JP2000148689A - Method for authenticating users of network system - Google Patents
Method for authenticating users of network systemInfo
- Publication number
- JP2000148689A JP2000148689A JP10318814A JP31881498A JP2000148689A JP 2000148689 A JP2000148689 A JP 2000148689A JP 10318814 A JP10318814 A JP 10318814A JP 31881498 A JP31881498 A JP 31881498A JP 2000148689 A JP2000148689 A JP 2000148689A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- data
- user
- client
- date
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、クライアント・サ
ーバシステム(主に社内LANによるシステム)におけ
るユーザ認証方法に関し、特に端末利用者が正規ユーザ
であるか、また、クライアントから送信された業務指令
について、そのユーザが実行できる業務であるかの認証
方式に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user authentication method in a client-server system (mainly a system using an in-house LAN), and particularly to a terminal user who is an authorized user and a business command transmitted from a client. And an authentication method for determining whether or not the task can be performed by the user.
【0002】[0002]
【従来の技術】従来より、クライアント・サーバシステ
ムにおけるユーザの認証は、オープン型ネットワークシ
ステムを構築するためのオンラインシステム(ミドルソ
フトウェア)に提供されているセキュリティ機能でおこ
なわれていた。具体的には、クライアントから入力され
たユーザIDとパスワードとをサーバに送信し、サーバ
に登録されているユーザIDとパスワードと同じであれ
ば、これを正規ユーザとしてそのネットワークシステム
を利用できた。2. Description of the Related Art Conventionally, user authentication in a client-server system has been performed by a security function provided in an online system (middle software) for constructing an open network system. Specifically, the user ID and the password input from the client are transmitted to the server, and if the user ID and the password registered in the server are the same, the network system can be used as an authorized user.
【0003】また、サーバにアクセスしてきたユーザが
そのネットワークシステムを利用できるか否かの判断に
際して、時間的要素(日付、時刻)を用いる方法があ
る。これは、予め、ユーザIDやパスワードに基づいて
ネットワークシステムを利用できる期間をサーバの側で
設定しておく。そして、クライアントからユーザのアク
セスがあった場合に、現在このユーザのアクセスが可能
な否かの判断を行い、その時点でアクセス不可の期間に
該当する場合には、サーバ側でクライアントからのアク
セスを拒否する、というものである。There is also a method of using a time element (date and time) to determine whether a user who has accessed a server can use the network system. For this, a period in which the network system can be used is set in advance on the server side based on the user ID and the password. Then, when there is a user access from the client, it is determined whether or not this user can access at present, and if it corresponds to a period during which access is not possible at that time, the server side stops access from the client. Refuse.
【0004】また、特開平10−41936号公報に
は、ネットワークのセキュリティ向上の発明が開示され
ている。この従来例では、ユーザのキーコードを乱数に
より暗号化し、これをキーコード送信機から端末機器に
送信される。端末機器では、受信した暗号化後のキーコ
ードを乱数により復号化する。端末機器での復号化は、
暗号化の時と同じ乱数テーブルを用いている。Japanese Patent Application Laid-Open No. 10-41936 discloses an invention for improving network security. In this conventional example, a user's key code is encrypted by using a random number, and this is transmitted from a key code transmitter to a terminal device. The terminal device decrypts the received key code using a random number. Decryption on the terminal device
The same random number table as in the encryption is used.
【0005】[0005]
【発明が解決しようとする課題】しかしながら、上記従
来例には以下のような問題が生じていた。即ち、上記ネ
ットワークシステムでは、ユーザIDとパスワードから
なる認証データが平文(暗号化されていない状態)で流
れる。また、暗号化したとしても、常に固定的な認証デ
ータを使用しているため、他人に不正に利用される可能
性があった。However, the above conventional example has the following problems. That is, in the network system, the authentication data including the user ID and the password flows in plain text (unencrypted state). Even if the data is encrypted, since fixed authentication data is always used, there is a possibility that the data will be used illegally by others.
【0006】また、日付時刻により認証データ(ユーザ
ID、パスワード)の不正チェックをしようとした場
合、常に全てのクライアントと、このクライアントが接
続されたサーバの日付時刻を同期させておく必要があ
る。仮に、日付時刻が一致していないと、時間的な要素
で不正アクセスのチェックを行うことはできない。この
ようにすべてのクライアント及びサーバの日付時刻を同
期させることは、特に大規模なLANを構築しているネ
ットワークシステムでは非効率的である。Further, when an attempt is made to check the authentication data (user ID, password) illegally by date and time, it is necessary to always synchronize the date and time of all clients and the server to which this client is connected. If the date and time do not match, it is not possible to check for unauthorized access using a temporal element. Synchronizing the date and time of all clients and servers in this manner is inefficient, especially in a network system constructing a large-scale LAN.
【0007】更に、従来のネットワークシステムにおい
ては、一般にユーザがアクセス可能か否かの認証は、サ
ーバに接続した時にのみ行われる。即ち、上記したよう
に、サーバに最初にアクセスしたときにユーザID及び
パスワードを送信し、この認証によってユーザがサーバ
にアクセスできる。その後、このユーザが利用できる業
務を確認することができる。逆に言えば、或るユーザが
利用できる業務はサーバにアクセスしないと確認するこ
とができない、という不都合を生じていた。Further, in a conventional network system, authentication of whether or not a user can access is generally performed only when the user connects to a server. That is, as described above, the user ID and password are transmitted when the server is first accessed, and the user can access the server by this authentication. After that, it is possible to confirm the work available to this user. Conversely, there has been a problem that a task available to a certain user cannot be confirmed without accessing the server.
【0008】また、キーコードを暗号化して送信する場
合であっても、復号化に用いる乱数テーブルも送信しな
ければならず、セキュリティ性の向上には限界がある。Further, even when a key code is transmitted after being encrypted, a random number table used for decryption must also be transmitted, and there is a limit to improvement in security.
【0009】[0009]
【発明の目的】本発明は、ネットワークシステムの処理
性能を低下させることなく、高度なセキュリティの確保
をするためのユーザの認証方法を提供することを、その
目的とする。また、本発明の他の目的は、日付時刻によ
るデータの管理と複数あるクライアントとサーバの時刻
同期を提供することにある。本発明のさらに他の目的
は、ユーザの利用する業務をクライアント側において事
前に判断することにある。SUMMARY OF THE INVENTION It is an object of the present invention to provide a user authentication method for ensuring high security without deteriorating the processing performance of a network system. It is another object of the present invention to provide data management based on date and time and time synchronization between a plurality of clients and servers. Still another object of the present invention is to determine in advance a task used by a user on a client side.
【0010】[0010]
【課題を解決するための手段】本発明は、ユーザID及
びパスワードを用いたネットワークシステムのユーザ認
証方法において、予めクライアント側でログインのため
の認証確認データを乱数により作成し、パスワードを用
いて認証データを暗号化して暗号化データを作成し、当
該暗号化データにユーザID及び認証確認データを結合
して認証サーバに送信し、認証サーバにおいてユーザI
Dに対応するパスワードで暗号化データを復号化し、し
かる後、復号化された認証確認データと暗号化されずに
送信された認証確認データとを比較して正当ユーザか否
かの認証を行う。According to the present invention, in a user authentication method for a network system using a user ID and a password, authentication confirmation data for login is created in advance by a client using random numbers, and authentication is performed using a password. The data is encrypted to create encrypted data, and the encrypted data is combined with a user ID and authentication confirmation data and transmitted to an authentication server.
The encrypted data is decrypted with the password corresponding to D. Thereafter, the decrypted authentication confirmation data is compared with the authentication confirmation data transmitted without being encrypted to authenticate whether the user is a valid user.
【0011】パスワードがネットワーク上を平文のまま
流れず、認証の対象となる認証確認データが不定のもの
を使用するので、データの再利用や不正ユーザによる
「なりすまし」等を防止することができる。Since the password does not flow as plain text on the network and the authentication confirmation data to be authenticated uses indefinite data, it is possible to prevent reuse of data and "spoofing" by an unauthorized user.
【0012】[0012]
【発明の実施の形態】次に、本発明の一実施形態につい
て図面を参照して詳細に説明する。Next, an embodiment of the present invention will be described in detail with reference to the drawings.
【0013】[発明の概要]図1及び図2を参照する
と、本発明の実施の形態はユーザ端末であるクライアン
トA、クライアントの認証をする認証サーバB、認証デ
ータを管理する認証情報データベースCからなる。クラ
イアントにはユーザがログインを行うためのログイン機
能A1と、ログイン後に一定の業務処理を行うための業
務機能A2が備えられている。ここで、クライアントA
とは、ネットワークシステムに接続された端末計算機を
いい、認証サーバBとはクライアントAの認証を一括し
て行う上位計算機である。また、ログインとは、クライ
アントAが認証サーバBに接続する場合の手続きをい
う。DETAILED DESCRIPTION OF THE INVENTION Referring to FIGS. 1 and 2, an embodiment of the present invention comprises a client A as a user terminal, an authentication server B for authenticating the client, and an authentication information database C for managing authentication data. Become. The client is provided with a login function A1 for a user to log in, and a business function A2 for performing certain business processing after the login. Here, client A
Means a terminal computer connected to the network system, and the authentication server B is a higher-level computer that performs authentication of the client A collectively. The login refers to a procedure when the client A connects to the authentication server B.
【0014】認証サーバBには、クライアントAからロ
グインしたユーザの認証を行うユーザ認証機能B1が備
えられている。更に、認証情報データベースCには、正
規ユーザとして登録されているユーザのユーザデータを
管理する認証表C1と、一旦ユーザ認証が完了した後に
ログイン中のユーザを管理するログイン表C2と、更
に、ログイン中のユーザが利用できる業務の範囲を規定
したアクセス権データ表C3が備えられている。The authentication server B has a user authentication function B1 for authenticating a user who has logged in from the client A. Further, the authentication information database C includes an authentication table C1 for managing user data of a user registered as a regular user, a login table C2 for managing a user who is logged in after user authentication is completed, and a login table C2. An access right data table C3 is provided which defines the range of tasks available to the middle user.
【0015】[クライアント]クライアントのログイン
機能A1では、ユーザがネットワークシステムにログイ
ンするためのユーザIDとパスワードを入力する入力処
理A11と、ユーザ認証のための認証データを作成する
認証データ作成処理A12と、認証データを暗号化する
暗号化処理A13と、この暗号化された認証サーバへ送
信する送信処理A14がなされる。認証サーバへ所定の
情報を送信すると、認証サーバから返信データが返信さ
れ、ログイン機能A1では、認証サーバで作成された認
証結果を受信する受信処理A15と、受信した認証デー
タを復号化する復号化処理A16とがなされる。加え
て、ログイン機能A1では、認証サーバBによってクラ
イアントAに提供されている業務の実行可否情報を得る
ためのアクセス権データ要求処理A17と、アクセス権
データを受信する受信処理A18と、クライアントA自
身が作成した認証データおよび認証サーバから取得した
認証データを端末記憶装置Mに保管する認証データ保管
処理A19がなされる。[Client] In the client login function A1, an input process A11 for the user to enter a user ID and a password for logging in to the network system, an authentication data creation process A12 for creating authentication data for user authentication are provided. An encryption process A13 for encrypting the authentication data and a transmission process A14 for transmitting the encrypted data to the authentication server are performed. When predetermined information is transmitted to the authentication server, return data is returned from the authentication server. In the login function A1, a reception process A15 for receiving an authentication result created by the authentication server and a decryption for decrypting the received authentication data are performed. Processing A16 is performed. In addition, the log-in function A1 includes an access right data requesting process A17 for obtaining information on whether the business provided by the authentication server B to the client A is executable, a receiving process A18 for receiving the access right data, and a client A itself. Is stored in the terminal storage device M in the authentication data storage process A19.
【0016】[ユーザ認証機能]ユーザ認証機能B1で
は、ログイン機能A1からの認証データを受信する受信
処理B11と、受信した認証データを復号化する復号化
処理B12と、認証データの確認をする認証データチェ
ック処理B13と、クライアントを認識するためのログ
インデータ作成処理B14と、クライアントから取得し
もしくは認証サーバ自信が作成した認証データを保管す
る認証データ登録処理B15がなされる。また、ユーザ
認証機能B1では、認証データを暗号化する暗号化処理
B16と、認証結果を送信する送信処理B17と、クラ
イアントAからのアクセス権データ要求を受信する受信
処理B18と、アクセス権データ表からアクセス権デー
タを取得するアクセス権データ取得処理B19と、アク
セス権データを送信するための送信処理B110がなさ
れる。[User Authentication Function] In the user authentication function B1, a reception process B11 for receiving the authentication data from the login function A1, a decryption process B12 for decrypting the received authentication data, and an authentication for confirming the authentication data. A data check process B13, a login data creation process B14 for recognizing the client, and an authentication data registration process B15 for storing authentication data obtained from the client or created by the authentication server itself are performed. The user authentication function B1 includes an encryption process B16 for encrypting authentication data, a transmission process B17 for transmitting an authentication result, a reception process B18 for receiving an access right data request from the client A, and an access right data table. , An access right data acquisition process B19 for acquiring access right data, and a transmission process B110 for transmitting access right data.
【0017】[業務機能]業務機能A2では、ログイン
時に保管した端末記憶装置Mにあるアクセス権データを
取得するアクセス権データ取得処理A21と、業務画面
の表示段階で種々の業務についてそのユーザが実行し得
るか否かを位置づける画面表示処理A22が行われる。[Business function] In the business function A2, an access right data acquisition process A21 for obtaining the access right data in the terminal storage device M stored at the time of login, and the user executes various tasks at the stage of displaying the business screen. A screen display process A22 for determining whether or not the display can be performed is performed.
【0018】[動作] [認証データの作成から認証データの送信まで]次に、
図1ないし図5を参照して本実施形態の動作について詳
細に説明する。図2において、先ず最初にログイン機能
A1が起動され、ユーザがユーザIDとパスワードを入
力する(ステップS1)。ここで、各ユーザが使用して
いるパスワードの長さ(桁数)はまちまちであるが、パ
スワードを認証データの暗号化の鍵として使用するため
に、パスワードの桁数が一定の長さに修正される(ステ
ップS2)。そして、認証サーバBとの間で共通に使用
する共有鍵が乱数により作成される(ステップS3)。
次に、日付時刻データがクライアントの内部時計から取
得される(ステップS4)。続いて、認証確認のための
認証確認データが乱数により作成され(ステップS
5)、これらの各データ(ユーザID、パスワード、共
有鍵、日付時刻、認証確認データ)が結合され(ステッ
プS6)、更にこれら結合されたデータが上記したパス
ワードで暗号化される(ステップS7)。しかる後、こ
れらの暗号化された暗号化データに、ユーザが入力した
ユーザIDと認証確認のために乱数で作成した認証確認
データが結合されて(ステップS8)、最終的に認証デ
ータとして認証サーバBに送信される(ステップS
9)。[Operation] [From creation of authentication data to transmission of authentication data]
The operation of the present embodiment will be described in detail with reference to FIGS. In FIG. 2, first, the login function A1 is activated, and the user inputs a user ID and a password (step S1). Here, the length (number of digits) of the password used by each user varies, but the number of digits of the password is corrected to a certain length in order to use the password as a key for encrypting the authentication data. Is performed (step S2). Then, a shared key used in common with the authentication server B is created by a random number (step S3).
Next, date and time data is obtained from the internal clock of the client (step S4). Subsequently, authentication confirmation data for authentication confirmation is created by a random number (step S).
5) These data (user ID, password, shared key, date / time, authentication confirmation data) are combined (step S6), and the combined data is encrypted with the password (step S7). . After that, the encrypted data is combined with the user ID input by the user and the authentication confirmation data created by random numbers for authentication confirmation (step S8), and finally the authentication server as authentication data. B (step S
9).
【0019】[認証データの受信から認証確認まで]ユ
ーザ認証機能では、受信した認証データからユーザID
を取り出し(ステップS10)、このユーザIDにより
認証情報データベースのログイン表が検索され(ステッ
プS11)、同一IDによる二重ログインか否かがチェ
ックされる(ステップS12)。即ち、ログイン表に
は、その時点ですでにログインしているユーザIDのリ
ストが作成されており、新たにログインしてきたユーザ
IDとの同一性をチェックしているのである。ここで、
二重ログインでないと判断された場合には、さらに認証
表が検索される(ステップS13)。この認証表は、送
信されたユーザIDに対応するパスワードの有効期限を
確認し(ステップS14)、パスワードが有効期限外の
ものであればログインを拒否するためのものである。パ
スワードが有効期限内と判断された場合には、ユーザI
Dに対応するパスワードが認証表より取得される(ステ
ップS15)。[From Authentication Data Reception to Authentication Confirmation] In the user authentication function, the user ID is obtained from the received authentication data.
Is retrieved (step S10), the login table of the authentication information database is searched by this user ID (step S11), and it is checked whether or not a double login is performed with the same ID (step S12). That is, a list of user IDs that have already logged in at that time is created in the login table, and the identity of the user ID that has newly logged in is checked. here,
If it is determined that the login is not a double login, the authentication table is further searched (step S13). This authentication table is for confirming the expiration date of the password corresponding to the transmitted user ID (step S14), and rejecting login if the password is out of the expiration date. If it is determined that the password has not expired,
The password corresponding to D is obtained from the authentication table (step S15).
【0020】次に、認証表から取得したパスワードに基
づいて、クライアントから送信された認証データが復号
化され(ステップS16)、結合されている個々の認証
データの確認が行われる。認証データの確認は、まず、
複合化された日付時刻を認証サーバの現在の日付時刻と
比較して、予め定められた許容範囲内か否かが確認され
る(ステップS17)。続いて、復号化された認証確認
データと暗号化されずに送信された認証確認データが比
較され、相互に一致しているか否か確認される(ステッ
プS18)。認証確認データが一致していれば、これら
のチェックによりログインしたユーザが正当であると判
断される。正当なユーザと判断された場合、次に、クラ
イアントAが認証サーバBを確認するために、クライア
ントAから送信された認証確認データ(乱数)を使用し
て、ログイン及びログイン後の業務処理におけるクライ
アントAと認証サーバB間の認証のための認証IDが作
成される(ステップS19)。Next, based on the password acquired from the authentication table, the authentication data transmitted from the client is decrypted (step S16), and the combined individual authentication data is confirmed. Confirmation of authentication data, first,
By comparing the combined date and time with the current date and time of the authentication server, it is confirmed whether or not it is within a predetermined allowable range (step S17). Subsequently, the decrypted authentication confirmation data is compared with the authentication confirmation data transmitted without being encrypted, and it is confirmed whether or not they match each other (step S18). If the authentication confirmation data matches, it is determined by these checks that the logged-in user is valid. If it is determined that the user is a valid user, the client A uses the authentication confirmation data (random number) transmitted from the client A to confirm the authentication server B. An authentication ID for authentication between A and the authentication server B is created (step S19).
【0021】続いて、認証サーバで作成された認証ID
と、クライアントAから送信された共有鍵及びユーザI
Dがログイン表に登録される(ステップS20)。そし
て、認証IDはクライアントから送信された共有鍵によ
って暗号化され(ステップS21)、この暗号化された
認証IDがクライアントに送信される(22)。Subsequently, the authentication ID created by the authentication server
And the shared key and user I sent from client A
D is registered in the login table (step S20). The authentication ID is encrypted with the shared key transmitted from the client (step S21), and the encrypted authentication ID is transmitted to the client (22).
【0022】[ログイン及び日付時刻補正]ログイン機
能A1では、認証サーバBから認証IDを受信し(ステ
ップS23)、この認証IDを共有鍵により復号化する
(ステップS24)。そして、受信した認証の結果が正
常か否かチェックされる(ステップS25)。認証の結
果が正常であった場合、さらに、乱数で作成した認証確
認データが認証サーバ確認用のデータに変換され(ステ
ップS26)、受信した認証IDが正しいか否か確認さ
れる(ステップS27)。[Login and Date / Time Correction] The login function A1 receives the authentication ID from the authentication server B (step S23), and decrypts the authentication ID with the shared key (step S24). Then, it is checked whether or not the received authentication result is normal (step S25). If the result of the authentication is normal, the authentication confirmation data created by the random number is further converted into data for authentication server confirmation (step S26), and it is confirmed whether the received authentication ID is correct (step S27). .
【0023】認証サーバBにおいて、日付時刻の確認に
おいてエラーが発生し場合は、補正時刻が算出され(ス
テップS17e1)、この補正時刻エラーの情報がクラ
イアントAに送信される。日付時刻エラーを受信した場
合に(ステップS25e1)、ログイン機能A1では補
正時刻によりクライアントの内部時計の時間が認証サー
バBの時計の時刻に変更される(ステップS25e
2)。In the authentication server B, when an error occurs in the confirmation of the date and time, the correction time is calculated (step S17e1), and the information on the correction time error is transmitted to the client A. When a date / time error is received (step S25e1), the login function A1 changes the time of the internal clock of the client to the time of the clock of the authentication server B based on the correction time (step S25e).
2).
【0024】[アクセス権データ取得]認証が正常に行
われた後、ログイン機能A1では認証IDを使用して現
在ログインしているユーザに関わるアクセス権データを
認証サーバに要求する(ステップS28)。認証サーバ
Bではアクセス権データの要求信号を受信し(ステップ
S29)、認証IDにより上記したログイン表(ステッ
プS20ですでに説明済み)からユーザID、共有鍵を
取得し(ステップS30)、ユーザIDによりアクセス
権表からアクセス権データを取得する(ステップS3
1)。ここで、アクセス権データとは、各ユーザIDご
とに可能な業務をリストにしたデータである。アクセス
権データは共有鍵により暗号化され(ステップS3
2)、その後クライアントAに送信される(ステップS
33)。ログイン機能A1において、アクセス権データ
を受信した場合に(ステップS34)、ログイン機能A
1では共有鍵を使用してアクセス権データを復号化し
(ステップS35)、共有鍵、認証IDとともにクライ
アントAの記憶装置に保管する(ステップS36)。[Acquisition of Access Right Data] After the authentication is normally performed, the login function A1 requests the authentication server for access right data relating to the currently logged-in user using the authentication ID (step S28). The authentication server B receives the request signal for the access right data (step S29), acquires the user ID and the shared key from the above-described login table (already explained in step S20) using the authentication ID (step S30), To obtain access right data from the access right table (step S3)
1). Here, the access right data is data that lists possible tasks for each user ID. The access right data is encrypted with the shared key (step S3).
2) and then transmitted to client A (step S
33). In the login function A1, when the access right data is received (step S34), the login function A1 is executed.
In step 1, the access right data is decrypted using the shared key (step S35) and stored in the storage device of the client A together with the shared key and the authentication ID (step S36).
【0025】[業務機能]図1及び図2において、業務
機能A2を起動すると、アクセス権データ取得処理によ
りクライアントAの記憶装置からアクセス権データを取
得する(ステップSA21)。取得したアクセス権デー
タは、画面表示処理により業務の各画面に設定して業務
画面を表示(ステップSA22)する。また、業務機能
A2は、クライアントAの記憶装置に記憶されている認
証IDにより認証サーバBで認証される。[Business Function] In FIG. 1 and FIG. 2, when the business function A2 is started, access right data is acquired from the storage device of the client A by the access right data acquisition processing (step SA21). The acquired access right data is set to each business screen by the screen display processing, and the business screen is displayed (step SA22). The business function A2 is authenticated by the authentication server B using the authentication ID stored in the storage device of the client A.
【0026】[0026]
【発明の効果】以上説明したように、本発明のユーザ認
証方法では、パスワードがネットワーク上を流れないこ
とと、認証の度毎に異なる認証データ(認証確認デー
タ、認証ID)を使用するので、一度使用したデータに
よる不正ログインを防止でき、また、認証データの再利
用による盗聴やなりすましによる不正アクセスを防止す
ることができる。As described above, in the user authentication method of the present invention, since the password does not flow on the network and different authentication data (authentication confirmation data and authentication ID) are used for each authentication, It is possible to prevent unauthorized login due to data used once, and prevent unauthorized access due to eavesdropping or spoofing by reusing authentication data.
【0027】また、本発明のユーザ認証方法では、日付
時刻データを用いてユーザの認証を行う。このとき、認
証サーバとクライアントとの日付時刻が自動的に同期さ
れるので、多数接続されたクライアントの日付時刻デー
タを手動で調整する必要がない、という優れた効果を生
じる。In the user authentication method according to the present invention, the user is authenticated using the date and time data. At this time, since the date and time of the authentication server and the client are automatically synchronized, there is an excellent effect that it is not necessary to manually adjust the date and time data of a large number of connected clients.
【0028】更に、ユーザの認証完了後に利用可能の業
務の情報であるアクセス権データをサーバから取得し、
これをクライアントに記憶しておくので、ユーザが認証
後に利用できる業務をクライアントで判断することが出
来るため、新たな業務を行う毎にその業務が利用可能か
否かの確認のための認証データ等を送信する必要がな
い。従って、不正に認証データを取得される可能性が減
少する。Further, after the authentication of the user is completed, access right data, which is information on work that can be used, is obtained from the server.
Since this is stored in the client, it is possible for the client to determine the work that can be used by the user after the authentication. Therefore, each time a new work is performed, authentication data or the like for confirming whether or not the work can be used is performed. No need to send. Therefore, the possibility that the authentication data is obtained illegally decreases.
【図1】本発明のクライアントの機能を示すフローチャ
ートである。FIG. 1 is a flowchart showing functions of a client according to the present invention.
【図2】本発明の認証サーバ及び認証情報データベース
を示すフローチャートである。FIG. 2 is a flowchart showing an authentication server and an authentication information database of the present invention.
【図3】図1に開示したクライアントでの認証データの
作成を示すフローチャートである。FIG. 3 is a flowchart illustrating creation of authentication data in the client disclosed in FIG. 1;
【図4】図2に開示した認証サーバでの認証IDの作成
を示すフローチャートである。FIG. 4 is a flowchart illustrating creation of an authentication ID in the authentication server disclosed in FIG. 2;
【図5】図1に開示したクライアントでの認証IDの受
信を示すフローチャートである。FIG. 5 is a flowchart showing reception of an authentication ID by the client disclosed in FIG. 1;
A クライアント B 認証サーバ A client B authentication server
Claims (6)
トワークシステムのユーザ認証方法において、 予めクライアント側でログインのための認証確認データ
を乱数により作成し、前記パスワードを用いて前記認証
確認データを暗号化して暗号化データを作成し、当該暗
号化データに前記ユーザID及び認証確認データを結合
して認証サーバに送信し、この認証サーバに予め記憶さ
れている前記ユーザIDに対応するパスワードを読み出
し、このパスワードで前記暗号化データを復号化し、し
かる後、復号化された認証確認データと暗号化されずに
送信された認証確認データとを比較して正当ユーザか否
かの認証を行うことを特徴としたユーザ認証方法。In a user authentication method for a network system using a user ID and a password, authentication confirmation data for login is created in advance on the client side using a random number, and the authentication confirmation data is encrypted using the password. The encrypted data is created, the user ID and the authentication confirmation data are combined with the encrypted data and transmitted to an authentication server, and a password corresponding to the user ID stored in advance in the authentication server is read out. Decrypting the encrypted data, and thereafter, comparing the decrypted authentication confirmation data with the authentication confirmation data transmitted without being encrypted, and performing authentication as to whether or not the user is a valid user. User authentication method.
バと共通に用いる共有鍵を乱数により作成すると共に、
この共有鍵を前記認証確認データと結合した後暗号化
し、前記認証サーバでこれら認証確認データ及び共有鍵
を復号化すると共に、前記クライアントの間で用いる認
証IDを作成し、この認証IDを復号化された前記共有
鍵を用いて暗号化して前記クライアントに送信し、しか
る後、前記クライアントが受信した暗号化済みの認証I
Dを前記共有鍵を用いて復号化して認証を行うことを特
徴とした請求項1記載のユーザ認証方法。2. A shared key, which is used in common with the authentication server in the client, is generated by a random number,
The shared key is combined with the authentication confirmation data and then encrypted, and the authentication server decrypts the authentication confirmation data and the shared key, creates an authentication ID used between the clients, and decrypts the authentication ID. Encrypted using the shared key and transmitted to the client, and then the encrypted authentication I received by the client.
2. The user authentication method according to claim 1, wherein the authentication is performed by decrypting D using the shared key.
記認証サーバに送信し、この認証サーバにおいて前記パ
スワードに対する有効期間データを読み出し、前記認証
サーバの日付時刻データに基づいて前記パスワードが有
効であるか否かを判断し、当該パスワードが有効である
と判断された場合に、前記認証サーバに対するクライア
ントのアクセスを可能とすることを特徴とした請求項1
又は2記載のユーザ認証方法。3. The client sends date / time data to the authentication server. The authentication server reads validity period data for the password, and determines whether the password is valid based on the date / time data of the authentication server. Determining whether the password is valid, and enabling a client to access the authentication server when the password is determined to be valid.
Or the user authentication method according to 2.
トの日付時刻データと認証サーバの日付時刻データとを
比較すると共に、これら各日付時刻データの差を算出し
て日付時刻補正値とし、当該日付時刻補正値を前記クラ
イアントに送信すると共にこの日付時刻補正値に基づい
て前記クライアントの日付時刻を認証サーバの日付時刻
に同期させることを特徴とした請求項3記載のユーザ認
証方法。4. The authentication server compares the date / time data of the client with the date / time data of the authentication server, and calculates a difference between these date / time data to obtain a date / time correction value. 4. The user authentication method according to claim 3, further comprising: transmitting the date and time to the client and synchronizing the date and time of the client with the date and time of the authentication server based on the date and time correction value.
る場合にのみ前記認証サーバが前記クライアントに日付
時刻補正値を送信することを特徴とした請求項4記載の
ユーザ認証方法。5. The user authentication method according to claim 4, wherein the authentication server transmits the date and time correction value to the client only when the date and time correction value exceeds a predetermined value.
ら前記認証IDを受信した場合に前記認証サーバに対し
て所定のアクセス権データの取得を要求すると共に、こ
の認証サーバから受信したアクセス権データを当該クラ
イアントの所定の記憶装置に記憶し、業務の実行に際し
て当該記憶装置に記憶されたアクセス権データを読み出
すことを特徴とした請求項2記載のユーザ認証方法。6. The client, when receiving the authentication ID from the authentication server, requests the authentication server to acquire predetermined access right data, and transmits the access right data received from the authentication server to the authentication server. 3. The user authentication method according to claim 2, wherein the access right data stored in a predetermined storage device of the client and the access right data stored in the storage device are read out when executing a task.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10318814A JP2000148689A (en) | 1998-11-10 | 1998-11-10 | Method for authenticating users of network system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10318814A JP2000148689A (en) | 1998-11-10 | 1998-11-10 | Method for authenticating users of network system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000148689A true JP2000148689A (en) | 2000-05-30 |
Family
ID=18103252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10318814A Pending JP2000148689A (en) | 1998-11-10 | 1998-11-10 | Method for authenticating users of network system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000148689A (en) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100381710B1 (en) * | 2000-07-27 | 2003-04-26 | 이종우 | Method For Security In Internet Server Based Upon Membership Operating System And Server Systems Regarding It |
| US6668246B1 (en) * | 1999-03-24 | 2003-12-23 | Intel Corporation | Multimedia data delivery and playback system with multi-level content and privacy protection |
| WO2004061691A1 (en) * | 2002-12-26 | 2004-07-22 | Fujitsu Limited | Password control device |
| JP2005237000A (en) * | 2004-02-18 | 2005-09-02 | Samsung Electronics Co Ltd | Method of erasing data in recording medium, disk drive, computer program, host apparatus, and method of generating erasure instruction of data on recording medium |
| WO2005093594A1 (en) * | 2004-03-26 | 2005-10-06 | Sangikyo Corporation | Authentication system |
| JP2006287843A (en) * | 2005-04-05 | 2006-10-19 | Fujitsu Ltd | Authentication processing method and device |
| US7496766B2 (en) * | 2003-06-26 | 2009-02-24 | Ricoh Company, Ltd. | Apparatus, method, and program product for secure data formatting and retriving, and computer readable transportable data recording medium storing the program product |
| JP2009151812A (en) * | 2009-02-16 | 2009-07-09 | Toshiba Corp | Portable type terminal used by ic card processing system |
| CN101791475A (en) * | 2009-01-29 | 2010-08-04 | 京乐产业.株式会社 | The amusement machine, a method and program for certification |
| JP2010172458A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172456A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172459A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172460A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172455A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172461A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172457A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| CN103329589A (en) * | 2011-01-20 | 2013-09-25 | Sk普兰尼特有限公司 | System and method for issuing an authentication key for authenticating a user in a cpns environment |
| JP2022526464A (en) * | 2019-03-18 | 2022-05-24 | クリプテド・テクノロジー・ピーティーイー・リミテッド | Methods and systems for secure transactions |
-
1998
- 1998-11-10 JP JP10318814A patent/JP2000148689A/en active Pending
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668246B1 (en) * | 1999-03-24 | 2003-12-23 | Intel Corporation | Multimedia data delivery and playback system with multi-level content and privacy protection |
| KR100381710B1 (en) * | 2000-07-27 | 2003-04-26 | 이종우 | Method For Security In Internet Server Based Upon Membership Operating System And Server Systems Regarding It |
| WO2004061691A1 (en) * | 2002-12-26 | 2004-07-22 | Fujitsu Limited | Password control device |
| US7496766B2 (en) * | 2003-06-26 | 2009-02-24 | Ricoh Company, Ltd. | Apparatus, method, and program product for secure data formatting and retriving, and computer readable transportable data recording medium storing the program product |
| JP2005237000A (en) * | 2004-02-18 | 2005-09-02 | Samsung Electronics Co Ltd | Method of erasing data in recording medium, disk drive, computer program, host apparatus, and method of generating erasure instruction of data on recording medium |
| WO2005093594A1 (en) * | 2004-03-26 | 2005-10-06 | Sangikyo Corporation | Authentication system |
| JPWO2005093594A1 (en) * | 2004-03-26 | 2008-02-14 | 株式会社三技協 | Authentication system |
| JP2006287843A (en) * | 2005-04-05 | 2006-10-19 | Fujitsu Ltd | Authentication processing method and device |
| JP2010172459A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| CN101791475B (en) * | 2009-01-29 | 2014-03-26 | 京乐产业.株式会社 | The amusement machine, a method and program for certification |
| JP2010172458A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172456A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| CN101791475A (en) * | 2009-01-29 | 2010-08-04 | 京乐产业.株式会社 | The amusement machine, a method and program for certification |
| JP2010172460A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172455A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172461A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2010172457A (en) * | 2009-01-29 | 2010-08-12 | Kyoraku Sangyo Kk | Game machine, authentication method, and authentication program |
| JP2009151812A (en) * | 2009-02-16 | 2009-07-09 | Toshiba Corp | Portable type terminal used by ic card processing system |
| CN103329589A (en) * | 2011-01-20 | 2013-09-25 | Sk普兰尼特有限公司 | System and method for issuing an authentication key for authenticating a user in a cpns environment |
| JP2014508446A (en) * | 2011-01-20 | 2014-04-03 | エスケー プラネット カンパニー、リミテッド | Authentication key issuing system and method for user authentication in CPNS environment |
| US8949604B2 (en) | 2011-01-20 | 2015-02-03 | Sk Planet Co., Ltd. | System and method for issuing an authentication key for authenticating a user in a CPNS environment |
| EP2667649A4 (en) * | 2011-01-20 | 2015-06-24 | Sk Planet Co Ltd | System and method for issuing an authentication key for authenticating a user in a cpns environment |
| JP2022526464A (en) * | 2019-03-18 | 2022-05-24 | クリプテド・テクノロジー・ピーティーイー・リミテッド | Methods and systems for secure transactions |
| JP7293491B2 (en) | 2019-03-18 | 2023-06-19 | クリプテド・テクノロジー・ピーティーイー・リミテッド | Method and system for secure transactions |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6275941B1 (en) | Security management method for network system | |
| US7197568B2 (en) | Secure cache of web session information using web browser cookies | |
| US7313816B2 (en) | Method and system for authenticating a user in a web-based environment | |
| US9094194B2 (en) | Method and system for automating the recovery of a credential store when a user has forgotten their password using a temporary key pair created based on a new password provided by the user | |
| US7650505B1 (en) | Methods and apparatus for persistence of authentication and authorization for a multi-tenant internet hosted site using cookies | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US7730523B1 (en) | Role-based access using combinatorial inheritance and randomized conjugates in an internet hosted environment | |
| KR100621420B1 (en) | Network connection system | |
| US7685430B1 (en) | Initial password security accentuated by triple encryption and hashed cache table management on the hosted site's server | |
| US7010600B1 (en) | Method and apparatus for managing network resources for externally authenticated users | |
| US7953976B2 (en) | Method and apparatus for pervasive authentication domains | |
| JP2000148689A (en) | Method for authenticating users of network system | |
| JP4863777B2 (en) | Communication processing method and computer system | |
| US9185104B2 (en) | Method and apparatus for communication, and method and apparatus for controlling communication | |
| US20140109179A1 (en) | Multiple server access management | |
| US8095960B2 (en) | Secure synchronization and sharing of secrets | |
| US7707416B2 (en) | Authentication cache and authentication on demand in a distributed network environment | |
| CN110535880B (en) | Access control method and system of Internet of things | |
| US20080148046A1 (en) | Real-Time Checking of Online Digital Certificates | |
| JPH10269184A (en) | Security management method for network system | |
| WO2005114946A1 (en) | An apparatus, computer-readable memory and method for authenticating and authorizing a service request sent from a service client to a service provider | |
| JPH1125048A (en) | Method for managing security of network system | |
| US11716312B1 (en) | Platform for optimizing secure communications | |
| US7487535B1 (en) | Authentication on demand in a distributed network environment | |
| JPH11212922A (en) | Password management and recovery system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20021029 |