複数要素認証を実施する認証サーバ及びその方法
【課題】複数の認証データでユーザ認証を行い、更に複数の認証データの入力要求順序を入れ換えることでセキュリティーを向上させる認証サーバを提供すること。
【解決手段】認証サーバ1は、外部コンピュータ2からのユーザ認証要求を受信したことに応じて、外部コンピュータ2に対してユーザID及びパスワード(基本認証データ)と、アクセスコード(付加認証データ)との入力要求を行う順序を決定する。付加認証データの入力要求が基本認証データの入力要求より先の場合、外部コンピュータ2が入力を受け付けた付加認証データを一時記憶手段(認証サーバ1に設けられた一時記憶手段80又はクライアント端末4に設けられた一時記憶手段90のいずれでもよい)に一時記憶しておき、基本認証データを用いてユーザ認証を実施するとともに、一時記憶された付加認証データを読み出してユーザ認証を実施する。
【解決手段】認証サーバ1は、外部コンピュータ2からのユーザ認証要求を受信したことに応じて、外部コンピュータ2に対してユーザID及びパスワード(基本認証データ)と、アクセスコード(付加認証データ)との入力要求を行う順序を決定する。付加認証データの入力要求が基本認証データの入力要求より先の場合、外部コンピュータ2が入力を受け付けた付加認証データを一時記憶手段(認証サーバ1に設けられた一時記憶手段80又はクライアント端末4に設けられた一時記憶手段90のいずれでもよい)に一時記憶しておき、基本認証データを用いてユーザ認証を実施するとともに、一時記憶された付加認証データを読み出してユーザ認証を実施する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数要素認証を実施する認証サーバ及びその方法に関する。
【背景技術】
【0002】
従来、複数のWEBサービスを利用する際には、各WEBサービス毎にユーザID及びパスワードが定められているため、利用者はユーザID及びパスワードを管理することに手間がかかっていた。
【0003】
そこで、複数のWEBサービス間で有効な一のIDを用いて認証を行うことができるOpenIDを利用した認証サービスが普及し始めている(例えば、特許文献1参照)。この認証サービスでは、OpenIDを発行するプロバイダが管理するサーバにおいて一元的にユーザID及びパスワードによる認証を行うことで、複数のWEBサービスを利用することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−157864号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、OpenIDを利用した認証サービスでは、一のIDで複数のWEBサービスを利用できる便利さがある反面、OpenIDが他人に知られてしまった場合、他人によって複数のWEBサービスを利用されてしまうおそれがあった。
【0006】
そこで、本発明は、複数の認証データでユーザ認証を行い、更に複数の認証データの入力要求順序を入れ換えることでセキュリティーを向上させる認証サーバを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明では、以下のような解決手段を提供する。
【0008】
(1) 外部コンピュータと通信可能に接続され、複数の認証データを用いてユーザ認証を実施する認証サーバであって、前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定する要求順序決定手段と、前記要求順序決定手段が決定した前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信した後、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信し、前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信し、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶し、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信する入力要求画面制御手段と、を備えた認証サーバ。
【0009】
(1)の構成によれば、認証サーバは、外部コンピュータからのユーザ認証要求を受信したことに応じて、外部コンピュータに対して基本認証データ(例えば、後述のユーザID及びパスワード等)及び付加認証データ(例えば、後述のアクセスコード等)の入力要求を行う順序を決定する。
【0010】
これにより、外部コンピュータに対して基本認証データと付加認証データの入力要求を行う順序が、認証サーバにおける認証が行われるたびに決定されるので、認証データの入力順序が一定になるのを防ぐことができる。よって、認証データの入力時においてキーボードを叩く順番を盗み見されたり、通信経路上で盗聴されても認証データの入力順序が不明となるので、セキュリティーを向上させることが可能となる。
【0011】
更に、(1)の構成によれば、認証サーバは、付加認証データの入力要求が基本認証データの入力要求より先の場合、外部コンピュータが入力を受け付けた付加認証データを一時記憶手段に記憶する。
【0012】
これにより、外部コンピュータにおいて基本認証データが付加認証データより後に入力された場合であっても、付加認証データを一時記憶手段(外部コンピュータ側に設けられた一時記憶手段又は認証サーバ側に設けられた一時記憶手段のいずれでもよい)に一時記憶させておくことで基本認証データから先に認証処理を行うことができるので、認証サーバにおける認証処理を支障なく行うことができる。
【0013】
(2) 外部コンピュータと通信可能に接続された認証サーバが、複数の認証データを用いてユーザ認証を実施する方法であって、前記認証サーバが、前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定するステップと、前記順序を決定するステップで決定された前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信するステップと、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信するステップと、前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信するステップと、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶するステップと、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信するステップと、を実行する方法。
【0014】
(2)の構成によれば、(1)の認証サーバと同様な作用効果を奏する。
【発明の効果】
【0015】
本発明によれば、複数の認証データでユーザ認証を行い、更に複数の認証データの入力要求順序を入れ換えることでセキュリティーを向上させる認証サーバを提供することができる。
【図面の簡単な説明】
【0016】
【図1】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図である。
【図2】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図である。
【図3】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図の詳細を示す図である。
【図4】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図の詳細を示す図である。
【図5】本実施形態の入力画面の第1の制御の処理及び基本・付加認証データの第1の受付送信の処理についての処理を示すフローチャートである。
【図6】本実施形態の入力画面の第2の制御の処理及び基本・付加認証データの第2の受付送信の処理についての処理を示すフローチャートである。
【図7】本実施形態の入力画面の第3の制御の処理及び基本・付加認証データの第3の受付送信の処理についての処理を示すフローチャートである。
【図8】本実施形態の図1で示した外部コンピュータ2の詳細を示す図である。
【図9】本実施形態の図2で示した外部コンピュータ2の詳細を示す図である。
【図10】本実施形態の認証サーバ、外部サーバ及びクライアント端末で行われる認証処理のフローチャートである。
【図11】本実施形態の認証サーバ、外部サーバ及びクライアント端末で行われる認証処理のフローチャートである。
【図12】本実施形態の認証サーバ、外部サーバ及びクライアント端末で行われる認証処理のフローチャートである。
【図13】本実施形態のOpenID関連付けテーブルを示す図である。
【発明を実施するための形態】
【0017】
以下、本発明の実施形態について図を参照しながら説明する。
【0018】
本実施形態は、コンピュータ及びその周辺装置に適用される。本実施形態における各部は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成される。
【0019】
上記ハードウェアには、制御部としてのCPU(Central Processing Unit)の他、記憶部、通信装置、表示装置及び入力装置が含まれる。記憶部としては、例えば、メモリ(RAM:Random Access Memory、ROM:Read Only Memory等)、ハードディスクドライブ(HDD:Hard Disk Drive)及び光ディスク(CD:Compact Disk、DVD:Digital Versatile Disk等)ドライブが挙げられる。通信装置としては、例えば、各種有線及び無線インターフェース装置が挙げられる。表示装置としては、例えば、液晶ディスプレイやプラズマディスプレイ等の各種ディスプレイが挙げられる。入力装置としては、例えば、キーボード及びポインティング・デバイス(マウス、トラッキングボール等)が挙げられる。
【0020】
上記ソフトウェアには、上記ハードウェアを制御するコンピュータ・プログラムやデータが含まれる。コンピュータ・プログラムやデータは、記憶部により記憶され、制御部により適宜実行、参照される。また、コンピュータ・プログラムやデータは、通信回線を介して配布されることも可能であり、CD−ROM等のコンピュータ可読媒体に記録して配布されることも可能である。
【0021】
図1は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図である。なお、図1では、一時記憶手段80が認証サーバ1側にのみ備えられている。
【0022】
認証サーバ1は、ユーザ認証要求受信手段11、要求順序決定手段12、入力要求画面制御手段13、認証結果送信手段14及び一時記憶手段80を備えている。一方、外部コンピュータ2は、ユーザ認証要求送信手段21、基本・付加認証データ受付送信手段22及び認証結果受信手段23を備えている。
【0023】
ユーザ認証要求送信手段21は、ユーザからの認証要求を受け付けたことに応じて認証サーバ1にユーザ認証要求を送信する。ユーザ認証要求受信手段11は、ユーザ認証要求を受信する。ユーザ認証要求を受信したことに応じて、要求順序決定手段12は、基本認証データ及び付加認証データの入力要求を行う順序を決定する。
【0024】
入力要求画面制御手段13(基本認証データの入力要求の先後に応じてデータの送受信を制御する手段)は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を外部コンピュータ2に送信し、基本認証データ及び付加認証データを外部コンピュータ2から受信する。更に、付加認証データの入力要求を行う順序が基本認証データより先の場合、受信した付加認証データを一時記憶手段80に記憶する。なお、入力要求画面制御手段13についての詳細は、図3において後述する。
【0025】
基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信したことに応じて基本認証データの入力を受け付けて認証サーバ1に送信し、付加認証データ入力受付送信画面を受信したことに応じて付加認証データの入力を受け付けて認証サーバ1に送信する。なお、基本・付加認証データ受付送信手段22についての詳細は、図3において後述する。
【0026】
基本認証データ入力受付送信画面とは、外部コンピュータ2(図8及び図9ではクライアント端末4)にて基本認証データの入力を受け付けて、当該入力を受け付けた基本認証データを認証サーバ1に送信する画面のことをいう。また、付加認証データ入力受付送信画面とは、外部コンピュータ2(図8及び図9ではクライアント端末4)にて付加認証データの入力を受け付けて、当該入力を受け付けた付加認証データを認証サーバ1に送信する画面のことをいう。
【0027】
認証結果送信手段14は、入力要求画面制御手段13が受信した基本認証データ及び付加認証データに基づいて認証処理を行い、認証結果を外部コンピュータ2に送信する。認証結果受信手段23は、認証結果を認証サーバ1から受信する。
【0028】
図2は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図である。なお、図2では、一時記憶手段90が外部コンピュータ2側にのみ備えられている。
【0029】
認証サーバ1は、ユーザ認証要求受信手段11、要求順序決定手段12、入力要求画面制御手段13及び認証結果送信手段14を備えている。一方、外部コンピュータ2は、ユーザ認証要求送信手段21、基本・付加認証データ受付送信手段22、認証結果受信手段23及び一時記憶手段90を備えている。
【0030】
ユーザ認証要求送信手段21は、ユーザからの認証要求を受け付けたことに応じて認証サーバ1にユーザ認証要求を送信する。ユーザ認証要求受信手段11は、ユーザ認証要求を受信する。ユーザ認証要求を受信したことに応じて、要求順序決定手段12は、基本認証データ及び付加認証データの入力要求を行う順序を決定する。
【0031】
入力要求画面制御手段13(基本認証データの入力要求の先後に応じてデータの送受信を制御する手段)は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を外部コンピュータ2に送信し、基本認証データ及び付加認証データを外部コンピュータ2から受信する。なお、入力要求画面制御手段13についての詳細は、図4において後述する。
【0032】
基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信したことに応じて基本認証データの入力を受け付けて認証サーバ1に送信し、付加認証データ入力受付送信画面を受信したことに応じて付加認証データの入力を受け付けて認証サーバ1に送信する。更に、付加認証データの入力要求を行う順序が基本認証データより先の場合、入力を受け付けた付加認証データを一時記憶手段90に記憶する。なお、基本・付加認証データ受付送信手段22についての詳細は、図4において後述する。
【0033】
認証結果送信手段14は、入力要求画面制御手段13が受信した基本認証データ及び付加認証データに基づいて認証処理を行い、認証結果を外部コンピュータ2に送信する。認証結果受信手段23は、認証結果を認証サーバ1から受信する。
【0034】
図3は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図の詳細を示す図である。なお、図3では、図1で説明した入力要求画面制御手段13及び基本・付加認証データ受付送信手段22の詳細について説明する。また、入力要求画面制御手段13及び基本・付加認証データ受付送信手段22以外については、図1において説明済みなので説明を省略する。
【0035】
入力要求画面制御手段13は、要求順序決定手段12により基本認証データの入力要求順序の方が付加認証データよりも先か否かを判断し(ステップS1)、先と決定された場合、入力要求画面の第1の制御の処理(ステップS2)を行い、先と決定されなかった場合、入力要求画面の第2の制御の処理(ステップS4)を行う。
【0036】
基本・付加認証データ受付送信手段22は、基本・付加認証データの第1の受付送信の処理(ステップS3)又は基本・付加認証データの第2の受付送信の処理を行う(ステップS5)。基本・付加認証データの第1の受付送信の処理(ステップS3)は、入力要求画面の第1の制御の処理(ステップS2)が行われた場合に行われる。基本・付加認証データの第2の受付送信の処理(ステップS5)は、入力要求画面の第2の制御の処理(ステップS4)が行われた場合に行われる。
【0037】
入力要求画面の第1の制御の処理(ステップS2)において、入力要求画面制御手段13は、基本・付加認証データ受付送信手段22との間で、データの送受信を行う。具体的には、基本認証データ入力受付送信画面を送信してから、基本認証データを受信し、更に、付加認証データ入力受付送信画面を送信してから、付加認証データを受信する。なお、入力要求画面の第1の制御の処理(ステップS2)の詳細は、図5にて説明する。
【0038】
基本・付加認証データの第1の受付送信の処理(ステップS3)において、基本・付加認証データ受付送信手段22は、入力要求画面制御手段13との間で、データの送受信を行う。具体的には、基本認証データ入力受付送信画面を受信してから、基本認証データを受け付けて送信し、更に、付加認証データ入力受付送信画面を受信してから、付加認証データを受け付けて送信する。なお、基本・付加認証データの第1の受付送信の処理(ステップS3)の詳細は、図5にて説明する。
【0039】
入力要求画面の第2の制御の処理(ステップS4)において、入力要求画面制御手段13は、基本・付加認証データ受付送信手段22との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面を送信してから、付加認証データを受信し、受信した付加認証データを一時記憶手段80に記憶し、更に、基本認証データ入力受付送信画面を送信してから、基本認証データを受信する。その後更に、記憶した付加認証データを一時記憶手段80から読み出す。なお、入力要求画面の第2の制御の処理(ステップS4)の詳細は、図6にて説明する。
【0040】
基本・付加認証データの第2の受付送信の処理(ステップS5)において、基本・付加認証データ受付送信手段22は、入力要求画面制御手段13との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面を受信してから、付加認証データを受け付けて送信し、更に、基本認証データ入力受付送信画面を受信してから、基本認証データを受け付けて送信する。なお、基本・付加認証データの第2の受付送信の処理(ステップS5)の詳細は、図6にて説明する。
【0041】
図4は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図の詳細を示す図である。なお、図4では、図2で説明した入力要求画面制御手段13及び基本・付加認証データ受付送信手段22の詳細について説明する。また、入力要求画面制御手段13及び基本・付加認証データ受付送信手段22以外については、図2において説明済みなので説明を省略する。
【0042】
入力要求画面制御手段13は、要求順序決定手段12により基本認証データの入力要求順序の方が付加認証データよりも先か否かを判断し(ステップS1)、先と決定された場合、入力要求画面の第1の制御の処理(ステップS2)を行い、先と決定されなかった場合、入力要求画面の第3の制御の処理(ステップS6)を行う。
【0043】
基本・付加認証データ受付送信手段22は、基本・付加認証データの第1の受付送信の処理(ステップS3)又は基本・付加認証データの第3の受付送信の処理を行う(ステップS7)。基本・付加認証データの第1の受付送信の処理(ステップS3)は、入力要求画面の第1の制御の処理(ステップS2)が行われた場合に行われる。基本・付加認証データの第3の受付送信の処理(ステップS7)は、入力要求画面の第3の制御の処理(ステップS6)が行われた場合に行われる。
【0044】
なお、入力要求画面の第1の制御の処理(ステップS2)及び基本・付加認証データの第1の受付送信の処理(ステップS3)については、図3で説明したとおりであるので、説明を省略する。
【0045】
入力要求画面の第3の制御の処理(ステップS6)において、入力要求画面制御手段13は、基本・付加認証データ受付送信手段22との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面及び基本認証データ入力受付送信画面を送信してから、基本認証データ及び付加認証データを受信する。なお、入力要求画面の第3の制御の処理(ステップS6)の詳細は、図7にて説明する。
【0046】
基本・付加認証データの第3の受付送信の処理(ステップS7)において、基本・付加認証データ受付送信手段22は、入力要求画面制御手段13との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面及び基本認証データ入力受付送信画面を受信してから、付加認証データの入力を受け付け、受け付けた付加認証データを一時記憶手段90に記憶し、基本認証データの入力を受け付ける。その後更に、記憶した付加認証データを一時記憶手段90から読み出し、受け付けた基本認証データ及び読み出した付加認証データを送信する。なお、基本・付加認証データの第3の受付送信の処理(ステップS7)の詳細は、図7にて説明する。
【0047】
図5は、本発明の一実施形態に係る入力画面の第1の制御の処理及び基本・付加認証データの第1の受付送信の処理についての処理を示すフローチャートである。なお、入力画面の第1の制御の処理は、入力要求画面制御手段13が行う処理であり、基本・付加認証データの第1の受付送信の処理は、基本・付加認証データ受付送信手段22が行う処理である。
【0048】
ステップS11において、入力要求画面制御手段13は、基本認証データ入力受付送信画面を送信する。
【0049】
ステップS12において、基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信し、ステップS13において、基本認証データの入力を受け付け、ステップS14において、入力を受け付けた基本認証データを送信する。
【0050】
ステップS15において、入力要求画面制御手段13は、基本認証データを受信し、ステップS16において、受信した基本認証データに基づいて基本認証を実施する。
【0051】
ステップS17において、入力要求画面制御手段13は、基本認証結果(基本認証データに基づくユーザ認証の結果)が成立したか否かを判断する。成立したと判断した場合、ステップS18に処理を移行する。成立したと判断しない場合、入力要求画面の第1の制御の処理を終了する。
【0052】
ステップS18において、入力要求画面制御手段13は、付加認証データ入力受付送信画面を送信する。
【0053】
ステップS19において、基本・付加認証データ受付送信手段22は、付加認証データ入力受付送信画面を受信し、ステップS20において、付加認証データの入力を受け付け、ステップS21において、入力を受け付けた付加認証データを送信する。
【0054】
ステップS22において、入力要求画面制御手段13は、付加認証データを受信し、ステップS23において、受信した付加認証データに基づいて付加認証を実施し、入力要求画面の第1の制御の処理を終了する。
【0055】
図6は、本発明の一実施形態に係る入力画面の第2の制御の処理及び基本・付加認証データの第2の受付送信の処理についての処理を示すフローチャートである。なお、入力画面の第2の制御の処理は、入力要求画面制御手段13が行う処理であり、基本・付加認証データの第2の受付送信の処理は、基本・付加認証データ受付送信手段22が行う処理である。
【0056】
ステップS31において、入力要求画面制御手段13は、付加認証データ入力受付送信画面を送信する。
【0057】
ステップS32において、基本・付加認証データ受付送信手段22は、付加認証データ入力受付送信画面を受信し、ステップS33において、付加認証データの入力を受け付け、ステップS34において、入力を受け付けた付加認証データを送信する。
【0058】
ステップS35において、入力要求画面制御手段13は、付加認証データを受信し、ステップS36において、受信した付加認証データを一時記憶手段80に記憶し、ステップS37において、基本認証データ入力受付送信画面を送信する。
【0059】
ステップS38において、基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信し、ステップS39において、基本認証データの入力を受け付け、ステップS40において、入力を受け付けた基本認証データを送信する。
【0060】
ステップS41において、入力要求画面制御手段13は、基本認証データを受信し、ステップS42において、記憶した付加認証データを一時記憶手段80から読み出し、ステップS43において、受信した基本認証データ及び読み出した付加認証データに基づいて基本認証及び付加認証を実施し、入力要求画面の第2の制御の処理を終了する。
【0061】
図7は、本発明の一実施形態に係る入力画面の第3の制御の処理及び基本・付加認証データの第3の受付送信の処理についての処理を示すフローチャートである。なお、入力画面の第3の制御の処理は、入力要求画面制御手段13が行う処理であり、基本・付加認証データの第3の受付送信の処理は、基本・付加認証データ受付送信手段22が行う処理である。
【0062】
ステップS51において、入力要求画面制御手段13は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を送信する。
【0063】
ステップS52において、基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を受信し、ステップS53において、付加認証データの入力を受け付け、ステップS54において、入力を受け付けた付加認証データを一時記憶手段90に記憶する。
【0064】
更に、基本・付加認証データ受付送信手段22は、ステップS55において、基本認証データの入力を受け付け、ステップS56において、記憶した付加認証データを一時記憶手段90から読み出し、ステップS57において、入力を受け付けた基本認証データ及び読み出した付加認証データを送信する。
【0065】
ステップS58において、入力要求画面制御手段13は、基本認証データ及び付加認証データを受信し、ステップS59において、受信した基本認証データ及び付加認証データに基づいて基本認証及び付加認証を実施し、入力要求画面の第3の制御の処理を終了する。
【0066】
図8は、図1で示した外部コンピュータ2の詳細を示す図である。
【0067】
外部コンピュータ2は、外部サーバ3とクライアント端末4とから構成されている。外部サーバ3は、ユーザ認証要求送信手段21と認証結果受信手段23とを備える。クライアント端末4は、ユーザ認証要求送信手段41と基本・付加認証データ受付送信手段22とを備える。なお、認証サーバ1が備える各手段については、図1にて説明したとおりである。
【0068】
クライアント端末4が備えるユーザ認証要求送信手段41は、クライアント端末4がユーザからのユーザ認証要求を受け付けたことに応じてユーザ認証要求を外部サーバ3が備えるユーザ認証要求送信手段21に送信する。ユーザ認証要求送信手段21は、クライアント端末4からユーザ認証要求を受信したことに応じてユーザ認証要求を認証サーバ1に送信する。
【0069】
クライアント端末4が備える基本・付加認証データ受付送信手段22及び外部サーバ3が備える認証結果受信手段23は、図1において説明した、外部コンピュータ2が備える基本・付加認証データ受付送信手段22及び認証結果受信手段23と同様であるため、説明を省略する。
【0070】
図9は、図2で示した外部コンピュータ2の詳細を示す図である。
【0071】
外部コンピュータ2は、外部サーバ3とクライアント端末4とから構成されている。外部サーバ3は、ユーザ認証要求送信手段21と認証結果受信手段23とを備える。クライアント端末4は、ユーザ認証要求送信手段41、基本・付加認証データ受付送信手段22及び一時記憶手段90を備える。なお、認証サーバ1が備える各手段については、図2にて説明したとおりである。
【0072】
クライアント端末4が備えるユーザ認証要求送信手段41は、クライアント端末4がユーザからのユーザ認証要求を受け付けたことに応じてユーザ認証要求を外部サーバ3が備えるユーザ認証要求送信手段21に送信する。ユーザ認証要求送信手段21は、クライアント端末4からユーザ認証要求を受信したことに応じてユーザ認証要求を認証サーバ1に送信する。
【0073】
クライアント端末4が備える基本・付加認証データ受付送信手段22、一時記憶手段90及び外部サーバ3が備える認証結果受信手段23は、図2において説明した、外部コンピュータ2が備える基本・付加認証データ受付送信手段22、一時記憶手段90及び認証結果受信手段23と同様であるため、説明を省略する。
【0074】
図10は、認証サーバ1、外部サーバ3及びクライアント端末4で行われる認証処理のフローチャートである。この図10では、後述するステップS75において、基本認証データであるユーザID及びパスワードの入力要求順序が付加認証データであるアクセスコードよりも先と判断される場合について説明する。
【0075】
なお、以下の図10〜図12における、ユーザID及びパスワードの入力受付送信画面とは、クライアント端末4にてユーザID及びパスワードの入力を受け付けて、当該入力を受け付けたユーザID及びパスワードを認証サーバ1に送信する画面のことをいう。また、アクセスコードの入力受付送信画面とは、クライアント端末4にてアクセスコードの入力を受け付けて、当該入力を受け付けたアクセスコードを認証サーバ1に送信する画面のことをいう。
【0076】
ステップS71では、クライアント端末4のCPUは、ユーザ認証を要求する。具体的には、外部サーバ3に対してユーザ認証を要求するデータを送信する。
【0077】
ステップS72では、外部サーバ3のCPUは、ユーザ認証の要求を受け付ける。具体的には、クライアント端末4でステップS71の処理が実行されたことに応じて、クライアント端末4からユーザ認証を要求するデータを受信する。
【0078】
ステップS73では、外部サーバ3のCPUは、複数要素認証を要求する。具体的には、認証サーバ1に対して、複数の認証データによる認証を要求するデータを送信する。
【0079】
ステップS74では、認証サーバ1のCPUは、複数要素認証の要求を受け付ける。具体的には、外部サーバ3でステップS73の処理が実行されたことに応じて、複数の認証データによる認証を要求するデータを受信する。
【0080】
ステップS75では、認証サーバ1のCPUは、複数要素の入力要求順序をランダムに決定する。具体的には、OpenIDに関連付けられたユーザID及びパスワード(基本認証データ)と、アクセスコード(付加認証データ)との入力要求を行う順序をランダムに決定する。
【0081】
ステップS76では、認証サーバ1のCPUは、ユーザID及びパスワードの入力受付送信画面を送信する。具体的には、ユーザID及びパスワードの入力受付送信画面のデータをクライアント端末4に対して送信する。
【0082】
ステップS77では、クライアント端末4のCPUは、ユーザID及びパスワードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS76の処理が実行されたことに応じて、ユーザID及びパスワードの入力受付送信画面のデータを受信する。
【0083】
ステップS78では、クライアント端末4のCPUは、ユーザID及びパスワードの、入力受付及び送信を行う。具体的には、ユーザID及びパスワードの入力を受け付けた後、受け付けたユーザID及びパスワードを認証サーバ1に対して送信する。
【0084】
ステップS79では、認証サーバ1のCPUは、ユーザID及びパスワードを受信する。具体的には、クライアント端末4でステップS78の処理が実行されたことに応じて、クライアント端末4からユーザID及びパスワードを受信する。
【0085】
ステップS80では、認証サーバ1のCPUは、ユーザID及びパスワードによる認証を実行する。具体的には、図13で後述するOpenID関連付けテーブルを参照し、ステップS79で受信したユーザIDによりユーザを特定し、更にパスワードとの組合せによりユーザ認証を行う。例えば、図13によれば、ユーザIDが「abc12345」、パスワードが「z25q4a」の場合、ユーザ「山田 進」を特定してユーザ認証を行う。
【0086】
ステップS81では、認証サーバ1のCPUは、アクセスコード(例えば、トークンが発行するアクセスコード)の入力受付送信画面を送信する。具体的には、アクセスコードの入力受付送信画面のデータをクライアント端末4に対して送信する。なお、トークンには、ハードウェアトークンやソフトウェアトークンがあり、例えば認証のたびに、ランダムにアクセスコードを発行する。ユーザを直接特定するものではないが、アクセスコードを認証に使用することによりセキュリティーを向上させることができる。
【0087】
ステップS82では、クライアント端末4のCPUは、アクセスコードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS81の処理が実行されたことに応じて、アクセスコードの入力受付送信画面のデータを認証サーバ1から受信する。
【0088】
ステップS83では、クライアント端末4のCPUは、アクセスコードの入力受付及び送信を行う。具体的には、アクセスコードを受け付けた後、受け付けたアクセスコードを認証サーバ1に対して送信する。
【0089】
ステップS84では、認証サーバ1のCPUは、アクセスコードを受信する。具体的には、クライアント端末4でステップS83の処理が実行されたことに応じて、クライアント端末4からアクセスコードを受信する。
【0090】
ステップS85では、認証サーバ1のCPUは、アクセスコードによる認証を実行する。具体的には、ステップS80で特定したユーザ「山田 進」について、ステップS84において受信したアクセスコード「084583」が有効なものであるか否かを判断する。これが有効である場合に、認証が成功した、と判断する。なお、図13で後述するOpenID関連付けテーブルを参照し、当該受信したアクセスコード「084583」がユーザ「山田 進」に対応付けられていれば有効であると判断し、対応付けられていなければ有効でないと判断する。
【0091】
ステップS86では、認証サーバ1のCPUは、OpenIDを送信する。具体的には、ステップS85の処理で、アクセスコードによる認証が成功した、と判断した場合に、図13で後述するOpenID関連付けテーブルからユーザ「山田 進」に対応するOpenIDを読み出して取得し、取得したOpenIDを外部サーバ3に送信する。
【0092】
ステップS87では、外部サーバ3のCPUは、OpenIDを受信する。具体的には、認証サーバ1でステップS86の処理が実行されたことに応じて、認証サーバ1からOpenIDを受信する。ステップS87の処理が終了すると、ステップS75において基本認証データであるユーザID及びパスワードの入力要求順序が付加認証データであるアクセスコードよりも先と判断される場合における認証処理を終了する。
【0093】
図11は、認証サーバ1、外部サーバ3及びクライアント端末4で行われる認証処理のフローチャートである。この図11では、後述するステップS95において、付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合の認証処理であって一時記憶手段を認証サーバ1が備える場合における認証処理について説明する。
【0094】
ステップS91〜ステップS95の処理は、図10で説明したステップS71〜ステップS75の処理と同じである。
【0095】
ステップS96では、認証サーバ1のCPUは、アクセスコード(例えば、トークンが発行するアクセスコード)の入力受付送信画面を送信する。具体的には、アクセスコードの入力受付送信画面のデータをクライアント端末4に対して送信する。なお、トークン及びアクセスコードについては、ステップS81での説明にて上述したとおりである。
【0096】
ステップS97では、クライアント端末4のCPUは、アクセスコードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS96の処理が実行されたことに応じて、アクセスコードの入力受付送信画面のデータを認証サーバ1から受信する。
【0097】
ステップS98では、クライアント端末4のCPUは、アクセスコードの入力受付及び送信を行う。具体的には、アクセスコードを受け付けた後、受け付けたアクセスコードを認証サーバ1に対して送信する。
【0098】
ステップS99では、認証サーバ1のCPUは、アクセスコードを受信する。具体的には、クライアント端末4でステップS98の処理が実行されたことに応じて、クライアント端末4からアクセスコードを受信する。
【0099】
ステップS100では、認証サーバ1のCPUは、受信したアクセスコードを一時記憶する。具体的には、認証サーバ1が備える一時記憶手段80に一時記憶する。
【0100】
ステップS101では、認証サーバ1のCPUは、ユーザID及びパスワードの入力受付送信画面を送信する。具体的には、ユーザID及びパスワードの入力受付送信画面のデータをクライアント端末4に対して送信する。
【0101】
ステップS102では、クライアント端末4のCPUは、ユーザID及びパスワードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS101の処理が実行されたことに応じて、ユーザID及びパスワードの入力受付送信画面のデータを受信する。
【0102】
ステップS103では、クライアント端末4のCPUは、ユーザID及びパスワードの、入力受付及び送信を行う。具体的には、ユーザID及びパスワードの入力を受け付けた後、受け付けたユーザID及びパスワードを認証サーバ1に対して送信する。
【0103】
ステップS104では、認証サーバ1のCPUは、ユーザID及びパスワードを受信する。具体的には、クライアント端末4でステップS103の処理が実行されたことに応じて、クライアント端末4からユーザID及びパスワードを受信する。
【0104】
ステップS105では、認証サーバ1のCPUは、ユーザID及びパスワードによる認証を実行する。具体的には、図13で後述するOpenID関連付けテーブルを参照し、ステップS104で受信したユーザIDによりユーザを特定し、更にパスワードとの組合せによりユーザ認証を行う。例えば、図13によれば、ユーザIDが「abc12345」、パスワードが「z25q4a」の場合、ユーザ「山田 進」を特定してユーザ認証を行う。
【0105】
ステップS106では、認証サーバ1のCPUは、一時記憶したアクセスコードを読み出す。具体的には、認証サーバ1が備える一時記憶手段80に一時記憶されたアクセスコードを読み出す。
【0106】
ステップS107では、認証サーバ1のCPUは、アクセスコードによる認証を実行する。具体的には、ステップS105で特定したユーザ「山田 進」について、ステップS106において一時記憶手段80から読み出したアクセスコード「084583」が有効なものであるか否かを判断する。これが有効である場合に、認証が成功した、と判断する。なお、図13で後述するOpenID関連付けテーブルを参照し、当該読み出したアクセスコード「084583」がユーザ「山田 進」に対応付けられていれば有効であると判断し、対応付けられていなければ有効でないと判断する。
【0107】
ステップS108では、認証サーバ1のCPUは、OpenIDを送信する。具体的には、ステップS107の処理で、アクセスコードによる認証が成功した、と判断した場合に、図13で後述するOpenID関連付けテーブルからユーザ「山田 進」に対応するOpenIDを読み出し、読み出したOpenIDを外部サーバ3に送信する。
【0108】
ステップS109では、外部サーバ3のCPUは、OpenIDを受信する。具体的には、認証サーバ1でステップS108の処理が実行されたことに応じて、認証サーバ1からOpenIDを受信する。ステップS108の処理が終了すると、ステップS95において付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合における認証処理であって一時記憶手段を認証サーバ1が備える場合における認証処理を終了する。
【0109】
図12は、認証サーバ1、外部サーバ3及びクライアント端末4で行われる認証処理のフローチャートである。この図12では、後述するステップS115において、付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合の認証処理であって一時記憶手段をクライアント端末4が備える場合における認証処理について説明する。
【0110】
ステップS111〜ステップS115の処理は、図10で説明したステップS71〜ステップS75の処理と同じである。
【0111】
ステップS116では、認証サーバ1のCPUは、ユーザID及びパスワードの入力受付送信画面並びにアクセスコード(例えば、トークンが発行するアクセスコード)の入力受付送信画面を送信する。具体的には、ユーザID及びパスワードの入力受付送信画面のデータ並びにアクセスコードの入力受付送信画面のデータをクライアント端末4に対して送信する。なお、トークン及びアクセスコードについては、ステップS81での説明にて上述したとおりである。
【0112】
ステップS117では、クライアント端末4のCPUは、ユーザID及びパスワードの入力受付送信画面並びにアクセスコードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS116の処理が実行されたことに応じて、ユーザID及びパスワードの入力受付送信画面のデータ並びにアクセスコードの入力受付送信画面のデータを認証サーバ1から受信する。
【0113】
ステップS118では、クライアント端末4のCPUは、アクセスコードの入力受付を行う。
【0114】
ステップS119では、クライアント端末4のCPUは、入力を受け付けたアクセスコードを一時記憶する。具体的には、クライアント端末4が備える一時記憶手段90に一時記憶する。
【0115】
ステップS120では、クライアント端末4のCPUは、ユーザID及びパスワードの、入力受付を行う。
【0116】
ステップS121では、クライアント端末4のCPUは、一時記憶したアクセスコードを読み出す。具体的には、クライアント端末4が備える一時記憶手段90に一時記憶されたアクセスコードを読み出す。
【0117】
ステップS122では、クライアント端末4のCPUは、ユーザID、パスワード及びアクセスコードを送信する。具体的には、ステップS120で入力を受け付けたユーザID及びパスワード並びにステップS121で読み出したアクセスコードを認証サーバ1に対して送信する。
【0118】
ステップS123では、認証サーバ1のCPUは、ユーザID、パスワード及びアクセスコードを受信する。具体的には、クライアント端末4でステップS122の処理が実行されたことに応じて、クライアント端末4からユーザID、パスワード及びアクセスコードを受信する。
【0119】
ステップS124では、認証サーバ1のCPUは、ユーザID及びパスワードによる認証を実行する。具体的には、図13で後述するOpenID関連付けテーブルを参照し、ステップS123で受信したユーザIDによりユーザを特定し、更にパスワードとの組合せによりユーザ認証を行う。例えば、図13によれば、ユーザIDが「abc12345」、パスワードが「z25q4a」の場合、ユーザ「山田 進」を特定してユーザ認証を行う。
【0120】
ステップS125では、認証サーバ1のCPUは、アクセスコードによる認証を実行する。具体的には、ステップS124で特定したユーザ「山田 進」について、ステップS123で受信したアクセスコード「084583」が有効なものであるか否かを判断する。これが有効である場合に、認証が成功した、と判断する。なお、図13で後述するOpenID関連付けテーブルを参照し、当該読み出したアクセスコード「084583」がユーザ「山田 進」に対応付けられていれば有効であると判断し、対応付けられていなければ有効でないと判断する。
【0121】
ステップS126では、認証サーバ1のCPUは、OpenIDを送信する。具体的には、ステップS125の処理で、アクセスコードによる認証が成功した、と判断した場合に、図13で後述するOpenID関連付けテーブルからユーザ「山田 進」に対応するOpenIDを読み出し、読み出したOpenIDを外部サーバ3に送信する。
【0122】
ステップS127では、外部サーバ3のCPUは、OpenIDを受信する。具体的には、認証サーバ1でステップS126の処理が実行されたことに応じて、認証サーバ1からOpenIDを受信する。ステップS127の処理が終了すると、ステップS115において付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合における認証処理であって一時記憶手段をクライアント端末4が備える場合における認証処理を終了する。
【0123】
図13は、OpenID関連付けテーブルを示す図である。
【0124】
このOpenID関連付けテーブルは、図10のステップS80、ステップS85、図11のステップS105、ステップS107、図12のステップS124及びステップS125で参照されるテーブルである。図13によれば、ユーザID「abc12345」、パスワード「z25q4a」、アクセスコード「084583」及びユーザ「山田進」が、OpenID「http://abc.….co.jp」と関連付けられている。
【0125】
なお、上述したように、アクセスコードは、例えば認証のたびに、ランダムに発行されるので、OpenID関連付けテーブルのアクセスコード欄の値は、アクセスコードが発行されるたびに書き換えられる。
【0126】
本実施形態によれば、認証サーバ1は、クライアント端末4からのユーザ認証要求を外部サーバ3を介して受信したことに応じて、クライアント端末4に対してユーザID及びパスワード(基本認証データ)と、アクセスコード(付加認証データ)との入力要求を行う順序を決定する。
【0127】
これにより、クライアント端末4に対して、ユーザID及びパスワードと、アクセスコードとの入力要求を行う順序が、認証サーバ1における認証が行われるたびに決定されるので、認証データの入力順序が一定になるのを防ぐことができる。よって、認証データの入力時においてキーボードを叩く順番を盗み見されたり、通信経路上で盗聴されても認証データの入力順序が不明となるので、セキュリティーを向上させることが可能となる。
【0128】
更に、本実施形態によれば、認証サーバ1は、アクセスコードの入力要求がユーザID及びパスワードの入力要求より先の場合、クライアント端末4が入力を受け付けたアクセスコードを認証サーバ1が備える一時記憶手段80(又はクライアント端末4が備える一時記憶手段90)に記憶する。
【0129】
これにより、クライアント端末4においてユーザID及びパスワードがアクセスコードより後に入力された場合であっても、アクセスコードを一時記憶手段(認証サーバ1に設けられた一時記憶手段80又はクライアント端末4に設けられた一時記憶手段90のいずれでもよい)に一時記憶させておくことで基本認証データから先に認証処理を行うことができるので、認証サーバにおける認証処理を支障なく行うことができる。
【0130】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施例に記載されたものに限定されるものではない。
【0131】
例えば、本実施形態では、基本認証データとしてユーザID及びパスワードと、付加認証データとしてアクセスコードとの2つの認証データで認証を実行しているが、これに限られず、基本認証データとしてユーザID及びパスワードを含む複数の認証データを含めてもよく、付加認証データとしてアクセスコードを含む複数の認証データを含めてもよい。
【0132】
これにより、クライアント端末4において入力される認証データの数が増えるので、入力順序のバリエーションがより増える。よって、認証データの入力順序を推測することがより困難になるため、さらなるセキュリティーの向上が見込める。
【0133】
また、本実施形態では、認証サーバ1は、クライアント端末4からの認証要求を外部サーバ3を介して受信しているが、これに限られない。例えば、外部サーバ3を介さずに、クライアント端末4から認証要求及び認証データを受信し、クライアント端末4に認証結果を送信するようにしてもよい。
【符号の説明】
【0134】
1 認証サーバ
2 外部コンピュータ
3 外部サーバ
4 クライアント端末
11 ユーザ認証要求受信手段
12 要求順序決定手段
13 入力要求画面制御手段
14 認証結果送信手段
21 ユーザ認証要求送信手段
22 基本・付加認証データ受付送信手段
23 認証結果受信手段
80 一時記憶手段
90 一時記憶手段
【技術分野】
【0001】
本発明は、複数要素認証を実施する認証サーバ及びその方法に関する。
【背景技術】
【0002】
従来、複数のWEBサービスを利用する際には、各WEBサービス毎にユーザID及びパスワードが定められているため、利用者はユーザID及びパスワードを管理することに手間がかかっていた。
【0003】
そこで、複数のWEBサービス間で有効な一のIDを用いて認証を行うことができるOpenIDを利用した認証サービスが普及し始めている(例えば、特許文献1参照)。この認証サービスでは、OpenIDを発行するプロバイダが管理するサーバにおいて一元的にユーザID及びパスワードによる認証を行うことで、複数のWEBサービスを利用することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−157864号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、OpenIDを利用した認証サービスでは、一のIDで複数のWEBサービスを利用できる便利さがある反面、OpenIDが他人に知られてしまった場合、他人によって複数のWEBサービスを利用されてしまうおそれがあった。
【0006】
そこで、本発明は、複数の認証データでユーザ認証を行い、更に複数の認証データの入力要求順序を入れ換えることでセキュリティーを向上させる認証サーバを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明では、以下のような解決手段を提供する。
【0008】
(1) 外部コンピュータと通信可能に接続され、複数の認証データを用いてユーザ認証を実施する認証サーバであって、前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定する要求順序決定手段と、前記要求順序決定手段が決定した前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信した後、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信し、前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信し、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶し、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信する入力要求画面制御手段と、を備えた認証サーバ。
【0009】
(1)の構成によれば、認証サーバは、外部コンピュータからのユーザ認証要求を受信したことに応じて、外部コンピュータに対して基本認証データ(例えば、後述のユーザID及びパスワード等)及び付加認証データ(例えば、後述のアクセスコード等)の入力要求を行う順序を決定する。
【0010】
これにより、外部コンピュータに対して基本認証データと付加認証データの入力要求を行う順序が、認証サーバにおける認証が行われるたびに決定されるので、認証データの入力順序が一定になるのを防ぐことができる。よって、認証データの入力時においてキーボードを叩く順番を盗み見されたり、通信経路上で盗聴されても認証データの入力順序が不明となるので、セキュリティーを向上させることが可能となる。
【0011】
更に、(1)の構成によれば、認証サーバは、付加認証データの入力要求が基本認証データの入力要求より先の場合、外部コンピュータが入力を受け付けた付加認証データを一時記憶手段に記憶する。
【0012】
これにより、外部コンピュータにおいて基本認証データが付加認証データより後に入力された場合であっても、付加認証データを一時記憶手段(外部コンピュータ側に設けられた一時記憶手段又は認証サーバ側に設けられた一時記憶手段のいずれでもよい)に一時記憶させておくことで基本認証データから先に認証処理を行うことができるので、認証サーバにおける認証処理を支障なく行うことができる。
【0013】
(2) 外部コンピュータと通信可能に接続された認証サーバが、複数の認証データを用いてユーザ認証を実施する方法であって、前記認証サーバが、前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定するステップと、前記順序を決定するステップで決定された前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信するステップと、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信するステップと、前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信するステップと、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶するステップと、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信するステップと、を実行する方法。
【0014】
(2)の構成によれば、(1)の認証サーバと同様な作用効果を奏する。
【発明の効果】
【0015】
本発明によれば、複数の認証データでユーザ認証を行い、更に複数の認証データの入力要求順序を入れ換えることでセキュリティーを向上させる認証サーバを提供することができる。
【図面の簡単な説明】
【0016】
【図1】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図である。
【図2】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図である。
【図3】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図の詳細を示す図である。
【図4】本実施形態の認証サーバ及び外部コンピュータの機能構成を示す機能ブロック図の詳細を示す図である。
【図5】本実施形態の入力画面の第1の制御の処理及び基本・付加認証データの第1の受付送信の処理についての処理を示すフローチャートである。
【図6】本実施形態の入力画面の第2の制御の処理及び基本・付加認証データの第2の受付送信の処理についての処理を示すフローチャートである。
【図7】本実施形態の入力画面の第3の制御の処理及び基本・付加認証データの第3の受付送信の処理についての処理を示すフローチャートである。
【図8】本実施形態の図1で示した外部コンピュータ2の詳細を示す図である。
【図9】本実施形態の図2で示した外部コンピュータ2の詳細を示す図である。
【図10】本実施形態の認証サーバ、外部サーバ及びクライアント端末で行われる認証処理のフローチャートである。
【図11】本実施形態の認証サーバ、外部サーバ及びクライアント端末で行われる認証処理のフローチャートである。
【図12】本実施形態の認証サーバ、外部サーバ及びクライアント端末で行われる認証処理のフローチャートである。
【図13】本実施形態のOpenID関連付けテーブルを示す図である。
【発明を実施するための形態】
【0017】
以下、本発明の実施形態について図を参照しながら説明する。
【0018】
本実施形態は、コンピュータ及びその周辺装置に適用される。本実施形態における各部は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成される。
【0019】
上記ハードウェアには、制御部としてのCPU(Central Processing Unit)の他、記憶部、通信装置、表示装置及び入力装置が含まれる。記憶部としては、例えば、メモリ(RAM:Random Access Memory、ROM:Read Only Memory等)、ハードディスクドライブ(HDD:Hard Disk Drive)及び光ディスク(CD:Compact Disk、DVD:Digital Versatile Disk等)ドライブが挙げられる。通信装置としては、例えば、各種有線及び無線インターフェース装置が挙げられる。表示装置としては、例えば、液晶ディスプレイやプラズマディスプレイ等の各種ディスプレイが挙げられる。入力装置としては、例えば、キーボード及びポインティング・デバイス(マウス、トラッキングボール等)が挙げられる。
【0020】
上記ソフトウェアには、上記ハードウェアを制御するコンピュータ・プログラムやデータが含まれる。コンピュータ・プログラムやデータは、記憶部により記憶され、制御部により適宜実行、参照される。また、コンピュータ・プログラムやデータは、通信回線を介して配布されることも可能であり、CD−ROM等のコンピュータ可読媒体に記録して配布されることも可能である。
【0021】
図1は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図である。なお、図1では、一時記憶手段80が認証サーバ1側にのみ備えられている。
【0022】
認証サーバ1は、ユーザ認証要求受信手段11、要求順序決定手段12、入力要求画面制御手段13、認証結果送信手段14及び一時記憶手段80を備えている。一方、外部コンピュータ2は、ユーザ認証要求送信手段21、基本・付加認証データ受付送信手段22及び認証結果受信手段23を備えている。
【0023】
ユーザ認証要求送信手段21は、ユーザからの認証要求を受け付けたことに応じて認証サーバ1にユーザ認証要求を送信する。ユーザ認証要求受信手段11は、ユーザ認証要求を受信する。ユーザ認証要求を受信したことに応じて、要求順序決定手段12は、基本認証データ及び付加認証データの入力要求を行う順序を決定する。
【0024】
入力要求画面制御手段13(基本認証データの入力要求の先後に応じてデータの送受信を制御する手段)は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を外部コンピュータ2に送信し、基本認証データ及び付加認証データを外部コンピュータ2から受信する。更に、付加認証データの入力要求を行う順序が基本認証データより先の場合、受信した付加認証データを一時記憶手段80に記憶する。なお、入力要求画面制御手段13についての詳細は、図3において後述する。
【0025】
基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信したことに応じて基本認証データの入力を受け付けて認証サーバ1に送信し、付加認証データ入力受付送信画面を受信したことに応じて付加認証データの入力を受け付けて認証サーバ1に送信する。なお、基本・付加認証データ受付送信手段22についての詳細は、図3において後述する。
【0026】
基本認証データ入力受付送信画面とは、外部コンピュータ2(図8及び図9ではクライアント端末4)にて基本認証データの入力を受け付けて、当該入力を受け付けた基本認証データを認証サーバ1に送信する画面のことをいう。また、付加認証データ入力受付送信画面とは、外部コンピュータ2(図8及び図9ではクライアント端末4)にて付加認証データの入力を受け付けて、当該入力を受け付けた付加認証データを認証サーバ1に送信する画面のことをいう。
【0027】
認証結果送信手段14は、入力要求画面制御手段13が受信した基本認証データ及び付加認証データに基づいて認証処理を行い、認証結果を外部コンピュータ2に送信する。認証結果受信手段23は、認証結果を認証サーバ1から受信する。
【0028】
図2は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図である。なお、図2では、一時記憶手段90が外部コンピュータ2側にのみ備えられている。
【0029】
認証サーバ1は、ユーザ認証要求受信手段11、要求順序決定手段12、入力要求画面制御手段13及び認証結果送信手段14を備えている。一方、外部コンピュータ2は、ユーザ認証要求送信手段21、基本・付加認証データ受付送信手段22、認証結果受信手段23及び一時記憶手段90を備えている。
【0030】
ユーザ認証要求送信手段21は、ユーザからの認証要求を受け付けたことに応じて認証サーバ1にユーザ認証要求を送信する。ユーザ認証要求受信手段11は、ユーザ認証要求を受信する。ユーザ認証要求を受信したことに応じて、要求順序決定手段12は、基本認証データ及び付加認証データの入力要求を行う順序を決定する。
【0031】
入力要求画面制御手段13(基本認証データの入力要求の先後に応じてデータの送受信を制御する手段)は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を外部コンピュータ2に送信し、基本認証データ及び付加認証データを外部コンピュータ2から受信する。なお、入力要求画面制御手段13についての詳細は、図4において後述する。
【0032】
基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信したことに応じて基本認証データの入力を受け付けて認証サーバ1に送信し、付加認証データ入力受付送信画面を受信したことに応じて付加認証データの入力を受け付けて認証サーバ1に送信する。更に、付加認証データの入力要求を行う順序が基本認証データより先の場合、入力を受け付けた付加認証データを一時記憶手段90に記憶する。なお、基本・付加認証データ受付送信手段22についての詳細は、図4において後述する。
【0033】
認証結果送信手段14は、入力要求画面制御手段13が受信した基本認証データ及び付加認証データに基づいて認証処理を行い、認証結果を外部コンピュータ2に送信する。認証結果受信手段23は、認証結果を認証サーバ1から受信する。
【0034】
図3は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図の詳細を示す図である。なお、図3では、図1で説明した入力要求画面制御手段13及び基本・付加認証データ受付送信手段22の詳細について説明する。また、入力要求画面制御手段13及び基本・付加認証データ受付送信手段22以外については、図1において説明済みなので説明を省略する。
【0035】
入力要求画面制御手段13は、要求順序決定手段12により基本認証データの入力要求順序の方が付加認証データよりも先か否かを判断し(ステップS1)、先と決定された場合、入力要求画面の第1の制御の処理(ステップS2)を行い、先と決定されなかった場合、入力要求画面の第2の制御の処理(ステップS4)を行う。
【0036】
基本・付加認証データ受付送信手段22は、基本・付加認証データの第1の受付送信の処理(ステップS3)又は基本・付加認証データの第2の受付送信の処理を行う(ステップS5)。基本・付加認証データの第1の受付送信の処理(ステップS3)は、入力要求画面の第1の制御の処理(ステップS2)が行われた場合に行われる。基本・付加認証データの第2の受付送信の処理(ステップS5)は、入力要求画面の第2の制御の処理(ステップS4)が行われた場合に行われる。
【0037】
入力要求画面の第1の制御の処理(ステップS2)において、入力要求画面制御手段13は、基本・付加認証データ受付送信手段22との間で、データの送受信を行う。具体的には、基本認証データ入力受付送信画面を送信してから、基本認証データを受信し、更に、付加認証データ入力受付送信画面を送信してから、付加認証データを受信する。なお、入力要求画面の第1の制御の処理(ステップS2)の詳細は、図5にて説明する。
【0038】
基本・付加認証データの第1の受付送信の処理(ステップS3)において、基本・付加認証データ受付送信手段22は、入力要求画面制御手段13との間で、データの送受信を行う。具体的には、基本認証データ入力受付送信画面を受信してから、基本認証データを受け付けて送信し、更に、付加認証データ入力受付送信画面を受信してから、付加認証データを受け付けて送信する。なお、基本・付加認証データの第1の受付送信の処理(ステップS3)の詳細は、図5にて説明する。
【0039】
入力要求画面の第2の制御の処理(ステップS4)において、入力要求画面制御手段13は、基本・付加認証データ受付送信手段22との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面を送信してから、付加認証データを受信し、受信した付加認証データを一時記憶手段80に記憶し、更に、基本認証データ入力受付送信画面を送信してから、基本認証データを受信する。その後更に、記憶した付加認証データを一時記憶手段80から読み出す。なお、入力要求画面の第2の制御の処理(ステップS4)の詳細は、図6にて説明する。
【0040】
基本・付加認証データの第2の受付送信の処理(ステップS5)において、基本・付加認証データ受付送信手段22は、入力要求画面制御手段13との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面を受信してから、付加認証データを受け付けて送信し、更に、基本認証データ入力受付送信画面を受信してから、基本認証データを受け付けて送信する。なお、基本・付加認証データの第2の受付送信の処理(ステップS5)の詳細は、図6にて説明する。
【0041】
図4は、本発明の一実施形態に係る認証サーバ1及び外部コンピュータ2の機能構成を示す機能ブロック図の詳細を示す図である。なお、図4では、図2で説明した入力要求画面制御手段13及び基本・付加認証データ受付送信手段22の詳細について説明する。また、入力要求画面制御手段13及び基本・付加認証データ受付送信手段22以外については、図2において説明済みなので説明を省略する。
【0042】
入力要求画面制御手段13は、要求順序決定手段12により基本認証データの入力要求順序の方が付加認証データよりも先か否かを判断し(ステップS1)、先と決定された場合、入力要求画面の第1の制御の処理(ステップS2)を行い、先と決定されなかった場合、入力要求画面の第3の制御の処理(ステップS6)を行う。
【0043】
基本・付加認証データ受付送信手段22は、基本・付加認証データの第1の受付送信の処理(ステップS3)又は基本・付加認証データの第3の受付送信の処理を行う(ステップS7)。基本・付加認証データの第1の受付送信の処理(ステップS3)は、入力要求画面の第1の制御の処理(ステップS2)が行われた場合に行われる。基本・付加認証データの第3の受付送信の処理(ステップS7)は、入力要求画面の第3の制御の処理(ステップS6)が行われた場合に行われる。
【0044】
なお、入力要求画面の第1の制御の処理(ステップS2)及び基本・付加認証データの第1の受付送信の処理(ステップS3)については、図3で説明したとおりであるので、説明を省略する。
【0045】
入力要求画面の第3の制御の処理(ステップS6)において、入力要求画面制御手段13は、基本・付加認証データ受付送信手段22との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面及び基本認証データ入力受付送信画面を送信してから、基本認証データ及び付加認証データを受信する。なお、入力要求画面の第3の制御の処理(ステップS6)の詳細は、図7にて説明する。
【0046】
基本・付加認証データの第3の受付送信の処理(ステップS7)において、基本・付加認証データ受付送信手段22は、入力要求画面制御手段13との間で、データの送受信を行う。具体的には、付加認証データ入力受付送信画面及び基本認証データ入力受付送信画面を受信してから、付加認証データの入力を受け付け、受け付けた付加認証データを一時記憶手段90に記憶し、基本認証データの入力を受け付ける。その後更に、記憶した付加認証データを一時記憶手段90から読み出し、受け付けた基本認証データ及び読み出した付加認証データを送信する。なお、基本・付加認証データの第3の受付送信の処理(ステップS7)の詳細は、図7にて説明する。
【0047】
図5は、本発明の一実施形態に係る入力画面の第1の制御の処理及び基本・付加認証データの第1の受付送信の処理についての処理を示すフローチャートである。なお、入力画面の第1の制御の処理は、入力要求画面制御手段13が行う処理であり、基本・付加認証データの第1の受付送信の処理は、基本・付加認証データ受付送信手段22が行う処理である。
【0048】
ステップS11において、入力要求画面制御手段13は、基本認証データ入力受付送信画面を送信する。
【0049】
ステップS12において、基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信し、ステップS13において、基本認証データの入力を受け付け、ステップS14において、入力を受け付けた基本認証データを送信する。
【0050】
ステップS15において、入力要求画面制御手段13は、基本認証データを受信し、ステップS16において、受信した基本認証データに基づいて基本認証を実施する。
【0051】
ステップS17において、入力要求画面制御手段13は、基本認証結果(基本認証データに基づくユーザ認証の結果)が成立したか否かを判断する。成立したと判断した場合、ステップS18に処理を移行する。成立したと判断しない場合、入力要求画面の第1の制御の処理を終了する。
【0052】
ステップS18において、入力要求画面制御手段13は、付加認証データ入力受付送信画面を送信する。
【0053】
ステップS19において、基本・付加認証データ受付送信手段22は、付加認証データ入力受付送信画面を受信し、ステップS20において、付加認証データの入力を受け付け、ステップS21において、入力を受け付けた付加認証データを送信する。
【0054】
ステップS22において、入力要求画面制御手段13は、付加認証データを受信し、ステップS23において、受信した付加認証データに基づいて付加認証を実施し、入力要求画面の第1の制御の処理を終了する。
【0055】
図6は、本発明の一実施形態に係る入力画面の第2の制御の処理及び基本・付加認証データの第2の受付送信の処理についての処理を示すフローチャートである。なお、入力画面の第2の制御の処理は、入力要求画面制御手段13が行う処理であり、基本・付加認証データの第2の受付送信の処理は、基本・付加認証データ受付送信手段22が行う処理である。
【0056】
ステップS31において、入力要求画面制御手段13は、付加認証データ入力受付送信画面を送信する。
【0057】
ステップS32において、基本・付加認証データ受付送信手段22は、付加認証データ入力受付送信画面を受信し、ステップS33において、付加認証データの入力を受け付け、ステップS34において、入力を受け付けた付加認証データを送信する。
【0058】
ステップS35において、入力要求画面制御手段13は、付加認証データを受信し、ステップS36において、受信した付加認証データを一時記憶手段80に記憶し、ステップS37において、基本認証データ入力受付送信画面を送信する。
【0059】
ステップS38において、基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面を受信し、ステップS39において、基本認証データの入力を受け付け、ステップS40において、入力を受け付けた基本認証データを送信する。
【0060】
ステップS41において、入力要求画面制御手段13は、基本認証データを受信し、ステップS42において、記憶した付加認証データを一時記憶手段80から読み出し、ステップS43において、受信した基本認証データ及び読み出した付加認証データに基づいて基本認証及び付加認証を実施し、入力要求画面の第2の制御の処理を終了する。
【0061】
図7は、本発明の一実施形態に係る入力画面の第3の制御の処理及び基本・付加認証データの第3の受付送信の処理についての処理を示すフローチャートである。なお、入力画面の第3の制御の処理は、入力要求画面制御手段13が行う処理であり、基本・付加認証データの第3の受付送信の処理は、基本・付加認証データ受付送信手段22が行う処理である。
【0062】
ステップS51において、入力要求画面制御手段13は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を送信する。
【0063】
ステップS52において、基本・付加認証データ受付送信手段22は、基本認証データ入力受付送信画面及び付加認証データ入力受付送信画面を受信し、ステップS53において、付加認証データの入力を受け付け、ステップS54において、入力を受け付けた付加認証データを一時記憶手段90に記憶する。
【0064】
更に、基本・付加認証データ受付送信手段22は、ステップS55において、基本認証データの入力を受け付け、ステップS56において、記憶した付加認証データを一時記憶手段90から読み出し、ステップS57において、入力を受け付けた基本認証データ及び読み出した付加認証データを送信する。
【0065】
ステップS58において、入力要求画面制御手段13は、基本認証データ及び付加認証データを受信し、ステップS59において、受信した基本認証データ及び付加認証データに基づいて基本認証及び付加認証を実施し、入力要求画面の第3の制御の処理を終了する。
【0066】
図8は、図1で示した外部コンピュータ2の詳細を示す図である。
【0067】
外部コンピュータ2は、外部サーバ3とクライアント端末4とから構成されている。外部サーバ3は、ユーザ認証要求送信手段21と認証結果受信手段23とを備える。クライアント端末4は、ユーザ認証要求送信手段41と基本・付加認証データ受付送信手段22とを備える。なお、認証サーバ1が備える各手段については、図1にて説明したとおりである。
【0068】
クライアント端末4が備えるユーザ認証要求送信手段41は、クライアント端末4がユーザからのユーザ認証要求を受け付けたことに応じてユーザ認証要求を外部サーバ3が備えるユーザ認証要求送信手段21に送信する。ユーザ認証要求送信手段21は、クライアント端末4からユーザ認証要求を受信したことに応じてユーザ認証要求を認証サーバ1に送信する。
【0069】
クライアント端末4が備える基本・付加認証データ受付送信手段22及び外部サーバ3が備える認証結果受信手段23は、図1において説明した、外部コンピュータ2が備える基本・付加認証データ受付送信手段22及び認証結果受信手段23と同様であるため、説明を省略する。
【0070】
図9は、図2で示した外部コンピュータ2の詳細を示す図である。
【0071】
外部コンピュータ2は、外部サーバ3とクライアント端末4とから構成されている。外部サーバ3は、ユーザ認証要求送信手段21と認証結果受信手段23とを備える。クライアント端末4は、ユーザ認証要求送信手段41、基本・付加認証データ受付送信手段22及び一時記憶手段90を備える。なお、認証サーバ1が備える各手段については、図2にて説明したとおりである。
【0072】
クライアント端末4が備えるユーザ認証要求送信手段41は、クライアント端末4がユーザからのユーザ認証要求を受け付けたことに応じてユーザ認証要求を外部サーバ3が備えるユーザ認証要求送信手段21に送信する。ユーザ認証要求送信手段21は、クライアント端末4からユーザ認証要求を受信したことに応じてユーザ認証要求を認証サーバ1に送信する。
【0073】
クライアント端末4が備える基本・付加認証データ受付送信手段22、一時記憶手段90及び外部サーバ3が備える認証結果受信手段23は、図2において説明した、外部コンピュータ2が備える基本・付加認証データ受付送信手段22、一時記憶手段90及び認証結果受信手段23と同様であるため、説明を省略する。
【0074】
図10は、認証サーバ1、外部サーバ3及びクライアント端末4で行われる認証処理のフローチャートである。この図10では、後述するステップS75において、基本認証データであるユーザID及びパスワードの入力要求順序が付加認証データであるアクセスコードよりも先と判断される場合について説明する。
【0075】
なお、以下の図10〜図12における、ユーザID及びパスワードの入力受付送信画面とは、クライアント端末4にてユーザID及びパスワードの入力を受け付けて、当該入力を受け付けたユーザID及びパスワードを認証サーバ1に送信する画面のことをいう。また、アクセスコードの入力受付送信画面とは、クライアント端末4にてアクセスコードの入力を受け付けて、当該入力を受け付けたアクセスコードを認証サーバ1に送信する画面のことをいう。
【0076】
ステップS71では、クライアント端末4のCPUは、ユーザ認証を要求する。具体的には、外部サーバ3に対してユーザ認証を要求するデータを送信する。
【0077】
ステップS72では、外部サーバ3のCPUは、ユーザ認証の要求を受け付ける。具体的には、クライアント端末4でステップS71の処理が実行されたことに応じて、クライアント端末4からユーザ認証を要求するデータを受信する。
【0078】
ステップS73では、外部サーバ3のCPUは、複数要素認証を要求する。具体的には、認証サーバ1に対して、複数の認証データによる認証を要求するデータを送信する。
【0079】
ステップS74では、認証サーバ1のCPUは、複数要素認証の要求を受け付ける。具体的には、外部サーバ3でステップS73の処理が実行されたことに応じて、複数の認証データによる認証を要求するデータを受信する。
【0080】
ステップS75では、認証サーバ1のCPUは、複数要素の入力要求順序をランダムに決定する。具体的には、OpenIDに関連付けられたユーザID及びパスワード(基本認証データ)と、アクセスコード(付加認証データ)との入力要求を行う順序をランダムに決定する。
【0081】
ステップS76では、認証サーバ1のCPUは、ユーザID及びパスワードの入力受付送信画面を送信する。具体的には、ユーザID及びパスワードの入力受付送信画面のデータをクライアント端末4に対して送信する。
【0082】
ステップS77では、クライアント端末4のCPUは、ユーザID及びパスワードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS76の処理が実行されたことに応じて、ユーザID及びパスワードの入力受付送信画面のデータを受信する。
【0083】
ステップS78では、クライアント端末4のCPUは、ユーザID及びパスワードの、入力受付及び送信を行う。具体的には、ユーザID及びパスワードの入力を受け付けた後、受け付けたユーザID及びパスワードを認証サーバ1に対して送信する。
【0084】
ステップS79では、認証サーバ1のCPUは、ユーザID及びパスワードを受信する。具体的には、クライアント端末4でステップS78の処理が実行されたことに応じて、クライアント端末4からユーザID及びパスワードを受信する。
【0085】
ステップS80では、認証サーバ1のCPUは、ユーザID及びパスワードによる認証を実行する。具体的には、図13で後述するOpenID関連付けテーブルを参照し、ステップS79で受信したユーザIDによりユーザを特定し、更にパスワードとの組合せによりユーザ認証を行う。例えば、図13によれば、ユーザIDが「abc12345」、パスワードが「z25q4a」の場合、ユーザ「山田 進」を特定してユーザ認証を行う。
【0086】
ステップS81では、認証サーバ1のCPUは、アクセスコード(例えば、トークンが発行するアクセスコード)の入力受付送信画面を送信する。具体的には、アクセスコードの入力受付送信画面のデータをクライアント端末4に対して送信する。なお、トークンには、ハードウェアトークンやソフトウェアトークンがあり、例えば認証のたびに、ランダムにアクセスコードを発行する。ユーザを直接特定するものではないが、アクセスコードを認証に使用することによりセキュリティーを向上させることができる。
【0087】
ステップS82では、クライアント端末4のCPUは、アクセスコードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS81の処理が実行されたことに応じて、アクセスコードの入力受付送信画面のデータを認証サーバ1から受信する。
【0088】
ステップS83では、クライアント端末4のCPUは、アクセスコードの入力受付及び送信を行う。具体的には、アクセスコードを受け付けた後、受け付けたアクセスコードを認証サーバ1に対して送信する。
【0089】
ステップS84では、認証サーバ1のCPUは、アクセスコードを受信する。具体的には、クライアント端末4でステップS83の処理が実行されたことに応じて、クライアント端末4からアクセスコードを受信する。
【0090】
ステップS85では、認証サーバ1のCPUは、アクセスコードによる認証を実行する。具体的には、ステップS80で特定したユーザ「山田 進」について、ステップS84において受信したアクセスコード「084583」が有効なものであるか否かを判断する。これが有効である場合に、認証が成功した、と判断する。なお、図13で後述するOpenID関連付けテーブルを参照し、当該受信したアクセスコード「084583」がユーザ「山田 進」に対応付けられていれば有効であると判断し、対応付けられていなければ有効でないと判断する。
【0091】
ステップS86では、認証サーバ1のCPUは、OpenIDを送信する。具体的には、ステップS85の処理で、アクセスコードによる認証が成功した、と判断した場合に、図13で後述するOpenID関連付けテーブルからユーザ「山田 進」に対応するOpenIDを読み出して取得し、取得したOpenIDを外部サーバ3に送信する。
【0092】
ステップS87では、外部サーバ3のCPUは、OpenIDを受信する。具体的には、認証サーバ1でステップS86の処理が実行されたことに応じて、認証サーバ1からOpenIDを受信する。ステップS87の処理が終了すると、ステップS75において基本認証データであるユーザID及びパスワードの入力要求順序が付加認証データであるアクセスコードよりも先と判断される場合における認証処理を終了する。
【0093】
図11は、認証サーバ1、外部サーバ3及びクライアント端末4で行われる認証処理のフローチャートである。この図11では、後述するステップS95において、付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合の認証処理であって一時記憶手段を認証サーバ1が備える場合における認証処理について説明する。
【0094】
ステップS91〜ステップS95の処理は、図10で説明したステップS71〜ステップS75の処理と同じである。
【0095】
ステップS96では、認証サーバ1のCPUは、アクセスコード(例えば、トークンが発行するアクセスコード)の入力受付送信画面を送信する。具体的には、アクセスコードの入力受付送信画面のデータをクライアント端末4に対して送信する。なお、トークン及びアクセスコードについては、ステップS81での説明にて上述したとおりである。
【0096】
ステップS97では、クライアント端末4のCPUは、アクセスコードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS96の処理が実行されたことに応じて、アクセスコードの入力受付送信画面のデータを認証サーバ1から受信する。
【0097】
ステップS98では、クライアント端末4のCPUは、アクセスコードの入力受付及び送信を行う。具体的には、アクセスコードを受け付けた後、受け付けたアクセスコードを認証サーバ1に対して送信する。
【0098】
ステップS99では、認証サーバ1のCPUは、アクセスコードを受信する。具体的には、クライアント端末4でステップS98の処理が実行されたことに応じて、クライアント端末4からアクセスコードを受信する。
【0099】
ステップS100では、認証サーバ1のCPUは、受信したアクセスコードを一時記憶する。具体的には、認証サーバ1が備える一時記憶手段80に一時記憶する。
【0100】
ステップS101では、認証サーバ1のCPUは、ユーザID及びパスワードの入力受付送信画面を送信する。具体的には、ユーザID及びパスワードの入力受付送信画面のデータをクライアント端末4に対して送信する。
【0101】
ステップS102では、クライアント端末4のCPUは、ユーザID及びパスワードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS101の処理が実行されたことに応じて、ユーザID及びパスワードの入力受付送信画面のデータを受信する。
【0102】
ステップS103では、クライアント端末4のCPUは、ユーザID及びパスワードの、入力受付及び送信を行う。具体的には、ユーザID及びパスワードの入力を受け付けた後、受け付けたユーザID及びパスワードを認証サーバ1に対して送信する。
【0103】
ステップS104では、認証サーバ1のCPUは、ユーザID及びパスワードを受信する。具体的には、クライアント端末4でステップS103の処理が実行されたことに応じて、クライアント端末4からユーザID及びパスワードを受信する。
【0104】
ステップS105では、認証サーバ1のCPUは、ユーザID及びパスワードによる認証を実行する。具体的には、図13で後述するOpenID関連付けテーブルを参照し、ステップS104で受信したユーザIDによりユーザを特定し、更にパスワードとの組合せによりユーザ認証を行う。例えば、図13によれば、ユーザIDが「abc12345」、パスワードが「z25q4a」の場合、ユーザ「山田 進」を特定してユーザ認証を行う。
【0105】
ステップS106では、認証サーバ1のCPUは、一時記憶したアクセスコードを読み出す。具体的には、認証サーバ1が備える一時記憶手段80に一時記憶されたアクセスコードを読み出す。
【0106】
ステップS107では、認証サーバ1のCPUは、アクセスコードによる認証を実行する。具体的には、ステップS105で特定したユーザ「山田 進」について、ステップS106において一時記憶手段80から読み出したアクセスコード「084583」が有効なものであるか否かを判断する。これが有効である場合に、認証が成功した、と判断する。なお、図13で後述するOpenID関連付けテーブルを参照し、当該読み出したアクセスコード「084583」がユーザ「山田 進」に対応付けられていれば有効であると判断し、対応付けられていなければ有効でないと判断する。
【0107】
ステップS108では、認証サーバ1のCPUは、OpenIDを送信する。具体的には、ステップS107の処理で、アクセスコードによる認証が成功した、と判断した場合に、図13で後述するOpenID関連付けテーブルからユーザ「山田 進」に対応するOpenIDを読み出し、読み出したOpenIDを外部サーバ3に送信する。
【0108】
ステップS109では、外部サーバ3のCPUは、OpenIDを受信する。具体的には、認証サーバ1でステップS108の処理が実行されたことに応じて、認証サーバ1からOpenIDを受信する。ステップS108の処理が終了すると、ステップS95において付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合における認証処理であって一時記憶手段を認証サーバ1が備える場合における認証処理を終了する。
【0109】
図12は、認証サーバ1、外部サーバ3及びクライアント端末4で行われる認証処理のフローチャートである。この図12では、後述するステップS115において、付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合の認証処理であって一時記憶手段をクライアント端末4が備える場合における認証処理について説明する。
【0110】
ステップS111〜ステップS115の処理は、図10で説明したステップS71〜ステップS75の処理と同じである。
【0111】
ステップS116では、認証サーバ1のCPUは、ユーザID及びパスワードの入力受付送信画面並びにアクセスコード(例えば、トークンが発行するアクセスコード)の入力受付送信画面を送信する。具体的には、ユーザID及びパスワードの入力受付送信画面のデータ並びにアクセスコードの入力受付送信画面のデータをクライアント端末4に対して送信する。なお、トークン及びアクセスコードについては、ステップS81での説明にて上述したとおりである。
【0112】
ステップS117では、クライアント端末4のCPUは、ユーザID及びパスワードの入力受付送信画面並びにアクセスコードの入力受付送信画面を受信する。具体的には、認証サーバ1でステップS116の処理が実行されたことに応じて、ユーザID及びパスワードの入力受付送信画面のデータ並びにアクセスコードの入力受付送信画面のデータを認証サーバ1から受信する。
【0113】
ステップS118では、クライアント端末4のCPUは、アクセスコードの入力受付を行う。
【0114】
ステップS119では、クライアント端末4のCPUは、入力を受け付けたアクセスコードを一時記憶する。具体的には、クライアント端末4が備える一時記憶手段90に一時記憶する。
【0115】
ステップS120では、クライアント端末4のCPUは、ユーザID及びパスワードの、入力受付を行う。
【0116】
ステップS121では、クライアント端末4のCPUは、一時記憶したアクセスコードを読み出す。具体的には、クライアント端末4が備える一時記憶手段90に一時記憶されたアクセスコードを読み出す。
【0117】
ステップS122では、クライアント端末4のCPUは、ユーザID、パスワード及びアクセスコードを送信する。具体的には、ステップS120で入力を受け付けたユーザID及びパスワード並びにステップS121で読み出したアクセスコードを認証サーバ1に対して送信する。
【0118】
ステップS123では、認証サーバ1のCPUは、ユーザID、パスワード及びアクセスコードを受信する。具体的には、クライアント端末4でステップS122の処理が実行されたことに応じて、クライアント端末4からユーザID、パスワード及びアクセスコードを受信する。
【0119】
ステップS124では、認証サーバ1のCPUは、ユーザID及びパスワードによる認証を実行する。具体的には、図13で後述するOpenID関連付けテーブルを参照し、ステップS123で受信したユーザIDによりユーザを特定し、更にパスワードとの組合せによりユーザ認証を行う。例えば、図13によれば、ユーザIDが「abc12345」、パスワードが「z25q4a」の場合、ユーザ「山田 進」を特定してユーザ認証を行う。
【0120】
ステップS125では、認証サーバ1のCPUは、アクセスコードによる認証を実行する。具体的には、ステップS124で特定したユーザ「山田 進」について、ステップS123で受信したアクセスコード「084583」が有効なものであるか否かを判断する。これが有効である場合に、認証が成功した、と判断する。なお、図13で後述するOpenID関連付けテーブルを参照し、当該読み出したアクセスコード「084583」がユーザ「山田 進」に対応付けられていれば有効であると判断し、対応付けられていなければ有効でないと判断する。
【0121】
ステップS126では、認証サーバ1のCPUは、OpenIDを送信する。具体的には、ステップS125の処理で、アクセスコードによる認証が成功した、と判断した場合に、図13で後述するOpenID関連付けテーブルからユーザ「山田 進」に対応するOpenIDを読み出し、読み出したOpenIDを外部サーバ3に送信する。
【0122】
ステップS127では、外部サーバ3のCPUは、OpenIDを受信する。具体的には、認証サーバ1でステップS126の処理が実行されたことに応じて、認証サーバ1からOpenIDを受信する。ステップS127の処理が終了すると、ステップS115において付加認証データであるアクセスコードの入力要求順序が基本認証データであるユーザID及びパスワードよりも先と判断される場合における認証処理であって一時記憶手段をクライアント端末4が備える場合における認証処理を終了する。
【0123】
図13は、OpenID関連付けテーブルを示す図である。
【0124】
このOpenID関連付けテーブルは、図10のステップS80、ステップS85、図11のステップS105、ステップS107、図12のステップS124及びステップS125で参照されるテーブルである。図13によれば、ユーザID「abc12345」、パスワード「z25q4a」、アクセスコード「084583」及びユーザ「山田進」が、OpenID「http://abc.….co.jp」と関連付けられている。
【0125】
なお、上述したように、アクセスコードは、例えば認証のたびに、ランダムに発行されるので、OpenID関連付けテーブルのアクセスコード欄の値は、アクセスコードが発行されるたびに書き換えられる。
【0126】
本実施形態によれば、認証サーバ1は、クライアント端末4からのユーザ認証要求を外部サーバ3を介して受信したことに応じて、クライアント端末4に対してユーザID及びパスワード(基本認証データ)と、アクセスコード(付加認証データ)との入力要求を行う順序を決定する。
【0127】
これにより、クライアント端末4に対して、ユーザID及びパスワードと、アクセスコードとの入力要求を行う順序が、認証サーバ1における認証が行われるたびに決定されるので、認証データの入力順序が一定になるのを防ぐことができる。よって、認証データの入力時においてキーボードを叩く順番を盗み見されたり、通信経路上で盗聴されても認証データの入力順序が不明となるので、セキュリティーを向上させることが可能となる。
【0128】
更に、本実施形態によれば、認証サーバ1は、アクセスコードの入力要求がユーザID及びパスワードの入力要求より先の場合、クライアント端末4が入力を受け付けたアクセスコードを認証サーバ1が備える一時記憶手段80(又はクライアント端末4が備える一時記憶手段90)に記憶する。
【0129】
これにより、クライアント端末4においてユーザID及びパスワードがアクセスコードより後に入力された場合であっても、アクセスコードを一時記憶手段(認証サーバ1に設けられた一時記憶手段80又はクライアント端末4に設けられた一時記憶手段90のいずれでもよい)に一時記憶させておくことで基本認証データから先に認証処理を行うことができるので、認証サーバにおける認証処理を支障なく行うことができる。
【0130】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施例に記載されたものに限定されるものではない。
【0131】
例えば、本実施形態では、基本認証データとしてユーザID及びパスワードと、付加認証データとしてアクセスコードとの2つの認証データで認証を実行しているが、これに限られず、基本認証データとしてユーザID及びパスワードを含む複数の認証データを含めてもよく、付加認証データとしてアクセスコードを含む複数の認証データを含めてもよい。
【0132】
これにより、クライアント端末4において入力される認証データの数が増えるので、入力順序のバリエーションがより増える。よって、認証データの入力順序を推測することがより困難になるため、さらなるセキュリティーの向上が見込める。
【0133】
また、本実施形態では、認証サーバ1は、クライアント端末4からの認証要求を外部サーバ3を介して受信しているが、これに限られない。例えば、外部サーバ3を介さずに、クライアント端末4から認証要求及び認証データを受信し、クライアント端末4に認証結果を送信するようにしてもよい。
【符号の説明】
【0134】
1 認証サーバ
2 外部コンピュータ
3 外部サーバ
4 クライアント端末
11 ユーザ認証要求受信手段
12 要求順序決定手段
13 入力要求画面制御手段
14 認証結果送信手段
21 ユーザ認証要求送信手段
22 基本・付加認証データ受付送信手段
23 認証結果受信手段
80 一時記憶手段
90 一時記憶手段
【特許請求の範囲】
【請求項1】
外部コンピュータと通信可能に接続され、複数の認証データを用いてユーザ認証を実施する認証サーバであって、
前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定する要求順序決定手段と、
前記要求順序決定手段が決定した前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信した後、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信し、
前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信し、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶し、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信する入力要求画面制御手段と、を備えた認証サーバ。
【請求項2】
外部コンピュータと通信可能に接続された認証サーバが、複数の認証データを用いてユーザ認証を実施する方法であって、
前記認証サーバが、
前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定するステップと、
前記順序を決定するステップで決定された前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信するステップと、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信するステップと、
前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信するステップと、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶するステップと、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信するステップと、を実行する方法。
【請求項1】
外部コンピュータと通信可能に接続され、複数の認証データを用いてユーザ認証を実施する認証サーバであって、
前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定する要求順序決定手段と、
前記要求順序決定手段が決定した前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信した後、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信し、
前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信し、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶し、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信する入力要求画面制御手段と、を備えた認証サーバ。
【請求項2】
外部コンピュータと通信可能に接続された認証サーバが、複数の認証データを用いてユーザ認証を実施する方法であって、
前記認証サーバが、
前記外部コンピュータからのユーザ認証要求を受信したことに応じて、前記外部コンピュータに対して、基本認証データの入力要求及び前記基本認証データに付加して使用する付加認証データの入力要求を行う順序を決定するステップと、
前記順序を決定するステップで決定された前記順序が、前記基本認証データの入力要求が前記付加認証データの入力要求よりも先である場合に、前記基本認証データの入力を受け付けて、前記入力を受け付けた前記基本認証データを前記認証サーバに送信する画面を前記外部コンピュータに送信するステップと、前記外部コンピュータから受信した前記基本認証データに基づくユーザ認証の結果が成立した場合に、前記付加認証データの入力を受け付ける画面を前記外部コンピュータに送信するステップと、
前記付加認証データの入力要求が前記基本認証データの入力要求よりも先である場合に、前記付加認証データの入力を受け付ける画面を送信するステップと、前記入力を受け付けた前記付加認証データを一時記憶手段に記憶するステップと、更に前記基本認証データの入力を受け付ける画面を、前記外部コンピュータに送信するステップと、を実行する方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2011−134248(P2011−134248A)
【公開日】平成23年7月7日(2011.7.7)
【国際特許分類】
【出願番号】特願2009−295301(P2009−295301)
【出願日】平成21年12月25日(2009.12.25)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
【公開日】平成23年7月7日(2011.7.7)
【国際特許分類】
【出願日】平成21年12月25日(2009.12.25)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
[ Back to top ]