JP5193787B2 - Information processing method, relay server, and network system - Google Patents
Information processing method, relay server, and network system Download PDFInfo
- Publication number
- JP5193787B2 JP5193787B2 JP2008256973A JP2008256973A JP5193787B2 JP 5193787 B2 JP5193787 B2 JP 5193787B2 JP 2008256973 A JP2008256973 A JP 2008256973A JP 2008256973 A JP2008256973 A JP 2008256973A JP 5193787 B2 JP5193787 B2 JP 5193787B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- web server
- authentication
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 5
- 238000003672 processing method Methods 0.000 title claims description 5
- 238000000034 method Methods 0.000 description 45
- 230000006870 function Effects 0.000 description 33
- 238000012545 processing Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 16
- 238000012790 confirmation Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 7
- 230000008520 organization Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Description
本発明は、一回の認証情報(IDおよびパスワード等)の入力により、認証が必要な複数のアプリケーションを利用可能とする技術に関する。 The present invention relates to a technique for making it possible to use a plurality of applications requiring authentication by inputting authentication information (such as an ID and a password) once.
近年、様々な組織あるいは企業により様々なWebアプリケーションサービスがインターネット上で提供され、ユーザに広く利用されている。これらのWebアプリケーションの中には、ユーザ登録を行ったユーザに対して発行されたユーザIDとパスワードを用いてユーザを認証し、ユーザごとの便利なアプリケーションサービスを提供するものも多い。そのため、利用するWebアプリケーションの増加に伴い、ユーザの保持するユーザIDおよびパスワードも増加する。したがって、ユーザにとっては、複数のユーザIDおよびパスワードをWebアプリケーションごとに使い分けなければならず、煩雑なものとなっていた。この場合、一例として、次のような状況が起こる。あるユーザが、ブログやネットオークション、Webメール等のサービスを提供するポータルサイトサービスと、銀行のオンラインバンキングサービスと、証券会社のオンライントレードサービスと、居住自治体の電子申請サービスと、電力会社のオンライン電気使用開始・停止サービスとを利用していたとする。通常は、ポータルサイト、銀行、証券会社、自治体、電力会社の5つの組織が個別にユーザを管理するため、このユーザは5通りのユーザIDおよびパスワードを使い分ける必要があった。 In recent years, various web application services are provided on the Internet by various organizations or companies, and are widely used by users. Many of these Web applications provide a convenient application service for each user by authenticating the user using a user ID and password issued to the user who has registered the user. Therefore, as the number of Web applications to be used increases, user IDs and passwords held by users also increase. Therefore, for the user, a plurality of user IDs and passwords must be properly used for each Web application, which is complicated. In this case, the following situation occurs as an example. A user provides a portal site service that provides services such as blogs, online auctions, and Web mail, online banking services for banks, online trade services for securities companies, electronic application services for local governments, and online electricity for electric power companies. Suppose you are using a start / stop service. Usually, since five organizations of a portal site, a bank, a securities company, a local government, and a power company individually manage users, it is necessary for this user to properly use five types of user IDs and passwords.
ユーザIDおよびパスワードの使い分けが煩雑になることを避ける技術として一般にシングルサインオンと呼ばれる技術が知られている。シングルサインオンは、一回の認証情報(IDおよびパスワード等)の入力により、認証が必要な複数のアプリケーションを利用可能とする技術である。例えば、あるWebサイトあるいは第三者安全保証機関(Third-Party Security Service) (以下、認証サイトと称する)でユーザ認証を受ければ、続けて他のWebサイトにアクセスする際にはログイオン操作が不要となるユーザ認証技術が知られている(例えば、特許文献1、非特許文献1参照)。
As a technique for avoiding complicated use of the user ID and password, a technique called single sign-on is generally known. Single sign-on is a technique that enables a plurality of applications requiring authentication to be used by inputting authentication information (such as an ID and a password) once. For example, if user authentication is performed at a certain website or a Third-Party Security Service (hereinafter referred to as “authentication site”), log-on operations will not be performed when accessing other websites. There is known a user authentication technique that becomes unnecessary (see, for example,
上記従来技術は、各Webサイトが認証サイトでの認証結果を受け入れることを前提としているため、各Webサイトと認証サイトとの間には信頼関係が成立している必要がある。したがって、上記従来技術は、このような信頼関係を容易に築くことが可能な一つの組織内に認証サイトを設け、組織内の各部門が有するWebサイトではこの認証サイトでの認証結果を利用するといった組織内認証基盤としての利用や、互いに提携関係にある企業同士での利用が現実的である。上述した5つの組織を例にとると、ポータルサイト内でブログやネットオークション、Webメールという一つの組織内での複数のシステムが認証サイトを共用するネットワークシステムの実現が可能である。 Since the above prior art is based on the premise that each Web site accepts the authentication result at the authentication site, a trust relationship needs to be established between each Web site and the authentication site. Therefore, in the above prior art, an authentication site is provided in one organization that can easily build such a trust relationship, and the authentication result in this authentication site is used in the Web site possessed by each department in the organization. It is realistic to use it as an in-house authentication platform, or between companies that are affiliated with each other. Taking the five organizations described above as an example, it is possible to realize a network system in which a plurality of systems in one organization such as a blog, a net auction, and a web mail share an authentication site in the portal site.
しかしながら、ポータルサイトと銀行と証券会社と自治体と電力会社といった互いに信頼関係や連携関係にない複数のシステムが認証サイトを共用するネットワークシステムを実現することは現実的には困難であった。しかし、上記従来技術には、この課題を解決する技術について記載されていない。 However, in reality, it has been difficult to realize a network system in which a plurality of systems that are not in a mutual trust relationship or cooperative relationship such as a portal site, a bank, a securities company, a local government, and a power company share an authentication site. However, the prior art does not describe a technique for solving this problem.
本発明の目的は、互いに信頼関係や連携関係にない複数のシステムから構成されるネットワークシステムにおいて、一回の認証情報(IDおよびパスワード等)の入力により、認証が必要な複数のアプリケーションを利用可能とする技術を提供することにある。 The object of the present invention is to use a plurality of applications that require authentication by inputting authentication information (such as ID and password) once in a network system composed of a plurality of systems that are not in a trust relationship or cooperative relationship with each other. It is to provide the technology.
本発明の代表的な一例は、次の通りである。すなわち、本発明は、複数のユーザ端末および複数のWebサーバと接続された中継サーバにおける情報処理方法である。前記中継サーバは、前記Webサーバがユーザを識別するためのユーザ識別情報と、前記Webサーバへのリンク情報と、前記ユーザ識別情報および前記リンク情報の組み合わせに対して発行される情報で同一ユーザを識別するための情報と、をそれぞれ対応付けて記憶する同一ユーザ情報記憶部を有する。そして、前記中継サーバは、第一のWebサーバから、ユーザ認証が成功したことを示し、前記ユーザ認証情報を構成する第一のユーザ識別情報、当該第一のWebサーバへのリンク情報、第二のWebサーバへのリンク情報および認証強度関連情報を含むメッセージを受信し、前記受信メッセージに含まれる第一のユーザ識別情報と前記第一のWebサーバへのリンク情報に基づき前記同一ユーザ情報記憶部を検索して前記第二のWebサーバが前記ユーザを識別するための第二のユーザ識別情報を取得し、前記受信メッセージに含まれる前記第一のユーザ識別情報を前記第二のユーザ識別情報に書き換え、該メッセージを前記第二のWebサーバへ送信する。 A typical example of the present invention is as follows. That is, the present invention is an information processing method in a relay server connected to a plurality of user terminals and a plurality of Web servers. The relay server identifies the same user with user identification information for identifying the user by the web server, link information to the web server, and information issued for the combination of the user identification information and the link information. The same user information storage unit that stores information for identification in association with each other. The relay server indicates that the user authentication is successful from the first Web server, the first user identification information constituting the user authentication information, the link information to the first Web server, the second The same user information storage unit based on the first user identification information included in the received message and the link information to the first Web server. The second Web server acquires second user identification information for identifying the user, and the first user identification information included in the received message is used as the second user identification information. Rewrite and send the message to the second Web server.
上記特徴を有する本発明によれば、互いに信頼関係や連携関係にない複数のシステムから構成されるネットワークシステムにおいて、一回の認証情報(IDおよびパスワード等)の入力により、認証が必要な複数のアプリケーションを利用可能とする技術を提供することができる。 According to the present invention having the above features, in a network system composed of a plurality of systems that are not in a trust relationship or cooperative relationship with each other, a plurality of authentication items that require authentication by inputting authentication information (such as an ID and a password) once. A technique for making an application available can be provided.
以下、本発明の実施形態について、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明を適用するネットワークシステム1の全体構成例を示す図である。ネットワークシステム1は、インターネット等のネットワーク14に接続された、複数のWebサーバ10、11、中継サーバ12、および複数のユーザ端末13から構成されるシステムである。尚、複数のWebサーバは、図1に示すように二つを例にとり、それぞれWebサーバ10、11と区別して本実施形態を説明する。また、Webサーバ10、11は、スタティックなコンテンツを提供する狭義のWebサーバのみならず、動的にコンテンツやコンテンツの素材を生成するAPサーバと呼ばれるサーバや認証機能を有するリバースプロキシ等も含むものとする。
FIG. 1 is a diagram showing an example of the overall configuration of a
図2は、Webサーバ10、11のハードウェア構成例を示す図である。Webサーバ10、11は、ディスプレイ等の出力部1011、キーボードやマウス等の入力部1021、CPU(Central Processing Unit)等の制御部1031、RAM(Random Access Memory)やHDD(Hard Disk Drive)等の記憶部1041、およびネットワーク14を介して他のコンピュータ(ユーザ端末13、中継サーバ12)と情報の送受信を行うLAN(Local Area Network)カード等のネットワークインタフェース部1051を具備する。
FIG. 2 is a diagram illustrating a hardware configuration example of the
記憶部1041には、制御部1031が実行する各種プログラムおよびプログラム実行時に使用される各種データが格納されている。図2に示すように、各種プログラムは、ユーザ認証機能201、ユーザ認証情報変更機能202、ユーザ認証情報運用記録機能203、ユーザ属性情報更新機能204、ユーザ属性情報運用記録機能205、認証強度生成/算出機能206、認証済みメッセージ生成・通知機能207、認証済みユーザ再認証機能208およびWebアプリケーション209を含む。各種データは、ユーザ認証情報データベース210、ユーザ認証情報運用ポリシファイル211、ユーザ認証情報運用記録データベース212、ユーザ属性情報データベース213、ユーザ属性情報運用ポリシファイル214およびユーザ属性情報運用記録データベース215に記憶または記録または記載されている。
The
ユーザ認証機能201は、ユーザ端末13からのユーザ認証情報(例えば、ユーザID、パスワード)とユーザ認証情報データベース210に記憶されているユーザ認証情報(例えば、ユーザID、パスワード)とを照合してユーザ認証を行う。ユーザ認証情報変更機能202は、ユーザ端末13からのユーザ認証情報の変更要求を受けて、ユーザ認証情報データベース210に記憶されているユーザ認証情報を変更する。ユーザ認証情報運用記録機能203は、ユーザによりユーザ認証情報の変更操作が行われた場合に、その操作日時や操作内容をユーザIDと対応付けてユーザ認証情報運用記録データベース212に記録する。ユーザ属性情報更新機能204は、ユーザ端末13からのユーザ属性情報の更新要求を受けて、ユーザ属性情報データベース213に記憶されているユーザ属性情報を更新する。ユーザ属性情報運用記録機能205は、ユーザによりユーザ属性情報の変更操作が行われた場合に、その操作日時、操作内容等をユーザIDと対応付けてユーザ属性情報運用記録データベース215に記録する。認証強度生成/算出機能206は、ユーザによりユーザ認証情報の変更操作が行われた場合に、ユーザ認証情報運用ポリシファイル211に記載されている操作ルール定義405に基づいて認証強度情報を生成または算出し、該当ユーザIDと対応付けてユーザ認証情報運用記録データベース212に記録する。また、認証強度生成/算出機能206は、ユーザによりユーザ属性情報の変更操作が行われた場合に、ユーザ属性情報運用ポリシファイル214に記載されている操作ルール定義709、710に基づいて認証強度情報を生成または算出し、該当ユーザIDと対応付けてユーザ属性情報運用記録データベース215に記録する。認証済みメッセージ生成・通知機能207は、ユーザ認証機能201によるユーザ認証の結果、認証成立した場合に、当該Webサーバにてユーザ認証が成功したことを示し、かつ上記認証強度情報等を含むメッセージ(認証済みメッセージと称する)を生成し、これをネットワーク14を介して中継サーバ12へ送信する。認証済みユーザ再認証機能208は、他のWebサーバにてユーザ認証が成功したユーザを、上記他のWebサーバからの認証済みメッセージに含まれる認証強度に関連する情報と当該Webサーバに記憶されている認証強度に関連する情報に基づいて再認証する。
The
図3は、ユーザ認証情報データベース210の構成例を示す図である。ユーザ認証情報データベース210には、ユーザID(ユーザ識別情報)301とパスワード(秘密情報)302とがそれぞれ対応付けられて記憶されている。
FIG. 3 is a diagram illustrating a configuration example of the user
図4は、ユーザ認証情報運用ポリシファイル211の構成例を示す図である。ユーザ認証情報運用ポリシファイル211は、ユーザ認証情報定義部401とユーザ認証情報運用ルール部404から構成される。ユーザ認証情報定義部401は、ユーザID定義402とパスワード定義403からなり、最低文字数や文字の組み合わせ(アルファベットと数字を混ぜること)などデータ構造に関する制約事項が定義されている。ユーザ認証情報運用ルール部404には、操作ルール定義405が0個以上記載される。操作ルール定義405には、例えば、ユーザ認証情報定義部401で定義したどのデータを対象とした操作ルールか、どのような操作を対象としたルールか、最長頻度はどの程度か、最大何世代前までの再利用を禁止するかといった操作ルールが定義される。図4に示す例では、操作ルール定義405には、パスワード(password)の更新(update)について、6ヶ月以内に更新することおよび更新時の再利用は2世代までといった制約事項が定義されている。
FIG. 4 is a diagram illustrating a configuration example of the user authentication information
図5は、ユーザ認証情報運用記録データベース212の構成例を示す図である。ユーザ認証情報運用記録データベース212には、ユーザ認証情報の変更操作を行ったユーザのユーザID301と操作日時501と操作内容502と認証強度503とがそれぞれ対応付けられて記録されている。認証強度503は、認証強度生成/算出機能206により、例えば、操作ルール定義405で定義されている操作ルールの遵守度(あるいは余裕率)から生成または算出される。図4に示す操作ルールでは、パスワードを6ヶ月以内に更新し、またその再利用は2世代前までと定義されており、例えば、どちらか一方でも条件を満たさない場合、あるいは過去に一度も双方の条件を満たさなかったことがある場合は認証強度Cが、5ヶ月以内に更新し3世代前まで再利用されていない場合は認証強度Aが、そのどちらでもない場合は認証強度Bが、認証強度生成/算出機能206によりユーザ認証情報運用記録データベース212の認証強度503に記録される。
FIG. 5 is a diagram illustrating a configuration example of the user authentication information
図6は、ユーザ属性情報データベース213の構成例を示す図である。ユーザ属性情報データベース213には、ユーザID301、ユーザの氏名601、住所602、性別603、生年月日604、口座番号605といったユーザの属性情報がそれぞれ対応付けて記憶されている。
FIG. 6 is a diagram illustrating a configuration example of the user
図7は、ユーザ属性情報運用ポリシファイル214の構成例を示す図である。ユーザ属性情報運用ポリシファイル214は、ユーザ属性情報定義部701とユーザ属性情報運用ルール部702から構成される。ユーザ属性情報定義部701には、ユーザID定義703、氏名定義704、住所定義705、性別定義706、生年月日定義707、口座番号定義708等、ユーザ属性情報データベース213に記憶されている各情報について、最低文字数等のデータ構造に関する制約事項が定義されている。ユーザ属性情報運用ルール部702には、操作ルール定義が0個以上記載される。図7に示す例では、ユーザ属性情報運用ルール部702には、二つの操作ルール定義709、710が記載されている。操作ルール定義709には、氏名、住所、性別、生年月日および口座番号を新規作成する際、居住を確認可能な身分証によって確認されなければならない旨が記載されている。操作ルール定義710には、氏名、住所および性別を更新する際、書面または電話による確認が必要である旨が記載されている。
FIG. 7 is a diagram illustrating a configuration example of the user attribute information
図8は、ユーザ属性情報運用記録データベース215の構成例を示す図である。ユーザ属性情報運用記録データベース215には、ユーザ属性情報の更新等の操作を行ったユーザのユーザID301と操作日時801と操作内容802と操作対象803と確認方法804と認証強度805とがそれぞれ対応付けられて記録されている。認証強度805は、認証強度生成/算出機能206により、操作ルール定義709、710で定義されている操作ルールの遵守度(あるいは余裕率)から生成または算出される。例えば、図7に示すユーザ属性情報運用ポリシファイル214に記載された操作ルール710では、書面または電話による確認が必要とされており、対面手続きでの書面による確認であれば認証強度Aが、電話による確認であれば書面より強度の低い認証強度Bが、認証強度生成/算出機能206によりユーザ属性情報運用記録データベース215の認証強度805に記録される。なお、認証強度805に記録される情報は、ユーザ属性情報の操作に関する強度、すなわちユーザ属性情報の更新であれば更新後の情報の確からしさを示す情報であるので、実際に確認に使用した書類名(例えば「住民票の写し」「発行後120日経過の運転免許証」「クレジットカード会社Z社の利用明細通知書」等)であっても良い。
FIG. 8 is a diagram illustrating a configuration example of the user attribute information
図9は、中継サーバ12のハードウェア構成例を示す図である。中継サーバ12は、ディスプレイ等の出力部1012、キーボードやマウス等の入力部1022、CPU等の制御部1032、RAMやHDD等の記憶部1042、およびネットワーク14を介して他のコンピュータ(Webサーバ10、11)と情報の送受信を行うLANカード等のネットワークインタフェース部1052とを具備する。
FIG. 9 is a diagram illustrating a hardware configuration example of the
記憶部1042には、制御部1032が実行する各種プログラムおよびプログラム実行時に使用される各種データが格納されている。図9に示すように、各種プログラムは、ユーザID解決機能901、認証済みメッセージ中継機能902を少なくとも含む。各種データは、同一ユーザ情報データベース903に記憶されている。
The
ユーザID解決機能901は、同一ユーザ情報データベース903を参照して、Webサーバ10にて有効なユーザID(第一のユーザIDと称する)に対応するWebサーバ11で有効なユーザID(第二のユーザIDと称する)を解決する。なお、Webサーバ10またはWebサーバ11で有効なユーザIDとは、それぞれがユーザを識別するためのユーザIDを示す。
The user
図15は、同一ユーザ情報データベース903の構成例を示す図である。図15に示すように、同一ユーザ情報データベース903には、連携ユーザID1501とWebサーバ10へのURL(第一のURLと称する)1502とWebサーバ11へのURL(第二のURLと称する)1503とがそれぞれ対応付けられて記憶されている。連携ユーザID1501は、第一のユーザIDに対応する第二のユーザIDを解決するためのキーとなる情報であり、WebサーバへのURLおよびこのWebサーバがユーザを識別するためのユーザIDの組み合わせに対して発行される。同一ユーザ情報データベース903において、連携ユーザIDが等しいレコード同士は、同一ユーザに関するレコードであることを示している。
FIG. 15 is a diagram illustrating a configuration example of the same
図10は、ユーザ端末13のハードウェア構成例を示す図である。ユーザ端末13は、ディスプレイ等の出力部1013、キーボードやマウス等の入力部1023、CPU等の制御部1033、RAMやHDD等の記憶部1043、およびネットワーク14を介して他のコンピュータ(Webサーバ10、11)と情報の送受信を行うLANカード等のネットワークインタフェース部1053を具備する。
FIG. 10 is a diagram illustrating a hardware configuration example of the
記憶部1043には、制御部1033が実行する各種プログラムが格納されている。図10に示すように、各種プログラムは、ユーザ認証情報取得・更新機能1001、ユーザ属性情報取得・更新機能1002、サービス要求・サービス中継要求送信機能1003を含む。
The
図11は、ネットワークシステム1全体の処理概要を示すシーケンス図である。なお、図11に示す各処理は、各コンピュータが具備する制御部が記憶部に記憶されているプログラムに従って実行する。ここでは、説明を簡単にするために、単に制御部を実行主体として各処理を説明する。
FIG. 11 is a sequence diagram showing an outline of processing of the
先ず、ユーザ端末13の制御部1033は、ユーザにより入力部1023を介して入力された認証情報を取得し、その認証情報を含む認証要求をネットワーク14を介してWebサーバ10へ送信する(ステップ1101)。
First, the
Webサーバ10の制御部1031は、受信した認証情報とユーザ認証情報データベース210に記憶されている認証情報とを照合してユーザ認証を行い(ステップ1102)、認証結果をネットワーク14を介してユーザ端末13へ送信する(ステップ1103)。なお、ユーザ認証の結果、認証に失敗した場合は、ステップ1103以後の処理は行われない。
The
ステップ1103において、認証結果が認証成功を示す場合は、ユーザ端末13の制御部1033は、サービス要求(Webアプリケーション利用要求)をネットワーク14を介してWebサーバ10へ送信する(ステップ1104)。
If the authentication result indicates successful authentication in
Webサーバ10の制御部1031は、上記サービス要求を受けて、該当Webアプリケーション209の実行結果を示すサービス画面をネットワーク14を介してユーザ端末13へ送信する(ステップ1105)。このサービス画面は、ユーザ端末13の出力部1013に出力される。サービス画面例を図14に示す。図14に示す例では、サービス画面には、Webサーバ10が提供するオンラインバンキングの振込みサービス画面、および他のサイトへのURLを入力するためのテキストボックス1401入力画面がそれぞれ示されている。ここで、ユーザが、テキストボックス1401にWebサーバ11への第ニのURLを入力し、入力部1023を用いて送信ボタン1402を押下する操作を行うと、新しいWebサービス画面が出力部1013に出力されるとともに、ユーザ端末13の制御部1033は、第二のURLを含むサービス中継要求をネットワーク14を介してWebサーバ10へ送信する(ステップ1106)。
In response to the service request, the
Webサーバ10の制御部1031は、Webサーバ10においてユーザ認証が成功したことを示し、第一のユーザID、第一のURL、第二のURLおよび認証強度に関連する情報を含む認証済みメッセージを生成し(ステップ1107)、これをネットワーク14を介して中継サーバ12へ送信する(ステップ1108)。
The
中継サーバ12の制御部1032は、同一ユーザ情報データベース903を参照して、認証済みメッセージに含まれる第一のユーザIDに対応する第二のユーザIDを取得し(ステップ1109)、認証済みメッセージに含まれる第一のユーザIDを第二のユーザIDに書き換え、この認証済みメッセージをネットワーク14を介してWebサーバ11へ送信する(ステップ1110)。
The
Webサーバ11の制御部1031は、認証済みメッセージに含まれる第二のユーザIDからユーザを識別し、また、認証済みメッセージに含まれる認証強度に関連する情報とWebサーバ11の記憶部1041に記憶されている認証強度に関連する情報に基づいてユーザの再認証を行い(ステップ1111)、その結果をネットワーク14を介してユーザ端末13へ送信する(ステップ1112)。なお、再認証の結果、ユーザ認証に失敗した場合は、ステップ1112以後の処理は行われない。
The
ステップ1112において、再認証結果が認証成功を示す場合は、ユーザ端末13の制御部1033は、Webサーバ11へサービス要求をネットワーク14を介して送信する(ステップ1113)。
If the re-authentication result indicates successful authentication in
Webサーバ11の制御部1031は、上記サービス要求を受けて、該当Webアプリケーション209を実行し、その実行結果を示すサービス画面をネットワーク14を介してユーザ端末13へ送信する(ステップ1114)。このサービス画面は、ユーザ端末13の出力部1013に出力される。
Upon receiving the service request, the
図12は、Webサーバ10において、認証済みメッセージを生成し、これを中継サーバ12に送信する(図11−ステップ1107、1108)詳細処理を示すフローチャートである。先ず、Webサーバ10の制御部1031は、ユーザ端末13から送信されたサービス中継要求をネットワーク14、ネットワークインタフェース部1051を介して受信する(ステップ1201)。次に、制御部1031は、受信したサービス中継要求から第一のユーザIDおよび第二のURLを抽出する(ステップ1202)。次に、制御部1031は、第一のユーザIDに基づいてユーザ認証情報運用記録データベース212を検索し、該当レコードからユーザ認証情報運用記録を取得する(ステップ1203)。次に、制御部1031は、第一のユーザIDに基づいてユーザ属性情報運用記録データベース215を検索し、該当レコードからユーザ属性情報運用記録を取得する(ステップ1204)。次に、制御部1031は、ステップ1202で抽出した第一のユーザIDおよび第二のURLと、予めプログラムに記述されたユーザ認証情報ポリシファイル211の格納先を示す情報(url)と、ステップ1203で取得したユーザ認証情報運用記録と、予めプログラムに記述されたユーザ属性情報運用ポリシファイル214の格納先を示す情報(url)と、ステップ1204で取得したユーザ属性情報運用記録を含む認証済みメッセージを生成し(ステップ1205)、これをネットワーク14を介して中継サーバ12へ送信する(ステップ1206)。なお、ステップ1202(図12)において、サービス中継要求から第一のユーザIDを抽出しているが、その実現方法には、URLにパラメータとして記載されている第一のユーザIDを抽出する方法、HTTPヘッダに記載されている第一のユーザIDを抽出する方法、HTTPボディにパラメータとして記載されている第一のユーザIDを抽出する方法、セッション管理のためのCookieとユーザ認証情報データベース210を組み合わせてユーザIDを抽出する方法など、いくつかの実現方法がある。また、ステップ1205において、ユーザ認証情報運用ポリシファイルへのurlおよびユーザ属性情報運用ポリシファイルへのurlを認証済みメッセージに含めるようにしたが、各ファイルに記載されている情報実体を認証済みメッセージに含めるようにしても良い。
FIG. 12 is a flowchart showing detailed processing in the
図13は、Webサーバ10にて生成される認証済みメッセージの構成例を示す図である。図13に示すように、認証済みメッセージには、第一のユーザID1302、From要素で記載された第一のURLおよびTo要素で記載された第二のURL1303、ユーザ認証情報運用情報部1304、ユーザ属性情報運用情報部1305が記載される。ユーザ認証情報運用情報部1304には、ユーザ認証情報運用ポリシファイル211へのurl1306およびユーザ認証情報運用記録1307が記載される。ユーザ属性情報運用情報部1305には、ユーザ属性情報運用ポリシファイル214へのurl1308、ユーザ属性情報運用記録1309が記載される。
FIG. 13 is a diagram illustrating a configuration example of an authenticated message generated by the
図16は、中継サーバ12において、第一のユーザIDに対応する第二のユーザIDを解決し、認証済みメッセージに含まれる第一のユーザIDを第二のユーザIDに書き換え、この認証済みメッセージをWebサーバ11へ送信する(図11−ステップ1109、1110)詳細処理を示すフローチャートである。ここでは、図13および図15に示す具体的なパラメータを用いながら図16を説明する。先ず、中継サーバ12の制御部1032は、Webサーバ10から送信された認証済みメッセージをネットワーク14、ネットワークインタフェース部1052を介して受信する(ステップ1601)。次に、制御部1032は、認証済みメッセージ(図13)から第一のユーザID「100001」(1302)、第一のURL「https://www.test.com/」および第二のURL「https://www.example.com/」(1303)を抽出する(ステップ1602)。次に、制御部1032は、第一のユーザID「100001」1302および第一のURL「https://www.test.com/」1303に基づいて同一ユーザ情報データベース903(図15)を検索し、該当レコード(1503)から連携ID「IDF000001」1501を取得する(ステップ1603)。次に、制御部1032は、連携ID「IDF000001」1501および第二のURL「https://www.example.com/」1303に基づいて同一ユーザ情報データベース903を検索し、該当レコード(1504)から第二のユーザID「200001」301を取得する(ステップ1604)。次に、制御部1032は、認証済みメッセージの第一のユーザID「100001」(1302)を第二のユーザID「200001」(301)に書き換え(ステップ1605)、この認証済みメッセージをネットワーク14を介してWebサーバ11へ送信する(ステップ1606)。
FIG. 16 shows that the
図17および図18は、ネットワークシステム1において、中継サーバ12が具備する同一ユーザ情報データベース903に、同一ユーザ情報を登録する処理を示すシーケンス図である。なお、以下の説明において、ID登録要求とは、ユーザIDおよびWebサーバへのURLの登録要求を示すものとする。先ず、図17を参照して、第一のユーザIDおよび第一のURLを同一ユーザ情報データベース903に仮登録する処理を説明する。ユーザ端末13の制御部1033は、認証要求をネットワーク14を介してWebサーバ10へ送信する(ステップ1701)。
17 and 18 are sequence diagrams illustrating processing for registering the same user information in the same
Webサーバ10の制御部1031は、認証要求に含まれる認証情報とユーザ認証情報データベース210に記憶されている認証情報とを照合して認証処理を行い(ステップ1702)、その結果をネットワーク14を介してユーザ端末13へ送信する(ステップ1703)。
The
ユーザ端末13の制御部1033は、認証結果が認証成功を示す場合に、ID登録要求をネットワーク14を介してWebサーバ10へ送信する(ステップ1704)。
When the authentication result indicates successful authentication, the
Webサーバ10の制御部1031は、第一のユーザIDおよび第一のURL170を含むID登録要求をネットワーク14を介して中継サーバ12へ送信する(ステップ1705)。
The
中継サーバ12の制御部1032は、受信した第一のユーザIDおよび第一のURLが同一ユーザ情報データベース903に登録されていない場合には、既に登録済みの連携ユーザIDと衝突しない新規の連携ユーザIDを発行し、これを第一のURLおよび第一のユーザIDと対応付けて同一ユーザ情報データベース903に仮登録する。なお、受信した第一のユーザIDおよび第一のURLが同一ユーザ情報データベース903に既に登録されている場合には、制御部1032は仮登録処理を行わない。次に、制御部1032は、仮登録した連携ユーザIDを含む情報(チケットと称する)171を生成し(ステップ1707)、これをネットワーク14を介してWebサーバ10へ送信する(ステップ1708)。なお、チケット生成の際、連携ユーザIDを暗号化しても良い。ただし、暗号化方法は、受信側装置で復号化可能な方法でなければならない。
When the received first user ID and the first URL are not registered in the same
Webサーバ10の制御部1031は、受信したチケット171をネットワーク14を介してユーザ端末13へ送信する(ステップ1709)。ユーザ端末13は、受信したチケット171をメモリ等に保持する(ステップ1710)。
The
次に、図18を参照して、第ニのユーザIDおよび第ニのURLを同一ユーザ情報データベース903に登録する処理を説明する。先ず、ユーザ端末13の制御部1033は、認証要求をネットワーク14を介してWebサーバ11へ送信する(ステップ1801)。
Next, a process for registering the second user ID and the second URL in the same
Webサーバ10の制御部1031は、認証要求に含まれる認証情報とユーザ認証情報データベース210に記憶されている認証情報とを照合して認証処理を行い(ステップ1802)、その結果をネットワーク14を介してユーザ端末13へ送信する(ステップ1803)。
The
ユーザ端末13の制御部1033は、認証結果が認証成功を示す場合に、保持していたチケット171とともにID登録要求をネットワーク14を介してWebサーバ11へ送信する(ステップ1804)。
When the authentication result indicates successful authentication, the
Webサーバ11の制御部1031は、チケット171とともに、第ニのユーザIDおよび第ニのURL172を含むID登録要求をネットワーク14を介して中継サーバ12へ送信する(ステップ1805)。
The
中継サーバ12の制御部1032は、受信チケット171から連携ユーザIDを抽出し、この連携ユーザIDが同一ユーザ情報データベース903に登録されているか否かを判断する(ステップ1806)。判断の結果、連携ユーザIDが同一ユーザ情報データベース903に登録されていれば、制御部1032は、第二のURLおよび第二のユーザID172を連携IDと対応付けて同一ユーザ情報データベース903に登録する(ステップ1807)。制御部1032は、ID登録処理を終えると、登録結果をネットワーク14を介してWebサーバ11へ送信する(ステップ1808)。登録結果は、例えば、ユーザがアクセスする各WebサーバのURL、および各Webサーバでユーザを識別するためのユーザIDの登録が正常に完了した旨等を示す情報である。Webサーバ11の制御部1031は、この登録結果をネットワーク14を介してユーザ端末13へ送信する(ステップ1809)。
The
ユーザ端末13の制御部1033は、この登録結果を受信すると、メモリ等に保持しておいたチケット171をメモリ等から削除する(ステップ1810)。
When receiving the registration result, the
図19は、Webサーバ11において、Webサーバ10で認証されたユーザを再認証し、その結果をユーザ端末13へ送信する(図11−ステップ1111、1112)詳細処理を示すフローチャートである。先ず、Webサーバ11の制御部1031は、中継サーバ12から送信された認証済みメッセージをネットワーク14、ネットワークインタフェース部1051を介して受信する(ステップ1901)。次に、制御部1031は、認証済みメッセージから、第二のユーザID1302と、ユーザ認証情報運用ポリシファイルへのurl1306と、ユーザ認証情報運用記録1307と、ユーザ属性情報運用ポリシファイルへのurl1308と、ユーザ属性情報運用記録1309を抽出する(ステップ1902)。ここで、制御部1031は、url1306およびurl1307から、ユーザ認証情報運用ポリシファイル211およびユーザ属性情報運用ポリシファイル214をダウンロードし、これらファイルに記載されているユーザ認証情報運用ポリシおよびユーザ属性情報運用ポリシを取得する。なお、運用ポリシ情報は一度決めたら変更することは珍しいため、必ずしも毎回ダウンロードする必要はなく、Webサーバ11においてキャッシュしておいても良い。次に、制御部1031は、ステップ1902で抽出した第二のユーザIDがユーザ認証情報データベース210に登録されているかどうかを確認する(ステップ1903)。確認の結果、第二のユーザIDがユーザ認証情報データベース210に登録されていない場合には、制御部1031は、認証失敗を示す情報をネットワーク14を介してユーザ端末13へ送信する(ステップ1905)。一方、確認の結果、第二のユーザIDがユーザ認証情報データベース210に登録されている場合には、制御部1031は、ステップ1902で抽出した情報(ユーザ認証情報運用ポリシ、ユーザ認証情報運用記録1307、ユーザ属性情報運用ポリシ、ユーザ属性情報運用記録1309)と、Webサーバ11の記憶部1041に記憶されている情報(ユーザ認証情報運用ポリシ、ユーザ認証情報運用記録、ユーザ属性情報運用ポリシ、ユーザ属性情報運用記録)に基づいて、ユーザの再認証を行い(ステップ1904)、再認証結果をネットワーク14を介してユーザ端末13へ送信する(ステップ1905)。すなわち、制御部1031は、Webサーバ10で保持する認証強度に関連する情報とWebサーバ11で保持する認証強度に関連する情報とを比較し、その比較結果に基づいて再認証成否を判断し、その結果をネットワーク14を介してユーザ端末13へ送信する。再認証成否は、(1)ユーザ認証情報運用ポリシの比較結果、(2)ユーザ認証情報運用記録の比較結果、(3)ユーザ属性情報運用ポリシの比較結果、(4)ユーザ属性情報運用記録の比較結果の何れか一つ、または(1)から(4)の任意の組合せにより判断する。例えば、Webサーバ11の制御部1031は、Webサーバ10で保持するユーザ認証情報運用ポリシとWebサーバ11で保持するユーザ認証情報運用ポリシとを比較し、その結果、Webサーバ11で保持するユーザ認証情報運用ポリシがWebサーバ10で保持するユーザ認証情報運用ポリシより厳しい要件を課している場合には、再認証失敗と判断する。また、例えば、制御部1031は、パスワードの最低長(図4−403)の比較結果、パスワードの組み合わせ文字種別の数(403)の比較結果、パスワードの最長更新期間(405)の比較結果、パスワードの最低再利用世代数(405)の比較結果、ユーザ属性情報の項目数(図7−701)の比較結果、ユーザ属性情報の操作に関する確認条件(702)の比較結果の何れか一つ、またはこれらの任意の組み合わせに基づいて再認証成否を判断する。なお、ユーザ属性情報の操作に関する確認条件(702)を比較する場合、図7に示すような自然言語文での表現ではなく、レベルやランクとして表現できるA、B、Cなどのコードを用いたり、数値によりスコア化したりする必要がある。この場合、これらのコードやスコアの意味については、Webサーバ10およびWebサーバ11間で事前に同意されている必要がある。また、例えば、ユーザ認証情報運用記録データベース212に記憶されている認証強度503や、ユーザ属性情報運用記録データベース215に記憶されている認証強度805を用いて、Webサーバ11の制御部1031がWebサーバ10での認証結果を受け入れるための最低認証強度を設定しておくようにしても良い。これは、認証強度がA以上でなければ受け入れない、B以上でなければ受け入れないという再認証処理を行う方法であり、A以上でなければ受け入れないという処理を行う場合、図13に示す認証済みメッセージ例はユーザ属性情報運用記録(1309)に認証強度Bを含むため、Webサーバ11の制御部1031は認証失敗を示す結果をユーザ端末13にネットワーク14を介して送信する。また、例えば、Webサーバ11の制御部1031は、ユーザ認証情報運用ポリシファイル211に記載された操作ルール405(図4)からユーザ認証情報運用記録(図13−1307)の遵守度(あるいは余裕率)を求め、所定の遵守度を満たしていない場合には認証失敗と判断する。なお、この場合、Webサーバ10がユーザ認証情報運用記録データベース212に記憶されている認証強度503(図5)を計算する処理を、Webサーバ11側で再計算し直すことに等しい。
FIG. 19 is a flowchart showing detailed processing in the
以上、本発明の実施形態を説明した。本実施形態によれば、互いに信頼関係や連携関係にない複数のシステムから構成されるネットワークシステムにおいて、一回の認証情報(IDおよびパスワード等)の入力により、認証が必要な複数のアプリケーションを利用可能とする技術を提供することができる。また、本発明は、上記実施形態に限定されるものではなく、その趣旨の範囲内で数々の変形が可能である。以下に、他の実施形態について説明する。
(他の実施形態1)
図20は、他実施形態によるネットワークシステム1全体における処理概要を示すシーケンス図である。なお、図20に示す各処理は、各コンピュータが具備する制御部が記憶部に記憶されているプログラムに従って実行する。ここでは、説明を簡単にするために、単に制御部を実行主体として各処理を説明する。
The embodiments of the present invention have been described above. According to the present embodiment, in a network system composed of a plurality of systems that are not in a trust relationship or cooperative relationship with each other, a plurality of applications that require authentication are used by inputting authentication information (such as ID and password) once. Technology that enables it can be provided. Further, the present invention is not limited to the above-described embodiment, and various modifications can be made within the scope of the spirit thereof. Other embodiments will be described below.
(Other embodiment 1)
FIG. 20 is a sequence diagram showing an outline of processing in the
先ず、ユーザ端末13の制御部1033は、ユーザにより入力部1023を介して入力された認証情報を取得し、その認証情報を含む認証要求をネットワーク14を介してWebサーバ10へ送信する(ステップ2001)。
First, the
Webサーバ10の制御部1031は、受信した認証情報とユーザ認証情報データベース210に記憶されている認証情報とを照合してユーザ認証を行い(ステップ2002)、認証結果をネットワーク14を介してユーザ端末13へ送信する(ステップ2003)。なお、ユーザ認証の結果、認証に失敗した場合は、ステップ2003以後の処理は行われない。
The
ステップ2003において、認証結果が認証成功を示す場合は、ユーザ端末13の制御部1033は、第二のURLを含むサービス要求をネットワーク14を介してWebサーバ10へ送信する(ステップ2004)。
If the authentication result indicates successful authentication in
Webサーバ10の制御部1031は、Webサーバ10においてユーザ認証が成功したことを示し、第一のユーザID、第一のURL、第二のURLおよび認証強度に関連する情報等を含む認証済みメッセージを生成し(ステップ2005)、これをネットワーク14を介して中継サーバ12へ送信する(ステップ2006)。
The
中継サーバ12の制御部1032は、同一ユーザ情報データベース903を参照して、認証済みメッセージに含まれる第一のユーザIDに対応する第二のユーザIDを取得し(ステップ2007)、認証済みメッセージに含まれる第一のユーザIDを第二のユーザIDに書き換え、この認証済みメッセージをネットワーク14を介してWebサーバ14へ送信する(ステップ2008)。
The
Webサーバ11の制御部1031は、認証済みメッセージに含まれる第二のユーザからユーザを識別し、また、認証済みメッセージに含まれる認証強度に関連する情報とWebサーバ11の記憶部1041に記憶されている認証強度に関連する情報に基づいてユーザの再認証を行い(ステップ2009)、その結果をネットワーク14を介してWebサーバ10へ送信する(ステップ2010)。なお、再認証の結果、ユーザ認証に失敗した場合は、ステップ2010以後の処理は行われない。
The
ステップ2010において、再認証結果が認証成功を示す場合は、Webサーバ10の制御部1031は、サービス要求をネットワーク14を介してWebサーバ11へ送信する(ステップ2011)。
If the re-authentication result indicates successful authentication in
Webサーバ11の制御部1031は、上記サービス要求を受けて、該当Webアプリケーション209を実行し、その実行結果を示すサービス画面およびコンテンツ173をネットワーク14を介してWebサーバ10へ送信する(ステップ2012)。
Upon receiving the service request, the
Webサーバ10の制御部1031は、サービス画面にコンテンツを埋め込み、これをネットワーク14を介してユーザ端末13へ送信する(ステップ2013)。このサービス画面は、ユーザ端末13の出力部1013に出力される。
(他の実施形態2)
Webサーバ10、Webサーバ11および中継サーバ12は、それぞれサーバ機能を提供するものであるので、同一コンピュータに二つ乃至三つのサーバ機能を搭載する実施形態であっても良い。特に、昨今はSaaS(Software as a Service)と呼ばれるソフトウェアデリバリ形態が普及しつつあり、SaaS形態では同一計算機上に複数サーバ機能が搭載される。同様に、サーバ仮想化機構を用いて、同一計算機上に複数サーバ機能をOS(Operating System)ごと複数搭載する実施形態も、本発明の変形の範囲内である。
(他の実施形態3)
図17および図18に示すID登録方法を用いてユーザIDおよびWebサーバのURLを同一ユーザ情報データベース903に登録すると、同一ユーザに対して複数の連携ユーザIDが発行され同一ユーザ情報データベース903に登録される場合がある。例えば、図17および図18に示す処理手順に従って、第一のユーザID、第一のURL、並びに第二のユーザID、第二のURLを同一ユーザ情報データベース903に登録した後、別の機会に、Webサーバ10、11以外の他のWebサーバで有効なユーザID、他のWebサーバへのURLを図17に示す処理手順に従って同一ユーザ情報データベース903に仮登録し、次に図18に示す処理手順に従ってWebサーバ11で有効な第二のユーザID、第二のURLを同一ユーザ情報データベース903に登録すると、仮登録されるURLおよびユーザIDがそれぞれの登録機会で異なっているため、異なる連携ユーザIDが割り当てられる。これを防止する方法として、例えば、チケットを再利用する方法がある。具体的には、初回のユーザID仮登録時に、ユーザ端末13で保持していたチケット171(図17−ステップ1710)をメモリ等から削除(図18−ステップ1810)せず、2回目以降のID仮登録時に、ユーザ端末13の制御部1033は、チケット171ととともにID登録要求をネットワーク14を介してWebサーバ10へ送信し、Webサーバ10の制御部1031は、チケット171とともにID登録要求(図17−ステップ1705)をネットワーク14を介して中継サーバ12へ送信するようにする。しかし、この場合、再利用したチケットが他人に盗まれた場合、容易に成りすまし登録ができてしまう。そのため、チケットの厳重な管理を要求する、あるいはチケットに有効期限を設定し、成りすまし登録のリスクを軽減する等の配慮が必要となる。
The
(Other embodiment 2)
Since each of the
(Other embodiment 3)
When the user ID and the Web server URL are registered in the same
他のID登録方法として、異なる連携ユーザIDで登録された同一ユーザのレコードがあった場合に、ID仮登録処理(図17−ステップ1706)またはID登録処理(図18−ステップ1807)で衝突が発生するレコードの連携ユーザIDを書き換える方法がある。このID登録方法方法を、図21および図22を用いて説明する。図21および図22は、次のような手順でID登録を行った際の同一ユーザ情報データベース903の登録状態を示す図である。なお、図21に示すように、説明の便宜上、ユーザIDおよびWebサーバへのURLをURL1、ID1など簡易化して用いる。図21に示すネットワークシステムは、中継サーバ12、5台のWebサーバ(2201、2202、2203、2204、2205)がネットワーク14に接続されて構成されるシステムであり、2回のID登録が行われた結果が示されている。一回目のID登録はWebサーバ2201を第一のWebサーバ、Webサーバ2202を第二のWebサーバとして登録し、二回目のID登録はWebサーバ2203を第一のWebサーバ、Webサーバ2204を第二のWebサーバとして登録している。この場合、同一ユーザ情報データベース903に記憶されるデータ内容は、図22に示す通りとなる。ここで、Webサーバ2205を第一のWebサーバとして登録し、Webサーバ2201〜2204の何れか一つをWebサーバ11として登録するケースを考える。Webサーバ2205をID仮登録(図17−ステップ1706)すると、URL1502が「URL5」であり、かつユーザID301が「ID5」であるレコードは存在しないため、新規に連携ユーザID1501が発行される。新規に発行された連携ユーザIDを仮に「IDF5」とする。次に、例えば、第二のWebサーバとしてWebサーバ2201を登録しようとすると、ID登録(図18−ステップ1807)の際に、URL1502が「URL1」であり、かつユーザID301が「ID1」であるレコードが1行目に見つかるため、「IDF1」と「IDF5」は同一の本人を表す連携ユーザIDであることがわかる。この場合、「IDF5」を既に登録済みの「IDF1」に書き換えることにより、連携ユーザIDが「IDF1」であるレコードは3件になり、Webサーバ2201とWebサーバ2202とWebサーバ2205のID連携ができる。
As another ID registration method, when there is a record of the same user registered with a different cooperative user ID, there is a collision in the ID temporary registration process (FIG. 17-step 1706) or the ID registration process (FIG. 18-step 1807). There is a method of rewriting the cooperation user ID of the generated record. This ID registration method will be described with reference to FIGS. FIG. 21 and FIG. 22 are diagrams showing a registration state of the same
また、Webサーバ2203を第一のWebサーバとして登録し、Webサーバ2205を第二のWebサーバとして登録するケースを考える。この場合、ID仮登録(図17-ステップ1706)の際にURL1502が「URL3」で、かつユーザID301が「ID3」であるレコードが見つかり、その連携ユーザIDが「IDF3」のため、チケット171には連携ユーザIDとして「IDF3」が書き込まれる。この場合、ID登録(図18−ステップ1807)の際は「IDF3」「URL5」「ID5」のペアが登録され、Webサーバ2203とWebサーバ2204とWebサーバ2205のID連携ができる。
Also, consider a case where the
さらに、Webサーバ2201を第一のWebサーバとして登録し、Webサーバ2203を第二のWebサーバとして登録するケースを考える。この場合、ID仮登録(図17−ステップ1706)の際に連携ユーザIDが「IDF1」であることが分かり、ID登録(図18−ステップ1807)の際、連携ユーザID「IDF3」と「IDF1」が一致していることが分かる。そこで、「IDF3」を「IDF1」で書き換えると、Webサーバ2201とWebサーバ2202とWebサーバ2203とWebサーバ2204のID連携ができる。
Further, consider a case where the
このような登録処理を続けていくことで、いずれすべてのWebサーバ間でのID連携が完成する。
(他の実施形態4)
Webサーバ10、11以外の他のWebサーバで再認証を受ける場合にも、本発明を適用可能である。Webサーバ10で通常の認証処理を受け、Webサーバ11で再認証を受けた後、さらに他のWebサーバで再認証を受けるためにはWebサーバ10から中継サーバ12経由で他のWebサーバへ認証済みメッセージを送信する。ただし、Webサーバ10での最後の操作からある程度時間がたった後に他のWebサーバで再認証を受けようとすると、Webサーバ10ではタイムアウトが発生し認証結果が無効となっているケースもある。したがって、この場合は、Webサーバ10で再度認証を受けた後に他のWebサーバで再認証を受けるか、Webサーバ11で認証を受け他のWebサーバで再認証を受けるか、他のWebサーバで認証を受けるか、何れかの処理が必要となる。
(他の実施形態5)
上記実施形態では、ユーザ認証情報としてユーザIDとパスワードを例にとり説明したが、特に秘密情報についてはパスワード以外にワンタイムパスワードやPKI(Public Key Infrastructure)電子証明書等を使うことも可能である。どのような秘密情報を使うか、秘密情報をICカード内に格納するのか等の運用条件は、ユーザ認証情報運用ポリシファイル211に記載される。
(他の実施形態6)
上記実施形態では、図11において、Webサーバ11での再認証結果(ステップ1112)が直接ユーザ端末13にする場合を説明したが、中継サーバ12あるいはWebサーバ10を介してユーザ端末13に送信するようにしても良い。
(他の実施形態7)
上記実施形態では、図19において、第二のユーザIDの登録有無を確認し、登録有りの場合にユーザの再認証を行うようにしたが、ユーザの再認証を行い、再認証が成功した場合に、第二のユーザIDの登録有無を確認するようにしても良い。
(他の実施形態8)
上記実施形態では、認証済みメッセージ(図13)のユーザID1302には、第一のユーザIDまたは第二のユーザIDの何れか一方を記載する場合を説明したが、第一のユーザIDと第二のユーザIDの双方とも記載しても良い。ただし、双方のユーザIDを記載することは、ユーザIDの開示範囲を不用意に広げることになり、ユーザIDそのものは秘密情報やプライバシ情報ではないとしてもセキュリティリスクの増大を招く恐れがあるため、通常はどちらか一方のみが記載され、中継サーバ12において正しくID付け替えが行われる運用をする。同様に、WebサーバのURL1303は、第一のURLおよび第二のURLの双方を記載するのではなく、Webサーバ10から中継サーバ12へは第二のURLのみを、中継サーバ12からWebサーバ11へはURLを記載せずに認証済みメッセージを送ることも可能である。Webサーバや中継サーバがIP(Internet Protocol)接続する上で、接続元ホストのIPアドレスやURLは、自動取得・解決することが可能である。ただし、IPアドレスとURLの対応関係は必ずしも一対一とは限らないため、第一のURLおよび第二のURLを記載した方が好ましい。
(他の実施形態9)
中継サーバ12に同一ユーザ情報を登録する手順については、中継サーバ12に対してもユーザ登録を行わせても良い。この場合、中継サーバ12上でのユーザIDが連携ユーザIDと同じ効果を持ち、図17および図18で示したような、同一ユーザでありながら、同一ユーザ情報データベース903上は複数の連携ユーザIDを持つという問題は発生しない。また、チケットを発行する必要もない。
By continuing such registration processing, ID linkage among all Web servers is completed.
(Other embodiment 4)
The present invention is also applicable when re-authentication is performed by a web server other than the
(Other embodiment 5)
In the above embodiment, a user ID and a password have been described as examples of user authentication information. However, for secret information, a one-time password, a public key infrastructure (PKI) electronic certificate, or the like can be used in addition to the password. Operation conditions such as what kind of secret information is used and whether the secret information is stored in the IC card are described in the user authentication information
(Other embodiment 6)
In the above-described embodiment, the case where the re-authentication result (step 1112) in the
(Other embodiment 7)
In the above embodiment, in FIG. 19, whether or not the second user ID is registered is confirmed, and the user is re-authenticated when registered. However, when the user is re-authenticated and the re-authentication is successful In addition, it may be confirmed whether the second user ID is registered.
(Other embodiment 8)
In the above embodiment, a case has been described in which either the first user ID or the second user ID is described as the
(Other embodiment 9)
As for the procedure for registering the same user information in the
10 Webサーバ
11 Webサーバ
12 中継サーバ
13 ユーザ端末
14 ネットワーク
10
Claims (7)
前記中継サーバは、 The relay server is
前記Webサーバがユーザを識別するためのユーザ識別情報と、前記Webサーバへのリンク情報と、前記ユーザ識別情報および前記リンク情報の組み合わせに対して発行される情報で同一ユーザを識別するための情報と、をそれぞれ対応付けて記憶する同一ユーザ情報記憶部を有し、 Information for identifying the same user by user identification information for identifying the user by the web server, link information to the web server, and information issued for the combination of the user identification information and the link information And having the same user information storage unit that stores them in association with each other,
第一のWebサーバから、ユーザ認証が成功したことを示し、前記ユーザ認証情報を構成する第一のユーザ識別情報、当該第一のWebサーバへのリンク情報、第二のWebサーバへのリンク情報および認証強度関連情報を含むメッセージを受信し、 The first web server indicates that the user authentication is successful, the first user identification information constituting the user authentication information, the link information to the first web server, the link information to the second web server And a message containing authentication strength related information,
前記第一のユーザ識別情報と前記第一のWebサーバへのリンク情報に基づき前記同一ユーザ情報記憶部を検索して前記第二のWebサーバが前記ユーザを識別するための第二のユーザ識別情報を取得し、前記受信メッセージに含まれる前記第一のユーザ識別情報を前記第二のユーザ識別情報に書き換え、該メッセージを前記第二のWebサーバへ送信する、 Second user identification information for the second Web server to identify the user by searching the same user information storage unit based on the first user identification information and link information to the first Web server And rewriting the first user identification information included in the received message with the second user identification information, and transmitting the message to the second Web server.
ことを特徴とする情報処理方法。 An information processing method characterized by the above.
ことを特徴とする請求項1に記載の情報処理方法。 The information processing method according to claim 1.
前記Webサーバがユーザを識別するためのユーザ識別情報と、前記Webサーバへのリンク情報と、前記ユーザ識別情報および前記リンク情報の組み合わせに対して発行される情報で同一ユーザを識別するための情報と、をそれぞれ対応付けて記憶する同一ユーザ情報記憶手段と、 Information for identifying the same user by user identification information for identifying the user by the web server, link information to the web server, and information issued for the combination of the user identification information and the link information And the same user information storage means for storing them in association with each other,
第一のWebサーバから、ユーザ認証が成功したことを示し、前記ユーザ認証情報を構成する第一のユーザ識別情報、当該第一のWebサーバへのリンク情報、第二のWebサーバへのリンク情報および認証強度関連情報を含むメッセージを受信する手段と、 The first web server indicates that the user authentication is successful, the first user identification information constituting the user authentication information, the link information to the first web server, the link information to the second web server And means for receiving a message containing authentication strength related information;
前記第一のユーザ識別情報と前記第一のWebサーバへのリンク情報に基づき前記同一ユーザ情報記憶手段を検索して前記第二のWebサーバが前記ユーザを識別するための第二のユーザ識別情報を取得し、前記受信メッセージに含まれる前記第一のユーザ識別情報を前記第二のユーザ識別情報に書き換え、該メッセージを前記第二のWebサーバへ送信する手段とを有する、 Second user identification information for searching the same user information storage means based on the first user identification information and link information to the first Web server, and for the second Web server to identify the user. Means for rewriting the first user identification information included in the received message with the second user identification information, and transmitting the message to the second Web server.
ことを特徴とする中継サーバ。 A relay server characterized by that.
ことを特徴とする請求項3に記載の中継サーバ。 The relay server according to claim 3.
第一のWebサーバは、 The first web server
ユーザ認証情報を記憶する第一のユーザ認証情報記憶手段と、 First user authentication information storage means for storing user authentication information;
第一のユーザ端末からの認証要求に含まれるユーザ認証情報が前記ユーザ認証情報記憶手段に記憶されている場合に、 When user authentication information included in the authentication request from the first user terminal is stored in the user authentication information storage means,
ユーザ認証が成功したことを示す情報を前記第一のユーザ端末に送信し、前記第一のユーザ端末から第二のWebサーバへのリンク情報を受信し、ユーザ認証が成功したことを示し、前記ユーザ認証情報を構成する第一のユーザ識別情報、当該第一のWebサーバへのリンク情報、前記第二のWebサーバへのリンク情報および認証強度関連情報を含むメッセージを生成し、該メッセージを前記中継サーバへ送信する手段とを有し、 Sending information indicating that user authentication has been successful to the first user terminal, receiving link information from the first user terminal to the second Web server, indicating that user authentication has been successful, Generating a message including first user identification information constituting the user authentication information, link information to the first Web server, link information to the second Web server, and authentication strength related information; Means for transmitting to the relay server,
前記中継サーバは、 The relay server is
前記Webサーバがユーザを識別するためのユーザ識別情報と、前記Webサーバへのリンク情報と、前記ユーザ識別情報および前記リンク情報の組み合わせに対して発行される情報で同一ユーザを識別するための情報と、をそれぞれ対応付けて記憶する同一ユーザ情報記憶手段と、 Information for identifying the same user by user identification information for identifying the user by the web server, link information to the web server, and information issued for the combination of the user identification information and the link information And the same user information storage means for storing them in association with each other,
前記メッセージを受信し、該受信メッセージに含まれる前記第一のユーザ識別情報と前記第一のWebサーバへのリンク情報に基づき前記同一ユーザ情報記憶手段を検索して前記第二のWebサーバが前記ユーザを識別するための第二のユーザ識別情報を取得し、前記受信メッセージに含まれる前記第一のユーザ識別情報を前記第二のユーザ識別情報に書き換え、該メッセージを前記第二のWebサーバへ送信する手段とを有し、 The second Web server receives the message, searches the same user information storage means based on the first user identification information included in the received message and link information to the first Web server, and the second Web server Second user identification information for identifying a user is acquired, the first user identification information included in the received message is rewritten to the second user identification information, and the message is sent to the second Web server. Means for transmitting,
前記第二のWebサーバは、 The second web server
ユーザ認証情報を記憶する第二のユーザ認証情報記憶手段と、 Second user authentication information storage means for storing user authentication information;
認証強度関連情報を記憶する認証強度関連情報記憶手段と、 Authentication strength related information storage means for storing authentication strength related information;
前記中継サーバから前記メッセージを受信し、該受信メッセージから前記第二のユーザ識別情報と前記認証強度関連情報を抽出し、該第二のユーザ識別情報が前記第二のユーザ認証情報記憶手段に記憶されており、かつ該認証強度関連情報が前記証強度関連情報記憶手段に記憶されている場合に、ユーザ認証が成功したことを示す情報を前記第一のユーザ端末に送信する手段とを有する、 Receiving the message from the relay server, extracting the second user identification information and the authentication strength related information from the received message, and storing the second user identification information in the second user authentication information storage means; And when the authentication strength related information is stored in the evidence strength related information storage means, the information indicating that the user authentication is successful is transmitted to the first user terminal.
ことを特徴とするネットワークシステム。 A network system characterized by this.
ことを特徴とする請求項5に記載のネットワークシステム。 The network system according to claim 5.
前記第一のWebサーバから、前記第一のユーザ識別情報および当該第一のWebサーバへのリンク情報の登録要求を受信し、該受信した第一のユーザ識別情報および当該第一のWebサーバへのリンク情報が前記同一ユーザ情報記憶手段に記憶されていない場合に、同一ユーザを識別するための情報を発行し、これを前記第一のユーザ識別情報および前記第一のWebサーバへのリンク情報と対応付けて前記同一ユーザ情報記憶手段に登録する手段と、 A registration request for the first user identification information and link information to the first Web server is received from the first Web server, and the received first user identification information and the first Web server are received. When the link information is not stored in the same user information storage means, information for identifying the same user is issued, and this is used as the first user identification information and the link information to the first Web server. Means for registering in the same user information storage means in association with
前記発行した同一ユーザを識別するための情報を前記第一のWebサーバへ送信する手段と、 Means for transmitting information for identifying the issued same user to the first Web server;
前記第二のWebサーバから、前記発行した同一ユーザを識別するための情報とともに、前記第二のユーザ識別情報および前記第二のWebサーバへのリンク情報の登録要求を受信し、該受信した同一ユーザを識別するための情報が前記同一ユーザ情報記憶手段に記憶されている場合に、前記受信した第二のユーザ識別情報および前記第二のリンク情報を前記同一ユーザを識別するための情報と対応付けて前記同一ユーザ情報記憶手段に登録する、 The registration request for the second user identification information and the link information to the second Web server is received from the second Web server together with the information for identifying the issued same user. When information for identifying a user is stored in the same user information storage means, the received second user identification information and the second link information correspond to information for identifying the same user. And register in the same user information storage means
ことを特徴とする請求項5または請求項6に記載のネットワークシステム。 The network system according to claim 5 or 6, characterized in that
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008256973A JP5193787B2 (en) | 2008-10-02 | 2008-10-02 | Information processing method, relay server, and network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008256973A JP5193787B2 (en) | 2008-10-02 | 2008-10-02 | Information processing method, relay server, and network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010086435A JP2010086435A (en) | 2010-04-15 |
JP5193787B2 true JP5193787B2 (en) | 2013-05-08 |
Family
ID=42250294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008256973A Expired - Fee Related JP5193787B2 (en) | 2008-10-02 | 2008-10-02 | Information processing method, relay server, and network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5193787B2 (en) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012014652A (en) * | 2010-07-05 | 2012-01-19 | Zenrin Datacom Co Ltd | Content distribution system and content distribution method |
JP2012064007A (en) * | 2010-09-16 | 2012-03-29 | Daiwa Institute Of Research Business Innovation Ltd | Information processor, communication relay method and program |
JP2012181662A (en) * | 2011-03-01 | 2012-09-20 | Nomura Research Institute Ltd | Account information cooperation system |
JP5744656B2 (en) * | 2011-07-15 | 2015-07-08 | キヤノン株式会社 | System for providing single sign-on and control method thereof, service providing apparatus, relay apparatus, and program |
JP5942503B2 (en) * | 2012-03-15 | 2016-06-29 | 富士通株式会社 | Service request apparatus, service request method, and service request program |
JP5962354B2 (en) | 2012-09-06 | 2016-08-03 | 株式会社リコー | Information processing apparatus, program, and system |
JP5279057B1 (en) * | 2012-11-09 | 2013-09-04 | 株式会社Kpiソリューションズ | Information processing system and information processing method |
JP5854562B2 (en) * | 2013-02-26 | 2016-02-09 | 株式会社 ゼネテック | Server and server login method |
JP6669215B2 (en) * | 2018-08-30 | 2020-03-18 | 沖電気工業株式会社 | Information processing apparatus, program, information processing method, and information processing system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3137173B2 (en) * | 1995-07-20 | 2001-02-19 | 富士ゼロックス株式会社 | Authentication information management device |
JP4615247B2 (en) * | 2004-05-07 | 2011-01-19 | 株式会社日立製作所 | Computer system |
JP2005346570A (en) * | 2004-06-04 | 2005-12-15 | Canon Inc | Authentication system, authentication method and computer program |
JP4913457B2 (en) * | 2006-03-24 | 2012-04-11 | 株式会社野村総合研究所 | Federated authentication method and system for servers with different authentication strengths |
-
2008
- 2008-10-02 JP JP2008256973A patent/JP5193787B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010086435A (en) | 2010-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5193787B2 (en) | Information processing method, relay server, and network system | |
US8819787B2 (en) | Securing asynchronous client server transactions | |
US20020112162A1 (en) | Authentication and verification of Web page content | |
JP4964338B2 (en) | User confirmation apparatus, method and program | |
JPWO2007110951A1 (en) | User confirmation apparatus, method and program | |
BRPI0919158B1 (en) | AUTHORIZATION DEVICE, APPLIANCE FOR OPERATION CONTROL OF A SERVER, SERVER FOR PERFORMING OPERATIONS AND DATA COMMUNICATION SYSTEM | |
WO2013042306A1 (en) | Authentication system, authentication server, authentication method, and authentication program | |
JP6118479B1 (en) | Server apparatus, service method, program, and non-transitory computer-readable information recording medium | |
JP2011215753A (en) | Authentication system and authentication method | |
JP2014153805A (en) | Information process system, information process device, authentication method and program | |
WO2021107755A1 (en) | A system and method for digital identity data change between proof of possession to proof of identity | |
JP2007257500A (en) | Device to be authenticated, program to be authenticated, method to be authenticated, web browser plug-in, and web browser bookmarklet | |
JP2012118833A (en) | Access control method | |
CN114760070A (en) | Digital certificate issuing method, digital certificate issuing center and readable storage medium | |
JP5456842B2 (en) | User confirmation apparatus, method, and user authentication system | |
JP2000078128A (en) | Communication system, ic card and recording medium | |
JP6199506B2 (en) | Server system and method for controlling a plurality of service systems | |
JP2019036781A (en) | Authentication system and authentication method | |
JP3904533B2 (en) | Login management system and method | |
WO2022073336A1 (en) | Secure payment method and apparatus, electronic device, and storage medium | |
JP2013251000A (en) | User verification device, method, and program | |
KR101676719B1 (en) | Method for running virtual machine, method for providing online financial service using virtualization and apparatus for performing the method | |
TWI831029B (en) | System for confirming identity on different devices by verifying certification and verification code and method thereof | |
KR102498688B1 (en) | Method and system for providing authentication service | |
WO2022097453A1 (en) | Authentication proxy device, authentication proxy method, and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120919 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121023 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130204 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5193787 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160208 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |