーション装置と前記利用者装置は、 前記管理サーバ装置を介して接続されているため、 前記管理サーバ装置 は、 前記アプリケーショ ン装置と前記利用者装置の間の通信を監視する ことができる。

また、 前記アプリケーショ ン装置及び前記管理サーバ装置は、 専用線 を介して接続されており、 パスワー ドの更新の際には、 前記管理サーバ 装置は、 前記専用線を介して、 前記管理サーバとの間で、 パスワー ドの 更新のための情報を送受信し、 各サービスの提供の際には、 第 1及び第 2ネッ トワークを介して、 前記サービスに係る情報を送受信することを 特徴とするとしてもよい。

この構成によると、 前記アプリケーショ ン装置は、 パスワード更新に 関する情報の送受信には前記専用線を使用するため、 第三者による盗聴 が行われにく く、 通信の安全性が高い。

また、 各サービスに係る情報の送受信には第 1 ネッ トワーク及び第 2 ネッ トワークを使用するため、 パスヮ一ド更新に関する情報の送受信と サービスに係る情報の送受信とは互いに影響を及ぼさない。

また、 本発明における前記アプリケ一ショ ン装置及び前記利用者装置 は、 インタ一ネッ トを介して、 前記管理サーバ装置と接続されているこ とを特徴とする。

この構成によると、 前記アプリケーション装置及び前記利用者装置は イ ンターネッ トを介して前記管理サーバ装置に接続されているため、 前 記アプリケーション装置、 前記利用者装置及び前記管理サーバ装置がそ れぞれ遠隔地に存在している場合でも、 情報の送受信を行うことができ る。

本発明は、 利用者の端末装置と、 一のパスワードにより認証した一の 利用者の端末装置へ各サービスを提供する複数のアプリケーショ ン装置 と、 前記アプリケ一シヨ ン装置に対して、 当該パスヮードの更新を指示 する管理サーバ装置とから構成されるパスヮー ド更新システムであって、 前記管理サーバ装置は 全てのアプリ ケーション装置のパスヮードの更 新を試みる第 1手段と、 各アプリケ一ション装置について、 パスワード の更新が不可能か否かを判断する第 2手段と、 不可能と判断されるアブ リケーション装置が少なく とも 1台存在する場合に、 全てのアプリケ一 ション装置のパスヮードを更新前のものとする第 3手段とを備え、 各ァ プリケーショ ン装置は、 更新前のパスヮ一ドを記憶している旧パスヮ一 ド記憶手段と、 利用者の認証に用いるパスヮードを記憶している認証用 パスワード記憶手段と、 管理サーバ装置から、 パスワードを更新前のも のに復元する復元指示を受信する受信手段と、 前記復元指示を受信する と、 旧パスワード記憶手段から更新前のパスワードを読み出し、 読み出 したパスヮー ドを認証用パスヮード記憶手段に上書きする書込手段とを 備えることを特徴とする。

この構成により、複数のアプリケ一ショ ン装置のうち何れかがパスヮ一 ド更新不可能と判断される場合においても、 全てのアプリケーシ ョ ン装 置のパスヮ一ドを更新前のものとすることにより、 全てのアプリケーシ ョン装置のパスヮ一ドの統一を保つことができる。

本発明における前記端末装置と各アプリケ一ション装置とは、 前記管 理サーバ装置を介して、 情報の送受信を行うことを特徴とする。

この構成によると、 前記アプリケーシ ョ ン装置は、 前記管理サーバ装 置を介して利用者端末との間で、 情報の送受信を行うため、 前記管理サ ーバ装置以外からの情報の受信を拒否することで、 正当な利用者以外か らのアクセスを回避できる。

また、 前記アプリケーショ ン装置は、 第 1 ネッ トワークを介して、 前 記管理サーバ装置と接続されており、 前記利用者装置は、 第 1ネッ トヮ ークに接続されていない第 2ネッ トワークを介して、 前記管理サーバ装 置と接続されていることを特徴とする。

この構成によると、 前記アプリケーション装置と前記利用者装置は、 前記管理サーバ装置を介して接続されているため、 前記管理サーバ装置 は、 前記アプリケーショ ン装置と前記利用者装置の間の通信を監視する ことができる。

また、 前記パスヮード更新システムにおいて、 前記第 1 ネッ トワーク 及び前記第 2ネッ トワークは、イントラネッ トであることを特徴とする。

この構成によると、 前記アプリケーシ ョ ン装置と前記利用者装置とは それぞれ異なるィン トラネッ トを介して、 管理サーバ装置と接続されて いるため、 インターネッ トで普及している技術を利用して、 容易に構成 できる。

前記パスワード更新システムにおいて、 前記管理サーバ装置と、 各ァ プリケ一シヨン装置とは、 専用回線を介して、 接続されており、 パスヮ —ドの更新の際には、 前記管理サ一パ装置は、 前記専用線を介して、 前 記管理サーバとの間で、 パスワー ドの更新のための情報を送受信し、 各 サービスの提供の際には、 第 1及び第 2ネッ トワークを介して、 前記サ 一ビスに係る情報を送受信するとしてもよい。

この構成によると、 前記アプリケーシ ョ ン装置は、 パスワード更新に 関する情報の送受信には前記専用線を使用するため、 第三者による盗聴 が行われにく く、 通信の安全性が高い。

また、 各サービスに係る情報の送受信には第 1 ネッ トヮ一ク及び第 2 ネッ ト ワークを使用するため、 パスヮ一 ド更新に関する情報の送受信と サービスに係る情報の送受信とは互いに影響を及ぼさない。

本発明のパスワー ド更新システムは、 前記アプリケーシ ョ ン装置及び 前記利用者装置は、 ネッ ト ワークを介して、 前記管理サーバ装置と接続 されており、 前記管理サーバ装置は、 さらに、 アプリ ケーショ ンの種類 と、 各アプリケ一ション装置のネッ トワーク上における位置情報とを対 応付ける対応テーブルを記憶している記憶手段と、前記利用者装置から、 アプリケーションを示す種類情報と処理の内容を示す処理情報とを受信 する受信手段と、 前記対応テーブルを用いて、 受信した種類情報に対応 するアプリケ一ション装置の位置情報を取得する取得手段と、 取得した 位置情報により示されるアプリケーショ ン装置に対して、 前記処理情報 を送信する送信手段とを含むことを特徴とするとしてもよい。

この構成によると 前記取得手段は前記対応テーブルを用いて前記種 類情報に対応するアプリケーション装置の位置情報を取得し、 前記送信 手段は、 前記位置情報により示されるアプリケーション装置に対して、 前記利用者装置から受信した前記処理情報を送信する。 これにより、 前 記管理サーバ装置は、 前記利用者装置から送信された処理情報をアプリ ケ一ション装置へ正確に転送できる。

また、前記ネッ トワークは、インターネッ トであることを特徴とする。 この構成によると、 前記アプリケーション装置及び前記利用者装置は インタ一ネッ トを介して前記管理サーバ装置に接続されているため、 前 記アプリケ一ショ ン装置、 前記利用者装置及び前記管理サーバ装置がそ れぞれ遠隔地に存在している場合でも、 情報の送受信を行うことができ る。

図面の簡単な説明

図 1 は、 パスワード変更システムの構成図である。

図 2は、 ユーザ端末 1 0 0の構成を示すプロック図である。

図 3は、 記憶部 1 1 0に記憶されている情報の一例を示す。

図 4は、本実施の形態で、各機器間で送受信される情報の形態を示す。 図 5は、 ユーザ端末 1 0 0に接続されているモニタに表示されるログ イ ン画面とメニュー画面の一例を示す。

図 6は、 ユーザ端末 1 0 0に接続されているモニタに表示される精算 画面と精算終了画面の一例を示す。

, 図 7は、 ユーザ端末 1 0 0に接続されているモニタに表示されるパス ヮ一ド変更画面と変更完了画面の一例を示す。 図 8は、 ユーザ端末 1 0 0に接続されているモニタに表示される変更 失敗画面と強制終了画面の一例を示す。

図 9は 、 アプリサーバ 2 0 0の構成を示すブロック図である。

図 1 0は、 情報記憶部 2 1 0に記憶されている情報の一例である ο 図 1 1 パスヮードテーブル 2 2 1の詳細を示している。

図 1 2は、 アプリ口グィンテーブル 2 3 1 の詳細を示している。

図 1 3は、 管理サーバ 6 0 0の構成を示すブロック図である。

図 1 4は、 情報記憶部 6 1 0に記憶されている情報の一例を示す。 図 1 5は、 ログインテープル 6 3 1の詳細を示す。

図 1 6は、 ルーティ ングテ一ブル 6 4 1の詳細を示す。

図 1 7は、 パスヮード変更テーブル 6 5 1 の詳細を示す。

図 1 8は、 管理サーバ 6 0 0の表示部 6 1 3に表示されるエラー画面 の一例である。

図 1 9は、 ユーザ端末 1 0 0、 管理サーバ 6 0 0及びアプリサーバ 2

0 0に る動作を示したフ口一チャートである。

図 2 0は、 ユーザ端末 1 0 0、 管理サーバ 6 0 0及びアプリサーバ 2

0 0による動作を示したフ口一チャートである。 図 1 9より続く。

図 2 1 は、 ユーザ端末 1 0 0、 管理サーバ 6 0 0及びアプリサーバ 2

0 0に る動作を示したフ口一チャートである。 図 1 9より続く。

図 2 2は、 ユーザ端末 1 0 0、 管理サーバ 6 0 0及びアプリサーバ 2

0 0による動作を示したフ口一チャートである。 図 1 9より続く。

図 2 3は、 ユーザ端末 1 0 0、 管理サーバ 6 0 0及びアプリサーバ 2

0 0による動作を示したフ口一チャートである。 図 1 9より続く。

図 2 4は、 ユーザ端末 1 0 0、 管理サーバ 6 0 0及びアプリサーバ 2

0 0による動作を示したフ口一チャートである。 図 1 9より続く。

図 2 5は、 ユーザ端末 1 0 0、 管理サーバ 6 0 0及びアプリサーパ 2

0 0に る動作を示したフ口 —チャートである。 図 1 9より続く。

, 図 2 6は、 ユーザ端末 1 0 0、 管理サ一パ 6 0 0及びアプリサーバ 2

0 0による動作を示したフ口一チャートである。 図 1 9より続く。 図 2 7は、 管理サーバ 6 0 0によるパスヮード変更処理の動作を示す フローチャー トである。

図 2 8は、 管理サーバ 6 0 0によるパスヮード変更処理の動作を示す フローチャー トである。 図 2 7より続く。

図 2 9は、 管理サーバ 6 0 0によるパスワード変更処理の動作を示す フローチャー トである。 図 2 7より続く。

図 3 0は アプリサーバ 2 0 0のパスヮー ド変更処理の動作を示すフ 口一チャートである。

図 3 1 は、 アプリサーバ 2 0 0のパスヮー ド変更処理の動作を示すフ ローチャートである。 図 3 0より続く。

図 3 2は、 管理サーバ 6 0 0によるパスヮ一ド復旧の動作を示すフ口 一チヤ一トである。

図 3 3は、 アプリサーバ 2 0 0のパスヮード復旧の動作を示すフロー チヤ一トである。

図 3 4は、 アプリサーバ 2 0 0のパスワード復旧の動作を示すフロー チャートである。 図 3 3より続く。

図 3 5は、 二つの機器間の相互認証の動作を示したフローチヤートで ある。

図 3 6は、 二つの機器間の相互認証の動作を示したフローチヤ一トで ある。 図 3 5より続く。

図 3 7は、 実施の形態 1 における、 パスワード変更の実行中の各アブ リサーバ 2 0 0の記憶しているパスヮードを示している。

図 3 8は、 実施の形態 2の構成を示した構成図である。

図 3 9は、 実施の形態 2における管理サーバ 6 0 0 bの構成を示すブ ロック図である。

図 4 0は、 実施の形態 3の構成を示した構成図である。

図 4 1 は、 実施の形態 2における管理サーバ 6 0 0 cの構成を示すブ pック図である。

図 4 2は、 変形例 （ 1 ) におけるパスワードテーブル 6 2 1 bの詳細を 示す。

図 4 3は、 変形例 ( 6 ) におけるルーティ ングテーブル 6 4 1 bの詳 細を示す。

発明を実施するための最良の形態

1 . 実施の形態 1

以下、 本発明の実施の形態 1 について図面を用いて詳細に説明する。 1 . 1 パスワード変更システムの概要

本発明におけるパスワード変更システムは、 図 1 に示すように、 ユー ザ端末 1 0 0、第 1 アプリサーバ 2 0 0 a、第 2アプリサーバ 2 0 0 b、 第 3アプリサーバ 2 0 0 c、 第 4アプリサーバ 2 0 0 d及び管理サーバ 6 0 0から構成される。 各装置は、 イ ンタ一ネッ ト 2 0に接続されてい る。

第 1 アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dは、それぞれ、 出張費精算、休暇申請、会議室予約、従業員購入のサービスを提供する。 管理サーバ 6 0 0及ぴ第 1 アプリサーバ 2 0 0 a〜第 4アプリサ一パ 2 0 0 dは、 あらかじめ正当な利用者のユーザ I Dとを記憶している。 利用者は、 ユーザ端末 1 0 0を用いて、 イ ンターネッ ト 2 0と管理サ ーバ 6 0 0とを介して、 第 1 アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dの提供するサービスを利用する。

このとき、 ユーザ端末 1 0 0は、 管理サーバ 6 0 0に利用者のユーザ

1 Dとパスヮードを送信する。

管理サーバ 6 0 0及び第 1 アプリサーバ 2 0 0 a〜第 4アプリサ一パ

2 0 0 dは、 ユーザ I Dとパスワードを検証し、 ユーザ端末 1 0 0の利 用者が正当な利用者であることを認証し、 各アプリサーバは、 それぞれ が備えるサービスを提供する。

また、 管理サーバ 6 0 0は、 ユーザ端末 1 0 0からパスヮード変更の 指示を受信し、 ユーザ端末 1 0 0から、 現在のパスヮ一ドと新しいパス ヮ—ドとを受信する。 管理サーバ 6 0 0は、 第 1 アプリサーバ 2 0 0 a 〜第 4アプリサーバ 2 0 0 dへ、 受け取った新しいパスヮードを順次送 信し、 パスワー ドの変更を指示する。

ここで、 第 1アプリサーバ 200 a〜第 4アプリサーバ 200 dの何 れかで、 パスヮードの変更が正常に行われなかった場合-, 管理サーバ 6 00は、 既にパスヮ一ド変更が終了しているアプリサーバに現在のパス ワードを送信し、 現在のパスワー ドへパスワードを変更し直すように指 示する。

以下の説明において第 1アプリサーバ 200 a〜第 4アプリサーバ 2 00 dを特に区別しない場合及び第 1アプリサーバ 200 a〜第 4アブ リサーバ 200 d全てに共通する場合、 これらを単にアプリサーバ 20 0と呼称する。

1. 2 ユーザ端末 1 00

ユーザ端末 1 00は、 図 2に示すように、 送受信部 1 0 1、 認証部 1 03、 制御部 1 07、 記憶部 1 1 0、 入力部 1 1 2及び画像表示部 1 1 3から構成される。

ユーザ端末 1 00は、 具体的には図示されていないマイクロプロセッ サ、 RAM、 R OM及びハードディスクから構成されている。 前記 RA M、 R 0 M及びハー ドディスクにはコンピュータプログラムが記憶され ており、 前記マイクロプロセッサがこれらのコンピュータプログラムに 従って動作することにより、 ユーザ端末 1 00はその機能を果たす。

( 1 ) 記憶部 1 1 0

記憶部 1 1 0は、 ハードディスク、 RAM及び ROMから構成され、 各種情報を記憶している。

一例として、 図 3に示すように、 アプリ番号表 1 20、 端末 I D 1 3 0、 秘密鍵 1 35、 公開鍵証明書 1 36、 CRL (C e r t i f i c a t e R e v o c a t i o n L i s t) 1 37及ぴ認証局公開鍵 1 3 8を記憶している。

アプリ番号表 1 20は、 アプリサーバ 200及び管理サーバ 600の 提供するサービスと各サービスに割り当てられたアプリ番号とを対応付 ける表である。 アプリ番号 「00 1」 は、 出張費精算サービスを示す識 別番号であり、 アプリ番号 「0 0 2」 は休暇申請サービスを示す識別番 号である。 アプリ番号 「0 0 3」 は、 会議室予約サービスを示す識別番 号であり、 アプリ番号 「0 0 4」 は、 従業員購入サービスを示す識別番 号である。 アプリ番号 「0 0 5」 は、 ログイン処理、 パスワードの変更 など管理サーバの提供するサービスを示す識別番号である。

端末 I D 1 3 0は、 ユーザ端末 1 0 0に固有の識別情報である。

公開鍵証明書 1 3 6は、 秘密鍵 1 3 5と対になる公開鍵の正当性を証 明するものであり、 証明書 I D、 前記公開鍵及び認証局による署名デー タを含む。 認証局の署名データは、 認証局の秘密鍵を用いて、 前記公開 鍵に署名生成アルゴリ ズム Sを施して、 生成したものである。 ここで、 認証局は、 第三者機関であり、 パスワード変更システムに属する各機器 の公開鍵証明書を発行する。 なお、 署名生成アルゴリ ズム Sは一例とし て、 有限体上の E 1 G a m a 1署名である。 E 1 G a m a 1署名につい ては、 公知であるので説明を省略する。

C R L 1 3 7は、 認証局により発行され、 無効になった公開鍵証明書 の証明書 I Dを含む。

認証局公開鍵 1 3 8は、 認証局の秘密鍵と対になる公開鍵である。

( 2 ) 送受信部 1 0 1

送受信部 1 0 1 は、 イ ンターネッ ト 2 0に接続されている外部機器と 制御部 1 0 7及び認証部 1 0 3の間で情報の送受信を行う。

送受信部 1 0 1 は、 ユーザ端末 1 0 0及び管理サーバ 6 0 0の I Pァ ドレスを記憶している。

送受信部 1 0 1が送受信する各種の情報は、 図 4に示すバケツ ト 1 4 0のような形体である。 パケッ ト 1 4 0は、 送信先ァドレス 1 4 1、 送 信元ア ドレス 1 4 2及びデータ部 1 4 3から構成される。 送信先ァ ドレ スは、 送信先の I Pア ドレス、 送信元ァドレス 1 4 2は 送信元の I P アドレスである。 データ部 1 4 3は、 一例として、 アプリ番号 1 4 6、 端末 I D 1 4 7及びデータ 1 4 8を含む。

アプリ番号 1 4 6は、 第 1 アプリサ一パ 2 0 0 a〜第 4アプリサーバ 及び管理サーバ 6 0 0の提供するサービスの種類と対応しており、 これ は、 アプリ番号表 1 2 0に含まれるアプリ番号と同一である。

送受信部 1 0 1 は、 制御部 1 0 7から、 アプリ番号 1 4 6、 端末 I D 1 4 7及びデータ 1 4 8からなるデータ部 1 4 3を受け取り送信の指示 を受けると、 受け取ったデータ部 1 4 3に送信元ア ド レスとしてユーザ 端末 1 0 0の I Pア ドレスを設定し、 送信先ァドレスとして管理サーバ 6 0 0の I Pアドレスを設定して送信する。

ここでは、 説明を容易にするために、 データ部 1 4 3に含まれるアブ リ番号 1 4 6、 端末 I D 1 4 7及びデータ 1 4 8を列挙しているが、 実 際には、 データ部 1 4 3は、 可変長であるが最大ビッ ト長が決まってい るため、 データ部 1 4 3が最大ビッ ト長を超える場合は、 データ部 1 4 3を分割し、 分割されたデータ部 1 4 3それぞれに、 送信先ァドレスと 送信元アドレスとを設定し、 送信する。

( 3 ) 入力部 1 1 2

入力部 1 1 2は、 キーボード、 マウスといつた周辺機器と接続されて おり、 利用者による周辺機器の操作を受け付け、 受け付けた操作に応じ た操作指示情報を制御部 1 0 7へ出力する。

( 4 ) 制御部.1 0 7

制御部 1 0 7は、 上記のプロセッサがコンピュータプログラムに従つ て動作することにより、 ユーザ端末 1 0 0で実行する各種の情報処理を 制御する。

本願に関しては、 制御部 1 0 7は、 入力部 1 1 2から各種の操作指示 情報を受け取る。 受け取った操作指示情報により、 ログイ ン処理、 各種 サービスの利用及びパスヮードの変更処理等を行う。

また、 これらの処理の途中で、 管理サーバ 6 0 0からログイン画面デ 一夕、 端末用メニュー画面データ、 端末用精算画面データ、 端末用精算 完了画面データ、 端末用パスワー ド変更画面データ、 端末用変更完了画 两データ、 端末用変更失敗画面データ、 端末用強制終了画面データ等の 画面データ、 各種サービス、 パスワード変更、 相互認証、 暗号処理に関 する各種情報を受信し、 受信した各種画面データ及び各種の情報を処理 する。

上記の処理中に、 制御部 1 0 7が送受信部 1 0 1を介して管理サーバ 6 0 0へ送信する情報は、図 4に示すバケツ ト 1 4 0の形体をしている。 制御部 1 0 7は、 記憶部 1 1 0から端末 I D 1 3 0を読み出し、 アプリ 番号表 1 2 0からアプリ番号を抽出し、 読み出した端末 I D 1 3 0と抽 出したアプリ番号と各種情報からなるデータ部 1 4 3を生成する。 生成 したデータ部 1 4 3を送受信部 1 0 1へ出力し、 送信を指示する。

以下の説明において、 データ部 1 4 3の生成についての説明は簡略化 し、 単にアプリ番号と端末 I Dと各種情報と表現する。

以下に、 ログイン処理、 各種サービスの利用の処理及びパスワードの 変更処理について、 説明する。

(ログイン処理）

制御部 1 0 7は、 入力部 1 1 2から、 電子申請を示す操作指示情報を 受け取ると、 認証部 1 0 3へ、 管理サーバ 6 0 0との間の相互認証を指 示する。

認証部 1 0 3による相互認証が成立し、 認証部 1 0 3から、 端末共通 鍵を受け取り、 受け取った端末共通鍵を記憶する。 次に、 送受信部 1 0 1 を介して、 管理サーバ 6 0 0から、 ログイン画面データを受信し、 受 信した口グイン画面データからを口グイン画面 1 5 1 を生成し、 生成し たログイ ン画面 1 5 1 を画像表示部 1 1 3へ出力し、 ログイン画面 1 5 1の表示を指示する。 図 5に示す口グイン画面 1 5 1 は、 ここで表示さ れる画面の一例である。 ログイン画面データは、 ログイン画面 1 5 1 を 生成するためのデータであり H T M Lにより記述される。

次に、 入力部 1 1 2を介して利用者の入力及びを受け付ける。 送信ボ タン 1 5 4の押下を示す操作指示情報を受け取ると、 パスワードボック ス 1 5 3に記入されたパスヮ一ドと端末共通鍵とを暗号処理部 1 0 8へ 出力し、 暗号化を指示する。 次に、 暗号処理部 1 0 8から暗号化パスヮ ードを受け取り、 記憶部 1 1 0からアプリ番号 「0 0 5」 と端末 I D 1 30とを読み出す。 読み出したアプリ番号 「005」 と端末 I D 1 30 と受け取った暗号化パスヮードとユーザ I Dボックス 1 52に入力され たユーザ I Dとを送受信部 1 0 1へ出力し、 管理サーバ 600への送信 を指示する。

(各種サービスの利用）

次に、 管理サーバ 600から、 端末用メニュー画面データを受信し、 受信した端末用メニュー画面データからメニュー画面 1 6 1を生成し、 生成したメ二ユ ー画面 1 6 1を画像表示部 1 1 3に出力し、 メニュー画 面 1 6 1の表示を指示する。 図 5は、 ここで表示される示すメニュー画 面 1 6 1の一例である。 端末用メニュー画面データは、 メニュー画面 1 6 1を生成するためのデータであり、 HTMLにより記述される。

次に、 入力部 1 1 2から、 メ二ユ ー画面 1 6 1上に表示されるボタン 1 62〜 1 66の押下を示す操作指示情報を受け取る。

制御部 1 07は、 入力部 1 1 2からボタン 1 62、 1 63、 1 64又 は 1 65の押下を示す操作指示情報を受け取り、それぞれ、出張費精算、 休暇申請、 会議室予約又は従業員購入のサービスの利用の処理を開始す る。

ここでは、 一例として、 出張費精算サービスの利用についてのみ、 具 体的に説明する。

ボタン 1 62の押下を示す操作指示情報を入力部 1 1 2から受け取る と、 制御部 1 07は、 記憶部 1 1 0のアプリ番号表 1 20から、 アプリ 番号 「00 1」 を抽出し、 端末 I D 1 30を読み出し、 抽出したアプリ 番号 「00 1」 と読み出した端末 I D 1 30とを送受信部 1 0 1を介し て管理サーバ 600へ送信し、 サービス開始を要求する。

次に、 制御部 1 07は、 送受信部 1 0 1を介して、 管理サーバ 600 から、 wa i tメ ッセージ、 端末用強制終了画面データ又は端末用精算 画面データを受信する。 端末用強制終了画面データ及び端末用精算画面 データは、 強制終了画面 32 1及び精算画面 1 Ί 1を生成するためのデ ータであり HTMLにより記述される。 w a i tメ ッセージを受信すると、 画像表示部 1 1 3を介して受信し た w a i tメ ッセージをモニタに表示し、 次に、 画像表示部 1 1 3を介 してメニュー画面 1 6 1 をモニタに表示し、 メニューの選択の受付から 処理をやり直す。

端末用強制終了画面データを受信すると、 受信した端末用強制終了画 面データから強制終了画面 3 2 1 を生成し、 生成した強制終了画面 3 2 1 を画像表示部 1 1 3へ出力し 強制終了画面 3 2 1の表示を指示し、 処理を終了する。 図 8に示す強制終了画面 3 2 1 は、 ここで表示される 画面の一例である。

端末用精算画面データを受け取ると、 受け取った端末用精算画面デー タから精算画面 1 7 1 を生成し、 生成した精算画面 1 7 1画像表示部 1 1 3へ出力し、 精算画面 1 7 1の表示を指示する。 図 6は、 ここで表示 される精算画面 1 7 1の一例である。

次に、 入力部 1 1 2を介して利用者による入力を受け付ける。 入力部 1 1 2から、 精算画面 1 7 1上の送信ボタン 1 7 3の押下を示す操作指 示情報を受け取り、 精算画面 1 7 1上に入力されている入力データと端 末共通鍵とを暗号処理部 1 0 8へ出力し、 暗号化を指示する。 図 4に示 すデータ 1 4 9はここで出力される入力データの一例であり、 行き先、 交通機関名、 料金などを含む。

暗号処理部 1 0 8から暗号化入力データを受け取り、 記憶部 1 1 0か らアプリ番号 「0 0 1」 と端末 I D 1 3 0とを読み出し、 読み出したァ プリ番号 「0 0 1」 と端末 I D 1 3 0と受け取った暗号化入力データと を、 送受信部 1 0 1 を介して管理サーバ 6 0 0へ送信する。

次に、 管理サーバ 6 0 0から、 端末用精算終了画面データを受信し、 受信した端末用精算終了画面データから精算終了画面 1 8 1を生成し、 生成した精算終了画面 1 8 1 を画像表示部 1 1 3へ出力し、 表示を指示 する。 図 6に示す精算終了画面 1 8 1 は、 こ こで表示される画面の一例 である。 端末用精算終了画面データは、 精算終了画面を生成するための データであり、 H T M Lにより記述される。 次に、 入力部 1 1 2から、 精算終了画面 1 8 1上のメニューボタン 1 8 2又はログァゥ トボタン 1 8 3の押下を示す操作指示情報を受け取る。 メニューボタン 1 8 2の押下を示す操作指示情報を受け取ると、 画像 表示部 1 1 3にメニュー画面 1 6 1の表示を指示し、 メニューの選択を 受け付ける。

ログアウ トボタン 1 8 3の押下を示す操作指示情報を受け取ると、 制 御部 1 0 7は、 ログァゥ ト通知を生成し、 記憶部 1 1 0からアプリ番号 「0 0 5」 と端末 I Dとを読み出し、 読み出したアプリ番号 「0 0 5」 と端末 I Dとログァゥ ト通知とを送受信部 1 0 1 を介して、 管理サーバ 6 0 0へ送信し、 処理を終了する。

(パスヮード変更）

メニュー画面 1 6 1上のポタン 1 6 6の押下を示す操作指示情報を受 け取ると、 制御部 1 0 7は、 パスワードの変更を要求するパスワード変 更指示を生成し、 記憶部 1 1 0からアプリ番号 「0 0 5」 と端末 I D 1 3 0とを読み出し、 読み出したアプリ番号 「0 0 5」 と端末 I D 1 3 0 と生成したパスヮ一ド変更指示とを、 送受信部 6 0 1 を介して管理サー バ 6 0 0へ送信する。

次に、 送受信部 1 0 1 を介して管理サーバ 6 Q 0から、 端末用パスヮ ―ド変更画面データを受信する。 受信した端末用パスヮード変更画面デ —タからパスヮ一ド変更画面 1 9 1 を生成し、 生成したパスヮード変更 画面 1 9 1 を画像表示部 1 1 3に出力し表示を指示する。 図 7は、 ここ で表示されるパスヮ一ド変更画面 1 9 1 の一例である。 端末用パスヮ一 ド変更画面データは、 パスヮード変更画面 1 9 1を生成するためのデ一 夕であり、 H T M Lにより記述される。

次に、 入力部 1 1 2を介して、 利用者による入力を受け付ける。 以下 の説明において、 利用者により空欄 1 9 2に入力されるパスヮ一ドを現 パスヮード、 空欄 1 9 3及び 1 9 4に入力されるパスヮードを新パスヮ -ドと呼称する。

入力部 1 1 2から送信ボタン 1 9 5の押下を示す操作指示情報を受け 取ると、 受け付けた現パスヮード及ぴ新パスヮードと端末共通鍵とを暗 号処理部 1 0 8へ出力し、 暗号化を指示する。 次に、 暗号処理部 1 0 8 から暗号化現パスヮードと暗号化新パスヮ一ドとを受け取る。 記憶部 1 1 0から、 アプリ番号 「0 0 5」 と端末 I D 1 3 0とを読み出し、 読み 出したアプリ番号 「0 0 5」 と端末 I D 1 3 0と受け取った暗号化現パ スヮードと暗号化新パスヮードとを送受信部 1 0 1を介して、 管理サ一 パ 6 0 0へ送信する。

次に、 管理サーバ 6 0 0から、 端末用変更完了画面データ、 端末用変 更失敗画面データ又は端末強制終了画面データを受信する。 端末用変更 完了画面データ、 端末用変更失敗画面データは、 それぞれ変更完了画面 3 0 1及び変更失敗画面 3 1 1を生成するためのデータであり、 一例と して、 H T M Lにより記述される。

端末用強制終了画面デ一タを受信すると、 受信した端末用強制終了画 面データから強制終了画面 3 2 1 を生成し、 生成した強制終了画面 3 2 1を画像表示部 1 1 3を介してモニタに表示し、 処理を終了する。

端末用変更完了画面データを受信すると、 受信した端末用変更完了画 面データから変更完了画面 3 0 1 を生成し、 生成した変更完了画面 3 0 1 を画像表示部 1 1 3を介してモニタに表示する。 図 7は、 ここで表示 される変更完了画面 3 0 1の一例を示している。

次に、 入力部 1 1 2を介して、 利用者のボタン操作を受け付ける。 入 力部 1 1 2から、 変更完了画面 3 0 1上のメニューポタン 3 0 2の押下 を示す操作指示情報を受け取ると、 画像表示部 1 1 3にメニュー画面 1 6 1の表示を指示し、 利用者によるメニューの選択へもどる。

ログァゥ トポタン 3 0 3の押下を示す操作指示情報を受け取ると、 制 御部 1 0 7は、 ログァゥ ト通知を生成し、 記憶部 1 1 0からアプリ番号 「 0 0 5」 と端末 I D 1 3 0とを読み出し、 読み出したアプリ番号 Γ 0 0 5」と端末 I D 1 3 0とログァゥ ト通知とを送受信部 1 0 1を介して、 管理サーバ 6 0 0へ送信し、 処理を終了する。

端末用変更失敗画面データを受信すると、 制御部 1 0 7は、 受信した 端末用変更失敗画面データから変更失敗画面 3 1 1 を生成し、 生成した 変更失敗画面 3 1 1を画像表示部 1 1 3を介してモニタに表示する。 図 8は、ここで表示される変更失敗画面 3 1 1の一例を示している。次に、 入力部 1 1 2を介して、 利用者のボタン操作を受け付ける。 入力部 1 1 2から、 変更失敗画面 3 1 1上のメニューボタン 3 1 2の押下を示す操 作指示情報を受け取ると、 画像表示部 1 1 3にメニユー画面 1 6 1の表 示を指示し、 メ二ユーの選択の受け付けに戻る。

ログアウ トボタン 3 1 3の押下を示す操作指示情報を受け取ると、 制 御部 1 0 7は、 ログアウ ト通知を生成し、 記憶部 1 1 0からアプリ番号 「0 0 5」 と端末 I D 1 3 0とを読み出し、 読み出したアプリ番号 「 0 0 5」と端末 I D 1 3 0とログァゥ ト通知とを送受信部 1 0 1 を介して、 管理サーバ 6 0 0へ送信し、 処理を終了する。

( 5 ) 認証部 1 0 3

認証部 1 0 3は、 制御部 1 0 7と外部機器との通信に先だって、 秘密 鍵 1 3 5と公開鍵証明書 1 3 6とを用いて外部機器との間で相互認証を 行い、 相互認証が成功した場合のみ制御部 1 0 7と外部機器との通信を 許可し、 外部装置と同一の端末共通鍵を生成する。 ここで、 外部機器と は、 具体的には、 管理サーバ 6 0 0である。

( 6 ) 暗号処理部 1 0 8

暗号処理部 1 0 8は、 制御部 1 0 7から各種情報と端末共通鍵とを受 け取り暗号化を指示される。 暗号化の指示を受け取ると、 受け取った端 末共通鍵を用いて受け取った各種情報に暗号化アルゴリズム E 1 を施し て暗号化情報を生成し、生成した暗号化情報を制御部 1 0 7へ出力する。 暗号処理部 1 0 8が、 制御部 1 0 7から受け取る各種情報は、 具体的 には、 パスワード、 入力情報、 現パスヮード及ぴ新パスヮードである。 また、 制御部 1 0 7から各種の暗号化情報と端末共通鍵を受け取り、 復号を指示される。 復号の指示を受け取ると、 暗号処理部は、 受け取つ た暗号化情報に、 端末共通鍵を用いて、 復号アルゴリズム D 2を施し、 各種の情報を生成する。 ここで、 復号アルゴリズム D 2は、 暗号化アルゴリズム E 2により生 成された暗号文を復号するァルゴリズムであり、 暗号化ァルゴリズム E 1及び E 2は一例として D E S暗号方式などの共通鍵暗号方式を用いる。 D E S暗号方式については、 公知であるので説明を省略する。

(7) 画像表示部 1 1 3

画像表示部 1 13は、 外部のモニタと接続されている。

画像表示部 1 1 3は、 制御部 1 07から各種の画面を受け取り、 画面 の表示を指示される。 受け取った画面から画像信号を生成し、 垂直同期 信号、 水平同期信号を生成し、 生成した垂直同期信号及び水平同期信号 に合わせて、 画像信号をモニターへ出力する。

1. 3 アプリサーバ 200

第 1アプリサーバ 200 a〜第 4アプリサーバ 200 dは、 ユーザ端 末 1 00に対して、 各種のサービスを提供する。 本実施の形態では、 第 1アプリサーバ 200 aは、 出張費精算、 第 2アプリサーバ 200 bは 休暇申請、 第 3アプリサーバ 200 cは、 会議室予約、 第 4アプリサー バ 200 dは、 従業員購入のサービスを提供する。

アプリサーバ 200は、 図 9の示すように、 送受信部 201、 認証部 203、 制御部 207、 暗号処理部 208、 情報記憶部 21 0、 入力部 21 2及び表示部 21 3から構成される。

アプリサーバ 200は、 具体的には図示されていないマイクロプロセ ッサ及ぴ RAM、 ROMなどから構成される。 前記 RAM、 ROMには コンピュータプログラムが記憶されており、 前記マイクロプロセッサが これらのコンピュータプログラムの示す手順に従って動作することによ り、 アプリサーバ 200は、 その機能を達成する。

( 1 ) 情報記憶部 21 0

情報記憶部 21 0は、 ハードディ スクュニッ トから構成され、 一例と して図 1 0に示すように、 パスヮードテーブル 221、 アプリ口グイン テーブル 23 1、 秘密鍵 242、 公開鍵証明書 243、 CRL 244及 ぴ認証局公開鍵 245を記憶している。 また、 具体的に図示していない が、 アプリサーバ 2 0 0が提供するサービスを実行するための各種プロ グラム及び画像データを記憶している。

パスワー ドテーブル 2 2 1 は、 図 1 1 に示すように、 複数のパスヮー ド情報 2 2 3、 2 2 4、 2 2 5 · · · から構成され、 各パスワード情報 は、 ユーザ I D、 氏名及びパスヮードを含む。 ユーザ I Dは、 アプリサ ーバ 2 0 0の正当な利用者と 1対 1 に対応しており、 氏名は、 ユーザ I

Dと対応する利用者の氏名である。 パスワードは ユーザ I Dと対応す る利用者がアプリサーバ 2 0 0の正当な利用者であるか否かを判断する ための文字列又は数字列である。

アプリ 口グインテーブル 2 3 1 は、 図 1 2に示すように、 複数のログ イン情報 2 3 2、 2 3 3 · · · から構成される。 各ログイン情報は、 ュ 一ザ I D、 氏名パスワー ド及び端末 I Dを含む。

ユーザ I Dは、 現在、 アプリサーバ 2 0 0によるパスワー ド認証を終 え、 アプリサーバ 2 0 0の提供するサービスを利用中の利用者と対応し ており、 氏名及びパスワードは、 ユーザ I Dと対応する利用者の氏名及 びパスワードである。 端末 I Dは、 利用者が現在使用しているユーザ端 末に固有の識別情報である。

公開鍵証明書 2 4 3は、 秘密鍵 2 4 2と対になる公開鍵の正当性を証 明するものであり、 証明書 I D、 前記公開鍵及び認証局による署名デ一 タを含む。

C R L 2 4 4及び認証局公開鍵 2 4 5は、 ユーザ端末 1 0 0の記億し ている C R L 1 3 7及び認証局公開鍵 1 3 8と同一のものであるので説 明を省略する。

( 2 ) 送受信部 2 0 1

送受信部 2 0 1 は、 アプリサーバ 2 0 0の I Pアドレス及び管理サ一 バ 6 0 0の I Pア ド レスを記憶している。

送受信部 2 0 1 は、 制御部 2 0 7及び認証部 2 0 3と管理サーバ 6 0 0との間で情報の送受信を行う。

送受信部 2 0 1が、 制御部 2 0 7と管理サーバ 6 0 0との間で送受信 する各種の情報は、 図 4に示すバケツ ト 1 4 0の形体をしている。 制御 部 2 0 7から、 アプリ番号、 端末 I D及び各種の情報からなるデータ部 1 4 3を受け取り送信を指示される。

制御部 2 0 7から送信を指示されると、 受け取ったデータ部 1 4 3に 送信元としてアプリサーバ 2 0 0の I Pア ドレスを設定し、 送信先とし てアプリサーバ 2 0 0の I Pアドレスを設定して送信する。

また、 送受信部 2 0 1 は、 管理サーバ 6 0 0以外の外部装置からの情 報の受信を拒否する。 具体的には、 受信したバケツ トに含まれる送信元 ア ド レスが管理サ一バ 6 0 0の I Pア ド レスであるか否かを確認し、 管 理サーバ 6 0 0の I Pア ドレスでなければ受信したバケツ トを削除する。

( 3 ) 入力部 2 1 2及び表示部 2 1 3

入力部 2 1 2は、 操作者による情報及び指示の入力を受け付け、 受け 付けた情報及び受け付けた指示に応じた操作指示情報を制御部 2 0 7へ 出力する。

表示部 2 1 3は、 制御部 2 0 7の制御により、 各種情報を表示する。

( 4 ) 制御部 2 0 7

制御部 2 0 7は、 上記のプロセッサがコンピュータプログラムに従つ て動作することにより、 アプリサーバ 2 0 0 0 0で実行する各種の情報 処理を制御する。

制御部 2 0 7は、 管理サーバ 6 0 0から公開鍵証明書を受信し、 受信 した公開鍵証明書を認証部 2 0 3へ出力し、 管理サーバ 6 0 0との相互 認証を指示する。 認証部 2 0 3による相互認証が成功し、 認証部 2 0 3 からサーバ共通鍵を受け取ると、 受け取ったサーバ共通鍵を記憶する。 記憶したサーバ共通鍵用いて、 秘密通信を行い、 以下に説明する各処理 において、 安全に情報の送受信を行う。

また、 制御部 2 0 7は、 アプリサーバ 2 0 0 自身が提供するサービス を示すアプリ番号を記憶しており、 以下の処理において、 送受信部 2 0 . を介して情報の送信を行う際、 記憶しているアプリ番号と処理対象と なっている利用者が使用しているユーザ端末 1 0 0の端末 I Dと送信す る情報とからなるデ一夕部 1 4 3を生成し、 生成したデータ部 1 4 3を 送受信部 2 0 1へ出力する。 以下の説明において、 データ部 1 4 3の生 成については説明を省略し、 単に、 アプリ番号と端末 I Dと各種情報と 表現する。

制御部 2 0 7は、 管理サーパ 6 0 0から、 アプリサーバ 2 0 0のアブ リ番号と端末 I Dとユーザ I Dと暗号化パスヮー ドとサービス開始要求 とを受信する。 また、 管理サーバ 6 0 0からアプリ番号と端末 I Dと口 グァゥ ト通知とを受信する。

制御部 2 0 7は、 管理サーバ 6 0 0からアプリサーバ 2 0 0と対応す るアプリ番号と端末 I Dとユーザ I Dと暗号化現パスヮードと暗号化新 パスワードとパスワード変更の指示を受信する。 また、 管理サーバ 6 0 0から、 アプリサーバ 2 0 0と対応するアプリ番号とユーザ I Dと暗号 化現パスヮードと暗号化新パスヮードとパスヮード復旧の指示を受け取 る。

以下に、 制御部 2 0 7の行うサービス提供の処理、 パスワード変更の 処理、 パスヮ一ド復旧の処理及ぴログァゥ ト処理について説明する。

( i ) サービス提供の処理

サービスの提供の処理において、 制御部 2 0 7は、 管理サーバ 6 0 0 から各種情報を受信するたびに、 各種情報と供に受信するユーザ端末 1 0 0の端末 I Dを含むログイ ン情報 2 3 2が、 アプリログイ ンテーブル 2 3 1 内に存在することを確認し、 ユーザ端末 1 0 0の利用者が口グイ ン済みであることを確認する。 以下のサービス提供の説明において、 受 信時のログイ ン済みの確認ついては、 説明を省略する。

制御部 2 0 7は、 管理サーバ 6 0 0からアプリ番号と処理対象となつ ている利用者の使用しているユーザ端末 1 0 0の端末 I Dとユーザ I D と暗号化パスヮードとサービス開始要求とを受信すると、 サービス提供 の処理を開始する。 ここでは、 一例として、 第 1 アプリサーバ 2 0 0 a の提供する出張費精算のサービスについて説明する。

制御部 2 0 7は、 受信した暗号.化パスワー ドと、 相互認証により生成 されたサーバ共通鍵とを暗号処理部 1 0 8へ出力し、 復号を指示する。 暗号処理部 2 0 8からパスヮ一ドを受け取ると、 パスヮ一ドテーブル 2 2 1 に受信したユーザ I Dとパスワードとを含むパスヮ一ド情報が存在 するか否かを判断する。 受け取ったユーザ I Dとパスワードとを含むパ スヮード情報がパスヮードテーブル 2 2 1内に存在しないと判断すると、 制御部 2 0 7は、 管理サーバ 6 0 0の記憶しているパスワー ドと第 1 ァ プリサーバ 2 0 0 aが記憶しているパスヮ一ドが一致していないことを 示すパスヮードエラ一信号と受信したユーザ I Dとを、 管理サーバ 6 0 0へ送信し、 サービス提供の処理を終了する。

受信したユーザ I Dとパスヮードを含むパスヮード情報 2 2 3が存在 すると判断すると、 受信したユーザ I Dと暗号処理部 2 0 8から受け取 つたパスワードを含むパスワー ド情報 2 2 3を選択する。 次に、 受信し た端末 I Dと抽出した端末 I Dと選択したパスヮード情報 2 2 3とから ログイン情報 2 3 2を生成し、 生成したログイン情報 2 3 2をアプリ口 グィンテーブル 2 3 1 に追加して書き込む。

次に、 制御部 2 0 7は、 情報記憶部 2 1 0から精算画面データを読み 出し、 ログイン情報 2 3 2からユーザ I Dと氏名を抽出し、 読み出した 精算画像データと抽出したユーザ I Dと氏名とを基に、 端末用精算画面 データを生成する。 次に、 ログイン情報 2 3 2から端末 I Dを抽出し、 制御部 2 0 7自身の記憶しているアプリ番号 「0 0 1」 と抽出した端末 I Dと生成した端末用精算画面データとを、 送受信部 2 0 1 を介して管 理サ一パ 6 0 0へ送信する。

次に、 管理サーバ 6 0 0から、 アプリ番号 「0 0 1」 と端末 I Dと暗 号化入力データを受信する。 受信した暗号化入力データとサーバ共通鍵 とを暗号処理部 2 0 8へ出力し、 復号を指示する。 暗号処理部 1 0 8か ら、 入力データを受け取り、 受け取った入力データを基に、 利用者の出 張費の精算処理を行う。

, 出張費の精算処理が終了すると、 情報記憶部 2 1 0から精算終了画面 データを読み出し、 読み出した精算終了画面データと口グイン情報 2 3 2から、 端末用精算終了画面データを生成し、 アプリ番号 「0 0 1」 と ログイン情報 2 3 2に含まれる端末 I Dと生成した端末用精算終了画面 データとを管理サーバ 6 0 0へ送信し、 出張費精算のサービスを終了す る。

( ϋ ) パスヮ—ド変更

制御部 2 0 7は、 管理サーバ 6 0 0から、 アプリサーバ 2 0 0と対応 するアプリ番号とパスヮード変更の対象となっている利用者が使用して いるユーザ端末 1 0 0の端末 I Dとユーザ I Dと暗号化現パスヮードと 暗号化新パスヮードとパスヮード変更の指示を受信すると、 受信した端 末 I Dを一時的に記憶する。

次に、 受信した暗号化現パスヮードと暗号化新パスヮードとサーバ共 通鍵とを暗号処理部 2 0 8へ出力し、 復号を指示する。 暗号処理部 2 0 8から、 現パスワードと新パスワードとを受け取り、 受け取った現パス ワードと受信したユーザ I Dとを含むパスワード情報 2 2 3をパスヮー ドテーブル 2 2 1から選択する。 次に選択したパスワード情報 2 2 3の パスワードを、 新パスワードに書き換える。

書き換えが正常に終了すると、 制御部 2 0 7は、 終了信号 「 1」 を生 成する。 ハードディ スク不良などにより、 書き換えが失敗すると、 終了 信号 「0」 を生成し、 アプリサーバ 2 0 0自身のアプリ番号と一時的に 記憶している端末 I Dと生成した終了信号とを送受信部 2 0 1 を介して、 管理サーバ 6 0 0へ送信し、 パスヮード変更の処理を終了する。

( iii ) パスヮード復旧処理

管理サーバ 6 0 0から、 アプリサーバ 2 0 0と対応するアプリ番号と 端末 I Dとユーザ I Dと暗号化現パスヮードと暗号化新パスヮードとパ スヮ一ド復旧の指示を受け取ると、端末 I Dを一時的に記憶する。次に、 制御部 2 0 7は、 受け取った暗号化現パスヮードと暗号化新パスヮード とサーバ共通鍵とを暗号処理部 2 0 8へ出力し、 復号を指示する。

暗号処理部 2 0 8から、 現パスヮードと新パスヮードとを受け取り、 受け取った新パスヮ一ドと受信したユーザ I Dとを含むパスヮード情報 2 2 3をパスワー ドテーブル 2 2 1から選択する。 選択したパスヮード 情報 2 2 3に含まれるパスヮードを受け取った現パスヮードに書き換え る。

パスワードの書き換えが正常に終了すると 終了信号 「 1」 を生成す る。 パスヮー ドの書き換えが失敗すると、 終了信号 「0」 を生成する。 次に、 アプリサーバ 2 0 0自身と対応するアプリ番号と一時的に記憶し た端末 I Dと生成した終了信号とを送受信部 2 0 1 を介して、 管理サー バ 6 0 0へ送信し、 処理を終了する。

( iv ) ログアウ ト処理

制御部 2 0 7は、 送受信部 2 0 1 を介して、 管理サーバ 6 0 0から、 アプリ番号とユーザ端末 1 0 0の端末 I Dとログァゥ ト通知を受信する と、 アプリログインテーブル 2 3 1 内で受信した端末 I Dを含む口グイ ン情報 2 3 2を探す。 受信した端末 I Dを含むログイ ン情報がアプリ口 グイ ンテーブル 2 3 1 内に存在しなければ、 そのままログアウ ト処理を 終了する。

受信した端末 I Dを含む口グイン情報 2 3 2がアプリログインテープ ル 2 3 1 内に存在すれば、 受信した端末 I Dを含む口グイン情報 2 3 2 を削除し、 ログアウ ト処理を終了する。

( 5 ) 認証部 2 0 3

認証部 2 0 3は、 制御部 2 0 7と外部機器との通信に先だって、 秘密 鍵 2 4 2と公開鍵証明書 2 4 3とを用いて外部機器との間で相互認証を 行い、 相互認証が成功した場合のみ制御部 2 0 7と外部機器との通信を 許可し、 外部装置と同一のサーバ共通鍵を生成する。 ここで、 外部機器 とは、 具体的には、 管理サーバ 6 0 0である。

( 6 ) 暗号処理部 2 0 8

暗号処理部 2 0 8は、 制御部 2 0 7から各種の情報とサーバ共通鍵を 受け取り暗号化を指示される。 暗号化の指示を受け取ると、 受け取った サーバ共通鍵を用いて受け取った情報に暗号化アルゴリズム E 4を施し、 暗号化情報を生成し、生成した暗号化情報を、制御部 2 0 7へ出力する。 また、 制御部 2 0 7から各種の暗号化情報とサーバ共通鍵とを受け取 り復号を指示される。 復号の指示を受け取ると、 受け取ったサーバ共通 鍵を用いて、 受け取った暗号化情報に復号ァルゴリズム D 3を施して、 情報を生成し、 生成した情報を制御部 2 0 7へ出力する。

暗号処理部 2 0 8が、 制御部 2 0 7から受け取る、 暗号化情報は、 具 体的には、 暗号化パスワード、 暗号化入力データ、 暗号化現パスワード 及ぴ暗号化新パスワー ドである。

ここで、 復号アルゴリ ズム D 3は、 暗号化アルゴリ ズム E 3により生 成された暗号文を復号するァルゴリズムであり、 暗号化ァルゴリズム E 3及び E 4は、一例として D E S暗号方式などの共通鍵暗号方式である。 1 . 4 管理サーバ 6 0 0

管理サーバ 6 0 0は、 図 1 3に示すように、 送受信部 6 0 1、 認証部 6 0 3、 パスワー ド変更部 6 0 6、 制御部 6 0 7、 暗号処理部 6 0 8、 パスワー ド復旧部 6 1 4、 変更判定部 6 0 9、 変更結果通知部 6 1 5、 情報記憶部 6 1 0、 入力部 6 1 2及び表示部 6 1 3から構成される。 管理サーバ 6 0 0は、 具体的には図示されていないマイクロプロセッ サ、 R A M、 R O M及びハードディ スクから構成される。 前記 R A M、 R O M及びハードディ スクにはコンピュータプログラムが記憶されてお り、 前記マイクロプロセッザが前記コンピュータプログラムに従って動 作することにより、 管理サーバ 6 0 0は、 その機能を達成する。

( 1 ) 情報記憶部 6 1 0

情報記憶部 6 1 0は、 ハードディ スクュニッ トから構成され、 一例と して、 図 1 4に示すように、 パスワードテーブル 6 2 1、 ログインテ一 ブル 6 3 1 ルーティ ングテーブル 6 4 1 、 パスヮー ド変更テーブル 6 5 1、 秘密鍵 6 6 1、 公開鍵証明書 6 6 2、 C R L 6 6 3及び認証局公開 鍵 6 6 4を記憶している。

パスヮ一ドテーブル 6 2 1は、 アプリサーバ 2 0 0の記憶しているパ スヮードテーブル 2 2 1 と同様の構成であるので、 説明を省略する。 口グインテーブル 6 3 1は、 図 1 5に示すように、 複数の口グイン情 報 6 3 2、 6 3 3、 6 3 4 · · ' から構成され、 各ログイン情報は、 ュ 一ザ I D、 氏名、 パスワード、 端末 I D及び処理状況を含む。

ユーザ I Dは、 管理サーバ 6 0 0によるパスワードの認証を終え、 現 在各種サービスを利用中の利用者と対応しており、 氏名及びパスヮード は、ユーザ I Dの示す利用者の氏名及びパスヮードである。端末 I Dは、 ユーザ I Dの示す利用者が現在使用しているユーザ端末に固有の識別情 報である。 処理状況は 端末 I Dの示すユーザ端末と管理サーバ 6 0 0 及びアプリサーバ 2 0 0間で行っている処理の種類を示しており、 パス ヮ一ドの変更処理を行っているときは 「パスワード変更中」、 アプリサー バ 2 0 0による各種サービスに係る処理を行っているときは 「通常」 に 設定されている。

ルーティ ングテーブル 6 4 1は、 図 1 6に示すように、 複数のル一ト 情報 6 4 2 , 6 4 3 · · ·から構成され、 各ル一 ト情報は、 アプリ番号、 ホス ト名、 I Pア ド レス及びポー ト番号を含む。

アプリ番号は、 第 1 アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dと対応しており、 各アプリサーバが提供するサービスを示す識別情報 である。 これは、 ユーザ端末 1 0 0が記憶しているアプリ番号表 1 2 0 に含まれるアプリ番号と同一のものである。 ホス ト名は、 アプリ番号と 対応するアプリサーバ 2 0 0を特定する識別情報である。 I Pア ド レス は、 前記アプリサーバのネッ トワーク上の位置を示す I Pアドレスであ り、 ポート番号は、 管理サーバ 6 0 0が、 アプリサーバ 2 0 0へ情報を 送信する際に指定する送信先ポート番号である。

パスヮード変更テーブル 6 5 1 は、 図 1 7に示すように、 複数の変更 情報 6 5 2、 6 5 3、 6 5 4 · · · から構成される。 各変更情報は、 ュ —ザ I D、 現行パスヮード及ぴ新パスヮードを含む。

ユーザ I Dは、 アプリサーバ 2 0 0及ぴ管理サーバ 6 0 0の正当な利 用者に割り当てられた識別情報である。 現パスワードは、 パスワード変

5処理を行う時点で利用者が使用しているパスヮードであり、 新パスヮ ードは、 パスワード変更処理において、 利用者が設定した新しいパスヮ ードである。 具体的には、 現パスワードは、 図 7の示すパスワード変更 画面 1 9 1内の空欄 1 9 2に入力される文字列であり、新パスヮードは、 空欄 1 9 3及び 1 9 4に入力される文字列である。

公開鍵証明書 6 6 2は、 秘密鍵 6 6 1 と対になる公開鍵の正当性を証 明するものであり、 証明書 I D、 前記公開鍵及び認証局による署名デー 夕を含む。

C R L 6 6 3及び認証局公開鍵 6 6 4は、 ユーザ端末 1 0 0の記憶し ている C R L 1 3 7及び認証局公開鍵 1 3 8と同一であるので説明を省 略する。

また、 情報記憶部 6 1 0は、 具体的には図示していないが、 各種の画 面データを記憶している。

( 2 ) 送受信部 6 0 1

送受信部 6 0 1 は、 ユーザ端末 1 0 0の端末 I Dとユーザ端末 1 0 0 の I Pァドレスとを対応付けて記憶する。 また、 管理サーバ 6 0 0の I Pアドレスを記億している。

送受信部 6 0 1 は、 管理サーバ 6 0 0内の各部と外部機器との間で情 報の送受信を行う。

送受信部 6 0 1が、 送受信する各種情報は、 一例として図 4に示すパ ケッ ト 1 4 0の形体である。

送受信部 6 0 1 は、 制御部 6 0 7、 パスヮード変更部 6 0 6又はパス ワード復旧部 6 1 4から、 アプリ番号とユーザ端末 1 0 0の端末 I Dと 各種の情報からなるデータ部 1 4 3を受け取り、 送信を指示される。 制御部 6 0 7から、 ユーザ端末 1 0 0への送信を指示されると、 送信 元を管理サーバ 6 0 0の I Pアドレスに設定し、 端末 I Dを基に送信先 をユーザ端末 1 0 0の I Pア ドレスに設定し、 受け取ったデータ部 1 4 3を送信する。 また、 制御部 6 0 7又はパスワー ド変更部 6 0 6から情 報を受け取り、 アプリサーバ 2 0 0への送信を指示されると、 アプリ番 号を基にルーティ ングテーブル 6 4 1からルート情報を選択し、 選択し たルート情報から I Pア ド レスとポート番号を抽出し、 送信先ァ ド レス を抽出した I Pアドレスに設定し、 送信元を管理サーバ 6 0 0の I Pァ ドレスに設定レ、 送信先ポート番号を抽出したポート番号に設定して送 信する。

( 3 ) 入力部 6 1 2及び表示部 6 1 3

入力部 6 1 2は、 操作者による情報及び指示の入力を受け付け、 受け 付けた情報及び受け付けた指示に応じた操作指示情報を制御部 6 0 7へ 出力する。

表示部 6 1 3は、 制御部 6 0 7からの指示により、 各種情報を表示す る。

( 4 ) パスヮ一ド変更部 6 0 6

パスワード変更部 6 0 6は、 制御部 6 0 7から、 アプリ番号と端末 I Dとユーザ I Dと暗号化現パスヮードと暗号化新パスヮードとを受け取 りパスワード変更を指示される。 制御部 6 0 7からパスワード変更を指 示されると以下に説明するパスワード変更処理を行う。 なお、 以下の説 明において、 データ部 1 4 3の生成については説明を省略し、 単にアブ リ番号、 端末 I D及び各種情報の出力と表現する。

(パスワード変更処理）

パスワード変更部 6 0 6は、 制御部 6 0 7から、 アプリ番号と端末 I Dと暗号化現パスヮードと暗号化新パスヮードとを受け取りパスヮ一ド 変更を指示されると、 アプリサーバ 2 0 0に対してパスワードの変更を 指示するパスヮード変更指示を生成し、 受け取ったユーザ I Dとアプリ 番号とユーザ I Dと暗号化現パスヮードと暗号化新パスヮードと生成し たパスヮード変更指示とを送受信部 6 0 1 に出力し、 アプリサーバ 2 0 0へ送信を指示する。

送信と同時に、 パスワード変更部 6 0 6は、 アプリサーバ 2 0 0へパ スフ一ド変更指示を送信したことを示す変更指示送信済信号を生成し、 生成した変更指示送信済信号と制御部 6 0 7から受け取ったアプリ番号 と端末 I Dとを変更判定部 6 0 9へ出力する。

( 5 ) パスヮード復旧部 6 1 4 パスワード復旧部 6 1 4は、 制御部 6 0 7からアプリ番号と端末 I D とユーザ I Dと暗号化現パスヮードと暗号化新パスヮードとを受け取り パスヮー ド復旧を指示される。

また、 変更判定部 6 0 9からパスヮード復旧指示の再送信を指示され る。

制御部 6 0 7からパスヮード復旧を指示されると以下に説明するパス ワード復旧処理を開始する。 なお、 以下の説明において データ部 1 4 3の生成については説明を省略し、 単にアプリ番号、 端末 I D及び各種 情報の出力と表現する。

(パスワード復旧処理）

パスヮ一ド復旧部 6 1 4は、 制御部 6 0 7から、 アプリ番号と端末 I Dとユーザ I Dと暗号化現パスヮードと暗号化新パスヮードとを受け取 りパスヮード復旧を指示されると、 アプリサーバ 2 0 0に対してパスヮ 一ドを現パスヮードに戻すことを指示するパスヮード復旧指示を生成し、 受け取ったアプリ番号と端末 I Dと暗号化現パスヮードと暗号化新パス ワードと生成したパスワード復旧指示とを一時的に記憶する。 次に、 受 け取ったアプリ番号と端末 I Dと暗号化現パスヮードと暗号化新パスヮ 一ドと生成したパスヮード復旧指示とを送受信部 6 0 1へ出力し、 アブ リ番号と対応するアプリサーバ 2 0 0への送信を指示する。

送信と同時に、 パスワード復旧部 6 1 4は、 アプリサーバ 2 0 0へパ スヮー ド復旧指示を送信したことを示す復旧送信済信号を生成し、 生成 した復旧送信済信号と記憶しているアプリ番号と端末 I Dとを変更判定 部 6 0 9へ出力する。

変更判定部 6 0 9から、パスヮード復旧指示の再送信を指示されると、 パスヮード復旧部 6 1 4は、 記憶しているアプリ番号と端末 I Dと暗号 化現パスヮードと暗号化新パスヮードとパスワード復旧指示とを読み出 し、 読み出したアプリ番号と端末 I Dと暗号化現パスヮードと暗号化新 パスヮ一ドとパスヮード復旧指示とを送受信部 6 0 1 を介して再送信す る。 再送信と同時に、 復旧送信済信号を変更判定部 6 0 9へ出力する。 ( 6 ) 変更判定部 6 0 9

変更判定部 6 0 9は、 時間の経過に伴って経過時間を計測する t i m eカウンタとパスヮード復旧指示の送信回数を数える回数カウンタとを ·る。

また、 変更判定部 6 0 9は、 あらかじめ、 最大待ち時間と制限回数を 記憶している。 最大待ち時間は、 パスワード変更部 6 0 6又はパスヮ一 ド復旧部 6 1 4がパスヮード変更指示又はパスヮ一ド復旧指示を送信し てから終了信号を受け取るまでの待機時間の上限値 Γ 1秒」 である。 パ スヮード変更指示を送信してから最大待ち時間を超えて終了信号を受信 しなければ、 パスワー ドの変更失敗を示す変更終了信号 「0」 を生成す る。 パスワー ド復旧指示を送信してから、 最大待ち時間を超えて終了信 号を受信しなければ、 パスヮード復旧部 6 1 4にパスヮ一ド復旧指示の 再送信を指示する。

制限回数は、 1台のアプリサーバ 2 0 0へパスワード復旧指示を送信 できる回数の最大値 「3回」 である。 パスワー ド復旧指示の送信回数が 「3回」 を超えると、 パスワード復旧の失敗を示す復旧終了信号 「0」 を生成する。

変更判定部 6 0 9は、 パスヮード変更部 6 0 6から変更指示送信済信 号とアプリ番号と端末 I Dとを受け取る。

変更判定部 6 0 9は、 パスヮード復旧部 6 1 4から、 復旧指示送信済 信号とアプリ番号と端末 I Dとを受け取る。 また、 パスワード復旧部 6 1 4から復旧指示送信済信号のみを受け取る。

以下に変更判定部 6 0 9の行う （ i )パスヮ一ド変更の判定処理と（ii) パスヮード復旧の判定処理について説明する。.

( i ) パスヮー ド変更の判定処理

変更判定部 6 0 9は、 パスヮー ド変更部 6 0 6から変更指示送信済信 fとアプリ番号と端末 I Dとを受け取ると、 受け取ったアプリ番号と端 末 I Dとを内部に一時的に記憶する。 また、 変更指示送信済信号を受け取ると同時に、 t i m eカウンタを 0に初期化し、 経過時間の計測を開始する。

次に、 送受信部 6 0 1 を介してアプリサーバ 2 0 0から終了信号を受 信すると、 受信した終了信号を判別し、 終了信号が 「 1」 であれば、 ァ プリサーバ 2 0 0のパスヮー ド変更が成功であることを示す変更終了信 号 「 1」 を生成する。 受信した終了信号が 「0」 であると判断すると、 アプリサーバ 2 0 0のパスヮード変更が失敗であることを示す変更終了 信号 「0」 を生成する。

また、 アプリサーバ 2 0 0から終了信号を受信していない場合、 t i m e カウンタの値と最大待ち時間とを比較する。 t i m eカウンタが最 大待ち時間を超えていないと判断すると、 終了信号を受信するか t i m eカウンタが最大待ち時間を超えるまで、 t i m eカウンタと最大待ち 時間の比較を繰り返す。

t i m e カウンタの値が最大時間を超えていると判断すると、 変更判 定部 6 0 9は、 アプリサーバ 2 0 0のパスヮード変更が失敗であると判 断し、 変更終了信号 「0」 を生成する。

次に、 記憶しているアプリ番号と端末 I Dと生成した変更終了信号と を、 制御部 6 0 7へ出力する。

(ii) パスワード復旧の判定処理

変更判定部 6 0 9は、 パスワード復旧部 6 1 4から、 復旧指示送信済 信号とアプリ番号と端末 I Dとを受け取ると、 受け取ったアプリ番号と 端末 I Dとを内部に一時的に記憶し、 回数カウンタを 0に初期化する。 また、 復旧指示送信済信を受け取ると同時に、 パスワード変更部 6 0 6は、 t i m eカウンタを 0に初期化して経過時間の計測を開始する。 パスヮード復旧部 6 1 4から、復旧指示送信済信号のみを受け取ると、 回数力ゥンタの初期化は行わず、 t i m eカウンタを 0に初期化して経 過時間の計測を開始する。

._¾ 次に、 送受信部 6 0 1 を介して、 アプリサーバ 2 0 0からの終了信号 を受信すると、受信した終了信号を判別し、終了信号が「 1」であれば、 アプリサーバ 2 0 0 'のパスヮ一ド復旧が成功であることを示す復旧終了 信号 「 1」 を生成する。

受信した終了信号が 「0」 であると判断すると、 回数カウンタに 1加 算する。 次に回数カウンタの値と制限回数とを比較する。 回数力ゥンタ が制限回数を超えていないと判断すると、 パスワード復旧部 6 1 4にパ スヮード復旧指示の再送信を指示する。

また、 アプリサーバ 2 0 0からの終了信号を受信していない場合. t i m eカウンタと最大待ち時間とを比較する。 t i m eカウンタが最大 待ち時間を超えていないと判断すると、 終了信号を受信するか経過時間 が最大待ち時間を超えるまで、 t i m eカウンタと最大待ち時間の比較 を繰り返す。

t i m eカウンタが、 最大待ち時間を超えていると判断すると、 回数 カウンタに 1加算する。 次に、 回数カウンタと制限回数を比較する。 回 数カウンタが、 制限回数以内であれば、 パスワード復旧部 6 1 4にパス ヮード復旧指示の再送信を指示する。

回数カウン夕が、 制限回数を超えていると判断すると、 パスワード復 旧が失敗であることを示す復旧終了信号 「0」 を生成する。

復旧終了信号を生成すると、 次に、 記憶しているアプリ番号と端末 I Dと生成した復旧終了信号とを制御部 6 0 7へ出力する。

( 7 ) 制御部 6 0 7

制御部 6 0 7は、 上記のプロセッサがコンピュータプログラムに従つ て動作することにより、 管理サーバ 6 0 0で実行する各種の情報処理を 制御する。

制御部 6 0 7は、 アプリサーバ 2 0 0とアプリサーバ 2 0 0が提供す るサービスを示すアプリ番号とを対応付けて記憶している。

制御部 6 0 7は、 送受信部 6 0 1 を介してユーザ端末 1 0 0から公開 鍵証明書を受信する。

. ユーザ端末 1 0 0から公開鍵証明書を受信すると、 受信した公開鍵証 明書を認証部 6 0 3へ出力し、 相互認証を指示する。 認証部 6 0 3によ る相互認証が終了し、 端末共通鍵を受け取る。 受け取った端末共通鍵を 用いて秘密通信をすることにより、 ユーザ端末 1 0 0との間で以下に説 明する処理を安全に行う。

また、 制御部 6 0 7が、 送受信部 6 0 1を介して送受信する情報は、 図 4に示すようなバケツ ト 1 4 0の形体である。 制御部 6 0 7は、 受信 したアプリ番号を判別し、 利用者が利用しょうとするサービスを提供す る機器がアプリサーバ 2 0 0又は管理サーバ 6 0 0のいずれであるかを 判断する。 制御部 6 0 7は、 各種情報を送信する際、 送信する情報と処 理の対象となっている利用者の使用しているユーザ端末 1 0 0の端末 I Dと処理を実行する機器と対応するアプリ番号からなるデータ部 1 4 3 を生成し、 生成したデータ部 1 4 3を送受信部 6 0 1へ出力し、 送信を 指示する。 ここで、 処理を実行する機器とは、 アプリサーバ 2 0 0及び 管理サーバ 6 0 0である。

以下に説明する制御部 6 0 7の行う処理において、 上記のようなデ一 夕部 1 4 3の生成に関する説明は省略し、 単にアプリ番号と端末 I Dと 各種情報と表現する。

制御部 6 0 7は、 利用者のログイン処理、 各種サービスの中継処理、 パスヮ一 ド変更制御、 パスヮード復旧制御及びログァゥ ト処理を行う。 以下に、 利用者のログイン処理、 各種サービスの中継処理、 パスワード 変更制御、 パスワード復旧制御及びログアウ ト処理について説明する。

( i ) 利用者の口グイン処理

制御部 6 0 7は、 認証部 6 0 3による、 相互認証が終了すると、 認証 部 6 0 3から端末共通鍵を受け取り、受け取った端末共通鍵を記憶する。 制御部 6 0 7は、情報記憶部 6 1 0から口グイン画面データを読み出し、 送受信部 6 0 1 を介して読み出した口グイン画面データをユーザ端末 1 0 0へ送信する。

次に、 ユーザ端末 1 0 0からアプリ番号 「0 0 5」 と端末 I Dとュ一 ザ I Dと暗号化パスヮードとを受信し、 受信した暗号化パスヮ一ドと端 末共通鍵とを暗号処理部 6 0 8に出力し、 復号を指示する。 暗号処理部 6 0 8からパスワードを受け取ると、 パスワードテーブル 6 2 1 内で、 受信したユーザ I Dと受け取ったパスヮードを含むパスヮード情報を検 索する。 受信したユーザ I Dと受け取ったパスヮードを含むパスヮード 情報が存在しないと判断すると、 再度、 ログイ ン画面データをユーザ端 末 1 0 0へ送信する。

受信したユーザ I Dと受け取ったパスヮードを含むパスヮード情報が 存在すると判断すると.. 受信したユーザ I Dと受け取ったパスワードを 含むパスヮード情報を選択する。 受信した端末 I Dと選択したパスヮー ド情報とを基に、 口グイン情報 6 3 2を生成し、 生成した口グイン情報 6 3 2をログインテーブル 6 3 1 に追加して書き込む。 このとき、 処理 状況は 「通常」 に設定する。 これにより、 口グイン処理完.了と判断する。

これ以降の処理において、 ユーザ端末 1 0 0から各種情報を受信する たびに、 各種情報と供に受信する端末 I Dを含む口グイン情報 6 3 2が 口グイ ンテーブル 6 3 1 内に存在することを確認し、 ユーザ端末 1 0 0 の利用者がログイン済みであることを確認する。 以下の説明において、 口グイン済みの確認については、 詳細な説明を省略する。

次に、 情報記憶部 6 1 0からメニュー画面データを読み出し、 読み出 したメニュー画像データと書き込んだログイン情報 6 3 2に含まれるュ 一ザ I D及び氏名を基に、 端末用メニュー画面データを生成し、 生成し た端末用メニュー画面データを送受信部 6 0 1 を介して、 ユーザ端末 1 0 0へ送信する。 次に、 送受信部 6 0 1 を介して、 ユーザ端末 1 0 0か らアプリ番号と端末 I Dとサービス開始要求又はアプリ番号と端末 I D とパスヮード変更指示を受信する。 アプリ番号と端末 I Dとサービス開 始要求を受信するとユーザ端末 1 0 0とアプリサーバ 2 0 0との中継処 理を行い、 アプリ番号と端末 I Dとパスワード変更指示を受信するとパ スヮード変更処理及びパスヮ一ド復旧処理を行う。

( ii ) 各種サービスの中継処理

, 制御部 6 0 7は、 アプリ番号と端末 I Dサービス開始要求を受信する と、 以下に説明する手順で、 受信したアプリ番号の示すアプリサーバ 2 0 0とユーザ端末 1 0 0との間で中継処理を行う。

ここでは、 第 1 アプリサーバ 2 0 0 aとユーザ端末 1 0 0との間の中 継処理について説明する。

制御部 6 0 7は、 ユーザ端末 1 0 0の利用者が口グイン済みであるこ とを確認し、 認証部 6 0 3ヘアプリサーバ 2 0 0 aとの相互認証を指示 する。 認証部 6 0 3による相互認証が終了し、 認証部 6 0 3からサーバ 共通鍵を受け取り、 受け取ったサーバ共通鍵を記憶する。

次に、 ログインテーブル 6 3 1内で受信した端末 I D含む口グイン情 報 6 3 2を選択し、 選択した口グイン情報 6 3 2からユーザ I Dとパス ワー ドを抽出する。 抽出したパスワードとサーバ共通鍵とを暗号処理部 6 0 8へ出力し、 パスワー ドの暗号化を指示する。 次に、 暗号処理部 6 0 8から暗号化パスヮードを受け取る。 ユーザ端末 1 0 0から受信した アプリ番号 「0 0 1」 と端末 I Dとサービス開始要求と読み出したユー ザ I Dと暗号処理部 6 0 8から受け取った暗号化パスヮードとを、 送受 信部 6 0 1へ出力し、 第 1 アプリサーバ 2 0 0 aへの送信を指示する。 次に、 制御部 6 0 7は、 送受信部 6 0 1 を介して、 アプリサーバ 2 0 0 aからアプリ番号 「0 0 1」 と端末 I Dとパスヮードエラ一信号とュ —ザ I D又はアプリ番号 「0 0 1」 と端末 I Dと端末用精算画面データ を受信する。

アプリ番号 「0 0 1」 と端末 I Dとパスワードエラー信号とユーザ I Dとを受信すると、 制御部 6 0 7は、 情報記憶部 6 1 0から強制終了画 面データ読み出す。 次に受信したユーザ I Dを含む口グイン情報 6 3 2 からユーザ I Dと氏名を抽出する。

読み出した強制終了画面データと抽出したユーザ I Dと氏名とを基に、 端末用強制終了画面データを生成し、 送受信部 6 0 1 を介して、 受信し た端末 I Dと生成した端末用強制終了画面データをユーザ端末 1 0 0へ 送信する。 次に、 受信したユーザ I Dとエラー画面データとから、 エラ 丁画面 3 3 1 を生成し、 表示部 6 1 3へ出力し、 パスヮードの不一致が 発生していることを管理サーバ 6 0 0の操作者に通知する。 アプリ番号 「0 0 1」 と端末 I Dと端末用精算画面データとを受信す ると、 送受信部 6 0 1 を介して、 受信したアプリ番号 _ 「0 0 1」 と端末 I Dと端末用精算画面データとをユーザ端末 1 0 0へ送信する。

次に、 送受信部 6 0 1 を介して、 ユーザ端末 1 0 0から、 アプリ番号 「0 0 1」、端末 I D及び暗号化入力データを受信する。受信した端末 I Dを基に、 ユーザ端末 1 0 0の利用者が口グイ ン済みであることを確認 する。

次に、 受信した暗号化入力データと端末共通鍵とを暗号処理部 6 0 8 へ出力し、 暗号化入力データの復号を指示する。 暗号処理部 6 0 8から 入力データを受け取る。 次に、 受け取った入力データとサーバ共通鍵と を暗号処理部 6 0 8へ出力し、 入力データの暗号化を指示する。 暗号処 理部 6 0 8から暗号化入力データを受け取る。

次に、 制御部 6 0 7は、 アプリ番号 「0 0 1」 と受信した端末 I Dと 暗号処理部 6 0 8から受け取った暗号化入力データとを送受信部 6 0 1 を介して、 第 1 アプリサーバ 2 0 0 aへ送信する。

次に、 送受信部 6 0 1 を介して、 アプリサーバ 2 0 0 aから、 アプリ 番号 「0 0 1」、 端末 I D及び端末用精算終了画面データを受信する。 受 信したアプリ番号「0 0 1」、端末 I D及び端末用精算終了画面データを ユーザ端末 1 0 0へ送信する。

( Mi ) パスヮード変更制御

制御部 6 0 7は、 受付処理、 パスワー ド変更指示、 結果通知の順序で パスワード変更制御を行う。 以下に、 受付処理、 パスワード変更指示及 ぴ結果通知の処理について説明する。

( Mi - a ) 受付処理

制御部 6 0 7は、 送受信部 6 0 1 を介して、 ユーザ端末 1 0 0からァ プリ番号 「0 0 5」 と端末 I Dとパスワード変更指示とを受信する。 次 に、 ユーザ端末 1 0 0の利用者が口グイン済みであることを確認する。 次に、 情報記億部 6 1 0からパスヮ一ド変更画面データを読み出し、 読み出したパスヮード変更画面データとログイン情報 6 3 2とを基に、 端末用パスヮ一ド変更画面データを生成し、 生成した端末用パスヮ一ド 変更画面データを送受信部 6 0 1 を介して、 ユーザ端末 1 0 0へ送信す る。

次に、送受信部 6 0 1 を介して、ユーザ端末 1 0 0からアプリ番号「0 0 5」 と端末 I Dと暗号化現パスワードと暗号化新パスワードとを受信 する。 制御部 6 0 7は、 受信した端末 I Dを含む、 口グイン情報 6 3 2 を選択し、 選択したログイ ン情報 6 3 2の処理状況を 「パスワード変更 中」 に書き換える。

次に、 受信した暗号化現パスヮードと暗号化新パスヮードと端末共通 鍵とを暗号処理部 6 0 8へ出力し、 暗号化現パスワードと暗号化新パス ワードの復号を指示する。 暗号処理部 6 0 8から、 生成された現パスヮ 一ドと新パスヮードとを受け取る。

次に、 書き換えた口グイ ン情報 6 3 2からユーザ I Dを読み出し、 パ スヮードテーブル 6 2 1上で、 読み出したユーザ I Dと受け取った現パ スワードとを含むパスワー ド情報の有無を確認す.る。 読み出したユーザ I Dど受け取った現パスヮードとを含むパスヮード情報が存在しないと 判断すると、 送受信部 6 0 1 を介して、 ユーザ端末 1 0 0へパスワード 変更画面を再度送信し、 現パスヮードと新パスヮ一ドの再入力を促す。 パスワードテーブル 6 2 1上に、 読み出したユーザ I Dと受け取った 現パスワードとを含むパスワード情報が存在すると判断すると、 次に、 読み出したユーザ I Dを含むパスヮード変更情報 6 5 2をパスワード変 更テーブル 6 5 1から選択する。 選択したパスヮード変更情報 6 5 2に 含まれる現パスヮードを暗号処理部 6 0 8から受け取った現パスヮ一ド に書き換え、 選択したパスヮ一ド変更情報に含まれる新パスヮードを暗 号処理部 6 0 8から受け取った新パスヮ一ドに書き換える。

( iii - b ) パスヮード変更処理

次に、 制御部 6 0 7は、 以下に説明する手順で第 1 アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dのパスヮード変更を行う。

制御部 6 0 7は、 認証部 6 0 3へ、 第 1 アプリサーバ 2 0 0 aとの相 互認証を指示する。 認証部 6 0 3による相互認証が終了し、 認証部 6 0 3からサーバ共通鍵を受け取り記憶する。 次に、 パスワード変更情報 6 5 2から現パスヮードと新パスヮードとを抽出し、 抽出した現パスヮ一 ドと新パスヮードと第 1 アプリサーバ 2 0 0 aとの相互認証により生成 されたサーバ共通鍵とを暗号処理部 6 0 8へ出力し、 現パスワー ドと新 パスヮードの暗号化を指示する。

次に、 暗号処理部 6 0 8から暗号化現パスヮードと暗号化新パスヮー ドとを受け取る。パスヮ一ド変更情報 6 5 2からユーザ I Dを抽出する。 次に、 制御部 6 0 7は、 第 1 アプリサーバ 2 0 0 aと対応するアプリ番 号 「 0 0 1」 とユーザ端末 1 0 0の端末 I Dと抽出したユーザ I Dと受 け取った暗号化現パスヮ一ドと暗号化新パスヮードとをパスヮ一ド変更 部 6 0 6へ出力しパスヮ一ド変更を指示する。

次に、 変更判定部 6 0 9からアプリ番号 「0 0 1」 と端末 I Dと変更 終了信号を受け取る。 受け取った変更終了信号がパスヮード変更成功を 示す 「 1 J であれば第 1 アプリサーバ 2 0 0 aのパスヮ一ド変更が成功 であると判断する。

受け取った変更終了信号が 「0」 であると判断すると、 第 1アプリサ ーパ 2 0 0 aのパスヮ一ド変更が失敗であると判断し、 第 2アプリサ一 パ 2 0 0 b以降のパスヮ一ド変更を中止し、 パスヮード復旧制御へ処理 を移す。

第 1 アプリサーバ 2 0 0 aのパスヮ一ド変更が成功であると判断する と、 同様にして、 相互認証、 現パスワードと新パスワードの暗号化、 パ スヮ一ド変更の指示及び変更終了信号の取得の手順で第 2アプリサーバ 2 0 0 bのパスヮード変更を行う。

第 2アプリサーバ 2 0 0 bのパスワード変更が成功であれば、 同様に して第 3アプリサーバ 2 0 0 cのパスヮード変更を行い、失敗であれば、 第 3アプリサーバ 2 0 0 c及び第 4アプリサ一パ 2 0 0 dのパスワード 変更を中止し、 パスワー ド復旧処理へ移る。

第 3アプリサーバ 2 0 0 cのパスヮ一ド変更が成功であれば、 続いて 第 4アプリサーバ 2 0 0 dのパスワード変更を行い、 失敗であれば、 第 4アプリサーバ 2 0 0 dのパスヮ一ド変更を中止し、 パスヮード復旧処 理に移る。

第 4アプリサーバ 2 0 0 dのパスヮ一 ド変更が成功であれば、 以下の 結果通知を行い、 失敗であれば、 パスワード復旧処理を行う。

(iii一 c ) 結果通知

第 1 アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dのパスワー ド 変更が全て成功すると、 制御部 6 0 7は、 情報記憶部 6 1 0の記憶して いるパスワードテーブル 6 2 1 内において、 パスヮード変更部 6 0 6へ 出力したユーザ I Dを含むパスワード情報を選択し、 選択したパスヮ一 ド情報に含まれるパスワードを、 新パスワー ドに書き換える。 次に、 口 グインテ一ブル 6 3 1から、 出力したユーザ I Dを含む口グイン情報 6 3 2を選択し、 選択した口グイン情報 6 3 2に含まれるパスヮードを新 パスワー ドに書き換える。

次に、 パスワード変更の完了を示す完了信号を生成し、 書き換えた口 グイン情報 6 3 2からユーザ I Dと氏名とを抽出し、 変更結果通知部 6 1 5に生成した完了信号とユーザ I Dと端末 I Dとを出力し、 ユーザ端 末 1 0 0への結果通知を指示する。

次に、 ログイン情報 6 3 2の処理状況を 「通常」 に書き換える。

(iv) パスヮー ド復旧処理

上記の （iii) において説明したパスワー ド変更 理の途中で何れかの アプリサーバ 2 0 0のパスヮード変更が失敗すると、 制御部 6 0 7は、 パスワー ド復旧の処理を行う。

具体的には、制御部 6 0 7は、変更判定部 6 0 9から変更終了信号「0」 と供に受け取ったアプリ番号により、 パスワード変更が失敗したアプリ サーバ 2 0 0を判別する。 第 1 アプリサーバ 2 0 0 a〜第 3アプリサー バ 2 0 0 cのパスヮード変更処理は成功し、 第 4アプリサーバ 2 0 0 d のパスヮ一ド変更処理が失敗であると判断すると、 第 3アプリサーバ 2 0 0 c〜第 1 アプリサーバ 2 0 0 aの順にアプリサーバのパスヮード復 旧処理を行い、 次に、 失敗通知処理を行う。

第 1 アプリサーバ 2 0 0 aと第 2アプリサーバ 2 0 0 bのパスワード 変更処理は成功し、 第 3アプリサーバ 2 0 0 cのパスヮード変更処理が 失敗であると判断すると、 第 2アプリサーバ 2 0 0 b〜第 1 アプリサー パ 2 0 0 aの順にアプリサーバのパスワード復旧処理を行い、 次に、 失 敗通知処理を行う。

第 1 アプリサーバ 2 0 0 aのパスヮード変更処理は成功し、 第 2アブ リサーバ 2 0 0 cのパスヮード変更処理が失敗であると判断すると、 第 1 アプリサーバ 2 0 0 aにアプリサーバのパスヮード復旧処理を行い、 次に、 失敗通知処理を行う。

第 1 アプリサーバ 2 0 0 aのパスヮード変更処理が失敗であると判断 すると、 失敗通知処理のみを行う。

また、 何れかのアプリサーバ 2 0 0において、 アプリサーバのパスヮ ード復旧処理が失敗すると、 エラー処理を行う。

以下に、 アプリサーバのパスワード復旧処理、 失敗通知処理及びエラ 一処理の詳細を説明する。

( iv— a ) アプリサーバのパスワー ド復旧処理

制御部 6 0 7は、 パスヮード変更情報 6 5 2から現パスヮードと新パ スワー ドとを抽出し、 抽出した現パスワードと新パスワー ドと該当する アプリサーバ 2 0 0のサーバ共通鍵とを暗号処理部 6 0 8に出力し、 現 パスヮードと新パスヮードとの暗号化を指示する。 暗号処理部 6 0 8か ら、 暗号化現パスワードと暗号化新パスワー ドとを受け取り、 アプリサ ーバ 2 0 0に対応するアプリ番号とユーザ端末 1 0 0の端末 I Dとパス ヮード変更情報 6 5 2に含まれるユーザ I Dと受け取った暗号化現パス ヮードと暗号化新パスヮードとにとをパスヮ一ド変更部 6 0 6へ出力し、 パスヮード復旧を指示する。

次に、 パスヮード変更部 6 0 6からアプリ番号と端末 I Dと復旧終了 信号とを受け取る。 受け取った復旧終了信号がパスヮード復旧の成功を 示す 「 1」 であれば、 受け取ったアプリ番号と対応するアプリサーバ 2 0 0のパスヮ一ド復旧が成功であると判断し、 次のアプリサーバ 2 0 0 のパスヮード復旧又は失敗通知処理を行う。

受け取った復旧終了信号がパスヮード復旧失敗を示す「 0」であると-, 該当するアプリサーバ 2 0 0のパスヮ一ド復旧が失敗であると判断する。 アプリサーバ 2 0 0のパスヮ一ド復旧が失敗であると判断すると、 他 のアプリサーバ 2 0 0の復旧処理及び失敗通知の処理を行わず、 後述す るエラー処理を行う。

( iv - b ) 失敗通知処理

制御部 6 0 7は、 パスワード復旧の失敗を示す失敗信号を生成し、 変 更判定部 6 0 9から受け取った端末 I Dを含む口グイ ン情報 6 3 2を選 択し、 選択した口グイン情報 6 3 2からユーザ I Dと氏名を抽出し、 生 成した失敗信号と抽出したユーザ I Dと氏名とを変更結果通知部 6 1 5 へ出力し、 結果通知を指示する。

次に、 ログイン情報 6 3 2の処理状況を 「通常」 に書き換え処理を終 了する。

( iv - c ) ェラー処理

アプリサーバ 2 0 0何れかのパスヮード復旧の処理が失敗であると判 断すると、 制御部 6 0 7は、 情報記憶部 6 1 0から強制終了画面データ を読み出し、 読み出した強制終了画面データと口グイ ン情報 6 3 2に含 まれるユーザ I Dと氏名を基に端末用強制終了画面データを生成し、 生 成した端末用強制終了画面データを、 送受信部 6 0 1 を介じて、 ユーザ 端末 1 0 0へ送信する。

次に、 情報記憶部 6 1 0からエラ一画面データを読み出し、 読み出し たエラー画面データと口グイン情報 6 3 2に含まれるユーザ I Dからェ ラー画面 3 3 1 を生成し、 生成したエラー画面 3 3 1 を表示部 6 1 3に 表示し、 操作者にエラ一発生を通知する。 図 1 8は、 ここで表示される エラー画面 3 3 1の一例である。

, ( V ) ログアウ ト処理

制御部 6 0 7は、 ユーザ端末 1 0 0から、 送受信部 6 0 1 を介して、 アプリ番号 「0 0 5」 と端末 I Dとログアウ ト通知とを受信する。 ログ アウ ト通知を受信すると、 受信した端末 I Dとログアウ ト通知とを、 送 受信部 6 0 1 を介して第 1 アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dへ送信する。 次に、 受信した端末 I Dを含む口グイ ン情報 6 3 2 をログインテーブル 6 3 1から削除する。

( 8 ) 変更結果通知部 6 1 5

変更結果通知部 6 1 5は、 制御部 6 0 7から完了信号とユーザ I Dと 端末 I Dと結果通知の指示を受け取る。

また、 制御部 6 0 7から失敗信号とユーザ I Dと氏名と結果通知の指 示を受け取る。

完了信号とユーザ I Dと端末 I Dと結果通知の指示を受け取ると、 変 更結果通知部 6 1 5は、 情報記憶部 6 1 0から変更完了画面データを読 み出し、 読み出した変更完了画面データと受け取ったユーザ I Dと氏名 とを基に、 端末用変更完了画面データを生成し、 生成した端末用変更完 了画面データをユーザ端末 1 0 0へ送信する。

失敗信号とユーザ I Dと端末 I Dと結果通知の指示を受け取ると、 変 更結果通知部 6 1 5は、 情報記憶部 6 1 0から変更失敗画面データを読 み出し、 読み出した更失敗画面データと、 受け取ったユーザ I Dと氏名 を基に、 端末用変更失敗画面データを生成し、 生成した端末用変更失敗 画面データを送受信部 6 0 1 を介して、 ユーザ端末 1 0 0へ送信する。

( 9 ) 認証部 6 0 3

認証部 6 0 3は、 制御部 6 0 7の指示によりイ ンターネッ ト 2 0と接 続されている外部機器と相互認証を行い共通鍵を生成する。

ここで、 外部装置とはユーザ端末 1 0 0及びアプリサーバ 2 0 0であ り、 ユーザ端末 1 0 0との間では、 端末共通鍵を共有し、 各アプリサー バ 2 0 0との間では、 それぞれのアプリサーバとサーバ共通鍵を共有す る。

( 1 0 ) 暗号処理部 6 0 8

暗号処理部 6 0 8は、 制御部 6 0 7からの指示により各種情報の暗号 化及ぴ復号を行う。

具体的には、 制御部 6 0 7から、 暗号化パスワー ドと端末共通鍵、 暗 号化入力データと端末共通鍵又は暗号化現パスヮー ドと暗号化新パスヮ 一ドと端末共通鍵とを受け取る。 受け取った端末共通鍵を用いて受け取 つた暗号化パスワード、 暗号化入力データ、 暗号化現パスワード及び暗 号化新パスヮ一ドに復号アルゴリズム D 1 を施して、 パスヮ一ドを生成 L , 生成したパスヮ一ドを制御部 6 0 7へ出力する。

また、 パスワードとサーバ共通鍵、 入力データとサーバ共通鍵又は現 パスワー ドと新パスワードとサ一バ共通鍵とを受け取る。 受け取ったサ ーバ共通鍵を用いて、 受け取ったパスワー ド、 入力データ、 現パスヮ一 ド及び新パスヮ一ドに暗号化アルゴリズム E 3を施して暗号化パスヮ一 ド、 暗号化入力データ、 暗号化現パスワー ド及び暗号化新パスワードを 生成し、 生成した暗号化パスワード、 暗号化入力データ、 暗号化現パス ヮ一 ド及び暗号化新パスヮー ドを制御部 6 0 7へ出力する。

1 . 5パスワー ド変更システムの動作

パスヮード変更システムの動作について以下に説明する。

( 1 ) ユーザ端末 1 0 0による処理

ユーザ端末 1 0 0による処理について図 1 9〜図 2 6に示すフローチ ャ一トを用いて説明する。 なお、 具体的には図示していないが、 以下の 動作において、 機器間の各種情報の送受信の際には、 処理を実行するァ プリサーバ 2 0 0又は管理サーバ 6 0 0のアプリ番号とユーザ端末 1 0 0の端末 I Dが各種情報と供に送受信される。

ユーザ端末 1 0 0は、 利用者のポタン操作を受け付け （ステップ S 1 0 1 )、電子申請を示すポタン操作を受け付けると、 ステップ S 1 0 2へ 処理を移す。 その他の処理を示すボタン操作を受け付けると、 その他の 処理を行う （ステップ S 1 0 0 )。

ユーザ端末 1 0 0は、 管理サーバ 6 0 0と相互認証を行い端末共通鍵 を共有する (ステップ S 1 0 2 )。

ユーザ端末 1 0 0との相互認証が完了すると、 管理サーバ 6 0 0は、 口グイン画面データを読み出し （ステップ S 1 0 3 )、読み出した口グイ ン画面データを、 ユーザ端末 1 0 0へ送信する （ステップ S 1 0 4 )。 ユーザ端末 1 0 0は、 管理サーバ 6 0 0から口グイン画面データを受 信し、 受信した口グイン画面データからログイン画面 1 5 1 を生成しモ ニタに表示する (ステップ S 1 0 5 )。 次に、 利用者によるユーザ I Dと パスヮ一ドの入力を受け付け （ステップ S 1 0 7 )、受け付けたパスヮ一 ドを、 端末共通鍵を用いて暗号化し暗号化パスワードを生成する （ステ ップ S 1 0 8 )。 ユーザ I Dと生成した暗号化パスヮ一ドとを、 インタ一 ネッ ト 2 0を介して管理サーバ 6 0 0へ送信する (ステップ S 1 0 9 )。 管理サーバ 6 0 0は、 インターネッ ト 2 0を介してユーザ I Dと暗号 化パスヮードとを受け取り、 受け取った暗号化パスヮ一ドを端末共通鍵 を用いて復号し、 パスヮ一ドを生成する （ステップ S 1 1 1 )。 次に、 パ スヮ—ドテーブル 6 2 1内で受け取つたユーザ I Dとパスヮードを含む パスヮー ド情報の有無を確認し （ステップ S 1 1 2 )、受け取ったユーザ I Dとパスワードを含むパスワード情報が存在しなければ、 認証失敗と 判断し （ステップ S 1 1 3の N O )、 ステップ S 1 0 3から処理をやり直 す。 受け取ったユーザ I Dとパスヮ一 ドを含むパスヮ一 ド情報が存在す れば、 認証成功と判断し （ステップ S 1 1 3の Y E S )、 受け取ったユー ザ I Dとパスヮ一ドを含むパスワード情報と受信したユーザ端末 1 0 0 の端末 I Dとを基に、 ログイン情報 6 3 2を生成しログインテーブル 6 3 1 に追加して書き込む （ステップ S 1 1 5 )。

次に、 情報記憶部 6 1 0からメニュー画面データを読み出し、 読み出 したメニュー画面データと、 口グインテ一ブル 6 3 1 に追加した口グイ ン情報 6 3 2とを基に端末用メニュー画面データを生成し （ステップ S 1 1 6 )、生成した端末用メニュー画面データをィンターネッ ト 2 0を介 して、 ユーザ端末 1 0 0へ送信する (ステップ S 1 1 7 )。

ユーザ端末 1 0 0は、 インターネッ ト 2 0を介して端末用メニュー画 面データを受信し、 受信した端末用メニュー画面データからメニュー画 面 1 6 1 を生成し、 モニタに表示する （ステップ S 1 2 1 )。 次に、 利用 者によるメニューの'選択を受け付ける （ステップ S 1 22)。

利用者のボタン操作により、 パスヮード変更が選択されると (ステツ プ S 1 22), パスヮ一ド変更処理へ移行する （ステップ S 1 27)。 利用者により、 出張費精算が選択されると （ステップ S 1 22)、 アブ リ番号 「00 1」 を読み出す （ステップ S 1 23)。 利用者により、 休暇 申請が選択されると (ステップ S 1 22)、 アプリ番号 「002」 を読み 出す（ステップ S 1 24)。利用者により、会議室予約が選択されると (ス テツプ S 1 22)、アプリ番号「003」を読み出す（ステップ S 1 25)。 利用者により、 従業員購入が選択されると （ステップ S 1 22)、 アプリ 番号 「004」 を読み出す （ステップ S 1 26)。 次に、 読み出したアブ リ番号とサービス開始要求を管理サーバ 600へ送信する （ステップ S 管理サーバ 600は、 インターネッ ト 20を介してユーザ端末 1 00 からアプリ番号とサービス開始要求とを受信する。 サービス開始要求と ともに受信した端末 I Dを含むログイン情報 632を選択し、 選択した ログイン情報 632に含まれる処理状況が 「通常」 であるか否かを確認 する （ステップ S 1 3 1 )。 処理状況が 「通常」 でないと判断すると （ス テツプ S 1 3 1の NO)、情報記憶部 6 1 0から w a i tメッセ一ジを読 み出し （ステップ S 1 46)、 読み出した wa i tメッセージを、 インタ —ネッ ト 20を介してユーザ端末 1 00へ送信する（ステツプ S 1 47)。 ユーザ端末 1 00は、 管理サーバ 600から、 wa i tメッセ一ジを 受信し、 受信した wa i tメ ッセージを表示する （ステップ S 1 48)。 選択したログイン情報 632の処理状況が 「通常」 であると判断する と（ステップ S 1 3 1の YE S)、次に、受信したアプリ番号を判別し（ス テツプ S 1 32)、 アプリ番号が 「002」 であると判断すると (ステツ プ S 1 32の 002)、 第 2アプリサーバ 200 bとの通信を開始する。 アプリ番号が 「003」 であると判断すると (ステップ S 1 32の 00 3)、 第 3アプリサーバ 200 cとの通信を開始する。 アプリ番号が Γ 0 04」 であると判断すると （ステップ S 1.32の 004)、 第 4アプリサ —パ 200 dとの通信を開始する （ステップ S 1 35)。

アプリ番号が 「00 1」 であると判断すると （ステップ S 1 32の 0 0 1 )、 第 1アプリサーバ 200 aとの通信を開始する。 先ず、 管理サー パ 600は、 第 1アプリサーバ 200 aと相互認証を行いサーバ共通鍵 を共有する （ステップ S 1 36)。

次に、 選択したログイン情報 632に含まれるユーザ I Dとパスヮ一 ドを読み出し (ステップ S 1 39 )、読み出したパスワードをサ一バ共通 鍵を用いて暗号化して、 暗号化パスヮ一 ドを生成する （ステップ S 1 4 1 )₀ 受信したサービス開始要求とアプリ番号 「00 1」 と読み出したュ —ザ I Dと生成した暗号化パスヮードとを第 1アプリサーバ 200 aへ 送信する （ステップ S 1 42)。

第 1アプリサーバ 200 aは、 インタ一ネッ ト 20を介して管理サ一 ノ 600から、 サービス開始要求とアプリ番号 「00 1」 とユーザ I D と暗号化パスワードとを受信し、 サーバ共通鍵を用いて、 受信した暗号 化パスヮードを復号しパスヮードを生成する （ステップ S 1 5 1 )。 パス ワードテーブル 22 1内で、 受信したユーザ I Dと生成したパスワード とを含むパスヮード情報の有無を確認し （ステップ S 1 52)、受信した ユーザ I Dと生成したパスヮ一ドとを含むパスヮード情報が存在しなけ れば、 認証失敗と判断し （ステップ S 1 53の NO)、 管理サーバ 600 の記憶しているパスワードと第 1アプリサーバ 200 aの記憶している パスヮードとが一致していないことを示すパスヮードエラ一信号と、 受 信したユーザ I Dとをインタ一ネッ ト 20を介して管理サーバ 600へ 送信する （ステップ S 1 66)。

管理サーパ 600は、 第 1アプリサ一パ 200 aからパスワードエラ 一信号とユーザ I Dとを受信し、端末用強制終了画面データを生成し（ス テツプ S 1 67)、生成した端末用強制終了画面データをユーザ端末 1 0 0へ送信する （ステップ S 1 68)。 次に、 管理サ一バ 600は、 エラ一 画面 33 1を生成し （ステップ S 1 69)、生成したエラー画面を表示部 6 1 3へ表示しパスヮードの不一致の発生を操作者に知らせる （ステツ プ S 1 7 1 )。

ユーザ端末 1 00は、 イ ンタ一ネッ ト 20を介して、 管理サーバ 60 0から端末用強制終了画面データを受信し、 受信した端末用強制終了画 面データから強制終了画面 32 1を生成し、 生成した強制終了画面 32 1をモニタに表示し （ステップ S 1 72)、 処理を終了する。

パスヮードテーブル 22 1内に、 受信したユーザ I Dと生成したパス ワードとを含むパスヮード情報 223が存在すると、 第 1アプリサーバ 200 aは、 認証成功と判断し (ステップ S 1 53の YE S)、 パスヮ一 ド情報 223とサービス開始要求と供に受信した端末 I Dとを基に、 口 グイン情報 232を生成し、 生成した口グイン情報 232をアプリログ インテーブル 23 1に追加して書き込む （ステップ S 1 54)。

次に、 第 1ァケリサ一パ 200 aは、 端末用精算画面データを生成し (ステップ S 1 55)、生成した端末用精算画面データを管理サーバ 60 0へ送信する （ステップ S 1 56)。

管理サーバ 600は、 イ ンタ一ネッ ト 20を介して、 第 1アプリサ一 バ 200 aから端末用精算画面データを受信し、 受信した端末用精算画 面データをユーザ端末 1 00へ送信する （ステップ S 1 58)。

ユーザ端末 1 00は、 インタ一ネッ ト 20を介して、 管理サーバ 60 0から端末用精算画面データを受信し、 受信した端末用精算画面データ から精算画面 1 7 1を生成し、 モニタに表示する （ステップ S 1 59 )。 次に、 利用者によるデータの入力を受け付け （ステップ S 1 6 1 )、 端末 共通鍵を用いて受け付けた入力データを暗号化し、 暗号化入力データを 生成する （ステップ S 1 62)。 次に、 生成した暗号化入力データを、 管 理サーバ 600へ送信する （ステップ S 1 76)。

管理サーバ 600は、 イ ンタ一ネッ ト 20を介して、 ユーザ端末 1 0 0から暗号化入力データを受信し （ステップ S 1 77)、受信した暗号化 入力データを端末共通鍵を用いて復号し、 入力データを生成する （ステ ツプ S 1 77)。 次に、 サーバ共通鍵を用いて、 生成した入力データを暗 号化して暗号化入力データを生成し （ステップ S 1 79)、生成した暗号 化入力データを第 1アプリサーバ 200 aへ送信する（ステップ S 1 8

1 )。

第 1アプリサーバ 200 aは、 イ ンターネッ ト 20を介して暗号化入 力データを受信し、 サーバ共通鍵を用いて受信した暗号化入力データを 復号し、 入力データを生成する (ステップ S 1 82)。 次に、 生成した入 力データを基に、 出張費精算処理を行う （ステップ S 1 83)。 出張費精 算処理が終わると 第 1アプリサーバ 200 aは、 端末用精算終了画面 データを生成し （ステップ S 1 84)、生成した端末用精算終了画面デー 夕を管理サーバ 600へ送信する （ステップ S 1 86)。

管理サーバ 600は、 インタ一ネッ ト 20を介して、 第 1アプリサ一 バ 200 aから端末用精算終了画面データを受信し、 受信した端末用精 算終了画面データをユーザ端末 1 00へ送信する （ステップ S 1 88)。 ユーザ端末 1 00は、 インターネッ ト 20を介して管理サーバ 600 から端末用精算終了画面データを受信し、 受信した端末用精算終了画面 データから精算終了画面 1 8 1を生成し、 モニタに表示する （ステップ S 1 9 1 )。 次に、 利用者によるボタン操作を受け付け （ステップ S 1 9

2)、 メニューポタン 1 82の押下を受け付けると、 ステップ S 1 2 1に 戻りメニューの選択を受け付ける。

ログアウ トボタン 1 83の押下を受け付けると （ステップ S 1 92)、 ユーザ端末 1 00は、 ログアウ トを示すログアウ ト通知を管理サーバ 6 00へ送信する （ステップ S 1 93)。

管理サーバ 600は、 イ ンターネッ ト 20を介してユーザ端末 1 00 からログァゥ ト通知を受信し、 受信したログァゥ ト通知を第 1アプリサ ーパ 200 aに送信する （ステップ S 1 94)。 次に、 ログァゥ ト通知ト 供に受信した端末 I Dを含むログイン情報 632を選択し、 選択した口 グイン情報 632を口グイ ンテーブル 63 1から削除する (ステップ S 1 95)。 また、 図示していないが、 第 2アプリサーバ 200 b〜第 3ァ プリサーバ 200 dへも同様にログァゥ ト通知を送信する。

第 1アプリサーバ 200 aは、 インタ一ネッ ト 20を介して管理サ一 パ 600からログァゥ ト通知を受信する。 ログァゥ ト通知と供に受信し た端末 I Dを含む口グイン情報を検索し、 受信した端末 I Dを含むログ ィン情報 232が存在すれば., 口グイ ン情報 232をアプリログインテ 一ブル 23 1から削除する (ステップ S 1 96)。第 2アプリサーバ 20 0 b〜第 4アプリサーバ 200 dにおいても、 同様にして自身の記憶し ているアプリ口グインテーブル上に、 受信した端末 I Dを含む口グイン 情報が存在すれば、 削除する。

( 2 ) 管理サーバ 600によるパスヮード変更処理

管理サーバ 600によるパスヮード変更処理について、 図 27〜図 2 9のフローチャートを用いて説明する。 これは、 図 20のステップ S 1

27の詳細である。

ユーザ端末 1 00は、 アプリ番号 「005」 を読み出し （ステップ S

300)、 読み出したアプリ番号 「005」 とパスヮード変更指示を管理 サーバ 600へ送信する （ステップ S 30 1 )。

管理サーバ 600は、 イ ンターネッ ト 20を介して、 アプリ番号 「0 05」 とパスワード変更指示を受信する。 パスワード変更指示を受信す ると、 端末用パスワード変更画面データを生成し （ステップ S 302)、 生成した端末用パスヮード変更画面データをユーザ端末 1 00へ送信す る （ステップ S 303)。

ユーザ端末 1 00は、 インターネッ ト 20を介して、 管理サーパ 60 0から端末用パスヮード変更画面データを受信し、 受信した端末用パス ヮード変更画面データからパスヮード変更画面 1 9 1を生成し、 モニタ に表示する （ステップ S 304)。 次に、 利用者による現パスヮードと新 パスワードの入力を受け付ける （ステップ S 306)。端末共通鍵を用い て、 受け付けた現パスヮ一 ドと新パスヮードとを暗号化し、 暗号化現パ スヮードと暗号化新パスヮ一ドとを生成する（ステツプ S 307 )。次に、 生成した暗号化現パスヮ一 ドと暗号化新パスヮードとを、 管理サーバ 6 00へ送信する (ステップ S 308)。

管理サーバ 600は、 インターネッ ト 20を介して、 ユーザ端末 1 0 0から暗号化現パスヮ一ドと暗号化新パスワードとを受信する。 暗号化 現パスヮードと暗号化新パスヮ一ドと供に受信した端末 I Dを基に、 口 グィンテーブル 63 1内の口グイン情報 632を選択し、 選択したログ イ ン情報 632の処理状況を 「パスワード変更中」 に書き換える （ステ ップ S 309 )。

次に、 端末共通鍵を用いて、 受信した暗号化現パスワードと暗号化新 パスヮ一ドを復号し、 現パスヮードと新パスヮードとを生成する (ステ ップ S 3 1 1 )。書き換えた口グイン情報 632に含まれるユーザ I Dを 読み出し （ステップ S 3 1 2)、 パスヮードテーブル 62 1内で、 読み出 したユーザ I Dと生成した現パスヮ一ドとを含むパスヮード情報の有無 を確認する （ステップ S 3 1 3)。

パスワードテーブル 62 1内に、 読み出したユーザ I Dと生成した現 パスワー ドとを含むパスワード情報が、 存在しなければ、 認証が失敗で あると判断し （ステップ S 3 1 6の NO)、 ステップ S 302へ戻り、 再 度、 端末用パスワード変更画面データを送信する。

パスワードテーブル 62 1内に、 読み出したユーザ I Dと生成した現 パスワー ドとを含むパスワード情報が、 存在すれば、 認証が成功である と判断する （ステップ S 3 1 6の YE S)。

次に、 読み出しユーザ I Dと生成した現パスワードとを含むパスヮ一 ド変更情報 652をパスワー ド変更テーブル 65 1から選択し （ステツ プ S 3 1 7)、選択したパスヮード変更情報 652に含まれる現パスヮー ドと新パスヮ一 ドとを生成した現パスヮ一ドと新パスヮ一 ドとに書き換 える （ステップ S 3 1 8)。

次に、 第 1アプリサーバ 200 aのパスワー ド変更処理を行い （ステ ップ S 3 1 9)、 これが正常に終了すると、第 2アプリサーバ 200 bの パスヮ一 ド変更処理を行い （ステップ S 32 1 )、正常に終了しなければ 図 32に示すパスヮード復旧処理のステップ S 364へ処理を移す。 第 2アプリサーバ 200 bのパスヮード変更が正常に終了すると、 第 3ァ プリサーバ 200 cのパスワード変更を行い （ステップ S 322)、 正常 に終了しなければ図 32のステップ S 363へ処理を移す。 第 3アプリ サーバ 200 cのパスヮード変更が正常に終了すると、 第 4アプリサー バ 200 dのパスヮード変更を行い (ステップ S 323)、正常に終了し なければ、 図 32のステップ S 362へ処理を移す。 第 4アプリサーバ 200 dのパスワード変更が正常に終了しなければ、 図 32のステップ S 36 1へ処理を移す。

第 1アプリサーバ 200 a〜第 4アプリサーバ 200 dのパスヮード 変更が全て正常に終了すると、 管理サーバ 600は、 パスワードテープ ル 62 1から送信したユーザ I Dを含むパスヮード情報を選択し、 選択 したパスヮード情報に含まれるパスヮードを新パスヮードに書き換る。 また、 ログインテーブル 63 1から送信したユーザ I Dを含む口グィン 情報 632を選択し、 選択した口グイン情報 632に含まれるパスヮー ドを新パスワードに書き換える （ステップ S 326)。

次に、 端末用変更完了画面データを生成し （ステップ S 327)、 生成 した端末用変更完了画面データをユーザ端末 1 00へ送信し （ステップ S 328)、 口グイン情報 632の処理状況を 「通常」 に書き換える （ス テツプ S 329 )。

ユーザ端末 1 00は、 インターネッ ト 20を介して、 管理サーバ 60 0から端末用変更完了画面データを受信し、 受信した端末用変更完了画 面データから変更完了画面 30 1生成し、 生成した変更完了画面 30 1 をモニタに表示する （ステップ S 33 1 )。 次に、 利用者によるボタン操 作を受け付け （ステップ S 332)、 メニューポタン 302の押下を受け 付けると、 ステップ S 1 2 1へ戻り、 メニュー画面を表示する。

ログアウ トボタン 303の押下を受け付けると、 管理サーバ 600へ ログァゥ ト通知を送信し、 処理を終了する (ステップ S 333)。

管理サーバ 600は、 インターネッ ト 20を介して、 ユーザ端末 1 0 0からログァゥ ト通知を受信する。 受信したログアウ ト通知を第 1アブ ,リサーバ 200 a〜第 4アプリサーバ 200 dへ送信する (ステップ S 336)。 次に、 ログァゥ ト通知と供に受信した端末 I Dを基に、 口グイ ン情報 63 2を選択し、 選択したログイン情報 6 32を消去する （ステ ップ S 334 )。

アプリサ一パ 20 0は、 管理サーバ 6 0 0からログアウ ト通知を受信 し、 ログァゥ ト通知と供に受信した端末 I Dを含む口グイン情報をアブ リ口グインテーブル 23 1 内で検索し、 受信した端末 I Dを含む口グイ ン情報を含む口グイン情報が存在すれば、 その口グイン情報を削除する (ステップ S 3 3 7)。

(3) アプリサーバ 2 0 0のパスヮード変更処理

各アプリサーバ 2 0 0のパスヮ一 ド変更処理について、 図 30〜 3 1 に示すフローチャートを用いて説明する。 なお、 これは、 図 28のステ ップ S 3 1 9、 ステップ S 32 1、 ステップ S 3 22及びステップ S 3 23の詳細である。

管理サーバ 6 0 0は、 アプリサーバ 2 0 0と相互認証を行いサーバ共 通鍵を生成する （ステップ S 34 1 )。 ステップ S 3 1 8において書き換 えたパスヮード変更情報 6 52から、 ユーザ I Dと現パスワードと新パ スワード抽出し、 サーバ共通鍵を用いて、 抽出した現パスワードと新パ スワードとを暗号化し、 暗号化現パスヮードと暗号化新パスヮードとを 生成する （ステップ S 34 2)。抽出したユーザ I Dと生成した暗号化現 パスヮードと暗号化新パスヮ一ドとをアプリサーバ 2 0 0へ送信し、 パ スヮ一ド変更を指示する （ステップ S 343)。 次に、 パスヮード変更指 示を送信してからの経過時間を計測する t i m eカウンタを 0に設定し、 経過時間の計測を開始する （ステップ S 344)。

アプリサーバ 2 0 0は、 インターネッ ト 2 0を介して管理サーバ 6 0 0から、 ュ一ザ I Dと暗号化現パスヮードと暗号化新パスヮードとを受 信し、 暗号化を指示される。 サーバ共通鍵を用いて、 受信した暗号化現 パスヮードと暗号化新パスヮードとを復号し、 現パスヮードと新パスヮ 一ドとを生成する (ステップ S 34 5)。

パスワードテーブル 2 2 1 内で受信したユーザ I Dを含むパスヮ一ド 情報 2 23を選択し、 選択したパスヮード情報 2 23に含まれるパスヮ 一ドを新パスヮー ドに書き換える （ステップ S 346)。 パスワー ドの書 き換えが成功であると判断すると (ステップ S 347の YE S)、終了信 号 「 1」 を生成する (ステップ S 349 )。 パスヮ一ドの書き換えが失敗 であると判断すると (ステップ S 347の NO)、 終了信号 「0」 を生成 する （ステップ S 348)。 .

次に、 生成した終了信号を、 インターネッ ト 20を介して、 管理サー バ 600へ送信する (ステップ S 35 1 )。

管理サーバ 600は、 アプリサーバ 200から終了信号を受信すると (ステップ S 355の YE S)、受信した終了信号を判別し (ステップ S 356)、 終了信号 「 1」 であると判断すると、 アプリサーバ 200のパ スヮード変更を終了する。

終了信号 「0」 であると判断すると （ステップ S 356の 「0」）、 パ スワード復旧処理へ移行する （ステップ S 359)。

アプリサーバ 200から、 終了信号を受信していなければ （ステップ S 355の NO)、 t i meカウンタの値と最大待ち時間とを比較し （ス テツプ S 358)、 t i m eカウンタが最大待ち時間を超えていないと判 断すると （ステップ S 358の NO)、 ステップ S 355へ戻り、 アプリ サーバ 200から終了信号を受信するか t i meカウンタが最大待ち時 間を超えるまで、 ステップ S 355〜ステップ S 358の処理を繰り返 す。

t i m eカウンタが最大待ち時間を超えていると判断すると （ステツ プ S 358の Y E S)、アプリサーバ 200のパスヮード変更が失敗ある と判断し、 パスワード復旧処理を行う （ステップ S 359)。

(4) 管理サーバ 600によるパスワー ド復旧処理

管理サーバ 600によるパスワード復旧の処理について、 図 32のフ ローチャートを用いて説明する。 これは、 図 3 1のステップ S 359の 詳細である。

, ただし、 図 28のステップ S 3 1 9の処理中であればステップ S 36 4からパスヮード復旧処理を開始する。 ステップ S 32 1の処理中であ れば、 ステップ S 363からパスワード復旧処理を開始し、 ステップ S 322の処理中であれば、 ステップ S 362から、 パスワー ド復旧の処 理を開始する。 図 28のステップ S 323の処理中であれば、 ス ップ S 36 1からパスヮ一ド復旧の処理を開始する。

管理サーバ 600は、 第 3アプリサ一バ 200 cのパスヮード復旧を 行い （ステップ S 36 1 )、 これが正常に終了すれば、 第 2アプリサーバ 200 bのパスワード復旧を行う （ステップ S 362)。 ステップ S 36 2が正常に終了すれば、 第 1 アプリサーバ 200 aのパスヮード復旧を 行う （ステップ S 363)。

ステップ S 364が正常に終了すると、 管理サーバ 600は、 変更失 敗画面と口グイン情報 632とを基に、 端末用変更失敗画面データを生 成し （ステップ S 364)、生成した端末用変更失敗画面データをユーザ 端末 1 00へ送信する （ステップ S 366)。

ュ一ザ端末 1 00は、 インタ一ネッ ト 20を介して、 管理サーバ 60 0から端末用変更失敗画面データを受信し、 受信した端末用変更失敗画 面データから変更失敗画面 3 1 1を生成し、 生成した変更失敗画面 3 1 1をモニタに表示する （ステップ S 367)。 次に、 利用者のボタン操作 を受け付け （ステップ S 368)、 メニューボタン 3 1 2の選択を受け付 けると、 ステップ S 1 2 1へ処理を移す。

口グァゥ トボタン 3 1 3の選択を受け付けると、 管理サーバ 600へ ログアウ ト通知を送信する （ステップ S 37 1 )。

管理サーバ 600は、 インターネッ ト 20を介してユーザ端末 1 00 からログアウ ト通知を受信し、 ログァゥ ト通知と供に受信した端末 I D を基に、 ログイン情報 632を選択し、 選択したログイン情報 632を 削除する （ステップ S 372)。

また、 具体的には図示していないが、 受信したログアウ ト通知をアブ リサ一パ 200へ送信する。 アプリサーバ 200は、 インターネッ ト 2 0を介して管理サーバ 600からログアウ ト通知を受信し、 ログァゥ ト 通知と供に受信した端末 I Dを含むログイン情報をアプリログインテ一 プル 23 1内で検索し、 端末 I Dを含むログイン情報が存在すれば、 該 当する口グイン情報を削除する。

(5) アプリサーバ 200のパスワード復旧処理

アプリサーバ 200のパスヮード復旧処理について、 図 33に示すフ ローチャートを用いて説明する。 これは、 図 32のステップ S 36 1、 ステップ S 362、 ステップ S 363の詳細である。

管理サーバ 600は、 パスヮ一ド復旧指示の送信回数をカウントする 回数カウンタを 0に設定する （ステップ S 380 )。 次に、 パスワー ド変 更情報 652に含まれる、 ユーザ I Dと現パスワードと新パスワードと 読み出し、 サーバ共通鍵を用いて、 読み出した現パスワー ドと新パスヮ 一ドとを暗号化し、 暗号化現パスヮ一ドと暗号化新パスヮードとを生成 する （ステップ S 38 1 )。 次に、 読み出しユーザ I Dと生成した暗号化 現パスヮードと暗号化新パスヮードとをアプリサーバ 2◦ 0へ送信しパ スヮ一ド復旧を指示する （ステップ S 382)。 次に、 パスワード復旧指 示を送信してからの経過時間を計測する t i meカウンタを 0に設定し、 経過時間の計測を開始する （ステップ S 383)

アプリサーバ 200は、 インタ一ネッ ト 20を介して管理サーバ 60 0から、 ユーザ I Dと暗号化現パスヮードと暗号化新パスヮードとを受 信し、 パスワード復旧の指示を受け取る。 サーバ共通鍵を用いて受信し た暗号化現パスワー ドと暗号化しパスワー ドとを復号し、 現パスワー ド と新パスヮードとを生成する （ステップ S 384)。 次に、 パスワードテ —ブル 22 1上で受信したユーザ I Dと生成した新パスヮードとを含む パスヮード情報を選択し、 選択したパスヮード情報のパスヮ一ドを現パ スワードに書き換える （ステップ S 385)。

パスヮードの書き換えが成功であれば (ステップ S 386の YE S)、 終了通知 「 1」 を生成する （ステップ S 387)。 パスワー ドの書き換え が失敗であれば (ステップ S 386の N〇）、 終了信号 「0」 を生成する (ステップ S 388)。 次に、生成した終了信号を管理サーバ 600へ 送信する （ステップ S 389)。 管理サーバ 600は、 インタ一ネッ ト 20を介して、 アプリサーバ 2 00から終了信号を受信すると (ステップ S 39 1の YE S)、受信した 終了信号を判別し (ステップ S 392)、 終了信号 「 1」 であると判断す ると、 これをもって、 アプリサーバ 200のパスヮー ド復旧を正常に終 了する。

終了信号 「0」 であると判断すると （ステップ S 392)、 ステップ S 396へ処理を移す。

アプリサーバ 200から、 終了信号を受信していなければ (ステップ S 39 1の NO)、 t i meカウン夕の値と最大待ち時間とを比較し （ス テツプ S 394)、 t i m eカウンタが最大待ち時間を超えていないと判 断すると （ステップ S 394の NO)、 ステップ S 39 1へ戻り、 アプリ サーバ 200から終了信号を受信するか t i meカウンタが最大待ち時 間を超えるまで、 ステップ S 39 1〜ステップ S 394の処理を繰り返 す。

t i meカウンタが最大待ち時間を超えていると判断すると （ステツ プ S 394の YE S)、 回数カウン夕に 1加算し （ステップ S 396)、 次に回数カウンタの値と制限回数を比較し （ステップ S 397)、制限回 数を超えていなければ （ステップ S 397の NO)、 ステップ S 382へ 処理を移す。

制限回数を超えていると判断すると （ステップ S 397の Y E S)、 パ スヮード復旧の失敗であると判断し、 端末用強制終了画面データを生成 し （ステップ S 398)、生成した端末用強制終了画面データをユーザ端 末 1 00へ送信する （ステップ S 399)。

次に、 エラ一画面 33 1を生成し （ステップ S 402)、 生成したエラ —画面を表示部 6 1 3に表示する （ステップ S 403)。

ユーザ端末 1 00は、 インターネッ ト 20を介して、 管理サーバ 60 0から端末用強制終了画面データを受信する。 受信した端末用強制終了 画面データから強制終了画面 32 1を生成し、 モニタに表示し （ステツ プ S 40 1 )、 処理を終了する。 (6) 相互認証処理

機器間での相互認証の動作について図 35〜図 36を用いて説明する。 なお、 この相互認証の方法は一例であり、 他の認証方法、 鍵共有方法 を用いてもよい。 また、 相互認証は、 ユーザ端末 1 00と管理サーバ 6 00の間又は管理サーバ 600とアプリサーバ 200の間で行うため、 ここでは双方の機器を、 機器 A及び機器 Bとして説明する。 上記の説明 では、 ュ一ザ端末 1 00と管理サーバ 600の間の相互認証により生成 される共通鍵を端末共通鍵、 管理サーバ 600とアプリサーバ 200の 間の相互認証により生成される共通鍵をサーバ共通鍵と呼称している。 ここで、 G e n 〇 を鍵生成関数とし、 Yをシステム固有のパラメ一 夕とする。 鍵生成関数 G e n 〇 は、 G e n (x, G e n (z, Y)) = G e n (z， G e n (x， Y)) の関係を満たすものとする。 鍵生成関数 は任意の公知技術で実施可能なため、詳細についてここでは説明しない。 機器 Aは、公開鍵証明書 C e r t— Aを読み出し（ステップ S 20 1 )、 読み出した公開鍵証明書 C e r t— A¾機器 Bへ送信する （ステップ S 202)。

公開鍵証明書 C e r t— Aを受信した機器 Bは、 認証局の公開鍵 PK —C Αを用いて、 公開鍵証明書 C e r t—Aに含んで受信した認証局の 署名データ S i g— C Aに署名検証アルゴリ ズム Vを施して署名検証す る （ステップ S 203)。 ここで、 署名検証アルゴリズム Vは、 署名生成 アルゴリズム Sにより生成された署名データを検証するアルゴリズムで ある。 署名検証の結果が失敗であれば （ステップ S 204の NO) 処理 を終了する。

署名検証の結果が成功であれば（ステップ S 204の YE S)、機器 B は、 CRLを読み出し （ステップ S 205)、 公開鍵証明書 C e r t __A に含んで受信した I D番号 I D— Aが読み出した C R Lに登録されてい るか否かを判断する （ステップ S 206)。登録されていると判断すると (ステップ S 206の YE S)、 処理を終了する。

登録されていないと判断すると（ステップ S 206の NO)、機器 Bは、 公開鍵証明書 C e r t—Bを読み出し （ステップ S 207)、読み出した 公開鍵証明書 C e r t—Bを機器 Aに送信する。

公開鍵証明書 C e r t—Bを受信した機器 Aは、 認証局の公開鍵 PK —C Aを用いて、 公開鍵証明書 C e r t— Bに含んで受信した認証局の 署名データ S i g— C Aに署名検証アルゴリズム Vを施して署名検証す る (ステップ S 209)。 署名検証の結果が失敗であれば (ステップ S 2 1 0の NO) 処理を終了する。

署名検証の結果が成功であれば (ステップ S 2 1 0の YE S)、機器 A は、 C R Lを読み出し （ステップ S 2 1 1 )、 公開鍵証明書 C e r t— B に含んで受信した I D番号 I D— Bが読み出した CRLに登録されてい るか否かを判断する （ステップ S 2 1 2)。登録されていると判断すると (ステップ S 2 1 2の YE S)、処理を終了する。登録されていないと判 断すると （ステップ S 2 1 2の NO)、 処理を継続する。

機器 Bは、 乱数 C h a— Bを生成し （ステップ S 2 1 3)、 生成した乱 数 C h a— Bを機器 Aに送信する （ステップ S 2 1 4)。

機器 Aは、 乱数 C h a— Bを受信し、 機器 Aの秘密鍵 S K— Aを用い て、 受信した乱数 C h a _Bに署名生成アルゴリズム Sを施して署名デ ータ S i g— Aを生成し （ステップ S 2 1 5)、生成した署名データ S i g— Aを機器 Bへ送信する （ステップ S 2 1 6)。

機器 Bは、 署名データ S i g— Aを受信すると、 公開鍵証明書 C e r t— Aに含んで受信した機器 Aの公開鍵 PK— Aを用いて、 受信した署 名データ S i g— Aに、 署名検証アルゴリズム Vを施して署名検証する (ステップ S 2 1 7)。署名検証の結果が失敗であると判断すると （ステ ップ S 2 1 8の NO) 処理を終了する。 署名検証の結果が成功であると 判断すると (ステップ S 2 1 8の YE S)、 処理を続ける。

機器 Aは、 乱数 C h a— Aを生成し (ステップ S 2 1 9)、 生成した乱 数 C h a— Aを機器 Aに送信する （ステップ S 220)。

、 機器 Bは、 乱数 C h a— Aを受信し、 機器 Bの秘密鍵 SK— Bを用い て、 受信した乱数 C h a— Aに署名生成アルゴリズム Sを施して署名デ 一夕 S i g— Bを生成し （ステップ S 22 1 )、生成した署名データ S i g— Bを機器 Aへ送信する (ステップ S 222)。

機器 Aは、 署名データ S i g— Bを受信すると、 公開鍵証明書 C e r t— Bに含んで受信した機器 Bの公開鍵 PK— Bを用いて、 受信した署 名データ S i g— Bに、 署名検証アルゴリズム Vを施して署名検証する (ステップ S 223)。署名検証の結果が失敗であると判断すると （ステ ップ S 224の NO) 処理を終了する。 署名検証の結果が成功であると 判断すると (ステップ S 224の YE S)、次に、乱数「a」 を生成し (ス テツプ S 225)、生成した乱数「 a」を用いて K e y_A = G e n (a , Y) を生成し （ステップ S 226)、 生成した K e y— Aを機器 Bへ送信 する （ステップ S 227)。

機器 Bは、 K e y— Aを受信すると、 乱数 「b」 を生成し （ステップ S 228)、 生成した乱数 「b」 を用いて K e y— B = G e n (b， Y) を生成し （ステップ S 829)、生成した K e y— Bを機器 Aへ送信する (ステップ S 230)。

また、 生成した乱数 「b」 と受信した K e y— Aとを用いて、 K e y— AB = G e n (b, K e y— A) = G e n (b, G e n (a, Y)) を生 成し、 これを共通鍵とする （ステップ S 23 1 )。

機器 Aは、 K e y— Bを受信し、 生成した乱数 「a」 と受信した K e y— Bとから K e y— A B = G e n (a, K e y— B) = G e n (a, G e n (b, Y)) を生成し、 これを共通鍵とする （ステップ S 232)。

(7) パスヮード変更の実行例

以下に、 パスワード変更の 1実行例を図 37を用いて説明する。 ここ では、 ユーザ I D 「m a e d a」 の利用者の現パスヮード 「 o z y 1 2」 を新パスワー ド 「nwy 56」 に変更する。 ユーザ端末 1 00と管理サ ーパ 600間の通信及び管理サーバ 600とアプリサーバ 200間の通 信において、 現パスワード及び新パスワードは.、 端末共通鍵又はサーバ 共通鍵を用いた秘密通信により安全に送受信されるが、 以下の説明にお いて、簡略化のため、暗号化及ぴ復号の処理についての説明を省略する。 変更前の各アプリサーバ 200は、 図 37 (a) に示すようにユーザ I D 「ma e d a」 に対応するパスヮード Γ o z y 1 2 J を記憶してい る。

ユーザ端末 1 00からのパスヮ一ド変更指示により、 管理サーバ 60 0は、ユーザ端末 1 00へ端末用パスヮード変更画面データを送信する。 ユーザ端末 1 00は、 端末用パスヮード変更画面データを受信し、 受 信した端末用パスヮ一ド変更画面データからパスヮード変更画面 1 9 1 生成し表示する。 利用者による現パスヮ一ド Γ o z y 1 2 J と新パスヮ 一ド Γη wy 56 J の入力を受け付け、 受け付けた現パスヮード Γ o z y 1 2」 と新パスワード 「nwy 56」 を、 管理サ一パ 600へ送信す る。

管理サーバ 600は、 ユーザ端末 1 00から現パスヮ一ド 「 o z y 1 2」 と新パスワード 「nwy 56」 を受信する。 次に、 第 1 アプリサー ノ 200 aへ受信した現パスヮ一ド 「o z y 1 2」 と新パスヮ一ド 「n wy 56」 とを送信しパスワードの変更を指示する。

第 1 アプリサーバ 200 aは、 自身の記憶している現パスワード 「o z y 1 2」 を新パスヮード 「nwy 56」 に書き換え、 終了信号 「 1」 を送信する。 ―

第 1 アプリサーバ 200 aから、 正常にパスヮ一ド変更が終了したこ とを示す終了信号 「 1」 を受信すると、 管理サーバ 600は、 第 2アブ リサーバ 200 bにも同様に現パスワード 「o z y l 2」 と新パスヮ一 ド 「n wy 56」 とを送信しパスヮー ドの変更を指示し、 終了信号 「 1」 を受信する。 このとき、 第 1アプリサーバ 200 a及び第 2アプリサ一 ノ 200 bは、 図 37 bに示すように、 新パスワード 「nwy 56」 を 記憶しており、 第 3アプリサーバ 200 cと第 4アプリサーバ 200 d は、 現パスヮード Γο z y 1 2 J を記憶している。

管理サ一パ 600は、 次に、 第 3アプリサーバ 200 cに現パスヮ一 ド Γ 0 z y 1 2 J と新パスヮ一ド Γ n w y 56 J とを送信しパスヮ一ド の変更を指示する。 ここで、 第 3アプリサーバ 2 0 0 cは、 パスワードの変更を失敗し、 終了信号 「0」 を管理サーバ 6 0 0へ送信する。

第 3アプリサーバ 2 0 0 cから パスヮードの変更が失敗であること を示す終了信号 「0」 を受け取ると、 管理サーバ 6 0 0は、 第 2アプリ サーバ 2 0 0 bへ現パスヮ一ド Γ o z y 1 2 J と新パスヮ一ド 「n w y 5 6 J とを送信しパスヮー ドの復旧を指示する。 次に、 管理サーバ 6 0 0は、 第 2アプリサーバ 2 0 0 bから、 パスヮードの復旧が成功したこ とを示す終了信号 「 1」 を受け取る。 次に、 第 1 アプリサーバ 2 0 0 a にも同様に、 パスワード復旧を指示し、 第 1 アプリサーバ 2 0 0 aから 終了信号 「 1」 を受け取る。 これをもって、 パスワードの復旧の完了と する。 このとき、 各アプリサーバは、 図 3 7 ( c ) の示すように、 現パ スワード 「o z y l 2」 を記憶している。

図 3 7 ( d ) は、 第 3アプリサーバ 2 0 0 c及び第 4アプリサーバ 2 0 0 dのパスヮード変更が成功した場合に各アプリサーバが記憶してい るパスワードを示している。

1 . 6まとめ

上記に、 説明したように、 本実施の形態によると、 管理サーバ 6 0 0 は、 ユーザ端末 1 0 0から、 パスヮードの変更指示を受け取る。 管理サ ーバ 6 0 0は、 端末秘密鍵を用いた秘密通信により、 ユーザ端末 1 0 0 から安全に現パスヮ一ドと新パスヮードとを受信する。

次に、 サーバ共通鍵を用いた秘密通信により、 安全に現パスワードと 新パスヮードとを第 1 アプリサーバ 2 0 0 aへ送信しパスヮードの変更 を指示する。 第 1 アプリサーバ 2 0 0 aのパスヮード変更が成功であれ ば、 同様にして、 第 2アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dの順にパスワードの変更を指示する。

第 1 アプリサーバ 2 0 0 a〜第 4アプリサーバ 2 0 0 dのいずれかで パスヮ一ドの変更が失敗すると、 既にパスヮード変更が終了したアプリ サ一バに対して、 現パスヮードと新パスヮードとを送信しパスワードの 復旧を指示する。 このようにして、 複数のアプリサーバのうちいずれかがパスワードの 変更に失敗した場合でも、 複数のアプリサーバのパスヮードを統一する ことができる。

2. 実施の形態 2

以下に実施の形態 2のパスヮード変更システムについて、 説明する。 パスワード変更システムは図 38に示すように、 ユーザ端末 1 00、 内部ュ一ザ端末 1 5 ( 1 60 · · · 、 第 1アプリサーバ 200 a、 第 2アプリサーバ 200 b、 第 3アプリサーバ 200 c、 第 4アプリサー バ 200 d、 管理サーバ 600 b及びルータ 800から構成される。 第 2アプリサーバ 200 b〜第 4アプリサーバ 200 d及び管理サー バ 600 bは、 バス 31に接続されており、 バス型 LANを形成してい る。 内部ユーザ端末 150、 1 60 · · · 及び管理サーバ 600 bは、 バス 32に接続されており、 バス型 LANを形成している。 バス 31及 び 32は、 具体的には、 両端に終端装置を備えた同軸ケーブルである。 管理サーバ 600 bは、 さらに、 ファイアウォール機能を備えるルー タ 800を介してインターネッ トと接続されている。 ' 管理サーバ 600 b、 第 2アプリサーバ 200 b〜第 4アプリサーバ 200 d及び内部ユーザ端末 1 50、 1 60 · · ' は、 一例として、 同 一の建物内の L ANを構成している。

ユーザ端末 1 00と第 1アプリサーバ 200は、 インタ一ネッ ト 20 に接続されている。

実施の形態 1と同様に、 管理サーバ 600 b及び第 1アプリサーバ 2 00 a〜第 4アプリサーバ 200 dは、 あらかじめ正当な利用者のユー ザ I Dとパスヮードを対応付けて記憶している。

第 1アプリサーバ 200 a〜第 4アプリサーバ 200 dは、それぞれ、 出張費精算、 休暇申請、 会議室予約及び従業員購入のサービスを提供す る。

利用者は、 ユーザ端末 1 00を用いて、 インターネッ ト 20及び管理 サーバ 600 bを介して、 これらのサ一ビスを利用する。 また、 内部ュ 一ザ端末 1 50、 1 60 · . . を用いて、 バス 3 1及び 32を介して、 これらサービスを利用することもできる。

このとき、 ユーザ端末 1 00又内部ユーザ端末 1 50、 1 60 · · · は-.管理サーバ 600 bに利用者のユーザ I Dとパスヮードを送信する。 管理サーバ 600 b及び第 1アプリサーバ 200 a〜第 4アプリサー バ 200 dは、 ユーザ端末 1 00又内部ユーザ端末 1 50、 1 60 · · · から送信されたユーザ I Dとパスヮードを検証し、 ユーザ端末 1 00又 内部ユーザ端末 1 50、 1 60 · · · の利用者が正当な利用者であるこ とを認証し、各アプリサーバは、それぞれが備えるサービスを提供する。 また、 管理サーバ 600 bは、 ユーザ端末 1 00又内部ユーザ端末 1 50、 1 60 · · ' からパスワー ド変更の指示と現在のパスワー ドと新 しいパスワー ドとを受信する。 管理サーバ 600 bは、 第 1アプリサ一 バ 200 a〜第 4アプリサーバ 200 dへ、 受け取った新しいパスヮー ドを順次送信し、 パスワー ドの変更を指示する。

ここで、 第 1アプリサーバ 200 a〜第 4アプリサーバ 200 dの何 れかで、 パスワードの変更が正常に行われなかった場合、 管理サーバ 6 00 bは、 既にパスヮ一ド変更が終了しているアプリサーバに現在のパ スヮードを送信し、 現在のパスヮードへパスヮードを変更し直すように 指示する。

ユーザ端末 1 00、 内部ユーザ端末 1 50、 1 60 · · . の具体的な 構成及び動作は、 実施の形態 1のユーザ端末 1 00と同一であるので説 明を省略する。

第 1アプリサーバ 200 a〜第 4アプリサーバ 200 dの具体的な構 成及び動作は、 実施の形態 1の第 1アプリサーバ 200 a〜第 4アプリ サーバ 200 dと同一であるので説明を省略する。

管理サーバ 600 bは、 図 39に示すように、 送受信部 60 1 b、 認 証部 603、 パスワー ド変更部 606、 制御部 607、 暗号処理部 60 8、 パスワード復旧部 6 1 4、 変更判定部 609、 変更結果通知部 6 1 5、情報記憶部 6 1 0、入力部 6 1 2及び表示部 6 1 3から構成される。 送受信部 601 bは ス 31、32及びパス 35と接続されている。 送受信部 60 l bは、 バス 31を介して、 第 2アプリサーバ 200 b〜 第 4アプリサーバ 200 dと管理サーバ 600 b内の备部との間で情報 の送受信を行い、バス 32を介して、内部ユーザ端末 150, 160 · · · と管理サーバ 600 b内の各部との間で情報の送受信を行う。 また、 バ ス 35、 ルータ 20及ぴィ ンタ一ネッ ト 20を介してユーザ端末 1 00 及ぴ第 1アプリサーバ 2ひ 0 aと管理サーバ 600 b内の各部との間で、 情報の送受信を行う。

この際、 第 2アプリサーバ 200 b〜第 4アプリサーバ 200 dとの 情報の送受信においては、 送受信部 601 bは、 バス 31を選択し、 内 部ユーザ端末 1 50、 1 60 · · · との情報の送受信においては、 バス 32を選択する。 また、 ユーザ端末 1 00及び第 1アプリサーバ 200 aとの情報の送受信においては、 パス 35を選択する。

送受信部 601 bのその他の具体的な動作は、 実施の形態 1の送受信 部 60 1と同様である。

また、 認証部 603、 パスワード変更部 606、 制御部 607、 暗号 処理部 608、 パスヮ一ド復旧部 614、 変更判定部 609、 変更結果 通知部 61 5、 入力部 61 2、 表示部 613の具体的な動作及び情報記 億部 6 1 0の構成は、 図 1 3を用いで説明した実施の形態 1と同様であ る。

ルータ 800は、 フアイャウォール機能を備えており、 インターネッ ト 20に接続された外部機器から、 LAN内の各機器宛に送信された各 種の情報の通過又は遮断を行う。 具体的には、 イ ンターネッ トを介して 受信したバケツ トに含まれる、 送信元及び送信先の I Pア ドレスゃポ一 ト番号が、 あらかじめ設定された条件を満たしているか否かを判断し、 条件を満たしていれば通過させ、 満たしていなければ受信したバケツ ト を削除する。 このような方法は、 一般的にパケッ トフィルタリ ングとい われる。 また、 このフアイャウォール機能は一例であり、 他の方法を用 いてもよい。 以上に説明したように、 本実施の形態では、 ルータ 800のフアイャ ゥオール機能により、 インタ一ネッ ト 20に接続された不正な外部機器 による攻撃から管理サーバ 600 b及び LANに接続されている各機器 を防御することができる。

3. 実施の形態 3

以下に実施の形態 3のパスヮ一ド変更システムについて、 説明する。 パスヮード変更システムは、図 40に示すように、ユーザ端末 1 70、 1 80 · · · 、 第 1アプリサーバ 200 a〜第 4アプリサーバ 200及 ぴ管理サ一パ 600 cから構成される。

第 1 アプリサーバ 200 a〜第 4アプリサーバ 200 d及ぴ、 管理サ —バ 600 cはパス 33に接続されておりバス型 LANを形成している。 ユーザ端末 1 7 0、 1 80 · · · と管理サーバ 600 cは、 ノ ス 34に 接続されており、 バス型 L ANを形成している。 バス 33及び 34は、 具体的には、 両端に終端装置を備える同軸ケーブルである。

管理サーバ 600 c、 第 1アプリサーバ 200 a〜第 4アプリサ一ノ 200 d及ぴュ一ザ端末 1 70、 1 80 · · ' は、 一例として、 同一の 建物内の LANを構成している。

第 1アプリサ一パ 200 a〜第 4アプリサーバ 200 dは、それぞれ、 出張費精算、 休暇申請、 会議室予約及び従業員購入のサービスを提供す る。

利用者は、 ユーザ端末 1 70、 1 80 · · ' のうち何れかを使用し、 管理サーバ 6 00 cを介して第 1アプリサーバ 200〜第 4アプリサ一 パ 200 dの提供するサービスを利用する。

このとき、 利用者の使用するユーザ端末 1 70は、 管理サ一パ 600 cに利用者のユーザ I Dとパスヮ一ドを送信する。

管理サ一バ 600 c及び第 1アプリサーバ 200 a〜第 4アプリサ一 バ 200 dは、 ユーザ I Dとパスワードを検証し、 ユーザ端末 1 00の 利用者が正当な利用者であることを認証し、 各アプリサーバ 200は、 それぞれが備えるサービスを提供する。 また、 管理サーバ 600 cは、 ユーザ端末 1 70からパスヮ一ド変更 の指示を受信し、 ュ一ザ端末 1 00から、 現在のパスヮー ドと新しいパ スワー ドとを受信する。 管理サーバ 600 cは、 第 1アプリサーバ 20 0 a〜第 4アプリサーバ 200 dへ、 受け取つた新しいパスヮ一ドを順 次送信し、 パスワー ドの変更を指示する。

ここで、 第 1アプリサーバ 200 a〜第 4アプリサーバ 2 Q 0 dの何 れかで、 パスワー ドの変更が正常に行われなかった場合、 管理サーバ 6 00 cは、 既にパスヮ一ド変更が終了しているアプリサーバに現在のパ スヮ一 ドを送信し、 現在のパスヮ一ドへパスヮ一ドを変更し直すように 指示する。

第 1 アプリサーバ 200 a〜第 4アプリサーバ 200 dの具体的な構 成及び動作はそれぞれ実施の形態 1の第 1アプリサ一バ 200 a〜第 4 アプリサーバ 200 dと同様であるので説明を省略する。

ユーザ端末 1 70、 1 80 · · · の具体的な構成及び動作は実施の形 態 1のユーザ端末 1 00と同様であるので説明を省略する。

管理サーバ 600 cは、 図 4 1に示すように、 送受信部 60 1 c、 認 証部 603、 パスワード変更部 606、 制御部 607、 暗号処理部 60 8、 パスワー ド復旧部 6 1 4、 変更判定部 609、 変更結果通知部 6 1 5、情報記憶部 6 1 0、入力部 6 1 2及び表示部 6 1 3から構成される。 送受信部 60 1 cは、 バス 33を介して、 第 1 アプリサーバ 200 a 〜第 4アプリサーバ 200 dと管理サーバ 600 c内の各部との間で情 報の送受信を行う。 バス 34を介してユーザ端末 1 70、 1 80 · · - と管理サーバ 600 c内部の各部との間で情報の送受信を行う。

この際、 第 1アプリサーバ 200 a〜第 4アプリサーバ 200 dとの 情報の送受信において、 送受信部 60 1 cは、 バス 33を選択し、 ュ一 ザ端末 1 70、 1 80 · · · との情報の送受信において、 バス 34を選 択する。

送受信部 60 1 cの具体的な動作は、 実施の形態 1の送受信部 60 1 ど同様である。 認証部 6 0 3、 パスワー ド変更部 6 0 6、 制御部 6 0 7、 暗号処理部 6 0 8、 パスワー ド復旧部 6 1 4、 変更判定部 6 0 9、 変更結果通知部 6 1 5、 入力部 6 1 2及び表示部 6 1 3の具体的な動作、 情報記憶部 6 1 0の構成は実施の形態 1の管理サーバ 6 0 0と同様であるので説明を 省略する。

本実施の形態では、 アプリサーバ 2 0 0は管理サーバ 6 0 0 cを介し てユーザ端末 1 7 0、 1 8 0と接続されている。 利用者が、 ユーザ端末 1 7 0及び 1 8 0を使用して、 アプリサーバ 2 0 0の提供するサ一ビス を利用する際に送受信される各種の情報は必ず管理サーバ 6 0 0 cを通 過するため、 管理サーバ 6 0 0 cは、 悪意のある利用者による不正なサ ―ビスの利用を発見しゃすくなる。

また、 本実施の形態のように、 閉じた L A Nの場合又はフアイャゥォ ―ル等により保護された L A N内のみで上述したサービス提供及ぴパス ヮー ド変更に係る通信を行う場合、 認証部 6 0 3による相互認証を省略 することもできる。 これにより、 上述したサービス提供の処理及ぴパス ヮード変更の処理をより迅速に行うことができる。

4 . その他の変形例

( 1 ) 管理サ一パによるパスワー ド変更開始

上記の実施の形態 1〜 3において、 ユーザ端末又は内部ユーザ端末か らパスワード変更の要求を受信することにより、 パスワー ド変更の処理 を開始しているが、 管理サーバ 6 0 0から利用者にパスヮードの変更を 促してもよい。

具体的には、 管理サーバ 6 0 0は、 あらかじめパスワー ドの最長使用 期間を記憶している。 また、 利用者が主に使うユーザ端末の I Pァ ドレ スを、 利用者のユーザ I Dと対応付けて記憶している。 パスワードテー ブル 6 2 1 に代わって、 パスヮ一ドテーブル 6 2 1 bを記憶している。 パスワー ドテーブル 6 2 1 bは、 図 4 2に示すように、 複数のパスヮ 一ド情報 6 2 2 b、 6 2 3 b、 6 2 4 b - · · から構成される。 各パス ゲード情報は、 ユーザ I D、 氏名、 パスヮ一 ド及び更新日を含む。 ュ一 ザ I D、 氏名及びパスワードは、 上記の実施の形態のパスワードテープ ル 6 2 1 に含まれるユーザ I D、 氏名及びパスワードと同様であるので 説明を省略する。 更新日は、 パスワー ド情報に含まれるパスワードが変 更された最近の日付を示しており、 例えばパスヮ一ド情報 6 2 2 bに含 まれるパスワード-は、 2 0 0年 5月 1 0 日に 「o z y l 2」 に変更され たことを示す。

管理サーバ 6 0 0は、 定期的に各パスヮ一ド情報に含まれる変更日を チヱック し、 最長使用期間を超えてパスヮードの変更を行っていない利 用者に対し、 あらかじめ記憶しているユーザ端末へ、 パスワードが最長 使用期間を過ぎていることを通知するメ ッセ一ジを送信し、 パスワード の変更を促す。

( 2 ) 強制パスヮ一 ド変更

また上記の （ 1 ) において、 最長使用期間を超えてパスワードを変更 していない利用者が、 各種サービスを利用しょうとするときに、 強制的 にパスワー ド変更を促してもよい。

具体的には、上記の実施の形態 1〜 3において、管理サ一パ 6 0 0は、 ユーザ端末からユーザ I Dと暗号化パスワードを受信すると、 先ず、 パ スヮ一 ドテーブル 6 2 1 b内で受信したュ一ザ I Dを含むパスヮ一ド情 報 6 2 2 bを選択する。 選択したパスヮード情報 6 2 2 bに含まれる変 更日を読み出す。 読み出した更新日に、 最長使用期間 （例えば 3 0 日） を加算した変更期限 「2 0 0 0 . 6 . 9」 を算出し、 算出した変更期限 「2 0 0 0 . 6 . 9」 と現在の日付とを比較する。 現在の日付が変更期 限 「2 0 0 0 . 6 . 9」 を越えていると判断すると、 管理サーバ 6 0 0 は、 ユーザ端末に端末用パスワー ド変更画面データを送信し、 パスヮ一 ドの変更を行わなければ、サービスの利用ができないようにしてもよい。

( 3 ) アプリサーバ 2 0 0への問合せ

また、 実施の形態 1〜3では、 管理サーバ 6 0 0は各アプリサ一パ 2 0 0 にユーザ I Dと暗号化現パスワー ドと暗号化新パスヮ一 ドとパスヮ -ド変更指示とを同時に送信しているが、 各アプリサーバ 2 0 0にあら かじめパスヮードの変更が可能か否かを問合せ、 全てのアプリサーバ 2 0 0が、 パスヮ一 ド変更可能である場合にのみ、 パスヮ一ド変更を指示 するとしてもよい。

具体的には、 管理サーバ 6 0 0は、 まず、 第 1 アプリサーバ 2 0 0 a. にュ一ザ I Dと暗号化現パスヮ一ドと暗号化新パスヮードとを送信し、 パスヮー ド変更が可能か否かを問い合わせる。

第 1 アプリサーバ 2 0 0 aは 管理サーバ 6 0 0からユーザ I Dと喑 号化現パスヮードと暗号化新パスヮードを受信し、 パスヮード変更が可 能か否かの問合せを受け付けると、 パスヮー ド変更が可能か否かを示す 応答信号を生成する。 パスワードの変更が書き換え可能であれば、 応答 信号「 1」、 ハードディ スク障害などによりパスヮードの書き換えが不可 能であれば応答信号 「0」 を生成し、 生成した応答信号を管理サーバ 6 0 0へ送信する。 '

管理サーバは、 第 1 アプリサーバ 2 0 0 aから応答信号を受信し、 受 信した応答信号が 「 1」 であれば、 第 2アプリサーバ 2 0 0 bにも同様 にしてユーザ I Dと暗号化現パスヮードと暗号化新パスヮ一ドとを送信 し、 パスワード変更が可能か否かを問い合わせ、 応答信号 「 1」 を受信 すると、 次のアプリサ一パ 2 0 0へ、 同様の問合せを行う。

全てのアプリサーバ 2 0 0から、 応答信号 「 1」 を受信すると、 管理 サ一パ 6 0 0は、 全てのアプリサ一バ 2 0 0へ、 パスワード変更を指示 する。

各アプリサーバ 2 0 0は管理サーバ 6 0 0からパスヮー ド変更の指示 を受信し、 前もって受信している暗号化現パスヮ一ドと暗号化新パスヮ —ドとを復号して、 現パスヮ一ドと新パスワードとを生成し、 受信した ユーザ I Dと生成した現パスヮードとを含むパスヮ一 ド情報を選択し、 選択したパスヮ―ド情報に含まれるパスヮードを生成した新パスワード に書き換える。

次に、 管理サーバ 6 0 0は、 ユーザ端末に端末用変更完了画面データ を送信し、 パスヮ一ドの変更が正常に終了したことを通知する。 パスヮ一ド変更が可能か否かの問合せの途中に、 何れかのアプリサ一 バ 2 0 0から応答信号 「0」 を受信すると、 該当するアプリサ一パ 2 0 0のパスヮード変更は不可能であると判断し、 既にパスヮード変更の問 合せを行ったアプリサーバ 2 0 0全てに、 パスヮ一ド変更の中止を知ら せる。

次に、 ユーザ端末に端末用変更失敗画面データを送信し、 パスワー ド 変更が失敗したことを通知する。

( 4 ) タイ ムアウ ト による判断

また上記の （3 ) において、 各アプリサーバ 2 0 0にパスヮ一ド変更 が可能か否かを問い合わせる際に、 問合せを送信してからの時間を計測 し、 あらかじめ設定しておいた最大待ち時間を超えても応答信号を受信 しないとき、 該当するアプリサーバ 2 0 0のパスヮ一 ド変更は不可能で あると判断するとしてもよい。

( 5 ) 専用線による接続

実施の形態 3において、 パスワード変更システムは、 パスワー ド変更 用の専用線を備えるとしてもよい。

具体的には、 管理サーバ 6 0 0と各アプリサーバ 2 0 0とは専用線で 直接接続されている。 通常のサービスの提供には、 上記の実施の形態 3 において説明したように、 バス 3 3及び 3 4を介して、 情報の送受信を 行う。

( 6 ) アプリサーバ 2 0 0の処理状況

上記の実施の形態 1〜 3において、 管理サ一パ 6 0 0は、 各アプリサ —バ 2 0 0の処理状況を記憶しており、 これに応じてパスヮードの変更 の実施を中止するとしてもよい。

具体的には、 管理サーノ 6 0 0は、 ルーティ ングテーブル 6 4 1 に代 わって、 ルーティ ングテ一ブル 6 4 1 bを記憶している。

ルーティ ングテーブル 6 4 1 bは、 図 4 3に示すように、 複数のルー ト情報 6 4 2 b、 6 4 3 b - · · から構成される。 各ル一ト情報は、 ァ プリ番号、 ホス ト名、 I Pア ドレス、 ポート番号及ぴ処理状況から構成 される。 アプリ番号、 ホス ト名、 I Pア ドレス及びポート番号は、 上記 のルーティ ングテーブル 6 4 1 に合まれるアプリ番号、 ホス ト名、 I P ア ド レス及びポー ト番号と同様であるので、 説明を省略する。 処理状況 は、 アプリ番号の示すアプリサーバ 2 0 0の処理状況を示している。 処 理状況 「通常」 は、 アプリ番号の示すアプリサ一パ 2 0 0が通常のサ一 ビス提供処理を行っていることを示す。処理状況「メンテナンス中」は、 アプリ番号の示すアプリサ一パ 2 0 0がメ ンテナンス中であることを示 しており、 管理サーバ 6 0 0は、 処理状況 「メ ンテナンス中」 の場合、 該当するアプリサーバ 2 0 0のパスヮー ド変更の処理ができないことを 判別する。

管理サーバ 6 0 0は、 各アプリサーバ 2 0 0に定期的に監視信号を送 信する。

各アプリサーバ 2 0 0は、 管理サーバ 6 0 0から監視信号を受信し、 自身の処理状態が通常であれば応答信号 「通常」 を返信する。 自身の処 理状況がメンテナンス中であれば応答信号「メ ンテナンス」を返信する。 管理サーバ 6 0 0は、 各アプリサーバ 2 0 0から応答信号を受信し、 受信した応答状況を基に、 記憶しているルーティ ングデ一ブル 6 4 1 b の各アプリサーバ 2 0 0の処理状況を書き換える。

• ユーザ端末又は内部ユーザ端末から、 パスワー ド変更の要求を受信す ると、 管理サーバ 6 0 0は、 ル一ティ ングデ一ブル 6 4 1 bの処理状況 を確認し、 全てのアプリサーバ 2 0 0の処理状況が 「通常」. であると判 断すると、 上述したようなパスワー ド変更の処理を開始する。

処理状況が「通常」でないアプリサ一パ 2 0 0が 1つでも存在すれば、 ユーザ端末へ、現在パスヮードの変更を受け付けられない旨を通知する。 また、 管理サーバ 6 0 0からの監視信号の有無にかかわらず、 各アブ リサーバ 2 0 0が自発的に、 管理サ一パ 6 0 0に自身の処理状況を報告 するとしてもよい。

( 7 ) アプリサーバによる現パスワー ドの記憶

' 実施の形態 1〜3において、 管理サーバ 6 0 0がパスヮ一ド変更テ一 ブル 6 5 1により、 現パスヮ一ドと新パスヮ一ドとを記憶しているが、 各アプリサーバ 2 0 0が記憶しているとしてもよい。

この場合、 管理サーバ 6 0 0は、 第 1 アプリサーバ 2 0 0 aから第 4 アプリサーバ 2 0 〇 dの順に、 ユーザ I Dと暗号化現パスヮードと暗号 化新パスヮードとを送信し、 パスヮード変更を指示する。

各アプリサーバ 2 0 0は、 ユーザ I Dと暗号化現パスヮードと暗号化 新パスヮードと受信し、 受信した暗号化現パスヮードと暗号化新パスヮ ―ドとを復号し、 ユーザ I Dと現パスヮードとを含むパスヮード情報を 選択し、 選択したパスヮ一ド情報に含まれるパスヮ一ドを新パスヮ一ド に書き換える。 書き換えが成功すれば、 終了信号 「 1」 を管理サーバへ 送信する。 次に、 書き換えたパスワード情報に対応付けて、 現パスヮ一 ドを記憶しておく。

管理サーバ 6 0 0は、 アプリサーバ 2 0 0から終了信号の受信し、 受 信した終了信号が 「 1」 であれば、 次のアプリサーバ 2 0 0へユーザ I Dと暗号化現パスヮ一ドと暗号化新パスヮードとを送信する。

受信した終了信号が 「0」 である場合、 又は一定時間を超えて終了信 号を受信しない場合、 パスワードの変更が失敗であると判断し、 既に終 了信号 「 1」 を受信済みのアプリサーバ 2 0 0に、 パスワード復旧の指 示を送信する。

パスワード復旧の指示を受信したアプリサーバ 2 0 0は、 書き換えた パスヮ一ド情報のパスヮー ドを、 記憶している現パスヮ一ドに書き換え る。

( 8 ) 初期パスヮードへの変更

実施の形態 1〜 3において、 利用者がパスヮ一ドを忘れている場合、 パスヮ一ドを初期パスヮー ドに変更するとしてもよい。

初期パスヮ一ドとは、 パスヮード変更システムの管理者側から利用者 に最初に割り当てられるパスワードであり、 メール、 書面などで利用者 に通達されるものである。 一例として 「0 0 0 0」 のような筒単な文字 列 ⁴やユーザ I Dと同じ文字列が挙げられる。 具体的には、 管理サーバ 6 0 0は、 あらかじめ各利用者の初期パスヮ ―ドを記憶している。

口グイ ン画面 1 5 1 に、さらに、パスヮ一ド忘れボタンを設けておき， 利用者は、パスヮ一ドを忘れた場合にパスヮード忘れボタンを選択する。 ユーザ端末は、 パスワード忘れポタンの押下を検出すると、 管理サ一 ノ 6 0 0へパスヮード忘れを通知する。

管理サーバ 6 0 0は、 ユーザ端末からパスヮード忘れの通知を受信す ると、 叙述したようなパスヮード変更の処理を開始する。 このとき、 利 用者により入力された新パスヮ一 ドに代わって初期パスヮー ドを各アブ リサ一パ 2 0 0へ送信し、 パスワー ドの変更を指示する。

全てのアプリサーバ 2 0 0のパスヮード変更が成功すると、 ユーザ端 末へパスヮ一ドを初期パスヮードに変更したことを通知する。

産業上の利用の可能性

本発明の各装置及ぴシステムは、 各種のサービスをネッ トワークを介 して、 利用者に提供する産業において、 経営的に、 また継続的及び反復 的に使用することができる。 また、 本発明を構成する各装置、 コンビュ 一夕プログラム及び記録媒体は、電器機器製造産業において、経営的に、 また継続的及び反復的に、 製造し、 販売することができる。

Claims

請 求 の 範 囲

1 . 一のパスヮ一ドにより認証した一の利用者へ各サービスを提供する 複数のアプリケ一シヨン装置に対して、 当該パスヮードの更新を指示す る管理サーバ装置であって、

全てのアプリケーション装置のパスヮードの更新を試みる第 1手段と、 各アプリケ一ショ ン装置について、 パスヮ一ドの更新が不可能か否か を判断する第 2手段と、

不可能と判断されるアプリケーション装置が少なく とも 1台存在する 場合に、 全てのアプリケーショ ン装置のパスワー ドを更新前のものとす る第 3手段と

を備えることを特徴とする管理サーバ装置。

2 . 前記管理サーバ装置は、 さらに、

利用者装置からパスヮードの更新の要求を受信する第 4手段を含み、 前記第 1手段は、 受信した前記更新の要求に基づいて、 パスワー ドの 更新を試みる

ことを特徴とする請求の範囲 1 に記載の管理サーバ装置。

3 . 前記第 1手段は、 全てのアプリケーショ ン装置に対してパスワード の更新を指示し、

前記第 2手段は、 各アプリケーシ ョ ン装置について、 パスワー ドの更 新が失敗したか否かを判断し、

前記第 3手段は、 少なく とも 1台のアプリケ一ション装置について、 更新が失敗したと判断される場合に、 パスヮ一ドの更新が成功した他の アプリケーショ ン装置に対して、 更新前のパスヮ一ドへの復元を指示す る

ことを特徴とする請求の範囲 2に記載の管理サーバ装置。

4 . 前記第 4手段は、 利用者の新パスワー ドと旧パスワードとを含む前 記更新の要求を受信し、

前記第 1手段は、 受信した更新の要求に含まれる新パスヮードと旧パ スヮ一ドとを含む更新の指示を生成し、 生成した前記更新の指示を全て のアプリケ一ション装置に対して送信する

ことを特徴とする請求の範囲 3に記載の管理サーバ装置。

5 . 前記第 2手段は、

各アプリケ一ション装置からのパスヮードの更新の成功又は失敗を示 す応答を受信する応答受信部と、

受信した前記応答が成功を示す場合に、 当該アプリケ一ション装置に ついてパスヮードの更新が成功したと断定し、 受信した前記応答が失敗 を示す場合に、 当該アプリケーション装置についてパスヮードの更新が 失敗したと断定する断定部と

を含むことを特徴とする請求の範囲 3に記載の管理サーバ装置。

6 . 前記第 2手段は、

時間の経過に伴って経過時間を計測する計時部と、

前記第 1手段による更新の指示の送信の時点において、 計時部により 計測される経過時間を初期値にリセッ トする初期化部と、

各アプリケ一ショ ン装置からのパスヮ一ドの更新の成功又は失敗を示 す応答を待ち受ける待受部と、

計測された経過時間が、 所定のしきい値より大きいか否かを判断する 判断部と、

判断部により経過時間が前記しきい値と等しいか又は小さいと判断さ れ、 かつ待受部により各アプリケーショ ン装置からの応答を受信し、 か つその応答が成功を示す場合に、 当該アプリケ一ション装置について、 パスワー ドの更新が成功したと断定し、 その他の場合に、 当該アプリケ —シヨン装置について、 パスヮ一ドの更新が失敗したと断定する断定部 と

を含むことを特徴とする請求の範囲 3に記載の管理サーバ装置。

7 . 前記第 1手段は、 全てのアプリケーショ ン装置に対してパスワード ø更新の準備を指示し、

前記第 2手段は、 各アプリケーシ ョ ン装置について、 パスワー ドの更 新の準備が未完了か否かを判断し、

前記第 3手段は、 少なく とも 1台のァ.プリケーション装置について、 更新の準備が未完了と判断される場合に 更新の準備が完了した他のァ プリケーショ ン装置に対して、 前記更新の準備の指示を取り消す

ことを特徴とする請求の範囲 2に記載の管理サーバ装置。

8 . 前記第 4手段は、 利用者の新パスワー ドと旧パスワードとを含む前 記更新の要求を受信し、

前記第 1手段は、 受信した更新の要求に含まれる新パスヮ一ドと旧パ スヮードとを含む更新の準備の指示を生成し、 生成した前記更新の準備 の指示を全てのアプリケーション装置に対して送信する

ことを特徴とする請求の範囲 7に記載の管理サーバ装置。

9 . 前記第 2手段は、

アプリケ一ション装置からのパスヮ一ドの更新の準備の完了又は未完 了を示す応答を受信する応答受信部と、

受信した前記応答が完了を示す場合に、 当該アプリケーショ ン装置に ついてパスヮ一ドの更新の準備が完了したと断定し、 受信した前記応答 が未完了を示す場合に、 当該アプリケーショ ン装置についてパスヮ一ド の更新の準備が未完了であると断定する断定部と

を含むことを特徴とする請求の範囲 7に記載の管理サーバ装置。

1 0 . 前記第 2手段は、

時間の経過に伴って経過時間を計測する計時部と、

前記第 1手段による更新の準備の指示の送信の時点において、 計時部 により計測される経過時間を初期値にリセッ トする初期化部と、

アプリケ一ション装置からのパスヮードの更新の準備の完了又は未完 了を示す応答を待ち受ける待受部と、

計測された経過時間が、 所定のしきい値より大きいか否かを判断する 判断部と、

判断部により経過時間が前記しきい値と等しいか又は小さいと判断さ れ、 かつ待受部によりアプリケーション装置からの応答を受信し、 かつ その応答が完了を示す場合に、 パスヮードの更新の準備が完了したと断 定し、 その他の場合に、 パスワー ドの更新の準備が未完了であると断定 する断定部と

を含むことを特徴とする請求の範囲 7に記載の管理サーバ装置。

1 1 . 前記管理サーバ装置は、 さらに、

前記第 2手段によりパスヮ一ドの更新が不可能と判断される場合に、 元のパスヮー ドに戻す旨のメ ッセージを前記利用者装置へ送信するメ ッ セージ送信手段

を含むことを特徴とする請求の範囲 2に記載の管理サーバ装置。

1 2 . 前記管理サーバ装置は、 さらに、

各アプリケーショ ン装置について、 メインテナンス中であるか否かを 記憶している管理記憶手段を備え、

前記第 1手段は、 メイ ンテナンス中のアプリケーション装置が存在し ない場合に、 パスワー ドの更新を試みる

ことを特徴とする請求の範囲 2に記載の管理サーバ装置。

1 3 . 前記第 1手段は、 メイ ンテナンス中のアプリケーショ ン装置が存 在する場合に、 パスワー ドの更新を中止し、

前記管理サーバ装置は、 さらに、

前記第 1手段によりパスヮードの更新が中止される場合に、 パスヮー ドの更新を中止する旨のメ ッセージを前記利用者装置へ送信するメッセ ージ送信手段を含む

ことを特徴とする請求の範囲 2に記載の管理サーバ装置。

1 4 . 前記アプリケーショ ン装置は、 第 1 ネッ トワークを介して、 前記 管理サーバ装置と接続されており、

前記利用者装置は、 第 1 ネッ トワークに接続されていない第 2ネッ ト ワークを介して、 前記管理サーバ装置と接続されている

ことを特徴とする請求の範囲 2に記載の管理サーバ装置。

1 5 . 前記第 1 ネッ トワーク及び前記第 2ネッ トワークは、 イ ン ト ラネ ッ トである ことを特徴とする請求の範囲 1 4に記載の管理サーバ装置。

1 6 . 前記管理サーバ装置と、 各アプリケーシ ョ ン装置とは、 専用線を 介して 接続されており

パスワー ドの更新の際には 前記管理サーバ装置は、 前記専用線を介 して、 各アプリケーショ ン装置との間で、 パスワードの更新のための情 報を送受信し、

各サービスの提供の際には、 前記管理サーバ装置は、 第 1及び第 2ネ ッ トワークを介して、 前記利用者装置と各アプリケーション装置との間 で、 前記サービスに係る情報の送受信を中継する

ことを特徴とする請求の範囲 1 4に記載の管理サーバ装置。

1 7 . 前記アプリケーショ ン装置及び前記利用者装置は、 ネッ トワーク を介して、 前記管理サーバ装置と接続されており、

前記管理サーバ装置は、 さらに、

アプリケーションの種類と、 各アプリケーシ ョ ン装置のネッ トワーク 上における位置情報とを対応付ける対応テーブルを記憶している記憶手 段と、

前記利用者装置から、 アプリケーションを示す種類情報と処理の内容 を示す処理情報とを受信する受信手段と、

前記対応テーブルを用いて、 受信した種類情報に対応するアプリケー シヨ ン装置の位置情報を取得する取得手段と、

取得した位置情報により示されるアプリケーション装置に対して、 前 記処理情報を送信する送信手段と

を含むことを特徴とする請求の範囲 2に記載の管理サーバ装置。

1 8 . 前記ネッ トワークは、 インタ一ネッ トである

ことを特徴とする請求の範囲 1 6に記載の管理サーバ装置。

1 9 . 更新後の新パスワー ドは、 利用者に最初に割り当てられた初期パ スヮー ドであり、

._¾ 前記第 1手段は、 全てのアプリケーション装置の初期パスヮードへの 更新を試み、 前記第 2手段は、 各アプリケーショ ン装置について、 初期パスワード への更新が不可能か否かを判断し、

前記第 3手段は.. 不可能と判断されるアプリケーション装置が少なく とも 1台存在する場合に、 全てのアプリケ一ション装置のパスヮードを 更新前のもの.とする

ことを特徴とする請求の範囲 1 に記載の管理サーバ装置。

2 0 . —のパスワードにより認証した一の利用者へサービスを提供し、 管理サーバ装置からの指示によりパスヮードを更新するアプリケーショ ン装置であって、

更新前のパスヮードを記憶している旧パスヮード記憶手段と、 利用者の認証に用いるパスヮードを記憶している認証用パスヮード記 憶手段と、

管理サーバ装置から、 パスヮ一ドを更新前のものに復元する復元指示 を受信する受信手段と、

前記復元指示を受信すると、 旧パスワー ド記憶手段から更新前のパス ヮードを読み出し、 読み出したパスヮードを認証用パスヮー ド記憶手段 に上書きする書込手段と

を備えることを特徴とするアプリケーショ ン装置。

2 1 . 前記アプリケーシ ョ ン装置は、 前記管理サーバ装置を介して、 利 用者の利用者装置との間で、 前記サービスに関する情報の送受信を行う ことを特徴とする請求の範囲 2 0に記載のアプリケ一ション装置。

2 2 . 前記アプリケーション装置は、 メインテナンス中である場合に、 当該旨を前記管理サ一パ装置に対して通知する

ことを特徴とする請求の範囲 2 1 に記載のアプリケ一ション装置。

2 3 . 前記アプリケーション装置は、 第 1ネッ トワークを介して、 前記 管理サーバ装置と接続されており、

前記利用者装置は、 第 1ネッ トワークに接続されていない第 2ネッ ト ワークを介して、 前記管理サーバ装置と接続されている

ことを特徴とする請求の範囲 2 1 に記載のアプリケ一ション装置。

2 4 . 前記アプリケーショ ン装置及び前記管理サーバ装置は、 専用線を 介して接続されており、

パスワー ドの更新の際には、 前記管理サーバ装置は 前記専用線を介 して-, 前記管理サーバとの間で、 パスワー ドの更新のための情報を送受 信し、

各サービスの提供の際には、 第 1及び第 2ネッ トワークを介して、 前 記サービスに係る情報を送受信する

ことを特徴とする請求の範囲 2 3に記載のアプリケ一ショ ン装置。

2 5 . 前記アプリケーショ ン装置及び前記利用者装置は、 イ ンターネッ トを介して、 前記管理サーバ装置と接続されている

ことを特徴とする請求の範囲 2 1 に記載のアプリケ一ション装置。

2 6 . 利用者の端末装置と、 一のパスワードにより認証した一の利用者 の端末装置へ各サービスを提供する複数のアプリケーション装置と、 前 記アプリケーシ ョン装置に対して、 当該パスヮ一ドの更新を指示する管 理サーバ装置とから構成されるパスワード更新システムであって、 前記管理サーバ装置は、

全てのアプリケーション装置のパスヮ一ドの更新を試みる第 1手段と、 各アプリケーシ ョン装置について、 パスヮードの更新が不可能か否か を判断する第 2手段と、

不可能と判断されるアプリケーション装置が少なく とも 1台存在する 場合に、 全てのアプリケ一ション装置のパスヮードを更新前のものとす る第 3手段とを備え、

各アプリケーショ ン装置は、

更新前のパスヮ一ドを記憶している旧パスヮ一ド記憶手段と、 利用者の認証に用いるパスヮードを記憶している認証用パスヮード記 憶手段と、

管理サーバ装置から、 パスヮードを更新前のものに復元する復元指示 を受信する受信手段と、

前記復元指示を受信すると、 旧パスヮード記憶手段から更新前のパス ワードを読み出し、 読み出したパスヮードを認証用パスヮ一ド記憶手段 に上書きする書込手段とを備える

ことを特徴とするパスヮ一ド更新システム。

2 7 . 前記端末装置と各アプリケーショ ン装置とは、 前記管理サーバ装 置を介して、 情報の送受信を行う

ことを特徴とする請求の範囲 2 6に記載のパスヮ一ド更新システム。

2 8 . 前記アプリケーショ ン装置は、 第 1ネッ トワークを介して、 前記 管理サーバ装置と接続されており、

前記利用者装置は、 第 1ネッ トワークに接続されていない第 2ネッ ト ワークを介して、 前記管理サーバ装置と接続されている

ことを特徴とする請求の範囲 2 7に記載のパスヮ一ド更新システム。

2 9 . 前記第 1 ネッ ト ワーク及び前記第 2ネッ ト ワークは、 イ ン ト ラネ ッ トである

ことを特徴とする請求の範囲 2 8に記載のパスヮ一ド更新システム。

3 0 . 前記管理サーバ装置と、 各アプリケーシ ョ ン装置とは、 専用回線 を介して、 接続されており、

パスワー ドの更新の際には、 前記管理サーバ装置は、 前記専用線を介 して、 前記管理サーバとの間で、 パスワー ドの更新のための情報を送受 信し、

各サービスの提供の際には、 第 1及び第 2ネッ トワークを介して、 前 記サービスに係る情報を送受信する

ことを特徴とする請求の範囲 2 8に記載のパスヮード更新システム。

3 1 . 前記アプリケーショ ン装置及び前記利用者装置は、 ネッ ト ワーク を介して、 前記管理サーバ装置と接続されており、

前記管理サーバ装置は、 さらに、

アプリケーショ ンの種類と、 各アプリケーシ ョ ン装置のネッ ト ワーク 上における位置情報とを対応付ける対応テ一ブルを記憶している記憶手 段と、

前記利用者装置から、 アプリケーションを示す種類情報と処理の内容 を示す処理情報とを受信する受信手段と、

前記対応テーブルを用いて、 受信した種類情報に対応するアプリケー ション装置の位置情報を取得する取得手段と、

取得した位置情報により示されるアプリケーション装置に対して、 前 記処理情報を送信する送信手段と

を含むことを特徴とする請求の範囲 2 7に記載のパスヮード更新シス テム。

3 2 . 前記ネッ トワークは、 インターネッ トである

ことを特徴とする請求の範囲 3 0に記載のパスヮ一ド更新システム。

3 3 . —のパスワー ドにより認証した一の利用者へ各サービスを提供す る複数のアプリケ一シヨン装置に対して、 当該パスヮ一ドの更新を指示 する管理サーバ装置で用いられる管理サーバ制御方法であって、 全てのアプリケーション装置のパスヮ一ドの更新を試みる第 1 ステツ プと、

各アプリケーシ ョ ン装置について、 パスワー ドの更新が不可能か否か を判断する第 2ステップと、

不可能と判断されるアプリケーション装置が少なく とも 1台存在する 場合に、 全てのアプリケーション装置のパスヮードを更新前のものとす る第 3ステップと

を含むことを特徴とする管理サーバ制御方法。

3 4 . 一のパスヮー ドにより認証した一の利用者へ各サービスを提供す る複数のアプリケ一シヨン装置に対して、 当該パスヮ一ドの更新を指示 する管理サーバ装置で用いられる管理サーバ制御プログラムであって、 全てのアプリケーション装置のパスヮードの更新を試みる第 1 ステツ プと、

各アプリケーション装置について、 パスヮードの更新が不可能か否か を判断する第 2ステップと、

.不可能と判断されるアプリケーショ ン装置が少なく とも 1台存在する 場合に、 全てのアプリケーション装置のパスヮードを更新前のものとす る第 3ステップと

を含むことを特徴とする管理サーバ制御プログラム。

3 5 . 前記管理サ一バ制御プログラムは

コンピュータ読み取り可能なプログラム記録媒体に記録されている ことを特徴とする請求の範囲 3 4に記載の管理サーバ制御プログラム。