JP2013257625A - 認証要求変換装置および認証要求変換方法 - Google Patents
認証要求変換装置および認証要求変換方法 Download PDFInfo
- Publication number
- JP2013257625A JP2013257625A JP2012131842A JP2012131842A JP2013257625A JP 2013257625 A JP2013257625 A JP 2013257625A JP 2012131842 A JP2012131842 A JP 2012131842A JP 2012131842 A JP2012131842 A JP 2012131842A JP 2013257625 A JP2013257625 A JP 2013257625A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- service
- request
- user
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】既存システムに変更を加えることなく、サービスに応じて認証方式を変更することを課題とする。
【解決手段】認証要求変換装置10は、対象サービスごとに認証方式を変えられるように、事前にサービスと認証方式の組合せを定義して管理することで、アクセス要求のあったサービスに応じて、ユーザに対する認証方式を変える。この結果、認証要求変換装置10では、既存システムに変更を加えることなく、サービスに応じて認証方式を変更することが可能となる。
【選択図】図1
【解決手段】認証要求変換装置10は、対象サービスごとに認証方式を変えられるように、事前にサービスと認証方式の組合せを定義して管理することで、アクセス要求のあったサービスに応じて、ユーザに対する認証方式を変える。この結果、認証要求変換装置10では、既存システムに変更を加えることなく、サービスに応じて認証方式を変更することが可能となる。
【選択図】図1
Description
本発明は、認証要求変換装置および認証要求変換方法に関する。
従来より、インターネットの普及や高速なネットワーク回線の普及に伴い、インターネットなどのネットワークを介して、多種多様のサービスをユーザに提供するサービス提供システムが増えている。このようなサービス提供システムでは、悪質なユーザの排除や公序良俗の遵守の観点から、サービス提供対象であるサービス利用者を認証するための認証技術が適用されている。
利用者の判別にはパスワード認証などが広く用いられているが、セキュリティレベルの低さが課題となっている。パスワード認証よりも安全な認証方式を導入しようとすると設備変更などの様々なコストも発生するため、導入には課題も多い。このような課題を解決するため、既存システムに変更を加えることなくより安全なユーザ認証を提供する技術が知られている(例えば、特許文献1参照)。具体的には、既存システムに代わって、ユーザからの認証要求を既存システムとは異なる認証方式により受けつけ、正当なユーザであることが確認された場合には、既存システムに対して、事前にユーザ毎に登録された既存システム向けの認証情報をユーザに代わって送信することで、ユーザ認証を実現する。
しかしながら、上記した従来の認証方式の技術では、既存システムの要求する認証方式がそれぞれ異なる場合、既存システム毎に認証方式を変更することができないという課題があった。つまり、既存システムに代わってユーザからの認証要求を受け付ける際の認証方式が固定的であるため、サービスに応じて認証方式を変更することができなかった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、既存システムに変更を加えることなく、サービスに応じて認証方式を変更することを目的とする。
上述した課題を解決し、目的を達成するため、認証要求変換装置は、ネットワークを介してサービスを提供するサービス提供装置と、前記サービスを利用する利用者端末とのそれぞれに接続される認証要求変換装置であって、前記サービス提供装置が提供するサービスの種別と、サービスの提供を受ける利用者端末の利用者を認証する方式である認証方式とを対応付けて記憶する認証方式記憶部と、前記利用者端末の利用者を特定する利用者識別情報と、前記サービス提供装置が利用者認証に用いる情報を示すサービス用認証情報とを対応付けて記憶するサービス用認証記憶部と、前記サービスを利用するための認証を要求する認証要求であって、前記利用者識別情報と前記利用者が利用を希望するサービスの種別とを含む認証要求を前記利用者端末から受け付ける要求受付部と、前記要求受付部によって受け付けた認証要求に含まれるサービスの種別に対応する認証方式を前記認証方式記憶部から選択する選択部と、前記選択部によって選択された認証方式を実行可能な認証処理部を複数の認証処理部のなかから特定し、特定した認証処理部に対して前記選択された認証方式による認証の実行を要求する要求部と、前記要求部によって認証の実行を要求された認証処理部から、前記利用者端末が正当な利用者であると認証された結果を受け付けた場合には、前記認証要求に含まれる利用者識別情報に対応付けられたサービス用認証情報を前記サービス用認証記憶部から取得する取得部と、前記取得部によって取得されたサービス用認証情報を、前記認証要求を送信した利用者端末を介して、前記サービス提供装置に送信する認証情報送信部と、を有することを特徴とする。
また、認証要求変換方法は、ネットワークを介してサービスを提供するサービス提供装置と、前記サービスを利用する利用者端末とのそれぞれに接続される認証要求変換装置で実行される認証要求変換方法であって、前記認証要求変換装置は、前記サービス提供装置が提供するサービスの種別と、サービスの提供を受ける利用者端末の利用者を認証する方式である認証方式とを対応付けて記憶する認証方式記憶部と、前記利用者端末の利用者を特定する利用者識別情報と、前記サービス提供装置が利用者認証に用いる情報を示すサービス用認証情報とを対応付けて記憶するサービス用認証記憶部と、を有し、前記サービスを利用するための認証を要求する認証要求であって、前記利用者識別情報と前記利用者が利用を希望するサービスの種別とを含む認証要求を前記利用者端末から受け付ける要求受付工程と、前記要求受付工程によって受け付けた認証要求に含まれるサービスの種別に対応する認証方式を前記認証方式記憶部から選択する選択工程と、前記選択工程によって選択された認証方式を実行可能な認証処理部を複数の認証処理部のなかから特定し、特定した認証処理部に対して前記選択された認証方式による認証の実行を要求する要求工程と、前記要求工程によって認証の実行を要求された認証処理部から、前記利用者端末が正当な利用者であると認証された結果を受け付けた場合には、前記認証要求に含まれる利用者識別情報に対応付けられたサービス用認証情報を前記サービス用認証記憶部から取得する取得工程と、前記取得工程によって取得されたサービス用認証情報を、前記認証要求を送信した利用者端末を介して、前記サービス提供装置に送信する認証情報送信工程と、を含んだことを特徴とする。
本願に開示する認証要求変換装置および認証要求変換方法は、既存システムに変更を加えることなく、サービスに応じて認証方式を変更することができるという効果を奏する。
以下に、本願に係る認証要求変換装置および認証要求変換方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係る認証要求変換装置および認証要求変換方法が限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係る認証要求変換装置を含むシステムの構成、認証要求変換装置の構成および処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
以下の実施の形態では、第一の実施の形態に係る認証要求変換装置を含むシステムの構成、認証要求変換装置の構成および処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[第一の実施の形態に係る認証要求変換装置を含むシステムの全体構成]
まず、図1を用いて、開示する認証要求変換装置を含む認証要求変換システム100の全体構成について説明する。図1は、認証要求変換装置を含む認証要求変換システムの全体構成を示す図である。
まず、図1を用いて、開示する認証要求変換装置を含む認証要求変換システム100の全体構成について説明する。図1は、認証要求変換装置を含む認証要求変換システムの全体構成を示す図である。
図1に示すように、認証要求変換システム100は、認証要求変換装置10と、利用者端末20と、サービス提供装置30と、複数の認証装置40A〜40Cとがインターネットなどのネットワーク50を介して相互に通信可能に接続される。なお、ここでは、利用者端末20やサービス提供装置30がそれぞれ1台の場合を図示しているが、あくまで例示であり、これに限定されるものではなく、複数台あってもよく、また、認証装置40が3台の場合を図示しているが、あくまで例示であり、これに限定されるものではなく、2台以下であってもよいし、4台以上であってもよい。
認証要求変換装置10は、利用者端末20に対してサービスの種別に応じた認証処理を既存のサービス提供装置30に代わって実行する。これにより、利用者端末20がサービス提供装置30を利用する際に行なわれる認証処理の方式を別の方式(例えば、より安全な方式)に変換し、認証要求変換システム100全体の機能を高度化(例えば、セキュリティ強化による信頼性の向上)させる。なお、認証要求変換装置10の詳しい構成および処理については、図2等を用いて後に詳述する。
利用者端末20は、ネットワーク50を介して提供されるサービスを利用するユーザ端末であり、パスワードやPKI(Public Key Infrastructure)等の認証機能や暗号機能を備えた端末である。このような利用者端末20として、例えば、パーソナルコンピュータやワークステーション、家庭用ゲーム機、インターネットTV、PDA、携帯電話、PHSの如き移動体通信端末などがある。
サービス提供装置30は、ネットワーク50を介して利用者端末20にサービスを提供するサーバであり、例えば、Webサーバ、あるいはHTTP(HyperText Transfer Protocol)やその他のプロトコルを利用してサービスを提供するアプリケーションサーバ等である。また、サービス提供装置30は、ユーザ認証を行って、許可した利用者端末20に対してのみサービスを提供する。
サービス提供装置30が実施するユーザ認証には、パスワード認証など様々な認証手法を用いることができる。例えば、サービス提供装置30は、パスワード認証を用いる場合、『サービスの利用者を特定する「ID(ユーザID)」と「パスワード」』を対応付けた認証DBを有しており、利用者端末20から受け付けたIDとパスワードを認証DB内に記憶している場合にのみ、利用者端末20にサービスを提供する。他の認証手法を用いたサービス提供装置30について、当該認証手法の実施に必要な情報を記憶した認証DBをあらかじめ備えておくことによって同様に実現することができる。
なお、サービス提供装置30が提供するサービスとしては、検索エンジン、ショッピング、銀行等の取引、オークション、音楽ダウンロードなど様々なサービスを提供することができ、特に限定されるものでない。
認証装置40A〜40Cは、利用者端末20の利用者を認証する認証処理を行う。また、認証装置40A〜40Cは、認証要求変換装置10から認証の依頼を受け付けると、利用者端末20の利用者に対して認証処理を行い、認証結果を認証要求変換装置10へ送信する。なお、認証装置40A〜40Cは、複数の認証方式を実行可能な認証装置であってもよいし、1つの認証方式のみを実行可能な認証装置であってもよい。
[認証要求変換システムの構成]
次に、図2を用いて、図1に示した認証要求変換システム100を構成する各装置の構成について説明する。図2は、第一の実施形態に係る認証要求変換システムを構成する各装置のブロック図である。
次に、図2を用いて、図1に示した認証要求変換システム100を構成する各装置の構成について説明する。図2は、第一の実施形態に係る認証要求変換システムを構成する各装置のブロック図である。
図2に示すように、認証要求変換装置10は、記憶部11、制御部12、認証要求制御部13、複数の認証処理部14a〜14cを有し、ネットワーク50を介して利用者端末20、サービス提供装置30、認証装置40と接続される。以下にこれらの各部の処理を説明する。なお、認証要求変換装置10は、複数の認証処理部14a〜14cを、認証方式の種類毎に有している。また、図2の例では、認証処理部14が3台の場合を図示しているが、あくまで例示であり、これに限定されるものではなく、2台以下であってもよいし、4台以上であってもよい。
記憶部11は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、認証方式定義ファイル11a、サービス用認証DB(Data Base)11b、サービス定義ファイル11cを有する。
認証方式定義ファイル11aは、サービス提供装置30が提供するサービスの種別と、サービスの提供を受ける利用者端末20を認証する方式である認証方式とを対応付けて記憶する。具体的には、認証方式定義ファイル11aは、図3に示すように、サービス提供装置30を識別するサービス名を示す「サービス装置識別名」と、サービスを要求する利用者端末20の利用者を認証する方式を示す「認証方式」と、認証要求の依頼先である認証処理部14を識別する情報である「認証先情報」とを対応付けて記憶する。
図3の例を挙げて説明すると、例えば、認証方式定義ファイル11aは、サービス装置識別名「サービスA」と、認証方式「パスワード」と、認証先情報「認証処理部A」とを対応付けて記憶する。これは、サービス提供装置30が提供する「サービスA」を要求する利用者端末20の利用者に対する認証方式が「パスワード」認証であることが事前に定義されており、このパスワード認証を実行可能な認証処理部14が「認証処理部A」であることを意味する。なお、ここでパスワード認証を実行可能な認証処理部14とは、実際に認証処理部14がパスワード認証を行う場合に限らず、外部の認証装置40にパスワード認証を依頼して、パスワード認証を実行させることを含む意味である。
サービス用認証DB11bは、利用者端末20の利用者を特定するユーザ識別情報と、サービス提供装置30が利用者認証に用いる情報を示す認証情報とを対応付けて記憶する。具体的には、サービス用認証DB11bは、図4に示すように、「サービス装置識別名」と、利用者端末20の利用者を一意に識別する「ユーザ識別情報」と、サービス提供装置30が利用者認証に用いる情報である「認証情報」とを対応付けて記憶する。
図4の例を挙げて説明すると、例えば、サービス用認証DB11bは、サービス装置識別名「サービスA」と、ユーザ識別情報「00001」と、認証情報「パスワード」とを対応付けて記憶する。これは、サービス提供装置30が提供する「サービスA」を要求する利用者端末20の利用者のユーザ識別情報が「00001」であり、サービス提供装置30が利用者認証に用いる認証情報である「パスワード」の内容が記憶されていることを意味する。なお、図4の例では、認証情報として、単に「パスワード」とだけ記載されているが、認証情報には、実際のパスワードの値が記憶されているものとする。
サービス定義ファイル11cは、サービス提供装置30が提供するサービスの種別と、該サービスを提供するサービス提供装置30のアドレス情報とを対応付けて記憶する。具体的には、サービス定義ファイル11cは、図5に示すように、「サービス装置識別名」と、サービス提供装置30に対するログイン先のURLである「ログイン先URL」と、サービス装置に対してログイン情報を送信する際の電文形式を示す「ログイン情報電文形式」とを対応付けて記憶する。例えば、図5の例では、「サービスA」を提供するサービス提供装置30に対するログイン先のURLが「https://www.example-a.jp/login」であり、ログイン情報を送信する際の形式が「電文情報」であることが記憶されている。なお、ログイン情報電文形式は、アプリケーションプログラムの実装に依るものであり、具体的な形式の説明は省略する。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、要求受付部12a、選択部12b、要求部12c、取得部12d、送信部12eを有する。
要求受付部12aは、サービスを利用するための認証を要求する認証要求であって、利用者端末20の利用者が利用を希望するサービスの種別を含む認証要求を利用者端末20から受け付ける。具体的には、要求受付部12aは、利用者端末20から認証要求を受信すると、認証要求に含まれるサービス種別を認識する。
選択部12bは、要求受付部12aによって受け付けた認証要求が指定するサービス種別に対応する認証方式を認証方式定義ファイル11aから選択する。具体的には、選択部12bは、予め定義されている認証方式定義ファイル11aを確認し、認証要求により指定されたサービス種別に対応するサービス装置識別名を選択し、選択されたサービス装置識別名に対応する「認証方式」を選択する。
要求部12cは、選択部12bによって選択された認証方式を実行可能な認証処理部14を複数の認証処理部14a〜14cのなかから特定し、特定した認証処理部14に対して選択された認証方式による認証の実行を要求する。
具体的には、要求部12cは、選択された「認証方式」に対応する「認証先情報」を認証方式定義ファイル11aから取得し、「認証先情報」により特定される自装置の認証処理部14に対して、選択された認証方式による認証の実行を要求する。つまり、要求部12cは、自装置の認証処理部14a〜14cのいずれかに対して認証の実行を要求する場合には、認証要求制御部13を介して、選択した認証方式に対応する認証処理部14に対して認証要求を送信する。
取得部12dは、認証の実行を要求された自装置の認証処理部14または外部の認証装置40から、正当な利用者であると認証された結果を受け付けた場合には、認証変換要求に含まれるユーザ識別情報に対応付けられたサービス提供装置30用の認証情報をサービス用認証DB11bから取得する。具体的には、前述した要求部12cが認証の実行を要求した後、自装置の認証処理部14または外部の認証装置40が、利用者(利用者端末20)に対し、認証情報の提示(パスワードの入力や証明書の提示など)を求め、その認証情報を受け付けて正当な利用者であるか判断する認証処理を行う。そして、外部の認証装置40が認証処理を行った場合には、認証結果を認証処理部14に返信する。また、自装置の認証処理部14が、認証処理を行った場合、または、外部の認証装置40から認証結果を受信した場合には、認証結果とともに認証変換要求を取得部12dに送信する。そして、取得部12dは、認証結果および認証変換要求を受信し、認証結果が正当な利用者であると認証された結果である場合には、サービス用認証DB11bを参照し、認証変換要求に含まれる「サービス装置識別名」および「ユーザ識別情報」に対応する「認証情報」を取得する。
送信部12eは、取得部12dによって取得されたサービス提供装置30用の認証情報を、認証要求を送信した利用者端末20を介して、サービス提供装置30に送信する。具体的には、送信部12eは、取得部12dによってサービス提供装置30用の「認証情報」が取得されると、利用者端末20の利用者が利用を希望したサービスの「サービス装置識別名」に対応するサービス提供装置30の「ログイン先URL」および「ログイン情報電文形式」をサービス定義ファイル11cから取得し、「ログイン情報電文形式」に従って「ログイン先URL」に対して、サービス提供装置30用の認証情報をサービス提供装置30に送信する。これにより、検証結果が整合すれば、利用者端末20は、リダイレクト形式でサービス提供装置30にログインできる。
認証要求制御部13は、サービス毎に指定された認証方式に対応する認証処理部14a〜14cに対し、認証要求を振り分ける。具体的には、認証要求制御部13は、要求部12cから受信した認証要求を、選択部12bによって選択された認証方式に対応する認証処理部14a〜14cのいずれかに振り分ける。
複数の認証処理部14a〜14cは、それぞれ異なる認証形式により利用者端末20の利用者を認証する認証処理を行う。また、認証処理部14a〜14cは、外部の認証装置40に対して認証を依頼することもできる。具体的には、各認証処理部14a〜14cは、前述した要求部12cから認証要求を受信すると、自身で認証を行うか、または、外部の認証装置40に認証を依頼するか判定する。この結果、認証処理部14a〜14cは、自身で認証を行うと判定した場合には、利用者端末20の利用者を認証する認証処理(本人の正当性検証)を行う。また、認証処理部14a〜14cは、外部の認証装置40に認証を依頼すると判定した場合には、認証要求を認証装置40に送信し、認証装置40に認証処理を行わせた後、認証結果を認証装置40から受信する。
次に、認証装置40ついて簡単に説明する。認証装置40は、利用者に対して行う認証に用いられる情報を記憶し、例えば、ユーザ識別情報に対応付けて、証明書認証や生体認証に必要な情報を記憶する。
また、認証装置40は、利用者端末20の利用者に対する認証を行う旨の要求を認証処理部14から受信すると、利用者端末20の利用者に対して、認証処理(本人の正当性検証処理)を行い、認証処理が行われた結果を認証処理部14に対して送信する。
[認証要求変換システムによる処理]
次に、図6を用いて、第一の実施形態に係る認証要求変換システム100による処理の流れを説明する。図6は、第一の実施形態に係る認証要求変換システム100による処理の流れを示すシーケンス図である。
次に、図6を用いて、第一の実施形態に係る認証要求変換システム100による処理の流れを説明する。図6は、第一の実施形態に係る認証要求変換システム100による処理の流れを示すシーケンス図である。
図6に示すように、利用者端末20は、利用者によって入力された、対象サービスごとに指定された専用のアドレス情報(URL等)によって認証要求変換装置10にアクセスすることで、認証要求変換装置10に対して認証要求を送信する(ステップS101)。
そして、認証要求変換装置10の要求受付部12aが、認証要求を受け付け、認証要求に含まれるサービス提供装置30を識別可能な情報を抽出した後、選択部12bは、予め定義されている認証方式定義ファイル11aをチェックし、認証要求から抽出されたサービス装置識別名に対応する「認証方式」を選択する(ステップS102)。
そして、要求部12cは、選択された「認証方式」に対応する「認証先情報」を認証方式定義ファイル11aから取得し、「認証先情報」により特定される自装置の認証処理部14に対し、認証要求を送信した利用者端末20を介して、選択された認証方式による認証の実行を要求する(ステップS103)。そして、認証処理部14は、認証装置40に対して認証要求を行う(ステップS104)。なお、認証処理部14は、認証装置40に対して認証要求を行わずに、自ら認証処理を行ってもよい。
続いて、認証装置40は、認証要求変換装置10が要求した認証要求を受け付け、認証処理(本人の正当性検証)を行う(ステップS105)。そして、認証装置40は、認証結果(ここでは、正当な利用者であると認証された結果)の応答を認証処理部14に対して送信する(ステップS106)。
そして、認証結果を受け取った認証要求変換装置10の認証処理部14は、自装置の取得部12dに対して、認証情報の認証変換要求を行う(ステップS107)。続いて、取得部12dは、認証返還要求を受け付け、変換処理を行う(ステップS108)。具体的には、取得部12dは、利用者端末20が正当な利用者であると認証された結果を受け付けた場合には、認証要求に含まれるユーザ識別情報に対応付けられたサービス提供装置30用の認証情報をサービス用認証DB11bから取得する。
続いて、認証要求変換装置10の送信部12eは、利用者端末20の利用者が利用を希望したサービスのサービス装置識別名に対応するサービス提供装置30の「ログイン先URL」をサービス定義ファイル11cを参照して確認する(ステップS109)。そして、送信部12eは、ログイン先URLに対して、サービス用の利用者識別情報および認証情報を送信する。検証結果が整合すれば利用者端末20がリダイレクト形式でサービス提供装置30にログインすることができる(ステップS110)。
[第一の実施形態に係る認証要求変換装置による効果]
上述してきたように、認証要求変換装置10は、ネットワーク50を介してサービスを提供するサービス提供装置30と、サービスを利用する利用者端末20とのそれぞれに接続される。そして、認証要求変換装置10は、サービス提供装置30が提供するサービスの種別と、サービスの提供を受ける利用者端末20を認証する方式である認証方式とを対応付けて記憶する。また、認証要求変換装置10は、利用者端末20の利用者を特定するユーザ識別情報と、サービス提供装置30が利用者認証に用いる情報を示すサービス提供装置30用の認証情報とを対応付けて記憶する。そして、認証要求変換装置10は、サービスを利用するための認証を要求する認証要求であって、ユーザ識別情報と利用者端末20の利用者が利用を希望するサービスの種別とを含む認証要求を利用者端末20から受け付け、受け付けた認証要求に含まれるサービスの種別に対応する認証方式を認証方式定義ファイル11aから選択する。そして、認証要求変換装置10は、選択された認証方式を実行可能な認証処理部14または認証装置40を特定し、特定した認証処理部14または認証装置40に対して選択された認証方式による認証の実行を要求し、認証の実行を要求された認証処理部14または認証装置40から、利用者端末20が正当な利用者であると認証された結果を受け付けた場合には、認証要求に含まれるユーザ識別情報に対応付けられたサービス用認証情報をサービス用認証DB11bから取得し、取得されたサービス用認証情報を、認証要求を送信した利用者端末20を介して、サービス提供装置30に送信する。
上述してきたように、認証要求変換装置10は、ネットワーク50を介してサービスを提供するサービス提供装置30と、サービスを利用する利用者端末20とのそれぞれに接続される。そして、認証要求変換装置10は、サービス提供装置30が提供するサービスの種別と、サービスの提供を受ける利用者端末20を認証する方式である認証方式とを対応付けて記憶する。また、認証要求変換装置10は、利用者端末20の利用者を特定するユーザ識別情報と、サービス提供装置30が利用者認証に用いる情報を示すサービス提供装置30用の認証情報とを対応付けて記憶する。そして、認証要求変換装置10は、サービスを利用するための認証を要求する認証要求であって、ユーザ識別情報と利用者端末20の利用者が利用を希望するサービスの種別とを含む認証要求を利用者端末20から受け付け、受け付けた認証要求に含まれるサービスの種別に対応する認証方式を認証方式定義ファイル11aから選択する。そして、認証要求変換装置10は、選択された認証方式を実行可能な認証処理部14または認証装置40を特定し、特定した認証処理部14または認証装置40に対して選択された認証方式による認証の実行を要求し、認証の実行を要求された認証処理部14または認証装置40から、利用者端末20が正当な利用者であると認証された結果を受け付けた場合には、認証要求に含まれるユーザ識別情報に対応付けられたサービス用認証情報をサービス用認証DB11bから取得し、取得されたサービス用認証情報を、認証要求を送信した利用者端末20を介して、サービス提供装置30に送信する。
このように、認証要求変換装置10は、対象サービスごとに認証方式を変えられるように、事前にサービスと認証方式の組合せを定義して管理することで、アクセス要求のあったサービスに応じて、ユーザに対する認証方式を変えることができる。この結果、認証要求変換装置10では、既存システムに変更を加えることなく、サービスに応じて認証方式を変更することが可能となる。
また、認証要求変換装置10は、サービス提供装置30が提供するサービスの種別と、該サービスを提供するサービス提供装置30のアドレス情報(URL)とを対応付けて記憶する。そして、認証要求変換装置10は、認証の実行を要求された認証処理部14または認証装置40から、利用者端末20が正当な利用者であると認証された結果を受け付けた場合には、利用者端末20の利用者が利用を希望したサービスの種別に対応するサービス提供装置30のアドレス情報をサービス定義ファイル11cから取得し、アドレス情報を用いて、サービス提供装置30用の認証情報をサービス提供装置30に送信する。これにより、サービス提供装置30に対して認証情報を適切に送信することが可能である。
[認証要求]
なお、上記の実施形態では、認証要求変換装置10の要求部12cが認証の要求を自装置の認証処理部14に送信した後、認証の要求を受け付けた認証処理部14が、自装置で認証処理を行うか、外部の認証装置40に認証を要求するかを判断する場合を説明したが、本発明はこれに限定されるものではなく、要求部12cが自装置の認証処理部14に認証を要求するか外部の認証装置40に認証を要求するかを判断し、自装置の認証処理部14または外部の認証装置40のいずれかに一方に対して認証の実行を要求するようにしてもよい。
なお、上記の実施形態では、認証要求変換装置10の要求部12cが認証の要求を自装置の認証処理部14に送信した後、認証の要求を受け付けた認証処理部14が、自装置で認証処理を行うか、外部の認証装置40に認証を要求するかを判断する場合を説明したが、本発明はこれに限定されるものではなく、要求部12cが自装置の認証処理部14に認証を要求するか外部の認証装置40に認証を要求するかを判断し、自装置の認証処理部14または外部の認証装置40のいずれかに一方に対して認証の実行を要求するようにしてもよい。
このように、認証要求変換装置10は、選択された認証方式を実行可能な自装置の認証処理部14、外部の認証装置40いずれか一方に対して認証の実行を要求するので、認証要求変換装置10は、認証要求変換装置10内で認証処理を行うことも可能であるし、外部の装置に認証処理を行わせることも可能である。
[システム構成]
また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
[プログラム]
また、上記実施形態において説明した認証要求変換装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係る認証要求変換装置10が実行する処理をコンピュータが実行可能な言語で記述した認証要求変換プログラムを作成することもできる。この場合、コンピュータが認証要求変換プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる認証要求変換プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された認証要求変換プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図2に示した認証要求変換装置10と同様の機能を実現する認証要求変換プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態において説明した認証要求変換装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係る認証要求変換装置10が実行する処理をコンピュータが実行可能な言語で記述した認証要求変換プログラムを作成することもできる。この場合、コンピュータが認証要求変換プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる認証要求変換プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された認証要求変換プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図2に示した認証要求変換装置10と同様の機能を実現する認証要求変換プログラムを実行するコンピュータの一例を説明する。
図7は、認証要求変換プログラムを実行するコンピュータ1000を示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図7に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図7に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図7に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図7に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図7に例示するように、例えばディスプレイ1061に接続される。
ここで、図7に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の認証要求変換プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、要求受付手順、選択手順、要求手順、取得手順、送信手順を実行する。
なお、認証要求変換プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、認証要求変換プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 認証要求変換装置
11 記憶部
11a 認証方式定義ファイル
11b サービス用認証DB
11c サービス定義ファイル
12 制御部
12a 要求受付部
12b 選択部
12c 要求部
12d 取得部
12e 送信部
13 認証要求制御部
14a〜14c 認証処理部
20 利用者端末
30 サービス提供装置
40A〜40C 認証装置
50 ネットワーク
11 記憶部
11a 認証方式定義ファイル
11b サービス用認証DB
11c サービス定義ファイル
12 制御部
12a 要求受付部
12b 選択部
12c 要求部
12d 取得部
12e 送信部
13 認証要求制御部
14a〜14c 認証処理部
20 利用者端末
30 サービス提供装置
40A〜40C 認証装置
50 ネットワーク
Claims (4)
- ネットワークを介してサービスを提供するサービス提供装置と、前記サービスを利用する利用者端末とのそれぞれに接続される認証要求変換装置であって、
前記サービス提供装置が提供するサービスの種別と、サービスの提供を受ける利用者端末の利用者を認証する方式である認証方式とを対応付けて記憶する認証方式記憶部と、
前記利用者端末の利用者を特定する利用者識別情報と、前記サービス提供装置が利用者認証に用いる情報を示すサービス用認証情報とを対応付けて記憶するサービス用認証記憶部と、
前記サービスを利用するための認証を要求する認証要求であって、前記利用者識別情報と前記利用者が利用を希望するサービスの種別とを含む認証要求を前記利用者端末から受け付ける要求受付部と、
前記要求受付部によって受け付けた認証要求に含まれるサービスの種別に対応する認証方式を前記認証方式記憶部から選択する選択部と、
前記選択部によって選択された認証方式を実行可能な認証処理部を複数の認証処理部のなかから特定し、特定した認証処理部に対して前記選択された認証方式による認証の実行を要求する要求部と、
前記要求部によって認証の実行を要求された認証処理部から、前記利用者端末が正当な利用者であると認証された結果を受け付けた場合には、前記認証要求に含まれる利用者識別情報に対応付けられたサービス用認証情報を前記サービス用認証記憶部から取得する取得部と、
前記取得部によって取得されたサービス用認証情報を、前記認証要求を送信した利用者端末を介して、前記サービス提供装置に送信する認証情報送信部と、
を有することを特徴とする認証要求変換装置。 - 前記要求部は、前記選択部によって選択された認証方式を実行可能な認証処理部を、自装置と外部の装置とがともに有する場合には、いずれか一方の認証処理部に対して認証の実行を要求することを特徴とする請求項1に記載の認証要求変換装置。
- 前記サービス提供装置が提供するサービスの種別と、該サービスを提供するサービス提供装置のアドレス情報とを対応付けて記憶するアドレス情報記憶部をさらに有し、
前記認証情報送信部は、前記要求部によって認証の実行を要求された認証処理部から、前記利用者端末が正当な利用者であると認証された結果を受け付けた場合には、前記利用者が利用を希望したサービスの種別に対応するサービス提供装置のアドレス情報を前記アドレス情報記憶部から取得し、該アドレス情報を用いて、前記サービス用認証情報を前記サービス提供装置に送信することを特徴とする請求項1または2に記載の認証要求変換装置。 - ネットワークを介してサービスを提供するサービス提供装置と、前記サービスを利用する利用者端末とのそれぞれに接続される認証要求変換装置で実行される認証要求変換方法であって、
前記認証要求変換装置は、
前記サービス提供装置が提供するサービスの種別と、サービスの提供を受ける利用者端末の利用者を認証する方式である認証方式とを対応付けて記憶する認証方式記憶部と、
前記利用者端末の利用者を特定する利用者識別情報と、前記サービス提供装置が利用者認証に用いる情報を示すサービス用認証情報とを対応付けて記憶するサービス用認証記憶部と、を有し、
前記サービスを利用するための認証を要求する認証要求であって、前記利用者識別情報と前記利用者が利用を希望するサービスの種別とを含む認証要求を前記利用者端末から受け付ける要求受付工程と、
前記要求受付工程によって受け付けた認証要求に含まれるサービスの種別に対応する認証方式を前記認証方式記憶部から選択する選択工程と、
前記選択工程によって選択された認証方式を実行可能な認証処理部を複数の認証処理部のなかから特定し、特定した認証処理部に対して前記選択された認証方式による認証の実行を要求する要求工程と、
前記要求工程によって認証の実行を要求された認証処理部から、前記利用者端末が正当な利用者であると認証された結果を受け付けた場合には、前記認証要求に含まれる利用者識別情報に対応付けられたサービス用認証情報を前記サービス用認証記憶部から取得する取得工程と、
前記取得工程によって取得されたサービス用認証情報を、前記認証要求を送信した利用者端末を介して、前記サービス提供装置に送信する認証情報送信工程と、
を含んだことを特徴とする認証要求変換方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012131842A JP2013257625A (ja) | 2012-06-11 | 2012-06-11 | 認証要求変換装置および認証要求変換方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012131842A JP2013257625A (ja) | 2012-06-11 | 2012-06-11 | 認証要求変換装置および認証要求変換方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013257625A true JP2013257625A (ja) | 2013-12-26 |
Family
ID=49954042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012131842A Pending JP2013257625A (ja) | 2012-06-11 | 2012-06-11 | 認証要求変換装置および認証要求変換方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013257625A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018026733A (ja) * | 2016-08-10 | 2018-02-15 | 富士通株式会社 | 情報処理装置、情報処理システム、プログラム及び情報処理方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5774551A (en) * | 1995-08-07 | 1998-06-30 | Sun Microsystems, Inc. | Pluggable account management interface with unified login and logout and multiple user authentication services |
| JP2003132022A (ja) * | 2001-10-22 | 2003-05-09 | Nec Corp | ユーザ認証システムおよび方法 |
| JP2009043042A (ja) * | 2007-08-09 | 2009-02-26 | Nec Corp | 認証システムおよび認証方法 |
| JP2010128719A (ja) * | 2008-11-26 | 2010-06-10 | Hitachi Ltd | 認証仲介サーバ、プログラム、認証システム及び選択方法 |
| JP2011003100A (ja) * | 2009-06-19 | 2011-01-06 | Nippon Telegr & Teleph Corp <Ntt> | 認証要求変換装置、認証要求変換方法および認証要求変換プログラム |
| US20110202978A1 (en) * | 2001-01-03 | 2011-08-18 | American Express Travel Related Services Company, Inc. | Method and apparatus for enabling a user to select an authentication method |
-
2012
- 2012-06-11 JP JP2012131842A patent/JP2013257625A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5774551A (en) * | 1995-08-07 | 1998-06-30 | Sun Microsystems, Inc. | Pluggable account management interface with unified login and logout and multiple user authentication services |
| US20110202978A1 (en) * | 2001-01-03 | 2011-08-18 | American Express Travel Related Services Company, Inc. | Method and apparatus for enabling a user to select an authentication method |
| JP2003132022A (ja) * | 2001-10-22 | 2003-05-09 | Nec Corp | ユーザ認証システムおよび方法 |
| JP2009043042A (ja) * | 2007-08-09 | 2009-02-26 | Nec Corp | 認証システムおよび認証方法 |
| JP2010128719A (ja) * | 2008-11-26 | 2010-06-10 | Hitachi Ltd | 認証仲介サーバ、プログラム、認証システム及び選択方法 |
| JP2011003100A (ja) * | 2009-06-19 | 2011-01-06 | Nippon Telegr & Teleph Corp <Ntt> | 認証要求変換装置、認証要求変換方法および認証要求変換プログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018026733A (ja) * | 2016-08-10 | 2018-02-15 | 富士通株式会社 | 情報処理装置、情報処理システム、プログラム及び情報処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111556006B (zh) | 第三方应用***登录方法、装置、终端及sso服务平台 | |
| US9053306B2 (en) | Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium | |
| KR101270323B1 (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
| EP2963884B1 (en) | Bidirectional authorization system, client and method | |
| US8732815B2 (en) | System, method of authenticating information management, and computer-readable medium storing program | |
| US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
| US11012233B1 (en) | Method for providing authentication service by using decentralized identity and server using the same | |
| US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
| CN113273133B (zh) | 用于通信通道交互期间的自动认证的令牌管理层 | |
| JP2017513151A (ja) | プライベートクラウド接続装置クラスタアーキテクチャ | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| JP5431040B2 (ja) | 認証要求変換装置、認証要求変換方法および認証要求変換プログラム | |
| US11777942B2 (en) | Transfer of trust between authentication devices | |
| US20230208831A1 (en) | Service processing method and apparatus, server, and storage medium | |
| JP2016071561A (ja) | サービスプロバイダ装置、プログラム及びサービス提供方法 | |
| JP4847483B2 (ja) | 個人属性情報提供システムおよび個人属性情報提供方法 | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| CN110290109B (zh) | 数据处理方法和装置、处理权限的获取方法和装置 | |
| JP4573559B2 (ja) | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム | |
| JP2010165306A (ja) | サービス提供方法、サービス提供システム、代理装置、そのプログラム | |
| JP5589034B2 (ja) | 情報流通システム、認証連携方法、装置及びそのプログラム | |
| JP2013257625A (ja) | 認証要求変換装置および認証要求変換方法 | |
| KR102181608B1 (ko) | 연합 인증 장치 및 그것의 연합 인증 방법 | |
| KR101463545B1 (ko) | 사용자 인증 시스템, 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140620 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150127 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150317 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150512 |