ユーザー認証方法
【課題】これまで用いていた暗号化方式を変更したり、他のシステムとの統合等により暗号化方式も統一を図ったりするような場合、パスワードの再登録をユーザーにお願いすることになり、ユーザーに対して新たな負担を求めることになってしまう。
【解決手段】パスワード検索部22において検索されたパスワード31cについて、パスワード判別部23において第1の形式であるか第2の形式であるかを判別する。そして、パスワード照合部24において、取得したパスワードを、検索されたパスワード31cの形式に合うように変換して検索されたパスワード31cと照合する。
【解決手段】パスワード検索部22において検索されたパスワード31cについて、パスワード判別部23において第1の形式であるか第2の形式であるかを判別する。そして、パスワード照合部24において、取得したパスワードを、検索されたパスワード31cの形式に合うように変換して検索されたパスワード31cと照合する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パスワードを用いてユーザーの認証を行うユーザー認証方法に関する。
【背景技術】
【0002】
従来、ユーザーがコンピューター等を利用する際に、ログイン画面からユーザー識別情報及びパスワードを入力させ、予め登録されているユーザーに関する情報と照合することにより、ユーザー本人であることを認証するユーザー認証方法が一般的に用いられている。
例えば、特許文献1に記載されている情報処理システムでは、セキュリティーを確保するために、パスワードをハッシュ関数で暗号化して保存し、不正侵入等によりパスワード情報が盗まれてもパスワードを復号化できないようにしている。また、特許文献2に記載されている情報処理システムでは、ユーザーからのパスワードを異なる不可逆変換方式で複数回暗号化することにより、個人情報のセキュリティーをより高めるようにしている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−142504号公報
【特許文献2】特開2007−60581号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1及び特許文献2に記載されているようなパスワードを暗号化して保存する情報処理システムでは、パスワード情報を不可逆的に暗号化して保存することによりセキュリティーを確保している。このため、例えば、更にセキュリティーを強化するため、これまで用いていた暗号化方式を変更したり、他のシステムとの統合等により暗号化方式も統一を図ったりするような場合、パスワードの再登録をユーザーにお願いすることになり、ユーザーに対して新たな負担を求めることになってしまう。
【課題を解決するための手段】
【0005】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0006】
[適用例1]ユーザー識別情報と、第1の形式又は第2の形式に変換されたパスワードとを対応付けて保存する記憶部を有するユーザー認証方法であって、ユーザーから入力された、ユーザー識別情報及びパスワードを取得する取得工程と、前記取得したユーザー識別情報に対応するパスワードを前記記憶部から検索するパスワード検索工程と、前記検索されたパスワードが前記第1の形式であるか前記第2の形式であるかを判別するパスワード判別工程と、前記検索されたパスワードが前記第1の形式であると判別された場合に、前記取得したパスワードを前記第1の形式に変換して前記検索されたパスワードと照合し、前記検索されたパスワードが前記第2の形式であると判別された場合に、前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合するパスワード照合工程と、前記検索されたパスワードが前記第1の形式であると判別され、且つ前記パスワード照合工程における照合結果が合致したときに、前記取得したパスワードを前記第2の形式に変換して前記取得したユーザー識別情報に対応するパスワードとして前記記憶部に保存するパスワード保存工程と、を有することを特徴とするユーザー認証方法。
【0007】
上記したユーザー認証方法によれば、パスワード検索工程において検索されたパスワードについて、パスワード判別工程において第1の形式であるか第2の形式であるかを判別する。そして、パスワード照合工程において、取得したパスワードを、検索されたパスワードの形式に合うように変換して検索されたパスワードと照合する。更に、検索されたパスワードが第1の形式であり且つ照合結果が合致した場合は、パスワード保存工程において、取得したパスワードを第2の形式に変換して記憶部に保存する。
取得したパスワードを検索されたパスワードの形式に合うように変換して照合することから、記憶部に第1と第2の異なる形式に変換されたパスワードが混在して保存されている場合でも、ユーザーから入力されたパスワードを適正に認証することができる。
また、パスワードが第1の形式であり且つ照合結果が合致した場合は、取得したパスワードを第2の形式に変換して記憶部に保存することから、第1の形式のパスワードが第2の形式に置き換わることになり、変換形式を第1の形式から第2の形式へと移行するのが容易になる。
これにより、これまで用いていたパスワードの暗号化方式を変更等する場合、パスワードの再登録が不要になり、ユーザーの負担を軽減することができる。
【0008】
[適用例2]前記第1の形式及び前記第2の形式に変換されたパスワードは、不可逆的に暗号化されていることを特徴とする上記ユーザー認証方法。
【0009】
上記したユーザー認証方法によれば、パスワードが不可逆的に暗号化されて記憶部に保存されていることから、悪意ある第三者によってパスワード情報が盗まれてもパスワードを復号化することができない。これにより、パスワードのセキュリティーを確保することができる。
【0010】
[適用例3]前記第1の形式及び前記第2の形式のパスワードは、固定長のハッシュ値であり、前記パスワード判別工程において、前記第1の形式及び前記第2の形式のパスワードのそれぞれの文字数に基づいて判別することを特徴とする上記ユーザー認証方法。
【0011】
上記したユーザー認証方法によれば、パスワードが固定長のハッシュ値で暗号化されて記憶部に保存され、パスワードの文字数に基づいて暗号化形式を判別する。これにより、パスワードのセキュリティーを確保しながら、且つ容易に暗号化形式を判別することができる。
【0012】
[適用例4]所定期間が経過したとき又は前記記憶部に保存されているパスワードの全てが前記第2の形式のときに、前記パスワード判別工程及び前記パスワード保存工程をスキップし、前記パスワード照合工程において、無条件に前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合することを特徴とする上記ユーザー認証方法。
【0013】
上記したユーザー認証方法によれば、所定期間が経過したとき又はパスワードの全てが第2の形式のときに、パスワード判別工程及びパスワード保存工程をスキップし、取得したパスワードを第2の形式に変換して照合する。これにより、所定期間の経過後又はパスワードの全てが第2の形式になった後に、ユーザー認証に係る処理パフォーマンスを向上させることができる。更に、第1の形式に係る処理プログラムを容易に削除できることから、プログラムのメンテナンス性を向上させることができる。
【図面の簡単な説明】
【0014】
【図1】情報処理システムの概略構成を示す図。
【図2】アプリケーションサーバーにおけるユーザー認証に係る機能構成を示す図。
【図3】ログイン画面の例を示す図。
【図4】新旧ハッシュ関数を用いて暗号化したハッシュ値の例を示す図。
【図5】ユーザー認証に係る動作を示すフローチャート。
【図6】第2実施形態におけるユーザー認証に係る動作を示すフローチャート。
【図7】変形例におけるデータベースの構成を示す図。
【発明を実施するための形態】
【0015】
(第1実施形態)
以下、第1実施形態に係るユーザー認証方法を適用した例について、図面を参照して説明する。
【0016】
図1は、本実施形態に係る情報処理システムの概略構成を示す図である。同図に示す情報処理システム10には、インターネット及びイントラネット等のネットワーク80を介して、複数の端末装置50が接続されている。これらの端末装置50は、例えば、各種のクライアントアプリケーションを実行するクライアントPCである。
【0017】
情報処理システム10は、ここではロードバランサー11によりネットワーク80に相互接続して負荷分散を図る構成となっている。情報処理システム10には、複数のWebサーバー12、複数のアプリケーションサーバー13及びデータベースサーバー14が含まれている。なお、各アプリケーションサーバー13及びデータベースサーバー14は、ファイアーウオール15を設けてセキュリティーを確保する構成としている。
【0018】
アプリケーションサーバー13は、端末装置50を利用するユーザーの操作に応じて、所定の画面等の情報を端末装置50へ提供する。更に、アプリケーションサーバー13は、ユーザーからの接続要求の受け付け、アクセス要求への対応、ユーザー管理等の他、ユーザーに対して提供する各種アプリケーションを実行する。また、アプリケーションサーバー13は、データベースサーバー14へのアクセス権限管理の機能を果たしている。
【0019】
データベースサーバー14は、例えばリレーショナルデータベースサーバー等であり、データベースの管理、データの格納、読み出し、検索等を実行する。具体的にはアプリケーションサーバー13で処理するための各種管理データ、アプリケーションを実行するためのデータをデータベースから読み出し、その実行結果をデータベースに格納する。また、必要に応じて、データベースを検索する等の処理も行う。
【0020】
ここで、情報処理システム10は、例えば、会計事務所や顧問先企業における各端末装置50から財務データや税務データ等を受信して、これらのデータを一元管理するデータセンターのシステムとして適用することができる。この場合、会計事務所や顧問先企業における各端末装置50からデータセンターにログインする際、セキュリティーを確保するためのユーザー認証が必要となる。なお、情報処理システム10は、図1に示すようなネットワーク環境におけるユーザー認証に限られず、スタンドアローン環境におけるユーザー認証にも適用することができる。
【0021】
本実施形態では、アプリケーションサーバー13におけるユーザー認証方法を例にして説明する。図2は、アプリケーションサーバー13におけるユーザー認証に係る機能構成を示す図である。同図に示すように、アプリケーションサーバー13は、通信部21、パスワード検索部22、パスワード判別部23、パスワード照合部24及びパスワード保存部25を備えている。また、アプリケーションサーバー13は、データベースサーバー14が管理するユーザー認証用の記憶部としてのデータベース30にアクセスすることができる。
【0022】
データベース30には、各端末装置50を利用するユーザー毎に、ログイン認証するためのユーザー情報31が保存されている。ユーザー情報31は、データベース30におけるデータ管理のための個人管理用ID31aと、ユーザーが入力したユーザー識別情報でありログインIDとなるユーザーID31bと、ユーザーが入力したパスワード31cとで構成される。パスワード31cは、所定の暗号化形式に変換されて保存されている。
【0023】
通信部21は、ネットワーク80を介して端末装置50にログイン画面を送信する。そして、端末装置50に表示されたログイン画面からユーザーにより入力されたユーザーID及びパスワードを、ネットワーク80を介して受信して取得する。以降、ユーザーにより入力されたユーザーID及びパスワードを、「入力ユーザーID」及び「入力パスワード」と称する。
【0024】
図3は、ログイン画面60の例を示す図である。同図に示すように、ログイン画面60には、ユーザーIDの入力を受け付ける入力ボックス60a、パスワードの入力を受け付ける入力ボックス60b、OKボタン60c及びキャンセルボタン60dが設けられている。ユーザーは、入力ボックス60aからユーザーID、入力ボックス60bからパスワードを入力し、OKボタン60cを押すことにより、ユーザーID及びパスワードの入力情報をアプリケーションサーバー13に送信する。
【0025】
パスワード検索部22は、通信部21において取得した入力ユーザーIDと、データベース30に保存されている各ユーザー情報31のユーザーID31bとを照合し、入力ユーザーIDに対応するユーザー情報31のパスワード31cを検索する。
【0026】
パスワード判別部23は、パスワード検索部22において検索されたパスワード31cについて、いずれの暗号化形式で保存されているのかを判別する。なお、データベース30に保存されている各パスワード31cは、2種類の暗号化形式のいずれかで保存されている。
【0027】
本実施形態では、第1の形式となる固定長20文字のハッシュ値と、第2の形式となる固定長32文字のハッシュ値との2種類の暗号化形式で保存されている。そして、アプリケーションサーバー13におけるパスワードの認証を、固定長20文字の暗号化形式から32文字の暗号化形式へと移行する例について説明する。以降、固定長20文字の暗号化形式を「旧形式」、固定長32文字の暗号化形式を「新形式」と称する。また、旧形式の暗号化に用いるハッシュ関数を「旧ハッシュ関数」、新形式の暗号化に用いるハッシュ関数を「新ハッシュ関数」と称する。
【0028】
図4は、新旧ハッシュ関数を用いて暗号化したハッシュ値の例を示す図である。同図に示すように、旧ハッシュ関数を用いて暗号化された入力パスワードは、20文字の旧形式のハッシュ値となり、新ハッシュ関数を用いて暗号化された入力パスワードは、32文字の新形式のハッシュ値となっている。これらの旧形式及び新形式のハッシュ値は、不可逆的に暗号化されており、ユーザー情報31のパスワード31cとしてデータベース30に保存される。
【0029】
パスワード照合部24は、通信部21において取得した入力パスワードと、パスワード検索部22においてデータベース30から検索されたパスワード31cとを照合する。このとき、入力パスワードを、検索されたパスワード31cの暗号化形式に合うように暗号化してから照合する。具体的には、検索されたパスワード31cがパスワード判別部23により旧形式であると判別された場合は、入力パスワードを、旧ハッシュ関数を用いて旧形式に暗号化してから照合する。他方、検索されたパスワード31cがパスワード判別部23により新形式であると判別された場合は、入力パスワードを、新ハッシュ関数を用いて新形式に暗号化してから照合する。
【0030】
パスワード保存部25は、データベース30から検索されたパスワード31cが旧形式であると判別されて、パスワード照合部24における照合結果が合致した場合に、取得した入力パスワードを新形式に暗号化し、この新形式のパスワードを、検索されたパスワード31cに上書きして更新する。つまり、新形式のパスワードを、取得した入力ユーザーIDに対応するパスワードとしてデータベース30に保存する。
【0031】
次に、アプリケーションサーバー13におけるユーザー認証に係る動作について説明する。
図5は、ユーザー認証に係る動作を示すフローチャートである。
【0032】
先ず、アプリケーションサーバー13は、通信部21により、ネットワーク80を介して端末装置50にログイン画面を送信し、端末装置50にログイン画面を表示する(ステップS110)。ユーザーは、ログイン画面からユーザーIDとパスワードを入力してネットワーク80を介してアプリケーションサーバー13へ送信する。そして、アプリケーションサーバー13は、通信部21により、端末装置50から送信された入力ユーザーID及び入力パスワードを受信して取得する(ステップS120)。
【0033】
次に、アプリケーションサーバー13は、パスワード検索部22により、ステップS120において取得した入力ユーザーIDに対応するパスワード31cを、データベース30から検索する(ステップS130)。ここで、入力ユーザーIDに対応するパスワード31cがデータベース30に存在しなかった場合、「ログイン画面から入力されたユーザーIDが登録されていない」旨のエラーメッセージを端末装置50に表示し、ステップS110のログイン画面の表示に戻る(図5のフローチャートでは省略する。)。
【0034】
次に、アプリケーションサーバー13は、パスワード判別部23により、ステップS130においてデータベース30から検索されたパスワード31cの形式が旧形式であるか新形式であるかを、パスワード31cの文字数に基づいて判別する(ステップS140)。
【0035】
ステップS140においてパスワード31cが新形式であると判別された場合は、パスワード照合部24により、ステップS120において取得した入力パスワードを、新ハッシュ関数を用いて新形式に暗号化し(ステップS150)、新形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致するか否かを判定する(ステップS160)。
【0036】
新形式の入力パスワードとデータベース30のパスワード31cとが合致する場合(ステップS160:Yes)は、ステップS220へ進む。
他方、新形式の入力パスワードとデータベース30のパスワード31cとが合致しない場合(ステップS160:No)は、ステップS210へ進み、「ログイン画面から入力されたパスワードが一致しない」旨のエラーメッセージを端末装置50に表示し、ステップS110のログイン画面の表示に戻る。
【0037】
一方、ステップS140においてパスワード31cが旧形式であると判別された場合は、パスワード照合部24により、ステップS120において取得した入力パスワードを、旧ハッシュ関数を用いて旧形式に暗号化し(ステップS170)、旧形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致するか否かを判定する(ステップS180)。
【0038】
旧形式の入力パスワードとデータベース30のパスワード31cとが合致する場合(ステップS180:Yes)は、パスワード保存部25により、入力パスワードを新形式に暗号化し(ステップS190)、新形式のパスワードを、検索されたパスワード31cに上書きして更新し(ステップS200)、ステップS220へ進む。
他方、旧形式の入力パスワードとデータベース30のパスワード31cとが合致しない場合(ステップS180:No)は、ステップS210へ進み、「ログイン画面から入力されたパスワードが一致しない」旨のエラーメッセージを端末装置50に表示し、ステップS110のログイン画面の表示に戻る。
【0039】
ステップS220では、端末装置50のユーザーが適正であると認証されたことから、アプリケーションサーバー13は、通信部21により、ネットワーク80を介して端末装置50にログイン後の画面を送信し、端末装置50にログイン後の画面を表示する。これで、図5のフローチャートの動作を終了する。
【0040】
なお、取得工程は、上記のステップS120に相当する。また、パスワード検索工程は、上記のステップS130に相当する。また、パスワード判別工程は、上記のステップS140に相当する。また、パスワード照合工程は、上記のステップS150,S160及びステップS170,S180に相当する。また、パスワード保存工程は、上記のステップS190,S200に相当する。
【0041】
上述した実施形態では、端末装置50からユーザーをログイン認証する際、入力パスワードに対して、データベース30に保存されているパスワード31cの形式に合わせて暗号化してから、パスワードの照合を行っている。これにより、入力パスワードを旧形式の暗号化で運用し、後に、新形式の暗号化の運用に移行した場合、旧形式で運用していたときにログイン認証を行っていたユーザー(旧形式のパスワード31cが保存されている)も、新形式の運用に移行後にログイン認証を開始したユーザー(新形式のパスワード31cが保存されている)も、パスワードを再登録することなく、これまで用いたパスワードをログイン画面から入力してログイン認証することができる。更に、データベース30に保存されている旧形式のパスワード31cは、ログイン認証されたときに新形式に置き換わることから、旧形式から新形式への暗号化の移行をスムーズに行うことができる。
【0042】
(第2実施形態)
以下、第2実施形態に係るユーザー認証方法を適用した例について、図面を参照して説明する。
【0043】
第2実施形態に係る情報処理システムの概略構成は、図1に示す概略構成と同様である。また、第2実施形態に係るアプリケーションサーバーにおけるユーザー認証に係る機能構成は、図2に示す機能構成と同様である。
第1実施形態と第2実施形態とでは、アプリケーションサーバー13におけるユーザー認証に係る動作が異なっている。図6は、第2実施形態におけるユーザー認証に係る動作を示すフローチャートである。
【0044】
同図に示すステップS210〜S230では、図5に示す第1実施形態のステップS110〜S130と同様に、入力ユーザーID及び入力パスワードを取得し、入力ユーザーIDに対応するパスワード31cをデータベース30から検索する。
【0045】
ステップS240では、アプリケーションサーバー13は、所定期間が経過したか否かを判定する。所定期間が経過した場合(ステップS240:Yes)は、以降の処理をスキップして、ステップS320へ進む。
他方、所定期間が経過していない場合(ステップS240:No)は、次のステップS250へ進む。
ここで、所定期間としては、例えば、入力パスワードを旧形式の暗号化で運用し、後に、新形式の暗号化の運用に移行した場合に、新形式の運用に移行してからの経過期間を適用することができる。
【0046】
ステップS250では、アプリケーションサーバー13は、パスワード判別部23により、データベース30に保存されている全てのパスワード31cが新形式であるか否かを判別する(ステップS250)。パスワード31cの形式が全て新形式である場合(ステップS250:Yes)は、以降の処理をスキップして、ステップS320へ進む。
他方、パスワード31cのいずれかでも旧形式である場合(ステップS250:No)は、次のステップS260へ進む。
ここで、全てのパスワード31cが新形式である状態とは、これまで旧形式で保存されていたパスワード31cが、全て新形式に移行済の状態であるとみなされる。
【0047】
ステップS260では、図5に示す第1実施形態のステップS140と同様に、データベース30から検索されたパスワード31cの形式を判別する。パスワード31cが新形式である場合は、ステップS320へ進む。
他方、パスワード31cが旧形式である場合は、ステップS270〜S300において、図5に示す第1実施形態のステップS170〜S200と同様に、旧形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致する場合は、新形式に変換したパスワードをパスワード31cに上書きし、ステップS320へ進む。合致しない場合は、第1実施形態のステップS210と同様に、エラーメッセージを端末装置50に表示する。
【0048】
ステップS320,S330,S340では、図5に示す第1実施形態のステップS150,S160,S220と同様に、新形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致するか否かを判定し、合致する場合はログイン後の画面を端末装置50に表示する。合致しない場合は第1実施形態のステップS210と同様に、エラーメッセージを端末装置50に表示する。これで、図6のフローチャートの動作を終了する。
【0049】
上述した実施形態では、所定期間が経過したとき、又はデータベース30に保存されている全てのパスワード31cが新形式であるときに、旧形式のパスワード31cに関する処理をスキップして新形式のパスワード31cに関する処理のみ実行する。これにより、例えば、入力パスワードを旧形式の暗号化で運用し、後に、新形式の暗号化の運用に移行した場合、新形式に移行してからの経過期間で判断して、ユーザーへの影響が少ないと思われる時期に旧形式に関する処理を実行しないようにできる。そして、期間の経過後にユーザー認証に係る処理パフォーマンスを向上させることができる。また、保存されている全てのパスワード31cが新形式であるときに旧形式に関する処理を実行しないことにより、ユーザーへの影響が全くなくなってから旧形式に関する処理を実行しないようすることができる。
更に、旧形式に関する処理を実行しないようにした場合、図6のフローチャートの破線P10で囲った処理部分をプログラム上から削除することにより、プログラムの構造を簡易にすることができ、プログラムのメンテナンス性が向上する。
【0050】
(変形例1)
上述した実施形態では、入力パスワードを固定長のハッシュ値に暗号化してデータベース30に保存している。そして、パスワード判別部23において、パスワード31cのハッシュ値の文字数に基づいて旧形式と新形式とを判別している。しかし、入力パスワードの暗号化は、固定長のハッシュ値に限られず、他の暗号化方式を用いても良い。また、例えば、データベース30の各ユーザー情報31に、旧形式と新形式とを判別するためのパスワード区分情報や、ログインを行った日時情報を保存し、パスワード判別部23において、これらの情報に基づいて判別を行っても良い。
【0051】
(変形例2)
上述した実施形態では、図2に示すように、データベース30に、旧形式又は新形式のパスワード31cを含む各ユーザー情報31が保存されている。しかし、各ユーザー情報31の保存形態はこれに限られず、例えば、図7に示すデータベース30の構成のように、旧形式のパスワード41cを含むユーザー情報41と、新形式のパスワード51cを含むユーザー情報51とを分離して管理するようにしても良い。図7では、ユーザー情報41は、試用期間用のシステムのログイン認証用としている。また、ユーザー情報51は、試用期間終了後における課金用のシステムのログイン認証用としている。このように、両方のシステムのユーザー情報41,51をデータベース30に保存することにより、システムの統合等が容易になり、試用期間におけるパスワードを、課金管理を行うシステムにおいても再登録しないでそのまま使用することができる。
【符号の説明】
【0052】
10…情報処理システム、11…ロードバランサー、12…Webサーバー、13…アプリケーションサーバー、14…データベースサーバー、15…ファイアーウオール、21…通信部、22…パスワード検索部、23…パスワード判別部、24…パスワード照合部、25…パスワード保存部、30…データベース、31,41,51…ユーザー情報、31a…個人管理用ID、31b…ユーザーID、31c,41c,51c…パスワード、50…端末装置、80…ネットワーク。
【技術分野】
【0001】
本発明は、パスワードを用いてユーザーの認証を行うユーザー認証方法に関する。
【背景技術】
【0002】
従来、ユーザーがコンピューター等を利用する際に、ログイン画面からユーザー識別情報及びパスワードを入力させ、予め登録されているユーザーに関する情報と照合することにより、ユーザー本人であることを認証するユーザー認証方法が一般的に用いられている。
例えば、特許文献1に記載されている情報処理システムでは、セキュリティーを確保するために、パスワードをハッシュ関数で暗号化して保存し、不正侵入等によりパスワード情報が盗まれてもパスワードを復号化できないようにしている。また、特許文献2に記載されている情報処理システムでは、ユーザーからのパスワードを異なる不可逆変換方式で複数回暗号化することにより、個人情報のセキュリティーをより高めるようにしている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−142504号公報
【特許文献2】特開2007−60581号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1及び特許文献2に記載されているようなパスワードを暗号化して保存する情報処理システムでは、パスワード情報を不可逆的に暗号化して保存することによりセキュリティーを確保している。このため、例えば、更にセキュリティーを強化するため、これまで用いていた暗号化方式を変更したり、他のシステムとの統合等により暗号化方式も統一を図ったりするような場合、パスワードの再登録をユーザーにお願いすることになり、ユーザーに対して新たな負担を求めることになってしまう。
【課題を解決するための手段】
【0005】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0006】
[適用例1]ユーザー識別情報と、第1の形式又は第2の形式に変換されたパスワードとを対応付けて保存する記憶部を有するユーザー認証方法であって、ユーザーから入力された、ユーザー識別情報及びパスワードを取得する取得工程と、前記取得したユーザー識別情報に対応するパスワードを前記記憶部から検索するパスワード検索工程と、前記検索されたパスワードが前記第1の形式であるか前記第2の形式であるかを判別するパスワード判別工程と、前記検索されたパスワードが前記第1の形式であると判別された場合に、前記取得したパスワードを前記第1の形式に変換して前記検索されたパスワードと照合し、前記検索されたパスワードが前記第2の形式であると判別された場合に、前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合するパスワード照合工程と、前記検索されたパスワードが前記第1の形式であると判別され、且つ前記パスワード照合工程における照合結果が合致したときに、前記取得したパスワードを前記第2の形式に変換して前記取得したユーザー識別情報に対応するパスワードとして前記記憶部に保存するパスワード保存工程と、を有することを特徴とするユーザー認証方法。
【0007】
上記したユーザー認証方法によれば、パスワード検索工程において検索されたパスワードについて、パスワード判別工程において第1の形式であるか第2の形式であるかを判別する。そして、パスワード照合工程において、取得したパスワードを、検索されたパスワードの形式に合うように変換して検索されたパスワードと照合する。更に、検索されたパスワードが第1の形式であり且つ照合結果が合致した場合は、パスワード保存工程において、取得したパスワードを第2の形式に変換して記憶部に保存する。
取得したパスワードを検索されたパスワードの形式に合うように変換して照合することから、記憶部に第1と第2の異なる形式に変換されたパスワードが混在して保存されている場合でも、ユーザーから入力されたパスワードを適正に認証することができる。
また、パスワードが第1の形式であり且つ照合結果が合致した場合は、取得したパスワードを第2の形式に変換して記憶部に保存することから、第1の形式のパスワードが第2の形式に置き換わることになり、変換形式を第1の形式から第2の形式へと移行するのが容易になる。
これにより、これまで用いていたパスワードの暗号化方式を変更等する場合、パスワードの再登録が不要になり、ユーザーの負担を軽減することができる。
【0008】
[適用例2]前記第1の形式及び前記第2の形式に変換されたパスワードは、不可逆的に暗号化されていることを特徴とする上記ユーザー認証方法。
【0009】
上記したユーザー認証方法によれば、パスワードが不可逆的に暗号化されて記憶部に保存されていることから、悪意ある第三者によってパスワード情報が盗まれてもパスワードを復号化することができない。これにより、パスワードのセキュリティーを確保することができる。
【0010】
[適用例3]前記第1の形式及び前記第2の形式のパスワードは、固定長のハッシュ値であり、前記パスワード判別工程において、前記第1の形式及び前記第2の形式のパスワードのそれぞれの文字数に基づいて判別することを特徴とする上記ユーザー認証方法。
【0011】
上記したユーザー認証方法によれば、パスワードが固定長のハッシュ値で暗号化されて記憶部に保存され、パスワードの文字数に基づいて暗号化形式を判別する。これにより、パスワードのセキュリティーを確保しながら、且つ容易に暗号化形式を判別することができる。
【0012】
[適用例4]所定期間が経過したとき又は前記記憶部に保存されているパスワードの全てが前記第2の形式のときに、前記パスワード判別工程及び前記パスワード保存工程をスキップし、前記パスワード照合工程において、無条件に前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合することを特徴とする上記ユーザー認証方法。
【0013】
上記したユーザー認証方法によれば、所定期間が経過したとき又はパスワードの全てが第2の形式のときに、パスワード判別工程及びパスワード保存工程をスキップし、取得したパスワードを第2の形式に変換して照合する。これにより、所定期間の経過後又はパスワードの全てが第2の形式になった後に、ユーザー認証に係る処理パフォーマンスを向上させることができる。更に、第1の形式に係る処理プログラムを容易に削除できることから、プログラムのメンテナンス性を向上させることができる。
【図面の簡単な説明】
【0014】
【図1】情報処理システムの概略構成を示す図。
【図2】アプリケーションサーバーにおけるユーザー認証に係る機能構成を示す図。
【図3】ログイン画面の例を示す図。
【図4】新旧ハッシュ関数を用いて暗号化したハッシュ値の例を示す図。
【図5】ユーザー認証に係る動作を示すフローチャート。
【図6】第2実施形態におけるユーザー認証に係る動作を示すフローチャート。
【図7】変形例におけるデータベースの構成を示す図。
【発明を実施するための形態】
【0015】
(第1実施形態)
以下、第1実施形態に係るユーザー認証方法を適用した例について、図面を参照して説明する。
【0016】
図1は、本実施形態に係る情報処理システムの概略構成を示す図である。同図に示す情報処理システム10には、インターネット及びイントラネット等のネットワーク80を介して、複数の端末装置50が接続されている。これらの端末装置50は、例えば、各種のクライアントアプリケーションを実行するクライアントPCである。
【0017】
情報処理システム10は、ここではロードバランサー11によりネットワーク80に相互接続して負荷分散を図る構成となっている。情報処理システム10には、複数のWebサーバー12、複数のアプリケーションサーバー13及びデータベースサーバー14が含まれている。なお、各アプリケーションサーバー13及びデータベースサーバー14は、ファイアーウオール15を設けてセキュリティーを確保する構成としている。
【0018】
アプリケーションサーバー13は、端末装置50を利用するユーザーの操作に応じて、所定の画面等の情報を端末装置50へ提供する。更に、アプリケーションサーバー13は、ユーザーからの接続要求の受け付け、アクセス要求への対応、ユーザー管理等の他、ユーザーに対して提供する各種アプリケーションを実行する。また、アプリケーションサーバー13は、データベースサーバー14へのアクセス権限管理の機能を果たしている。
【0019】
データベースサーバー14は、例えばリレーショナルデータベースサーバー等であり、データベースの管理、データの格納、読み出し、検索等を実行する。具体的にはアプリケーションサーバー13で処理するための各種管理データ、アプリケーションを実行するためのデータをデータベースから読み出し、その実行結果をデータベースに格納する。また、必要に応じて、データベースを検索する等の処理も行う。
【0020】
ここで、情報処理システム10は、例えば、会計事務所や顧問先企業における各端末装置50から財務データや税務データ等を受信して、これらのデータを一元管理するデータセンターのシステムとして適用することができる。この場合、会計事務所や顧問先企業における各端末装置50からデータセンターにログインする際、セキュリティーを確保するためのユーザー認証が必要となる。なお、情報処理システム10は、図1に示すようなネットワーク環境におけるユーザー認証に限られず、スタンドアローン環境におけるユーザー認証にも適用することができる。
【0021】
本実施形態では、アプリケーションサーバー13におけるユーザー認証方法を例にして説明する。図2は、アプリケーションサーバー13におけるユーザー認証に係る機能構成を示す図である。同図に示すように、アプリケーションサーバー13は、通信部21、パスワード検索部22、パスワード判別部23、パスワード照合部24及びパスワード保存部25を備えている。また、アプリケーションサーバー13は、データベースサーバー14が管理するユーザー認証用の記憶部としてのデータベース30にアクセスすることができる。
【0022】
データベース30には、各端末装置50を利用するユーザー毎に、ログイン認証するためのユーザー情報31が保存されている。ユーザー情報31は、データベース30におけるデータ管理のための個人管理用ID31aと、ユーザーが入力したユーザー識別情報でありログインIDとなるユーザーID31bと、ユーザーが入力したパスワード31cとで構成される。パスワード31cは、所定の暗号化形式に変換されて保存されている。
【0023】
通信部21は、ネットワーク80を介して端末装置50にログイン画面を送信する。そして、端末装置50に表示されたログイン画面からユーザーにより入力されたユーザーID及びパスワードを、ネットワーク80を介して受信して取得する。以降、ユーザーにより入力されたユーザーID及びパスワードを、「入力ユーザーID」及び「入力パスワード」と称する。
【0024】
図3は、ログイン画面60の例を示す図である。同図に示すように、ログイン画面60には、ユーザーIDの入力を受け付ける入力ボックス60a、パスワードの入力を受け付ける入力ボックス60b、OKボタン60c及びキャンセルボタン60dが設けられている。ユーザーは、入力ボックス60aからユーザーID、入力ボックス60bからパスワードを入力し、OKボタン60cを押すことにより、ユーザーID及びパスワードの入力情報をアプリケーションサーバー13に送信する。
【0025】
パスワード検索部22は、通信部21において取得した入力ユーザーIDと、データベース30に保存されている各ユーザー情報31のユーザーID31bとを照合し、入力ユーザーIDに対応するユーザー情報31のパスワード31cを検索する。
【0026】
パスワード判別部23は、パスワード検索部22において検索されたパスワード31cについて、いずれの暗号化形式で保存されているのかを判別する。なお、データベース30に保存されている各パスワード31cは、2種類の暗号化形式のいずれかで保存されている。
【0027】
本実施形態では、第1の形式となる固定長20文字のハッシュ値と、第2の形式となる固定長32文字のハッシュ値との2種類の暗号化形式で保存されている。そして、アプリケーションサーバー13におけるパスワードの認証を、固定長20文字の暗号化形式から32文字の暗号化形式へと移行する例について説明する。以降、固定長20文字の暗号化形式を「旧形式」、固定長32文字の暗号化形式を「新形式」と称する。また、旧形式の暗号化に用いるハッシュ関数を「旧ハッシュ関数」、新形式の暗号化に用いるハッシュ関数を「新ハッシュ関数」と称する。
【0028】
図4は、新旧ハッシュ関数を用いて暗号化したハッシュ値の例を示す図である。同図に示すように、旧ハッシュ関数を用いて暗号化された入力パスワードは、20文字の旧形式のハッシュ値となり、新ハッシュ関数を用いて暗号化された入力パスワードは、32文字の新形式のハッシュ値となっている。これらの旧形式及び新形式のハッシュ値は、不可逆的に暗号化されており、ユーザー情報31のパスワード31cとしてデータベース30に保存される。
【0029】
パスワード照合部24は、通信部21において取得した入力パスワードと、パスワード検索部22においてデータベース30から検索されたパスワード31cとを照合する。このとき、入力パスワードを、検索されたパスワード31cの暗号化形式に合うように暗号化してから照合する。具体的には、検索されたパスワード31cがパスワード判別部23により旧形式であると判別された場合は、入力パスワードを、旧ハッシュ関数を用いて旧形式に暗号化してから照合する。他方、検索されたパスワード31cがパスワード判別部23により新形式であると判別された場合は、入力パスワードを、新ハッシュ関数を用いて新形式に暗号化してから照合する。
【0030】
パスワード保存部25は、データベース30から検索されたパスワード31cが旧形式であると判別されて、パスワード照合部24における照合結果が合致した場合に、取得した入力パスワードを新形式に暗号化し、この新形式のパスワードを、検索されたパスワード31cに上書きして更新する。つまり、新形式のパスワードを、取得した入力ユーザーIDに対応するパスワードとしてデータベース30に保存する。
【0031】
次に、アプリケーションサーバー13におけるユーザー認証に係る動作について説明する。
図5は、ユーザー認証に係る動作を示すフローチャートである。
【0032】
先ず、アプリケーションサーバー13は、通信部21により、ネットワーク80を介して端末装置50にログイン画面を送信し、端末装置50にログイン画面を表示する(ステップS110)。ユーザーは、ログイン画面からユーザーIDとパスワードを入力してネットワーク80を介してアプリケーションサーバー13へ送信する。そして、アプリケーションサーバー13は、通信部21により、端末装置50から送信された入力ユーザーID及び入力パスワードを受信して取得する(ステップS120)。
【0033】
次に、アプリケーションサーバー13は、パスワード検索部22により、ステップS120において取得した入力ユーザーIDに対応するパスワード31cを、データベース30から検索する(ステップS130)。ここで、入力ユーザーIDに対応するパスワード31cがデータベース30に存在しなかった場合、「ログイン画面から入力されたユーザーIDが登録されていない」旨のエラーメッセージを端末装置50に表示し、ステップS110のログイン画面の表示に戻る(図5のフローチャートでは省略する。)。
【0034】
次に、アプリケーションサーバー13は、パスワード判別部23により、ステップS130においてデータベース30から検索されたパスワード31cの形式が旧形式であるか新形式であるかを、パスワード31cの文字数に基づいて判別する(ステップS140)。
【0035】
ステップS140においてパスワード31cが新形式であると判別された場合は、パスワード照合部24により、ステップS120において取得した入力パスワードを、新ハッシュ関数を用いて新形式に暗号化し(ステップS150)、新形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致するか否かを判定する(ステップS160)。
【0036】
新形式の入力パスワードとデータベース30のパスワード31cとが合致する場合(ステップS160:Yes)は、ステップS220へ進む。
他方、新形式の入力パスワードとデータベース30のパスワード31cとが合致しない場合(ステップS160:No)は、ステップS210へ進み、「ログイン画面から入力されたパスワードが一致しない」旨のエラーメッセージを端末装置50に表示し、ステップS110のログイン画面の表示に戻る。
【0037】
一方、ステップS140においてパスワード31cが旧形式であると判別された場合は、パスワード照合部24により、ステップS120において取得した入力パスワードを、旧ハッシュ関数を用いて旧形式に暗号化し(ステップS170)、旧形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致するか否かを判定する(ステップS180)。
【0038】
旧形式の入力パスワードとデータベース30のパスワード31cとが合致する場合(ステップS180:Yes)は、パスワード保存部25により、入力パスワードを新形式に暗号化し(ステップS190)、新形式のパスワードを、検索されたパスワード31cに上書きして更新し(ステップS200)、ステップS220へ進む。
他方、旧形式の入力パスワードとデータベース30のパスワード31cとが合致しない場合(ステップS180:No)は、ステップS210へ進み、「ログイン画面から入力されたパスワードが一致しない」旨のエラーメッセージを端末装置50に表示し、ステップS110のログイン画面の表示に戻る。
【0039】
ステップS220では、端末装置50のユーザーが適正であると認証されたことから、アプリケーションサーバー13は、通信部21により、ネットワーク80を介して端末装置50にログイン後の画面を送信し、端末装置50にログイン後の画面を表示する。これで、図5のフローチャートの動作を終了する。
【0040】
なお、取得工程は、上記のステップS120に相当する。また、パスワード検索工程は、上記のステップS130に相当する。また、パスワード判別工程は、上記のステップS140に相当する。また、パスワード照合工程は、上記のステップS150,S160及びステップS170,S180に相当する。また、パスワード保存工程は、上記のステップS190,S200に相当する。
【0041】
上述した実施形態では、端末装置50からユーザーをログイン認証する際、入力パスワードに対して、データベース30に保存されているパスワード31cの形式に合わせて暗号化してから、パスワードの照合を行っている。これにより、入力パスワードを旧形式の暗号化で運用し、後に、新形式の暗号化の運用に移行した場合、旧形式で運用していたときにログイン認証を行っていたユーザー(旧形式のパスワード31cが保存されている)も、新形式の運用に移行後にログイン認証を開始したユーザー(新形式のパスワード31cが保存されている)も、パスワードを再登録することなく、これまで用いたパスワードをログイン画面から入力してログイン認証することができる。更に、データベース30に保存されている旧形式のパスワード31cは、ログイン認証されたときに新形式に置き換わることから、旧形式から新形式への暗号化の移行をスムーズに行うことができる。
【0042】
(第2実施形態)
以下、第2実施形態に係るユーザー認証方法を適用した例について、図面を参照して説明する。
【0043】
第2実施形態に係る情報処理システムの概略構成は、図1に示す概略構成と同様である。また、第2実施形態に係るアプリケーションサーバーにおけるユーザー認証に係る機能構成は、図2に示す機能構成と同様である。
第1実施形態と第2実施形態とでは、アプリケーションサーバー13におけるユーザー認証に係る動作が異なっている。図6は、第2実施形態におけるユーザー認証に係る動作を示すフローチャートである。
【0044】
同図に示すステップS210〜S230では、図5に示す第1実施形態のステップS110〜S130と同様に、入力ユーザーID及び入力パスワードを取得し、入力ユーザーIDに対応するパスワード31cをデータベース30から検索する。
【0045】
ステップS240では、アプリケーションサーバー13は、所定期間が経過したか否かを判定する。所定期間が経過した場合(ステップS240:Yes)は、以降の処理をスキップして、ステップS320へ進む。
他方、所定期間が経過していない場合(ステップS240:No)は、次のステップS250へ進む。
ここで、所定期間としては、例えば、入力パスワードを旧形式の暗号化で運用し、後に、新形式の暗号化の運用に移行した場合に、新形式の運用に移行してからの経過期間を適用することができる。
【0046】
ステップS250では、アプリケーションサーバー13は、パスワード判別部23により、データベース30に保存されている全てのパスワード31cが新形式であるか否かを判別する(ステップS250)。パスワード31cの形式が全て新形式である場合(ステップS250:Yes)は、以降の処理をスキップして、ステップS320へ進む。
他方、パスワード31cのいずれかでも旧形式である場合(ステップS250:No)は、次のステップS260へ進む。
ここで、全てのパスワード31cが新形式である状態とは、これまで旧形式で保存されていたパスワード31cが、全て新形式に移行済の状態であるとみなされる。
【0047】
ステップS260では、図5に示す第1実施形態のステップS140と同様に、データベース30から検索されたパスワード31cの形式を判別する。パスワード31cが新形式である場合は、ステップS320へ進む。
他方、パスワード31cが旧形式である場合は、ステップS270〜S300において、図5に示す第1実施形態のステップS170〜S200と同様に、旧形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致する場合は、新形式に変換したパスワードをパスワード31cに上書きし、ステップS320へ進む。合致しない場合は、第1実施形態のステップS210と同様に、エラーメッセージを端末装置50に表示する。
【0048】
ステップS320,S330,S340では、図5に示す第1実施形態のステップS150,S160,S220と同様に、新形式の入力パスワードとデータベース30から検索されたパスワード31cとが合致するか否かを判定し、合致する場合はログイン後の画面を端末装置50に表示する。合致しない場合は第1実施形態のステップS210と同様に、エラーメッセージを端末装置50に表示する。これで、図6のフローチャートの動作を終了する。
【0049】
上述した実施形態では、所定期間が経過したとき、又はデータベース30に保存されている全てのパスワード31cが新形式であるときに、旧形式のパスワード31cに関する処理をスキップして新形式のパスワード31cに関する処理のみ実行する。これにより、例えば、入力パスワードを旧形式の暗号化で運用し、後に、新形式の暗号化の運用に移行した場合、新形式に移行してからの経過期間で判断して、ユーザーへの影響が少ないと思われる時期に旧形式に関する処理を実行しないようにできる。そして、期間の経過後にユーザー認証に係る処理パフォーマンスを向上させることができる。また、保存されている全てのパスワード31cが新形式であるときに旧形式に関する処理を実行しないことにより、ユーザーへの影響が全くなくなってから旧形式に関する処理を実行しないようすることができる。
更に、旧形式に関する処理を実行しないようにした場合、図6のフローチャートの破線P10で囲った処理部分をプログラム上から削除することにより、プログラムの構造を簡易にすることができ、プログラムのメンテナンス性が向上する。
【0050】
(変形例1)
上述した実施形態では、入力パスワードを固定長のハッシュ値に暗号化してデータベース30に保存している。そして、パスワード判別部23において、パスワード31cのハッシュ値の文字数に基づいて旧形式と新形式とを判別している。しかし、入力パスワードの暗号化は、固定長のハッシュ値に限られず、他の暗号化方式を用いても良い。また、例えば、データベース30の各ユーザー情報31に、旧形式と新形式とを判別するためのパスワード区分情報や、ログインを行った日時情報を保存し、パスワード判別部23において、これらの情報に基づいて判別を行っても良い。
【0051】
(変形例2)
上述した実施形態では、図2に示すように、データベース30に、旧形式又は新形式のパスワード31cを含む各ユーザー情報31が保存されている。しかし、各ユーザー情報31の保存形態はこれに限られず、例えば、図7に示すデータベース30の構成のように、旧形式のパスワード41cを含むユーザー情報41と、新形式のパスワード51cを含むユーザー情報51とを分離して管理するようにしても良い。図7では、ユーザー情報41は、試用期間用のシステムのログイン認証用としている。また、ユーザー情報51は、試用期間終了後における課金用のシステムのログイン認証用としている。このように、両方のシステムのユーザー情報41,51をデータベース30に保存することにより、システムの統合等が容易になり、試用期間におけるパスワードを、課金管理を行うシステムにおいても再登録しないでそのまま使用することができる。
【符号の説明】
【0052】
10…情報処理システム、11…ロードバランサー、12…Webサーバー、13…アプリケーションサーバー、14…データベースサーバー、15…ファイアーウオール、21…通信部、22…パスワード検索部、23…パスワード判別部、24…パスワード照合部、25…パスワード保存部、30…データベース、31,41,51…ユーザー情報、31a…個人管理用ID、31b…ユーザーID、31c,41c,51c…パスワード、50…端末装置、80…ネットワーク。
【特許請求の範囲】
【請求項1】
ユーザー識別情報と、第1の形式又は第2の形式に変換されたパスワードとを対応付けて保存する記憶部を有するユーザー認証方法であって、
ユーザーから入力された、ユーザー識別情報及びパスワードを取得する取得工程と、
前記取得したユーザー識別情報に対応するパスワードを前記記憶部から検索するパスワード検索工程と、
前記検索されたパスワードが前記第1の形式であるか前記第2の形式であるかを判別するパスワード判別工程と、
前記検索されたパスワードが前記第1の形式であると判別された場合に、前記取得したパスワードを前記第1の形式に変換して前記検索されたパスワードと照合し、
前記検索されたパスワードが前記第2の形式であると判別された場合に、前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合するパスワード照合工程と、
前記検索されたパスワードが前記第1の形式であると判別され、且つ前記パスワード照合工程における照合結果が合致したときに、前記取得したパスワードを前記第2の形式に変換して前記取得したユーザー識別情報に対応するパスワードとして前記記憶部に保存するパスワード保存工程と、を有することを特徴とするユーザー認証方法。
【請求項2】
前記第1の形式及び前記第2の形式に変換されたパスワードは、不可逆的に暗号化されていることを特徴とする請求項1に記載のユーザー認証方法。
【請求項3】
前記第1の形式及び前記第2の形式のパスワードは、固定長のハッシュ値であり、
前記パスワード判別工程において、前記第1の形式及び前記第2の形式のパスワードのそれぞれの文字数に基づいて判別することを特徴とする請求項1又は2に記載のユーザー認証方法。
【請求項4】
所定期間が経過したとき又は前記記憶部に保存されているパスワードの全てが前記第2の形式のときに、前記パスワード判別工程及び前記パスワード保存工程をスキップし、前記パスワード照合工程において、無条件に前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合することを特徴とする請求項1から3のいずれか一項に記載のユーザー認証方法。
【請求項1】
ユーザー識別情報と、第1の形式又は第2の形式に変換されたパスワードとを対応付けて保存する記憶部を有するユーザー認証方法であって、
ユーザーから入力された、ユーザー識別情報及びパスワードを取得する取得工程と、
前記取得したユーザー識別情報に対応するパスワードを前記記憶部から検索するパスワード検索工程と、
前記検索されたパスワードが前記第1の形式であるか前記第2の形式であるかを判別するパスワード判別工程と、
前記検索されたパスワードが前記第1の形式であると判別された場合に、前記取得したパスワードを前記第1の形式に変換して前記検索されたパスワードと照合し、
前記検索されたパスワードが前記第2の形式であると判別された場合に、前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合するパスワード照合工程と、
前記検索されたパスワードが前記第1の形式であると判別され、且つ前記パスワード照合工程における照合結果が合致したときに、前記取得したパスワードを前記第2の形式に変換して前記取得したユーザー識別情報に対応するパスワードとして前記記憶部に保存するパスワード保存工程と、を有することを特徴とするユーザー認証方法。
【請求項2】
前記第1の形式及び前記第2の形式に変換されたパスワードは、不可逆的に暗号化されていることを特徴とする請求項1に記載のユーザー認証方法。
【請求項3】
前記第1の形式及び前記第2の形式のパスワードは、固定長のハッシュ値であり、
前記パスワード判別工程において、前記第1の形式及び前記第2の形式のパスワードのそれぞれの文字数に基づいて判別することを特徴とする請求項1又は2に記載のユーザー認証方法。
【請求項4】
所定期間が経過したとき又は前記記憶部に保存されているパスワードの全てが前記第2の形式のときに、前記パスワード判別工程及び前記パスワード保存工程をスキップし、前記パスワード照合工程において、無条件に前記取得したパスワードを前記第2の形式に変換して前記検索されたパスワードと照合することを特徴とする請求項1から3のいずれか一項に記載のユーザー認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−199718(P2011−199718A)
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願番号】特願2010−65861(P2010−65861)
【出願日】平成22年3月23日(2010.3.23)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願日】平成22年3月23日(2010.3.23)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
[ Back to top ]