JP7404415B2 - Authentication device and authentication method - Google Patents
Authentication device and authentication method Download PDFInfo
- Publication number
- JP7404415B2 JP7404415B2 JP2022023728A JP2022023728A JP7404415B2 JP 7404415 B2 JP7404415 B2 JP 7404415B2 JP 2022023728 A JP2022023728 A JP 2022023728A JP 2022023728 A JP2022023728 A JP 2022023728A JP 7404415 B2 JP7404415 B2 JP 7404415B2
- Authority
- JP
- Japan
- Prior art keywords
- account information
- service
- authentication
- user
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 129
- 238000012545 processing Methods 0.000 claims description 25
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 description 72
- 230000007704 transition Effects 0.000 description 43
- 238000003860 storage Methods 0.000 description 22
- 238000012217 deletion Methods 0.000 description 7
- 230000037430 deletion Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000008014 freezing Effects 0.000 description 1
- 238000007710 freezing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
本発明は、サービスを利用するユーザの認証に係る認証装置、及び認証方法に関する。 The present invention relates to an authentication device and an authentication method for authenticating a user who uses a service.
従来、ユーザがインターネット上のサービスを利用する場合に、第三者がユーザに成りすましてサービスを受ける不正を抑止するためにユーザ認証を実施することが一般的である。一方、ユーザ認証方式は、日々進化しており、より高いセキュリティを実現するために、最新のセキュリティを導入することが好ましい。しかしながら、サービスにおける認証方式をアップグレードすることは、非常にコストがかかる。特に、1つのサービスに対して、1つのユーザIDを付与することが一般的であり、複数のサービスの認証方式をアップグレードする場合、全てのサービスの認証方式を変更する必要があり、さらにコスト高となる。 BACKGROUND ART Conventionally, when a user uses a service on the Internet, it is common to perform user authentication in order to prevent a third party from impersonating the user and receiving the service. On the other hand, user authentication methods are evolving day by day, and it is preferable to introduce the latest security in order to achieve higher security. However, upgrading authentication methods in services is very costly. In particular, it is common to assign one user ID to one service, and when upgrading the authentication method for multiple services, it is necessary to change the authentication method for all services, which further increases costs. becomes.
これに対し、複数のサービスでアカウントの連携を行うことがある(例えば、特許文献1参照)。
例えば、特許文献1では、第1のサービスを利用するための第1のアカウント情報による認証要求を受け付ける受付手段と、第1のアカウント情報が、第2のサービスを利用するための第2のアカウント情報に関連付けられている場合に、第2のアカウント情報が登録されているか否かを第2のサービスを提供する装置に問い合わせる問合手段とを備える。
この場合、第1のアカウント情報と第2のアカウント情報とが関連付けられている場合、第1のアカウント情報によって、第2のサービスを受けることが可能となる。また、特許文献1では、第2のアカウント情報が登録されているかの問い合わせを第2のサービスを提供する装置に送信し、第2のアカウント情報が登録抹消されている場合にエラーを返す。これにより、第2のアカウント情報を用いるユーザ認証方式が旧式の認証方式であり、第1のアカウント情報を用いるユーザ認証方式が、よりセキュリティ面を向上したユーザ認証方式である場合に、第2のサービスを利用する際に、セキュリティが高い第1のアカウント情報を用いたユーザ認証を用いることができる。さらに、特許文献1では、連携先の実在しないアカウントに対してサービスの利用が許可される不都合が抑止される。つまり、第2のアカウント情報が削除されている場合に、第1のアカウント情報を用いて第2のサービスを利用しようとしても、エラーが返されることになり、第2のサービスを利用できない。
On the other hand, accounts may be linked with multiple services (for example, see Patent Document 1).
For example, in
In this case, if the first account information and the second account information are associated, it becomes possible to receive the second service using the first account information. Furthermore, in
上記特許文献1では、第1のアカウント情報と第2のアカウント情報とが関連付けられている場合に、第2のアカウントが実在するか否かを第2のサービスを提供する装置に問い合わせる。上記のように、第2のアカウント情報が削除されている場合、第1のアカウント情報を用いた第2のサービスの利用は許可されない。
一方、第1のアカウント情報が登録抹消等によって利用できない場合では、第2のアカウント情報を用いることで、ユーザは第2のサービスの提供を受けることができる。しかしながら、上述したように、第2のアカウント情報を用いるユーザ認証方式が旧式の認証方式であり、第1のアカウント情報を用いるユーザ認証方式がよりセキュリティ強度が高い場合に、セキュリティが低い第2のアカウント情報を用いたユーザ認証方式を用いることになる。
In
On the other hand, if the first account information cannot be used due to cancellation of registration or the like, the user can receive the second service by using the second account information. However, as described above, if the user authentication method using the second account information is an old authentication method and the user authentication method using the first account information has higher security strength, the second method with lower security A user authentication method using account information will be used.
本発明は、ユーザ認証におけるセキュリティをより向上させることができる認証装置、及び認証方法を提供することを目的とする。 An object of the present invention is to provide an authentication device and an authentication method that can further improve security in user authentication.
本開示の認証装置は、第一サービスの提供を受けるための第一アカウント情報を用いる第一認証方式により第二アカウント情報を用いる第二サービスの提供を要求する第一提供要求、及び、前記第二アカウント情報を用いる第二認証方式により前記第二サービスの提供を要求する第二提供要求、のいずかをユーザ端末から受信する提供要求受付部と、前記第二アカウント情報と、当該第二アカウント情報に連携されている前記第一アカウント情報とを記録した連携データベースに基づいて、前記第一アカウント情報と前記第二アカウント情報とが連携されているか否かを判定する連携判定部と、前記第一提供要求を受信し、かつ、前記第一アカウント情報と前記第二アカウント情報とが連携されていると判定され、前記第一認証方式による前記第一アカウント情報の認証処理により前記第一アカウント情報が認証された場合に、前記第二サービスを提供するサービス提供部と、前記第二提供要求を受信した場合に、前記第一提供要求の送信を要求する送信要求を前記ユーザ端末に送信する送信部と、を備える。 The authentication device of the present disclosure includes a first provision request requesting provision of a second service using second account information by a first authentication method using first account information for receiving provision of the first service; a second provision request requesting provision of the second service using a second authentication method using account information; a linkage determination unit that determines whether or not the first account information and the second account information are linked based on a linkage database that records the first account information linked to the account information; A first provision request is received, and it is determined that the first account information and the second account information are linked, and the first account information is authenticated by the first authentication method. a service providing unit that provides the second service when the information is authenticated; and, when receiving the second provision request, transmits a transmission request requesting transmission of the first provision request to the user terminal; A transmitting section.
以下、本開示の一実施形態について説明する。
図1は、本実施形態の認証システムを示す概略図である。
図1において、認証システム1は、第一サービスサーバ10、第二サービスサーバ20、及びユーザ端末30等を含む。これらの第一サービスサーバ10、第二サービスサーバ20、及びユーザ端末30は、インターネット等のネットワーク回線を介して互いに通信可能に接続されている。
An embodiment of the present disclosure will be described below.
FIG. 1 is a schematic diagram showing the authentication system of this embodiment.
In FIG. 1, the
第一サービスサーバ10は、第一サービスを提供する装置であり、第一サービスを利用する各ユーザに対して、第一サービスを利用するための第一アカウント情報を付与する。そして、第一サービスサーバ10は、第一サービスの提供の際に、ユーザ端末30から送信される第一アカウント情報が真正であるかを判定する第一認証方式による認証処理(第一認証処理)を実施する。
The
第二サービスサーバ20は、第二サービスを提供する装置であり、第二サービスを利用する各ユーザに対して、第二サービスを利用するための第二アカウント情報を関連付ける。そして、第二サービスサーバ20は、第二サービスの提供の際に、ユーザ端末30から送信される第一アカウント情報を第一サービスサーバ10に送信して、第一認証処理を実施させ、第一アカウント情報が真正である場合に、第一アカウント情報に関連付けられた第二アカウント情報を用いた第二サービスをユーザに提供する。
ここで、第一サービスサーバ10が実施する第一認証処理は、例えば、ワンタイムパスワード、顔認証、指紋認証等を用いたセキュリティ強度が高いユーザ認証方式による認証処理である。
The
Here, the first authentication process performed by the
また、本実施形態では、第二サービスサーバ20は、第二アカウント情報を用いた第二認証方式に基づいた認証処理の実施も可能な構成とする。なお、第二サービスサーバ20で実施される第二認証方式の認証処理(第二認証処理)は、第一認証方式に比べて、形式が古く、例えば、予め設定されたユーザIDと、パスワードとを入力することで、ユーザが使用する第二アカウント情報が真正であるかを判定する。
このような古い認証方式の認証処理では、第三者によって不正アクセスされる、つまり、他人の第二アカウント情報を不正に利用して第二サービスが利用される可能性があり、好ましくない。したがって、第二認証方式を、第一サービスサーバ10で実施しているようなセキュリティ強度が高い新しい認証方式にアップデートすることが好ましい。しかしながら、新たな認証方式を導入することは、コストが高くなる。そこで、本実施形態では、第二サービスサーバ20は、上述したように、第二アカウント情報と第一アカウント情報とを連携させ、第一アカウント情報を用いた第一認証処理を実施する。そして、第二サービスサーバ20は、所定の一定期間の間を移行期間として、第一認証処理と、第二認証処理との双方を許可して、第二アカウント情報と第一アカウント情報との連携をユーザに促し、移行期間終了後に、第二認証処理を禁止し、第一認証処理のみを許可する。
以下、上記のような認証システム1の各構成について詳細に説明する。
Furthermore, in this embodiment, the
Authentication processing using such an old authentication method is undesirable because there is a possibility that the second service may be illegally accessed by a third party, that is, the second service may be used by illegally using another person's second account information. Therefore, it is preferable to update the second authentication method to a new authentication method with high security strength, such as that implemented by the
Each configuration of the
[第一サービスサーバ10の構成]
第一サービスサーバ10は、コンピュータにより構成されている。なお、第一サービスサーバ10を構成するコンピュータの数は特に限定されない。例えば、1台のコンピュータによって第一サービスサーバ10が構成されてもよく、複数のコンピュータをネットワークで接続して構築されるクラウドサーバを第一サービスサーバ10としてもよい。
[Configuration of first service server 10]
The
第一サービスサーバ10は、図1に示すように、第一通信部11と、第一記憶部12と、第一制御部13と、等を含んで構成されている。
第一通信部11は、例えばLAN等を介してネットワーク(インターネット)に接続されており、第二サービスサーバ20やユーザ端末30等と通信する。
第一記憶部12は、第一サービスの提供に係る各種データや各種プログラム、第一認証処理の実施に係る各種データや各種プログラムが記録されている。なお、第一サービスサーバ10が第一記憶部12を備える構成を例示するが、第一サービスサーバ10とネットワークを介して通信可能に接続された他のデータサーバやクラウドストレージを、第一記憶部12として機能させてもよい。
As shown in FIG. 1, the
The
The
第一記憶部12は、第一ユーザデータベース(第一ユーザDB121)を備え、第一ユーザDB121には、第一サービスを利用するユーザに関する第一ユーザ情報が記録されている。
第一ユーザ情報は、例えば、第一アカウント情報や、第一認証情報、第一ユーザ属性情報等が含まれる。
第一アカウント情報は、ユーザを識別するためのアカウント名(ユーザID)である。
第一認証情報は、ユーザが第一アカウント情報を用いて第一認証処理を実施するために必要な情報であり、第一認証方式に応じて適宜必要な情報が記録される。例えば、第一認証方式としてワンタイムパスワードによる認証処理を実施する場合では、ワンタイムパスワードを通知するメールアドレスや携帯電話番号等の通知先情報が記録されていればよい。また、第一認証方式として顔認証や指紋認証を実施する場合では、ユーザの顔や指紋の画像或いは、当該画像における特徴値等が記録されていればよい。
第一ユーザ属性情報は、第一サービスの提供を受けるユーザに係る情報であり、第一サービスの提供内容に応じた情報が記録される。例えば、第一ユーザ属性情報としては、ユーザの性別、年齢、居所、嗜好性、インターネット上の行動履歴(Webページ等の閲覧履歴や、売買履歴等)が挙げられる。
The
The first user information includes, for example, first account information, first authentication information, first user attribute information, and the like.
The first account information is an account name (user ID) for identifying a user.
The first authentication information is information necessary for the user to perform the first authentication process using the first account information, and necessary information is recorded as appropriate according to the first authentication method. For example, when performing authentication processing using a one-time password as the first authentication method, notification destination information such as an e-mail address and a mobile phone number for notifying the one-time password may be recorded. Furthermore, in the case where face authentication or fingerprint authentication is implemented as the first authentication method, an image of the user's face or fingerprint, or a characteristic value of the image, etc. may be recorded.
The first user attribute information is information related to the user who receives the first service, and information corresponding to the content of the first service is recorded. For example, the first user attribute information includes the user's gender, age, location, preference, and behavior history on the Internet (browsing history of web pages, buying and selling history, etc.).
また、第一記憶部12には、第一アカウント情報と、当該第一アカウント情報と連携する(関連付けられる)第二アカウント情報との組み合わせを記録した連携情報を記録する第一連携データベース(第一連携DB122)が設けられてもよい。なお、第一記憶部12に第一連携DB122が設けられる例を示すが、第一ユーザ情報に、第一アカウント情報と連携される第二アカウント情報が記録されていてもよい。第一アカウント情報に連携される第二アカウント情報が記録される例を示すが、第一アカウント情報に連携される第二サービス以外のサービスのアカウント情報がさらに記録されていてもよい。
The
第一制御部13は、CPU(Central Processing Unit)等の演算回路、RAM(Random Access Memory)等の記録回路により構成される。第一制御部13は、第一記憶部12等に記録されている各種プログラムをRAMに展開し、RAMに展開されたプログラムとの協働により各種処理を実行する。そして、第一制御部13は、第一記憶部12に記録された情報処理プログラムを読み込み実行することで、例えば、図1に示すように、第一認証処理部131、第一サービス提供部132、及び第一ユーザ登録部133等として機能する。
The first control unit 13 includes an arithmetic circuit such as a CPU (Central Processing Unit) and a recording circuit such as a RAM (Random Access Memory). The first control unit 13 loads various programs recorded in the
第一認証処理部131は、ユーザ端末30または第二サービスサーバ20から第一アカウント情報を受信し、第一アカウント情報が真正であるかを判定する第一認証処理を実施する。例えば、第一認証方式がワンタイムパスワードである場合、第一認証処理部131は、第一アカウント情報に対応するユーザ情報の第一認証情報に記録されている通知先情報を参照し、ワンタイムパスワードを生成してユーザ端末30に送信する。そして、ユーザ端末30から送信したワンタイムパスワードが送信された場合に、第一アカウント情報を用いたユーザのアクセスを許可、すなわち、第一アカウント情報が真正であると判定する。
The first
第一サービス提供部132は、第一認証処理部131によって第一アカウント情報が認証された場合に、第一アカウント情報を送信したユーザ端末30に対して第一サービスを提供する。第一サービスとしては、特に限定されず、例えば、検索サービス、SNS、商品等の売買サービス、ニュース配信サービス、動画配信サービス等の各種サービスや、これらの複数のサービスを統括したプラットフォームを提供するサービス等であってもよい。
The first
第一ユーザ登録部133は、第一サービスの提供を希望するユーザの登録処理であり、新規のユーザ情報を生成する。すなわち、ユーザからの入力情報に従って、第一アカウント情報、第一認証情報、第一ユーザ属性情報を含むユーザ情報を生成して第一記憶部12に登録する。
The first
[第二サービスサーバ20の構成]
第二サービスサーバ20は、コンピュータにより構成されている。なお、第一サービスサーバ10と同様、第二サービスサーバ20を構成するコンピュータの数は特に限定されない。例えば、1台のコンピュータによって第二サービスサーバ20が構成されてもよく、複数のコンピュータをネットワークで接続して構築されるクラウドサーバを第二サービスサーバ20としてもよい。
[Configuration of second service server 20]
The
第二サービスサーバ20は、本開示の認証装置に相当する。この第二サービスサーバ20は、図1に示すように、第二通信部21と、第二記憶部22と、第二制御部23と、等を含んで構成されている。
第二通信部21は、第一通信部11と同様、例えばLAN等を介してネットワーク(インターネット)に接続されており、第一サービスサーバ10やユーザ端末30等と通信する。
第二記憶部22は、第二サービスの提供に係る各種データや各種プログラム、第二認証処理の実施に係る各種データや各種プログラムが記録されている。なお、上述したように、本実施形態では、一定の移行期間の間、第一認証処理に加えて第二認証処理によるアカウント認証も可能としているが、移行期間後は、第二認証処理に係るプログラムは削除されてもよい。
また、第二サービスサーバ20が第二記憶部22を備える構成を例示するが、第二サービスサーバ20とネットワークを介して通信可能に接続された他のデータサーバやクラウドストレージを、第二記憶部22として機能させてもよい。
The
Like the
The
Further, although a configuration in which the
第二記憶部22は、第二ユーザデータベース(第二ユーザDB221)を備え、第二ユーザDB221には、第二サービスを利用するユーザに関する第二ユーザ情報が記録されている。
第二ユーザ情報は、例えば、第二アカウント情報や、第二ユーザ属性情報、第二認証情報等が含まれる。
第二アカウント情報は、ユーザを識別するためのアカウント名(ユーザID)である。第二アカウント情報は、第一サービスの提供に必要な第一アカウント情報とは異なる情報であり、第二サービスは第二アカウント情報を用いることにより提供される。つまり、本実施形態では、第一アカウント情報を用いた第一認証処理を実施することで、第二サービスの提供が可能となるが、当該第一アカウント情報のみでは第二サービスは提供されず、第一アカウント情報と第二アカウント情報とが連携されていることが必須となる。
第二ユーザ属性情報は、第二サービスの提供を受けるユーザに係る情報であり、第二サービスの提供内容に応じた情報が記録される。例えば、第二ユーザ属性情報としては、ユーザの性別、年齢、居所、嗜好性、インターネット上の行動履歴(Webページ等の閲覧歴や、売買履歴等)が挙げられる。
The
The second user information includes, for example, second account information, second user attribute information, second authentication information, and the like.
The second account information is an account name (user ID) for identifying the user. The second account information is different from the first account information necessary for providing the first service, and the second service is provided by using the second account information. In other words, in this embodiment, the second service can be provided by performing the first authentication process using the first account information, but the second service cannot be provided only with the first account information. It is essential that the first account information and the second account information are linked.
The second user attribute information is information related to the user who receives the second service, and information corresponding to the content of the second service is recorded. For example, the second user attribute information includes the user's gender, age, location, preference, and behavior history on the Internet (browsing history of web pages, buying and selling history, etc.).
また、第二認証情報は、ユーザが第二アカウント情報を用いて第二認証処理を実施するために必要な情報であり、第二認証方式に応じて適宜必要な情報が記録される。上述したように、本実施形態では、第二認証処理は、移行期間の間は許可され、移行期間終了後には第二認証処理によるログインが不可となる。したがって、移行期間終了後は、第二認証情報が第二ユーザ情報に含まれなくてもよく、さらに、移行期間以降に新規に登録された第二ユーザ情報にも第二認証情報が含まれなくてもよい。
この第二認証情報は、例えば、第一認証情報よりも古く、セキュリティ強度が低い認証方式を実施するための情報であり、例えば、第二アカウント情報に対して紐づけられたパスワード等が記録される。
Further, the second authentication information is information necessary for the user to perform the second authentication process using the second account information, and necessary information is recorded as appropriate according to the second authentication method. As described above, in this embodiment, the second authentication process is permitted during the transition period, and after the transition period ends, login using the second authentication process is disabled. Therefore, after the transition period ends, the second authentication information does not need to be included in the second user information, and furthermore, the second authentication information does not need to be included in the second user information newly registered after the transition period. It's okay.
This second authentication information is, for example, information for implementing an authentication method that is older and has lower security strength than the first authentication information, and for example, the password linked to the second account information is recorded. Ru.
さらに、第二記憶部22には、本開示の連携データベースに相当する、第二連携データベース(第二連携DB222)が設けられている。第二連携DB222は、第一連携DB122と同様であり、第二アカウント情報と、当該第二アカウント情報と連携する第一アカウント情報との組み合わせを記録した連携情報を記録する。
なお、第二記憶部22に、第二ユーザ情報を記録する第二ユーザDB221とは別に第二連携DB222が設けられる例を示すが、第二ユーザ情報に、第二アカウント情報と連携される第一アカウント情報が記録されていてもよい。つまり、第二ユーザ情報が記録される第二ユーザDB221を、本発明の連携データベースとして機能させてもよい。また、第二アカウント情報と連携される、第一サービス以外のサービスのアカウント情報がさらに記録されていてもよい。
Furthermore, the
Note that an example is shown in which the
第二制御部23は、CPU等の演算回路、RAM等の記録回路により構成される。第二制御部23は、第二記憶部22等に記録されている各種プログラムをRAMに展開し、RAMに展開されたプログラムとの協働により各種処理を実行する。そして、第二制御部23は、第二記憶部22に記録された情報処理プログラムを読み込み実行することで、例えば、図1に示すように、提供要求受付部231、連携判定部232、認証要求部233、第二認証処理部234、第二サービス提供部235、送信部236、及び登録部237等として機能する。
The
提供要求受付部231は、ユーザ端末30から第二サービスの提供に係る提供要求を受け付ける(受信する)。この提供要求としては、第一認証処理を実施することで第二サービスの提供を要求する第一提供要求、及び、第二認証処理を実施することで第二サービスの提供を要求する第二提供要求がある。第一提供要求には、ユーザにより入力された第一アカウント情報が含まれ、第二提供要求には、ユーザにより入力された第二アカウント情報が含まれる。
The provision
連携判定部232は、受信した提供要求に含まれるアカウント情報の連携を判定する。すなわち、連携判定部232は、第二連携DB222に基づいて、受信した第一提供要求に含まれる第一アカウント情報と関連付けられた(連携された)第二アカウント情報が記録されているか否かを判定する。また、連携判定部232は、第二連携DB222に基づいて、第二提供要求に含まれる第二アカウント情報と関連付けられた(連携された)第一アカウント情報が記録されているか否かを判定する。
The
認証要求部233は、移行期間中、及び移行期間後に、第一提供要求が受け付けられ、連携判定部232によって、第一アカウント情報に対応する第二アカウント情報の連携が判定された場合に、第一アカウント情報を含む認証要求を第一サービスサーバ10に送信する。また、第一サービスサーバ10から、第一認証処理の結果を受信する。
The
第二認証処理部234は、移行期間前、及び移行期間中に、第二提供要求が受け付けた場合に、第二提供要求に含まれる第二アカウント情報が真正であるかを判定する第二認証処理を実施する。例えば、第二認証方式がパスワードである場合、第二認証処理部234は、第二アカウント情報に対応するパスワードを受信し、当該パスワードが、第二認証情報に記録されたものと一致する場合に、第二アカウント情報が真正であるとして認証、つまり、第二アカウント情報を用いたユーザのアクセス及び第二サービスの提供を許可する。
The second
第二サービス提供部235は、認証結果に基づいて第二サービスを提供する。具体的には、移行期間中及び移行期間後では、認証要求部233が第一サービスサーバ10から第一アカウント情報が認証された旨の認証結果を受けた場合に、第二サービス提供部235はユーザ端末30に第二サービスを提供する。また、移行期間中及び移行期間前において、第二認証処理部234により第二アカウント情報が認証された場合に、第二サービス提供部235は、ユーザ端末30に第二サービスを提供する。
The second
送信部236は、ユーザ端末30に、ユーザ認証に係る各種情報を送信する。
例えば、送信部236は、第二アカウント情報と第一アカウント情報とが連携されていない場合、移行期間中、及び移行期間後の第二提供要求の受信に対して、第二アカウント情報に連携させる第一アカウント情報の登録を促す登録案内を送信する。また、送信部236は、第二アカウント情報に連携されている第一アカウント情報が使用不可となったことを検出した場合にも、登録案内を送信する。
さらに、送信部236は、第二アカウント情報と第一アカウント情報とが連携されている場合、移行期間中及び移行期間後の第二提供要求の受信に対して、第一提供要求の送信を要求する旨の送信要求を送信する。
The
For example, if the second account information and the first account information are not linked, the transmitting
Further, when the second account information and the first account information are linked, the transmitting
登録部237は、本開示の新規登録部、連携登録部、及び連携解除部としても機能し、第二ユーザ情報の新規登録や更新、第二連携DB222の更新等を実施する。つまり、登録部237は、ユーザ端末30から新規に第二サービスの提供を利用する旨の新規登録要求を受信した場合に、第二ユーザ情報を生成して、第二ユーザDB221に登録する。また、登録部237は、第二アカウント情報に連携させる第一アカウント情報を受信すると、第二連携DB222に記録された連携情報のうち、対応する第二アカウント情報に、受信した第一アカウント情報を関連付けて記録する。さらに、第一アカウント情報の使用不可が検出されると、登録部237は、第二連携DB222の対応する第一アカウント情報を削除する。第一アカウント情報の使用不可の検出は、第一サービスサーバ10から第一アカウント情報が使用不可となった旨の使用不可情報を受信する。例えば、第一認証処理を第一サービスサーバ10に送信した際に、使用不可情報を受信してもよく第一アカウント情報が使用不可となったタイミングで第一サービスサーバ10から第二サービスサーバ20に使用不可情報が送信されてもよい。
The
[ユーザ端末30の構成]
ユーザ端末30は、ユーザが所有する端末装置であり、例えばスマートフォン、タブレット端末、パーソナルコンピューター等のコンピュータにより構成されている。ユーザ端末30の具体的な構成の図示は省略するが、一般的なコンピュータが有する基本的な構成を有する。すなわち、ユーザ端末30は、ユーザの操作を受け付ける入力操作部、画像情報を表示させるディスプレイ、各種情報を記録する記録装置、各種情報を演算処理する演算回路(CPU等)を備えている。
[Configuration of user terminal 30]
The
[認証方法]
次に、本実施形態の認証システム1における認証方法について説明する。
(登録処理)
まず、第二サービスサーバ20における第二ユーザ情報の登録処理について説明する。
図2は、第二ユーザ情報の登録処理を示すフローチャートである。
第二サービスの提供を新規に受けたいユーザは、ユーザ端末30を操作して、第二サービスの新規利用登録を要求する新規登録要求を送信する。これにより、第二サービスサーバ20は、ユーザ端末30に新規利用登録のための登録コンテンツを送信する。
例えば、第二サービスサーバ20が提供するアプリケーションをユーザ端末30にダウンロードし、当該アプリケーションを起動することで、ユーザ端末30から新規登録要求が送信され、第二サービスサーバ20から登録コンテンツが送信される。或いは、第二サービスサーバ20が、インターネット上に公開するウェブページとして登録コンテンツを公開していてもよい。ユーザ端末30から登録コンテンツにアクセスするとは、送信部236が、ユーザ端末30に登録コンテンツを送信することと同義である。
[Authentication method]
Next, an authentication method in the
(registration process)
First, the second user information registration process in the
FIG. 2 is a flowchart showing the second user information registration process.
A user who wishes to newly receive the provision of the second service operates the
For example, by downloading an application provided by the
この際、第二サービスサーバ20は、移行期間前である場合(ステップS101:YES)、第二サービスの提供において、第二認証処理によりユーザ認証を行う。したがって、送信部236は、ユーザ端末30に対して、第二アカウント情報と、パスワードの登録を促す第一登録コンテンツを送信する(ステップS102)。
そして、登録部237は、ユーザ端末30から第二アカウント情報及びパスワードを受信すると、受信したパスワードを第二認証情報とし、第二アカウント情報、及び第二認証情報を含む第二ユーザ情報を生成して、第二ユーザDB221に登録する(ステップS103)。
また、第一登録コンテンツにより、さらに、第二ユーザ属性情報の入力を促してもよい。この場合、登録部237は、ユーザが第一登録コンテンツに従って入力した第二ユーザ属性情報を受信し、生成した第二ユーザ情報に記録する(ステップS104)。なお、第二ユーザ属性情報の受信は、第二ユーザ情報の登録時でなくてもよく、ユーザが第二サービスの提供を希望する任意のタイミングであってもよい。
At this time, if it is before the transition period (step S101: YES), the
Then, upon receiving the second account information and password from the
Further, the first registered content may further prompt the user to input the second user attribute information. In this case, the
一方、移行期間中は、第二認証処理が許可されるが、第一認証処理への移行に向けて利用ユーザに第一認証処理を促す必要がある。また、移行期間後は、第二認証処理が禁止され、第一認証処理のみのユーザ認証を実施する。
したがって、移行期間中及び移行期間後である場合(ステップS101:NO)、送信部236は、第一アカウント情報の登録を要求する第二登録コンテンツ(本開示の登録案内に相当)をユーザ端末30に送信する(ステップS105)。
On the other hand, during the transition period, the second authentication process is permitted, but it is necessary to prompt the user to perform the first authentication process in order to transition to the first authentication process. Furthermore, after the transition period, the second authentication process is prohibited, and only the first authentication process is performed for user authentication.
Therefore, if it is during the transition period or after the transition period (step S101: NO), the
この際、既存の第一アカウント情報を用いるか、新規に第一アカウント情報を生成するかを選択可能な第二登録コンテンツをユーザ端末30に送信してもよい。
例えば、第二登録コンテンツに対して、ユーザが新規に第一アカウント情報を登録する旨を選択すると、ユーザ端末30は、第一サービスサーバ10が提供する第一ユーザ情報の登録案内コンテンツにアクセスする。当該登録案内コンテンツにしたがって、ユーザが必要な情報を入力することで、第一サービスサーバ10の第一ユーザ登録部133は、第一アカウント情報を含む第一ユーザ情報を生成するとともに、第一アカウント情報を第二サービスサーバ20及びユーザ端末30に送信する。
また、第二登録コンテンツに対して、ユーザが既に作成済みの第一アカウント情報を登録する旨を選択する場合、ユーザ端末30から第二サービスサーバ20に、ユーザにより入力された第一アカウント情報が送信される。
At this time, second registered content may be sent to the
For example, when the user selects to newly register the first account information for the second registered content, the
Furthermore, when the user selects to register the already created first account information for the second registered content, the first account information input by the user is transferred from the
第二サービスサーバ20の登録部237は、ステップS105で送信した第二登録コンテンツに対するユーザのアクションにより、第一サービスサーバ10またはユーザ端末30のいずれかから、第二アカウント情報に連携させる第一アカウント情報を受信する(ステップS106)。
そして、登録部237は、新規の第二アカウント情報を含む第二ユーザ情報を新たに生成して第二ユーザDB221に登録する(ステップS107)。
また、登録部237は、第二連携DB222に、ステップS107で生成した第二アカウント情報と、ステップS106で受信した第一アカウント情報とを連携させた連携情報を登録する(ステップS108)。
通常、ユーザ登録が実施されると、登録したユーザのユーザ端末30に、登録された各種情報が送信されるが、本実施形態では、移行期間以降のユーザ登録時において、ユーザに連携された第一アカウント情報がユーザ端末30に送信され、第二アカウント情報は送信されなくてもよい。第二アカウント情報が送信されないことで、第二アカウント情報の第三者への流出が抑制される。
The
Then, the
The
Normally, when user registration is performed, various types of registered information are sent to the
(サービス提供処理)
次に、第二サービスサーバ20による第二サービスの提供に係るサービス提供処理について説明する。
図3及び図4は、サービス提供処理に係るフローチャートである。
ユーザが第二サービスの提供を受ける場合、ユーザ端末30を操作して、第二サービスサーバ20が提供する所定のコンテンツにアクセスする。これにより、第二サービスサーバ20は、ユーザ端末30に、ログイン画面を表示させるログイン案内コンテンツを送信する。
この際、移行期間前である場合(ステップS201:YES)、送信部236は、ユーザ端末30に対して、第二アカウント情報と、パスワードの入力を促す第一ログインコンテンツを送信する(ステップS202)。
そして、提供要求受付部231がユーザ端末30から第二アカウント情報及び第二認証情報(例えばパスワード)を用いて第二サービスの提供を要求する第二提供要求を受信すると(ステップS203)、第二認証処理部234は、第二認証処理を実施して、第二アカウント情報とパスワードとの組み合わせが適正であるか否かを判定する(ステップS204)。
ステップS204でNOと判定される場合、送信部236は、ユーザ端末30にエラーを返して、ステップS202に戻る。
ステップS204でYESと判定された場合、第二サービス提供部235は、第二アカウント情報を含む第二ユーザ情報に基づいた第二サービスをユーザ端末30に提供する(ステップS205:サービス提供ステップ)。
(Service provision processing)
Next, service provision processing related to provision of the second service by the
3 and 4 are flowcharts related to service provision processing.
When receiving the second service, the user operates the
At this time, if it is before the transition period (step S201: YES), the
Then, when the provision
If the determination in step S204 is NO, the
If the determination in step S204 is YES, the second
一方、移行期間前ではない場合(ステップS201:NO)、送信部236は、ユーザ端末30に対して、第一アカウント情報の入力、及び第二アカウント情報の入力のいずれかを選択可能な第二ログインコンテンツを送信する(ステップS206)。ユーザにより第一アカウント情報が入力される場合、ユーザ端末30は第二サービスサーバ20に第一アカウント情報を含む第一提供要求を送信する。ユーザにより第二アカウント情報が入力される場合、ユーザ端末30は第二サービスサーバ20に第二アカウント情報を含む第二提供要求を送信する。
On the other hand, if it is not before the transition period (step S201: NO), the transmitting
そして、提供要求受付部231は、ユーザ端末30から送信される提供要求を受け付け、当該提供要求として第一提供要求を受信したか否かを判定する(ステップS207:提供要求受付ステップ)。
ステップS207でYESと判定される場合、連携判定部232は、第二連携DB222を参照し、第一提供要求に含まれる第一アカウント情報と連携する第二アカウント情報があるか否かを判定する(ステップS208:連携判定ステップ)。
Then, the provision
If it is determined as YES in step S207, the
ステップS208でNOと判定される場合(第二アカウント情報に連携された第一アカウント情報が実在しない場合)、送信部236は、ユーザ端末30にエラーを返すとともに、ステップS105を実施し、ユーザ端末30に第一アカウント情報の登録を促す第二登録コンテンツを送信する。
If the determination in step S208 is NO (if the first account information linked to the second account information does not exist), the
ステップS208でYESと判定される場合、認証要求部233は、第一サービスサーバ10に、第一アカウント情報とともに第一認証処理を要求する認証要求を送信する(ステップS209)。これにより、第一サービスサーバ10の第一認証処理部131は、受信した認証要求に基づく第一認証処理を実施し、認証結果を第二サービスサーバ20に返す。
If the determination in step S208 is YES, the
そして、第二サービスサーバ20は、第一サービスサーバ10から認証結果を受信し(ステップS210)、第一アカウント情報が認証されたか否かを判定する(ステップS211)。
ステップS211においてYESと判定された場合、ステップS205のサービス提供ステップを実施し、第二サービス提供部235は、第一アカウント情報に連携された第二アカウント情報を含む第二ユーザ情報に基づいた第二サービスをユーザ端末30に提供する。
ステップS211でNOと判定される場合は、ユーザ端末30にエラーを返し、ステップS206に戻る。
Then, the
If it is determined as YES in step S211, the service providing step of step S205 is implemented, and the second
If the determination in step S211 is NO, an error is returned to the
また、ステップS207でNOと判定される場合、つまり、提供要求受付部231が第二提供要求を受信した場合、連携判定部232は、第二連携DB222に基づいて、第二アカウント情報と連携する第一アカウント情報があるか否かを判定する(ステップS212)。
ステップS212においてYESと判定される場合で、かつ、移行期間中である場合(ステップS213:YES)、ステップS203からステップS205の処理を実施し、第二認証処理による第二サービスの提供を実施する。この際、送信部236が、移行期間終了後は第一認証処理のみの認証となる旨の案内情報をユーザ端末30に送信してもよい。
Further, if it is determined NO in step S207, that is, if the provision
If the determination in step S212 is YES and the transition period is in progress (step S213: YES), the processes from step S203 to step S205 are executed to provide the second service through the second authentication process. . At this time, the
また、ステップS212においてYESと判定される場合で、かつ、移行期間後である場合(ステップS213:NO)、送信部236は、ユーザ端末30に対して、第一アカウント情報を用いた第一提供要求の送信を要求する送信要求を返し(ステップS214:要求送信ステップ)、ステップS206に戻る。この際、送信要求に第一アカウント情報を含ませてもよく、これにより、ユーザは第二アカウント情報と連携させた第一アカウント情報を確認でき、ステップS206において第一提供要求を送信できる。
Further, if the determination is YES in step S212 and the transition period has passed (step S213: NO), the
一方、ステップS212においてNOと判定される場合、送信部236は、第二アカウント情報に連携させる第一アカウント情報の登録を促す登録案内をユーザ端末30に送信する(ステップS215)。
そして、ユーザ端末30から第一アカウント情報を受信すると(ステップS216)、登録部237は、第二連携DB222に、第二アカウント情報に連携させる第一アカウント情報として登録する(ステップS217)。
On the other hand, if the determination in step S212 is NO, the transmitting
Then, upon receiving the first account information from the user terminal 30 (step S216), the
そして、移行期間中である場合(ステップS218:YES)、ステップS203からステップS205の処理を実施し、第二認証処理による第二サービスの提供を実施する。この際、送信部236が、移行期間終了後は第一認証処理のみの認証となる旨の案内情報をユーザ端末30に送信してもよい。
また、移行期間後である場合(ステップS218:NO)、ステップS206に戻る。
なお、第二提供要求に含まれる第二アカウント情報が、第二ユーザDB221及び第二連携DB222に記録されていない場合は、ユーザ端末30にエラーを返し、ステップS206に戻る。
If it is during the transition period (step S218: YES), the processes from step S203 to step S205 are executed, and the second service is provided by the second authentication process. At this time, the
If the transition period has passed (step S218: NO), the process returns to step S206.
Note that if the second account information included in the second provision request is not recorded in the
(連携解除処理)
本実施形態では、第一サービスサーバ10において、第一アカウント情報が使用不可 となると、第一アカウント情報に連携する第二アカウント情報との連携が解除される。
図5は、第一アカウント情報の使用不可による連携解除に係るフローチャートである。
第一サービスサーバ10において、ユーザによる第一アカウント情報の登録削除、或いは、不正利用等による第一アカウント情報の凍結等により、第一アカウント情報が使用不可となると、第一サービスサーバ10は、第二サービスサーバ20に使用不可となった第一アカウント情報を送信する。
第二サービスサーバ20の登録部237は、第一サービスサーバ10から、使用不可となった第一アカウント情報を受信することで、当該第一アカウント情報の使用不可を検出し(ステップS301)、第二連携DB222から、対応する第一アカウント情報を削除し、第二アカウント情報と第一アカウント情報との連携を解除する(ステップS302)。ステップS302により、第二アカウント情報と、第一アカウント情報との連携が解除される。
なお、第一アカウント情報が使用不可となったタイミングで第一サービスサーバ10から第二サービスサーバ20に、使用不可となった第一アカウント情報が送信されることで、第一アカウント情報の使用不可を検出としているがこれに限定されない。例えば、ステップS209で、認証要求部233が認証要求を第一サービスサーバ10に送信した際に、第一サービスサーバ10から、認証要求に含まれる第一アカウント情報の状態(削除や凍結)に関する情報を受け取ることで第一アカウント情報の使用不可を検出してもよい。
これにより、移行期間中及び移行期間後において、ユーザは第一認証処理を利用した第二サービスの提供が規制される。
(Cooperation cancellation processing)
In this embodiment, when the first account information becomes unusable in the
FIG. 5 is a flowchart related to cancellation of cooperation due to unavailability of first account information.
In the
The
Note that the first account information that has become unusable is sent from the
As a result, the user is restricted from providing the second service using the first authentication process during and after the transition period.
ステップS302によって、第二アカウント情報と第一アカウント情報との連携が解除されると、送信部236は、ステップS105を実施し、連携が解除された対象のユーザのユーザ端末30に、第一アカウント情報の連携を促す登録案内を送信する。なお、ここで送信される登録案内は、例えば、第二登録コンテンツへの遷移URLが記載されたメール等であってもよい。
When the linkage between the second account information and the first account information is canceled in step S302, the
図6は、第二アカウント情報の削除による連携解除のフローチャートである。
第二サービスサーバ20は、ユーザ端末30から第二ユーザ情報のアカウント削除に係る削除要求を受け付ける(ステップS401)。
登録部237は、削除要求に含まれる第二アカウント情報の第二ユーザ情報を、第二ユーザDB221から削除し(ステップS402)、第二連携DB222に記録された対応する連携情報を削除する(ステップS403)。
これにより、第一アカウント情報が含まれる第一提供要求を受信したとしても、第一アカウント情報に対応する第二アカウント情報がなく、ユーザ端末30への第二サービスの提供が規制される。
FIG. 6 is a flowchart of cancellation of cooperation due to deletion of second account information.
The
The
As a result, even if a first provision request including first account information is received, there is no second account information corresponding to the first account information, and provision of the second service to the
[本実施形態の作用効果]
本実施形態の第二サービスサーバ20(認証装置)の第二制御部23は、第二記憶部22に記録されたプログラムを読み込み実行することで、提供要求受付部231、連携判定部232、第二サービス提供部235,及び送信部236として機能する。
提供要求受付部231は、第一認証処理により第二サービスの提供を要求する第一提供要求、及び、第二認証処理により第二サービスの提供を要求する第二提供要求のいずかをユーザ端末30から受信する。連携判定部232は、第二連携DB222に基づいて、第一アカウント情報と第二アカウント情報とが連携されているか否かを判定する。第二サービス提供部235は、第一提供要求が受信され、かつ、第一アカウント情報と第二アカウント情報とが連携されていると判定され、第一認証処理によって第一アカウント情報が認証された場合に、ユーザ端末30に第二サービスを提供する。送信部236は、移行期間中及び移行期間後において第二提供要求が受信された場合に、第一提供要求の送信を要求する送信要求をユーザ端末30に送信する。
[Actions and effects of this embodiment]
The
The provision
このような本実施形態では、第二認証処理のセキュリティ強度が低い場合でも、当該第二認証処理の認証方式を変更することなく、より高いセキュリティ強度の第一認証処理を用いることができ、第二サービスの提供におけるセキュリティの向上を図れる。この際、第二サービスサーバ20におけるユーザ認証プログラムをアップデートしたり、新しい認証方式のユーザ認証プログラムをインストールし直したりする必要がなく、これによる第二ユーザDB221の更新も不要となる。したがって、低コストで、かつ、高いセキュリティで、第二サービスの提供に係るユーザ認証を実施することができる。
特に、古い認証方式からセキュリティ強度が高い新しい認証方式に切り替える場合に有効であり、所定の移行期間中に第一アカウント情報と第二アカウント情報とが連携されることで、移行期間後は第一認証処理によるユーザ認証に一本化でき、容易に高いセキュリティを導入することが可能となる。
また、従来により、他のサービスのアカウントを連携させて、当該アカウントを用いて第二サービスを提供するものもあるが、これらは、連携が解除されても他のアカウントによるログインが可能であり、第二アカウント情報を用いたログインも可能であるため、セキュリティ強度が弱い。これに対して、本実施形態では、移行期間後では、第二アカウント情報を用いた第二認証処理ができなくなり、第二アカウント情報に連携する第一アカウント情報を用いた第一認証処理しか許可されない。したがって、第二認証処理が不許可となることで、高いセキュリティ強度を維持することができる。
In this embodiment, even if the security strength of the second authentication process is low, the first authentication process with higher security strength can be used without changing the authentication method of the second authentication process. It is possible to improve security in providing two services. At this time, there is no need to update the user authentication program in the
This is particularly effective when switching from an old authentication method to a new authentication method with higher security. By linking the primary account information and secondary account information during the specified transition period, the User authentication can be unified through authentication processing, making it possible to easily introduce high security.
In addition, there are conventional services that link accounts of other services and provide a second service using that account, but even if the link is canceled, it is still possible to log in using the other account. Since it is also possible to log in using the second account information, the security strength is weak. In contrast, in this embodiment, after the transition period, the second authentication process using the second account information is no longer possible, and only the first authentication process using the first account information linked to the second account information is permitted. Not done. Therefore, high security strength can be maintained by disallowing the second authentication process.
本実施形態では、送信部236は、第二アカウント情報に連携された第一アカウント情報が実在しない場合に、第二アカウント情報に連携させる第一アカウントの登録を促す登録案内を送信する。
これにより、第一アカウント情報を用いた第一認証処理を実施しないと第二サービスの提供ができないことを、ユーザに知らせることができ、第二アカウント情報に連携させる第一アカウント情報の登録を促すことができる。よって、移行期間中であっても、第二認証処理から第一認証処理への移行が迅速に進み、セキュリティ強度が高い第一認証処理を用いた第二サービスの提供により早く切り替えることができる。
In this embodiment, when the first account information linked to the second account information does not exist, the
This allows the user to be informed that the second service cannot be provided without performing the first authentication process using the first account information, and prompts the user to register the first account information to be linked to the second account information. be able to. Therefore, even during the transition period, the transition from the second authentication process to the first authentication process proceeds quickly, and the second service using the first authentication process with high security strength can be provided more quickly.
本実施形態では、登録部237は、連携解除部としても機能する。すなわち、登録部237は、第二アカウント情報に連携された第一アカウント情報の使用不可を検出すると、第二連携DB222から当該第二アカウント情報に連携された前記第一アカウント情報を削除する。
これにより、不正な第一アカウント情報を用いた第二サービスの利用が規制され、セキュリティの更なる向上を図れる。
In this embodiment, the
This restricts the use of the second service using fraudulent first account information, thereby further improving security.
さらに、送信部236は、第一アカウント情報と第二アカウント情報との連携が解除された場合に、第二アカウント情報に連携させる他の第一アカウント情報の登録を促す旨の登録案内をユーザ端末30に送信する。
これにより、ユーザは、他の第一アカウント情報を利用することで、継続して第二サービスの提供を受けることができる。
Further, the transmitting
Thereby, the user can continue to receive the second service by using other first account information.
また、登録部237は、新規登録部、及び連携登録部として機能する。そして、移行期間以降において、ユーザ端末30から、第二サービスの新規利用登録を要求する新規登録要求を受信すると、送信部236は、新規に生成する第二アカウント情報に連携させる第一アカウント情報の登録を促す第二登録コンテンツをユーザ端末30に送信する。登録部237は、ユーザ端末30から、第一アカウント情報の送信を受け付けると、第二アカウント情報を含む第二ユーザ情報を新たに生成し、第二連携DB222に第二アカウント情報と第一アカウント情報とを含む連携情報を登録する。
Further, the
これにより、移行期間以降においては、第二サービスの利用登録を行う際に第一アカウント情報の登録が行われ、第一アカウント情報を用いる第一認証処理によるユーザ認証のみが許可される。よって、セキュリティ強度が低い第二認証処理の実施が抑制されることで、セキュリティの向上を図ることができる。また、本実施形態では、第二サービスの利用のために、第二アカウント情報が生成されるが、当該第二アカウント情報は、ユーザ端末30に送信されない(ユーザに知らされない)。これにより、第三者に第二アカウント情報が漏洩する不都合が抑制され、セキュリティの更なる向上を図れる。 As a result, after the transition period, the first account information is registered when registering to use the second service, and only user authentication by the first authentication process using the first account information is permitted. Therefore, by suppressing implementation of the second authentication process with low security strength, security can be improved. Further, in this embodiment, second account information is generated for use of the second service, but the second account information is not transmitted to the user terminal 30 (not notified to the user). This prevents the inconvenience of the second account information being leaked to a third party, and further improves security.
[変形例]
本発明は上述の各実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良、および各実施形態を適宜組み合わせる等によって得られる構成は本発明に含まれるものである。
[Modified example]
The present invention is not limited to the above-described embodiments, and the present invention includes modifications, improvements, and configurations obtained by appropriately combining the embodiments to the extent that the objects of the present invention can be achieved. be.
(変形例1)
上記実施形態では、第一認証方式が、第二認証方式よりもセキュリティ強度が高い例を示したが、少なくとも第二認証方式と同等以上であればよい。
(Modification 1)
In the above embodiment, an example was shown in which the first authentication method has higher security strength than the second authentication method, but it is sufficient that the first authentication method is at least equal to or higher than the second authentication method.
(変形例2)
上記実施形態では、移行期間を設ける例を示したが、移行期間を設けず、所定のタイミングで、第二認証処理を禁止するように構成されていてもよい。
(Modification 2)
In the above embodiment, an example is shown in which a transition period is provided, but the configuration may be such that the transition period is not provided and the second authentication process is prohibited at a predetermined timing.
(変形例3)
上記実施形態では、新規に第二アカウント情報を登録する際に、ステップS105において、既存の第一アカウント情報を用いるか、新規に第一アカウント情報を生成するかを選択可能な第二登録コンテンツを送信し、いずれの場合においても、登録部237は、第一アカウント情報を受信することで、第二アカウント情報の生成及び、第一アカウント情報と第二アカウント情報との連携を行った。
これに対して、既存の第一アカウント情報を用いる場合に、第一サービスサーバ10にユーザ端末30から受信した第一アカウント情報が適正であるか否かを判定するために、第一サービスサーバ10に認証要求を送信してもよい。そして、第一サービスサーバ10による第一認証処理により、第一アカウント情報が認証された場合に、第二アカウント情報の生成と、生成された第二アカウント情報に対する第一アカウント情報の連携とを実施してもよい。
(Modification 3)
In the above embodiment, when newly registering the second account information, in step S105, the second registered content that allows the user to select whether to use the existing first account information or to newly generate the first account information is provided. In either case, upon receiving the first account information, the
On the other hand, when using existing first account information, in order to determine whether the first account information received by the
1…認証システム、10…第一サービスサーバ、20…第二サービスサーバ(認証装置)、23…第二制御部、30…ユーザ端末、221…第二ユーザデータベース、222…第二連携データベース、231…提供要求受付部、232…連携判定部、233…認証要求部、234…第二認証処理部、235…第二サービス提供部、236…送信部、237…登録部。 1... Authentication system, 10... First service server, 20... Second service server (authentication device), 23... Second control unit, 30... User terminal, 221... Second user database, 222... Second cooperation database, 231 . . . Provision request reception unit, 232 .
Claims (6)
前記第二アカウント情報と、当該第二アカウント情報に連携されている前記第一アカウント情報とを記録した連携データベースに基づいて、前記第一アカウント情報と前記第二アカウント情報とが連携されているか否かを判定する連携判定部と、
前記第一提供要求を受信し、かつ、前記第一アカウント情報と前記第二アカウント情報とが連携されていると判定され、前記第一認証方式による前記第一アカウント情報の認証処理により前記第一アカウント情報が認証された場合に、前記第二サービスを提供するサービス提供部と、
前記第二提供要求を受信した場合に、前記第一提供要求の送信を要求する送信要求を前記ユーザ端末に送信する送信部と、
を備える認証装置。 A first provision request requesting provision of a second service using second account information using a first authentication method using first account information for receiving provision of the first service, and an authentication method using said second account information. a second provision request requesting provision of the second service using a second authentication method having a lower security strength than the first authentication method from a user terminal;
Whether or not the first account information and the second account information are linked based on a linkage database that records the second account information and the first account information linked to the second account information. a cooperation determination unit that determines whether
The first provision request is received, and it is determined that the first account information and the second account information are linked, and the first account information is authenticated by the first authentication method. a service providing unit that provides the second service when the account information is authenticated;
a transmitting unit that transmits a transmission request requesting transmission of the first provision request to the user terminal when the second provision request is received;
An authentication device comprising:
請求項1に記載の認証装置。 The transmitting unit transmits a registration guide prompting registration of the first account information to be linked to the second account information when the first account information linked to the second account information does not exist.
The authentication device according to claim 1.
請求項1または請求項2に記載の認証装置。 The system further includes a linkage cancellation unit that detects unusability of the first account information linked to the second account information and deletes the first account information linked to the second account information from the linkage database. ,
The authentication device according to claim 1 or claim 2.
請求項3に記載の認証装置。 The transmitting unit transmits registration guidance to the user terminal to prompt registration of other first account information to be linked to the second account information when the linkage is canceled by the linkage canceling unit.
The authentication device according to claim 3.
前記連携データベースに登録された前記第二アカウント情報に連携させる前記第一アカウント情報を記録する連携登録部と、を備え、
前記送信部は、前記第二サービスの新規利用登録を要求する新規登録要求を受信すると、新規に生成する前記第二アカウント情報に連携させる前記第一アカウント情報の登録を促す登録案内を送信し、
前記新規登録部は、前記ユーザ端末から、前記第一アカウント情報の送信を受け付けた場合に、前記第二アカウント情報を生成し、
前記連携登録部は、生成された前記第二アカウント情報に、前記ユーザ端末から受信した前記第一アカウント情報を関連付ける、
請求項1から請求項4のいずれか1項に記載の認証装置。 a new registration unit that newly generates the second account information;
a cooperation registration unit that records the first account information to be linked to the second account information registered in the cooperation database;
When the transmitter receives a new registration request requesting a new registration for the second service, the transmitter transmits a registration guide prompting registration of the first account information to be linked to the newly generated second account information,
The new registration unit generates the second account information when receiving the first account information from the user terminal,
The cooperation registration unit associates the generated second account information with the first account information received from the user terminal.
The authentication device according to any one of claims 1 to 4.
前記コンピュータは、提供要求受付部と、連携判定部と、サービス提供部と、送信部と、を備え、
前記提供要求受付部が、第一サービスの提供を受けるための第一アカウント情報を用いる第一認証方式により第二アカウント情報を用いる第二サービスの提供を要求する第一提供要求、及び、前記第二アカウント情報を用いる認証方式であって前記第一認証方式よりもセキュリティ強度が低い第二認証方式により前記第二サービスの提供を要求する第二提供要求、のいずれかをユーザ端末から受信する提供要求受付ステップと、
前記連携判定部が、前記第二アカウント情報と、当該第二アカウント情報に連携されている前記第一アカウント情報とを記録した連携データベースに基づいて、前記第一アカウント情報と前記第二アカウント情報とが連携されているか否かを判定する連携判定ステップと、
前記サービス提供部が、前記第一提供要求が受信され、かつ、前記第一アカウント情報と前記第二アカウント情報とが連携されていると判定され、前記第一認証方式による前記第一アカウント情報の認証処理により前記第一アカウント情報が認証された場合に、前記第二サービスの提供を許可するサービス提供許可部と、
前記送信部が、前記第二提供要求を受信した場合に、前記第一提供要求の送信を要求する送信要求を前記ユーザ端末に送信する要求送信ステップと、
を実施する、認証方法。 A method for authenticating a user using a computer, the method comprising:
The computer includes a provision request receiving unit, a cooperation determining unit, a service providing unit, and a transmitting unit,
The provision request receiving unit receives a first provision request requesting provision of a second service using second account information using a first authentication method using first account information for receiving provision of the first service; 2. A second provision request that requests provision of the second service using a second authentication method that uses account information and has lower security strength than the first authentication method is received from the user terminal. a provision request receiving step;
The linkage determination unit determines whether the first account information and the second account information are linked based on the linkage database that records the second account information and the first account information linked to the second account information. a cooperation determination step for determining whether or not the
The service providing unit receives the first provision request and determines that the first account information and the second account information are linked, and provides the first account information according to the first authentication method. a service provision permission unit that permits provision of the second service when the first account information is authenticated through authentication processing;
a request transmitting step in which the transmitter, when receiving the second provision request, transmits a transmission request requesting transmission of the first provision request to the user terminal;
Authentication method to implement.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022023728A JP7404415B2 (en) | 2022-02-18 | 2022-02-18 | Authentication device and authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022023728A JP7404415B2 (en) | 2022-02-18 | 2022-02-18 | Authentication device and authentication method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023120720A JP2023120720A (en) | 2023-08-30 |
| JP7404415B2 true JP7404415B2 (en) | 2023-12-25 |
Family
ID=87797398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022023728A Active JP7404415B2 (en) | 2022-02-18 | 2022-02-18 | Authentication device and authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7404415B2 (en) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010020712A (en) | 2008-07-14 | 2010-01-28 | Canon Inc | Information processing apparatus, method for controlling information processing apparatus, storage medium, and program |
| JP2015519777A (en) | 2012-04-01 | 2015-07-09 | オーセンティファイ・インクAuthentify Inc. | Secure authentication in multi-party systems |
| JP2019074994A (en) | 2017-10-18 | 2019-05-16 | 富士ゼロックス株式会社 | Information processing device, information processing system, and program |
| JP2019075006A (en) | 2017-10-18 | 2019-05-16 | 富士ゼロックス株式会社 | Information processing device, information processing system, and program |
| JP2019087281A (en) | 2019-02-18 | 2019-06-06 | 富士ゼロックス株式会社 | Information processing device and program |
| JP2021022124A (en) | 2019-07-26 | 2021-02-18 | シャープ株式会社 | User authentication management apparatus, image processing apparatus including the same, user authentication management method, and user authentication management program |
-
2022
- 2022-02-18 JP JP2022023728A patent/JP7404415B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010020712A (en) | 2008-07-14 | 2010-01-28 | Canon Inc | Information processing apparatus, method for controlling information processing apparatus, storage medium, and program |
| JP2015519777A (en) | 2012-04-01 | 2015-07-09 | オーセンティファイ・インクAuthentify Inc. | Secure authentication in multi-party systems |
| JP2019074994A (en) | 2017-10-18 | 2019-05-16 | 富士ゼロックス株式会社 | Information processing device, information processing system, and program |
| JP2019075006A (en) | 2017-10-18 | 2019-05-16 | 富士ゼロックス株式会社 | Information processing device, information processing system, and program |
| JP2019087281A (en) | 2019-02-18 | 2019-06-06 | 富士ゼロックス株式会社 | Information processing device and program |
| JP2021022124A (en) | 2019-07-26 | 2021-02-18 | シャープ株式会社 | User authentication management apparatus, image processing apparatus including the same, user authentication management method, and user authentication management program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023120720A (en) | 2023-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7093393B2 (en) | Service processing methods, equipment, and servers | |
| JP5723300B2 (en) | Server system, service providing server, and control method | |
| EP2540051A1 (en) | Method for managing access to protected resources and delegating authority in a computer network | |
| KR20120135041A (en) | Access monitoring method, information processing apparatus, and computer-readable medium storing access monitoring program | |
| US9906529B2 (en) | Relay apparatus, relay system, relay method, and non-transitory computer readable medium | |
| JP6564841B2 (en) | Verification server, verification method and computer program | |
| JP5179298B2 (en) | Access authorization system, access control server, and business process execution system | |
| US20210112060A1 (en) | Method and Apparatus to Control and Monitor Access to Web Domains using Networked Devices | |
| US11784994B2 (en) | Management device, management system, and non-transitory computer readable medium | |
| JP5218547B2 (en) | Authentication device, authentication method, and data utilization method | |
| JP7404415B2 (en) | Authentication device and authentication method | |
| US9348992B2 (en) | Linked identities | |
| JP3707381B2 (en) | Login control method, login control system, and information recording medium recording login control program | |
| JP2012003411A (en) | Log-in seal management system and management server | |
| US8938539B2 (en) | Communication system applicable to communications between client terminals and a server | |
| US20200036706A1 (en) | Control of delegation rights | |
| JP2008046733A (en) | Method for providing personal attribute information, control server and program | |
| JP2007323235A (en) | Attribute use approval system | |
| JP7119797B2 (en) | Information processing device and information processing program | |
| JP5300794B2 (en) | Content server and access control system | |
| JP6795436B2 (en) | Access control system, access control method and access control program | |
| JP4846624B2 (en) | Authentication proxy device, authentication proxy method, and authentication proxy program | |
| CN116208367B (en) | Access permission control method, system, device, electronic device and medium | |
| JP4936603B2 (en) | Sales management method and storage medium storing the program | |
| US20220086168A1 (en) | Information processing apparatus, control method thereof, and non-transitory computer-readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220418 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230620 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230818 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20231026 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231213 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7404415 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |