JP5252721B2 - 情報提供サーバ - Google Patents

情報提供サーバ Download PDF

Info

Publication number
JP5252721B2
JP5252721B2 JP2009074623A JP2009074623A JP5252721B2 JP 5252721 B2 JP5252721 B2 JP 5252721B2 JP 2009074623 A JP2009074623 A JP 2009074623A JP 2009074623 A JP2009074623 A JP 2009074623A JP 5252721 B2 JP5252721 B2 JP 5252721B2
Authority
JP
Japan
Prior art keywords
authentication
server
evaluation value
service
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009074623A
Other languages
English (en)
Other versions
JP2010225110A (ja
Inventor
寛之 松崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone East Corp
Priority to JP2009074623A priority Critical patent/JP5252721B2/ja
Publication of JP2010225110A publication Critical patent/JP2010225110A/ja
Application granted granted Critical
Publication of JP5252721B2 publication Critical patent/JP5252721B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ユーザ端末からのサービス提供要求に応じてサービスを提供する情報提供サーバに関する。
ネットワークを介して様々なウェブサービスを提供する情報提供サーバは、予め登録されたユーザIDやパスワード等の認証情報をユーザ端末から受信し、ユーザの同一性を認証し、認証が成功した場合にサービスを提供している。ここで、ウェブサービス毎に異なる認証情報が作成されると、認証情報を混同したり忘れたりすることが考えられ、ユーザにとって認証情報の管理が煩雑となる。また、ウェブサービス毎に認証情報を登録してアカウントを取得する際には、ユーザが個人情報を入力する等の手間がかかるため、アカウントの作成が面倒でありサービスの利用を躊躇する場合がある。そこで近年、ユーザにとっての利便性向上や、ウェブサービス提供者にとっての新規ユーザ獲得数向上の要求等から、ひとつのアカウントにより複数のウェブサービスを利用可能にする分散認証システムが普及しつつある。
このような分散認証システムでは、情報提供サーバとは別個に構築される認証サーバがユーザ認証を行う。ネットワークを介してサービスを提供する情報提供サーバは、ユーザ端末からの認証要求に応じて認証サーバに問い合わせを行う。情報提供サーバは、認証サーバから受信する認証結果に応じて、サービスを提供する。これにより、ユーザは、情報提供サーバ毎にアカウントを作成する手間をかけずにサービスを利用することが可能となる。一方、情報提供サーバによるサービスの提供者は、アカウント作成の手間をかけさせる必要がなくなることで新規ユーザの獲得が期待できるとともに、自身がユーザのアカウントを管理するコストや、アカウント情報漏洩のリスクなどを回避できる。このような分散認証システムは、その仕様が公開されたオープンな標準技術として普及しつつあり、様々な事業者等によって認証サーバが構築され、ユーザIDの発行、認証が行われている。
ところで、以下に示す特許文献1には、ユーザから送信される情報に応じてアカウントの登録を受付ける属性提供装置が、その登録の際にユーザから送信された情報が公的証明書の提示等によるものであるか、利用者からの申告によるものであるか等に応じてアカウントの信頼度を記憶しておき、情報提供サーバは、属性提供装置に記憶されたアカウントの信頼度に応じたサービスを提供する技術が記載されている。
特許文献2または特許文献3には、サービス要求が送信される回線を識別する情報や携帯電話端末など物理的に固有な情報に基づいて認証を行うことで、認証の信頼性を高める技術が記載されている。
特開2007−241554号公報 特開2007−172053号公報 特開2008−15936号公報
しかしながら、上述のような分散認証システムはオープンな標準技術であるために、誰でも認証サーバを構築することができる。このため、悪意のある何者かが認証サーバを構築して、その認証サーバにより発行されたユーザIDを用いて分散認証システムに対応するウェブサービスを利用することが考えられる。すなわち、分散認証システムに対応するウェブサービスを提供する情報提供サーバにとって、第三者が構築した認証サーバによるユーザ認証が成功している場合でも、その認証サーバが信頼に足るものでない場合があると考えられる。そこで、例えば予め定められた認証サーバによる認証のみを有効な認証として扱うことが考えられるが、これでは、誰でも有効な認証サーバを構築することができ、情報提供サーバが信頼関係のない認証サーバによって行われた認証の結果に基づいてサービスを提供するという分散認証システムの利点を活かすことができない。
特許文献1に記載された技術は、情報提供サーバとユーザ認証を行う属性提供装置との間には予め信頼関係が存在することが前提となっており、情報提供サーバにとって属性提供装置が悪意のある第三者である場合は想定されていない。特許文献2または特許文献3に記載された技術は、認証側の装置においてユーザ端末の物理的に固有な情報を予め記憶しておくものであるため、やはり認証側の装置とユーザ端末との間で事前に関係が構築されていることが前提となっている。
本発明は、このような状況に鑑みてなされたもので、分散認証システムによる認証結果を生成する認証サーバの信頼性に応じて、サービスを提供する情報提供サーバを提供する。
上述した課題を解決するために、本発明は、ネットワークを介して接続されたユーザ端末の認証を行う複数の認証サーバと接続され、認証サーバによるユーザ端末の認証結果に応じてサービスを提供する情報提供サーバであって、認証サーバ毎に、認証サーバの信頼性の度合いを示す評価値が対応付けられて予め記憶される評価値記憶部と、情報提供サーバが提供する複数のサービス毎に、サービスを提供するか否かを示す評価値の閾値が対応付けられて記憶されるサービス提供閾値記憶部と、ユーザ端末から、複数の認証サーバのうちいずれかの認証サーバへの認証要求を受信する認証要求受信部と、認証要求受信部が受信した認証要求を、対応する認証サーバに転送する認証要求転送部と、認証要求転送部が転送した認証要求に応じて、認証サーバから、ユーザ端末が認証されたか否かを示す認証結果を受信する認証結果受信部と、認証結果受信部が受信した認証結果が、ユーザ端末が認証されたことを示す場合、評価値記憶部から、認証結果の送信元である認証サーバに対応付けられた評価値を読み出す評価値算出部と、評価値算出部が算出した評価値と、サービス提供閾値記憶部に記憶された閾値とを比較し、評価値以下である閾値に対応付けられたサービスをユーザ端末に提供するサービス提供部と、前記認証サーバによる認証結果が有効となる前記認証サーバ数の上限値が記憶された認証サーバ上限数記憶部と、を備え、前記評価値算出部は、前記上限値以下の数の前記認証サーバから受信した前記認証結果の合計値を算出することを特徴とする。
また、本発明は、認証要求受信部が、ユーザ端末から、複数の認証サーバへの認証要求を受信し、認証結果受信部は、複数の認証要求に対応する認証サーバから、ユーザ端末が認証されたか否かを示す認証結果を受信し、評価値算出部は、認証結果受信部によって受信した複数の認証結果のうち、ユーザ端末が認証されたことが示される認証結果の送信元である認証サーバに対応付けられた評価値を評価値記憶部から読み出し、読み出した評価値の合計値を算出することを特徴とする。
また、本発明は、上述の評価値記憶部には、認証サーバに応じたURL毎に評価値が対応付けられており、URLは、上位ドメインから下位ドメインまでの文字列によって表されたホストドメイン名と、上位ドメインのみの文字列によって表されたドメイン名とのいずれかによって示されることを特徴とする。
以上説明したように、本発明によれば、情報提供サーバが、情報提供サーバが、ネットワークを介して接続されたユーザ端末の認証を行う複数の認証サーバ毎に認証サーバの信頼性の度合いを示す評価値を対応付けて予め記憶し、提供する複数のサービス毎にサービスを提供するか否かを示す評価値の閾値を対応付けて記憶し、ユーザ端末から複数の認証サーバのうちいずれかの認証サーバへの認証要求を受信し、受信した認証要求を認証サーバに転送し、転送した認証要求に応じて認証サーバから受信した認証結果が、ユーザ端末が認証されたことを示す場合、認証結果の送信元である認証サーバに対応付けられた評価値と閾値とを比較し、評価値以下である閾値に対応付けられたサービスをユーザ端末に提供するようにしたので、複数の認証サーバのうち、ユーザによって選択された認証サーバによる認証結果に基づいて、その認証サーバの信頼性に応じたサービスを提供することが可能となる。
本発明の一実施形態による情報通信システムの概要を示す図である。 本発明の一実施形態による評価値記憶部に記憶される評価値情報のデータ例を示す図である。 本発明の一実施形態によるセッション情報記憶部に記憶されるセッション情報のデータ例を示す図である。 本発明の一実施形態によるサービス提供閾値記憶部に記憶されるサービス提供閾値情報のデータ例を示す図である。 本発明の一実施形態による情報通信システムの動作例を示すシーケンス図である。 本発明の一実施形態による情報通信システムの概要を示す図である。 本発明の一実施形態による認証サーバ上限数情報のデータ例を示す図である。
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による情報通信システム1の構成を示すブロック図である。情報通信システム1は、ユーザ端末10と、情報提供サーバ20と、複数の認証サーバ30−N(認証サーバ30−1、認証サーバ30−2、認証サーバ30−3、・・・)とを備えており、それぞれのコンピュータ装置はネットワークを介して接続されている。ここでは、ユーザ端末10と情報提供サーバ20とはそれぞれ1台を図示して説明するが、それぞれ複数台が情報通信システム1に備えられて良い。また、複数の認証サーバ30−Nは異なる事業者等によって運営され、分散認証システムに基づくユーザIDの発行や認証を行うものであるが、同様の構成であるので特に区別の必要がない場合には認証サーバ30として説明する。
本実施形態における分散認証システムには、OpenIDとよばれるシステムが適用されることとして説明する。ここでは、ユーザは複数の認証サーバ30のうちから、自身の信頼する事業者等が運営する認証サーバ30を選択する。ユーザ端末10が、ユーザから入力される個人情報や認証情報を、選択された認証サーバ30に送信する。認証サーバ30は、受信した個人情報に基づいて一意なユーザIDを作成し、自身が管理するサイトにユーザのアカウント情報を記述した認証ページを作成する。作成した認証ページのURL(Uniform Resource Locator)は、広くインターネットに公開される。この分散認証システムでは、このURLがユーザIDとして利用される。認証が必要なウェブサービスを提供する情報提供サーバは、公開されたユーザの認証ページにアクセスすることで、ユーザの同一性の認証を行う。ユーザは、このような認証サーバにアカウントを作成しておくことで、分散認証システムに対応するウェブサービスを利用する際、その都度認証情報の入力を行なわずともウェブサービスが利用できるようになる。
サービスを提供する情報提供サーバ20は、ユーザ端末10から送信される認証要求に応じて、対応する認証サーバ30に認証要求を転送し、認証サーバ30から送信される認証結果に応じてサービスを提供する。認証サーバ30−1の認証URLは「http://example1.com」であり、認証サーバ30−2の認証URLは「http://example2.com」であり、認証サーバ30−3の認証URLは「http://example3.com」である。
ユーザ端末10は、ユーザからの入力を受付ける入力部や、情報を表示する表示部、演算部等を備えたコンピュータ端末である。ユーザ端末10には、例えばPC(Personal Computer)が適用できる。ユーザ端末10は、ウェブブラウザの機能を備える。
情報提供サーバ20は、ユーザ端末10からのサービス提供要求に応じてサービスを提供するコンピュータ装置であり、認証要求受信部21と、認証要求転送部22と、認証結果受信部23と、評価値記憶部24と、セッション情報記憶部25と、評価値算出部26と、サービス提供閾値記憶部27と、サービス提供部28とを備えている。
認証要求受信部21は、ユーザ端末10から送信される認証要求を受信する。ここでは、認証要求受信部21は、複数の認証サーバ30のうちいずれかの認証サーバ30を認証対象とする認証URLの入力を受付けるウェブページを、ユーザ端末10に送信する。認証要求受信部21は、ユーザの操作によってユーザ端末10に入力された認証サーバ30の認証URLを、認証要求として受信する。例えば、認証サーバ30−1を認証対象とする認証要求には、認証URL「http://example1.com」が含まれる。また、認証要求受信部21は、複数の認証サーバ30を認証対象とする認証要求を受信するようにしても良い。この場合、認証要求受信部21は、例えば、ひとつの認証対象に対する認証処理が完了した後に、他の認証サーバ30を認証対象とする認証要求を受付ける。
認証要求転送部22は、認証要求受信部21が受信した認証要求を、認証要求に示される認証URLを宛先として、認証対象の認証サーバ30に転送する。
認証結果受信部23は、認証要求転送部22が認証サーバ30に転送した認証要求に応じて、認証サーバ30から、ユーザ端末が認証されたか否かを示す認証結果を受信する。
評価値記憶部24には、認証サーバ30に対応するホストドメイン名またはドメイン名毎に、そのドメイン名による認証サーバ30の評価値が対応付けられた評価値情報が記憶される。図2は、評価値記憶部24に記憶される評価値情報のデータ例を示す図である。評価値情報には、上位ドメインから下位ドメイン(ホストドメイン)までの文字列によって表されたURL(例えば、「http://example1.com」、「http://example2.com」)に評価値が対応付けられたホストドメインリスト(図2(a))と、ドメイン名の一部(例えば、「.ac.jp」、「.jp」など上位ドメインのみ)に評価値が対応付けられたドメインリスト(図2(b))とが記憶される。このようにすれば、情報提供サーバ20の管理者は、「.ac.jp」、「.jp」、「.com」などの上位ドメインのみのドメイン名を評価値記憶部24に記憶させておくことで、未知の認証URLに対応する認証サーバ30による認証結果に応じた評価値を算出することができる。
セッション情報記憶部25には、ネットワークを介して接続されたユーザ端末10とのセッションに関する情報が記憶される。図3は、セッション情報記憶部24に記憶されるセッション情報のデータ例を示す図である。セッション情報記憶部24には、セッションIDと、認証対象となった認証サーバ30の認証URLおよびその認証サーバからの認証結果と、合計評価値とが記憶される。セッションIDは、ネットワークを介して接続されたユーザ端末10とのセッションを識別する情報である。セッションIDには、例えばWWW(World Wide Web)セッションIDが適用できる。認証URLおよびその認証結果は、ユーザ端末10から送信された認証要求に含まれる認証URLと、その認証URLに対応する認証サーバ30から受信した認証結果とが対応付けられて記憶される。例えば、認証結果には、認証が成功した場合には「OK」が、認証が失敗した場合には「NG」が記憶される。ここで、認証要求転送部22によって複数の認証サーバ30に対して認証要求が転送され、認証結果受信部23が複数の認証結果を受信している場合には、複数の認証URLと認証結果との組み合わせが記憶される。
合計評価値は、セッションIDに対応する複数の認証結果の合計値を示す情報である。例えば、認証サーバ30−1(http://example1.com)からの認証結果と、認証サーバ30−2(http://example2.com)からの認証結果とがともに「OK」であり、他の認証サーバ30からの認証結果がNGであるか存在しなければ、図2の例より、認証サーバ30−1の評価値は「10」であり、認証サーバ30−2の評価値は「30」であるので、合計評価値は「40」である。
評価値算出部26は、評価値記憶部24に記憶された評価値情報と、セッション情報記憶部25に記憶されたセッション情報とに基づいて、ユーザ端末10に対応する認証結果に対応する評価値および合計評価値を算出し、セッション情報記憶部25に記憶させる。評価値算出部26は、まず、セッション情報記憶部25に記憶された認証サーバに対応する認証結果が「OK」である場合には、対応する評価値をセッション情報記憶部25から読み出す。ここで、評価値算出部26は、認証URLに対応するドメイン名が、セッション情報記憶部25に記憶されたホストドメインリストとドメインリストとの双方に対応する場合には、ホストドメインリストに対応付けられた評価値を選択して読み出す。
例えば、認証URL「http://example4.jp」がホストドメインリストに記憶されており、ドメイン名「.jp」がドメインリストに記憶されている場合、認証URL「http://example4.jp」はホストドメインリストとドメインリストとの双方に対応することになるが、評価値算出部26は、ホストドメインリストに対応付けられた評価値を選択して読み出す。このようにすれば、評価値算出部26は、例えば「.jp」ドメインの未知の認証サーバ30に対応する評価値を読み出すことができるとともに、「.jp」ドメインのうち特に信用性の高い認証サーバ30や信用性の低い認証サーバ30に対応する認証URLに応じた評価値を評価値記憶部24に記憶させておくことで、サービス提供判定のための指標である評価値を柔軟に算出することができる。
サービス提供閾値記憶部27には、情報提供サーバ20によって提供されるサービス毎に、サービス提供判定のための合計評価値の閾値が記憶される。図4は、サービス提供閾値記憶部27に記憶されるサービス提供閾値情報のデータ例を示す図である。サービス提供閾値情報には、提供サービス名と、評価値の閾値とが対応付けられて記憶される。提供サービス名は、情報提供サーバ20によって提供されるサービスを識別する情報である。例えば、情報提供サーバ20は、オンラインストレージサービス、ブログサービス、SNS(Social Networking Service)などのサービスを提供する。評価値は、対応する提供サービスを提供するために必要となる合計評価値の下限閾値を示す情報である。ここでは、例えば高機能、高負荷のサービスは閾値を高く、低機能、低負荷のサービスは閾値を低く設定することができる。このようにすれば、評価値の低い認証サーバ30からの認証のみが成功しているユーザ端末10に対しては相対的に低機能のサービスを提供し、評価値の高い認証サーバ30からの認証が成功しているユーザ端末10に対しては相対的に高機能のサービスを提供することができる。また、例えば、オンラインストレージサービスを提供している場合には、評価値に応じたダウンロード速度によるオンラインストレージサービスを提供するように設定することができる。例えば、ダウンロード速度が20Kbpsであるオンラインストレージサービスの評価値の閾値を、ダウンロード速度が10Kbpsであるオンラインストレージサービスの評価値の閾値より高く設定して記憶させることができる。これにより、同種のサービスであっても、より評価値の高い認証サーバ30からの認証が成功しているユーザ端末10に対して、より高機能のサービスを提供することができる。
サービス提供部28は、ユーザ端末10に対応する合計評価値に応じて、ユーザ端末10にサービスを提供する。サービス提供部28は、評価値算出部26によって算出され、セッション情報記憶部25に記憶されたユーザ端末10のセッションに対応する認証結果の合計評価値と、サービス提供閾値記憶部27に記憶された評価値の閾値とを比較して、サービス提供判定処理を行う。サービス提供部28は、自身が提供する複数のサービスのうち、セッション情報記憶部25に記憶された合計評価値がサービス提供閾値記憶部27に記憶された閾値以上であるサービスをユーザ端末10に提供する。例えば、サービス提供部28は、認証結果の合計評価値が「40」であり、オンラインストレージサービスのサービス提供閾値が「30」、ブログサービスのサービス提供閾値が「40」、SNSのサービス提供閾値が「50」である場合には、オンラインストレージサービスとブログサービスとを提供すると判定し、SNSを提供しない。
認証サーバ30は、情報提供サーバ20から転送される認証要求に応じて、ユーザ端末10の認証処理を行う。認証サーバ30は、予め定められた認証URLに対する認証要求を受信すると、ユーザ端末10に、ユーザIDとパスワードの認証情報の入力を要求する。認証サーバ30は、ユーザによってユーザ端末10に入力された認証情報を受信すると、受信した認証情報と、予め記憶されたアカウント情報との同一性を認証する処理を行う。ここで、認証サーバ30は、ユーザ端末10から受信した認証情報が、予め記憶されたアカウント情報に対応するものであると判定すれば、ユーザ認証が成功したことを示す認証結果を生成し、対応するものでないと判定すれば、ユーザ認証が失敗したことを示す認証結果を生成する。認証サーバ30は、生成した認証結果を情報提供サーバ20に送信する。ここでは、認証サーバ30は、パスワードによる認証を行う例を示したが、認証サーバ30は、他の認証情報、例えばIC(集積回路)カードなどを用いた認証処理を行うようにしても良い。
次に、図5を参照して、本実施形態による情報通信システム1が情報通信を行う動作例を説明する。
まず、ユーザ端末10は、ユーザから入力された操作要求に応じて情報提供サーバ20にアクセスし、サービス提供要求を送信する(ステップS1)。情報提供サーバ20が、認証URLの入力を要求するウェブページをユーザ端末10に送信すると、ユーザ端末10は、認証サーバ30によって公開された認証URLを、認証要求として情報提供サーバ20に送信する(ステップS2)。情報提供サーバ20の認証要求受信部21が、ユーザ端末10から送信された認証要求を受信すると、認証要求転送部22は、認証要求に含まれる認証URLを宛先として、ユーザ端末10からの認証要求を転送する(ステップS3)。認証サーバ30は、情報提供サーバ20によって転送されたユーザ端末10からの認証要求に応じて、ユーザIDとパスワードなどの認証情報の入力欄が含まれるウェブページをユーザ端末10に送信する。ユーザ端末10は、ユーザによって入力される認証情報を、認証サーバ30に送信する(ステップS4)。
認証サーバ30は、ユーザ端末10から送信された認証情報に基づいて認証処理を行い(ステップS5)、認証結果を情報提供サーバ20に送信する(ステップS6)。情報提供サーバ20の認証結果受信部23は、認証サーバ30から送信された認証結果を受信すると、受信した認証結果をセッション情報記憶部25に記憶させる。評価値算出部26は、セッション情報記憶部25に記憶されたセッション情報に対応付けられた認証結果に基づいて、認証結果の送信元の認証サーバ30に対応付けられた評価値を評価値記憶部24から読み出し、ユーザ端末10に対応するセッションIDに対応付けられた評価値の合計値を算出し、セッション情報記憶部25に記憶させる(ステップS7)。
サービス提供部28は、セッション情報記憶部25に記憶されたユーザ端末10に対応する評価値の合計値と、サービス提供閾値記憶部27に記憶されたサービス提供の閾値とを比較して、ユーザ端末10に提供するサービスを判定し、提供可能と判定したサービスのサービス名をユーザ端末10に送信する(ステップS8)。以降、情報提供サーバ20は、ステップS8においてユーザ端末10に提供可能として送信したサービスに対するサービス提供要求に応じて、要求されたサービスを提供する。また、ユーザが、ステップS8においてユーザ端末10に送信された提供可能サービス以外のサービスを利用したい場合、または提供されるサービスのグレードを上げたい場合などには、ユーザ端末10は、ユーザから入力される認証要求を受付ける(ステップS9:YES)。この場合、ユーザ端末10は、他の認証サーバ30を認証対象とする認証要求を情報提供サーバ20に送信し、情報通信システム1は、ステップS8までの処理を繰り返す。ステップS9において、ユーザから認証要求が入力されない場合、ユーザ端末10は、ステップS8において送信された提供可能サービスのうちのサービスを利用する(ステップS9:NO)。
ここでは、情報提供サーバ20は、複数の認証サーバ30による認証結果に基づいた評価値に応じて、ユーザ端末10に対する提供可能サービスを判定するが、認証可能な認証サーバ30の数が無制限であれば、評価値の低い大量の認証サーバ30から認証結果を取得することで一定以上の合計評価値を超え、情報提供サーバ20によるサービスが提供される場合が考えられる。このような場合を防ぐために、情報通信システム1は、認証可能な認証サーバ30の数に上限を設けるようにしても良い。
図6は、このように認証可能な情報提供サーバ20の上限値を定めて認証処理を行う情報通信システム1の構成を示す図である。ここでは、情報提供サーバ20に認証サーバ上限数記憶部29が備えられる。認証サーバ上限数記憶部29には、ドメイン名毎に、同一のセッションIDにより同時に認証を行なうことを許容する認証サーバ30の数の上限値が記憶されている。図7は、認証サーバ上限数記憶部29に記憶される認証サーバ上限数情報のデータ例を示す図である。認証サーバ上限数情報には、ドメイン名と、認証サーバ上限数とが対応付けられて記憶される。ドメイン名は、認証サーバ30の数を制限する認証URLのドメインを示す情報である。ドメイン名には、上位ドメインのみの制定を行なうようにして良い。認証サーバ上限数は、対応するドメイン名を含む認証URLの認証サーバ30による認証結果を有効にする認証サーバ30の上限数である。
このように、認証サーバ上限数記憶部29に認証サーバ上限数情報が記憶されている場合、認証要求転送部22は、認証要求受信部21が受信した認証要求に含まれる認証URLと、認証サーバ上限数記憶部29に記憶された認証サーバ上限数情報と、セッション情報記憶部25に記憶されたセッション情報とに基づいて、認証サーバ30に認証要求を転送するか否かを判定する。ここで、認証要求転送部22は、認証要求受信部21が受信した認証要求の認証URLに含まれるドメイン名に対応付けられて、認証サーバ上限数記憶部29に記憶されている認証サーバ上限数を読み出す。また、認証要求転送部22は、認証要求受信部21が受信した認証要求の送信元であるユーザ端末10に対応するセッション情報に含まれる認証結果の数を算出する。認証要求転送部22は、読み出した認証サーバ上限数と、セッション情報に含まれる認証結果の数とを比較し、セッション情報に含まれる認証結果の数が、認証サーバ上限数を下回る場合には、認証要求を認証サーバ30に転送する。セッション情報に含まれる認証結果の数が、認証サーバ上限数以上である場合には、認証要求を認証サーバ30に転送しない。
ここでは、認証要求転送部22が、認証サーバ上限数に応じて認証要求を転送するか否かを判定することにより、認証サーバ上限数の判定処理を行うようにしたが、他の機能部により、認証サーバ上限数の制御を行うようにしても良い。例えば、認証要求転送部22は、認証サーバ上限数に関わらず認証要求を認証サーバ30に転送し、認証結果を受信した認証結果受信部23が、認証サーバ上限数の判定処理を行い、認証サーバ上限数を超える認証結果を破棄し、セッション情報記憶部25に記憶させないようにしても良い。あるいは、評価値算出部26が、認証サーバ上限数の判定処理を行い、認証サーバ上限数以下の認証結果のみに基づいて評価値の合計値を算出してセッション情報記憶部25に記憶させるようにしても良い。
以上説明したように、本実施形態によれば、分散認証システムによる認証が適用される情報通信システム1において、分散認証システムの利点を活かしつつ、安全なサービス提供を行うことができるものである。すなわち、分散認証システムは、誰でも認証サーバ30を構築できることをひとつの特徴として普及しつつあるものである。従来は、サービスを提供する情報提供サーバ20のそれぞれにアカウントを作成するためには、情報提供サーバ20に対して氏名や住所などの個人情報を送信しなければならないことがあった。しかしユーザは、情報提供サーバ20によって提供されるサービスを利用したいが、個人情報を情報提供サーバ20に対して送信することを躊躇する場合があった。そこで、本実施形態において説明したような分散認証システムによれば、誰でも認証サーバ30を構築することができ、ユーザは、認証サーバ30によって認証されることによって情報提供サーバ20のサービスを利用することができる。これにより、ユーザは、複数の認証サーバ30のうちから、信用できると考える情報提供サーバ20を自身が選んで個人情報を送信し、作成したアカウントを利用して情報提供サーバ20によるサービスを利用することができるという利点がある。
ここで、情報提供サーバ20にとって信頼性が未知である認証サーバ30によって生成された認証結果を用いることの対応として、情報提供サーバ20がいわゆるホワイトリストを予め記憶し、予め許可された認証サーバ30により生成された認証結果のみを有効とすれば、上述したような分散認証システムの利点を損なうこととなる。すなわち、ユーザが利用する認証サーバ30がホワイトリストに含まれていればサービスを利用できるが、ホワイトリストに含まれていない場合には全てのサービスが利用できないからである。一方、サービス提供者にとっては悪意のない認証サーバによる認証をブロックしてしまうこと等が考えられ、新規ユーザ獲得の機会が減少することになる。
そこで、本実施形態によれば、情報提供サーバ20は、提供するサービス毎に評価値の閾値を対応付けておき、ユーザ端末10の認証結果を生成した認証サーバ30の評価値に応じたサービスを提供するため、信頼関係がない第三者の情報提供サーバ20によって認証結果が生成されていたとしても、その評価値に応じてサービスを提供することができる。また、情報提供サーバ20は、第三者によって構築された複数の認証サーバ30のうち、いずれかの認証サーバ30により生成された認証結果を受信すると、その認証サーバ30に対応する評価値を算出し、算出した評価値に応じたサービスを提供するようにしたので、例えば評価値の低い認証サーバ30のみによる認証が成功している場合、相対的に低機能なサービスを提供し、評価値の高い認証サーバ30による認証が成功している場合、または複数の情報提供サーバ20による認証が成功している場合、相対的に高機能なサービスを提供するような制御を行うことができる。
すなわち、認証サーバ30による認証が成功したか否かの二者択一的な判断のみによらず、認証結果を生成した認証サーバ30の評価値に応じてサービスを提供することが可能となるため、提供するサービスを柔軟に制御することができる。例えば、相対的に低い評価値の認証サーバ30を利用しているユーザ端末10には、カレンダ機能のサービスのみを提供し、相対的に高い評価値の認証サーバ30を利用しているユーザ端末10には、カレンダ機能とメール機能とのサービスを提供するように制御することができる。
また、評価値記憶部24に記憶される評価値は、上位ドメイン名のみに対応付けて記憶させておくことが可能であるため、ネットワーク上に構築された全ての認証サーバ30に対応する評価値を評価値記憶部24に記憶させておかなくとも、指定した上位ドメインに属する認証サーバ30の信頼性の評価値を算出することができる。
なお、本願実施形態による認証評価を行う各機能部は、本実施形態において説明したように、サービスを提供する情報提供サーバ20に設けても良いが、認証サーバ30の評価値を算出する機能部のみを備える評価値算出サーバを構築して、複数の情報提供サーバ20が、評価値算出サーバに問い合わせることにより取得した認証サーバ30の評価値に基づいて、提供するサービスを判定するようにしても良い。
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより認証処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1 情報通信システム
10 ユーザ端末
20 情報提供サーバ
21 認証要求受信部
22 認証要求転送部
23 認証結果受信部
24 評価値記憶部
25 セッション情報記憶部
26 評価値算出部
27 サービス提供閾値記憶部
28 サービス提供部
29 認証サーバ上限数記憶部
30 認証サーバ

Claims (3)

  1. ネットワークを介して接続されたユーザ端末の認証を行う複数の認証サーバと接続され、前記認証サーバによる前記ユーザ端末の認証結果に応じてサービスを提供する情報提供サーバであって、
    前記認証サーバ毎に、当該認証サーバの信頼性の度合いを示す評価値が対応付けられて予め記憶される評価値記憶部と、
    前記情報提供サーバが提供する複数のサービス毎に、当該サービスを提供するか否かを示す前記評価値の閾値が対応付けられて記憶されるサービス提供閾値記憶部と、
    前記ユーザ端末から、前記複数の認証サーバのうちいずれかの認証サーバへの認証要求を受信する認証要求受信部と、
    前記認証要求受信部が受信した前記認証要求を、対応する前記認証サーバに転送する認証要求転送部と、
    前記認証要求転送部が転送した前記認証要求に応じて、前記認証サーバから、前記ユーザ端末が認証されたか否かを示す認証結果を受信する認証結果受信部と、
    前記認証結果受信部が受信した認証結果が、前記ユーザ端末が認証されたことを示す場合、前記評価値記憶部から、当該認証結果の送信元である前記認証サーバに対応付けられた前記評価値を読み出す評価値算出部と、
    前記評価値算出部が算出した前記評価値と、前記サービス提供閾値記憶部に記憶された前記閾値とを比較し、前記評価値以下である前記閾値に対応付けられた前記サービスを前記ユーザ端末に提供するサービス提供部と、
    前記認証サーバによる認証結果が有効となる前記認証サーバ数の上限値が記憶された認証サーバ上限数記憶部と、を備え、
    前記評価値算出部は、前記上限値以下の数の前記認証サーバから受信した前記認証結果の合計値を算出する
    ことを特徴とする情報提供サーバ。
  2. 前記認証要求受信部は、前記ユーザ端末から、複数の前記認証サーバへの認証要求を受信し、
    前記認証結果受信部は、前記複数の認証要求に対応する前記認証サーバから、前記ユーザ端末が認証されたか否かを示す認証結果を受信し、
    前記評価値算出部は、前記認証結果受信部によって受信した複数の認証結果のうち、前記ユーザ端末が認証されたことが示される認証結果の送信元である前記認証サーバに対応付けられた前記評価値を前記評価値記憶部から読み出し、読み出した評価値の合計値を算出する
    ことを特徴とする請求項1に記載の情報提供サーバ。
  3. 前記評価値記憶部には、前記認証サーバに応じたURL毎に評価値が対応付けられており、当該URLは、上位ドメインから下位ドメインまでの文字列によって表されたホストドメイン名と、上位ドメインのみの文字列によって表されたドメイン名とのいずれかによって示される
    ことを特徴とする請求項1又は2に記載の情報提供サーバ。
JP2009074623A 2009-03-25 2009-03-25 情報提供サーバ Active JP5252721B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009074623A JP5252721B2 (ja) 2009-03-25 2009-03-25 情報提供サーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009074623A JP5252721B2 (ja) 2009-03-25 2009-03-25 情報提供サーバ

Publications (2)

Publication Number Publication Date
JP2010225110A JP2010225110A (ja) 2010-10-07
JP5252721B2 true JP5252721B2 (ja) 2013-07-31

Family

ID=43042196

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009074623A Active JP5252721B2 (ja) 2009-03-25 2009-03-25 情報提供サーバ

Country Status (1)

Country Link
JP (1) JP5252721B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8769646B2 (en) * 2010-12-08 2014-07-01 Disney Enterprises, Inc. System and method for associating a universal user identification and a domain specific user identification
JP6186013B2 (ja) * 2013-03-14 2017-08-23 インテル コーポレイション 普遍的な持続性クラウドサービスを提供するシステム、方法及びコンピュータプログラムプロダクト
JP6037460B2 (ja) * 2014-04-14 2016-12-07 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation サービス提供装置、プログラム、及び、方法
JP2018010647A (ja) * 2017-07-28 2018-01-18 インテル コーポレイション 普遍的な持続性クラウドサービスを提供するシステム、方法及びコンピュータプログラムプロダクト

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003006161A (ja) * 2001-06-20 2003-01-10 Mitsubishi Electric Corp クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム
JP5056124B2 (ja) * 2007-04-04 2012-10-24 富士ゼロックス株式会社 サーバ、プログラム及び情報処理システム
JP2009037432A (ja) * 2007-08-01 2009-02-19 Fuji Xerox Co Ltd 検証ポリシー設定装置、プログラム及び検証ポリシー管理システム
EP2413261A4 (en) * 2009-03-24 2013-12-25 Nec Corp COMPUTING DEVICE, COMPUTING PROCESS, PROGRAM AND MEDIATION SYSTEM

Also Published As

Publication number Publication date
JP2010225110A (ja) 2010-10-07

Similar Documents

Publication Publication Date Title
CN105007280B (zh) 一种应用登录方法和装置
US8881248B2 (en) Service provider access
TWI400922B (zh) 在聯盟中主用者之認證
DK2481185T3 (en) RELAY OBJECT TO MULTI-IDENTITY ACCESS CONTROL TUNNEL
US20100049790A1 (en) Virtual Identity System and Method for Web Services
US20070056022A1 (en) Two-factor authentication employing a user's IP address
US20090013063A1 (en) Method for enabling internet access to information hosted on csd
JP4913457B2 (ja) 認証強度の異なるサーバに対応した連携型認証方法及びシステム
EP2747369A1 (en) A system and method of dynamic issuance of privacy preserving credentials
JP2005538434A (ja) 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム
JP5644770B2 (ja) アクセス制御システム、サーバ、およびアクセス制御方法
GB2448396A (en) Managing user digital identities through a single interface
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
US11165768B2 (en) Technique for connecting to a service
EP3570517B1 (en) Authentication technique making use of emergency credential
JP2022144003A (ja) 情報処理装置及び情報処理プログラム
JP6430689B2 (ja) 認証方法、端末およびプログラム
JP5252721B2 (ja) 情報提供サーバ
US20100095372A1 (en) Trusted relying party proxy for information card tokens
JP4932154B2 (ja) アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム
JP6059748B2 (ja) 認証連携システム及び認証方法
JP2011221729A (ja) Id連携システム
US11640456B1 (en) System and method for authenticating a user at a user application using an credential access application and automatically redirecting to a target application
CN110869928A (zh) 认证***和方法
JP2005267529A (ja) ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110704

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130415

R150 Certificate of patent or registration of utility model

Ref document number: 5252721

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160426

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250