認証システム、認証連携装置、認証方法
【課題】複数のコンピュータリソースを利用するためのシングルサインオンの処理を第三者に委託しつつも、企業内で利用するログインIDを第三者に提供せずに認証を行う。
【解決手段】認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信し、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成し、生成した変換IDを認証連携装置に送信し、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせを予め記憶し、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる。
【解決手段】認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信し、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成し、生成した変換IDを認証連携装置に送信し、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせを予め記憶し、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、シングルサインオンの認証を代行する技術に関する。
【背景技術】
【0002】
PC(Personal Computer)等の端末においてアプリケーションを動作させたりネットワークを介して他のコンピュータ装置に接続したりして様々なコンピュータリソースを利用する場合、利用するコンピュータリソース毎に異なるユーザIDとパスワードとが要求されることがある。この場合、ユーザは利用するコンピュータリソース毎にユーザIDとパスワードとを利用端末に入力しなければならず、面倒である。そこで、一度の認証処理によって複数のコンピュータリソースを利用可能にするシングルサインオンの技術が提供されている(例えば、特許文献1)。
【0003】
例えば、図11は、シングルサインオンによる認証処理の概要を示す図である。ここでは、利用端末902が、ネットワークを介していわゆるクラウドサービスを提供するクラウドサーバ900に接続する例を説明する。クラウド側のクラウドサーバ900が参照するクラウド認証DB901には、ユーザの氏名と、ユーザIDとユーザパスワード(PASS)との組み合わせが予め作成され記憶されているものとする。企業内の認証サーバ904が参照する認証DB(データベース)905には、利用端末902を利用するユーザの氏名と、ログインIDとログインパスワードとの組み合わせが対応付けられて予め記憶されている。SSO(シングルサインオン)認証サーバ903が参照する認証変換DB906には、ユーザのログインIDと、そのユーザがクラウドサービスを利用する際のユーザIDとユーザパスワードとの組み合わせが対応付けられて予め記憶されている。
【0004】
利用端末902が起動すると、利用端末902は自身のコンピュータリソースを起動し、企業内のネットワークに接続するためのログインIDとパスワードとの入力画面を表示する。ユーザによって利用端末902にログインIDとパスワードとが入力されると、利用端末902は認証サーバ904に認証要求を送信し、認証成功と判定されると利用端末902のコンピュータリソースが利用可能になる。そして、ユーザからの入力に応じて利用端末902がクラウドサーバ900へのアクセス要求を送信すると(ステップS101)、SSO認証サーバ903がアクセス要求を受信する。SSO認証サーバ903は、認証サーバ904と連携して、アクセス要求を送信した利用端末902が認証されているか否かを判定する(ステップS102)。認証されていれば、SSO認証サーバ903は、認証変換DB906からユーザのログインIDに対応するユーザIDとユーザパスワードとの組み合わせを読み出し、クラウドサーバ900に送信する(ステップS104)。クラウドサーバ900は、SSO認証サーバ903から送信されたユーザIDとユーザパスワードとの組み合わせと、認証DB901に予め記憶されているユーザIDとユーザパスワードとの組み合わせを比較して、認証処理を行う。認証が成功すれば、クラウドサーバ900は利用端末からの利用を許可する。このように、シングルサインオンによれば、ユーザは利用端末の起動時に自身のログインIDとログインパスワードとを入力するだけで、クラウドサーバ等のコンピュータリソースを利用することが可能になる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−252418号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、近年では様々なクラウドサービスが提供されてきており、多数のユーザIDやユーザパスワード等を管理するSSO認証サーバの運営は煩雑化してくることが考えられる。そこで、図12に示すように、シングルサインオンの処理を行うSSO認証サーバ912の管理を、外部のアウトソース企業に委託することが考えられる。しかし、この場合、アウトソース企業が管理する認証変換DB913に、企業内のユーザのログインIDに対応付けてユーザIDとユーザパスワードとの組み合わせが記憶される。すなわち、企業は、ログインIDを第三者であるアウトソース企業に提供することになる。ここで、企業内における利用端末にログインし、企業内のネットワークに接続するような強い権限を持つログインIDは、できるだけ外部に対して秘匿されることが望ましい。
【0007】
本発明は、このような状況に鑑みてなされたもので、複数のコンピュータリソースを利用するためのシングルサインオンの処理を第三者に委託しつつも、ユーザが企業内で利用するログインIDを第三者に提供せずに認証を行う認証システム、認証連携装置、認証方法を提供する。
【課題を解決するための手段】
【0008】
上述した課題を解決するために、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムであって、認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信するログインID受信部と、ログインID受信部が受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、変換ID生成部によって生成された変換IDを認証連携装置に送信する送信部と、を備え、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる認証代行部と、を備えることを特徴とする。
【0009】
また、本発明は、認証連携装置は、認証情報変換装置と接続された回線を識別する回線情報を取得する回線情報取得部を備え、変換ID記憶部には、変換ID毎に、変換IDを送信してくる認証情報変換装置を識別する回線情報が対応付けられて予め記憶され、認証代行部は、変換ID記憶部に記憶された変換IDおよび回線情報と、認証情報変換装置から送信された変換IDおよび、回線情報取得部によって取得された、変換IDが送信された回線の回線情報とを比較し、変換IDと回線情報とが一致する場合、変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信することを特徴とする。
【0010】
また、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続され、ログインIDに基づいて認証された利用端末から、ログインIDを受信するログインID受信部と、ログインID受信部が受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、変換ID生成部によって生成された変換IDを送信する送信部と、を備えた認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムにおける認証連携装置であって、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる認証代行部と、を備えることを特徴とする。
【0011】
また、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部を備え、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムの認証方法であって、認証情報変換装置が、ログインIDに基づいて認証された利用端末から、ログインIDを受信するステップと、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成するステップと、生成した変換IDを認証連携装置に送信するステップと、認証連携装置が、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせるステップと、を備えることを特徴とする。
【発明の効果】
【0012】
以上説明したように、本発明によれば、認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信し、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成し、生成した変換IDを認証連携装置に送信し、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせを予め記憶し、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせるようにしたので、複数のコンピュータリソースを利用するためのシングルサインオンの処理を第三者に委託しつつも、ユーザが企業内で利用するログインIDを第三者に提供せずに認証を行うことが可能となる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態による通信システムの構成例を示すブロック図である。
【図2】本発明の一実施形態による認証情報変換装置と認証連携装置との詳細なブロック構成を示す図である。
【図3】本発明の一実施形態による認証情報変換データ記憶部に記憶されるデータ例を示す図である。
【図4】本発明の一実施形態による認証連携DB装置に記憶されるデータ例を示す図である。
【図5】本発明の一実施形態による通信システムの動作例を示すシーケンス図である。
【図6】本発明の一実施形態による通信システムの動作例を示すシーケンス図である。
【図7】本発明の一実施形態による認証情報変換装置の動作例を示すフローチャートである。
【図8】本発明の一実施形態による認証連携装置の動作例を示すフローチャートである。
【図9】本発明の一実施例を示す図である。
【図10】本発明の一実施例を示す図である。
【図11】従来技術によるシングルサインオンの概要を示す図である。
【図12】従来技術によるシングルサインオンの概要を示す図である。
【発明を実施するための形態】
【0014】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による通信システム1の構成を示すブロック図である。ここでは、企業内においてユーザAが利用する利用端末200がクラウド側のクラウドサービスを利用する際のシングルサインオンを、通信事業者に委託する場合の例を示している。通信システム1は、クラウド側においてクラウドサービスを提供する複数のクラウドサーバ100(クラウドサーバ100−1、クラウドサーバ100−2、クラウドサーバ100−3、・・・)と、それぞれのクラウドサービスにおける認証処理の際に参照されるクラウド認証DB装置110(クラウド認証DB装置110−1、クラウド認証DB装置110−2、クラウド認証DB装置110−3、・・・)とを備えている。ここで、それぞれのクラウドサービスは異なるサービスを提供するものであって良いが、同様の認証処理を行うものであるため、特に区別しない場合には「−1」、「−2」などの表記を省略してクラウドサーバ100、クラウド認証DB装置110として説明する。ここでは、3台のクラウドサーバ100、3台のクラウド認証DB装置110による3つのクラウドサービスを図示して説明するが、それぞれのクラウドサービスは2台以上のクラウドサーバ100によって構成されて良いし、4つ以上のクラウドサービスを利用するものであっても良い。通信システム1は、企業内において利用端末200と、回線接続装置210と、認証DB装置220と、認証サーバ230と、認証情報変換装置300とを備えている。また、通信事業者側において通信機器装置400と、認証連携DB装置500と、認証連携装置600とを備えている。
【0015】
クラウドサーバ100は、利用端末200からの認証要求に応じて、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供するコンピュータ装置である。認証処理は、送信される利用要求に含まれるユーザIDとパスワードとの組み合わせに一致するユーザIDとパスワードとの組み合わせがクラウド認証DB装置110に記憶されているか否かを判定することによって行う。一致するユーザIDとパスワードとの組み合わせがクラウド認証DB装置110に記憶されていれば認証成功と判定し、一致しないと判定すれば認証失敗と判定する。クラウドサーバ100は、認証が成功した場合に、例えばワープロソフト、表計算ソフトなどのアプリケーションをSaaS(Software as a Service)形式で提供するものであっても良いし、その他の情報を提供するものであっても良い。
クラウド認証DB装置110は、クラウドサーバ100によって提供するサービスの利用を許可するユーザのユーザIDとユーザパスワードとの組み合わせが予め記憶されているコンピュータ装置である。
【0016】
利用端末200は、企業内のネットワークにログインしてコンピュータリソースを利用するコンピュータ装置であり、認証連携装置600とネットワークとを介してクラウドサーバ100に接続される。ここでは、企業内のネットワークに接続された1台の利用端末200を示して説明するが、企業内のネットワークには複数の利用端末200を接続することができる。また、利用端末200は、ユーザから入力されるログインIDとログインパスワードを認証サーバ230に送信して認証処理を行う。また、ログイン中である場合、自身のログインIDを、予め定められた暗号鍵によって暗号化し、認証情報変換装置300に送信する。この際、利用端末200は、ログインIDとともに、認証DB装置220に記憶されている固有情報を認証連携装置600に送信することができる。
【0017】
回線接続装置210は、通信事業者側のネットワークと企業内のネットワークとを接続するコンピュータ装置である。回線接続装置210は、通信機器装置400から送信される通信機器装置400の固有情報を受信する。固有情報は、通信事業者のみが知り得る情報であり、例えば通信事業者の通信機器装置400と回線接続装置210とを接続する回線の契約を識別する契約識別子、その回線により接続された企業を識別する企業識別子、その回線を識別する回線情報などが適用できる。回線接続装置210は、受信した固有情報を認証DB装置220に記憶させる。
認証DB装置220は、回線接続装置210が通信機器装置400から受信した固有情報が記憶されるコンピュータ装置である。
【0018】
認証サーバ230は、企業内ネットワークに接続される利用端末200の認証を行うコンピュータ装置である。認証サーバ230は、企業内ネットワークへの接続を許可するユーザのログインIDとログインパスワードとの組み合わせを自身の記憶領域に予め記憶し、利用端末200に入力されるログインIDとログインパスワードとの組み合わせを受信して認証処理を行う。認証処理は、利用端末200から送信される認証要求に含まれるユーザIDとパスワードとの組み合わせに一致するユーザIDとパスワードとの組み合わせが予め記憶されているか否かを判定することによって行う。一致するユーザIDとパスワードとの組み合わせが予め記憶されていれば認証成功と判定し、一致しないと判定すれば認証失敗と判定する。また、認証サーバ230は、利用端末200からの認証要求に応じて認証成功と判定した場合、認証成功と判定すると、そのユーザのログインIDを、そのユーザがログイン中であることを示す情報として自身の記憶領域に記憶する。
【0019】
認証情報変換装置300は、利用端末200に接続され、利用端末200のログインIDに基づいて変換IDを生成するコンピュータ装置である。図2は、認証情報変換装置300と認証連携装置600のブロック構成を詳細に示す図である。認証情報変換装置300は、認証情報分析処理部310と、回線情報取得部320と、認証変換処理部330と、認証情報変換データ記憶部340と、通信部350とを備えている。
【0020】
認証情報分析処理部310は、ログインIDに基づいて認証サーバ230によって認証された利用端末200から、ログイン中のログインIDを受信するログインID受信部である。認証情報分析処理部310は、利用端末200から送信される暗号化されたログインIDを受信すると、認証情報変換データ記憶部340に記憶されている復号鍵を読み出して復号する。
【0021】
回線情報取得部320は、認証DB装置220に記憶された固有情報を読み出す。
認証変換処理部330は、認証情報分析処理部310が受信して復号したログインIDと、回線情報取得部320が読み出した固有情報とに基づいて、不可逆計算を行った計算結果である変換IDを生成する。不可逆計算とは、例えばログインIDと固有情報とに基づくハッシュ計算である。ここで、認証変換処理部330は、認証情報変換データ記憶部340に記憶されている不可逆演算鍵を読み出し、ログインIDと固有情報と不可逆演算鍵とに基づいてハッシュ計算を行うこともできる。このように、ログインIDだけでなく、ログインIDと固有情報とに基づいて負荷逆計算を行うことで、より確実に一意な変換IDを生成することができる。すなわち、例えば異なる企業に同一のログインIDを持つユーザが存在するような場合にも、このような固有情報に基づけば異なる変換IDが生成されることとなる。
【0022】
認証情報変換データ記憶部340には、ログインIDの変換のために用いる情報が記憶されている。図3は、認証情報変換データ記憶部340に記憶される情報のデータ例を示す図である。認証情報変換データ記憶部340には、企業に対応する複数の支店が存在する場合には、その支店を識別する支店等IDに対応付けて、復号鍵と不可逆演算鍵とが記憶される。
通信部350は、通信事業者の認証連携装置600に接続されたネットワークを介して通信を行う。例えば、通信部350は、認証変換処理部330によって生成された変換IDを認証連携装置600に送信する。
【0023】
図1に戻り、通信機器装置400は、通信事業者のネットワークと企業内のネットワークとを接続するコンピュータ装置である。
認証連携DB装置500は、変換IDに対応付けて、クラウドサービス毎に予め定められたユーザIDとユーザパスワードとの組み合わせが予め記憶されるコンピュータ装置である。さらに、ここでは、変換ID毎に、その変換IDを送信してくる認証情報変換装置300を識別する回線情報が対応付けられて予め記憶される。認証連携DB装置500に記憶されるデータ例を示す図である。ここでは、変換IDに対応付けて、回線IDと、クラウドIDと、クラウドURLと、ユーザIDと、ユーザパスワードとが記憶される。回線IDは、対応する変換IDを送信した利用端末200が、予め契約している回線を識別する情報である。クラウドIDは、対応する変換IDを送信した利用端末200が利用することが許可されたクラウドサービスを識別する情報である。クラウドURL(Uniform Resource Locator)は、クラウドIDが示すクラウドサービスを提供するクラウドサーバ100に接続するためのURLである。ユーザIDとユーザパスワードは、対応するクラウドサービスを利用するために予め定められた認証情報である。これらの情報は、予め入力されて記憶されているものとする。
【0024】
認証連携装置600は、認証情報変換装置300およびクラウドサーバ100に接続され、予め定められた利用端末200のログインIDに基づいて複数のクラウドサーバ100に対するシングルサインオンを代行する通信事業者のコンピュータ装置である。図2に示したように、認証連携装置600は、企業側通信部610と、利用回線情報取得部620と、認証情報分析部630と、クラウド認証情報取得部640と、通信事前処理部650と、クラウド側通信部660とを備えている。
【0025】
企業側通信部610は、企業内のネットワークと通信を行う。
利用回線情報取得部620は、通信機器装置400から、企業内の認証情報変換装置300と接続された回線を識別する回線情報を取得する。
認証情報分析部630は、認証連携DB装置500に記憶されている情報を読み出して、利用回線情報取得部620が取得した回線情報が、変換IDに対応する回線情報であるか否かを判定する。また、認証情報分析部630は、利用端末200が利用要求しているクラウドサービスが、変換IDに対応するクラウドサービスであるかを判定する。
【0026】
クラウド認証情報取得部640は、認証情報変換装置300から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出してクラウドサーバ100に送信し、クラウドサーバ100に認証処理を行わせる。この際、クラウド認証情報取得部640は、認証連携DB装置500に記憶された変換IDおよび回線情報と、認証情報変換装置300から送信された変換IDおよび、利用回線情報取得部620によって取得された、変換IDが送信された回線の回線情報とを比較し、変換IDと回線情報とが一致する場合、変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出してクラウドサーバ100に送信することができる。
【0027】
通信事前処理部650は、企業内ネットワークにおけるドメインとクラウドにおけるドメインとを経間する処理等を行う。例えば、企業内ネットワークからクラウドへのアクセスを、認証連携装置600を経由して行わせるために、企業内ネットワークにおいては通信事業者内の通信装置を示すURLを公開しておく場合、利用端末200から送信される利用要求に含まれるドメイン名を、対応するクラウド側のドメイン名に変換する。
クラウド側通信部660は、ネットワークを介してクラウドサーバ100との通信を行う。
【0028】
次に、本実施形態による通信システム1の動作例を説明する。図5、6は、通信システム1によるシングルサインオンの動作例を示すシーケンス図である。
まず、回線接続装置210が、通信機器装置400に対して回線接続要求を送信すると(ステップS1)、通信機器装置400は、固有情報を回線接続装置210に送信する(ステップS2)。回線接続装置210は、通信機器装置400から送信された固有情報を受信すると、受信した固有情報を認証DB装置220に記憶させる(ステップS3)。認証DB装置220は、回線接続装置210から送信された固有情報を記憶すると、記憶したことを示す情報を回線接続装置210に送信する(ステップS4)。回線接続装置210は、固有情報を受信したことを示す情報を通信機器装置400に送信する(ステップS5)。通信機器装置400は、回線接続完了を回線接続装置210に通知する(ステップS6)。
【0029】
利用端末200は、企業内ネットワークに接続すると、ユーザから入力されるログインIDとログインパスワードとを認証サーバ230に送信する(ステップS7)。認証サーバ230は、送信されたログインIDとログインパスワードとに基づいて認証処理を行い、認証成功であれば利用端末200の接続を許可し、接続完了を通知する(ステップS8)。利用端末200が、ユーザからの入力に応じてクラウドサーバ100に対する利用要求を送信すると(ステップS9)、認証連携装置600が、利用端末200から送信された利用要求を受信する。認証連携装置600は、認証連携DB装置500に記憶されたデータを参照して、利用端末200から送信された利用要求に応じてクラウドサーバ100へのアクセスが許可されているか否かを判定する処理を行い、対応するクラウドURLを読み出してドメイン変換を行う(ステップS10)。
【0030】
認証連携装置600が、クラウドサーバ100に対してクラウド利用要求を送信すると、クラウドサーバ100は、認証連携装置600に対して認証要求を送信する(ステップS12)。認証連携装置600は、認証連携装置600から送信された認証要求を受信すると、利用端末200に対して企業内ネットワークにおいて認証が行われているか否かを確認する要求を送信する(ステップS13)。利用端末200は、認証サーバ230に対して、ログインIDと認証結果の取得要求を送信する(ステップS14)。認証サーバ230は、ログインIDと認証結果とを利用端末200に送信する(ステップS15)。利用端末200は、ログインIDを暗号化して、暗号化されたログインIDと認証結果とを認証情報変換装置300に送信する(ステップS16)。認証情報変換装置300は、認証DB装置220に記憶された固有情報を読み出す(ステップS17、18)。認証情報変換装置300は、ログインIDを復号し、復号したログインIDと、固有情報とに基づいて、変換IDを生成する(ステップS19)。
【0031】
図6に進み、認証情報変換装置300は、生成した変換IDを利用端末200に送信する(ステップS20)。利用端末200は、認証情報変換装置300から送信された変換IDを受信すると、変換IDが含まれるクラウド認証要求を認証情報変換装置300に送信する(ステップS21)。認証情報変換装置300は、変換IDと、固有情報とを認証連携装置600に送信する(ステップS22)。認証連携装置600は、変換IDに対応する固有情報と、利用回線と、クラウドアクセスの可否との判定を行い(ステップS23)、認証連携DB装置500から変換IDに対応するユーザIDとユーザパスワードとを読み出す(ステップS24、25)。認証連携装置600は、認証要求のドメイン変換等の処理を行い(ステップS26)、ユーザIDとユーザパスワードとが含まれる認証要求をクラウドサーバ100に送信する(ステップS27)。クラウドサーバ100は、認証連携装置600から送信されたユーザIDとユーザパスワードとに基づいて認証処理を行い、認証成功と判定すれば認証OKの通知を認証連携装置600に送信する(ステップS28)。
【0032】
認証連携装置600は、クラウドサーバ100から送信された認証OKの通知を認証情報変換装置300に送信する(ステップS29)。認証情報変換装置300は、認証OKの通知を利用端末200に送信する(ステップS30)。利用端末200が、クラウド利用要求を認証連携装置600に送信すると(ステップS31)、認証連携装置600はドメイン変換等の処理を行って(ステップS32)クラウドサーバ100にクラウド利用要求を送信する(ステップS33)。クラウドサーバ100は、利用要求に応じた情報を認証連携装置600に送信する(ステップS34)。認証連携装置600は、ドメイン変換等の処理を行って(ステップS35)、クラウドサーバ100から送信された情報を利用端末200に送信する(ステップS36)。
【0033】
図7は、認証情報変換装置300の詳細な処理を示すフローチャートである。認証情報変換装置300は、HTTP(HyperText Transfer Protocol)(S)データが入力されると、そのデータが利用端末200からの入力であれば(ステップS40:Yes)、クラウド認証済みであるか否かを判定する(ステップS41)。クラウド認証済みでなければ(ステップS41:No)、企業内ネットワークの認証結果を読み出し(ステップS42)、認証結果が認証成功を示すものであれば(ステップS42:Yes)、認証DB装置220から固有情報を読み出す(ステップS43)。読み出しが成功すれば(ステップS44:Yes)、変換IDを生成する(ステップS45)。この演算においては、契約識別子、企業識別子、回線情報等の固有情報と、ログインIDとに基づいて、不可逆計算を行い、計算結果を変換IDとする。変換IDの生成処理が成功すれば(ステップS46:Yes)、生成した変換IDを認証連携装置600に送信する(ステップS47)。送信が成功すれば、Aに戻る。
【0034】
図8は、認証連携装置600の詳細な処理を示すフローチャートである。認証連携装置600は、HTTP(S)データが入力されると、そのデータが認証情報変換装置300からの入力であれば(ステップS60:Yes)、クラウド認証済みであるか否かを判定する(ステップS61)。クラウド認証済みであれば(ステップS61:Yes)、ドメイン変換等の処理後、認証連携装置600に転送する(ステップS62)。転送が成功すれば(ステップS63:Yes)、Aに戻り、転送が失敗すれば(ステップS63:No)、要求元へエラーを出力してAに戻る。クラウド認証済みでなく(ステップS61:No)、変換IDを受信した場合(ステップS65:Yes)、変換IDに対応する利用回線のチェックを行い(ステップS72)、チェック結果が妥当であれば(ステップS73:Yes)、クラウドアクセス可否チェックを行う(ステップS74)。チェック結果が妥当であれば(ステップS75:Yes)、変換IDに対応するユーザIDとユーザパスワードとを読み出す(ステップS76)。ユーザIDとユーザパスワードとを読み出すと(ステップS77:Yes)、クラウドサーバ100にユーザIDとユーザパスワードとを送信して認証処理を行い(ステップS78)、認証すればAに戻り、認証が失敗すれば要求元へエラーを出力して、Aに戻る。
【0035】
図9は、本実施形態の一実施例を示す図である。ユーザAは、回線1から業務系、勘定系クラウドの利用が許可されており、ユーザBは、回線1、回線2からのコミュにケーション系クラウドの利用が許可されるように設定されているものとする。この場合、T支店の利用端末200−3から、回線2を介してユーザAがクラウドに接続しようとしても、変換IDに対応するユーザIDとユーザパスワードとが対応付けられていないため、クラウドを利用することができない。
【0036】
図10は、本実施形態の一実施例を示す図である。ユーザAは回線1から業務系、勘定系クラウドの利用が許可されているものとする。このとき、悪意のある企業Bにおける利用端末200−2から、ユーザJが、ユーザAのログインIDを推測するために認証連携装置600に接続して認証を試みても、クラウドへの認証は行えないため、ログインIDを推測することはできない。一方、万が一、ユーザAのログインIDを知ったユーザKが、ユーザAのログインIDを用いてクラウドに接続しようとしても、回線2に基づいて生成された変換IDは、接続が許可されていないため、接続できない。また、万が一、ユーザAの変換IDがユーザLに盗まれたとしても、回線2からの接続は許可されていないため、接続できない。また、変換IDが盗まれたとしても、変換IDは、企業Aの企業内ネットワークにログイン可能なログインIDとは異なるため、リモート端末から接続しようとしても、変換IDによる認証は失敗するため、接続できない。
なお、本実施形態では、利用端末200からクラウドサービスを利用する際の認証処理をシングルサインオンにより行う例を示したが、企業がシングルサインオンの処理を第三者に委託するような様々な場面に本実施形態を適用することができる。
【0037】
なお、本実施形態では、クラウドサーバ100がForm認証、Basic認証を行う場合の例を示したが、SAML(Security Assertion Markup Language)やOpenID等の認証においても、本実施形態の構成を同様に適用できる。この場合、認証連携装置600が行ったSAMLやOpenID等の認証結果を、クラウドサーバ100に送信する。具体的には、図5のステップS11において認証連携装置600がクラウドサーバ100に接続した際に、利用端末200が認証されていなければ、クラウドサーバ100は、認証連携装置600に認証結果要求を送信する。そして、認証連携装置600が認証連携DB装置500からユーザの変換IDと回線IDとを読み出し、認証結果をクラウドサーバ100に送信する。クラウドサーバ100は、認証連携装置600から送信された認証結果が認証成功を示す場合、認証OKの通知を認証連携装置600に送信する。
【0038】
以上説明したように、本実施形態によれば、企業は、第三者にログインIDを知られることなく、第三者により提供されるシングルサインオンの機能を、安心、安全に利用することができる。また、万が一、変換IDが漏洩したとしても、ログインIDを知られることはない。このように、変換IDを活用したシングルサインオンを行うことで、様々なクラウドサービスを、効率良く利用することが可能になる。
【0039】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより認証を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0040】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0041】
1 通信システム
100 クラウドサーバ
110 クラウド認証DB装置
200 利用端末
210 回線接続装置
220 認証DB装置
230 認証サーバ
300 認証情報変換装置
310 認証情報分析処理部
320 回線情報取得部
330 認証変換処理部
340 認証情報変換データ記憶部
350 通信部
400 通信機器装置
500 認証連携DB装置
600 認証連携装置
610 企業側通信部
620 利用回線情報取得部
630 認証情報分析部
640 クラウド認証情報取得部
650 通信事前処理部
660 クラウド側通信部
【技術分野】
【0001】
本発明は、シングルサインオンの認証を代行する技術に関する。
【背景技術】
【0002】
PC(Personal Computer)等の端末においてアプリケーションを動作させたりネットワークを介して他のコンピュータ装置に接続したりして様々なコンピュータリソースを利用する場合、利用するコンピュータリソース毎に異なるユーザIDとパスワードとが要求されることがある。この場合、ユーザは利用するコンピュータリソース毎にユーザIDとパスワードとを利用端末に入力しなければならず、面倒である。そこで、一度の認証処理によって複数のコンピュータリソースを利用可能にするシングルサインオンの技術が提供されている(例えば、特許文献1)。
【0003】
例えば、図11は、シングルサインオンによる認証処理の概要を示す図である。ここでは、利用端末902が、ネットワークを介していわゆるクラウドサービスを提供するクラウドサーバ900に接続する例を説明する。クラウド側のクラウドサーバ900が参照するクラウド認証DB901には、ユーザの氏名と、ユーザIDとユーザパスワード(PASS)との組み合わせが予め作成され記憶されているものとする。企業内の認証サーバ904が参照する認証DB(データベース)905には、利用端末902を利用するユーザの氏名と、ログインIDとログインパスワードとの組み合わせが対応付けられて予め記憶されている。SSO(シングルサインオン)認証サーバ903が参照する認証変換DB906には、ユーザのログインIDと、そのユーザがクラウドサービスを利用する際のユーザIDとユーザパスワードとの組み合わせが対応付けられて予め記憶されている。
【0004】
利用端末902が起動すると、利用端末902は自身のコンピュータリソースを起動し、企業内のネットワークに接続するためのログインIDとパスワードとの入力画面を表示する。ユーザによって利用端末902にログインIDとパスワードとが入力されると、利用端末902は認証サーバ904に認証要求を送信し、認証成功と判定されると利用端末902のコンピュータリソースが利用可能になる。そして、ユーザからの入力に応じて利用端末902がクラウドサーバ900へのアクセス要求を送信すると(ステップS101)、SSO認証サーバ903がアクセス要求を受信する。SSO認証サーバ903は、認証サーバ904と連携して、アクセス要求を送信した利用端末902が認証されているか否かを判定する(ステップS102)。認証されていれば、SSO認証サーバ903は、認証変換DB906からユーザのログインIDに対応するユーザIDとユーザパスワードとの組み合わせを読み出し、クラウドサーバ900に送信する(ステップS104)。クラウドサーバ900は、SSO認証サーバ903から送信されたユーザIDとユーザパスワードとの組み合わせと、認証DB901に予め記憶されているユーザIDとユーザパスワードとの組み合わせを比較して、認証処理を行う。認証が成功すれば、クラウドサーバ900は利用端末からの利用を許可する。このように、シングルサインオンによれば、ユーザは利用端末の起動時に自身のログインIDとログインパスワードとを入力するだけで、クラウドサーバ等のコンピュータリソースを利用することが可能になる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−252418号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、近年では様々なクラウドサービスが提供されてきており、多数のユーザIDやユーザパスワード等を管理するSSO認証サーバの運営は煩雑化してくることが考えられる。そこで、図12に示すように、シングルサインオンの処理を行うSSO認証サーバ912の管理を、外部のアウトソース企業に委託することが考えられる。しかし、この場合、アウトソース企業が管理する認証変換DB913に、企業内のユーザのログインIDに対応付けてユーザIDとユーザパスワードとの組み合わせが記憶される。すなわち、企業は、ログインIDを第三者であるアウトソース企業に提供することになる。ここで、企業内における利用端末にログインし、企業内のネットワークに接続するような強い権限を持つログインIDは、できるだけ外部に対して秘匿されることが望ましい。
【0007】
本発明は、このような状況に鑑みてなされたもので、複数のコンピュータリソースを利用するためのシングルサインオンの処理を第三者に委託しつつも、ユーザが企業内で利用するログインIDを第三者に提供せずに認証を行う認証システム、認証連携装置、認証方法を提供する。
【課題を解決するための手段】
【0008】
上述した課題を解決するために、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムであって、認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信するログインID受信部と、ログインID受信部が受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、変換ID生成部によって生成された変換IDを認証連携装置に送信する送信部と、を備え、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる認証代行部と、を備えることを特徴とする。
【0009】
また、本発明は、認証連携装置は、認証情報変換装置と接続された回線を識別する回線情報を取得する回線情報取得部を備え、変換ID記憶部には、変換ID毎に、変換IDを送信してくる認証情報変換装置を識別する回線情報が対応付けられて予め記憶され、認証代行部は、変換ID記憶部に記憶された変換IDおよび回線情報と、認証情報変換装置から送信された変換IDおよび、回線情報取得部によって取得された、変換IDが送信された回線の回線情報とを比較し、変換IDと回線情報とが一致する場合、変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信することを特徴とする。
【0010】
また、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続され、ログインIDに基づいて認証された利用端末から、ログインIDを受信するログインID受信部と、ログインID受信部が受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、変換ID生成部によって生成された変換IDを送信する送信部と、を備えた認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムにおける認証連携装置であって、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる認証代行部と、を備えることを特徴とする。
【0011】
また、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部を備え、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムの認証方法であって、認証情報変換装置が、ログインIDに基づいて認証された利用端末から、ログインIDを受信するステップと、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成するステップと、生成した変換IDを認証連携装置に送信するステップと、認証連携装置が、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせるステップと、を備えることを特徴とする。
【発明の効果】
【0012】
以上説明したように、本発明によれば、認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信し、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成し、生成した変換IDを認証連携装置に送信し、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせを予め記憶し、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせるようにしたので、複数のコンピュータリソースを利用するためのシングルサインオンの処理を第三者に委託しつつも、ユーザが企業内で利用するログインIDを第三者に提供せずに認証を行うことが可能となる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態による通信システムの構成例を示すブロック図である。
【図2】本発明の一実施形態による認証情報変換装置と認証連携装置との詳細なブロック構成を示す図である。
【図3】本発明の一実施形態による認証情報変換データ記憶部に記憶されるデータ例を示す図である。
【図4】本発明の一実施形態による認証連携DB装置に記憶されるデータ例を示す図である。
【図5】本発明の一実施形態による通信システムの動作例を示すシーケンス図である。
【図6】本発明の一実施形態による通信システムの動作例を示すシーケンス図である。
【図7】本発明の一実施形態による認証情報変換装置の動作例を示すフローチャートである。
【図8】本発明の一実施形態による認証連携装置の動作例を示すフローチャートである。
【図9】本発明の一実施例を示す図である。
【図10】本発明の一実施例を示す図である。
【図11】従来技術によるシングルサインオンの概要を示す図である。
【図12】従来技術によるシングルサインオンの概要を示す図である。
【発明を実施するための形態】
【0014】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による通信システム1の構成を示すブロック図である。ここでは、企業内においてユーザAが利用する利用端末200がクラウド側のクラウドサービスを利用する際のシングルサインオンを、通信事業者に委託する場合の例を示している。通信システム1は、クラウド側においてクラウドサービスを提供する複数のクラウドサーバ100(クラウドサーバ100−1、クラウドサーバ100−2、クラウドサーバ100−3、・・・)と、それぞれのクラウドサービスにおける認証処理の際に参照されるクラウド認証DB装置110(クラウド認証DB装置110−1、クラウド認証DB装置110−2、クラウド認証DB装置110−3、・・・)とを備えている。ここで、それぞれのクラウドサービスは異なるサービスを提供するものであって良いが、同様の認証処理を行うものであるため、特に区別しない場合には「−1」、「−2」などの表記を省略してクラウドサーバ100、クラウド認証DB装置110として説明する。ここでは、3台のクラウドサーバ100、3台のクラウド認証DB装置110による3つのクラウドサービスを図示して説明するが、それぞれのクラウドサービスは2台以上のクラウドサーバ100によって構成されて良いし、4つ以上のクラウドサービスを利用するものであっても良い。通信システム1は、企業内において利用端末200と、回線接続装置210と、認証DB装置220と、認証サーバ230と、認証情報変換装置300とを備えている。また、通信事業者側において通信機器装置400と、認証連携DB装置500と、認証連携装置600とを備えている。
【0015】
クラウドサーバ100は、利用端末200からの認証要求に応じて、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供するコンピュータ装置である。認証処理は、送信される利用要求に含まれるユーザIDとパスワードとの組み合わせに一致するユーザIDとパスワードとの組み合わせがクラウド認証DB装置110に記憶されているか否かを判定することによって行う。一致するユーザIDとパスワードとの組み合わせがクラウド認証DB装置110に記憶されていれば認証成功と判定し、一致しないと判定すれば認証失敗と判定する。クラウドサーバ100は、認証が成功した場合に、例えばワープロソフト、表計算ソフトなどのアプリケーションをSaaS(Software as a Service)形式で提供するものであっても良いし、その他の情報を提供するものであっても良い。
クラウド認証DB装置110は、クラウドサーバ100によって提供するサービスの利用を許可するユーザのユーザIDとユーザパスワードとの組み合わせが予め記憶されているコンピュータ装置である。
【0016】
利用端末200は、企業内のネットワークにログインしてコンピュータリソースを利用するコンピュータ装置であり、認証連携装置600とネットワークとを介してクラウドサーバ100に接続される。ここでは、企業内のネットワークに接続された1台の利用端末200を示して説明するが、企業内のネットワークには複数の利用端末200を接続することができる。また、利用端末200は、ユーザから入力されるログインIDとログインパスワードを認証サーバ230に送信して認証処理を行う。また、ログイン中である場合、自身のログインIDを、予め定められた暗号鍵によって暗号化し、認証情報変換装置300に送信する。この際、利用端末200は、ログインIDとともに、認証DB装置220に記憶されている固有情報を認証連携装置600に送信することができる。
【0017】
回線接続装置210は、通信事業者側のネットワークと企業内のネットワークとを接続するコンピュータ装置である。回線接続装置210は、通信機器装置400から送信される通信機器装置400の固有情報を受信する。固有情報は、通信事業者のみが知り得る情報であり、例えば通信事業者の通信機器装置400と回線接続装置210とを接続する回線の契約を識別する契約識別子、その回線により接続された企業を識別する企業識別子、その回線を識別する回線情報などが適用できる。回線接続装置210は、受信した固有情報を認証DB装置220に記憶させる。
認証DB装置220は、回線接続装置210が通信機器装置400から受信した固有情報が記憶されるコンピュータ装置である。
【0018】
認証サーバ230は、企業内ネットワークに接続される利用端末200の認証を行うコンピュータ装置である。認証サーバ230は、企業内ネットワークへの接続を許可するユーザのログインIDとログインパスワードとの組み合わせを自身の記憶領域に予め記憶し、利用端末200に入力されるログインIDとログインパスワードとの組み合わせを受信して認証処理を行う。認証処理は、利用端末200から送信される認証要求に含まれるユーザIDとパスワードとの組み合わせに一致するユーザIDとパスワードとの組み合わせが予め記憶されているか否かを判定することによって行う。一致するユーザIDとパスワードとの組み合わせが予め記憶されていれば認証成功と判定し、一致しないと判定すれば認証失敗と判定する。また、認証サーバ230は、利用端末200からの認証要求に応じて認証成功と判定した場合、認証成功と判定すると、そのユーザのログインIDを、そのユーザがログイン中であることを示す情報として自身の記憶領域に記憶する。
【0019】
認証情報変換装置300は、利用端末200に接続され、利用端末200のログインIDに基づいて変換IDを生成するコンピュータ装置である。図2は、認証情報変換装置300と認証連携装置600のブロック構成を詳細に示す図である。認証情報変換装置300は、認証情報分析処理部310と、回線情報取得部320と、認証変換処理部330と、認証情報変換データ記憶部340と、通信部350とを備えている。
【0020】
認証情報分析処理部310は、ログインIDに基づいて認証サーバ230によって認証された利用端末200から、ログイン中のログインIDを受信するログインID受信部である。認証情報分析処理部310は、利用端末200から送信される暗号化されたログインIDを受信すると、認証情報変換データ記憶部340に記憶されている復号鍵を読み出して復号する。
【0021】
回線情報取得部320は、認証DB装置220に記憶された固有情報を読み出す。
認証変換処理部330は、認証情報分析処理部310が受信して復号したログインIDと、回線情報取得部320が読み出した固有情報とに基づいて、不可逆計算を行った計算結果である変換IDを生成する。不可逆計算とは、例えばログインIDと固有情報とに基づくハッシュ計算である。ここで、認証変換処理部330は、認証情報変換データ記憶部340に記憶されている不可逆演算鍵を読み出し、ログインIDと固有情報と不可逆演算鍵とに基づいてハッシュ計算を行うこともできる。このように、ログインIDだけでなく、ログインIDと固有情報とに基づいて負荷逆計算を行うことで、より確実に一意な変換IDを生成することができる。すなわち、例えば異なる企業に同一のログインIDを持つユーザが存在するような場合にも、このような固有情報に基づけば異なる変換IDが生成されることとなる。
【0022】
認証情報変換データ記憶部340には、ログインIDの変換のために用いる情報が記憶されている。図3は、認証情報変換データ記憶部340に記憶される情報のデータ例を示す図である。認証情報変換データ記憶部340には、企業に対応する複数の支店が存在する場合には、その支店を識別する支店等IDに対応付けて、復号鍵と不可逆演算鍵とが記憶される。
通信部350は、通信事業者の認証連携装置600に接続されたネットワークを介して通信を行う。例えば、通信部350は、認証変換処理部330によって生成された変換IDを認証連携装置600に送信する。
【0023】
図1に戻り、通信機器装置400は、通信事業者のネットワークと企業内のネットワークとを接続するコンピュータ装置である。
認証連携DB装置500は、変換IDに対応付けて、クラウドサービス毎に予め定められたユーザIDとユーザパスワードとの組み合わせが予め記憶されるコンピュータ装置である。さらに、ここでは、変換ID毎に、その変換IDを送信してくる認証情報変換装置300を識別する回線情報が対応付けられて予め記憶される。認証連携DB装置500に記憶されるデータ例を示す図である。ここでは、変換IDに対応付けて、回線IDと、クラウドIDと、クラウドURLと、ユーザIDと、ユーザパスワードとが記憶される。回線IDは、対応する変換IDを送信した利用端末200が、予め契約している回線を識別する情報である。クラウドIDは、対応する変換IDを送信した利用端末200が利用することが許可されたクラウドサービスを識別する情報である。クラウドURL(Uniform Resource Locator)は、クラウドIDが示すクラウドサービスを提供するクラウドサーバ100に接続するためのURLである。ユーザIDとユーザパスワードは、対応するクラウドサービスを利用するために予め定められた認証情報である。これらの情報は、予め入力されて記憶されているものとする。
【0024】
認証連携装置600は、認証情報変換装置300およびクラウドサーバ100に接続され、予め定められた利用端末200のログインIDに基づいて複数のクラウドサーバ100に対するシングルサインオンを代行する通信事業者のコンピュータ装置である。図2に示したように、認証連携装置600は、企業側通信部610と、利用回線情報取得部620と、認証情報分析部630と、クラウド認証情報取得部640と、通信事前処理部650と、クラウド側通信部660とを備えている。
【0025】
企業側通信部610は、企業内のネットワークと通信を行う。
利用回線情報取得部620は、通信機器装置400から、企業内の認証情報変換装置300と接続された回線を識別する回線情報を取得する。
認証情報分析部630は、認証連携DB装置500に記憶されている情報を読み出して、利用回線情報取得部620が取得した回線情報が、変換IDに対応する回線情報であるか否かを判定する。また、認証情報分析部630は、利用端末200が利用要求しているクラウドサービスが、変換IDに対応するクラウドサービスであるかを判定する。
【0026】
クラウド認証情報取得部640は、認証情報変換装置300から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出してクラウドサーバ100に送信し、クラウドサーバ100に認証処理を行わせる。この際、クラウド認証情報取得部640は、認証連携DB装置500に記憶された変換IDおよび回線情報と、認証情報変換装置300から送信された変換IDおよび、利用回線情報取得部620によって取得された、変換IDが送信された回線の回線情報とを比較し、変換IDと回線情報とが一致する場合、変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出してクラウドサーバ100に送信することができる。
【0027】
通信事前処理部650は、企業内ネットワークにおけるドメインとクラウドにおけるドメインとを経間する処理等を行う。例えば、企業内ネットワークからクラウドへのアクセスを、認証連携装置600を経由して行わせるために、企業内ネットワークにおいては通信事業者内の通信装置を示すURLを公開しておく場合、利用端末200から送信される利用要求に含まれるドメイン名を、対応するクラウド側のドメイン名に変換する。
クラウド側通信部660は、ネットワークを介してクラウドサーバ100との通信を行う。
【0028】
次に、本実施形態による通信システム1の動作例を説明する。図5、6は、通信システム1によるシングルサインオンの動作例を示すシーケンス図である。
まず、回線接続装置210が、通信機器装置400に対して回線接続要求を送信すると(ステップS1)、通信機器装置400は、固有情報を回線接続装置210に送信する(ステップS2)。回線接続装置210は、通信機器装置400から送信された固有情報を受信すると、受信した固有情報を認証DB装置220に記憶させる(ステップS3)。認証DB装置220は、回線接続装置210から送信された固有情報を記憶すると、記憶したことを示す情報を回線接続装置210に送信する(ステップS4)。回線接続装置210は、固有情報を受信したことを示す情報を通信機器装置400に送信する(ステップS5)。通信機器装置400は、回線接続完了を回線接続装置210に通知する(ステップS6)。
【0029】
利用端末200は、企業内ネットワークに接続すると、ユーザから入力されるログインIDとログインパスワードとを認証サーバ230に送信する(ステップS7)。認証サーバ230は、送信されたログインIDとログインパスワードとに基づいて認証処理を行い、認証成功であれば利用端末200の接続を許可し、接続完了を通知する(ステップS8)。利用端末200が、ユーザからの入力に応じてクラウドサーバ100に対する利用要求を送信すると(ステップS9)、認証連携装置600が、利用端末200から送信された利用要求を受信する。認証連携装置600は、認証連携DB装置500に記憶されたデータを参照して、利用端末200から送信された利用要求に応じてクラウドサーバ100へのアクセスが許可されているか否かを判定する処理を行い、対応するクラウドURLを読み出してドメイン変換を行う(ステップS10)。
【0030】
認証連携装置600が、クラウドサーバ100に対してクラウド利用要求を送信すると、クラウドサーバ100は、認証連携装置600に対して認証要求を送信する(ステップS12)。認証連携装置600は、認証連携装置600から送信された認証要求を受信すると、利用端末200に対して企業内ネットワークにおいて認証が行われているか否かを確認する要求を送信する(ステップS13)。利用端末200は、認証サーバ230に対して、ログインIDと認証結果の取得要求を送信する(ステップS14)。認証サーバ230は、ログインIDと認証結果とを利用端末200に送信する(ステップS15)。利用端末200は、ログインIDを暗号化して、暗号化されたログインIDと認証結果とを認証情報変換装置300に送信する(ステップS16)。認証情報変換装置300は、認証DB装置220に記憶された固有情報を読み出す(ステップS17、18)。認証情報変換装置300は、ログインIDを復号し、復号したログインIDと、固有情報とに基づいて、変換IDを生成する(ステップS19)。
【0031】
図6に進み、認証情報変換装置300は、生成した変換IDを利用端末200に送信する(ステップS20)。利用端末200は、認証情報変換装置300から送信された変換IDを受信すると、変換IDが含まれるクラウド認証要求を認証情報変換装置300に送信する(ステップS21)。認証情報変換装置300は、変換IDと、固有情報とを認証連携装置600に送信する(ステップS22)。認証連携装置600は、変換IDに対応する固有情報と、利用回線と、クラウドアクセスの可否との判定を行い(ステップS23)、認証連携DB装置500から変換IDに対応するユーザIDとユーザパスワードとを読み出す(ステップS24、25)。認証連携装置600は、認証要求のドメイン変換等の処理を行い(ステップS26)、ユーザIDとユーザパスワードとが含まれる認証要求をクラウドサーバ100に送信する(ステップS27)。クラウドサーバ100は、認証連携装置600から送信されたユーザIDとユーザパスワードとに基づいて認証処理を行い、認証成功と判定すれば認証OKの通知を認証連携装置600に送信する(ステップS28)。
【0032】
認証連携装置600は、クラウドサーバ100から送信された認証OKの通知を認証情報変換装置300に送信する(ステップS29)。認証情報変換装置300は、認証OKの通知を利用端末200に送信する(ステップS30)。利用端末200が、クラウド利用要求を認証連携装置600に送信すると(ステップS31)、認証連携装置600はドメイン変換等の処理を行って(ステップS32)クラウドサーバ100にクラウド利用要求を送信する(ステップS33)。クラウドサーバ100は、利用要求に応じた情報を認証連携装置600に送信する(ステップS34)。認証連携装置600は、ドメイン変換等の処理を行って(ステップS35)、クラウドサーバ100から送信された情報を利用端末200に送信する(ステップS36)。
【0033】
図7は、認証情報変換装置300の詳細な処理を示すフローチャートである。認証情報変換装置300は、HTTP(HyperText Transfer Protocol)(S)データが入力されると、そのデータが利用端末200からの入力であれば(ステップS40:Yes)、クラウド認証済みであるか否かを判定する(ステップS41)。クラウド認証済みでなければ(ステップS41:No)、企業内ネットワークの認証結果を読み出し(ステップS42)、認証結果が認証成功を示すものであれば(ステップS42:Yes)、認証DB装置220から固有情報を読み出す(ステップS43)。読み出しが成功すれば(ステップS44:Yes)、変換IDを生成する(ステップS45)。この演算においては、契約識別子、企業識別子、回線情報等の固有情報と、ログインIDとに基づいて、不可逆計算を行い、計算結果を変換IDとする。変換IDの生成処理が成功すれば(ステップS46:Yes)、生成した変換IDを認証連携装置600に送信する(ステップS47)。送信が成功すれば、Aに戻る。
【0034】
図8は、認証連携装置600の詳細な処理を示すフローチャートである。認証連携装置600は、HTTP(S)データが入力されると、そのデータが認証情報変換装置300からの入力であれば(ステップS60:Yes)、クラウド認証済みであるか否かを判定する(ステップS61)。クラウド認証済みであれば(ステップS61:Yes)、ドメイン変換等の処理後、認証連携装置600に転送する(ステップS62)。転送が成功すれば(ステップS63:Yes)、Aに戻り、転送が失敗すれば(ステップS63:No)、要求元へエラーを出力してAに戻る。クラウド認証済みでなく(ステップS61:No)、変換IDを受信した場合(ステップS65:Yes)、変換IDに対応する利用回線のチェックを行い(ステップS72)、チェック結果が妥当であれば(ステップS73:Yes)、クラウドアクセス可否チェックを行う(ステップS74)。チェック結果が妥当であれば(ステップS75:Yes)、変換IDに対応するユーザIDとユーザパスワードとを読み出す(ステップS76)。ユーザIDとユーザパスワードとを読み出すと(ステップS77:Yes)、クラウドサーバ100にユーザIDとユーザパスワードとを送信して認証処理を行い(ステップS78)、認証すればAに戻り、認証が失敗すれば要求元へエラーを出力して、Aに戻る。
【0035】
図9は、本実施形態の一実施例を示す図である。ユーザAは、回線1から業務系、勘定系クラウドの利用が許可されており、ユーザBは、回線1、回線2からのコミュにケーション系クラウドの利用が許可されるように設定されているものとする。この場合、T支店の利用端末200−3から、回線2を介してユーザAがクラウドに接続しようとしても、変換IDに対応するユーザIDとユーザパスワードとが対応付けられていないため、クラウドを利用することができない。
【0036】
図10は、本実施形態の一実施例を示す図である。ユーザAは回線1から業務系、勘定系クラウドの利用が許可されているものとする。このとき、悪意のある企業Bにおける利用端末200−2から、ユーザJが、ユーザAのログインIDを推測するために認証連携装置600に接続して認証を試みても、クラウドへの認証は行えないため、ログインIDを推測することはできない。一方、万が一、ユーザAのログインIDを知ったユーザKが、ユーザAのログインIDを用いてクラウドに接続しようとしても、回線2に基づいて生成された変換IDは、接続が許可されていないため、接続できない。また、万が一、ユーザAの変換IDがユーザLに盗まれたとしても、回線2からの接続は許可されていないため、接続できない。また、変換IDが盗まれたとしても、変換IDは、企業Aの企業内ネットワークにログイン可能なログインIDとは異なるため、リモート端末から接続しようとしても、変換IDによる認証は失敗するため、接続できない。
なお、本実施形態では、利用端末200からクラウドサービスを利用する際の認証処理をシングルサインオンにより行う例を示したが、企業がシングルサインオンの処理を第三者に委託するような様々な場面に本実施形態を適用することができる。
【0037】
なお、本実施形態では、クラウドサーバ100がForm認証、Basic認証を行う場合の例を示したが、SAML(Security Assertion Markup Language)やOpenID等の認証においても、本実施形態の構成を同様に適用できる。この場合、認証連携装置600が行ったSAMLやOpenID等の認証結果を、クラウドサーバ100に送信する。具体的には、図5のステップS11において認証連携装置600がクラウドサーバ100に接続した際に、利用端末200が認証されていなければ、クラウドサーバ100は、認証連携装置600に認証結果要求を送信する。そして、認証連携装置600が認証連携DB装置500からユーザの変換IDと回線IDとを読み出し、認証結果をクラウドサーバ100に送信する。クラウドサーバ100は、認証連携装置600から送信された認証結果が認証成功を示す場合、認証OKの通知を認証連携装置600に送信する。
【0038】
以上説明したように、本実施形態によれば、企業は、第三者にログインIDを知られることなく、第三者により提供されるシングルサインオンの機能を、安心、安全に利用することができる。また、万が一、変換IDが漏洩したとしても、ログインIDを知られることはない。このように、変換IDを活用したシングルサインオンを行うことで、様々なクラウドサービスを、効率良く利用することが可能になる。
【0039】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより認証を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0040】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0041】
1 通信システム
100 クラウドサーバ
110 クラウド認証DB装置
200 利用端末
210 回線接続装置
220 認証DB装置
230 認証サーバ
300 認証情報変換装置
310 認証情報分析処理部
320 回線情報取得部
330 認証変換処理部
340 認証情報変換データ記憶部
350 通信部
400 通信機器装置
500 認証連携DB装置
600 認証連携装置
610 企業側通信部
620 利用回線情報取得部
630 認証情報分析部
640 クラウド認証情報取得部
650 通信事前処理部
660 クラウド側通信部
【特許請求の範囲】
【請求項1】
予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムであって、
前記認証情報変換装置は、
前記ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するログインID受信部と、
前記ログインID受信部が受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、
前記変換ID生成部によって生成された前記変換IDを前記認証連携装置に送信する送信部と、を備え、
前記認証連携装置は、
前記変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせる認証代行部と、
を備えることを特徴とする認証システム。
【請求項2】
前記認証連携装置は、
前記認証情報変換装置と接続された回線を識別する回線情報を取得する回線情報取得部を備え、
前記変換ID記憶部には、前記変換ID毎に、当該変換IDを送信してくる前記認証情報変換装置を識別する回線情報が対応付けられて予め記憶され、
前記認証代行部は、前記変換ID記憶部に記憶された前記変換IDおよび前記回線情報と、前記認証情報変換装置から送信された前記変換IDおよび、前記回線情報取得部によって取得された、当該変換IDが送信された回線の回線情報とを比較し、当該変換IDと当該回線情報とが一致する場合、前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信する
ことを特徴とする請求項1に記載の認証システム。
【請求項3】
予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続され、ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するログインID受信部と、前記ログインID受信部が受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、前記変換ID生成部によって生成された前記変換IDを送信する送信部と、を備えた認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムにおける前記認証連携装置であって、
前記変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせる認証代行部と、
を備えることを特徴とする認証連携装置。
【請求項4】
予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部を備え、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムの認証方法であって、
前記認証情報変換装置が、
前記ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するステップと、
受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成するステップと、
生成した前記変換IDを前記認証連携装置に送信するステップと、
前記認証連携装置が、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせるステップと、
を備えることを特徴とする認証方法。
【請求項1】
予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムであって、
前記認証情報変換装置は、
前記ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するログインID受信部と、
前記ログインID受信部が受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、
前記変換ID生成部によって生成された前記変換IDを前記認証連携装置に送信する送信部と、を備え、
前記認証連携装置は、
前記変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせる認証代行部と、
を備えることを特徴とする認証システム。
【請求項2】
前記認証連携装置は、
前記認証情報変換装置と接続された回線を識別する回線情報を取得する回線情報取得部を備え、
前記変換ID記憶部には、前記変換ID毎に、当該変換IDを送信してくる前記認証情報変換装置を識別する回線情報が対応付けられて予め記憶され、
前記認証代行部は、前記変換ID記憶部に記憶された前記変換IDおよび前記回線情報と、前記認証情報変換装置から送信された前記変換IDおよび、前記回線情報取得部によって取得された、当該変換IDが送信された回線の回線情報とを比較し、当該変換IDと当該回線情報とが一致する場合、前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信する
ことを特徴とする請求項1に記載の認証システム。
【請求項3】
予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続され、ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するログインID受信部と、前記ログインID受信部が受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、前記変換ID生成部によって生成された前記変換IDを送信する送信部と、を備えた認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムにおける前記認証連携装置であって、
前記変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせる認証代行部と、
を備えることを特徴とする認証連携装置。
【請求項4】
予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部を備え、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムの認証方法であって、
前記認証情報変換装置が、
前記ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するステップと、
受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成するステップと、
生成した前記変換IDを前記認証連携装置に送信するステップと、
前記認証連携装置が、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせるステップと、
を備えることを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2012−203781(P2012−203781A)
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願番号】特願2011−69557(P2011−69557)
【出願日】平成23年3月28日(2011.3.28)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願日】平成23年3月28日(2011.3.28)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
[ Back to top ]