JP4820928B1 - 認証システムおよび認証方法 - Google Patents

認証システムおよび認証方法 Download PDF

Info

Publication number
JP4820928B1
JP4820928B1 JP2011151336A JP2011151336A JP4820928B1 JP 4820928 B1 JP4820928 B1 JP 4820928B1 JP 2011151336 A JP2011151336 A JP 2011151336A JP 2011151336 A JP2011151336 A JP 2011151336A JP 4820928 B1 JP4820928 B1 JP 4820928B1
Authority
JP
Japan
Prior art keywords
server
user
authentication
client terminal
seeds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011151336A
Other languages
English (en)
Other versions
JP2013020312A (ja
Inventor
敏文 新谷
壮一 最首
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2011151336A priority Critical patent/JP4820928B1/ja
Application granted granted Critical
Publication of JP4820928B1 publication Critical patent/JP4820928B1/ja
Priority to PCT/JP2011/080040 priority patent/WO2013008352A1/ja
Publication of JP2013020312A publication Critical patent/JP2013020312A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】複数のサーバに対するシングルサインオンを可能とし、各サーバやシステム間でのセキュリティを確保しつつ、同時並行的に認証を行うことを可能とする認証システムを提供する。
【解決手段】各サーバ100は認証処理を行う認証処理部120を有し、クライアント端末300は各サーバ100に対して認証の要求を送信する認証要求部311を有し、認証処理部120はサーバシーズとユーザID毎にパスワードをサーバシーズを用いてハッシュ化したハッシュ化パスワード132を含むユーザ情報130とを有し、認証の要求に対してシーズとしてサーバシーズをクライアント端末300に送信し、認証要求部311はパスワードをサーバ100から受信したシーズを用いてハッシュ化したハッシュ値をサーバ100に送信し、認証処理部120はクライアント端末300から受信したハッシュ値と対象のユーザに係るハッシュ化パスワード132とを比較して認証を行う。
【選択図】図1

Description

本発明は、認証技術に関し、特に、複数のサーバ等に対して一回のユーザIDおよびパスワードの入力によりシングルサインオンを行う認証システムおよび認証方法に適用して有効な技術に関するものである。
近年、クラウドコンピューティングサービスなどの進展により、ユーザが保有するクライアント端末から、複数のデータセンターやサーバに連続的もしくは同時並行的にアクセスして、情報処理に係る業務等を行う形態が一般的となってきている。このようなシステム環境において、各サーバ等へのアクセスを開始する毎に、ユーザがそれぞれのサーバ等において個別にユーザ認証を行うことの煩雑さを回避するため、いわゆるシングルサインオンの仕組みが適用される場合もある。
シングルサインオンの仕組みでは、ユーザが一度の認証を行うことで、ユーザ認証が必要な複数のシステムやサーバに対して個別の認証手続きを行わずにアクセスすることを可能とする。この仕組みを実現する手法としては、例えば、各サーバやシステムがSAML(Security Assertion Markup Language)プロトコル(非特許文献1)を用いてサーバ間で通信を行って、認証サーバ等の特定のサーバで行った認証結果の情報を自動的に引き継ぐことで、各サーバ等でのユーザによる再度の認証手続きを不要とするという手法がとられる。
しかしながら、このような仕組みによるシングルサインオンの環境は、例えば、イントラネット上の社内システムなど、サーバやシステム間で認証情報の引き継ぎ・受け入れを許容する信頼関係が成立していることが前提となる。従って、各サーバやシステムが異なる事業者によって運用されている場合などでは、セキュリティ上の関係等からこのような信頼関係が成立しない場合もある。
これに対して、例えば、特開2010−86435号公報(特許文献1)には、以下のようなネットワークシステムの例が記載されている。すなわち、当該ネットワークシステムは、複数のWebサーバと中継サーバおよび複数のユーザ端末から構成され、第一のWebサーバは、端末からの認証情報と記憶部の認証情報とを照合して認証を行い、認証が成立した場合に、認証情報に含まれる第一のユーザID、第一のWebサーバへの第一のURL、第二Webサーバへの第二のURLおよび認証強度に関連する情報を含むメッセージを生成して中継サーバに送信する。
中継サーバは、同一ユーザ情報を登録するテーブルから第一のユーザIDに対応する第二のユーザIDを取得して、メッセージ中の第一のユーザIDを第二のユーザIDに書き換えて第二のWebサーバに送信する。第二のWebサーバは、メッセージを受信すると、メッセージから第二のユーザIDを取得し、第二のユーザIDが記憶部に記憶されている場合に、受信した認証強度に関連する情報と記憶部の認証強度に関連する情報に基づいてユーザの再認証を行う。これにより、互いに信頼関係や連携関係にない複数のシステムから構成されるネットワークシステムにおいて、一回の認証情報の入力により、認証が必要な複数のアプリケーションを利用可能とする。
特開2010−86435号公報
"Security Assertion Markup Language (SAML) v2.0"、[online]、2005年3月15日、OASIS(Organization for the Advancement of Structured Information Standards)、[平成23年4月25日検索]、インターネット<URL: http://www.oasis-open.org/standards#samlv2.0>
上述したように、非特許文献1のような技術を用いればシングルサインオンの環境を構築することが可能である。しかしながら、このような環境では、サーバやシステム間で信頼関係が成立していることが必要である。従って、例えば、社内と社外や、異なる事業者間など、サーバやシステム間で信頼関係が成立していない環境では、あるサーバにおいて、当該サーバにおける認証処理のために認証サーバ等から取得した認証情報を利用して他のサーバに対して不正なアクセスを行う、ということも考えられ、サーバやシステム間でのセキュリティの確保という観点では課題を有する。
一方、特許文献1のような仕組みを用いれば、信頼関係が成立していないサーバやシステム間で、シングルサインオンの環境を構築することが可能である。しかしながら、ユーザは、あるサーバでのユーザ管理とは別に、他のサーバにおいても個別にユーザIDの登録や変更等の管理を行わなければならないのが通常である。また、例えば特許文献1での中継サーバなどのように、複数のサーバにおけるユーザIDの対応関係の管理も行う必要があり、管理が煩雑となる。また、このように複数のサーバやシステム間で連続的に認証を行っていく形態では、ユーザが多数のサーバやシステムに同時並行的にアクセスする必要がある場合には、レスポンスが低下するという課題を有する。
そこで本発明の目的は、複数のサーバやシステムに対するシングルサインオンを可能とし、各サーバやシステム間でのセキュリティを確保しつつ、同時並行的に認証を行うことを可能とする認証システムおよび認証方法を提供することにある。本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
本発明の代表的な実施の形態による認証システムは、ユーザによるクライアント端末からの一度の認証処理によって、ネットワークを介して接続された複数のサーバに対するシングルサインオンを行う認証システムであって、以下の特徴を有するものである。
すなわち、前記各サーバは、前記サーバへのアクセスに対しての認証処理を行う認証処理部を有し、前記クライアント端末は、前記各サーバの機能を実行もしくは利用するに際して、ユーザからユーザIDおよびパスワードの指定を受けて前記各サーバに対して順次もしくは並行的に認証の要求を送信する認証要求部を有する。
前記サーバの前記認証処理部は、前記サーバ毎に異なる固有情報であるサーバシーズと、登録されたユーザのユーザID毎に前記ユーザのパスワードを前記サーバシーズを用いて所定の手順でハッシュ化したハッシュ化パスワードを含むアカウント情報を保持するユーザ情報とを有し、前記クライアント端末から受信した前記認証の要求に対して、シーズとして前記サーバシーズを前記クライアント端末に対して送信し、前記クライアント端末の前記認証要求部は、前記ユーザから指定されたパスワードを、前記サーバから受信した前記シーズを用いて所定の手順でハッシュ化したハッシュ値を前記サーバに送信し、前記サーバの前記認証処理部は、前記クライアント端末から受信した前記ハッシュ値と、対象の前記ユーザに係る前記ハッシュ化パスワードとを比較して認証を行い、認証結果を前記クライアント端末に送信する。
また、本発明は、ユーザによるクライアント端末からの一度の認証処理によって、ネットワークを介して接続された複数のサーバに対するシングルサインオンを行う認証方法にも適用することができる。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
本発明の代表的な実施の形態によれば、複数のサーバやシステムに対するシングルサインオンを可能とし、各サーバやシステム間でのセキュリティを確保しつつ、同時並行的に認証を行うことで認証処理によるレスポンスの低下を抑止することが可能となる。
本発明の一実施の形態である認証システムの構成例について概要を示した図である。 本発明の一実施の形態における認証処理の流れの例について概要を示した図である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。
本発明の一実施の形態である認証システムは、ユーザによるクライアント端末からの一度の認証処理によって複数のサーバやシステム(以下では単に“サーバ”と記載する場合がある)に対するシングルサインオンを実現するシステムである。このとき、サーバ毎に異なる鍵(サーバ固有情報)を用いて認証を行うことで、各サーバに対するアクセスを独立してセキュアに行うことを可能とする。また、各サーバでの認証を同時並行的に行うことを可能とし、多数のサーバに同時並行的にアクセスする必要がある場合などにおいて認証に要する時間を削減してレスポンスの低下を抑止することが可能である。
<システム構成>
以下では、本実施の形態の認証システムのシステム構成について説明する。図1は、本発明の一実施の形態である認証システムの構成例について概要を示した図である。認証システム1は、ネットワーク400に対して、複数のサーバ100、マスタサーバ200、およびクライアント端末300が接続された構成を有する。
サーバ100は、サーバ機器によって構成されるコンピュータシステムであり、例えば、Webサーバやアプリケーションサーバ、データベースサーバ、ファイルサーバ、ストレージシステムなど、ユーザ認証を経た後にクライアント端末300等からのアクセスを受け付けてサービスを提供する機能を有する。サーバ100は、例えば、ソフトウェアプログラムにより実装される業務処理部110および認証処理部120を有する。業務処理部110は、サーバ100が提供するサービス(業務)に係る処理を実行するものであり、例えば、ミドルウェアやアプリケーションプログラム等から構成される。
認証処理部120は、サーバ100へのアクセスに対しての認証処理を行う。認証処理部120は、認証処理を行う際に利用する情報として、ユーザ毎のアカウント情報からなるユーザ情報130を有する。ユーザ情報130は、例えば、データベースやファイルテーブル等によって構成され、例えば、登録されたユーザのユーザID毎に、ユーザ毎に異なる固有情報としてのユーザシーズ131、およびパスワードを所定の手順によりハッシュ化したハッシュ化パスワード132などのアカウント情報を有する。また、認証処理部120は、サーバ毎に異なる固有情報としてのサーバシーズ140を有する。
本実施の形態では、認証処理部120は、後述するように、クライアント端末300との間でチャレンジ/レスポンス方式により認証処理を行う。すなわち、ユーザからの認証要求に対して、サーバシーズ140、ユーザシーズ131、およびチャレンジとしての乱数等を送信する。さらに、これらによってハッシュ化されたパスワード(ハッシュ値)をクライアント端末300からレスポンスとして受信して、受信したハッシュ値と、ハッシュ化パスワード132を上記乱数によってハッシュ化したものとを比較して認証を行う。従って、認証処理部120は、乱数生成の機能やハッシュアルゴリズムを実装している。なお、これらの実装には公知の各種技術やアルゴリズムを利用することができる。サーバ100とクライアント端末300との間の通信経路のセキュリティが確保されるなどの場合には、チャレンジ/レスポンス方式以外の他の方式を採用するなどしてもよい。
マスタサーバ200は、サーバ機器やPC(Personal Computer)等によって構成されるコンピュータシステムであり、各サーバ100に保持するユーザシーズ131およびサーバシーズ140を生成して提供する。認証を代表的に行ういわゆる認証サーバではないため、ユーザ認証の機能は有さない。マスタサーバ200は、例えば、ソフトウェアプログラムにより実装されるシーズ生成部210を有する。
シーズ生成部210は、管理者等からの指示もしくは各サーバ100からの要求等に基づいてシーズを生成し、ユーザシーズ131もしくはサーバシーズ140として、対象のサーバ100にネットワーク400を介して提供する。なお、シーズの生成方法やシーズのフォーマット等については特に限定されないが、例えば、所定の長さのユニークな文字列やバイナリデータを生成してシーズとすることができる。
クライアント端末300は、PCや携帯端末等によって構成されるコンピュータシステムであり、各サーバ100が提供するサービス(業務)を実行・利用するためにネットワーク400を介してサーバ100にアクセスする機能を有する。クライアント端末300は、例えば、ソフトウェアプログラムにより実装されるクライアントアプリケーション310を有する。クライアントアプリケーション310は、各サーバ100が提供する機能(業務)を実行・利用するためのアプリケーションプログラムであり、認証要求部311を有し、例えば、Webブラウザ上で稼働するプログラム等を利用することもできる。
認証要求部311は、クライアントアプリケーション310が各サーバ100の機能を実行・利用するに際しての、サーバ100に対する認証の要求を行う。例えば、ログイン画面を介してユーザからユーザIDおよびパスワードの入力を受け付け、チャレンジ/レスポンス方式等により、各サーバ100の認証処理部120との間で順次もしくは並行的にそれぞれ個別に認証処理を行うことで、シングルサインオンの機能を実現する。
ここでは、認証要求の送信に対してサーバ100の認証処理部120から送信されたサーバシーズ140、ユーザシーズ131、および乱数に基づいて、ユーザから指定されたパスワードを所定の手順によりハッシュ化し、これをサーバ100の認証処理部120に送信することで認証処理を行う。従って、認証要求部311は、サーバ100の認証処理部120が実装しているものと同一のハッシュアルゴリズムを実装している。
ネットワーク400は、例えば、インターネット等の公衆通信網や、WAN(Wide Area Network)、VPN(Virtual Private Network)等の一般公衆回線を一部に用いた通信網、LAN(Local Area Network)などを適宜利用することができる。
<認証処理>
以下では、本実施の形態の認証システム1における認証処理の内容について説明する。認証処理を行うに当たっての初期状態として、各サーバ100では、予め、マスタサーバ200のシーズ生成部210によって生成されたシーズをそれぞれサーバシーズ140として保持しているものとする。さらに、各ユーザによって、ユーザID、パスワード等を含むアカウント情報の初期登録が事前に行われているものとする。このとき、アカウント情報として、ユーザID毎にそれぞれマスタサーバ200のシーズ生成部210によって生成されたシーズをユーザシーズ131として保持しておく。さらに、パスワードについては、当該ユーザシーズ131およびサーバシーズ140をシード値として、所定のハッシュアルゴリズムによりハッシュ化したハッシュ化パスワード132として保持しておく。
パスワードを直接保持しないことで、パスワードの漏洩を防止することができる。また、ユーザ毎にユニークなユーザシーズ131をシード値としてハッシュ化を行うことで、例えば、複数のユーザによって偶然同一のパスワードが指定された場合でも、ユーザ毎にハッシュ値が異なるようにすることができる。
図2は、本実施の形態における認証処理の流れの例について概要を示した図である。まず、ユーザはクライアント端末300の認証要求部311を介して、認証(ログイン)の要求を行う。このとき、例えば、ユーザIDおよびパスワードの情報をログイン画面等を介して指定する。認証要求部311は、指定されたユーザIDを含む認証の要求をサーバ100へ送信する(S01)。
ユーザIDを受信したサーバ100の認証処理部120は、チャレンジ/レスポンス方式におけるチャレンジとしての乱数を生成し、さらにシーズを取得して、これらをクライアント端末300に送信する(S02)。ここでは、乱数に加えて、サーバシーズ140と、ユーザ情報130に保持されたユーザIDに対応するユーザシーズ131を取得する。
サーバシーズ140とユーザシーズ131、および乱数を受信したクライアント端末300の認証要求部311では、ステップS01において指定されたパスワードを所定のハッシュアルゴリズムによりハッシュ化する(S03)。さらに、ステップS03で得られたハッシュ値を、ユーザシーズ131をシード値としてハッシュ化する(S04)。さらに、ステップS04で得られたハッシュ値を、サーバシーズ140をシード値としてハッシュ化する(S05)。さらに、ステップS05で得られたハッシュ値を、乱数をシード値としてハッシュ化することでワンタイム化し、得られたハッシュ値をサーバ100へ送信する(S06)。
なお、上記のステップS03〜S05の一連のハッシュ化処理手順は、一例であり、同等の結果が得られる他の手順とすることも当然可能であるが、事前のユーザ登録の際にパスワードをハッシュ化してハッシュ化パスワード132を取得する際のハッシュ化処理と同一の手順である必要がある。また、例えば、ステップS02において、サーバ100からパスワードの有効期限が経過しているためパスワードを更新する旨の指示を受信した場合など、必要に応じて、ステップS03を実行する前にパスワード(およびハッシュ化パスワード132)の更新を行えるようにしてもよい。
ハッシュ値を受信したサーバ100の認証処理部120は、ユーザ情報130から対象のユーザIDに対応するハッシュ化パスワード132を取得し(S07)、取得したハッシュ化パスワード132を、ステップS02で生成した乱数をシード値としてハッシュ化する(S08)。その後、得られたハッシュ値と、ステップS07でクライアント端末300から受信したハッシュ値とを比較することで認証処理を行い、認証結果をクライアント端末300に送信する(S09)。すなわち、比較の結果両者が一致すれば認証は成立し、不一致であれば認証は不成立となる。なお、このとき例えば、クライアント端末300からの要求電文からIPアドレス等の発信元の所在に係る情報を取得し、当該情報が所定の範囲内にあるか否か等の他の条件を認証の成否の判断に加えてもよい。
クライアント端末300の認証要求部311は、認証結果を受領し(S10)、その後、必要に応じて他のサーバ100に対しても順次上記の一連の処理を自動的に行い、各サーバ100に対する認証処理を行う。各サーバ100での認証処理は独立していることから、必要な複数のサーバ100に対して上記の一連の処理を同時並行的に行うことも可能である。なお、必要なサーバ100の情報については、例えば、クライアント端末300上にサーバ100のリストからなる設定ファイル等を保持することで把握することができる。
以上の処理により、ユーザは、ユーザIDおよびパスワードの指定を1回行うだけで、必要な各サーバ100に対して認証処理を行うことができる。
上述したような手法をとることにより、例えば、あるサーバ100の管理者等が、対象のユーザのユーザシーズ131やハッシュ化パスワード132などのアカウント情報を自身のユーザ情報130から取得したとしても、これらの情報を利用して他のサーバ100に対してなりすましによる認証を行うことはできず、サーバ100間でのセキュリティは確保される。
これは、あるサーバ100でのユーザのハッシュ化パスワード132の値は、自身のサーバシーズ140によってハッシュ化されたものであり、他のサーバ100における当該ユーザのハッシュ化パスワード132は、当該他のサーバ100のサーバシーズ140によってハッシュ化されたものであるため値が異なるからである。従って、両者を同じ乱数をシード値としてハッシュ化しても同一のハッシュ値とはならず、図2のステップS09において認証は不成立となる。また、当該他のサーバ100のサーバシーズ140を何らかの手段で取得してきたとしても、対象のユーザのパスワードを知らない限り、当該他のサーバ100におけるハッシュ化パスワード132と同じ値のハッシュ値を生成することはできない。
以上に説明したように、本発明の一実施の形態である認証システム1によれば、ユーザによるクライアント端末300からの一度の認証処理によって複数のサーバ100に対するシングルサインオンを実現することができる。このとき、サーバ100毎に異なる固有情報(サーバシーズ140)を用いて認証を行うことで、各サーバ100に対するアクセスを独立してセキュアに行うことが可能となる。また、各サーバ100での認証を同時並行的に行うことを可能とし、多数のサーバに同時並行的にアクセスする必要がある場合などにおいて認証に要する時間を削減してレスポンスの低下を抑止することが可能となる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明は、複数のサーバ等に対して一回のユーザIDおよびパスワードの入力によりシングルサインオンを行う認証システムおよび認証方法に利用可能である。
1…認証システム、
100…サーバ、110…業務処理部、120…認証処理部、130…ユーザ情報、131…ユーザシーズ、132…ハッシュ化パスワード、140…サーバシーズ、
200…マスタサーバ、210…シーズ生成部、
300…クライアント端末、310…クライアントアプリケーション、311…認証要求部、
400…ネットワーク。

Claims (5)

  1. ユーザによるクライアント端末からの一度の認証処理によって、ネットワークを介して接続された複数のサーバに対するシングルサインオンを行う認証システムであって、
    前記各サーバは、前記サーバへのアクセスに対しての認証処理を行う認証処理部を有し、
    前記クライアント端末は、前記各サーバの機能を実行もしくは利用するに際して、ユーザからユーザIDおよびパスワードの指定を受けて前記各サーバに対して順次もしくは並行的に認証の要求を送信する認証要求部を有し、
    前記サーバの前記認証処理部は、前記サーバ毎に異なる固有情報であるサーバシーズと、登録されたユーザのユーザID毎に前記ユーザのパスワードを前記サーバシーズを用いて所定の手順でハッシュ化したハッシュ化パスワードを含むアカウント情報を保持するユーザ情報とを有し、前記クライアント端末から受信した前記認証の要求に対して、シーズとして前記サーバシーズを前記クライアント端末に対して送信し、
    前記クライアント端末の前記認証要求部は、前記ユーザから指定されたパスワードを、前記サーバから受信した前記シーズを用いて所定の手順でハッシュ化したハッシュ値を前記サーバに送信し、
    前記サーバの前記認証処理部は、前記クライアント端末から受信した前記ハッシュ値と、対象の前記ユーザに係る前記ハッシュ化パスワードとを比較して認証を行い、認証結果を前記クライアント端末に送信することを特徴とする認証システム。
  2. 請求項1に記載の認証システムにおいて、
    前記サーバの前記認証処理部は、前記ユーザ情報に保持する前記ユーザ毎の前記アカウント情報として、さらに、前記ユーザ毎に異なる固有情報であるユーザシーズを有し、また、前記ユーザのパスワードを前記サーバシーズおよび前記ユーザシーズを用いて所定の手順でハッシュ化したものを前記ハッシュ化パスワードとして有し、前記クライアント端末から受信した前記認証の要求に対して、前記シーズとして前記サーバシーズおよび対象の前記ユーザに係る前記ユーザシーズを前記クライアント端末に対して送信することを特徴とする認証システム。
  3. 請求項1または2に記載の認証システムにおいて、
    前記サーバの前記認証処理部は、前記クライアント端末から受信した前記認証の要求に対して、前記シーズおよび生成した乱数を前記クライアント端末に対して送信し、
    前記クライアント端末の前記認証要求部は、前記ユーザから指定されたパスワードを、前記サーバから受信した前記シーズを用いて所定の手順でハッシュ化し、さらに前記サーバから受信した前記乱数を用いてハッシュ化したハッシュ値を前記サーバに送信し、
    前記サーバの前記認証処理部は、前記クライアント端末から受信した前記ハッシュ値と、対象の前記ユーザに係る前記ハッシュ化パスワードを前記乱数を用いてハッシュ化した値とを比較して認証を行うことを特徴とする認証システム。
  4. 請求項1〜3のいずれか1項に記載の認証システムにおいて、
    さらに、前記ネットワークに接続され、前記各サーバからの要求に基づいて、前記各サーバに対して前記シーズとなるシード値を生成して提供するマスタサーバを有することを特徴とする認証システム。
  5. ユーザによるクライアント端末からの一度の認証処理によって、ネットワークを介して接続された複数のサーバに対するシングルサインオンを行う認証方法であって、
    前記各サーバは、前記サーバ毎に異なる固有情報であるサーバシーズと、登録されたユーザのユーザID毎に、前記ユーザ毎に異なる固有情報であるユーザシーズと、前記ユーザのパスワードを前記サーバシーズおよび前記ユーザシーズを用いて所定の手順でハッシュ化したハッシュ化パスワードとを含むアカウント情報を有しており、
    前記クライアント端末が、前記各サーバの機能を実行もしくは利用するに際して、前記サーバに対して、前記ユーザから指定されたユーザIDを含む認証の要求を送信する第1のステップと、
    前記認証の要求を受信した前記サーバが、前記サーバシーズと対象の前記ユーザに係る前記ユーザシーズ、および生成した乱数を、前記クライアント端末に対して送信する第2のステップと、
    前記クライアント端末が、前記ユーザから指定されたパスワードを、前記サーバから受信した前記サーバシーズおよび前記ユーザシーズを用いて所定の手順でハッシュ化し、さらに前記乱数を用いてハッシュ化したハッシュ値を前記サーバに送信する第3のステップと、
    前記ハッシュ値を受信した前記サーバが、前記ハッシュ値と、対象の前記ユーザに係る前記ハッシュ化パスワードを前記乱数を用いてハッシュ化した値とを比較して認証を行い、認証結果を前記クライアント端末に送信する第4のステップとを有し、
    前記第1〜第4のステップを前記各サーバに対して順次もしくは並行的に実行することを特徴とする認証方法。
JP2011151336A 2011-07-08 2011-07-08 認証システムおよび認証方法 Expired - Fee Related JP4820928B1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011151336A JP4820928B1 (ja) 2011-07-08 2011-07-08 認証システムおよび認証方法
PCT/JP2011/080040 WO2013008352A1 (ja) 2011-07-08 2011-12-26 認証システムおよび認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011151336A JP4820928B1 (ja) 2011-07-08 2011-07-08 認証システムおよび認証方法

Publications (2)

Publication Number Publication Date
JP4820928B1 true JP4820928B1 (ja) 2011-11-24
JP2013020312A JP2013020312A (ja) 2013-01-31

Family

ID=45327076

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011151336A Expired - Fee Related JP4820928B1 (ja) 2011-07-08 2011-07-08 認証システムおよび認証方法

Country Status (2)

Country Link
JP (1) JP4820928B1 (ja)
WO (1) WO2013008352A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014035610A (ja) * 2012-08-08 2014-02-24 Hitachi Ltd 認証システム及び認証方法
US9577827B2 (en) 2012-09-25 2017-02-21 Sony Corporation Information processing device, information processing method, and program
JP6545404B1 (ja) * 2018-07-23 2019-07-17 三菱電機株式会社 サーバ装置、攻撃判定方法及び攻撃判定プログラム
JP2021149930A (ja) * 2020-03-16 2021-09-27 啓介 木戸 パスワード認証システム
WO2023219086A1 (ja) * 2022-05-13 2023-11-16 渡辺浩志 オンライン認証技術

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8949960B2 (en) 2013-03-15 2015-02-03 Google Inc. Privacy preserving knowledge and factor possession tests for persistent authentication
JP6111186B2 (ja) * 2013-12-03 2017-04-05 日本電信電話株式会社 分散情報連携システムとそのデータ操作方法及びプログラム
BR112017013581B1 (pt) * 2014-12-22 2022-11-29 Nidec Corporation Método de estimação de posição, dispositivo de estimação de posição e dispositivo de controle de posição
WO2017171165A1 (ko) 2015-12-14 2017-10-05 (주)코인플러그 블록체인을 기반으로 하는 공인인증서 발급시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 발급방법
KR101680260B1 (ko) 2015-12-14 2016-11-29 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 발급시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 발급방법
US20190003856A1 (en) * 2015-12-18 2019-01-03 Nidec Corporation Motor module and motor authentication method
KR101723405B1 (ko) * 2016-07-04 2017-04-06 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 인증시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 인증방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
JP2002324049A (ja) * 2001-04-25 2002-11-08 Nippon Telegr & Teleph Corp <Ntt> アクセス制御方法及びシステム
JP2003132022A (ja) * 2001-10-22 2003-05-09 Nec Corp ユーザ認証システムおよび方法
JP2003532195A (ja) * 2000-04-27 2003-10-28 ウエブフイート・インコーポレイテツド 複数の別個のデータベースからサーチ結果を検索する方法およびシステム
JP2005209118A (ja) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 情報分散ストレージシステムとこのシステムに用いられる全体認証サーバ装置、認証サーバ装置及び分散ストレージサーバ装置及び情報分散ストレージ方法
JP2008040644A (ja) * 2006-08-03 2008-02-21 Fujitsu Ltd ログイン管理方法及びサーバ

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
JP2003532195A (ja) * 2000-04-27 2003-10-28 ウエブフイート・インコーポレイテツド 複数の別個のデータベースからサーチ結果を検索する方法およびシステム
JP2002324049A (ja) * 2001-04-25 2002-11-08 Nippon Telegr & Teleph Corp <Ntt> アクセス制御方法及びシステム
JP2003132022A (ja) * 2001-10-22 2003-05-09 Nec Corp ユーザ認証システムおよび方法
JP2005209118A (ja) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 情報分散ストレージシステムとこのシステムに用いられる全体認証サーバ装置、認証サーバ装置及び分散ストレージサーバ装置及び情報分散ストレージ方法
JP2008040644A (ja) * 2006-08-03 2008-02-21 Fujitsu Ltd ログイン管理方法及びサーバ

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014035610A (ja) * 2012-08-08 2014-02-24 Hitachi Ltd 認証システム及び認証方法
US9577827B2 (en) 2012-09-25 2017-02-21 Sony Corporation Information processing device, information processing method, and program
US9787474B2 (en) 2012-09-25 2017-10-10 Sony Corporation Information processing device, information processing method, and program
JP6545404B1 (ja) * 2018-07-23 2019-07-17 三菱電機株式会社 サーバ装置、攻撃判定方法及び攻撃判定プログラム
WO2020021608A1 (ja) * 2018-07-23 2020-01-30 三菱電機株式会社 サーバ装置、攻撃判定方法及び攻撃判定プログラム
JP2021149930A (ja) * 2020-03-16 2021-09-27 啓介 木戸 パスワード認証システム
WO2022107591A1 (ja) * 2020-03-16 2022-05-27 啓介 木戸 パスワード認証システム
WO2023219086A1 (ja) * 2022-05-13 2023-11-16 渡辺浩志 オンライン認証技術

Also Published As

Publication number Publication date
WO2013008352A1 (ja) 2013-01-17
JP2013020312A (ja) 2013-01-31

Similar Documents

Publication Publication Date Title
JP4820928B1 (ja) 認証システムおよび認証方法
JP5375976B2 (ja) 認証方法、認証システムおよび認証プログラム
JP6255091B2 (ja) プライベートデータを保護するセキュアプロキシ
US11394703B2 (en) Methods for facilitating federated single sign-on (SSO) for internal web applications and devices thereof
JP6643373B2 (ja) 情報処理システムと、その制御方法とプログラム
US9398001B1 (en) System for and method of providing single sign-on (SSO) capability in an application publishing environment
JP6335657B2 (ja) 権限委譲システム、方法、認証サーバーシステム、およびプログラム
US9276869B2 (en) Dynamically selecting an identity provider for a single sign-on request
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
EP3117578B1 (en) Disposition engine for single sign on (sso) requests
US20090089870A1 (en) System and method for validating interactions in an identity metasystem
US20100077208A1 (en) Certificate based authentication for online services
US8136144B2 (en) Apparatus and method for controlling communication through firewall, and computer program product
WO2017016252A1 (zh) 令牌生成并认证的方法及认证服务器
US10972453B1 (en) Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US10798083B2 (en) Synchronization of multiple independent identity providers in relation to single sign-on management
WO2014128343A1 (en) Method and apparatus for providing account-less access via an account connector platform
JP2004173285A (ja) リソースへのウェブ・ベースのアクセスに使用されるクライアントの資格証明書の安全な処理
WO2018102564A1 (en) Single sign-on framework for browser-based applications and native applications
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
US9479490B2 (en) Methods and systems for single sign-on while protecting user privacy
US9787668B1 (en) Sensitive user information management system and method
US10791119B1 (en) Methods for temporal password injection and devices thereof
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110905

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140909

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4820928

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees