JP2010157012A - Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same - Google Patents
Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same Download PDFInfo
- Publication number
- JP2010157012A JP2010157012A JP2008333431A JP2008333431A JP2010157012A JP 2010157012 A JP2010157012 A JP 2010157012A JP 2008333431 A JP2008333431 A JP 2008333431A JP 2008333431 A JP2008333431 A JP 2008333431A JP 2010157012 A JP2010157012 A JP 2010157012A
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- information
- authentication
- authentication server
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明は、サービスプロバイダ装置がユーザ端末装置にサービスを提供する際に行う認証に用いる、認証システム、ユーザ端末接続サーバ装置、ユーザ端末装置、これらのプログラムに関する。 The present invention relates to an authentication system, a user terminal connection server device, a user terminal device, and a program thereof used for authentication performed when a service provider device provides a service to a user terminal device.
サービスプロバイダ装置が、ユーザ端末装置にサービスを提供する際に、ユーザ端末装置が正当なものである否か判定するために、認証を行う場合がある。この認証をサービスプロバイダ装置が直接行うのではなく、認証サーバ装置に代理認証を依頼する方式が利用されている。この方式に従えば、ユーザ端末装置が、複数のサービスプロバイダ装置を利用する際にも、同じ認証サーバ装置を利用する限りは、ユーザ端末装置は一度の認証行為で済み、サービスプロバイダ装置と認証サーバ装置間で認証行為は完了するというシングルサインオン技術がある(例えば、非特許文献1参照)。 When a service provider device provides a service to a user terminal device, authentication may be performed to determine whether the user terminal device is valid. Instead of directly performing this authentication by the service provider device, a method of requesting proxy authentication from the authentication server device is used. According to this method, even when the user terminal device uses a plurality of service provider devices, as long as the same authentication server device is used, the user terminal device only needs to be authenticated once, and the service provider device and the authentication server There is a single sign-on technique in which an authentication act is completed between devices (for example, see Non-Patent Document 1).
この方式では、サービスプロバイダ装置は、複数の認証サーバ装置が記載された認証サーバ装置リストを保有している。サービスプロバイダ装置は、ユーザ端末装置に対して、認証サーバ装置リストを提示してどの認証サーバを用いるかを選択させる。そして、ユーザ端末装置は、選択した認証サーバとの間で認証処理を行い、認証が合格すれば、サービスプロバイダ装置がユーザ端末装置にサービスを提供する。
シングルサインオン技術において、従来は悪意のあるサービスプロバイダ装置が例えば、複数の偽のサーバ装置が記載された認証サーバ装置リストを提示し選択させることで、ユーザ端末装置に偽の認証サーバ装置に誘導するという問題があった。そして、偽の認証サーバに誘導させ、ユーザに当該偽の認証サーバにユーザIDやパスワードなどの重要情報を入力させ、これを盗むといういわゆるフィッシング詐欺が存在する。フィッシング詐欺については、「”フィッシング詐欺”[online]、[平成20年11月25日検索]インターネット〈URL:http://www.eazyfox.homelinux.org/Security/Security21.html〉に記載されている。 In the single sign-on technology, conventionally, a malicious service provider device, for example, presents and selects an authentication server device list in which a plurality of fake server devices are described, and guides the user terminal device to a fake authentication server device. There was a problem to do. There is a so-called phishing scam in which a fake authentication server is guided and the user inputs important information such as a user ID and a password to the fake authentication server and steals it. The phishing scam is described in "" Phishing scam "[online], [searched on November 25, 2008] Internet <URL: http://www.eazyfox.homelinux.org/Security/Security21.html> Yes.
また、従来では、サービスプロバイダ装置が保有している認証サーバ装置リストの中から認証サーバをユーザ端末装置が選択して、サービスプロバイダ装置に伝える必要がある。そうすると、認証サーバが増加もしくは減少すると、サービスプロバイダ装置側の設定を変更する必要がある。 Further, conventionally, it is necessary for the user terminal device to select an authentication server from the authentication server device list held by the service provider device and to inform the service provider device. Then, when the authentication server increases or decreases, it is necessary to change the setting on the service provider device side.
この発明の認証システムは、第1ユーザ端末装置と、当該第1ユーザ端末装置に対してユーザ認証を行う認証サーバ装置と、当該ユーザ認証に合格すると当該第1ユーザ端末装置に対してサービス提供を行うサービスプロバイダ装置と、ユーザ端末接続サーバ装置、第2ユーザ端末装置を具備する認証システムである。第1ユーザ端末装置は、送受信部と、表示部と、を有する。送受信部は、サービス利用要求情報を前記サービスプロバイダ装置に対して送信し、処理開始情報を前記ユーザ端末接続サーバ装置に対して送信し、前記サービスプロバイダ装置からの認証要求情報を受信し、前記ユーザ端末接続サーバ装置からの個別接続一時識別情報αを受信する。表示部は、前記個別接続一時識別情報αを表示する。前記第2ユーザ端末装置は、入力部と、送受信部と、を有する。入力部には、個別接続一時識別情報αが入力される。送受信部は、接続要求情報、個別接続一時識別情報α、入力された認証サーバ情報を前記ユーザ端末接続サーバ装置に対して送信し、ユーザ端末接続サーバ装置からの個別接続一時識別情報要求情報、選択要求情報を受信する。前記ユーザ端末接続サーバ装置は、情報生成部と、記憶部と、検索部と、送受信部と、を有する。情報生成部は、個別接続一時識別情報α、自身と第1ユーザ端末装置との第1セッション情報β、自身と第2ユーザ端末装置との第2セッション情報γ、個別接続一時識別情報要求情報、認証サーバ選択要求情報を生成する。記憶部には、個別接続一時識別情報αと第1セッション情報βとが対応づけられ、当該個別接続一時識別情報αと当該第1セッション情報βに対応する第2セッション情報γとが対応付けられて記憶されている。検索部は、受信した処理開始情報の送信元の第1ユーザ端末装置についての第1セッション情報βと対応付けられた第2セッション情報γについての第2ユーザ端末接続サーバ装置の宛先を検索する。送受信部は、サービスプロバイダ装置からの認証要求情報、第1ユーザ端末装置からの処理開始情報、第2ユーザ端末装置からの接続要求情報、認証サーバ情報、個別接続一時識別情報αを受信し、第1ユーザ端末装置に対して個別接続一時識別情報α、第2ユーザ端末装置に対して個別接続一時識別情報要求情報、前記宛先を検索された第2ユーザ端末接続サーバ装置に対して認証サーバ選択要求情報を、前記第1ユーザ端末装置と認証サーバ情報が示す認証サーバ装置のうち少なくとも一方に対して認証要求情報を送信する。 An authentication system according to the present invention provides a service to a first user terminal device, an authentication server device that performs user authentication for the first user terminal device, and the first user terminal device if the user authentication is passed. An authentication system including a service provider device, a user terminal connection server device, and a second user terminal device. The first user terminal device includes a transmission / reception unit and a display unit. The transmission / reception unit transmits service use request information to the service provider device, transmits processing start information to the user terminal connection server device, receives authentication request information from the service provider device, and receives the user The individual connection temporary identification information α from the terminal connection server device is received. The display unit displays the individual connection temporary identification information α. The second user terminal device includes an input unit and a transmission / reception unit. The individual connection temporary identification information α is input to the input unit. The transmission / reception unit transmits connection request information, individual connection temporary identification information α, and input authentication server information to the user terminal connection server device, and individual connection temporary identification information request information from the user terminal connection server device, selection Receive request information. The user terminal connection server device includes an information generation unit, a storage unit, a search unit, and a transmission / reception unit. The information generation unit includes individual connection temporary identification information α, first session information β between itself and the first user terminal device, second session information γ between itself and the second user terminal device, individual connection temporary identification information request information, Generate authentication server selection request information. The storage unit associates the individual connection temporary identification information α with the first session information β, and associates the individual connection temporary identification information α with the second session information γ corresponding to the first session information β. Is remembered. A search part searches the destination of the 2nd user terminal connection server apparatus about the 2nd session information (gamma) matched with the 1st session information (beta) about the 1st user terminal device of the transmission origin of the received process start information. The transmission / reception unit receives authentication request information from the service provider device, processing start information from the first user terminal device, connection request information from the second user terminal device, authentication server information, and individual connection temporary identification information α, Individual connection temporary identification information α for one user terminal device, individual connection temporary identification information request information for a second user terminal device, and authentication server selection request for a second user terminal connection server device for which the destination has been searched The authentication request information is transmitted to at least one of the first user terminal device and the authentication server device indicated by the authentication server information.
この発明の認証システムによれば、サービスプロバイダ装置と関係のない(独立した)ユーザ端末接続サーバ装置に認証サーバリストを保持させ、認証サーバの選択をユーザ端末接続サーバ装置とユーザとの間で行わせるため、ユーザ端末接続サーバ装置は正当な認証サーバのみをユーザに紹介できるため、結果としてフィッシング詐欺が生じなくなる。また、サービスプロバイダ装置は常に、ユーザ端末接続サーバ装置に認証要求情報を送信すればよく、認証サーバが増加、減少しても、サービスプロバイダ装置側の設定(サービスプロバイダ装置が保持している認証サーバリストなど)を変更する必要がない。 According to the authentication system of the present invention, an authentication server list is held in a user terminal connection server device not related to the service provider device (independent), and an authentication server is selected between the user terminal connection server device and the user. Therefore, since the user terminal connection server device can introduce only a valid authentication server to the user, a phishing scam does not occur as a result. In addition, the service provider device only needs to always send authentication request information to the user terminal connection server device. Even if the authentication server increases or decreases, the setting on the service provider device side (the authentication server held by the service provider device) No need to change the list).
以下に、発明を実施するための最良の形態を示す。なお、同じ機能を持つ構成部や同じ処理を行う過程には同じ番号を付し、重複説明を省略する。 The best mode for carrying out the invention will be described below. In addition, the same number is attached | subjected to the process which performs the structure part which has the same function, and the same process, and duplication description is abbreviate | omitted.
図1に、この実施例1の認証システムの機能構成例を示す。また、認証方法のシーケンス図を前編、中編、後編に分け、それぞれ図2〜図4に示す。図1に示すように、実施例1の認証システム1000は、第1ユーザ端末装置100、サービスプロバイダ装置200、認証サーバ装置300、ユーザ端末接続サーバ装置400、第2ユーザ端末装置500とで構成されている。ユーザ端末接続サーバ装置400は、サービスプロバイダ装置200とは独立したものであり、サービスプロバイダ装置200が悪意のあるものであったとしても、ユーザ端末接続サーバ装置400は正当であるとする。また、図5にユーザ端末接続サーバ装置400の機能構成例を示し、図6に第1ユーザ端末装置100、サービスプロバイダ装置200、認証サーバ装置300、第2ユーザ端末装置500の機能構成例を示す。第1ユーザ端末装置100、第2ユーザ端末装置500は共にユーザが所有しているものであり、第1ユーザ端末装置100、第2ユーザ端末装置500の組み合わせは、例えば、(PC、移動通信機器(例えば携帯電話))(移動通信機器、PC)(移動通信機器、移動通信機器)(PC、PC)の4通りがある。第1ユーザ端末装置100がPCであり、第2ユーザ端末装置500が携帯電話であることが好ましい。
FIG. 1 shows a functional configuration example of the authentication system according to the first embodiment. In addition, the sequence diagram of the authentication method is divided into a first part, a middle part, and a second part, which are shown in FIGS. As illustrated in FIG. 1, the authentication system 1000 according to the first embodiment includes a first
[事前作業]
まず、実施例1の認証方法の事前作業について説明する。ユーザは第2ユーザ端末装置500に、例えばユーザ端末接続サーバ装置400から認証サーバ装置選択ソフトウェアをインストールしておく。認証サーバ装置選択ソフトウェアは他の場所からダウンロードしても良い。認証サーバ装置選択ソフトウェアをインストールした際に、第2ユーザ端末装置500はユーザ端末接続サーバ装置400のアドレスを取得しているものとする。ユーザは利用する認証サーバ装置を定めておき、認証サーバ装置は複数設定が可能である。また、ユーザはサービスプロバイダ装置200及び認証サーバ装置300にアカウントを既に持っているものとする。
[Preliminary work]
First, the prior work of the authentication method according to the first embodiment will be described. The user installs the authentication server device selection software from the user terminal
[認証作業]
次に認証作業について図2〜7を用いて説明する。まず、ユーザがサービスプロバイダ装置200のサービスを受けたい場合に、ユーザは入力部106から、当該サービスを受けたい旨の情報を入力する。そうすると、第1ユーザ端末装置100の送受信部102が、サービス利用要求情報Aをサービスプロバイダ装置に送信する(ステップS100)。サービスプロバイダ装置200の送受信部202が、サービス利用要求情報Aを受信すると、認証要求情報生成部204が、ユーザと認証サーバ装置300との間での認証を要求するための情報である認証要求情報Bを生成する。サービスプロバイダ装置の送受信部202が、認証要求情報Bを第1ユーザ端末装置100に送信するとともに、リダイレクトによりユーザ端末接続サーバ装置400にも送信する(ステップS102)。サービスプロバイダ装置200の送受信部202が直接、ユーザ端末装置100およびユーザ端末接続サーバ装置400に送信してもよい。
[Authentication]
Next, the authentication work will be described with reference to FIGS. First, when the user wants to receive the service of the
ユーザ端末接続サーバ装置400の送受信部402が、認証要求情報Bを受信すると、ユーザ端末接続サーバ装置400の情報生成部404が、個別接続一時識別情報αを生成する。また、情報生成部404はユーザ端末接続サーバ装置400自身と第1ユーザ端末装置100とのセッション情報である第1セッション情報βを生成する。そして、生成された個別接続一時識別情報αと第1セッション情報βとを対応付けて、記憶部406に記憶させる(ステップS104)。ユーザ端末接続サーバ装置400の送受信部502がステップS104で第1セッション情報βと対応づけた個別接続一時識別情報αを第1端末装置100に送信する(ステップS106)。
When the transmission /
第1ユーザ端末装置100の送受信部102が、ステップS106で送信された個別接続一時識別情報αを受信すると、表示部104により当該個別接続一時識別情報αを表示する(ステップS108)。この表示により、ユーザは当該個別接続一時識別情報αを知ることができる。またこの表示に合わせて、例えばユーザ端末装置接続完了ボタンを電子的に模写したものが表示部104に表示される。このユーザ端末装置接続完了ボタンを電子的に押すことで、第2ユーザ端末装置500とユーザ端末接続サーバ装置400とが相互接続されたこと(この段階では未だ接続されていない。)をユーザが認識すると、当該認識した旨をユーザがユーザ端末接続サーバ装置に伝えることができる。第2ユーザ端末装置接続完了ボタンは、このような旨の情報であれば何でもよい。
When the transmitting / receiving
ユーザは、表示部104により個別接続一時識別情報αが表示されたのを確認すると、第2ユーザ端末装置500内の認証サーバ選択ソフトウェアを立ち上げて、第2ユーザ端末装置500からユーザ端末接続サーバ装置400に接続要求を行う。例えば、接続要求情報生成部508が接続要求情報Cを生成し、ユーザ端末接続サーバ装置400に送信する(ステップS110)。上述の通り、第2ユーザ端末装置500は、認証サーバ選択ソフトウェアをダウンロードした際に第2ユーザ端末接続サーバ装置400のアドレスを記憶部512に保有している。ステップS110の処理である、第2ユーザ端末装置500からユーザ端末接続サーバ装置400への接続要求処理を必要とすることにより、ユーザ自らがユーザ端末接続サーバ装置400の確認をすることができ、結果として、フィッシング詐欺などを防ぐことが出来る。
When the user confirms that the individual connection temporary identification information α is displayed on the
ユーザ端末接続サーバ装置400の情報生成部404は、送信された接続要求情報Cを元に、ユーザ端末接続サーバ装置400自身とユーザ端末装置500との第2セッション情報γを生成し、当該第2セッション情報γを記憶部406に記憶させる。ユーザ端末接続サーバ装置400は第2ユーザ端末装置500に、個別接続一時識別情報αの入力を指示する(ステップS112)。具体的には、ユーザ端末接続サーバ装置400の情報生成部404が個別接続一時識別情報要求情報Dを生成し、ユーザ端末接続サーバ装置の送受信部402が、当該個別接続一時識別情報要求情報Dを前記第2ユーザ端末装置500に送信する。第2ユーザ端末装置500の送受信部502が個別接続一時識別情報要求情報Dを受信すると、個別接続一時識別情報αを入力部504から入力させる旨の表示が表示部510に表示させる。ユーザはその表示を見ると、入力部504から個別接続一時識別情報αを入力する。そして、第2ユーザ端末装置500の送受信部502が、当該入力された個別接続一時識別情報αを第2ユーザ端末接続サーバ装置400に送信する(ステップS114)。
Based on the transmitted connection request information C, the
ユーザ端末接続サーバ装置400の送受信部402が、ステップS114で送信された個別接続一時識別情報αを受信すると、ステップS114で対応付けた個別接続一時識別情報αとステップS112で生成された第2セッション情報γとを対応付けて記憶部406に記憶させる(ステップS116)。ステップS104で、個別接続一時識別情報αと第1セッション情報βとが対応づけて記憶部406に記憶されている。また、「第1ユーザ端末装置100についての当該第1セッション情報β」と、「当該第1ユーザ端末装置100についての同一ユーザが保有する第2ユーザ端末装置500についての第2セッション情報γ」との関係を「第1セッション情報β」と「第2セッション情報γ」とが対応している」という。つまり、ステップS116では、記憶部406には、個別接続一時識別情報αと第1セッション情報βとが対応づけられ、当該個別接続一時識別情報αと、「当該第1セッション情報βに対応する第2セッション情報γ」とが対応付けられて記憶される。換言すると、個別接続一時識別情報α、同一のユーザが保有する第1ユーザ端末装置100、第2ユーザ端末装置500についての第1セッション情報β、第2セッション情報γの3つが対応付けられて、記憶部406に記憶される。
When the transmission /
一方、ユーザは、ステップS114で個別接続一時識別情報αを送信した後に、
ユーザが第1ユーザ端末装置100の表示部104に表示されている第2ユーザ端末装置接続完了ボタンを押すことにより、第2ユーザ端末装置500とユーザ端末接続サーバ装置400とが相互接続されたことをユーザが認識した旨をユーザ端末接続サーバ装置400に通知するとともに、以降のユーザ端末接続サーバ装置400による処理を指示する旨の情報である処理開始情報Eをユーザ端末接続サーバ装置400に送信する(ステップS118)。
On the other hand, after the user transmits the individual connection temporary identification information α in step S114,
When the user presses the second user terminal device connection completion button displayed on the
ユーザ端末接続サーバ装置400の送受信部402が処理開始情報Eを受信すると、ユーザ端末接続サーバ装置の情報生成部404が、認証サーバ選択要求情報Fを生成する。認証サーバ選択要求情報Fは、ユーザに対して認証サーバの選択を促す情報である。ユーザ端末接続サーバ装置400の送受信部402が認証サーバ選択要求情報Fを第2ユーザ端末装置500に送信する。しかし、多数の人が第2ユーザ端末装置500を所有しており、多数の第2ユーザ端末装置500が存在するので、当該多数の第2ユーザ端末装置500のどれを選んで送信するかを説明する。
When the transmission /
上述の通り、ステップS116で、個別接続一時識別情報α、第1セッション情報β、第2セッション情報γの3つが対応付けられて、記憶部406に記憶されている。検索部408が、送信された処理開始情報Eの送信元の第1ユーザ端末装置100の第1セッション情報βについて、当該第1セッション情報βと対応する個別接続一時識別情報αを検索する。そして、検索部408は、当該個別接続一時識別情報αと対応する第2セッション情報γを検索する。検索部408により検索された第2セッション情報γについての第2ユーザ端末装置500の宛先を検索し、送受信部402は当該宛先に対して、認証サーバ選択要求情報Fを送信する(ステップS120)。
As described above, in step S116, the individual connection temporary identification information α, the first session information β, and the second session information γ are associated with each other and stored in the
第2ユーザ端末装置500の決定部506は、入力された認証サーバ情報Gを用いて、予め定められた認証サーバリストの中から認証サーバを決定する(ステップS122)。
The
認証サーバの決定方法について説明する。第1の手法として、ユーザに認証サーバ装置を選択させる手法がある。以下の説明では、認証サーバ情報Gとは、ユーザが定めた認証サーバ装置を示す旨の情報であり、例えば、認証サーバ装置の名称、およびこの認証サーバ装置のアドレスとを対応させたものである。この第1の手法では、第2ユーザ端末装置500が[事前処理]で認証サーバ選択ソフトウェアをダウンロードした際に、第2ユーザ端末装置500は、(ユーザ端末接続サーバ装置400が保持している)第2認証サーバリストを保持しているとする。第2認証サーバリストとは、1以上の認証サーバ装置と当該認証サーバ装置のアドレスとが対応づけられているものである。この場合には、第2ユーザ端末装置500はリスト提示部514を有し、当該認証サーバリストをリスト提示部514に提示し、ユーザに第2認証サーバリストに示されている認証サーバ装置のうち何れかについて選択させ、認証サーバ情報Gとして入力部504に入力させる。また、変形例としてユーザは、第2認証サーバリストを参照せずに、入力部504から直接、ユーザが希望する認証サーバ装置のアドレスなどをユーザに入力させ、これを認証サーバ情報Gとしてもよい。この変形例の場合には、リスト提示部514は必要ない。
A method for determining the authentication server will be described. As a first technique, there is a technique for allowing a user to select an authentication server device. In the following description, the authentication server information G is information indicating the authentication server device defined by the user, for example, the name of the authentication server device and the address of the authentication server device are associated with each other. . In the first method, when the second
第2の手法では、ユーザに認証サーバ装置を選択させるのではなく、第2ユーザ端末装置の決定部506が自動的に認証サーバを決定する。この第2の手法を用いる場合には、ステップS102において、サービスプロバイダ装置の送受信部202が認証要求情報Bをユーザ端末接続サーバ装置400に対して送信する際に、サービスプロバイダ装置情報Hも送信する。そして、ステップS120において、ユーザ端末接続サーバ装置400の送受信部402が認証サーバ選択要求情報Fを第2ユーザ端末装置500に送信する際に、サービスプロバイダ装置情報Hも同時に送信する。
In the second method, instead of allowing the user to select an authentication server device, the
このサービスプロバイダ装置情報Hとは、例えば、(1)認証要求しているサービスプロバイダ装置200についての情報(例えば、サービスプロバイダ装置200のURL等)や(2)サービスプロバイダ装置200が要求している認証の認証方式(例えば、SAML(Security Assertion Markup Language)やOpenID等)や(3)認証時刻(例えば現時点での時刻)などである。そのほか、サービスプロバイダ装置情報Hは、サービスプロバイダ装置200自身の情報や、サービスプロバイダ装置200が要求している認証についての情報であればなんでも良い。
The service provider device information H is, for example, (1) information (for example, URL of the service provider device 200) about the
例えば、サービスプロバイダ装置情報Hとして、(1)認証要求しているサービスプロバイダ装置200についてのURLを用いるのであれば、このURLごとに認証サーバ装置を割り振っておき、決定部506がサービスプロバイダ装置情報H(つまり、サービスプロバイダ装置のURL)を参照して、対応する認証サーバ装置を自動決定し、当該自動決定された認証サーバ装置についての認証サーバ情報Gを生成する。また、サービスプロバイダ装置情報Hとして、(2)認証方式を用いるのであれば、認証方式毎に認証サーバ装置を割り振っておき、サービスプロバイダ装置情報H(つまり、サービスプロバイダ装置が要求している認証の認証方式)を参照して、決定部506が対応する認証サーバ装置を自動決定する。また、サービスプロバイダ装置情報Hとして、(3)認証時刻を用いる場合、例えば、認証時刻が午前であれば、認証サーバ装置3001を用い、認証時刻が午後であれば、認証サーバ装置3002を用いるようにすればよい。サービスプロバイダ装置情報Hと認証サーバ装置との(1)〜(3)で述べた対応付けされた情報は、第2ユーザ端末装置の記憶部512に記憶されている。
For example, as the service provider device information H, (1) if a URL for the
次に第3の手法として、第2の手法と同様、ステップS102、ステップS120において、サービスプロバイダ装置情報Hは、サービスプロバイダ装置200からユーザ端末接続サーバ装置400を経由して、第2ユーザ端末装置500に送信される。第2ユーザ端末装置500は、リスト生成部516を有する。リスト生成部516は、サービスプロバイダ装置情報Hを用いて第2認証サーバリスト(第1の手法で説明)を生成する。第2認証サーバリストの生成手法を説明すると、[事前処理]で第2ユーザ端末装置500は、第2認証サーバリストを保持している(第1の手法で説明)。そして、この第2認証サーバリストV個の認証サーバ装置が示されている場合には、リスト生成部516は、サービスプロバイダ装置情報を用いてV’(V>V’)個の認証サーバ装置に絞込み、V’個の認証サーバ装置が示されている認証サーバリストを生成する。この生成された認証サーバリストを第2サーバリストとしてリスト提示部514で提示することでユーザに見せる。そして、ユーザは当該提示された第2サーバリストから認証サーバ装置を選択させて認証サーバ情報Gとして入力部504に入力させる。また、リスト生成部516は、V個の認証サーバ装置の絞込み作業をせず、直接V’個の認証サーバ装置が示されている認証サーバリストを生成しても良い。
Next, as a third technique, as in the second technique, in step S102 and step S120, the service provider apparatus information H is transmitted from the
以下では、第1〜3の手法により決定された認証サーバ装置を決定後認証サーバ装置300といい、第2ユーザ端末装置500の送受信部502は、決定後認証サーバ装置300の認証サーバ情報Gをユーザ端末接続サーバ装置400に対して送信する(ステップS122)。以後の説明では、認証サーバ情報Gが示す認証サーバ装置を決定後認証サーバ装置という。
Hereinafter, the authentication server device determined by the first to third methods is referred to as a post-determination
第2ユーザ端末装置500の送受信部502が、認証サーバ情報Gを受信すると、当該送受信部502は、当該認証サーバ情報Gが示す決定後認証サーバ装置300および第1ユーザ端末装置100に対して、ステップS102で受信した認証要求情報Bを送信する(ステップS124)。
When the transmission /
第2ユーザ端末装置500の送受信部502は、第1ユーザ端末装置100および決定後認証サーバ装置300のうち少なくとも一方に、認証要求情報Bを送信する。また、第2ユーザ端末装置500の送受信部502は、第1ユーザ端末装置100に認証要求情報Bを送信し、リダイレクトにより認証要求情報Bを決定後認証サーバ装置300に送信する。また、第2ユーザ端末装置500の送受信部502は認証要求情報Bを直接、決定後認証サーバ装置300および第1ユーザ端末装置100に対して送信しても良い。
The transmission /
そして、決定後認証サーバ装置300は、認証要求情報Bを受信した第1ユーザ端末装置100と、ユーザ認証を行う(ステップS126)。ユーザ認証の方式は、例えば、パスワード認証などの公知技術を用いれば良い。以上が、本実施例の認証方法である。
Then, the post-determination
[サービス提供]
そして、認証サーバ装置300の認証部304が、上記認証処理の結果を示す認証結果情報Jを生成し、送受信部302で、認証結果情報Jを第1ユーザ端末装置100とサービスプロバイダ装置200に送信する。認証結果情報Jを第1ユーザ端末装置100に送信してリダイレクトにより、サービスプロバイダ装置200に送信してもよい。そして、認証合格であれば(ステップS130)、サービスプロバイダ装置200の提供部206が第1ユーザ端末装置100に対して、サービスを提供する(ステップS132)。また、認証不合格であれば、提供部206はサービスを提供することなく、終了する。
[Service delivery]
Then, the
従来は、サービスプロバイダ装置が認証サーバリストを保有していたため、悪意のあるサービスプロバイダ装置がユーザに、偽の認証サーバ装置を紹介し、当該偽の認証サーバ装置にユーザID、パスワードなどを入力させるというフィッシング詐欺が存在していた。本実施例では、サービスプロバイダ装置と全く関係のない(独立した)第2ユーザ端末装置接続サーバ装置を新たに追加させ、当該第2ユーザ端末装置接続サーバ装置に認証サーバリストを保有させ、第2ユーザ端末装置に認証サーバ装置を選択させる。従って、サービスプロバイダ装置に悪意があったとしても、第1ユーザ端末装置は偽の認証サーバ装置を紹介されることは有り得ず、フィッシング詐欺が生じることもない。 Conventionally, since a service provider device has an authentication server list, a malicious service provider device introduces a fake authentication server device to a user and causes the fake authentication server device to input a user ID, a password, and the like. There was a phishing scam. In the present embodiment, a second user terminal device connection server device that is completely unrelated to the service provider device (independent) is newly added, the second user terminal device connection server device has an authentication server list, and the second The user terminal device is made to select an authentication server device. Therefore, even if the service provider device is malicious, the first user terminal device cannot be introduced with a fake authentication server device, and no phishing scam occurs.
また、本実施例1の認証方法の構成であれば、サービスプロバイダ装置200は、認証要求を常に第2端末接続サーバ装置400に送信すればよい。これにより、例えば、認証サーバが増加、減少した場合であっても、サービスプロバイダ装置側の設定(認証サーバリストなど)を変更する必要がない。
In the configuration of the authentication method according to the first embodiment, the
また、認証サーバ情報Gとして、上述した(2)認証方式を用いて、決定部506による、認証サーバ装置の決定を自動化を行うことで、サービスプロバイダ装置200は認証方式(SAML方式、OpenID方式などの標準化方式)に関わらず認証要求を第2端末接続サーバ装置400に送信すればよい。その結果、サービスプロバイダ装置200の処理負担が軽減しつつ、第2端末接続サーバ装置400側がそれぞれの認証方式にあった認証サーバ装置への接続を行うことができ、結果としてサービスプロバイダ装置が所望する認証方式による認証を行うことができる。
Further, by using the above-described (2) authentication method as the authentication server information G, the
実施例2の認証方法は、実施例1の認証方法にサービスプロバイダ装置200が、ユーザが選択した認証サーバ装置でよいか否かを判断するステップを追加したものである。これにより、実施例1の認証方法と比較して、正確な認証を行うことができる。実施例1の認証方法と比較して、認証方法の前編(図2)後編(図4)が変わっており、実施例2の認証方法の後編を図7に示す。前編については図2を用いる。中編については実施例1と同一なので、説明を省略する。実施例1の認証方法と相違している部分のみ説明する。
The authentication method according to the second embodiment is obtained by adding a step in which the
実施例1では、ステップS102において、サービスプロバイダ装置200の送受信部202が、サービス利用要求情報Aを受信すると、「認証要求情報B」を第1ユーザ端末装置とユーザ端末接続サーバ装置に送信するが、実施例2では、ステップS102’として、サービスプロバイダ装置200の送受信部202が、サービス利用要求情報Aを受信すると、「認証サーバ提示要求情報K」を第1ユーザ端末装置とユーザ端末接続サーバ装置に送信する。認証サーバ提示要求情報Kとは、サービスプロバイダ装置200に、どの認証サーバ装置を用いてユーザ認証をするかの提示を要求するための情報である。
In the first embodiment, when the transmission /
また、ステップS104では、ユーザ端末接続サーバ装置400の送受信部402が、「認証サーバ提示要求情報K」を受信すると、ユーザ端末接続サーバ装置400の情報生成部404が、個別接続一時識別情報α、および自身と前記第1ユーザ端末装置との第1セッション情報βを生成する。
In step S104, when the transmission /
ステップS124において、実施例1では第2ユーザ端末装置500の送受信部502が、認証要求情報Bを決定後認証サーバ装置300と第1ユーザ端末装置100に送信したが、実施例2ではステップS124’として、ユーザ端末接続サーバ装置400の送受信部402が認証サーバ情報Gをユーザ端末装置100に送信し、リダイレクトにより、サービスプロバイダ装置200にも送信する。ユーザ端末装置100には送信しなくても良い。
In step S124, in the first embodiment, the transmission /
また、この実施例2では、サービスプロバイダ装置200は、記憶部210に第1認証サーバリストを保有している。この第1認証サーバリストとは、サービスプロバイダ装置200が認証処理を依頼して良いとされている1以上の認証サーバ装置が示されているものである。
In the second embodiment, the
サービスプロバイダ装置200の送受信部202が認証サーバ情報Gを受信すると、判断部208が、第1認証サーバリストを参照して、認証サーバ情報Gが示す認証サーバ装置が当該第1認証サーバリストに示されているか否か、つまり、当該認証サーバ情報Gが示す認証サーバ装置に認証処理を依頼して良いか否かを確認する。判断部208は、当該確認に基づき、送受信部202に、受信した認証サーバ情報についての決定後認証サーバ装置300と第1ユーザ端末装置100のうち、少なくとも一方に認証要求情報を送信させるか否かを判断する。例えば、判断部208が、「認証サーバ情報Gが示す認証サーバ装置が当該第1認証サーバリストに示されている」と確認すると、決定後の認証サーバ装置を決定後認証サーバ装置300として、サービスプロバイダ装置200の送受信部402は、認証要求情報Bを決定後認証サーバ装置300と第1ユーザ端末装置100のうち少なくとも一方に対して認証要求情報を送信する。
When the transmission /
送受信部402が両方に送る場合には第1ユーザ端末装置100に送信し、リダイレクトにより決定後認証サーバ装置300に送信する。そして、ステップS126によりユーザ端末装置100と決定後認証サーバ装置300との認証処理が行われる。判断部208が、「認証サーバ情報Gが示す認証サーバ装置が当該第1認証サーバリストに示されていない」と確認すると、処理を終了させるか、再度ユーザに対して認証サーバ装置を選択させる等をし、送受信部202に認証要求情報を送信させない。
When the transmission /
この実施例2のように、サービスプロバイダ装置200が、ユーザが選択した認証サーバ装置でよいか否かを判断するステップを含ませることで、実施例1の認証方法と比較して、正確な認証を行うことができる。
As in the second embodiment, the
この実施例3では、ユーザ端末接続サーバ装置400に、確認部410を具備させ、記憶部406に第3認証サーバリストを保持させる。第3認証サーバリストには、ユーザ端末接続サーバ装置400が認証処理を行わせても良い認証サーバが示されている。
In the third embodiment, the user terminal
ステップS122において、ユーザ端末接続サーバ装置400が、第2ユーザ端末装置からの認証サーバ情報Gを受信すると、ステップS124において、ユーザ端末接続サーバ装置400の判断部410は、受信した認証サーバ情報が示す認証サーバ装置が、第3認証サーバリストに示されているか否かを確認する。そして、当該確認に基づき、ユーザ端末接続サーバ装置400の送受信部410に第1ユーザ端末装置100と決定後認証サーバ装置300の少なくとも一方に対して認証要求情報Bを送信させるか否かを判断する。
In step S122, when user terminal
実施例1の構成である場合に、判断部410が、「受信した認証サーバ情報が示す認証サーバ装置が第3認証サーバリストに示されていない」と確認すると、送受信部410に認証要求情報Bを送信させず、処理を終了させたり、第2ユーザ端末装置500に再度、認証サーバ情報Gを入力させる等すればよい。
If the
また、判断部410が「受信した認証サーバ情報が示す認証サーバ装置が第3認証サーバリストに示されている」と確認すると、送信部410に認証要求情報Bを送信させる。
If
また、実施例2の構成である場合に、判断部410が、「受信した認証サーバ情報が示す認証サーバ装置が第3認証サーバリストに示されていない」と確認すると、送受信部410にサービスプロバイダ装置200に対して当該認証サーバ情報Gを送信させず、サービスプロバイダ装置200に、認証サーバ装置300が適切でない旨を示すエラー信号を送信する等すればよい。
In the configuration of the second embodiment, when the
また、判断部410が、「受信した認証サーバ情報が示す認証サーバ装置が第3認証サーバリストに示されている」と確認すると、送受信部410にサービスプロバイダ装置200に対して当該認証サーバ情報Gを送信させる。
If the
このように、ユーザ端末接続サーバ装置400に判断部410を具備させることで、より適切な認証サーバ装置の選択を行うことができる。
Thus, by providing the user terminal
なお、実施例1〜3において、第1ユーザ端末装置100と第2ユーザ端末装置500とを統合させて実施することも可能である。
In the first to third embodiments, the first
<ハードウェア構成>
本発明は上述の実施の形態に限定されるものではない。また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
<Hardware configuration>
The present invention is not limited to the above-described embodiment. In addition, the various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary. Needless to say, other modifications are possible without departing from the spirit of the present invention.
また、ユーザ端末接続サーバ装置400、ユーザ端末装置(第2ユーザ端末装置)500としてコンピュータを動作させる残響プログラムを構成することが可能であるまた、当該プログラムを記録したコンピュータ読み取り可能な記録媒体を構成することも可能である。このように、コンピュータによって実現する場合、ユーザ端末接続サーバ装置400、ユーザ端末装置(第2ユーザ端末装置)500が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、処理機能がコンピュータ上で実現される。
Moreover, it is possible to configure a reverberation program that causes a computer to operate as the user terminal
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが、具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。 The program describing the processing contents can be recorded on a computer-readable recording medium. The computer-readable recording medium may be any medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, or a semiconductor memory. Specifically, for example, the magnetic recording device may be a hard disk device or a flexible Discs, magnetic tapes, etc. as optical disks, DVD (Digital Versatile Disc), DVD-RAM (Random Access Memory), CD-ROM (Compact Disc Read Only Memory), CD-R (Recordable) / RW (ReWritable), etc. As the magneto-optical recording medium, MO (Magneto-Optical disc) or the like can be used, and as the semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory) or the like can be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads the program stored in its own recording medium and executes the process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.
また、本実施例で説明したユーザ端末接続サーバ装置400、ユーザ端末装置(第2ユーザ端末装置)500は、CPU(Central Processing Unit)、入力部、出力部、補助記憶装置、RAM(Random Access Memory)、ROM(Read Only Memory)及びバスを有している(何れも図示せず)。
In addition, the user terminal
CPUは、読み込まれた各種プログラムに従って様々な演算処理を実行する。補助記憶装置は、例えば、ハードディスク、MO(Magneto-Optical disc)、半導体メモリ等であり、RAMは、SRAM(Static Random Access Memory)、DRAM (Dynamic Random Access Memory)等である。また、バスは、CPU、入力部、出力部、補助記憶装置、RAM及びROMを通信可能に接続している。 The CPU executes various arithmetic processes according to the read various programs. The auxiliary storage device is, for example, a hard disk, an MO (Magneto-Optical disc), a semiconductor memory, or the like, and the RAM is an SRAM (Static Random Access Memory), a DRAM (Dynamic Random Access Memory), or the like. The bus connects the CPU, the input unit, the output unit, the auxiliary storage device, the RAM, and the ROM so that they can communicate with each other.
<ハードウェアとソフトウェアとの協働>
本実施例の単語追加装置は、上述のようなハードウェアに所定のプログラムが読み込まれ、CPUがそれを実行することによって構築される。以下、このように構築される各装置の機能構成を説明する。
<Cooperation between hardware and software>
The word adding device of this embodiment is constructed by reading a predetermined program into the hardware as described above and executing it by the CPU. The functional configuration of each device constructed in this way will be described below.
ユーザ端末接続サーバ装置400の情報生成部404、検索部408、判断部410、第2ユーザ端末装置500の決定部506、接続要求情報生成部508、
は、所定のプログラムがCPUに読み込まれ、実行されることによって構築される演算部である。記憶部406、記憶部512は上記補助記憶装置として機能する。また、それぞれの送受信部は、各装置がバスなどにより接続されインターフェースとして機能する。リスト提示部514はディスプレイとして機能する。
Is a calculation unit constructed by reading a predetermined program into the CPU and executing it. The
Claims (13)
前記第1ユーザ端末装置は、
サービス利用要求情報を前記サービスプロバイダ装置に対して送信し、処理開始情報を前記ユーザ端末接続サーバ装置に対して送信し、前記サービスプロバイダ装置からの認証要求情報を受信し、前記ユーザ端末接続サーバ装置からの個別接続一時識別情報αを受信する送受信部と、
前記個別接続一時識別情報αを表示する表示部と、を有し、
前記第2ユーザ端末装置は、
個別接続一時識別情報αが入力される入力部と、
接続要求情報、個別接続一時識別情報α、入力された認証サーバ情報を前記ユーザ端末接続サーバ装置に対して送信し、ユーザ端末接続サーバ装置からの個別接続一時識別情報要求情報、認証サーバ選択要求情報を受信する送受信部と、を有し、
前記ユーザ端末接続サーバ装置は、
個別接続一時識別情報α、自身と第1ユーザ端末装置との第1セッション情報β、自身と第2ユーザ端末装置との第2セッション情報γ、個別接続一時識別情報要求情報、認証サーバ選択要求情報を生成する情報生成部と、
個別接続一時識別情報αと第1セッション情報βとが対応づけられ、当該個別接続一時識別情報αと当該第1セッション情報βに対応する第2セッション情報γとが対応付けられて記憶される記憶部と、
受信した処理開始情報の送信元の第1ユーザ端末装置についての第1セッション情報βと対応付けられた第2セッション情報γについての第2ユーザ端末接続サーバ装置の宛先を検索する検索部と、
サービスプロバイダ装置からの認証要求情報、第1ユーザ端末装置からの処理開始情報、第2ユーザ端末装置からの接続要求情報、認証サーバ情報、個別接続一時識別情報αを受信し、第1ユーザ端末装置に対して個別接続一時識別情報α、第2ユーザ端末装置に対して個別接続一時識別情報要求情報、前記宛先を検索された第2ユーザ端末装置に対して認証サーバ選択要求情報を、前記第1ユーザ端末装置と認証サーバ情報が示す認証サーバ装置(以下、「決定後認証サーバ装置」という。)のうち少なくとも一方に対して認証要求情報を送信する送受信部と、を有する認証システム。 A first user terminal device, an authentication server device that performs user authentication for the first user terminal device, a service provider device that provides a service to the first user terminal device if the user authentication is successful, and a user In an authentication system comprising a terminal connection server device and a second user terminal device,
The first user terminal device
Service usage request information is transmitted to the service provider device, processing start information is transmitted to the user terminal connection server device, authentication request information from the service provider device is received, and the user terminal connection server device A transmission / reception unit for receiving individual connection temporary identification information α from
A display unit for displaying the individual connection temporary identification information α,
The second user terminal device
An input unit to which the individual connection temporary identification information α is input;
Connection request information, individual connection temporary identification information α, and input authentication server information are transmitted to the user terminal connection server device, and individual connection temporary identification information request information and authentication server selection request information from the user terminal connection server device And a transmission / reception unit for receiving
The user terminal connection server device is:
Individual connection temporary identification information α, first session information β between itself and the first user terminal device, second session information γ between itself and the second user terminal device, individual connection temporary identification information request information, authentication server selection request information An information generation unit for generating
The individual connection temporary identification information α and the first session information β are associated with each other, and the individual connection temporary identification information α and the second session information γ corresponding to the first session information β are stored in association with each other. And
A search unit for searching for a destination of the second user terminal connection server device for the second session information γ associated with the first session information β for the first user terminal device that is the transmission source of the received process start information;
The authentication request information from the service provider device, the processing start information from the first user terminal device, the connection request information from the second user terminal device, the authentication server information, and the individual connection temporary identification information α are received, and the first user terminal device The individual connection temporary identification information α for the second user terminal device, the individual connection temporary identification information request information for the second user terminal device, the authentication server selection request information for the second user terminal device searched for the destination, An authentication system comprising: a user terminal device; and a transmission / reception unit that transmits authentication request information to at least one of authentication server devices indicated by authentication server information (hereinafter referred to as “post-determination authentication server device”).
前記ユーザ端末接続サーバ装置の送受信部は、前記第1ユーザ端末装置と決定後認証サーバ装置のうち少なくとも一方に対して認証要求情報を送信するのではなく、前記サービスプロバイダ装置に対して決定後認証サーバ装置についての認証サーバ情報を送信するものであり、
前記サービスプロバイダ装置は、更に、
受信した認証サーバ情報が示す認証サーバ装置が、第1認証サーバリストに示されているか否かを確認し、当該確認に基づき、送受信部に、受信した認証サーバ情報についての決定後認証サーバ装置と前記第1ユーザ端末装置のうち、少なくとも一方に認証要求情報を送信させるか否かを判断する判断部を有することを特徴とする認証システム。 The authentication system according to claim 1,
The transmitting / receiving unit of the user terminal connection server device does not transmit authentication request information to at least one of the first user terminal device and the determined authentication server device, but authenticates the service provider device after the determination. It sends authentication server information about the server device,
The service provider device further includes:
Confirm whether or not the authentication server device indicated by the received authentication server information is shown in the first authentication server list, and based on the confirmation, the transmitting and receiving unit An authentication system, comprising: a determination unit configured to determine whether at least one of the first user terminal devices transmits authentication request information.
前記ユーザ端末接続サーバ装置は、更に、
受信した認証サーバ情報が示す認証サーバ装置が、第3認証サーバリストに示されているか否かを確認し、当該確認に基づき、前記ユーザ端末接続サーバ装置の送受信部に前記第1ユーザ端末装置と認証サーバ情報が示す認証サーバ装置の少なくとも一方に対して認証要求情報を送信させるか否かを判断する判断部を有することを特徴とする認証システム。 The authentication system according to claim 1,
The user terminal connection server device further includes:
Check whether the authentication server device indicated by the received authentication server information is shown in the third authentication server list, and based on the confirmation, send / receive unit of the user terminal connection server device to the first user terminal device An authentication system comprising: a determination unit that determines whether or not to transmit authentication request information to at least one of the authentication server devices indicated by the authentication server information.
前記ユーザ端末接続サーバ装置は、
更に、受信した認証サーバ情報が示す認証サーバ装置が、第3認証サーバリストに示されているか否かを確認し、当該確認に基づき、前記ユーザ端末接続サーバ装置の送受信部に前記サービスプロバイダ装置に対して当該認証サーバ情報を送信させるか否かを判断する判断部を有することを特徴とする認証システム。 The authentication system according to claim 2,
The user terminal connection server device is:
Further, it is confirmed whether or not the authentication server device indicated by the received authentication server information is shown in the third authentication server list, and based on the confirmation, the transmission / reception unit of the user terminal connection server device is notified to the service provider device. An authentication system comprising: a determination unit that determines whether or not to transmit the authentication server information.
前記第2ユーザ端末装置の送受信部は、前記サービスプロバイダ装置についてのサービスプロバイダ装置情報を受信するものであり、
前記第2ユーザ端末装置は、更に、
前記サービスプロバイダ装置情報を用いて認証サーバ情報を生成する決定部を有することを特徴とする認証システム。 An authentication system according to any one of claims 1 to 4,
The transmission / reception unit of the second user terminal device receives service provider device information about the service provider device,
The second user terminal device further includes:
An authentication system comprising: a determination unit that generates authentication server information using the service provider apparatus information.
前記認証サーバ情報は、前記入力部から入力されるものであることを特徴とする認証システム。 An authentication system according to any one of claims 1 to 4,
The authentication system, wherein the authentication server information is input from the input unit.
前記第2ユーザ端末装置は、認証サーバが示されている第2認証サーバリストを提示するリスト提示部を有し、
前記認証サーバ情報は、前記第2認証サーバリストに示されている認証サーバ装置のうち何れかについて示すものであることを特徴とする認証システム。 The authentication system according to claim 6,
The second user terminal device has a list presenting unit for presenting a second authentication server list in which an authentication server is shown;
2. The authentication system according to claim 1, wherein the authentication server information indicates any of the authentication server devices indicated in the second authentication server list.
前記第2ユーザ端末装置の送受信部は、前記サービスプロバイダ装置についてのサービスプロバイダ装置情報を受信するものであり、
前記第2ユーザ端末装置は、更に、
前記サービスプロバイダ装置情報を用いて前記第2認証サーバリストを生成するリスト生成部を有することを特徴とする認証システム。 The authentication system according to claim 7,
The transmission / reception unit of the second user terminal device receives service provider device information about the service provider device,
The second user terminal device further includes:
An authentication system comprising: a list generation unit configured to generate the second authentication server list using the service provider apparatus information.
個別接続一時識別情報αと第1セッション情報βとが対応づけられ、当該個別接続一時識別情報αと当該第1セッション情報βに対応する第2セッション情報γとが対応付けられて記憶されている記憶部と、
受信した処理開始情報の送信元の第1ユーザ端末装置についての第1セッション情報βと対応付けられた第2セッション情報γについての第2ユーザ端末接続サーバ装置の宛先を検索する検索部と、
サービスプロバイダ装置からの認証要求情報、第1ユーザ端末装置からの処理開始情報、第2ユーザ端末装置からの接続要求情報、認証サーバ情報、個別接続一時識別情報αを受信し、第1ユーザ端末装置に対して個別接続一時識別情報α、第2ユーザ端末装置に対して個別接続一時識別情報要求情報、前記宛先を検索された第2ユーザ端末接続サーバ装置に認証サーバ選択要求情報を、第1ユーザ端末装置と認証サーバ情報が示す認証サーバ装置のうち少なくとも一方に対して認証要求情報を送信する送受信部と、を有するユーザ端末接続サーバ装置。 Individual connection temporary identification information α, first session information β between itself and the first user terminal device, second session information γ between itself and the second user terminal device, individual connection temporary identification information request information, authentication server selection request information An information generation unit for generating
The individual connection temporary identification information α and the first session information β are associated with each other, and the individual connection temporary identification information α and the second session information γ corresponding to the first session information β are stored in association with each other. A storage unit;
A search unit for searching for a destination of the second user terminal connection server device for the second session information γ associated with the first session information β for the first user terminal device that is the transmission source of the received process start information;
The authentication request information from the service provider device, the processing start information from the first user terminal device, the connection request information from the second user terminal device, the authentication server information, and the individual connection temporary identification information α are received, and the first user terminal device The individual connection temporary identification information α for the second user terminal device, the individual connection temporary identification information request information for the second user terminal device, the authentication server selection request information for the second user terminal connection server device searched for the destination, and the first user. A user terminal connection server device comprising: a transmission / reception unit that transmits authentication request information to at least one of the terminal device and the authentication server device indicated by the authentication server information.
前記送受信部は、
第1ユーザ端末装置と認証サーバ情報が示す認証サーバ装置のうち少なくとも一方に認証要求情報を送信するのではなく、前記サービスプロバイダ装置に対して認証要求情報を送信するものであることを特徴とするユーザ端末接続サーバ装置。 The user terminal connection server device according to claim 9,
The transceiver unit is
The authentication request information is not transmitted to at least one of the first user terminal device and the authentication server device indicated by the authentication server information, but the authentication request information is transmitted to the service provider device. User terminal connection server device.
更に、受信した認証サーバ情報が示す認証サーバ装置が、第3認証サーバリストに示されていないものである場合には、その認証サーバ装置を決定後認証サーバ装置としない確認部を有することを特徴とするユーザ端末接続サーバ装置。 The user terminal connection server device according to claim 9 or 10,
Furthermore, when the authentication server device indicated by the received authentication server information is not shown in the third authentication server list, the authentication server device has a confirmation unit that does not determine the authentication server device after the determination. A user terminal connection server device.
接続要求情報、個別接続一時識別情報α、入力された認証サーバ情報を前記ユーザ端末接続サーバ装置に対して送信し、ユーザ端末接続サーバ装置からの個別接続一時識別情報要求情報、選択要求情報、サービスプロバイダ装置についてのサービスプロバイダ装置情報を受信する送受信部と、
前記サービスプロバイダ装置情報を用いて認証サーバ情報を生成する決定部と、を有することを特徴とするユーザ端末装置。 An input unit to which the individual connection temporary identification information α is input;
Connection request information, individual connection temporary identification information α, and inputted authentication server information are transmitted to the user terminal connection server device, and individual connection temporary identification information request information, selection request information, service from the user terminal connection server device A transceiver for receiving service provider device information about the provider device; and
And a determination unit that generates authentication server information using the service provider device information.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008333431A JP2010157012A (en) | 2008-12-26 | 2008-12-26 | Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008333431A JP2010157012A (en) | 2008-12-26 | 2008-12-26 | Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010157012A true JP2010157012A (en) | 2010-07-15 |
Family
ID=42574924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008333431A Pending JP2010157012A (en) | 2008-12-26 | 2008-12-26 | Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010157012A (en) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004342088A (en) * | 2003-04-21 | 2004-12-02 | Sony Corp | Terminal apparatus authentication system, terminal apparatus, first sorting server, sorting system, service server, second sorting server, terminal apparatus method, first sorting method, sorting method, service provision method, service server method, first sorting method, second sorting method, terminal apparatus program, first sorting program, sorting program, service server program, second sorting program, and storage medium |
| JP2005275604A (en) * | 2004-03-23 | 2005-10-06 | Ntt Docomo Inc | Access control system and access control method |
| JP2005535006A (en) * | 2002-05-24 | 2005-11-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | User authentication methods for service provider services |
| JP2008003697A (en) * | 2006-06-20 | 2008-01-10 | Canon Inc | Information processor, information processing method, computer program, and recording medium |
| JP2008226200A (en) * | 2007-03-16 | 2008-09-25 | Kddi Corp | Authentication system |
| JP2008282212A (en) * | 2007-05-10 | 2008-11-20 | Mitsubishi Electric Corp | Authentication device and authentication system |
-
2008
- 2008-12-26 JP JP2008333431A patent/JP2010157012A/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005535006A (en) * | 2002-05-24 | 2005-11-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | User authentication methods for service provider services |
| JP2004342088A (en) * | 2003-04-21 | 2004-12-02 | Sony Corp | Terminal apparatus authentication system, terminal apparatus, first sorting server, sorting system, service server, second sorting server, terminal apparatus method, first sorting method, sorting method, service provision method, service server method, first sorting method, second sorting method, terminal apparatus program, first sorting program, sorting program, service server program, second sorting program, and storage medium |
| JP2005275604A (en) * | 2004-03-23 | 2005-10-06 | Ntt Docomo Inc | Access control system and access control method |
| JP2008003697A (en) * | 2006-06-20 | 2008-01-10 | Canon Inc | Information processor, information processing method, computer program, and recording medium |
| JP2008226200A (en) * | 2007-03-16 | 2008-09-25 | Kddi Corp | Authentication system |
| JP2008282212A (en) * | 2007-05-10 | 2008-11-20 | Mitsubishi Electric Corp | Authentication device and authentication system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4729651B2 (en) | Authentication apparatus, authentication method, and authentication program implementing the method | |
| US8381181B2 (en) | Updating a workflow when a user reaches an impasse in the workflow | |
| JP2012098814A (en) | Information processor and program | |
| CN111404921B (en) | Webpage application access method, device, equipment, system and storage medium | |
| CN111031111B (en) | Page static resource access method, device and system | |
| US9619510B2 (en) | Information processing apparatus and computer-readable medium storing information processing program | |
| WO2019159894A1 (en) | Authentication approval information integration device and authentication approval information integration method | |
| CN108495316B (en) | Wireless connection method and device | |
| JP2010165306A (en) | Method and system for providing service, proxy device, program therefor | |
| US20060279795A1 (en) | Program recording medium recorded with facsimile driver program | |
| JP4573559B2 (en) | Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program | |
| JP2010157012A (en) | Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same | |
| US10121173B2 (en) | Method and apparatus for transmitting and receiving application/content based on purchase information | |
| JP5116123B2 (en) | Communication system, portal server, service server, communication method and program | |
| JP5697330B2 (en) | Authentication server and method for performing multi-factor authentication | |
| JP4563775B2 (en) | Authentication information automatic input device, method and program | |
| JP6956233B1 (en) | Information processing equipment, information processing methods, and information processing programs | |
| US10805176B2 (en) | SW framework support method for open IPMI and DCMI development | |
| JP2005115535A (en) | Sign-on system and sign-on server | |
| JP3842696B2 (en) | Screen transition control system, client, web server, screen transition control method, and computer program | |
| JP6508901B2 (en) | Authentication system | |
| JP5073974B2 (en) | Web site construction system | |
| JP2017062627A (en) | Authentication processing system, authentication processing method and authentication processing program | |
| JP2005182139A (en) | Identification information and password management device | |
| JP5090419B2 (en) | Session management system, content server, and portable terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110228 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110810 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130129 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130528 |