個別二段階認証方法およびシステム
【課題】複数の認証手段を組み合わせる個別複数段階認証による高度なセキュリティ水準の提供と、利用者個別のニーズ、環境、セキュリティレベルに応じた認証方式を選択可能とする複数段階認証システムを提供する。
【解決手段】個別二段階認証システム10は、端末の表示画面部11と、表示画面部11の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部12と、一段階目認証部12により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部13と、複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部14を備える。
【解決手段】個別二段階認証システム10は、端末の表示画面部11と、表示画面部11の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部12と、一段階目認証部12により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部13と、複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部14を備える。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、コンピュータを操作して、コンピュータネットワーク上に入るにあたって、セキュリティ面でより高次元の安全性を図ることができる個別二段階認証方法およびシステムに関する。
【背景技術】
【0002】
従来、この種認証システムに類似するシステムとして、民間の機関や個人のパソコン等の端末へIDやパスワードを入力する方法による認証手段を経てインターネット等のネットワークに接続することが可能になっている。そして、この種の認証システムによれば、所要の認証を行なうことができるので、一定のセキュリティが保持されるようになっている。
【0003】
ところが、近年、個人情報や企業情報等の情報が種々に亘り増加傾向になる一方で、IDやパスワードの盗難などにより、これらの情報の盗用が増加傾向になっている。そのため、パソコンなどの端末操作者にとっては、セキュリティ面での管理が一層求められるようになってきている。
【0004】
近年、認証システムの一つとして、複数のパスワードを用いなければ、コンピュータネットワーク上のターゲットに接続ができなく、またそのパスワードの一部は、予め定められているものではなく、任意のパスワードが都度提供され、これらのパスワードが照合され、認証されることによりターゲットへ接続が可能となる複数段階認証システムが開発されている。
【0005】
この従来の複数段階認証システムを、図4(特許文献1)を参照して説明する。
【0006】
図4に示す従来の複数段階認証システム1は、所定の端末側のリモート・システム2から第1パスワード3をターゲット4へ入力することにより、暗号化された鍵5がターゲット4から付与される。
【0007】
次に、この暗号化された鍵5を用いて、許可(モジュール)7に対して送信することにより、許可7は、暗号化された鍵5を複合化したものから固有の第3パスワード8をリモート・システム2側へ導出する。
【0008】
許可7は、許可されたユーザYを識別し、ターゲットに許可されたリモート・アクセスするための固有の装置、システム、および方法を提供することを示す。第1に、本発明は、リモート・ユーザYが3つの別々のパスワード3,6,8を提供した場合にリモート通信接続を確立する。第3パスワード8は、暗号化された鍵が許可7によって復号化された後に使用可能となる。第2に、第3パスワード8を得るためには、リモート・ユーザYを許可されたユーザリスト内で識別しなければならない。最後に、リモート・アクセスが短いリモート・ユーザYの行動が詳細に記録される。
【0009】
許可7は、暗号化された鍵5を復号化したものから固有の第3パスワード8を導出する。許可7は、第3パスワード8をリモート・システム2に送信し、リモート・ユーザYを許可7からログオフさせる。
【0010】
再び、リモート・システム2は、ターゲット4との通信を開始する。
【0011】
次に、リモート・システム2は、第1パスワード3の代わりに第3パスワード8を提供する。加えて、リモート・ユーザYは、そのユーザに固有のユーザIDを第3パスワード8と共に提供することができる。このようにして、特定のリモート・ユーザYの行動を追跡することができる。
【0012】
第3パスワード8が正しいとターゲット4が判定した場合、リモート・ユーザYがログオンし、リモート通信接続が確立される。第3パスワード8は短期間だけ有効であることが好ましい。例えば、選択される期間は24時間でよい。あるいは、第3パスワード8の期間は、5回など所定のログイン回数を含めることもできる。別の代替方法では、期間は、特定の時間枠内のログイン回数に依存することもできる。
【0013】
リモート・ユーザYがログオンした後、ターゲット4は、リモート・ユーザYがリモート接続を介して実施することのできる行動を制限することができ、リモート・ユーザYが取る行動を記録することもできる。制限される行動は、第1パスワード3または第3パスワード8によって定義することができる。
【特許文献1】特開2005−53439号公報
【発明の開示】
【発明が解決しようとする課題】
【0014】
従来の複数段階認証システム1は、上述したように、複数要素の手段を用いた認証方式の提供は可能であったが、認証システムとしては同一の方式でなければならなかった。このため、利用者側のニーズや環境、利用者毎のセキュリティレベルに応じた柔軟な認証方式を提供できなかった。
【0015】
また、システム全体で同一の方式であるため、その方式のセキュリティ上の欠陥が見つかった際等には、被害がシステム全体に及ぶ可能性があった。
【0016】
本方式は、これらの問題を解決するものであり、複数の認証手段を組み合わせる個別複数段階認証による高度なセキュリティ水準の提供と、利用者個別のニーズ、環境、セキュリティレベルに応じた認証方式を選択可能とする複数段階認証システムを提供することを目的とする。
【0017】
また、同時に、複数の認証手段を利用可能とすることにより、個別の方式にセキュリティ上の欠陥が見つかった場合でも、全体への影響を小さく収める危険分散を可能とすることができる複数段階認証システムを提供することを目的とする。
【課題を解決するための手段】
【0018】
上記目的を達成するために、本発明によれば、端末の表示画面部に表示される初期画面に対して、一段階目認証部へIDおよびパスワードを入力させるステップと、利用者毎に特定の認証手法を任意に選択できる利用者別二段階目認証部へ入力させるステップと、複数の業務システムに接続可能なシングルサインオン情報設定部にシングルサインオン情報を設定入力させるステップと、を順次踏むことによる複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証方法を提供する。
【0019】
上記目的を達成するために、本発明によれば、端末の表示画面部と、前記表示画面部の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部と、前記一段階目認証部により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部と、複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部と、を具備し、前記各認証部における複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証システムを提供する。
【発明の効果】
【0020】
本発明の個別複数段階認証方法およびそのシステムによれば、利用者個別に二段階目の認証方式を定義することから、一段階目の認証では利用者を特定できる。加えて、本方式の結果による認証情報を任意の業務システムに提供することで、複数の業務システム間でのシングルサインオンを実現のためのキーとなるユーザ情報は、一段階目認証のIDを用いるものとするため、一段階目の認証においてはIDおよびパスワードによる方式で共通化を図っている。
【0021】
また、本発明の個別複数段階認証方法およびそのシステムによれば、一段階目認証部および利用者別二段階目認証部の組合せにより、利用者毎に二段階目の認証方式を任意に設定可能となり、高い安全性の確保が可能となる。
【0022】
また、利用者別二段階目認証部のID情報を元にすることで、複数業務システムで利用可能なシングルサインオンの実現が可能となる。
【発明を実施するための最良の形態】
【0023】
本発明の個別二段階認証システムに係る実施形態について、添付図面を参照して説明する。
【0024】
図1は、本発明の個別二段階認証システムの全体構成における作業フローを示すブロック図である。図2は、本発明の個別二段階認証システムにおける二段階目認証機能を説明するブロック図である。
【0025】
図1に示す個別二段階認証システム10は、作業に用いる任意の端末(図示せず)の表示画面部11と、表示画面部11の初期画面へ取扱者の操作によりIDおよびパスワードが入力可能な一段階目認証部12と、更に利用者別に二段階目の認証入力が可能な利用者別二段階目認証部13と、利用者別二段階目認証部13による認証入力が完了してから、続いてシングルサインオン情報の設定入力が可能なシングルサインオン情報設定部14と、一段階目認証部12、利用者別二段階目認証部13およびシングルサインオン情報設定部14における入力に誤りがあった場合に、エラー信号を受信して、表示画面部11の初期画面にフィードバック信号を送信するエラー処理部15と、を具備する。
【0026】
一段階目認証部12は、IDおよびパスワードが認証入力されることにより、図2に示すように、IDおよびパスワードを認証完了および利用者別二段階目認証のための入力画面信号を送信するものである。
【0027】
なお、ここで入力されるIDは、後の利用者別二段階目の認証及びシングルサインオン情報に用いることができる。
【0028】
また、このIDは、例えば一般的に用いられる英数字4〜12文字程度の長さからなる任意の文字列であるが、利用者を必ず一意に特定できるものでなければならない。本方式では、文字種類、文字長ともに任意のものを扱う。
【0029】
利用者別二段階目認証部13は、利用者毎に定められた二段階目の認証方式を判別する部分及び、二段階目の認証を実行する部分である。
【0030】
この利用者別二段階目認証部13には、図2に示すように、利用者別認証方式判別部13aおよび利用者別二段階目認証呼び出し/判定部13bを備えている。
【0031】
利用者別認証方式判別部13aは、具体的には、利用者個別に定義されている認証方式を判定し、後段の利用者別二段階目認証呼び出し/判定部13bに認証方式を伝える処理を行う部分である。
【0032】
利用者別二段階目認証呼び出し/判定部13bは、具体的には、利用者別認証方式判別部13aから受け取った認証方式に基づいて、二段階目認証の実行並びに結果の判定を行う部分である。本判定部の存在により、利用者別認証方式判別部13aから認証方式個別の処理を抽象化し、複数の方式に対応可能としている。
【0033】
なお、ある利用者がどの認証方式とするかは、本方式を用いる情報システムの管理者、あるいは組織の管理者が指定するものか、もしくは利用者個人が自分で定めるもののいずれかとする。
【0034】
また、用いる情報システムの用途によって、PKI方式認証処理部13c、トークン方式認証処理部13dおよびその他方式認証処理部13eのいずれかが選択できる方式としているが、二段階目の認証を無しとすることも可能である。
【0035】
そして、何れかが選択されることにより、図示しない通信ネットワークの任意の作業可能システムへ接続されるようになっている。
【0036】
なお、ここで、各認証処理部13c〜13eについて詳述する。
【0037】
PKI方式認証処理部13cは、物理的な媒体を用いた認証手段として代表的な、電子証明書を用いたPKI方式の認証を司る部分であり、複数のPKIに対応可能とするための汎用的なインタフェースを持つ。PKIの有効性確認等を行う。
【0038】
また、トークン方式認証処理部13dは、同じく物理的な媒体を用いた認証手段として代表的な、トークンを用いた認証方式を司る部分である。
【0039】
トークンは、その方式によりインタフェースが個別となるため、本処理部を用いるトークンに合わせて拡張していくことが必要である。例えば、RSAセキュリティ株式会社のセキュアID(商標)とのインタフェースを採用することができる。
【0040】
更に、その他方式認証処理部13eは、任意の方式を個別に組み込み可能とするための部分である。上述したPKI方式認証処理部13cまたはトークン方式認証処理部13d以外の方式を採用する場合には、本処理部を拡張することで実装することができる。
【0041】
次に、シングルサインオン情報設定部14について具体的に説明する。
【0042】
シングルサインオン情報設定部14の存在根拠は、全ての認証が成功した後に、その利用者が、本方式を共通で用いる情報システムに対し、個別の認証手続きを行わなくとも各情報システムを利用可能とするための、シングルサインオン情報を設定する部分である。本方式では、webアプリケーションを対象にしているため、httpのセッションメモリ、http cookie等のhttp通信で広く一般に用いられる通信用記憶領域に格納する。
【0043】
設定される情報には、ID、認証に成功した日時分秒、二段階目に用いられた認証手段の種類、認証の有効期限、本システムで認証を行ったことを確認するための暗号情報等が有る。
【0044】
また、エラー処理部15については、誤った入力等に起因する認証処理に失敗の際のエラー処理を一元的に行う部分である。エラーメッセージ等の一元管理及び統一的なエラー呼び出し方法を提供し、システム実装を効率化するものである。
【0045】
次に、個別二段階認証システム10の操作手順について、図1〜図3を参照して説明する。
【0046】
図3は、本発明の個別二段階認証システム10の作用を説明するためのフロー図である。
【0047】
所要の作業を開始するにあたって、図1に示すように、個別二段階認証システム10の、図示しない端末の表示画面部11へ表示された初期画面を見ながら、図3に示すように認証呼び出しa(符号参照)を行なう。そして、先ず一段階目認証部12へIDとパスワード入力bを行ない、利用者別認証方式判別部12aにより利用者別の判別が行なわれる。この判別にあたって、IDとパスワードの組み合わせが正しいか否かの判定が行なわれ、正しくない場合には、IDとパスワード入力bへフィードバックdがかかり再入力の指令が出される。
【0048】
そして、IDとパスワードの組み合わせが正しい場合には、利用者別二段階目認証部13へ移行し、表示画面部11へ利用者別認証方式判別部13aから判別eが行なわれ、認証処理の各方式、すなわち、PKI方式認証処理部13cとトークン方式認証処理部13dおよびその他方式認証処理部13eのいずれかが表示され、選択指示が出される。
【0049】
PKI方式認証fを選定した場合には、PKI方式認証呼び出しgが行なわれ、有効なPKIか否かの質問hが出される。有効である場合、シングルサインオン用情報設定iを行なう。
【0050】
以上のステップが完了することにより、表示画面部11は、再び初期画面の状態jになり、各種業務システムkにおける作業を行なうことができる。
【0051】
なお、上記PKI方式認証fの段階で、PKI方式認証でない場合には、トークン方式認証か否かの質問qがある。トークン方式認証である場合には、トークン方式認証の呼び出しがあり、有効なトークンとPINかの質問がある。
【0052】
yesである場合には、シングルサインオン用情報設定iを行なう。
【0053】
また、トークン方式認証か否かの質問qの際に、noである場合には、その他の方式の認証呼び出しoがある。認証成功かの質問pに対してyesである場合には、シングルサインオン用情報設定iを行なう。
【0054】
以上の有効なトークンとPINかの質問nがyesの場合およびその他の方式の認証成功かの質問pがyesの場合とも、上記PKI方式認証fの場合と同様に、シングルサインオン用情報設定iを行なうことができる。
【0055】
したがって、表示画面部11の画面は、再び初期画面の状態jになり、各種業務システムk1〜knに接続させ、任意の作業を行なうことができる。
【0056】
本発明が採用する個別二段階認証方法によれば、利用者は、端末の表示画面部11に表示される初期画面に対して、一段階目認証部12へIDおよびパスワードを入力するステップと、利用者毎に特定の認証手法を任意に選択できる利用者別二段階目認証部13へ入力するステップと、複数の業務システムk1〜knに接続可能なシングルサインオン情報設定部14にシングルサインオン情報を設定入力するステップと、を順次踏むことによる複数方式認証により、利用者別の認証を可能にする。
【0057】
また、本発明が採用する個別二段階認証システムによれば、個別二段階認証システム10は、端末の表示画面部11と、表示画面部11の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部12と、一段階目認証部12により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部13と、複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部14を備えることによって、各認証部における複数方式認証により、利用者別の認証を可能にする。
【0058】
したがって、本発明の個別二段階認証方法およびそのシステムによれば、複数手段を用いた二段階の認証により、従来の方式よりも格段に高い安全性を提供し、本方式を用いる情報システム全体の安全度を高めることができる。
【0059】
また、二段階目の認証方式は、複数の選択・拡張が可能であるため、ニーズに応じて用意に拡張することができる。
【0060】
更には、シングルサインオンの実現により、複数の業務システム(webアプリケーション)に提供可能な形式で認証情報の伝達が可能であるため、安全性の高い二段階認証を複数の業務システムにおいて共通で利用可能であり、かつ利用者は一度の認証で複数システムが利用可能となる。
【図面の簡単な説明】
【0061】
【図1】本発明の個別二段階認証システムの全体構成における作業フローを示すブロック図。
【図2】本発明の個別二段階認証システムにおける二段階目認証機能を説明するブロック図。
【図3】本発明の個別二段階認証システムの作用を説明するためのフロー図。
【図4】従来の二段階認証システムにおける作用を説明するためのフロー図。
【符号の説明】
【0062】
10 個別二段階認証システム
11 表示画面部
12 一段階目認証部
13 利用者別二段階目認証部
13a 利用者別認証方式判別部
13b 利用者別二段階目認証呼び出し/判定部
13c PKI方式認証処理部
13d トークン方式認証処理部
13e その他方式認証処理部
14 シングルサインオン情報設定部
15 エラー処理部
k1〜kn 業務システム
【技術分野】
【0001】
この発明は、コンピュータを操作して、コンピュータネットワーク上に入るにあたって、セキュリティ面でより高次元の安全性を図ることができる個別二段階認証方法およびシステムに関する。
【背景技術】
【0002】
従来、この種認証システムに類似するシステムとして、民間の機関や個人のパソコン等の端末へIDやパスワードを入力する方法による認証手段を経てインターネット等のネットワークに接続することが可能になっている。そして、この種の認証システムによれば、所要の認証を行なうことができるので、一定のセキュリティが保持されるようになっている。
【0003】
ところが、近年、個人情報や企業情報等の情報が種々に亘り増加傾向になる一方で、IDやパスワードの盗難などにより、これらの情報の盗用が増加傾向になっている。そのため、パソコンなどの端末操作者にとっては、セキュリティ面での管理が一層求められるようになってきている。
【0004】
近年、認証システムの一つとして、複数のパスワードを用いなければ、コンピュータネットワーク上のターゲットに接続ができなく、またそのパスワードの一部は、予め定められているものではなく、任意のパスワードが都度提供され、これらのパスワードが照合され、認証されることによりターゲットへ接続が可能となる複数段階認証システムが開発されている。
【0005】
この従来の複数段階認証システムを、図4(特許文献1)を参照して説明する。
【0006】
図4に示す従来の複数段階認証システム1は、所定の端末側のリモート・システム2から第1パスワード3をターゲット4へ入力することにより、暗号化された鍵5がターゲット4から付与される。
【0007】
次に、この暗号化された鍵5を用いて、許可(モジュール)7に対して送信することにより、許可7は、暗号化された鍵5を複合化したものから固有の第3パスワード8をリモート・システム2側へ導出する。
【0008】
許可7は、許可されたユーザYを識別し、ターゲットに許可されたリモート・アクセスするための固有の装置、システム、および方法を提供することを示す。第1に、本発明は、リモート・ユーザYが3つの別々のパスワード3,6,8を提供した場合にリモート通信接続を確立する。第3パスワード8は、暗号化された鍵が許可7によって復号化された後に使用可能となる。第2に、第3パスワード8を得るためには、リモート・ユーザYを許可されたユーザリスト内で識別しなければならない。最後に、リモート・アクセスが短いリモート・ユーザYの行動が詳細に記録される。
【0009】
許可7は、暗号化された鍵5を復号化したものから固有の第3パスワード8を導出する。許可7は、第3パスワード8をリモート・システム2に送信し、リモート・ユーザYを許可7からログオフさせる。
【0010】
再び、リモート・システム2は、ターゲット4との通信を開始する。
【0011】
次に、リモート・システム2は、第1パスワード3の代わりに第3パスワード8を提供する。加えて、リモート・ユーザYは、そのユーザに固有のユーザIDを第3パスワード8と共に提供することができる。このようにして、特定のリモート・ユーザYの行動を追跡することができる。
【0012】
第3パスワード8が正しいとターゲット4が判定した場合、リモート・ユーザYがログオンし、リモート通信接続が確立される。第3パスワード8は短期間だけ有効であることが好ましい。例えば、選択される期間は24時間でよい。あるいは、第3パスワード8の期間は、5回など所定のログイン回数を含めることもできる。別の代替方法では、期間は、特定の時間枠内のログイン回数に依存することもできる。
【0013】
リモート・ユーザYがログオンした後、ターゲット4は、リモート・ユーザYがリモート接続を介して実施することのできる行動を制限することができ、リモート・ユーザYが取る行動を記録することもできる。制限される行動は、第1パスワード3または第3パスワード8によって定義することができる。
【特許文献1】特開2005−53439号公報
【発明の開示】
【発明が解決しようとする課題】
【0014】
従来の複数段階認証システム1は、上述したように、複数要素の手段を用いた認証方式の提供は可能であったが、認証システムとしては同一の方式でなければならなかった。このため、利用者側のニーズや環境、利用者毎のセキュリティレベルに応じた柔軟な認証方式を提供できなかった。
【0015】
また、システム全体で同一の方式であるため、その方式のセキュリティ上の欠陥が見つかった際等には、被害がシステム全体に及ぶ可能性があった。
【0016】
本方式は、これらの問題を解決するものであり、複数の認証手段を組み合わせる個別複数段階認証による高度なセキュリティ水準の提供と、利用者個別のニーズ、環境、セキュリティレベルに応じた認証方式を選択可能とする複数段階認証システムを提供することを目的とする。
【0017】
また、同時に、複数の認証手段を利用可能とすることにより、個別の方式にセキュリティ上の欠陥が見つかった場合でも、全体への影響を小さく収める危険分散を可能とすることができる複数段階認証システムを提供することを目的とする。
【課題を解決するための手段】
【0018】
上記目的を達成するために、本発明によれば、端末の表示画面部に表示される初期画面に対して、一段階目認証部へIDおよびパスワードを入力させるステップと、利用者毎に特定の認証手法を任意に選択できる利用者別二段階目認証部へ入力させるステップと、複数の業務システムに接続可能なシングルサインオン情報設定部にシングルサインオン情報を設定入力させるステップと、を順次踏むことによる複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証方法を提供する。
【0019】
上記目的を達成するために、本発明によれば、端末の表示画面部と、前記表示画面部の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部と、前記一段階目認証部により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部と、複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部と、を具備し、前記各認証部における複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証システムを提供する。
【発明の効果】
【0020】
本発明の個別複数段階認証方法およびそのシステムによれば、利用者個別に二段階目の認証方式を定義することから、一段階目の認証では利用者を特定できる。加えて、本方式の結果による認証情報を任意の業務システムに提供することで、複数の業務システム間でのシングルサインオンを実現のためのキーとなるユーザ情報は、一段階目認証のIDを用いるものとするため、一段階目の認証においてはIDおよびパスワードによる方式で共通化を図っている。
【0021】
また、本発明の個別複数段階認証方法およびそのシステムによれば、一段階目認証部および利用者別二段階目認証部の組合せにより、利用者毎に二段階目の認証方式を任意に設定可能となり、高い安全性の確保が可能となる。
【0022】
また、利用者別二段階目認証部のID情報を元にすることで、複数業務システムで利用可能なシングルサインオンの実現が可能となる。
【発明を実施するための最良の形態】
【0023】
本発明の個別二段階認証システムに係る実施形態について、添付図面を参照して説明する。
【0024】
図1は、本発明の個別二段階認証システムの全体構成における作業フローを示すブロック図である。図2は、本発明の個別二段階認証システムにおける二段階目認証機能を説明するブロック図である。
【0025】
図1に示す個別二段階認証システム10は、作業に用いる任意の端末(図示せず)の表示画面部11と、表示画面部11の初期画面へ取扱者の操作によりIDおよびパスワードが入力可能な一段階目認証部12と、更に利用者別に二段階目の認証入力が可能な利用者別二段階目認証部13と、利用者別二段階目認証部13による認証入力が完了してから、続いてシングルサインオン情報の設定入力が可能なシングルサインオン情報設定部14と、一段階目認証部12、利用者別二段階目認証部13およびシングルサインオン情報設定部14における入力に誤りがあった場合に、エラー信号を受信して、表示画面部11の初期画面にフィードバック信号を送信するエラー処理部15と、を具備する。
【0026】
一段階目認証部12は、IDおよびパスワードが認証入力されることにより、図2に示すように、IDおよびパスワードを認証完了および利用者別二段階目認証のための入力画面信号を送信するものである。
【0027】
なお、ここで入力されるIDは、後の利用者別二段階目の認証及びシングルサインオン情報に用いることができる。
【0028】
また、このIDは、例えば一般的に用いられる英数字4〜12文字程度の長さからなる任意の文字列であるが、利用者を必ず一意に特定できるものでなければならない。本方式では、文字種類、文字長ともに任意のものを扱う。
【0029】
利用者別二段階目認証部13は、利用者毎に定められた二段階目の認証方式を判別する部分及び、二段階目の認証を実行する部分である。
【0030】
この利用者別二段階目認証部13には、図2に示すように、利用者別認証方式判別部13aおよび利用者別二段階目認証呼び出し/判定部13bを備えている。
【0031】
利用者別認証方式判別部13aは、具体的には、利用者個別に定義されている認証方式を判定し、後段の利用者別二段階目認証呼び出し/判定部13bに認証方式を伝える処理を行う部分である。
【0032】
利用者別二段階目認証呼び出し/判定部13bは、具体的には、利用者別認証方式判別部13aから受け取った認証方式に基づいて、二段階目認証の実行並びに結果の判定を行う部分である。本判定部の存在により、利用者別認証方式判別部13aから認証方式個別の処理を抽象化し、複数の方式に対応可能としている。
【0033】
なお、ある利用者がどの認証方式とするかは、本方式を用いる情報システムの管理者、あるいは組織の管理者が指定するものか、もしくは利用者個人が自分で定めるもののいずれかとする。
【0034】
また、用いる情報システムの用途によって、PKI方式認証処理部13c、トークン方式認証処理部13dおよびその他方式認証処理部13eのいずれかが選択できる方式としているが、二段階目の認証を無しとすることも可能である。
【0035】
そして、何れかが選択されることにより、図示しない通信ネットワークの任意の作業可能システムへ接続されるようになっている。
【0036】
なお、ここで、各認証処理部13c〜13eについて詳述する。
【0037】
PKI方式認証処理部13cは、物理的な媒体を用いた認証手段として代表的な、電子証明書を用いたPKI方式の認証を司る部分であり、複数のPKIに対応可能とするための汎用的なインタフェースを持つ。PKIの有効性確認等を行う。
【0038】
また、トークン方式認証処理部13dは、同じく物理的な媒体を用いた認証手段として代表的な、トークンを用いた認証方式を司る部分である。
【0039】
トークンは、その方式によりインタフェースが個別となるため、本処理部を用いるトークンに合わせて拡張していくことが必要である。例えば、RSAセキュリティ株式会社のセキュアID(商標)とのインタフェースを採用することができる。
【0040】
更に、その他方式認証処理部13eは、任意の方式を個別に組み込み可能とするための部分である。上述したPKI方式認証処理部13cまたはトークン方式認証処理部13d以外の方式を採用する場合には、本処理部を拡張することで実装することができる。
【0041】
次に、シングルサインオン情報設定部14について具体的に説明する。
【0042】
シングルサインオン情報設定部14の存在根拠は、全ての認証が成功した後に、その利用者が、本方式を共通で用いる情報システムに対し、個別の認証手続きを行わなくとも各情報システムを利用可能とするための、シングルサインオン情報を設定する部分である。本方式では、webアプリケーションを対象にしているため、httpのセッションメモリ、http cookie等のhttp通信で広く一般に用いられる通信用記憶領域に格納する。
【0043】
設定される情報には、ID、認証に成功した日時分秒、二段階目に用いられた認証手段の種類、認証の有効期限、本システムで認証を行ったことを確認するための暗号情報等が有る。
【0044】
また、エラー処理部15については、誤った入力等に起因する認証処理に失敗の際のエラー処理を一元的に行う部分である。エラーメッセージ等の一元管理及び統一的なエラー呼び出し方法を提供し、システム実装を効率化するものである。
【0045】
次に、個別二段階認証システム10の操作手順について、図1〜図3を参照して説明する。
【0046】
図3は、本発明の個別二段階認証システム10の作用を説明するためのフロー図である。
【0047】
所要の作業を開始するにあたって、図1に示すように、個別二段階認証システム10の、図示しない端末の表示画面部11へ表示された初期画面を見ながら、図3に示すように認証呼び出しa(符号参照)を行なう。そして、先ず一段階目認証部12へIDとパスワード入力bを行ない、利用者別認証方式判別部12aにより利用者別の判別が行なわれる。この判別にあたって、IDとパスワードの組み合わせが正しいか否かの判定が行なわれ、正しくない場合には、IDとパスワード入力bへフィードバックdがかかり再入力の指令が出される。
【0048】
そして、IDとパスワードの組み合わせが正しい場合には、利用者別二段階目認証部13へ移行し、表示画面部11へ利用者別認証方式判別部13aから判別eが行なわれ、認証処理の各方式、すなわち、PKI方式認証処理部13cとトークン方式認証処理部13dおよびその他方式認証処理部13eのいずれかが表示され、選択指示が出される。
【0049】
PKI方式認証fを選定した場合には、PKI方式認証呼び出しgが行なわれ、有効なPKIか否かの質問hが出される。有効である場合、シングルサインオン用情報設定iを行なう。
【0050】
以上のステップが完了することにより、表示画面部11は、再び初期画面の状態jになり、各種業務システムkにおける作業を行なうことができる。
【0051】
なお、上記PKI方式認証fの段階で、PKI方式認証でない場合には、トークン方式認証か否かの質問qがある。トークン方式認証である場合には、トークン方式認証の呼び出しがあり、有効なトークンとPINかの質問がある。
【0052】
yesである場合には、シングルサインオン用情報設定iを行なう。
【0053】
また、トークン方式認証か否かの質問qの際に、noである場合には、その他の方式の認証呼び出しoがある。認証成功かの質問pに対してyesである場合には、シングルサインオン用情報設定iを行なう。
【0054】
以上の有効なトークンとPINかの質問nがyesの場合およびその他の方式の認証成功かの質問pがyesの場合とも、上記PKI方式認証fの場合と同様に、シングルサインオン用情報設定iを行なうことができる。
【0055】
したがって、表示画面部11の画面は、再び初期画面の状態jになり、各種業務システムk1〜knに接続させ、任意の作業を行なうことができる。
【0056】
本発明が採用する個別二段階認証方法によれば、利用者は、端末の表示画面部11に表示される初期画面に対して、一段階目認証部12へIDおよびパスワードを入力するステップと、利用者毎に特定の認証手法を任意に選択できる利用者別二段階目認証部13へ入力するステップと、複数の業務システムk1〜knに接続可能なシングルサインオン情報設定部14にシングルサインオン情報を設定入力するステップと、を順次踏むことによる複数方式認証により、利用者別の認証を可能にする。
【0057】
また、本発明が採用する個別二段階認証システムによれば、個別二段階認証システム10は、端末の表示画面部11と、表示画面部11の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部12と、一段階目認証部12により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部13と、複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部14を備えることによって、各認証部における複数方式認証により、利用者別の認証を可能にする。
【0058】
したがって、本発明の個別二段階認証方法およびそのシステムによれば、複数手段を用いた二段階の認証により、従来の方式よりも格段に高い安全性を提供し、本方式を用いる情報システム全体の安全度を高めることができる。
【0059】
また、二段階目の認証方式は、複数の選択・拡張が可能であるため、ニーズに応じて用意に拡張することができる。
【0060】
更には、シングルサインオンの実現により、複数の業務システム(webアプリケーション)に提供可能な形式で認証情報の伝達が可能であるため、安全性の高い二段階認証を複数の業務システムにおいて共通で利用可能であり、かつ利用者は一度の認証で複数システムが利用可能となる。
【図面の簡単な説明】
【0061】
【図1】本発明の個別二段階認証システムの全体構成における作業フローを示すブロック図。
【図2】本発明の個別二段階認証システムにおける二段階目認証機能を説明するブロック図。
【図3】本発明の個別二段階認証システムの作用を説明するためのフロー図。
【図4】従来の二段階認証システムにおける作用を説明するためのフロー図。
【符号の説明】
【0062】
10 個別二段階認証システム
11 表示画面部
12 一段階目認証部
13 利用者別二段階目認証部
13a 利用者別認証方式判別部
13b 利用者別二段階目認証呼び出し/判定部
13c PKI方式認証処理部
13d トークン方式認証処理部
13e その他方式認証処理部
14 シングルサインオン情報設定部
15 エラー処理部
k1〜kn 業務システム
【特許請求の範囲】
【請求項1】
端末の表示画面部に表示される初期画面に対して、一段階目認証部へIDおよびパスワードを入力させるステップと、
利用者毎に特定の認証手法を任意に選択できる利用者別二段階目認証部へ入力させるステップと、
複数の業務システムに接続可能なシングルサインオン情報設定部にシングルサインオン情報を設定入力させるステップと、
を順次踏むことによる複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証方法。
【請求項2】
端末の表示画面部に表示される初期画面に対して、一段階目認証部へIDおよびパスワードを入力させるステップと、
利用者毎に特定の認証手法を任意に選択あるいは選択しないを選定し利用者別二段階認証部へ入力させるステップと、
前記特定の認証手法を任意に選択する場合において、複数の業務システムに接続可能なシングルサインオン情報設定部にシングルサインオン情報を設定入力するステップと、
を具備する個別二段階認証方法。
【請求項3】
端末の表示画面部と、
前記表示画面部の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部と、
前記一段階目認証部により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部と、
複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部と、
を具備し、
前記各認証部における複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証システム。
【請求項4】
前記利用者別二段階目認証部は、利用者個別に定義されている認証方式を判定し、後段の利用者別二段階目認証呼び出し/判定部に認証方式を伝える処理を行う利用者別認証方式判別部と、当該利用者別認証方式判別部から受け取った認証方式に基づいて、二段階目認証の実行並びに結果の判定を行う利用者別二段階目認証呼び出し/判定部を備えたことを特徴とする請求項3記載の個別二段階認証システム。
【請求項5】
前記シングルサインオン情報設定部は、トークン方式認証処理部,PKI方式認証処理部およびその他方式の認証処理部を備え、いずれかの処理部を選択設定し得るようにしたことを特徴とする請求項3記載の個別二段階認証システム。
【請求項1】
端末の表示画面部に表示される初期画面に対して、一段階目認証部へIDおよびパスワードを入力させるステップと、
利用者毎に特定の認証手法を任意に選択できる利用者別二段階目認証部へ入力させるステップと、
複数の業務システムに接続可能なシングルサインオン情報設定部にシングルサインオン情報を設定入力させるステップと、
を順次踏むことによる複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証方法。
【請求項2】
端末の表示画面部に表示される初期画面に対して、一段階目認証部へIDおよびパスワードを入力させるステップと、
利用者毎に特定の認証手法を任意に選択あるいは選択しないを選定し利用者別二段階認証部へ入力させるステップと、
前記特定の認証手法を任意に選択する場合において、複数の業務システムに接続可能なシングルサインオン情報設定部にシングルサインオン情報を設定入力するステップと、
を具備する個別二段階認証方法。
【請求項3】
端末の表示画面部と、
前記表示画面部の初期画面へIDおよびパスワードが入力されることにより、前記IDおよびパスワードを認証する一段階目認証部と、
前記一段階目認証部により認証後において、利用者別に二段階目の認証手法を選択可能に設けられる利用者別二段階目認証部と、
複数の業務システムに接続できるようにシングルサインオン情報の設定入力が可能に設けられるシングルサインオン情報設定部と、
を具備し、
前記各認証部における複数方式認証により利用者別の認証を可能にしたことを特徴とする個別二段階認証システム。
【請求項4】
前記利用者別二段階目認証部は、利用者個別に定義されている認証方式を判定し、後段の利用者別二段階目認証呼び出し/判定部に認証方式を伝える処理を行う利用者別認証方式判別部と、当該利用者別認証方式判別部から受け取った認証方式に基づいて、二段階目認証の実行並びに結果の判定を行う利用者別二段階目認証呼び出し/判定部を備えたことを特徴とする請求項3記載の個別二段階認証システム。
【請求項5】
前記シングルサインオン情報設定部は、トークン方式認証処理部,PKI方式認証処理部およびその他方式の認証処理部を備え、いずれかの処理部を選択設定し得るようにしたことを特徴とする請求項3記載の個別二段階認証システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2010−67184(P2010−67184A)
【公開日】平成22年3月25日(2010.3.25)
【国際特許分類】
【出願番号】特願2008−235184(P2008−235184)
【出願日】平成20年9月12日(2008.9.12)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成22年3月25日(2010.3.25)
【国際特許分類】
【出願日】平成20年9月12日(2008.9.12)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]