情報処理システム、情報処理装置、認証サーバ、情報処理方法、及びプログラム
【課題】シングルサインオンにおけるバックグラウンドでの認証時に、セキュリティーを担保することができる情報処理システムを提供する。
【解決手段】情報処理装置1は、ソフトウェアの実行時に、認証識別情報を保持している場合には、その認証識別情報を認証サーバ2に送信し、保持していない場合には、認証情報の入力をユーザに要求して、入力された認証情報を認証サーバ2に送信する。認証サーバ2は、認証情報や認証識別情報を用いた認証を行って、その認証結果を送信すると共に、認証情報による認証によって正当であると判断された場合には、認証識別情報を取得して送信する。情報処理装置1は、認証結果に応じてソフトウェアを実行すると共に、認証識別情報を受信して保持し、その後のソフトウェア実行時の認証の際に、その認証識別情報を認証サーバ2に送信する。
【解決手段】情報処理装置1は、ソフトウェアの実行時に、認証識別情報を保持している場合には、その認証識別情報を認証サーバ2に送信し、保持していない場合には、認証情報の入力をユーザに要求して、入力された認証情報を認証サーバ2に送信する。認証サーバ2は、認証情報や認証識別情報を用いた認証を行って、その認証結果を送信すると共に、認証情報による認証によって正当であると判断された場合には、認証識別情報を取得して送信する。情報処理装置1は、認証結果に応じてソフトウェアを実行すると共に、認証識別情報を受信して保持し、その後のソフトウェア実行時の認証の際に、その認証識別情報を認証サーバ2に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証に関する処理を行う情報処理装置や認証サーバ等に関する。
【背景技術】
【0002】
従来、ユーザが一度認証を受けると、許可されるすべての機能を利用可能になるシングルサインオンという仕組みが用いられていた(例えば、非特許文献1参照)。
【非特許文献1】「シングルサインオン」、[online]、[2007年10月2日検索]、インターネット<URL:http://e−words.jp/w/E382B7E383B3E382B0E383ABE382B5E382A4E383B3E382AAE383B3.html>
【発明の開示】
【発明が解決しようとする課題】
【0003】
なお、従来のシングルサインオンにおいて、ユーザへの認証は一度だけであるが、ユーザが認証を受けた以外の機能を用いる際にも、バックグラウンドで認証が行われることもある。また、そのような認証が、ユーザの所望の機能を実行する装置とは別の装置、例えば認証サーバにおいて行われることもあった。その場合に、ユーザの所望の機能を実行する装置と認証サーバとの間で、ユーザIDやパスワードが複数回にわたって送受信されると、セキュリティー上の問題が発生する可能性があった。すなわち、バックグラウンドで行われている認証の処理の際に送受信される情報を、悪意のある第三者が盗んで悪用するおそれがあった。
【0004】
また、従来のシングルサインオンでは、ユーザがパスワード等を何度も入力する手間を省くことができるというメリットはあるが、そのシングルサインオンによって許可されるソフトウェアの実行を任意の範囲に制限することができないという問題もあった。例えば、ある統合ソフトウェアがあった場合に、はじめの起動時にユーザがログインすると、シングルサインオンにより、その統合ソフトウェアのすべての機能を利用可能になるのが一般的であり、ユーザが利用できる機能を限定することが難しかった。
【0005】
本発明は、上記課題を解決するためになされたものであり、その一の目的は、シングルサインオンにおけるバックグラウンドでの認証時にも、セキュリティーを担保することができる情報処理システム等を提供することである。
【0006】
また、本発明の他の目的は、シングルサインオンによって、ユーザがパスワード等を何度も入力する手間を省くことができるメリットを享受しながらも、利用できるソフトウェアの範囲を任意に限定することができる情報処理装置等を提供することである。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明による情報処理システムは、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムであって、前記情報処理装置は、2以上のソフトウェアが記憶されるソフトウェア記憶部と、前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する第1の認証識別情報受信部と、前記第1の認証識別情報受信部が受信した認証識別情報を蓄積する第1の認証識別情報蓄積部と、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する第1の認証識別情報送信部と、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部と、を備え、前記認証サーバは、前記情報処理装置から送信された認証情報を受信する認証情報受信部と、前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、前記認証識別情報取得部が取得した認証識別情報を蓄積する第2の認証識別情報蓄積部と、前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する第2の認証識別情報送信部と、前記情報処理装置から送信された認証識別情報を受信する第2の認証識別情報受信部と、を備え、前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、ものである。
【0008】
このような構成により、一度、入力された認証情報を用いた認証が行われた後は、認証情報を入力することなく、認証識別情報を用いた認証を行うことができる。そのため、ソフトウェアを実行するごとに認証情報を入力する煩雑な処理がユーザに課されることがなく、ユーザの利便性が向上されている。また、認証識別情報を用いた認証を行うため、情報処理装置と認証サーバとの間で認証識別情報を送受信すればよく、認証情報を送受信する回数を減らすことができる。その結果、認証情報が盗まれる可能性を低減することができる。また、認証情報をセキュリティーの高い経路(例えば、SSL等の暗号化された経路)で送受信する場合には、その通信の処理が重たいものとなり、認証サーバに負荷がかかることとなるが、上記のような構成とすることによって、セキュリティーの高い経路で通信する回数を減らすことができ(例えば、認証情報のみをセキュリティーの高い経路で通信し、認証識別情報は通常の経路で通信してもよいため)、認証サーバの負荷を軽減することができる。
【0009】
また、本発明による情報処理システムでは、前記ソフトウェア記憶部において、全体ソフトウェアと、当該全体ソフトウェアを構成するソフトウェアであり、それ自体で実行単位となるソフトウェアである部分ソフトウェアが記憶されており、前記入力要求情報出力部は、前記実行部が全体ソフトウェアを実行する場合にも、前記入力要求情報を出力してもよい。
【0010】
このような構成により、全体ソフトウェアの実行前に、認証情報の入力を要求することができる。そして、例えば、その全体ソフトウェアに含まれる部分ソフトウェアの実行時には、認証情報を入力しないでもよいようにすることができうる。
【0011】
また、本発明による情報処理システムでは、前記入力要求情報出力部は、前記実行部がソフトウェアを実行する際に、前記第1の認証識別情報蓄積部によって蓄積された認証識別情報が存在しない場合にも、前記入力要求情報を出力してもよい。
【0012】
このような構成により、情報処理装置が認証識別情報を認証サーバから受け取っていない場合や、受け取った認証識別情報がすでに無効化されている場合に、認証情報の入力を要求することによって、ソフトウェアを実行することができるようになる。
【0013】
また、本発明による情報処理システムでは、前記認証識別情報取得部は、前記認証部による認証ごとに異なる認証識別情報を取得してもよい。
【0014】
このような構成により、例えば、ワンタイムパスワードに類似する認証識別情報とすることができ、たとえ認証識別情報が盗まれたとしても、期限が到来等によって認証識別情報が無効化された後には、その認証識別情報を用いて正当であると認証されることがなくなる。したがって、認証識別情報を盗んだ悪意のある第三者が、その盗んだ認証識別情報を使い続けることができないこととなり、安全性が向上されている。
【0015】
また、本発明による情報処理システムでは、前記認証情報は、ユーザを識別するユーザ識別情報と、当該ユーザ識別情報に対応付けられているパスワードであり、前記認証部は、前記認証情報に含まれる、ユーザ識別情報に対応付けられているパスワードが正当かどうかを判断するために用いられる情報である認証判断情報を用いて認証を行ってもよい。
このような構成により、ユーザ識別情報とパスワードとを用いて、認証の処理を行うことができる。
【0016】
また、本発明による情報処理システムでは、前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証の際に、両者が一致する場合には、正当であると判断し、両者が異なる場合には、正当でないと判断してもよい。
このような構成により、認証識別情報を用いた認証において、両者が一致するかどうかによる認証を行うことができうる。
【0017】
また、本発明による情報処理システムでは、前記第1の認証識別情報送信部は、前記ソフトウェア記憶部で記憶されているソフトウェアの前記実行部による実行が終了した場合に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報とソフトウェアの実行が終了した旨とを前記認証サーバに送信し、前記第2の認証識別情報受信部は、前記情報処理装置から送信された認証識別情報とソフトウェアの実行が終了した旨とをも受信し、前記認証部は、前記第2の認証識別情報受信部が認証識別情報とソフトウェアの実行が終了した旨とを受信した場合に、当該認証識別情報を用いた認証において正当であると判断されないように、当該認証識別情報を無効化してもよい。
【0018】
このような構成により、ソフトウェアの実行が終了した場合に、認証識別情報を無効化することによって、次のソフトウェアの実行時には、認証情報の入力が要求されることとなる。したがって、例えば、一回付与された認証識別情報の長期にわたる使用を防止することができ、セキュリティーを向上させることができる。
【0019】
また、本発明による情報処理装置は、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、を備え、前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する、ものである。
【0020】
このような構成により、同一のグループに属するソフトウェアについては、いずれかのソフトウェアの実行時に認証情報の入力を行えば、他のソフトウェアの実行時には、認証情報を入力することなく、ソフトウェアを実行することができるようになる。一方、異なるグループに属するソフトウェアについては、そのようなことができない。したがって、シングルサインオンの範囲を必要十分な範囲に限定することができ、シングルサインオンによって、認証情報を何度も入力する手間を省くことができるメリットを享受しながらも、利用できるソフトウェアの範囲を適切に限定することができるメリットも得られる。
【発明の効果】
【0021】
本発明による情報処理システム等によれば、例えば、シングルサインオンにおけるバックグラウンドでの認証の際のセキュリティーを向上させることができ、安全な処理を行うことができるようになる。また、本発明による情報処理装置等によれば、例えば、シングルサインオンによって、ユーザがパスワード等を何度も入力する手間を省くことができるメリットを享受しながらも、利用できるソフトウェアの範囲を限定することができる。
【発明を実施するための最良の形態】
【0022】
以下、本発明による情報処理システム等について、実施の形態を用いて説明する。なお、以下の実施の形態において、同じ符号を付した構成要素及びステップは同一または相当するものであり、再度の説明を省略することがある。
【0023】
(実施の形態1)
本発明の実施の形態1による情報処理装置について、図面を参照しながら説明する。本実地の形態による情報処理システムは、情報処理装置でソフトウェアを実行する際の認証を、認証サーバにて行うものである。
【0024】
図1は、本実施の形態による情報処理システムの構成を示す図である。本実施の形態による情報処理システムは、有線または無線の通信回線500で互いに通信可能となっている情報処理装置1と、認証サーバ2とを備える。通信回線500は、例えば、インターネットやイントラネット、公衆電話回線網等である。なお、図1では、情報処理システムが複数の情報処理装置1を備える場合について示しているが、情報処理システムは、単数の情報処理装置1を備えるものであってもよい。
【0025】
図2には、本実施の形態による情報処理装置1の構成を示すブロック図である。図2において、本実施の形態による情報処理装置1は、ソフトウェアを実行するものであり、ソフトウェア記憶部11と、実行部12と、第1の認証識別情報受信部13と、第1の認証識別情報蓄積部14と、第1の認証識別情報送信部15と、認証結果情報受信部16と、入力要求情報出力部17と、認証情報受付部18と、認証情報送信部19とを備える。
【0026】
ソフトウェア記憶部11では、2以上のソフトウェアが記憶される。このソフトウェアは、どのようなものであってもよい。例えば、全体ソフトウェアや、部分ソフトウェアが含まれていてもよい。全体ソフトウェアとは、例えば、アプリケーションや、統合アプリケーション等のソフトウェアである。全体ソフトウェアは、例えば、ワードプロセッサの単品のソフトウェアであってもよく、ワードプロセッサ、スプレッドシート、プレゼンテーションの各ソフトウェアを統合した統合ソフトウェアであってもよい。統合ソフトウェアは、人事に関する処理や、給与に関する処理を行う統合ERPパッケージであってもよい。統合ERPパッケージでは、例えば、販売支援、配達支援、請求支援、製造管理支援、在庫管理支援、会計管理支援、給与管理支援、就業管理支援、及び人事管理支援などの処理を行う。部分ソフトウェアとは、全体ソフトウェアを構成するソフトウェアである。また、部分ソフトウェアは、それ自体で実行単位となるソフトウェアである。その実行単位は、例えば、アプリケーションの実行単位であってもよく、OS(オペレーティングシステム)の実行単位であってもよい。部分ソフトウェアは、例えば、全体ソフトウェアを構成するタスクであってもよく、全体ソフトウェアのメニュー一覧(例えば、統合ソフトウェアにおいて各ソフトウェアを選択するためのメニュー一覧)で表示される一のメニューに対応するソフトウェア(メニューが選択された際に実行されるソフトウェア)であってもよく、全体ソフトウェアを構成するプロセスであってもよく、全体ソフトウェアを構成するスレッドや、サブメニュー項目などであってもよい。サブメニュー項目は、OSで管理されずに、アプリケーションが独自に管理してもよい。
【0027】
ソフトウェア記憶部11に2以上のソフトウェアが記憶される過程は問わない。例えば、記録媒体を介して2以上のソフトウェアがソフトウェア記憶部11で記憶されるようになってもよく、通信回線等を介して送信された2以上のソフトウェアがソフトウェア記憶部11で記憶されるようになってもよい。ソフトウェア記憶部11での記憶は、外部のストレージデバイス等から読み出した2以上のソフトウェアのRAM等における一時的な記憶でもよく、あるいは、長期的な記憶でもよい。ソフトウェア記憶部11は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
【0028】
実行部12は、ソフトウェア記憶部11で記憶されているソフトウェアを適宜読み出して実行する。なお、実行部12は、後述する認証結果情報受信部16が受信した認証結果情報が、正当であると認証されたことを示す場合に、ソフトウェアを実行し、その認証結果情報が、正当でないと認証されたことを示す場合に、ソフトウェアを実行しない。認証結果情報については後述する。実行部12は、例えば、ソフトウェアを読み出して実行するマイクロプロセッサ等によって実現されうる。
【0029】
第1の認証識別情報受信部13は、ソフトウェアの実行時に認証サーバ2で行われる認証を識別する情報である認証識別情報を認証サーバ2から受信する。なお、認証サーバ2からの受信は、認証サーバ2からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。認証識別情報については後述する。
【0030】
なお、第1の認証識別情報受信部13は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第1の認証識別情報受信部13は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0031】
第1の認証識別情報蓄積部14は、第1の認証識別情報受信部13が受信した認証識別情報を所定の記録媒体に蓄積する。この記録媒体は、例えば、半導体メモリや、光ディスク、磁気ディスク等であり、第1の認証識別情報蓄積部14が有していてもよく、あるいは第1の認証識別情報蓄積部14の外部に存在してもよい。また、この記録媒体は、認証識別情報を一時的に記憶するものであってもよく、そうでなくてもよい。
【0032】
第1の認証識別情報送信部15は、ソフトウェア記憶部11で記憶されているソフトウェアが実行部12によって実行される前に、第1の認証識別情報蓄積部14が蓄積した認証情報を、認証サーバ2に送信する。この認証識別情報の送信は、後述する入力要求情報の出力に先立って行われるものであり、この認証識別情報の送信に応じて、正当であると認証された場合には、入力要求情報の出力を行わなくてもよいことになる。第1の認証識別情報送信部15は、認証識別情報の送信先である認証サーバ2のアドレス等をあらかじめ記録媒体等において保持していてもよく、あるいは、認証識別情報の送信時に、他の構成要素等から受け取ってもよい。
【0033】
また、第1の認証識別情報送信部15は、ソフトウェア記憶部11で記憶されているソフトウェアの実行部12による実行が終了した場合に、第1の認証識別情報蓄積部14が蓄積した認証識別情報とソフトウェアの実行が終了した旨とを認証サーバ2に送信してもよい。この送信は、認証サーバ2における認証識別情報を用いた認証(これについては後述する)を終了させるためになされるものである。
【0034】
なお、第1の認証識別情報送信部15は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第1の認証識別情報送信部15は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0035】
認証結果情報受信部16は、認証サーバ2での認証結果を示す情報である認証結果情報を認証サーバ2から受信する。なお、認証サーバ2からの受信は、認証サーバ2からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。認証サーバ2から認証結果情報が送信されるタイミングとしては、2個のタイミングがある。一つは、第1の認証識別情報送信部15による認証識別情報の送信に応じて、認証サーバ2から認証結果情報が送信されるタイミングである。もう一方は、後述する認証情報送信部19による認証情報の送信に応じて、認証サーバ2から認証結果情報されるタイミングである。認証結果情報では、正当であると認証されたのか、あるいは、正当でないと認証されたのかが示されることになる。
【0036】
なお、認証結果情報受信部16は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証結果情報受信部16は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0037】
入力要求情報出力部17は、入力要求情報を出力する。入力要求情報は、認証で用いられる情報である認証情報の入力を要求する情報である。認証情報は、例えば、ユーザを識別するユーザ識別情報と、そのユーザ識別情報に対応付けられているパスワードであってもよく、機器を識別する機器IDと、その機器IDに対応付けられているパスワードであってもよく、ソフトウェアを識別するソフトウェア識別情報と、そのソフトウェア識別情報に対応付けられているパスワードであってもよく、単にパスワードだけであってもよく、情報処理装置1でのソフトウェアの実行が正当であるかどうかの認証に用いられる情報であれば、その他の情報であってもよい。
【0038】
入力要求情報出力部17は、第1の認証識別情報送信部15による認証識別情報の送信に応じて認証サーバ2から受信した認証結果情報が、正当でないと認証されたことを示す場合に、入力要求情報を出力する。また、入力要求情報出力部17は、実行部12が全体ソフトウェアを実行する場合にも、入力要求情報を出力してもよい。また、入力要求情報出力部17は、実行部12がソフトウェアを実行する際に、第1の認証識別情報蓄積部14によって蓄積された認証識別情報が存在しない場合にも、入力要求情報を出力してもよい。入力要求情報出力部17は、例えば、入力要求情報を図示しない記録媒体において保持しており、その入力要求情報を読み出して出力してもよい。
【0039】
ここで、この出力は、例えば、表示デバイス(例えば、CRTや液晶ディスプレイなど)への表示(例えば、ユーザ識別情報と、パスワードとの入力を促す画面の表示)でもよく、所定の機器への通信回線を介した送信でもよく、プリンタによる印刷でもよく、スピーカによる音声出力でもよく、記録媒体への蓄積でもよく、他の構成要素への引き渡しでもよい。なお、入力要求情報の出力が記録媒体への蓄積や、他の構成要素への引渡であったとしても、最終的には、入力要求情報がユーザに提示されることになる。ユーザに対して、認証情報の入力を促すことが、入力要求情報を出力する目的だからである。また、入力要求情報出力部17は、出力を行うデバイス(例えば、表示デバイスやプリンタなど)を含んでもよく、あるいは含まなくてもよい。また、入力要求情報出力部17は、ハードウェアによって実現されてもよく、あるいは、それらのデバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0040】
認証情報受付部18は、入力要求情報出力部17による入力要求情報の出力に応じて入力された認証情報を受け付ける。認証情報受付部18は、例えば、入力デバイス(例えば、キーボードやマウス、タッチパネルなど)から入力された情報を受け付けてもよく、有線もしくは無線の通信回線を介して送信された情報を受信してもよく、所定の記録媒体(例えば、光ディスクや磁気ディスク、半導体メモリなど)から読み出された情報を受け付けてもよい。所定の記録媒体からの認証情報の受け付けとしては、例えば、ICカードなどで用いられているRFIDから認証情報を受け付ける場合がありうる。なお、認証情報受付部18は、受け付けを行うためのデバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証情報受付部18は、ハードウェアによって実現されてもよく、あるいは所定のデバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0041】
認証情報送信部19は、認証情報受付部18が受け付けた認証情報を認証サーバ2に送信する。認証情報送信部19は、認証情報の送信先である認証サーバ2のアドレス等をあらかじめ記録媒体等において保持していてもよく、あるいは、認証情報の送信時に、他の構成要素等から受け取ってもよい。
【0042】
なお、認証情報送信部19は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証情報送信部19は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0043】
また、ソフトウェア記憶部11と、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体とは、同一の記録媒体で実現されてもよく、別々の記録媒体で実現されてもよい。前者の場合には、例えば、ソフトウェアの記憶される領域がソフトウェア記憶部11となり、認証識別情報の記憶される領域が第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体となる。
【0044】
図3は、本実施の形態による認証サーバ2の構成を示すブロック図である。図3で示されるように、本実施の形態による認証サーバ2は、情報処理装置1で実行されるソフトウェアの実行時の認証を行うものであり、認証情報受信部21と、認証部22と、認証結果情報送信部23と、認証識別情報取得部24と、第2の認証識別情報蓄積部25と、第2の認証識別情報送信部26と、第2の認証識別情報受信部27とを備える。
【0045】
認証情報受信部21は、情報処理装置1から送信された認証情報を受信する。なお、この情報処理装置1からの受信は、情報処理装置1からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。
【0046】
なお、認証情報受信部21は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証情報受信部21は、放送を受信するものであってもよい。また、認証情報受信部21は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0047】
認証部22は、認証情報受信部21が受信した認証情報を用いて認証を行う。認証情報にユーザ識別情報とパスワードとが含まれる場合に、認証部22は、例えば、認証情報に含まれる、ユーザ識別情報に対応付けられているパスワードが正当かどうかを判断するために用いられる情報である認証判断情報(図示しない記録媒体で記憶されているものとする)を用いて認証を行ってもよい。その認証判断情報は、例えば、ユーザ識別情報と、パスワードとを対応付けて有する情報であり、認証部22は、認証情報に含まれるユーザ識別情報に、認証判断情報によって対応付けられているパスワードと、認証情報に含まれるパスワードとが一致する場合に、正当であると認証し、一致しない場合に、正当でないと認証してもよい。また、認証判断情報は、認証情報に含まれるパスワードと所定の関係を有する情報であり、そのパスワードの正当性を判断可能な情報であってもよい。例えば、パスワードも認証判断情報も数字を示す情報である場合に、認証部22は、パスワードに1を足した数値が認証判断情報の示す数値に一致するのであれば、正当であると判断し、そうでないのであれば、正当でないと判断してもよい。また、例えば、パスワードが、情報処理装置1のユーザの秘密鍵で暗号化された情報であり、認証判断情報が、そのユーザの公開鍵を示す情報である場合には、認証部22は、認証情報に含まれるパスワードを、認証判断情報の示す公開鍵で復号し、その復号後の情報が、情報処理装置1と認証サーバ2との間であらかじめ決められている情報であれば、正当であると認証してもよい。
【0048】
また、認証部22は、後述する第2の認証識別情報蓄積部25が蓄積した認証識別情報と、後述する第2の認証識別情報受信部27が受信した認証識別情報とを用いた認証も行う。具体的には、認証部22は、第2の認証識別情報蓄積部25が蓄積した認証識別情報と、第2の認証識別情報受信部27が受信した認証識別情報とを用いた認証の際に、両者が一致する場合には正当であると判断し、両者が異なる場合には正当でないと判断してもよい。また、認証部22は、第2の認証識別情報蓄積部25が蓄積した認証識別情報と、第2の認証識別情報受信部27が受信した認証識別情報とが所定の関係を有する場合(例えば、一方の認証識別情報の示す数値に1を足したら、他方の認証識別情報の示す数値になるなど)に、正当であると判断してもよい。
【0049】
また、認証部22は、後述する第2の認証識別情報受信部27が認証識別情報とソフトウェアの実行が終了した旨とを受信した場合に、その認証識別情報を用いた認証において正当であると判断されないように、認証識別情報を無効化してもよい。この認証識別情報の無効化は、例えば、第2の認証識別情報蓄積部25が蓄積した認証識別情報を削除することであってもよく、あるいは、その認証識別情報に対応付けて、無効であることを示すフラグを設定することであってもよい。なお、無効であることを示すフラグが設定されている場合には、そのフラグの設定されている認証識別情報を認証で用いないものとする。
【0050】
認証結果情報送信部23は、認証部22による認証結果を示す情報である認証結果情報を情報処理装置1に送信する。この認証結果情報は、前述のように、正当である旨か、あるいは、正当でない旨が含まれることになる。認証結果情報送信部23は、例えば、情報処理装置1のアドレス等を、あらかじめ記録媒体等において保持していてもよく、あるいは、認証結果情報の送信時に、他の構成要素等から受け取ってもよい。例えば、認証結果情報送信部23は、認証結果情報の送信先として、認証情報受信部21が受信した認証情報の送信元のアドレスや、第2の認証識別情報受信部27が受信した認証識別情報の送信元のアドレスを用いてもよい。
【0051】
なお、認証結果情報送信部23は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証結果情報送信部23は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0052】
認証識別情報取得部24は、認証部22による認証情報を用いた認証により、正当であると判断された場合に、その認証を識別する情報である認証識別情報を取得する。認証識別情報取得部24による認証識別情報の取得は、例えば、記録媒体からの認証識別情報の読み出しであってもよく、認証識別情報の作成であってもよく、その他の方法での取得でもよい。なお、認証部22による認証識別情報を用いた認証により、正当であると判断されたとしても、認証識別情報取得部24は、認証識別情報を取得しなくてもよい。認証識別情報は、認証部22による認証ごとに異なる情報(例えば、ワンタイムパスワードのようなもの)となるものであってもよい。この認証識別情報は、後に情報処理装置1から送信され、認証で用いられるものであるため、その認証時に他の認証識別情報と区別しうる情報であれば、その内容を問わないが、そのような認証識別情報は、結果として、認証情報を用いた認証ごとに異なる情報となり、認証を識別することもできる情報となりうるため、認証識別情報と呼ぶものである。
【0053】
例えば、認証識別情報取得部24は、ユーザ識別情報や、パスワード等を用いて認証識別情報を作成してもよい。その場合に、認証識別情報から、ユーザ識別情報やパスワードが特定できないものであることが好適である。例えば、認証識別情報は、ユーザ識別情報やパスワードのハッシュ値であってもよい。また、認証識別情報取得部24は、例えば、その認証識別情報の作成時の日時情報を用いて、認証識別情報を作成してもよい。このようにすることで、作成ごとに異なる認証識別情報を取得することができる。より具体的には、認証識別情報取得部24は、ユーザ識別情報やパスワードと、その作成時の日時情報とのハッシュ値を認証識別情報として取得してもよい。なお、その日時情報は、例えば、時間や日にちを管理している時計部や、カレンダー部から提供されてもよい。また、例えば、図示しない記録媒体において、互いに重複しない複数の認証識別情報の候補が記憶されており、認証識別情報取得部24は、その記録媒体から一の認証識別情報を読み出すことによって、認証識別情報を取得してもよい。その場合には、一度読み出された認証識別情報は、それ以降、読み出されることがないように削除されたり、読み出されたことを示すフラグが設定されたりすることが好適である。また、例えば、認証識別情報取得部24は、重複した値を生成しない乱数発生アルゴリズムを用いて、認証識別情報を生成してもよい。
【0054】
第2の認証識別情報蓄積部25は、認証識別情報取得部24が取得した認証識別情報を、所定の記録媒体に蓄積する。この記録媒体は、例えば、半導体メモリや、光ディスク、磁気ディスク等であり、第2の認証識別情報蓄積部25が有していてもよく、あるいは第2の認証識別情報蓄積部25の外部に存在してもよい。また、この記録媒体は、認証識別情報を一時的に記憶するものであってもよく、そうでなくてもよい。
【0055】
第2の認証識別情報送信部26は、認証識別情報取得部24が取得した認証識別情報を、情報処理装置1に送信する。第2の認証識別情報送信部26は、例えば、情報処理装置1のアドレス等を、あらかじめ記録媒体等において保持していてもよく、あるいは、認証結果情報の送信時に、他の構成要素等から受け取ってもよい。例えば、第2の認証識別情報送信部26は、認証結果情報の送信先として、認証情報受信部21が受信した認証情報の送信元のアドレスを用いてもよい。
【0056】
なお、第2の認証識別情報送信部26は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第2の認証識別情報送信部26は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0057】
第2の認証識別情報受信部27は、情報処理装置1から送信された認証識別情報を受信する。なお、この情報処理装置1からの受信は、情報処理装置1からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。この第2の認証識別情報受信部27が受信する認証識別情報は、認証部22による認証に用いられるものである。
【0058】
また、第2の認証識別情報受信部27は、情報処理装置1から送信された認証識別情報とソフトウェアの実行が終了した旨とをも受信してもよい。第2の認証識別情報受信部27がこれらの情報を受信した場合には、前述のように、認証部22によって、対応する認証識別情報を無効化する処理が行われてもよい。
【0059】
なお、第2の認証識別情報受信部27は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第2の認証識別情報受信部27は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0060】
次に、本実施の形態による情報処理装置1の動作について、図4のフローチャートを用いて説明する。なお、ソフトウェア記憶部11では、全体ソフトウェアと部分ソフトウェアとが記憶されているものとする。
【0061】
(ステップS101)実行部12は、ソフトウェアを実行するかどうか判断する。そして、実行する場合には、ステップS102に進み、そうでない場合には、ステップS113に進む。なお、実行部12は、例えば、ユーザからソフトウェアを実行する旨の指示を受け付けた場合に、ソフトウェアを実行すると判断してもよく、あるいは、ソフトウェアの実行中における他のソフトウェアを読み出す旨のプログラムに応じて、該当するソフトウェアを実行すると判断してもよい。
【0062】
(ステップS102)実行部12は、実行するソフトウェアが全体ソフトウェアであるのか、あるいは、部分ソフトウェアであるのかについて判断する。そして、全体ソフトウェアである場合には、ステップS103に進み、部分ソフトウェアである場合には、ステップS109に進む。
(ステップS103)入力要求情報出力部17は、入力要求情報を出力する。
【0063】
(ステップS104)認証情報受付部18は、認証情報を受け付けたかどうか判断する。そして、得認証情報を受け付けた場合には、ステップS105に進み、そうでない場合には、認証情報を受け付けるまでステップS104の処理を繰り返す。なお、入力要求情報が出力されてから、あらかじめ決められた時間が経過しても認証情報を受け付けない場合には、認証情報受付部18は、タイムアウトであると判断して、ステップS101に戻ってもよい。
【0064】
(ステップS105)認証情報送信部19は、認証情報受付部18が受け付けた認証情報を、認証サーバ2に送信する。
【0065】
(ステップS106)認証結果情報受信部16は、認証結果情報を受信したかどうか判断する。そして、認証結果情報を受信した場合には、ステップS107に進み、そうでない場合には、認証結果情報を受信するまでステップS106の処理を繰り返す。なお、認証情報が送信されてから、あらかじめ決められた時間が経過しても認証結果情報を受け付けない場合には、認証結果情報受信部16は、タイムアウトであると判断して、ステップS101に戻ってもよい。
【0066】
(ステップS107)実行部12は、ステップS106で認証結果情報受信部16が受信した認証結果情報が、正当であると認証されたものであるかどうか判断する。そして、正当であると認証されたものである場合には、ステップS108に進み、そうでない場合には、ソフトウェアを実行することなくステップS101に戻る。
【0067】
(ステップS108)実行部12は、ソフトウェアを実行する。そして、ステップS101に戻る。
【0068】
(ステップS109)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報が存在するかどうか判断する。そして、存在する場合には、ステップS110に進み、そうでない場合には、ステップS103に進む。
【0069】
(ステップS110)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報を認証サーバ2に送信する。
【0070】
(ステップS111)認証結果情報受信部16は、認証結果情報を受信したかどうか判断する。そして、認証結果情報を受信した場合には、ステップS112に進み、そうでない場合には、認証結果情報を受信するまでステップS111の処理を繰り返す。なお、認証情報が送信されてから、あらかじめ決められた時間が経過しても認証結果情報を受け付けない場合には、認証結果情報受信部16は、タイムアウトであると判断して、ステップS101に戻ってもよい。
【0071】
(ステップS112)実行部12は、ステップS111で認証結果情報受信部16が受信した認証結果情報が、正当であると認証されたものであるかどうか判断する。そして、正当であると認証されたものである場合には、ステップS108に進み、そうでない場合には、ステップS103に進む。
【0072】
(ステップS113)第1の認証識別情報受信部13は、認証識別情報を受信したかどうか判断する。そして、受信した場合には、ステップS114に進み、そうでない場合には、ステップS115に進む。
【0073】
(ステップS114)第1の認証識別情報蓄積部14は、第1の認証識別情報受信部13が受信した認証識別情報を、所定の記録媒体に蓄積する。そして、ステップS101に戻る。
【0074】
(ステップS115)実行部12は、全体ソフトウェアの実行を終了するかどうか判断する。そして、終了する場合には、ステップS116に進み、そうでない場合には、ステップS101に戻る。なお、実行部12は、例えば、ユーザから全体ソフトウェアの実行を終了する旨の指示を受け付けた場合に、全体ソフトウェアの実行を終了すると判断してもよく、あるいは、ソフトウェアの実行中に全体ソフトウェアの実行を終了するコマンドが実行された場合に、全体ソフトウェアの実行を終了すると判断してもよい。なお、全体ソフトウェアを終了する場合には、全体ソフトウェアに含まれるいずれの部分ソフトウェアも終了することになる。
【0075】
(ステップS116)実行部12は、実行を終了すると判断した全体ソフトウェアの実行を終了する。
(ステップS117)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報と、ソフトウェアの実行が終了した旨とを認証サーバ2に送信する。
【0076】
(ステップS118)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報を削除する。そして、ステップS101に戻る。
なお、図4のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0077】
また、図4のフローチャートでは、全体ソフトウェアを実行する場合に、入力要求情報を出力するようにしているが、そうでなくてもよい。このように、図4のフローチャートには、ある程度の任意性がある。
【0078】
次に、本実施の形態による認証サーバ2の動作について、図5のフローチャートを用いて説明する。
(ステップS201)認証情報受信部21は、認証情報を受信したかどうか判断する。そして、認証情報を受信した場合には、ステップS202に進み、そうでない場合には、ステップS208に進む。
【0079】
(ステップS202)認証部22は、認証情報受信部21が受信した認証情報を用いた認証を行う。
【0080】
(ステップS203)認証結果情報送信部23は、認証部22による認証結果を示す認証結果情報を構成し、その認証結果情報を情報処理装置1に送信する。
【0081】
(ステップS204)認証識別情報取得部24は、認証部22によって、正当であると認証されたかどうか判断する。そして、正当であると認証されたと判断した場合には、ステップS205に進み、そうでない場合には、ステップS201に戻る。
【0082】
(ステップS205)認証識別情報取得部24は、認証識別情報を取得する。
(ステップS206)第2の認証識別情報蓄積部25は、認証識別情報取得部24が取得した認証識別情報を所定の記録媒体に蓄積する。
【0083】
(ステップS207)第2の認証識別情報送信部26は、認証識別情報取得部24が取得した認証識別情報を、情報処理装置1に送信する。そして、ステップS201に戻る。
【0084】
(ステップS208)第2の認証識別情報受信部27は、認証識別情報を受信したかどうか判断する。そして、受信した場合には、ステップS209に進み、そうでない場合には、ステップS211に進む。
【0085】
(ステップS209)認証部22は、第2の認証識別情報受信部27が受信した認証識別情報と、第2の認証識別情報蓄積部25が蓄積した認証識別情報とを用いた認証を行う。
【0086】
(ステップS210)認証結果情報送信部23は、ステップS209での認証部22による認証結果を示す認証結果情報を構成し、その認証結果情報を情報処理装置1に送信する。そして、ステップS201に戻る。
【0087】
(ステップS211)第2の認証識別情報受信部27は、情報処理装置1から送信された認証識別情報と、ソフトウェアの実行が終了した旨とを受信したかどうか判断する。そして、受信した場合には、ステップS212に進み、そうでない場合には、ステップS201に戻る。
【0088】
(ステップS212)認証部22は、第2の認証識別情報蓄積部25が蓄積した認証識別情報であって、ステップS211で第2の認証識別情報受信部27が受信した認証識別情報を無効化する処理を行う。そして、ステップS201に戻る。
なお、図5のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0089】
次に、本実施の形態による情報処理システムの動作について、具体例を用いて説明する。
この具体例において、情報処理装置1のソフトウェア記憶部11では、図6で示されるように全体ソフトウェアと部分ソフトウェアとが記憶されているものとする。図6において、例えば、全体ソフトウェア「財務会計ソフトウェア.exe」は、部分ソフトウェア「仕訳処理.exe」「決算処理.exe」「伝票検索.exe」…が含まれることが示されている。
【0090】
また、この具体例において、認証サーバ2において、図7で示される認証判断情報が図示しない記録媒体で記憶されており、認証部22は、この認証判断情報を用いて認証情報を用いた認証を行うものとする。図7の認証判断情報において、例えば、ユーザ識別情報「U001」と、パスワード「abc123」とが対応付けられている。したがって、認証部22は、ユーザ識別情報「U001」と、パスワード「abc123」とを有する認証情報が受信された場合に、正当であると認証するものとする。
【0091】
まず、ユーザ識別情報「U001」で識別されるユーザ(以下、「ユーザU001」とすることもある)が、情報処理装置1を操作して、全体ソフトウェア「財務会計ソフトウェア.exe」を実行する指示を入力したとする。すると、実行部12は、全体ソフトウェア「財務会計ソフトウェア.exe」を実行するタイミングであると判断し(ステップS101)、ソフトウェア記憶部11を参照して、「財務会計ソフトウェア.exe」が全体ソフトウェアであるかどうか判断する(ステップS102)。図6で示されるように、「財務会計ソフトウェア.exe」は全体ソフトウェアであるため、実行部12は、入力要求情報出力部17に、入力要求情報を出力する旨の指示を渡す。
【0092】
すると、入力要求情報出力部17は、あらかじめ図示しない記録媒体で記憶されている入力要求情報を読み出して、その入力要求情報をディスプレイに表示する(ステップS103)。図8は、そのようにしてディスプレイに表示された入力要求情報の一例を示す図である。なお、入力要求情報出力部17は、例えば、コマンド「output_loginscreen」を実行することによって、入力要求情報を表示してもよい。
【0093】
図8で示されるように、ユーザU001がキーボードやマウスなどの入力デバイスを操作することによって、入力要求情報のウィンドウにおいて、ユーザ識別情報「U001」と、パスワード「abc123」とを入力し、「OK」ボタンをクリックしたとする。すると、認証情報受付部18は、そのユーザ識別情報とパスワードとを認証情報として受け付ける(ステップS104)。そして、その認証情報は、認証情報送信部19に渡される。
【0094】
認証情報送信部19は、認証情報受付部18から認証情報を受け付けると、あらかじめ図示しない記録媒体において保持している認証サーバ2のIPアドレス「192.168.0.1」を読み出し、そのIPアドレスを送信先として、認証情報を含むパケットを送信する(ステップS105)。なお、ユーザU001が操作している情報処理装置1のアドレスは、「192.168.0.10」であるとする。
【0095】
そのパケットは、通信回線500を介して送信され、認証サーバ2の認証情報受信部21で受信され(ステップS201)、認証部22に渡される。認証部22は、その認証情報からユーザ識別情報「U001」を取り出し、そのユーザ識別情報を検索キーとして、図7で示される認証判断情報のレコードを検索する。すると、図7の1番目のレコードがヒットするため、認証部22は、その1番目のレコードからパスワード「abc123」を取得する。そして、認証部22は、認証情報からパスワードを取り出し、認証判断情報から取得したパスワードと比較する。ここでは、両者は一致するため、認証部22は、正当であると認証する(ステップS202)。そして、正当であると認証された旨が、認証結果情報送信部23と、認証識別情報取得部24とに渡される。
【0096】
認証結果情報送信部23は、正当であると認証された旨を認証部22から受け取ると、その旨を示す認証結果情報を構成する。そして、認証情報のパケットの送信元のアドレス「192.168.0.10」を認証情報受信部21から受け取り、そのアドレスを送信先のアドレスとして、認証結果情報のパケットを送信する(ステップS203)。
【0097】
また、認証識別情報取得部24は、正当であると認証された旨を認証部22から受け取ると、正当であると認証されたと判断し(ステップS204)、認証識別情報を取得する(ステップS205)。この具体例では、認証識別情報取得部24は、重ならないように6桁の乱数を発生させることにより、認証識別情報を取得するものとする。その認証識別情報は、「v3eih2」であったとする。その認証識別情報は、第2の認証識別情報蓄積部25と、第2の認証識別情報送信部26とに渡される。
【0098】
第2の認証識別情報蓄積部25は、認証識別情報取得部24から認証識別情報を受け取ると、図示しない経路によって、認証情報のパケットの送信元のアドレス「192.168.0.10」を認証情報受信部21から受け取る。そして、そのアドレスに対応付けて、受け取った認証識別情報を蓄積する(ステップS206)。図9の1番目のレコードは、そのようにして蓄積された認証識別情報の一例を示す図である。図9において、情報処理装置1のIPアドレスが、その装置を識別する情報である装置IDとして用いられている。
【0099】
第2の認証識別情報送信部26は、認証識別情報取得部24から認証識別情報を受け取ると、認証情報のパケットの送信元のアドレス「192.168.0.10」を認証情報受信部21から受け取り、そのアドレスを送信先とする認証識別情報のパケットを構成して送信する(ステップS207)。
【0100】
認証サーバ2から送信された認証結果情報は、通信回線500を介して情報処理装置1の認証結果情報受信部16で受信される(ステップS106)。そして、その認証結果情報は、実行部12に渡される。
【0101】
実行部12は、認証結果情報を受け取ると、その認証結果情報によって、正当であると認証された旨を知る(ステップS107)。そして、ソフトウェア「財務会計ソフト.exe」の実行を開始する(ステップS108)。
【0102】
また、認証サーバ2から送信された認証識別情報は、通信回線500を介して情報処理装置1の第1の認証識別情報受信部13で受信される(ステップS113)。そして、その認証識別情報は、第1の認証識別情報蓄積部14に渡され、蓄積される(ステップS114)。
【0103】
次に、ユーザU001が、情報処理装置1を操作して、ソフトウェア「仕訳処理.exe」を実行する指示を入力したとする。すると、実行部12は、部分ソフトウェア「仕訳処理.exe」を実行するタイミングであると判断し(ステップS101)、ソフトウェア記憶部11を参照して、「仕訳処理.exe」が全体ソフトウェアであるかどうか判断する(ステップS102)。図6で示されるように、「仕訳処理.exe」は部分ソフトウェアであるため、実行部12は、第1の認証識別情報送信部15に、認証識別情報を送信する旨の指示を渡す。
【0104】
すると、第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体を参照し、認証識別情報が記憶されているかどうか判断する。ここでは、認証識別情報「v3eih2」が記憶されているため、第1の認証識別情報送信部15は、認証識別情報が存在すると判断する(ステップS109)。そして、第1の認証識別情報送信部15は、その認証識別情報を読み出して、その認証識別情報をペイロードに含むパケットを構成し、そのパケットを認証サーバ2のIPアドレスを送信先として送信する(ステップS110)。
【0105】
その認証識別情報のパケットは、通信回線500を介して送信され、認証サーバ2の第2の認証識別情報受信部27で受信される(ステップS208)。第2の認証識別情報受信部27は、受信したパケットから認証識別情報と、送信元のIPアドレス「192.168.0.10」とを取り出し、それらを認証部22に渡す。
【0106】
認証部22は、第2の認証識別情報受信部27から受け取ったIPアドレスを検索キーとして、第2の認証識別情報蓄積部25が認証識別情報を蓄積する記録媒体を検索する。すると、図9の1番目のレコードがヒットする。認証部22は、そのレコードから認証識別情報「v3eih2」を読み出す。そして、認証部22は、第2の認証識別情報受信部27から受け取った認証識別情報と、第2の認証識別情報蓄積部25が蓄積した認証識別情報とを比較し、両者が一致すると判断する。そのため、認証部22は、正当であると認証する(ステップS209)。そして、正当であると認証された旨が、認証結果情報送信部23に渡される。そして、前述の説明と同様にして、認証結果情報送信部23は、正当である旨を示す認証結果情報を情報処理装置1に送信する(ステップS210)。認証結果情報送信部23は、その認証結果情報の送信先のアドレスを、第2の認証識別情報受信部27から受け取ってもよい。すなわち、第2の認証識別情報受信部27が受信した認証識別情報の送信元のアドレスが、認証結果情報の送信先のアドレスとなる。
【0107】
認証サーバ2から送信された認証結果情報は、通信回線500を介して情報処理装置1の認証結果情報受信部16で受信される(ステップS111)。そして、その認証結果情報は、実行部12に渡される。
【0108】
実行部12は、認証結果情報を受け取ると、その認証結果情報によって、正当であると認証された旨を知る(ステップS112)。そして、ソフトウェア「仕訳処理.exe」の実行を開始する(ステップS108)。
【0109】
その後、ユーザU001が、全体ソフトウェア「財務会計ソフト.exe」と、その全体ソフトウェアを構成するすべての部分ソフトウェアを終了する旨の指示を情報処理装置1に入力したとする。すると、実行部12は、全体ソフトウェア「財務会計ソフト.exe」を終了するタイミングであると判断し(ステップS115)、全体ソフトウェア「財務会計ソフト.exe」と、その全体ソフトウェアを構成するすべての部分ソフトウェアの実行を終了すると共に、第1の認証識別情報送信部15に、認証識別情報と、ソフトウェアの実行が終了した旨とを送信するように指示する(ステップS116)。
【0110】
すると、第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体から認証識別情報「v3eih2」を読み出して、その認証識別情報と、ソフトウェアの実行が終了した旨とをペイロードに含むパケットを構成し、そのパケットを認証サーバ2のIPアドレスを送信先として送信する(ステップS117)。また、第1の認証識別情報送信部15は、第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体から認証識別情報「v3eih2」を削除する(ステップS118)。
【0111】
第1の認証識別情報送信部15が送信した認証識別情報等のパケットは、通信回線500を介して送信され、認証サーバ2の第2の認証識別情報受信部27で受信される(ステップS211)。第2の認証識別情報受信部27は、受信したパケットから認証識別情報と、送信元のIPアドレス「192.168.0.10」と、ソフトウェアの実行が終了した旨とを取り出し、それらを認証部22に渡す。
【0112】
認証部22は、それらの情報を受け取ると、第2の認証識別情報蓄積部25が認証識別情報を蓄積する記録媒体を検索して、IPアドレス「192.168.0.10」と、認証識別情報「v3eih2」に対応するレコード(図9の1番目のレコード)を特定し、そのレコードを削除する(ステップS212)。
【0113】
なお、この具体例では、図9で示されるように、認証識別情報と、装置IDとしてのIPアドレスとが対応付けられている場合について説明したが、装置IDは、IPアドレス以外であってもよい。例えば、装置の製造番号や、装置名(例えば、コンピュータ名)、装置に固有の情報(例えば、MACアドレス等)、装置を操作しているユーザ名などであってもよい。また、認証識別情報は、装置IDと対応付けられていなくてもよい。例えば、第2の認証識別情報蓄積部25は、認証識別情報のみを蓄積するものであり、認証部22は、第2の認証識別情報受信部27が受信した認証識別情報と一致する認証識別情報が、第2の認証識別情報蓄積部25が蓄積した認証識別情報のいずれかと一致する場合に、正当であると認証してもよい。
【0114】
以上のように、本実施の形態による情報処理システムによれば、認証情報を用いた認証に成功した後には、情報処理装置1から認証情報を送信するのではなく、認証識別情報を送信するため、認証情報が盗まれる可能性を低くすることができる。したがって、認証サーバ2での認証を行わなければならないシングルサインオンにおけるセキュリティーを向上させることができ、安全なシングルサインオンを実現することができるようになる。
【0115】
なお、本実施の形態では、ユーザが情報処理装置1を直接操作する場合について説明したが、情報処理装置1は、サーバ・クライアントシステムにおけるサーバ装置であってもよい。その場合には、出力部や受付部は、通信回線を介して入力を受け付けたり、画面を出力したりすることになる。
【0116】
また、本実施の形態において、認証識別情報を無効化する処理は、ソフトウェアの実行が終了された場合のみでなく、その他のタイミングでなされてもよい。例えば、認証識別情報に対して期限が設けられており、その期限が到来した際に、認証部22は、その認証識別情報を無効化してもよい。より具体的には、第2の認証識別情報蓄積部25が認証識別情報を蓄積する際に、その認証識別情報に対応付けて期限を設定する。その期限は、例えば、認証識別情報を蓄積する時点から所定の期間にあらかじめ決められており、第2の認証識別情報蓄積部25は、その期限を図示しない記録媒体から読み出して、その時点の日時(例えば、図示しない時計部やカレンダー部から取得できるものとする)に加算することによって、期限を計算して設定してもよい。そして、認証部22は、定期的に、現在の日時等を図示しない時計部やカレンダー部から取得し、その取得した現在の日時と、認証識別情報に対応付けられて設定された期限とを比較することにより、その期限が到来しているかどうか(すなわち、現在の日時が、期限の示す日時を超えているかどうか)を判断し、期限が到来したことを検知した場合には、その期限に対応付けられている認証識別情報を無効化(例えば、削除すること、無効である旨のフラグを設定することなど)してもよい。なお、情報処理装置1においても、同様に認証識別情報に期限を設定して、期限の到来に応じて認証識別情報を無効化するようにしてもよい。
【0117】
(実施の形態2)
本発明の実施の形態2による情報処理装置について、図面を参照しながら説明する。本実地の形態による情報処理装置では、2以上のソフトウェアがグループ化されており、グループに属するあるソフトウェアについて、正当であるとの認証が行われている場合には、同じグループに属する他のソフトウェアを、認証情報の受け付けを行うことなく実行できるようになるものである。
【0118】
図10は、本実施の形態による情報処理装置3の構成を示すブロック図である。図10において、本実施の形態による情報処理装置3は、ソフトウェア記憶部11と、実行部32と、グループ認証結果情報記憶部33と、認証部34と、入力要求情報出力部35と、認証情報受付部36とを備える。
【0119】
ソフトウェア記憶部31では、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶される。このソフトウェア記憶部31は、ソフトウェアがグループ化されている以外は、実施の形態1のソフトウェア記憶部11と同様のものであり、その詳細な説明を省略する。
【0120】
なお、ソフトウェアがグループ化される方法は問わない。例えば、複数のソフトウェアにグループIDが付与されており、そのグループIDの同じものが同じグループに属することになってもよい。また、統合ソフトウェアに含まれる各ソフトウェアが、一つのグループを構成してもよい。また、ソフトウェア記憶部31で記憶されている複数のソフトウェアのグループは、1個であってもよく、2個以上であってもよい。
【0121】
実行部32は、ソフトウェア記憶部31で記憶されているソフトウェアを適宜読み出して実行する。なお、実行部32は、後述する認証部34によって実行可能であると判断されたソフトウェアを実行し、実行可能でないと判断されたソフトウェアを実行しない。実行部32は、例えば、ソフトウェアを読み出して実行するマイクロプロセッサ等によって実現されうる。
【0122】
グループ認証結果情報記憶部33では、グループ認証結果情報が記憶される。グループ認証結果情報は、ソフトウェアのグループごとの認証結果を示す情報である。グループ認証結果情報は、ソフトウェアのグループごとに、正当であると認証されたソフトウェアが存在するかどうかを少なくとも示す情報である。このグループ認証結果情報は、後述する認証部22によって蓄積され、更新されるものである。グループ認証結果情報記憶部33での記憶は、RAM等における一時的な記憶でもよく、あるいは、長期的な記憶でもよい。グループ認証結果情報記憶部33は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
【0123】
認証部34は、ソフトウェアの実行の前に、その実行されるソフトウェアの実行の可否を判断する。認証部34は、グループ認証結果情報記憶部33で記憶されているグループ認証結果情報を用いて、実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、実行されるソフトウェアを実行可能であると判断し、実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、実行されるソフトウェアを実行可能でないと判断する。すなわち、あるグループに属するいずれかのソフトウェアについて正当であるとの認証が行われていれば、そのグループに属する他のソフトウェアは、後述する認証情報を入力することなく実行可能であると判断されることになる。一方、あるグループに属するいずれのソフトウェアについても正当であるとの認証が行われていない場合には、後述する認証情報を入力して、その認証情報が正当であると認証されなければ、実行可能であると判断されないことになる。
【0124】
また、認証部34は、後述する認証情報受付部36が受け付けた認証情報を用いた認証をも行い、その認証の結果が正当である場合に、その認証情報の入力を要求した入力要求情報に対応するソフトウェア(すなわち、入力要求情報が出力される契機となった、実行部32が実行しようとしているソフトウェア)を実行可能であると判断する。また、認証部34は、その認証結果に応じて、グループ認証結果情報記憶部33で記憶されているグループ認証結果情報を更新する。なお、認証部34は、例えば、実行部32でのソフトウェアの実行の終了にともなって、グループ認証結果情報を更新してもよい。認証部34は、例えば、認証情報を用いた認証を、実施の形態1の認証部22と同様に、認証判断情報を用いて行ってもよい。
【0125】
入力要求情報出力部35は、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する。入力要求情報出力部35は、ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証部34による認証において、その実行されるソフトウェアを実行可能でないと認証部34によって判断された場合に、入力要求情報を出力する。この入力要求情報出力部35は、実施の形態1の入力要求情報出力部17と同様のものであり、その詳細な説明を省略する。
【0126】
認証情報受付部36は、入力要求情報出力部35による入力要求情報の出力に応じて入力された認証情報を受け付ける。この認証情報受付部36は、実施の形態1の認証情報受付部18と同様のものであり、その詳細な説明を省略する。
【0127】
なお、ソフトウェア記憶部31と、グループ認証結果情報記憶部33とは、同一の記録媒体で実現されてもよく、別々の記録媒体で実現されてもよい。前者の場合には、例えば、ソフトウェアの記憶される領域がソフトウェア記憶部31となり、グループ認証結果情報の記憶される領域がグループ認証結果情報記憶部33となる。
【0128】
次に、本実施の形態による情報処理装置3の動作について、図11のフローチャートを用いて説明する。
(ステップS301)実行部32は、ソフトウェアを実行するかどうか判断する。そして、実行する場合には、ステップS302に進み、そうでない場合には、ステップS308に進む。なお、実行部32は、例えば、ユーザからソフトウェアを実行する旨の指示を受け付けた場合に、ソフトウェアを実行すると判断してもよく、あるいは、ソフトウェアの実行中における他のソフトウェアを読み出す旨のプログラムに応じて、該当するソフトウェアを実行すると判断してもよい。
【0129】
(ステップS302)認証部34は、グループ認証結果情報を参照して、ステップS301で実行すると判断されたソフトウェアと同じグループに属する他のソフトウェアについて、正当である(すなわち、そのソフトウェアが実行可能である)と認証されていたかどうか判断する。そして、正当であると認証されていた場合には、ステップS303に進み、そうでない場合には、ステップS304に進む。
【0130】
(ステップS303)実行部32は、ソフトウェアを実行する。そして、ステップS301に戻る。
(ステップS304)入力要求情報出力部35は、入力要求情報を出力する。
【0131】
(ステップS305)認証情報受付部36は、認証情報を受け付けたかどうか判断する。そして、得認証情報を受け付けた場合には、ステップS306に進み、そうでない場合には、認証情報を受け付けるまでステップS305の処理を繰り返す。なお、入力要求情報が出力されてから、あらかじめ決められた時間が経過しても認証情報を受け付けない場合には、認証情報受付部36は、タイムアウトであると判断して、ステップS301に戻ってもよい。
【0132】
(ステップS306)認証部34は、認証情報受付部36が受け付けた認証情報を用いた認証を行う。この認証は、例えば、認証判断情報を用いて行われる。
【0133】
(ステップS307)実行部32は、認証部34により、認証情報が正当であると認証されたかどうか判断する。そして、正当であると認証された場合には、ステップS303に進み、そうでない場合には、ステップS301に戻る。
【0134】
(ステップS308)認証部34は、グループ認証結果情報を更新するかどうか判断する。そして、更新する場合には、ステップS309に進み、そうでない場合には、ステップS301に戻る。なお、認証部34は、例えば、ソフトウェアのあるグループに属するいずれかのソフトウェアについて、そのグループで初めて正当であるとの認証情報を用いた認証が行われた場合に、グループ認証結果情報を更新すると判断してもよく、ソフトウェアのあるグループに属するすべてのソフトウェアの実行が終了された場合に、グループ認証結果情報を更新すると判断してもよい。
【0135】
(ステップS309)認証部34は、グループ認証結果情報を更新する。そして、ステップS301に戻る。
なお、図11のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0136】
次に、本実施の形態による情報処理装置3の動作について、具体例を用いて説明する。
この具体例では、図12で示されるように、情報処理装置3と、複数の端末装置4とが有線または無線の通信回線500を介して接続されている場合について説明する。ユーザは、端末装置4を操作して、情報処理装置3にアクセスし、情報処理装置3で記憶されているソフトウェアを実行する。
【0137】
また、この具体例では、ソフトウェア記憶部31において、図13で示されるように複数のソフトウェアがグループを識別する情報であるグループIDに対応付けられて記憶されているものとする。図13において、グループID「G001」で識別されるグループに、ソフトウェア「仕訳処理.exe」「決算処理.exe」「伝票検索.exe」…が含まれることがわかる。なお、グループID「G001」でグループ化されているソフトウェアは、経理系のソフトウェアであり、グループID「G002」でグループ化されているソフトウェアは、人事系のソフトウェアである。
【0138】
また、この具体例では、グループ認証結果情報記憶部33において、図14で示されるグループ認証結果情報が記憶されているものとする。図14において、装置IDと、グループIDと、認証フラグとが対応付けられている。装置IDは、端末装置4を識別する情報であり、図14では、端末装置4のIPアドレスが用いられている。グループIDは、ソフトウェアのグループを識別する情報である。認証フラグは、その認証フラグに対応するグループIDに属するいずれかのソフトウェアについて正当であると認証された場合には、「1」に設定され、いずれのソフトウェアについても正当であると認証されていない場合には、「0」に設定される。したがって、図14では、「192.168.0.10」で識別される端末装置4について、グループID「G001」「G002」で識別される各グループに属するいずれのソフトウェアについても、まだ正当であるとの認証(認証情報を用いた認証)が行われていないことがわかる。
【0139】
まず、IPアドレス「192.168.0.10」を有する端末装置4をユーザが操作して情報処理装置3にアクセスし、ソフトウェア「仕訳処理.exe」の実行を指示したとする。すると、実行部32は、ソフトウェア「仕訳処理.exe」を実行するタイミングであると判断し(ステップS301)、ソフトウェア記憶部31からソフトウェア「仕訳処理.exe」に対応するグループID「G001」を読み出し、端末装置4から受け付けた指示パケットの送信元のアドレス「192.168.0.10」を取得し、それらを認証部34に渡す。
【0140】
認証部34は、それらの情報を受け取ると、グループID「G001」と、装置ID「192.168.0.10」とを検索キーとして、グループ認証結果情報を検索し、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグを取得する。図14において、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグは「0」であるため、認証部34は、認証フラグ「0」を取得し、実行部32が実行するソフトウェアの属するグループにおいて、他のソフトウェアについて正当であるとの認証が行われていないと判断する(ステップS302)。そして、認証部34は、入力要求情報出力部35に、入力要求情報を出力する旨の指示を渡す。
【0141】
すると、入力要求情報出力部35は、あらかじめ図示しない記録媒体で記憶されている入力要求情報を読み出して、その入力要求情報を端末装置4に送信する(ステップS304)。端末装置4は、その入力要求情報をディスプレイに表示する。図8は、そのようにしてディスプレイに表示された入力要求情報の一例を示す図である。なお、入力要求情報出力部35は、例えば、コマンド「output_loginscreen」を実行することによって、入力要求情報を表示してもよい。
【0142】
図8で示されるように、ユーザがキーボードやマウスなどの入力デバイスを操作することによって、入力要求情報のウィンドウにおいて、ユーザ識別情報「U001」と、パスワード「abc123」とを入力し、「OK」ボタンをクリックしたとする。すると、端末装置4から情報処理装置3に、ユーザ識別情報とパスワードとを含む認証情報が送信される。情報処理装置3の認証情報受付部36は、そのようにして送信された認証情報を受信する(ステップS305)。そして、その認証情報は、認証情報送信部19に渡される。
【0143】
認証部34は、実施の形態1の認証部22と同様に、図7で示される認証判断情報を用いて認証の処理を行うものとする。したがって、認証部34は、認証情報受付部36が受信した認証情報を用いて、実施の形態1の具体例での説明と同様にして、正当であると認証し、その認証結果を実行部32に渡す(ステップS306)。実行部32は、正当であると認証されたため(ステップS307)、ソフトウェア「仕訳処理.exe」をソフトウェア記憶部31から読み出して実行する(ステップS303)。その結果、ユーザは、端末装置4を介して、情報処理装置3でのソフトウェア「仕訳処理.exe」を実行することができるようになる。
【0144】
また、認証部34は、認証情報を用いた認証によって、正当であると判断されたため、グループ認証結果情報を更新するタイミングであると判断し(ステップS308)、その直前に判断を行った、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグを「1」に更新する(ステップS309)。その結果、グループ認証結果情報は、図15で示されるようになる。
【0145】
その後、IPアドレス「192.168.0.10」を有する端末装置4をユーザが操作して情報処理装置3にアクセスし、ソフトウェア「決算処理.exe」の実行を指示したとする。すると、実行部32は、ソフトウェア「決算処理.exe」を実行するタイミングであると判断し(ステップS301)、ソフトウェア記憶部31からソフトウェア「決算処理.exe」に対応するグループID「G001」を読み出し、端末装置4から受け付けた指示パケットの送信元のアドレス「192.168.0.10」を取得し、それらを認証部34に渡す。
【0146】
認証部34は、それらの情報を受け取ると、グループID「G001」と、装置ID「192.168.0.10」とを検索キーとして、グループ認証結果情報を検索し、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグを取得する。図15において、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグは「1」であるため、認証部34は、認証フラグ「1」を取得し、実行部32が実行するソフトウェアの属するグループにおいて、他のソフトウェアについて正当であるとの認証が行われていると判断する(ステップS302)。そして、認証部34は、実行部32に正当であると認証された旨を渡す。
【0147】
すると、実行部32は、ソフトウェア「決算処理.exe」をソフトウェア記憶部31から読み出して実行する(ステップS303)。その結果、ユーザは、端末装置4を介して、情報処理装置3でのソフトウェア「決算処理.exe」を実行することができるようになる。
【0148】
最後に、グループID「G001」に属するすべてのソフトウェアの実行が終了した場合の処理について説明する。IPアドレス「192.168.0.10」を有する端末装置4をユーザが操作して情報処理装置3にアクセスし、グループID「G001」に属するすべてのソフトウェアの実行の終了を指示したとする。すると、実行部32は、その指示に応じて、グループID「G001」に属するすべてのソフトウェアの実行を終了する。また、認証部34は、そのソフトウェアの実行の終了にともなって、グループ認証結果情報を更新するタイミングであると判断し(ステップS308)、グループ認証結果情報におけるIPアドレス「192.168.0.10」と、グループID「G001」とに対応する認証フラグ「1」を「0」に更新する(ステップS309)。その結果、グループ認証結果情報は、図14で示されるようになる。
【0149】
この具体例では、グループ認証結果情報において、装置IDごとにグループIDや、認証フラグが管理されている場合について説明したが、そうでなくてもよい。例えば、ユーザIDごとにそれらの情報が管理されていてもよく、あるいは、グループIDと認証フラグのみが管理されていてもよい(この場合には、いずれかのユーザがあるグループに属するソフトウェアを実行していれば、他のユーザもそのグループに属するソフトウェアを、認証情報を入力することなく実行することができるようになる。後述するように、情報処理装置3がスタンドアロンの装置である場合には、それでも問題はないと考えられる)。また、グループ認証結果情報において、グループIDと、そのグループIDで識別されるグループに属するソフトウェアを識別するソフトウェア識別情報と、そのソフトウェア識別情報で識別されるソフトウェアについて正当であると認証されたかどうかを示す認証フラグとが対応付けられていてもよい。その場合には、あるソフトウェアの実行の終了にともなって、そのソフトウェアを識別するソフトウェア識別情報に対応する認証フラグが0に更新されてもよい。このように、グループ認証結果情報は、あるソフトウェアが実行されようとした際に、そのソフトウェアと同じグループに属する他のソフトウェアについて、正当であると認証されていたかどうかがわかる情報であれば、その情報の構成は問わない。
【0150】
以上のように、本実施の形態による情報処理装置3によれば、ソフトウェアをグループ化して、そのグループに属するいずれかのソフトウェアについて認証情報を用いた認証を行った後は、他のソフトウェアを認証情報の入力なしで使用することができるようにしたことで、ユーザがパスワード等を何度も入力する手間を省くことができる。また、グループ内においてしか、そのようなシングルサインオンのメリットを享受することができないように制限できるため、グループを適切に設定することによって、利用できるソフトウェアの範囲を任意に限定することもできる。このように、本実施の形態による情報処理装置3によれば、シングルサインオンのメリットと、ソフトウェアの利用範囲の制限との相反する目的を、バランスよく実現することができる。
【0151】
また、従来のシングルサインオンにおいては、一回の認証情報の入力によって実行することができる複数のソフトウェアに対して、同一のユーザ識別情報、同一のパスワードがそれぞれ設定されていることが一般的であるが、本実施の形態による情報処理装置3のように認証の制御を行うことによって、各ソフトウェアに対して、別々の認証情報が設定されていたとしてもよいことになる。したがって、アドオンで追加されるソフトウェア等についても、適切に対応することができるようになりうる。
【0152】
また、統合ソフトウェアに関して本実施の形態による情報処理装置3を適用する場合に、グループが、統合ソフトウェアに含まれるソフトウェアに対して設定されてもよい。例えば、ある統合ソフトウェアに、ソフトウェアA,B,C,D,E,F,G,Hが含まれる場合に、ソフトウェアA,B,Cがグループ1に含まれ、ソフトウェアD,E,F,G,Hがグループ2に含まれるようにすることができる。このようにすることで、ソフトウェアAについて正当である旨の認証を受けていれば、ソフトウェアAと同一グループに属するソフトウェアB,Cを認証情報の入力なしに実行することができるが、異なるグループに属するソフトウェアD,E等を認証情報の入力なしに実行することはできないようになる。従来のシングルサインオンであれば、一般的に統合ソフトウェアの起動時に認証を行い、正当であると判断された場合には、その統合ソフトウェアに含まれるすべてのソフトウェアを認証情報の入力なしに実行することができるようになることが一般的であったが、本実施の形態による情報処理装置3では、同じ統合ソフトウェアに含まれるソフトウェアについてもグループを設定することによって、さらに細かい認証の設定を行うことも可能となる。例えば、統合ソフトウェアが、統合ERPパッケージである場合には、例えば、前述のように販売支援、配達支援、請求支援、製造管理支援、在庫管理支援、会計管理支援、給与管理支援、就業管理支援、及び人事管理支援などのソフトウェアがその統合ソフトウェアに含まれることとなるが、一般には、経理部門の担当者は、人事管理支援や、終業管理支援等のソフトウェアを操作する必要がなく、人事部門の担当者は、会計管理支援や、在庫管理支援等のソフトウェアを操作する必要がないため、経理部門の担当者の操作するソフトウェアをグループ化し、人事部門の担当者の操作するソフトウェアをグループ化して、上記説明のように認証の制御を行うことによって、各担当者の操作できるソフトウェアを必要十分な範囲に限定すると共に、そのグループの範囲内においては、シングルサインオンを実現することによって、ユーザによる認証情報の入力の手間を削減することができる。
【0153】
なお、本実施の形態による認証部34は、図示しない認証サーバとの通信を行うことによって、認証の処理を行うものであってもよい。すなわち、認証の処理自体は、認証サーバで行われるが、その認証サーバとの情報のやりとりを行う構成要素が、認証部34であってもよい。したがって、認証部34は、認証情報や、その他の情報(例えば、グループID等)を受け取り、その情報を用いた認証結果としてのソフトウェアの実行の可否を得ることができるものであればよい。そのように、認証部34が、認証サーバとの通信を行って認証の処理を行う場合には、その認証サーバにおいて、グループ認証結果情報が保持されていることが一般的であると考えられ、情報処理装置3がグループ認証結果情報記憶部33を備えていなくてもよい。
【0154】
また、本実施の形態では、情報処理装置3がサーバ・クライアントシステムにおけるサーバである場合について説明したが、情報処理装置は、スタンドアロンの装置であってもよい。
【0155】
また、上記各実施の形態において、各処理または各機能は、単一の装置または単一のシステムによって集中処理されることによって実現されてもよく、あるいは、複数の装置または複数のシステムによって分散処理されることによって実現されてもよい。
【0156】
また、実施の形態1において、情報処理装置の各処理または各機能は、情報処理方法が実行されることによって実現されてもよい。その情報処理方法は、例えば、次のようなものである。すなわち、この情報処理方法は、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置において、2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証識別情報受信部と、認証識別情報蓄積部と、認証識別情報送信部と、認証結果情報受信部と、実行部と、入力要求情報出力部と、認証情報受付部と、認証情報送信部とを用いて実行される情報処理方法であって、前記認証識別情報受信部が、前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信ステップと、前記認証識別情報蓄積部が、前記認証識別情報受信ステップで受信した認証識別情報を蓄積する認証識別情報蓄積ステップと、前記認証識別情報送信部が、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積ステップで蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信ステップと、前記認証結果情報受信部が、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信ステップと、前記実行部が、前記認証結果情報受信ステップで受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行ステップと、前記入力要求情報出力部が、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、前記認証情報送信部が、前記認証情報受付ステップで受け付けた認証情報を前記認証サーバに送信する認証情報送信ステップと、を備えたものである。
【0157】
また、実施の形態1において、認証サーバの各処理または各機能は、情報処理方法が実行されることによって実現されてもよい。その情報処理方法は、例えば、次のようなものである。すなわち、この情報処理方法は、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバにおいて、認証情報受信部と、認証部と、認証結果情報送信部と、認証識別情報取得部と、認証識別情報蓄積部と、認証識別情報送信部と、認証識別情報受信部とを用いて実行される情報処理方法であって、前記認証情報受信部が、前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信ステップと、前記認証部が、前記認証情報受信ステップで受信した認証情報を用いて認証を行う第1の認証ステップと、前記認証結果情報送信部が、前記第1の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第1の認証結果情報送信ステップと、前記認証識別情報取得部が、前記第1の認証ステップでの認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得ステップと、前記認証識別情報蓄積部が、前記認証識別情報取得ステップで取得した認証識別情報を蓄積する認証識別情報蓄積ステップと、前記認証識別情報送信部が、前記認証識別情報取得ステップで取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信ステップと、前記認証識別情報受信部が、前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信ステップと、前記認証部が、前記認証識別情報蓄積ステップで蓄積した認証識別情報と、前記認証識別情報受信ステップで受信した認証識別情報とを用いた認証を行う第2の認証ステップと、前記認証結果情報送信部が、前記第2の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第2の認証結果情報送信ステップと、を備えたものである。
【0158】
また、実施の形態2において、情報処理装置の各処理または各機能は、情報処理方法が実行されることによって実現されてもよい。その情報処理方法は、例えば、次のようなものである。すなわち、この情報処理方法は、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証部と、実行部と、入力要求情報出力部と、認証情報受付部とを用いて実行される情報処理方法であって、前記認証部が、ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報である認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する第1の認証ステップと、前記実行部が、前記第1の認証ステップで実行可能であると判断されたソフトウェアを実行する第1の実行ステップと、前記入力要求情報出力部が、前記ソフトウェアの実行の前になされた認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記第1の認証ステップ判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、前記認証部が、前記認証情報受付ステップで受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記認証結果情報を更新する第2の認証ステップと、前記実行部が、前記第2の認証ステップで実行可能であると判断されたソフトウェアを実行する第2の実行ステップと、を備えたものである。
【0159】
また、上記各実施の形態において、情報処理装置に含まれる2以上の構成要素が通信デバイスや入力デバイス等を有する場合に、2以上の構成要素が物理的に単一のデバイスを有してもよく、あるいは、別々のデバイスを有してもよい。
【0160】
また、上記各実施の形態において、各構成要素は専用のハードウェアにより構成されてもよく、あるいは、ソフトウェアにより実現可能な構成要素については、プログラムを実行することによって実現されてもよい。例えば、ハードディスクや半導体メモリ等の記録媒体に記録されたソフトウェア・プログラムをCPU等のプログラム実行部が読み出して実行することによって、各構成要素が実現され得る。なお、上記実施の形態における情報処理装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置として機能させるためのプログラムであって、2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信部と、前記認証識別情報受信部が受信した認証識別情報を蓄積する認証識別情報蓄積部と、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信部と、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部として機能させるためのものである。
【0161】
また、上記実施の形態における認証サーバを実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバとして機能させるためのプログラムであって、前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信部と、前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、前記認証識別情報取得部が取得した認証識別情報を蓄積する認証識別情報蓄積部と、前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信部と、前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信部として機能させ、前記認証部は、前記認証識別情報蓄積部が蓄積した認証識別情報と、前記認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、ものである。
【0162】
また、上記実施の形態における情報処理装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報である認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、前記ソフトウェアの実行の前になされた認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部として機能させ、前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記認証結果情報を更新する、ものである。
【0163】
なお、上記プログラムにおいて、上記プログラムが実現する機能には、ハードウェアでしか実現できない機能は含まれない。例えば、情報を取得する取得部や、情報を出力する出力部などにおけるモデムやインターフェースカードなどのハードウェアでしか実現できない機能は、上記プログラムが実現する機能には少なくとも含まれない。
【0164】
また、このプログラムは、サーバなどからダウンロードされることによって実行されてもよく、所定の記録媒体(例えば、CD−ROMなどの光ディスクや磁気ディスク、半導体メモリなど)に記録されたプログラムが読み出されることによって実行されてもよい。
【0165】
また、このプログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、あるいは分散処理を行ってもよい。
【0166】
図16は、上記プログラムを実行して、上記実施の形態による情報処理装置や認証サーバを実現するコンピュータの外観の一例を示す模式図である。上記実施の形態は、コンピュータハードウェア及びその上で実行されるコンピュータプログラムによって実現される。
【0167】
図16において、コンピュータシステム100は、CD−ROM(Compact Disk Read Only Memory)ドライブ105、FD(Flexible Disk)ドライブ106を含むコンピュータ101と、キーボード102と、マウス103と、モニタ104とを備える。
【0168】
図17は、コンピュータシステムを示す図である。図17において、コンピュータ101は、CD−ROMドライブ105、FDドライブ106に加えて、CPU(Central Processing Unit)111と、ブートアッププログラム等のプログラムを記憶するためのROM(Read Only Memory)112と、CPU111に接続され、アプリケーションプログラムの命令を一時的に記憶すると共に、一時記憶空間を提供するRAM(Random Access Memory)113と、アプリケーションプログラム、システムプログラム、及びデータを記憶するハードディスク114と、CPU111、ROM112等を相互に接続するバス115とを備える。なお、コンピュータ101は、LANへの接続を提供する図示しないネットワークカードを含んでいてもよい。
【0169】
コンピュータシステム100に、上記実施の形態による情報処理装置や認証サーバの機能を実行させるプログラムは、CD−ROM121、またはFD122に記憶されて、CD−ROMドライブ105、またはFDドライブ106に挿入され、ハードディスク114に転送されてもよい。これに代えて、そのプログラムは、図示しないネットワークを介してコンピュータ101に送信され、ハードディスク114に記憶されてもよい。プログラムは実行の際にRAM113にロードされる。なお、プログラムは、CD−ROM121やFD122、またはネットワークから直接、ロードされてもよい。
【0170】
プログラムは、コンピュータ101に、上記実施の形態による情報処理装置や認証サーバの機能を実行させるオペレーティングシステム(OS)、またはサードパーティプログラム等を必ずしも含んでいなくてもよい。プログラムは、制御された態様で適切な機能(モジュール)を呼び出し、所望の結果が得られるようにする命令の部分のみを含んでいてもよい。コンピュータシステム100がどのように動作するのかについては周知であり、詳細な説明は省略する。
【0171】
また、本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
【産業上の利用可能性】
【0172】
以上より、本発明による情報処理装置等によれば、例えば、認証の際のセキュリティーを向上させることなどの効果が得られ、ソフトウェアの実行時の認証を行うシステムや装置等として有用である。
【図面の簡単な説明】
【0173】
【図1】本発明の実施の形態1による情報処理システムの構成を示す図
【図2】同実施の形態による情報処理装置の構成を示す図
【図3】同実施の形態による認証サーバの構成を示す図
【図4】同実施の形態による情報処理装置の動作を示すフローチャート
【図5】同実施の形態による認証サーバの動作を示すフローチャート
【図6】同実施の形態におけるソフトウェアの一例を示す図
【図7】同実施の形態における認証判断情報の一例を示す図
【図8】同実施の形態における入力要求情報の表示の一例を示す図
【図9】同実施の形態における認証識別情報の一例を示す図
【図10】本発明の実施の形態2による情報処理装置の構成を示すブロック図
【図11】同実施の形態による情報処理装置の動作を示すフローチャート
【図12】同実施の形態による情報処理装置を含む情報処理システムの構成を示す図
【図13】同実施の形態におけるグループ化されたソフトウェアの一例を示す図
【図14】同実施の形態におけるグループ認証結果情報の一例を示す図
【図15】同実施の形態におけるグループ認証結果情報の一例を示す図
【図16】同実施の形態におけるコンピュータシステムの外観一例を示す模式図
【図17】同実施の形態におけるコンピュータシステムの構成の一例を示す図
【符号の説明】
【0174】
1、3 情報処理装置
2 認証サーバ
4 端末装置
11、31 ソフトウェア記憶部
12、32 実行部
13 第1の認証識別情報受信部
14 第1の認証識別情報蓄積部
15 第1の認証識別情報送信部
16 認証結果情報受信部
17、35 入力要求情報出力部
18、36 認証情報受付部
19 認証情報送信部
21 認証情報受信部
22、34 認証部
23 認証結果情報送信部
24 認証識別情報取得部
25 第2の認証識別情報蓄積部
26 第2の認証識別情報送信部
27 第2の認証識別情報受信部
33 グループ認証結果情報記憶部
【技術分野】
【0001】
本発明は、認証に関する処理を行う情報処理装置や認証サーバ等に関する。
【背景技術】
【0002】
従来、ユーザが一度認証を受けると、許可されるすべての機能を利用可能になるシングルサインオンという仕組みが用いられていた(例えば、非特許文献1参照)。
【非特許文献1】「シングルサインオン」、[online]、[2007年10月2日検索]、インターネット<URL:http://e−words.jp/w/E382B7E383B3E382B0E383ABE382B5E382A4E383B3E382AAE383B3.html>
【発明の開示】
【発明が解決しようとする課題】
【0003】
なお、従来のシングルサインオンにおいて、ユーザへの認証は一度だけであるが、ユーザが認証を受けた以外の機能を用いる際にも、バックグラウンドで認証が行われることもある。また、そのような認証が、ユーザの所望の機能を実行する装置とは別の装置、例えば認証サーバにおいて行われることもあった。その場合に、ユーザの所望の機能を実行する装置と認証サーバとの間で、ユーザIDやパスワードが複数回にわたって送受信されると、セキュリティー上の問題が発生する可能性があった。すなわち、バックグラウンドで行われている認証の処理の際に送受信される情報を、悪意のある第三者が盗んで悪用するおそれがあった。
【0004】
また、従来のシングルサインオンでは、ユーザがパスワード等を何度も入力する手間を省くことができるというメリットはあるが、そのシングルサインオンによって許可されるソフトウェアの実行を任意の範囲に制限することができないという問題もあった。例えば、ある統合ソフトウェアがあった場合に、はじめの起動時にユーザがログインすると、シングルサインオンにより、その統合ソフトウェアのすべての機能を利用可能になるのが一般的であり、ユーザが利用できる機能を限定することが難しかった。
【0005】
本発明は、上記課題を解決するためになされたものであり、その一の目的は、シングルサインオンにおけるバックグラウンドでの認証時にも、セキュリティーを担保することができる情報処理システム等を提供することである。
【0006】
また、本発明の他の目的は、シングルサインオンによって、ユーザがパスワード等を何度も入力する手間を省くことができるメリットを享受しながらも、利用できるソフトウェアの範囲を任意に限定することができる情報処理装置等を提供することである。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明による情報処理システムは、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムであって、前記情報処理装置は、2以上のソフトウェアが記憶されるソフトウェア記憶部と、前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する第1の認証識別情報受信部と、前記第1の認証識別情報受信部が受信した認証識別情報を蓄積する第1の認証識別情報蓄積部と、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する第1の認証識別情報送信部と、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部と、を備え、前記認証サーバは、前記情報処理装置から送信された認証情報を受信する認証情報受信部と、前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、前記認証識別情報取得部が取得した認証識別情報を蓄積する第2の認証識別情報蓄積部と、前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する第2の認証識別情報送信部と、前記情報処理装置から送信された認証識別情報を受信する第2の認証識別情報受信部と、を備え、前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、ものである。
【0008】
このような構成により、一度、入力された認証情報を用いた認証が行われた後は、認証情報を入力することなく、認証識別情報を用いた認証を行うことができる。そのため、ソフトウェアを実行するごとに認証情報を入力する煩雑な処理がユーザに課されることがなく、ユーザの利便性が向上されている。また、認証識別情報を用いた認証を行うため、情報処理装置と認証サーバとの間で認証識別情報を送受信すればよく、認証情報を送受信する回数を減らすことができる。その結果、認証情報が盗まれる可能性を低減することができる。また、認証情報をセキュリティーの高い経路(例えば、SSL等の暗号化された経路)で送受信する場合には、その通信の処理が重たいものとなり、認証サーバに負荷がかかることとなるが、上記のような構成とすることによって、セキュリティーの高い経路で通信する回数を減らすことができ(例えば、認証情報のみをセキュリティーの高い経路で通信し、認証識別情報は通常の経路で通信してもよいため)、認証サーバの負荷を軽減することができる。
【0009】
また、本発明による情報処理システムでは、前記ソフトウェア記憶部において、全体ソフトウェアと、当該全体ソフトウェアを構成するソフトウェアであり、それ自体で実行単位となるソフトウェアである部分ソフトウェアが記憶されており、前記入力要求情報出力部は、前記実行部が全体ソフトウェアを実行する場合にも、前記入力要求情報を出力してもよい。
【0010】
このような構成により、全体ソフトウェアの実行前に、認証情報の入力を要求することができる。そして、例えば、その全体ソフトウェアに含まれる部分ソフトウェアの実行時には、認証情報を入力しないでもよいようにすることができうる。
【0011】
また、本発明による情報処理システムでは、前記入力要求情報出力部は、前記実行部がソフトウェアを実行する際に、前記第1の認証識別情報蓄積部によって蓄積された認証識別情報が存在しない場合にも、前記入力要求情報を出力してもよい。
【0012】
このような構成により、情報処理装置が認証識別情報を認証サーバから受け取っていない場合や、受け取った認証識別情報がすでに無効化されている場合に、認証情報の入力を要求することによって、ソフトウェアを実行することができるようになる。
【0013】
また、本発明による情報処理システムでは、前記認証識別情報取得部は、前記認証部による認証ごとに異なる認証識別情報を取得してもよい。
【0014】
このような構成により、例えば、ワンタイムパスワードに類似する認証識別情報とすることができ、たとえ認証識別情報が盗まれたとしても、期限が到来等によって認証識別情報が無効化された後には、その認証識別情報を用いて正当であると認証されることがなくなる。したがって、認証識別情報を盗んだ悪意のある第三者が、その盗んだ認証識別情報を使い続けることができないこととなり、安全性が向上されている。
【0015】
また、本発明による情報処理システムでは、前記認証情報は、ユーザを識別するユーザ識別情報と、当該ユーザ識別情報に対応付けられているパスワードであり、前記認証部は、前記認証情報に含まれる、ユーザ識別情報に対応付けられているパスワードが正当かどうかを判断するために用いられる情報である認証判断情報を用いて認証を行ってもよい。
このような構成により、ユーザ識別情報とパスワードとを用いて、認証の処理を行うことができる。
【0016】
また、本発明による情報処理システムでは、前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証の際に、両者が一致する場合には、正当であると判断し、両者が異なる場合には、正当でないと判断してもよい。
このような構成により、認証識別情報を用いた認証において、両者が一致するかどうかによる認証を行うことができうる。
【0017】
また、本発明による情報処理システムでは、前記第1の認証識別情報送信部は、前記ソフトウェア記憶部で記憶されているソフトウェアの前記実行部による実行が終了した場合に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報とソフトウェアの実行が終了した旨とを前記認証サーバに送信し、前記第2の認証識別情報受信部は、前記情報処理装置から送信された認証識別情報とソフトウェアの実行が終了した旨とをも受信し、前記認証部は、前記第2の認証識別情報受信部が認証識別情報とソフトウェアの実行が終了した旨とを受信した場合に、当該認証識別情報を用いた認証において正当であると判断されないように、当該認証識別情報を無効化してもよい。
【0018】
このような構成により、ソフトウェアの実行が終了した場合に、認証識別情報を無効化することによって、次のソフトウェアの実行時には、認証情報の入力が要求されることとなる。したがって、例えば、一回付与された認証識別情報の長期にわたる使用を防止することができ、セキュリティーを向上させることができる。
【0019】
また、本発明による情報処理装置は、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、を備え、前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する、ものである。
【0020】
このような構成により、同一のグループに属するソフトウェアについては、いずれかのソフトウェアの実行時に認証情報の入力を行えば、他のソフトウェアの実行時には、認証情報を入力することなく、ソフトウェアを実行することができるようになる。一方、異なるグループに属するソフトウェアについては、そのようなことができない。したがって、シングルサインオンの範囲を必要十分な範囲に限定することができ、シングルサインオンによって、認証情報を何度も入力する手間を省くことができるメリットを享受しながらも、利用できるソフトウェアの範囲を適切に限定することができるメリットも得られる。
【発明の効果】
【0021】
本発明による情報処理システム等によれば、例えば、シングルサインオンにおけるバックグラウンドでの認証の際のセキュリティーを向上させることができ、安全な処理を行うことができるようになる。また、本発明による情報処理装置等によれば、例えば、シングルサインオンによって、ユーザがパスワード等を何度も入力する手間を省くことができるメリットを享受しながらも、利用できるソフトウェアの範囲を限定することができる。
【発明を実施するための最良の形態】
【0022】
以下、本発明による情報処理システム等について、実施の形態を用いて説明する。なお、以下の実施の形態において、同じ符号を付した構成要素及びステップは同一または相当するものであり、再度の説明を省略することがある。
【0023】
(実施の形態1)
本発明の実施の形態1による情報処理装置について、図面を参照しながら説明する。本実地の形態による情報処理システムは、情報処理装置でソフトウェアを実行する際の認証を、認証サーバにて行うものである。
【0024】
図1は、本実施の形態による情報処理システムの構成を示す図である。本実施の形態による情報処理システムは、有線または無線の通信回線500で互いに通信可能となっている情報処理装置1と、認証サーバ2とを備える。通信回線500は、例えば、インターネットやイントラネット、公衆電話回線網等である。なお、図1では、情報処理システムが複数の情報処理装置1を備える場合について示しているが、情報処理システムは、単数の情報処理装置1を備えるものであってもよい。
【0025】
図2には、本実施の形態による情報処理装置1の構成を示すブロック図である。図2において、本実施の形態による情報処理装置1は、ソフトウェアを実行するものであり、ソフトウェア記憶部11と、実行部12と、第1の認証識別情報受信部13と、第1の認証識別情報蓄積部14と、第1の認証識別情報送信部15と、認証結果情報受信部16と、入力要求情報出力部17と、認証情報受付部18と、認証情報送信部19とを備える。
【0026】
ソフトウェア記憶部11では、2以上のソフトウェアが記憶される。このソフトウェアは、どのようなものであってもよい。例えば、全体ソフトウェアや、部分ソフトウェアが含まれていてもよい。全体ソフトウェアとは、例えば、アプリケーションや、統合アプリケーション等のソフトウェアである。全体ソフトウェアは、例えば、ワードプロセッサの単品のソフトウェアであってもよく、ワードプロセッサ、スプレッドシート、プレゼンテーションの各ソフトウェアを統合した統合ソフトウェアであってもよい。統合ソフトウェアは、人事に関する処理や、給与に関する処理を行う統合ERPパッケージであってもよい。統合ERPパッケージでは、例えば、販売支援、配達支援、請求支援、製造管理支援、在庫管理支援、会計管理支援、給与管理支援、就業管理支援、及び人事管理支援などの処理を行う。部分ソフトウェアとは、全体ソフトウェアを構成するソフトウェアである。また、部分ソフトウェアは、それ自体で実行単位となるソフトウェアである。その実行単位は、例えば、アプリケーションの実行単位であってもよく、OS(オペレーティングシステム)の実行単位であってもよい。部分ソフトウェアは、例えば、全体ソフトウェアを構成するタスクであってもよく、全体ソフトウェアのメニュー一覧(例えば、統合ソフトウェアにおいて各ソフトウェアを選択するためのメニュー一覧)で表示される一のメニューに対応するソフトウェア(メニューが選択された際に実行されるソフトウェア)であってもよく、全体ソフトウェアを構成するプロセスであってもよく、全体ソフトウェアを構成するスレッドや、サブメニュー項目などであってもよい。サブメニュー項目は、OSで管理されずに、アプリケーションが独自に管理してもよい。
【0027】
ソフトウェア記憶部11に2以上のソフトウェアが記憶される過程は問わない。例えば、記録媒体を介して2以上のソフトウェアがソフトウェア記憶部11で記憶されるようになってもよく、通信回線等を介して送信された2以上のソフトウェアがソフトウェア記憶部11で記憶されるようになってもよい。ソフトウェア記憶部11での記憶は、外部のストレージデバイス等から読み出した2以上のソフトウェアのRAM等における一時的な記憶でもよく、あるいは、長期的な記憶でもよい。ソフトウェア記憶部11は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
【0028】
実行部12は、ソフトウェア記憶部11で記憶されているソフトウェアを適宜読み出して実行する。なお、実行部12は、後述する認証結果情報受信部16が受信した認証結果情報が、正当であると認証されたことを示す場合に、ソフトウェアを実行し、その認証結果情報が、正当でないと認証されたことを示す場合に、ソフトウェアを実行しない。認証結果情報については後述する。実行部12は、例えば、ソフトウェアを読み出して実行するマイクロプロセッサ等によって実現されうる。
【0029】
第1の認証識別情報受信部13は、ソフトウェアの実行時に認証サーバ2で行われる認証を識別する情報である認証識別情報を認証サーバ2から受信する。なお、認証サーバ2からの受信は、認証サーバ2からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。認証識別情報については後述する。
【0030】
なお、第1の認証識別情報受信部13は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第1の認証識別情報受信部13は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0031】
第1の認証識別情報蓄積部14は、第1の認証識別情報受信部13が受信した認証識別情報を所定の記録媒体に蓄積する。この記録媒体は、例えば、半導体メモリや、光ディスク、磁気ディスク等であり、第1の認証識別情報蓄積部14が有していてもよく、あるいは第1の認証識別情報蓄積部14の外部に存在してもよい。また、この記録媒体は、認証識別情報を一時的に記憶するものであってもよく、そうでなくてもよい。
【0032】
第1の認証識別情報送信部15は、ソフトウェア記憶部11で記憶されているソフトウェアが実行部12によって実行される前に、第1の認証識別情報蓄積部14が蓄積した認証情報を、認証サーバ2に送信する。この認証識別情報の送信は、後述する入力要求情報の出力に先立って行われるものであり、この認証識別情報の送信に応じて、正当であると認証された場合には、入力要求情報の出力を行わなくてもよいことになる。第1の認証識別情報送信部15は、認証識別情報の送信先である認証サーバ2のアドレス等をあらかじめ記録媒体等において保持していてもよく、あるいは、認証識別情報の送信時に、他の構成要素等から受け取ってもよい。
【0033】
また、第1の認証識別情報送信部15は、ソフトウェア記憶部11で記憶されているソフトウェアの実行部12による実行が終了した場合に、第1の認証識別情報蓄積部14が蓄積した認証識別情報とソフトウェアの実行が終了した旨とを認証サーバ2に送信してもよい。この送信は、認証サーバ2における認証識別情報を用いた認証(これについては後述する)を終了させるためになされるものである。
【0034】
なお、第1の認証識別情報送信部15は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第1の認証識別情報送信部15は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0035】
認証結果情報受信部16は、認証サーバ2での認証結果を示す情報である認証結果情報を認証サーバ2から受信する。なお、認証サーバ2からの受信は、認証サーバ2からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。認証サーバ2から認証結果情報が送信されるタイミングとしては、2個のタイミングがある。一つは、第1の認証識別情報送信部15による認証識別情報の送信に応じて、認証サーバ2から認証結果情報が送信されるタイミングである。もう一方は、後述する認証情報送信部19による認証情報の送信に応じて、認証サーバ2から認証結果情報されるタイミングである。認証結果情報では、正当であると認証されたのか、あるいは、正当でないと認証されたのかが示されることになる。
【0036】
なお、認証結果情報受信部16は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証結果情報受信部16は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0037】
入力要求情報出力部17は、入力要求情報を出力する。入力要求情報は、認証で用いられる情報である認証情報の入力を要求する情報である。認証情報は、例えば、ユーザを識別するユーザ識別情報と、そのユーザ識別情報に対応付けられているパスワードであってもよく、機器を識別する機器IDと、その機器IDに対応付けられているパスワードであってもよく、ソフトウェアを識別するソフトウェア識別情報と、そのソフトウェア識別情報に対応付けられているパスワードであってもよく、単にパスワードだけであってもよく、情報処理装置1でのソフトウェアの実行が正当であるかどうかの認証に用いられる情報であれば、その他の情報であってもよい。
【0038】
入力要求情報出力部17は、第1の認証識別情報送信部15による認証識別情報の送信に応じて認証サーバ2から受信した認証結果情報が、正当でないと認証されたことを示す場合に、入力要求情報を出力する。また、入力要求情報出力部17は、実行部12が全体ソフトウェアを実行する場合にも、入力要求情報を出力してもよい。また、入力要求情報出力部17は、実行部12がソフトウェアを実行する際に、第1の認証識別情報蓄積部14によって蓄積された認証識別情報が存在しない場合にも、入力要求情報を出力してもよい。入力要求情報出力部17は、例えば、入力要求情報を図示しない記録媒体において保持しており、その入力要求情報を読み出して出力してもよい。
【0039】
ここで、この出力は、例えば、表示デバイス(例えば、CRTや液晶ディスプレイなど)への表示(例えば、ユーザ識別情報と、パスワードとの入力を促す画面の表示)でもよく、所定の機器への通信回線を介した送信でもよく、プリンタによる印刷でもよく、スピーカによる音声出力でもよく、記録媒体への蓄積でもよく、他の構成要素への引き渡しでもよい。なお、入力要求情報の出力が記録媒体への蓄積や、他の構成要素への引渡であったとしても、最終的には、入力要求情報がユーザに提示されることになる。ユーザに対して、認証情報の入力を促すことが、入力要求情報を出力する目的だからである。また、入力要求情報出力部17は、出力を行うデバイス(例えば、表示デバイスやプリンタなど)を含んでもよく、あるいは含まなくてもよい。また、入力要求情報出力部17は、ハードウェアによって実現されてもよく、あるいは、それらのデバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0040】
認証情報受付部18は、入力要求情報出力部17による入力要求情報の出力に応じて入力された認証情報を受け付ける。認証情報受付部18は、例えば、入力デバイス(例えば、キーボードやマウス、タッチパネルなど)から入力された情報を受け付けてもよく、有線もしくは無線の通信回線を介して送信された情報を受信してもよく、所定の記録媒体(例えば、光ディスクや磁気ディスク、半導体メモリなど)から読み出された情報を受け付けてもよい。所定の記録媒体からの認証情報の受け付けとしては、例えば、ICカードなどで用いられているRFIDから認証情報を受け付ける場合がありうる。なお、認証情報受付部18は、受け付けを行うためのデバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証情報受付部18は、ハードウェアによって実現されてもよく、あるいは所定のデバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0041】
認証情報送信部19は、認証情報受付部18が受け付けた認証情報を認証サーバ2に送信する。認証情報送信部19は、認証情報の送信先である認証サーバ2のアドレス等をあらかじめ記録媒体等において保持していてもよく、あるいは、認証情報の送信時に、他の構成要素等から受け取ってもよい。
【0042】
なお、認証情報送信部19は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証情報送信部19は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0043】
また、ソフトウェア記憶部11と、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体とは、同一の記録媒体で実現されてもよく、別々の記録媒体で実現されてもよい。前者の場合には、例えば、ソフトウェアの記憶される領域がソフトウェア記憶部11となり、認証識別情報の記憶される領域が第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体となる。
【0044】
図3は、本実施の形態による認証サーバ2の構成を示すブロック図である。図3で示されるように、本実施の形態による認証サーバ2は、情報処理装置1で実行されるソフトウェアの実行時の認証を行うものであり、認証情報受信部21と、認証部22と、認証結果情報送信部23と、認証識別情報取得部24と、第2の認証識別情報蓄積部25と、第2の認証識別情報送信部26と、第2の認証識別情報受信部27とを備える。
【0045】
認証情報受信部21は、情報処理装置1から送信された認証情報を受信する。なお、この情報処理装置1からの受信は、情報処理装置1からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。
【0046】
なお、認証情報受信部21は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証情報受信部21は、放送を受信するものであってもよい。また、認証情報受信部21は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0047】
認証部22は、認証情報受信部21が受信した認証情報を用いて認証を行う。認証情報にユーザ識別情報とパスワードとが含まれる場合に、認証部22は、例えば、認証情報に含まれる、ユーザ識別情報に対応付けられているパスワードが正当かどうかを判断するために用いられる情報である認証判断情報(図示しない記録媒体で記憶されているものとする)を用いて認証を行ってもよい。その認証判断情報は、例えば、ユーザ識別情報と、パスワードとを対応付けて有する情報であり、認証部22は、認証情報に含まれるユーザ識別情報に、認証判断情報によって対応付けられているパスワードと、認証情報に含まれるパスワードとが一致する場合に、正当であると認証し、一致しない場合に、正当でないと認証してもよい。また、認証判断情報は、認証情報に含まれるパスワードと所定の関係を有する情報であり、そのパスワードの正当性を判断可能な情報であってもよい。例えば、パスワードも認証判断情報も数字を示す情報である場合に、認証部22は、パスワードに1を足した数値が認証判断情報の示す数値に一致するのであれば、正当であると判断し、そうでないのであれば、正当でないと判断してもよい。また、例えば、パスワードが、情報処理装置1のユーザの秘密鍵で暗号化された情報であり、認証判断情報が、そのユーザの公開鍵を示す情報である場合には、認証部22は、認証情報に含まれるパスワードを、認証判断情報の示す公開鍵で復号し、その復号後の情報が、情報処理装置1と認証サーバ2との間であらかじめ決められている情報であれば、正当であると認証してもよい。
【0048】
また、認証部22は、後述する第2の認証識別情報蓄積部25が蓄積した認証識別情報と、後述する第2の認証識別情報受信部27が受信した認証識別情報とを用いた認証も行う。具体的には、認証部22は、第2の認証識別情報蓄積部25が蓄積した認証識別情報と、第2の認証識別情報受信部27が受信した認証識別情報とを用いた認証の際に、両者が一致する場合には正当であると判断し、両者が異なる場合には正当でないと判断してもよい。また、認証部22は、第2の認証識別情報蓄積部25が蓄積した認証識別情報と、第2の認証識別情報受信部27が受信した認証識別情報とが所定の関係を有する場合(例えば、一方の認証識別情報の示す数値に1を足したら、他方の認証識別情報の示す数値になるなど)に、正当であると判断してもよい。
【0049】
また、認証部22は、後述する第2の認証識別情報受信部27が認証識別情報とソフトウェアの実行が終了した旨とを受信した場合に、その認証識別情報を用いた認証において正当であると判断されないように、認証識別情報を無効化してもよい。この認証識別情報の無効化は、例えば、第2の認証識別情報蓄積部25が蓄積した認証識別情報を削除することであってもよく、あるいは、その認証識別情報に対応付けて、無効であることを示すフラグを設定することであってもよい。なお、無効であることを示すフラグが設定されている場合には、そのフラグの設定されている認証識別情報を認証で用いないものとする。
【0050】
認証結果情報送信部23は、認証部22による認証結果を示す情報である認証結果情報を情報処理装置1に送信する。この認証結果情報は、前述のように、正当である旨か、あるいは、正当でない旨が含まれることになる。認証結果情報送信部23は、例えば、情報処理装置1のアドレス等を、あらかじめ記録媒体等において保持していてもよく、あるいは、認証結果情報の送信時に、他の構成要素等から受け取ってもよい。例えば、認証結果情報送信部23は、認証結果情報の送信先として、認証情報受信部21が受信した認証情報の送信元のアドレスや、第2の認証識別情報受信部27が受信した認証識別情報の送信元のアドレスを用いてもよい。
【0051】
なお、認証結果情報送信部23は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、認証結果情報送信部23は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0052】
認証識別情報取得部24は、認証部22による認証情報を用いた認証により、正当であると判断された場合に、その認証を識別する情報である認証識別情報を取得する。認証識別情報取得部24による認証識別情報の取得は、例えば、記録媒体からの認証識別情報の読み出しであってもよく、認証識別情報の作成であってもよく、その他の方法での取得でもよい。なお、認証部22による認証識別情報を用いた認証により、正当であると判断されたとしても、認証識別情報取得部24は、認証識別情報を取得しなくてもよい。認証識別情報は、認証部22による認証ごとに異なる情報(例えば、ワンタイムパスワードのようなもの)となるものであってもよい。この認証識別情報は、後に情報処理装置1から送信され、認証で用いられるものであるため、その認証時に他の認証識別情報と区別しうる情報であれば、その内容を問わないが、そのような認証識別情報は、結果として、認証情報を用いた認証ごとに異なる情報となり、認証を識別することもできる情報となりうるため、認証識別情報と呼ぶものである。
【0053】
例えば、認証識別情報取得部24は、ユーザ識別情報や、パスワード等を用いて認証識別情報を作成してもよい。その場合に、認証識別情報から、ユーザ識別情報やパスワードが特定できないものであることが好適である。例えば、認証識別情報は、ユーザ識別情報やパスワードのハッシュ値であってもよい。また、認証識別情報取得部24は、例えば、その認証識別情報の作成時の日時情報を用いて、認証識別情報を作成してもよい。このようにすることで、作成ごとに異なる認証識別情報を取得することができる。より具体的には、認証識別情報取得部24は、ユーザ識別情報やパスワードと、その作成時の日時情報とのハッシュ値を認証識別情報として取得してもよい。なお、その日時情報は、例えば、時間や日にちを管理している時計部や、カレンダー部から提供されてもよい。また、例えば、図示しない記録媒体において、互いに重複しない複数の認証識別情報の候補が記憶されており、認証識別情報取得部24は、その記録媒体から一の認証識別情報を読み出すことによって、認証識別情報を取得してもよい。その場合には、一度読み出された認証識別情報は、それ以降、読み出されることがないように削除されたり、読み出されたことを示すフラグが設定されたりすることが好適である。また、例えば、認証識別情報取得部24は、重複した値を生成しない乱数発生アルゴリズムを用いて、認証識別情報を生成してもよい。
【0054】
第2の認証識別情報蓄積部25は、認証識別情報取得部24が取得した認証識別情報を、所定の記録媒体に蓄積する。この記録媒体は、例えば、半導体メモリや、光ディスク、磁気ディスク等であり、第2の認証識別情報蓄積部25が有していてもよく、あるいは第2の認証識別情報蓄積部25の外部に存在してもよい。また、この記録媒体は、認証識別情報を一時的に記憶するものであってもよく、そうでなくてもよい。
【0055】
第2の認証識別情報送信部26は、認証識別情報取得部24が取得した認証識別情報を、情報処理装置1に送信する。第2の認証識別情報送信部26は、例えば、情報処理装置1のアドレス等を、あらかじめ記録媒体等において保持していてもよく、あるいは、認証結果情報の送信時に、他の構成要素等から受け取ってもよい。例えば、第2の認証識別情報送信部26は、認証結果情報の送信先として、認証情報受信部21が受信した認証情報の送信元のアドレスを用いてもよい。
【0056】
なお、第2の認証識別情報送信部26は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第2の認証識別情報送信部26は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0057】
第2の認証識別情報受信部27は、情報処理装置1から送信された認証識別情報を受信する。なお、この情報処理装置1からの受信は、情報処理装置1からの直接的な受信でもよく、あるいは、他のサーバ等を介した間接的な受信でもよい。この第2の認証識別情報受信部27が受信する認証識別情報は、認証部22による認証に用いられるものである。
【0058】
また、第2の認証識別情報受信部27は、情報処理装置1から送信された認証識別情報とソフトウェアの実行が終了した旨とをも受信してもよい。第2の認証識別情報受信部27がこれらの情報を受信した場合には、前述のように、認証部22によって、対応する認証識別情報を無効化する処理が行われてもよい。
【0059】
なお、第2の認証識別情報受信部27は、受信を行うための有線または無線の受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい。また、第2の認証識別情報受信部27は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
【0060】
次に、本実施の形態による情報処理装置1の動作について、図4のフローチャートを用いて説明する。なお、ソフトウェア記憶部11では、全体ソフトウェアと部分ソフトウェアとが記憶されているものとする。
【0061】
(ステップS101)実行部12は、ソフトウェアを実行するかどうか判断する。そして、実行する場合には、ステップS102に進み、そうでない場合には、ステップS113に進む。なお、実行部12は、例えば、ユーザからソフトウェアを実行する旨の指示を受け付けた場合に、ソフトウェアを実行すると判断してもよく、あるいは、ソフトウェアの実行中における他のソフトウェアを読み出す旨のプログラムに応じて、該当するソフトウェアを実行すると判断してもよい。
【0062】
(ステップS102)実行部12は、実行するソフトウェアが全体ソフトウェアであるのか、あるいは、部分ソフトウェアであるのかについて判断する。そして、全体ソフトウェアである場合には、ステップS103に進み、部分ソフトウェアである場合には、ステップS109に進む。
(ステップS103)入力要求情報出力部17は、入力要求情報を出力する。
【0063】
(ステップS104)認証情報受付部18は、認証情報を受け付けたかどうか判断する。そして、得認証情報を受け付けた場合には、ステップS105に進み、そうでない場合には、認証情報を受け付けるまでステップS104の処理を繰り返す。なお、入力要求情報が出力されてから、あらかじめ決められた時間が経過しても認証情報を受け付けない場合には、認証情報受付部18は、タイムアウトであると判断して、ステップS101に戻ってもよい。
【0064】
(ステップS105)認証情報送信部19は、認証情報受付部18が受け付けた認証情報を、認証サーバ2に送信する。
【0065】
(ステップS106)認証結果情報受信部16は、認証結果情報を受信したかどうか判断する。そして、認証結果情報を受信した場合には、ステップS107に進み、そうでない場合には、認証結果情報を受信するまでステップS106の処理を繰り返す。なお、認証情報が送信されてから、あらかじめ決められた時間が経過しても認証結果情報を受け付けない場合には、認証結果情報受信部16は、タイムアウトであると判断して、ステップS101に戻ってもよい。
【0066】
(ステップS107)実行部12は、ステップS106で認証結果情報受信部16が受信した認証結果情報が、正当であると認証されたものであるかどうか判断する。そして、正当であると認証されたものである場合には、ステップS108に進み、そうでない場合には、ソフトウェアを実行することなくステップS101に戻る。
【0067】
(ステップS108)実行部12は、ソフトウェアを実行する。そして、ステップS101に戻る。
【0068】
(ステップS109)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報が存在するかどうか判断する。そして、存在する場合には、ステップS110に進み、そうでない場合には、ステップS103に進む。
【0069】
(ステップS110)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報を認証サーバ2に送信する。
【0070】
(ステップS111)認証結果情報受信部16は、認証結果情報を受信したかどうか判断する。そして、認証結果情報を受信した場合には、ステップS112に進み、そうでない場合には、認証結果情報を受信するまでステップS111の処理を繰り返す。なお、認証情報が送信されてから、あらかじめ決められた時間が経過しても認証結果情報を受け付けない場合には、認証結果情報受信部16は、タイムアウトであると判断して、ステップS101に戻ってもよい。
【0071】
(ステップS112)実行部12は、ステップS111で認証結果情報受信部16が受信した認証結果情報が、正当であると認証されたものであるかどうか判断する。そして、正当であると認証されたものである場合には、ステップS108に進み、そうでない場合には、ステップS103に進む。
【0072】
(ステップS113)第1の認証識別情報受信部13は、認証識別情報を受信したかどうか判断する。そして、受信した場合には、ステップS114に進み、そうでない場合には、ステップS115に進む。
【0073】
(ステップS114)第1の認証識別情報蓄積部14は、第1の認証識別情報受信部13が受信した認証識別情報を、所定の記録媒体に蓄積する。そして、ステップS101に戻る。
【0074】
(ステップS115)実行部12は、全体ソフトウェアの実行を終了するかどうか判断する。そして、終了する場合には、ステップS116に進み、そうでない場合には、ステップS101に戻る。なお、実行部12は、例えば、ユーザから全体ソフトウェアの実行を終了する旨の指示を受け付けた場合に、全体ソフトウェアの実行を終了すると判断してもよく、あるいは、ソフトウェアの実行中に全体ソフトウェアの実行を終了するコマンドが実行された場合に、全体ソフトウェアの実行を終了すると判断してもよい。なお、全体ソフトウェアを終了する場合には、全体ソフトウェアに含まれるいずれの部分ソフトウェアも終了することになる。
【0075】
(ステップS116)実行部12は、実行を終了すると判断した全体ソフトウェアの実行を終了する。
(ステップS117)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報と、ソフトウェアの実行が終了した旨とを認証サーバ2に送信する。
【0076】
(ステップS118)第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が蓄積した認証識別情報を削除する。そして、ステップS101に戻る。
なお、図4のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0077】
また、図4のフローチャートでは、全体ソフトウェアを実行する場合に、入力要求情報を出力するようにしているが、そうでなくてもよい。このように、図4のフローチャートには、ある程度の任意性がある。
【0078】
次に、本実施の形態による認証サーバ2の動作について、図5のフローチャートを用いて説明する。
(ステップS201)認証情報受信部21は、認証情報を受信したかどうか判断する。そして、認証情報を受信した場合には、ステップS202に進み、そうでない場合には、ステップS208に進む。
【0079】
(ステップS202)認証部22は、認証情報受信部21が受信した認証情報を用いた認証を行う。
【0080】
(ステップS203)認証結果情報送信部23は、認証部22による認証結果を示す認証結果情報を構成し、その認証結果情報を情報処理装置1に送信する。
【0081】
(ステップS204)認証識別情報取得部24は、認証部22によって、正当であると認証されたかどうか判断する。そして、正当であると認証されたと判断した場合には、ステップS205に進み、そうでない場合には、ステップS201に戻る。
【0082】
(ステップS205)認証識別情報取得部24は、認証識別情報を取得する。
(ステップS206)第2の認証識別情報蓄積部25は、認証識別情報取得部24が取得した認証識別情報を所定の記録媒体に蓄積する。
【0083】
(ステップS207)第2の認証識別情報送信部26は、認証識別情報取得部24が取得した認証識別情報を、情報処理装置1に送信する。そして、ステップS201に戻る。
【0084】
(ステップS208)第2の認証識別情報受信部27は、認証識別情報を受信したかどうか判断する。そして、受信した場合には、ステップS209に進み、そうでない場合には、ステップS211に進む。
【0085】
(ステップS209)認証部22は、第2の認証識別情報受信部27が受信した認証識別情報と、第2の認証識別情報蓄積部25が蓄積した認証識別情報とを用いた認証を行う。
【0086】
(ステップS210)認証結果情報送信部23は、ステップS209での認証部22による認証結果を示す認証結果情報を構成し、その認証結果情報を情報処理装置1に送信する。そして、ステップS201に戻る。
【0087】
(ステップS211)第2の認証識別情報受信部27は、情報処理装置1から送信された認証識別情報と、ソフトウェアの実行が終了した旨とを受信したかどうか判断する。そして、受信した場合には、ステップS212に進み、そうでない場合には、ステップS201に戻る。
【0088】
(ステップS212)認証部22は、第2の認証識別情報蓄積部25が蓄積した認証識別情報であって、ステップS211で第2の認証識別情報受信部27が受信した認証識別情報を無効化する処理を行う。そして、ステップS201に戻る。
なお、図5のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0089】
次に、本実施の形態による情報処理システムの動作について、具体例を用いて説明する。
この具体例において、情報処理装置1のソフトウェア記憶部11では、図6で示されるように全体ソフトウェアと部分ソフトウェアとが記憶されているものとする。図6において、例えば、全体ソフトウェア「財務会計ソフトウェア.exe」は、部分ソフトウェア「仕訳処理.exe」「決算処理.exe」「伝票検索.exe」…が含まれることが示されている。
【0090】
また、この具体例において、認証サーバ2において、図7で示される認証判断情報が図示しない記録媒体で記憶されており、認証部22は、この認証判断情報を用いて認証情報を用いた認証を行うものとする。図7の認証判断情報において、例えば、ユーザ識別情報「U001」と、パスワード「abc123」とが対応付けられている。したがって、認証部22は、ユーザ識別情報「U001」と、パスワード「abc123」とを有する認証情報が受信された場合に、正当であると認証するものとする。
【0091】
まず、ユーザ識別情報「U001」で識別されるユーザ(以下、「ユーザU001」とすることもある)が、情報処理装置1を操作して、全体ソフトウェア「財務会計ソフトウェア.exe」を実行する指示を入力したとする。すると、実行部12は、全体ソフトウェア「財務会計ソフトウェア.exe」を実行するタイミングであると判断し(ステップS101)、ソフトウェア記憶部11を参照して、「財務会計ソフトウェア.exe」が全体ソフトウェアであるかどうか判断する(ステップS102)。図6で示されるように、「財務会計ソフトウェア.exe」は全体ソフトウェアであるため、実行部12は、入力要求情報出力部17に、入力要求情報を出力する旨の指示を渡す。
【0092】
すると、入力要求情報出力部17は、あらかじめ図示しない記録媒体で記憶されている入力要求情報を読み出して、その入力要求情報をディスプレイに表示する(ステップS103)。図8は、そのようにしてディスプレイに表示された入力要求情報の一例を示す図である。なお、入力要求情報出力部17は、例えば、コマンド「output_loginscreen」を実行することによって、入力要求情報を表示してもよい。
【0093】
図8で示されるように、ユーザU001がキーボードやマウスなどの入力デバイスを操作することによって、入力要求情報のウィンドウにおいて、ユーザ識別情報「U001」と、パスワード「abc123」とを入力し、「OK」ボタンをクリックしたとする。すると、認証情報受付部18は、そのユーザ識別情報とパスワードとを認証情報として受け付ける(ステップS104)。そして、その認証情報は、認証情報送信部19に渡される。
【0094】
認証情報送信部19は、認証情報受付部18から認証情報を受け付けると、あらかじめ図示しない記録媒体において保持している認証サーバ2のIPアドレス「192.168.0.1」を読み出し、そのIPアドレスを送信先として、認証情報を含むパケットを送信する(ステップS105)。なお、ユーザU001が操作している情報処理装置1のアドレスは、「192.168.0.10」であるとする。
【0095】
そのパケットは、通信回線500を介して送信され、認証サーバ2の認証情報受信部21で受信され(ステップS201)、認証部22に渡される。認証部22は、その認証情報からユーザ識別情報「U001」を取り出し、そのユーザ識別情報を検索キーとして、図7で示される認証判断情報のレコードを検索する。すると、図7の1番目のレコードがヒットするため、認証部22は、その1番目のレコードからパスワード「abc123」を取得する。そして、認証部22は、認証情報からパスワードを取り出し、認証判断情報から取得したパスワードと比較する。ここでは、両者は一致するため、認証部22は、正当であると認証する(ステップS202)。そして、正当であると認証された旨が、認証結果情報送信部23と、認証識別情報取得部24とに渡される。
【0096】
認証結果情報送信部23は、正当であると認証された旨を認証部22から受け取ると、その旨を示す認証結果情報を構成する。そして、認証情報のパケットの送信元のアドレス「192.168.0.10」を認証情報受信部21から受け取り、そのアドレスを送信先のアドレスとして、認証結果情報のパケットを送信する(ステップS203)。
【0097】
また、認証識別情報取得部24は、正当であると認証された旨を認証部22から受け取ると、正当であると認証されたと判断し(ステップS204)、認証識別情報を取得する(ステップS205)。この具体例では、認証識別情報取得部24は、重ならないように6桁の乱数を発生させることにより、認証識別情報を取得するものとする。その認証識別情報は、「v3eih2」であったとする。その認証識別情報は、第2の認証識別情報蓄積部25と、第2の認証識別情報送信部26とに渡される。
【0098】
第2の認証識別情報蓄積部25は、認証識別情報取得部24から認証識別情報を受け取ると、図示しない経路によって、認証情報のパケットの送信元のアドレス「192.168.0.10」を認証情報受信部21から受け取る。そして、そのアドレスに対応付けて、受け取った認証識別情報を蓄積する(ステップS206)。図9の1番目のレコードは、そのようにして蓄積された認証識別情報の一例を示す図である。図9において、情報処理装置1のIPアドレスが、その装置を識別する情報である装置IDとして用いられている。
【0099】
第2の認証識別情報送信部26は、認証識別情報取得部24から認証識別情報を受け取ると、認証情報のパケットの送信元のアドレス「192.168.0.10」を認証情報受信部21から受け取り、そのアドレスを送信先とする認証識別情報のパケットを構成して送信する(ステップS207)。
【0100】
認証サーバ2から送信された認証結果情報は、通信回線500を介して情報処理装置1の認証結果情報受信部16で受信される(ステップS106)。そして、その認証結果情報は、実行部12に渡される。
【0101】
実行部12は、認証結果情報を受け取ると、その認証結果情報によって、正当であると認証された旨を知る(ステップS107)。そして、ソフトウェア「財務会計ソフト.exe」の実行を開始する(ステップS108)。
【0102】
また、認証サーバ2から送信された認証識別情報は、通信回線500を介して情報処理装置1の第1の認証識別情報受信部13で受信される(ステップS113)。そして、その認証識別情報は、第1の認証識別情報蓄積部14に渡され、蓄積される(ステップS114)。
【0103】
次に、ユーザU001が、情報処理装置1を操作して、ソフトウェア「仕訳処理.exe」を実行する指示を入力したとする。すると、実行部12は、部分ソフトウェア「仕訳処理.exe」を実行するタイミングであると判断し(ステップS101)、ソフトウェア記憶部11を参照して、「仕訳処理.exe」が全体ソフトウェアであるかどうか判断する(ステップS102)。図6で示されるように、「仕訳処理.exe」は部分ソフトウェアであるため、実行部12は、第1の認証識別情報送信部15に、認証識別情報を送信する旨の指示を渡す。
【0104】
すると、第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体を参照し、認証識別情報が記憶されているかどうか判断する。ここでは、認証識別情報「v3eih2」が記憶されているため、第1の認証識別情報送信部15は、認証識別情報が存在すると判断する(ステップS109)。そして、第1の認証識別情報送信部15は、その認証識別情報を読み出して、その認証識別情報をペイロードに含むパケットを構成し、そのパケットを認証サーバ2のIPアドレスを送信先として送信する(ステップS110)。
【0105】
その認証識別情報のパケットは、通信回線500を介して送信され、認証サーバ2の第2の認証識別情報受信部27で受信される(ステップS208)。第2の認証識別情報受信部27は、受信したパケットから認証識別情報と、送信元のIPアドレス「192.168.0.10」とを取り出し、それらを認証部22に渡す。
【0106】
認証部22は、第2の認証識別情報受信部27から受け取ったIPアドレスを検索キーとして、第2の認証識別情報蓄積部25が認証識別情報を蓄積する記録媒体を検索する。すると、図9の1番目のレコードがヒットする。認証部22は、そのレコードから認証識別情報「v3eih2」を読み出す。そして、認証部22は、第2の認証識別情報受信部27から受け取った認証識別情報と、第2の認証識別情報蓄積部25が蓄積した認証識別情報とを比較し、両者が一致すると判断する。そのため、認証部22は、正当であると認証する(ステップS209)。そして、正当であると認証された旨が、認証結果情報送信部23に渡される。そして、前述の説明と同様にして、認証結果情報送信部23は、正当である旨を示す認証結果情報を情報処理装置1に送信する(ステップS210)。認証結果情報送信部23は、その認証結果情報の送信先のアドレスを、第2の認証識別情報受信部27から受け取ってもよい。すなわち、第2の認証識別情報受信部27が受信した認証識別情報の送信元のアドレスが、認証結果情報の送信先のアドレスとなる。
【0107】
認証サーバ2から送信された認証結果情報は、通信回線500を介して情報処理装置1の認証結果情報受信部16で受信される(ステップS111)。そして、その認証結果情報は、実行部12に渡される。
【0108】
実行部12は、認証結果情報を受け取ると、その認証結果情報によって、正当であると認証された旨を知る(ステップS112)。そして、ソフトウェア「仕訳処理.exe」の実行を開始する(ステップS108)。
【0109】
その後、ユーザU001が、全体ソフトウェア「財務会計ソフト.exe」と、その全体ソフトウェアを構成するすべての部分ソフトウェアを終了する旨の指示を情報処理装置1に入力したとする。すると、実行部12は、全体ソフトウェア「財務会計ソフト.exe」を終了するタイミングであると判断し(ステップS115)、全体ソフトウェア「財務会計ソフト.exe」と、その全体ソフトウェアを構成するすべての部分ソフトウェアの実行を終了すると共に、第1の認証識別情報送信部15に、認証識別情報と、ソフトウェアの実行が終了した旨とを送信するように指示する(ステップS116)。
【0110】
すると、第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体から認証識別情報「v3eih2」を読み出して、その認証識別情報と、ソフトウェアの実行が終了した旨とをペイロードに含むパケットを構成し、そのパケットを認証サーバ2のIPアドレスを送信先として送信する(ステップS117)。また、第1の認証識別情報送信部15は、第1の認証識別情報送信部15は、第1の認証識別情報蓄積部14が認証識別情報を蓄積する記録媒体から認証識別情報「v3eih2」を削除する(ステップS118)。
【0111】
第1の認証識別情報送信部15が送信した認証識別情報等のパケットは、通信回線500を介して送信され、認証サーバ2の第2の認証識別情報受信部27で受信される(ステップS211)。第2の認証識別情報受信部27は、受信したパケットから認証識別情報と、送信元のIPアドレス「192.168.0.10」と、ソフトウェアの実行が終了した旨とを取り出し、それらを認証部22に渡す。
【0112】
認証部22は、それらの情報を受け取ると、第2の認証識別情報蓄積部25が認証識別情報を蓄積する記録媒体を検索して、IPアドレス「192.168.0.10」と、認証識別情報「v3eih2」に対応するレコード(図9の1番目のレコード)を特定し、そのレコードを削除する(ステップS212)。
【0113】
なお、この具体例では、図9で示されるように、認証識別情報と、装置IDとしてのIPアドレスとが対応付けられている場合について説明したが、装置IDは、IPアドレス以外であってもよい。例えば、装置の製造番号や、装置名(例えば、コンピュータ名)、装置に固有の情報(例えば、MACアドレス等)、装置を操作しているユーザ名などであってもよい。また、認証識別情報は、装置IDと対応付けられていなくてもよい。例えば、第2の認証識別情報蓄積部25は、認証識別情報のみを蓄積するものであり、認証部22は、第2の認証識別情報受信部27が受信した認証識別情報と一致する認証識別情報が、第2の認証識別情報蓄積部25が蓄積した認証識別情報のいずれかと一致する場合に、正当であると認証してもよい。
【0114】
以上のように、本実施の形態による情報処理システムによれば、認証情報を用いた認証に成功した後には、情報処理装置1から認証情報を送信するのではなく、認証識別情報を送信するため、認証情報が盗まれる可能性を低くすることができる。したがって、認証サーバ2での認証を行わなければならないシングルサインオンにおけるセキュリティーを向上させることができ、安全なシングルサインオンを実現することができるようになる。
【0115】
なお、本実施の形態では、ユーザが情報処理装置1を直接操作する場合について説明したが、情報処理装置1は、サーバ・クライアントシステムにおけるサーバ装置であってもよい。その場合には、出力部や受付部は、通信回線を介して入力を受け付けたり、画面を出力したりすることになる。
【0116】
また、本実施の形態において、認証識別情報を無効化する処理は、ソフトウェアの実行が終了された場合のみでなく、その他のタイミングでなされてもよい。例えば、認証識別情報に対して期限が設けられており、その期限が到来した際に、認証部22は、その認証識別情報を無効化してもよい。より具体的には、第2の認証識別情報蓄積部25が認証識別情報を蓄積する際に、その認証識別情報に対応付けて期限を設定する。その期限は、例えば、認証識別情報を蓄積する時点から所定の期間にあらかじめ決められており、第2の認証識別情報蓄積部25は、その期限を図示しない記録媒体から読み出して、その時点の日時(例えば、図示しない時計部やカレンダー部から取得できるものとする)に加算することによって、期限を計算して設定してもよい。そして、認証部22は、定期的に、現在の日時等を図示しない時計部やカレンダー部から取得し、その取得した現在の日時と、認証識別情報に対応付けられて設定された期限とを比較することにより、その期限が到来しているかどうか(すなわち、現在の日時が、期限の示す日時を超えているかどうか)を判断し、期限が到来したことを検知した場合には、その期限に対応付けられている認証識別情報を無効化(例えば、削除すること、無効である旨のフラグを設定することなど)してもよい。なお、情報処理装置1においても、同様に認証識別情報に期限を設定して、期限の到来に応じて認証識別情報を無効化するようにしてもよい。
【0117】
(実施の形態2)
本発明の実施の形態2による情報処理装置について、図面を参照しながら説明する。本実地の形態による情報処理装置では、2以上のソフトウェアがグループ化されており、グループに属するあるソフトウェアについて、正当であるとの認証が行われている場合には、同じグループに属する他のソフトウェアを、認証情報の受け付けを行うことなく実行できるようになるものである。
【0118】
図10は、本実施の形態による情報処理装置3の構成を示すブロック図である。図10において、本実施の形態による情報処理装置3は、ソフトウェア記憶部11と、実行部32と、グループ認証結果情報記憶部33と、認証部34と、入力要求情報出力部35と、認証情報受付部36とを備える。
【0119】
ソフトウェア記憶部31では、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶される。このソフトウェア記憶部31は、ソフトウェアがグループ化されている以外は、実施の形態1のソフトウェア記憶部11と同様のものであり、その詳細な説明を省略する。
【0120】
なお、ソフトウェアがグループ化される方法は問わない。例えば、複数のソフトウェアにグループIDが付与されており、そのグループIDの同じものが同じグループに属することになってもよい。また、統合ソフトウェアに含まれる各ソフトウェアが、一つのグループを構成してもよい。また、ソフトウェア記憶部31で記憶されている複数のソフトウェアのグループは、1個であってもよく、2個以上であってもよい。
【0121】
実行部32は、ソフトウェア記憶部31で記憶されているソフトウェアを適宜読み出して実行する。なお、実行部32は、後述する認証部34によって実行可能であると判断されたソフトウェアを実行し、実行可能でないと判断されたソフトウェアを実行しない。実行部32は、例えば、ソフトウェアを読み出して実行するマイクロプロセッサ等によって実現されうる。
【0122】
グループ認証結果情報記憶部33では、グループ認証結果情報が記憶される。グループ認証結果情報は、ソフトウェアのグループごとの認証結果を示す情報である。グループ認証結果情報は、ソフトウェアのグループごとに、正当であると認証されたソフトウェアが存在するかどうかを少なくとも示す情報である。このグループ認証結果情報は、後述する認証部22によって蓄積され、更新されるものである。グループ認証結果情報記憶部33での記憶は、RAM等における一時的な記憶でもよく、あるいは、長期的な記憶でもよい。グループ認証結果情報記憶部33は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
【0123】
認証部34は、ソフトウェアの実行の前に、その実行されるソフトウェアの実行の可否を判断する。認証部34は、グループ認証結果情報記憶部33で記憶されているグループ認証結果情報を用いて、実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、実行されるソフトウェアを実行可能であると判断し、実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、実行されるソフトウェアを実行可能でないと判断する。すなわち、あるグループに属するいずれかのソフトウェアについて正当であるとの認証が行われていれば、そのグループに属する他のソフトウェアは、後述する認証情報を入力することなく実行可能であると判断されることになる。一方、あるグループに属するいずれのソフトウェアについても正当であるとの認証が行われていない場合には、後述する認証情報を入力して、その認証情報が正当であると認証されなければ、実行可能であると判断されないことになる。
【0124】
また、認証部34は、後述する認証情報受付部36が受け付けた認証情報を用いた認証をも行い、その認証の結果が正当である場合に、その認証情報の入力を要求した入力要求情報に対応するソフトウェア(すなわち、入力要求情報が出力される契機となった、実行部32が実行しようとしているソフトウェア)を実行可能であると判断する。また、認証部34は、その認証結果に応じて、グループ認証結果情報記憶部33で記憶されているグループ認証結果情報を更新する。なお、認証部34は、例えば、実行部32でのソフトウェアの実行の終了にともなって、グループ認証結果情報を更新してもよい。認証部34は、例えば、認証情報を用いた認証を、実施の形態1の認証部22と同様に、認証判断情報を用いて行ってもよい。
【0125】
入力要求情報出力部35は、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する。入力要求情報出力部35は、ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証部34による認証において、その実行されるソフトウェアを実行可能でないと認証部34によって判断された場合に、入力要求情報を出力する。この入力要求情報出力部35は、実施の形態1の入力要求情報出力部17と同様のものであり、その詳細な説明を省略する。
【0126】
認証情報受付部36は、入力要求情報出力部35による入力要求情報の出力に応じて入力された認証情報を受け付ける。この認証情報受付部36は、実施の形態1の認証情報受付部18と同様のものであり、その詳細な説明を省略する。
【0127】
なお、ソフトウェア記憶部31と、グループ認証結果情報記憶部33とは、同一の記録媒体で実現されてもよく、別々の記録媒体で実現されてもよい。前者の場合には、例えば、ソフトウェアの記憶される領域がソフトウェア記憶部31となり、グループ認証結果情報の記憶される領域がグループ認証結果情報記憶部33となる。
【0128】
次に、本実施の形態による情報処理装置3の動作について、図11のフローチャートを用いて説明する。
(ステップS301)実行部32は、ソフトウェアを実行するかどうか判断する。そして、実行する場合には、ステップS302に進み、そうでない場合には、ステップS308に進む。なお、実行部32は、例えば、ユーザからソフトウェアを実行する旨の指示を受け付けた場合に、ソフトウェアを実行すると判断してもよく、あるいは、ソフトウェアの実行中における他のソフトウェアを読み出す旨のプログラムに応じて、該当するソフトウェアを実行すると判断してもよい。
【0129】
(ステップS302)認証部34は、グループ認証結果情報を参照して、ステップS301で実行すると判断されたソフトウェアと同じグループに属する他のソフトウェアについて、正当である(すなわち、そのソフトウェアが実行可能である)と認証されていたかどうか判断する。そして、正当であると認証されていた場合には、ステップS303に進み、そうでない場合には、ステップS304に進む。
【0130】
(ステップS303)実行部32は、ソフトウェアを実行する。そして、ステップS301に戻る。
(ステップS304)入力要求情報出力部35は、入力要求情報を出力する。
【0131】
(ステップS305)認証情報受付部36は、認証情報を受け付けたかどうか判断する。そして、得認証情報を受け付けた場合には、ステップS306に進み、そうでない場合には、認証情報を受け付けるまでステップS305の処理を繰り返す。なお、入力要求情報が出力されてから、あらかじめ決められた時間が経過しても認証情報を受け付けない場合には、認証情報受付部36は、タイムアウトであると判断して、ステップS301に戻ってもよい。
【0132】
(ステップS306)認証部34は、認証情報受付部36が受け付けた認証情報を用いた認証を行う。この認証は、例えば、認証判断情報を用いて行われる。
【0133】
(ステップS307)実行部32は、認証部34により、認証情報が正当であると認証されたかどうか判断する。そして、正当であると認証された場合には、ステップS303に進み、そうでない場合には、ステップS301に戻る。
【0134】
(ステップS308)認証部34は、グループ認証結果情報を更新するかどうか判断する。そして、更新する場合には、ステップS309に進み、そうでない場合には、ステップS301に戻る。なお、認証部34は、例えば、ソフトウェアのあるグループに属するいずれかのソフトウェアについて、そのグループで初めて正当であるとの認証情報を用いた認証が行われた場合に、グループ認証結果情報を更新すると判断してもよく、ソフトウェアのあるグループに属するすべてのソフトウェアの実行が終了された場合に、グループ認証結果情報を更新すると判断してもよい。
【0135】
(ステップS309)認証部34は、グループ認証結果情報を更新する。そして、ステップS301に戻る。
なお、図11のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0136】
次に、本実施の形態による情報処理装置3の動作について、具体例を用いて説明する。
この具体例では、図12で示されるように、情報処理装置3と、複数の端末装置4とが有線または無線の通信回線500を介して接続されている場合について説明する。ユーザは、端末装置4を操作して、情報処理装置3にアクセスし、情報処理装置3で記憶されているソフトウェアを実行する。
【0137】
また、この具体例では、ソフトウェア記憶部31において、図13で示されるように複数のソフトウェアがグループを識別する情報であるグループIDに対応付けられて記憶されているものとする。図13において、グループID「G001」で識別されるグループに、ソフトウェア「仕訳処理.exe」「決算処理.exe」「伝票検索.exe」…が含まれることがわかる。なお、グループID「G001」でグループ化されているソフトウェアは、経理系のソフトウェアであり、グループID「G002」でグループ化されているソフトウェアは、人事系のソフトウェアである。
【0138】
また、この具体例では、グループ認証結果情報記憶部33において、図14で示されるグループ認証結果情報が記憶されているものとする。図14において、装置IDと、グループIDと、認証フラグとが対応付けられている。装置IDは、端末装置4を識別する情報であり、図14では、端末装置4のIPアドレスが用いられている。グループIDは、ソフトウェアのグループを識別する情報である。認証フラグは、その認証フラグに対応するグループIDに属するいずれかのソフトウェアについて正当であると認証された場合には、「1」に設定され、いずれのソフトウェアについても正当であると認証されていない場合には、「0」に設定される。したがって、図14では、「192.168.0.10」で識別される端末装置4について、グループID「G001」「G002」で識別される各グループに属するいずれのソフトウェアについても、まだ正当であるとの認証(認証情報を用いた認証)が行われていないことがわかる。
【0139】
まず、IPアドレス「192.168.0.10」を有する端末装置4をユーザが操作して情報処理装置3にアクセスし、ソフトウェア「仕訳処理.exe」の実行を指示したとする。すると、実行部32は、ソフトウェア「仕訳処理.exe」を実行するタイミングであると判断し(ステップS301)、ソフトウェア記憶部31からソフトウェア「仕訳処理.exe」に対応するグループID「G001」を読み出し、端末装置4から受け付けた指示パケットの送信元のアドレス「192.168.0.10」を取得し、それらを認証部34に渡す。
【0140】
認証部34は、それらの情報を受け取ると、グループID「G001」と、装置ID「192.168.0.10」とを検索キーとして、グループ認証結果情報を検索し、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグを取得する。図14において、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグは「0」であるため、認証部34は、認証フラグ「0」を取得し、実行部32が実行するソフトウェアの属するグループにおいて、他のソフトウェアについて正当であるとの認証が行われていないと判断する(ステップS302)。そして、認証部34は、入力要求情報出力部35に、入力要求情報を出力する旨の指示を渡す。
【0141】
すると、入力要求情報出力部35は、あらかじめ図示しない記録媒体で記憶されている入力要求情報を読み出して、その入力要求情報を端末装置4に送信する(ステップS304)。端末装置4は、その入力要求情報をディスプレイに表示する。図8は、そのようにしてディスプレイに表示された入力要求情報の一例を示す図である。なお、入力要求情報出力部35は、例えば、コマンド「output_loginscreen」を実行することによって、入力要求情報を表示してもよい。
【0142】
図8で示されるように、ユーザがキーボードやマウスなどの入力デバイスを操作することによって、入力要求情報のウィンドウにおいて、ユーザ識別情報「U001」と、パスワード「abc123」とを入力し、「OK」ボタンをクリックしたとする。すると、端末装置4から情報処理装置3に、ユーザ識別情報とパスワードとを含む認証情報が送信される。情報処理装置3の認証情報受付部36は、そのようにして送信された認証情報を受信する(ステップS305)。そして、その認証情報は、認証情報送信部19に渡される。
【0143】
認証部34は、実施の形態1の認証部22と同様に、図7で示される認証判断情報を用いて認証の処理を行うものとする。したがって、認証部34は、認証情報受付部36が受信した認証情報を用いて、実施の形態1の具体例での説明と同様にして、正当であると認証し、その認証結果を実行部32に渡す(ステップS306)。実行部32は、正当であると認証されたため(ステップS307)、ソフトウェア「仕訳処理.exe」をソフトウェア記憶部31から読み出して実行する(ステップS303)。その結果、ユーザは、端末装置4を介して、情報処理装置3でのソフトウェア「仕訳処理.exe」を実行することができるようになる。
【0144】
また、認証部34は、認証情報を用いた認証によって、正当であると判断されたため、グループ認証結果情報を更新するタイミングであると判断し(ステップS308)、その直前に判断を行った、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグを「1」に更新する(ステップS309)。その結果、グループ認証結果情報は、図15で示されるようになる。
【0145】
その後、IPアドレス「192.168.0.10」を有する端末装置4をユーザが操作して情報処理装置3にアクセスし、ソフトウェア「決算処理.exe」の実行を指示したとする。すると、実行部32は、ソフトウェア「決算処理.exe」を実行するタイミングであると判断し(ステップS301)、ソフトウェア記憶部31からソフトウェア「決算処理.exe」に対応するグループID「G001」を読み出し、端末装置4から受け付けた指示パケットの送信元のアドレス「192.168.0.10」を取得し、それらを認証部34に渡す。
【0146】
認証部34は、それらの情報を受け取ると、グループID「G001」と、装置ID「192.168.0.10」とを検索キーとして、グループ認証結果情報を検索し、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグを取得する。図15において、グループID「G001」と、装置ID「192.168.0.10」とに対応する認証フラグは「1」であるため、認証部34は、認証フラグ「1」を取得し、実行部32が実行するソフトウェアの属するグループにおいて、他のソフトウェアについて正当であるとの認証が行われていると判断する(ステップS302)。そして、認証部34は、実行部32に正当であると認証された旨を渡す。
【0147】
すると、実行部32は、ソフトウェア「決算処理.exe」をソフトウェア記憶部31から読み出して実行する(ステップS303)。その結果、ユーザは、端末装置4を介して、情報処理装置3でのソフトウェア「決算処理.exe」を実行することができるようになる。
【0148】
最後に、グループID「G001」に属するすべてのソフトウェアの実行が終了した場合の処理について説明する。IPアドレス「192.168.0.10」を有する端末装置4をユーザが操作して情報処理装置3にアクセスし、グループID「G001」に属するすべてのソフトウェアの実行の終了を指示したとする。すると、実行部32は、その指示に応じて、グループID「G001」に属するすべてのソフトウェアの実行を終了する。また、認証部34は、そのソフトウェアの実行の終了にともなって、グループ認証結果情報を更新するタイミングであると判断し(ステップS308)、グループ認証結果情報におけるIPアドレス「192.168.0.10」と、グループID「G001」とに対応する認証フラグ「1」を「0」に更新する(ステップS309)。その結果、グループ認証結果情報は、図14で示されるようになる。
【0149】
この具体例では、グループ認証結果情報において、装置IDごとにグループIDや、認証フラグが管理されている場合について説明したが、そうでなくてもよい。例えば、ユーザIDごとにそれらの情報が管理されていてもよく、あるいは、グループIDと認証フラグのみが管理されていてもよい(この場合には、いずれかのユーザがあるグループに属するソフトウェアを実行していれば、他のユーザもそのグループに属するソフトウェアを、認証情報を入力することなく実行することができるようになる。後述するように、情報処理装置3がスタンドアロンの装置である場合には、それでも問題はないと考えられる)。また、グループ認証結果情報において、グループIDと、そのグループIDで識別されるグループに属するソフトウェアを識別するソフトウェア識別情報と、そのソフトウェア識別情報で識別されるソフトウェアについて正当であると認証されたかどうかを示す認証フラグとが対応付けられていてもよい。その場合には、あるソフトウェアの実行の終了にともなって、そのソフトウェアを識別するソフトウェア識別情報に対応する認証フラグが0に更新されてもよい。このように、グループ認証結果情報は、あるソフトウェアが実行されようとした際に、そのソフトウェアと同じグループに属する他のソフトウェアについて、正当であると認証されていたかどうかがわかる情報であれば、その情報の構成は問わない。
【0150】
以上のように、本実施の形態による情報処理装置3によれば、ソフトウェアをグループ化して、そのグループに属するいずれかのソフトウェアについて認証情報を用いた認証を行った後は、他のソフトウェアを認証情報の入力なしで使用することができるようにしたことで、ユーザがパスワード等を何度も入力する手間を省くことができる。また、グループ内においてしか、そのようなシングルサインオンのメリットを享受することができないように制限できるため、グループを適切に設定することによって、利用できるソフトウェアの範囲を任意に限定することもできる。このように、本実施の形態による情報処理装置3によれば、シングルサインオンのメリットと、ソフトウェアの利用範囲の制限との相反する目的を、バランスよく実現することができる。
【0151】
また、従来のシングルサインオンにおいては、一回の認証情報の入力によって実行することができる複数のソフトウェアに対して、同一のユーザ識別情報、同一のパスワードがそれぞれ設定されていることが一般的であるが、本実施の形態による情報処理装置3のように認証の制御を行うことによって、各ソフトウェアに対して、別々の認証情報が設定されていたとしてもよいことになる。したがって、アドオンで追加されるソフトウェア等についても、適切に対応することができるようになりうる。
【0152】
また、統合ソフトウェアに関して本実施の形態による情報処理装置3を適用する場合に、グループが、統合ソフトウェアに含まれるソフトウェアに対して設定されてもよい。例えば、ある統合ソフトウェアに、ソフトウェアA,B,C,D,E,F,G,Hが含まれる場合に、ソフトウェアA,B,Cがグループ1に含まれ、ソフトウェアD,E,F,G,Hがグループ2に含まれるようにすることができる。このようにすることで、ソフトウェアAについて正当である旨の認証を受けていれば、ソフトウェアAと同一グループに属するソフトウェアB,Cを認証情報の入力なしに実行することができるが、異なるグループに属するソフトウェアD,E等を認証情報の入力なしに実行することはできないようになる。従来のシングルサインオンであれば、一般的に統合ソフトウェアの起動時に認証を行い、正当であると判断された場合には、その統合ソフトウェアに含まれるすべてのソフトウェアを認証情報の入力なしに実行することができるようになることが一般的であったが、本実施の形態による情報処理装置3では、同じ統合ソフトウェアに含まれるソフトウェアについてもグループを設定することによって、さらに細かい認証の設定を行うことも可能となる。例えば、統合ソフトウェアが、統合ERPパッケージである場合には、例えば、前述のように販売支援、配達支援、請求支援、製造管理支援、在庫管理支援、会計管理支援、給与管理支援、就業管理支援、及び人事管理支援などのソフトウェアがその統合ソフトウェアに含まれることとなるが、一般には、経理部門の担当者は、人事管理支援や、終業管理支援等のソフトウェアを操作する必要がなく、人事部門の担当者は、会計管理支援や、在庫管理支援等のソフトウェアを操作する必要がないため、経理部門の担当者の操作するソフトウェアをグループ化し、人事部門の担当者の操作するソフトウェアをグループ化して、上記説明のように認証の制御を行うことによって、各担当者の操作できるソフトウェアを必要十分な範囲に限定すると共に、そのグループの範囲内においては、シングルサインオンを実現することによって、ユーザによる認証情報の入力の手間を削減することができる。
【0153】
なお、本実施の形態による認証部34は、図示しない認証サーバとの通信を行うことによって、認証の処理を行うものであってもよい。すなわち、認証の処理自体は、認証サーバで行われるが、その認証サーバとの情報のやりとりを行う構成要素が、認証部34であってもよい。したがって、認証部34は、認証情報や、その他の情報(例えば、グループID等)を受け取り、その情報を用いた認証結果としてのソフトウェアの実行の可否を得ることができるものであればよい。そのように、認証部34が、認証サーバとの通信を行って認証の処理を行う場合には、その認証サーバにおいて、グループ認証結果情報が保持されていることが一般的であると考えられ、情報処理装置3がグループ認証結果情報記憶部33を備えていなくてもよい。
【0154】
また、本実施の形態では、情報処理装置3がサーバ・クライアントシステムにおけるサーバである場合について説明したが、情報処理装置は、スタンドアロンの装置であってもよい。
【0155】
また、上記各実施の形態において、各処理または各機能は、単一の装置または単一のシステムによって集中処理されることによって実現されてもよく、あるいは、複数の装置または複数のシステムによって分散処理されることによって実現されてもよい。
【0156】
また、実施の形態1において、情報処理装置の各処理または各機能は、情報処理方法が実行されることによって実現されてもよい。その情報処理方法は、例えば、次のようなものである。すなわち、この情報処理方法は、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置において、2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証識別情報受信部と、認証識別情報蓄積部と、認証識別情報送信部と、認証結果情報受信部と、実行部と、入力要求情報出力部と、認証情報受付部と、認証情報送信部とを用いて実行される情報処理方法であって、前記認証識別情報受信部が、前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信ステップと、前記認証識別情報蓄積部が、前記認証識別情報受信ステップで受信した認証識別情報を蓄積する認証識別情報蓄積ステップと、前記認証識別情報送信部が、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積ステップで蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信ステップと、前記認証結果情報受信部が、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信ステップと、前記実行部が、前記認証結果情報受信ステップで受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行ステップと、前記入力要求情報出力部が、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、前記認証情報送信部が、前記認証情報受付ステップで受け付けた認証情報を前記認証サーバに送信する認証情報送信ステップと、を備えたものである。
【0157】
また、実施の形態1において、認証サーバの各処理または各機能は、情報処理方法が実行されることによって実現されてもよい。その情報処理方法は、例えば、次のようなものである。すなわち、この情報処理方法は、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバにおいて、認証情報受信部と、認証部と、認証結果情報送信部と、認証識別情報取得部と、認証識別情報蓄積部と、認証識別情報送信部と、認証識別情報受信部とを用いて実行される情報処理方法であって、前記認証情報受信部が、前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信ステップと、前記認証部が、前記認証情報受信ステップで受信した認証情報を用いて認証を行う第1の認証ステップと、前記認証結果情報送信部が、前記第1の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第1の認証結果情報送信ステップと、前記認証識別情報取得部が、前記第1の認証ステップでの認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得ステップと、前記認証識別情報蓄積部が、前記認証識別情報取得ステップで取得した認証識別情報を蓄積する認証識別情報蓄積ステップと、前記認証識別情報送信部が、前記認証識別情報取得ステップで取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信ステップと、前記認証識別情報受信部が、前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信ステップと、前記認証部が、前記認証識別情報蓄積ステップで蓄積した認証識別情報と、前記認証識別情報受信ステップで受信した認証識別情報とを用いた認証を行う第2の認証ステップと、前記認証結果情報送信部が、前記第2の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第2の認証結果情報送信ステップと、を備えたものである。
【0158】
また、実施の形態2において、情報処理装置の各処理または各機能は、情報処理方法が実行されることによって実現されてもよい。その情報処理方法は、例えば、次のようなものである。すなわち、この情報処理方法は、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証部と、実行部と、入力要求情報出力部と、認証情報受付部とを用いて実行される情報処理方法であって、前記認証部が、ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報である認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する第1の認証ステップと、前記実行部が、前記第1の認証ステップで実行可能であると判断されたソフトウェアを実行する第1の実行ステップと、前記入力要求情報出力部が、前記ソフトウェアの実行の前になされた認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記第1の認証ステップ判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、前記認証部が、前記認証情報受付ステップで受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記認証結果情報を更新する第2の認証ステップと、前記実行部が、前記第2の認証ステップで実行可能であると判断されたソフトウェアを実行する第2の実行ステップと、を備えたものである。
【0159】
また、上記各実施の形態において、情報処理装置に含まれる2以上の構成要素が通信デバイスや入力デバイス等を有する場合に、2以上の構成要素が物理的に単一のデバイスを有してもよく、あるいは、別々のデバイスを有してもよい。
【0160】
また、上記各実施の形態において、各構成要素は専用のハードウェアにより構成されてもよく、あるいは、ソフトウェアにより実現可能な構成要素については、プログラムを実行することによって実現されてもよい。例えば、ハードディスクや半導体メモリ等の記録媒体に記録されたソフトウェア・プログラムをCPU等のプログラム実行部が読み出して実行することによって、各構成要素が実現され得る。なお、上記実施の形態における情報処理装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置として機能させるためのプログラムであって、2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信部と、前記認証識別情報受信部が受信した認証識別情報を蓄積する認証識別情報蓄積部と、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信部と、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部として機能させるためのものである。
【0161】
また、上記実施の形態における認証サーバを実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバとして機能させるためのプログラムであって、前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信部と、前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、前記認証識別情報取得部が取得した認証識別情報を蓄積する認証識別情報蓄積部と、前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信部と、前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信部として機能させ、前記認証部は、前記認証識別情報蓄積部が蓄積した認証識別情報と、前記認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、ものである。
【0162】
また、上記実施の形態における情報処理装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報である認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、前記ソフトウェアの実行の前になされた認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部として機能させ、前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記認証結果情報を更新する、ものである。
【0163】
なお、上記プログラムにおいて、上記プログラムが実現する機能には、ハードウェアでしか実現できない機能は含まれない。例えば、情報を取得する取得部や、情報を出力する出力部などにおけるモデムやインターフェースカードなどのハードウェアでしか実現できない機能は、上記プログラムが実現する機能には少なくとも含まれない。
【0164】
また、このプログラムは、サーバなどからダウンロードされることによって実行されてもよく、所定の記録媒体(例えば、CD−ROMなどの光ディスクや磁気ディスク、半導体メモリなど)に記録されたプログラムが読み出されることによって実行されてもよい。
【0165】
また、このプログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、あるいは分散処理を行ってもよい。
【0166】
図16は、上記プログラムを実行して、上記実施の形態による情報処理装置や認証サーバを実現するコンピュータの外観の一例を示す模式図である。上記実施の形態は、コンピュータハードウェア及びその上で実行されるコンピュータプログラムによって実現される。
【0167】
図16において、コンピュータシステム100は、CD−ROM(Compact Disk Read Only Memory)ドライブ105、FD(Flexible Disk)ドライブ106を含むコンピュータ101と、キーボード102と、マウス103と、モニタ104とを備える。
【0168】
図17は、コンピュータシステムを示す図である。図17において、コンピュータ101は、CD−ROMドライブ105、FDドライブ106に加えて、CPU(Central Processing Unit)111と、ブートアッププログラム等のプログラムを記憶するためのROM(Read Only Memory)112と、CPU111に接続され、アプリケーションプログラムの命令を一時的に記憶すると共に、一時記憶空間を提供するRAM(Random Access Memory)113と、アプリケーションプログラム、システムプログラム、及びデータを記憶するハードディスク114と、CPU111、ROM112等を相互に接続するバス115とを備える。なお、コンピュータ101は、LANへの接続を提供する図示しないネットワークカードを含んでいてもよい。
【0169】
コンピュータシステム100に、上記実施の形態による情報処理装置や認証サーバの機能を実行させるプログラムは、CD−ROM121、またはFD122に記憶されて、CD−ROMドライブ105、またはFDドライブ106に挿入され、ハードディスク114に転送されてもよい。これに代えて、そのプログラムは、図示しないネットワークを介してコンピュータ101に送信され、ハードディスク114に記憶されてもよい。プログラムは実行の際にRAM113にロードされる。なお、プログラムは、CD−ROM121やFD122、またはネットワークから直接、ロードされてもよい。
【0170】
プログラムは、コンピュータ101に、上記実施の形態による情報処理装置や認証サーバの機能を実行させるオペレーティングシステム(OS)、またはサードパーティプログラム等を必ずしも含んでいなくてもよい。プログラムは、制御された態様で適切な機能(モジュール)を呼び出し、所望の結果が得られるようにする命令の部分のみを含んでいてもよい。コンピュータシステム100がどのように動作するのかについては周知であり、詳細な説明は省略する。
【0171】
また、本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
【産業上の利用可能性】
【0172】
以上より、本発明による情報処理装置等によれば、例えば、認証の際のセキュリティーを向上させることなどの効果が得られ、ソフトウェアの実行時の認証を行うシステムや装置等として有用である。
【図面の簡単な説明】
【0173】
【図1】本発明の実施の形態1による情報処理システムの構成を示す図
【図2】同実施の形態による情報処理装置の構成を示す図
【図3】同実施の形態による認証サーバの構成を示す図
【図4】同実施の形態による情報処理装置の動作を示すフローチャート
【図5】同実施の形態による認証サーバの動作を示すフローチャート
【図6】同実施の形態におけるソフトウェアの一例を示す図
【図7】同実施の形態における認証判断情報の一例を示す図
【図8】同実施の形態における入力要求情報の表示の一例を示す図
【図9】同実施の形態における認証識別情報の一例を示す図
【図10】本発明の実施の形態2による情報処理装置の構成を示すブロック図
【図11】同実施の形態による情報処理装置の動作を示すフローチャート
【図12】同実施の形態による情報処理装置を含む情報処理システムの構成を示す図
【図13】同実施の形態におけるグループ化されたソフトウェアの一例を示す図
【図14】同実施の形態におけるグループ認証結果情報の一例を示す図
【図15】同実施の形態におけるグループ認証結果情報の一例を示す図
【図16】同実施の形態におけるコンピュータシステムの外観一例を示す模式図
【図17】同実施の形態におけるコンピュータシステムの構成の一例を示す図
【符号の説明】
【0174】
1、3 情報処理装置
2 認証サーバ
4 端末装置
11、31 ソフトウェア記憶部
12、32 実行部
13 第1の認証識別情報受信部
14 第1の認証識別情報蓄積部
15 第1の認証識別情報送信部
16 認証結果情報受信部
17、35 入力要求情報出力部
18、36 認証情報受付部
19 認証情報送信部
21 認証情報受信部
22、34 認証部
23 認証結果情報送信部
24 認証識別情報取得部
25 第2の認証識別情報蓄積部
26 第2の認証識別情報送信部
27 第2の認証識別情報受信部
33 グループ認証結果情報記憶部
【特許請求の範囲】
【請求項1】
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムであって、
前記情報処理装置は、
2以上のソフトウェアが記憶されるソフトウェア記憶部と、
前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する第1の認証識別情報受信部と、
前記第1の認証識別情報受信部が受信した認証識別情報を蓄積する第1の認証識別情報蓄積部と、
前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する第1の認証識別情報送信部と、
前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、
前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、
前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、
前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部と、を備え、
前記認証サーバは、
前記情報処理装置から送信された認証情報を受信する認証情報受信部と、
前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、
前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、
前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、
前記認証識別情報取得部が取得した認証識別情報を蓄積する第2の認証識別情報蓄積部と、
前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する第2の認証識別情報送信部と、
前記情報処理装置から送信された認証識別情報を受信する第2の認証識別情報受信部と、を備え、
前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、情報処理システム。
【請求項2】
前記ソフトウェア記憶部では、全体ソフトウェアと、当該全体ソフトウェアを構成するソフトウェアであり、それ自体で実行単位となるソフトウェアである部分ソフトウェアが記憶されており、
前記入力要求情報出力部は、前記実行部が全体ソフトウェアを実行する場合にも、前記入力要求情報を出力する、請求項1記載の情報処理システム。
【請求項3】
前記入力要求情報出力部は、前記実行部がソフトウェアを実行する際に、前記第1の認証識別情報蓄積部によって蓄積された認証識別情報が存在しない場合にも、前記入力要求情報を出力する、請求項1記載の情報処理システム。
【請求項4】
前記認証識別情報取得部は、前記認証部による認証ごとに異なる認証識別情報を取得する、請求項1から請求項3のいずれか記載の情報処理システム。
【請求項5】
前記認証情報は、ユーザを識別するユーザ識別情報と、当該ユーザ識別情報に対応付けられているパスワードであり、
前記認証部は、前記認証情報に含まれる、ユーザ識別情報に対応付けられているパスワードが正当かどうかを判断するために用いられる情報である認証判断情報を用いて認証を行う、請求項1から請求項4のいずれか記載の情報処理システム。
【請求項6】
前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証の際に、両者が一致する場合には、正当であると判断し、両者が異なる場合には、正当でないと判断する、請求項1から請求項5のいずれか記載の情報処理システム。
【請求項7】
前記第1の認証識別情報送信部は、前記ソフトウェア記憶部で記憶されているソフトウェアの前記実行部による実行が終了した場合に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報とソフトウェアの実行が終了した旨とを前記認証サーバに送信し、
前記第2の認証識別情報受信部は、前記情報処理装置から送信された認証識別情報とソフトウェアの実行が終了した旨とをも受信し、
前記認証部は、前記第2の認証識別情報受信部が認証識別情報とソフトウェアの実行が終了した旨とを受信した場合に、当該認証識別情報を用いた認証において正当であると判断されないように、当該認証識別情報を無効化する、請求項1から請求項6のいずれか記載の情報処理システム。
【請求項8】
請求項1から請求項7のいずれか記載の情報処理システムを構成する情報処理装置。
【請求項9】
請求項1から請求項7のいずれか記載の情報処理システムを構成する認証サーバ。
【請求項10】
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置において、2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証識別情報受信部と、認証識別情報蓄積部と、認証識別情報送信部と、認証結果情報受信部と、実行部と、入力要求情報出力部と、認証情報受付部と、認証情報送信部とを用いて実行される情報処理方法であって、
前記認証識別情報受信部が、前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信ステップと、
前記認証識別情報蓄積部が、前記認証識別情報受信ステップで受信した認証識別情報を蓄積する認証識別情報蓄積ステップと、
前記認証識別情報送信部が、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積ステップで蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信ステップと、
前記認証結果情報受信部が、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信ステップと、
前記実行部が、前記認証結果情報受信ステップで受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行ステップと、
前記入力要求情報出力部が、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、
前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、
前記認証情報送信部が、前記認証情報受付ステップで受け付けた認証情報を前記認証サーバに送信する認証情報送信ステップと、を備えた情報処理方法。
【請求項11】
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバにおいて、認証情報受信部と、認証部と、認証結果情報送信部と、認証識別情報取得部と、認証識別情報蓄積部と、認証識別情報送信部と、認証識別情報受信部とを用いて実行される情報処理方法であって、
前記認証情報受信部が、前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信ステップと、
前記認証部が、前記認証情報受信ステップで受信した認証情報を用いて認証を行う第1の認証ステップと、
前記認証結果情報送信部が、前記第1の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第1の認証結果情報送信ステップと、
前記認証識別情報取得部が、前記第1の認証ステップでの認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得ステップと、
前記認証識別情報蓄積部が、前記認証識別情報取得ステップで取得した認証識別情報を蓄積する認証識別情報蓄積ステップと、
前記認証識別情報送信部が、前記認証識別情報取得ステップで取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信ステップと、
前記認証識別情報受信部が、前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信ステップと、
前記認証部が、前記認証識別情報蓄積ステップで蓄積した認証識別情報と、前記認証識別情報受信ステップで受信した認証識別情報とを用いた認証を行う第2の認証ステップと、
前記認証結果情報送信部が、前記第2の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第2の認証結果情報送信ステップと、を備えた情報処理方法。
【請求項12】
コンピュータを、
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置として機能させるためのプログラムであって、
2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信部と、
前記認証識別情報受信部が受信した認証識別情報を蓄積する認証識別情報蓄積部と、
前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信部と、
前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、
前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、
前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、
前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部として機能させるためのプログラム。
【請求項13】
コンピュータを、
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバとして機能させるためのプログラムであって、
前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信部と、
前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、
前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、
前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、
前記認証識別情報取得部が取得した認証識別情報を蓄積する認証識別情報蓄積部と、
前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信部と、
前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信部として機能させ、
前記認証部は、前記認証識別情報蓄積部が蓄積した認証識別情報と、前記認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、プログラム。
【請求項14】
2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、
ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、
前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、
前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、を備え、
前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する、情報処理装置。
【請求項15】
2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証部と、実行部と、入力要求情報出力部と、認証情報受付部とを用いて実行される情報処理方法であって、
前記認証部が、ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する第1の認証ステップと、
前記実行部が、前記第1の認証ステップで実行可能であると判断されたソフトウェアを実行する第1の実行ステップと、
前記入力要求情報出力部が、前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記第1の認証ステップ判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、
前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、
前記認証部が、前記認証情報受付ステップで受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する第2の認証ステップと、
前記実行部が、前記第2の認証ステップで実行可能であると判断されたソフトウェアを実行する第2の実行ステップと、を備えた情報処理方法。
【請求項16】
コンピュータを、
2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、
前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、
前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部として機能させ、
前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する、プログラム。
【請求項1】
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムであって、
前記情報処理装置は、
2以上のソフトウェアが記憶されるソフトウェア記憶部と、
前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する第1の認証識別情報受信部と、
前記第1の認証識別情報受信部が受信した認証識別情報を蓄積する第1の認証識別情報蓄積部と、
前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する第1の認証識別情報送信部と、
前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、
前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、
前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、
前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部と、を備え、
前記認証サーバは、
前記情報処理装置から送信された認証情報を受信する認証情報受信部と、
前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、
前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、
前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、
前記認証識別情報取得部が取得した認証識別情報を蓄積する第2の認証識別情報蓄積部と、
前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する第2の認証識別情報送信部と、
前記情報処理装置から送信された認証識別情報を受信する第2の認証識別情報受信部と、を備え、
前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、情報処理システム。
【請求項2】
前記ソフトウェア記憶部では、全体ソフトウェアと、当該全体ソフトウェアを構成するソフトウェアであり、それ自体で実行単位となるソフトウェアである部分ソフトウェアが記憶されており、
前記入力要求情報出力部は、前記実行部が全体ソフトウェアを実行する場合にも、前記入力要求情報を出力する、請求項1記載の情報処理システム。
【請求項3】
前記入力要求情報出力部は、前記実行部がソフトウェアを実行する際に、前記第1の認証識別情報蓄積部によって蓄積された認証識別情報が存在しない場合にも、前記入力要求情報を出力する、請求項1記載の情報処理システム。
【請求項4】
前記認証識別情報取得部は、前記認証部による認証ごとに異なる認証識別情報を取得する、請求項1から請求項3のいずれか記載の情報処理システム。
【請求項5】
前記認証情報は、ユーザを識別するユーザ識別情報と、当該ユーザ識別情報に対応付けられているパスワードであり、
前記認証部は、前記認証情報に含まれる、ユーザ識別情報に対応付けられているパスワードが正当かどうかを判断するために用いられる情報である認証判断情報を用いて認証を行う、請求項1から請求項4のいずれか記載の情報処理システム。
【請求項6】
前記認証部は、前記第2の認証識別情報蓄積部が蓄積した認証識別情報と、前記第2の認証識別情報受信部が受信した認証識別情報とを用いた認証の際に、両者が一致する場合には、正当であると判断し、両者が異なる場合には、正当でないと判断する、請求項1から請求項5のいずれか記載の情報処理システム。
【請求項7】
前記第1の認証識別情報送信部は、前記ソフトウェア記憶部で記憶されているソフトウェアの前記実行部による実行が終了した場合に、前記第1の認証識別情報蓄積部が蓄積した認証識別情報とソフトウェアの実行が終了した旨とを前記認証サーバに送信し、
前記第2の認証識別情報受信部は、前記情報処理装置から送信された認証識別情報とソフトウェアの実行が終了した旨とをも受信し、
前記認証部は、前記第2の認証識別情報受信部が認証識別情報とソフトウェアの実行が終了した旨とを受信した場合に、当該認証識別情報を用いた認証において正当であると判断されないように、当該認証識別情報を無効化する、請求項1から請求項6のいずれか記載の情報処理システム。
【請求項8】
請求項1から請求項7のいずれか記載の情報処理システムを構成する情報処理装置。
【請求項9】
請求項1から請求項7のいずれか記載の情報処理システムを構成する認証サーバ。
【請求項10】
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置において、2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証識別情報受信部と、認証識別情報蓄積部と、認証識別情報送信部と、認証結果情報受信部と、実行部と、入力要求情報出力部と、認証情報受付部と、認証情報送信部とを用いて実行される情報処理方法であって、
前記認証識別情報受信部が、前記ソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信ステップと、
前記認証識別情報蓄積部が、前記認証識別情報受信ステップで受信した認証識別情報を蓄積する認証識別情報蓄積ステップと、
前記認証識別情報送信部が、前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積ステップで蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信ステップと、
前記認証結果情報受信部が、前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信ステップと、
前記実行部が、前記認証結果情報受信ステップで受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行ステップと、
前記入力要求情報出力部が、前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、
前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、
前記認証情報送信部が、前記認証情報受付ステップで受け付けた認証情報を前記認証サーバに送信する認証情報送信ステップと、を備えた情報処理方法。
【請求項11】
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバにおいて、認証情報受信部と、認証部と、認証結果情報送信部と、認証識別情報取得部と、認証識別情報蓄積部と、認証識別情報送信部と、認証識別情報受信部とを用いて実行される情報処理方法であって、
前記認証情報受信部が、前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信ステップと、
前記認証部が、前記認証情報受信ステップで受信した認証情報を用いて認証を行う第1の認証ステップと、
前記認証結果情報送信部が、前記第1の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第1の認証結果情報送信ステップと、
前記認証識別情報取得部が、前記第1の認証ステップでの認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得ステップと、
前記認証識別情報蓄積部が、前記認証識別情報取得ステップで取得した認証識別情報を蓄積する認証識別情報蓄積ステップと、
前記認証識別情報送信部が、前記認証識別情報取得ステップで取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信ステップと、
前記認証識別情報受信部が、前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信ステップと、
前記認証部が、前記認証識別情報蓄積ステップで蓄積した認証識別情報と、前記認証識別情報受信ステップで受信した認証識別情報とを用いた認証を行う第2の認証ステップと、
前記認証結果情報送信部が、前記第2の認証ステップでの認証結果を示す情報である認証結果情報を前記情報処理装置に送信する第2の認証結果情報送信ステップと、を備えた情報処理方法。
【請求項12】
コンピュータを、
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する情報処理装置として機能させるためのプログラムであって、
2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行時に前記認証サーバで行われる認証を識別する情報である認証識別情報を前記認証サーバから受信する認証識別情報受信部と、
前記認証識別情報受信部が受信した認証識別情報を蓄積する認証識別情報蓄積部と、
前記ソフトウェア記憶部で記憶されているソフトウェアが実行される前に、前記認証識別情報蓄積部が蓄積した認証識別情報を前記認証サーバに送信する認証識別情報送信部と、
前記認証サーバでの認証結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、
前記認証結果情報受信部が受信した認証結果情報が、正当であると認証されたことを示す場合に、前記ソフトウェア記憶部で記憶されているソフトウェアを実行する実行部と、
前記認証識別情報の送信に応じて前記認証サーバから受信した認証結果情報が、正当でないと認証されたことを示す場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、
前記認証情報受付部が受け付けた認証情報を前記認証サーバに送信する認証情報送信部として機能させるためのプログラム。
【請求項13】
コンピュータを、
ソフトウェアを実行する情報処理装置と、当該ソフトウェアの実行時の認証を行う認証サーバとを備えた情報処理システムを構成する認証サーバとして機能させるためのプログラムであって、
前記情報処理装置から送信された、認証で用いられる情報である認証情報を受信する認証情報受信部と、
前記認証情報受信部が受信した認証情報を用いて認証を行う認証部と、
前記認証部による認証結果を示す情報である認証結果情報を前記情報処理装置に送信する認証結果情報送信部と、
前記認証部による認証情報を用いた認証により、正当であると判断された場合に、当該認証を識別する情報である認証識別情報を取得する認証識別情報取得部と、
前記認証識別情報取得部が取得した認証識別情報を蓄積する認証識別情報蓄積部と、
前記認証識別情報取得部が取得した認証識別情報を前記情報処理装置に送信する認証識別情報送信部と、
前記情報処理装置から送信された認証識別情報を受信する認証識別情報受信部として機能させ、
前記認証部は、前記認証識別情報蓄積部が蓄積した認証識別情報と、前記認証識別情報受信部が受信した認証識別情報とを用いた認証も行う、プログラム。
【請求項14】
2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、
ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、
前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、
前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部と、を備え、
前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する、情報処理装置。
【請求項15】
2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部と、認証部と、実行部と、入力要求情報出力部と、認証情報受付部とを用いて実行される情報処理方法であって、
前記認証部が、ソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する第1の認証ステップと、
前記実行部が、前記第1の認証ステップで実行可能であると判断されたソフトウェアを実行する第1の実行ステップと、
前記入力要求情報出力部が、前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記第1の認証ステップ判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力ステップと、
前記認証情報受付部が、前記入力要求情報出力ステップでの入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付ステップと、
前記認証部が、前記認証情報受付ステップで受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する第2の認証ステップと、
前記実行部が、前記第2の認証ステップで実行可能であると判断されたソフトウェアを実行する第2の実行ステップと、を備えた情報処理方法。
【請求項16】
コンピュータを、
2以上のソフトウェアごとにグループ化されている2以上のソフトウェアが記憶されるソフトウェア記憶部で記憶されているソフトウェアの実行の前に、当該実行されるソフトウェアの実行の可否を判断するものであり、ソフトウェアのグループごとの認証結果を示す情報であるグループ認証結果情報を用いて、当該実行されるソフトウェアと同一のグループに属する他のソフトウェアについて、正当であるとの認証が行われている場合には、前記実行されるソフトウェアを実行可能であると判断し、前記実行されるソフトウェアと同一のグループに属する他のいずれのソフトウェアについても正当であるとの認証が行われていない場合には、前記実行されるソフトウェアを実行可能でないと判断する認証部と、
前記認証部によって実行可能であると判断されたソフトウェアを実行する実行部と、
前記ソフトウェアの実行の前になされたグループ認証結果情報を用いた認証において、当該実行されるソフトウェアを実行可能でないと前記認証部によって判断された場合に、認証で用いられる情報である認証情報の入力を要求する情報である入力要求情報を出力する入力要求情報出力部と、
前記入力要求情報出力部による入力要求情報の出力に応じて入力された認証情報を受け付ける認証情報受付部として機能させ、
前記認証部は、前記認証情報受付部が受け付けた認証情報を用いた認証をも行い、当該認証の結果が正当である場合に、当該認証情報の入力を要求した入力要求情報に対応するソフトウェアを実行可能であると判断すると共に、認証結果に応じて前記グループ認証結果情報を更新する、プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2009−93482(P2009−93482A)
【公開日】平成21年4月30日(2009.4.30)
【国際特許分類】
【出願番号】特願2007−264486(P2007−264486)
【出願日】平成19年10月10日(2007.10.10)
【出願人】(593089895)株式会社オービックビジネスコンサルタント (52)
【Fターム(参考)】
【公開日】平成21年4月30日(2009.4.30)
【国際特許分類】
【出願日】平成19年10月10日(2007.10.10)
【出願人】(593089895)株式会社オービックビジネスコンサルタント (52)
【Fターム(参考)】
[ Back to top ]