JP6230584B2 - 代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法 - Google Patents
代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法 Download PDFInfo
- Publication number
- JP6230584B2 JP6230584B2 JP2015222040A JP2015222040A JP6230584B2 JP 6230584 B2 JP6230584 B2 JP 6230584B2 JP 2015222040 A JP2015222040 A JP 2015222040A JP 2015222040 A JP2015222040 A JP 2015222040A JP 6230584 B2 JP6230584 B2 JP 6230584B2
- Authority
- JP
- Japan
- Prior art keywords
- logon
- client terminal
- user
- password
- alternative
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Description
この発明は、スマートカードログオンができない場合に、クライアント端末にログオンするための代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法に関する。
従来から、クライアント端末にログオンする際に、利用者がカードリーダにスマートカードを挿入して、ログオン画面で暗証番号(PIN:personal identification number)を入力し、正しいPINが入力された場合にログオンを可能とするスマートカードログオンが知られている(例えば、非特許文献1参照)。
スマートカードログオンでは、利用者の認証にあたり、スマートカードに格納された電子証明書が用いられている。スマートカードログオンによれば、利用者がスマートカードを持っていること、および利用者が正しいPINを入力したことの2つを認証することにより、IDおよびパスワードによる認証よりもセキュリティを強化している。
ここで、スマートカードログオンにおいては、スマートカードを紛失したもしくは忘れた場合、またはスマートカードが故障した場合には、クライアント端末にログオンすることができない。なお、クライアント端末にログオンできない場合において、クライアント端末へのログオンをサポートする技術として、以下のものが知られている。
まず、利用者の携帯端末の所定操作に基づきクライアント端末のIDを含むパスワード要求メールを管理サーバへ送信し、管理サーバはこのパスワード要求メールを受信するとパスワードを生成してこのパスワードをIDに対応して記憶部に記憶するとともに、生成したパスワードを含むパスワード情報メールを、IDに対応してあらかじめ記憶部に記憶されているメールアドレスに基づき携帯端末へ送信してパスワードを利用者に取得させる一方、利用者のクライアント端末のログオン時に入力された取得パスワードと、記憶部のパスワードとの一致に基づき利用者によるクライアント端末の利用を可能にするクライアント端末のログオン装置が知られている(例えば、特許文献1参照)。
また、生体認証システムにおいて、クライアントPCのそれぞれは、操作者の生体情報を取得する生体情報取得デバイスと、クライアントPCのそれぞれに割り当てられた担当者の生体情報および担当者の上長情報を格納したHDDと、生体情報取得デバイスで取得された生体情報およびHDDに格納された担当者の生体情報に基づいて、認証処理を行う生体認証ソフトとを備え、生体認証ソフトは、認証失敗時に、HDDに格納された上長情報に基づいて、担当者の上長のクライアントPCを特定し、上長のクライアントPCに、生体情報取得デバイスで取得された生体情報を送信し、認証を依頼する生体認証システムが知られている(例えば、特許文献2参照)。
葛生和人、「PKIと連携したスマートカードログオンについて−共有端末における個人認証システムへの適用−」、名古屋大学情報連携基盤センターニュース、2007年2月、Vol.6、No.1、p.27−40
しかしながら、従来技術には、以下のような課題がある。
すなわち、特許文献1、2に記載された技術は、クライアント端末へのログオンをサポートするものであるが、スマートカードログオンにおいて、スマートカードを紛失したもしくは忘れた場合、またはスマートカードが故障した場合に適用されるものではない。
すなわち、特許文献1、2に記載された技術は、クライアント端末へのログオンをサポートするものであるが、スマートカードログオンにおいて、スマートカードを紛失したもしくは忘れた場合、またはスマートカードが故障した場合に適用されるものではない。
また、特許文献1、2に記載された技術は、上述した、利用者がスマートカードを持っていること、に相当する認証を行っていないので、スマートカードログオンに比べて、セキュリティが低くなるという問題がある。
この発明は、上記のような課題を解決するためになされたものであり、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができるシステムおよび方法を得ることを目的とする。
この発明に係る代替ログオンシステムは、ネットワークを介して互いに接続された携帯端末およびログオン制御サーバと、ログオン制御サーバとネットワークを介して接続可能なクライアント端末とからなる代替ログオンシステムであって、携帯端末とクライアント端末とは、同一の利用者が所持し、携帯端末は、スマートカードログオンに代えて、IDおよびパスワード、並びにワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのアプリケーションを含むアプリケーション部を有し、ログオン制御サーバは、アプリケーション部から代替ログオンの要求があった場合に、携帯端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算して携帯端末に送信するサーバ側演算部を有し、クライアント端末は、利用者によりIDおよびパスワードが入力された場合に、クライアント端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算するクライアント側演算部と、利用者に対して携帯端末に送信されたワンタイムパスワードの入力を要求するとともに、サーバ側演算部で演算されたワンタイムパスワードとクライアント側演算部で演算されたワンタイムパスワードとを比較して、ログオン可能であるか否かを判定するクライアント側ログオン制御部とを有するものである。
また、この発明に係る承認ログオンシステムは、ネットワークを介して互いに接続された承認者クライアント端末、ログオン制御サーバおよび利用者クライアント端末とからなる承認ログオンシステムであって、承認者クライアント端末は、利用者クライアント端末の利用者から、スマートカードログオンに代えて、IDおよびパスワードより利用者クライアント端末にログオンする承認ログオンを行うことが申請された場合に、ログオン制御サーバに対して、利用者クライアント端末のログオンを承認する承認者クライアント側ログオン制御部を有し、ログオン制御サーバは、承認者クライアント側ログオン制御部から承認ログオンの要求があった場合に、利用者クライアント端末のステータスを、承認者によって承認されている状態へと変更するサーバ側ログオン制御部を有し、利用者クライアント端末は、利用者によりIDおよびパスワードが入力された場合に、サーバ側ログオン制御部に対して利用者クライアント端末のステータスを確認し、利用者クライアント端末が承認者によって承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定する利用者クライアント側ログオン制御部を有するものである。
この発明に係る代替ログオンシステムによれば、クライアント端末の利用者が携帯端末からアプリケーションを起動し、ログオン制御サーバに対して、IDおよびパスワード、並びにワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのワンタイムパスワードを要求し、ログオン制御サーバから得られたワンタイムパスワードを用いてクライアント端末にログオンする。
また、この発明に係る承認ログオンシステムによれば、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
また、この発明に係る承認ログオンシステムによれば、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
以下、この発明に係る代替ログオンシステムおよび承認ログオンシステムの好適な実施の形態について、図面を用いて説明する。なお、この代替ログオンシステムおよび承認ログオンシステムは、Windows(登録商標)のログオンプロセスに必要な機能を追加し、スマートカードログオンをせずともログオンを可能とする形で適用される。また、スマートカードログオンを正常に実施していれば、同日であっても代替ログオンまたは承認ログオンを適用することができる。
実施の形態1.
まず、クライアント端末の利用者が携帯端末からアプリケーションを起動し、ログオン制御サーバに対して、IDおよびパスワード、並びにマトリクス表と表中の表示場所を指定して生成されるワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのワンタイムパスワードを要求し、ログオン制御サーバから得られたワンタイムパスワードを用いてクライアント端末にログオンする代替ログオンシステムについて説明する。
まず、クライアント端末の利用者が携帯端末からアプリケーションを起動し、ログオン制御サーバに対して、IDおよびパスワード、並びにマトリクス表と表中の表示場所を指定して生成されるワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのワンタイムパスワードを要求し、ログオン制御サーバから得られたワンタイムパスワードを用いてクライアント端末にログオンする代替ログオンシステムについて説明する。
図1は、この発明の実施の形態1に係る代替ログオンシステムを示すブロック構成図である。図1において、この代替ログオンシステムは、携帯端末10、ログオン制御サーバ20およびクライアント端末30から構成されている。なお、通常時は、クライアント端末30へのログオンは、スマートカードログオンにより行われる。
ここで、携帯端末10とログオン制御サーバ20とは、アプリケーション部が起動するとネットワークを介し通信が確立する(すなわち、携帯端末10がオンラインになる)が、ログオン制御サーバ20とクライアント端末30とは、互いに接続されていなくても(すなわち、クライアント端末30がオフラインであっても)よい。また、利用者は、携帯端末10およびクライアント端末30を所持している。
携帯端末10は、表示部11、操作部12およびアプリケーション部13を有している。ここで、携帯端末10は、例えば携帯電話である。表示部11は、ディスプレイであり、操作部12は、ハードウェアキーまたはソフトウェアキーである。アプリケーション部13には、代替ログオンを行うためのアプリケーションが代替ログオンシステムと連携したダウンロード用サーバからダウンロードされている。
なお、アプリケーションをダウンロードする際には、特定の認証番号(例えば、利用者の社員番号等)が代替ログオンシステムと連携したダウンロード用サーバに通知されるとともに、PINが設定される。ログオン制御サーバ20は、あらかじめ定めた規格により連携したダウンロード用サーバが携帯端末10に付与する利用者情報を取得しており、携帯端末10からアクセスがあった場合に、どの利用者の携帯端末からのアクセスであるかを識別することができる。
ログオン制御サーバ20は、サーバ側演算部21、サーバ側ログオン制御部22および利用者情報データベース23を有している。サーバ側演算部21は、携帯端末10のアプリケーション部13から代替ログオンの要求があった場合に、利用者情報データベース23に記憶された携帯端末10の利用者の属人情報または利用者固有の情報を示す認証番号と、図示しない内蔵時計の日時とを用いて、ワンタイムパスワードを演算する。
サーバ側ログオン制御部22は、クライアント端末30がオンラインになった場合、すなわちログオン制御サーバ20とクライアント端末30とが互いに接続されたときに、クライアント端末30へのログオンを制御する。具体的には、サーバ側ログオン制御部22は、アプリケーション部13から代替ログオンの要求があった場合に、クライアント端末30へのスマートカードログオンを規制するが、クライアント端末30から代替ログオンの取り消し要求があった場合に、クライアント端末30の代替ログオンを取り消して、スマートカードログオンを可能とする。
また、サーバ側ログオン制御部22は、クライアント端末30がオンラインである場合に、代替ログオンが行われたときには、利用者が所有している他のクライアント端末へのログオンを禁止するとともに、リモートデスクトップを禁止する。
利用者情報データベース23は、携帯端末10の利用者を示す認証番号とクライアント端末30の利用者を示すIDとを記憶している。なお、ここでは、認証番号とIDとは、共通であるとする。すなわち、ログオン制御サーバ20は、クライアント端末30からアクセスがあった場合に、どの利用者のクライアント端末からのアクセスであるかを識別することができる。なお、利用者情報データベース23において、認証番号とIDとから1人の利用者を特定することができれば、これらは別の値であってもよい。
クライアント端末30は、表示部31、操作部32、クライアント側ログオン制御部33およびクライアント側演算部34を有している。ここで、クライアント端末30は、例えばPCである。また、表示部31は、ディスプレイであり、操作部32は、ハードウェアキーボードまたはソフトウェアキーボードである。
クライアント側ログオン制御部33は、クライアント端末30へのログオンを制御する。具体的には、クライアント側ログオン制御部33は、クライアント端末30にスマートカードが挿入された場合には、Windowsの機能によりPINの入力が求められ、PINを認証した後に、代替ログオンの適用状態をログオン制御サーバ20に照会し、ログオン可能であるか否かを判定する。
また、クライアント側ログオン制御部33は、クライアント端末30にIDおよびパスワードが入力された場合には、代替ログオンと判断して、さらにワンタイムパスワードを入力することを要求するとともに、IDおよびパスワード、並びにワンタイムパスワードを認証してログオン可能であるか否かを判定する。
また、クライアント側ログオン制御部33は、代替ログオンによりクライアント端末30へのログオンが行われた場合には、その後、スマートカードログオンを不可とする。このとき、クライアント端末30がオンラインになった場合に、サーバ側ログオン制御部22が、代替ログオンによりログオンを行ったクライアント端末30に対して、スマートカードログオンを不可としてもよい。
また、クライアント側ログオン制御部33は、クライアント端末30がオンラインになった場合に、利用者の要求に応じて、サーバ側ログオン制御部22に代替ログオンの取り消しを要求する。なお、代替ログオンの取り消しは、利用者の上長が、自身のクライアント端末からサーバ側ログオン制御部22に対して要求する。
クライアント側演算部34は、クライアント端末30にIDおよびパスワードが入力された場合に、入力されたIDと図示しない内蔵時計の日時とを用いて、ワンタイムパスワードを演算する。
ここで、サーバ側演算部21およびクライアント側演算部34は、ワンタイムパスワードの演算について、それぞれ共通のアルゴリズムを有している。すなわち、サーバ側演算部21およびクライアント側演算部34では、上述した共通である認証番号およびIDと、ログオン制御サーバ20およびクライアント端末30のそれぞれの内蔵時計の日時とを用いて、同一のワンタイムパスワードが演算される。
そのため、クライアント側ログオン制御部33は、クライアント端末30に入力されるワンタイムパスワードを、クライアント側演算部34で演算されたワンタイムパスワードと比較して、両者が互いに一致する場合に、ログオン可能であると判定することができる。なお、ワンタイムパスワードは、任意に設定される時間単位で(例えば6時間毎に)更新され、更新後に再度ログオンする場合には、ワンタイムパスワードを取り直すこととなる。
図2は、この発明の実施の形態1に係る代替ログオンシステムの処理を示すシーケンス図である。図2において、まず、利用者が携帯端末10のアプリケーション部13を起動して、PINを入力する(ステップS1)。
続いて、利用者が携帯端末10のアプリケーション部13からログオン制御サーバ20に対して代替ログオンを要求する(ステップS2)。
続いて、利用者が携帯端末10のアプリケーション部13からログオン制御サーバ20に対して代替ログオンを要求する(ステップS2)。
次に、サーバ側演算部21は、携帯端末10の利用者を示す認証番号と、内蔵時計の日時とを用いて、ワンタイムパスワードを演算する(ステップS3)。
続いて、サーバ側演算部21は、演算したワンタイムパスワードを携帯端末10に送信する(ステップS4)。
続いて、サーバ側演算部21は、演算したワンタイムパスワードを携帯端末10に送信する(ステップS4)。
次に、利用者がクライアント端末30を起動し(ステップS5)、IDおよびパスワードを入力する(ステップS6)。
続いて、クライアント側演算部34は、入力されたIDと内蔵時計の日時とを用いて、ワンタイムパスワードを演算する(ステップS7)。
続いて、クライアント側演算部34は、入力されたIDと内蔵時計の日時とを用いて、ワンタイムパスワードを演算する(ステップS7)。
次に、クライアント側ログオン制御部33は、利用者にワンタイムパスワードの入力を要求し(ステップS8)、利用者がワンタイムパスワードを入力することで(ステップS9)、IDおよびパスワード、並びにワンタイムパスワードを認証してログオンを行う(ステップS10)。
なお、代替ログオンを取り消す場合には、クライアント端末30がオンラインになった後、利用者の要求に応じて、クライアント側ログオン制御部33がサーバ側ログオン制御部22に代替ログオンの取り消しを要求し(ステップS11)、サーバ側ログオン制御部22がクライアント端末30の代替ログオンを取り消す(ステップS12)。
このように、スマートカードログオンができない場合に、利用者が携帯端末10のアプリケーション部13を起動して、PINを入力し、かつ携帯端末10に送信されたワンタイムパスワードをクライアント端末30に入力することにより、セキュリティを確保した上でPCにログオンすることができるようになる。
以上のように、実施の形態1によれば、クライアント端末の利用者が携帯端末からアプリケーションを起動し、ログオン制御サーバに対して、IDおよびパスワード、並びにワンタイムパスワードによりクライアント端末にログオンする代替ログオンを行うためのワンタイムパスワードを要求し、ログオン制御サーバから得られたワンタイムパスワードを用いてクライアント端末にログオンする。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
また、スマートカードが見つかった場合には、上長が代替ログオンの取り消しを要求することにより、スマートカードログオンを可能とし、利用者の利便性を向上させることができる。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
また、スマートカードが見つかった場合には、上長が代替ログオンの取り消しを要求することにより、スマートカードログオンを可能とし、利用者の利便性を向上させることができる。
実施の形態2.
次に、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする承認ログオンシステムについて説明する。
次に、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする承認ログオンシステムについて説明する。
図3は、この発明の実施の形態2に係る承認ログオンシステムを示すブロック構成図である。図3において、この承認ログオンシステムは、承認者クライアント端末50、ログオン制御サーバ60および利用者クライアント端末70から構成されている。なお、通常時は、クライアント端末50、70へのログオンは、それぞれスマートカードログオンにより行われる。
ここで、承認者クライアント端末50とログオン制御サーバ60と利用者クライアント端末70とは、ネットワークを介して互いに接続されている(すなわち、承認者クライアント端末50および利用者クライアント端末70がオンラインである)。
承認者クライアント端末50は、表示部51、操作部52、承認者クライアント側ログオン制御部53を有している。ここで、承認者クライアント端末50は、例えばPCである。また、表示部51は、ディスプレイであり、操作部52は、ハードウェアキーボードまたはソフトウェアキーボードである。
承認者クライアント側ログオン制御部53は、利用者クライアント端末70へのログオンを制御する。具体的には、承認者クライアント側ログオン制御部53は、利用者から承認ログオンの申請があった場合に、承認者の操作により、ログオン制御サーバ60に対して、利用者クライアント端末70のログオンを承認する。
ここで、承認者は、利用者クライアント端末70のログオンを承認するにあたり、承認者クライアント端末50にスマートカードログオンによりログオンしている必要がある。また、承認者は、自身が承認ログオンを申請する場合に、自己承認をすることはできず、他の承認者に申請する必要がある。また、承認者が1日に承認できる人数には、制限(例えば3人)がある。
ログオン制御サーバ60は、サーバ側ログオン制御部61および利用者情報データベース62を有している。サーバ側ログオン制御部61は、利用者クライアント端末70へのログオンを制御する。具体的には、利用者クライアント端末70にIDおよびパスワードが入力された場合には、承認ログオンと判断して、当該利用者クライアント端末70が承認者によって承認されているか否かを判定する。
なお、承認者クライアント側ログオン制御部53は、ログオン制御サーバ60に対して、利用者クライアント端末70のログオンを承認した後、利用者の要求に応じて、サーバ側ログオン制御部61に承認ログオンの取り消しを要求する。また、サーバ側ログオン制御部61は、承認者クライアント側ログオン制御部53から承認ログオンの取り消し要求があった場合に、利用者クライアント端末70の承認ログオンを取り消す。
また、サーバ側ログオン制御部61は、承認ログオンが行われている場合には、利用者が所有している他のクライアント端末へのログオンを禁止するとともに、リモートデスクトップを禁止する。
利用者情報データベース62は、承認者クライアント端末50および利用者クライアント端末70の利用者を示すIDを記憶している。すなわち、ログオン制御サーバ60は、承認者クライアント端末50および利用者クライアント端末70からアクセスがあった場合に、どの利用者のクライアント端末からのアクセスであるかを識別することができる。
利用者クライアント端末70は、表示部71、操作部72、利用者クライアント側ログオン制御部73を有している。ここで、利用者クライアント端末70は、例えばPCである。また、表示部71は、ディスプレイであり、操作部72は、ハードウェアキーボードまたはソフトウェアキーボードである。
利用者クライアント側ログオン制御部73は、利用者クライアント端末70へのログオンを制御する。具体的には、利用者クライアント側ログオン制御部73は、利用者クライアント端末70にスマートカードが挿入された場合には、Windowsの機能によりPINの入力が求められ、PINを認証した後に、承認ログオンの適用状態をログオン制御サーバ20に照会し、ログオン可能であるか否かを判定する。
また、利用者クライアント側ログオン制御部73は、利用者クライアント端末70にIDおよびパスワードが入力された場合には、承認ログオンと判断して、サーバ側ログオン制御部61に対して、当該利用者クライアント端末70が承認者によって承認されているか否かを確認し、承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定する。
また、利用者クライアント側ログオン制御部73は、承認ログオンにより利用者クライアント端末70へのログオンが行われた場合には、その後、スマートカードログオンを不可とする。なお、利用者クライアント側ログオン制御部73は、利用者クライアント端末70の承認ログオンが取り消された場合には、スマートカードログオンを可能とする。
図4は、この発明の実施の形態2に係る承認ログオンシステムの処理を示すシーケンス図である。図4において、まず、利用者からの承認ログオンの申請に応じて、承認者がログオン制御サーバ60に対して承認ログオンを要求する(ステップS21)。
続いて、サーバ側ログオン制御部61は、利用者クライアント端末70のステータスを、承認者によって承認されている状態へと変更する(ステップS22)。
続いて、サーバ側ログオン制御部61は、利用者クライアント端末70のステータスを、承認者によって承認されている状態へと変更する(ステップS22)。
次に、利用者が利用者クライアント端末70を起動し(ステップS23)、IDおよびパスワードを入力する(ステップS24)。
続いて、利用者クライアント側ログオン制御部73は、サーバ側ログオン制御部61に対して、利用者クライアント端末70のステータスを確認する(ステップS25)。
続いて、利用者クライアント側ログオン制御部73は、サーバ側ログオン制御部61に対して、利用者クライアント端末70のステータスを確認する(ステップS25)。
次に、サーバ側ログオン制御部61は、利用者クライアント側ログオン制御部73に対して、利用者クライアント端末70が承認者によって承認されていると回答し(ステップS26)する。
続いて、利用者クライアント側ログオン制御部73は、IDおよびパスワードを認証してログオンを行う(ステップS27)。
続いて、利用者クライアント側ログオン制御部73は、IDおよびパスワードを認証してログオンを行う(ステップS27)。
なお、承認ログオンを取り消す場合には、利用者からの承認ログオンの要求に応じて、承認者がログオン制御サーバ60に対して承認ログオンの取り消しを要求し(ステップS28)、サーバ側ログオン制御部61が利用者クライアント端末70の承認ログオンを取り消す(ステップS29)。
このように、スマートカードログオンができない場合に、利用者が承認者に対して承認ログオンを行うことを申請し、承認者が承認者クライアント端末50からログオン制御サーバ60にアクセスして利用者クライアント端末70のログオンを承認することにより、セキュリティを確保した上でPCにログオンすることができるようになる。
以上のように、実施の形態2によれば、クライアント端末の利用者が承認者(例えば、上長)に対して、承認者の承認を得た上でIDおよびパスワードによりクライアント端末にログオンする承認ログオンを行うことを申請し、承認者が自身のクライアント端末からログオン制御サーバにアクセスして利用者のクライアント端末のログオンを承認し、利用者がIDおよびパスワードにより自身のクライアント端末にログオンする。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
また、スマートカードが見つかった場合には、承認者(例えば、上長)が代替ログオンの取り消しを要求することにより、スマートカードログオンを可能とし、利用者の利便性を向上させることができる。
そのため、スマートカードログオンができない場合であっても、高いセキュリティを確保した上で、クライアント端末にログオンすることができる。
また、スマートカードが見つかった場合には、承認者(例えば、上長)が代替ログオンの取り消しを要求することにより、スマートカードログオンを可能とし、利用者の利便性を向上させることができる。
10 携帯端末、11 表示部、12 操作部、13 アプリケーション部、20 ログオン制御サーバ、21 サーバ側演算部、22 サーバ側ログオン制御部、23 利用者情報データベース、30 クライアント端末、31 表示部、32 操作部、33 クライアント側ログオン制御部、34 クライアント側演算部、50 承認者クライアント端末、51 表示部、52 操作部、53 承認者クライアント側ログオン制御部、60 ログオン制御サーバ、61 サーバ側ログオン制御部、62 利用者情報データベース、70 利用者クライアント端末、71 表示部、72 操作部、73 利用者クライアント側ログオン制御部。
Claims (8)
- ネットワークを介して互いに接続された携帯端末およびログオン制御サーバと、前記ログオン制御サーバとネットワークを介して接続可能なクライアント端末とからなる代替ログオンシステムであって、前記携帯端末と前記クライアント端末とは、同一の利用者が所持し、
前記携帯端末は、スマートカードログオンに代えて、IDおよびパスワード、並びにワンタイムパスワードにより前記クライアント端末にログオンする代替ログオンを行うためのアプリケーションを含むアプリケーション部を有し、
前記ログオン制御サーバは、前記アプリケーション部から代替ログオンの要求があった場合に、前記携帯端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算して前記携帯端末に送信するサーバ側演算部を有し、
前記クライアント端末は、前記利用者によりIDおよびパスワードが入力された場合に、前記クライアント端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算するクライアント側演算部と、
前記利用者に対して前記携帯端末に送信されたワンタイムパスワードの入力を要求するとともに、前記サーバ側演算部で演算されたワンタイムパスワードと前記クライアント側演算部で演算されたワンタイムパスワードとを比較して、ログオン可能であるか否かを判定するクライアント側ログオン制御部と、を有する
代替ログオンシステム。 - 前記クライアント側ログオン制御部は、代替ログオンにより前記クライアント端末へのログオンが行われた場合には、その後、スマートカードログオンを不可とする
請求項1に記載の代替ログオンシステム。 - 前記ログオン制御サーバは、前記クライアント端末が接続された場合において、前記クライアント端末からの要求により、代替ログオンを取り消してスマートカードログオンを可能とするサーバ側ログオン制御部を有する
請求項2に記載の代替ログオンシステム。 - ネットワークを介して互いに接続された承認者クライアント端末、ログオン制御サーバおよび利用者クライアント端末とからなる承認ログオンシステムであって、
前記承認者クライアント端末は、前記利用者クライアント端末の利用者から、スマートカードログオンに代えて、IDおよびパスワードより前記利用者クライアント端末にログオンする承認ログオンを行うことが申請された場合に、前記ログオン制御サーバに対して、前記利用者クライアント端末のログオンを承認する承認者クライアント側ログオン制御部を有し、
前記ログオン制御サーバは、前記承認者クライアント側ログオン制御部から承認ログオンの要求があった場合に、前記利用者クライアント端末のステータスを、承認者によって承認されている状態へと変更するサーバ側ログオン制御部を有し、
前記利用者クライアント端末は、前記利用者によりIDおよびパスワードが入力された場合に、前記サーバ側ログオン制御部に対して前記利用者クライアント端末のステータスを確認し、前記利用者クライアント端末が承認者によって承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定する利用者クライアント側ログオン制御部を有する
承認ログオンシステム。 - 前記利用者クライアント側ログオン制御部は、承認ログオンにより前記利用者クライアント端末へのログオンが行われた場合には、その後、スマートカードログオンを不可とする
請求項4に記載の承認ログオンシステム。 - 前記サーバ側ログオン制御部は、前記承認者クライアント端末の要求により、承認ログオンを取り消してスマートカードログオンを可能とする
請求項5に記載の承認ログオンシステム。 - ネットワークを介して互いに接続された携帯端末およびログオン制御サーバと、前記ログオン制御サーバとネットワークを介して接続可能なクライアント端末とからなる代替ログオンシステムで実現される代替ログオン方法であって、前記携帯端末と前記クライアント端末とは、同一の利用者が所持し、
前記ログオン制御サーバにより、前記携帯端末から、スマートカードログオンに代えて、IDおよびパスワード、並びにワンタイムパスワードにより前記クライアント端末にログオンする代替ログオンの要求があった場合に、前記携帯端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算して前記携帯端末に送信するステップと、
前記クライアント端末により、前記利用者により前記クライアント端末にIDおよびパスワードが入力された場合に、前記クライアント端末の利用者情報と内蔵時計の日時とを用いて、ワンタイムパスワードを演算するステップと、
前記クライアント端末により、前記利用者に対して前記携帯端末に送信されたワンタイムパスワードの入力を要求するステップと、
前記クライアント端末により、それぞれ演算されたワンタイムパスワードを比較して、ログオン可能であるか否かを判定するステップと、を有する
代替ログオン方法。 - ネットワークを介して互いに接続された承認者クライアント端末、ログオン制御サーバおよび利用者クライアント端末とからなる承認ログオンシステムで実現される承認ログオン方法であって、
前記承認者クライアント端末により、前記利用者クライアント端末の利用者から、スマートカードログオンに代えて、IDおよびパスワードより前記利用者クライアント端末にログオンする承認ログオンを行うことが申請された場合に、前記ログオン制御サーバに対して、前記利用者クライアント端末のログオンを承認するステップと、
前記ログオン制御サーバにより、承認ログオンの要求があった場合に、前記利用者クライアント端末のステータスを、承認者によって承認されている状態へと変更するステップと、
前記利用者クライアント端末により、前記利用者により前記利用者クライアント端末にIDおよびパスワードが入力された場合に、前記利用者クライアント端末のステータスを確認し、前記利用者クライアント端末が承認者によって承認されていれば、IDおよびパスワードを認証してログオン可能であるか否かを判定するステップと、を有する
承認ログオン方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015222040A JP6230584B2 (ja) | 2015-11-12 | 2015-11-12 | 代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法 |
| CN201610890591.3A CN106850527A (zh) | 2015-11-12 | 2016-10-12 | 代替登录***和方法以及批准登录***和方法 |
| CN202010655490.4A CN111787023B (zh) | 2015-11-12 | 2016-10-12 | 批准登录***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015222040A JP6230584B2 (ja) | 2015-11-12 | 2015-11-12 | 代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017091305A JP2017091305A (ja) | 2017-05-25 |
| JP6230584B2 true JP6230584B2 (ja) | 2017-11-15 |
Family
ID=58770654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015222040A Active JP6230584B2 (ja) | 2015-11-12 | 2015-11-12 | 代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6230584B2 (ja) |
| CN (2) | CN106850527A (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113836547B (zh) * | 2021-08-30 | 2023-12-22 | 济南浪潮数据技术有限公司 | 一种限制普通用户登陆监控平台的方法、***及监控平台 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3497342B2 (ja) * | 1997-02-27 | 2004-02-16 | 株式会社日立製作所 | クライアント・サーバシステム、サーバ、クライアント処理方法及びサーバ処理方法 |
| JP2000010927A (ja) * | 1998-06-25 | 2000-01-14 | Nec Yonezawa Ltd | 認証システム及び認証装置 |
| US6981152B2 (en) * | 2000-07-28 | 2005-12-27 | 360 Degree Web, Inc. | Smart card security information configuration and recovery system |
| US6968463B2 (en) * | 2001-01-17 | 2005-11-22 | Hewlett-Packard Development Company, L.P. | System for controlling access to resources in a storage area network |
| JP2004157845A (ja) * | 2002-11-07 | 2004-06-03 | Noritsu Koki Co Ltd | メンテナンス時認証システム |
| JP2005025301A (ja) * | 2003-06-30 | 2005-01-27 | Casio Comput Co Ltd | 情報管理システム及び情報管理プログラム |
| JP3846893B2 (ja) * | 2003-07-30 | 2006-11-15 | 松下電器産業株式会社 | 承認結果通知システムおよびその方法 |
| JP2005128986A (ja) * | 2003-10-24 | 2005-05-19 | Ez Soft Kk | 電子承認システム及び電子印鑑 |
| JP4643313B2 (ja) * | 2005-03-09 | 2011-03-02 | 富士通株式会社 | 生体認証機能を有するクライアント・サーバシステムの生体認証不可能時の救済方法 |
| CN100437671C (zh) * | 2005-09-09 | 2008-11-26 | 中国工商银行股份有限公司 | 异地授权***及方法 |
| KR101537738B1 (ko) * | 2008-05-19 | 2015-07-17 | 주식회사 케이티 | Usim 카드 패스워드 관련 자동 안내 시스템 및 방법과이를 위한 장치 |
| JP5776206B2 (ja) * | 2011-02-15 | 2015-09-09 | 東ソー株式会社 | 承認手段を備えた分析システム |
| DE102012214018B3 (de) * | 2012-08-07 | 2014-02-13 | Siemens Aktiengesellschaft | Autorisierung eines Nutzers durch ein tragbares Kommunikationsgerät |
| CN103593602A (zh) * | 2012-08-14 | 2014-02-19 | 深圳中兴网信科技有限公司 | 一种用户权限管理方法和*** |
| CN102831350B (zh) * | 2012-08-30 | 2015-05-20 | 北京立思辰计算机技术有限公司 | 一种自助式光盘刻录全生命周期监控与审计方法 |
| US10069827B2 (en) * | 2012-10-31 | 2018-09-04 | International Business Machines Corporation | Extending authentication and authorization capabilities of an application without code changes |
| JP2014099127A (ja) * | 2012-11-16 | 2014-05-29 | Hitachi Ltd | 失効機能付き認証システム |
| JP6287213B2 (ja) * | 2014-01-07 | 2018-03-07 | 日本電気株式会社 | 代行ログイン装置、端末、制御方法およびプログラム |
| US20150227733A1 (en) * | 2014-02-10 | 2015-08-13 | Hyundai Motor Company | Automatic login system and automatic login method |
| CN104836789B (zh) * | 2015-03-20 | 2017-12-22 | 湖南科技大学 | 一种基于空间区域匿名的位置隐私保护方案 |
-
2015
- 2015-11-12 JP JP2015222040A patent/JP6230584B2/ja active Active
-
2016
- 2016-10-12 CN CN201610890591.3A patent/CN106850527A/zh active Pending
- 2016-10-12 CN CN202010655490.4A patent/CN111787023B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111787023B (zh) | 2023-04-18 |
| CN106850527A (zh) | 2017-06-13 |
| JP2017091305A (ja) | 2017-05-25 |
| CN111787023A (zh) | 2020-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11321712B1 (en) | System and method for on-demand level of assurance depending on a predetermined authentication system | |
| CN108351927B (zh) | 用于访问管理的无密码认证 | |
| EP3266181B1 (en) | Identification and/or authentication system and method | |
| KR102313859B1 (ko) | 권한 위양 시스템, 그 제어 방법 및 클라이언트 | |
| US7849501B2 (en) | Methods and systems for using data processing systems in order to authenticate parties | |
| US20170086069A1 (en) | System and Method of Authentication by Leveraging Mobile Devices for Expediting User Login and Registration Processes Online | |
| US11356261B2 (en) | Apparatus and methods for secure access to remote content | |
| US10110578B1 (en) | Source-inclusive credential verification | |
| JP6742907B2 (ja) | 識別および/または認証のシステムおよび方法 | |
| US20170279798A1 (en) | Multi-factor authentication system and method | |
| US20140053251A1 (en) | User account recovery | |
| CN103827811A (zh) | 管理基本输入/输出***(bios)的访问 | |
| US20070214364A1 (en) | Dual layer authentication system for securing user access to remote systems and associated methods | |
| US20110289567A1 (en) | Service access control | |
| KR20220167366A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| US20220116390A1 (en) | Secure two-way authentication using encoded mobile image | |
| JP6230584B2 (ja) | 代替ログオンシステムおよび代替ログオン方法、並びに承認ログオンシステムおよび承認ログオン方法 | |
| US10984131B2 (en) | Method for providing personal information of a user requested by a given online service | |
| JP2019168843A (ja) | 管理サーバ、認証方法、コンピュータプログラム、サービス連携システム、通信端末及び電子錠 | |
| JP4943186B2 (ja) | 指静脈認証システム | |
| JP6795436B2 (ja) | アクセス制御システム、アクセス制御方法およびアクセス制御プログラム | |
| KR20220066692A (ko) | 업무 포탈의 통합 인증 관리 시스템 및 방법 | |
| Dalvi et al. | Continuous and Transparent User Identity Verification for Secure Internet Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170418 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170919 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171017 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6230584 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |