ユーザパスワード認証システムにおける権限委譲方法
【課題】 ユーザが簡単にかつ安全に他のユーザに自分の権限の一部を委譲可能にすること。
【解決手段】 権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備える。
【解決手段】 権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザをパスワードで認証するサーバ・クライアント構成のユーザパスワード認証システムにおいて、あるユーザが自分の権限の一部を他のユーザに一時的に委譲する権限委譲方法に関する。
【背景技術】
【0002】
従来、ユーザ認証への付加技術として、例えば、下記特許文献1のものが知られている。
下記特許文献1に記載のものは、ユーザが複数のサーバにアクセスする環境において各アクセス毎に認証を受けるのではなく、認証状態を管理するシングルサインオン(SSO)サーバを設けることでユーザの認証操作を減らすようにしたものである。
この方式では、SSOサーバ以外に認証チケットというものも用いており、ユーザが同じサーバに連続でアクセスする場合、最初のアクセスでサーバより取得した認証チケットを2回目以降のアクセスの際にサーバに提示することで認証の簡略化を行う。
【特許文献1】特開2003−299277号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上記特許文献1に記載の技術は、認証回数を減らしユーザの利便性を増やすものの、認証チケットの使用はシングルサインオンに限られており、許可された他のユーザが認証チケットを譲り受けて使用することは考慮されていなかった。
また、認証チケットの偽造を防ぐための方法については何ら考慮されていない。
【0004】
本発明の目的は、あるユーザが簡単にかつ安全に他のユーザに自分の権限の一部を委譲することができるユーザパスワード認証システムにおける権限委譲方法を提供することにある。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明では、ユーザ認証を各ユーザパスワードによって実施するユーザパスワード認証システムにおける権限委譲方法であって、
権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、
権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、
前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、
権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備えることを特徴とする。
また、権限被委譲者のクライアントが、権限被委譲者のログイン後、認証チケットに記述された有効期限が切れた時点で権限委譲者から委譲された権限の範囲を記述した前記リストを自動消去するステップを備えることを特徴とする。
また、権限被委譲者のクライアントが、権限被委譲者が代理操作した内容を記憶装置内に操作ログとして記録するステップを備えることを特徴とする。
また、権限委譲者のクライアントが生成する前記認証チケットにおける権限委譲先および権限の範囲は、認証サーバのシステム管理者によって設定された範囲内のものであることを特徴とする。
なお、権限委譲者および権限被委譲者とは、1人のユーザまたは2人以上のユーザからなるグループ名を指す。
【発明の効果】
【0006】
本発明によれば、権限委譲者は権限被委譲者にパスワードを教えたり、システム管理者に権限被委譲者のための一時的なアカウントの作成を依頼することなく、認証チケットTを作成し、権限被委譲者に譲渡するだけで簡単に権限を委譲することができる。
これによって、例えば課長不在時に課長代理に相当する者が認証チケットを用いて一時的に作業を代行することが可能となる。
また、クライアントプログラムが認証チケットTに記述された有効期限を認識することで委譲された権限が濫用されることを防ぐことができる。
また、認証チケットTは権限委譲者のパスワードを知っている者しか作成できないため偽造不可能であり、ハッシュ値を用いることから権限委譲者のパスワードが権限被委譲者に漏れないため、安全な権限委譲を実現できる。
また、認証チケットTに委譲する権限について指定することで権限の一部のみの委譲が可能であり、柔軟な権限委譲が可能となる。
更に、委譲された権限で行われた作業についてはクライアントプログラムがログを記録することで、代理ログインの中で不正が行われた場合に後からその操作を追跡することができる。
更に、システム管理者が認証サーバにおいて許可する権限委譲者と権限被委譲者の関係を定義し、それを認証DBに格納することによってシステム管理者の意図しない権限委譲による不正な行為が起きることを禁止することができる。
【発明を実施するための最良の形態】
【0007】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明に係る権限委譲方法を実施するサーバ・クライアントシステムの実施の形態を示すシステム構成図であり、認証サーバ1はサーバプログラム11を有し、クライアント2のユーザの認証情報と権限委譲に関する定義情報からなる認証DB3を利用してユーザ認証を行う。
また、クライアント2のクライアントプログラム21は、ユーザが認証サーバ1との認証処理に成功すると、認証サーバ1より取得したケイパビリティリスト(CL)4に記載された項目についてのみユーザの操作を許可し、その他のユーザの操作を制限する。
【0008】
図2は、認証サーバ1の認証DB3に格納される内容の一例を示す図であり、認証DB3にはユーザ名とパスワードの対からなるデータ以外に、各ユーザが保持している権限と、それを誰あるいはどのグループに対して委譲可能であるかを示すシステム管理者によって許可された権限委譲関係が記録されている。
例えば、図2の例では、ユーザAはユーザBに対して、権限RightA1,RightA2を委譲することができる。
また、ユーザBはグループAnyoneに対して権限RightB2を委譲することができる。
各ユーザはシステム管理者の定義したこの範囲内で自身が有する権限を他のユーザへ委譲することができる。
【0009】
図3は、本発明で使用する認証チケットTのフォーマット概略図である。
権限委譲者は、本認証チケットTを生成し、権限被委譲者に譲渡する。
図3に示す認証チケットTは、権限委譲者であるユーザAから権限被委譲者であるユーザBへの権限委譲であることを示す項目「A→B」、有効期限を示す項目「Expiration」、AがBへ委譲しようとしているAの権限を示す項目「Rights_A」、ランダム値である「Random」、その他の認証チケットに関する情報(認証チケットの使用可能端末や権限委譲者が生成した認証チケットを廃棄するために指定するシリアル番号など)「Other」、これらの項目に対するユーザAのパスワードを用いてハッシュ関数で生成されるMAC(Message Authentication Code)からなる。
ハッシュ値MACは、ユーザAのパスワードを「PWD_A」で表した場合、次の論理式によって算出する。
MAC=Hash(A→B+Expiration+Rights_A+Random+Other+ PWD_A)
【0010】
クライアント2は、認証チケットTを生成する認証チケット生成プログラム22を有し、権限委譲者は認証チケットTに必要な上記の各項目と自らのパスワードを入力することで認証サーバ1と通信することなく認証チケットTを生成することができる。
【0011】
図4は、権限を委譲されたユーザが認証サーバより認証を受ける際の処理概要を示す図である。
ユーザのパスワード認証は、安全性を確保するためにCHAP(Challenge Handshake Authentication Protocol)を仮定するので、認証サーバ2は各ユーザのパスワードを管理する認証DB3を保持しており、認証チケットTの正当性を権限委譲者のパスワードから確認する。
権限委譲者であるユーザAがユーザBに対して権限の一部を一時的に委譲する場合、まず事前に図3のフォーマットの認証チケットTを認証チケット生成プログラム22によって作成し、ユーザBに譲渡しておく。ここで、譲渡とは、認証チケットTを電子メール等でユーザBに転送しておくことである。
【0012】
図5は、ユーザBがユーザAの認証チケットを受取った後に代理認証を受ける手順を示すフローチャートである。
図5において、まず、認証チケットTを受取ったユーザBは認証サーバ2に対して、ユーザB自身のパスワードによるCHAP認証を行う(ステップ501)。認証が成功したならば次のステップ504に進むが、認証失敗の場合には処理を終了する(ステップ502,503)。
ステップ504では、認証サーバ1はユーザBが提示した認証チケットTの有効期限をチェックし、有効期限が切れていた場合には、処理を終了する(ステップ504,505)。
有効期限内であれば次のステップ506でその認証チケットTがユーザBに対して生成されたものかチェックする。
認証チケットTがユーザBに対して生成されたものでなければ、処理を終了する(ステップ507,508)。
認証チケットTがユーザBに対して生成されたものであれば、ステップ509で認証サーバ1はシステム管理者によって許可された権限委譲関係をチェックし、ユーザAからユーザBへの当該権限の委譲が許可されていれば、次のステップ512で認証チケットTのハッシュ値MACの正当性確認をユーザAのパスワードを用いて行う。
全ての処理に成功すれば、認証サーバ1はユーザBに対し、認証チケットTに記載されたユーザAより委譲された権限に相当するケイパビリティリスト4を作成し、ユーザBのクライアントに送信する(ステップ513,515)。
ユーザBのクライアントプログラム21は、ユーザAが許可した権限の範囲内でのみユーザAに代わるユーザ操作を許可し、かつ許可した操作を記憶装置内にログとして記録する。
また、ユーザBのクライアントプログラム21は、認証チケットTに記述された有効期限を常時監視しており、有効期限を逸脱していた場合には、ケイパビリティリスト4を自動消去し、ユーザAの代理操作を禁止する。
【0013】
以上のことから、本実施の形態においては、次のような効果が得られる。
権限委譲者は権限被委譲者にパスワードを教えたり、システム管理者に権限被委譲者のための一時的なアカウントの作成を依頼することなく、認証チケットTを作成し、権限被委譲者に譲渡するだけで簡単に権限を委譲することができる。
これによって、例えば課長不在時に課長代理に相当する者が認証チケットを用いて一時的に作業を代行することが可能となる。
また、クライアントプログラムが認証チケットTに記述された有効期限を認識することで委譲された権限が濫用されることを防ぐことができる。
また、認証チケットTは権限委譲者のパスワードを知っている者しか作成できないため偽造不可能であり、ハッシュ値を用いることから権限委譲者のパスワードが権限被委譲者に漏れないため、安全な権限委譲を実現できる。
また、認証チケットTに委譲する権限について指定することで権限の一部のみの委譲が可能であり、柔軟な権限委譲が可能となる。
更に、認証チケットTに権限被委譲者の名前を記述することで認証チケットTの第3者の盗用による不正行為を防ぎ、認証チケットTの又貸しを防ぐことで確実な権限委譲を実現できる。
更に、委譲された権限で行われた作業についてはクライアントプログラムがログを記録することで、代理ログインの中で不正が行われた場合に後からその操作を追跡することができる。
更に、システム管理者が認証サーバにおいて許可する権限委譲者と権限被委譲者の関係を定義し、それを認証DBに格納することによってシステム管理者の意図しない権限委譲による不正な行為が起きることを禁止することができる。
【図面の簡単な説明】
【0014】
【図1】本発明における認証サーバとクライアントを含むシステム全体構成図である。
【図2】本発明で用いる認証DBに格納されるデータの例を示す図である。
【図3】本発明で用いる認証チケットのフォーマット構成図である。
【図4】権限を委譲されたユーザが認証サーバより認証を受ける際の処理の概要図である。
【図5】権限を委譲されたユーザが認証サーバより認証を受ける際の処理を説明するためのフローチャートである。
【符号の説明】
【0015】
1 認証サーバ
2 クライアント
3 認証DB
11 サーバプログラム
21 クライアントプログラム
22 認証チケット生成プログラム
【技術分野】
【0001】
本発明は、ユーザをパスワードで認証するサーバ・クライアント構成のユーザパスワード認証システムにおいて、あるユーザが自分の権限の一部を他のユーザに一時的に委譲する権限委譲方法に関する。
【背景技術】
【0002】
従来、ユーザ認証への付加技術として、例えば、下記特許文献1のものが知られている。
下記特許文献1に記載のものは、ユーザが複数のサーバにアクセスする環境において各アクセス毎に認証を受けるのではなく、認証状態を管理するシングルサインオン(SSO)サーバを設けることでユーザの認証操作を減らすようにしたものである。
この方式では、SSOサーバ以外に認証チケットというものも用いており、ユーザが同じサーバに連続でアクセスする場合、最初のアクセスでサーバより取得した認証チケットを2回目以降のアクセスの際にサーバに提示することで認証の簡略化を行う。
【特許文献1】特開2003−299277号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上記特許文献1に記載の技術は、認証回数を減らしユーザの利便性を増やすものの、認証チケットの使用はシングルサインオンに限られており、許可された他のユーザが認証チケットを譲り受けて使用することは考慮されていなかった。
また、認証チケットの偽造を防ぐための方法については何ら考慮されていない。
【0004】
本発明の目的は、あるユーザが簡単にかつ安全に他のユーザに自分の権限の一部を委譲することができるユーザパスワード認証システムにおける権限委譲方法を提供することにある。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明では、ユーザ認証を各ユーザパスワードによって実施するユーザパスワード認証システムにおける権限委譲方法であって、
権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、
権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、
前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、
権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備えることを特徴とする。
また、権限被委譲者のクライアントが、権限被委譲者のログイン後、認証チケットに記述された有効期限が切れた時点で権限委譲者から委譲された権限の範囲を記述した前記リストを自動消去するステップを備えることを特徴とする。
また、権限被委譲者のクライアントが、権限被委譲者が代理操作した内容を記憶装置内に操作ログとして記録するステップを備えることを特徴とする。
また、権限委譲者のクライアントが生成する前記認証チケットにおける権限委譲先および権限の範囲は、認証サーバのシステム管理者によって設定された範囲内のものであることを特徴とする。
なお、権限委譲者および権限被委譲者とは、1人のユーザまたは2人以上のユーザからなるグループ名を指す。
【発明の効果】
【0006】
本発明によれば、権限委譲者は権限被委譲者にパスワードを教えたり、システム管理者に権限被委譲者のための一時的なアカウントの作成を依頼することなく、認証チケットTを作成し、権限被委譲者に譲渡するだけで簡単に権限を委譲することができる。
これによって、例えば課長不在時に課長代理に相当する者が認証チケットを用いて一時的に作業を代行することが可能となる。
また、クライアントプログラムが認証チケットTに記述された有効期限を認識することで委譲された権限が濫用されることを防ぐことができる。
また、認証チケットTは権限委譲者のパスワードを知っている者しか作成できないため偽造不可能であり、ハッシュ値を用いることから権限委譲者のパスワードが権限被委譲者に漏れないため、安全な権限委譲を実現できる。
また、認証チケットTに委譲する権限について指定することで権限の一部のみの委譲が可能であり、柔軟な権限委譲が可能となる。
更に、委譲された権限で行われた作業についてはクライアントプログラムがログを記録することで、代理ログインの中で不正が行われた場合に後からその操作を追跡することができる。
更に、システム管理者が認証サーバにおいて許可する権限委譲者と権限被委譲者の関係を定義し、それを認証DBに格納することによってシステム管理者の意図しない権限委譲による不正な行為が起きることを禁止することができる。
【発明を実施するための最良の形態】
【0007】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明に係る権限委譲方法を実施するサーバ・クライアントシステムの実施の形態を示すシステム構成図であり、認証サーバ1はサーバプログラム11を有し、クライアント2のユーザの認証情報と権限委譲に関する定義情報からなる認証DB3を利用してユーザ認証を行う。
また、クライアント2のクライアントプログラム21は、ユーザが認証サーバ1との認証処理に成功すると、認証サーバ1より取得したケイパビリティリスト(CL)4に記載された項目についてのみユーザの操作を許可し、その他のユーザの操作を制限する。
【0008】
図2は、認証サーバ1の認証DB3に格納される内容の一例を示す図であり、認証DB3にはユーザ名とパスワードの対からなるデータ以外に、各ユーザが保持している権限と、それを誰あるいはどのグループに対して委譲可能であるかを示すシステム管理者によって許可された権限委譲関係が記録されている。
例えば、図2の例では、ユーザAはユーザBに対して、権限RightA1,RightA2を委譲することができる。
また、ユーザBはグループAnyoneに対して権限RightB2を委譲することができる。
各ユーザはシステム管理者の定義したこの範囲内で自身が有する権限を他のユーザへ委譲することができる。
【0009】
図3は、本発明で使用する認証チケットTのフォーマット概略図である。
権限委譲者は、本認証チケットTを生成し、権限被委譲者に譲渡する。
図3に示す認証チケットTは、権限委譲者であるユーザAから権限被委譲者であるユーザBへの権限委譲であることを示す項目「A→B」、有効期限を示す項目「Expiration」、AがBへ委譲しようとしているAの権限を示す項目「Rights_A」、ランダム値である「Random」、その他の認証チケットに関する情報(認証チケットの使用可能端末や権限委譲者が生成した認証チケットを廃棄するために指定するシリアル番号など)「Other」、これらの項目に対するユーザAのパスワードを用いてハッシュ関数で生成されるMAC(Message Authentication Code)からなる。
ハッシュ値MACは、ユーザAのパスワードを「PWD_A」で表した場合、次の論理式によって算出する。
MAC=Hash(A→B+Expiration+Rights_A+Random+Other+ PWD_A)
【0010】
クライアント2は、認証チケットTを生成する認証チケット生成プログラム22を有し、権限委譲者は認証チケットTに必要な上記の各項目と自らのパスワードを入力することで認証サーバ1と通信することなく認証チケットTを生成することができる。
【0011】
図4は、権限を委譲されたユーザが認証サーバより認証を受ける際の処理概要を示す図である。
ユーザのパスワード認証は、安全性を確保するためにCHAP(Challenge Handshake Authentication Protocol)を仮定するので、認証サーバ2は各ユーザのパスワードを管理する認証DB3を保持しており、認証チケットTの正当性を権限委譲者のパスワードから確認する。
権限委譲者であるユーザAがユーザBに対して権限の一部を一時的に委譲する場合、まず事前に図3のフォーマットの認証チケットTを認証チケット生成プログラム22によって作成し、ユーザBに譲渡しておく。ここで、譲渡とは、認証チケットTを電子メール等でユーザBに転送しておくことである。
【0012】
図5は、ユーザBがユーザAの認証チケットを受取った後に代理認証を受ける手順を示すフローチャートである。
図5において、まず、認証チケットTを受取ったユーザBは認証サーバ2に対して、ユーザB自身のパスワードによるCHAP認証を行う(ステップ501)。認証が成功したならば次のステップ504に進むが、認証失敗の場合には処理を終了する(ステップ502,503)。
ステップ504では、認証サーバ1はユーザBが提示した認証チケットTの有効期限をチェックし、有効期限が切れていた場合には、処理を終了する(ステップ504,505)。
有効期限内であれば次のステップ506でその認証チケットTがユーザBに対して生成されたものかチェックする。
認証チケットTがユーザBに対して生成されたものでなければ、処理を終了する(ステップ507,508)。
認証チケットTがユーザBに対して生成されたものであれば、ステップ509で認証サーバ1はシステム管理者によって許可された権限委譲関係をチェックし、ユーザAからユーザBへの当該権限の委譲が許可されていれば、次のステップ512で認証チケットTのハッシュ値MACの正当性確認をユーザAのパスワードを用いて行う。
全ての処理に成功すれば、認証サーバ1はユーザBに対し、認証チケットTに記載されたユーザAより委譲された権限に相当するケイパビリティリスト4を作成し、ユーザBのクライアントに送信する(ステップ513,515)。
ユーザBのクライアントプログラム21は、ユーザAが許可した権限の範囲内でのみユーザAに代わるユーザ操作を許可し、かつ許可した操作を記憶装置内にログとして記録する。
また、ユーザBのクライアントプログラム21は、認証チケットTに記述された有効期限を常時監視しており、有効期限を逸脱していた場合には、ケイパビリティリスト4を自動消去し、ユーザAの代理操作を禁止する。
【0013】
以上のことから、本実施の形態においては、次のような効果が得られる。
権限委譲者は権限被委譲者にパスワードを教えたり、システム管理者に権限被委譲者のための一時的なアカウントの作成を依頼することなく、認証チケットTを作成し、権限被委譲者に譲渡するだけで簡単に権限を委譲することができる。
これによって、例えば課長不在時に課長代理に相当する者が認証チケットを用いて一時的に作業を代行することが可能となる。
また、クライアントプログラムが認証チケットTに記述された有効期限を認識することで委譲された権限が濫用されることを防ぐことができる。
また、認証チケットTは権限委譲者のパスワードを知っている者しか作成できないため偽造不可能であり、ハッシュ値を用いることから権限委譲者のパスワードが権限被委譲者に漏れないため、安全な権限委譲を実現できる。
また、認証チケットTに委譲する権限について指定することで権限の一部のみの委譲が可能であり、柔軟な権限委譲が可能となる。
更に、認証チケットTに権限被委譲者の名前を記述することで認証チケットTの第3者の盗用による不正行為を防ぎ、認証チケットTの又貸しを防ぐことで確実な権限委譲を実現できる。
更に、委譲された権限で行われた作業についてはクライアントプログラムがログを記録することで、代理ログインの中で不正が行われた場合に後からその操作を追跡することができる。
更に、システム管理者が認証サーバにおいて許可する権限委譲者と権限被委譲者の関係を定義し、それを認証DBに格納することによってシステム管理者の意図しない権限委譲による不正な行為が起きることを禁止することができる。
【図面の簡単な説明】
【0014】
【図1】本発明における認証サーバとクライアントを含むシステム全体構成図である。
【図2】本発明で用いる認証DBに格納されるデータの例を示す図である。
【図3】本発明で用いる認証チケットのフォーマット構成図である。
【図4】権限を委譲されたユーザが認証サーバより認証を受ける際の処理の概要図である。
【図5】権限を委譲されたユーザが認証サーバより認証を受ける際の処理を説明するためのフローチャートである。
【符号の説明】
【0015】
1 認証サーバ
2 クライアント
3 認証DB
11 サーバプログラム
21 クライアントプログラム
22 認証チケット生成プログラム
【特許請求の範囲】
【請求項1】
ユーザ認証を各ユーザパスワードによって実施するユーザパスワード認証システムにおける権限委譲方法であって、
権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、
権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、
前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、
権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備えることを特徴とするユーザパスワード認証システムにおける権限委譲方法。
【請求項2】
権限被委譲者のクライアントが、権限被委譲者のログイン後、認証チケットに記述された有効期限が切れた時点で権限委譲者から委譲された権限の範囲を記述した前記リストを自動消去するステップを備えることを特徴とする請求項1に記載のユーザパスワード認証システムにおける権限委譲方法。
【請求項3】
権限被委譲者のクライアントが、権限被委譲者が代理操作した内容を記憶装置内に操作ログとして記録するステップを備えることを特徴とする請求項1または2に記載のユーザパスワード認証システムにおける権限委譲方法。
【請求項4】
権限委譲者のクライアントが生成する前記認証チケットにおける権限委譲先および権限の範囲は、認証サーバのシステム管理者によって設定された範囲内のものであることを特徴とする請求項1〜3のいずれか一項に記載のユーザパスワード認証システムにおける権限委譲方法。
【請求項1】
ユーザ認証を各ユーザパスワードによって実施するユーザパスワード認証システムにおける権限委譲方法であって、
権限委譲者のクライアントが、権限委譲者から権限被委譲者に委譲する権限の範囲、有効権限を記述した認証チケットを生成し、権限被委譲者に譲渡するステップと、
権限被委譲者のクライアントが、権限委譲者から譲渡された前記認証チケットを認証サーバに送り、権限委譲者から権限委譲を正規に受けた権限被委譲者であるかの認証を受けるステップと、
前記認証サーバが、権限被委譲者のクライアントに対して権限委譲者が委譲した権限の範囲、有効期限を記述したリストを送るステップと、
権限被委譲者のクライアントが、前記リストに記述された権限の範囲、有効期限の範囲内で権限委譲者に代わる権限被委譲者の代理操作を許可するステップとを備えることを特徴とするユーザパスワード認証システムにおける権限委譲方法。
【請求項2】
権限被委譲者のクライアントが、権限被委譲者のログイン後、認証チケットに記述された有効期限が切れた時点で権限委譲者から委譲された権限の範囲を記述した前記リストを自動消去するステップを備えることを特徴とする請求項1に記載のユーザパスワード認証システムにおける権限委譲方法。
【請求項3】
権限被委譲者のクライアントが、権限被委譲者が代理操作した内容を記憶装置内に操作ログとして記録するステップを備えることを特徴とする請求項1または2に記載のユーザパスワード認証システムにおける権限委譲方法。
【請求項4】
権限委譲者のクライアントが生成する前記認証チケットにおける権限委譲先および権限の範囲は、認証サーバのシステム管理者によって設定された範囲内のものであることを特徴とする請求項1〜3のいずれか一項に記載のユーザパスワード認証システムにおける権限委譲方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2006−221506(P2006−221506A)
【公開日】平成18年8月24日(2006.8.24)
【国際特許分類】
【出願番号】特願2005−35667(P2005−35667)
【出願日】平成17年2月14日(2005.2.14)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成18年8月24日(2006.8.24)
【国際特許分類】
【出願日】平成17年2月14日(2005.2.14)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]