ネットワーク認証システム、ネットワーク認証方法およびプログラム
【課題】通信プロトコルに依存しないネットワーク認証システム、ネットワーク認証方法およびプログラムを提供する。
【解決手段】ユーザ端末が、認証サーバへ認証要求を送信し、認証サーバが、受信した認証要求に対して、認証を行う。認証サーバは、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、作成したファイルをユーザ端末に送信する。ユーザ端末は、受信したファイルを格納し、機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。そして、機能提供サーバは、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信し、認証サーバが、受信したIDに基づいて、前記認証用ファイル自体の有効性を確認するとともに、確認結果を機能提供サーバに送信する。そして、機能提供サーバが、確認が完了した後に、情報提供を行う。
【解決手段】ユーザ端末が、認証サーバへ認証要求を送信し、認証サーバが、受信した認証要求に対して、認証を行う。認証サーバは、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、作成したファイルをユーザ端末に送信する。ユーザ端末は、受信したファイルを格納し、機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。そして、機能提供サーバは、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信し、認証サーバが、受信したIDに基づいて、前記認証用ファイル自体の有効性を確認するとともに、確認結果を機能提供サーバに送信する。そして、機能提供サーバが、確認が完了した後に、情報提供を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信プロトコルに依存しないネットワーク認証システム、ネットワーク認証方法およびプログラムに関する。
【背景技術】
【0002】
インターネット上のサービス利用における認証手法として、ブラウザを活用する場合には、認証クッキーを利用する手法がある(例えば、非特許文献1参照。)。これは、ユーザの端末をクライアントとし、サービス提供側のサーバをサーバとするクライアントサーバシステムにおいて、サーバがユーザを何らかの手法(例えばID/パスワード)で認証した際に、認証クッキーと呼ばれるユーザの状態を示すファイルをクライアント側で作成し、以降の認証には、そのファイルを利用することにより行う。しかしながら、このクッキーを利用した認証状態の継続は、ブラウザで利用することが前提となっている。
【0003】
一方で、近年、端末の小型化や、ネットワークのユビキタス化により屋内のみならず屋外でも、携帯可能な端末を介してサービスを享受する機会が増加している。このため、ある端末から別の端末に移行してサービス提供を受けるような場合や、異なるサービスが連携してサービスを提供するようなサービスの利用形態が想定されている。
【0004】
こうしたサービス利用において、セキュリティ機能を提供するためには、端末側とネットワーク側とでの連携が必要となり、そのためのプラットフォーム技術の構築が求められている。こうしたプラットフォームでの端末とネットワーク側での通信では、ブラウザを利用しないケースも想定されるため、先のクッキーによる認証をそのまま利用できない可能性がある。
【0005】
また、このプラットフォーム技術の1つの利用例として、サービス提供者側での認証の手間を軽減するシングルサインオンの技術がある。このブラウザリダイレクトを利用する場合の、シングルサインオンの概要を図6に示す。
【0006】
このシステムは、図6に示すように、ユーザ端末1と、認証サーバ2と、サービス提供サーバ3とから構成されており、その処理は、次のようになる。まず、ユーザ端末1がサービス提供サーバ3にサービスの利用要求を送信する。具体的には、ユーザ端末1上で、サービスサイトのトップ画面にアクセスする(図中の(1))。
【0007】
サービス提供サーバ3は、リダイレクトにより、認証サーバ2のサイトへ誘導する(図中の(2))。これにより、ユーザ端末1上に認証用画面が表示される(図中の(3))。ユーザは、認証画面に認証のための情報として、IDやパスワード等必要な情報を入力する(図中の(4))。
【0008】
認証サーバ2による認証が完了すると、認証サーバ2から認証クッキーが送信され、ユーザ端末1は、これを保存する(図中の(5))。次に、リダイレクトにより、サービス提供サーバ3へ誘導されるとともに、認証サーバ2からサービス提供サーバ3へユーザの認証状態が通知される(図中の(6))。ユーザの認証状態が通知されたサービス提供サーバ3は、ユーザ端末1にサービスを提供するとともに、サービス提供用のクッキーを保存する(図中の(7))。このように、ブラウザの利用を前提としてシングルサイオンが実現し、その過程で認証のためのクッキーがユーザ端末1に保持されていることとなる。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】RFC 2965 HTTP State Management Mechanism.Oct、2000.
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、上記のようにインターネット上でのサービス利用におけるクッキーを利用したユーザ認証は、ブラウザでの利用を前提としているため、ブラウザ非依存の通信手法において当該技術を利用することが困難であるという問題がある。また、端末のためのプラットフォーム技術では、端末とネットワーク側との通信において、ブラウザ非依存の通信を利用する可能性がある。
【0011】
そこで、本発明は、上述の課題に鑑みてなされたものであり、通信プロトコルに依存しないネットワーク認証システム、ネットワーク認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0013】
(1)本発明は、ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムであって、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1の送信手段(例えば、図2の認証要求送信部11に相当)を備え、前記認証サーバが、受信した認証要求に対して、認証を行う認証処理手段(例えば、図3の認証処理部22に相当)と、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成するファイル作成手段(例えば、図3のファイル作成部23に相当)と、該作成したファイルを前記ユーザ端末に送信する第2の送信手段(例えば、図3の認証ファイル送信部24に相当)と、を備え、前記ユーザ端末が、受信した前記ファイルを格納する格納手段(例えば、図2のファイル格納部13に相当)と、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第3の送信手段(例えば、図2の認証要求送信部14に相当)と、を備え、前記機能提供サーバが、認証ファイルの検証を行う検証手段(例えば、図4の認証検証部42に相当)と、前記認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第4の送信手段と、を備え、前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する確認手段と、該確認結果を前記機能提供サーバに送信する第5の送信手段と、を備え、前記機能提供サーバが、該確認が完了した後に、情報提供を行う情報提供手段(例えば、図4の情報提供部45に相当)と、を備えたことを特徴とするネットワーク認証システムを提案している。
【0014】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからユーザ認証されており、ユーザ端末の第1の送信手段が、認証サーバへ認証要求を送信し、認証サーバ認証処理手段が、受信した認証要求に対して、認証を行い、ファイル作成手段が、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、第2の送信手段が、作成したファイルをユーザ端末に送信する。また、ユーザ端末の格納手段が、受信したファイルを格納し、第3の送信手段が機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。機能提供サーバの検証手段は、認証ファイルの検証を行い、第4の送信手段は、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する。認証サーバの確認手段は、受信した前記IDに基づいて、認証用ファイル自体の有効性を確認し、第5の送信手段は、確認結果を機能提供サーバに送信する。そして、機能提供サーバの情報提供手段は、確認が完了した後に、情報提供を行う。したがって、異なるサーバが連携してサービスや機能を提供する場合においても、新たなサーバとユーザ端末との認証については、ブラウザに依存することなく、ユーザの認証を行うことができる。また、機能提供サーバでのファイルの検証の際に、認証用ファイル自体の有効性を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0015】
(2)本発明は、(1)のネットワーク認証システムについて、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからシングルサインオンによりユーザ認証されていることを特徴とする請求項1に記載のネットワーク認証システムを提案している。
【0016】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからシングルサインオンによりユーザ認証されている。したがって、ユーザ端末とサービス提供サーバの間では、ブラウザリダイレクトを用いるシングルサインオンによるユーザ認証が行われている場合であっても、機能提供サーバとの認証においては、ブラウザに依存しないプロトコルを利用することが可能となる。
【0017】
(3)本発明は、(1)のネットワーク認証システムについて、前記ユーザを識別するためのファイルがクッキーファイルであることを特徴とするネットワーク認証システムを提案している。
【0018】
この発明によれば、ユーザを識別するためのファイルがクッキーファイルである。したがって、ユーザ端末とサービス提供サーバの間では、ブラウザリダイレクトを用いるシングルサインオンによるユーザ認証が利用でき、機能提供サーバとの認証においては、別の認証用ファイルを用いることにより、ブラウザに依存しないプロトコルを利用することが可能となる。
【0019】
(4)本発明は、(1)のネットワーク認証システムについて、前記認証用ファイルに、少なくともユーザの識別子、ユーザの認証情報、有効期限、認証サーバの署名が含まれていることを特徴とするネットワーク認証システムを提案している。
【0020】
この発明によれば、認証用ファイルに、少なくともユーザの識別子、ユーザの認証情報、有効期限、認証サーバの署名が含まれている。したがって、このファイルを交換することによって、ブラウザに依存しなくても、機能提供サーバでの認証を正確に実行することができる。
【0021】
(5)本発明は、(4)のネットワーク認証システムについて、前記検証手段が、認証サーバの署名、ユーザの識別子および有効期限を確認することにより検証を行うことを特徴とするネットワーク認証システムを提案している。
【0022】
この発明によれば、認証サーバの署名、ユーザの識別子および有効期限を確認することにより検証を行う。したがって、認証サーバにおける認証の正当性を確認しつつ、ユーザと有効期限とを特定して認証処理を行うことができる。
【0023】
(6)本発明は、(1)のネットワーク認証システムについて、前記確認手段が、前記IDに基づいて、前記認証用ファイルの失効確認を行うことを特徴とするネットワーク認証システムを提案している。
【0024】
この発明によれば、確認手段が、IDに基づいて、認証用ファイルの失効確認を行う。したがって、機能提供サーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0025】
(7)本発明は、(1)のネットワーク認証システムについて、前記ユーザ端末と機能提供サーバとの間には、安全な通信路が形成されていることを特徴とするネットワーク認証システムを提案している。
【0026】
この発明によれば、ユーザ端末と機能提供サーバとの間には、安全な通信路が形成されている。したがって、ユーザ端末と機能提供サーバとの間で、交換される認証用ファイルの漏洩を防止して、ユーザのプライバシーを保護することができる。
【0027】
(8)本発明は、ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法であって、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップ(例えば、図5のステップS101に相当)と、前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップ(例えば、図5のステップS102に相当)と、前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップ(例えば、図5のステップS103に相当)と、前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップ(例えば、図5のステップS104に相当)と、前記ユーザ端末が、受信した前記ファイルを格納する第5のステップ(例えば、図5のステップS105に相当)と、前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップ(例えば、図5のステップS106に相当)と、前記機能提供サーバが、認証ファイルの検証を行う第7のステップ(例えば、図5のステップS107に相当)と、前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップ(例えば、図5のステップS108に相当)と、前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップ(例えば、図5のステップS109に相当)と、前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップ(例えば、図5のステップS110に相当)と、前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップ(例えば、図5のステップS111に相当)と、を備えたことを特徴とするネットワーク認証方法を提案している。
【0028】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからユーザ認証されており、ユーザ端末が、認証サーバへ認証要求を送信し、認証サーバが、受信した認証要求に対して、認証を行う。認証サーバは、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、作成したファイルをユーザ端末に送信する。ユーザ端末は、受信したファイルを格納し、機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。機能提供サーバは、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信し、認証サーバが、受信したIDに基づいて、前記認証用ファイル自体の有効性を確認するとともに、確認結果を機能提供サーバに送信する。そして、機能提供サーバが、確認が完了した後に、情報提供を行う。したがって、異なるサーバが連携してサービスや機能を提供する場合においても、新たなサーバとユーザ端末との認証については、ブラウザに依存することなく、ユーザの認証を行うことができる。また、機能提供サーバでのファイルの検証の際に、認証用ファイル自体の有効性を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0029】
(9)本発明は、ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法をコンピュータに実行させるためのプログラムであって、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップ(例えば、図5のステップS101に相当)と、前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップ(例えば、図5のステップS102に相当)と、前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップ(例えば、図5のステップS103に相当)と、前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップ(例えば、図5のステップS104に相当)と、前記ユーザ端末が、受信した前記ファイルを格納する第5のステップ(例えば、図5のステップS105に相当)と、前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップ(例えば、図5のステップS106に相当)と、前記機能提供サーバが、認証ファイルの検証を行う第7のステップ(例えば、図5のステップS107に相当)と、前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップ(例えば、図5のステップS108に相当)と、前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップ(例えば、図5のステップS109に相当)と、前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップ(例えば、図5のステップS110に相当)と、前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップ(例えば、図5のステップS111に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0030】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからユーザ認証されており、ユーザ端末が、認証サーバへ認証要求を送信し、認証サーバが、受信した認証要求に対して、認証を行う。認証サーバは、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、作成したファイルをユーザ端末に送信する。ユーザ端末は、受信したファイルを格納し、機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。機能提供サーバは、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信し、認証サーバが、受信したIDに基づいて、前記認証用ファイル自体の有効性を確認するとともに、確認結果を機能提供サーバに送信する。そして、機能提供サーバが、確認が完了した後に、情報提供を行う。したがって、異なるサーバが連携してサービスや機能を提供する場合においても、新たなサーバとユーザ端末との認証については、ブラウザに依存することなく、ユーザの認証を行うことができる。また、機能提供サーバでのファイルの検証の際に、認証用ファイル自体の有効性を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【発明の効果】
【0031】
本発明によれば、ブラウザリダイレクトを用いるシングルサインオンであっても、別途機能を提供する機能提供サーバとの認証において、非ブラウザ依存のプロトコルを利用することが可能となるという効果がある。また、機能提供サーバにおいて認証サーバの署名を検証することができるため、高速に認証を完了することができるという効果がある。さらに、機能提供のサーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できるという効果がある。
【図面の簡単な説明】
【0032】
【図1】本実施形態に係るネットワーク認証システムの構成を示す図である。
【図2】本実施形態に係るユーザ端末の構成を示す図である。
【図3】本実施形態に係る認証サーバの構成を示す図である。
【図4】本実施形態に係る機能提供サーバの構成を示す図である。
【図5】本実施形態に係るネットワーク認証システムの処理を示す図である。
【図6】シングルサインオンを実行するシステムの構成および処理を説明するための図である。
【発明を実施するための形態】
【0033】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0034】
図1から図5を用いて、本実施形態に係るネットワーク認証システムについて説明する。
【0035】
<ネットワーク認証システムの構成>
図1を用いて、本実施形態に係るネットワーク認証システムの構成について説明する。
【0036】
本実施形態に係るネットワーク認証システムは、ユーザ端末1と、認証サーバ2と、サービス提供サーバ3と、機能提供サーバ4とから構成されている。ここで、ユーザ端末1とサービス提供サーバ3との間は、認証サーバ2を介したシングルサインオンにより、ユーザ認証がなされている。
【0037】
また、機能提供サーバ4は、シングルサインオンや、その後のサービ利用などのセッションの管理や、ユーザの情報、サービス利用時の状態などの管理を行う。本実施形態にネットワーク認証システムは、ユーザ端末1とサービス提供サーバ3との間で、認証サーバ2を介したシングルサインオンにより用いられたクッキーファイルを利用できないユーザ端末1と機能提供サーバ4とのユーザ認証をブラウザに依存しないプロトコルを用いて実行するものである。なお、ユーザ端末1と機能提供サーバ4との間には、安全な通信路が形成されている。これにより、ユーザ端末1と機能提供サーバ4との間で、交換される認証用ファイルの漏洩を防止して、ユーザのプライバシーを保護することができる。さらに、機能提供のサーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0038】
<ユーザ端末の構成>
図2を用いて、本実施形態に係るユーザ端末の構成について説明する。
【0039】
本実施形態に係るユーザ端末は、図2に示すように、認証要求送信部11と、受信部12と、ファイル格納部13と、認証要求送信部14とから構成されている。
【0040】
認証要求送信部11は、認証サーバ2へ認証要求を送信する。受信部12は、認証サーバ2における認証処理の完了後に、作成したユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイル(例えば、クッキーファイル)と認証用ファイルとを受信する。
【0041】
ファイル格納部13は、受信部12が受信したユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイル(例えば、クッキーファイル)と認証用ファイルとを格納する。認証要求送信部14は、機能提供サーバ4に対して、認証用ファイルとともに、認証要求を送信する。
【0042】
<認証サーバの構成>
図3を用いて、本実施形態に係る認証サーバの構成について説明する。
【0043】
本実施形態に係る認証サーバは、図3に示すように、認証要求受信部21と、認証処理部22と、ファイル作成部23と、認証ファイル送信部24と、ID受信部25と、有効性確認部26と、有効性送信部27とから構成されている。
【0044】
認証要求受信部21は、ユーザ端末1から認証用ファイルとともに、認証要求を受信する。認証処理部22は、受信した認証用ファイルに基づいて、ユーザ認証を実行する。ファイル作成部23は、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイル(例えば、クッキーファイル)と認証用ファイルとを作成する。なお、認証用ファイルには、ユーザの識別子、ユーザの認証状態(認証済みであること)と、有効期限が記されており、認証サーバの署名が施されている。認証ファイル送信部24は、作成したファイルをユーザ端末1に送信する。
【0045】
ID受信部25は、機能提供サーバ4が認証用ファイル自体の有効性を確認するために、その確認要求とともに、一意のIDを受信する。有効性確認部26は、受信したIDに基づき、失効リストを検索して、失効確認を行うことにより、認証用ファイル自体の有効性を確認する。有効性送信部27は、確認結果、すなわち、認証用ファイルの失効状態を機能提供サーバ4に送信する。
【0046】
<機能提供サーバの構成>
図4を用いて、本実施形態に係る機能提供サーバの構成について説明する。
【0047】
本実施形態に係る機能提供サーバは、図4に示すように、認証要求受信部41と、認証検証部42と、ID送信部43と、確認結果受信部44と、情報提供部45とから構成されている。
【0048】
認証要求受信部41は、ユーザ端末1から認証用ファイルとともに、認証要求を受信する。認証検証部42は、された認証用ファイルの署名を検証し、その正当性を確認する。その後、認証用ファイル内に記されているユーザのIDと有効期限を確認し、ユーザの認証を完了する。
【0049】
ID送信部43は、認証用ファイル自体の有効性を確認するために、その確認要求とともに、一意のIDを送信する。確認結果受信部44は、認証サーバ2から認証用ファイルの有効性に関する確認結果を受信する。情報提供部45は、認証用ファイルの有効性が確認された後に、プラットフォームの機能を提供する。
【0050】
<ネットワーク認証システムの処理>
図5を用いて、本実施形態に係る機能提供サーバの処理について説明する。
【0051】
まず、前提条件として、ユーザ端末1は、サービス提供サーバ3からのサービスの提供に関して、認証サーバ2からユーザ認証されている。ユーザ端末1は、認証サーバ2へIDとパスワード等とともに認証要求を送信する(ステップS101)。認証サーバ2は、受信した認証要求に対して、認証を行い(ステップS102)、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する(ステップS103)。そして、認証サーバ2は、作成したファイルをユーザ端末1に送信する(ステップS104)。
【0052】
ユーザ端末1は、受信したこれらのファイルを格納し(ステップS105)、機能提供サーバ4に対して、認証用ファイルとともに、認証要求を送信する(ステップS106)。機能提供サーバ4は、認証ファイルの検証を行い(ステップS107)、認証用ファイルの有効性を確認するために、一意のIDとともに、確認要求を送信する(ステップS108)。
【0053】
認証サーバ2は、受信したIDに基づき、失効リストを検索して、失効確認を行うことにより、認証用ファイル自体の有効性を確認し(ステップS109)、有効性に関する確認結果を通知する(ステップS110)。そして、機能提供サーバ4は、認証用ファイルの有効性が確認された後に、プラットフォームの機能を提供する(ステップS111)。
【0054】
したがって、本実施形態によれば、ブラウザリダイレクトを用いるシングルサインオンであっても、別途機能を提供する機能提供サーバとの認証において、非ブラウザ依存のプロトコルを利用することが可能となる。また、機能提供サーバにおいて認証サーバの署名を検証することができるため、高速に認証を完了することができる。さらに、機能提供のサーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0055】
なお、ネットワーク認証システムの処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをユーザ端末、認証サーバおよび機能提供サーバに読み込ませ、実行することによって本発明のネットワーク認証システムを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0056】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0057】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0058】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0059】
1;ユーザ端末
2;認証サーバ
3;サービス提供サーバ
4;機能提供サーバ
11;認証要求送信部
12;受信部
13;ファイル格納部
14;認証要求送信部
21;認証要求受信部
22;認証処理部
23;ファイル作成部
24;認証ファイル送信部
25;ID受信部
26;有効性確認部
27;有効性送信部
41;認証要求受信部
42;認証検証部
43;ID送信部
44;結果受信部
45;情報提供部
【技術分野】
【0001】
本発明は、通信プロトコルに依存しないネットワーク認証システム、ネットワーク認証方法およびプログラムに関する。
【背景技術】
【0002】
インターネット上のサービス利用における認証手法として、ブラウザを活用する場合には、認証クッキーを利用する手法がある(例えば、非特許文献1参照。)。これは、ユーザの端末をクライアントとし、サービス提供側のサーバをサーバとするクライアントサーバシステムにおいて、サーバがユーザを何らかの手法(例えばID/パスワード)で認証した際に、認証クッキーと呼ばれるユーザの状態を示すファイルをクライアント側で作成し、以降の認証には、そのファイルを利用することにより行う。しかしながら、このクッキーを利用した認証状態の継続は、ブラウザで利用することが前提となっている。
【0003】
一方で、近年、端末の小型化や、ネットワークのユビキタス化により屋内のみならず屋外でも、携帯可能な端末を介してサービスを享受する機会が増加している。このため、ある端末から別の端末に移行してサービス提供を受けるような場合や、異なるサービスが連携してサービスを提供するようなサービスの利用形態が想定されている。
【0004】
こうしたサービス利用において、セキュリティ機能を提供するためには、端末側とネットワーク側とでの連携が必要となり、そのためのプラットフォーム技術の構築が求められている。こうしたプラットフォームでの端末とネットワーク側での通信では、ブラウザを利用しないケースも想定されるため、先のクッキーによる認証をそのまま利用できない可能性がある。
【0005】
また、このプラットフォーム技術の1つの利用例として、サービス提供者側での認証の手間を軽減するシングルサインオンの技術がある。このブラウザリダイレクトを利用する場合の、シングルサインオンの概要を図6に示す。
【0006】
このシステムは、図6に示すように、ユーザ端末1と、認証サーバ2と、サービス提供サーバ3とから構成されており、その処理は、次のようになる。まず、ユーザ端末1がサービス提供サーバ3にサービスの利用要求を送信する。具体的には、ユーザ端末1上で、サービスサイトのトップ画面にアクセスする(図中の(1))。
【0007】
サービス提供サーバ3は、リダイレクトにより、認証サーバ2のサイトへ誘導する(図中の(2))。これにより、ユーザ端末1上に認証用画面が表示される(図中の(3))。ユーザは、認証画面に認証のための情報として、IDやパスワード等必要な情報を入力する(図中の(4))。
【0008】
認証サーバ2による認証が完了すると、認証サーバ2から認証クッキーが送信され、ユーザ端末1は、これを保存する(図中の(5))。次に、リダイレクトにより、サービス提供サーバ3へ誘導されるとともに、認証サーバ2からサービス提供サーバ3へユーザの認証状態が通知される(図中の(6))。ユーザの認証状態が通知されたサービス提供サーバ3は、ユーザ端末1にサービスを提供するとともに、サービス提供用のクッキーを保存する(図中の(7))。このように、ブラウザの利用を前提としてシングルサイオンが実現し、その過程で認証のためのクッキーがユーザ端末1に保持されていることとなる。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】RFC 2965 HTTP State Management Mechanism.Oct、2000.
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、上記のようにインターネット上でのサービス利用におけるクッキーを利用したユーザ認証は、ブラウザでの利用を前提としているため、ブラウザ非依存の通信手法において当該技術を利用することが困難であるという問題がある。また、端末のためのプラットフォーム技術では、端末とネットワーク側との通信において、ブラウザ非依存の通信を利用する可能性がある。
【0011】
そこで、本発明は、上述の課題に鑑みてなされたものであり、通信プロトコルに依存しないネットワーク認証システム、ネットワーク認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0013】
(1)本発明は、ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムであって、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1の送信手段(例えば、図2の認証要求送信部11に相当)を備え、前記認証サーバが、受信した認証要求に対して、認証を行う認証処理手段(例えば、図3の認証処理部22に相当)と、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成するファイル作成手段(例えば、図3のファイル作成部23に相当)と、該作成したファイルを前記ユーザ端末に送信する第2の送信手段(例えば、図3の認証ファイル送信部24に相当)と、を備え、前記ユーザ端末が、受信した前記ファイルを格納する格納手段(例えば、図2のファイル格納部13に相当)と、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第3の送信手段(例えば、図2の認証要求送信部14に相当)と、を備え、前記機能提供サーバが、認証ファイルの検証を行う検証手段(例えば、図4の認証検証部42に相当)と、前記認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第4の送信手段と、を備え、前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する確認手段と、該確認結果を前記機能提供サーバに送信する第5の送信手段と、を備え、前記機能提供サーバが、該確認が完了した後に、情報提供を行う情報提供手段(例えば、図4の情報提供部45に相当)と、を備えたことを特徴とするネットワーク認証システムを提案している。
【0014】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからユーザ認証されており、ユーザ端末の第1の送信手段が、認証サーバへ認証要求を送信し、認証サーバ認証処理手段が、受信した認証要求に対して、認証を行い、ファイル作成手段が、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、第2の送信手段が、作成したファイルをユーザ端末に送信する。また、ユーザ端末の格納手段が、受信したファイルを格納し、第3の送信手段が機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。機能提供サーバの検証手段は、認証ファイルの検証を行い、第4の送信手段は、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する。認証サーバの確認手段は、受信した前記IDに基づいて、認証用ファイル自体の有効性を確認し、第5の送信手段は、確認結果を機能提供サーバに送信する。そして、機能提供サーバの情報提供手段は、確認が完了した後に、情報提供を行う。したがって、異なるサーバが連携してサービスや機能を提供する場合においても、新たなサーバとユーザ端末との認証については、ブラウザに依存することなく、ユーザの認証を行うことができる。また、機能提供サーバでのファイルの検証の際に、認証用ファイル自体の有効性を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0015】
(2)本発明は、(1)のネットワーク認証システムについて、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからシングルサインオンによりユーザ認証されていることを特徴とする請求項1に記載のネットワーク認証システムを提案している。
【0016】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからシングルサインオンによりユーザ認証されている。したがって、ユーザ端末とサービス提供サーバの間では、ブラウザリダイレクトを用いるシングルサインオンによるユーザ認証が行われている場合であっても、機能提供サーバとの認証においては、ブラウザに依存しないプロトコルを利用することが可能となる。
【0017】
(3)本発明は、(1)のネットワーク認証システムについて、前記ユーザを識別するためのファイルがクッキーファイルであることを特徴とするネットワーク認証システムを提案している。
【0018】
この発明によれば、ユーザを識別するためのファイルがクッキーファイルである。したがって、ユーザ端末とサービス提供サーバの間では、ブラウザリダイレクトを用いるシングルサインオンによるユーザ認証が利用でき、機能提供サーバとの認証においては、別の認証用ファイルを用いることにより、ブラウザに依存しないプロトコルを利用することが可能となる。
【0019】
(4)本発明は、(1)のネットワーク認証システムについて、前記認証用ファイルに、少なくともユーザの識別子、ユーザの認証情報、有効期限、認証サーバの署名が含まれていることを特徴とするネットワーク認証システムを提案している。
【0020】
この発明によれば、認証用ファイルに、少なくともユーザの識別子、ユーザの認証情報、有効期限、認証サーバの署名が含まれている。したがって、このファイルを交換することによって、ブラウザに依存しなくても、機能提供サーバでの認証を正確に実行することができる。
【0021】
(5)本発明は、(4)のネットワーク認証システムについて、前記検証手段が、認証サーバの署名、ユーザの識別子および有効期限を確認することにより検証を行うことを特徴とするネットワーク認証システムを提案している。
【0022】
この発明によれば、認証サーバの署名、ユーザの識別子および有効期限を確認することにより検証を行う。したがって、認証サーバにおける認証の正当性を確認しつつ、ユーザと有効期限とを特定して認証処理を行うことができる。
【0023】
(6)本発明は、(1)のネットワーク認証システムについて、前記確認手段が、前記IDに基づいて、前記認証用ファイルの失効確認を行うことを特徴とするネットワーク認証システムを提案している。
【0024】
この発明によれば、確認手段が、IDに基づいて、認証用ファイルの失効確認を行う。したがって、機能提供サーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0025】
(7)本発明は、(1)のネットワーク認証システムについて、前記ユーザ端末と機能提供サーバとの間には、安全な通信路が形成されていることを特徴とするネットワーク認証システムを提案している。
【0026】
この発明によれば、ユーザ端末と機能提供サーバとの間には、安全な通信路が形成されている。したがって、ユーザ端末と機能提供サーバとの間で、交換される認証用ファイルの漏洩を防止して、ユーザのプライバシーを保護することができる。
【0027】
(8)本発明は、ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法であって、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップ(例えば、図5のステップS101に相当)と、前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップ(例えば、図5のステップS102に相当)と、前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップ(例えば、図5のステップS103に相当)と、前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップ(例えば、図5のステップS104に相当)と、前記ユーザ端末が、受信した前記ファイルを格納する第5のステップ(例えば、図5のステップS105に相当)と、前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップ(例えば、図5のステップS106に相当)と、前記機能提供サーバが、認証ファイルの検証を行う第7のステップ(例えば、図5のステップS107に相当)と、前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップ(例えば、図5のステップS108に相当)と、前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップ(例えば、図5のステップS109に相当)と、前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップ(例えば、図5のステップS110に相当)と、前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップ(例えば、図5のステップS111に相当)と、を備えたことを特徴とするネットワーク認証方法を提案している。
【0028】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからユーザ認証されており、ユーザ端末が、認証サーバへ認証要求を送信し、認証サーバが、受信した認証要求に対して、認証を行う。認証サーバは、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、作成したファイルをユーザ端末に送信する。ユーザ端末は、受信したファイルを格納し、機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。機能提供サーバは、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信し、認証サーバが、受信したIDに基づいて、前記認証用ファイル自体の有効性を確認するとともに、確認結果を機能提供サーバに送信する。そして、機能提供サーバが、確認が完了した後に、情報提供を行う。したがって、異なるサーバが連携してサービスや機能を提供する場合においても、新たなサーバとユーザ端末との認証については、ブラウザに依存することなく、ユーザの認証を行うことができる。また、機能提供サーバでのファイルの検証の際に、認証用ファイル自体の有効性を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0029】
(9)本発明は、ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法をコンピュータに実行させるためのプログラムであって、前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップ(例えば、図5のステップS101に相当)と、前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップ(例えば、図5のステップS102に相当)と、前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップ(例えば、図5のステップS103に相当)と、前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップ(例えば、図5のステップS104に相当)と、前記ユーザ端末が、受信した前記ファイルを格納する第5のステップ(例えば、図5のステップS105に相当)と、前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップ(例えば、図5のステップS106に相当)と、前記機能提供サーバが、認証ファイルの検証を行う第7のステップ(例えば、図5のステップS107に相当)と、前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップ(例えば、図5のステップS108に相当)と、前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップ(例えば、図5のステップS109に相当)と、前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップ(例えば、図5のステップS110に相当)と、前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップ(例えば、図5のステップS111に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0030】
この発明によれば、ユーザ端末は、サービス提供サーバからのサービスの提供に関して、認証サーバからユーザ認証されており、ユーザ端末が、認証サーバへ認証要求を送信し、認証サーバが、受信した認証要求に対して、認証を行う。認証サーバは、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成し、作成したファイルをユーザ端末に送信する。ユーザ端末は、受信したファイルを格納し、機能提供サーバに対して、認証用ファイルとともに、認証要求を送信する。機能提供サーバは、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信し、認証サーバが、受信したIDに基づいて、前記認証用ファイル自体の有効性を確認するとともに、確認結果を機能提供サーバに送信する。そして、機能提供サーバが、確認が完了した後に、情報提供を行う。したがって、異なるサーバが連携してサービスや機能を提供する場合においても、新たなサーバとユーザ端末との認証については、ブラウザに依存することなく、ユーザの認証を行うことができる。また、機能提供サーバでのファイルの検証の際に、認証用ファイル自体の有効性を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【発明の効果】
【0031】
本発明によれば、ブラウザリダイレクトを用いるシングルサインオンであっても、別途機能を提供する機能提供サーバとの認証において、非ブラウザ依存のプロトコルを利用することが可能となるという効果がある。また、機能提供サーバにおいて認証サーバの署名を検証することができるため、高速に認証を完了することができるという効果がある。さらに、機能提供のサーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できるという効果がある。
【図面の簡単な説明】
【0032】
【図1】本実施形態に係るネットワーク認証システムの構成を示す図である。
【図2】本実施形態に係るユーザ端末の構成を示す図である。
【図3】本実施形態に係る認証サーバの構成を示す図である。
【図4】本実施形態に係る機能提供サーバの構成を示す図である。
【図5】本実施形態に係るネットワーク認証システムの処理を示す図である。
【図6】シングルサインオンを実行するシステムの構成および処理を説明するための図である。
【発明を実施するための形態】
【0033】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0034】
図1から図5を用いて、本実施形態に係るネットワーク認証システムについて説明する。
【0035】
<ネットワーク認証システムの構成>
図1を用いて、本実施形態に係るネットワーク認証システムの構成について説明する。
【0036】
本実施形態に係るネットワーク認証システムは、ユーザ端末1と、認証サーバ2と、サービス提供サーバ3と、機能提供サーバ4とから構成されている。ここで、ユーザ端末1とサービス提供サーバ3との間は、認証サーバ2を介したシングルサインオンにより、ユーザ認証がなされている。
【0037】
また、機能提供サーバ4は、シングルサインオンや、その後のサービ利用などのセッションの管理や、ユーザの情報、サービス利用時の状態などの管理を行う。本実施形態にネットワーク認証システムは、ユーザ端末1とサービス提供サーバ3との間で、認証サーバ2を介したシングルサインオンにより用いられたクッキーファイルを利用できないユーザ端末1と機能提供サーバ4とのユーザ認証をブラウザに依存しないプロトコルを用いて実行するものである。なお、ユーザ端末1と機能提供サーバ4との間には、安全な通信路が形成されている。これにより、ユーザ端末1と機能提供サーバ4との間で、交換される認証用ファイルの漏洩を防止して、ユーザのプライバシーを保護することができる。さらに、機能提供のサーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0038】
<ユーザ端末の構成>
図2を用いて、本実施形態に係るユーザ端末の構成について説明する。
【0039】
本実施形態に係るユーザ端末は、図2に示すように、認証要求送信部11と、受信部12と、ファイル格納部13と、認証要求送信部14とから構成されている。
【0040】
認証要求送信部11は、認証サーバ2へ認証要求を送信する。受信部12は、認証サーバ2における認証処理の完了後に、作成したユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイル(例えば、クッキーファイル)と認証用ファイルとを受信する。
【0041】
ファイル格納部13は、受信部12が受信したユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイル(例えば、クッキーファイル)と認証用ファイルとを格納する。認証要求送信部14は、機能提供サーバ4に対して、認証用ファイルとともに、認証要求を送信する。
【0042】
<認証サーバの構成>
図3を用いて、本実施形態に係る認証サーバの構成について説明する。
【0043】
本実施形態に係る認証サーバは、図3に示すように、認証要求受信部21と、認証処理部22と、ファイル作成部23と、認証ファイル送信部24と、ID受信部25と、有効性確認部26と、有効性送信部27とから構成されている。
【0044】
認証要求受信部21は、ユーザ端末1から認証用ファイルとともに、認証要求を受信する。認証処理部22は、受信した認証用ファイルに基づいて、ユーザ認証を実行する。ファイル作成部23は、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイル(例えば、クッキーファイル)と認証用ファイルとを作成する。なお、認証用ファイルには、ユーザの識別子、ユーザの認証状態(認証済みであること)と、有効期限が記されており、認証サーバの署名が施されている。認証ファイル送信部24は、作成したファイルをユーザ端末1に送信する。
【0045】
ID受信部25は、機能提供サーバ4が認証用ファイル自体の有効性を確認するために、その確認要求とともに、一意のIDを受信する。有効性確認部26は、受信したIDに基づき、失効リストを検索して、失効確認を行うことにより、認証用ファイル自体の有効性を確認する。有効性送信部27は、確認結果、すなわち、認証用ファイルの失効状態を機能提供サーバ4に送信する。
【0046】
<機能提供サーバの構成>
図4を用いて、本実施形態に係る機能提供サーバの構成について説明する。
【0047】
本実施形態に係る機能提供サーバは、図4に示すように、認証要求受信部41と、認証検証部42と、ID送信部43と、確認結果受信部44と、情報提供部45とから構成されている。
【0048】
認証要求受信部41は、ユーザ端末1から認証用ファイルとともに、認証要求を受信する。認証検証部42は、された認証用ファイルの署名を検証し、その正当性を確認する。その後、認証用ファイル内に記されているユーザのIDと有効期限を確認し、ユーザの認証を完了する。
【0049】
ID送信部43は、認証用ファイル自体の有効性を確認するために、その確認要求とともに、一意のIDを送信する。確認結果受信部44は、認証サーバ2から認証用ファイルの有効性に関する確認結果を受信する。情報提供部45は、認証用ファイルの有効性が確認された後に、プラットフォームの機能を提供する。
【0050】
<ネットワーク認証システムの処理>
図5を用いて、本実施形態に係る機能提供サーバの処理について説明する。
【0051】
まず、前提条件として、ユーザ端末1は、サービス提供サーバ3からのサービスの提供に関して、認証サーバ2からユーザ認証されている。ユーザ端末1は、認証サーバ2へIDとパスワード等とともに認証要求を送信する(ステップS101)。認証サーバ2は、受信した認証要求に対して、認証を行い(ステップS102)、認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する(ステップS103)。そして、認証サーバ2は、作成したファイルをユーザ端末1に送信する(ステップS104)。
【0052】
ユーザ端末1は、受信したこれらのファイルを格納し(ステップS105)、機能提供サーバ4に対して、認証用ファイルとともに、認証要求を送信する(ステップS106)。機能提供サーバ4は、認証ファイルの検証を行い(ステップS107)、認証用ファイルの有効性を確認するために、一意のIDとともに、確認要求を送信する(ステップS108)。
【0053】
認証サーバ2は、受信したIDに基づき、失効リストを検索して、失効確認を行うことにより、認証用ファイル自体の有効性を確認し(ステップS109)、有効性に関する確認結果を通知する(ステップS110)。そして、機能提供サーバ4は、認証用ファイルの有効性が確認された後に、プラットフォームの機能を提供する(ステップS111)。
【0054】
したがって、本実施形態によれば、ブラウザリダイレクトを用いるシングルサインオンであっても、別途機能を提供する機能提供サーバとの認証において、非ブラウザ依存のプロトコルを利用することが可能となる。また、機能提供サーバにおいて認証サーバの署名を検証することができるため、高速に認証を完了することができる。さらに、機能提供のサーバでのファイルの検証の際に、当該ファイルの失効状態を認証サーバが確認するため、認証ファイルの有効性を厳密に確認できる。
【0055】
なお、ネットワーク認証システムの処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをユーザ端末、認証サーバおよび機能提供サーバに読み込ませ、実行することによって本発明のネットワーク認証システムを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0056】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0057】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0058】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0059】
1;ユーザ端末
2;認証サーバ
3;サービス提供サーバ
4;機能提供サーバ
11;認証要求送信部
12;受信部
13;ファイル格納部
14;認証要求送信部
21;認証要求受信部
22;認証処理部
23;ファイル作成部
24;認証ファイル送信部
25;ID受信部
26;有効性確認部
27;有効性送信部
41;認証要求受信部
42;認証検証部
43;ID送信部
44;結果受信部
45;情報提供部
【特許請求の範囲】
【請求項1】
ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムであって、
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、
前記ユーザ端末が、
前記認証サーバへ認証要求を送信する第1の送信手段を備え、
前記認証サーバが、
受信した認証要求に対して、認証を行う認証処理手段と、
該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成するファイル作成手段と、
該作成したファイルを前記ユーザ端末に送信する第2の送信手段と、を備え、
前記ユーザ端末が、
受信した前記ファイルを格納する格納手段と、
前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第3の送信手段と、を備え、
前記機能提供サーバが、
前記認証用ファイルの検証を行う検証手段と、
前記認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第4の送信手段と、
を備え、
前記認証サーバが、
受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する確認手段と、
該確認結果を前記機能提供サーバに送信する第5の送信手段と、
を備え、
前記機能提供サーバが、該確認が完了した後に、情報提供を行う情報提供手段と、
を備えたことを特徴とするネットワーク認証システム。
【請求項2】
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからシングルサインオンによりユーザ認証されていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項3】
前記ユーザを識別するためのファイルがクッキーファイルであることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項4】
前記認証用ファイルに、少なくともユーザの識別子、ユーザの認証情報、有効期限、認証サーバの署名が含まれていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項5】
前記検証手段が、認証サーバの署名、ユーザの識別子および有効期限を確認することにより検証を行うことを特徴とする請求項4に記載のネットワーク認証システム。
【請求項6】
前記確認手段が、前記IDに基づいて、前記認証用ファイルの失効確認を行うことを特徴とする請求項1に記載のネットワーク認証システム。
【請求項7】
前記ユーザ端末と機能提供サーバとの間には、安全な通信路が形成されていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項8】
ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法であって、
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、
前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップと、
前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップと、
前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップと、
前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップと、
前記ユーザ端末が、受信した前記ファイルを格納する第5のステップと、
前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップと、
前記機能提供サーバが、認証ファイルの検証を行う第7のステップと、
前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップと、
前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップと、
前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップと、
前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップと、
を備えたことを特徴とするネットワーク認証方法。
【請求項9】
ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法をコンピュータに実行させるためのプログラムであって、
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、
前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップと、
前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップと、
前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップと、
前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップと、
前記ユーザ端末が、受信した前記ファイルを格納する第5のステップと、
前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップと、
前記機能提供サーバが、認証ファイルの検証を行う第7のステップと、
前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップと、
前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップと、
前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップと、
前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップと、
をコンピュータに実行させるためのプログラム。
【請求項1】
ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムであって、
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、
前記ユーザ端末が、
前記認証サーバへ認証要求を送信する第1の送信手段を備え、
前記認証サーバが、
受信した認証要求に対して、認証を行う認証処理手段と、
該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成するファイル作成手段と、
該作成したファイルを前記ユーザ端末に送信する第2の送信手段と、を備え、
前記ユーザ端末が、
受信した前記ファイルを格納する格納手段と、
前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第3の送信手段と、を備え、
前記機能提供サーバが、
前記認証用ファイルの検証を行う検証手段と、
前記認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第4の送信手段と、
を備え、
前記認証サーバが、
受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する確認手段と、
該確認結果を前記機能提供サーバに送信する第5の送信手段と、
を備え、
前記機能提供サーバが、該確認が完了した後に、情報提供を行う情報提供手段と、
を備えたことを特徴とするネットワーク認証システム。
【請求項2】
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからシングルサインオンによりユーザ認証されていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項3】
前記ユーザを識別するためのファイルがクッキーファイルであることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項4】
前記認証用ファイルに、少なくともユーザの識別子、ユーザの認証情報、有効期限、認証サーバの署名が含まれていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項5】
前記検証手段が、認証サーバの署名、ユーザの識別子および有効期限を確認することにより検証を行うことを特徴とする請求項4に記載のネットワーク認証システム。
【請求項6】
前記確認手段が、前記IDに基づいて、前記認証用ファイルの失効確認を行うことを特徴とする請求項1に記載のネットワーク認証システム。
【請求項7】
前記ユーザ端末と機能提供サーバとの間には、安全な通信路が形成されていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項8】
ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法であって、
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、
前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップと、
前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップと、
前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップと、
前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップと、
前記ユーザ端末が、受信した前記ファイルを格納する第5のステップと、
前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップと、
前記機能提供サーバが、認証ファイルの検証を行う第7のステップと、
前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップと、
前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップと、
前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップと、
前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップと、
を備えたことを特徴とするネットワーク認証方法。
【請求項9】
ユーザ端末と認証サーバとプラットフォーム機能を提供する機能提供サーバとサービス提供サーバとからなるネットワーク認証システムにおけるネットワーク認証方法をコンピュータに実行させるためのプログラムであって、
前記ユーザ端末は、前記サービス提供サーバからのサービスの提供に関して、前記認証サーバからユーザ認証されており、
前記ユーザ端末が、前記認証サーバへ認証要求を送信する第1のステップと、
前記認証サーバが、受信した認証要求に対して、認証を行う第2のステップと、
前記認証サーバが、該認証処理の完了後に、ユーザ情報やユーザのアクセス履歴等のユーザを識別するためのファイルと認証用ファイルとを作成する第3のステップと、
前記認証サーバが、該作成したファイルを前記ユーザ端末に送信する第4のステップと、
前記ユーザ端末が、受信した前記ファイルを格納する第5のステップと、
前記ユーザ端末が、前記機能提供サーバに対して、前記認証用ファイルとともに、認証要求を送信する第6のステップと、
前記機能提供サーバが、認証ファイルの検証を行う第7のステップと、
前記機能提供サーバが、認証用ファイル自体の有効性を確認するために、一意のIDを前記認証サーバに送信する第8のステップと、
前記認証サーバが、受信した前記IDに基づいて、前記認証用ファイル自体の有効性を確認する第9のステップと、
前記認証サーバが、該確認結果を前記機能提供サーバに送信する第10のステップと、
前記機能提供サーバが、該確認が完了した後に、情報提供を行う第11のステップと、
をコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−175591(P2011−175591A)
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願番号】特願2010−40857(P2010−40857)
【出願日】平成22年2月25日(2010.2.25)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人情報通信研究機構「高度通信・放送研究開発委託研究/端末プラットフォーム技術に関する研究開発」、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願日】平成22年2月25日(2010.2.25)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人情報通信研究機構「高度通信・放送研究開発委託研究/端末プラットフォーム技術に関する研究開発」、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
[ Back to top ]