認証装置及びプログラム
【課題】認証処理を行う際に認証手段が受け取れる情報に制約がある場合にも、管理作業の簡易化を実現する。
【解決手段】利用者がログイン画面を介してユーザID及びパスワードを入力すると(36)、ユーザID及びパスワードに加えてログイン画面の画面IDも含む認証要求が端末から送信され、フォワーダ・サーバはユーザID、パスワード及び画面IDをアプリケーション・サーバへ転送し(38)、アプリケーション・サーバは画面IDをサービスIDに変換し、サービスIDをユーザIDの末尾に付加した後に認証サーバへ転送する(40,42)。認証サーバはユーザIDとサービスIDを分離した後に認証処理を行い(44〜52)、セッションIDを生成し、ユーザID、パスワード及びサービスIDと対応付けてテーブルに登録し、セッションIDを端末へ通知する(52〜56)。テーブルに登録した情報は端末から任意のアプリケーションへのアクセス要求を受信した場合の認可処理に用いられる。
【解決手段】利用者がログイン画面を介してユーザID及びパスワードを入力すると(36)、ユーザID及びパスワードに加えてログイン画面の画面IDも含む認証要求が端末から送信され、フォワーダ・サーバはユーザID、パスワード及び画面IDをアプリケーション・サーバへ転送し(38)、アプリケーション・サーバは画面IDをサービスIDに変換し、サービスIDをユーザIDの末尾に付加した後に認証サーバへ転送する(40,42)。認証サーバはユーザIDとサービスIDを分離した後に認証処理を行い(44〜52)、セッションIDを生成し、ユーザID、パスワード及びサービスIDと対応付けてテーブルに登録し、セッションIDを端末へ通知する(52〜56)。テーブルに登録した情報は端末から任意のアプリケーションへのアクセス要求を受信した場合の認可処理に用いられる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は認証装置及びプログラムに係り、特に、端末装置からの認証要求に応じて認証処理を行う認証装置、コンピュータを前記認証装置として機能させるための認証プログラムに関する。
【背景技術】
【0002】
シングルサインオンは、利用者が一度認証を受けるだけで、許可されているすべての機能を利用可能とするシステム(又は技術)であり、シングルサインオンのシステムに共通な認証処理を行う部分をパッケージ化することで、シングルサインオンのシステムの構築を容易にするソフトウェア(以下、このソフトウェアを認証ソフトと称する)も販売されている(例えば日本ヒューレット・パッカード株式会社製のIceWall等)。
【0003】
上記に関連して特許文献1には、互いに異なるサービスを提供すると共にユーザ情報データベースを用いて提供サービスの利用者を管理する複数のWebアプリケーションサーバが設けられた構成において、識別情報管理データベースを用いて複数のWebアプリケーションサーバ間で利用者を一意に識別し、各Webアプリケーションサーバの利用者の認証処理を中継する認証サーバを設けることで、複数のアプリケーションサーバに対する利用者の認証を一括して行うシングルサインオンを利用者に提供する技術が開示されている。
【0004】
また特許文献2には、端末は利用者の生体情報を用いて認証を行い、生体情報を認証管理装置へ送信して認証要求を行い、認証管理装置は、生体情報と予め記憶する生体情報とに基づいて認証を行い、認証結果に基づいて、端末から通信アクセスを受ける業務装置に対して当該通信アクセスの許可に用いるアクセス許可情報の返信を要求し、返信要求に応じて業務装置から受信したアクセス許可情報を端末へ転送し、端末は認証管理装置から受信したアクセス許可情報を業務装置へ送信すると共に当該業務装置へアクセス許可要求を送信する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−346570号公報
【特許文献2】特開2008−9864号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、シングルサインオンで様々なサービスを利用者に提供可能なウェブサイトにおいて、ログイン画面を複数種設け、利用者が何れのログイン画面を介して認証を受けたかに応じて利用者に提供可能なサービスを切替えたいというニーズが存在している。具体的には、例えばインターネットバンキングにおいて、PC(Personal Computer)等の通常の端末用のログイン画面と携帯端末用(モバイル用)のログイン画面を設け、携帯端末は画面サイズも受信可能なデータ量も限られていることから、携帯端末用のログイン画面を介して認証を受けた利用者に対しては、通常のログイン画面を介して認証を受けた利用者とは異なる携帯端末用のサービスを提供する等の場合が挙げられる。
【0007】
しかし、前述の認証ソフトを利用してシングルサインオンのシステムを構築しようとすると、認証ソフトの制約によって管理作業が非常に繁雑になる、という問題がある。すなわち、前述のように認証を受けたログイン画面の種類に応じて利用者に提供可能なサービスを切替えるためには、利用者がログイン画面を介して入力した認証情報に加えて、利用者が何れのログイン画面を通じて認証を要求しているかを表す識別情報も認証ソフトへ通知し、提供可能なサービスを前記識別情報の内容に応じて切り替える等の処理を認証ソフトが行う必要がある。しかしながら、認証サーバ上で動作する既存の認証ソフトでは、端末から受取可能な認証情報以外の情報が、認証サーバ上で起動させる認証ソフトのインスタンス(プロセスともいう)を指定する情報(例えばインスタンスの名称等)のみに制限されていることがある。
【0008】
このため、上記のような認証ソフトを用いてシステムを構築する場合、認証サーバ上で動作する認証ソフトのインスタンス(認証処理を行うインスタンス)として、個々のログイン画面に対応するインスタンスを各々設けておき、利用者がログイン画面を介して認証情報を入力すると、前記ログイン画面に対応するインスタンスを指定する情報が認証情報と共に端末から認証サーバへ送信されることで、利用者が認証情報を入力したログイン画面に対応するインスタンスが起動され、起動されたインスタンスで認証処理や提供可能サービスの設定等の処理が行われるように構成する必要がある。しかしながら、この場合、認証処理を行うインスタンスとしてログイン画面の種類数と同数のインスタンスが認証サーバ上で稼働することになるので、各インスタンスの動作に関する各種パラメータの設定等の管理作業が非常に繁雑になるという問題が生ずる。
【0009】
これに対し、前述した特許文献1,2には、認証ソフトに上述した制約が設けられている場合に、認証処理を行うインスタンスの数を削減して上記問題を解決する技術は開示されていない。
【0010】
本発明は上記事実を考慮して成されたもので、認証処理を行う際に認証手段が受け取れる情報に制約がある場合にも、管理作業の簡易化を実現できる認証装置及び認証プログラムを得ることが目的である。
【課題を解決するための手段】
【0011】
上記目的を達成するために請求項1記載の発明に係る認証装置は、互いに異なるサービスを提供する複数のサービス提供手段と、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段と、前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段と、前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段と、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段と、を含んで構成されている。
【0012】
請求項1記載の発明では、互いに異なるサービスを提供する複数のサービス提供手段が設けられている。なお、個々のサービス提供手段が提供するサービスは、例えば利用者からの指示に従って互いに異なる処理を行うサービスであってもよいし、利用者からの指示に従って互いに異なるサイトの情報を配信するサービスであってもよい。
【0013】
また、請求項1記載の発明において、認証要求応答手段は、互いに異なる画面識別情報(後述するサービス識別情報テーブルに登録されている複数種の画面識別情報のうちの何れか)が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した利用者識別情報及びパスワードと任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した利用者識別情報、パスワード及び画面識別情報を変換手段へ送信し、変換手段は、利用者識別情報、パスワード及び画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した画面識別情報を対応するサービス識別情報へ変換し、当該サービス識別情報を受信した利用者識別情報又はパスワードに付加し、何れか一方にサービス識別情報を付加した利用者識別情報及びパスワードを認証手段へ転送する。
【0014】
また、認証手段は、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、認証要求応答手段は、利用者識別情報、パスワード及び画面識別情報を変換手段へ送信した後、キー情報が通知されると、通知されたキー情報を利用者識別情報、パスワード及び画面識別情報の送信元の端末装置へ送信する。なお、認証手段から認証要求応答手段へのキー情報の通知は、例えば変換手段を経由して行われるように構成することができるが、認証手段から認証要求応答手段へキー情報が直接通知されるように構成することも可能である。
【0015】
これにより、端末装置を操作している利用者により、複数種のログイン画面のうち任意のログイン画面を介して正規の利用者識別情報及びパスワードが入力された場合には、入力された利用者識別情報及びパスワードの組み合わせが認証情報記憶手段に登録されていることで、キー情報が生成されて端末装置へ送信されると共に、生成されたキー情報が、少なくとも、利用者が利用者識別情報及びパスワードを入力したログイン画面に付与された画面識別情報に対応するサービス識別情報と対応付けて認証管理情報記憶手段に記憶されることになる。
【0016】
また、請求項1記載の発明において、アクセス要求応答手段は、利用者によりキー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を認証手段へ送信し、認証手段は、キー情報及びアクセス先情報を受信した場合に、受信したキー情報が認証管理情報記憶手段に記憶されているか否か判定し、受信したキー情報が認証管理情報記憶手段に記憶されている場合に、受信したキー情報と対応付けて認証管理情報記憶手段に記憶されているサービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、読み出したサービス識別情報が受信したアクセス先情報と対応付けて記憶されているか否か判定し、受信したアクセス先情報と対応付けて読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う。そしてアクセス要求応答手段は、キー情報及びアクセス先情報を認証手段へ送信した後、認証手段からアクセス許可が通知された場合に、アクセス要求をアクセスが要求されたサービス提供手段へ転送する。
【0017】
これにより、任意のログイン画面を介して正規の利用者識別情報及びパスワードを入力することでキー情報が受信された端末装置を操作している利用者により、任意のサービス提供手段へのアクセスを要求する操作が行われると、端末から送信されるアクセス要求に含まれるキー情報が認証管理情報記憶手段に記憶されているか否かに基づき、アクセスを要求している利用者が既に認証を受けた利用者か否かが判断されると共に、キー情報と対応付けて認証管理情報記憶手段に記憶されているサービス識別情報が、アクセスが要求されたサービス提供手段のアクセス先情報と対応付けてアクセス先情報記憶手段に記憶されているか否かに基づいて、アクセスが要求されたサービス提供手段が提供するサービスが、前記ログイン画面を介して利用者識別情報及びパスワードを入力した利用者に対して提供が許可されているサービスであるか否かが判断される。そして、アクセスを要求している利用者が既に認証を受けた利用者であり、かつ、アクセスが要求されたサービス提供手段が提供するサービスが、前記ログイン画面を介して利用者識別情報及びパスワードを入力した利用者に対して提供が許可されているサービスである場合には、アクセスが要求されたサービス提供手段へアクセス要求が転送されることで、利用者がサービス提供手段へアクセスしてサービスの提供を受けることが可能となる。
【0018】
上述したように、請求項1記載の発明では、認証手段で認証処理が行われる際に、端末装置から利用者識別情報、パスワード及び画面識別情報が送信されるが、この利用者識別情報、パスワード及び画面識別情報は認証要求応答手段で一旦受信された後に変換手段へ転送され、画面識別情報が変換手段によってサービス識別情報へ変換され、当該サービス識別情報が利用者識別情報又はパスワードに付加された後に認証手段へ転送されるので、認証手段が受け取れる情報に制約がある場合(例えば利用者識別情報及びパスワード以外の情報を受け取れない場合)にも、認証手段が、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離する処理を行うことで、利用者識別情報及びパスワードに加えてサービス識別情報も受け取ることができ、認証手段は、利用者識別情報及びパスワードの組み合わせが認証情報記憶手段に登録されているか否かを判定する処理を行うことに加えて、サービス識別情報に応じた処理(生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させる処理)も行うことで、利用者識別情報及びパスワードが入力されたログイン画面に応じて提供可能サービスを切り替えることができる。
【0019】
これにより、利用者識別情報及びパスワードが入力されたログイン画面に応じて提供可能サービスを切り替えることを、認証手段として機能するインスタンス(プロセス)をログイン画面の種類数と同数個設けることなく実現できるので、認証手段として機能するインスタンスの数を削減することが可能となり、これに伴い、インスタンスの動作に関する各種パラメータの設定等の管理作業も削減される。また、アクセス先情報記憶手段についても個々のインスタンス毎に分ける必要が無くなる。従って、請求項1記載の発明によれば、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現することができる。
【0020】
また、請求項1記載の発明は、画面識別情報が変換手段によってサービス識別情報へ変換されるので、サービス識別情報を利用者から隠蔽できると共に、任意のサービス提供手段へのアクセスを要求する操作が利用者によって行われる毎に、認証手段で認可処理が行われるので、特許文献1,2に記載の技術と比較して、セキュリティ性の向上を実現できるという効果も得られる。
【0021】
なお、請求項1記載の発明において、認証手段は、例えば請求項2に記載したように、生成したキー情報を、サービス識別情報に加えて、利用者識別情報及びパスワードとも対応付けて認証管理情報記憶手段に記憶させるように構成してもよい。
【0022】
また、請求項1又は請求項2記載の発明において、例えば請求項3に記載したように、前記認証手段は、前記認可処理において、受信した前記キー情報が前記認証管理情報記憶手段に記憶されていない場合、及び、前記認証情報記憶手段から読み出したサービス識別情報が受信した前記アクセス先情報と対応付けて記憶されていない場合にはアクセス不許可を通知し、前記アクセス要求応答手段は、前記認証手段から前記アクセス不許可が通知された場合は、前記アクセス要求送信元の端末装置へエラー応答を送信するように構成することができる。
【0023】
また、請求項1〜請求項3の何れかに記載の発明において、例えば請求項4に記載したように、認証要求応答手段及びアクセス要求応答手段は第1コンピュータ上で動作し、認証手段は第2コンピュータ上で単一のインスタンスとして動作し、複数のサービス提供手段及び変換手段は第3コンピュータ上で動作するように構成することができる。
【0024】
請求項5記載の発明に係る認証プログラムは、端末装置と通信可能なコンピュータを、互いに異なるサービスを提供する複数のサービス提供手段、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段、前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段、前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段、及び、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段として機能させる。
【0025】
請求項5記載の発明に係る認証プログラムは、上記のコンピュータを、上記の複数のサービス提供手段、認証手段、変換手段、認証要求応答手段及びアクセス要求応答手段として機能させるためのプログラムであるので、コンピュータが請求項5記載の発明に係る認証プログラムを実行することで、コンピュータが請求項1に記載の認証装置として機能することになり、請求項1記載の発明と同様に、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現することができる。
【発明の効果】
【0026】
以上説明したように本発明は、ログイン画面を介して利用者が入力した利用者識別情報及びパスワードと前記ログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、画面識別情報をサービス識別情報へ変換し、当該サービス識別情報を利用者識別情報又はパスワードに付加して認証手段へ転送し、認証手段において、利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離し、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、登録されている場合はキー情報を生成して端末装置へ通知すると共に、生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させ、端末装置からキー情報を含むアクセス要求を受信する毎に、キー情報が認証管理情報記憶手段に記憶されているか否か判定し、記憶されている場合に、キー情報と対応付けてサービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報をサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、読み出したサービス識別情報が受信したアクセス先情報と対応付けて記憶されているか否か判定し、記憶されている場合にアクセス要求を対応するサービス提供手段へ転送するようにしたので、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現できる、という優れた効果を有する。
【図面の簡単な説明】
【0027】
【図1】本実施形態に係るコンピュータ・システムの概略構成を示すブロック図である。
【図2】特定サイトへのアクセスのシーケンスを示すシーケンス図である。
【図3】異なるアプリケーションのログイン画面を介して認証情報が入力された場合の相違を説明するための概略図である。
【発明を実施するための形態】
【0028】
以下、図面を参照して本発明の実施形態の一例を詳細に説明する。図1には本実施形態に係るコンピュータ・システム10が示されている。コンピュータ・システム10は、多数台のウェブサーバが通信回線を介して相互に接続されて成るコンピュータ・ネットワーク(インターネット)24に接続されたウェブサイト運営システム12を備えており、インターネット24には、各々PC(Personal Computer)や、インターネット24にアクセスする機能を備えたPDA(Personal Digital Assistance)、携帯電話機等の携帯端末から成る多数台のクライアント端末26が接続されている。
【0029】
ウェブサイト運営システム12は、特定ウェブサイトを運営・管理すると共に、クライアント端末26を介して特定ウェブサイトにアクセスした利用者に対し、シングルサインオンで複数種のサービスを提供するシステムであり、フォワーダ・サーバ14、認証サーバ16、アプリケーション・サーバ18及びDB(データベース)サーバ20がイントラネット(LAN)22を介して互いに接続されて構成されている。
【0030】
アプリケーション・サーバ18は、CPU18A、ROMやRAMを含んで構成されたメモリ18B、HDD(Hard Disk Drive)等から成る不揮発性の記憶部18C、ネットワークインタフェース(I/F)部18Dを備えており、記憶部18Cには、利用者に互いに異なるサービスを提供する複数のアプリケーションのプログラムと、CPU18Aで後述するID変換処理を行うためのID変換プログラムが各々インストールされており、サービスIDテーブル(後述)も記憶されている。本実施形態では、アプリケーション・サーバ18の記憶部18Cにプログラムがインストールされている個々のアプリケーションに互いに異なるURL(Uniform Resource Locator)が割り当てられており、利用者は、所望のサービスを受けたい場合、前記サービスを提供するアプリケーションのURLにアクセスする。なお、サービスIDテーブルを記憶する記憶部18Cは、本発明に係るサービス識別情報記憶手段に対応している。
【0031】
なお、アプリケーション・サーバ18は請求項4に記載の第3コンピュータに対応しており、記憶部18Cにインストールされている複数のアプリケーションのプログラムは、本発明に係る認証プログラムのうち、アプリケーション・サーバ18を本発明に係る複数のサービス提供手段として機能させるためのプログラムに、記憶部18CにインストールされているID変換プログラムは、本発明に係る認証プログラムのうち、アプリケーション・サーバ18を本発明に係る変換手段として機能させるためのプログラムに各々対応している。本実施形態において、各アプリケーションが提供するサービスとしては任意のサービスを適用可能であるが、一例として以下では、ウェブサイト運営システム12が運営・管理する特定ウェブサイトが、利用者からのオンラインでの金融取引の実行指示を受け付けるオンライン金融取引用ウェブサイトであり、各アプリケーションが、利用者からの指示に従って互いに異なる金融取引(例えば残高照会や振込等)を行うサービスを提供する態様を説明する。
【0032】
また、フォワーダ・サーバ14は、CPU14A、メモリ14B、不揮発性の記憶部14C、ネットワークI/F部14Dを備えており、記憶部14Cには、CPU14Aが後述する認証要求時処理を行うための認証要求時プログラムと、アクセス要求時処理を行うためのアクセス要求時プログラムが各々インストールされている。また、フォワーダ・サーバ14のネットワークI/F部14Dはインターネット24に直接接続されており、クライアント端末26からインターネット24経由でオンライン金融取引用ウェブサイトへ送信された情報はフォワーダ・サーバ14で受信される。
【0033】
なお、フォワーダ・サーバ14は請求項4に記載の第1コンピュータに対応しており、記憶部14Cにインストールされている認証要求時プログラムは、本発明に係る認証プログラムのうち、フォワーダ・サーバ14を認証要求応答手段として機能させるためのプログラムに、記憶部14Cにインストールされているアクセス要求時プログラムは、本発明に係る認証プログラムのうち、フォワーダ・サーバ14を本発明に係る前記アクセス要求応答手段として機能させるためのプログラムに各々対応している。
【0034】
また、認証サーバ16は、CPU16A、メモリ16B、不揮発性の記憶部16C、ネットワークI/F部16Dを備えており、記憶部16Cには、CPU16Aが後述する認証・認可処理を行うための認証・認可プログラムがインストールされており、認証管理テーブル及びACLファイル(何れも後述)も記憶されている。なお、認証管理テーブル及びACLファイルを記憶する記憶部16Cは、本発明に係る認証管理情報記憶手段及びアクセス先情報記憶手段に各々対応している。
なお、認証・認可プログラムは認証サーバ16上で単一のインスタンスとしてCPU16Aにより実行される。また、認証サーバ16は請求項4に記載の第2コンピュータに対応しており、記憶部16Cにインストールされている認証・認可プログラムは、本発明に係る認証プログラムのうち、認証サーバ16を認証手段として機能させるためのプログラムに対応している。
【0035】
更にDBサーバ20もCPU、メモリ、記憶部20C、ネットワークI/F部を備えており(記憶部20C以外は図示省略)、記憶部20Cには認証情報DBが記憶されている。本実施形態に係るオンライン金融取引用ウェブサイトは、当該オンライン金融取引用ウェブサイトの利用を事前に申し込んだ正規の利用者に対して所定のサービスを提供するウェブサイトであり、オンライン金融取引用ウェブサイトの利用を事前に申し込んだ個々の利用者にはユーザID(このユーザIDは本発明に係る利用者識別情報に対応している)が付与される。記憶部20Cに記憶されている認証情報DBには、個々の利用者に付与されたユーザIDが、個々の利用者が設定したパスワードと共に認証情報として予め登録されている。なお、認証情報DBを記憶する記憶部20Cは本発明に係る認証情報記憶手段に対応している。
【0036】
なお、本実施形態において、本発明に係る認証プログラムに対応する各プログラム(アプリケーション・サーバ18の記憶部18Cにインストールされている複数のアプリケーションのプログラム及びID変換プログラム、フォワーダ・サーバ14の記憶部14Cにインストールされている認証要求時プログラム及びアクセス要求時プログラム、及び、認証サーバ16の記憶部16Cにインストールされている認証・認可プログラム)のうち、認証要求時プログラム、アクセス要求時プログラム及び認証・認可プログラムは、既存の認証ソフト(シングルサインオンのシステムに共通な認証処理を行う部分をパッケージ化したソフトウェア、例えば日本ヒューレット・パッカード株式会社製のIceWall)を利用して構築されている。またID変換プログラムは、例えばJava(登録商標)エージェントで構成することができる。
【0037】
次に本実施形態の作用を説明する。ウェブサイト運営システム12が運営するオンライン金融取引用ウェブサイトを利用して特定の金融取引の実行をオンラインで指示することを所望している場合、利用者は、まずクライアント端末26を介し、オンライン金融取引用ウェブサイトのホームページ(トップページ)へのアクセスを指示する操作を行う(図2のステップ30も参照)。なお、本実施形態において、オンライン金融取引用ウェブサイトのホームページ(トップページ)は、ユーザID及びパスワードの入力欄が設けられていると共に、各入力欄への情報の入力を要請するメッセージが表示されたログイン画面とされている。また本実施形態では、オンライン金融取引用ウェブサイトのログイン画面として、アクセス元のクライアント端末26が通常のPCである場合のログイン画面やアクセス元のクライアント端末26が携帯端末である場合のログイン画面等の複数種のログイン画面が設けられており、利用者は、例えば自身が操作しているクライアント端末26の種類に対応するログイン画面のURLへのアクセスを指示する。
【0038】
利用者によって上記操作が行われると、クライアント端末26からアクセス要求の電文が送信され、この電文はインターネット24を経由してフォワーダ・サーバ14へ受信される。フォワーダ・サーバ14では、アクセス要求の電文を受信し、当該電文で配信が要求されている画面がログイン画面であることをアクセスされたURLに基づいて認識すると、受信した電文をアプリケーション・サーバ18へ転送する。また、アプリケーション・サーバ18では、フォワーダ・サーバ14から転送されたアクセス要求の電文における配信対象の画面が複数種のログイン画面の何れかであることを認識すると、配信が要求されているログイン画面の情報を生成し、アクセス要求電文の送信元のクライアント端末26へ送信(配信)する処理を行う(図2のステップ32も参照)。これにより、アプリケーション・サーバ18から送信されたログイン画面の情報が、フォワーダ・サーバ14、インターネット24を経由してクライアント端末26で受信されることで、クライアント端末26のディスプレイにログイン画面が表示される(図2のステップ34も参照)。
【0039】
例として図3(A)又は(B)に示すように、オンライン金融取引用ウェブサイトの複数種のログイン画面には、何れもユーザIDの入力欄とパスワードの入力欄が各々設けられており、認証情報DBに認証情報(ユーザID及びパスワード)が記憶されているオンライン金融取引用ウェブサイトの正規の利用者は、クライアント端末26のディスプレイにログイン画面が表示されると、ログイン画面の各入力欄にユーザID、パスワードを入力し、オンライン金融取引用ウェブサイトへのログインを指示する操作を行う(図2のステップ36も参照)。
【0040】
本実施形態では、複数種のログイン画面に対して互いに異なる画面ID(図2,3では画面IDを"SID"と表記している)が予め設定されていると共に、アプリケーション・サーバ18によって生成されて配信されるログイン画面の情報には、利用者によってログインを指示する操作が行われると、ログイン画面の入力欄に入力されたユーザID及びパスワードに加えて、ユーザID及びパスワードが入力されたログイン画面の画面IDも送信する処理を行うプログラム(スクリプト等)が埋め込まれている。このため、ログインを指示する操作が利用者によって行われると、クライアント端末26からは、図2に「認証要求(UID,PW,SID)」と表記して示すように、利用者が入力したユーザID及びパスワードにログイン画面の画面IDも付加された認証要求の電文が送信される。また、この認証要求の電文に含まれる画面IDは、図3(A)に示す認証要求ではSID=001となっている一方、図3(B)に示す認証要求ではSID=002となっていることからも明らかなように、利用者がユーザID及びパスワードを入力したログイン画面の種類に応じて相違する。
【0041】
フォワーダ・サーバ14では、クライアント端末26からユーザID、パスワード及び画面IDを含む認証要求の電文を受信すると、記憶部14Cに記憶されている認証要求時プログラムがCPU14Aによって実行されることで認証要求時処理が行われる。この認証要求時処理では、クライアント端末26から受信した認証要求に含まれるユーザID、パスワード及び画面IDをアプリケーション・サーバ18へ転送する(図2のステップ38も参照)。
【0042】
アプリケーション・サーバ18では、フォワーダ・サーバ14から転送されたユーザID、パスワード及び画面IDを受信すると、記憶部18Cに記憶されているID変換プログラムがCPU18Aによって実行されることでID変換処理が行われる。このID変換処理では、まず、記憶部18Cに記憶されているサービスIDテーブルを用いて、フォワーダ・サーバ14から受信した画面IDを対応するサービスIDへ変換する処理が行われる(図2のステップ40も参照)。本実施形態に係るオンライン金融取引用ウェブサイトでは、利用者に提供するサービスの種類や条件(例えば利用者が実行を指示可能な金融取引の種類や限度額等)を、利用者が認証情報(ユーザID及びパスワード)の入力に用いたログイン画面の種類に応じて切り替えており、上記のサービスIDは利用者に提供するサービスの種類や条件を表している。なお、サービスIDは本発明に係るサービス識別情報に対応している。
【0043】
サービスIDテーブルには、複数種のログイン画面に各々設定された画面IDが、個々の画面IDのログイン画面を介して認証情報を入力した利用者に提供するサービスの種類や条件を表す互いに異なるサービスIDと対応付けて各々登録されており、受信した画面IDに対応するサービスIDは、受信した画面IDをキーにしてサービスIDテーブルを検索し、当該検索によって抽出された画面IDと対応付けて登録されているサービスIDをサービスIDテーブルから読み出すことによって得ることができる。上記処理により、例えば図3(A)に示す画面ID(SID)=001はサービスID(SVID)=Aへ変換され、図3(B)に示す画面ID(SID)=002はサービスID(SVID)=Bへ変換される。
【0044】
またID変換処理では、続いて、画面IDから変換したサービスIDをフォワーダ・サーバ14から受信したユーザIDの末尾に付加し、末尾にサービスIDを付加したユーザIDを、フォワーダ・サーバ14から受信したパスワードと共に認証サーバ16へ送信する処理が行われる(図2のステップ42も参照)。上記処理により、例えば図3(A)に示す例では、サービスID(SVID)=Aが末尾に付加されたユーザID(UID)=user1+Aが、パスワード(PW)=****と共に認証サーバ16へ送信され、図3(B)に示す例では、サービスID(SVID)=Bが末尾に付加されたユーザID(UID)=user1+Bが、パスワード(PW)=****と共に認証サーバ16へ送信される。
【0045】
前述のように、本実施形態では、認証・認可プログラムが既存の認証ソフトを利用して構築されている関係上、認証サーバ16上で動作する認証・認可プログラムが認証処理時に受け取れる情報がユーザIDとパスワードのみに制限されているが、上記のようにユーザIDの末尾にサービスIDを付加して認証サーバ16へ送信することで、認証・認可プログラムがユーザIDとパスワードに加えてサービスIDも受け取ることが可能となる。また、画面IDはログイン画面の情報から抽出可能であり利用者へ漏洩する可能性があるが、この画面IDをサービスIDに変換して用いることで、サービスIDが利用者へ漏洩することを防止することができ、ログインを指示する操作が利用者によって行われた場合にクライアント端末26からサービスIDを送信させる構成と比較して、悪意を持った第三者にサービスIDが漏洩することで認証サーバ16に対して不正なアクセスが行われる可能性を低減することができ、セキュリティ性を向上させることができる。
【0046】
一方、認証サーバ16では、アプリケーション・サーバ18からユーザID(末尾にサービスIDを付加したユーザID)とパスワードを受信すると、記憶部16Cに記憶されている認証・認可プログラムがCPU16Aによって実行されることで認証・認可処理が起動される。アプリケーション・サーバ18から(末尾にサービスIDを付加した)ユーザIDとパスワードを受信した場合、認証・認可処理では、まず、アプリケーション・サーバ18から受信したユーザIDの末尾からサービスIDを取り出すと共に、元のユーザIDの末尾からサービスIDを除去することで、受信したユーザIDをユーザIDとサービスIDとに分離する(図2のステップ44も参照)。次に、サービスIDを分離した後のユーザIDをDBサーバ20へ転送し、転送したユーザIDと対応付けて認証情報DBに登録されている情報を要求する(図2のステップ46も参照)。
【0047】
DBサーバ20では、認証サーバ16から上記の要求を受信すると、認証サーバ16から受信したユーザIDをキーにして認証情報DBを検索し、当該検索によって抽出されたユーザIDと対応付けて認証情報DBに登録されているパスワードを認証サーバ16へ送信する(図2のステップ48も参照)。認証サーバ16では、DBサーバ20から受信したパスワードをアプリケーション・サーバ18から受信したパスワードと一致しているか否かを判定することで、アプリケーション・サーバ18から受信したユーザIDとパスワードの組み合わせが認証情報DBに登録されているか否か、すなわち認証を要求している利用者が正規の利用者か否か判定する(図2のステップ50も参照)。アプリケーション・サーバ18から受信したユーザIDとパスワードの組み合わせが認証情報DBに登録されていなかった場合(図2のステップ50の判定が否定された場合)は、アプリケーション・サーバ18、フォワーダ・サーバ14を介し、認証要求元のクライアント端末26へエラー応答を送信する処理を行う。この場合は、ユーザID及びパスワードの再入力等の操作が利用者によって行われる。
【0048】
また、DBサーバ20へ転送したユーザIDとパスワードの組み合わせが認証情報DBに登録されていた場合、認証を要求している利用者は正規の利用者と判断できる(図2のステップ50の判定が肯定される)ので、正規の利用者に対する処理として、まず乱数等を用いてセッションIDを生成する(図2のステップ52も参照)。なお、このセッションIDは本発明に係るキー情報に対応している。次に、アプリケーション・サーバ18から受信したユーザID、パスワード及びサービスIDを、先に生成したセッションIDと対応付け、記憶部16Cに記憶されている認証管理テーブルに認証管理情報として登録する(図2のステップ54も参照)。この処理により、例えば図3(A)に示す例では、ユーザID(UID)=user1、パスワード(PW)=****及びサービスID(SVID)=AがセッションID(Session)=xxxxと対応付けて認証管理テーブルに登録され、図3(B)に示す例では、ユーザID(UID)=user1、パスワード(PW)=****及びサービスID(SVID)=BがセッションID(Session)=yyyyと対応付けて認証管理テーブルに登録される。認証管理テーブルに登録された認証管理情報は後述する認可処理時に参照される。そして、先に生成したセッションIDをアプリケーション・サーバ18へ通知し(図2のステップ56も参照)、認証・認可処理を一旦終了する。
【0049】
アプリケーション・サーバ18では、認証サーバ16からセッションIDが通知されると、通知されたセッションIDをフォワーダ・サーバ14へ通知する(図2のステップ57も参照)。また、フォワーダ・サーバ14で行われている認証要求時処理では、クライアント端末26から受信した認証要求に含まれるユーザID、パスワード及び画面IDをアプリケーション・サーバ18へ転送(図2のステップ38も参照)した後、アプリケーション・サーバ18からセッションIDが通知される迄待機しており、アプリケーション・サーバ18からセッションIDが通知されると、通知されたセッションIDを認証要求元のクライアント端末26へ通知し(図2のステップ58も参照)、認証要求時処理を終了する。
【0050】
認証要求を送信したクライアント端末26では、フォワーダ・サーバ14からセッションIDを受信すると、オンライン金融取引用ウェブサイトへのログインに成功したことを通知するメッセージをディスプレイに表示させると共に、受信したセッションIDを、メモリ又はHDDに記憶されている所定のファイルに設定する。そして、以後、利用者からの指示によりオンライン金融取引用ウェブサイトへのアクセス要求を送信する際には、送信するアクセス要求の電文にセッションIDを付加する。
【0051】
また、クライアント端末26のディスプレイに表示されたメッセージを参照する等により、オンライン金融取引用ウェブサイトへのログインに成功したことを認識した利用者は、オンライン金融取引用ウェブサイトを構成する各ウェブページのうち、自身が実行を所望している特定の金融取引の実行を指示するための特定ウェブページ(アプリケーション・サーバ18の記憶部18Aにプログラムがインストールされている複数のアプリケーションのうち、特定の金融取引を行うサービスを提供する特定アプリケーションに割り当てられたURLのウェブページ)へのアクセスを指示する操作を行う(図2のステップ60も参照)。これにより、クライアント端末26からは、図2に「アクセス要求(Session)」と表記して示すように、前述のセッションIDが付加され、特定ウェブページへのアクセスを要求するアクセス要求の電文が送信される。
【0052】
フォワーダ・サーバ14では、クライアント端末26からセッションIDが付加されたアクセス要求の電文を受信すると、記憶部14Cに記憶されているアクセス要求時プログラムがCPU14Aによって実行されることでアクセス要求時処理が行われる。このアクセス要求時処理では、クライアント端末26から受信したアクセス要求の電文に付加されているセッションIDを認証サーバ16へ転送する(図2のステップ62も参照)。
【0053】
一方、認証サーバ16では、フォワーダ・サーバ14からセッションIDを受信すると、記憶部16Cに記憶されている認証・認可プログラムがCPU16Aによって実行されることで認証・認可処理が起動される。フォワーダ・サーバ14からセッションIDを受信した場合、認証・認可処理では、まず、受信したセッションIDをキーにして認証管理テーブルを検索する(図2のステップ64も参照)。認証・認可処理では、次に、上記の検索によって該当する認証管理情報(受信したセッションIDを含む認証管理情報)が抽出されたか否かを判定する(図2のステップ66も参照)。上記の検索によって該当する認証管理情報が抽出されなかった場合(図2のステップ66の判定が否定された場合)は、フォワーダ・サーバ14が今回受信したアクセス要求の電文は、認証を受けていない利用者が操作するクライアント端末26からのアクセス要求の電文であると判断できるので、フォワーダ・サーバ14を介してアクセス要求元のクライアント端末26へエラー応答を送信する処理を行う。
【0054】
また、上記の検索で該当する認証管理情報が抽出された場合(図2のステップ66の判定が肯定された場合)、フォワーダ・サーバ14が今回受信したアクセス要求の電文は、認証を既に受けた利用者が操作するクライアント端末26からのアクセス要求の電文であると判断できるので、認証・認可処理では、まず該当する認証管理情報に含まれるサービスIDを認証管理テーブルから読み出す(図2のステップ68も参照)。認証・認可処理では、次に、認証管理テーブルから読み出したサービスIDをキーにしてACLファイルを検索し、前記サービスIDと対応付けてACLファイルに登録されているURLをACLファイルから全て読み出す(図2のステップ70も参照)。
【0055】
例として図3に示すように、ACLファイルには、アプリケーション・サーバ18の記憶部18Cにプログラムがインストールされている個々のアプリケーションに割り当てられた複数のURLが、個々のアプリケーションが提供するサービス(本実施形態では特定の金融取引を実行するサービス)を受けることが許可されているサービスIDと対応付けて各々登録されている。なお、図3に示すACLファイルでは、サービスID(SVID)=Aに対しては、URLとして"http://aaaa","http://bbbb","http://cccc"が各々割り当てられた3つのアプリケーションが提供する3種類のサービスを受けることが許可され、サービスID(SVID)=Bに対しては、URLとして"http://dddd","http://eeee"が各々割り当てられた2つのアプリケーションが提供する2種類のサービスを受けることが許可されている例を示しており、サービスID(SVID)=A,Bは各々複数のURLと対応付けてACLファイルに登録されている。
【0056】
認証・認可処理では、続いて、ACLファイルから読み出したURLの中に、フォワーダ・サーバ14が今回受信したアクセス要求の電文におけるアクセス対象のURLが存在しているか否か判定する(図2のステップ72も参照)。ACLファイルから読み出したURLの中にアクセス対象のURLが存在していなかった場合(図2のステップ72の判定が否定された場合)、今回のアクセス要求送信元のクライアント端末26を操作している利用者がログイン時に用いたログイン画面を介して認証情報を入力した利用者に対しては、今回のアクセス対象のURLが割り当てられたアプリケーションが提供するサービスを受けることが許可されていないと判断できるので、フォワーダ・サーバ14に対してアクセス不許可を通知する処理を行う。
【0057】
また、ACLファイルから読み出したURLの中にアクセス対象のURLが存在していた場合(図2のステップ72の判定が肯定された場合)は、今回のアクセス要求送信元のクライアント端末26を操作している利用者がログイン時に用いたログイン画面を介して認証情報を入力した利用者に対しては、今回のアクセス対象のURLが割り当てられたアプリケーションが提供するサービスを受けることが許可されていると判断できるので、フォワーダ・サーバ14に対してアクセス許可を通知し(図2のステップ74も参照)、認証・認可処理を終了する。
【0058】
上記処理について、具体例を挙げて説明すると、例えば図3に示すACLファイルに対し、図3(A)に示す認証管理情報が認証管理テーブルに登録された利用者から、URLとして"http://aaaa"が割り当てられたアプリケーションへのアクセス要求を受信した場合、セッションID(Session)=xxxxをキーとして対応する認証管理情報が特定され、特定された認証管理情報におけるサービスID(SVID)=Aがアクセス対象のURL(http://aaaa)と対応付けてACLファイルに登録されていることから、受信したアクセス要求に係るアクセスが許可される。また、例えば同一の利用者からURLとして"http://dddd"が割り当てられたアプリケーションへのアクセス要求を受信した場合には、サービスID(SVID)=Aがアクセス対象のURL(http:// dddd)と対応付けてACLファイルに登録されていないことから、受信したアクセス要求に係るアクセスは不許可となる。
【0059】
また、例えば図3に示すACLファイルに対し、図3(B)に示す認証管理情報が認証管理テーブルに登録された利用者から、URLとして"http://dddd"が割り当てられたアプリケーションへのアクセス要求を受信した場合、セッションID(Session)=yyyyをキーとして対応する認証管理情報が特定され、特定された認証管理情報におけるサービスID(SVID)=Bがアクセス対象のURL(http://dddd)と対応付けてACLファイルに登録されていることから、受信したアクセス要求に係るアクセスが許可される。また、例えば同一の利用者からURLとして"http://cccc"が割り当てられたアプリケーションへのアクセス要求を受信した場合には、サービスID(SVID)=Bがアクセス対象のURL(http://cccc)と対応付けてACLファイルに登録されていないことから、受信したアクセス要求に係るアクセスは不許可となる。
【0060】
また、フォワーダ・サーバ14で行われているアクセス要求時処理では、クライアント端末26から受信したアクセス要求に付加されているセッションIDを認証サーバ16へ転送(図2のステップ62も参照)した後、認証サーバ16から何らかの通知を受信する迄待機しており、認証サーバ16からアクセス不許可が通知された場合はアクセス要求元のクライアント端末26へエラー応答を送信するが(図示省略)、認証サーバ16からアクセス許可が通知された場合は、クライアント端末26から受信したアクセス要求をアクセス対象のアプリケーション(アプリケーション・サーバ18)へ転送する(図2のステップ76も参照)。
【0061】
これにより、フォワーダ・サーバ14からアクセス要求を受信したアプリケーション・サーバ18では、受信したアクセス要求におけるアクセス対象のアプリケーションが起動され、起動されたアプリケーションにより上記のアクセス要求に応じた処理が行われ(図2のステップ78も参照)、利用者が所望するサービス(特定の金融取引の実行をオンラインで指示可能とするサービス)が利用者に提供されることになる。
【0062】
本実施形態では、クライアント端末26からアクセス要求が送信される毎に、アクセス要求に付加されているセッションIDに基づく上述した認可処理(アクセス要求に付加されたセッションIDを含む認証管理情報が認証管理テーブルに登録されているか否かを確認し、認証管理情報に含まれるサービスIDがアクセス対象のURLと対応付けてACLファイルに登録されているか否かを確認する処理)が認証サーバ16で行われるので、ユーザIDとパスワードを用いた認証処理で正規の利用者であることが確認された後は、クライアント端末26からのアクセス要求を単にアプリケーション・サーバ18へ転送する(認可処理を行わない)態様と比較して、セキュリティ性を向上させることができる。
【0063】
なお、上記ではアプリケーション・サーバ18によるID変換処理において、サービスIDをユーザIDの末尾に付加する態様を説明したが、サービスIDをユーザIDに付加する際の付加方法は、ユーザIDに一旦付加したサービスIDを分離可能であればよく、例えばサービスIDをユーザIDの先頭に付加したり、ユーザIDとサービスIDを1文字ずつ交互に繋げる等の任意の付加方法を適用可能である。また、サービスIDはユーザIDに付加することに限られるものでもなく、サービスIDはパスワードに付加することも可能である。この場合、認証サーバ16では、サービスIDが付加されたパスワードからサービスIDを分離する処理を行えばよい。
【0064】
また、上記ではユーザIDとパスワードを用いた認証処理で正規の利用者であることが確認された場合に、クライアント端末26へ単にセッションIDを通知する態様を説明したが、これに限定されるものではなく、認証管理テーブルに登録した認証管理情報のうちのサービスIDをキーとしてACLファイルを検索し、前記サービスIDと対応付けてACLファイルに登録されているURLをACLファイルから全て読み出し、読み出したURLを利用可能なサービスへのリンクとして貼り付けたメニュー画面を生成し、セッションIDと共にクライアント端末26へ送信するようにしてもよい
また、上記ではウェブサイト運営システム12が運営・管理する特定ウェブサイトが、利用者からのオンラインでの金融取引の実行指示を受け付けるオンライン金融取引用ウェブサイトであり、各アプリケーションが、利用者からの指示に従って互いに異なる金融取引(例えば残高照会や振込等)を行うサービスを提供する態様を説明したが、本発明はこの態様に限定されるものではなく、本発明に係るサービス提供手段が提供するサービスは金融取引以外のサービスであってもよいことは言うまでもない。
【0065】
また、上記では本発明に係る認証プログラムのうち、複数のアプリケーションプログラム及びID変換プログラムをアプリケーション・サーバ18にインストールすると共に、認証要求時プログラムをフォワーダ・サーバ14に、認証・認可プログラムを認証サーバ16に各々インストールし、フォワーダ・サーバ14、認証サーバ16及びアプリケーション・サーバ18を本発明に係る認証装置として機能させる態様を説明したが、本発明はこれに限定されるものではなく、単一のコンピュータを本発明に係る認証装置として機能させることも可能である。
【0066】
また、上記では本発明に係る本発明に係る認証プログラムのうち、複数のアプリケーションプログラム及びID変換プログラムがアプリケーション・サーバ18に予め記憶(インストール)されると共に、認証要求時プログラムがフォワーダ・サーバ14に予め記憶(インストール)され、認証・認可プログラムが認証サーバ16にに予め記憶(インストール)されている態様を説明したが、本発明に係る認証プログラムは、CD−ROMやDVD−ROM等の記録媒体に記録されている形態で提供することも可能である。
【符号の説明】
【0067】
10 コンピュータ・システム
12 ウェブサイト運営システム
14 フォワーダ・サーバ
16 認証サーバ
18 アプリケーション・サーバ
20 DBサーバ
26 クライアント端末
【技術分野】
【0001】
本発明は認証装置及びプログラムに係り、特に、端末装置からの認証要求に応じて認証処理を行う認証装置、コンピュータを前記認証装置として機能させるための認証プログラムに関する。
【背景技術】
【0002】
シングルサインオンは、利用者が一度認証を受けるだけで、許可されているすべての機能を利用可能とするシステム(又は技術)であり、シングルサインオンのシステムに共通な認証処理を行う部分をパッケージ化することで、シングルサインオンのシステムの構築を容易にするソフトウェア(以下、このソフトウェアを認証ソフトと称する)も販売されている(例えば日本ヒューレット・パッカード株式会社製のIceWall等)。
【0003】
上記に関連して特許文献1には、互いに異なるサービスを提供すると共にユーザ情報データベースを用いて提供サービスの利用者を管理する複数のWebアプリケーションサーバが設けられた構成において、識別情報管理データベースを用いて複数のWebアプリケーションサーバ間で利用者を一意に識別し、各Webアプリケーションサーバの利用者の認証処理を中継する認証サーバを設けることで、複数のアプリケーションサーバに対する利用者の認証を一括して行うシングルサインオンを利用者に提供する技術が開示されている。
【0004】
また特許文献2には、端末は利用者の生体情報を用いて認証を行い、生体情報を認証管理装置へ送信して認証要求を行い、認証管理装置は、生体情報と予め記憶する生体情報とに基づいて認証を行い、認証結果に基づいて、端末から通信アクセスを受ける業務装置に対して当該通信アクセスの許可に用いるアクセス許可情報の返信を要求し、返信要求に応じて業務装置から受信したアクセス許可情報を端末へ転送し、端末は認証管理装置から受信したアクセス許可情報を業務装置へ送信すると共に当該業務装置へアクセス許可要求を送信する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−346570号公報
【特許文献2】特開2008−9864号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、シングルサインオンで様々なサービスを利用者に提供可能なウェブサイトにおいて、ログイン画面を複数種設け、利用者が何れのログイン画面を介して認証を受けたかに応じて利用者に提供可能なサービスを切替えたいというニーズが存在している。具体的には、例えばインターネットバンキングにおいて、PC(Personal Computer)等の通常の端末用のログイン画面と携帯端末用(モバイル用)のログイン画面を設け、携帯端末は画面サイズも受信可能なデータ量も限られていることから、携帯端末用のログイン画面を介して認証を受けた利用者に対しては、通常のログイン画面を介して認証を受けた利用者とは異なる携帯端末用のサービスを提供する等の場合が挙げられる。
【0007】
しかし、前述の認証ソフトを利用してシングルサインオンのシステムを構築しようとすると、認証ソフトの制約によって管理作業が非常に繁雑になる、という問題がある。すなわち、前述のように認証を受けたログイン画面の種類に応じて利用者に提供可能なサービスを切替えるためには、利用者がログイン画面を介して入力した認証情報に加えて、利用者が何れのログイン画面を通じて認証を要求しているかを表す識別情報も認証ソフトへ通知し、提供可能なサービスを前記識別情報の内容に応じて切り替える等の処理を認証ソフトが行う必要がある。しかしながら、認証サーバ上で動作する既存の認証ソフトでは、端末から受取可能な認証情報以外の情報が、認証サーバ上で起動させる認証ソフトのインスタンス(プロセスともいう)を指定する情報(例えばインスタンスの名称等)のみに制限されていることがある。
【0008】
このため、上記のような認証ソフトを用いてシステムを構築する場合、認証サーバ上で動作する認証ソフトのインスタンス(認証処理を行うインスタンス)として、個々のログイン画面に対応するインスタンスを各々設けておき、利用者がログイン画面を介して認証情報を入力すると、前記ログイン画面に対応するインスタンスを指定する情報が認証情報と共に端末から認証サーバへ送信されることで、利用者が認証情報を入力したログイン画面に対応するインスタンスが起動され、起動されたインスタンスで認証処理や提供可能サービスの設定等の処理が行われるように構成する必要がある。しかしながら、この場合、認証処理を行うインスタンスとしてログイン画面の種類数と同数のインスタンスが認証サーバ上で稼働することになるので、各インスタンスの動作に関する各種パラメータの設定等の管理作業が非常に繁雑になるという問題が生ずる。
【0009】
これに対し、前述した特許文献1,2には、認証ソフトに上述した制約が設けられている場合に、認証処理を行うインスタンスの数を削減して上記問題を解決する技術は開示されていない。
【0010】
本発明は上記事実を考慮して成されたもので、認証処理を行う際に認証手段が受け取れる情報に制約がある場合にも、管理作業の簡易化を実現できる認証装置及び認証プログラムを得ることが目的である。
【課題を解決するための手段】
【0011】
上記目的を達成するために請求項1記載の発明に係る認証装置は、互いに異なるサービスを提供する複数のサービス提供手段と、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段と、前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段と、前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段と、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段と、を含んで構成されている。
【0012】
請求項1記載の発明では、互いに異なるサービスを提供する複数のサービス提供手段が設けられている。なお、個々のサービス提供手段が提供するサービスは、例えば利用者からの指示に従って互いに異なる処理を行うサービスであってもよいし、利用者からの指示に従って互いに異なるサイトの情報を配信するサービスであってもよい。
【0013】
また、請求項1記載の発明において、認証要求応答手段は、互いに異なる画面識別情報(後述するサービス識別情報テーブルに登録されている複数種の画面識別情報のうちの何れか)が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した利用者識別情報及びパスワードと任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した利用者識別情報、パスワード及び画面識別情報を変換手段へ送信し、変換手段は、利用者識別情報、パスワード及び画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した画面識別情報を対応するサービス識別情報へ変換し、当該サービス識別情報を受信した利用者識別情報又はパスワードに付加し、何れか一方にサービス識別情報を付加した利用者識別情報及びパスワードを認証手段へ転送する。
【0014】
また、認証手段は、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、認証要求応答手段は、利用者識別情報、パスワード及び画面識別情報を変換手段へ送信した後、キー情報が通知されると、通知されたキー情報を利用者識別情報、パスワード及び画面識別情報の送信元の端末装置へ送信する。なお、認証手段から認証要求応答手段へのキー情報の通知は、例えば変換手段を経由して行われるように構成することができるが、認証手段から認証要求応答手段へキー情報が直接通知されるように構成することも可能である。
【0015】
これにより、端末装置を操作している利用者により、複数種のログイン画面のうち任意のログイン画面を介して正規の利用者識別情報及びパスワードが入力された場合には、入力された利用者識別情報及びパスワードの組み合わせが認証情報記憶手段に登録されていることで、キー情報が生成されて端末装置へ送信されると共に、生成されたキー情報が、少なくとも、利用者が利用者識別情報及びパスワードを入力したログイン画面に付与された画面識別情報に対応するサービス識別情報と対応付けて認証管理情報記憶手段に記憶されることになる。
【0016】
また、請求項1記載の発明において、アクセス要求応答手段は、利用者によりキー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を認証手段へ送信し、認証手段は、キー情報及びアクセス先情報を受信した場合に、受信したキー情報が認証管理情報記憶手段に記憶されているか否か判定し、受信したキー情報が認証管理情報記憶手段に記憶されている場合に、受信したキー情報と対応付けて認証管理情報記憶手段に記憶されているサービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、読み出したサービス識別情報が受信したアクセス先情報と対応付けて記憶されているか否か判定し、受信したアクセス先情報と対応付けて読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う。そしてアクセス要求応答手段は、キー情報及びアクセス先情報を認証手段へ送信した後、認証手段からアクセス許可が通知された場合に、アクセス要求をアクセスが要求されたサービス提供手段へ転送する。
【0017】
これにより、任意のログイン画面を介して正規の利用者識別情報及びパスワードを入力することでキー情報が受信された端末装置を操作している利用者により、任意のサービス提供手段へのアクセスを要求する操作が行われると、端末から送信されるアクセス要求に含まれるキー情報が認証管理情報記憶手段に記憶されているか否かに基づき、アクセスを要求している利用者が既に認証を受けた利用者か否かが判断されると共に、キー情報と対応付けて認証管理情報記憶手段に記憶されているサービス識別情報が、アクセスが要求されたサービス提供手段のアクセス先情報と対応付けてアクセス先情報記憶手段に記憶されているか否かに基づいて、アクセスが要求されたサービス提供手段が提供するサービスが、前記ログイン画面を介して利用者識別情報及びパスワードを入力した利用者に対して提供が許可されているサービスであるか否かが判断される。そして、アクセスを要求している利用者が既に認証を受けた利用者であり、かつ、アクセスが要求されたサービス提供手段が提供するサービスが、前記ログイン画面を介して利用者識別情報及びパスワードを入力した利用者に対して提供が許可されているサービスである場合には、アクセスが要求されたサービス提供手段へアクセス要求が転送されることで、利用者がサービス提供手段へアクセスしてサービスの提供を受けることが可能となる。
【0018】
上述したように、請求項1記載の発明では、認証手段で認証処理が行われる際に、端末装置から利用者識別情報、パスワード及び画面識別情報が送信されるが、この利用者識別情報、パスワード及び画面識別情報は認証要求応答手段で一旦受信された後に変換手段へ転送され、画面識別情報が変換手段によってサービス識別情報へ変換され、当該サービス識別情報が利用者識別情報又はパスワードに付加された後に認証手段へ転送されるので、認証手段が受け取れる情報に制約がある場合(例えば利用者識別情報及びパスワード以外の情報を受け取れない場合)にも、認証手段が、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離する処理を行うことで、利用者識別情報及びパスワードに加えてサービス識別情報も受け取ることができ、認証手段は、利用者識別情報及びパスワードの組み合わせが認証情報記憶手段に登録されているか否かを判定する処理を行うことに加えて、サービス識別情報に応じた処理(生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させる処理)も行うことで、利用者識別情報及びパスワードが入力されたログイン画面に応じて提供可能サービスを切り替えることができる。
【0019】
これにより、利用者識別情報及びパスワードが入力されたログイン画面に応じて提供可能サービスを切り替えることを、認証手段として機能するインスタンス(プロセス)をログイン画面の種類数と同数個設けることなく実現できるので、認証手段として機能するインスタンスの数を削減することが可能となり、これに伴い、インスタンスの動作に関する各種パラメータの設定等の管理作業も削減される。また、アクセス先情報記憶手段についても個々のインスタンス毎に分ける必要が無くなる。従って、請求項1記載の発明によれば、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現することができる。
【0020】
また、請求項1記載の発明は、画面識別情報が変換手段によってサービス識別情報へ変換されるので、サービス識別情報を利用者から隠蔽できると共に、任意のサービス提供手段へのアクセスを要求する操作が利用者によって行われる毎に、認証手段で認可処理が行われるので、特許文献1,2に記載の技術と比較して、セキュリティ性の向上を実現できるという効果も得られる。
【0021】
なお、請求項1記載の発明において、認証手段は、例えば請求項2に記載したように、生成したキー情報を、サービス識別情報に加えて、利用者識別情報及びパスワードとも対応付けて認証管理情報記憶手段に記憶させるように構成してもよい。
【0022】
また、請求項1又は請求項2記載の発明において、例えば請求項3に記載したように、前記認証手段は、前記認可処理において、受信した前記キー情報が前記認証管理情報記憶手段に記憶されていない場合、及び、前記認証情報記憶手段から読み出したサービス識別情報が受信した前記アクセス先情報と対応付けて記憶されていない場合にはアクセス不許可を通知し、前記アクセス要求応答手段は、前記認証手段から前記アクセス不許可が通知された場合は、前記アクセス要求送信元の端末装置へエラー応答を送信するように構成することができる。
【0023】
また、請求項1〜請求項3の何れかに記載の発明において、例えば請求項4に記載したように、認証要求応答手段及びアクセス要求応答手段は第1コンピュータ上で動作し、認証手段は第2コンピュータ上で単一のインスタンスとして動作し、複数のサービス提供手段及び変換手段は第3コンピュータ上で動作するように構成することができる。
【0024】
請求項5記載の発明に係る認証プログラムは、端末装置と通信可能なコンピュータを、互いに異なるサービスを提供する複数のサービス提供手段、何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段、前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段、前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段、及び、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段として機能させる。
【0025】
請求項5記載の発明に係る認証プログラムは、上記のコンピュータを、上記の複数のサービス提供手段、認証手段、変換手段、認証要求応答手段及びアクセス要求応答手段として機能させるためのプログラムであるので、コンピュータが請求項5記載の発明に係る認証プログラムを実行することで、コンピュータが請求項1に記載の認証装置として機能することになり、請求項1記載の発明と同様に、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現することができる。
【発明の効果】
【0026】
以上説明したように本発明は、ログイン画面を介して利用者が入力した利用者識別情報及びパスワードと前記ログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、画面識別情報をサービス識別情報へ変換し、当該サービス識別情報を利用者識別情報又はパスワードに付加して認証手段へ転送し、認証手段において、利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離し、利用者識別情報とパスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、登録されている場合はキー情報を生成して端末装置へ通知すると共に、生成したキー情報を少なくともサービス識別情報と対応付けて認証管理情報記憶手段に記憶させ、端末装置からキー情報を含むアクセス要求を受信する毎に、キー情報が認証管理情報記憶手段に記憶されているか否か判定し、記憶されている場合に、キー情報と対応付けてサービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報をサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、読み出したサービス識別情報が受信したアクセス先情報と対応付けて記憶されているか否か判定し、記憶されている場合にアクセス要求を対応するサービス提供手段へ転送するようにしたので、認証処理を行う認証手段が端末装置から受け取れる情報に制約がある場合にも、管理作業の簡易化を実現できる、という優れた効果を有する。
【図面の簡単な説明】
【0027】
【図1】本実施形態に係るコンピュータ・システムの概略構成を示すブロック図である。
【図2】特定サイトへのアクセスのシーケンスを示すシーケンス図である。
【図3】異なるアプリケーションのログイン画面を介して認証情報が入力された場合の相違を説明するための概略図である。
【発明を実施するための形態】
【0028】
以下、図面を参照して本発明の実施形態の一例を詳細に説明する。図1には本実施形態に係るコンピュータ・システム10が示されている。コンピュータ・システム10は、多数台のウェブサーバが通信回線を介して相互に接続されて成るコンピュータ・ネットワーク(インターネット)24に接続されたウェブサイト運営システム12を備えており、インターネット24には、各々PC(Personal Computer)や、インターネット24にアクセスする機能を備えたPDA(Personal Digital Assistance)、携帯電話機等の携帯端末から成る多数台のクライアント端末26が接続されている。
【0029】
ウェブサイト運営システム12は、特定ウェブサイトを運営・管理すると共に、クライアント端末26を介して特定ウェブサイトにアクセスした利用者に対し、シングルサインオンで複数種のサービスを提供するシステムであり、フォワーダ・サーバ14、認証サーバ16、アプリケーション・サーバ18及びDB(データベース)サーバ20がイントラネット(LAN)22を介して互いに接続されて構成されている。
【0030】
アプリケーション・サーバ18は、CPU18A、ROMやRAMを含んで構成されたメモリ18B、HDD(Hard Disk Drive)等から成る不揮発性の記憶部18C、ネットワークインタフェース(I/F)部18Dを備えており、記憶部18Cには、利用者に互いに異なるサービスを提供する複数のアプリケーションのプログラムと、CPU18Aで後述するID変換処理を行うためのID変換プログラムが各々インストールされており、サービスIDテーブル(後述)も記憶されている。本実施形態では、アプリケーション・サーバ18の記憶部18Cにプログラムがインストールされている個々のアプリケーションに互いに異なるURL(Uniform Resource Locator)が割り当てられており、利用者は、所望のサービスを受けたい場合、前記サービスを提供するアプリケーションのURLにアクセスする。なお、サービスIDテーブルを記憶する記憶部18Cは、本発明に係るサービス識別情報記憶手段に対応している。
【0031】
なお、アプリケーション・サーバ18は請求項4に記載の第3コンピュータに対応しており、記憶部18Cにインストールされている複数のアプリケーションのプログラムは、本発明に係る認証プログラムのうち、アプリケーション・サーバ18を本発明に係る複数のサービス提供手段として機能させるためのプログラムに、記憶部18CにインストールされているID変換プログラムは、本発明に係る認証プログラムのうち、アプリケーション・サーバ18を本発明に係る変換手段として機能させるためのプログラムに各々対応している。本実施形態において、各アプリケーションが提供するサービスとしては任意のサービスを適用可能であるが、一例として以下では、ウェブサイト運営システム12が運営・管理する特定ウェブサイトが、利用者からのオンラインでの金融取引の実行指示を受け付けるオンライン金融取引用ウェブサイトであり、各アプリケーションが、利用者からの指示に従って互いに異なる金融取引(例えば残高照会や振込等)を行うサービスを提供する態様を説明する。
【0032】
また、フォワーダ・サーバ14は、CPU14A、メモリ14B、不揮発性の記憶部14C、ネットワークI/F部14Dを備えており、記憶部14Cには、CPU14Aが後述する認証要求時処理を行うための認証要求時プログラムと、アクセス要求時処理を行うためのアクセス要求時プログラムが各々インストールされている。また、フォワーダ・サーバ14のネットワークI/F部14Dはインターネット24に直接接続されており、クライアント端末26からインターネット24経由でオンライン金融取引用ウェブサイトへ送信された情報はフォワーダ・サーバ14で受信される。
【0033】
なお、フォワーダ・サーバ14は請求項4に記載の第1コンピュータに対応しており、記憶部14Cにインストールされている認証要求時プログラムは、本発明に係る認証プログラムのうち、フォワーダ・サーバ14を認証要求応答手段として機能させるためのプログラムに、記憶部14Cにインストールされているアクセス要求時プログラムは、本発明に係る認証プログラムのうち、フォワーダ・サーバ14を本発明に係る前記アクセス要求応答手段として機能させるためのプログラムに各々対応している。
【0034】
また、認証サーバ16は、CPU16A、メモリ16B、不揮発性の記憶部16C、ネットワークI/F部16Dを備えており、記憶部16Cには、CPU16Aが後述する認証・認可処理を行うための認証・認可プログラムがインストールされており、認証管理テーブル及びACLファイル(何れも後述)も記憶されている。なお、認証管理テーブル及びACLファイルを記憶する記憶部16Cは、本発明に係る認証管理情報記憶手段及びアクセス先情報記憶手段に各々対応している。
なお、認証・認可プログラムは認証サーバ16上で単一のインスタンスとしてCPU16Aにより実行される。また、認証サーバ16は請求項4に記載の第2コンピュータに対応しており、記憶部16Cにインストールされている認証・認可プログラムは、本発明に係る認証プログラムのうち、認証サーバ16を認証手段として機能させるためのプログラムに対応している。
【0035】
更にDBサーバ20もCPU、メモリ、記憶部20C、ネットワークI/F部を備えており(記憶部20C以外は図示省略)、記憶部20Cには認証情報DBが記憶されている。本実施形態に係るオンライン金融取引用ウェブサイトは、当該オンライン金融取引用ウェブサイトの利用を事前に申し込んだ正規の利用者に対して所定のサービスを提供するウェブサイトであり、オンライン金融取引用ウェブサイトの利用を事前に申し込んだ個々の利用者にはユーザID(このユーザIDは本発明に係る利用者識別情報に対応している)が付与される。記憶部20Cに記憶されている認証情報DBには、個々の利用者に付与されたユーザIDが、個々の利用者が設定したパスワードと共に認証情報として予め登録されている。なお、認証情報DBを記憶する記憶部20Cは本発明に係る認証情報記憶手段に対応している。
【0036】
なお、本実施形態において、本発明に係る認証プログラムに対応する各プログラム(アプリケーション・サーバ18の記憶部18Cにインストールされている複数のアプリケーションのプログラム及びID変換プログラム、フォワーダ・サーバ14の記憶部14Cにインストールされている認証要求時プログラム及びアクセス要求時プログラム、及び、認証サーバ16の記憶部16Cにインストールされている認証・認可プログラム)のうち、認証要求時プログラム、アクセス要求時プログラム及び認証・認可プログラムは、既存の認証ソフト(シングルサインオンのシステムに共通な認証処理を行う部分をパッケージ化したソフトウェア、例えば日本ヒューレット・パッカード株式会社製のIceWall)を利用して構築されている。またID変換プログラムは、例えばJava(登録商標)エージェントで構成することができる。
【0037】
次に本実施形態の作用を説明する。ウェブサイト運営システム12が運営するオンライン金融取引用ウェブサイトを利用して特定の金融取引の実行をオンラインで指示することを所望している場合、利用者は、まずクライアント端末26を介し、オンライン金融取引用ウェブサイトのホームページ(トップページ)へのアクセスを指示する操作を行う(図2のステップ30も参照)。なお、本実施形態において、オンライン金融取引用ウェブサイトのホームページ(トップページ)は、ユーザID及びパスワードの入力欄が設けられていると共に、各入力欄への情報の入力を要請するメッセージが表示されたログイン画面とされている。また本実施形態では、オンライン金融取引用ウェブサイトのログイン画面として、アクセス元のクライアント端末26が通常のPCである場合のログイン画面やアクセス元のクライアント端末26が携帯端末である場合のログイン画面等の複数種のログイン画面が設けられており、利用者は、例えば自身が操作しているクライアント端末26の種類に対応するログイン画面のURLへのアクセスを指示する。
【0038】
利用者によって上記操作が行われると、クライアント端末26からアクセス要求の電文が送信され、この電文はインターネット24を経由してフォワーダ・サーバ14へ受信される。フォワーダ・サーバ14では、アクセス要求の電文を受信し、当該電文で配信が要求されている画面がログイン画面であることをアクセスされたURLに基づいて認識すると、受信した電文をアプリケーション・サーバ18へ転送する。また、アプリケーション・サーバ18では、フォワーダ・サーバ14から転送されたアクセス要求の電文における配信対象の画面が複数種のログイン画面の何れかであることを認識すると、配信が要求されているログイン画面の情報を生成し、アクセス要求電文の送信元のクライアント端末26へ送信(配信)する処理を行う(図2のステップ32も参照)。これにより、アプリケーション・サーバ18から送信されたログイン画面の情報が、フォワーダ・サーバ14、インターネット24を経由してクライアント端末26で受信されることで、クライアント端末26のディスプレイにログイン画面が表示される(図2のステップ34も参照)。
【0039】
例として図3(A)又は(B)に示すように、オンライン金融取引用ウェブサイトの複数種のログイン画面には、何れもユーザIDの入力欄とパスワードの入力欄が各々設けられており、認証情報DBに認証情報(ユーザID及びパスワード)が記憶されているオンライン金融取引用ウェブサイトの正規の利用者は、クライアント端末26のディスプレイにログイン画面が表示されると、ログイン画面の各入力欄にユーザID、パスワードを入力し、オンライン金融取引用ウェブサイトへのログインを指示する操作を行う(図2のステップ36も参照)。
【0040】
本実施形態では、複数種のログイン画面に対して互いに異なる画面ID(図2,3では画面IDを"SID"と表記している)が予め設定されていると共に、アプリケーション・サーバ18によって生成されて配信されるログイン画面の情報には、利用者によってログインを指示する操作が行われると、ログイン画面の入力欄に入力されたユーザID及びパスワードに加えて、ユーザID及びパスワードが入力されたログイン画面の画面IDも送信する処理を行うプログラム(スクリプト等)が埋め込まれている。このため、ログインを指示する操作が利用者によって行われると、クライアント端末26からは、図2に「認証要求(UID,PW,SID)」と表記して示すように、利用者が入力したユーザID及びパスワードにログイン画面の画面IDも付加された認証要求の電文が送信される。また、この認証要求の電文に含まれる画面IDは、図3(A)に示す認証要求ではSID=001となっている一方、図3(B)に示す認証要求ではSID=002となっていることからも明らかなように、利用者がユーザID及びパスワードを入力したログイン画面の種類に応じて相違する。
【0041】
フォワーダ・サーバ14では、クライアント端末26からユーザID、パスワード及び画面IDを含む認証要求の電文を受信すると、記憶部14Cに記憶されている認証要求時プログラムがCPU14Aによって実行されることで認証要求時処理が行われる。この認証要求時処理では、クライアント端末26から受信した認証要求に含まれるユーザID、パスワード及び画面IDをアプリケーション・サーバ18へ転送する(図2のステップ38も参照)。
【0042】
アプリケーション・サーバ18では、フォワーダ・サーバ14から転送されたユーザID、パスワード及び画面IDを受信すると、記憶部18Cに記憶されているID変換プログラムがCPU18Aによって実行されることでID変換処理が行われる。このID変換処理では、まず、記憶部18Cに記憶されているサービスIDテーブルを用いて、フォワーダ・サーバ14から受信した画面IDを対応するサービスIDへ変換する処理が行われる(図2のステップ40も参照)。本実施形態に係るオンライン金融取引用ウェブサイトでは、利用者に提供するサービスの種類や条件(例えば利用者が実行を指示可能な金融取引の種類や限度額等)を、利用者が認証情報(ユーザID及びパスワード)の入力に用いたログイン画面の種類に応じて切り替えており、上記のサービスIDは利用者に提供するサービスの種類や条件を表している。なお、サービスIDは本発明に係るサービス識別情報に対応している。
【0043】
サービスIDテーブルには、複数種のログイン画面に各々設定された画面IDが、個々の画面IDのログイン画面を介して認証情報を入力した利用者に提供するサービスの種類や条件を表す互いに異なるサービスIDと対応付けて各々登録されており、受信した画面IDに対応するサービスIDは、受信した画面IDをキーにしてサービスIDテーブルを検索し、当該検索によって抽出された画面IDと対応付けて登録されているサービスIDをサービスIDテーブルから読み出すことによって得ることができる。上記処理により、例えば図3(A)に示す画面ID(SID)=001はサービスID(SVID)=Aへ変換され、図3(B)に示す画面ID(SID)=002はサービスID(SVID)=Bへ変換される。
【0044】
またID変換処理では、続いて、画面IDから変換したサービスIDをフォワーダ・サーバ14から受信したユーザIDの末尾に付加し、末尾にサービスIDを付加したユーザIDを、フォワーダ・サーバ14から受信したパスワードと共に認証サーバ16へ送信する処理が行われる(図2のステップ42も参照)。上記処理により、例えば図3(A)に示す例では、サービスID(SVID)=Aが末尾に付加されたユーザID(UID)=user1+Aが、パスワード(PW)=****と共に認証サーバ16へ送信され、図3(B)に示す例では、サービスID(SVID)=Bが末尾に付加されたユーザID(UID)=user1+Bが、パスワード(PW)=****と共に認証サーバ16へ送信される。
【0045】
前述のように、本実施形態では、認証・認可プログラムが既存の認証ソフトを利用して構築されている関係上、認証サーバ16上で動作する認証・認可プログラムが認証処理時に受け取れる情報がユーザIDとパスワードのみに制限されているが、上記のようにユーザIDの末尾にサービスIDを付加して認証サーバ16へ送信することで、認証・認可プログラムがユーザIDとパスワードに加えてサービスIDも受け取ることが可能となる。また、画面IDはログイン画面の情報から抽出可能であり利用者へ漏洩する可能性があるが、この画面IDをサービスIDに変換して用いることで、サービスIDが利用者へ漏洩することを防止することができ、ログインを指示する操作が利用者によって行われた場合にクライアント端末26からサービスIDを送信させる構成と比較して、悪意を持った第三者にサービスIDが漏洩することで認証サーバ16に対して不正なアクセスが行われる可能性を低減することができ、セキュリティ性を向上させることができる。
【0046】
一方、認証サーバ16では、アプリケーション・サーバ18からユーザID(末尾にサービスIDを付加したユーザID)とパスワードを受信すると、記憶部16Cに記憶されている認証・認可プログラムがCPU16Aによって実行されることで認証・認可処理が起動される。アプリケーション・サーバ18から(末尾にサービスIDを付加した)ユーザIDとパスワードを受信した場合、認証・認可処理では、まず、アプリケーション・サーバ18から受信したユーザIDの末尾からサービスIDを取り出すと共に、元のユーザIDの末尾からサービスIDを除去することで、受信したユーザIDをユーザIDとサービスIDとに分離する(図2のステップ44も参照)。次に、サービスIDを分離した後のユーザIDをDBサーバ20へ転送し、転送したユーザIDと対応付けて認証情報DBに登録されている情報を要求する(図2のステップ46も参照)。
【0047】
DBサーバ20では、認証サーバ16から上記の要求を受信すると、認証サーバ16から受信したユーザIDをキーにして認証情報DBを検索し、当該検索によって抽出されたユーザIDと対応付けて認証情報DBに登録されているパスワードを認証サーバ16へ送信する(図2のステップ48も参照)。認証サーバ16では、DBサーバ20から受信したパスワードをアプリケーション・サーバ18から受信したパスワードと一致しているか否かを判定することで、アプリケーション・サーバ18から受信したユーザIDとパスワードの組み合わせが認証情報DBに登録されているか否か、すなわち認証を要求している利用者が正規の利用者か否か判定する(図2のステップ50も参照)。アプリケーション・サーバ18から受信したユーザIDとパスワードの組み合わせが認証情報DBに登録されていなかった場合(図2のステップ50の判定が否定された場合)は、アプリケーション・サーバ18、フォワーダ・サーバ14を介し、認証要求元のクライアント端末26へエラー応答を送信する処理を行う。この場合は、ユーザID及びパスワードの再入力等の操作が利用者によって行われる。
【0048】
また、DBサーバ20へ転送したユーザIDとパスワードの組み合わせが認証情報DBに登録されていた場合、認証を要求している利用者は正規の利用者と判断できる(図2のステップ50の判定が肯定される)ので、正規の利用者に対する処理として、まず乱数等を用いてセッションIDを生成する(図2のステップ52も参照)。なお、このセッションIDは本発明に係るキー情報に対応している。次に、アプリケーション・サーバ18から受信したユーザID、パスワード及びサービスIDを、先に生成したセッションIDと対応付け、記憶部16Cに記憶されている認証管理テーブルに認証管理情報として登録する(図2のステップ54も参照)。この処理により、例えば図3(A)に示す例では、ユーザID(UID)=user1、パスワード(PW)=****及びサービスID(SVID)=AがセッションID(Session)=xxxxと対応付けて認証管理テーブルに登録され、図3(B)に示す例では、ユーザID(UID)=user1、パスワード(PW)=****及びサービスID(SVID)=BがセッションID(Session)=yyyyと対応付けて認証管理テーブルに登録される。認証管理テーブルに登録された認証管理情報は後述する認可処理時に参照される。そして、先に生成したセッションIDをアプリケーション・サーバ18へ通知し(図2のステップ56も参照)、認証・認可処理を一旦終了する。
【0049】
アプリケーション・サーバ18では、認証サーバ16からセッションIDが通知されると、通知されたセッションIDをフォワーダ・サーバ14へ通知する(図2のステップ57も参照)。また、フォワーダ・サーバ14で行われている認証要求時処理では、クライアント端末26から受信した認証要求に含まれるユーザID、パスワード及び画面IDをアプリケーション・サーバ18へ転送(図2のステップ38も参照)した後、アプリケーション・サーバ18からセッションIDが通知される迄待機しており、アプリケーション・サーバ18からセッションIDが通知されると、通知されたセッションIDを認証要求元のクライアント端末26へ通知し(図2のステップ58も参照)、認証要求時処理を終了する。
【0050】
認証要求を送信したクライアント端末26では、フォワーダ・サーバ14からセッションIDを受信すると、オンライン金融取引用ウェブサイトへのログインに成功したことを通知するメッセージをディスプレイに表示させると共に、受信したセッションIDを、メモリ又はHDDに記憶されている所定のファイルに設定する。そして、以後、利用者からの指示によりオンライン金融取引用ウェブサイトへのアクセス要求を送信する際には、送信するアクセス要求の電文にセッションIDを付加する。
【0051】
また、クライアント端末26のディスプレイに表示されたメッセージを参照する等により、オンライン金融取引用ウェブサイトへのログインに成功したことを認識した利用者は、オンライン金融取引用ウェブサイトを構成する各ウェブページのうち、自身が実行を所望している特定の金融取引の実行を指示するための特定ウェブページ(アプリケーション・サーバ18の記憶部18Aにプログラムがインストールされている複数のアプリケーションのうち、特定の金融取引を行うサービスを提供する特定アプリケーションに割り当てられたURLのウェブページ)へのアクセスを指示する操作を行う(図2のステップ60も参照)。これにより、クライアント端末26からは、図2に「アクセス要求(Session)」と表記して示すように、前述のセッションIDが付加され、特定ウェブページへのアクセスを要求するアクセス要求の電文が送信される。
【0052】
フォワーダ・サーバ14では、クライアント端末26からセッションIDが付加されたアクセス要求の電文を受信すると、記憶部14Cに記憶されているアクセス要求時プログラムがCPU14Aによって実行されることでアクセス要求時処理が行われる。このアクセス要求時処理では、クライアント端末26から受信したアクセス要求の電文に付加されているセッションIDを認証サーバ16へ転送する(図2のステップ62も参照)。
【0053】
一方、認証サーバ16では、フォワーダ・サーバ14からセッションIDを受信すると、記憶部16Cに記憶されている認証・認可プログラムがCPU16Aによって実行されることで認証・認可処理が起動される。フォワーダ・サーバ14からセッションIDを受信した場合、認証・認可処理では、まず、受信したセッションIDをキーにして認証管理テーブルを検索する(図2のステップ64も参照)。認証・認可処理では、次に、上記の検索によって該当する認証管理情報(受信したセッションIDを含む認証管理情報)が抽出されたか否かを判定する(図2のステップ66も参照)。上記の検索によって該当する認証管理情報が抽出されなかった場合(図2のステップ66の判定が否定された場合)は、フォワーダ・サーバ14が今回受信したアクセス要求の電文は、認証を受けていない利用者が操作するクライアント端末26からのアクセス要求の電文であると判断できるので、フォワーダ・サーバ14を介してアクセス要求元のクライアント端末26へエラー応答を送信する処理を行う。
【0054】
また、上記の検索で該当する認証管理情報が抽出された場合(図2のステップ66の判定が肯定された場合)、フォワーダ・サーバ14が今回受信したアクセス要求の電文は、認証を既に受けた利用者が操作するクライアント端末26からのアクセス要求の電文であると判断できるので、認証・認可処理では、まず該当する認証管理情報に含まれるサービスIDを認証管理テーブルから読み出す(図2のステップ68も参照)。認証・認可処理では、次に、認証管理テーブルから読み出したサービスIDをキーにしてACLファイルを検索し、前記サービスIDと対応付けてACLファイルに登録されているURLをACLファイルから全て読み出す(図2のステップ70も参照)。
【0055】
例として図3に示すように、ACLファイルには、アプリケーション・サーバ18の記憶部18Cにプログラムがインストールされている個々のアプリケーションに割り当てられた複数のURLが、個々のアプリケーションが提供するサービス(本実施形態では特定の金融取引を実行するサービス)を受けることが許可されているサービスIDと対応付けて各々登録されている。なお、図3に示すACLファイルでは、サービスID(SVID)=Aに対しては、URLとして"http://aaaa","http://bbbb","http://cccc"が各々割り当てられた3つのアプリケーションが提供する3種類のサービスを受けることが許可され、サービスID(SVID)=Bに対しては、URLとして"http://dddd","http://eeee"が各々割り当てられた2つのアプリケーションが提供する2種類のサービスを受けることが許可されている例を示しており、サービスID(SVID)=A,Bは各々複数のURLと対応付けてACLファイルに登録されている。
【0056】
認証・認可処理では、続いて、ACLファイルから読み出したURLの中に、フォワーダ・サーバ14が今回受信したアクセス要求の電文におけるアクセス対象のURLが存在しているか否か判定する(図2のステップ72も参照)。ACLファイルから読み出したURLの中にアクセス対象のURLが存在していなかった場合(図2のステップ72の判定が否定された場合)、今回のアクセス要求送信元のクライアント端末26を操作している利用者がログイン時に用いたログイン画面を介して認証情報を入力した利用者に対しては、今回のアクセス対象のURLが割り当てられたアプリケーションが提供するサービスを受けることが許可されていないと判断できるので、フォワーダ・サーバ14に対してアクセス不許可を通知する処理を行う。
【0057】
また、ACLファイルから読み出したURLの中にアクセス対象のURLが存在していた場合(図2のステップ72の判定が肯定された場合)は、今回のアクセス要求送信元のクライアント端末26を操作している利用者がログイン時に用いたログイン画面を介して認証情報を入力した利用者に対しては、今回のアクセス対象のURLが割り当てられたアプリケーションが提供するサービスを受けることが許可されていると判断できるので、フォワーダ・サーバ14に対してアクセス許可を通知し(図2のステップ74も参照)、認証・認可処理を終了する。
【0058】
上記処理について、具体例を挙げて説明すると、例えば図3に示すACLファイルに対し、図3(A)に示す認証管理情報が認証管理テーブルに登録された利用者から、URLとして"http://aaaa"が割り当てられたアプリケーションへのアクセス要求を受信した場合、セッションID(Session)=xxxxをキーとして対応する認証管理情報が特定され、特定された認証管理情報におけるサービスID(SVID)=Aがアクセス対象のURL(http://aaaa)と対応付けてACLファイルに登録されていることから、受信したアクセス要求に係るアクセスが許可される。また、例えば同一の利用者からURLとして"http://dddd"が割り当てられたアプリケーションへのアクセス要求を受信した場合には、サービスID(SVID)=Aがアクセス対象のURL(http:// dddd)と対応付けてACLファイルに登録されていないことから、受信したアクセス要求に係るアクセスは不許可となる。
【0059】
また、例えば図3に示すACLファイルに対し、図3(B)に示す認証管理情報が認証管理テーブルに登録された利用者から、URLとして"http://dddd"が割り当てられたアプリケーションへのアクセス要求を受信した場合、セッションID(Session)=yyyyをキーとして対応する認証管理情報が特定され、特定された認証管理情報におけるサービスID(SVID)=Bがアクセス対象のURL(http://dddd)と対応付けてACLファイルに登録されていることから、受信したアクセス要求に係るアクセスが許可される。また、例えば同一の利用者からURLとして"http://cccc"が割り当てられたアプリケーションへのアクセス要求を受信した場合には、サービスID(SVID)=Bがアクセス対象のURL(http://cccc)と対応付けてACLファイルに登録されていないことから、受信したアクセス要求に係るアクセスは不許可となる。
【0060】
また、フォワーダ・サーバ14で行われているアクセス要求時処理では、クライアント端末26から受信したアクセス要求に付加されているセッションIDを認証サーバ16へ転送(図2のステップ62も参照)した後、認証サーバ16から何らかの通知を受信する迄待機しており、認証サーバ16からアクセス不許可が通知された場合はアクセス要求元のクライアント端末26へエラー応答を送信するが(図示省略)、認証サーバ16からアクセス許可が通知された場合は、クライアント端末26から受信したアクセス要求をアクセス対象のアプリケーション(アプリケーション・サーバ18)へ転送する(図2のステップ76も参照)。
【0061】
これにより、フォワーダ・サーバ14からアクセス要求を受信したアプリケーション・サーバ18では、受信したアクセス要求におけるアクセス対象のアプリケーションが起動され、起動されたアプリケーションにより上記のアクセス要求に応じた処理が行われ(図2のステップ78も参照)、利用者が所望するサービス(特定の金融取引の実行をオンラインで指示可能とするサービス)が利用者に提供されることになる。
【0062】
本実施形態では、クライアント端末26からアクセス要求が送信される毎に、アクセス要求に付加されているセッションIDに基づく上述した認可処理(アクセス要求に付加されたセッションIDを含む認証管理情報が認証管理テーブルに登録されているか否かを確認し、認証管理情報に含まれるサービスIDがアクセス対象のURLと対応付けてACLファイルに登録されているか否かを確認する処理)が認証サーバ16で行われるので、ユーザIDとパスワードを用いた認証処理で正規の利用者であることが確認された後は、クライアント端末26からのアクセス要求を単にアプリケーション・サーバ18へ転送する(認可処理を行わない)態様と比較して、セキュリティ性を向上させることができる。
【0063】
なお、上記ではアプリケーション・サーバ18によるID変換処理において、サービスIDをユーザIDの末尾に付加する態様を説明したが、サービスIDをユーザIDに付加する際の付加方法は、ユーザIDに一旦付加したサービスIDを分離可能であればよく、例えばサービスIDをユーザIDの先頭に付加したり、ユーザIDとサービスIDを1文字ずつ交互に繋げる等の任意の付加方法を適用可能である。また、サービスIDはユーザIDに付加することに限られるものでもなく、サービスIDはパスワードに付加することも可能である。この場合、認証サーバ16では、サービスIDが付加されたパスワードからサービスIDを分離する処理を行えばよい。
【0064】
また、上記ではユーザIDとパスワードを用いた認証処理で正規の利用者であることが確認された場合に、クライアント端末26へ単にセッションIDを通知する態様を説明したが、これに限定されるものではなく、認証管理テーブルに登録した認証管理情報のうちのサービスIDをキーとしてACLファイルを検索し、前記サービスIDと対応付けてACLファイルに登録されているURLをACLファイルから全て読み出し、読み出したURLを利用可能なサービスへのリンクとして貼り付けたメニュー画面を生成し、セッションIDと共にクライアント端末26へ送信するようにしてもよい
また、上記ではウェブサイト運営システム12が運営・管理する特定ウェブサイトが、利用者からのオンラインでの金融取引の実行指示を受け付けるオンライン金融取引用ウェブサイトであり、各アプリケーションが、利用者からの指示に従って互いに異なる金融取引(例えば残高照会や振込等)を行うサービスを提供する態様を説明したが、本発明はこの態様に限定されるものではなく、本発明に係るサービス提供手段が提供するサービスは金融取引以外のサービスであってもよいことは言うまでもない。
【0065】
また、上記では本発明に係る認証プログラムのうち、複数のアプリケーションプログラム及びID変換プログラムをアプリケーション・サーバ18にインストールすると共に、認証要求時プログラムをフォワーダ・サーバ14に、認証・認可プログラムを認証サーバ16に各々インストールし、フォワーダ・サーバ14、認証サーバ16及びアプリケーション・サーバ18を本発明に係る認証装置として機能させる態様を説明したが、本発明はこれに限定されるものではなく、単一のコンピュータを本発明に係る認証装置として機能させることも可能である。
【0066】
また、上記では本発明に係る本発明に係る認証プログラムのうち、複数のアプリケーションプログラム及びID変換プログラムがアプリケーション・サーバ18に予め記憶(インストール)されると共に、認証要求時プログラムがフォワーダ・サーバ14に予め記憶(インストール)され、認証・認可プログラムが認証サーバ16にに予め記憶(インストール)されている態様を説明したが、本発明に係る認証プログラムは、CD−ROMやDVD−ROM等の記録媒体に記録されている形態で提供することも可能である。
【符号の説明】
【0067】
10 コンピュータ・システム
12 ウェブサイト運営システム
14 フォワーダ・サーバ
16 認証サーバ
18 アプリケーション・サーバ
20 DBサーバ
26 クライアント端末
【特許請求の範囲】
【請求項1】
互いに異なるサービスを提供する複数のサービス提供手段と、
何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段と、
前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段と、
前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段と、
利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段と、
を含む認証装置。
【請求項2】
前記認証手段は、生成した前記キー情報を、前記サービス識別情報に加えて、前記利用者識別情報及び前記パスワードとも対応付けて認証管理情報記憶手段に記憶させる請求項1記載の認証装置。
【請求項3】
前記認証手段は、前記認可処理において、受信した前記キー情報が前記認証管理情報記憶手段に記憶されていない場合、及び、前記認証情報記憶手段から読み出したサービス識別情報が受信した前記アクセス先情報と対応付けて記憶されていない場合にはアクセス不許可を通知し、
前記アクセス要求応答手段は、前記認証手段から前記アクセス不許可が通知された場合は、前記アクセス要求送信元の端末装置へエラー応答を送信する請求項1又は請求項2記載の認証装置。
【請求項4】
前記認証要求応答手段及び前記アクセス要求応答手段は第1コンピュータ上で動作し、
前記認証手段は第2コンピュータ上で単一のインスタンスとして動作し、
前記複数のサービス提供手段及び前記変換手段は第3コンピュータ上で動作する請求項1〜請求項3の何れか1項記載の認証装置。
【請求項5】
端末装置と通信可能なコンピュータを、
互いに異なるサービスを提供する複数のサービス提供手段、
何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段、
前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段、
前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段、
及び、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段
として機能させるための認証プログラム。
【請求項1】
互いに異なるサービスを提供する複数のサービス提供手段と、
何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段と、
前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段と、
前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段と、
利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段と、
を含む認証装置。
【請求項2】
前記認証手段は、生成した前記キー情報を、前記サービス識別情報に加えて、前記利用者識別情報及び前記パスワードとも対応付けて認証管理情報記憶手段に記憶させる請求項1記載の認証装置。
【請求項3】
前記認証手段は、前記認可処理において、受信した前記キー情報が前記認証管理情報記憶手段に記憶されていない場合、及び、前記認証情報記憶手段から読み出したサービス識別情報が受信した前記アクセス先情報と対応付けて記憶されていない場合にはアクセス不許可を通知し、
前記アクセス要求応答手段は、前記認証手段から前記アクセス不許可が通知された場合は、前記アクセス要求送信元の端末装置へエラー応答を送信する請求項1又は請求項2記載の認証装置。
【請求項4】
前記認証要求応答手段及び前記アクセス要求応答手段は第1コンピュータ上で動作し、
前記認証手段は第2コンピュータ上で単一のインスタンスとして動作し、
前記複数のサービス提供手段及び前記変換手段は第3コンピュータ上で動作する請求項1〜請求項3の何れか1項記載の認証装置。
【請求項5】
端末装置と通信可能なコンピュータを、
互いに異なるサービスを提供する複数のサービス提供手段、
何れか一方にサービス識別情報が付加された利用者識別情報及びパスワードを受信した場合に、受信した利用者識別情報及びパスワードのうちサービス識別情報が付加されている情報から利用者識別情報を分離した後に、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されているか否か判定し、前記利用者識別情報と前記パスワードの組み合わせが認証情報記憶手段に登録されている場合はキー情報を生成して通知すると共に、生成した前記キー情報を少なくとも前記サービス識別情報と対応付けて認証管理情報記憶手段に記憶させる認証処理を行い、キー情報及びアクセス先情報を受信した場合に、受信した前記キー情報が前記認証管理情報記憶手段に記憶されているか否か判定し、受信した前記キー情報が前記認証管理情報記憶手段に記憶されている場合に、受信した前記キー情報と対応付けて前記認証管理情報記憶手段に記憶されている前記サービス識別情報を読み出し、個々のサービス提供手段のアクセス先情報を個々のサービス提供手段によるサービスの提供が許可されているサービス識別情報と対応付けて各々記憶するアクセス先情報記憶手段に、前記読み出したサービス識別情報が前記受信したアクセス先情報と対応付けて記憶されているか否か判定し、前記受信したアクセス先情報と対応付けて前記読み出したサービス識別情報が記憶されている場合にアクセス許可を通知する認可処理を行う認証手段、
前記利用者識別情報、前記パスワード及び前記画面識別情報を受信した場合に、複数種の画面識別情報の各々をサービス識別情報と対応付けて記憶するサービス識別情報記憶手段に記憶されている情報に基づき、受信した前記画面識別情報を対応する前記サービス識別情報へ変換し、当該サービス識別情報を受信した前記利用者識別情報又は前記パスワードに付加し、何れか一方に前記サービス識別情報を付加した前記利用者識別情報及び前記パスワードを前記認証手段へ転送する変換手段、
前記サービス識別情報テーブルに登録されている複数種の画面識別情報のうちの互いに異なる画面識別情報が予め付与された複数種のログイン画面のうち、任意のログイン画面を介して利用者が入力した前記利用者識別情報及び前記パスワードと前記任意のログイン画面の画面識別情報とを含む認証要求を端末装置から受信した場合に、受信した前記利用者識別情報、前記パスワード及び前記画面識別情報を前記変換手段へ送信し、その後、前記キー情報が通知されると、通知された前記キー情報を前記利用者識別情報、前記パスワード及び前記画面識別情報の送信元の端末装置へ送信する認証要求応答手段、
及び、利用者により前記キー情報を受信した端末装置を介して任意のサービス提供手段へのアクセスを要求する操作が行われることで、前記端末装置からキー情報を含むアクセス要求を受信する毎に、受信したキー情報及びアクセスが要求されたサービス提供手段のアクセス先情報を前記認証手段へ送信し、その後、前記認証手段から前記アクセス許可が通知された場合に、前記アクセス要求をアクセスが要求されたサービス提供手段へ転送するアクセス要求応答手段
として機能させるための認証プログラム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2010−224867(P2010−224867A)
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願番号】特願2009−71398(P2009−71398)
【出願日】平成21年3月24日(2009.3.24)
【出願人】(598049322)株式会社三菱東京UFJ銀行 (200)
【Fターム(参考)】
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願日】平成21年3月24日(2009.3.24)
【出願人】(598049322)株式会社三菱東京UFJ銀行 (200)
【Fターム(参考)】
[ Back to top ]