WO2015004744A1 - 認証装置、認証方法、およびプログラム - Google Patents

認証装置、認証方法、およびプログラム Download PDF

Info

Publication number
WO2015004744A1
WO2015004744A1 PCT/JP2013/068842 JP2013068842W WO2015004744A1 WO 2015004744 A1 WO2015004744 A1 WO 2015004744A1 JP 2013068842 W JP2013068842 W JP 2013068842W WO 2015004744 A1 WO2015004744 A1 WO 2015004744A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
challenge
client terminal
user
response
Prior art date
Application number
PCT/JP2013/068842
Other languages
English (en)
French (fr)
Inventor
亮一 寺村
Original Assignee
株式会社野村総合研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社野村総合研究所 filed Critical 株式会社野村総合研究所
Priority to JP2015526056A priority Critical patent/JP6055546B2/ja
Priority to PCT/JP2013/068842 priority patent/WO2015004744A1/ja
Publication of WO2015004744A1 publication Critical patent/WO2015004744A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Definitions

  • the present invention relates to an authentication device, an authentication method, and a program.
  • business information systems that support the operation of companies and public facilities, so-called enterprise systems, are now the foundation of large and small organizations.
  • the business information system supports complicated organization management by outputting higher value-added information after totaling, accumulating, analyzing and processing data obtained from node terminals and databases.
  • Patent Document 1 a method for managing a detailed usage state by connecting to a relay device before connecting to a server constituting a business information system
  • the relay device disclosed in Patent Document 1 user authentication is performed in the relay device before connecting to each server of the business information system, so that the user ID registered in the relay device and the connection destination server are used. It is configured to manage the detailed usage status by associating IDs and identifying users. Further, in the relay device disclosed in Patent Document 1, when connecting from a client terminal to a server constituting a business information system (hereinafter simply referred to as “connection destination server”), user authentication processing (hereinafter referred to as “this”) is performed by a proxy server. The process is simply referred to as “proxy authentication”), and is connected to the connection destination server before being able to grasp the detailed usage status.
  • FIG. 13 is a diagram showing an outline of proxy authentication.
  • the proxy server 100 performs proxy authentication with the client terminal 200 and relays communication with the connection destination server 300 when the authentication is successful.
  • user authentication by a challenge / response method is executed with reference to the directory service 110 that provides user information (proxy internal user information) held inside the proxy server 100.
  • the directory service mentioned above is a service provided using, for example, Active Directory (registered trademark) or LDAP (Lightweight Directory Access Protocol), and is used on a predetermined computer network such as a LAN. It is a directory service system that stores user information and information related to external devices such as connected printers, and makes it easy to search.
  • the proxy server 100 transmits a random numerical string called “challenge” (hereinafter simply referred to as “challenge”) in response to the authentication request.
  • the client terminal 200 synthesizes the password input by the user and this “challenge” according to a specific algorithm, creates a numeric string called “response”, and transmits it to the proxy server 100.
  • a “response” is created in the same manner from the “challenge” sent by itself and the password of the user registered in the directory service 110 as proxy internal user information in advance, and the “response” sent.
  • the proxy server 100 relays communication between the client terminal 200 and the connection destination server 300.
  • user information that needs to be temporarily registered such as an external IT vendor or a temporary employee, needs to be registered in the directory service 110. Therefore, even when a part of user information registered in the directory service 110 is changed, the proxy server 100 needs to be directly operated. May spread.
  • a password management server 400 having a directory service 410 having external user information that needs to be always registered separately from the proxy server 100 is constructed.
  • user information that needs to be temporarily registered is managed on the proxy server 100 side, and other users are managed by the external password management server 400.
  • the user information that is always registered and the temporary user information are managed by physically different devices. Can be handled only by changing the directory service 110 of the proxy server 100. Therefore, even if there is a trouble, it is possible to reduce the possibility that the trouble will spread to all users.
  • the present invention has been made in view of the above-described problems, and an authentication apparatus and authentication that can properly authenticate even a user authentication by a challenge / response method for a user who is not registered in an internal directory service It is an object to provide a method and a program.
  • the authentication apparatus performs challenge / response user authentication based on an authentication request from a client terminal in an authentication apparatus that performs challenge / response user authentication based on an authentication request from a client terminal.
  • the authentication apparatus transmits an authentication request to an external server providing a directory service, and is transmitted from an external server based on the authentication request.
  • the challenge transfer unit Based on the challenge acquisition unit for acquiring the coming challenge, the challenge transfer unit for transferring the challenge acquired by the challenge acquisition unit to the client terminal, the response transmitted from the client terminal and the challenge acquired by the challenge acquisition unit Authentication process to be executed And it has a door.
  • the authentication processing unit when the user of the client terminal exists in the user information held in the internal directory service and the user authentication of the challenge / response method is successful, The successful authentication result is transmitted to the client terminal, and when the user of the client terminal does not exist in the user information held in the internal directory service, the response transmitted from the client terminal is transferred to the external server. It is possible to execute challenge / response user authentication with an external server, and transmit the authentication result transmitted from the external server to the client terminal as the authentication result of the user of the client terminal.
  • an authentication method includes an authentication request transfer unit, a challenge acquisition unit, a challenge transfer unit, and an authentication processing unit, and challenges / response method user authentication based on an authentication request from a client terminal.
  • an authentication request transfer step of transferring the authentication request to an external server that provides a directory service, and a challenge A challenge acquisition step in which the acquisition unit acquires a challenge transmitted from an external server based on the authentication request; a challenge transfer step in which the challenge transfer unit transfers the challenge acquired in the challenge acquisition step to the client terminal; and authentication The processing unit is sent from the client terminal And executes user authentication based on the acquired challenge in the response and challenge acquisition step.
  • a program according to the present invention is a program for causing a computer to function as an authentication device that performs challenge / response user authentication based on an authentication request from a client terminal.
  • An authentication request transfer means for transferring an authentication request to an external server providing a directory service, a challenge acquisition means for acquiring a challenge transmitted from an external server based on the authentication request, and a challenge acquisition
  • a challenge transfer means for transferring the challenge acquired by the client to the client terminal, and a program for functioning as an authentication processing means for executing user authentication based on the response transmitted from the client terminal and the challenge acquired by the challenge acquisition section. It is a non.
  • the authentication apparatus even if it is user authentication by the challenge / response system about the user who is not registered into the internal directory service, the authentication apparatus, the authentication method, and program which can be authenticated appropriately can be provided. .
  • FIG. 1 is a diagram showing a configuration example of a business information system including a proxy server 1 which is a first embodiment of an authentication apparatus of the present invention.
  • FIG. 2 is a block diagram illustrating a functional configuration example of the proxy server 1 illustrated in FIG. 1.
  • FIG. 3 is a diagram showing communication between devices in the configuration of FIG.
  • FIG. 4 is a diagram showing an example of a screen displayed on the client terminal 4 side by the communication processing of FIG.
  • FIG. 5 is a diagram showing a configuration example of a business information system including a proxy server 1A that is the second embodiment of the authentication apparatus of the present invention.
  • FIG. 6 is a block diagram illustrating a functional configuration example of the proxy server 1A illustrated in FIG.
  • FIG. 7 is a diagram showing communication between devices in the configuration of FIG. FIG.
  • FIG. 8 is a diagram showing an example of screen transition at the client terminal 4.
  • FIG. 9 is a flowchart illustrating an example of the authentication determination process of the proxy server 1A.
  • FIG. 10 is a diagram showing an example of communication processing when user authentication is executed based on the directory service 5 outside the password management server 6 in the processing shown in FIG. 9 (S43 in FIG. 9).
  • FIG. 11 is a diagram illustrating an example of communication processing when user authentication is executed based on only the directory service 2 inside the proxy server 1A in the processing illustrated in FIG. 9 (S45 in FIG. 9).
  • FIG. 12 is a diagram illustrating an example of communication processing when the user of the client terminal 4 is a user registered in the directory service 2 inside the proxy server 1A.
  • FIG. 13 is a diagram illustrating an example of communication processing when the user of the client terminal 4 is a user who is not registered in the directory service 2 inside the proxy server 1A.
  • FIG. 14 is a diagram showing an outline of proxy authentication.
  • Embodiments of an authentication device, an authentication method, and a program according to the present invention will be described with reference to the drawings.
  • the embodiment of the authentication method according to the present invention will be described together with the description of the operation of the authentication apparatus, and the program according to the present invention will be described as a program installed in the authentication apparatus.
  • the authentication apparatus, authentication method, and program according to the present invention are not limited to the embodiments described below.
  • FIG. 1 is a diagram showing a configuration example of a business information system including a proxy server 1 which is a first embodiment of an authentication apparatus of the present invention.
  • the business information system shown in FIG. 1 is used when proxy internal user information is held and the proxy server 1 having the directory service 2 that provides this information is accessed and the resources of the connection destination server 3 are accessed via the proxy server 1.
  • It has a client terminal 4, a connection destination server 3 that provides a file sharing service using, for example, the CIFS (Common Internet File System) protocol, and a directory service 5 that stores external user information.
  • the directory service 5 provides external user information.
  • the proxy server 1 and the client terminal 4 are connected via a network (not shown).
  • the connection destination server 3 and the password management server 6 are connected to a network (not shown) via the proxy server 1.
  • connection destination server 3 shown in FIG. 1 may be configured to provide other services that require user authentication in addition to the file sharing service, or user authentication is required in addition to the file sharing service. Other services may be provided. A plurality of connection destination servers 3 may actually exist.
  • the directory service mentioned above is a service provided by using, for example, Active Directory (registered trademark) or LDAP (Lightweight Directory Access Protocol), and is used on a predetermined computer network such as a LAN. It is a directory service system that stores user information and information related to external devices such as connected printers, and makes it easy to search.
  • Active Directory registered trademark
  • LDAP Lightweight Directory Access Protocol
  • the proxy internal user information described above is user information that needs to be temporarily registered when a user such as an external IT vendor or a temporary employee uses the business information system.
  • a user such as an external IT vendor or a temporary employee uses the business information system.
  • user information that requires constant use of a business information system such as officers and full-time employees is registered, these relationships may be reversed. That is, user information that always requires the use of a business information system such as corporate officers and full-time employees is registered in the proxy internal user information, and users such as external IT vendors and temporary employees are registered in the external user information. May be.
  • “internal” and “external” of internal users and external users represent whether they are internal or external as viewed from the proxy server 1, and are not necessarily employees inside the company that use the business information system. It is not intended to represent external IT vendors or temporary employees.
  • the proxy server 1 is a device that centrally accepts remote login requests from the client terminal 4 to the connection destination server 3 via a network (not shown), and is installed at a network security boundary.
  • the proxy server 1 can perform access control related to communication from the client terminal 4 and audit by log acquisition.
  • CIFS Common Internet File System
  • TELNET Telecommunication network
  • SSH Secure SHell
  • FTP File Transfer Protocol
  • HTTP HyperText Transfer Protocol
  • HTTPS Hypertext Transfer Protocol Security
  • Windows RDP Remote Desktop Protocol
  • the proxy server 1 can also transfer the authentication request from the client terminal 4 to the password management server 6 to execute user authentication.
  • the client terminal 4 is a computer for connecting to the connection destination server 3.
  • the client terminal 4 is, for example, a notebook personal computer, and is used when a user of the business information system connects to the proxy server 1 and the connection destination server 3.
  • the client terminal 4 may be a desktop personal computer or a tablet terminal instead of a notebook personal computer.
  • the client terminal 4 can transmit an authentication request for establishing a session to the proxy server 1.
  • the client terminal 4 includes elements such as a CPU (Central Processing Unit) of a computer, a RAM (Random Access Memory), a ROM (Read Only Memory), a HDD (Hard Disk Drive), an SSD (SSD). Solid State Drive), can be realized with storage devices such as flash memory, and in terms of software OS for various clients such as WINDOWS (registered trademark), Mac (registered trademark), UNIX (registered trademark), Linux (registered trademark), It is realized by a computer program or the like.
  • WINDOWS registered trademark
  • Mac registered trademark
  • UNIX registered trademark
  • Linux registered trademark
  • a network (not shown) is constructed by combining the Internet, a local area network (LAN), and the like.
  • the proxy server 1, the client terminal 4, the connection destination server 3, and the password management server 6 may be connected to each other via a dedicated line.
  • connection destination server 3 is a server that provides a file sharing service, for example.
  • the password management server 6 is a server that provides a directory service 5 that manages user information that needs to be registered at all times. In the password management server 6, a directory service 5 for providing external user information is executed.
  • the connection destination server 3 and the password management server 6 are, in terms of hardware, elements such as a CPU (Central Processing Unit) of a computer, a RAM (Random Access Memory), a ROM (Read Only Memory), an HDD (Hard).
  • Disk Drive SSD (Solid State Drive), flash memory, etc.
  • software for example, WINDOWS (registered trademark), Mac (registered trademark), UNIX (registered trademark), Linux (registered trademark), etc.
  • OS for the server, a computer program, and the like.
  • FIG. 2 is a block diagram illustrating a functional configuration example of the proxy server 1 illustrated in FIG. 1.
  • the proxy server 1 has at least an authentication control unit 11 and a storage unit 12.
  • the authentication control unit 11 further includes a first authentication processing unit 21, a second authentication processing unit 22, and a communication record control unit 23.
  • the first authentication processing unit 21 further includes a challenge generation unit 31, a response acquisition unit 32, and an authentication processing unit 33.
  • the second authentication processing unit 22 includes an authentication request transfer unit 41, a challenge transfer unit 42, a response transfer unit 43, and an authentication result transfer unit 44.
  • the storage unit 12 stores a control program 51 and proxy internal user information 52.
  • each block of the authentication control unit 11 and the storage unit 12 shown in FIG. 2 includes hardware elements such as a CPU (Central Processing Unit), a RAM (Random Access Memory), and a ROM (Read Only). Memory, HDD (Hard Disk Drive), SSD (Solid State Drive), flash memory, and other storage devices, and in terms of software, OS, control program 51, and other computer programs are installed on the above hardware Can be realized.
  • FIG. 2 shows functional blocks realized by such cooperation. Therefore, these functional blocks can be realized in various forms by a combination of hardware and software.
  • the proxy server 1 has the storage unit 12, the data stored in the storage unit 12 may be stored and managed by another log management device (external storage device) or the like.
  • the authentication control unit 11 controls a challenge / response authentication process executed with the client terminal 4 by requesting a maximum of two sessions with the client terminal 4. This will be specifically described below.
  • the first authentication processing unit 21 executes a challenge / response authentication process in response to an authentication request from the client terminal 4. Specifically, the challenge generation unit 31 generates a challenge (random numerical sequence). The response acquisition unit 32 acquires a response transmitted from the client terminal 4. The authentication processing unit 33 performs user authentication based on the challenge generated by the challenge generation unit 31, the response generated from the user password registered in the proxy internal user information 52, and the response acquired by the response acquisition unit 32. If the authentication is successful, the client terminal 4 is notified of the authentication result.
  • the second authentication processing unit 22 further authenticates the user when there is a second session request from the client terminal 4 when the user is not registered in the authentication result of the first authentication processing unit 21 and the authentication fails.
  • the authentication request transfer unit 41 transfers the second authentication request to the password management server 6 as it is.
  • the challenge transfer unit 42 acquires the challenge transmitted from the password management server 6 in response to the authentication request of the client terminal 4 transferred by the authentication request transfer unit 41 and transfers the challenge to the client terminal 4.
  • the response transfer unit 43 transfers the challenge acquired from the password management server 6 to the client terminal 4.
  • the authentication result transfer unit 44 transfers the authentication result transmitted from the password management server 6 to the client terminal 4.
  • the communication record control unit 23 acquires the contents of communication processing between the client terminal 4 and the password management server 6 and stores them in the storage unit 12. Note that the content of communication processing between the client terminal 4 and the password management server 6 may be acquired and stored in an external storage unit (not shown) that can be connected via a network (not shown). Further, the communication record control unit 23 may acquire the contents of communication processing between the client terminal 4 and the connection destination server 3 and store them in the storage unit 12.
  • the storage unit 12 stores a control program 51 and proxy internal user information 52.
  • the control program 51 is a program for causing the proxy server 1 (computer) to function as described as each block shown in the authentication control unit 11 of FIG.
  • the proxy internal user information 52 is user identification information managed by the directory service 2 shown in FIG. 1 and is user identification information such as a user ID and password managed by the proxy server 1.
  • the proxy server 1 executes challenge / response user authentication with the client terminal 4 based on the proxy internal user information 52.
  • the challenge information transmitted from the password management server 6 may be stored in the storage unit 12.
  • FIG. 3 is a diagram showing communication between devices in the configuration of FIG.
  • the client terminal 4 transmits an authentication request 1 to the proxy server 1 (S1).
  • the challenge generation unit 31 of the proxy server 1 receives the authentication request 1, it generates a challenge 1 of a random number string and transmits it to the client terminal 4 (S2).
  • the client terminal 4 combines the password input by the user and this challenge 1 according to a specific algorithm, creates a response 1 and transmits it to the proxy server 1 (S3).
  • the response acquisition unit 32 of the proxy server 1 acquires the response 1 from the client terminal 2.
  • the authentication processing unit 33 of the proxy server 1 refers to the challenge 1 and the proxy internal user information 52 registered in advance in the directory service 2, and specifies the password of the corresponding user. Then, the authentication processing unit 33 of the proxy server 1 creates a response from the identified password, and compares it with the response 1 sent. And the authentication process part 33 of the proxy server 1 transmits the authentication result 1 of the result of having compared both to the client terminal 4 (S4).
  • the authentication result 1 when the user is not registered and cannot be authenticated, the user is requested to input authentication information again.
  • the second authentication processing unit 22 starts an authentication process. Specifically, the authentication request transfer unit 41 of the second authentication processing unit 22 transfers the authentication request 2 as it is to the external password management server 6 (S6).
  • the password management server 6 generates a random number string challenge 2 and transmits it to the proxy server 1 (S7).
  • the challenge transfer unit 42 of the proxy server 1 acquires the challenge 2 and transfers it directly to the client terminal 4 by the response transfer unit 43 (S8).
  • the client terminal 4 combines the password input by the user and this challenge 2 according to a specific algorithm, creates a response 2 and transmits it to the proxy server 1 (S9).
  • the response transfer unit 43 of the proxy server 1 transfers the response 2 to the password management server 6 (S10).
  • the password management server 6 creates a response from the challenge 2 sent by itself and the password of the user registered in the external directory service 5 in advance, and compares it with the response 2 sent and based on the response 2 Authentication result 2 is transmitted to proxy server 1 (S11).
  • the authentication result transfer unit 44 of the proxy server 1 transfers the authentication result 2 to the client terminal 4 (S12). If the authentication information 2 is successful, the proxy server 1 relays communication that occurs after authentication between the client terminal 4 and the connection destination server 3 (S13, S14).
  • FIG. 4 is a diagram showing an example of a screen displayed on the client terminal 4 side by the communication processing of FIG.
  • the user needs to apply for the connection destination server 3 to be connected, the folder of the connection destination server 3 in advance, and be approved by a person who has permission to access the folder (approver).
  • the connection destination server 3 and the folder of the connection destination server 3 to be connected may be used without prior application.
  • the screen 45 is a screen that is displayed when the client terminal 4 specifies an IP address or host name indicating the proxy server 1 at a prompt, for example.
  • the screen 46 is newly popped up and the user name and password are requested to be entered.
  • the authentication request 1 in FIG. 3 is performed.
  • the screen 47 is a screen that is newly popped up when an IP address or host name that actually indicates the proxy server 1 is input and specified on the screen 46.
  • the screen 47 is the same screen as the screen 46, but is a screen that is displayed for the proxy server 1 to obtain the user name and password input again for the user to make an inquiry to the password management server 6. is there.
  • the authentication request 2 in FIG. 3 is performed.
  • a screen 48 indicating a desired location of the connection destination server 3 is displayed.
  • a screen 48 is displayed on the client terminal 4.
  • FIG. 5 is a diagram showing a configuration example of a business information system including a proxy server 1A that is the second embodiment of the authentication apparatus of the present invention.
  • FIG. 5 schematically illustrates processing related to user authentication.
  • the same parts as those in the first embodiment are denoted by the same reference numerals, and the description thereof is omitted.
  • FIG. 6 is a block diagram illustrating a functional configuration example of the proxy server 1A illustrated in FIG.
  • the proxy server 1A includes at least an authentication control unit 61 and a storage unit 62.
  • the authentication control unit 61 further includes an authentication request transfer unit 63, a challenge acquisition unit 64, a challenge transfer unit 65, an authentication processing unit 66, and a communication record control unit 67.
  • the storage unit 62 stores a control program 68 and proxy internal user information 69.
  • each block of the authentication control unit 61 and the storage unit 62 shown in FIG. 6 includes hardware elements such as a CPU (Central Processing Unit), a RAM (Random Access Memory), and a ROM (Read Only). Memory, HDD (Hard Disk Drive), SSD (Solid State Drive), flash memory, and other storage devices, and in terms of software, OS, control program 68, and other computer programs are installed on the above hardware Can be realized.
  • FIG. 6 shows functional blocks realized by such cooperation. Therefore, these functional blocks can be realized in various forms by a combination of hardware and software.
  • the proxy server 1A has the storage unit 62, but the data stored in the storage unit 62 may be stored and managed by another log management device (external storage device) or the like.
  • the authentication request transfer unit 63 transfers the authentication request to the password management server 6 as it is.
  • the challenge acquisition unit 64 acquires the challenge transmitted from the password management server 6 based on the authentication request of the client terminal 4 transferred by the authentication request transfer unit 63.
  • the challenge transfer unit 65 transfers the challenge acquired by the challenge acquisition unit 64 to the client terminal 4 as it is.
  • the authentication processing unit 66 performs user authentication based on the response transmitted from the client terminal 4 and the challenge acquired by the challenge acquisition unit 64.
  • the communication record control unit 67 acquires the communication processing content between the client terminal 4 and the password management server 6 and stores it in the storage unit 62. Note that the content of communication processing between the client terminal 4 and the password management server 6 may be acquired and stored in an external storage unit (not shown) that can be connected via a network (not shown). Further, the communication record control unit 67 may acquire communication processing contents between the client terminal 4 and the connection destination server 3 and store them in the storage unit 62.
  • the storage unit 62 stores a control program 68 and proxy internal user information 69.
  • the control program 68 is a program for causing the proxy server 1A (computer) to function as described as each block shown in the authentication control unit 61 of FIG.
  • the proxy internal user information 69 is user identification information such as a user ID and a password managed by the proxy server 1A.
  • the proxy server 1A executes challenge / response user authentication with the client terminal 4 based on the proxy internal user information 69.
  • the challenge information transmitted from the password management server 6 may be stored in the storage unit 62.
  • FIG. 7 is a diagram showing communication between devices in the configuration of FIG.
  • the client terminal 4 transmits the authentication request 1 to the proxy server 1A (S20).
  • the authentication request transfer unit 63 of the proxy server 1A transfers the authentication request 1 to the password management server 6 (S21).
  • the password management server 6 generates a challenge 1 composed of a random number string based on the authentication request 1 and transmits it to the proxy server 1A (S22).
  • the challenge acquisition unit 64 of the proxy server 1A receives and acquires the challenge 1, the challenge 1 acquired by the challenge transfer unit 23 is transferred to the client terminal 4 (S23).
  • the client terminal 4 synthesizes the challenge 1 transmitted from the proxy server 1 and the password input by the user according to a specific algorithm, creates a response 1, and transmits it to the proxy server 1 together with the user information (S25).
  • the authentication processing unit 66 of the proxy server 1A attempts user authentication based on the response 1 transmitted from the client terminal 4 in the process of S25 and the user information transmitted from the client terminal 4 in the process of S25. Specifically, when the user information transmitted from the client terminal 4 is registered in the proxy internal user information, the proxy server 1A creates a response from the password corresponding to the user information and the challenge 1 Then, it is compared with the response 1 sent from the client terminal 4. If the two match, the user authentication is determined to be successful and the authentication result 1A is transmitted to the client terminal 4 (S26).
  • the authentication processing unit 66 of the proxy server 1A transfers the response 1 transmitted from the client terminal 4 to the password management server 6 (S27).
  • the proxy server 1 ⁇ / b> A may transmit the response 1 transmitted from the client terminal 4 to the password management server 6 even when the user authentication fails.
  • the password management server 6 performs user authentication by a challenge / response method based on the response 1 transmitted from the proxy server 1A. Specifically, a response is created from the challenge 1 sent by itself and the password of the user registered in advance in the external user information, and compared with the response 1 sent. Then, the comparison result is returned to the proxy server 1A as the authentication result 1B (S28).
  • the authentication processing unit 66 of the proxy server 1A Upon receiving the authentication result 1B from the password management server 6, the authentication processing unit 66 of the proxy server 1A transfers the authentication result 1B to the client terminal 4 (S29).
  • the proxy server 1A relays communication between the client terminal 4 and the connection destination server 3 (S30, S31).
  • FIG. 8 is a diagram showing an example of screen transition at the client terminal 4.
  • the user needs to apply for the connection destination server 3 to be connected, the folder of the connection destination server 3 in advance, and be approved by a person who has permission to access the folder (approver).
  • the connection destination server 3 and the folder of the connection destination server 3 to be connected may be used without prior application.
  • the user designates the IP address (or host name) of the proxy server 1A and the folder name in the proxy server 1A from the screen 81 displayed on the client terminal 4 after performing the above-described prior approval. Then, a login screen 82 is popped up separately. From the login screen 82, the user name and password managed by the proxy server 1A or the user name and password managed by the password management server 6 are input.
  • the screen 83 is displayed on the client terminal 4.
  • the proxy server 1A has a plurality of authentication determination methods.
  • specific examples of the plurality of authentication determination processes will be described in more detail with reference to FIGS.
  • FIG. 9 is a flowchart illustrating an example of the authentication determination process of the proxy server 1A.
  • the proxy server 1 determines what type of authentication method is to be adopted by the determination process described below.
  • the authentication determination process shown in FIG. 9 is started when the proxy server 1A is activated or the function for executing the authentication determination process is turned on (START).
  • the proxy server 1A determines whether or not it is set to use the internal directory service 2 when executing user authentication (S41). If the proxy server 1A is set to use the internal directory service 2 when executing user authentication (YES in S41), the address of the password management server 6 having the external directory service 5 is further set. Is registered (S42). On the other hand, when the proxy server 1A is not set to use the internal directory service 2 (NO in S41), the proxy server 1A executes a process of using the external directory service 5 (FIG. 10 described later) (S43). .
  • the proxy server 1A determines in S42 that the address of the password management server 6 having the external directory service 5 is registered (YES in S42), it first uses the internal directory service 2 first. User authentication is executed, and if the user is not registered, processing using the external directory service 5 is executed (S44). Note that if the address of the password management server 6 having the external directory service 5 is not registered in the determination in S42 (No in S42), the proxy server 1A executes processing that uses the internal directory service 2 (S45). When the user authentication process of S44 or S45 is completed, the authentication determination process ends (END).
  • FIG. 10 is a diagram showing an example of communication processing when user authentication is executed based on the directory service 5 outside the password management server 6 in the processing shown in FIG. 9 (S43 in FIG. 9).
  • the negotiation process is executed between the client terminal 4 and the proxy server 1A
  • the negotiation process is similarly executed between the proxy server 1A and the password management server 6 (NEGOTIATE in FIG. 10).
  • the proxy server 1 ⁇ / b> A can establish both a session with the client terminal 4 and a session with the password management server 6.
  • the proxy server 1 ⁇ / b> A transmits “UID” to the client terminal 4 together with the challenge.
  • This “UID” is a temporary number assigned to identify the user of the client terminal 4 only for one session.
  • the proxy server 1 ⁇ / b> A newly issues this “UID” for each session establishment request from the client terminal 4 and notifies the client terminal 4 of it. This makes it easy to manage authentication as only during the session, and even if the user name is changed on the user side, it is possible to continue using the session used in the previous communication It has become.
  • the proxy server 1 ⁇ / b> A forwards the processing request regarding the challenge / response user authentication process executed with the client terminal 4 to the password management server 6. That is, the proxy server 1 ⁇ / b> A transmits a similar session setup processing request to the password management server 6 in response to a session setup processing request executed with the client terminal 4. Then, the proxy server 1 ⁇ / b> A transmits the challenge and the response about whether the user authentication is possible, which is transmitted from the password management server 6, to the client terminal 4 as it is. By performing such communication processing, the proxy server 1A can execute challenge / response user authentication processing based on the external directory service 5 with the password management server 6.
  • FIG. 11 is a diagram showing an example of communication processing when user authentication is executed based only on the directory service 2 inside the proxy server 1A in the processing shown in FIG. 9 (S45 in FIG. 9).
  • all processing requests transmitted from the client terminal 4 to the proxy server 1A are subjected to authentication processing based on the directory service 2 inside the proxy server 1A.
  • the communication process executed between the client terminal 4 and the proxy server 1A shown in FIG. 11 is the same as the communication process executed between the client terminal 4 and the proxy server 1A described in FIG. The description is omitted.
  • FIG. 12 is a diagram showing an example of communication processing when the user of the client terminal 4 is a user registered in the directory service 2 inside the proxy server 1A.
  • the proxy server 1A first transfers an authentication request from the client terminal 4 to the password management server 6. Then, the proxy server 1A stores the UID and challenge transmitted from the password management server 6 in its own storage unit 62 and transmits them to the client terminal 4. Then, the response transmitted from the client terminal 4 is compared with the response generated by a predetermined algorithm from the password corresponding to the user registered in the internal directory service 2. Then, the user authentication propriety that is the comparison result is transmitted to the client terminal 4.
  • FIG. 13 is a diagram showing an example of communication processing when the user of the client terminal 4 is a user who is not registered in the directory service 2 inside the proxy server 1A.
  • the proxy server 1 ⁇ / b> A first transfers the authentication request from the client terminal 4 to the password management server 6. Then, the proxy server 1 stores the UID and challenge transmitted from the password management server 6 in its own storage unit 62 and transmits it to the client terminal 4. If the user is not registered in the internal directory service 2, the response is transferred to the password management server 6, and the client terminal 4 determines whether or not user authentication is possible as a result of authentication transmitted from the password management server 6. Send to.
  • the proxy servers 1 and 1A are authentication devices that perform challenge / response user authentication based on the authentication request from the client terminal 4, and upon receiving the authentication request from the client terminal 4, the directory service The authentication request is forwarded to the external password management server 6 providing 5, the challenge transmitted from the password management server 6 is acquired based on the transferred authentication request, and the acquired challenge is transmitted to the client terminal 4. The user authentication is executed based on the response transmitted from the client terminal 4 and the challenge acquired from the password management server 6.
  • the proxy server 1 or 1A can use the challenge issued by the password management server 6 in user authentication with the client terminal 4, and the user of the client terminal 4 registers with the password management server 6 If the user is a registered user, the response received from the client terminal 4 is transferred to the password management server 6 and then challenge / response user authentication with the password management server 6 is executed. It becomes possible.
  • the proxy servers 1 and 1A authentication apparatus
  • the proxy servers 1 and 1A can appropriately execute challenge / response user authentication even for users who are not registered in the internal directory service 2.
  • the proxy servers 1 and 1A transmit the successful authentication result to the client terminal 4 and the internal directory service 2 2, the response transmitted from the client terminal 4 is transferred to the password management server 6, and the authentication result transmitted from the password management server 6 is sent to the user of the client terminal 4. The authentication result is transmitted to the client terminal 4.
  • the proxy server 1 or 1A registers in the internal directory service 2 when the registration location of information (user ID, password, etc.) for authenticating the user of the client terminal 4 is the storage unit 12 of the proxy server 1 or 1A.
  • a response is generated by synthesizing the password of the user who has been created and the challenge generated by the password management server 6 according to a specific algorithm, and determining whether or not the response matches the response transmitted from the client terminal 4 it can.
  • the proxy server 1 or 1A does not register information for authenticating the user of the client terminal 4 in its own storage unit 12 (that is, when it is registered in the password management server 6 storage unit 62).
  • the response acquired from the client terminal 4 is transferred to the password management server 6, and the user password registered in the external directory service 5 and the challenge generated by the password management server 6 are determined according to a specific algorithm.
  • synthesizing the response a response can be created, and user authentication can be executed depending on whether the response matches the response transmitted from the proxy servers 1 and 1A.
  • the authentication method of the apparatus described as the proxy server 1 and 1A described above, and the control programs 51 and 68 for causing the computer to function as the proxy server 1 and 1A are the same effects as the effects of the proxy server 1 and 1A described above. It plays.
  • the proxy server 1 and 1A have been described as examples.
  • the present invention is not limited to the above-described embodiment as it is, and in the implementation stage, the constituent elements are modified and embodied without departing from the scope of the invention.
  • Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine the component covering different embodiment suitably.
  • the above-described series of processing of the proxy servers 1 and 1A can be executed by hardware or can be executed by software.
  • a program constituting the software may execute various functions by installing a computer incorporated in dedicated hardware or various programs. It is installed from a non-transitory program recording medium into a possible general-purpose personal computer, for example.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

 内部のディレクトリサービスに登録されていないユーザについてのチャレンジ/レスポンス方式によるユーザ認証であっても適切に認証することができる認証装置、認証方法、およびプログラムを提供する。 【解決手段】チャレンジ/レスポンス方式のユーザ認証を行う装置であって、クライアント端末4からの認証要求を受信すると、パスワード管理サーバ6へその認証要求を転送し、転送した認証要求に基づいてパスワード管理サーバ6より送信されてくるチャレンジを取得し、取得したチャレンジをクライアント端末4へ送信し、クライアント端末4から送信されてきたレスポンスと、取得したチャレンジとに基づいてユーザ認証を実行するプロキシサーバ1(認証装置)とする。

Description

認証装置、認証方法、およびプログラム
 本発明は、認証装置、認証方法、およびプログラムに関する。
 企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、ノード端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。
 このような業務情報システムを構成するサーバへのアクセスに対して、IT統制の監査などの場面において「いつ」、「誰が」、「どんな目的で」利用したのかなどの細かな利用状況について管理することが求められる。
 そのため、たとえば本出願人による提案により、業務情報システムを構成するサーバに接続する前に、中継装置に接続させて細かな利用状況を管理する方法が知られている(特許文献1)。
 特許文献1に開示される中継装置では、業務情報システムの各サーバへ接続する前に中継装置においてユーザ認証を行うことで、中継装置にて登録されているユーザIDと接続先のサーバで使用されるIDとを紐つけ、利用者を特定することで細かな利用状況を管理するように構成されている。また、特許文献1に開示される中継装置では、クライアント端末から業務情報システムを構成するサーバ(以下、単に「接続先サーバ」という。)へ接続する場合、プロキシサーバによるユーザ認証処理(以下、この処理を単に「プロキシ認証」という。)を通過してから接続先サーバに接続させることで細かな利用状況を把握することができるように構成されている。
 図13は、プロキシ認証の概要を示す図である。図13に示すようにプロキシサーバ100は、クライアント端末200との間でプロキシ認証を実行し、この認証が成功した場合に接続先サーバ300との通信を中継する。なおプロキシサーバ100とクライアント端末200との間では、プロキシサーバ100の内部に保持されているユーザ情報(プロキシ内部ユーザ情報)を提供するディレクトリサービス110を参照してチャレンジ/レスポンス方式によるユーザ認証が実行される。なお、上記でいうディレクトリサービスとは、たとえば、Active Directory(登録商標)やLDAP(Lightweight Directory Access Protocol)などを利用して提供されるサービスであり、LANなどの所定のコンピュータネットワーク上で利用されるユーザ情報、接続されているプリンターなどの外部装置に関する情報を記憶し、検索しやすいようにまとめたディレクトリサービスシステムのことである。
 クライアント端末200がプロキシサーバ100に認証要求を送ると、プロキシサーバ100はこの認証要求に対して「チャレンジ」と呼ばれるランダムな数値列(以下、単に「チャレンジ」という。)を送信する。クライアント端末200は、ユーザが入力したパスワードとこの「チャレンジ」を特定のアルゴリズムに従って合成し、「レスポンス」と呼ばれる数値列を作成し、プロキシサーバ100に送信する。プロキシサーバ100側では、自分が送信した「チャレンジ」とあらかじめプロキシ内部ユーザ情報としてディレクトリサービス110に登録されているそのユーザのパスワードから同じように「レスポンス」を作成し、送られてきた「レスポンス」と比較する。そして、両者の「レスポンス」が一致すれば、そのユーザのパスワードは正しいことになり、認証は成功となる。このような認証方法とすることで、パスワード情報が実際の通信で用いられることなく、安全にユーザ認証ができるように構築されている。そして、プロキシサーバ100は、これらの認証が完了するとクライアント端末200と接続先サーバ300との通信を中継する。
特開2012-203624号公報
 ところで、図13に示すような構成の業務情報システムでは、外部のITベンダや派遣社員などの一時的に登録する必要があるユーザ情報についてもディレクトリサービス110に登録する必要がある。そのため、ディレクトリサービス110に登録されている一部のユーザ情報を変更する場合であっても、プロキシサーバ100を直接操作する必要があるため、万が一トラブルがあった場合、全体のユーザまでにそのトラブルが波及してしまう可能性がある。
 このような問題を解決するための方法として、たとえば、図14に示すようなシステム構成とする場合がある。図14に示すシステム構成では、プロキシサーバ100とは別に常時登録されている必要がある外部ユーザ情報を有するディレクトリサービス410を有するパスワード管理サーバ400が構築されている。このような構成の場合、一時的に登録する必要があるユーザ情報は、プロキシサーバ100側で管理され、それ以外のユーザについては外部のパスワード管理サーバ400にて管理する構成となる。このような構成とすれば、常時登録されているユーザ情報と一時的なユーザ情報とが物理的に異なる装置で管理されているため、一時的に登録する必要があるユーザ情報を変更する場合には、プロキシサーバ100のディレクトリサービス110を変更するのみで対応することが可能となる。そのため、万が一トラブルがあった場合であっても、全体のユーザまでにそのトラブルが波及してしまう可能性を低減させることが可能となる。
 しかしながら、このような物理的に異なる複数の装置で複数のユーザ情報を管理している構成では別の問題がある。すなわち、クライアント端末200とプロキシサーバ100とは1つのセッションにおいてチャレンジ/レスポンス方式によるユーザ認証を実行する関係上、プロキシサーバ100は、クライアント端末200との間で実行しているセッション内で外部のパスワード管理サーバ400の外部ユーザ情報を参照することができない。そのため、プロキシサーバ100は、内部のディレクトリサービス110が保持しているユーザ情報に登録されていないユーザの場合にはチャレンジ/レスポンス方式によるユーザ認証を適切に実行することができない。
 本発明は、上述した課題を鑑みてなされたものであり、内部のディレクトリサービスに登録されていないユーザについてのチャレンジ/レスポンス方式によるユーザ認証であっても適切に認証することができる認証装置、認証方法、およびプログラムを提供することを目的とする。
 本発明の一側面は、認証装置に関するものである。すなわち、本発明に係る認証装置は、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置において、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置であって、クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ認証要求を転送する認証要求転送部と、認証要求に基づいて外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得部と、チャレンジ取得部により取得したチャレンジをクライアント端末へ転送するチャレンジ転送部と、クライアント端末から送信されてきたレスポンスとチャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理部とを有するものである。
 また、上述した認証装置であって、認証処理部は、内部のディレクトリサービスで保持されているユーザ情報にクライアント端末のユーザが存在し、かつチャレンジ/レスポンス方式のユーザ認証が成功した場合にはその成功した認証結果をクライアント端末へ送信し、内部のディレクトリサービスで保持されているユーザ情報にクライアント端末のユーザが存在しない場合には、クライアント端末から送信されてきたレスポンスを外部のサーバへと転送し、外部のサーバとの間でチャレンジ/レスポンス方式のユーザ認証を実行し、外部のサーバから送信されてくる認証結果を、クライアント端末のユーザの認証結果としてクライアント端末へと送信することができる。
 また、本発明の一側面は、認証方法に関するものである。すなわち、本発明に係る認証方法は、認証要求転送部と、チャレンジ取得部と、チャレンジ転送部と、認証処理部とを有し、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置で用いられる認証方法において、認証要求転送部が、クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ認証要求を転送する認証要求転送ステップと、チャレンジ取得部が、認証要求に基づいて外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得ステップと、チャレンジ転送部が、チャレンジ取得ステップにより取得したチャレンジをクライアント端末へ転送するチャレンジ転送ステップと、認証処理部が、クライアント端末から送信されてきたレスポンスとチャレンジ取得ステップで取得したチャレンジに基づいてユーザ認証を実行するものである。
 また、本発明の一側面は、プログラムに関するものである。すなわち、本発明に係るプログラムは、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置としてコンピュータを機能させるためのプログラムであって、コンピュータを、クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ認証要求を転送する認証要求転送手段と、認証要求に基づいて外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得手段と、チャレンジ取得部により取得したチャレンジをクライアント端末へ転送するチャレンジ転送手段と、クライアント端末から送信されてきたレスポンスとチャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理手段として機能させるためのプログラムである。
 本発明によれば、内部のディレクトリサービスに登録されていないユーザについてのチャレンジ/レスポンス方式によるユーザ認証であっても適切に認証することができる認証装置、認証方法、およびプログラムを提供することができる。
図1は、本発明の認証装置の第1実施形態であるプロキシサーバ1を含む業務情報システムの構成例を示す図である。 図2は、図1に示すプロキシサーバ1の機能構成例を示すブロック図である。 図3は、図1の構成における各装置間の通信を示した図である。 図4は、図3の通信処理によってクライアント端末4側で表示される画面の一例を示す図である。 図5は、本発明の認証装置の第2実施形態であるプロキシサーバ1Aを含む業務情報システムの構成例を示す図である。 図6は、図5に示すプロキシサーバ1Aの機能構成例を示すブロック図である。 図7は、図5の構成における各装置間の通信を示した図である。 図8は、クライアント端末4での画面遷移例を示す図である。 図9は、プロキシサーバ1Aの認証判定処理の一例を示すフローチャートである。 図10は、図9に示す処理のうち、パスワード管理サーバ6の外部のディレクトリサービス5に基づいてユーザ認証を実行する場合(図9のS43)の通信処理例を示す図である。 図11は、図9に示す処理のうち、プロキシサーバ1Aの内部のディレクトリサービス2にのみ基づいてユーザ認証を実行する場合(図9のS45)の通信処理例を示す図である。 図12は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されているユーザである場合の通信処理例を示す図である。 図13は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されていないユーザである場合の通信処理例を示す図である。 図14は、プロキシ認証の概要を示す図である。
 本発明に係る認証装置、認証方法、およびプログラムの実施形態について図面を参照しながら説明する。なお、本発明に係る認証方法の実施形態については、認証装置の動作説明と共に行い、本発明に係るプログラムについては認証装置にインストールされているプログラムとして説明する。しかしながら、本発明に係る認証装置、認証方法、およびプログラムは、以下に説明する各実施形態に限定されるものではない。
(第1実施形態)
 図1は、本発明の認証装置の第1実施形態であるプロキシサーバ1を含む業務情報システムの構成例を示す図である。同図に示す業務情報システムは、プロキシ内部ユーザ情報を保持し、これを提供するディレクトリサービス2を有するプロキシサーバ1と、プロキシサーバ1を介して接続先サーバ3のリソースにアクセスする際に用いられるクライアント端末4と、たとえばCIFS(Common Internet File System)プロトコルによりファイル共有サービスを提供する接続先サーバ3と、外部ユーザ情報を格納するディレクトリサービス5を有し、外部ユーザ情報をディレクトリサービス5によって提供するパスワード管理サーバ6とを有する。また、プロキシサーバ1とクライアント端末4とは不図示のネットワークを介して接続されている。また、接続先サーバ3およびパスワード管理サーバ6はプロキシサーバ1を介して不図示のネットワークに接続されている。
 なお、図1に示す接続先サーバ3は、ファイル共有サービスに加えて、ユーザ認証が必要な他のサービスを提供するように構成されていてもよいし、ファイル共有サービス以外で、ユーザ認証が必要な他のサービスを提供するものであってもよい。また接続先サーバ3は実際には複数存在してもよい。
 また、上記でいうディレクトリサービスとは、たとえば、Active Directory(登録商標)やLDAP(Lightweight Directory Access Protocol)などを利用して提供されるサービスであり、LANなどの所定のコンピュータネットワーク上で利用されるユーザ情報、接続されているプリンターなどの外部装置に関する情報を記憶し、検索しやすいようにまとめたディレクトリサービスシステムのことである。
 また、上記でいうプロキシ内部ユーザ情報は、外部のITベンダや派遣社員などのユーザが業務情報システムを利用する上で一時的に登録する必要があるユーザ情報であり、外部ユーザ情報は、企業の役員や正社員などの業務情報システムを常時利用する必要があるユーザ情報が登録されていることとして説明するが、これらの関係が逆となっていてもよい。すなわち、プロキシ内部ユーザ情報に企業の役員や正社員などの業務情報システムを常時利用する必要があるユーザ情報が登録されており、外部ユーザ情報に外部のITベンダや派遣社員などのユーザが登録されていてもよい。なお、ここでいう内部ユーザ、外部ユーザの「内部」、「外部」とは、プロキシサーバ1の側からみて内部か外部かを表現しており、必ずしも業務情報システムを利用する企業の内部の社員と外部のITベンダや派遣社員ののことを意図して表現しているものではない。
(プロキシサーバ1の役割)
 プロキシサーバ1は、クライアント端末4から不図示のネットワークを介して接続先サーバ3へのリモートログイン要求を一元的に受け付ける装置であって、ネットワークセキュリティ境界に設置される。プロキシサーバ1は、クライアント端末4からの通信に関してのアクセス制御、およびログ取得による監査を行うことができる。たとえば、CIFS(Common Internet File System)、TELNET(Telecommunication network)、SSH(Secure SHell)、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、WindowsRDP(Remote Desktop Protocol)などの各種プロトコルについてのアクセス制御、およびログ取得を行うことができるように構成されている。また、後述するが、プロキシサーバ1は、パスワード管理サーバ6に対してクライアント端末4からの認証要求を転送してユーザ認証を実行させることも可能である。
(クライアント端末4の構成)
 クライアント端末4は、接続先サーバ3へ接続するためのコンピュータである。クライアント端末4は、たとえばノートパソコンであり、業務情報システムのユーザがプロキシサーバ1、接続先サーバ3へと接続する際に用いられる。なお、クライアント端末4は、ノートパソコンではなく、デスクトップパソコンやタブレット端末などであってもよい。クライアント端末4は、ユーザによって、接続先サーバ3へログインするためのユーザIDとパスワードが入力されると、プロキシサーバ1に対してセッション確立をするための認証要求を送信することができる。なお、クライアント端末4は、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的にはWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録商標)などの各種クライアント用のOS、コンピュータプログラム等によって実現される。
(不図示のネットワークの構成)
 不図示のネットワークは、インターネットやローカルエリアネットワーク(LAN)等を組み合わせて構築されたものである。しかしながら、プロキシサーバ1、クライアント端末4、接続先サーバ3およびパスワード管理サーバ6は、互いに専用回線にて接続される構成であってもよい。
(接続先サーバ3、パスワード管理サーバ6の構成)
 接続先サーバ3は、たとえばファイル共有サービスを提供するサーバである。パスワード管理サーバ6は、常に登録されている必要があるユーザ情報を管理するディレクトリサービス5を提供するサーバである。パスワード管理サーバ6では、外部ユーザ情報を提供するためのディレクトリサービス5が実行されている。なお、接続先サーバ3およびパスワード管理サーバ6は、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的にはたとえばWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録商標)などのサーバ用のOS、コンピュータプログラム等によって実現される。
(プロキシサーバ1の機能構成例)
 図2は、図1に示すプロキシサーバ1の機能構成例を示すブロック図である。プロキシサーバ1は、認証制御部11と記憶部12とを少なくとも有している。認証制御部11は、更に第1認証処理部21と、第2認証処理部22および通信記録制御部23とを有している。第1認証処理部21は、チャレンジ生成部31と、レスポンス取得部32と、認証処理部33とを更に有している。第2認証処理部22は、認証要求転送部41、チャレンジ転送部42、レスポンス転送部43、認証結果転送部44を有している。また記憶部12には、制御プログラム51、プロキシ内部ユーザ情報52が記憶されている。
 なお、図2に示す認証制御部11および記憶部12の各ブロックは、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的には、OS、制御プログラム51およびその他のコンピュータプログラム等が上記のハードウェアにインストールされることによって実現することができる。しかし、図2ではそれらの連携によって実現される機能ブロックを示している。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現することができる。また、プロキシサーバ1に記憶部12を有する構成としたが、この記憶部12に記憶されるデータを他のログ管理装置(外部記憶装置)などで記憶、管理させる構成としてもよい。
 認証制御部11は、クライアント端末4との間で最大2回のセッションを要求してクライアント端末4との間で実行されるチャレンジ/レスポンス認証処理を制御する。以下、具体的に説明する。
 第1認証処理部21は、クライアント端末4からの認証要求に応じてチャレンジ/レスポンス認証処理を実行する。具体的には、チャレンジ生成部31は、チャレンジ(ランダムな数値列)を生成する。レスポンス取得部32は、クライアント端末4から送信されてきたレスポンスを取得する。認証処理部33は、チャレンジ生成部31で生成したチャレンジと、プロキシ内部ユーザ情報52に登録されているユーザのパスワードから生成されるレスポンスと、レスポンス取得部32が取得したレスポンスに基づいてユーザ認証を実行し、認証できた場合にはクライアント端末4へその認証結果を通知する。
 第2認証処理部22は、第1認証処理部21の認証結果においてユーザが登録されておらず認証が失敗した場合であって、クライアント端末4からの2回目のセッション要求があるとさらにユーザ認証を実行する。具体的には、認証要求転送部41は、クライアント端末4からの2回目の認証要求を受信すると、その2回目の認証要求をパスワード管理サーバ6へそのまま転送する。チャレンジ転送部42は、認証要求転送部41によって転送したクライアント端末4の認証要求に応じてパスワード管理サーバ6より送信されてくるチャレンジを取得して、クライアント端末4へと転送する。レスポンス転送部43は、パスワード管理サーバ6より取得したチャレンジをクライアント端末4へと転送する。認証結果転送部44は、パスワード管理サーバ6より送信されてくる認証結果をクライアント端末4へ転送する。
 通信記録制御部23は、クライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶部12に記憶する。なお、不図示のネットワークを介して接続可能な外部の記憶部(不図示)にクライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶するように構成してもよい。また、通信記録制御部23は、クライアント端末4と接続先サーバ3との間の通信処理内容について取得して記憶部12に記憶するようにしてもよい。
 記憶部12には、制御プログラム51、プロキシ内部ユーザ情報52が記憶される。
 制御プログラム51は、プロキシサーバ1(コンピュータ)を、図2の認証制御部11に示す各ブロックとして説明したように機能させるためのプログラムである。
 プロキシ内部ユーザ情報52は、図1に示したディレクトリサービス2で管理されているユーザ識別情報であり、プロキシサーバ1が管理するユーザIDとパスワードなどのユーザ識別情報である。プロキシサーバ1では、クライアント端末4との間では、プロキシ内部ユーザ情報52に基づいてチャレンジ/レスポンス方式のユーザ認証を実行する。なお、パスワード管理サーバ6から送信されてきたチャレンジ情報を記憶部12に記憶するようにしてもよい。
(プロキシ認証、各装置間の通信)
 図3は、図1の構成における各装置間の通信を示した図である。図3に示すように、まず、クライアント端末4は、認証要求1をプロキシサーバ1へ送信する(S1)。プロキシサーバ1のチャレンジ生成部31は、認証要求1を受信するとランダムな数字列のチャレンジ1を生成して、クライアント端末4へ送信する(S2)。クライアント端末4は、ユーザが入力したパスワードとこのチャレンジ1を特定のアルゴリズムに従って合成し、レスポンス1を作成してプロキシサーバ1に送信する(S3)。プロキシサーバ1のレスポンス取得部32がクライアント端末2からレスポンス1を取得する。そして、プロキシサーバ1の認証処理部33がチャレンジ1とあらかじめディレクトリサービス2に登録されているプロキシ内部ユーザ情報52を参照して、該当のユーザのパスワードを特定する。そして、プロキシサーバ1の認証処理部33は、特定したパスワードからレスポンスを作成し、送られてきたレスポンス1と比較する。そして、プロキシサーバ1の認証処理部33は、両者を比較した結果の認証結果1をクライアント端末4へ送信する(S4)。なお、ここで、認証結果1においてユーザが登録されておらず認証できなかった場合には、ユーザに対して認証情報の入力が再度求められる。
 そして、クライアント端末4では、ユーザにより認証情報が再度入力されると、認証要求2がプロキシサーバ1へと送信される(S5)。するとプロキシサーバ1では第2認証処理部22が認証処理を開始する。具体的には、第2認証処理部22の認証要求転送部41が、認証要求2をそのまま外部のパスワード管理サーバ6へと転送する(S6)。パスワード管理サーバ6は、ランダムな数字列のチャレンジ2を生成して、プロキシサーバ1へ送信する(S7)。プロキシサーバ1のチャレンジ転送部42がこのチャレンジ2を取得し、レスポンス転送部43によりクライアント端末4へそのまま転送される(S8)。クライアント端末4は、ユーザが入力したパスワードとこのチャレンジ2を特定のアルゴリズムに従って合成し、レスポンス2を作成してプロキシサーバ1に送信する(S9)。
 プロキシサーバ1のレスポンス転送部43は、レスポンス2をパスワード管理サーバ6へと転送する(S10)。パスワード管理サーバ6では、自ら送信したチャレンジ2と、あらかじめ外部のディレクトリサービス5に登録されているそのユーザのパスワードからレスポンスを作成すると共に、送られてきたレスポンス2と比較し、そのレスポンス2に基づく認証結果2をプロキシサーバ1へと送信する(S11)。プロキシサーバ1の認証結果転送部44は、認証結果2をクライアント端末4へ転送する(S12)。ここで認証情報2が成功している場合には、プロキシサーバ1は、クライアント端末4と接続先サーバ3との間で認証以降に発生する通信を中継する(S13,S14)。
[クライアント端末4での画面遷移例]
 図4は、図3の通信処理によってクライアント端末4側で表示される画面の一例を示す図である。なお、ユーザは接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前申請しなくても利用できるようにしてもよい。
 画面45は、たとえば、クライアント端末4でプロキシサーバ1を示すIPアドレスやホスト名をプロンプトで指定する際に表示される画面である。そして画面45において実際にプロキシサーバ1を示すIPアドレスやホスト名が入力されて指定された場合に、画面46が新たにポップアップ表示されて、ユーザ名とパスワードの入力が求められる。画面46に入力された情報に基づいて、図3における認証要求1が行われる。そして画面47は、画面46において実際にプロキシサーバ1を示すIPアドレスやホスト名が入力されて指定された場合に、新たにポップアップされる画面である。画面47は、画面46と同様の画面であるが、プロキシサーバ1がパスワード管理サーバ6へ問い合わせをするために、再度ユーザに対してユーザ名とパスワードの入力を取得するために表示される画面である。画面47に入力された情報に基づいて、図3における認証要求2が行われる。なお、パスワード管理サーバ6に問い合わせた結果、認証が成功した場合には接続先サーバ3の所望の場所を示す画面48が表示されることになる。図3における認証要求2による認証が成功した場合、クライアント端末4に画面48が表示される。
(第2実施形態)
 図5は、本発明の認証装置の第2実施形態であるプロキシサーバ1Aを含む業務情報システムの構成例を示す図である。図5には、ユーザ認証に関わる処理の説明が模式的に示されている。なお、図5に示す業務情報システムにおいて、第1実施形態と同様の部分に関しては同一の符号を付し、説明を省略する。
 図6は、図5に示すプロキシサーバ1Aの機能構成例を示すブロック図である。プロキシサーバ1Aは、認証制御部61と記憶部62とを少なくとも有している。認証制御部61は、更に認証要求転送部63、チャレンジ取得部64、チャレンジ転送部65、認証処理部66、および通信記録制御部67を有している。また記憶部62には、制御プログラム68、プロキシ内部ユーザ情報69が記憶されている。
 なお、図6に示す認証制御部61および記憶部62の各ブロックは、ハードウェア的には、コンピュータのCPU(Central Processing Unit)をはじめとする素子やRAM(Random Access Memory),ROM(Read Only Memory),HDD(Hard Disk Drive),SSD(Solid State Drive),フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的には、OS、制御プログラム68およびその他のコンピュータプログラム等が上記のハードウェアにインストールされることによって実現することができる。しかし、図6ではそれらの連携によって実現される機能ブロックを示している。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現することができる。また、プロキシサーバ1Aに記憶部62を有する構成としたが、この記憶部62に記憶されるデータを他のログ管理装置(外部記憶装置)などで記憶、管理させる構成としてもよい。
 認証要求転送部63は、クライアント端末4からの認証要求を受信すると、その認証要求をパスワード管理サーバ6へそのまま転送する。
 チャレンジ取得部64は、認証要求転送部63によって転送したクライアント端末4の認証要求に基づいて、パスワード管理サーバ6より送信されてくるチャレンジを取得する。
 チャレンジ転送部65は、チャレンジ取得部64により取得したチャレンジをクライアント端末4へそのまま転送する。
 認証処理部66は、クライアント端末4から送信されてきたレスポンスと、チャレンジ取得部64にて取得したチャレンジとに基づいてユーザ認証を実行する。
 通信記録制御部67は、クライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶部62に記憶する。なお、不図示のネットワークを介して接続可能な外部の記憶部(不図示)にクライアント端末4とパスワード管理サーバ6との間の通信処理内容について取得して記憶するように構成してもよい。また、通信記録制御部67は、クライアント端末4と接続先サーバ3との間の通信処理内容について取得して記憶部62に記憶するようにしてもよい。
 記憶部62には、制御プログラム68、プロキシ内部ユーザ情報69が記憶される。
 制御プログラム68は、プロキシサーバ1A(コンピュータ)を、図6の認証制御部61に示す各ブロックとして説明したように機能させるためのプログラムである。
 プロキシ内部ユーザ情報69は、プロキシサーバ1Aが管理するユーザIDとパスワードなどのユーザ識別情報である。プロキシサーバ1Aでは、クライアント端末4との間では、プロキシ内部ユーザ情報69に基づいてチャレンジ/レスポンス方式のユーザ認証を実行する。なお、パスワード管理サーバ6から送信されてきたチャレンジ情報を記憶部62に記憶するようにしてもよい。
 図7は、図5の構成における各装置間の通信を示した図である。
 クライアント端末4は、認証要求1をプロキシサーバ1Aへ送信する(S20)。プロキシサーバ1Aの認証要求転送部63は、クライアント端末4から認証要求1を受信すると、その認証要求1をパスワード管理サーバ6へ転送する(S21)。
 パスワード管理サーバ6では、認証要求1に基づいて、ランダムな数字列で構成されるチャレンジ1を生成してプロキシサーバ1Aへと送信する(S22)。プロキシサーバ1Aのチャレンジ取得部64がチャレンジ1を受信して取得すると、チャレンジ転送部23が取得したチャレンジ1をクライアント端末4へ転送する(S23)。
 クライアント端末4は、プロキシサーバ1から送信されてきたチャレンジ1とユーザが入力したパスワードを特定のアルゴリズムに従って合成し、レスポンス1を作成し、ユーザ情報と共にプロキシサーバ1に送信する(S25)。
 プロキシサーバ1Aの認証処理部66は、S25の処理でクライアント端末4から送信されてきたレスポンス1およびS25の処理でクライアント端末4から送信されてきたユーザ情報に基づいてユーザ認証を試みる。具体的には、プロキシサーバ1Aは、クライアント端末4から送信されてきたユーザ情報がプロキシ内部ユーザ情報に登録されている場合には、そのユーザ情報に対応するパスワードと、チャレンジ1とからレスポンスを作成し、クライアント端末4から送られてきたレスポンス1と比較する。そして、両者が一致した場合にはユーザ認証が成功したと判断して認証結果1Aをクライアント端末4へと送信する(S26)。
 一方、プロキシサーバ1Aの認証処理部66は、プロキシ内部ユーザ情報に該当するユーザ情報が存在しない場合には、クライアント端末4から送信されてきたレスポンス1をパスワード管理サーバ6へと転送する(S27)。なお、プロキシサーバ1Aは、ユーザ認証が失敗した場合であってもクライアント端末4から送信されてきたレスポンス1をパスワード管理サーバ6へと送信するようにしてもよい。
 パスワード管理サーバ6では、プロキシサーバ1Aから送信されてきたレスポンス1に基づいてチャレンジ/レスポンス方式によるユーザ認証を行う。具体的には、自ら送信したチャレンジ1とあらかじめ外部ユーザ情報に登録されているそのユーザのパスワードからレスポンスを作成し、送られてきたレスポンス1と比較する。そして、その比較結果を認証結果1Bとしてプロキシサーバ1Aへと返す(S28)。
 プロキシサーバ1Aの認証処理部66は、パスワード管理サーバ6から認証結果1Bを受信すると、その認証結果1Bをクライアント端末4へ転送する(S29)。
 プロキシサーバ1Aは、認証結果1Bが認証に成功している場合には、以後、クライアント端末4と接続先サーバ3との通信を中継する(S30、S31)。
[クライアント端末4での画面遷移例]
 図8は、クライアント端末4での画面遷移例を示す図である。なお、ユーザは接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する接続先サーバ3、接続先サーバ3のフォルダ等は事前申請しなくても利用できるようにしてもよい。
 ユーザは、上述の事前承認をした後に、クライアント端末4で表示される画面81からプロキシサーバ1AのIPアドレス(またはホスト名)、プロキシサーバ1Aでのフォルダ名を指定する。するとログイン画面82が別途ポップアップ表示される。このログイン画面82から、プロキシサーバ1Aで管理されているユーザ名およびパスワード、またはパスワード管理サーバ6で管理されているユーザ名およびパスワードが入力される。
 するとプロキシサーバ1側では、図7で説明した処理が実行され目的の接続先サーバ3のフォルダにアクセスできるようになると、クライアント端末4において画面83が表示される。
 以上、プロキシサーバ1Aの基本的な通信処理およびクライアント端末4での画面表示について説明したが、プロキシサーバ1Aは、プロキシサーバ1とは異なり、複数の認証判定方法を有している。以下、複数の認証判定処理の具体例について図9~図13を参照してさらに詳しく説明する。
(認証判定処理)
 図9は、プロキシサーバ1Aの認証判定処理の一例を示すフローチャートである。プロキシサーバ1は、以下に説明する判定処理により、どのような認証方法を採用するのかを決定する。なお、図9に示す認証判定処理は、このプロキシサーバ1Aが起動するか、認証判定処理を実行する機能がONになると処理が開始される(START)。まず、プロキシサーバ1Aは、ユーザ認証を実行するに際に内部のディレクトリサービス2を利用する設定となっているか否かを判定する(S41)。そしてプロキシサーバ1Aは、ユーザ認証を実行するに際に内部のディレクトリサービス2を利用する設定となっている場合には(S41でYES)、さらに外部のディレクトリサービス5を有するパスワード管理サーバ6のアドレスが登録されているか否かを判定する(S42)。一方、プロキシサーバ1Aは、内部のディレクトリサービス2を利用する設定となっていない場合には(S41でNO)、外部のディレクトリサービス5を利用する処理(後述の図10)を実行する(S43)。
 S42の判定においてプロキシサーバ1Aは、外部のディレクトリサービス5を有するパスワード管理サーバ6のアドレスが登録されていると判定した場合には(S42でYES)、まず内部のディレクトリサービス2をはじめに利用してユーザ認証を実行し、ユーザが登録されていない場合には外部のディレクトリサービス5を利用する処理を実行する(S44)。なお、プロキシサーバ1Aは、S42の判定において外部のディレクトリサービス5を有するパスワード管理サーバ6のアドレスが登録されていない場合には(S42でNo)、内部のディレクトリサービス2を利用する処理を実行する(S45)。S44またはS45のユーザ認証処理が完了すると認証判定処理は終了する(END)。
 図10は、図9に示す処理のうち、パスワード管理サーバ6の外部のディレクトリサービス5に基づいてユーザ認証を実行する場合(図9のS43)の通信処理例を示す図である。図10に示す例では、クライアント端末4とプロキシサーバ1Aの間でネゴシエーション処理が実行されると、プロキシサーバ1Aとパスワード管理サーバ6との間でも同様にネゴシエーション処理が実行される(図10のNEGOTIATE)。これによりプロキシサーバ1Aはクライアント端末4との間でのセッションの確立と、パスワード管理サーバ6との間でのセッションの確立の両方が可能な状態となる。なお、図10の中でプロキシサーバ1Aはチャレンジと共に、「UID」をクライアント端末4へ送信している。この「UID」は、1つのセッションの間だけクライアント端末4のユーザを識別するために振り分けられる一時的な番号である。プロキシサーバ1Aは、クライアント端末4からセッション確立要求の度にこの「UID」を新たに発行し、クライアント端末4へ通知する。これにより、認証をあくまでもセッションの間だけのものとして管理しやすくすると共に、ユーザ側でユーザ名の変更等が発生しても、それまでの通信で利用しているセッションを引き続き利用することが可能となっている。
 続いて、プロキシサーバ1Aは、クライアント端末4との間で実行されるチャレンジ/レスポンス方式のユーザ認証処理に関する処理要求を、パスワード管理サーバ6へと転送する。すなわち、プロキシサーバ1Aは、クライアント端末4との間で実行されるセッションセットアップ処理要求に応じて、パスワード管理サーバ6に対して同様のセッションセットアップ処理要求を送信する。そして、プロキシサーバ1Aは、パスワード管理サーバ6から送信されてくる、チャレンジおよびユーザ認証可否についての応答をクライアント端末4へそのまま送信する。このような通信処理とすることにより、プロキシサーバ1Aはパスワード管理サーバ6との間で、外部のディレクトリサービス5に基づくチャレンジ/レスポンス方式のユーザ認証処理を実行することができる。
 図11は、図9に示す処理のうち、プロキシサーバ1Aの内部のディレクトリサービス2にのみ基づいてユーザ認証を実行する場合(図9のS45)の通信処理例を示す図である。図11に示す例では、クライアント端末4からプロキシサーバ1Aへ送信されてくる処理要求はすべてプロキシサーバ1Aの内部のディレクトリサービス2に基づいて認証処理が実行される。なお、図11に示すクライアント端末4とプロキシサーバ1Aとの間で実行される通信処理は、図10で説明したクライアント端末4とプロキシサーバ1Aとの間で実行される通信処理と同様であるため、説明を省略する。
 図12は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されているユーザである場合の通信処理例を示す図である。図12に示す例では、プロキシサーバ1Aは、まず、クライアント端末4からの認証要求をパスワード管理サーバ6へと転送する。そして、プロキシサーバ1Aは、パスワード管理サーバ6から送信されてきたUIDとチャレンジを自己の記憶部62に保存すると共に、クライアント端末4へ送信する。そして、クライアント端末4から送信されてきたレスポンスと、内部のディレクトリサービス2に登録されているユーザに対応するパスワードから所定のアルゴリズムによって生成されたレスポンスとを比較する。そして、その比較結果であるユーザ認証可否をクライアント端末4へと送信する。
 図13は、クライアント端末4のユーザがプロキシサーバ1Aの内部のディレクトリサービス2に登録されていないユーザである場合の通信処理例を示す図である。図13に示す例では、プロキシサーバ1Aは、まず、クライアント端末4からの認証要求をパスワード管理サーバ6へと転送する。そして、プロキシサーバ1は、パスワード管理サーバ6から送信されてきたUIDとチャレンジを自己の記憶部62に保存すると共に、クライアント端末4へと送信する。そして、内部のディレクトリサービス2に登録されていないユーザである場合に、当該レスポンスをパスワード管理サーバ6へと転送し、パスワード管理サーバ6から送信されてきた認証結果であるユーザ認証可否をクライアント端末4へと送信する。
[発明の実施の形態における効果]
 以上のように、プロキシサーバ1,1Aは、クライアント端末4からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置であって、クライアント端末4からの認証要求を受信すると、ディレクトリサービス5を提供している外部のパスワード管理サーバ6へその認証要求を転送し、転送した認証要求に基づいてパスワード管理サーバ6より送信されてくるチャレンジを取得し、取得したチャレンジをクライアント端末4へ送信し、クライアント端末4から送信されてきたレスポンスとパスワード管理サーバ6から取得したチャレンジに基づいてユーザ認証を実行する構成となっている。このような構成により、プロキシサーバ1,1Aはパスワード管理サーバ6が発行するチャレンジをクライアント端末4との間でのユーザ認証において利用することができ、クライアント端末4のユーザがパスワード管理サーバ6に登録されているユーザである場合には、パスワード管理サーバ6に対してクライアント端末4から受け取ったレスポンスを転送して、その後にパスワード管理サーバ6との間でのチャレンジ/レスポンス方式のユーザ認証を実行させることが可能となる。すなわち、プロキシサーバ1,1A(認証装置)は、内部のディレクトリサービス2に登録されていないユーザに対してもチャレンジ/レスポンス方式のユーザ認証を適切に実行することができる。
 また、プロキシサーバ1,1Aは、内部のディレクトリサービス2にクライアント端末4のユーザが存在し、かつユーザ認証が成功した場合にはその成功した認証結果をクライアント端末4へ送信し、内部のディレクトリサービス2にクライアント端末4のユーザが存在しない場合には、クライアント端末4から送信されてきたレスポンスをパスワード管理サーバ6へと転送し、パスワード管理サーバ6から送信されてくる認証結果をクライアント端末4のユーザの認証結果としてクライアント端末4へと送信するように構成されている。
 これにより、プロキシサーバ1,1Aは、クライアント端末4のユーザを認証するための情報(ユーザID,パスワードなど)の登録場所が自己の記憶部12である場合には、内部のディレクトリサービス2に登録されているユーザのパスワードと、パスワード管理サーバ6が生成したチャレンジとを特定のアルゴリズムに従って合成してレスポンスを作成し、クライアント端末4から送信されてきたレスポンスと一致するか否かを判定することができる。一方で、プロキシサーバ1,1Aは、クライアント端末4のユーザを認証するための情報が自己の記憶部12に登録されていない場合(すなわち、パスワード管理サーバ6記憶部62に登録されている場合)には、クライアント端末4から取得したレスポンスをパスワード管理サーバ6へと転送して、外部のディレクトリサービス5に登録されているユーザのパスワードと、パスワード管理サーバ6が生成したチャレンジとを特定のアルゴリズムに従って合成してレスポンスを作成し、プロキシサーバ1,1Aから送信されてきたレスポンスと一致するか否かによりユーザ認証を実行することができる。
 したがって、クライアント端末4のユーザに対応するユーザ情報の記憶されている場所がいずれであってもチャレンジ/レスポンス方式のユーザ認証することが可能となるため、ユーザに対して自己のユーザ情報がどこに記憶されているのかを意識させることがない。なお、プロキシサーバ1の場合には、クライアント端末4との間において最大で2回のセッションが必要となるが、プロキシサーバ1Aの場合には、クライアント端末4とのセッションでパスワード管理サーバ6のチャレンジを最初から利用する構成のため、1回のセッションでチャレンジ/レスポンス方式のユーザ認証を確実に行うことが可能である。
 また、上述したプロキシサーバ1、1Aとして説明した装置の認証方法、およびプロキシサーバ1、1Aとしてコンピュータを機能させるための制御プログラム51、68は上述したプロキシサーバ1、1Aが奏する効果と同様の効果を奏するものである。
 以上、プロキシサーバ1、1Aを例に挙げ説明したが、この発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化したり、上記実施の形態に開示されている複数の構成要素を適宜組み合わせたりすることにより種々の発明を形成できる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施の形態に亘る構成要素を適宜組み合わせても良い。
 また、プロキシサーバ1、1Aの上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、専用のハードウェアに組み込まれているコンピュータ、または、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどに、非一時的プログラム記録媒体からインストールされる。
1,1A…プロキシサーバ(認証装置の一例)、2…ディレクトリサービス、3…接続先サーバ、4…クライアント端末、5…ディレクトリサービス、6…パスワード管理サーバ(外部のサーバの一例)、41…認証要求転送部、42…チャレンジ転送部、44…認証結果転送部(認証処理部の一例)、63…認証要求転送部、65…チャレンジ転送部、66…認証処理部
 

Claims (4)

  1.  クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証
    を行う認証装置であって、
     前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送部と、
     前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得部と、
     前記チャレンジ取得部により取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送部と、
     前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理部と
    を有することを特徴とする認証装置。
     
  2.  請求項1に記載の認証装置であって、
     前記認証処理部は、
     内部のディレクトリサービスで保持されているユーザ情報に前記クライアント端末のユーザが存在し、かつチャレンジ/レスポンス方式のユーザ認証が成功した場合にはその成功した認証結果を前記クライアント端末へ送信し、内部のディレクトリサービスで保持されているユーザ情報に前記クライアント端末のユーザが存在しない場合には、前記クライアント端末から送信されてきたレスポンスを前記外部のサーバへと転送し、前記外部のサーバとの間でチャレンジ/レスポンス方式のユーザ認証を実行し、外部のサーバから送信されてくる認証結果を、前記クライアント端末のユーザの認証結果としてクライアント端末へと送信する
    ことを特徴とする認証装置。
     
  3.  認証要求転送部と、チャレンジ取得部と、チャレンジ転送部と、認証処理部とを有し、クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証を行う認証装置で用いられる認証方法において、
     前記認証要求転送部が、前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送ステップと、
     前記チャレンジ取得部が、前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得ステップと、
     前記チャレンジ転送部が、前記チャレンジ取得ステップにより取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送ステップと、
     前記認証処理部が、前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得ステップで取得したチャレンジに基づいてユーザ認証を実行する
    ことを特徴とする認証方法。
     
  4.  クライアント端末からの認証要求に基づいてチャレンジ/レスポンス方式のユーザ認証
    を行う認証装置としてコンピュータを機能させるためのプログラムであって、
     前記コンピュータを、
     前記クライアント端末からの認証要求を受信すると、ディレクトリサービスを提供している外部のサーバへ前記認証要求を転送する認証要求転送手段と、
     前記認証要求に基づいて前記外部のサーバより送信されてくるチャレンジを取得するチャレンジ取得手段と、
     前記チャレンジ取得部により取得したチャレンジを前記クライアント端末へ転送するチャレンジ転送手段と、
     前記クライアント端末から送信されてきたレスポンスと前記チャレンジ取得部により取得したチャレンジに基づいてユーザ認証を実行する認証処理手段
    として機能させるためのプログラム。
PCT/JP2013/068842 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム WO2015004744A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015526056A JP6055546B2 (ja) 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム
PCT/JP2013/068842 WO2015004744A1 (ja) 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/068842 WO2015004744A1 (ja) 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム

Publications (1)

Publication Number Publication Date
WO2015004744A1 true WO2015004744A1 (ja) 2015-01-15

Family

ID=52279470

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2013/068842 WO2015004744A1 (ja) 2013-07-10 2013-07-10 認証装置、認証方法、およびプログラム

Country Status (2)

Country Link
JP (1) JP6055546B2 (ja)
WO (1) WO2015004744A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020085141A1 (ja) * 2018-10-22 2020-04-30 株式会社ソニー・インタラクティブエンタテインメント 情報処理システム、入力装置、ユーザ認証方法、サーバ装置および生体認証装置
CN113212370A (zh) * 2020-02-03 2021-08-06 丰田自动车株式会社 认证系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002366550A (ja) * 2001-06-08 2002-12-20 Fujitsu Ltd 個人情報管理装置、個人情報管理方法、記録媒体およびプログラム
JP2003318894A (ja) * 2002-02-21 2003-11-07 Matsushita Electric Ind Co Ltd チャレンジ−レスポンス方式による機器間の認証処理方法
JP2010282596A (ja) * 2009-06-02 2010-12-16 Canon Software Information Systems Inc 情報処理装置、およびその制御方法、情報処理システム、プログラム、記録媒体。

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100995423B1 (ko) * 2005-01-28 2010-11-18 텔레폰악티에볼라겟엘엠에릭슨(펍) 통신 시스템에서 사용자 인증 및 권한 부여

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002366550A (ja) * 2001-06-08 2002-12-20 Fujitsu Ltd 個人情報管理装置、個人情報管理方法、記録媒体およびプログラム
JP2003318894A (ja) * 2002-02-21 2003-11-07 Matsushita Electric Ind Co Ltd チャレンジ−レスポンス方式による機器間の認証処理方法
JP2010282596A (ja) * 2009-06-02 2010-12-16 Canon Software Information Systems Inc 情報処理装置、およびその制御方法、情報処理システム、プログラム、記録媒体。

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020085141A1 (ja) * 2018-10-22 2020-04-30 株式会社ソニー・インタラクティブエンタテインメント 情報処理システム、入力装置、ユーザ認証方法、サーバ装置および生体認証装置
JPWO2020085141A1 (ja) * 2018-10-22 2021-09-02 株式会社ソニー・インタラクティブエンタテインメント 情報処理システムおよびサーバ装置
JP7220722B2 (ja) 2018-10-22 2023-02-10 株式会社ソニー・インタラクティブエンタテインメント 情報処理システムおよび情報処理装置
CN113212370A (zh) * 2020-02-03 2021-08-06 丰田自动车株式会社 认证系统

Also Published As

Publication number Publication date
JP6055546B2 (ja) 2016-12-27
JPWO2015004744A1 (ja) 2017-02-23

Similar Documents

Publication Publication Date Title
US7886061B1 (en) Virtual folders for tracking HTTP sessions
US8220042B2 (en) Creating secure interactive connections with remote resources
US8990911B2 (en) System and method for single sign-on to resources across a network
US7721322B2 (en) Enterprise service-to-service trust framework
JP5296726B2 (ja) Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム
US20120246226A1 (en) System and method for sharing data from a local network to a remote device
US20070220154A1 (en) Authentication and authorization of extranet clients to a secure intranet business application in a perimeter network topology
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
WO2012053135A1 (ja) 通信制御装置、システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体
CA3135212A1 (en) Computing system and methods providing session access based upon authentication token with different authentication credentials
JP2010531516A (ja) 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション
US9325685B2 (en) Authentication switch and network system
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
WO2010119626A1 (ja) Id認証システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体
CA2912774C (en) Providing single sign-on for wireless devices
JP6055546B2 (ja) 認証装置、認証方法、およびプログラム
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
US9288365B2 (en) System and method for controlling access to a server on an image processing device
JP6266049B1 (ja) 情報処理システム、情報処理方法、情報処理装置及びプログラム
US11095436B2 (en) Key-based security for cloud services
US20200204544A1 (en) Biometric security for cloud services
JP6100376B2 (ja) 中継処理装置、中継処理方法、およびプログラム
JP2006319909A (ja) データ通信の方法、ピアツーピア型のネットワーク、および情報処理装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13889260

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2015526056

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13889260

Country of ref document: EP

Kind code of ref document: A1