JP4078289B2 - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JP4078289B2 JP4078289B2 JP2003379449A JP2003379449A JP4078289B2 JP 4078289 B2 JP4078289 B2 JP 4078289B2 JP 2003379449 A JP2003379449 A JP 2003379449A JP 2003379449 A JP2003379449 A JP 2003379449A JP 4078289 B2 JP4078289 B2 JP 4078289B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- information
- requesting device
- attribute information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012545 processing Methods 0.000 claims description 74
- 238000004891 communication Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000000034 method Methods 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 4
- 102100024061 Integrator complex subunit 1 Human genes 0.000 description 13
- 101710092857 Integrator complex subunit 1 Proteins 0.000 description 13
- 230000006870 function Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 102100028043 Fibroblast growth factor 3 Human genes 0.000 description 6
- 108050002021 Integrator complex subunit 2 Proteins 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
この発明は、認証システムに関するものであり、特に、認証処理の一元化に関するものである。
特開2002−73561号公報には、同一のユーザが、異なる通信端末によってアクセスした場合であっても、同一ユーザであることを判別できるようにしたシステムが開示されている。この技術では、通信端末IDに加えて、個人ごとにユニークな個人IDを与え、両者の組み合わせによって認証を行うので、異なる通信端末からアクセスがあった場合であっても、同一人であることを認識できる。
上記の従来技術では、同一人からの異なる通信端末によるアクセスを判定でき、この意味では、認証の一元化が図られている。しかし、一つのシステムにおける認証を考慮するのみであって、複数の企業におけるサーバシステム、複数のサービスなどに対し、これらを一元的に認証を行うことのできるシステムではない。また、一つのシステム内であっても、異なる認証を行う異なる通信経路からのアクセスに対する一元化も考慮されていなかった。このように、通信経路ごと、あるいは、企業ごと、サービスごとに、認証に必要な情報が異なることが一般的であり、これらを一元化することは容易ではなかった。
特に、複数の認証を希望する装置(認証要求装置)に対して、集中的に認証を一元管理する装置を構築しようと試みると、認証要求装置の側においても、特定のユーザやグループに対するアクセス制限をするなどの処理を行う場合があり、これらを含めての一元化は困難であった。
この発明は、上記のような問題点を解決して、異なる企業やサービスにおける、異なる通信端末に対する認証処理を一元化できるシステムを提供することを目的とする。
(1)この発明に係る認証システム、認証処理装置、認証処理プログラムは、
前記認証要求装置が、
ユーザ端末装置から、認証処理のためのユーザ属性情報を受信し、
受信したユーザ属性情報を含む認証要求を認証処理装置に送信し、
前記認証処理装置が、
認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録しており、
認証要求装置からの認証要求を受けて、ユーザ属性情報に基づいて認証処理を行い、結果が否定的であれば、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信し、結果が肯定的であれば、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信するとともに、
認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴としている。
したがって、認証処理の一元化を実現しつつ、認証に関連する処理について認証要求装置側で行う場合であっても、当該認証要求装置のための返送データを認証装置に返送することにより、認証処理の一元化を図ることができる。
前記認証要求装置が、
ユーザ端末装置から、認証処理のためのユーザ属性情報を受信し、
受信したユーザ属性情報を含む認証要求を認証処理装置に送信し、
前記認証処理装置が、
認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録しており、
認証要求装置からの認証要求を受けて、ユーザ属性情報に基づいて認証処理を行い、結果が否定的であれば、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信し、結果が肯定的であれば、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信するとともに、
認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴としている。
したがって、認証処理の一元化を実現しつつ、認証に関連する処理について認証要求装置側で行う場合であっても、当該認証要求装置のための返送データを認証装置に返送することにより、認証処理の一元化を図ることができる。
(4)この発明に係る認証システム、認証処理装置、認証処理プログラムにおいては、返送データ情報は、ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報を備えており、認証手段は、認証結果が肯定的である場合、前記ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報とに基づいて、返送データとしてのユーザ属性を抽出することを特徴としている。
したがって、返送データ情報を効率的に記録でき、返送データ抽出処理も迅速である。
(5)この発明に係る認証システム、認証処理装置、認証処理プログラムは、複数の認証要求装置は、異なる種類の通信経路によってユーザ端末装置と接続される2以上の認証要求装置を含むことを特徴としている。
(6)この発明に係る認証システム、認証処理装置、認証処理プログラムは、認証要求装置は、受け取った返送データの内容に基づいて、当該ユーザに対する処理内容を変えることを特徴としている。
したがって、認証処理の一元化を実現しつつ、認証要求装置は、返送データに基づき、ユーザによって異なる処理を実現することができる。
(7)この発明に係る認証システム、認証処理装置、認証処理プログラムは、
前記記録部には、ユーザごとに、当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報、およびユーザごとに、認証要求装置が認証のために必要とする必要ユーザ属性を明らかにした認証必要情報が記録されており、
前記認証手段は、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
送信されてきたユーザ属性情報が、当該ユーザに対して認証のために必要とされる必要属性情報に合致するか否かを、記録部の認証必要情報に基づいて判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果および返送データを送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
をさらに備えていることを特徴としている。
前記記録部には、ユーザごとに、当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報、およびユーザごとに、認証要求装置が認証のために必要とする必要ユーザ属性を明らかにした認証必要情報が記録されており、
前記認証手段は、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
送信されてきたユーザ属性情報が、当該ユーザに対して認証のために必要とされる必要属性情報に合致するか否かを、記録部の認証必要情報に基づいて判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果および返送データを送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
をさらに備えていることを特徴としている。
したがって、許可装置情報と認証必要情報との組合せにより、様々な形態の認証に対しても対応しつつ、認証処理の一元化を図ることができる。
この発明において、「プログラム」とは、CPUにより直接実行可能なプログラムだけでなく、ソース形式のプログラム、圧縮処理がされたプログラム、暗号化されたプログラム等を含む概念である。
「返送データ情報」は、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した1つのテーブルであってもよいし、2以上のテーブルによって実現したものでもよい。実施形態では、認証要求元データテーブル62の認証対象の返答属性と、認証対象データテーブル64の属性情報が、返送データ情報に該当する。
「認証要求装置の受信手段」は、実施形態では、図8のフローチャートにおけるステップS1によって実現されるCPUの機能がこれに対応する。
「認証要求装置の送信手段」は、実施形態では、図8のフローチャートにおけるステップS2によって実現されるCPUの機能がこれに対応する。
「認証処理装置の受信手段」は、実施形態では、図8のフローチャートにおけるステップS2に対応して、認証処理装置がこれを受信する機能がこれに対応する。
「認証手段」は、実施形態では、図9のフローチャートにおけるステップS54、S55、S56、S57、S58によって実現されるCPUの機能がこれに対応する。
「第1の判断手段」は、実施形態では、図9のフローチャートにおけるステップS54によって実現されるCPUの機能がこれに対応する。
「第2の判断手段」は、実施形態では、図9のフローチャートにおけるステップS56によって実現されるCPUの機能がこれに対応する。
「認証処理装置の送信手段」は、実施形態では、図9のフローチャートにおけるステップS55、S58によって実現されるCPUの機能がこれに対応する。
図1に、この発明の一実施形態による認証システムの概念図を示す。認証対象T1,T2....Tnは、それぞれ、認証要求元R1,R2....Rmのいずれかを選んで接続可能であるとする。つまり、同じ認証対象T1,T2....Tnが、異なる認証要求元R1,R2....Rmに接続できるようになっている。認証要求元R1,R2....Rmは、認証処理装置Sに接続されている。
認証対象T1,T2....Tnのいずれか(ここでは、認証対象T2とする)が、認証要求元R1,R2....Rmのいずれか(ここでは、認証要求元R5とする)にアクセスすると、認証要求元R5は、認証対象T2から認証対象の属性情報を取得する。認証要求元R5は、この認証対象属性情報と自己の属性情報を、認証処理装置Sに送信する。
認証処理装置Sは、受信した認証対象属性情報と認証要求元の属性情報との組み合わせに基づいて、記録されている認証必要情報Vを参照し、認証対象T2に対する認証を行う。
このように、認証対象属性情報と認証要求元属性情報との組み合わせに基づいて、認証の可否を判断するようにしているので、認証対象が異なるグループ(企業、部署など)に所属しており、各グループによって認証の方法が異なる場合においても、認証処理装置によって一元的な管理を行うことができる。また、認証対象が同じであっても、いずれの認証要求元にアクセスを要求したかによって認証の可否を変えるようにしたい場合においても、認証処理装置によって一元的な管理を行うことができる。
図2に、この発明の一実施形態による認証システムの全体構成を示す。ユーザU1,U2,U3,U4が、図1の概念図における認証対象T1,T2...に対応している。また、リモートアクセスサーバ装置RS1,RS2、無線LANアクセスポイント装置WL、仮想プライベートネットワーク(VPN)ゲートウエイ装置VPN、アプリケーションサーバ装置APSは、認証要求元R1,R2....に対応している。ユーザU1,U2,U3,U4は、端末装置などによって、これらの認証要求元と通信可能である。また、認証処理装置Sには、認証必要情報Vとして、ユーザに関する認証対象情報V1、認証要求元に関する認証要求元情報V2が記録されている。
図3に、認証システムの全体的ハードウエア構成の例を示す。イントラネットINT1は、ユーザU1,U2,U3が所属する企業の社内イントラネットである。また、イントラネットINT2は、ユーザU4の所属する企業の社内イントラネットである。
各ユーザU1,U2,U3,U4は、端末装置20,22,24,26,28などから、許可されたイントラネットINT1,INT2にアクセス可能となっている。
社内に設けられたイントラネットINT1に対しては、複数の通信経路を介してアクセス可能になっている。インターネットINNを介してのアクセスのために、VPNゲートウエイ装置VPNが設けられている。公衆回線網PBNを介してのアクセスのために、リモートアクセスサーバ装置RS1が設けられている。また、社内からLANカード等によってイントラネットINT1にアクセスするためのウエブ・アプリケーションサーバAPSが設けられている。さらに、社内から無線LANによってイントラネットINT1にアクセスするための無線LANアクセスポイント装置WLが設けられている。イントラネットINT1と認証処理装置Sは、ルータROOT1によって、接続されている。
他の社内のイントラネットINT2には、公衆回線網PBNを介してのアクセスのための、リモートアクセスサーバ装置RS2が設けられている。図示はしていないが、イントラネットINT1と同じように、イントラネットINT1と同様、VPNゲートウエイ装置、ウエブアプリケーションサーバ装置、無線LANアクセスポイント装置が設けられている。イントラネットINT2と認証処理装置Sは、ルータROOT2によって、接続されている。
図4に、リモートアクセスサーバ装置RS1,RS2、VPNゲートウエイ装置VPN、ウエブアプリケーションサーバ装置APS、無線LANアクセスポイント装置WLの各機器の基本的ハードウエア構成を示す。なお、図4は、各機器に共通な構成部分を示したものであり、各機器は、それぞれの機能に応じた構成、プログラムを有している。
通信回路2は、ユーザU1,U2,U3,U4が操作する端末装置20,22,24,26,28との通信および認証処理装置Sとの通信を行うためのものである。CPU4は、ハードディスク8に格納されたオペレーティングシステム12、認証要求プログラム10にしたがって、認証要求処理を行う。メモリ6は、一時記憶などのワーク領域である。ハードディスク8には、オペレーティングシステム12、認証要求プログラム10が記憶されている。なお、これらプログラムは、CD−ROMドライブ(図示せず)を介して、CD−ROM(図示せず)などの記録媒体からインストールされたものである。
図5に、認証処理装置Sのハードウエア構成を示す。通信回路52は、認証要求装置であるリモートアクセスサーバ装置RS1,RS2、VPNゲートウエイ装置VPN、ウエブアプリケーションサーバ装置APS、無線LANアクセスポイント装置WLとの通信を行うためのものである。CPU54は、ハードディスク58に格納されたオペレーティングシステム66、認証処理プログラム60にしたがって、認証要求元データテーブル62、認証対象データテーブル64を用いて認証処理を行う。メモリ56は、一時記憶などのワーク領域である。ハードディスク58には、オペレーティングシステム66、認証処理プログラム60、認証要求元データテーブル62、認証対象データテーブル64が記憶されている。なお、これらプログラムおよびデータは、CD−ROMドライブ(図示せず)を介して、CD−ROM(図示せず)などの記録媒体からインストールされたものである。
図6に、認証要求元データテーブル62の例を示す。このテーブル62には、それぞれの認証要求装置に対応づけて、その認証要求装置自身の認証を行うための情報を記録している(属性情報の欄)。図においては、認証要求装置のid(id=の項目)とパスワード(password=の項目)とIPアドレス(ipaddress=の項目)が認証のための情報である旨が記録されている。
また、それぞれの認証要求装置に対応づけて、当該認証要求装置において要求するユーザ認証情報の種類を記録している(認証対象の確認属性の欄)。たとえば、リモートアクセスサーバRS1は、ユーザ識別情報(uid1)、パスワード(password1)、発信者電話番号(clid)による認証を必要としていることが示されている。また、無線LANアクセスポイント装置WLは、ユーザ識別情報(uid1)、パスワード(password1)、ユーザグループのID(ssid)による認証を必要としていることが示されている。
さらに、認証結果が肯定的であった場合に、当該認証装置に返送すべき情報を記録している(認証対象の返答属性の欄)。たとえば、リモートアクセスサーバ装置RS1に対しては、IPアドレス(ipaddress)を返送する旨が示されている。VPNゲートウエイ装置VPNに対しては、グループ情報(group)を返送する旨が示されている。これらの返送情報は、認証要求元テーブル62の当該ユーザについての属性情報の欄から取得することができる。また、無線LANアクセスポイント装置WLに対しては、何も返送しないことが示されている。
図7に、認証対象データテーブル64の例を示す。このテーブル64には、認証対象であるユーザU1,U2,U3,U4ごとに、当該ユーザが、いずれの認証要求装置を介してイントラネットINT1,INT2に接続することが許されているかが示されている(許可された認証要求元の欄)。たとえば、ユーザU1は、リモートアクセスサーバ装置RS1、無線LANアクセスポイント装置WL、アプリケーションサーバ装置APS、VPNゲートウエイ装置VPNを介して、接続が可能である旨が示されている。
また、各ユーザU1,U2,U3,U4ごとに、接続が許されている認証要求装置が要求する認証項目としての属性情報を記録している(属性情報の欄)。認証処理を行う際には、ここに記載された属性情報のうち、認証要求元データテーブル62に記録された認証要求元に応じたユーザ認証情報の種類(認証対象の確認属性の欄)に対応する属性のみを抽出して用いる。また、この実施形態では、認証が肯定的であった場合に、認証要求装置に返送するための属性(たとえば、ipaddress)も記録されている。
図8〜図10に、認証要求装置の認証要求プログラム10、認証処理装置Sの認証処理プログラム60のフローチャートを示す。ここでは一例として、ユーザU1が、端末装置24(この実施形態では端末装置によって認証結果は変わらないので、いずれの端末装置を用いてもよい)を用い、公衆回線網PBNを介して、リモートアクセスサーバ装置RS1にアクセスしてきたものとして説明する。以下、装置の処理動作として示すものは、CPUがプログラムに基づいて行う処理動作である。
まず、端末装置24からのアクセスを受けたリモートアクセスサーバ装置RS1は、端末装置24に対して、ユーザ属性情報(ユーザ識別情報、パスワードなど)入力のための画面を送信する。端末装置24のユーザは、これに応じて、ユーザ属性情報を入力して、リモートアクセスサーバ装置RS1に送信する。この際、当該端末装置24を特定する情報clid(発信元の電話番号など)も併せて送信される。このようにして、リモートアクセスサーバ装置RS1は、ユーザ属性情報を取得する(ステップS1)。ここでは、予め定められたとおり、ユーザidとしてuesr1が、パスワードpasswordとしてpassword1が、発信元情報clidとして07000000001がリモートアクセスサーバ装置RS1に送られる。リモートアクセスサーバ装置RS1は、受け取ったこれら情報に、さらに、当該端末装置24に対して割り当てたIPアドレスを加えて、ユーザ属性情報とする。
続いて、リモートアクセスサーバ装置RS1は、認証処理装置Sに対して、認証要求を行う。まず、リモートアクセスサーバ装置RS1自身の認証を行うため、予め定められているリモートアクセスサーバ装置RS1の属性情報を送信する
ここでは、ハードディスク8に、属性情報として、図11のようなデータが記録されているものとする。識別情報idとしてras01が記録され、パスワードpasswordとしてpasswordras01が記録され、IPアドレスipaddressとして172.16.1.1が記録されている。
この属性情報を受けた認証処理装置Sは、認証要求を行ってきた認証要求装置に対応する認証のための属性情報を、認証要求元データテーブル62から読み出す。なお、いずれの認証要求装置からの要求であるかは、属性情報に含まれる認証要求装置識別情報idによって知ることができる。ここでは、リモートアクセスサーバ装置RS1に対して記述された、識別情報idとしてras01が読み出され、パスワードpasswordとしてpasswordras01が読み出され、IPアドレスipaddressとして172.16.1.1が読み出される(図6参照)。次に、認証処理装置Sは、送信されてきた認証要求装置の属性情報が、テーブル62から読み出した認証情報と等しいか否かを判断して認証を行う(ステップS51)。
ここでは、ハードディスク8に、属性情報として、図11のようなデータが記録されているものとする。識別情報idとしてras01が記録され、パスワードpasswordとしてpasswordras01が記録され、IPアドレスipaddressとして172.16.1.1が記録されている。
この属性情報を受けた認証処理装置Sは、認証要求を行ってきた認証要求装置に対応する認証のための属性情報を、認証要求元データテーブル62から読み出す。なお、いずれの認証要求装置からの要求であるかは、属性情報に含まれる認証要求装置識別情報idによって知ることができる。ここでは、リモートアクセスサーバ装置RS1に対して記述された、識別情報idとしてras01が読み出され、パスワードpasswordとしてpasswordras01が読み出され、IPアドレスipaddressとして172.16.1.1が読み出される(図6参照)。次に、認証処理装置Sは、送信されてきた認証要求装置の属性情報が、テーブル62から読み出した認証情報と等しいか否かを判断して認証を行う(ステップS51)。
合致しなければ、認証”不可”の旨を認証要求装置に返送する(ステップS52)。認証”不可”であれば、認証要求装置は、ステップS3から、ステップS7へ進み、端末装置に対して認証”不可”の旨を送信する。
ここでは、認証要求装置であるリモートアクセスサーバ装置RS1からの属性情報(図11)は、認証要求元データテーブル62の属性情報(図6)と一致する。したがって、認証処理装置Sは、認証”可”の旨をリモートアクセスサーバ装置RS1に送り返す(ステップS53)。
認証”可”の結果を受けたリモートアクセスサーバ装置RS1は、ステップS3からステップS4に進む。ステップS4で、リモートアクセスサーバ装置RS1は、ステップS1にて取得したユーザ属性情報を、認証処理装置Sに送信する。
これを受けて、認証処理装置Sは、ユーザ属性情報中のユーザ識別情報に基づいてユーザを特定する。次に、認証対象データテーブル64の「許可された認証要求元」の欄を参照して、認証要求を行ってきた認証要求装置が、当該ユーザに対してアクセスが許可されているか否かを判断する(ステップS54)。つまり、認証要求を行ってきた認証要求装置が、当該ユーザの「許可された認証要求元」の欄に記載されていれば、アクセスが許可されていると判断する。
記載されていなければ、アクセスが許可されていないと判断する。当該ユーザに対してアクセスが許可されていないと判断した場合、認証”不可”の旨を、認証要求装置に送り返す(ステップS55)。認証要求装置は、ステップS5を経てステップS7を実行し、端末装置に対して認証”不可”の旨を送信する。
ここでは、認証対象データテーブル64において、ユーザU1についての「許可された認証要求元」の欄には、リモートアクセスサーバ装置RS1が含まれているので、アクセス可能であると判断する。
次に、認証処理装置Sは、認証要求元データテーブル62から、認証要求装置に対応する「認証対象の確認属性」を取得する。ここでは、リモートアクセスサーバ装置RS1に対応する、ユーザ識別情報uid1、パスワードpassword、発信元情報clidが取得される。続いて、認証対象テーブル64を参照して、当該ユーザに対応する「属性情報」の欄から、上記の種類に合致する属性情報を抽出する。ここでは、ユーザU1に対応する属性情報の記述のうち、uid1=user1、password1=password01、clid=07000000001が抽出される。このようにして、認証に必要なユーザ属性情報を得る。
次に、認証処理装置Sは、ステップS2においてリモートアクセスサーバ装置RS1から取得したユーザ属性情報が、上記の認証に必要なユーザ属性情報に合致するかどうかを判断する(ステップS56)。合致しなければ、ステップS55に進み、前述のように認証不可である場合の処理を行う。
ここでは、ステップS2において、ユーザidとしてuesr1を、パスワードpasswordとしてpassword1を、発信元情報clidとして07000000001を取得しており、これは、認証に必要なユーザ属性情報に合致しているので、認証”可”であるとする。
認証”可”と判断した場合、次に、認証要求元データテーブル62を参照して、認証要求装置に対応する「認証対象の返答属性」の欄から返答属性の種類を取得する。ここでは、リモートアクセスサーバ装置RS1に対応して記述されているIPアドレスipaddressを取得することになる。次に、認証処理装置Sは、認証要求装置から送られてきたユーザ属性情報中からIPアドレスを抽出する(ステップS57)。続いて、認証”可”である旨のデータと、抽出した返答データ(ここではIPアドレス)を、これを認証要求装置に送信する(ステップS58)。
これを受けた認証要求装置は、認証可かどうかを判断し(ステップS5)、”可”でなければ、端末装置42に対して認証”不可”の旨を送信し、アクセスを許可しない(ステップS7)。また、”可”であれば、端末装置42に対して、認証”可”の旨を送信し、アクセスを許可する(ステップS6)。
なお、認証の後、認証要求装置は所定の処理を行う。なお、その処理内容は、返答データの内容に基づいて変わるようにされる。たとえば、IPアドレスに基づいて、所定のコンテンツに対するアクセス制限をかけたりする等の処理を行う。
また、ユーザをグループ分けしておき、そのグループ識別情報を認証要求装置に返送データとして送信すれば、認証要求装置は、グループに応じたアクセス制限などを行うことができる。図6のテーブル62では、VPNゲートウエイVPN、アプリケーションサーバAPSが、グループ識別情報groupを返送するようになっており、認証対象データテーブル64のユーザの属性情報には、グループ識別情報groupが記録されており、これを実現している。以上のようにして、認証が行われる。
上記の例は、認証”可”となる場合を示したが、たとえば、ユーザU2が、アプリケーションサーバ装置APSを通してイントラネットINT1にアクセスしようとした場合、ステップS54において、認証”不可”であると判断されてアクセスが拒否される。
また、同じユーザU1であっても、リモートアクセスサーバ装置RS2を通してイントラネットINT2にアクセスしようとした場合、ステップS54において、認証”不可”であると判断されてアクセスが拒否される。
認証要求元データテーブル62において、無線LANアクセスポイント装置WLにつき、認証対象の確認属性として、グループ情報ssidが含まれている。このグループ情報は、端末装置と認証要求装置との間で予め定められて記録されたものであり、同一のグループに属する端末装置(つまりユーザ)に対しては、同一のグループ情報ssidが記録されることになる。
このグループ情報ssidは、認証要求装置が端末装置から取得してユーザ情報に含めて認証処理装置に送る。このようにして、グループ情報ssidを認証に用いることにより、特定のグループに属する端末装置(ユーザ)に対してのみ認証を可として、特別なサービスを提供することができる。
この実施形態では、いずれの認証要求装置を介してイントラネットにアクセスするかにより、同一人であっても、認証の可否を変えることを実現しつつ、その認証処理を認証処理装置によって一元管理することを可能としている。
なお、上記実施形態では、ルータROOT1によって、イントラネットINT1と認証処理装置Sとを接続している。しかし、ルータROOT1に代えて、専用回線もしくは実質的な専用回線を用いてもよい。たとえば、インターネット上の仮想プライベートネットワークなどを用いて、イントラネットINT1と認証処理装置Sを接続してもよい。
また、ウエブ・アプリケーションサーバAPSを、認証処理装置Sと同じ認証サービス事業者ネットワークNT内に置き、当該アプリケーションサーバAPSと、イントラネットINT1とを、専用回線もしくは実質的な専用回線によって接続するようにしてもよい。
上記の実施形態では、認証要求元データテーブル62に、認証対象の確認属性の種類が記載され、認証対象データテーブル64に当該種類に対応して、認証に用いるデータが記録されている。これによって、ユーザごとに、認証要求装置が認証のために必要とする必要ユーザ属性を明らかにした認証必要情報を記録するようにしている。
しかし、ユーザごと、認証要求装置ごとに、認証に用いるデータを記録した一つのテーブルを作成し、ユーザごとに、認証要求装置が認証のために必要とする必要ユーザ属性を明らかにした認証必要情報を記録するようにしてもよい。
U1,U2,U3・・・ユーザ
RS1,RS2・・・リモートアクセスサーバ装置
WL・・・無線LANアクセスポイント装置
VPN・・・VPNゲートウエイ装置
APS・・・アプリケーションサーバ装置
S・・・認証処理装置
V1・・・認証対象情報
V2・・・認証要求元情報
RS1,RS2・・・リモートアクセスサーバ装置
WL・・・無線LANアクセスポイント装置
VPN・・・VPNゲートウエイ装置
APS・・・アプリケーションサーバ装置
S・・・認証処理装置
V1・・・認証対象情報
V2・・・認証要求元情報
Claims (7)
- ユーザ端末装置からのアクセス要求を受け、ユーザ認証について肯定的な結果を得た後に、当該ユーザからのアクセスを許可する複数の認証要求装置と、
当該各認証要求装置と通信可能に接続された認証処理装置と、
を備えた認証システムであって、
前記認証要求装置は、
ユーザ端末装置から、ユーザ識別情報およびパスワードを含むユーザ属性情報を受信する受信手段と、
受信したユーザ属性情報を含む認証要求を認証処理装置に送信する送信手段と、
前記認証処理装置は、
ユーザごとにユーザ識別情報に対応付けて当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報と、認証要求装置ごとに当該認証要求装置がユーザを認証するために要求する必要ユーザ属性の種類情報と、ユーザごとに認証要求装置が認証のために必要とする必要ユーザ属性情報を明らかにした認証必要情報と、認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録した記録部と、
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取る受信手段と、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
を備えており、
前記送信手段は、認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とする認証システム。 - ユーザ端末装置からのアクセス要求を受け、ユーザ認証について肯定的な結果を得た後に、当該ユーザからのアクセスを許可する複数の認証要求装置と通信可能に接続された認証処理装置であって、
ユーザごとにユーザ識別情報に対応付けて当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報と、認証要求装置ごとに当該認証要求装置がユーザを認証するために要求する必要ユーザ属性の種類情報と、ユーザごとに認証要求装置が認証のために必要とする必要ユーザ属性情報を明らかにした認証必要情報と、認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録した記録部と、
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取る受信手段と、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
を備えており、
前記送信手段は、認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とする認証処理装置。 - ユーザ端末装置からのアクセス要求を受け、ユーザ認証について肯定的な結果を得た後に、当該ユーザからのアクセスを許可する複数の認証要求装置と通信可能に接続され、ユーザごとにユーザ識別情報に対応付けて当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報と、認証要求装置ごとに当該認証要求装置がユーザを認証するために要求する必要ユーザ属性の種類情報と、ユーザごとに認証要求装置が認証のために必要とする必要ユーザ属性情報を明らかにした認証必要情報と、認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録した記録部を備えた認証処理装置を、コンピュータを用いて実現するためのプログラムであって、
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取る受信手段と、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断する第1の判断手段と、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断する第2の判断手段と、
第1および第2の判断手段がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、第1および第2の判断手段のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する送信手段と、
をコンピュータによって実現するためのプログラムであり、
前記送信手段は、認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とするプログラム。 - 請求項2の認証処理装置において、
前記返送データ情報は、ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報を備えており、
前記認証手段は、認証結果が肯定的である場合、前記ユーザごとに記録された属性情報と、認証要求装置ごとに記録された属性情報の種類を示す情報とに基づいて、返送データとしてのユーザ属性を抽出することを特徴とする認証処理装置。 - 請求項2または4の認証処理装置において、
前記複数の認証要求装置は、異なる種類の通信経路によってユーザ端末装置と接続される2以上の認証要求装置を含むことを特徴とする認証処理装置。 - 請求項2、4または5の認証処理装置において、
前記認証要求装置は、受け取った返送データの内容に基づいて、当該ユーザに対する処理内容を変えることを特徴とする認証処理装置。 - ユーザ端末装置からのアクセス要求を受け、ユーザ認証について肯定的な結果を得た後に、当該ユーザからのアクセスを許可する複数の認証要求装置と、当該各認証要求装置と通信可能に接続された認証処理装置とを用いた認証方法であって、
前記認証要求装置は、
ユーザ端末装置から、ユーザ識別情報およびパスワードを含むユーザ属性情報を受信し、
受信したユーザ属性情報を含む認証要求を認証処理装置に送信し、
前記認証処理装置は、
ユーザごとにユーザ識別情報に対応付けて当該ユーザに対してアクセスを許可している認証要求装置を明らかにした許可装置情報と、認証要求装置ごとに当該認証要求装置がユーザを認証するために要求する必要ユーザ属性の種類情報と、ユーザごとに認証要求装置が認証のために必要とする必要ユーザ属性情報を明らかにした認証必要情報と、認証要求装置ごとに、認証処理結果が肯定的であった場合に、当該認証要求装置に返送するユーザ属性を、ユーザごとに、かつ、認証要求元ごとに記述した返送データ情報を記録部に記録しており、
認証要求装置から送信されてきた前記ユーザ属性情報を含む認証要求を受け取り、
当該ユーザ属性情報中のユーザ識別情報によって特定されるユーザが、当該ユーザ属性情報を送ってきた認証要求装置にアクセスを許可されているか否かを、記録部の許可装置情報に基づいて判断し、
当該認証要求装置が認証に必要とする必要ユーザ属性の種類情報を記録部から取得し、当該種類情報に基づいて記録部に記録された前記認証必要情報から必要ユーザ属性情報を選択し、当該認証要求装置から送信されてきたユーザ属性情報が、当該選択した必要ユーザ属性情報と合致するか否かを判断し、
前記両判断がともに肯定的判断をした場合には、認証要求を行った認証要求装置に対して、肯定的なユーザ認証結果を送信し、前記両判断のいずれか一つが否定的判断をした場合には、認証要求を行った認証要求装置に対して、否定的なユーザ認証結果を送信する方法であって、
認証結果が肯定的である場合、前記返送データ情報から、ユーザ及び認証要求元によって特定されるユーザ属性を抽出し、当該ユーザ属性も当該認証要求装置に返送することを特徴とする認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003379449A JP4078289B2 (ja) | 2003-11-10 | 2003-11-10 | 認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003379449A JP4078289B2 (ja) | 2003-11-10 | 2003-11-10 | 認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005141613A JP2005141613A (ja) | 2005-06-02 |
| JP4078289B2 true JP4078289B2 (ja) | 2008-04-23 |
Family
ID=34689500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003379449A Expired - Lifetime JP4078289B2 (ja) | 2003-11-10 | 2003-11-10 | 認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4078289B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4729365B2 (ja) * | 2005-08-12 | 2011-07-20 | 株式会社野村総合研究所 | アクセス制御システム、認証サーバ、アクセス制御方法およびアクセス制御プログラム |
| CN101056179B (zh) * | 2007-06-13 | 2010-06-09 | 中兴通讯股份有限公司 | 控制用户只能在特定区域上网的方法及*** |
| CN102801694B (zh) * | 2011-05-27 | 2015-07-08 | 阿尔卡特朗讯公司 | 基于灰名单实现第三方认证的方法和*** |
-
2003
- 2003-11-10 JP JP2003379449A patent/JP4078289B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005141613A (ja) | 2005-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8549588B2 (en) | Systems and methods for obtaining network access | |
| US5944794A (en) | User identification data management scheme for networking computer systems using wide area network | |
| JP5632380B2 (ja) | ネットワークを識別するためのシステム及び方法 | |
| US8191124B2 (en) | Systems and methods for acquiring network credentials | |
| JP4742903B2 (ja) | 分散認証システム及び分散認証方法 | |
| CN102427484B (zh) | 基于dns来确定设备是否处于网络内部的方法和装置 | |
| JP5276592B2 (ja) | ネットワーク・アクセスを獲得するためのシステムおよび方法 | |
| CN108337677B (zh) | 网络鉴权方法及装置 | |
| JP4173866B2 (ja) | 通信装置 | |
| US20080060065A1 (en) | Systems and methods for providing network credentials | |
| US20070005964A1 (en) | Methods and apparatus for authenticating a remote service to another service on behalf of a user | |
| CN103190130A (zh) | 用于向设备提供秘密值的注册服务器、网关装置和方法 | |
| WO2009074082A1 (fr) | Procédé, système et dispositif de contrôle d'accès | |
| KR100714100B1 (ko) | 홈네트워크 시스템에서의 사용자 인증 방법 및 그 시스템 | |
| EP1611725B1 (en) | Method and apparatuses for provisioning network access | |
| JP5002065B1 (ja) | 認証システム、認証システムの認証方法、測位装置および測位プログラム | |
| JPH08153072A (ja) | 計算機システム及び計算機システム管理方法 | |
| CN101771722B (zh) | 一种WAPI终端访问Web应用站点的***及方法 | |
| JP2003248659A (ja) | コンテンツへのアクセス制御のための方法とコンテンツへのアクセス制御のためのシステム | |
| JP4078289B2 (ja) | 認証システム | |
| JP4078288B2 (ja) | 認証システム | |
| JP2004343440A (ja) | 通信制御方法及びシステム | |
| JP3973357B2 (ja) | ポート番号の収束、展開方法及びそのゲートウェイサーバ | |
| JPWO2020092619A5 (ja) | ||
| JP2001282998A (ja) | サービスシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050331 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070104 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070316 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080121 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080204 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4078289 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110208 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120208 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130208 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130208 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140208 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |