認証プログラムおよび認証サーバ
【課題】セキュリティ上の問題を発生させることなくログイン要求をユーザに通知し、また、正規ユーザが注意しなくてもよい数多くの通知を確認する必要がないようにする。
【解決手段】Webサーバ121は、ユーザ端末110からのログイン要求時に、Webブラウザ111を通じて、ログイン処理結果およびログインユーザIDを記録したクッキーを、ユーザ端末112の記憶部112に形成する。ログイン処理結果およびログインユーザIDは、暗号化処理部123で暗号化され、暗号化された状態でクッキーに記録される。通知処理部125は、ユーザ端末110からのログイン要求時に、ログイン処理結果と、ユーザ端末112の記憶部112から読み出されたクッキーの復号化出力に基づき、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、ログイン要求があったこと等を正規ユーザ131等の通知先に通知する。
【解決手段】Webサーバ121は、ユーザ端末110からのログイン要求時に、Webブラウザ111を通じて、ログイン処理結果およびログインユーザIDを記録したクッキーを、ユーザ端末112の記憶部112に形成する。ログイン処理結果およびログインユーザIDは、暗号化処理部123で暗号化され、暗号化された状態でクッキーに記録される。通知処理部125は、ユーザ端末110からのログイン要求時に、ログイン処理結果と、ユーザ端末112の記憶部112から読み出されたクッキーの復号化出力に基づき、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、ログイン要求があったこと等を正規ユーザ131等の通知先に通知する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、認証プログラムおよび認証サーバに関する。
【背景技術】
【0002】
インターネット等のネットワークを経由したシステムへの不正侵入に対する防御策として、ユーザ認証がある。基本的なユーザ認証としては、アクセスの際に、ユーザIDとパスワードの入力を要求する形式のものがある。すなわち、ユーザアクセス時に、ユーザにユーザIDとパスワードの入力を要求し、予め登録されたユーザに対してはアクセスを許可し、その他のユーザに対してはアクセスを拒絶する。
【0003】
他人が別のユーザになりすましてシステムにログインしようとしている場面を想定する。システムへのログイン要求は、例えば、ユーザIDとパスワードを入力した後、実行キーを押圧することで行われる。システムにログインする際に、ログインに成功したか失敗したかをログなどに記録する方法では、「なりすまし」であるか否かを判定するのはシステム管理者であり、ユーザIDを管理するユーザに確認するまで真相はわからない。
【0004】
例えば、特許文献1には、誰かがログインしたとき、ユーザに必ず通知する、という技術が記載されている。この場合、通知を基に正規ユーザ自身が判定するので、「なりすまし」であるか否かの判定精度は高くなるが、正規ユーザ自身のログインに対しても当該正規ユーザに通知がくるので、正規ユーザは注意しなくてもよい数多くの通知を確認する必要がある。
【0005】
また、例えば、特許文献2には、普段使用していない端末からアクセスがあるときは、普段使用している端末に通知する、という技術が記載されている。すなわち、普段使用している端末自体に、事前に専用のツールで固有のキーを設定しておくと、固有のキーが設定されていない端末からのログイン時には、当該固有のキーが作られている端末に通知がされる。
【0006】
この場合、予め使用する端末で専用のツールを使って端末固有のキーを作成する必要があるが、近年セキュリティ上の問題から、端末上における各種アプリケーション(ブラウザのプラグイン等も含む)の実行を制限することが多い。また、一度も認証していないアカウントの場合、最初の認証時には通知されない。そのため、アカウント作成直後の「なりすまし」には気付きにくい。また、固有のキーが設定されていない端末からのログイン時には、端末固有のキーが設定されている、当該正規ユーザが過去に使用した"端末"に通知されるため、当該正規ユーザが複数端末を利用した履歴がある場合、当該正規ユーザ以外にも通知されてしまう。
【特許文献1】特開2002−91917号公報
【特許文献2】特開2005−321928号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
セキュリティ上の問題を発生させることなくログイン要求をユーザに通知し、また、正規ユーザが注意しなくてもよい数多くの通知を確認する必要がないようにする、ことを目的とする。
【課題を解決するための手段】
【0008】
請求項1の発明に係る認証プログラムは、コンピュータを、外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理手段と、上記ログイン処理手段におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信手段と、上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求をしたときに送った上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求手段と、上記ログイン処理結果要求手段の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化手段と、上記外部装置からの上記ログイン要求時に、上記ログイン処理手段におけるログイン処理結果と、上記復号化手段における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知手段として機能させるためのものである。
【0009】
請求項2の発明に係る認証プログラムは、請求項1の発明において、上記ログイン要求通知手段は、上記通知先に、ログイン要求があったことの他に、ログインユーザIDをさらに通知するものである。
【0010】
請求項3の発明に係る認証プログラムは、請求項1の発明において、上記ログイン要求通知手段は、登録したユーザIDの中にログインユーザIDが存在するときは、該ログインユーザIDを持つユーザおよびシステム管理者に上記ログイン要求があったことを通知し、上記登録したユーザIDの中にログインユーザIDが存在しないときは、上記システム管理者に上記ログイン要求があったことを通知するものである。
【0011】
請求項4の発明に係る認証サーバは、外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理部と、上記ログイン処理部におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信部と、上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求時に記録された上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求部と、上記ログイン処理結果要求部の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化部と、上記外部装置からの上記ログイン要求時に、上記ログイン処理部におけるログイン処理結果と、上記復号化部における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知部とを備えるものである。
【発明の効果】
【0012】
請求項1の発明によれば、ログイン要求があったことを通知するかどうかを判断するための情報を外部装置に送っておき、ログイン要求があったときに当該情報を要求してログインの通知判断に用いるので、外部装置に実行ファイル等をダウンロードする必要がなく、セキュリティ上の問題を発生させることなくログイン要求があったことを通知でき、また、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合には、ログイン要求があったことを通知しないので、通知先の正規ユーザ等は注意しなくてもよい数多くの通知を確認する必要がなくなる。
【0013】
請求項2の発明によれば、通知先に、ログイン要求があったことの他に、ログインユーザIDをさらに通知するので、通知先の正規ユーザ、システム管理者などは、ログイン要求に係るログインユーザIDを確認でき、正規ユーザのユーザIDを使用した「なりすまし」が行われていること等を判別できる。
【0014】
請求項3の発明によれば、登録したユーザIDの中にログインユーザIDが存在するときは、このログインユーザIDを持つ正規ユーザの他に、システム管理者にもログイン要求があったことが通知されるので、正規ユーザがしばらく休職している場合等には、システム管理者が「なりすまし」によるログインに気づくことが可能となる。
【0015】
請求項4の発明によれば、ログイン要求があったことを通知するかどうかを判断するための情報を外部装置に送っておき、ログイン要求があったときに当該情報を要求してログインの通知判断に用いるので、外部装置に実行ファイル等をダウンロードする必要がなく、セキュリティ上の問題を発生させることなくログイン要求があったことを通知でき、また、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合には、ログイン要求があったことを通知しないので、通知先の正規ユーザ等は注意しなくてもよい数多くの通知を確認する必要がなくなる。
【発明を実施するための最良の形態】
【0016】
以下、図面を参照しながら、この発明の実施の形態について説明する。
【0017】
図1は、実施の形態としての、認証システム100の構成の一例を示している。この認証システム100は、Webアプリケーションを想定したものである。この認証システム100は、ユーザ端末110と、認証サーバ120と、ログイン要求の通知先としての正規ユーザ131およびシステム管理者132とで構成されている。ユーザ端末110は、外部装置を構成する。
【0018】
ユーザ端末110は、Webブラウザ111と、記憶部112とを有している。この実施の形態においては、記憶部112には、後述するように、認証サーバ120を構成するWebサーバ121により、Webブラウザ111を通じて、ログイン結果およびログインユーザIDを記録したクッキー(cookie)が形成される。
【0019】
認証サーバ120は、Webサーバ121と、ログイン処理部122と、暗号化処理部123と、復号化処理部124と、通知処理部125とを備えている。認証サーバ120は、周知のように、コンピュータで構成されている。この認証サーバ120には、当該認証サーバ120を、上述した各機能部として機能させるための認証プログラムが備えられている。
【0020】
Webサーバ121は、ユーザ端末110からのユーザのリクエストを受け付け、当該リクエストに対応した情報をユーザ端末110に送信する。WebアプリケーションはWebサーバ121上に配置されており、基本的にユーザのリクエストによりWebサーバ121上で動作することから、ユーザはオンラインでそのアプリケーションの提供する機能を利用できる。
【0021】
また、Webサーバ121は、ユーザ端末110からのログイン要求時に、ユーザ端末110のWebブラウザ111に、ホスト名およびドメイン名をキーにして、自分が形成した、ログイン処理結果およびユーザIDが記録されているクッキーを要求する。Webサーバ121は、ログイン処理結果要求部を構成している。ユーザ端末110のWebブラウザ111は、Webサーバ121からのクッキーの要求に対応して、記憶部112にクッキーが有るときは、当該クッキーを取り出して、Webサーバ121に送る。
【0022】
後述するように、ユーザ端末110の記憶部112へのクッキーの形成は、ユーザ端末110からのログイン要求時に、Webサーバ121により、Webブラウザ111を通じて行われる。そのため、ユーザ端末110からの初めてのログイン要求時には、ユーザ端末110の記憶部112にクッキーは無く、Webサーバ121からのクッキーの要求に対して、Webブラウザ111はWebサーバ121に当該クッキーを送ることはできない。
【0023】
また、Webサーバ121は、ユーザ端末110からのログイン要求時に、Webブラウザ111を通じて、ログイン処理部122におけるログイン処理結果と、認証情報としてユーザ端末110から送られてくるユーザID(ログインユーザID)とを記録したクッキーを、ユーザ端末112の記憶部112に形成する。この場合、ログイン処理結果およびログインユーザIDは、暗号化処理部123で暗号化され、暗号化された状態でクッキーに記録される。Webサーバ121および暗号化処理部123は、ログイン処理結果送信部を構成している。
【0024】
ログイン処理部122は、ユーザ端末110からのログイン要求に基づいて、ログイン処理(認証処理)を行う。ユーザ端末110からのログイン要求は、認証情報としてのユーザIDおよびパスワードを入力して実行キーを押すことで行われる、ログイン処理部122は、ユーザ端末110からWebサーバ121を介して受信された認証情報と、認証サーバ120に存在するアカウント情報データベース(図示せず)に格納されている登録情報に基づいて、ユーザの認証を行う。
【0025】
復号化処理部124は、上述したユーザ端末110からのログイン要求時に、Webサーバ121からの要求に応じて、ユーザ端末110から送られてくるクッキーに暗号化された状態で記録されているログイン処理結果およびログインユーザIDを復号化して、前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する。この復号化処理部124は、復号化部を構成している。
【0026】
通知処理部125は、ユーザ端末110からのログイン要求時に、ログイン処理部122におけるログイン処理結果と、復号化処理部124における復号化出力に基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先、この実施の形態においては、正規ユーザ131およびシステム管理者132に対して、ログイン要求があったこと、およびログインユーザIDを通知する。通知処理部125は、ログイン要求通知部を構成している。
【0027】
図2は、通知処理部125が、通知する条件の一例を具体的に示している。通知処理部125は、ログイン処理結果がエラーである場合には、通知を行う。また、通知処理部125は、ログイン結果が成功で、かつユーザ端末110の記憶部112に、クッキーが無かった場合には、通知を行う。初めてのログイン要求の場合には、ユーザ端末110の記憶部112に未だクッキーが形成されていないので、当該条件に当てはまり、通知処理部125は必ず通知を行う。また、通知処理部125は、ログイン処理結果が成功で、復号化エラーが発生した場合には、通知を行う。復号化エラーが発生する場合としては、ログイン処理結果およびログインユーザIDの暗号化情報が偽造されたものである場合、あるいは、当該暗号化情報が何らかの原因で破損している場合等が考えられる。
【0028】
また、通知処理部125は、ログイン処理結果が成功で、復号化も成功したが、復号化で取得されたユーザID(クッキーに記録されていた前回のログイン要求時におけるログインユーザID)とログインユーザIDとが違う場合には、通知を行う。また、通知処理部125は、ログイン処理結果が成功で、復号化も成功し、さらに、復号化で取得されたユーザIDとログインユーザIDとは同じであるが、復号化で取得された前回のログイン処理結果がエラーである場合には、通知を行う。
【0029】
なお、通知処理部125は、通知先に、上述したように、ログイン要求があったこと、およびログインユーザIDを通知する旨説明したが、ログイン要求があったことのみを通知するようにしてもよい。ログイン要求があったことの他に、ログインユーザIDをさらに通知することで、通知先の正規ユーザ131、システム管理者132などは、ログイン要求に係るログインユーザIDを確認でき、正規ユーザ131のユーザIDを使用した「なりすまし」による攻撃が行われていること等を知ることができる。
【0030】
また、通知内容としては、上述したログイン要求があったこと、およびログインユーザIDの他に、クッキー(cookie)の状態(図2参照)、クッキーに記録されていたユーザID(前回のログインユーザID)、およびクッキーに記録されていたログイン処理結果(前回のログイン処理結果)等も考えられる。また、クッキーに、上述したログイン処理結果およびログインユーザIDの他に、さらにログイン処理時刻を記録しておき、当該クッキーに記録されていたログイン処理時刻(前回のログイン処理時刻)を、通知内容とすることも考えられる。
【0031】
また、通知処理部125から正規ユーザ131、システム管理者132への通知は、例えば、予め登録されたメールアドレスによる電子メールにより行われる。この場合、オンラインでメールアドレスを登録するようにすると、「なりすまし」で通知先のメールアドレスが登録されるおそれがある。そのため、例えば、事前に郵送等の手段でメールアドレスが認証サーバ120側に送られ、当該メールアドレスが認証サーバ120に人間系で設定されるようにする。また、通知手段としては、電話、インスタントメッセージ等も考えられる。
【0032】
図3および図4のフローチャートを参照して、ユーザ端末110から認証サーバ120にログイン要求があった場合における、当該認証サーバ120の動作の一例を説明する。
【0033】
まず、認証サーバ120は、ユーザ端末110からログイン要求があるとき、ステップST1で処理を開始し、その後に、ステップST2に進む。このステップST2において、認証サーバ120は、Webサーバ121により、ユーザ端末110のWebブラウザ111に、ホスト名およびドメイン名をキーにして、自分が形成した、ログイン処理結果およびユーザIDが記録されているクッキーを要求する。この場合、ユーザ端末110のWebブラウザ111は、Webサーバ121からのクッキーの要求に対応して、記憶部112に該当するクッキーが有るときは、当該クッキーを取り出して、Webサーバ121に送る。
【0034】
次に、認証サーバ120は、ステップST3において、クッキーが有るか否かを判定する。この場合、ユーザ端末110のWebブラウザ111からWebサーバ121に、クッキーが送られてくるときはクッキーが有ると判定し、クッキーが送られてこないときはクッキーが無いと判定する。
【0035】
クッキーが有るとき、認証サーバ120は、ステップST4において、復号化処理部124により、クッキーの復号化を行う。つまり、認証サーバ120は、ユーザ端末110のWebブラウザ111からWebサーバ121に送られてきたクッキーに暗号化された状態で記録されているログイン処理結果およびログインユーザIDに対して、復号化の処理を行う。そして、認証サーバ120は、ステップST5において、復号化が成功したか否かを判定する。
【0036】
復号化が成功したとき、認証サーバ120は、ステップST6において、クッキーに記録されていたユーザID(前回のログイン要求時におけるログインユーザID)と、今回のログインユーザIDとを比較する。そして、認証サーバ120は、ステップST7において、2つのユーザIDが同じであるか否かを判定する。2つのユーザIDが同じであるとき、認証サーバ120は、ステップST8において、クッキーに記録されていた前回のログイン処理結果を評価する。そして、認証サーバ120は、ステップST9において、前回のログイン処理結果が成功であるか否かを判定する。成功であるときは、ステップST13(図4)に進む。
【0037】
認証サーバ120は、ステップST3でクッキーが無いとき、ステップST5で復号化エラーのとき、ステップST7でユーザIDが違うとき、およびステップST9で前回のログイン処理結果がエラーであるとき、ステップST10(図4)に進む。このステップST10において、認証サーバ120は、ログインユーザID(ログイン要求に係るユーザID)が、アカウント情報データベースの登録情報に存在するか否かを判定する。
【0038】
そして、認証サーバ120は、アカウント情報データベースの登録情報にログインユーザIDが存在するときは、ステップST11において、通知処理部125により、正規ユーザ131およびシステム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST13に進む。ログインユーザIDを持つ正規ユーザ131の他に、システム管理者132にもログイン要求があったこと等が通知されるので、正規ユーザ131がしばらく休職している場合等には、システム管理者132が「なりすまし」によるログインに気づくことが可能となる。
【0039】
また、ステップST10でアカウント情報データベースの登録情報にログインユーザIDが存在しないときは、認証サーバ120は、ステップST12において、通知処理部125により、システム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST13に進む。
【0040】
認証サーバ120は、ステップST13において、ログイン処理部122により、ユーザ端末110から送られてくる認証情報(パスワードおよびユーザID)に基づき、アカウント情報データベースの登録情報を参照して、ログイン処理を行う。
【0041】
なお、ステップST3でクッキーが無いとき、上述したように正規ユーザ131等にログイン要求があったこと等が通知されるものの、ログイン処理が行われるので、初めてのログインも何ら支障なく行われる。
【0042】
また、復号化エラーのとき、ログインユーザIDが前回のものと異なるとき、および前回のログイン処理結果がエラーであるとき、上述したように正規ユーザ131等にログイン要求があったこと等が通知されるものの、ログイン処理が行われる。これは、以下の各場合を考慮し、正規ユーザのログイン要求を無駄にしないためである。
【0043】
例えば、復号化エラーは、情報の偽造の他に、何らかの原因で情報が破壊された場合にも起こり得る。ログインユーザIDが前回のものと異なることは、「なりすまし」を意図するものが誤ったユーザIDを入力したことによる他に、正規ユーザが前回のログインユーザIDの入力を間違ったことでも起こり得る。前回のログイン処理結果がエラーであることは、「なりすまし」を意図するものが誤ったパスワードを入力したことによる他に、正規ユーザが前回のパスワードの入力を間違ったことでも起こり得る。
【0044】
次に、認証サーバ120は、ステップST14において、暗号化処理部123により、ログインユーザIDおよびログイン処理結果を暗号化し、Webサーバ121により、ユーザ端末110のWebブラウザ111を通じて、ユーザ端末110の記憶部112のクッキーに記録する。そして、認証サーバ120は、ステップST15において、ログイン処理部122におけるログイン処理が成功したか否かを判定する。ログイン処理が成功したとき、認証サーバ120は、ステップST16で、ユーザ端末110からのログイン要求に対する一連の処理を終了する。一方、ログイン処理がエラーであるときは、認証サーバ120は、ステップST17に進む。
【0045】
認証サーバ120は、ステップST17において、通知先に、既に、ログイン要求があったこと等を通知したか否かを判定する。上述のステップST11あるいはステップST12で通知したときは、直ちにステップST16に進み、ユーザ端末110からのログイン要求に対する一連の処理を終了する。
【0046】
未だ通知していないとき、認証サーバ20は、ステップST18において、ログインユーザID(ログイン要求のユーザID)が、アカウント情報データベースの登録情報に存在するか否かを判定する。
【0047】
そして、認証サーバ120は、アカウント情報データベースの登録情報にログインユーザIDが存在するときは、ステップST19において、通知処理部125により、正規ユーザ131およびシステム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST16に進み、ユーザ端末110からのログイン要求に対する一連の処理を終了する。
【0048】
また、ステップST18でアカウント情報データベースの登録情報にログインユーザIDが存在しないときは、認証サーバ120は、ステップST20において、通知処理部125により、システム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST16に進み、ユーザ端末110からのログイン要求に対する一連の処理を終了する。
【0049】
図1に示す認証システム100においては、認証サーバ120は、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合には、通知先である正規ユーザ131、システム管理者132等に、ログイン要求があったこと等の通知をしないので、通知先の正規ユーザ131等は注意しなくてもよい数多くの通知を確認する必要がなくなる。
【0050】
また、図1に示す認証システム100においては、認証サーバ120は、ログイン要求があったこと等の通知をするかどうかを判断するための情報をユーザ端末110に送ってクッキーとして作成するので、ユーザ端末110に実行ファイル等をダウンロードする必要がなく、セキュリティ上の問題を発生させることなくログイン要求があったこと等を正規ユーザ131等の通知先に通知できる。
【0051】
また、図1に示す認証システム100においては、認証サーバ120は、ユーザ端末110の記憶部112にクッキーが形成されていない場合にも、正規ユーザ131等の通知先にログイン要求があったこと等の通知を行うものであり、初めてのログイン要求に対して必ず通知が行われるため、正規ユーザ131等はアカウント作成直後の「なりすまし」にも気付くことができる。
【0052】
また、図1に示す認証システム100においては、認証サーバ120は、正規ユーザ131等の通知先に、例えば電子メールで通知を行うものであり、正規ユーザ131がユーザ端末110から離れていても、通知を受けやすく、また、他のユーザ(当該正規ユーザが過去に利用したユーザ端末を使っているユーザ)には通知されない。正規ユーザ131に通知するので、「自身によるログイン」か「なりすまし」であるかを高い精度で即時に判定でき、即時にパスワードを変更するなどの対策をとることができ、「なりすまし」を防ぐことができる。
【0053】
なお、上述実施の形態においては、Webアプリケーションを想定した認証システム100にこの発明を適用したものであるが、この発明は同様のログイン処理を行うその他の認証システムに適用できることは勿論である。
【産業上の利用可能性】
【0054】
この発明は、セキュリティ上の問題を発生させることなくログイン要求をユーザに通知し、また、正規ユーザが注意しなくてもよい数多くの通知を確認する必要がないようにしたものであり、例えばWebアプリケーションを想定した認証システム等に適用できる。
【図面の簡単な説明】
【0055】
【図1】実施の形態としての認証システムの構成の一例を示すブロック図である。
【図2】認証サーバが通知先にログイン要求があったこと等を通知する条件の一例を説明するための図である。
【図3】ユーザ端末から認証サーバにログイン要求があった場合における、認証サーバの動作の一例を説明するためのフローチャート(1/2)である。
【図4】ユーザ端末から認証サーバにログイン要求があった場合における、認証サーバの動作の一例を説明するためのフローチャート(2/2)である。
【符号の説明】
【0056】
100・・・認証システム、110・・・ユーザ端末、111・・・Webブラウザ、112・・・記憶部、120・・・認証サーバ、121・・・Webサーバ、122・・・ログイン処理部、123・・・暗号化処理部、124・・・復号化処理部、125・・・通知処理部、131・・・正規ユーザ、132・・・システム管理者
【技術分野】
【0001】
この発明は、認証プログラムおよび認証サーバに関する。
【背景技術】
【0002】
インターネット等のネットワークを経由したシステムへの不正侵入に対する防御策として、ユーザ認証がある。基本的なユーザ認証としては、アクセスの際に、ユーザIDとパスワードの入力を要求する形式のものがある。すなわち、ユーザアクセス時に、ユーザにユーザIDとパスワードの入力を要求し、予め登録されたユーザに対してはアクセスを許可し、その他のユーザに対してはアクセスを拒絶する。
【0003】
他人が別のユーザになりすましてシステムにログインしようとしている場面を想定する。システムへのログイン要求は、例えば、ユーザIDとパスワードを入力した後、実行キーを押圧することで行われる。システムにログインする際に、ログインに成功したか失敗したかをログなどに記録する方法では、「なりすまし」であるか否かを判定するのはシステム管理者であり、ユーザIDを管理するユーザに確認するまで真相はわからない。
【0004】
例えば、特許文献1には、誰かがログインしたとき、ユーザに必ず通知する、という技術が記載されている。この場合、通知を基に正規ユーザ自身が判定するので、「なりすまし」であるか否かの判定精度は高くなるが、正規ユーザ自身のログインに対しても当該正規ユーザに通知がくるので、正規ユーザは注意しなくてもよい数多くの通知を確認する必要がある。
【0005】
また、例えば、特許文献2には、普段使用していない端末からアクセスがあるときは、普段使用している端末に通知する、という技術が記載されている。すなわち、普段使用している端末自体に、事前に専用のツールで固有のキーを設定しておくと、固有のキーが設定されていない端末からのログイン時には、当該固有のキーが作られている端末に通知がされる。
【0006】
この場合、予め使用する端末で専用のツールを使って端末固有のキーを作成する必要があるが、近年セキュリティ上の問題から、端末上における各種アプリケーション(ブラウザのプラグイン等も含む)の実行を制限することが多い。また、一度も認証していないアカウントの場合、最初の認証時には通知されない。そのため、アカウント作成直後の「なりすまし」には気付きにくい。また、固有のキーが設定されていない端末からのログイン時には、端末固有のキーが設定されている、当該正規ユーザが過去に使用した"端末"に通知されるため、当該正規ユーザが複数端末を利用した履歴がある場合、当該正規ユーザ以外にも通知されてしまう。
【特許文献1】特開2002−91917号公報
【特許文献2】特開2005−321928号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
セキュリティ上の問題を発生させることなくログイン要求をユーザに通知し、また、正規ユーザが注意しなくてもよい数多くの通知を確認する必要がないようにする、ことを目的とする。
【課題を解決するための手段】
【0008】
請求項1の発明に係る認証プログラムは、コンピュータを、外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理手段と、上記ログイン処理手段におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信手段と、上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求をしたときに送った上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求手段と、上記ログイン処理結果要求手段の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化手段と、上記外部装置からの上記ログイン要求時に、上記ログイン処理手段におけるログイン処理結果と、上記復号化手段における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知手段として機能させるためのものである。
【0009】
請求項2の発明に係る認証プログラムは、請求項1の発明において、上記ログイン要求通知手段は、上記通知先に、ログイン要求があったことの他に、ログインユーザIDをさらに通知するものである。
【0010】
請求項3の発明に係る認証プログラムは、請求項1の発明において、上記ログイン要求通知手段は、登録したユーザIDの中にログインユーザIDが存在するときは、該ログインユーザIDを持つユーザおよびシステム管理者に上記ログイン要求があったことを通知し、上記登録したユーザIDの中にログインユーザIDが存在しないときは、上記システム管理者に上記ログイン要求があったことを通知するものである。
【0011】
請求項4の発明に係る認証サーバは、外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理部と、上記ログイン処理部におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信部と、上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求時に記録された上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求部と、上記ログイン処理結果要求部の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化部と、上記外部装置からの上記ログイン要求時に、上記ログイン処理部におけるログイン処理結果と、上記復号化部における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知部とを備えるものである。
【発明の効果】
【0012】
請求項1の発明によれば、ログイン要求があったことを通知するかどうかを判断するための情報を外部装置に送っておき、ログイン要求があったときに当該情報を要求してログインの通知判断に用いるので、外部装置に実行ファイル等をダウンロードする必要がなく、セキュリティ上の問題を発生させることなくログイン要求があったことを通知でき、また、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合には、ログイン要求があったことを通知しないので、通知先の正規ユーザ等は注意しなくてもよい数多くの通知を確認する必要がなくなる。
【0013】
請求項2の発明によれば、通知先に、ログイン要求があったことの他に、ログインユーザIDをさらに通知するので、通知先の正規ユーザ、システム管理者などは、ログイン要求に係るログインユーザIDを確認でき、正規ユーザのユーザIDを使用した「なりすまし」が行われていること等を判別できる。
【0014】
請求項3の発明によれば、登録したユーザIDの中にログインユーザIDが存在するときは、このログインユーザIDを持つ正規ユーザの他に、システム管理者にもログイン要求があったことが通知されるので、正規ユーザがしばらく休職している場合等には、システム管理者が「なりすまし」によるログインに気づくことが可能となる。
【0015】
請求項4の発明によれば、ログイン要求があったことを通知するかどうかを判断するための情報を外部装置に送っておき、ログイン要求があったときに当該情報を要求してログインの通知判断に用いるので、外部装置に実行ファイル等をダウンロードする必要がなく、セキュリティ上の問題を発生させることなくログイン要求があったことを通知でき、また、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合には、ログイン要求があったことを通知しないので、通知先の正規ユーザ等は注意しなくてもよい数多くの通知を確認する必要がなくなる。
【発明を実施するための最良の形態】
【0016】
以下、図面を参照しながら、この発明の実施の形態について説明する。
【0017】
図1は、実施の形態としての、認証システム100の構成の一例を示している。この認証システム100は、Webアプリケーションを想定したものである。この認証システム100は、ユーザ端末110と、認証サーバ120と、ログイン要求の通知先としての正規ユーザ131およびシステム管理者132とで構成されている。ユーザ端末110は、外部装置を構成する。
【0018】
ユーザ端末110は、Webブラウザ111と、記憶部112とを有している。この実施の形態においては、記憶部112には、後述するように、認証サーバ120を構成するWebサーバ121により、Webブラウザ111を通じて、ログイン結果およびログインユーザIDを記録したクッキー(cookie)が形成される。
【0019】
認証サーバ120は、Webサーバ121と、ログイン処理部122と、暗号化処理部123と、復号化処理部124と、通知処理部125とを備えている。認証サーバ120は、周知のように、コンピュータで構成されている。この認証サーバ120には、当該認証サーバ120を、上述した各機能部として機能させるための認証プログラムが備えられている。
【0020】
Webサーバ121は、ユーザ端末110からのユーザのリクエストを受け付け、当該リクエストに対応した情報をユーザ端末110に送信する。WebアプリケーションはWebサーバ121上に配置されており、基本的にユーザのリクエストによりWebサーバ121上で動作することから、ユーザはオンラインでそのアプリケーションの提供する機能を利用できる。
【0021】
また、Webサーバ121は、ユーザ端末110からのログイン要求時に、ユーザ端末110のWebブラウザ111に、ホスト名およびドメイン名をキーにして、自分が形成した、ログイン処理結果およびユーザIDが記録されているクッキーを要求する。Webサーバ121は、ログイン処理結果要求部を構成している。ユーザ端末110のWebブラウザ111は、Webサーバ121からのクッキーの要求に対応して、記憶部112にクッキーが有るときは、当該クッキーを取り出して、Webサーバ121に送る。
【0022】
後述するように、ユーザ端末110の記憶部112へのクッキーの形成は、ユーザ端末110からのログイン要求時に、Webサーバ121により、Webブラウザ111を通じて行われる。そのため、ユーザ端末110からの初めてのログイン要求時には、ユーザ端末110の記憶部112にクッキーは無く、Webサーバ121からのクッキーの要求に対して、Webブラウザ111はWebサーバ121に当該クッキーを送ることはできない。
【0023】
また、Webサーバ121は、ユーザ端末110からのログイン要求時に、Webブラウザ111を通じて、ログイン処理部122におけるログイン処理結果と、認証情報としてユーザ端末110から送られてくるユーザID(ログインユーザID)とを記録したクッキーを、ユーザ端末112の記憶部112に形成する。この場合、ログイン処理結果およびログインユーザIDは、暗号化処理部123で暗号化され、暗号化された状態でクッキーに記録される。Webサーバ121および暗号化処理部123は、ログイン処理結果送信部を構成している。
【0024】
ログイン処理部122は、ユーザ端末110からのログイン要求に基づいて、ログイン処理(認証処理)を行う。ユーザ端末110からのログイン要求は、認証情報としてのユーザIDおよびパスワードを入力して実行キーを押すことで行われる、ログイン処理部122は、ユーザ端末110からWebサーバ121を介して受信された認証情報と、認証サーバ120に存在するアカウント情報データベース(図示せず)に格納されている登録情報に基づいて、ユーザの認証を行う。
【0025】
復号化処理部124は、上述したユーザ端末110からのログイン要求時に、Webサーバ121からの要求に応じて、ユーザ端末110から送られてくるクッキーに暗号化された状態で記録されているログイン処理結果およびログインユーザIDを復号化して、前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する。この復号化処理部124は、復号化部を構成している。
【0026】
通知処理部125は、ユーザ端末110からのログイン要求時に、ログイン処理部122におけるログイン処理結果と、復号化処理部124における復号化出力に基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先、この実施の形態においては、正規ユーザ131およびシステム管理者132に対して、ログイン要求があったこと、およびログインユーザIDを通知する。通知処理部125は、ログイン要求通知部を構成している。
【0027】
図2は、通知処理部125が、通知する条件の一例を具体的に示している。通知処理部125は、ログイン処理結果がエラーである場合には、通知を行う。また、通知処理部125は、ログイン結果が成功で、かつユーザ端末110の記憶部112に、クッキーが無かった場合には、通知を行う。初めてのログイン要求の場合には、ユーザ端末110の記憶部112に未だクッキーが形成されていないので、当該条件に当てはまり、通知処理部125は必ず通知を行う。また、通知処理部125は、ログイン処理結果が成功で、復号化エラーが発生した場合には、通知を行う。復号化エラーが発生する場合としては、ログイン処理結果およびログインユーザIDの暗号化情報が偽造されたものである場合、あるいは、当該暗号化情報が何らかの原因で破損している場合等が考えられる。
【0028】
また、通知処理部125は、ログイン処理結果が成功で、復号化も成功したが、復号化で取得されたユーザID(クッキーに記録されていた前回のログイン要求時におけるログインユーザID)とログインユーザIDとが違う場合には、通知を行う。また、通知処理部125は、ログイン処理結果が成功で、復号化も成功し、さらに、復号化で取得されたユーザIDとログインユーザIDとは同じであるが、復号化で取得された前回のログイン処理結果がエラーである場合には、通知を行う。
【0029】
なお、通知処理部125は、通知先に、上述したように、ログイン要求があったこと、およびログインユーザIDを通知する旨説明したが、ログイン要求があったことのみを通知するようにしてもよい。ログイン要求があったことの他に、ログインユーザIDをさらに通知することで、通知先の正規ユーザ131、システム管理者132などは、ログイン要求に係るログインユーザIDを確認でき、正規ユーザ131のユーザIDを使用した「なりすまし」による攻撃が行われていること等を知ることができる。
【0030】
また、通知内容としては、上述したログイン要求があったこと、およびログインユーザIDの他に、クッキー(cookie)の状態(図2参照)、クッキーに記録されていたユーザID(前回のログインユーザID)、およびクッキーに記録されていたログイン処理結果(前回のログイン処理結果)等も考えられる。また、クッキーに、上述したログイン処理結果およびログインユーザIDの他に、さらにログイン処理時刻を記録しておき、当該クッキーに記録されていたログイン処理時刻(前回のログイン処理時刻)を、通知内容とすることも考えられる。
【0031】
また、通知処理部125から正規ユーザ131、システム管理者132への通知は、例えば、予め登録されたメールアドレスによる電子メールにより行われる。この場合、オンラインでメールアドレスを登録するようにすると、「なりすまし」で通知先のメールアドレスが登録されるおそれがある。そのため、例えば、事前に郵送等の手段でメールアドレスが認証サーバ120側に送られ、当該メールアドレスが認証サーバ120に人間系で設定されるようにする。また、通知手段としては、電話、インスタントメッセージ等も考えられる。
【0032】
図3および図4のフローチャートを参照して、ユーザ端末110から認証サーバ120にログイン要求があった場合における、当該認証サーバ120の動作の一例を説明する。
【0033】
まず、認証サーバ120は、ユーザ端末110からログイン要求があるとき、ステップST1で処理を開始し、その後に、ステップST2に進む。このステップST2において、認証サーバ120は、Webサーバ121により、ユーザ端末110のWebブラウザ111に、ホスト名およびドメイン名をキーにして、自分が形成した、ログイン処理結果およびユーザIDが記録されているクッキーを要求する。この場合、ユーザ端末110のWebブラウザ111は、Webサーバ121からのクッキーの要求に対応して、記憶部112に該当するクッキーが有るときは、当該クッキーを取り出して、Webサーバ121に送る。
【0034】
次に、認証サーバ120は、ステップST3において、クッキーが有るか否かを判定する。この場合、ユーザ端末110のWebブラウザ111からWebサーバ121に、クッキーが送られてくるときはクッキーが有ると判定し、クッキーが送られてこないときはクッキーが無いと判定する。
【0035】
クッキーが有るとき、認証サーバ120は、ステップST4において、復号化処理部124により、クッキーの復号化を行う。つまり、認証サーバ120は、ユーザ端末110のWebブラウザ111からWebサーバ121に送られてきたクッキーに暗号化された状態で記録されているログイン処理結果およびログインユーザIDに対して、復号化の処理を行う。そして、認証サーバ120は、ステップST5において、復号化が成功したか否かを判定する。
【0036】
復号化が成功したとき、認証サーバ120は、ステップST6において、クッキーに記録されていたユーザID(前回のログイン要求時におけるログインユーザID)と、今回のログインユーザIDとを比較する。そして、認証サーバ120は、ステップST7において、2つのユーザIDが同じであるか否かを判定する。2つのユーザIDが同じであるとき、認証サーバ120は、ステップST8において、クッキーに記録されていた前回のログイン処理結果を評価する。そして、認証サーバ120は、ステップST9において、前回のログイン処理結果が成功であるか否かを判定する。成功であるときは、ステップST13(図4)に進む。
【0037】
認証サーバ120は、ステップST3でクッキーが無いとき、ステップST5で復号化エラーのとき、ステップST7でユーザIDが違うとき、およびステップST9で前回のログイン処理結果がエラーであるとき、ステップST10(図4)に進む。このステップST10において、認証サーバ120は、ログインユーザID(ログイン要求に係るユーザID)が、アカウント情報データベースの登録情報に存在するか否かを判定する。
【0038】
そして、認証サーバ120は、アカウント情報データベースの登録情報にログインユーザIDが存在するときは、ステップST11において、通知処理部125により、正規ユーザ131およびシステム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST13に進む。ログインユーザIDを持つ正規ユーザ131の他に、システム管理者132にもログイン要求があったこと等が通知されるので、正規ユーザ131がしばらく休職している場合等には、システム管理者132が「なりすまし」によるログインに気づくことが可能となる。
【0039】
また、ステップST10でアカウント情報データベースの登録情報にログインユーザIDが存在しないときは、認証サーバ120は、ステップST12において、通知処理部125により、システム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST13に進む。
【0040】
認証サーバ120は、ステップST13において、ログイン処理部122により、ユーザ端末110から送られてくる認証情報(パスワードおよびユーザID)に基づき、アカウント情報データベースの登録情報を参照して、ログイン処理を行う。
【0041】
なお、ステップST3でクッキーが無いとき、上述したように正規ユーザ131等にログイン要求があったこと等が通知されるものの、ログイン処理が行われるので、初めてのログインも何ら支障なく行われる。
【0042】
また、復号化エラーのとき、ログインユーザIDが前回のものと異なるとき、および前回のログイン処理結果がエラーであるとき、上述したように正規ユーザ131等にログイン要求があったこと等が通知されるものの、ログイン処理が行われる。これは、以下の各場合を考慮し、正規ユーザのログイン要求を無駄にしないためである。
【0043】
例えば、復号化エラーは、情報の偽造の他に、何らかの原因で情報が破壊された場合にも起こり得る。ログインユーザIDが前回のものと異なることは、「なりすまし」を意図するものが誤ったユーザIDを入力したことによる他に、正規ユーザが前回のログインユーザIDの入力を間違ったことでも起こり得る。前回のログイン処理結果がエラーであることは、「なりすまし」を意図するものが誤ったパスワードを入力したことによる他に、正規ユーザが前回のパスワードの入力を間違ったことでも起こり得る。
【0044】
次に、認証サーバ120は、ステップST14において、暗号化処理部123により、ログインユーザIDおよびログイン処理結果を暗号化し、Webサーバ121により、ユーザ端末110のWebブラウザ111を通じて、ユーザ端末110の記憶部112のクッキーに記録する。そして、認証サーバ120は、ステップST15において、ログイン処理部122におけるログイン処理が成功したか否かを判定する。ログイン処理が成功したとき、認証サーバ120は、ステップST16で、ユーザ端末110からのログイン要求に対する一連の処理を終了する。一方、ログイン処理がエラーであるときは、認証サーバ120は、ステップST17に進む。
【0045】
認証サーバ120は、ステップST17において、通知先に、既に、ログイン要求があったこと等を通知したか否かを判定する。上述のステップST11あるいはステップST12で通知したときは、直ちにステップST16に進み、ユーザ端末110からのログイン要求に対する一連の処理を終了する。
【0046】
未だ通知していないとき、認証サーバ20は、ステップST18において、ログインユーザID(ログイン要求のユーザID)が、アカウント情報データベースの登録情報に存在するか否かを判定する。
【0047】
そして、認証サーバ120は、アカウント情報データベースの登録情報にログインユーザIDが存在するときは、ステップST19において、通知処理部125により、正規ユーザ131およびシステム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST16に進み、ユーザ端末110からのログイン要求に対する一連の処理を終了する。
【0048】
また、ステップST18でアカウント情報データベースの登録情報にログインユーザIDが存在しないときは、認証サーバ120は、ステップST20において、通知処理部125により、システム管理者132に、ログイン要求があったこと等を通知し、その後に、ステップST16に進み、ユーザ端末110からのログイン要求に対する一連の処理を終了する。
【0049】
図1に示す認証システム100においては、認証サーバ120は、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合には、通知先である正規ユーザ131、システム管理者132等に、ログイン要求があったこと等の通知をしないので、通知先の正規ユーザ131等は注意しなくてもよい数多くの通知を確認する必要がなくなる。
【0050】
また、図1に示す認証システム100においては、認証サーバ120は、ログイン要求があったこと等の通知をするかどうかを判断するための情報をユーザ端末110に送ってクッキーとして作成するので、ユーザ端末110に実行ファイル等をダウンロードする必要がなく、セキュリティ上の問題を発生させることなくログイン要求があったこと等を正規ユーザ131等の通知先に通知できる。
【0051】
また、図1に示す認証システム100においては、認証サーバ120は、ユーザ端末110の記憶部112にクッキーが形成されていない場合にも、正規ユーザ131等の通知先にログイン要求があったこと等の通知を行うものであり、初めてのログイン要求に対して必ず通知が行われるため、正規ユーザ131等はアカウント作成直後の「なりすまし」にも気付くことができる。
【0052】
また、図1に示す認証システム100においては、認証サーバ120は、正規ユーザ131等の通知先に、例えば電子メールで通知を行うものであり、正規ユーザ131がユーザ端末110から離れていても、通知を受けやすく、また、他のユーザ(当該正規ユーザが過去に利用したユーザ端末を使っているユーザ)には通知されない。正規ユーザ131に通知するので、「自身によるログイン」か「なりすまし」であるかを高い精度で即時に判定でき、即時にパスワードを変更するなどの対策をとることができ、「なりすまし」を防ぐことができる。
【0053】
なお、上述実施の形態においては、Webアプリケーションを想定した認証システム100にこの発明を適用したものであるが、この発明は同様のログイン処理を行うその他の認証システムに適用できることは勿論である。
【産業上の利用可能性】
【0054】
この発明は、セキュリティ上の問題を発生させることなくログイン要求をユーザに通知し、また、正規ユーザが注意しなくてもよい数多くの通知を確認する必要がないようにしたものであり、例えばWebアプリケーションを想定した認証システム等に適用できる。
【図面の簡単な説明】
【0055】
【図1】実施の形態としての認証システムの構成の一例を示すブロック図である。
【図2】認証サーバが通知先にログイン要求があったこと等を通知する条件の一例を説明するための図である。
【図3】ユーザ端末から認証サーバにログイン要求があった場合における、認証サーバの動作の一例を説明するためのフローチャート(1/2)である。
【図4】ユーザ端末から認証サーバにログイン要求があった場合における、認証サーバの動作の一例を説明するためのフローチャート(2/2)である。
【符号の説明】
【0056】
100・・・認証システム、110・・・ユーザ端末、111・・・Webブラウザ、112・・・記憶部、120・・・認証サーバ、121・・・Webサーバ、122・・・ログイン処理部、123・・・暗号化処理部、124・・・復号化処理部、125・・・通知処理部、131・・・正規ユーザ、132・・・システム管理者
【特許請求の範囲】
【請求項1】
コンピュータを、
外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理手段と、
上記ログイン処理手段におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信手段と、
上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求をしたときに送った上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求手段と、
上記ログイン処理結果要求手段の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化手段と、
上記外部装置からの上記ログイン要求時に、上記ログイン処理手段におけるログイン処理結果と、上記復号化手段における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知手段と
して機能させるための認証プログラム。
【請求項2】
上記ログイン要求通知手段は、上記通知先に、ログイン要求があったことの他に、ログインユーザIDをさらに通知する
ことを特徴と請求項1に記載の認証プログラム。
【請求項3】
上記ログイン要求通知手段は、登録したユーザIDの中にログインユーザIDが存在するときは、該ログインユーザIDを持つユーザおよびシステム管理者に上記ログイン要求があったことを通知し、上記登録したユーザIDの中にログインユーザIDが存在しないときは、上記システム管理者に上記ログイン要求があったことを通知する
ことを特徴とする請求項1に記載の認証プログラム。
【請求項4】
外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理部と、
上記ログイン処理部におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信部と、
上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求時に記録された上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求部と、
上記ログイン処理結果要求部の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化部と、
上記外部装置からの上記ログイン要求時に、上記ログイン処理部におけるログイン処理結果と、上記復号化部における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知部と
を備えることを特徴とする認証サーバ。
【請求項1】
コンピュータを、
外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理手段と、
上記ログイン処理手段におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信手段と、
上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求をしたときに送った上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求手段と、
上記ログイン処理結果要求手段の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化手段と、
上記外部装置からの上記ログイン要求時に、上記ログイン処理手段におけるログイン処理結果と、上記復号化手段における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知手段と
して機能させるための認証プログラム。
【請求項2】
上記ログイン要求通知手段は、上記通知先に、ログイン要求があったことの他に、ログインユーザIDをさらに通知する
ことを特徴と請求項1に記載の認証プログラム。
【請求項3】
上記ログイン要求通知手段は、登録したユーザIDの中にログインユーザIDが存在するときは、該ログインユーザIDを持つユーザおよびシステム管理者に上記ログイン要求があったことを通知し、上記登録したユーザIDの中にログインユーザIDが存在しないときは、上記システム管理者に上記ログイン要求があったことを通知する
ことを特徴とする請求項1に記載の認証プログラム。
【請求項4】
外部装置からのログイン要求に基づいて、ログイン処理を行うログイン処理部と、
上記ログイン処理部におけるログイン処理結果をログインユーザIDと共に暗号化して上記外部装置に送るログイン処理結果送信部と、
上記外部装置からのログイン要求に対応して、上記外部装置に前回のログイン要求時に記録された上記ログイン処理結果および上記ログインユーザIDを要求するログイン処理結果要求部と、
上記ログイン処理結果要求部の要求に応じて上記外部装置から送られてくる暗号化された上記ログイン処理結果および上記ログインユーザIDを復号化して前回のログイン要求時におけるログイン処理結果およびログインユーザIDを取得する復号化部と、
上記外部装置からの上記ログイン要求時に、上記ログイン処理部におけるログイン処理結果と、上記復号化部における復号化出力とに基づいて、前回ログインに成功しており、今回も同じログインユーザIDでログインに成功した場合を除き、予め設定された通知先に対して、少なくとも、ログイン要求があったことを通知するログイン要求通知部と
を備えることを特徴とする認証サーバ。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2008−140114(P2008−140114A)
【公開日】平成20年6月19日(2008.6.19)
【国際特許分類】
【出願番号】特願2006−325426(P2006−325426)
【出願日】平成18年12月1日(2006.12.1)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成20年6月19日(2008.6.19)
【国際特許分類】
【出願日】平成18年12月1日(2006.12.1)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]