情報処理装置、およびその制御方法、プログラム、記録媒体。
【課題】利用者の利便性を大きく損なうことなく、簡易な方法でセキュリティを確保する認証方法を提供することを目的とする。
【解決手段】 社内ネットワークからWebメールサーバへアクセスした場合は、第一の認証のみでWebメールシステムを利用可能とし、社外ネットワークからWebメールサーバへアクセスした場合は、第一の認証により正当なユーザであると認証された後に、認証サーバに認証処理を実行させる第二の認証を行って、第二の認証により正当なユーザであると認証された場合にWebメールシステムを利用可能とする。
【解決手段】 社内ネットワークからWebメールサーバへアクセスした場合は、第一の認証のみでWebメールシステムを利用可能とし、社外ネットワークからWebメールサーバへアクセスした場合は、第一の認証により正当なユーザであると認証された後に、認証サーバに認証処理を実行させる第二の認証を行って、第二の認証により正当なユーザであると認証された場合にWebメールシステムを利用可能とする。
【発明の詳細な説明】
【技術分野】
【0001】
Webメールシステムにおける認証方法に関するものである。
【背景技術】
【0002】
現在、Webブラウザを用いることで電子メールシステムを利用可能にするWebメールシステムがある。
【0003】
このWebメールシステムによれば、メールの新規作成や受信メールの確認などがWebブラウザのみで行うことができるという利点がある。さらに、通常のメールアプリケーションと異なり、すべてのメールをサーバ側で管理しているため、ブラウザを搭載しているコンピュータがあれば、ネットワークを介してどこからでも電子メールシステムが利用可能になるという利点もある。
【0004】
しかしながら、どこからでも電子メールシステムが利用可能となるということは、不正アクセスの危険性も高くなる。
【0005】
そこで、不正アクセスを防止するために、高いセキュリティ機能を有する認証方法を導入することが考えられるが、一般に高いセキュリティ機能を有する認証方法を導入すると利用者の利便性が損なわれてしまうという問題がある。
【0006】
特許文献1には、Webメールにおいて、社有等の登録済PC端末、登録済携帯端末であるかを確認し、また、PC端末については、メールサーバの接続前に、ウイルス検出ソフトウェア、P2P検出ソフトウェアの稼働状況を確認して、セキュリティ上問題ないことを確認し、セキュリティが確認された登録済PC端末および登録済携帯端末のみがメールサーバにアクセスすることができるメールサーバアクセスシステムに関する技術が開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−217712号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載の発明は、Webメールシステムを利用するPC端末又は携帯端末の固有情報を予め認証サーバに登録しておく必要があるため、登録されていない端末ではWebメールシステムを利用できないという制約がある。また、新規に端末を購入したり、端末を廃棄したりする場合に、メインテナンス作業が必要になるため管理の手間もかかる。さらに、PC端末についてはウイルス検出ソフトウェアの稼働状況を確認する必要があるため処理に時間がかかるという問題もある。
【0009】
そこで、本願発明は上記課題を解決するものであり、利用者の利便性を大きく損なうことなく、簡易な方法でセキュリティを確保する認証方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
本願発明は、クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置であって、前記クライアント端末からのアクセス要求を受け付ける受付手段と、前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段とを有することを特徴とする。
【発明の効果】
【0011】
利用者の利便性を大きく損なうことなく、簡易な方法でセキュリティを確保する認証方法を提供することが可能となる。
【図面の簡単な説明】
【0012】
【図1】本実施の形態に係るWebメールシステムの構成を示す図である。
【図2】Webメールサーバに適用可能な情報処理装置のハードウェア構成例を示すブロック図である。
【図3】社内ネットワークのクライアント端末からWebメールサーバへアクセスした場合の認証の流れを示す図である。
【図4】社外ネットワークのクライアント端末または携帯端末からWebメールサーバへアクセスした場合の認証の流れを示す図である。
【図5】Webメールサーバに設定するポート番号を示す図である。
【図6】クライアント端末に表示される第一の認証画面を示す図である。
【図7】クライアント端末に表示されるログイン後の画面を示す図である。
【図8】クライアント端末に表示される第二の認証画面を示す図である。
【図9】クライアント端末に表示される認証サーバの初期登録画面を示す図である。
【図10】携帯端末に表示される第一の認証画面を示す図である。
【図11】携帯端末に表示される第二の認証画面を示す図である。
【図12】携帯端末に表示されるログイン後の画面を示す図である。
【図13】本発明の実施の形態にかかる処理の流れを示すフローチャートである。
【図14】本発明の実施の形態にかかる処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の好適な実施形態を、添付図面を参照しながら詳細に説明する。
【0014】
図1は、本実施の形態に係るWebメールシステム(情報処理システム)の構成を示す図である。
【0015】
図1に示すように、Webメールサーバ101(情報処理装置)は、社内ネットワークに接続される認証サーバ102、クライアント端末104とローカルエリアネットワーク(通信媒体)を介して通信を行う。また、Webメールサーバ101は、ファイアウォール103を経由して、社外ネットワークに接続されるクライアント端末105とインターネットを介して通信を行い、携帯端末106と電話網或いはインターネットを介して通信を行う。
【0016】
Webメールサーバ101は、Webブラウザで利用することができる電子メールシステムを提供するサーバである。ユーザ毎に、受信したメールの閲覧や、新規メッセージの作成・送信などをWebブラウザのみで利用可能とする。
【0017】
認証サーバ102は、Webメールシステムを利用するユーザの認証を行うサーバである。本発明の実施の形態においては、主として、社外ネットワークからWebメールサーバ101へアクセスするユーザの認証を行う。なお、このユーザ認証は、通常のWebメールシステムにおける認証とは別の認証である。ユーザを認証する方法は、特に限定するものではないが、ユーザの利便性を損なうことなく、簡易な方法でセキュリティを確保する方式が望ましい。そこで、本発明の実施の形態においては、特開2003−256373号公報に記載されている方式を利用した認証例を用いて説明する。
【0018】
ファイアウォール103は、社外ネットワークから社内ネットワークへの不正なアクセスを検出・遮断するためのシステムである。本発明の実施の形態においては、ポート番号によりアクセスを遮断する機能を備えるものとする。
【0019】
クライアント端末104、105は、Webメールシステムを利用するユーザが操作するパーソナルコンピュータであり、Webメールサーバ101へアクセスするためのWebブラウザがインストールされている。
【0020】
携帯端末106は、Webメールシステムを利用するユーザが操作する携帯電話(PDAその他の携帯端末を含む)であり、Webメールサーバ101へアクセスするためのWebブラウザ機能を備えるものである。
【0021】
次に、図2を用いて、図1に示したWebメールサーバ101(認証サーバ102を含む。)のハードウェア構成について説明する。
【0022】
図2は、Webメールサーバ101に適用可能な情報処理装置のハードウェア構成例を示すブロック図である。なお、図2のブロック図はクライアント端末104、105にも適用可能である。
【0023】
図2に示すように、Webメールサーバ101は、システムバス204を介してCPU(Central Processing Unit)201、RAM(Random Access Memory)203、ROM(Read Only Memory)202、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、通信I/Fコントローラ208等が接続された構成を採る。
【0024】
CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。
【0025】
また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、各サーバあるいは各PCが実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。また、本発明を実施するために必要な情報が記憶されている。なお外部メモリはデータベースであってもよい。
【0026】
RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。
【0027】
また、入力コントローラ205は、キーボード(KB)209や不図示のマウス(等のポインティングデバイス等からの入力を制御する。
【0028】
ビデオコントローラ206は、ディスプレイ210等の表示器への表示を制御する。尚、表示器は液晶ディスプレイ等の表示器でもよい。これらは、必要に応じて管理者が使用する。
【0029】
メモリコントローラ207は、ブートプログラム、各種のアプリケーション、フォントデータ、ユーザファイル、編集ファイル、各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、あるいは、PCMCIA(Personal Computer Memory Card International Association)カードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0030】
通信I/Fコントローラ208は、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信し、ネットワークでの通信制御処理を実行する。例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いた通信等が可能である。
【0031】
尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上に表示することが可能である。また、CPU201は、ディスプレイ210上のマウスカーソル(図示しない)等によるユーザ指示を可能とする。
【0032】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイルおよび各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明についても後述する。
【0033】
次に、図3と4とを用いて、社内ネットワークのクライアント端末104からWebメールサーバ101へアクセスした場合の認証手順と、社外ネットワークのクライアント端末105または携帯端末106からWebメールサーバ101へアクセスした場合の認証手順を説明する。
【0034】
図3は、社内ネットワークのクライアント端末104からWebメールサーバ101へアクセスした場合の認証の流れを示す図である。
【0035】
ユーザは、クライアント端末104を操作して、Webブラウザを介してWebメールサーバ101へアクセスするための操作を行う。クライアント端末104は、(1)Webメールサーバ101のURLへアクセスを行う。
【0036】
Webメールサーバ101は、アクセス要求を受け付けると、(2)Webメールサーバ101が管理するWebメールシステムのユーザ認証を行うための画面データ(第一の認証画面データ)をクライアント端末104へ送信する。図6は、第一の認証画面を示す図である。これはクライアント端末104におけるWebブラウザ上に表示される一例である。
【0037】
ユーザは、ユーザID欄601およびパスワード欄602に第一の認証情報であるユーザIDおよびパスワード(第一のパスワード)を入力したのち、ログインボタン603を押す。入力ミスをした場合は、リセットボタン604を押して再入力を行う。クライアント端末104は、(3)ユーザにより入力された第一の認証情報であるユーザIDおよびパスワードをWebメールサーバ101へ送信する。
【0038】
Webメールサーバ101は、ユーザIDおよびパスワードを受信すると、ユーザ認証(第一の認証)を行う。正当なユーザであると判定された場合、Webメールサーバ101は、(4)ログイン後の画面データをクライアント端末104へ送信する。図7は、ログイン後の画面を示す図である。これはクライアント端末104にけるWebブラウザ上に表示される一例である。例えば、ユーザは、受信トレイ701を選択し、受信したメール一覧702から任意のメールを選択すると、メール本文欄703に表示されるメール本文を閲覧することが可能となる。
【0039】
なお、上記認証手順は、一般的なWebメールシステムにおける認証手順と何ら変わるものではない。このように社内におけるクライアント端末104からのアクセス時に通常の認証手順としたのは、セキュリティを考慮した社内ネットワークからのアクセスであれば、セキュリティが確保されているため、より高度な認証手順を行う必要がないからである。仮により高度な認証手順を行ってしまうと、却ってユーザの利便性を損なうことにもつながってしまう。
【0040】
図4は、社外ネットワークのクライアント端末105または携帯端末106からWebメールサーバ101へアクセスした場合の認証の流れを示す図である。
【0041】
ユーザは、クライアント端末105または携帯端末106を操作して、Webブラウザを介してWebメールサーバ101へアクセスするための操作を行う。クライアント端末105または携帯端末106は、(1)Webメールサーバ101のURLへアクセスを行う。
【0042】
Webメールサーバ101は、アクセス要求を受け付けると、(2)Webメールサーバ101が管理するWebメールシステムのユーザ認証を行うための画面データ(第一の認証画面データ)をクライアント端末105または携帯端末106へ送信する。図6および10は、第一の認証画面を示す図である。これはクライアント端末105または携帯端末106におけるWebブラウザ上に表示される一例である。
【0043】
ユーザは、ユーザID欄601(1001)およびパスワード欄602(1002)にユーザIDおよびパスワード(第一のパスワード)を入力したのち、ログインボタン603(1003)を押す。入力ミスをした場合は、リセットボタン604を押して再入力を行う。クライアント端末105または携帯端末106は、(3)ユーザにより入力されたユーザIDおよびパスワードをWebメールサーバ101へ送信する。
【0044】
Webメールサーバ101は、ユーザIDおよびパスワードを受信すると、ユーザ認証(第一の認証)を行う。正当なユーザであると判定された場合、Webメールサーバ101は、(4)認証サーバ102に対して、第一の認証により正当であると判定したユーザに固有の乱数を生成するように要求する。
【0045】
認証サーバ102は、乱数の生成要求を受け付けると、(5)生成した乱数情報をWebメールサーバ101へ送信する。
【0046】
Webメールサーバ101は、認証サーバ102から受信した乱数情報を用いて、(6)認証サーバ102が管理するWebメールシステムのユーザ認証を行うための画面データ(第二の認証画面データ)をクライアント端末105または携帯端末106へ送信する。図8および11は、第二の認証画面を示す図である。これはクライアント端末105または携帯端末106におけるWebブラウザ上に表示される一例である。ユーザは、Webブラウザ上に表示された乱数表801(1101)から、予め登録されている任意の位置の数字(例えば6桁の数字)をパスワードとして、パスワード欄802(1102)に第二の認証情報であるパスワード(第二のパスワード)を入力する。
【0047】
なお、「予め登録されている任意の位置」とは、認証サーバへの初回登録時に「初回抜き出し位置」として登録されたもの、若しくはその後ユーザが任意に設定した「抜き出し位置」のことである。
【0048】
図9は、認証サーバ102の初期登録画面を示す図である。ユーザは、認証サーバ102の初期登録用URL901へアクセスした後、登録ボタン903を押して初期登録を行う。具体的には、URL901をクリックすると、ウィンドウ画面(不図示)が表示され、認証サーバ102での登録が完了した旨の内容が表示される。その後、登録完了ボタン903を押すことで初期登録が完了する。
【0049】
次に初回抜き出し位置について説明する。この例では、4行12列の乱数表902のうち、1行1列目に「1」、1行2列目に「2」、1行3列目に「3」、1行4列目に「4」、1行5列目に「5」、1行6列目に「6」が表示されている。表示されている数字は抜き出す順序を示すものである。従って、図8における乱数表を例にすると、初期パスワードは、「691238」となる。
【0050】
なお、805は、第一の認証画面を省略して第二の認証画面へ直接アクセスするためのURLである。ユーザは、このURLをブックマークへ登録しておけば、第二の認証のみでWebメールシステムへログインすることができる。ただし、第二の認証画面には、ユーザ毎の乱数表を表示する必要があるため、URLには、ユーザ固有の情報が付加されている。認証サーバ102は、アクセス要求を受け付けた際、ユーザ固有の情報を読み取ることでユーザ毎の乱数表を生成することができる。
【0051】
ユーザは、パスワード欄802(1102)へ入力したのち、ログインボタン803(1103)を押す。入力ミスをした場合は、リセットボタン804を押して再入力を行う。クライアント端末105または携帯端末106は、(7)ユーザにより入力された第二の認証情報であるパスワードをWebメールサーバ101へ送信する。
【0052】
Webメールサーバ101は、第二の認証情報であるパスワードを受信すると、(8)認証サーバ102へ、受信したパスワードを転送して、ユーザの認証を依頼する。
【0053】
認証サーバ102は、ユーザ認証の依頼を受け付けると、受信した第二の認証情報であるパスワードを用いて、ユーザ認証(第二の認証)を行い、(9)正当なユーザであると判定された場合には、その旨をWebメールサーバ101へ通知する。
【0054】
Webメールサーバ101は、正当なユーザである旨の通知を受けると、(10)ログイン後の画面データをクライアント端末105または携帯端末106へ送信する。図7または12は、ログイン後の画面を示す図である。これはクライアント端末105または携帯端末106にけるWebブラウザ上に表示される一例である。図7については上述した通りである。図12において、ユーザは、メニュー一覧1201から任意のメニューを選んで操作を行う。ブックマーク1202は、直接第二の認証画面へアクセスするためのブックマークである。
【0055】
以上より、上記認証手順は、一般的なWebメールシステムにおける認証手順のみならず、認証サーバを用いたユーザ認証も行っている。このように社外におけるクライアント端末105からのアクセス時に通常の認証手順のみならず認証サーバを用いたユーザ認証も行っているのは、社外ネットワークからのアクセスの中には、悪意を持ったユーザによる不正アクセスの危険性があるため、より高度な認証手順を行う必要があるからである。そのため、社内ネットワークからのアクセスに比べて、高度な認証手順(本実施の形態においてはワンタイムパスワードを用いる)を行う。
【0056】
次に、図13と14とを用いて、全体の処理の流れを説明する。
【0057】
図13と14は、本発明の実施の形態にかかる処理の流れを示すフローチャートである。
【0058】
ユーザは、クライアント端末(携帯端末を含む。以下同じ。)上で動作するWebブラウザを介してWebメールサーバへアクセスする操作を行う。
【0059】
まず、ステップ1301において、クライアント端末は、ユーザからの指示に従って、Webブラウザを起動させる。
【0060】
また、ステップ1302において、クライアント端末は、ユーザから指定されたURLのWebメールサーバへアクセス要求を行う。
【0061】
ステップS1303において、Webメールサーバは、クライアント端末からのアクセス要求を受け付ける。
【0062】
ステップS1304において、Webメールサーバは、アクセス先ポート番号を取得して、メモリに一時的に記憶する。例えば、クライアント端末から、「http://www.ninsyo.co.jp:8080」としてアクセス要求がされた場合、アクセス先ポート番号として、「8080」を取得する。なお、Webメールサーバは、接続している各ユーザのセッション情報をメモリに管理しており、取得したポート番号とユーザとを関連付けて記憶する。
【0063】
ステップS1305において、Webメールサーバは、クライアント端末のWebブラウザに表示させる第一の認証画面データを、クライアント端末へ送信する。
【0064】
ステップS1306において、クライアント端末は、第一の認証画面データを受信する。そして、受信した第一の認証画面データをWebブラウザに表示する。図6は、第一の認証画面を示す一例である。携帯端末の場合は、図10の画面を表示する。
【0065】
ここで、ユーザは、ユーザID欄601(1001)およびパスワード欄602(1002)に第一の認証情報であるユーザIDおよびパスワードを入力して、ログインボタン603(1003)を押す。
【0066】
ステップS1307において、クライアント端末は、ユーザにより入力された第一の認証情報であるユーザIDおよびパスワードを取得する。
【0067】
ステップS1308において、クライアント端末は、取得した第一の認証情報であるユーザIDおよびパスワードをWebメールサーバへ送信する。
【0068】
ステップS1309において、Webメールサーバは、第一の認証情報であるユーザIDおよびパスワードを受信する。
【0069】
ステップS1310において、Webメールサーバは、受信した第一の認証情報であるユーザIDおよびパスワードを用いて、Webメールサーバが管理するユーザ情報からユーザの認証を行って、正当なユーザであるか否かを判定する。正当なユーザでないと判定した場合は、S1310に進み、ユーザ認証が失敗した旨が表示される情報を追加した第一の認証画面データをクライアント端末へ送信する。正当なユーザであると判定した場合は、S1311へ進む。
【0070】
S1311において、Webメールサーバは、認証サーバ連携オプションの有効性を判定する。有効でないと判定した場合は、S1312へ進み、有効であると判定した場合は、S1314へ進む。ここで、認証サーバ連携オプションを使用するかどうかは、Webメールサーバの起動時に内部メモリに読み込まれている設定ファイルの記載内容を参照することにより行う。具体的には、設定ファイルに、使用する認証サーバのホスト名(その他の識別情報を含めることも可能)が記載されている場合は、認証サーバ連携オプションが有効であると判断する。
【0071】
ステップS1312において、Webメールサーバは、メール一覧画面データ(ログイン後の画面データ)を、クライアント端末へ送信する。
【0072】
ステップS1313において、クライアント端末は、メール一覧画面データを受信する。そして、受信したメール一覧画面データをWebブラウザに表示する。図7は、メール一覧画面を示す一例である。携帯端末の場合は、図12の画面を表示する。
【0073】
ステップS1314において、Webメールサーバは、ステップS1304においてメモリに一時的に取得したポート番号が、認証サーバによる認証を行うポート番号であるかを判定する。認証を行うポート番号でないと判定した場合、S1312へ進み、認証を行うポート番号であると判定した場合、S1315へ進む。
【0074】
ここで、認証サーバによる認証をポート番号であるかと判定するために、予め設定されるポート番号の設定を用いる。図5を用いて具体例を説明する。まず、前提として、Webメールサーバが使うポート番号の設定がされる。ここで、501には、ポート番号「80」と「8080」が設定されている。従って、Webメールサーバは、接続先ポート番号が何れかのポート番号の場合にのみ接続要求を受け付ける。次に、502には、認証サーバを使わないポート番号として「8080」が設定される。従って、Webメールサーバは、アクセス先ポート番号が「80」の場合は、認証サーバによる認証を行うと判断し、アクセス先ポート番号が「8080」の場合は、認証サーバによる認証を行わないと判断することができる。
【0075】
さらに、ファイアウォールの設定により外部ネットワークからアクセス先ポート番号「8080」が指定される通信を遮断する設定を行うことにより、社内ネットワークからと社外ネットワークからのアクセスにより認証サーバを使う場合と使わない場合を使い分けることが可能となる。すなわち、社内ネットワークからWebメールサーバへアクセスする場合は、アクセス先ポート番号として「8080」を指定させる運用とすることで、認証サーバを用いることなく、従来のWebメールサーバ単体の認証によりWebメールサーバへログインすることができる。
【0076】
従って、比較的高いセキュリティ対策が施されている社内ネットワークから利用する場合には、従来と変わることなくWebメールサーバを利用することができるため、ユーザの利便性を損なうことがない。一方、社外ネットワークからWebメールサーバへアクセスする場合は、アクセス先ポート番号として「80」を指定させる運用とすることで(特に指定しなくともWebサーバへのアクセスは、デフォルトで「80」が指定される。)、Webメールサーバ単体の認証だけでなく、認証サーバを用いた認証を行う。これにより外部ネットワークからの不正アクセスを防止することができる。ここで、ユーザがアクセス先ポート番号として「8080」を指定したとしてもファイアウォールで通信が遮断されるため社外ネットワークからの通信は、認証サーバによる認証を回避することはできない。
【0077】
ステップS1315において、Webメールサーバは、外部記憶装置等から各ユーザ個別の情報(ユーザが使用できるディスク容量等のシステム情報、アドレス帳等のメール関連情報、その他認証サーバ上でのユーザID等を含む情報)の中から認証サーバにおけるユーザ情報を取得する。
【0078】
ステップS1316において、Webメールサーバは、ステップS1315において取得したユーザ情報の有効性を判定する。有効でないと判定した場合は、ステップS1305へ進み、有効であると判定した場合は、図14の(A)へ進む。有効性を判断する方法は、どのような形態であってもよいが、一例として、取得したユーザ情報に認証サーバ上でのユーザIDが存在するかを確認する方法がある。このユーザIDが存在しない場合は、有効でないと判定することができる。
【0079】
ステップS1401において、Webメールサーバは、認証サーバにおける初回登録が完了しているかどうかを判定する。初回登録がされていない場合は、ステップS1402へ進み、初回登録がされている場合は、ステップS1413へ進む。この判定は、ステップS1315において取得したユーザ情報に初回登録が完了しているかどうかの情報が含まれるため、この情報に基づいて判定を行う。
【0080】
ステップS1402において、Webメールサーバは、認証サーバへ初回登録情報を要求する。
【0081】
ステップS1403において、認証サーバは、初回登録情報の要求を受信する。
【0082】
ステップS1404において、初回登録情報を、Webメールサーバへ送信する。
【0083】
ステップS1405において、Webメールサーバは、初回登録情報を受信する。
【0084】
ステップS1406において、Webメールサーバは、受信した初回登録情報を用いて生成した初回登録画面データを、クライアント端末へ送信する。
【0085】
ステップS1407において、クライアント端末は、初期登録画面データを受信する。
【0086】
ステップS1408において、クライアント端末は、受信した初期登録画面データをWebブラウザに表示する。図9は、初期登録画面を示す一例である。上述した通り、この例では、ワンタイムパスワードの初回抜き出し位置は、1行1列から順番に1行6列までの位置であることが示されている。ユーザは初回抜き出し位置を確認した後、URL901をクリックして初期登録を行い、登録完了ボタン903を押す。
【0087】
ステップS1409において、クライアント端末は、認証サーバへ登録の指示を行う。
【0088】
ステップS1410において、認証サーバは、クライアント端末からの登録要求を受信する。
【0089】
ステップS1411において、認証サーバは、受信した登録要求に従って、ユーザ登録を行い、ステップS1401へ進む。
【0090】
ステップS1412において、Webメールサーバは、ステップS1310において第一の認証により認証されたユーザに対する乱数情報を、認証サーバへ要求する。
【0091】
ステップS1413において、認証サーバは、Webメールサーバからの乱数情報の要求を受信する。
【0092】
ステップS1414において、認証サーバは、要求を受けたユーザに固有の乱数情報を生成する。本実施の形態においては、4行12列の表形式に配置する乱数を生成する。
【0093】
ステップS1415において、認証サーバは、生成した乱数情報を用いて、データの形式を定義したXML形式でWebメールサーバへ送信する。
【0094】
ステップS1416において、Webメールサーバは、認証サーバからXML形式の乱数情報を受信する。
【0095】
ステップS1417において、Webメールサーバは、受信したXML形式の乱数情報を用いて第二の認証画面データを生成する。
【0096】
ステップS1418において、生成した第二の認証画面データを、クライアント端末へ送信する。
【0097】
ステップS1419において、クライアント端末は、第二の認証画面データを受信する。
【0098】
ステップS1420において、クライアント端末は、受信した第二の認証画面データをWebブラウザに表示する。図8は、第二の認証画面を示す一例である。携帯端末の場合は、図11の画面を表示する。例えば、ユーザに設定されている数字の抜き出し位置が、1行1列目、1行2列目、1行3列目、1行4列目、1行5列目、1行6列目の順番で設定されている場合、図8における乱数表を例にすると、パスワードは、「691238」となる。ユーザは、パスワード802にパスワードを入力してログインボタン803を押す。
【0099】
ステップS1421において、クライアント端末は、入力されたパスワードを、Webメールサーバへ送信する。
【0100】
ステップS1422において、Webメールサーバは、クライアント端末から受信したパスワード用いて、認証サーバに対して、ユーザ認証を依頼するためにパスワードを送信する。
【0101】
ステップS1423において、認証サーバは、Webメールサーバからパスワードを受信する。
【0102】
ステップS1424において、認証サーバは、受信したパスワードの正当性を判定する。
【0103】
ステップS1425において、認証サーバは、ステップS1424において判定した認証結果をWebメールサーバへ送信する。
【0104】
ステップS1426において、Webメールサーバは、認証結果を受信する。
【0105】
ステップS1427において、Webメールサーバは、認証結果が正当なユーザであり認証が成功した旨の認証結果の場合は、S1428へ進み、認証結果が正当なユーザでないため認証が失敗した旨の認証結果の場合は、S1412へ進む。なお、認証が失敗し、S1412へ進む場合、S1412〜S1417の処理がなされた後、S1418で送信する第二の認証画面データには、認証が失敗した旨のエラーメッセージを表示させるための情報を含めることで、ユーザに対して認証サーバにおける認証が失敗したことを通知する。
【0106】
ステップS1428において、Webメールサーバは、メール一覧画面データ(ログイン後の画面データ)を、クライアント端末へ送信する。
【0107】
ステップS1429において、クライアント端末は、メール一覧画面データを受信する。そして、受信したメール一覧画面データをWebブラウザに表示する。
【0108】
以上より、利用者の利便性を大きく損なうことなく、簡易な方法でセキュリティを確保する認証方法を提供することが可能となる。
【0109】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0110】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0111】
また、本発明におけるプログラムは、図13〜14の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図13〜14の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは13〜14の各装置の処理方法ごとのプログラムであってもよい。
【0112】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0113】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0114】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0115】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0116】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0117】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0118】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【符号の説明】
【0119】
101 Webメールサーバ
102 認証サーバ
103 ファイアウォール
104 クライアント端末
105 クライアント端末
106 携帯端末
【技術分野】
【0001】
Webメールシステムにおける認証方法に関するものである。
【背景技術】
【0002】
現在、Webブラウザを用いることで電子メールシステムを利用可能にするWebメールシステムがある。
【0003】
このWebメールシステムによれば、メールの新規作成や受信メールの確認などがWebブラウザのみで行うことができるという利点がある。さらに、通常のメールアプリケーションと異なり、すべてのメールをサーバ側で管理しているため、ブラウザを搭載しているコンピュータがあれば、ネットワークを介してどこからでも電子メールシステムが利用可能になるという利点もある。
【0004】
しかしながら、どこからでも電子メールシステムが利用可能となるということは、不正アクセスの危険性も高くなる。
【0005】
そこで、不正アクセスを防止するために、高いセキュリティ機能を有する認証方法を導入することが考えられるが、一般に高いセキュリティ機能を有する認証方法を導入すると利用者の利便性が損なわれてしまうという問題がある。
【0006】
特許文献1には、Webメールにおいて、社有等の登録済PC端末、登録済携帯端末であるかを確認し、また、PC端末については、メールサーバの接続前に、ウイルス検出ソフトウェア、P2P検出ソフトウェアの稼働状況を確認して、セキュリティ上問題ないことを確認し、セキュリティが確認された登録済PC端末および登録済携帯端末のみがメールサーバにアクセスすることができるメールサーバアクセスシステムに関する技術が開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−217712号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載の発明は、Webメールシステムを利用するPC端末又は携帯端末の固有情報を予め認証サーバに登録しておく必要があるため、登録されていない端末ではWebメールシステムを利用できないという制約がある。また、新規に端末を購入したり、端末を廃棄したりする場合に、メインテナンス作業が必要になるため管理の手間もかかる。さらに、PC端末についてはウイルス検出ソフトウェアの稼働状況を確認する必要があるため処理に時間がかかるという問題もある。
【0009】
そこで、本願発明は上記課題を解決するものであり、利用者の利便性を大きく損なうことなく、簡易な方法でセキュリティを確保する認証方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
本願発明は、クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置であって、前記クライアント端末からのアクセス要求を受け付ける受付手段と、前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段とを有することを特徴とする。
【発明の効果】
【0011】
利用者の利便性を大きく損なうことなく、簡易な方法でセキュリティを確保する認証方法を提供することが可能となる。
【図面の簡単な説明】
【0012】
【図1】本実施の形態に係るWebメールシステムの構成を示す図である。
【図2】Webメールサーバに適用可能な情報処理装置のハードウェア構成例を示すブロック図である。
【図3】社内ネットワークのクライアント端末からWebメールサーバへアクセスした場合の認証の流れを示す図である。
【図4】社外ネットワークのクライアント端末または携帯端末からWebメールサーバへアクセスした場合の認証の流れを示す図である。
【図5】Webメールサーバに設定するポート番号を示す図である。
【図6】クライアント端末に表示される第一の認証画面を示す図である。
【図7】クライアント端末に表示されるログイン後の画面を示す図である。
【図8】クライアント端末に表示される第二の認証画面を示す図である。
【図9】クライアント端末に表示される認証サーバの初期登録画面を示す図である。
【図10】携帯端末に表示される第一の認証画面を示す図である。
【図11】携帯端末に表示される第二の認証画面を示す図である。
【図12】携帯端末に表示されるログイン後の画面を示す図である。
【図13】本発明の実施の形態にかかる処理の流れを示すフローチャートである。
【図14】本発明の実施の形態にかかる処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の好適な実施形態を、添付図面を参照しながら詳細に説明する。
【0014】
図1は、本実施の形態に係るWebメールシステム(情報処理システム)の構成を示す図である。
【0015】
図1に示すように、Webメールサーバ101(情報処理装置)は、社内ネットワークに接続される認証サーバ102、クライアント端末104とローカルエリアネットワーク(通信媒体)を介して通信を行う。また、Webメールサーバ101は、ファイアウォール103を経由して、社外ネットワークに接続されるクライアント端末105とインターネットを介して通信を行い、携帯端末106と電話網或いはインターネットを介して通信を行う。
【0016】
Webメールサーバ101は、Webブラウザで利用することができる電子メールシステムを提供するサーバである。ユーザ毎に、受信したメールの閲覧や、新規メッセージの作成・送信などをWebブラウザのみで利用可能とする。
【0017】
認証サーバ102は、Webメールシステムを利用するユーザの認証を行うサーバである。本発明の実施の形態においては、主として、社外ネットワークからWebメールサーバ101へアクセスするユーザの認証を行う。なお、このユーザ認証は、通常のWebメールシステムにおける認証とは別の認証である。ユーザを認証する方法は、特に限定するものではないが、ユーザの利便性を損なうことなく、簡易な方法でセキュリティを確保する方式が望ましい。そこで、本発明の実施の形態においては、特開2003−256373号公報に記載されている方式を利用した認証例を用いて説明する。
【0018】
ファイアウォール103は、社外ネットワークから社内ネットワークへの不正なアクセスを検出・遮断するためのシステムである。本発明の実施の形態においては、ポート番号によりアクセスを遮断する機能を備えるものとする。
【0019】
クライアント端末104、105は、Webメールシステムを利用するユーザが操作するパーソナルコンピュータであり、Webメールサーバ101へアクセスするためのWebブラウザがインストールされている。
【0020】
携帯端末106は、Webメールシステムを利用するユーザが操作する携帯電話(PDAその他の携帯端末を含む)であり、Webメールサーバ101へアクセスするためのWebブラウザ機能を備えるものである。
【0021】
次に、図2を用いて、図1に示したWebメールサーバ101(認証サーバ102を含む。)のハードウェア構成について説明する。
【0022】
図2は、Webメールサーバ101に適用可能な情報処理装置のハードウェア構成例を示すブロック図である。なお、図2のブロック図はクライアント端末104、105にも適用可能である。
【0023】
図2に示すように、Webメールサーバ101は、システムバス204を介してCPU(Central Processing Unit)201、RAM(Random Access Memory)203、ROM(Read Only Memory)202、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、通信I/Fコントローラ208等が接続された構成を採る。
【0024】
CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。
【0025】
また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、各サーバあるいは各PCが実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。また、本発明を実施するために必要な情報が記憶されている。なお外部メモリはデータベースであってもよい。
【0026】
RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。
【0027】
また、入力コントローラ205は、キーボード(KB)209や不図示のマウス(等のポインティングデバイス等からの入力を制御する。
【0028】
ビデオコントローラ206は、ディスプレイ210等の表示器への表示を制御する。尚、表示器は液晶ディスプレイ等の表示器でもよい。これらは、必要に応じて管理者が使用する。
【0029】
メモリコントローラ207は、ブートプログラム、各種のアプリケーション、フォントデータ、ユーザファイル、編集ファイル、各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、あるいは、PCMCIA(Personal Computer Memory Card International Association)カードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0030】
通信I/Fコントローラ208は、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信し、ネットワークでの通信制御処理を実行する。例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いた通信等が可能である。
【0031】
尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上に表示することが可能である。また、CPU201は、ディスプレイ210上のマウスカーソル(図示しない)等によるユーザ指示を可能とする。
【0032】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイルおよび各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明についても後述する。
【0033】
次に、図3と4とを用いて、社内ネットワークのクライアント端末104からWebメールサーバ101へアクセスした場合の認証手順と、社外ネットワークのクライアント端末105または携帯端末106からWebメールサーバ101へアクセスした場合の認証手順を説明する。
【0034】
図3は、社内ネットワークのクライアント端末104からWebメールサーバ101へアクセスした場合の認証の流れを示す図である。
【0035】
ユーザは、クライアント端末104を操作して、Webブラウザを介してWebメールサーバ101へアクセスするための操作を行う。クライアント端末104は、(1)Webメールサーバ101のURLへアクセスを行う。
【0036】
Webメールサーバ101は、アクセス要求を受け付けると、(2)Webメールサーバ101が管理するWebメールシステムのユーザ認証を行うための画面データ(第一の認証画面データ)をクライアント端末104へ送信する。図6は、第一の認証画面を示す図である。これはクライアント端末104におけるWebブラウザ上に表示される一例である。
【0037】
ユーザは、ユーザID欄601およびパスワード欄602に第一の認証情報であるユーザIDおよびパスワード(第一のパスワード)を入力したのち、ログインボタン603を押す。入力ミスをした場合は、リセットボタン604を押して再入力を行う。クライアント端末104は、(3)ユーザにより入力された第一の認証情報であるユーザIDおよびパスワードをWebメールサーバ101へ送信する。
【0038】
Webメールサーバ101は、ユーザIDおよびパスワードを受信すると、ユーザ認証(第一の認証)を行う。正当なユーザであると判定された場合、Webメールサーバ101は、(4)ログイン後の画面データをクライアント端末104へ送信する。図7は、ログイン後の画面を示す図である。これはクライアント端末104にけるWebブラウザ上に表示される一例である。例えば、ユーザは、受信トレイ701を選択し、受信したメール一覧702から任意のメールを選択すると、メール本文欄703に表示されるメール本文を閲覧することが可能となる。
【0039】
なお、上記認証手順は、一般的なWebメールシステムにおける認証手順と何ら変わるものではない。このように社内におけるクライアント端末104からのアクセス時に通常の認証手順としたのは、セキュリティを考慮した社内ネットワークからのアクセスであれば、セキュリティが確保されているため、より高度な認証手順を行う必要がないからである。仮により高度な認証手順を行ってしまうと、却ってユーザの利便性を損なうことにもつながってしまう。
【0040】
図4は、社外ネットワークのクライアント端末105または携帯端末106からWebメールサーバ101へアクセスした場合の認証の流れを示す図である。
【0041】
ユーザは、クライアント端末105または携帯端末106を操作して、Webブラウザを介してWebメールサーバ101へアクセスするための操作を行う。クライアント端末105または携帯端末106は、(1)Webメールサーバ101のURLへアクセスを行う。
【0042】
Webメールサーバ101は、アクセス要求を受け付けると、(2)Webメールサーバ101が管理するWebメールシステムのユーザ認証を行うための画面データ(第一の認証画面データ)をクライアント端末105または携帯端末106へ送信する。図6および10は、第一の認証画面を示す図である。これはクライアント端末105または携帯端末106におけるWebブラウザ上に表示される一例である。
【0043】
ユーザは、ユーザID欄601(1001)およびパスワード欄602(1002)にユーザIDおよびパスワード(第一のパスワード)を入力したのち、ログインボタン603(1003)を押す。入力ミスをした場合は、リセットボタン604を押して再入力を行う。クライアント端末105または携帯端末106は、(3)ユーザにより入力されたユーザIDおよびパスワードをWebメールサーバ101へ送信する。
【0044】
Webメールサーバ101は、ユーザIDおよびパスワードを受信すると、ユーザ認証(第一の認証)を行う。正当なユーザであると判定された場合、Webメールサーバ101は、(4)認証サーバ102に対して、第一の認証により正当であると判定したユーザに固有の乱数を生成するように要求する。
【0045】
認証サーバ102は、乱数の生成要求を受け付けると、(5)生成した乱数情報をWebメールサーバ101へ送信する。
【0046】
Webメールサーバ101は、認証サーバ102から受信した乱数情報を用いて、(6)認証サーバ102が管理するWebメールシステムのユーザ認証を行うための画面データ(第二の認証画面データ)をクライアント端末105または携帯端末106へ送信する。図8および11は、第二の認証画面を示す図である。これはクライアント端末105または携帯端末106におけるWebブラウザ上に表示される一例である。ユーザは、Webブラウザ上に表示された乱数表801(1101)から、予め登録されている任意の位置の数字(例えば6桁の数字)をパスワードとして、パスワード欄802(1102)に第二の認証情報であるパスワード(第二のパスワード)を入力する。
【0047】
なお、「予め登録されている任意の位置」とは、認証サーバへの初回登録時に「初回抜き出し位置」として登録されたもの、若しくはその後ユーザが任意に設定した「抜き出し位置」のことである。
【0048】
図9は、認証サーバ102の初期登録画面を示す図である。ユーザは、認証サーバ102の初期登録用URL901へアクセスした後、登録ボタン903を押して初期登録を行う。具体的には、URL901をクリックすると、ウィンドウ画面(不図示)が表示され、認証サーバ102での登録が完了した旨の内容が表示される。その後、登録完了ボタン903を押すことで初期登録が完了する。
【0049】
次に初回抜き出し位置について説明する。この例では、4行12列の乱数表902のうち、1行1列目に「1」、1行2列目に「2」、1行3列目に「3」、1行4列目に「4」、1行5列目に「5」、1行6列目に「6」が表示されている。表示されている数字は抜き出す順序を示すものである。従って、図8における乱数表を例にすると、初期パスワードは、「691238」となる。
【0050】
なお、805は、第一の認証画面を省略して第二の認証画面へ直接アクセスするためのURLである。ユーザは、このURLをブックマークへ登録しておけば、第二の認証のみでWebメールシステムへログインすることができる。ただし、第二の認証画面には、ユーザ毎の乱数表を表示する必要があるため、URLには、ユーザ固有の情報が付加されている。認証サーバ102は、アクセス要求を受け付けた際、ユーザ固有の情報を読み取ることでユーザ毎の乱数表を生成することができる。
【0051】
ユーザは、パスワード欄802(1102)へ入力したのち、ログインボタン803(1103)を押す。入力ミスをした場合は、リセットボタン804を押して再入力を行う。クライアント端末105または携帯端末106は、(7)ユーザにより入力された第二の認証情報であるパスワードをWebメールサーバ101へ送信する。
【0052】
Webメールサーバ101は、第二の認証情報であるパスワードを受信すると、(8)認証サーバ102へ、受信したパスワードを転送して、ユーザの認証を依頼する。
【0053】
認証サーバ102は、ユーザ認証の依頼を受け付けると、受信した第二の認証情報であるパスワードを用いて、ユーザ認証(第二の認証)を行い、(9)正当なユーザであると判定された場合には、その旨をWebメールサーバ101へ通知する。
【0054】
Webメールサーバ101は、正当なユーザである旨の通知を受けると、(10)ログイン後の画面データをクライアント端末105または携帯端末106へ送信する。図7または12は、ログイン後の画面を示す図である。これはクライアント端末105または携帯端末106にけるWebブラウザ上に表示される一例である。図7については上述した通りである。図12において、ユーザは、メニュー一覧1201から任意のメニューを選んで操作を行う。ブックマーク1202は、直接第二の認証画面へアクセスするためのブックマークである。
【0055】
以上より、上記認証手順は、一般的なWebメールシステムにおける認証手順のみならず、認証サーバを用いたユーザ認証も行っている。このように社外におけるクライアント端末105からのアクセス時に通常の認証手順のみならず認証サーバを用いたユーザ認証も行っているのは、社外ネットワークからのアクセスの中には、悪意を持ったユーザによる不正アクセスの危険性があるため、より高度な認証手順を行う必要があるからである。そのため、社内ネットワークからのアクセスに比べて、高度な認証手順(本実施の形態においてはワンタイムパスワードを用いる)を行う。
【0056】
次に、図13と14とを用いて、全体の処理の流れを説明する。
【0057】
図13と14は、本発明の実施の形態にかかる処理の流れを示すフローチャートである。
【0058】
ユーザは、クライアント端末(携帯端末を含む。以下同じ。)上で動作するWebブラウザを介してWebメールサーバへアクセスする操作を行う。
【0059】
まず、ステップ1301において、クライアント端末は、ユーザからの指示に従って、Webブラウザを起動させる。
【0060】
また、ステップ1302において、クライアント端末は、ユーザから指定されたURLのWebメールサーバへアクセス要求を行う。
【0061】
ステップS1303において、Webメールサーバは、クライアント端末からのアクセス要求を受け付ける。
【0062】
ステップS1304において、Webメールサーバは、アクセス先ポート番号を取得して、メモリに一時的に記憶する。例えば、クライアント端末から、「http://www.ninsyo.co.jp:8080」としてアクセス要求がされた場合、アクセス先ポート番号として、「8080」を取得する。なお、Webメールサーバは、接続している各ユーザのセッション情報をメモリに管理しており、取得したポート番号とユーザとを関連付けて記憶する。
【0063】
ステップS1305において、Webメールサーバは、クライアント端末のWebブラウザに表示させる第一の認証画面データを、クライアント端末へ送信する。
【0064】
ステップS1306において、クライアント端末は、第一の認証画面データを受信する。そして、受信した第一の認証画面データをWebブラウザに表示する。図6は、第一の認証画面を示す一例である。携帯端末の場合は、図10の画面を表示する。
【0065】
ここで、ユーザは、ユーザID欄601(1001)およびパスワード欄602(1002)に第一の認証情報であるユーザIDおよびパスワードを入力して、ログインボタン603(1003)を押す。
【0066】
ステップS1307において、クライアント端末は、ユーザにより入力された第一の認証情報であるユーザIDおよびパスワードを取得する。
【0067】
ステップS1308において、クライアント端末は、取得した第一の認証情報であるユーザIDおよびパスワードをWebメールサーバへ送信する。
【0068】
ステップS1309において、Webメールサーバは、第一の認証情報であるユーザIDおよびパスワードを受信する。
【0069】
ステップS1310において、Webメールサーバは、受信した第一の認証情報であるユーザIDおよびパスワードを用いて、Webメールサーバが管理するユーザ情報からユーザの認証を行って、正当なユーザであるか否かを判定する。正当なユーザでないと判定した場合は、S1310に進み、ユーザ認証が失敗した旨が表示される情報を追加した第一の認証画面データをクライアント端末へ送信する。正当なユーザであると判定した場合は、S1311へ進む。
【0070】
S1311において、Webメールサーバは、認証サーバ連携オプションの有効性を判定する。有効でないと判定した場合は、S1312へ進み、有効であると判定した場合は、S1314へ進む。ここで、認証サーバ連携オプションを使用するかどうかは、Webメールサーバの起動時に内部メモリに読み込まれている設定ファイルの記載内容を参照することにより行う。具体的には、設定ファイルに、使用する認証サーバのホスト名(その他の識別情報を含めることも可能)が記載されている場合は、認証サーバ連携オプションが有効であると判断する。
【0071】
ステップS1312において、Webメールサーバは、メール一覧画面データ(ログイン後の画面データ)を、クライアント端末へ送信する。
【0072】
ステップS1313において、クライアント端末は、メール一覧画面データを受信する。そして、受信したメール一覧画面データをWebブラウザに表示する。図7は、メール一覧画面を示す一例である。携帯端末の場合は、図12の画面を表示する。
【0073】
ステップS1314において、Webメールサーバは、ステップS1304においてメモリに一時的に取得したポート番号が、認証サーバによる認証を行うポート番号であるかを判定する。認証を行うポート番号でないと判定した場合、S1312へ進み、認証を行うポート番号であると判定した場合、S1315へ進む。
【0074】
ここで、認証サーバによる認証をポート番号であるかと判定するために、予め設定されるポート番号の設定を用いる。図5を用いて具体例を説明する。まず、前提として、Webメールサーバが使うポート番号の設定がされる。ここで、501には、ポート番号「80」と「8080」が設定されている。従って、Webメールサーバは、接続先ポート番号が何れかのポート番号の場合にのみ接続要求を受け付ける。次に、502には、認証サーバを使わないポート番号として「8080」が設定される。従って、Webメールサーバは、アクセス先ポート番号が「80」の場合は、認証サーバによる認証を行うと判断し、アクセス先ポート番号が「8080」の場合は、認証サーバによる認証を行わないと判断することができる。
【0075】
さらに、ファイアウォールの設定により外部ネットワークからアクセス先ポート番号「8080」が指定される通信を遮断する設定を行うことにより、社内ネットワークからと社外ネットワークからのアクセスにより認証サーバを使う場合と使わない場合を使い分けることが可能となる。すなわち、社内ネットワークからWebメールサーバへアクセスする場合は、アクセス先ポート番号として「8080」を指定させる運用とすることで、認証サーバを用いることなく、従来のWebメールサーバ単体の認証によりWebメールサーバへログインすることができる。
【0076】
従って、比較的高いセキュリティ対策が施されている社内ネットワークから利用する場合には、従来と変わることなくWebメールサーバを利用することができるため、ユーザの利便性を損なうことがない。一方、社外ネットワークからWebメールサーバへアクセスする場合は、アクセス先ポート番号として「80」を指定させる運用とすることで(特に指定しなくともWebサーバへのアクセスは、デフォルトで「80」が指定される。)、Webメールサーバ単体の認証だけでなく、認証サーバを用いた認証を行う。これにより外部ネットワークからの不正アクセスを防止することができる。ここで、ユーザがアクセス先ポート番号として「8080」を指定したとしてもファイアウォールで通信が遮断されるため社外ネットワークからの通信は、認証サーバによる認証を回避することはできない。
【0077】
ステップS1315において、Webメールサーバは、外部記憶装置等から各ユーザ個別の情報(ユーザが使用できるディスク容量等のシステム情報、アドレス帳等のメール関連情報、その他認証サーバ上でのユーザID等を含む情報)の中から認証サーバにおけるユーザ情報を取得する。
【0078】
ステップS1316において、Webメールサーバは、ステップS1315において取得したユーザ情報の有効性を判定する。有効でないと判定した場合は、ステップS1305へ進み、有効であると判定した場合は、図14の(A)へ進む。有効性を判断する方法は、どのような形態であってもよいが、一例として、取得したユーザ情報に認証サーバ上でのユーザIDが存在するかを確認する方法がある。このユーザIDが存在しない場合は、有効でないと判定することができる。
【0079】
ステップS1401において、Webメールサーバは、認証サーバにおける初回登録が完了しているかどうかを判定する。初回登録がされていない場合は、ステップS1402へ進み、初回登録がされている場合は、ステップS1413へ進む。この判定は、ステップS1315において取得したユーザ情報に初回登録が完了しているかどうかの情報が含まれるため、この情報に基づいて判定を行う。
【0080】
ステップS1402において、Webメールサーバは、認証サーバへ初回登録情報を要求する。
【0081】
ステップS1403において、認証サーバは、初回登録情報の要求を受信する。
【0082】
ステップS1404において、初回登録情報を、Webメールサーバへ送信する。
【0083】
ステップS1405において、Webメールサーバは、初回登録情報を受信する。
【0084】
ステップS1406において、Webメールサーバは、受信した初回登録情報を用いて生成した初回登録画面データを、クライアント端末へ送信する。
【0085】
ステップS1407において、クライアント端末は、初期登録画面データを受信する。
【0086】
ステップS1408において、クライアント端末は、受信した初期登録画面データをWebブラウザに表示する。図9は、初期登録画面を示す一例である。上述した通り、この例では、ワンタイムパスワードの初回抜き出し位置は、1行1列から順番に1行6列までの位置であることが示されている。ユーザは初回抜き出し位置を確認した後、URL901をクリックして初期登録を行い、登録完了ボタン903を押す。
【0087】
ステップS1409において、クライアント端末は、認証サーバへ登録の指示を行う。
【0088】
ステップS1410において、認証サーバは、クライアント端末からの登録要求を受信する。
【0089】
ステップS1411において、認証サーバは、受信した登録要求に従って、ユーザ登録を行い、ステップS1401へ進む。
【0090】
ステップS1412において、Webメールサーバは、ステップS1310において第一の認証により認証されたユーザに対する乱数情報を、認証サーバへ要求する。
【0091】
ステップS1413において、認証サーバは、Webメールサーバからの乱数情報の要求を受信する。
【0092】
ステップS1414において、認証サーバは、要求を受けたユーザに固有の乱数情報を生成する。本実施の形態においては、4行12列の表形式に配置する乱数を生成する。
【0093】
ステップS1415において、認証サーバは、生成した乱数情報を用いて、データの形式を定義したXML形式でWebメールサーバへ送信する。
【0094】
ステップS1416において、Webメールサーバは、認証サーバからXML形式の乱数情報を受信する。
【0095】
ステップS1417において、Webメールサーバは、受信したXML形式の乱数情報を用いて第二の認証画面データを生成する。
【0096】
ステップS1418において、生成した第二の認証画面データを、クライアント端末へ送信する。
【0097】
ステップS1419において、クライアント端末は、第二の認証画面データを受信する。
【0098】
ステップS1420において、クライアント端末は、受信した第二の認証画面データをWebブラウザに表示する。図8は、第二の認証画面を示す一例である。携帯端末の場合は、図11の画面を表示する。例えば、ユーザに設定されている数字の抜き出し位置が、1行1列目、1行2列目、1行3列目、1行4列目、1行5列目、1行6列目の順番で設定されている場合、図8における乱数表を例にすると、パスワードは、「691238」となる。ユーザは、パスワード802にパスワードを入力してログインボタン803を押す。
【0099】
ステップS1421において、クライアント端末は、入力されたパスワードを、Webメールサーバへ送信する。
【0100】
ステップS1422において、Webメールサーバは、クライアント端末から受信したパスワード用いて、認証サーバに対して、ユーザ認証を依頼するためにパスワードを送信する。
【0101】
ステップS1423において、認証サーバは、Webメールサーバからパスワードを受信する。
【0102】
ステップS1424において、認証サーバは、受信したパスワードの正当性を判定する。
【0103】
ステップS1425において、認証サーバは、ステップS1424において判定した認証結果をWebメールサーバへ送信する。
【0104】
ステップS1426において、Webメールサーバは、認証結果を受信する。
【0105】
ステップS1427において、Webメールサーバは、認証結果が正当なユーザであり認証が成功した旨の認証結果の場合は、S1428へ進み、認証結果が正当なユーザでないため認証が失敗した旨の認証結果の場合は、S1412へ進む。なお、認証が失敗し、S1412へ進む場合、S1412〜S1417の処理がなされた後、S1418で送信する第二の認証画面データには、認証が失敗した旨のエラーメッセージを表示させるための情報を含めることで、ユーザに対して認証サーバにおける認証が失敗したことを通知する。
【0106】
ステップS1428において、Webメールサーバは、メール一覧画面データ(ログイン後の画面データ)を、クライアント端末へ送信する。
【0107】
ステップS1429において、クライアント端末は、メール一覧画面データを受信する。そして、受信したメール一覧画面データをWebブラウザに表示する。
【0108】
以上より、利用者の利便性を大きく損なうことなく、簡易な方法でセキュリティを確保する認証方法を提供することが可能となる。
【0109】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0110】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0111】
また、本発明におけるプログラムは、図13〜14の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図13〜14の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは13〜14の各装置の処理方法ごとのプログラムであってもよい。
【0112】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0113】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0114】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0115】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0116】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0117】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0118】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【符号の説明】
【0119】
101 Webメールサーバ
102 認証サーバ
103 ファイアウォール
104 クライアント端末
105 クライアント端末
106 携帯端末
【特許請求の範囲】
【請求項1】
クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置であって、
前記クライアント端末からのアクセス要求を受け付ける受付手段と、
前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、
前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、
前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、
前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、
前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、
前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、
前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段と
を有することを特徴とする情報処理装置。
【請求項2】
前記認証依頼手段による依頼に応じて、前記認証サーバから当該ユーザに対する認証結果を得た場合、当該認証結果が、認証が成功した旨の結果であるときは、前記クライアント端末へログイン後の画面データを送信するログイン後画面データ送信手段を更に有することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記第二の認証画面データ送信手段は、前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記認証されたユーザに対応する、前記認証サーバによって生成された乱数情報を用いて、前記クライアント端末において表形式で表示させるため画面情報を含む前記第二の認証画面データを送信することを特徴とする請求項1に記載の情報処理装置。
【請求項4】
前記第二の認証画面データ送信手段は、前記認証依頼手段による依頼に応じて、前記認証サーバから当該ユーザに対する認証結果を得た場合、当該認証結果が、認証が失敗した旨の結果であるときは、当該認証サーバにより新たに生成された乱数情報を用いて、前記クライアント端末において表形式で表示させるため画面情報を含む前記第二の認証画面データを送信することを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【請求項5】
クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置における制御方法であって、
前記クライアント端末からのアクセス要求を受け付ける受付ステップと、
前記受付ステップにより受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信ステップと、
前記第一の認証画面データ送信ステップにより送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信ステップと、
前記第一の認証情報受信ステップにより第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証ステップと、
前記認証ステップによる認証の結果、正当なユーザであると認証された場合、前記受付ステップにより受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定ステップと、
前記判定ステップによる判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信ステップと、
前記第二の認証画面データ送信ステップにより送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信ステップと、
前記第二の認証情報受信ステップにより第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼ステップと
を有することを特徴とする制御方法。
【請求項6】
クライアント端末と、認証サーバと、情報処理装置とがネットワークを介して通信可能な情報処理システムであって、
前記クライアント端末からのアクセス要求を受け付ける受付手段と、
前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、
前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、
前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、
前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、
前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、
前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、
前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段と
を有することを特徴とする情報処理システム。
【請求項7】
クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置において実行可能なプログラムであって、
前記クライアント端末からのアクセス要求を受け付ける受付手段と、
前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、
前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、
前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、
前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、
前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、
前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、
前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段
として前記情報処理装置を機能させることを特徴とするプログラム。
【請求項8】
請求項7に記載のプログラムをコンピュータ読み取り可能に記録した記録媒体。
【請求項1】
クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置であって、
前記クライアント端末からのアクセス要求を受け付ける受付手段と、
前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、
前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、
前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、
前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、
前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、
前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、
前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段と
を有することを特徴とする情報処理装置。
【請求項2】
前記認証依頼手段による依頼に応じて、前記認証サーバから当該ユーザに対する認証結果を得た場合、当該認証結果が、認証が成功した旨の結果であるときは、前記クライアント端末へログイン後の画面データを送信するログイン後画面データ送信手段を更に有することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記第二の認証画面データ送信手段は、前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記認証されたユーザに対応する、前記認証サーバによって生成された乱数情報を用いて、前記クライアント端末において表形式で表示させるため画面情報を含む前記第二の認証画面データを送信することを特徴とする請求項1に記載の情報処理装置。
【請求項4】
前記第二の認証画面データ送信手段は、前記認証依頼手段による依頼に応じて、前記認証サーバから当該ユーザに対する認証結果を得た場合、当該認証結果が、認証が失敗した旨の結果であるときは、当該認証サーバにより新たに生成された乱数情報を用いて、前記クライアント端末において表形式で表示させるため画面情報を含む前記第二の認証画面データを送信することを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【請求項5】
クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置における制御方法であって、
前記クライアント端末からのアクセス要求を受け付ける受付ステップと、
前記受付ステップにより受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信ステップと、
前記第一の認証画面データ送信ステップにより送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信ステップと、
前記第一の認証情報受信ステップにより第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証ステップと、
前記認証ステップによる認証の結果、正当なユーザであると認証された場合、前記受付ステップにより受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定ステップと、
前記判定ステップによる判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信ステップと、
前記第二の認証画面データ送信ステップにより送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信ステップと、
前記第二の認証情報受信ステップにより第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼ステップと
を有することを特徴とする制御方法。
【請求項6】
クライアント端末と、認証サーバと、情報処理装置とがネットワークを介して通信可能な情報処理システムであって、
前記クライアント端末からのアクセス要求を受け付ける受付手段と、
前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、
前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、
前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、
前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、
前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、
前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、
前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段と
を有することを特徴とする情報処理システム。
【請求項7】
クライアント端末と、認証サーバとネットワークを介して通信可能な情報処理装置において実行可能なプログラムであって、
前記クライアント端末からのアクセス要求を受け付ける受付手段と、
前記受付手段により受け付けたアクセス要求に従って、前記クライアント端末を前記情報処理装置へログインさせるべく、当該クライアント端末を操作するユーザに第一の認証情報を入力させるための第一の認証画面データを送信する第一の認証画面データ送信手段と、
前記第一の認証画面データ送信手段により送信された、前記第一の認証画面データを介して前記クライアント端末において入力された第一の認証情報を受信する第一の認証情報受信手段と、
前記第一の認証情報受信手段により第一の認証情報を受信した場合、当該受信した認証情報を用いて認証処理を行う認証手段と、
前記認証手段による認証の結果、正当なユーザであると認証された場合、前記受付手段により受け付けたアクセス要求先のポート番号が、第二の認証を行うポート番号であるかを判定する判定手段と、
前記判定手段による判定の結果、第二の認証を行うポート番号であると判定された場合、前記クライアント端末を前記情報処理装置へログインさせるべく、前記クライアント端末を操作するユーザに前記認証サーバに認証を行わせるための第二の認証情報を入力させるための第二の認証画面データを送信する第二の認証画面データ送信手段と、
前記第二の認証画面データ送信手段により送信された、前記第二の認証画面データを介して前記クライアント端末において入力された第二の認証情報を受信する第二の認証情報受信手段と、
前記第二の認証情報受信手段により第二の認証情報を受信した場合、前記認証サーバに対して、当該受信した第二の認証情報を用いた認証処理の依頼をする認証依頼手段
として前記情報処理装置を機能させることを特徴とするプログラム。
【請求項8】
請求項7に記載のプログラムをコンピュータ読み取り可能に記録した記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2010−257331(P2010−257331A)
【公開日】平成22年11月11日(2010.11.11)
【国際特許分類】
【出願番号】特願2009−108262(P2009−108262)
【出願日】平成21年4月27日(2009.4.27)
【出願人】(399107177)キヤノンソフト情報システム株式会社 (20)
【出願人】(301015956)キヤノンソフトウェア株式会社 (364)
【Fターム(参考)】
【公開日】平成22年11月11日(2010.11.11)
【国際特許分類】
【出願日】平成21年4月27日(2009.4.27)
【出願人】(399107177)キヤノンソフト情報システム株式会社 (20)
【出願人】(301015956)キヤノンソフトウェア株式会社 (364)
【Fターム(参考)】
[ Back to top ]