認証管理装置および認証管理方法ならびにそのプログラム
【課題】複数の異なるネットワークサービスに対して認証機能の提供を行うことができると共に、ある認証強度の認証を実現するために、それぞれのネットワークサービスに対して柔軟に複数の認証方式を提供することができる認証管理装置を提供する。
【解決手段】認証対象者の認証要求を受け付け、認証要求を行った認証対象者についての、認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、認証対象者の認証処理の実施要求を行う。また認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、認証成功を出力する。
【解決手段】認証対象者の認証要求を受け付け、認証要求を行った認証対象者についての、認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、認証対象者の認証処理の実施要求を行う。また認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、認証成功を出力する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証対象者の認証を行う認証管理装置および認証管理方法ならびにそのプログラムに関する。
【背景技術】
【0002】
従来、ネットワークサービスを提供するコンピュータシステムにおいては様々なユーザ認証の仕組みが提供されており、例えば、より高い認証強度の認証の仕組みを提供するために、複数回の異なる認証方式によりユーザを認証する仕組みや、ユーザの生態情報を用いて認証を行う仕組みが提供されている。
【特許文献1】特開2008−102772号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上述のような認証の仕組みでは、異なるネットワークサービス毎にそれぞれ、認証の仕組みを提供するための機能を備えるための作りこみを行う必要があり、また、複数の異なるネットワークサービスに対して認証機能の提供を行う1つの認証システムが求められている。また、上述のような従来の認証システムでは、ネットワークサービス毎に、特定の認証強度の認証を実現するための認証方式が固定化されており、ある認証強度の認証を行うために、複数の認証方式を用いることができる柔軟な認証システムが求められている。
【0004】
そこでこの発明は、複数の異なるネットワークサービスに対して認証機能の提供を行うことができると共に、ある認証強度の認証を実現するために、それぞれのネットワークサービスに対して柔軟に複数の認証方式を提供することができる認証管理装置および認証管理方法ならびにそのプログラムを提供することを目的としている。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、認証対象者の認証要求を受け付ける認証要求受付手段と、複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段と、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段と、を備えることを特徴とする認証管理装置である。
【0006】
また本発明は、上述の認証管理装置において、前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、認証成功を出力する認証成功出力手段と、を備えることを特徴とする。
【0007】
また本発明は、上述の認証管理装置において、前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、前記認証再実施判定ポイントを出力するポイント出力手段と、を備えることを特徴とする。
【0008】
また本発明は、上述の認証管理装置において、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち前記認証完了情報が認証完了と示されていない認証方式を出力する認証方式出力手段を備え、前記認証実施要求手段は、前記出力した認証方式のうちの1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行うことを特徴とする。
【0009】
また本発明は、上述の認証管理装置において、前記出力した認証方式のうちの1つの認証方式の指定を受け付ける認証方式指定受付手段と、を備え、前記認証実施要求手段は、前記出力した認証方式のうちの前記指定を受け付けた1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行うことを特徴とする。
【0010】
また本発明は、認証管理装置における認証管理方法であって、前記認証管理装置の認証要求受付手段が、認証対象者の認証要求を受け付け、前記認証管理装置の認証方式記憶手段が、複数の認証方式それぞれの認証ポイントを記憶し、前記認証管理装置の認証完了情報記憶手段が、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶し、前記認証管理装置の認証再実施判定手段が、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、前記認証管理装置の認証実施要求手段が、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行うことを特徴とする認証管理方法である。
【0011】
また本発明は、複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、を備える認証管理装置のコンピュータを、認証対象者の認証要求を受け付ける認証要求受付手段、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段、として機能させるためのプログラムである。
【発明の効果】
【0012】
本発明によれば、認証サーバは、ユーザが行った認証方式による認証完了状態と、各認証方式の認証ポイントとに基づいて、ユーザの認証結果が外部装置の要求する認証レベルに達しているかを判定し、その結果を、認証要求を行った外部装置(サービス事業者サーバ等)へ返信する処理を行っている。このような仕組みにより、通信ネットワークで接続されている外部装置に対して、認証機能の提供を行うことができ、また通信ネットワークによって複数の外部装置と接続可能となるため、ネットワークサービスを行う複数の外部装置に対して認証機能の提供を行うことができる。
また、ユーザが予め登録した認証方式の何れかの認証方式をユーザに選択させて、その認証方式により認証を行うこととなるため、ネットワークサービスを行う外部装置側では認証機能を備えなくて良く、かつ認証サーバで提供される様々な認証方式のうちユーザが指定した認証方式により、ユーザ認証を行うことが可能となる。
また、認証レベルの強度を高めるために、ネットワークサービスを行う外部装置は、複数の認証機能を備える必要がなくなるため、外部装置の維持コストや管理労力、構築の労力を軽減することができる。
【発明を実施するための最良の形態】
【0013】
以下、本発明の一実施形態による認証管理システムを図面を参照して説明する。
図1は同実施形態による認証管理システムの構成を示すブロック図である。
この図において、符号1は認証サーバ、2はサービス事業者サーバ(認証再実施判定手段)、3は認証要求装置、4はユーザ情報DBである。そして、本実施形態においては、認証サーバ1とサービス事業者サーバ2が通信ネットワークを介して接続し、また認証サーバ1とユーザ情報DB4が通信ネットワークを介して接続することにより認証管理システムを構成している。そして認証サーバ1は、認証レベル管理部11、DB(データベース)管理部12、認証部13、I/F(インタフェース)14(認証要求受付手段)を備えており、さらに認証レベル管理部11は、認証ポイント応答部111(認証成功出力手段、ポイント出力手段)、認証方式選択部112(認証方式出力手段、認証方式指定受付手段)、認証制御部113(認証実施要求手段)、認証セッション管理部114(認証方式記憶手段、認証完了情報記憶手段)、I/F115を備えている。
【0014】
そして、本実施形態における認証管理システムでは、複数の認証方式それぞれの認証ポイントを記憶し、また、認証対象者毎の複数の認証方式それぞれの認証完了情報を記憶している。そして、認証サーバ1がサービス事業者サーバ2より認証対象者の認証要求を受け付けると、その認証要求を行った認証対象者についての、認証完了情報が認証完了と示す認証方式と、当該認証方式の認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、認証対象者の認証処理の実施要求を行う。そして、認証再実施判定ポイントが、サービス事業者サーバの要求する値となるまで、認証完了していない認証方式で認証を繰り返し、認証再実施判定ポイントがサービス事業者サーバの要求する値となった場合には初めて、認証対象者の認証を成功と判断する。これにより、複数の異なるネットワークサービスに対して認証機能の提供を行うことができると共に、ある認証強度の認証を実現するために、それぞれのネットワークサービスに対して柔軟に複数の認証方式を提供する。
【0015】
次に、認証管理システムで記憶する各種情報について説明する。
図2はユーザ認証管理テーブルを示す図である。
このユーザ認証管理テーブルは、ユーザが認証要求装置3を用いて認証方式の選択を行った際に、認証セッション管理部114が1カラムずつメモリ等に登録する情報であり、認証要求装置3を利用するユーザのユーザIDと、その認証要求装置3が認証を行う認証方式と、その認証の有効期限と、認証が済んだか、認証完了待ちか、を示す認証完了状態の情報(認証完了情報)と、認証待ちの期限とを対応付けて記憶している。
【0016】
図3は認証ポイント管理テーブルを示す図である。
この認証ポイント管理テーブルは、管理者に登録されることにより、予め認証セッション管理部114がメモリ等に記憶しているものであり、認証方式とその認証方式を行ったときにユーザに付与される認証ポイントとを対応付けて記憶している。
【0017】
図4は認証プロファイルテーブルを示す図である。
この認証プロファイルテーブルは、ユーザに予め登録されることによりユーザ情報DB4が記憶するテーブルであり、ユーザIDと、そのユーザが認証時に利用することのできる認証方式とが対応付けて登録されている。
【0018】
図5は認証管理システムの処理フローを示す図である。
また、図6〜図9は認証管理システムの処理概要を示す第1〜第4の図である。
次に、図5〜図9を用いて認証管理システムの処理の詳細について説明する。
図5、図6より、まず、ユーザAがPC(Personal Computer)等の認証要求装置3を用いてサービス事業者サーバにアクセスし、何らかのネットワークサービスの提供を受けるための操作を行う。するとサービス事業者サーバ2は、サービスを提供するための認証開始を判定し、認証サーバ1へユーザAのユーザIDと、サービス事業者サーバ2においてユーザAに対してサービス提供を行うために必要なポイント数(以下、サービス提供可能ポイント値)を格納した認証レベル要求(認証要求)を送信する(ステップS1)。本実施形態においてサービス提供可能ポイント値は「4」であるとする。なお、この認証レベル要求はユーザの認証レベルを確認するためのものである。つまり認証サーバ1は、サービス事業者サーバ2より受信する認証レベル要求によって、ユーザの認証ポイントが、サービスを提供するにあたり必要な認証レベル以上(サービス提供可能ポイント値以上)の値となっていれば、サービス提供を開始すると判定することとなる。
【0019】
認証サーバ1においてI/F14が認証レベル要求を受信すると、当該認証レベル要求を認証ポイント応答部111へ通知する。すると認証ポイント応答部111は認証セッション管理部114に認証レベル要求を転送する。次に認証セッション管理部114は、認証レベル要求に含まれるユーザIDを読み取り、当該ユーザIDに対応付けられて、認証セッション管理部114の備えるメモリ内のユーザ認証管理テーブル(図2)に、認証完了状態が「済」となっている認証方式が登録されているかを判定し、登録されている場合にはその認証方式1つまたは複数を読み取る(ステップS2)。なお、認証方式が読み取れる場合には、その認証方式によってユーザIDで示されるユーザが既に認証を行ったことを示している。そして、認証セッション管理部114は、読み取った1つまたは複数の認証方式の認証ポイントを認証ポイント管理テーブルから読み取り、その合計値(認証再実施判定ポイント)を算出する(ステップS3)。例えば、ユーザIDがユーザAを示すものであるため、図6の例では、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブルに登録されている、認証完了状態が「済」となっている認証方式「携帯コールバック認証(携帯電話へ発信しその応答において入力されたキーボタンの種類によって認証を行う手法)」であるため、当該「携帯コールバック認証」の情報に基づいて、認証セッション管理部114は、認証ポイント管理テーブルから認証ポイント「3」の値を読み取る。そして、他に認証完了状態が「済」となっている認証方式が無いため、この認証ポイント「3」の値を合計値と算出する。複数の認証方式による認証ポイントを読み取ることができる場合には、それら読み取った認証ポイントの合計値を算出する。そして認証セッション管理部114は認証ポイントの合計値を認証ポイント応答部111へ通知する。なお、認証再実施判定ポイントは認証ポイントの合計値とは限らず、どのような算出手法で認証再実施判定ポイントを算出しても良い。また、認証再実施判定ポイントは数値ではなく、他の認証レベル(ユーザの認証の強度がネットワークサービスを提供できる強度に達したかを示す指標)を表す情報であればどのような情報であっても良い。
【0020】
次に、認証ポイント応答部111は、認証レベル要求に含まれるサービス提供可能ポイント値と、算出した認証ポイントの合計値とを比較し(ステップS4)、認証ポイントの合計値がサービス提供可能ポイント値以上であるかを判定する。本実施形態では認証ポイントの合計値は「3」、サービス提供可能ポイント値は「4」であるので、認証ポイントの合計値がサービス提供可能ポイント値未満であると判定することとなる。これは、ユーザAの認証結果が、サービスを提供できるだけの必要な認証レベルに達していないことを示している。そして、認証ポイントの合計値がサービス提供可能ポイント値未満であると判定した場合には、認証ポイント応答部111は、認証ポイント未達(認証不成功)をサービス事業者サーバ2へ通知する(ステップS5)。
【0021】
次に、図7より、サービス事業者サーバ2は、認証ポイント未達である場合、ユーザAの認証結果が認証レベルに達するよう、認証サーバ1へユーザAのユーザIDを格納した認証方式問合せ情報(認証再実施要求)を送信する(ステップS6)。また、認証ポイント応答部111は、認証ポイント未達をサービス事業者サーバ2へ通知した後に、サービス事業者サーバ2により認証方式問合せ情報を受信すると、認証再実施を行うと判定し(ステップS7)、認証方式選択部112に処理の開始を指示すると共に認証方式問合せ情報の情報に含まれるユーザIDを通知する。次に、認証方式選択部112は、ユーザAのユーザIDに対応付けられて認証プロファイルテーブル(図4)に登録されている、ユーザAが実施可能な認証方式の情報を読み取る。また、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブル(図2)に登録されている認証完了状態が「済」となる認証方式を読み取る。そして、認証方式選択部112は、ユーザAのユーザIDに対応付けられて認証プロファイルテーブル(図4)に登録されている、実施可能な認証方式と、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブル(図2)に登録されている認証完了状態が「済」または「待」のいずれかとなる認証方式とを比較して、ユーザが実施できる認証方式であって、かつ認証完了が済んでいない認証方式を特定し(ステップS8)、その認証方式の情報をサービス事業者サーバ2へ送信する(ステップS9)。つまりこの処理は、ユーザAのユーザIDに対応付けられて認証プロファイルテーブルに登録されている、実施可能な認証方式の中から、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブルに登録されている認証完了状態が「済」または「待」のいずれかとなる認証方式を削除すればよい。サービス事業者サーバ2は、受信した認証方式の一覧を示す画面を生成して、ユーザの操作する認証要求装置3へ送信する(ステップS10)。そして、認証サーバ1において、認証方式の一覧を示す画面においてユーザによって選択された認証方式を認証要求装置3から受信して(ステップS11)、その認証方式の情報を、認証サーバ1の認証方式選択部112が受け付ける(ステップS12)。
【0022】
次に、図8より、認証方式選択部112は認証方式を受け付けると、その認証方式とユーザAのユーザIDとを認証制御部113と認証セッション管理部114とへ通知する。認証セッション管理部114では、ユーザAのユーザIDと認証方式とを対応付けてユーザ認証管理テーブル(図2)へ登録すると共に、それら情報に対応付けて認証完了状態「待」の情報と、認証待ち期限の情報を対応付けて記憶する。なお認証待ち期限とは再実施する認証の完了となるまで待機するための時間の有効期限である。また、認証制御部113は認証方式とユーザAのユーザIDとを受け付けると、当該受け付けた認証方式による認証処理の指示(認証処理の実施要求)を認証部13に行う。すると認証部13が指示を受けた認証方式による認証処理を行う(ステップS13)。本実施形態において、ユーザAの選択した認証方式がID/パスワード認証方式であるとすると、例えば認証部13は、認証用IDとパスワードの入力画面をサービス事業者サーバ2へ送信し、サービス事業者サーバ2がその入力画面の情報を格納した認証要求をユーザAの認証要求装置3へ送信する。そして認証要求装置3において認証用IDとパスワードの入力画面が表示され、その入力画面においてユーザAが自身の認証用IDとパスワードを入力して入力完了を指示する。すると認証要求装置3が、入力画面に入力された認証用IDとパスワードをサービス事業者サーバ2へ送信して、当該サービス事業者サーバ2がその認証用IDとパスワードを認証サーバ1へ送信する。次に、認証用IDとパスワードは認証サーバ1の認証制御部113を介して認証部13へ送られ、これにより認証部13が受信した認証用IDとパスワードによる認証を行う。
【0023】
つまりユーザAの認証用IDとパスワードの組み合わせを予めユーザ情報DB4で記憶しており、その認証用IDとパスワードの組み合わせと、受信した認証用IDとパスワードの組み合わせが一致するか否かの判定と、ユーザAのユーザIDと認証方式の組み合わせによりユーザ認証管理テーブル(図2)に記録されている認証待ち期限が満了となっていないかの判定により認証を行う。そして、認証部13は認証再実施で行った認証がOKである場合には、認証制御部113に認証OKを通知する。認証制御部113は認証OKを受け付けると、ユーザAのユーザIDと、認証再実施において行った認証方式と、認証OKの情報とを認証セッション管理部114に通知する。すると、認証セッション管理部114は、ユーザ認証管理テーブルにおいて、ユーザIDと認証方式との組み合わせに対応付けられている認証完了状態「待」の情報を認証完了状態「済」の情報に書き換える。また、それら情報に対応付けて、再実施した認証の有効期限をユーザ認証管理テーブルに登録する。これにより、認証有効期限の間は、再実施した認証が有効であると判断されることとなる。
【0024】
次に再実施した認証が完了すると認証制御部113は、サービス事業者サーバ2へ認証再実施の完了を通知する(ステップS14)。するとサービス事業者サーバ2は、再度、認証サーバ1へ、ユーザAのユーザIDと、サービス提供可能ポイント値「4」を格納した認証レベル要求を送信する(ステップS15)。すると認証サーバ1は再度、上記ステップS2〜ステップS4の処理と同様の処理を繰り返す。つまり、認証サーバ1においてI/F14が認証レベル要求を受信すると、当該認証レベル要求を認証ポイント応答部111へ通知する。すると認証ポイント応答部111は認証セッション管理部114に認証レベル要求を転送する。次に認証セッション管理部114は、認証レベル要求に含まれるユーザIDを読み取り、当該ユーザIDに対応付けられて、認証セッション管理部114の備えるメモリ内のユーザ認証管理テーブル(図2)に、認証完了状態が「済」となっている認証方式が登録されているかを判定し、登録されている場合にはその認証方式1つまたは複数を読み取る(ステップS16)。なお、認証方式が読み取れる場合には、その認証方式によってユーザIDで示されるユーザが既に認証を行ったことを示している。そして、認証セッション管理部114は、読み取った1つまたは複数の認証方式の認証ポイントを認証ポイント管理テーブルから読み取り、その合計値を算出する(ステップS17)。例えば、ユーザIDがユーザAを示すものであるため、図9の例では、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブルに登録されている、認証完了状態が「済」となっている認証方式「携帯コールバック認証」および「ID/パスワード認証」に基づいて、認証セッション管理部114は、認証ポイント管理テーブルから認証ポイント「3」および「1」の値を読み取る。そして、それら読み取った認証ポイントの合計値「4」を算出する。そして認証セッション管理部114は認証ポイントの合計値「4」を認証ポイント応答部111へ通知する。
【0025】
次に、認証ポイント応答部111は、認証レベル要求に含まれるサービス提供可能ポイント値と、算出した認証ポイントの合計値とを比較し(ステップS18)、認証ポイントの合計値がサービス提供可能ポイント値以上であるかを判定する。本実施形態では認証ポイントの合計値は「4」、サービス提供可能ポイント値は「4」であるので、認証ポイントの合計値がサービス提供可能ポイント値以上であると判定することとなる。これは、ユーザAの認証結果が、サービスを提供できるために必要な認証レベルに達していることを示している。そして、認証ポイントの合計値がサービス提供可能ポイント値以上であると判定した場合には、認証ポイント応答部111は、認証成功をサービス事業者サーバ2へ通知する(ステップS19)。認証成功である場合、サービス事業者サーバ2は、ユーザAの認証要求装置3に対して、サービスの提供開始を判定する。
【0026】
なお、上述のステップS18の処理の結果、再度、認証ポイントの合計値がサービス提供可能ポイント値未満であると判定され、認証ポイント未達がサービス事業者サーバに通知された場合には、サービス事業者サーバ2は、認証ポイントの合計値がサービス提供可能ポイント値以上であると判定されるまで、上記ステップS6の認証再実施の要求を行うようにしてもよい。そして、認証ポイントの合計値がサービス提供可能ポイント値以上となり認証成功を受信した場合には、上述の通りサービス事業者サーバ2はユーザAの認証要求装置3に対して、サービスの提供開始を判定する。
【0027】
以上、本発明の実施形態について説明したが、上述の処理によれば、認証サーバは、ユーザが行った認証方式による認証完了状態と、各認証方式の認証ポイントとに基づいて、ユーザの認証結果が外部装置の要求する認証レベルに達しているかを判定し、その結果を、認証レベル要求を行った外部装置(サービス事業者サーバ等)へ返信する処理を行っている。このような仕組みにより、通信ネットワークで接続されている外部装置に対して、認証機能の提供を行うことができ、また通信ネットワークによって複数の外部装置と接続可能となるため、ネットワークサービスを行う複数の外部装置に対して認証機能の提供を行うことができる。
また、ユーザが予め登録した認証方式の何れかの認証方式をユーザに選択させて、その認証方式により認証を行うこととなるため、ネットワークサービスを行う外部装置側では認証機能を備えなくて良く、かつ認証サーバで提供される様々な認証方式のうちユーザが指定した認証方式により、ユーザ認証を行うことが可能となる。
また、認証レベルの強度を高めるために、ネットワークサービスを行う外部装置は、複数の認証機能を備える必要がなくなるため、外部装置の維持コストや管理労力、構築の労力を軽減することができる。
【0028】
図10は認証管理システムの構成を示す第2のブロック図である。
上述の処理においては、認証処理を行う認証部13を認証サーバ1内に備える場合の例について説明したが、図10で示すように、認証部13の機能のみを備えた認証装置が、認証サーバ1とネットワークを介して接続され、その認証装置において認証処理が行われるようにしても良い。
また、上述の処理においては、認証方式の選択をさせる認証方式の一覧画面を、サービス事業者サーバ2を介してユーザの利用する認証要求装置3に送信する例について説明したが、図10で示すように、認証ポータルサーバを認証サーバ1に通信ネットワークを介して接続させ、当該認証ポータルサーバを介して認証方式の選択をさせる認証方式の一覧画面を、ユーザの利用する認証要求装置3に送信するようにしてもよい。
また、上述の処理においては、認証再実施における認証方式をユーザに選択させる場合の例を示しているが、サービス事業者サーバ2がネットワークサービスの提供に適切な認証方式を自動的に選択して、その結果を認証サーバ1へ通知し、認証サーバ1ではその自動的に選択された認証方式を用いて認証再実施の処理を行うようにしてもよい。
また、上述の処理においては、認証レベル要求の結果として、サービス事業者サーバから受信したサービス提供可能ポイント値以上であるかを示す(つまり、認証レベルが必要以上となっているかを示す)認証成功または認証不成功を示す情報をサービス事業者サーバへ送信する場合の例を示しているが、これに限らず、例えば、認証完了状態が「済」となっている認証方式の認証ポイントの合計値をサービス事業者サーバ2へ送信し、その値によって、サービス事業者サーバ2側が認証レベルが必要以上となっているかを判断するようにしてもよい。
【0029】
上述の各サーバや装置は内部に、コンピュータシステムを有している。そして、上述した各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0030】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0031】
【図1】認証管理システムの構成を示すブロック図である。
【図2】ユーザ認証管理テーブルを示す図である。
【図3】認証ポイント管理テーブルを示す図である。
【図4】認証プロファイルテーブルを示す図である。
【図5】認証管理システムの処理フローを示す図である。
【図6】認証管理システムの処理概要を示す第1の図である。
【図7】認証管理システムの処理概要を示す第2の図である。
【図8】認証管理システムの処理概要を示す第3の図である。
【図9】認証管理システムの処理概要を示す第4の図である。
【図10】認証管理システムの構成を示す第2のブロック図である。
【符号の説明】
【0032】
1・・・認証サーバ
2・・・サービス事業者サーバ
3・・・認証要求装置
4・・・ユーザ情報DB
11・・・認証レベル管理部
12・・・DB管理部
13・・・認証部
14・・・I/F
111・・・認証ポイント応答部
112・・・認証方式選択部
113・・・認証制御部
114・・・認証セッション管理部
115・・・I/F
【技術分野】
【0001】
本発明は、認証対象者の認証を行う認証管理装置および認証管理方法ならびにそのプログラムに関する。
【背景技術】
【0002】
従来、ネットワークサービスを提供するコンピュータシステムにおいては様々なユーザ認証の仕組みが提供されており、例えば、より高い認証強度の認証の仕組みを提供するために、複数回の異なる認証方式によりユーザを認証する仕組みや、ユーザの生態情報を用いて認証を行う仕組みが提供されている。
【特許文献1】特開2008−102772号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上述のような認証の仕組みでは、異なるネットワークサービス毎にそれぞれ、認証の仕組みを提供するための機能を備えるための作りこみを行う必要があり、また、複数の異なるネットワークサービスに対して認証機能の提供を行う1つの認証システムが求められている。また、上述のような従来の認証システムでは、ネットワークサービス毎に、特定の認証強度の認証を実現するための認証方式が固定化されており、ある認証強度の認証を行うために、複数の認証方式を用いることができる柔軟な認証システムが求められている。
【0004】
そこでこの発明は、複数の異なるネットワークサービスに対して認証機能の提供を行うことができると共に、ある認証強度の認証を実現するために、それぞれのネットワークサービスに対して柔軟に複数の認証方式を提供することができる認証管理装置および認証管理方法ならびにそのプログラムを提供することを目的としている。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、認証対象者の認証要求を受け付ける認証要求受付手段と、複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段と、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段と、を備えることを特徴とする認証管理装置である。
【0006】
また本発明は、上述の認証管理装置において、前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、認証成功を出力する認証成功出力手段と、を備えることを特徴とする。
【0007】
また本発明は、上述の認証管理装置において、前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、前記認証再実施判定ポイントを出力するポイント出力手段と、を備えることを特徴とする。
【0008】
また本発明は、上述の認証管理装置において、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち前記認証完了情報が認証完了と示されていない認証方式を出力する認証方式出力手段を備え、前記認証実施要求手段は、前記出力した認証方式のうちの1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行うことを特徴とする。
【0009】
また本発明は、上述の認証管理装置において、前記出力した認証方式のうちの1つの認証方式の指定を受け付ける認証方式指定受付手段と、を備え、前記認証実施要求手段は、前記出力した認証方式のうちの前記指定を受け付けた1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行うことを特徴とする。
【0010】
また本発明は、認証管理装置における認証管理方法であって、前記認証管理装置の認証要求受付手段が、認証対象者の認証要求を受け付け、前記認証管理装置の認証方式記憶手段が、複数の認証方式それぞれの認証ポイントを記憶し、前記認証管理装置の認証完了情報記憶手段が、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶し、前記認証管理装置の認証再実施判定手段が、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、前記認証管理装置の認証実施要求手段が、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行うことを特徴とする認証管理方法である。
【0011】
また本発明は、複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、を備える認証管理装置のコンピュータを、認証対象者の認証要求を受け付ける認証要求受付手段、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段、として機能させるためのプログラムである。
【発明の効果】
【0012】
本発明によれば、認証サーバは、ユーザが行った認証方式による認証完了状態と、各認証方式の認証ポイントとに基づいて、ユーザの認証結果が外部装置の要求する認証レベルに達しているかを判定し、その結果を、認証要求を行った外部装置(サービス事業者サーバ等)へ返信する処理を行っている。このような仕組みにより、通信ネットワークで接続されている外部装置に対して、認証機能の提供を行うことができ、また通信ネットワークによって複数の外部装置と接続可能となるため、ネットワークサービスを行う複数の外部装置に対して認証機能の提供を行うことができる。
また、ユーザが予め登録した認証方式の何れかの認証方式をユーザに選択させて、その認証方式により認証を行うこととなるため、ネットワークサービスを行う外部装置側では認証機能を備えなくて良く、かつ認証サーバで提供される様々な認証方式のうちユーザが指定した認証方式により、ユーザ認証を行うことが可能となる。
また、認証レベルの強度を高めるために、ネットワークサービスを行う外部装置は、複数の認証機能を備える必要がなくなるため、外部装置の維持コストや管理労力、構築の労力を軽減することができる。
【発明を実施するための最良の形態】
【0013】
以下、本発明の一実施形態による認証管理システムを図面を参照して説明する。
図1は同実施形態による認証管理システムの構成を示すブロック図である。
この図において、符号1は認証サーバ、2はサービス事業者サーバ(認証再実施判定手段)、3は認証要求装置、4はユーザ情報DBである。そして、本実施形態においては、認証サーバ1とサービス事業者サーバ2が通信ネットワークを介して接続し、また認証サーバ1とユーザ情報DB4が通信ネットワークを介して接続することにより認証管理システムを構成している。そして認証サーバ1は、認証レベル管理部11、DB(データベース)管理部12、認証部13、I/F(インタフェース)14(認証要求受付手段)を備えており、さらに認証レベル管理部11は、認証ポイント応答部111(認証成功出力手段、ポイント出力手段)、認証方式選択部112(認証方式出力手段、認証方式指定受付手段)、認証制御部113(認証実施要求手段)、認証セッション管理部114(認証方式記憶手段、認証完了情報記憶手段)、I/F115を備えている。
【0014】
そして、本実施形態における認証管理システムでは、複数の認証方式それぞれの認証ポイントを記憶し、また、認証対象者毎の複数の認証方式それぞれの認証完了情報を記憶している。そして、認証サーバ1がサービス事業者サーバ2より認証対象者の認証要求を受け付けると、その認証要求を行った認証対象者についての、認証完了情報が認証完了と示す認証方式と、当該認証方式の認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、認証対象者の認証処理の実施要求を行う。そして、認証再実施判定ポイントが、サービス事業者サーバの要求する値となるまで、認証完了していない認証方式で認証を繰り返し、認証再実施判定ポイントがサービス事業者サーバの要求する値となった場合には初めて、認証対象者の認証を成功と判断する。これにより、複数の異なるネットワークサービスに対して認証機能の提供を行うことができると共に、ある認証強度の認証を実現するために、それぞれのネットワークサービスに対して柔軟に複数の認証方式を提供する。
【0015】
次に、認証管理システムで記憶する各種情報について説明する。
図2はユーザ認証管理テーブルを示す図である。
このユーザ認証管理テーブルは、ユーザが認証要求装置3を用いて認証方式の選択を行った際に、認証セッション管理部114が1カラムずつメモリ等に登録する情報であり、認証要求装置3を利用するユーザのユーザIDと、その認証要求装置3が認証を行う認証方式と、その認証の有効期限と、認証が済んだか、認証完了待ちか、を示す認証完了状態の情報(認証完了情報)と、認証待ちの期限とを対応付けて記憶している。
【0016】
図3は認証ポイント管理テーブルを示す図である。
この認証ポイント管理テーブルは、管理者に登録されることにより、予め認証セッション管理部114がメモリ等に記憶しているものであり、認証方式とその認証方式を行ったときにユーザに付与される認証ポイントとを対応付けて記憶している。
【0017】
図4は認証プロファイルテーブルを示す図である。
この認証プロファイルテーブルは、ユーザに予め登録されることによりユーザ情報DB4が記憶するテーブルであり、ユーザIDと、そのユーザが認証時に利用することのできる認証方式とが対応付けて登録されている。
【0018】
図5は認証管理システムの処理フローを示す図である。
また、図6〜図9は認証管理システムの処理概要を示す第1〜第4の図である。
次に、図5〜図9を用いて認証管理システムの処理の詳細について説明する。
図5、図6より、まず、ユーザAがPC(Personal Computer)等の認証要求装置3を用いてサービス事業者サーバにアクセスし、何らかのネットワークサービスの提供を受けるための操作を行う。するとサービス事業者サーバ2は、サービスを提供するための認証開始を判定し、認証サーバ1へユーザAのユーザIDと、サービス事業者サーバ2においてユーザAに対してサービス提供を行うために必要なポイント数(以下、サービス提供可能ポイント値)を格納した認証レベル要求(認証要求)を送信する(ステップS1)。本実施形態においてサービス提供可能ポイント値は「4」であるとする。なお、この認証レベル要求はユーザの認証レベルを確認するためのものである。つまり認証サーバ1は、サービス事業者サーバ2より受信する認証レベル要求によって、ユーザの認証ポイントが、サービスを提供するにあたり必要な認証レベル以上(サービス提供可能ポイント値以上)の値となっていれば、サービス提供を開始すると判定することとなる。
【0019】
認証サーバ1においてI/F14が認証レベル要求を受信すると、当該認証レベル要求を認証ポイント応答部111へ通知する。すると認証ポイント応答部111は認証セッション管理部114に認証レベル要求を転送する。次に認証セッション管理部114は、認証レベル要求に含まれるユーザIDを読み取り、当該ユーザIDに対応付けられて、認証セッション管理部114の備えるメモリ内のユーザ認証管理テーブル(図2)に、認証完了状態が「済」となっている認証方式が登録されているかを判定し、登録されている場合にはその認証方式1つまたは複数を読み取る(ステップS2)。なお、認証方式が読み取れる場合には、その認証方式によってユーザIDで示されるユーザが既に認証を行ったことを示している。そして、認証セッション管理部114は、読み取った1つまたは複数の認証方式の認証ポイントを認証ポイント管理テーブルから読み取り、その合計値(認証再実施判定ポイント)を算出する(ステップS3)。例えば、ユーザIDがユーザAを示すものであるため、図6の例では、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブルに登録されている、認証完了状態が「済」となっている認証方式「携帯コールバック認証(携帯電話へ発信しその応答において入力されたキーボタンの種類によって認証を行う手法)」であるため、当該「携帯コールバック認証」の情報に基づいて、認証セッション管理部114は、認証ポイント管理テーブルから認証ポイント「3」の値を読み取る。そして、他に認証完了状態が「済」となっている認証方式が無いため、この認証ポイント「3」の値を合計値と算出する。複数の認証方式による認証ポイントを読み取ることができる場合には、それら読み取った認証ポイントの合計値を算出する。そして認証セッション管理部114は認証ポイントの合計値を認証ポイント応答部111へ通知する。なお、認証再実施判定ポイントは認証ポイントの合計値とは限らず、どのような算出手法で認証再実施判定ポイントを算出しても良い。また、認証再実施判定ポイントは数値ではなく、他の認証レベル(ユーザの認証の強度がネットワークサービスを提供できる強度に達したかを示す指標)を表す情報であればどのような情報であっても良い。
【0020】
次に、認証ポイント応答部111は、認証レベル要求に含まれるサービス提供可能ポイント値と、算出した認証ポイントの合計値とを比較し(ステップS4)、認証ポイントの合計値がサービス提供可能ポイント値以上であるかを判定する。本実施形態では認証ポイントの合計値は「3」、サービス提供可能ポイント値は「4」であるので、認証ポイントの合計値がサービス提供可能ポイント値未満であると判定することとなる。これは、ユーザAの認証結果が、サービスを提供できるだけの必要な認証レベルに達していないことを示している。そして、認証ポイントの合計値がサービス提供可能ポイント値未満であると判定した場合には、認証ポイント応答部111は、認証ポイント未達(認証不成功)をサービス事業者サーバ2へ通知する(ステップS5)。
【0021】
次に、図7より、サービス事業者サーバ2は、認証ポイント未達である場合、ユーザAの認証結果が認証レベルに達するよう、認証サーバ1へユーザAのユーザIDを格納した認証方式問合せ情報(認証再実施要求)を送信する(ステップS6)。また、認証ポイント応答部111は、認証ポイント未達をサービス事業者サーバ2へ通知した後に、サービス事業者サーバ2により認証方式問合せ情報を受信すると、認証再実施を行うと判定し(ステップS7)、認証方式選択部112に処理の開始を指示すると共に認証方式問合せ情報の情報に含まれるユーザIDを通知する。次に、認証方式選択部112は、ユーザAのユーザIDに対応付けられて認証プロファイルテーブル(図4)に登録されている、ユーザAが実施可能な認証方式の情報を読み取る。また、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブル(図2)に登録されている認証完了状態が「済」となる認証方式を読み取る。そして、認証方式選択部112は、ユーザAのユーザIDに対応付けられて認証プロファイルテーブル(図4)に登録されている、実施可能な認証方式と、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブル(図2)に登録されている認証完了状態が「済」または「待」のいずれかとなる認証方式とを比較して、ユーザが実施できる認証方式であって、かつ認証完了が済んでいない認証方式を特定し(ステップS8)、その認証方式の情報をサービス事業者サーバ2へ送信する(ステップS9)。つまりこの処理は、ユーザAのユーザIDに対応付けられて認証プロファイルテーブルに登録されている、実施可能な認証方式の中から、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブルに登録されている認証完了状態が「済」または「待」のいずれかとなる認証方式を削除すればよい。サービス事業者サーバ2は、受信した認証方式の一覧を示す画面を生成して、ユーザの操作する認証要求装置3へ送信する(ステップS10)。そして、認証サーバ1において、認証方式の一覧を示す画面においてユーザによって選択された認証方式を認証要求装置3から受信して(ステップS11)、その認証方式の情報を、認証サーバ1の認証方式選択部112が受け付ける(ステップS12)。
【0022】
次に、図8より、認証方式選択部112は認証方式を受け付けると、その認証方式とユーザAのユーザIDとを認証制御部113と認証セッション管理部114とへ通知する。認証セッション管理部114では、ユーザAのユーザIDと認証方式とを対応付けてユーザ認証管理テーブル(図2)へ登録すると共に、それら情報に対応付けて認証完了状態「待」の情報と、認証待ち期限の情報を対応付けて記憶する。なお認証待ち期限とは再実施する認証の完了となるまで待機するための時間の有効期限である。また、認証制御部113は認証方式とユーザAのユーザIDとを受け付けると、当該受け付けた認証方式による認証処理の指示(認証処理の実施要求)を認証部13に行う。すると認証部13が指示を受けた認証方式による認証処理を行う(ステップS13)。本実施形態において、ユーザAの選択した認証方式がID/パスワード認証方式であるとすると、例えば認証部13は、認証用IDとパスワードの入力画面をサービス事業者サーバ2へ送信し、サービス事業者サーバ2がその入力画面の情報を格納した認証要求をユーザAの認証要求装置3へ送信する。そして認証要求装置3において認証用IDとパスワードの入力画面が表示され、その入力画面においてユーザAが自身の認証用IDとパスワードを入力して入力完了を指示する。すると認証要求装置3が、入力画面に入力された認証用IDとパスワードをサービス事業者サーバ2へ送信して、当該サービス事業者サーバ2がその認証用IDとパスワードを認証サーバ1へ送信する。次に、認証用IDとパスワードは認証サーバ1の認証制御部113を介して認証部13へ送られ、これにより認証部13が受信した認証用IDとパスワードによる認証を行う。
【0023】
つまりユーザAの認証用IDとパスワードの組み合わせを予めユーザ情報DB4で記憶しており、その認証用IDとパスワードの組み合わせと、受信した認証用IDとパスワードの組み合わせが一致するか否かの判定と、ユーザAのユーザIDと認証方式の組み合わせによりユーザ認証管理テーブル(図2)に記録されている認証待ち期限が満了となっていないかの判定により認証を行う。そして、認証部13は認証再実施で行った認証がOKである場合には、認証制御部113に認証OKを通知する。認証制御部113は認証OKを受け付けると、ユーザAのユーザIDと、認証再実施において行った認証方式と、認証OKの情報とを認証セッション管理部114に通知する。すると、認証セッション管理部114は、ユーザ認証管理テーブルにおいて、ユーザIDと認証方式との組み合わせに対応付けられている認証完了状態「待」の情報を認証完了状態「済」の情報に書き換える。また、それら情報に対応付けて、再実施した認証の有効期限をユーザ認証管理テーブルに登録する。これにより、認証有効期限の間は、再実施した認証が有効であると判断されることとなる。
【0024】
次に再実施した認証が完了すると認証制御部113は、サービス事業者サーバ2へ認証再実施の完了を通知する(ステップS14)。するとサービス事業者サーバ2は、再度、認証サーバ1へ、ユーザAのユーザIDと、サービス提供可能ポイント値「4」を格納した認証レベル要求を送信する(ステップS15)。すると認証サーバ1は再度、上記ステップS2〜ステップS4の処理と同様の処理を繰り返す。つまり、認証サーバ1においてI/F14が認証レベル要求を受信すると、当該認証レベル要求を認証ポイント応答部111へ通知する。すると認証ポイント応答部111は認証セッション管理部114に認証レベル要求を転送する。次に認証セッション管理部114は、認証レベル要求に含まれるユーザIDを読み取り、当該ユーザIDに対応付けられて、認証セッション管理部114の備えるメモリ内のユーザ認証管理テーブル(図2)に、認証完了状態が「済」となっている認証方式が登録されているかを判定し、登録されている場合にはその認証方式1つまたは複数を読み取る(ステップS16)。なお、認証方式が読み取れる場合には、その認証方式によってユーザIDで示されるユーザが既に認証を行ったことを示している。そして、認証セッション管理部114は、読み取った1つまたは複数の認証方式の認証ポイントを認証ポイント管理テーブルから読み取り、その合計値を算出する(ステップS17)。例えば、ユーザIDがユーザAを示すものであるため、図9の例では、ユーザAのユーザIDに対応付けられてユーザ認証管理テーブルに登録されている、認証完了状態が「済」となっている認証方式「携帯コールバック認証」および「ID/パスワード認証」に基づいて、認証セッション管理部114は、認証ポイント管理テーブルから認証ポイント「3」および「1」の値を読み取る。そして、それら読み取った認証ポイントの合計値「4」を算出する。そして認証セッション管理部114は認証ポイントの合計値「4」を認証ポイント応答部111へ通知する。
【0025】
次に、認証ポイント応答部111は、認証レベル要求に含まれるサービス提供可能ポイント値と、算出した認証ポイントの合計値とを比較し(ステップS18)、認証ポイントの合計値がサービス提供可能ポイント値以上であるかを判定する。本実施形態では認証ポイントの合計値は「4」、サービス提供可能ポイント値は「4」であるので、認証ポイントの合計値がサービス提供可能ポイント値以上であると判定することとなる。これは、ユーザAの認証結果が、サービスを提供できるために必要な認証レベルに達していることを示している。そして、認証ポイントの合計値がサービス提供可能ポイント値以上であると判定した場合には、認証ポイント応答部111は、認証成功をサービス事業者サーバ2へ通知する(ステップS19)。認証成功である場合、サービス事業者サーバ2は、ユーザAの認証要求装置3に対して、サービスの提供開始を判定する。
【0026】
なお、上述のステップS18の処理の結果、再度、認証ポイントの合計値がサービス提供可能ポイント値未満であると判定され、認証ポイント未達がサービス事業者サーバに通知された場合には、サービス事業者サーバ2は、認証ポイントの合計値がサービス提供可能ポイント値以上であると判定されるまで、上記ステップS6の認証再実施の要求を行うようにしてもよい。そして、認証ポイントの合計値がサービス提供可能ポイント値以上となり認証成功を受信した場合には、上述の通りサービス事業者サーバ2はユーザAの認証要求装置3に対して、サービスの提供開始を判定する。
【0027】
以上、本発明の実施形態について説明したが、上述の処理によれば、認証サーバは、ユーザが行った認証方式による認証完了状態と、各認証方式の認証ポイントとに基づいて、ユーザの認証結果が外部装置の要求する認証レベルに達しているかを判定し、その結果を、認証レベル要求を行った外部装置(サービス事業者サーバ等)へ返信する処理を行っている。このような仕組みにより、通信ネットワークで接続されている外部装置に対して、認証機能の提供を行うことができ、また通信ネットワークによって複数の外部装置と接続可能となるため、ネットワークサービスを行う複数の外部装置に対して認証機能の提供を行うことができる。
また、ユーザが予め登録した認証方式の何れかの認証方式をユーザに選択させて、その認証方式により認証を行うこととなるため、ネットワークサービスを行う外部装置側では認証機能を備えなくて良く、かつ認証サーバで提供される様々な認証方式のうちユーザが指定した認証方式により、ユーザ認証を行うことが可能となる。
また、認証レベルの強度を高めるために、ネットワークサービスを行う外部装置は、複数の認証機能を備える必要がなくなるため、外部装置の維持コストや管理労力、構築の労力を軽減することができる。
【0028】
図10は認証管理システムの構成を示す第2のブロック図である。
上述の処理においては、認証処理を行う認証部13を認証サーバ1内に備える場合の例について説明したが、図10で示すように、認証部13の機能のみを備えた認証装置が、認証サーバ1とネットワークを介して接続され、その認証装置において認証処理が行われるようにしても良い。
また、上述の処理においては、認証方式の選択をさせる認証方式の一覧画面を、サービス事業者サーバ2を介してユーザの利用する認証要求装置3に送信する例について説明したが、図10で示すように、認証ポータルサーバを認証サーバ1に通信ネットワークを介して接続させ、当該認証ポータルサーバを介して認証方式の選択をさせる認証方式の一覧画面を、ユーザの利用する認証要求装置3に送信するようにしてもよい。
また、上述の処理においては、認証再実施における認証方式をユーザに選択させる場合の例を示しているが、サービス事業者サーバ2がネットワークサービスの提供に適切な認証方式を自動的に選択して、その結果を認証サーバ1へ通知し、認証サーバ1ではその自動的に選択された認証方式を用いて認証再実施の処理を行うようにしてもよい。
また、上述の処理においては、認証レベル要求の結果として、サービス事業者サーバから受信したサービス提供可能ポイント値以上であるかを示す(つまり、認証レベルが必要以上となっているかを示す)認証成功または認証不成功を示す情報をサービス事業者サーバへ送信する場合の例を示しているが、これに限らず、例えば、認証完了状態が「済」となっている認証方式の認証ポイントの合計値をサービス事業者サーバ2へ送信し、その値によって、サービス事業者サーバ2側が認証レベルが必要以上となっているかを判断するようにしてもよい。
【0029】
上述の各サーバや装置は内部に、コンピュータシステムを有している。そして、上述した各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0030】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0031】
【図1】認証管理システムの構成を示すブロック図である。
【図2】ユーザ認証管理テーブルを示す図である。
【図3】認証ポイント管理テーブルを示す図である。
【図4】認証プロファイルテーブルを示す図である。
【図5】認証管理システムの処理フローを示す図である。
【図6】認証管理システムの処理概要を示す第1の図である。
【図7】認証管理システムの処理概要を示す第2の図である。
【図8】認証管理システムの処理概要を示す第3の図である。
【図9】認証管理システムの処理概要を示す第4の図である。
【図10】認証管理システムの構成を示す第2のブロック図である。
【符号の説明】
【0032】
1・・・認証サーバ
2・・・サービス事業者サーバ
3・・・認証要求装置
4・・・ユーザ情報DB
11・・・認証レベル管理部
12・・・DB管理部
13・・・認証部
14・・・I/F
111・・・認証ポイント応答部
112・・・認証方式選択部
113・・・認証制御部
114・・・認証セッション管理部
115・・・I/F
【特許請求の範囲】
【請求項1】
認証対象者の認証要求を受け付ける認証要求受付手段と、
複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、
認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、
前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段と、
前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段と、
を備えることを特徴とする認証管理装置。
【請求項2】
前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、認証成功を出力する認証成功出力手段と、
を備えることを特徴とする請求項1に記載の認証管理装置。
【請求項3】
前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、前記認証再実施判定ポイントを出力するポイント出力手段と、
を備えることを特徴とする請求項1に記載の認証管理装置。
【請求項4】
前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち前記認証完了情報が認証完了と示されていない認証方式を出力する認証方式出力手段を備え、
前記認証実施要求手段は、前記出力した認証方式のうちの1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う
ことを特徴とする請求項1〜請求項3のいずれかに記載の認証管理装置。
【請求項5】
前記出力した認証方式のうちの1つの認証方式の指定を受け付ける認証方式指定受付手段と、を備え、
前記認証実施要求手段は、前記出力した認証方式のうちの前記指定を受け付けた1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う
ことを特徴とする請求項4に記載の認証管理装置。
【請求項6】
認証管理装置における認証管理方法であって、
前記認証管理装置の認証要求受付手段が、認証対象者の認証要求を受け付け、
前記認証管理装置の認証方式記憶手段が、複数の認証方式それぞれの認証ポイントを記憶し、
前記認証管理装置の認証完了情報記憶手段が、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶し、
前記認証管理装置の認証再実施判定手段が、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、
前記認証管理装置の認証実施要求手段が、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う
ことを特徴とする認証管理方法。
【請求項7】
複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、を備える認証管理装置のコンピュータを、
認証対象者の認証要求を受け付ける認証要求受付手段、
前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段、
前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段、
として機能させるためのプログラム。
【請求項1】
認証対象者の認証要求を受け付ける認証要求受付手段と、
複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、
認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、
前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段と、
前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段と、
を備えることを特徴とする認証管理装置。
【請求項2】
前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、認証成功を出力する認証成功出力手段と、
を備えることを特徴とする請求項1に記載の認証管理装置。
【請求項3】
前記認証再実施を行うか否かの判定において認証再実施を行わないと判定した場合には、前記認証再実施判定ポイントを出力するポイント出力手段と、
を備えることを特徴とする請求項1に記載の認証管理装置。
【請求項4】
前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち前記認証完了情報が認証完了と示されていない認証方式を出力する認証方式出力手段を備え、
前記認証実施要求手段は、前記出力した認証方式のうちの1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う
ことを特徴とする請求項1〜請求項3のいずれかに記載の認証管理装置。
【請求項5】
前記出力した認証方式のうちの1つの認証方式の指定を受け付ける認証方式指定受付手段と、を備え、
前記認証実施要求手段は、前記出力した認証方式のうちの前記指定を受け付けた1つの認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う
ことを特徴とする請求項4に記載の認証管理装置。
【請求項6】
認証管理装置における認証管理方法であって、
前記認証管理装置の認証要求受付手段が、認証対象者の認証要求を受け付け、
前記認証管理装置の認証方式記憶手段が、複数の認証方式それぞれの認証ポイントを記憶し、
前記認証管理装置の認証完了情報記憶手段が、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶し、
前記認証管理装置の認証再実施判定手段が、前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定し、
前記認証管理装置の認証実施要求手段が、前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う
ことを特徴とする認証管理方法。
【請求項7】
複数の認証方式それぞれの認証ポイントを記憶する認証方式記憶手段と、認証対象者毎の前記複数の認証方式それぞれの認証完了情報を記憶する認証完了情報記憶手段と、を備える認証管理装置のコンピュータを、
認証対象者の認証要求を受け付ける認証要求受付手段、
前記認証要求を行った前記認証対象者についての、前記認証完了情報が認証完了と示す認証方式と、当該認証方式の前記認証ポイントとによって算出される認証再実施判定ポイントに基づいて、認証再実施を行うか否かを判定する認証再実施判定手段、
前記認証再実施を行うか否かの判定において認証再実施を行うと判定した場合には、前記複数の認証方式のうち認証完了情報が認証完了と示されていない認証方式に基づいて、前記認証対象者の認証処理の実施要求を行う認証実施要求手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−67124(P2010−67124A)
【公開日】平成22年3月25日(2010.3.25)
【国際特許分類】
【出願番号】特願2008−234416(P2008−234416)
【出願日】平成20年9月12日(2008.9.12)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成22年3月25日(2010.3.25)
【国際特許分類】
【出願日】平成20年9月12日(2008.9.12)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]