認証方法及びその認証システム並びにその認証処理プログラム
【課題】サービスプロバイダ機器(SP機器)ごとに認証レベルを変えることができるとともに、SP機器ごとに認証方式を変えることができる、SSO(シングルサインオン)を実現できる認証システムを提供する。
【解決手段】SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び中央サーバ(IdP)間でそのユーザ端末機器に係る認証レベルの確認を行う確認手段と、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供する提供手段と、その要求を満たしていないときはユーザに対して新たな認証を要求する要求手段とを有している。
【解決手段】SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び中央サーバ(IdP)間でそのユーザ端末機器に係る認証レベルの確認を行う確認手段と、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供する提供手段と、その要求を満たしていないときはユーザに対して新たな認証を要求する要求手段とを有している。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証方法及びその認証システム並びにその処理プログラムに係り、特に、多要素認証により多段階の認証レベルを実現できるようにしたものに関する。
【背景技術】
【0002】
ユーザの所持するパーソナルコンピュータ等のユーザ端末機器がユーザの希望するシステムにログインする場合は、認証サーバでのログインが必要となる。そして、そのユーザが他のシステムにログインしようとする場合には、もう一度、他の認証サーバでのログインが必要となる。
このように、ユーザが複数のシステムにログインする場合は、システム毎にログインの手続が必要となりユーザの利便性が損なわれるので、連携型認証方式が提案されている。この連携型認証方式は、中央サーバ(Identity Provider。以下、「IdP」 という。)で一度認証が行われると、他の連携しているシステムにログインすることができるシングルサインオン(Single Sign On。以下、「SSO」という。)を実現することができる。すなわち、このSSOでは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用することができる。
【0003】
また、認証方式としては、例えば、特許文献1に示されるように、認証強度を高くした多要素認証方式が知られている。この多要素認証方式では複数の認証装置が用いられる。認証要素としては、ユーザ名やパスワード等の紙に記載できるもの、ICカードのように他人に容易に受け渡すことができるもの、マシンIDや回線ID等のハード的特徴を利用したもの、ユーザの指紋や網膜などの身体的特徴を利用したもの、キーストローク・テンポ等のユーザの行動的特徴を利用したもの、あるいはワンタイムパスワード等が知られている。
【0004】
さらに、特許文献2には、多段認証方式が提案されている。この多段認証方式は、被認証者が複数の認証者との間で認証を行う場合、認証者が受け取ったデータを基に認証の処理を行った後、この正当性が証明された認証データを基に作成された認証データを次の認証者へ送信し、順次、各認証者によってこの操作が繰り返されるように構成されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−257426号公報
【特許文献2】特開2000−13370号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記の連携型認証方式は、IdPで一度認証が行われると、他の連携しているシステムにログインすることができるSSOを実現することができるので、ユーザの利便性を高めることができる特長を有している。しかし、この SSOは、多数のシステムへのログインを一度で済ませることができることから、認証レベルが画一的になってしまうという性質を有しているので、連携されるシステムが同一のセキュリティレベルを求めている場合は問題ないが、異なるセキュリティレベルを求めている場合はSSOでは実現できないという課題を有している。また、この連携型認証方式では、悪意のある者が一度認証を突破するだけで、全てのシステムにアクセスが可能となってしまう問題点も抱えている。
このような問題点を解決するために、指紋認証やワンタイムパスワード認証等によって認証を強固にしたり、あるいは複数の認証方式によって認証を強固にすると、ユーザの利便性を著しく低下させてしまうという新たな問題点が発生する。
【0007】
そこで、本発明は、上記欠点を解決するためになされたものであって、その目的は、ブログへのコメントの書き込みのような簡易な認証で問題のないサービスや、銀行サイト、あるいはWebショッピング決済などの強固な認証を必要とするサービスのように、サービスに異なるセキュリティレベルが存在していても、多要素認証により多段階の認証レベルを実現でき、SSOを利用するサービスプロバイダ(Service Provider)の企業が任意の認証方式を指定することができる、認証方法及びその認証システム並びにその認証処理プログラムを提供することにある。
【課題を解決するための手段】
【0008】
本発明に係る認証方法は、上記目的を達成するために、ユーザ情報及びサービスプロバイダ情報を保持してSSO(シングルサインオン)を提供するIdP(中央サーバ)と、そのSSOを利用して所定のサービスを提供するSP機器(サービスプロバイダ機器)と、上記IdP及びSP機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証方法であって、前記SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び前記IdP間でそのユーザ端末機器に係る認証レベルの確認を行い、その確認においてユーザ端末機器に係る認証レベルがそのSP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供し、その要求を満たしていないときはユーザに対して新たな認証を要求することを特徴としている。
また、本発明に係る認証方法は、認証レベルはSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
【0009】
本発明に係る認証処理プログラムは、上記目的を達成するために、ユーザ情報及びサービスプロバイダ情報を保持してSSO(シングルサインオン)を提供するIdP(中央サーバ)と、そのSSOを利用して所定のサービスを提供するSP機器(サービスプロバイダ機器)と、上記IdP及びSP機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証処理プログラムであって、前記SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び前記IdP間でそのユーザ端末機器に係る認証レベルの確認を行うステップと、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供するステップと、前記確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求するステップとを有することを特徴としている。
また、本発明に係る認証処理プログラムは、認証レベルはSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
【0010】
本発明に係る認証システムは、上記目的を達成するために、ユーザ情報及びサービスプロバイダ情報を保持してSSO(シングルサインオン)を提供するIdP(中央サーバ)と、そのSSOを利用して所定のサービスを提供するSP機器(サービスプロバイダ機器)と、上記IdP及びSP機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムであって、前記SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び前記IdP間でそのユーザ端末機器に係る認証レベルの確認を行う確認手段と、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供する提供手段と、前記確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段とを有することを特徴としている。
また、本発明に係る認証システムは、認証レベルがSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
さらに、本発明に係る認証システムのIdPは、SP機器がユーザ端末機器からアクセスを受けたときに、そのユーザ端末機器に係る認証レベルの確認を行う確認手段と、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはその前記ユーザ端末機器にログイン済みの通知を行う通知手段と、前記確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段とを有することを特徴としている。
そして、本発明に係る認証システムのIdPは、認証レベルはSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
【発明の効果】
【0011】
本発明においては、SP機器(サービスプロバイダ機器)ごとに認証レベルを変えることができるとともに、 SP機器ごとに認証方式を変えることができるので、ユーザにとって利便性に優れたSSO(シングルサインオン)の欠点、すなわち、SSOは、一元的な認証であるため、一回突破されるとすべてにログインされてしまうという欠点を解決することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の一実施の形態に係る認証システムの機能構成図である。
【図2】本発明の一実施の形態に係る認証システムの認証動作の第一例を示す説明図である。
【図3】本発明の一実施の形態に係る認証システムの認証動作の第二例を示す説明図である。
【図4】本発明の一実施の形態に係る認証システムの認証動作の第三例を示す説明図である。
【図5】本発明の一実施の形態に係る認証システムのシーケンス図である。
【図6】本発明の一実施の形態に係る認証システムのフローチャート図である。
【発明を実施するための形態】
【0013】
本発明に係る認証システムの実施の形態について、図1を参照して説明する。図中、1はユーザ端末機器(図示では「ユーザ端末」)、2はサービスプロバイダ(Service Provider)機器(図示では「SP」。以下、「SP機器」という。)、3はIdP(中央サーバ)である。
ユーザ端末機器1及びSP機器2間、SP機器2及びIdP3間は、図示しないが、不特定の利用者(ユーザ)が利用可能なインターネットのような、周知の通信ネットワークでそれぞれ接続されている。
【0014】
上記ユーザ端末機器1は、ユーザが所持する機器であって、汎用的なブラウザがインストールされたパーソナルコンピュータ(PC)、携帯電話機、PDA(Personal Digital Assistant)等からなり、SP機器2及びIdP3にアクセスすることができるように構成されている。
【0015】
上記SP機器2は、図示しないが、大型のコンピュータを中心に構成されているサービス提供サーバに相当している。このSP機器2は、通信コンポーネント20を有している。この通信コンポーネント20は、IdP3に認証レベルを要求する認証レベル要求部20a及びそのIdP3からログイン完了通知を受けるログイン完了通知部20bと、ユーザ端末機器1からのアクセスを受信するアクセス受信部20c及びそのユーザ端末機器1の表示画面にログイン完了画面を表示させるログイン完了画面表示部20dとにより構成されている。
【0016】
上記IdP3は、図示しないが、大型のコンピュータを中心に構成されている認証サーバに相当し、通信コンポーネント30、内部処理コンポーネント31及び外部認証コンポーネント32を有している。このうち、通信コンポーネント30は、SP機器2から認証レベル要求を受信する認証レベル要求受信部30a及びログイン完了通知をSP機器2に通知するログイン完了通知部30bを有し、内部処理コンポーネント31は、認証方式のレベルを判定する認証方式レベル判定部31a、認証レベルを加算する認証レベル加算部31b、認証レベルをデータベース(DB)に照会する認証レベルDB照会部31c及び多要素認証を呼び出す多要素認証呼び出し部31dを有し、そして、外部認証コンポーネント32は、外部認証装置(図示せず)を呼び出す外部認証装置呼び出し部32a及び認証レベルのデータベース(DB)を更新する認証レベルDB更新部32bを有している。
【0017】
次に、本発明の一実施の形態に係る認証システムの認証動作について、図2〜図4を用いて説明する。
図2は、第一の認証動作の例を示している。なお、この図2及び後述の図3、図4において、丸印で示されるSP−1〜SP−5は、互いに異なるサービスを提供するSP(サービスプロバイダ)のSP機器2であり、これらSP−1〜SP−5は、IdP3を中心にして連携されている。また、このIdP3における認証方式は、A,B,Cの三方式が用意されていて、その認証強度は、A>B>Cに決められている。さらに、IdP3中の多要素認証コア部33は、認証方式を決定する機能を司る処理部であり、ユーザ情報DB(Data Base)34は、利用者(ユーザ)の情報が格納されているデータベースであり、そして、SP情報DB35は、SPの情報が格納されているデータベースである。
【0018】
さて、図2では、IdP3において既にログインが済んでいて、かつ、認証レベルが達している場合が示されている。
今、ユーザ端末機器1がSP−1にアクセスしたとする(図2の(1)参照)。このとき、IdP3においてログインが済んでいて、かつ、認証レベルが達しているので、ログイン済みの通知がユーザ端末機器1を経由してSP−1に通知される(図2の(1)(2),(3),(4)参照)。通知を受けたSP−1の表示画面には、ログイン完了の画面が表示される。このようにして、SP−1のSSO(シングルサインオン)が実現される。
【0019】
図3は、本発明の一実施の形態に係る認証システムの認証動作の第二の例を示している。
ここでは、SP−2は認証方式を指定していない場合が示されている。
今、ユーザ端末機器1がSP−2にアクセスしたとする(図3の(1)参照)。アクセスを受けたSP−2からは、IdP3に対してログイン状態の確認が行われる(図3の(2)参照)。ログイン状態の確認が行われたIdP3の多要素認証コア部33では、ユーザ情報DB(Data Base)34及びSP情報DB35を参照して、認証方式が決められる(図3の(3),(4)参照)。ここでは、SP−2は認証方式を指定していないので、最も認証強度の低い認証方式Cが呼び出される(図3の(5)参照)。ユーザ端末機器1が未だ認証方式Cの認証を受けていない場合は、ユーザ端末機器1及びIdP3間で認証方式Cの認証処理が行われる(図3の(6)参照)。なお、ここにおける認証方式は、内部にもつ認証方式でもよいが、外部の認証方式を利用することができる。
認証レベルが認証方式Cのレベルに達すると、ログイン済みの通知がユーザ端末機器1を経由してSP−2に通知される(図3の(7),(8)参照)。通知を受けたSP−2の表示画面には、ログイン完了の画面が表示される。
【0020】
図4は、本発明の一実施の形態に係る認証システムの認証動作の第三の例を示している。
ここでは、SP−3が認証方式A及び認証方式Bを要求している。なお、IdP3によるユーザ端末機器1に対する認証において、既に認証方式Cは認証済みである。
今、ユーザ端末機器1が SP−3にアクセスしたとする(図4の(1)参照)。アクセスを受けたSP−3からは、IdP3に対して実施して欲しい認証方式のログイン状態の確認が行われる(図4の(2)参照)。ログイン状態の確認が行われたIdP3の多要素認証コア部33では、ユーザ情報DB(Data Base)34及びSP情報DB35を参照して認証方式A及び認証方式Bの認証状態が判断される(図4の(3),(4)参照)。ここでは、SP−3は認証方式A及び認証方式Bを要求しており、現在は認証レベルが要求レベルまで達していないので、認証方式A及び認証方式Bが呼び出される(図3の(5a),(5b)参照)。この呼び出しにより、ユーザ端末機器1及びIdP3間で認証方式A及び認証方式Bの認証処理が行われる(図4の(6a),(6b)参照)。この認証方式は、内部にもつ認証方式でもよく、外部の認証方式を利用することもできる。
【0021】
上述の認証レベルは、認証装置の種類によって判断される。例えば、指紋などユーザの身体的特徴やキーストロークのテンポなど行動的特徴を利用する認証装置が最も認証レベルが高く、例えば、ユーザ名やパスワードなどの紙に記載して他人に受け渡すことができてしまう情報を用いる認証装置が最も認証レベルが低くなる。マシンIDや回線IDを利用した認証処理の認証レベルは、前述二つのレベル間に属する。このような基準により、認証レベルが足りているか否かが判断される。新しい認証方式が要求された場合には、上述の基準により認証レベルが設定される。なお、IdP3が任意にレベルを決定することもできる。
【0022】
次に、図5のシーケンス図及び図6のフローチャート図を用いて、本発明に係る認証システムの認証動作について説明する。
図5に示すシーケンス図は、ユーザ端末機器1、SP機器2及びIdP3の三者の処理の流れを示している。先ず、ユーザ端末機器1がSP機器2にアクセスすると(ステップ1。以下、ステップを「S」とする。)、SP機器2はログイン状態の確認及び認証レベルの要求をIdP3に行う(S2)。要求されたIdP3では、ユーザ情報DB34を参照した上で、要求レベルと現在の認証レベルに差異があれば、必要な認証方式を呼び出す(S3)。必要となる認証方式があれば、ユーザ端末機器1側にログイン画面が提示され、ログインが促される(S4)。そして、ユーザ端末機器1からログインが行われ、認証された場合は(S5)、IdP3では認証レベルを更新する(S6)。その後、ログインが完了した旨がSP機器2に伝えられ(S7)、最後に、SP機器2からは、ユーザ端末機器1に対してログイン後の画面が出力される(S8)。
【0023】
図6に示すフローチャート図は、SP機器2から要求を受け付けた後のIdP3の処理を示す図である。
先ず、SP機器2からログイン状態の確認及び認証レベルの要求があった場合、要求された認証方式から認証レベルが判定され(S100)、認証レベルが加算される(S102)。この場合、複数の認証方式が要求された場合には、その数に合わせて判定/加算が繰り返される。その後、ユーザ情報DB34に格納されている該当ユーザの現在の認証レベルが検索され(S104)、要求された認証レベルとユーザ情報DB34に格納されている認証レベルが比較される(S106)。
ここでS106の分岐が発生し、[a]要求された認証レベルが現在の認証レベルを上回っている場合は(S106(Y))、必要な認証方式を呼び出し(S108)、ユーザ端末機器1の追加認証を行う(S110)。この追加認証が成功すると、IdP3は認証レベルの更新を行い、もう一度認証レベルの比較を行う(S106)。この比較において、[b]要求された認証レベルが現在の認証レベル以下の場合は(S106(N))、ユーザ端末機器1に対してSSO(シングルサインオン)を促す(S112)。
なお、図6におけるフローチャートにおいて、S109は、認証方式が呼び出されたとき、必要な認証方式が未認証の場合、ユーザ端末機器1及びIdP3間での認証処理を示している(図3の(6)及び図4の(6a),(6b)参照)。
【0024】
上記構成に係る認証システムは、SP機器2ごとに認証レベルを変えることができるとともに、SP機器2ごとに認証方式を変えることができるので、ユーザにとって利便性に優れたSSO(シングルサインオン)の欠点、すなわち、SSOは一元的な認証であるため、一回突破されるとすべてにログインされてしまうという問題点を解決することができる。
【0025】
<発明の他の実施例>
本発明では、SP機器2が認証方式を指定するようにしているが、以下のパターンでも実施することができる。
ユーザが認証方式を指定するパターン。この場合、ユーザ端末機器1に認証方式を指定する装置を導入するか、あるいは、SP(サービスプロバイダ)のWebサイトでログイン前にユーザに認証方式を選択させることで、実現することができる。
予め、IdP3側に認証方式を登録しておくパターン。この場合、IdP3はユーザの情報やSP機器2の情報をアクセスされることにより確認することができるので、その情報を用いて、予め設定しておいた認証方式を呼び出すことができる。
【産業上の利用可能性】
【0026】
本発明では、電子的なアクセス制限を必要とする分野、あるいは、ビル入館などの物理的なアクセス制限を必要とする分野に利用することができる。
【符号の説明】
【0027】
1 ユーザ端末機器
2 サービスプロバイダ機器(SP機器)
3 中央サーバ(Identity Provider(IdP))
20 通信コンポーネント
20a 認証レベル要求部
20b ログイン完了通知部
20c アクセス受信部
20d ログイン完了画面表示部
30 通信コンポーネント
30a 認証レベル要求受信部
30b ログイン完了通知部
31 内部処理コンポーネント
31a 認証方式レベル判定部
31b 認証レベル加算部
31c 認証レベルDB照会部
31d 多要素認証呼び出し部
32 外部認証コンポーネント
32a 外部認証装置呼び出し部
32b 認証レベルDB更新部
33 多要素認証コア部
34 ユーザ情報DB
35 SP情報DB
【技術分野】
【0001】
本発明は、認証方法及びその認証システム並びにその処理プログラムに係り、特に、多要素認証により多段階の認証レベルを実現できるようにしたものに関する。
【背景技術】
【0002】
ユーザの所持するパーソナルコンピュータ等のユーザ端末機器がユーザの希望するシステムにログインする場合は、認証サーバでのログインが必要となる。そして、そのユーザが他のシステムにログインしようとする場合には、もう一度、他の認証サーバでのログインが必要となる。
このように、ユーザが複数のシステムにログインする場合は、システム毎にログインの手続が必要となりユーザの利便性が損なわれるので、連携型認証方式が提案されている。この連携型認証方式は、中央サーバ(Identity Provider。以下、「IdP」 という。)で一度認証が行われると、他の連携しているシステムにログインすることができるシングルサインオン(Single Sign On。以下、「SSO」という。)を実現することができる。すなわち、このSSOでは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用することができる。
【0003】
また、認証方式としては、例えば、特許文献1に示されるように、認証強度を高くした多要素認証方式が知られている。この多要素認証方式では複数の認証装置が用いられる。認証要素としては、ユーザ名やパスワード等の紙に記載できるもの、ICカードのように他人に容易に受け渡すことができるもの、マシンIDや回線ID等のハード的特徴を利用したもの、ユーザの指紋や網膜などの身体的特徴を利用したもの、キーストローク・テンポ等のユーザの行動的特徴を利用したもの、あるいはワンタイムパスワード等が知られている。
【0004】
さらに、特許文献2には、多段認証方式が提案されている。この多段認証方式は、被認証者が複数の認証者との間で認証を行う場合、認証者が受け取ったデータを基に認証の処理を行った後、この正当性が証明された認証データを基に作成された認証データを次の認証者へ送信し、順次、各認証者によってこの操作が繰り返されるように構成されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−257426号公報
【特許文献2】特開2000−13370号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記の連携型認証方式は、IdPで一度認証が行われると、他の連携しているシステムにログインすることができるSSOを実現することができるので、ユーザの利便性を高めることができる特長を有している。しかし、この SSOは、多数のシステムへのログインを一度で済ませることができることから、認証レベルが画一的になってしまうという性質を有しているので、連携されるシステムが同一のセキュリティレベルを求めている場合は問題ないが、異なるセキュリティレベルを求めている場合はSSOでは実現できないという課題を有している。また、この連携型認証方式では、悪意のある者が一度認証を突破するだけで、全てのシステムにアクセスが可能となってしまう問題点も抱えている。
このような問題点を解決するために、指紋認証やワンタイムパスワード認証等によって認証を強固にしたり、あるいは複数の認証方式によって認証を強固にすると、ユーザの利便性を著しく低下させてしまうという新たな問題点が発生する。
【0007】
そこで、本発明は、上記欠点を解決するためになされたものであって、その目的は、ブログへのコメントの書き込みのような簡易な認証で問題のないサービスや、銀行サイト、あるいはWebショッピング決済などの強固な認証を必要とするサービスのように、サービスに異なるセキュリティレベルが存在していても、多要素認証により多段階の認証レベルを実現でき、SSOを利用するサービスプロバイダ(Service Provider)の企業が任意の認証方式を指定することができる、認証方法及びその認証システム並びにその認証処理プログラムを提供することにある。
【課題を解決するための手段】
【0008】
本発明に係る認証方法は、上記目的を達成するために、ユーザ情報及びサービスプロバイダ情報を保持してSSO(シングルサインオン)を提供するIdP(中央サーバ)と、そのSSOを利用して所定のサービスを提供するSP機器(サービスプロバイダ機器)と、上記IdP及びSP機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証方法であって、前記SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び前記IdP間でそのユーザ端末機器に係る認証レベルの確認を行い、その確認においてユーザ端末機器に係る認証レベルがそのSP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供し、その要求を満たしていないときはユーザに対して新たな認証を要求することを特徴としている。
また、本発明に係る認証方法は、認証レベルはSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
【0009】
本発明に係る認証処理プログラムは、上記目的を達成するために、ユーザ情報及びサービスプロバイダ情報を保持してSSO(シングルサインオン)を提供するIdP(中央サーバ)と、そのSSOを利用して所定のサービスを提供するSP機器(サービスプロバイダ機器)と、上記IdP及びSP機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証処理プログラムであって、前記SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び前記IdP間でそのユーザ端末機器に係る認証レベルの確認を行うステップと、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供するステップと、前記確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求するステップとを有することを特徴としている。
また、本発明に係る認証処理プログラムは、認証レベルはSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
【0010】
本発明に係る認証システムは、上記目的を達成するために、ユーザ情報及びサービスプロバイダ情報を保持してSSO(シングルサインオン)を提供するIdP(中央サーバ)と、そのSSOを利用して所定のサービスを提供するSP機器(サービスプロバイダ機器)と、上記IdP及びSP機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムであって、前記SP機器が前記ユーザ端末機器からアクセスを受けたときに、そのSP機器及び前記IdP間でそのユーザ端末機器に係る認証レベルの確認を行う確認手段と、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供する提供手段と、前記確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段とを有することを特徴としている。
また、本発明に係る認証システムは、認証レベルがSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
さらに、本発明に係る認証システムのIdPは、SP機器がユーザ端末機器からアクセスを受けたときに、そのユーザ端末機器に係る認証レベルの確認を行う確認手段と、その確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしているときはその前記ユーザ端末機器にログイン済みの通知を行う通知手段と、前記確認において、前記ユーザ端末機器に係る認証レベルが前記SP機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段とを有することを特徴としている。
そして、本発明に係る認証システムのIdPは、認証レベルはSP機器に係るサービスプロバイダによって任意に決められるものであることを特徴としている。
【発明の効果】
【0011】
本発明においては、SP機器(サービスプロバイダ機器)ごとに認証レベルを変えることができるとともに、 SP機器ごとに認証方式を変えることができるので、ユーザにとって利便性に優れたSSO(シングルサインオン)の欠点、すなわち、SSOは、一元的な認証であるため、一回突破されるとすべてにログインされてしまうという欠点を解決することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の一実施の形態に係る認証システムの機能構成図である。
【図2】本発明の一実施の形態に係る認証システムの認証動作の第一例を示す説明図である。
【図3】本発明の一実施の形態に係る認証システムの認証動作の第二例を示す説明図である。
【図4】本発明の一実施の形態に係る認証システムの認証動作の第三例を示す説明図である。
【図5】本発明の一実施の形態に係る認証システムのシーケンス図である。
【図6】本発明の一実施の形態に係る認証システムのフローチャート図である。
【発明を実施するための形態】
【0013】
本発明に係る認証システムの実施の形態について、図1を参照して説明する。図中、1はユーザ端末機器(図示では「ユーザ端末」)、2はサービスプロバイダ(Service Provider)機器(図示では「SP」。以下、「SP機器」という。)、3はIdP(中央サーバ)である。
ユーザ端末機器1及びSP機器2間、SP機器2及びIdP3間は、図示しないが、不特定の利用者(ユーザ)が利用可能なインターネットのような、周知の通信ネットワークでそれぞれ接続されている。
【0014】
上記ユーザ端末機器1は、ユーザが所持する機器であって、汎用的なブラウザがインストールされたパーソナルコンピュータ(PC)、携帯電話機、PDA(Personal Digital Assistant)等からなり、SP機器2及びIdP3にアクセスすることができるように構成されている。
【0015】
上記SP機器2は、図示しないが、大型のコンピュータを中心に構成されているサービス提供サーバに相当している。このSP機器2は、通信コンポーネント20を有している。この通信コンポーネント20は、IdP3に認証レベルを要求する認証レベル要求部20a及びそのIdP3からログイン完了通知を受けるログイン完了通知部20bと、ユーザ端末機器1からのアクセスを受信するアクセス受信部20c及びそのユーザ端末機器1の表示画面にログイン完了画面を表示させるログイン完了画面表示部20dとにより構成されている。
【0016】
上記IdP3は、図示しないが、大型のコンピュータを中心に構成されている認証サーバに相当し、通信コンポーネント30、内部処理コンポーネント31及び外部認証コンポーネント32を有している。このうち、通信コンポーネント30は、SP機器2から認証レベル要求を受信する認証レベル要求受信部30a及びログイン完了通知をSP機器2に通知するログイン完了通知部30bを有し、内部処理コンポーネント31は、認証方式のレベルを判定する認証方式レベル判定部31a、認証レベルを加算する認証レベル加算部31b、認証レベルをデータベース(DB)に照会する認証レベルDB照会部31c及び多要素認証を呼び出す多要素認証呼び出し部31dを有し、そして、外部認証コンポーネント32は、外部認証装置(図示せず)を呼び出す外部認証装置呼び出し部32a及び認証レベルのデータベース(DB)を更新する認証レベルDB更新部32bを有している。
【0017】
次に、本発明の一実施の形態に係る認証システムの認証動作について、図2〜図4を用いて説明する。
図2は、第一の認証動作の例を示している。なお、この図2及び後述の図3、図4において、丸印で示されるSP−1〜SP−5は、互いに異なるサービスを提供するSP(サービスプロバイダ)のSP機器2であり、これらSP−1〜SP−5は、IdP3を中心にして連携されている。また、このIdP3における認証方式は、A,B,Cの三方式が用意されていて、その認証強度は、A>B>Cに決められている。さらに、IdP3中の多要素認証コア部33は、認証方式を決定する機能を司る処理部であり、ユーザ情報DB(Data Base)34は、利用者(ユーザ)の情報が格納されているデータベースであり、そして、SP情報DB35は、SPの情報が格納されているデータベースである。
【0018】
さて、図2では、IdP3において既にログインが済んでいて、かつ、認証レベルが達している場合が示されている。
今、ユーザ端末機器1がSP−1にアクセスしたとする(図2の(1)参照)。このとき、IdP3においてログインが済んでいて、かつ、認証レベルが達しているので、ログイン済みの通知がユーザ端末機器1を経由してSP−1に通知される(図2の(1)(2),(3),(4)参照)。通知を受けたSP−1の表示画面には、ログイン完了の画面が表示される。このようにして、SP−1のSSO(シングルサインオン)が実現される。
【0019】
図3は、本発明の一実施の形態に係る認証システムの認証動作の第二の例を示している。
ここでは、SP−2は認証方式を指定していない場合が示されている。
今、ユーザ端末機器1がSP−2にアクセスしたとする(図3の(1)参照)。アクセスを受けたSP−2からは、IdP3に対してログイン状態の確認が行われる(図3の(2)参照)。ログイン状態の確認が行われたIdP3の多要素認証コア部33では、ユーザ情報DB(Data Base)34及びSP情報DB35を参照して、認証方式が決められる(図3の(3),(4)参照)。ここでは、SP−2は認証方式を指定していないので、最も認証強度の低い認証方式Cが呼び出される(図3の(5)参照)。ユーザ端末機器1が未だ認証方式Cの認証を受けていない場合は、ユーザ端末機器1及びIdP3間で認証方式Cの認証処理が行われる(図3の(6)参照)。なお、ここにおける認証方式は、内部にもつ認証方式でもよいが、外部の認証方式を利用することができる。
認証レベルが認証方式Cのレベルに達すると、ログイン済みの通知がユーザ端末機器1を経由してSP−2に通知される(図3の(7),(8)参照)。通知を受けたSP−2の表示画面には、ログイン完了の画面が表示される。
【0020】
図4は、本発明の一実施の形態に係る認証システムの認証動作の第三の例を示している。
ここでは、SP−3が認証方式A及び認証方式Bを要求している。なお、IdP3によるユーザ端末機器1に対する認証において、既に認証方式Cは認証済みである。
今、ユーザ端末機器1が SP−3にアクセスしたとする(図4の(1)参照)。アクセスを受けたSP−3からは、IdP3に対して実施して欲しい認証方式のログイン状態の確認が行われる(図4の(2)参照)。ログイン状態の確認が行われたIdP3の多要素認証コア部33では、ユーザ情報DB(Data Base)34及びSP情報DB35を参照して認証方式A及び認証方式Bの認証状態が判断される(図4の(3),(4)参照)。ここでは、SP−3は認証方式A及び認証方式Bを要求しており、現在は認証レベルが要求レベルまで達していないので、認証方式A及び認証方式Bが呼び出される(図3の(5a),(5b)参照)。この呼び出しにより、ユーザ端末機器1及びIdP3間で認証方式A及び認証方式Bの認証処理が行われる(図4の(6a),(6b)参照)。この認証方式は、内部にもつ認証方式でもよく、外部の認証方式を利用することもできる。
【0021】
上述の認証レベルは、認証装置の種類によって判断される。例えば、指紋などユーザの身体的特徴やキーストロークのテンポなど行動的特徴を利用する認証装置が最も認証レベルが高く、例えば、ユーザ名やパスワードなどの紙に記載して他人に受け渡すことができてしまう情報を用いる認証装置が最も認証レベルが低くなる。マシンIDや回線IDを利用した認証処理の認証レベルは、前述二つのレベル間に属する。このような基準により、認証レベルが足りているか否かが判断される。新しい認証方式が要求された場合には、上述の基準により認証レベルが設定される。なお、IdP3が任意にレベルを決定することもできる。
【0022】
次に、図5のシーケンス図及び図6のフローチャート図を用いて、本発明に係る認証システムの認証動作について説明する。
図5に示すシーケンス図は、ユーザ端末機器1、SP機器2及びIdP3の三者の処理の流れを示している。先ず、ユーザ端末機器1がSP機器2にアクセスすると(ステップ1。以下、ステップを「S」とする。)、SP機器2はログイン状態の確認及び認証レベルの要求をIdP3に行う(S2)。要求されたIdP3では、ユーザ情報DB34を参照した上で、要求レベルと現在の認証レベルに差異があれば、必要な認証方式を呼び出す(S3)。必要となる認証方式があれば、ユーザ端末機器1側にログイン画面が提示され、ログインが促される(S4)。そして、ユーザ端末機器1からログインが行われ、認証された場合は(S5)、IdP3では認証レベルを更新する(S6)。その後、ログインが完了した旨がSP機器2に伝えられ(S7)、最後に、SP機器2からは、ユーザ端末機器1に対してログイン後の画面が出力される(S8)。
【0023】
図6に示すフローチャート図は、SP機器2から要求を受け付けた後のIdP3の処理を示す図である。
先ず、SP機器2からログイン状態の確認及び認証レベルの要求があった場合、要求された認証方式から認証レベルが判定され(S100)、認証レベルが加算される(S102)。この場合、複数の認証方式が要求された場合には、その数に合わせて判定/加算が繰り返される。その後、ユーザ情報DB34に格納されている該当ユーザの現在の認証レベルが検索され(S104)、要求された認証レベルとユーザ情報DB34に格納されている認証レベルが比較される(S106)。
ここでS106の分岐が発生し、[a]要求された認証レベルが現在の認証レベルを上回っている場合は(S106(Y))、必要な認証方式を呼び出し(S108)、ユーザ端末機器1の追加認証を行う(S110)。この追加認証が成功すると、IdP3は認証レベルの更新を行い、もう一度認証レベルの比較を行う(S106)。この比較において、[b]要求された認証レベルが現在の認証レベル以下の場合は(S106(N))、ユーザ端末機器1に対してSSO(シングルサインオン)を促す(S112)。
なお、図6におけるフローチャートにおいて、S109は、認証方式が呼び出されたとき、必要な認証方式が未認証の場合、ユーザ端末機器1及びIdP3間での認証処理を示している(図3の(6)及び図4の(6a),(6b)参照)。
【0024】
上記構成に係る認証システムは、SP機器2ごとに認証レベルを変えることができるとともに、SP機器2ごとに認証方式を変えることができるので、ユーザにとって利便性に優れたSSO(シングルサインオン)の欠点、すなわち、SSOは一元的な認証であるため、一回突破されるとすべてにログインされてしまうという問題点を解決することができる。
【0025】
<発明の他の実施例>
本発明では、SP機器2が認証方式を指定するようにしているが、以下のパターンでも実施することができる。
ユーザが認証方式を指定するパターン。この場合、ユーザ端末機器1に認証方式を指定する装置を導入するか、あるいは、SP(サービスプロバイダ)のWebサイトでログイン前にユーザに認証方式を選択させることで、実現することができる。
予め、IdP3側に認証方式を登録しておくパターン。この場合、IdP3はユーザの情報やSP機器2の情報をアクセスされることにより確認することができるので、その情報を用いて、予め設定しておいた認証方式を呼び出すことができる。
【産業上の利用可能性】
【0026】
本発明では、電子的なアクセス制限を必要とする分野、あるいは、ビル入館などの物理的なアクセス制限を必要とする分野に利用することができる。
【符号の説明】
【0027】
1 ユーザ端末機器
2 サービスプロバイダ機器(SP機器)
3 中央サーバ(Identity Provider(IdP))
20 通信コンポーネント
20a 認証レベル要求部
20b ログイン完了通知部
20c アクセス受信部
20d ログイン完了画面表示部
30 通信コンポーネント
30a 認証レベル要求受信部
30b ログイン完了通知部
31 内部処理コンポーネント
31a 認証方式レベル判定部
31b 認証レベル加算部
31c 認証レベルDB照会部
31d 多要素認証呼び出し部
32 外部認証コンポーネント
32a 外部認証装置呼び出し部
32b 認証レベルDB更新部
33 多要素認証コア部
34 ユーザ情報DB
35 SP情報DB
【特許請求の範囲】
【請求項1】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証方法であって、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのサービスプロバイダ機器及び前記中央サーバ間でそのユーザ端末機器に係る認証レベルの確認を行い、その確認においてユーザ端末機器に係る認証レベルがそのサービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供し、その要求を満たしていないときはユーザに対して新たな認証を要求することを特徴とする認証方法。
【請求項2】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項1に記載の認証方法。
【請求項3】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証処理プログラムであって、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのサービスプロバイダ機器及び前記中央サーバ間でそのユーザ端末機器に係る認証レベルの確認を行うステップと、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供するステップと、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求するステップと、
を有することを特徴とする認証処理プログラム。
【請求項4】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項3に記載の認証プログラム。
【請求項5】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムであって、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのサービスプロバイダ機器及び前記中央サーバ間でそのユーザ端末機器に係る認証レベルの確認を行う確認手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供する提供手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段と、
を有することを特徴とする認証システム。
【請求項6】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項5に記載の認証システム。
【請求項7】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムであって、
前記中央サーバは、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのユーザ端末機器に係る認証レベルの確認を行う確認手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはその前記ユーザ端末機器にログイン済みの通知を行う通知手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段と、
を有することを特徴とする認証システム。
【請求項8】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項7に記載の認証システム。
【請求項1】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証方法であって、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのサービスプロバイダ機器及び前記中央サーバ間でそのユーザ端末機器に係る認証レベルの確認を行い、その確認においてユーザ端末機器に係る認証レベルがそのサービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供し、その要求を満たしていないときはユーザに対して新たな認証を要求することを特徴とする認証方法。
【請求項2】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項1に記載の認証方法。
【請求項3】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムの認証処理プログラムであって、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのサービスプロバイダ機器及び前記中央サーバ間でそのユーザ端末機器に係る認証レベルの確認を行うステップと、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供するステップと、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求するステップと、
を有することを特徴とする認証処理プログラム。
【請求項4】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項3に記載の認証プログラム。
【請求項5】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムであって、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのサービスプロバイダ機器及び前記中央サーバ間でそのユーザ端末機器に係る認証レベルの確認を行う確認手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはユーザに対して所定のサービスを提供する提供手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段と、
を有することを特徴とする認証システム。
【請求項6】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項5に記載の認証システム。
【請求項7】
ユーザ情報及びサービスプロバイダ情報を保持してシングルサインオンを提供する中央サーバと、そのシングルサインオンを利用して所定のサービスを提供するサービスプロバイダ機器と、上記中央サーバ及びサービスプロバイダ機器と通信ネットワークを介して接続されているユーザの所持するユーザ端末機器とを備える認証システムであって、
前記中央サーバは、
前記サービスプロバイダ機器が前記ユーザ端末機器からアクセスを受けたときに、そのユーザ端末機器に係る認証レベルの確認を行う確認手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしているときはその前記ユーザ端末機器にログイン済みの通知を行う通知手段と、
前記確認において、前記ユーザ端末機器に係る認証レベルが前記サービスプロバイダ機器に係るサービスプロバイダの要求を満たしていないときはユーザに対して新たな認証を要求する要求手段と、
を有することを特徴とする認証システム。
【請求項8】
前記認証レベルは、前記サービスプロバイダ機器に係るサービスプロバイダによって任意に決められるものであることを特徴とする請求項7に記載の認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−225078(P2010−225078A)
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願番号】特願2009−74213(P2009−74213)
【出願日】平成21年3月25日(2009.3.25)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願日】平成21年3月25日(2009.3.25)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]