【0001】
【発明の属する技術分野】
本発明は、ユーザがインターネットなどwww環境に代表されるネットワーク環境を通じて、サービス提供サイトにアクセスする際に、個々のユーザを識別するために入力が必要なユーザID/パスワード等のユーザ認証管理システムに関するものである。
【0002】
【従来の技術】
各サービス提供サイトごとに登録・管理が行われているユーザID/パスワードをユーザ側で管理できるようにするものとして、いくつかの従来技術が知られている。
【0003】
一つはクライアント計算機のwebブラウザ上で、該当のサービス提供サイトにアクセスする度に入力するユーザID/パスワードを、クライアント計算機のwebブラウザに記憶させる方法である。この方法はユーザが特定の計算機からアクセスする場合において煩雑なユーザID/パスワードを管理せずに利用できる点では優れているが、不特定の計算機を利用する場合には、サービス提供サイト別のユーザID/パスワードを記憶しておかねばならない。またwebブラウザに記憶したID/パスワードは他人がアクセスした時にも利用できることになり、本来のユーザ認証という機能面を損なう恐れもある。
【0004】
同様の機能を提供するものとして、アクセスしたサービス提供サイトのスタティックな画面情報をクライアント計算機上に保管しておき、その情報から次回以降のログイン操作を代行入力するものがある。これもwebブラウザと同様の問題点を解決することができない。
またクライアント計算機から直接サービス提供サイトにアクセスする前に、一度ユーザ認証管理サイト(サーバ)にアクセスし、そこでユーザ認証を受けた上でサービス提供サイトにアクセスする方法について、いくつかの方法が既に製品化や特許として公開されている。
【0005】
しかしこれらの方法では、ユーザはサービス提供サイトにアクセスする前に、意識してユーザ認証管理サイト(サーバ)にアクセスする必要があり、利用者であるユーザに本発明に比べて手順を多く踏ませることになる。
【0006】
これらのように従来の技術で解決できていない問題点について、本発明では特定のクライアント計算機でなくても、特定の認証管理サイト(サーバ)への事前アクセスなしに、一つのユーザID/パスワードで複数のサービス提供サイトへの認証が行えるようにする機能を提供することができるものとして考案したものである。
【0007】
【発明が解決しようとする課題】
ユーザがサービス提供サイトにアクセスする際、そのユーザ認証のためにユーザID/パスワード等(認証情報)を入力する必要がある。
この認証情報は、サービス提供サイトごとに登録・管理が行なわれているため、そのサービス提供を受けるユーザは、サービス提供サイトごとに認証情報の登録を行なう必要がある。
【0008】
この認証情報はユーザの希望する文字列を登録することが可能な場合もあるが、既に登録済であったりサービス提供サイト側より指定されるケースもある。
【0009】
このようにユーザは自分の希望する文字列を認証情報として登録できない場合、各サービス提供サイトごとの認証情報を記憶して使い分ける必要がある。これらの認証情報の数が多くなると、その管理を行なう必要が出てくる。サービスを利用するユーザー側からすると、この認証情報の管理は煩雑であり、管理不備等により認証情報を忘れてしまうこともあり得る。
【0010】
認証情報の管理が不十分な場合、ユーザがサービス提供サイトにアクセスした時に、認証情報の不一致により、本来受けられるべきサービスの提供が受けられないケースが発生することになる。
【0011】
認証情報を忘れたユーザは、サービス提供サイトに対して、自分の登録した認証情報の通知を求めたり、もしくは新たな認証情報の取得を試みることが考えられる。もしこれらの作業が面倒だと判断した場合は、サービス提供サイトへのアクセスそのものを行なわないことも考えられる。
【0012】
これらの状況は、利用者側であるユーザにとって不利益であるばかりでなく、サービス提供サイト側にとっても不利益をもたらすことになる。
ユーザが認証情報を忘れ、サービス提供サイトの問合せ窓口に対して、その通知を求めるリクエストを受け付けるとする。この場合サービス提供サイトでは、その対応のための人的・システム的コストや通信費が必要となる。サイトの運用管理を行なう上で、これらのコストをいかに低減するかが重要なテーマである。
【0013】
またユーザは同様のケースにおいて、新たなユーザ登録を行い、新規で認証情報を申請するケースも考えられる。このケースにおいても上記と同様のコストが発生することになるが、そのコストだけでなく、同一のユーザを複数の認証情報で管理することになり、同一人物であることを特定できなくなることが大きな問題である。
【0014】
これらのユーザID/パスワードを利用した認証システムにおける問題点の一つは、利用するサービス提供サイトごとに個別の認証情報が必要になることにある。ユーザーが一つの認証情報によって、各々のサービス提供サイトにアクセスすることが可能となれば、ユーザを認証情報の煩雑な管理から開放することができ、認証情報を忘れることによるこれらの問題を解決することが可能となる。
【0015】
本発明の目的は、ユーザID/パスワードの管理を認証管理サイトにて統合化することで、サービス提供サイト毎に設定される認証情報をユーザが直接意識せずに、アクセスが可能となるシステムを提供することにある。
【0016】
【課題を解決するための手段】
本発明は、インターネットなどweb環境に代表されるネットワーク環境上で、ユーザを個々に認識してサービスを提供するサイトが複数存在するケースにおいて、認証管理サイトを設け、そこでユーザのID/パスワードを統合管理することでその問題の解決を図るものである。
【0017】
ここでのユーザID/パスワードの統合管理とは、各サービス提供サイトで管理しているユーザID/パスワードの管理を否定するものでない。実態としては各サービス提供サイトにおいて、各ユーザを識別するためのコードとしてユーザID/パスワードの管理を行うものである。これは各サービス提供サイトでのユーザ管理を全サイト共通で実施するには、システム的な問題だけでなく、その運用面からも実質的に実現が困難であると考えるからである。
【0018】
そこで本発明では、各サービス提供サイト別に管理しているユーザID/パスワードを、利用者であるユーザからは一つのユーザID/パスワードでアクセスできるよう、統合管理するサイト(認証管理サイト)を設け、ここでユーザがアクセスに用いるユーザID/パスワードと各サービス提供サイトが管理するユーザID/バスワードとを相互変換する機能を提供することで、前記の課題を解決するものである。
【0019】
【発明の実施の形態】
以下、本発明の実施形態を説明する。
図1は、本発明の前提となるネットワーク環境と、認証管理サイトwebサーバ、サービス提供サイトwebサーバとクライアント計算機の構成図である。システムはwebブラウザ0102,0104,0106が実行可能なクライアント計算機0101,0103,0105とサービス提供サイト認証プログラム0109を実装するサービス提供サイトwebサーバ0108、そして認証管理サイト認証プログラム0111を実装する認証管理サイトwebサーバ0110によって構成される。図中ではサービス提供サイト認証プログラム0109を実装するサービス提供サイトwebサーバ0108を一セットのみ記述しているが、実際には複数セットのサービス提供サイトが存在することを想定している。
【0020】
図2はサービス提供サイトwebサーバ0108上に実装するサービス提供サイト認証プログラムの構成図である。ここではクライアント計算機より受信したアクセス要求を処理(0202)し、認証要求情報を認証管理サイトへ送信(0203)、認証管理サイトからの認証結果情報を受信(0204)する機能を実装する。
【0021】
図3は認証管理サイトwebサーバ0110上に実装する認証管理サイト認証プログラムの構成図である。ここではサービス提供サイトより受信した認証要求情報を受信し、その情報から認証可否を判定、結果をサービス提供サイトへ送信する認証処理(0302)を実装する。
【0022】
図4はサービス提供サイト認証処理プログラムのアクセス要求処理のフロー図である。ここではクライアント計算機webブラウザからのアクセス要求(0402)の受信に対し、ユーザID/パスワードの入力をクライアント計算機webブラウザに要求する処理を実行する。
【0023】
図5はサービス提供サイト認証処理プログラムの認証要求情報送信処理のフロー図である。ここではクライアント計算機webブラウザより受信したユーザID/パスワード(0502)より、認証要求情報を生成(0503)し、その認証要求情報を暗号化(0504)して認証管理へ送信(0505)する処理を実行する。
【0024】
図7は認証管理サイト認証処理プログラムの認証処理のフロー図である。ここではサービス提供サイト認証処理プログラムより送信された認証要求情報を受信(0702)し、暗号化されている認証要求情報を解読(0703)する。
【0025】
解読された認証要求情報より認証管理情報(図9)にアクセスし、サービス提供サイトで管理しているユーザID/パスワードを取得する。この時サービス提供サイトで管理しているユーザID/パスワードが取得できた時に認証OKと判定し、取得できない場合は認証NGと判定(0704)する。この判定結果をもとに認証結果情報を生成(0705)し、暗号化(0706)した上でサービス提供サイトへ認証結果情報を送信(0707)する。
【0026】
図6はサービス提供サイト認証処理プログラムの認証要求情報受信処理のフロー図である。ここでは認証管理サイト認証処理プログラムより受信した認証結果情報を受信(0602)し、暗号化されている認証結果情報を解読(0603)する。解読された認証結果情報より認証結果を判定(0604)し、認証OKの場合にはそのユーザに対するアクセスを許可(0605)し、認証NGの場合にはそのユーザに対するアクセスを不許可(0606)とする。
【0027】
これらサービス提供サイト認証プログラムと認証管理サイト認証プログラムとで行う一連の処理によりユーザからのアクセス要求対する認証可否を行う。
【0028】
図8は本発明における認証手順を説明するタイムチャートである。クライアント計算機webブラウザ(0801)からサービス提供サイト認証プログラム(0802)に対してアクセスを要求すると、サービス提供サイト認証プログラム(0802)はアクセス要求処理を実行し、クライアント計算機webブラウザ(0801)に対してID/パスワードの入力要求を行う。ユーザはクライアント計算機webブラウザ(0801)よりID/バスワードを入力することで、サービス提供サイト認証プログラム(0802)に対してID/パスワードを送信する。
【0029】
このID/パスワードを受信したサービス提供サイト認証プログラム(0802)では、認証要求情報送信処理を実行し、認証管理サイト認証プログラム(0803)に対して認証要求情報送信を行う。認証管理サイト認証プログラム(0803)では、受信した認証要求情報より認証処理を実行し、サービス提供サイト認証プログラム(0802)に対して認証結果情報の送信を行う。サービス提供サイト認証プログラム(0802)では、受信した認証結果情報より認証結果情報受信処理を実行し、認証結果をクライアント計算機webブラウザ(0801)に対して通知する。
【0030】
図9は認証管理サイトで管理するユーザ認証管理情報の例である。認証管理サイトでは、クライアント計算機webブラウザから受信するユーザID/パスワードとサービス提供サイト識別情報から、サービス提供サイトで管理しているユーザID/パスワードに変換するための情報として、これらのユーザ認証管理情報を保持・管理する。
【0031】
図10はサービス提供サイトから認証管理サイトへ送信される伝送情報の例である。サービス提供サイトはクライアント計算機webブラウザから受信したユーザID/パスワードにサービス提供サイト識別情報を付加して、認証管理サイトにこの認証要求情報を送信する。
【0032】
図11は認証管理サイトからサービス提供サイトへ送信される伝送情報の例である。認証処理を実行した認証管理サイトは、認証結果情報として認証要求情報にサイト別ユーザIDとサイト別パスワードを付加してサービス提供サイトへ送信する。
【0033】
【発明の効果】
以上のように、本発明によれば、ネットワーク環境上でユーザを個々に認識してサービスを提供するサイトが複数存在するケースにおいても、認証管理サイトにおいてユーザID/パスワードを統合管理しているため、利用者であるユーザは一つのユーザID/パスワードだけ記憶しておくことで、各サービス提供サイトにアクセスすることが可能となる。ユーザを煩わしい多数のユーザID/パスワード管理から開放することができるのである。
【図面の簡単な説明】
【図1】本発明の前提となるネットワーク環境と、認証管理サイトwebサーバ・サービス提供サイトwebサーバとクライアント計算機の構成図である。
【図2】サービス提供サイトの認証プログラム構成図である。
【図3】認証管理サイトの認証プログラム構成図である。
【図4】サービス提供サイト認証プログラム・アクセス要求処理のフロー図である。
【図5】サービス提供サイト認証プログラム・認証要求情報送信処理のフロー図である。
【図6】サービス提供サイト認証プログラム・認証結果情報受信処理のフロー図である。
【図7】認証管理サイト認証プログラム・認証処理のフロー図である。
【図8】本発明における認証手順を説明するタイムチャート図である。
【図9】認証管理サイトで管理するユーザ認証管理情報の例である。
【図10】サービス提供サイトから認証管理サイトへ送信される伝送情報の例である。
【図11】認証管理サイトからサービス提供サイトへ送信される伝送情報の例である。
【符号の説明】
0101,0103,0105...クライアント計算機
0102,0104,0106...webブラウザ
0107...ネットワーク環境(www環境)
0108...サービス提供サイトwebサーバ
0109...サービス提供サイト認証プログラム
0110...認証管理サイトwebサーバ
0111...認証管理サイト認証プログラム
0201...サービス提供サイト認証プログラム
0202...アクセス要求処理
0203...認証要求情報送信処理
0204...認証結果情報受信処理
0301...認証管理サイト認証プログラム
0302...認証処理[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a user authentication management system such as a user ID / password which needs to be input to identify an individual user when the user accesses a service providing site through a network environment represented by a www environment such as the Internet. Things.
[0002]
[Prior art]
Several conventional techniques are known to enable a user to manage a user ID / password registered and managed for each service providing site.
[0003]
One is a method in which a user ID / password input every time the user accesses a corresponding service providing site on a web browser of a client computer is stored in the web browser of the client computer. This method is excellent in that it can be used without management of complicated user IDs / passwords when a user accesses from a specific computer. The ID / password must be stored. In addition, the ID / password stored in the web browser can be used even when another person accesses it, and the original user authentication function may be impaired.
[0004]
In order to provide a similar function, there is a method in which static screen information of an accessed service providing site is stored on a client computer, and the next and subsequent login operations are input by proxy based on the information. This also cannot solve the same problem as the Web browser.
In addition, before accessing the service providing site directly from the client computer, there are several methods of accessing the user authentication management site (server) once and then authenticating the user and then accessing the service providing site. And published as patents.
[0005]
However, in these methods, the user needs to consciously access the user authentication management site (server) before accessing the service providing site, so that the user, who is a user, performs more steps than the present invention. Will be.
[0006]
With respect to the problems that cannot be solved by the conventional technology as described above, according to the present invention, a single user ID / password can be used without prior access to a specific authentication management site (server) even if the client computer is not a specific client computer. This is designed to provide a function that enables authentication to a plurality of service providing sites.
[0007]
[Problems to be solved by the invention]
When a user accesses a service providing site, it is necessary to input a user ID / password or the like (authentication information) for user authentication.
Since the authentication information is registered and managed for each service providing site, the user who receives the service needs to register the authentication information for each service providing site.
[0008]
In some cases, the authentication information can register a character string desired by the user, but in other cases, the authentication information has already been registered or is specified by the service providing site.
[0009]
As described above, when the user cannot register a desired character string as authentication information, it is necessary to store and properly use authentication information for each service providing site. When the number of these pieces of authentication information increases, it becomes necessary to manage them. From the viewpoint of the user of the service, the management of the authentication information is complicated, and the authentication information may be forgotten due to inadequate management or the like.
[0010]
If the management of the authentication information is insufficient, when the user accesses the service providing site, a case may occur where the service that should be received cannot be provided due to the mismatch of the authentication information.
[0011]
A user who has forgotten the authentication information may request the service providing site to notify the user of the registered authentication information or attempt to acquire new authentication information. If it is determined that these operations are troublesome, it is conceivable not to access the service providing site itself.
[0012]
These situations are disadvantageous not only for the user who is the user, but also for the service providing site.
It is assumed that the user forgets the authentication information and accepts a request for the notification from the inquiry window of the service providing site. In this case, the service providing site requires human / system cost and communication cost for the response. How to reduce these costs is an important theme in managing the operation of the site.
[0013]
In a similar case, the user may perform a new user registration and newly apply for authentication information. In this case, the same cost as above is incurred. However, not only that cost but also the same user is managed by a plurality of pieces of authentication information, and it is often difficult to identify the same person. It is a problem.
[0014]
One of the problems in the authentication system using these user IDs / passwords is that individual authentication information is required for each service providing site to be used. If the user can access each service providing site with one authentication information, the user can be released from complicated management of the authentication information, and these problems caused by forgetting the authentication information can be solved. It becomes possible.
[0015]
An object of the present invention is to integrate a user ID / password management at an authentication management site, thereby providing a system that allows a user to access authentication information set for each service providing site without directly being aware of the information. To provide.
[0016]
[Means for Solving the Problems]
According to the present invention, in a case where there are a plurality of sites that individually recognize users and provide services on a network environment represented by a web environment such as the Internet, an authentication management site is provided, and user IDs / passwords are integrated there. The problem is solved by management.
[0017]
Here, the integrated management of the user ID / password does not deny the management of the user ID / password managed by each service providing site. In reality, each service providing site manages a user ID / password as a code for identifying each user. This is because it is considered that it is practically difficult to implement user management at each service providing site for all the sites not only from a system problem but also from an operational aspect.
[0018]
Therefore, in the present invention, a site (authentication management site) for integrated management is provided so that a user who is a user can access a user ID / password managed for each service providing site with one user ID / password. Here, the above-mentioned problem is solved by providing a function of mutually converting a user ID / password used for access by a user and a user ID / password managed by each service providing site.
[0019]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described.
FIG. 1 is a configuration diagram of a network environment as a premise of the present invention, an authentication management site web server, a service providing site web server, and a client computer. The system includes client computers 0101, 0103, 0105 that can be executed by the web browsers 0102, 0104, 0106, a service providing site web server 0108 on which the service providing site authentication program 0109 is installed, and an authentication management site on which the authentication management site authentication program 0111 is installed. It is configured by a web server 0110. Although only one set of the service providing site web server 0108 that implements the service providing site authentication program 0109 is described in the figure, it is assumed that there are actually a plurality of sets of service providing sites.
[0020]
FIG. 2 is a configuration diagram of a service providing site authentication program implemented on the service providing site web server 0108. Here, a function is implemented for processing the access request received from the client computer (0202), transmitting the authentication request information to the authentication management site (0203), and receiving the authentication result information from the authentication management site (0204).
[0021]
FIG. 3 is a configuration diagram of an authentication management site authentication program implemented on the authentication management site web server 0110. Here, an authentication process (0302) for receiving the authentication request information received from the service providing site, determining whether or not authentication is possible based on the information, and transmitting the result to the service providing site is implemented.
[0022]
FIG. 4 is a flowchart of the access request processing of the service providing site authentication processing program. Here, in response to the reception of the access request (0402) from the client computer web browser, a process of requesting the client computer web browser to input a user ID / password is executed.
[0023]
FIG. 5 is a flowchart of the authentication request information transmission processing of the service providing site authentication processing program. Here, a process of generating authentication request information (0503) from the user ID / password (0502) received from the client computer web browser, encrypting the authentication request information (0504), and transmitting it to the authentication management (0505). Execute.
[0024]
FIG. 7 is a flowchart of the authentication processing of the authentication management site authentication processing program. Here, the authentication request information transmitted from the service providing site authentication processing program is received (0702), and the encrypted authentication request information is decrypted (0703).
[0025]
The authentication management information (FIG. 9) is accessed from the decrypted authentication request information, and the user ID / password managed by the service providing site is obtained. At this time, when the user ID / password managed by the service providing site can be obtained, it is determined that the authentication is OK. When the user ID / password cannot be obtained, it is determined that the authentication is NG (0704). Based on this determination result, authentication result information is generated (0705), encrypted (0706), and then transmitted to the service providing site (0707).
[0026]
FIG. 6 is a flowchart of the authentication request information receiving process of the service providing site authentication process program. Here, the authentication result information received from the authentication management site authentication processing program is received (0602), and the encrypted authentication result information is decrypted (0603). The authentication result is determined from the decrypted authentication result information (0604). If the authentication is OK, the access to the user is permitted (0605). If the authentication is NG, the access to the user is not permitted (0606). I do.
[0027]
A series of processes performed by the service providing site authentication program and the authentication management site authentication program determine whether an access request from a user can be authenticated.
[0028]
FIG. 8 is a time chart for explaining the authentication procedure in the present invention. When the client computer web browser (0801) requests access to the service providing site authentication program (0802), the service providing site authentication program (0802) executes an access request process and sends a request to the client computer web browser (0801). Requests input of ID / password. The user transmits an ID / password to the service providing site authentication program (0802) by inputting an ID / password from the client computer web browser (0801).
[0029]
The service providing site authentication program (0802) that has received the ID / password executes authentication request information transmission processing, and transmits authentication request information to the authentication management site authentication program (0803). The authentication management site authentication program (0803) executes authentication processing from the received authentication request information, and transmits authentication result information to the service providing site authentication program (0802). The service providing site authentication program (0802) executes authentication result information receiving processing based on the received authentication result information, and notifies the client computer web browser (0801) of the authentication result.
[0030]
FIG. 9 is an example of user authentication management information managed by the authentication management site. In the authentication management site, the user authentication management information is used as information for converting the user ID / password and the service providing site identification information received from the client computer web browser into the user ID / password managed by the service providing site. Maintain and manage
[0031]
FIG. 10 is an example of transmission information transmitted from the service providing site to the authentication management site. The service providing site adds service providing site identification information to the user ID / password received from the client computer web browser, and transmits the authentication request information to the authentication management site.
[0032]
FIG. 11 is an example of transmission information transmitted from the authentication management site to the service providing site. The authentication management site that has executed the authentication process adds the site-specific user ID and the site-specific password to the authentication request information as authentication result information and transmits the result to the service providing site.
[0033]
【The invention's effect】
As described above, according to the present invention, even in a case where there are a plurality of sites that provide services by individually recognizing users in a network environment, the user ID / password is integrated and managed in the authentication management site. By storing only one user ID / password, a user can access each service providing site. The user can be released from troublesome management of a large number of user IDs / passwords.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a network environment as a premise of the present invention, an authentication management site web server / service providing site web server, and a client computer.
FIG. 2 is a configuration diagram of an authentication program of a service providing site.
FIG. 3 is an authentication program configuration diagram of an authentication management site.
FIG. 4 is a flowchart of a service providing site authentication program access request process.
FIG. 5 is a flowchart of a service providing site authentication program / authentication request information transmission process.
FIG. 6 is a flowchart of a service providing site authentication program / authentication result information receiving process.
FIG. 7 is a flowchart of an authentication management site authentication program / authentication process.
FIG. 8 is a time chart illustrating an authentication procedure according to the present invention.
FIG. 9 is an example of user authentication management information managed by an authentication management site.
FIG. 10 is an example of transmission information transmitted from a service providing site to an authentication management site.
FIG. 11 is an example of transmission information transmitted from an authentication management site to a service providing site.
[Explanation of symbols]
0101,0103,0105. . . Client computers 0102, 0104, 0106. . . Web browser 0107. . . Network environment (www environment)
0108. . . Service providing site web server 0109. . . Service providing site authentication program 0110. . . Authentication management site web server 0111. . . Authentication management site authentication program 0201. . . Service providing site authentication program 0202. . . Access request processing 0203. . . Authentication request information transmission process 0204. . . Authentication result information receiving process 0301. . . Authentication management site authentication program 0302. . . Authentication process
