特許 6546622 認証サーバ、ログイン管理システムおよび認証方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6546622

(24)【登録日】2019年6月28日

(45)【発行日】2019年7月17日

(54)【発明の名称】認証サーバ、ログイン管理システムおよび認証方法

(51)【国際特許分類】

   G06F 21/45 20130101AFI20190705BHJP

   G06F 21/31 20130101ALI20190705BHJP

   G06Q 10/06 20120101ALI20190705BHJP

【ＦＩ】

   G06F21/45

   G06F21/31

   G06Q10/06

【請求項の数】7

【全頁数】12

(21)【出願番号】特願2017-122083(P2017-122083)

(22)【出願日】2017年6月22日

(65)【公開番号】特開2019-8445(P2019-8445A)

(43)【公開日】2019年1月17日

【審査請求日】2017年6月22日

(73)【特許権者】

【識別番号】591144475

【氏名又は名称】ドコモ・システムズ株式会社

(74)【代理人】

【識別番号】100088155

【弁理士】

【氏名又は名称】長谷川 芳樹

(74)【代理人】

【識別番号】100113435

【弁理士】

【氏名又は名称】黒木 義樹

(74)【代理人】

【識別番号】100121980

【弁理士】

【氏名又は名称】沖山 隆

(74)【代理人】

【識別番号】100128107

【弁理士】

【氏名又は名称】深石 賢治

(72)【発明者】

【氏名】宮本 英典

(72)【発明者】

【氏名】金澤 幸一

(72)【発明者】

【氏名】東出 賢

(72)【発明者】

【氏名】上▲崎▼ 純哉

【審査官】 吉田 歩

(56)【参考文献】

【文献】 特開２００４−１４５８９６（ＪＰ，Ａ）

【文献】 特開２００７−２９９２９５（ＪＰ，Ａ）

【文献】 特開２００８−２６９３８１（ＪＰ，Ａ）

【文献】 特開２０１２−０７３７８９（ＪＰ，Ａ）

【文献】 特開２００１−３３７９２２（ＪＰ，Ａ）

【文献】 特開２００７−２８６８７９（ＪＰ，Ａ）

【文献】 特開２００９−１１０２１４（ＪＰ，Ａ）

【文献】 特開２０１１−２５３４９６（ＪＰ，Ａ）

【文献】 特開２００５−０３１８８４（ＪＰ，Ａ）

【文献】 特開２０１０−１８２１７０（ＪＰ，Ａ）

【文献】 特開平１０−１５９４１４（ＪＰ，Ａ）

【文献】 特開平７−８４６６２（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００９／０１３１０１５（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／４５

Ｇ０６Ｆ ２１／３１

Ｇ０６Ｑ １０／０６

(57)【特許請求の範囲】

【請求項1】

ユーザごとに割当てられたユーザＩＤごとに、当該ユーザのユーザ端末のログインのためのパスワードとスケジュール情報に基づいて定められたログイン可能条件とを対応付けて記憶する認証データ記憶部と、
前記ログイン可能条件を満たさないときに発行されるワンタイムパスワードおよび一のユーザにログインを可能にするためのログイン可能条件を、当該一のユーザの上長である上位ユーザからの指示に従って、前記一のユーザのユーザＩＤに対応付けて、前記認証データ記憶部に設定するワンタイムパスワード設定部と、
前記一のユーザのユーザ端末のログインのためのパスワードまたは前記設定されたワンタイムパスワードの入力および前記ログイン可能条件に基づいて、前記認証データ記憶部における一のユーザに対応付けられたパスワードまたはワンタイムパスワードの認証処理を行う認証部と、
を備える認証サーバ。

【請求項2】

前記認証部による前記ワンタイムパスワードの認証に伴って、前記認証データ記憶部に設定される前記一のユーザのユーザ端末のログインのためのパスワードの変更を行うパスワード変更部をさらに備える請求項１に記載の認証サーバ。

【請求項3】

前記ワンタイムパスワード設定部は、ワンタイムパスワードの受信に伴って、前記ログイン可能条件を前記ユーザがログイン可能な状態に変更する、
請求項１または２に記載の認証サーバ。

【請求項4】

ユーザごとに割当てられたユーザＩＤごとに、当該ユーザのユーザ端末のログインのためのパスワードと、スケジュール情報に基づいて定められたログイン可能時間帯またはログイン可能地域の少なくとも一方を含むログイン可能条件とを対応付けて記憶する認証データ記憶部と、
前記ログイン可能条件を満たさないときに発行されるワンタイムパスワードおよび一のユーザにログインを可能にするためのログイン可能条件を、当該一のユーザの上長である上位ユーザからの指示に従って、前記一のユーザのユーザＩＤに対応付けて、前記認証データ記憶部に設定するワンタイムパスワード設定部と、
前記一のユーザのユーザ端末のログインのためのパスワードまたは前記設定されたワンタイムパスワードの入力および前記ログイン可能条件に基づいて、前記認証データ記憶部における一のユーザに対応付けられたパスワードまたはワンタイムパスワードの認証処理を行う認証部と、
前記認証部による前記ワンタイムパスワードの認証に伴って、前記認証データ記憶部に設定される前記一のユーザのユーザ端末のログインのためのパスワードの変更を行うパスワード変更部と、
を備える認証サーバ。

【請求項5】

前記ログイン可能条件は、ユーザのスケジュール管理を行うスケジュール管理サーバに記憶されているスケジュール情報に基づきユーザＩＤに対応付けて前記認証データ記憶部に記憶されるものである、請求項１〜４のいずれか一項に記載の認証サーバ。

【請求項6】

請求項１から５のいずれか一項に記載の認証サーバと、
ユーザごとにスケジュール管理を行うスケジュール管理サーバと、
ワンタイムパスワードを発行するＯＴＰサーバと、
を含んだログイン管理システムにおいて、
前記スケジュール管理サーバは、
一のユーザのユーザＩＤに関連付けられた一の申請用端末から利用申請を受け付けると、前記一のユーザの上長である上位ユーザに対して、利用申請があったことを通知し、
前記上位ユーザから利用申請の承認を受領すると、前記ＯＴＰサーバにワンタイムパスワードの生成を指示し、
前記ＯＴＰサーバは、
前記指示を受け付けると、ワンタイムパスワードを生成し、生成したワンタイムパスワードを、前記認証サーバと前記一の申請用端末とに送信し、
前記認証サーバは、
受信したワンタイムパスワードおよび前記一のユーザにログイン可能にするためのログイン可能条件を前記認証データ記憶部に設定する、
ログイン管理システム。

【請求項7】

ユーザごとに割当てられたユーザＩＤごとに、当該ユーザのユーザ端末のログインのためのパスワードとスケジュール情報に基づいて定められたログイン可能条件とを対応付けて記憶する認証データ記憶部を備える認証サーバの認証方法において、
前記ログイン可能条件を満たさないときに発行されるワンタイムパスワードおよび一のユーザにログインを可能にするためのログイン可能条件を、当該一のユーザの上長である上位ユーザからの指示に従って、前記一のユーザのユーザＩＤに対応付けて、前記認証データ記憶部に設定する設定ステップと、
前記一のユーザのユーザ端末のログインのためのパスワードまたは前記設定されたワンタイムパスワードの入力および前記ログイン可能条件に基づいて、前記認証データ記憶部における一のユーザに対応付けられたパスワードまたはワンタイムパスワードの認証処理を行う認証ステップと、
を備える認証方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、認証処理を行う認証サーバ、ログイン管理システムおよび認証方法に関する。

【背景技術】

【0002】

下記特許文献１には、勤務スケジュールにしたがってクライアント端末の利用の許可・不許可を判断する管理サーバが記載されている。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１２−７３７８９号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

特許文献１に記載の技術は、勤務スケジュールに従って勤務者の管理を可能にすることができるが、勤務者にとっては、勤務時間外であっても、クライアント端末を利用しなければならない場合がある。そのような場合に利用することができないのは、不便である。一方で、勤務スケジュールに関係なくクライアント端末を利用できるようにすると、勤務管理を適正に行うことができない。

【0005】

そこで、本発明は、勤務管理を適正に行うためにユーザ端末の利用管理を行うことのできる認証サーバ、ログイン管理システムおよび認証方法を提供することを目的とする。

【課題を解決するための手段】

【0006】

上述の課題を解決するために、本発明は、ユーザごとに割当てられたユーザＩＤごとに、当該ユーザのユーザ端末のログインのためのパスワードとスケジュール情報に基づいて定められたログイン可能条件とを対応付けて記憶する認証データ記憶部と、前記ログイン可能条件を満たさないときに発行されるワンタイムパスワードおよび一のユーザにログインを可能にするためのログイン可能条件を、当該一のユーザの上長である上位ユーザからの指示に従って、前記一のユーザのユーザＩＤに対応付けて、前記認証データ記憶部に設定するワンタイムパスワード設定部と、前記一のユーザのユーザ端末のログインのためのパスワードまたは前記設定されたワンタイムパスワードの入力および前記ログイン可能条件に基づいて、前記認証データ記憶部における一のユーザに対応付けられたパスワードまたはワンタイムパスワードの認証処理を行う認証部と、を備える。

【0007】

この発明によれば、上長などの上位ユーザにより、ログイン可能条件を満たさないときに発行されるワンタイムパスワードが設定され、当該ワンタイムパスワードによる認証が行われると、ログインのためのパスワードの変更およびログインが可能となる。したがって、ユーザは、業務時間外などのログイン可能条件を満たさないときにおいても、当該ユーザのユーザＩＤによるログインを可能にする。

【発明の効果】

【0008】

本発明によれば、業務時間外などのログイン可能条件を満たさないときにおいても、ユーザのユーザＩＤによるログインを可能にする。

【図面の簡単な説明】

【0009】

【図1】本実施形態の認証サーバを含んだ管理システムのシステム構成を示す図である。

【図2】本実施形態の認証サーバ１００の機能構成を示すブロック図である。

【図3】認証サーバ１００のハードウェア構成図である。

【図4】認証サーバ１００が保持する認証データベースの具体例を示す図である。

【図5】社員ＰＣ５００ａと認証サーバ１００との間で認証処理を行うときに処理シーケンスを示す図である。

【図6】ワンタイムパスワードを発行するための処理シーケンスを示す図である。

【図7】ワンタイムパスワードを用いたパスワードの変更処理を示すフローチャートである。

【発明を実施するための形態】

【0010】

添付図面を参照しながら本発明の実施形態を説明する。可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。

【0011】

図１は、本実施形態の認証サーバを含んだ管理システムのシステム構成を示す図である。図に示されるとおり、この管理システムは、認証サーバ１００、ＯＴＰサーバ２００、スケジュール管理サーバ３００、上長ＰＣ４００、社員ＰＣ５００ａ、社員ＰＣ５００ｂ、およびモバイル端末５００ｃを含んで構成されている。

【0012】

認証サーバ１００は、社員が社員ＰＣ５００ａを利用するための認証処理を行うサーバである。この認証サーバ１００は、社員ＰＣ５００ａから入力されたユーザＩＤとパスワードに基づいて、ログインの許可を行う。

【0013】

ＯＴＰサーバ２００は、ワンタイムパスワードを発行するサーバである。

【0014】

スケジュール管理サーバ３００は、社員であるユーザごとに、そのスケジュールを管理するサーバである。このスケジュール管理サーバ３００は、ユーザＩＤ、時間、スケジュール内容を少なくとも対応付けて記述したスケジュールデータベースを記憶している。

【0015】

上長ＰＣ４００は、一般的な情報処理端末であり、例えばパソコンである。本実施形態においては、上長は、スケジュール管理サーバ３００からの通知に従って、対応する社員のログインを許可する否かを判断し、その許可または不許可のための操作を上長ＰＣ４００に対して行う。なお、上長ＰＣ４００は、社員からの申請を常に受け取り、処理することができるように、モバイル端末など、デスクトップ型のパソコン以外のものであってもよい。

【0016】

社員ＰＣ５００ａ、５００ｂは、一般的な情報処理端末であり、例えばパソコンである。本実施形態においては、上長の部下である社員（ユーザ）が操作するためのＰＣである。社員であるユーザは、ユーザＩＤおよびパスワードを入力することにより、ＰＣを起動することができる。社員ＰＣ５００ａは、関東地区に配置されており、社員ＰＣ５００ｂは、関西地区に配置されているものとしている。

【0017】

モバイル端末５００ｃは、携帯型の情報処理端末である。本実施形態においては、このモバイル端末５００ｃは、社員が、自分の社員ＰＣ５００の利用申請及びワンタイムパスワードの受領を行うための端末である。このワンタイムパスワードは、公知の方法により生成されるものであり、一度使用されたり、所定時間を経過することで無効となるパスワードである。なお、モバイル端末５００ｃは、携帯型の情報処理端末である必要はなく、ユーザの本人性確認をとることができる端末であればよい。スケジュール管理サーバ３００は、モバイル端末５００ｃの端末ＩＤなどを事前に登録しており、ログイン可能条件を満たさない場合（ログイン可能時間外またはログイン可能地域外である場合）にその申請をさせるために用いられる。なお、本人性確認をとることができれば、端末ＩＤをスケジュール管理サーバ３００に記憶させておく必要はない。ユーザＩＤとパスワードとを使って、所定の端末から利用申請をしてもよい。

【0018】

スケジュール管理サーバ３００は、予めモバイル端末５００ｃとユーザのユーザＩＤと上長ユーザのユーザＩＤを対応付けて記憶しており、モバイル端末５００ｃから利用申請を受け付けると、上長ユーザのユーザＩＤに基づいて定められた上長ＰＣ４００ａに対して利用申請があったこと通知を送信する。

【0019】

このように構成された管理システムにおける認証サーバ１００の構成について説明する。図２は、本実施形態の認証サーバ１００の機能構成を示すブロック図である。図２に示されるとおり、認証サーバ１００は、通信制御部１０１，ワンタイムパスワード設定部１０２、認証データ記憶部１０３、パスワード変更部１０４、および認証部１０５を含んで構成されている。また、スケジュール管理サーバ３００は、利用申請処理部３０１およびスケジュールデータ記憶部３０２を含んで構成されている。

【0020】

図３は、認証サーバ１００のハードウェア構成図である。図２に示される認証サーバ１００は、物理的には、図３に示すように、一または複数のＣＰＵ１１、主記憶装置であるＲＡＭ１２及びＲＯＭ１３、ネットワークカード等のデータ送受信デバイスであるネットワーク制御部１４、ハードディスク１５などを含むコンピュータシステムとして構成されている。図２における各機能は、図３に示すＣＰＵ１１、ＲＡＭ１２等のハードウェア上に所定のコンピュータソフトウェアを読み込ませることにより、ＣＰＵ１１の制御のもとでネットワーク制御部１４等を動作させるとともに、ＲＡＭ１２やハードディスク１５におけるデータの読み出し及び書き込みを行うことで実現される。スケジュール管理サーバ３００も同様の構成である。以下、図２に示す機能ブロックに基づいて、各機能ブロックを説明する。

【0021】

通信制御部１０１は、社内ネットワークを介して外部の端末と通信処理を行う部分である。

【0022】

ワンタイムパスワード設定部１０２は、ＯＴＰサーバ２００において設定されたワンタイムパスワードおよびそのユーザＩＤを、通信制御部１０１を介して受信して、認証データ記憶部１０３におけるユーザＩＤに対応するパスワード欄に、受信したワンタイムパスワードを記憶させる部分である。

【0023】

認証データ記憶部１０３は、認証データを記述した認証データベースを記憶する部分である。図４は、認証サーバ１００が保持する認証データベースの具体例を示す図である。図４に示されるとおり、認証データベースは、ユーザＩＤ、パスワード、ログイン可能条件を記述している。ユーザＩＤは、社員であるユーザに割当てられたＩＤである。パスワードは、そのユーザＩＤでログインするときに用いられるパスワードである。このパスワード欄には、必要に応じて、ＯＴＰサーバ２００から出力されたワンタイムパスワード（ログインをするための一時的なパスワード）が設定される。ログイン可能条件は、ログイン可能時間やログイン可能地域を示す。このログイン可能条件は、スケジュール管理サーバ３００において社員のスケジュール情報に基づいて定められる。

【0024】

パスワード変更部１０４は、社員ＰＣ５００ａから通信制御部１０１を介してアクセスされたアカウントのパスワードを、社員ＰＣ５００ａから出力されたパスワードに変更する部分である。

【0025】

認証部１０５は、社員ＰＣ５００ａ等からのログイン操作を受け付けるか否かを判断する部分である。認証部１０５は、認証データ記憶部１０３に記憶されているユーザＩＤおよびパスワードに基づいて認証処理を行う。なお、認証部１０５は、ワンタイムパスワードとして設定されたパスワードに基づいた認証を行う場合がある。ワンタイムパスワードとしてパスワードが設定されていた場合には、所定時間経過するとそのパスワードは無効となるよう、認証部１０５は動作する。

【0026】

つぎに、スケジュール管理サーバ３００について説明する。利用申請処理部３０１は、予め一のユーザに登録されているモバイル端末５００ｃから、ＰＣの利用申請を受け付ける。このモバイル端末５００ｃから利用申請を受け付けると、一のユーザの上長の上長ＰＣ４００に対して、その旨の通知を行う。

【0027】

また、利用申請処理部３０１は、上長ＰＣ４００から利用申請が可である旨の承認を受領すると、ＯＴＰサーバ２００に対してワンタイムパスワードの生成指示を行う。

【0028】

スケジュールデータ記憶部３０２は、ユーザごとにスケジュールデータを記述したデータベースを記憶する部分である。認証サーバ１００は、このスケジュールデータ記憶部３０２に記憶されているデータベースの情報を事前に取得しておき、これに基づいて認証処理を行う。

【0029】

つぎに、図５を用いて、認証サーバ１００を用いた認証処理について説明する。図５は、社員ＰＣ５００ａ（または社員ＰＣ５００ｂでもよい）と認証サーバ１００との間で認証処理を行うときに処理シーケンスを示す図である。

【0030】

認証サーバ１００において、通信制御部１０１を介して、事前にスケジュール管理サーバ３００からユーザごとのスケジュールデータが取得され（Ｓ１０１）、スケジュールデータ設定部１０６により、スケジュールデータに基づいたログイン可能条件が認証データ記憶部１０３に記憶される（Ｓ１０２）。

【0031】

その後、社員であるユーザが社員ＰＣ５００ａを操作して、社員ＰＣ５００ａにおいて、ユーザＩＤおよびパスワードが入力される（Ｓ１０３）。

【0032】

認証サーバ１００において、通信制御部１０１により、ユーザＩＤ、パスワード、ＩＰアドレスが受信され、認証部１０５により、認証データ記憶部１０３に記憶されている認証データベースに基づいて認証処理が行われる。ここで、認証部１０５により、ユーザＩＤに対応するログイン可能条件（ログイン可能時間帯、ログイン可能地域）が満たされると判断されると（Ｓ１０５：ＹＥＳ）、ユーザＩＤとパスワードに基づいて認証処理が行われる（Ｓ１０６）。

【0033】

ログイン可能地域は、接続しようとする社員ＰＣ５００のＩＰアドレスに基づいて判断される。例えば、関東地域からのアクセスのみを許可する場合には、社員ＰＣ５００ａからのアクセスは許可するが、社員ＰＣ５００ｂからのアクセスは許可しないようにすることができる。ＩＰアドレス以外にも事前に登録した地域ごとに設定された端末ＩＤに基づいて判断するようにしてもよい。

【0034】

認証部１０５により、認証処理がＯＫとなると、社員ＰＣ５００ａは利用可能となり、オンライン状態となる（Ｓ１０７）。認証処理がＮＧとなると、ログイン不可とのメッセージが社員ＰＣ５００ａに表示される（Ｓ１０８）。

【0035】

一方で、ログイン可能条件を満たさないと判断されると（Ｓ１０５：ＮＯ）、ＰＣ５００ａは、ログインが拒絶され、使用することができない。このようにして、ログイン可能時間帯やログイン可能地域などのログイン可能条件を満たさない場合には、ログインをすることができないが、社員ＰＣ５００ａを使用しなければならない場合がある。本実施形態においては、そのような場合には、システム的に適正な手続を経ることで、社員ＰＣ５００ａをログイン状態にすることを可能にする。

【0036】

図６は、ワンタイムパスワードを発行するための処理シーケンスを示す図である。この図では、社員であるユーザが上長に対して申請を行うことにより、社員ＰＣ５００ａをログイン可能にする処理を示す。ここでは、ユーザは、モバイル端末５００ｃを使って、ログインのためのワンタイムパスワードを取得する。

【0037】

モバイル端末５００ｃにおいて、ユーザは、利用申請を行うためにスケジュール管理サーバ３００に対して、ユーザＩＤに基づいたログイン処理を可能にするための申請のためのアクセスが行われる（Ｓ２０１）。

【0038】

スケジュール管理サーバ３００において、モバイル端末５００ｃからの利用申請を受領すると、上長ＰＣ４００に、その通知が送信される（Ｓ２０２）。

【0039】

ユーザの上長は、その通知を上長ＰＣ４００のディスプレイで見て、利用申請の可否の判断をする。上長ＰＣ４００において、上長からの可否の操作が受け付けられる（Ｓ２０３）。ここでは、上長は申請可と判断し、上長ＰＣ４００において、その旨の操作が受け付けられる。

【0040】

スケジュール管理サーバ３００において、上長ＰＣ４００から申請可の通知が受信されると（承認受領）、ＯＴＰサーバ２００に対して、承認通知が送信される（Ｓ２０４）。この承認通知は、ユーザの申請を承認したこと、そのユーザのユーザＩＤ、およびワンタイムパスワードの通知先となるモバイル端末４００ｃの宛先（メールアドレス等）を含んだものである。

【0041】

ＯＴＰサーバ２００において、承認通知が受信されると、そのユーザＩＤに対応するワンタイムパスワードが生成される（Ｓ２０５）。そして、このワンタイムパスワードは、認証サーバ１００に対して送信される。

【0042】

認証サーバ１００において、ＯＴＰサーバ２００から送信されたワンタイムパスワードおよびユーザＩＤは、通信制御部１０１を介して、ワンタイムパスワード設定部１０２により受信される。そして、ワンタイムパスワード設定部１０２により、認証データベースのパスワード欄のパスワードがワンタイムパスワードに変更される（Ｓ２０６）。さらに、このワンタイムパスワードに従ったパスワードの変更とともに、ワンタイムパスワード設定部１０２により、ログイン可能条件（ログイン可能時間およびログイン可能地域）が変更される。

【0043】

このログイン可能条件は、ワンタイムパスワードが受信されると、予め定められた条件に変更される。例えば、ワンタイムパスワード設定部１０２により、ワンタイムパスワードが設定されるとともに、そのワンタイムパスワードが受信されてから所定時間内にログイン可能とするように変更する。また、ログイン可能地域については、ログイン可能条件から外される。
なお、ログイン可能条件は、スケジュール管理サーバ３００に記憶されているスケジュールデータに従って変更されてもよい。例えば、上長が、ユーザの申請に応じて申請可とする際、スケジュール管理サーバ３００に対して、そのユーザのスケジュールデータの変更処理を行う。スケジュール管理サーバ３００は、変更処理にしたがってスケジュールデータを更新しておき、この更新されたスケジュールデータに基づいてログイン可能条件が設定される。

【0044】

図４（ａ）および図４（ｂ）を用いて、認証サーバ１００における認証データを説明する。図４（ａ）は、認証サーバ１００の変更前の認証データベースの具体例であり、図４（ｂ）は、変更後の認証データベースの具体例である。図に示されるとおり、認証データベースは、ユーザＩＤ、パスワード、およびログイン可能条件が記述されている。ステップＳ２０６において、ワンタイムパスワードがＯＴＰサーバ２００から送信されると、認証データベースのパスワード欄が変更される。図４（ｂ）では、“パスワード：１１１１”から、“パスワード：ＡＡＡＡ”に変更されている。ＡＡＡＡは、ワンタイムパスワードである。

【0045】

また、ＯＴＰサーバ２００において、スケジュール管理サーバ３００から送信された承認通知に含まれていた宛先であるモバイル端末５００ｃに対して、ワンタイムパスワードが送信され、モバイル端末５００ｃにおいて受信される（Ｓ２０７）。これによって、ユーザはワンタイムパスワードを受領することができる。

【0046】

つぎに、ユーザがワンタイムパスワードを用いて、ログインのためのパスワードを変更する処理について説明する。図７は、ワンタイムパスワードを用いたパスワードの変更処理を示すフローチャートである。

【0047】

社員ＰＣ５００ａにおいて、ログイン画面からユーザＩＤおよびワンタイムパスワードが入力されると（Ｓ３０１）、ユーザＩＤ、ワンタイムパスワード、およびＩＰアドレスが認証サーバ１００に送信される（Ｓ３０２）。そして、認証サーバ１００において、認証部１０５により、認証データベースを用いて認証処理が行われる（Ｓ３０３）。

【0048】

ここで、認証部１０５による認証が正常に行われると（Ｓ３０３：ＯＫ）、社員ＰＣ５００ａにおいて、新パスワードの設定要求が行われる（Ｓ３０４）。ユーザに新パスワードが設定されると、その情報が認証サーバ１００に対して送信される。そして、認証サーバ１００において、通信制御部１０１を介して新パスワードが受信され、パスワード変更部１０４により、認証データベースのパスワード欄が更新される（Ｓ３０５、（図４（ｃ）参照））。そして、社員ＰＣ５００ａはログイン状態となり、ユーザによる使用が可能になる。一方で、認証部１０５による認証がＮＧとなった場合には、社員ＰＣ５００ａに対してエラー通知が行われる（Ｓ３０３：ＮＧ、Ｓ３０７）。

【0049】

つぎに、本実施形態の認証サーバ１００の作用効果について説明する。この認証サーバ１００は、ユーザごとに割当てられたユーザＩＤごとに、当該ユーザのユーザ端末のログインのためのパスワードを対応付けた認証データベースを記憶する認証データ記憶部１０３と、一のユーザの上長ユーザに関連付けられた上長ユーザ端末である上長ＰＣ４００からの指示に従って、ログイン可能条件を満たさないときに発行されるワンタイムパスワードを、一のユーザのユーザＩＤに対応付けて、認証データベースに設定するワンタイムパスワード設定部１０２と、一のユーザのユーザ端末（ユーザ端末５００ａ）から入力されたワンタイムパスワードに基づいて、認証データベースにおける一のユーザに対応付けられたパスワードの変更およびログインのための認証を行う認証部１０５と、認証部１０５による認証に伴って、認証データベースに記述されるパスワードの変更を行うパスワード変更部１０４と、を備える。

【0050】

これにより、上長などの上位ユーザにより、ログイン可能条件を満たさないときに発行されるワンタイムパスワードが設定され、当該ワンタイムパスワードによる認証が行われると、ログインのためのパスワードの変更およびログインが可能となる。したがって、ユーザはログイン可能条件を満たさないときにおいても、当該ユーザのユーザＩＤによるログインを可能にする。また、ワンタイムパスワードによるログインを可能にするとともにパスワードの変更も可能にするため、なりすましを防止することができる。

【0051】

また、この認証サーバ１００において、認証データ記憶部１０３における認証データベースは、ユーザのスケジュール管理を行うスケジュール管理サーバ３００に記憶されているスケジュールデータベースに基づいて定められたログイン可能条件をユーザＩＤに対応付けて記述しており、認証部１０５は、ログイン可能条件に基づいて認証処理を行う。

【0052】

これにより、スケジュール管理から外れているログインを不可とすることができ、社員のスケジュール管理を可能にする。このログイン可能条件は、ログイン可能時間帯であってもよいし、ログイン可能地域であってもよい。スケジュール管理サーバ３００には、ユーザごとの出張などのスケジュールが記憶されており、予定外の時間帯や地域からのアクセスを制限することで、社員のスケジュール管理を容易にする。

【0053】

また、この認証サーバ１００を含んだログイン管理システムは、認証サーバ１００のほかに、ユーザごとにスケジュール管理を行うスケジュール管理サーバ３００、ワンタイムパスワードを発行するＯＴＰサーバ２００を含んでいる。

【0054】

このスケジュール管理サーバ３００において、利用申請処理部３０１は、一のユーザのユーザＩＤに関連付けられた一の申請用端末（モバイル端末５００ｃ）から利用申請を受け付けると、一のユーザの上長に関連付けられた上長ＰＣ４００に対して、利用申請があったことを通知し、上長ＰＣ４００から利用申請の承認を受領すると、ＯＴＰサーバ２００にワンタイムパスワードの生成を指示する。

【0055】

ＯＴＰサーバ２００は、ワンタイムパスワードの生成指示を受け付けると、ワンタイムパスワードを生成し、生成したワンタイムパスワードを、認証サーバ１００とモバイル端末５００ｃとに送信する。認証サーバ１００は、受信したワンタイムパスワードを認証データベースに設定し、これを用いた認証処理を可能にする。

【0056】

このように、ユーザからの利用申請を受け付けると、その旨を上長に知らせることができる。上長は、その利用申請の可否を判断して、ワンタイムパスワードを発行するとともに、そのワンタイムパスワードをユーザに通知することで、そのユーザは、ワンタイムパスワードに基づいたログインを可能にする。その際、ログイン用のパスワードの変更を行うことで、なりすましなどの他ユーザのよる不正アクセスを防止することができる。

【符号の説明】

【0057】

１００…認証サーバ、２００…ＯＴＰサーバ、３００…スケジュール管理サーバ、４００…上長ＰＣ、ＰＣ５００ａ、５００ｂ…社員ＰＣ、５００ｃ…モバイル端末、１０１…通信制御部、１０２…ワンタイムパスワード設定部，１０３…認証データ記憶部，１０４…パスワード変更部，１０５…認証部，３０１…利用申請処理部，３０２…スケジュールデータ記憶部。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】