特許第6551510号(P6551510)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 富士通クライアントコンピューティング株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 富士通クライアントコンピューティング株式会社の特許一覧

特許6551510情報処理装置、機器連携認証プログラム及び機器連携認証方法
<>
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000002
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000003
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000004
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000005
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000006
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000007
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000008
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000009
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000010
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000011
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000012
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000013
  • 特許6551510-情報処理装置、機器連携認証プログラム及び機器連携認証方法 図000014
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6551510
(24)【登録日】2019年7月12日
(45)【発行日】2019年7月31日
(54)【発明の名称】情報処理装置、機器連携認証プログラム及び機器連携認証方法
(51)【国際特許分類】
   G06F 21/41 20130101AFI20190722BHJP
【FI】
   G06F21/41
【請求項の数】7
【全頁数】17
(21)【出願番号】特願2017-504451(P2017-504451)
(86)(22)【出願日】2015年3月9日
(86)【国際出願番号】JP2015056811
(87)【国際公開番号】WO2016143027
(87)【国際公開日】20160915
【審査請求日】2017年8月2日
(73)【特許権者】
【識別番号】518133201
【氏名又は名称】富士通クライアントコンピューティング株式会社
(74)【代理人】
【識別番号】110002918
【氏名又は名称】特許業務法人扶桑国際特許事務所
(74)【代理人】
【識別番号】100165179
【弁理士】
【氏名又は名称】田▲崎▼ 聡
(74)【代理人】
【識別番号】100194087
【弁理士】
【氏名又は名称】渡辺 伸一
(74)【代理人】
【識別番号】100207789
【弁理士】
【氏名又は名称】石田 良平
(74)【代理人】
【識別番号】100207572
【弁理士】
【氏名又は名称】武田 雄人
(72)【発明者】
【氏名】大櫃 敏郎
【審査官】 平井 誠
(56)【参考文献】
【文献】 特開平11−355266(JP,A)
【文献】 特開2006−309587(JP,A)
【文献】 特開2013−117748(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/30−46
(57)【特許請求の範囲】
【請求項1】
端末機器に所定のサービスを提供する情報処理装置であって、
同一の認証情報にて認証される複数の端末機器のうち、認証サーバにより認証された一の端末機器の認証情報を受信する通信部と、
前記複数の端末機器のうち前記認証サーバにより認証されていない他の端末機器を抽出し、該他の端末機器から認証情報を取得し、該他の端末機器の認証情報と前記一の端末機器の認証情報とに基づき、該他の端末機器の認証を前記認証サーバに代行して行うログオン処理部と、
を有する情報処理装置。
【請求項2】
前記通信部は、前他の端末機器の認証を前記認証サーバに代行して行う期間情報を受信し、
前記ログオン処理部は、前記期間情報に示される期間内の前記他の端末機器の認証を前記認証サーバに代行して行う、
請求項1に記載の情報処理装置。
【請求項3】
端末機器に所定のサービスを提供する処理をコンピュータに実行させるための機器連携認証プログラムであって、
同一の認証情報にて認証される複数の端末機器のうち、認証サーバにより認証された一の端末機器の認証情報を受信し、
前記複数の端末機器のうち前記認証サーバにより認証されていない他の端末機器を抽出し、該他の端末機器から認証情報を取得し、該他の端末機器の認証情報と前記一の端末機器の認証情報とに基づき、該他の端末機器の認証を前記認証サーバに代行して行う、
機器連携認証プログラム。
【請求項4】
前記他の端末機器にサービスを提供する期間情報を受信し、
前記期間情報に示される期間内の前記他の端末機器の認証を前記認証サーバに代行して行う、
請求項3に記載の機器連携認証プログラム。
【請求項5】
端末機器に所定のサービスを提供する処理をコンピュータが実行する機器連携認証方法であって、
同一の認証情報にて認証される複数の端末機器のうち、認証サーバにより認証された一の端末機器の認証情報を受信し、
前記複数の端末機器のうち前記認証サーバにより認証されていない他の端末機器を抽出し、該他の端末機器から認証情報を取得し、該他の端末機器の認証情報と前記一の端末機器の認証情報とに基づき、該他の端末機器の認証を前記認証サーバに代行して行う、
機器連携認証方法。
【請求項6】
前記他の端末機器にサービスを提供する期間情報を受信し、
前記期間情報に示される期間内の前記他の端末機器の認証を前記認証サーバに代行して行う、
請求項5に記載の機器連携認証方法。
【請求項7】
前記複数の端末機器のログオン情報を格納するログオン管理データベースをさらに有し、
前記通信部は、前記一の端末機器の認証情報を受信した際に、前記他の端末機器の前記ログオン情報を更新し、
前記ログオン処理部は、更新された前記ログオン情報に基づいて、前記他の端末機器の認証の前記代行を開始する、
請求項1に記載の情報処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、機器連携認証プログラム及び機器連携認証方法に関する。
【背景技術】
【0002】
端末機器にサービスを提供するサービスサーバを介して、インターネットに接続されたパーソナルコンピュータ、タブレット型端末機器又はモバイル端末機器等の複数の端末機器の所有者に所定のサービスを提供するビジネスが提案されている。
【0003】
一の利用者が複数の端末機器を用いてサービスサーバからのサービスを受けるために、複数の端末機器のそれぞれについて同一のID及びパスワードPW(以下、「ID/PW」とも記載する。)を用いた認証処理を行うことは煩雑である。そこで、複数の端末機器のいずれかでログオン操作を一度行えば、複数の端末機器においてサービスを利用できる技術としてシングルサインオンの技術が知られている(例えば、特許文献1参照)。
【0004】
複数の端末機器のうちの一の端末機器が認証サーバへ複数のサービスの変更依頼を同時に行い、その処理が正常に完了した後に複数の端末装置のうちの他の端末機器が、一の端末機器と同一のID/PWでサービスサーバに接続し、新サービスを利用する場合がある。この場合、認証サーバは、サービスサーバに対して個別のID単位でID/PWを入力した端末機器に対するサービスを決定する。その際には、認証サーバとサービスサーバとは常に連携を行い、他の端末機器が目的とする、あるサービスサーバに接続すると、そのサービスサーバが認証サーバの代行認証を行い、サービスを継続して提供する方法がある(方法1)。また、他の端末機器は、必ず、認証サーバに接続し、認証された後に、認証サーバが管理する各サービスの情報に応じて各サービスサーバに接続する方法がある(方法2)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2013−97744号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、シングルサインオンの技術では、一のID/PWを一の端末機器から他の端末機器へ送信し、他の端末機器はインターネットに接続されたままで、一の端末機器からID/PWが送信されることを待つ。このため、一の端末機器はID/PWにより機器の認証ができ、新サービスを利用するためのモジュールが登録されたとしても、他の端末機器は、そのサービスを提供するサービスサーバに接続されておらず、新サービスを利用するためのモジュールを他の端末機器へ送信する手段がない。このため、他の端末機器は、新サービスを利用するためのモジュールを取得できないため、新サービスを利用することは困難である。
【0007】
また、方法1では、サービスサーバは、認証サーバが持つID単位のサービスを把握しなければならないため、頻繁に認証サーバは各サービスサーバに対して情報のアップデートをする必要が生じ、認証サーバとサービスサーバ間の通信量が膨大になる。
【0008】
また、方法2では、利用者の端末機器は、必ず認証サーバに接続し、認証後に認証サーバが管理するID単位ごとのサービスに応じたサービスサーバに接続する。よって、全ての端末機器が、認証サーバを経由してサービスを利用するため、端末機器と認証サーバのアクセスが膨大になり、認証サーバのCPUの処理の負荷が高くなる。
【0009】
そこで、一側面では、本発明は、端末機器を認証する認証サーバと端末機器にサービスを提供するサービスサーバとの間のアクセスを抑制することを目的とする。
【課題を解決するための手段】
【0010】
一つの案では、端末機器に所定のサービスを提供する情報処理装置であって、同一の認証情報にて認証される複数の端末機器のうち、認証サーバにより認証された一の端末機器の認証情報を受信する通信部と、前記複数の端末機器のうち前記認証サーバにより認証されていない他の端末機器を抽出し、該他の端末機器から認証情報を取得し、該他の端末機器の認証情報と前記一の端末機器の認証情報とに基づき、該他の端末機器の認証を前記認証サーバに代行して行う認証部と、を有する情報処理装置が提供される。
【発明の効果】
【0011】
一側面によれば、端末機器を認証する認証サーバと端末機器にサービスを提供するサービスサーバとの間のアクセスを抑制することができる。
【図面の簡単な説明】
【0012】
図1】一実施形態にかかる機器連携認証システムの全体構成の一例を示す図。
図2】一実施形態にかかる各サーバ及び各端末機器の機能構成の一例を示す図。
図3】一実施形態にかかるサービス管理DBの一例を示す図。
図4】一実施形態にかかるID管理DBの一例を示す図。
図5】一実施形態にかかる認証テーブルの一例を示す図。
図6】一実施形態にかかるユニーク情報を説明するための図。
図7】一実施形態にかかるプッシュ管理DBの一例を示す図。
図8】一実施形態にかかるログオン管理DBの一例を示す図。
図9】一実施形態にかかる各機器の連携認証処理の流れの一例を示すフローチャート。
図10】一実施形態にかかる各機器の連携認証処理の流れの一例を示すフローチャート。
図11】一実施形態にかかる端末機器Aの認証/組込処理の一例を示すフローチャート。
図12】一実施形態にかかる端末機器Bの認証/組込処理の一例を示すフローチャート。
図13】一実施形態にかかるサービスサーバのハードウェア構成例を示す図。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について添付の図面を参照しながら説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複した説明を省く。
【0014】
[機器連携認証システムの全体構成]
まず、本発明の一実施形態に係る機器連携認証システム1の構成について、図1を参照しながら説明する。本実施形態に係る機器連携認証システム1は、IDサーバ10及びサービスサーバA20a、B20bが連携して端末機器の認証を行う。
【0015】
機器連携認証システム1は、IDサーバ10、サービスサーバA20a、サービスサーバB20b、端末機器A30及び端末機器B40を有する。IDサーバ10、サービスサーバA20a、及びサービスサーバB20bはクラウド上に配置され、ネットワークNTを介して接続されている。
【0016】
IDサーバ10は、端末機器を認証する認証サーバの一例である。IDサーバ10は、ID/PWにより認証された端末機器に対して、そのIDによりサービスの提供範囲を決定する。
【0017】
サービスサーバA20a、B20bは、IDサーバ10が決定したサービスの提供範囲において、端末機器A30及び端末機器B40に複数の異なるサービスを提供する。本実施形態では、利用者は端末機器A30及び端末機器B40の2台を所有しているが、これに限らず、3台以上の端末機器を所有してもよい。また、端末機器A30及び端末機器B40は、機器連携認証システムを利用する同一の利用者が所有する情報処理装置の一例である。情報処理装置の例としては、例えばスマートフォン、携帯型ゲーム機器、PDA(Personal Digital Assistant)、携帯型音楽機器、又はタブレット型端末等の携帯型の端末機器やPC(Personal Computer)があげられる。利用者は、既にIDサーバ10へID/PWと、同一ID/PWにより認証を行う端末機器A30及び端末機器B40の登録を完了した状態である。
【0018】
かかる構成の機器連携認証システム1では、端末機器A30及び端末機器B40は、ID/PWによってIDサーバ10やサービスサーバA20a、20bに接続する。端末機器A30及び端末機器B40は、利用申請やサービス変更申請等を行い、ID/PWによって認証されるとサービスサーバA20a、20bから所定のサービスの提供を受ける。端末機器A30及び端末機器B40は、所定のサービスの提供において、各サービスサーバA20a、20bから所定のサービスを利用するためのサービスアプリケーション(以下、「サービスアプリ」ともいう。)のモジュールを組み込む必要がある。例えば、端末機器A30及び端末機器B40は、サービスAの提供を受けるためには、サービスAのモジュールを自機に組み込む必要がある。
【0019】
[機能構成]
次に、本実施形態に係る機器連携認証システム1のIDサーバ10、サービスサーバA20a、端末機器A30及び端末機器B40の各機能構成の一例について、図2を参照して説明する。
【0020】
以下の説明では、利用者が所有する複数の端末機器のうちの一の端末機器A30を用いて、IDサーバ10にサービスの変更(または、新サービスの提供)を要求し、IDサーバ10は端末機器A30を認証する。認証に成功した場合、IDサーバ10は、個別のID単位でID/PWを入力した端末機器A30に対してサービスサーバA20aが提供するサービスを決定する。
【0021】
本実施形態では、利用者が保有する複数の端末機器のうちの一の端末機器に対して認証処理を行うと他の端末機器に対して各サービスサーバがIDサーバ10の代行認証を行う。ここでは、IDサーバ10が端末機器A30に対して認証処理を行い、他の端末機器B40に対しては、サービスサーバA20aがIDサーバ10を代行して認証を行う例について説明する。これにより、サービスサーバA20a及びIDサーバ10間のアクセスを抑えることができ、その結果、それに伴うサーバコストを抑えることができる。
【0022】
IDサーバ10は、通信部11、サービス管理部12、認証部13及び記憶部14を有する。通信部11は、サービスサーバA20a及び端末機器Aとデータの送受信を行う。通信部11は、端末機器A30のログオン操作により入力されたID/PWを受信する。
【0023】
サービス管理部12は、端末機器A30からのサービス変更要求に対して、サービス管理DB15に従い、変更が要求されたサービスが提供可能かを確認する。記憶部14に記憶されたサービス管理DB15の一例を図3に示す。サービス管理DB15は、No.151、サービスサーバID152、サービス内容(モジュール、サービス許可情報)153、端末機器情報154の各情報を記憶する。
【0024】
このように、サービス管理DB15には、サービスサーバID152単位に利用可能なサービス内容153とそのサービスサーバID152により利用されている端末機器情報154が登録されている。端末機器情報154には、端末機器が固有に持つ例えばBIOSによる機器情報が登録されてもよい。サービスサーバA20aは、端末機器A30から要求されたサービス内容は許可されているサービスか、許可されていないサービスかをサービス管理DB15にアクセスし、サービスサーバID152を検索することで判断できる。また、サービスサーバA20aは、サービス管理DB15にアクセスすることで新規に変更されたサービスを確認することができる。
【0025】
サービス管理部12は、変更を要求されたサービスが提供可能であることを確認した場合、サービス許可情報を端末機器A30に通知する。その後、サービスサーバA20aのログオン管理DB26に、変更を要求されたサービス(または新サービス)が他の端末機器でも利用できるようにID等の情報を登録する。
【0026】
記憶部14に記憶されたID管理DB16の一例を図4に示す。ID管理DB16は、No.161、ID162、パスワード163、端末機器情報164、GIP165(Global IP)の各情報を記憶する。
【0027】
ID管理DB16には、ID162及びパスワード163が登録されており、そのID162で利用可能及びプッシュ通知をすべき端末機器が端末機器情報164に基づき特定できる。また、その端末機器情報164によって特定される端末機器に通知を行うためのGIP165が登録されている。GIP165の情報は、端末機器の認証を行う際の情報の一つに利用してもよい。
【0028】
認証部13は、ID管理DB16に従い、ID/PWを検索し、特定の端末機器のID認証を行う。
【0029】
図6に示すように、プッシュ通知によるユニーク情報50は、サービスサーバA20aから端末機器B40側へ送信され、端末機器B40側で保持される。また、端末機器B40からの認証によるユニーク情報60は、端末機器B40からサービスサーバA20aへ送信され、サービスサーバA20a側で保持される。
【0030】
プッシュ通知によるユニーク情報50は、サービスサーバA20aから送信された情報であることを意味する、サービスサーバA20aの要求通知を含む。また、ユニーク情報50は、サービスサーバA20aのサービス内容を示す情報、サービスサーバA20aのヘッダ情報、代行認証を完了しなければならない期間情報及び構成情報を有する。
【0031】
本実施形態の場合、ユニーク情報50は、端末機器B40側で保持され、サービスサーバA20aへの認証処理を行う際に、サービス内容の把握とサービスサーバA20aへの接続のためのヘッダ情報と期間情報を含む認証テーブル17に保存される。サービス内容を実行するためのプログラムとこのユニーク情報とは関連付けされている。
【0032】
記憶部14に記憶された認証テーブル17の一例を図5に示す。認証テーブル17は、No.171、ID172、パスワード173、期間情報174、ヘッダ情報175及びサービス内容(モジュール)176の各情報を記憶する。
【0033】
No.171が「001」の場合を例に挙げて説明する。ID172は「0001ABC」、パスワード173は「1234」であり、これは端末機器A30又は端末機器B40のどちらからログオン操作された場合でも使用されるID及びパスワードである。期間情報174は、サービスAが端末機器A30で利用可能になったとき、セキュリティの観点からIDサーバ10がどの期間までに端末機器B40への代行認証を完了しなければならないかを示す。No.171が「001」の場合、「2014年01年01日00時00分」までが代行認証の期限である。ヘッダ情報175には、接続先のサービスサーバが記述される。No.171が「001」の場合、端末機器B40は、接続先がサービスサーバA20aであることを認識できる。
【0034】
プッシュ通知によるユニーク情報を取得可能なアプリが端末機器B40のOSにより動作される場合、ヘッダ情報175に「SERVICEAP」と記述されたサービスアプリがプッシュ通知によるユニーク情報を取得可能なアプリに相当する。認証テーブル17には、これらの情報に加えてサービス内容176が記憶されている。サービス内容176としては、モジュールが記憶されている。
【0035】
認証テーブル17に記憶されたユニーク情報は、ID172及びパスワード173により区別することができる。
【0036】
構成情報は、プッシュ管理DB27にIDサーバ10及びサービスサーバA20a間の取決めとして設定され、IDサーバ10を経由しなくても端末機器B40がサービスサーバA20aへのアクセスを許可するアクセス権限を有する。
【0037】
プッシュ管理DB27の一例を図7に示す。プッシュ管理DB27は、No.271、サービスサーバ名272、代行認証情報273の各情報を記憶する。端末機器B40がサービスサーバA20aへのアクセスを許可するアクセス権限は、代行認証情報273によりサービスサーバ毎に設定される。
【0038】
図6のユニーク情報60は、端末機器B40からサービスサーバA20aに送信されるユニーク情報を示す。端末機器B40は、ID/PWによりサービスサーバA20aに接続してもよいし、アクセス権限を与えた構成情報によるユニーク情報60によりサービスサーバA20aに接続してもよい。端末機器B40は、プッシュ管理DB27に基づき、接続先のサービスサーバ名272にて特定されるサービスサーバAの代行認証情報273を送信する。
【0039】
図2に戻り、サービスサーバA20aは、通信部21、記憶部22、ログオン処理部23、サービス処理部24及びプッシュ通知部25を有する。通信部21は、IDサーバ10、端末機器A30及び端末機器B40とデータの送受信を行う。
【0040】
記憶部22は、ログオン管理DB26及びプッシュ管理DB27を有する。ログオン管理DB26の一例を図8に示す。ログオン管理DB26は、No.261、ID262、パスワード263、端末機器情報264、GIP265、ログオン情報266及びサービス通知情報267の各情報を記憶する。
【0041】
このようにログオン管理DB26には、ID262単位に端末機器情報264、GIP265、その端末機器がサービスサーバに対してログオン状態であるかを示すログオン情報266が登録されている。加えて、ログオン管理DB26には、前記登録している端末機器にサービス通知が送信済か否かを示すサービス通知情報267が登録されている。
【0042】
図2に戻り、ログオン処理部23は、端末機器B40からID/PWを入力したとき、IDサーバ10に代行して端末機器B40を認証する。サービス処理部24は、サービスサーバA20aが提供するサービス処理を実行する。プッシュ通知部25は、端末機器B40へのプッシュ通知を行う。そのときのユニーク情報50は、ID172及びパスワード173により端末機器B40に送信されるべきユニーク情報と識別される。
【0043】
端末機器B40からサービスサーバA20aへの認証要求によるユニーク情報は、前記の構成情報によりサービスアプリがこれを代行認証に変換し、これによりサービスサーバA20aへの代行認証が行われる。
【0044】
図2に戻り、端末機器A30は、通信部31、ログオン処理部32及びサービスアプリ実行部33を有する。ログオン処理部32は、利用者のログオン操作に応じてID及びパスワードを入力する。通信部31は、IDサーバ10及びサービスサーバA20aとデータの送受信を行う。通信部31は、入力したID及びパスワードをIDサーバ10へ送信する。サービスアプリ実行部33は、組み込んだサービスアプリのモジュールを実行することで、所定のサービスを利用者に提供する。
【0045】
端末機器B40は、端末機器A30と同様に、通信部41、ログオン処理部42及びサービスアプリ実行部43を有し、端末機器A30の内部機能と同じ機能を有することから、ここでは説明を省略する。
【0046】
[連携認証処理]
次に、本実施形態に係る連携認証処理について図9及び図10を参照して説明する。図9及び図10には、本実施形態における一方の端末機器A30からサービス変更の要求がされた場合、他方の端末機器B40がサービス変更に対する許諾及び要求されたサービスの利用が可能になるまでの各機器の処理の流れが示される。具体的には、図9には、端末機器A30からサービス変更の要求がされてから端末機器A30において変更後のサービスの利用が可能になるまでの処理の流れが示される。図10には、サービスサーバA20aが他方の端末機器B40を代行認証し、端末機器B40において変更後のサービスの利用が可能になるまでの処理の流れが示される。
(端末機器AのサービスA利用処理)
(ステップS1)図9の処理が開始されると、端末機器A30のログオン処理部32は、利用者が入力したID及びパスワードを受け付け、通信部31は、受け付けたID、パスワード及び端末機器A30の端末機器情報をIDサーバ10に送信する。
【0047】
(ステップS2)IDサーバ10の通信部11は、ID、PW及び端末機器A30の情報(端末機器情報)を受信する。次に、認証部13は、ID管理DB16に登録されているID162、パスワード163、端末機器情報164のうち、受信したID、パスワード及び端末機器情報と一致するものがあるかを判定する。認証部13は、一致するものがあると判定した場合には認証に成功したと判断し、それ以外には認証に失敗したと判断する。認証部13がID認証を終えると、通信部11は、認証結果を端末機器A30に通知する。
(ステップS3)端末機器A30の通信部31は、認証結果を受信する。認証に成功した場合、サービスアプリ実行部33は、変更を要求するサービスの入力を受け付ける。通信部31は、変更を要求するサービスの入力に応じてサービスの変更要求をIDサーバ10へ送信し、通信部11はサービスの変更要求を受信する。例えば端末機器A30がサービスAへのサービス変更を要求した場合、通信部11は、サービスAへのサービス変更要求を受信する。
(ステップS4)サービス管理部12は、IDサーバ10が保持するサービス管理DB15に変更が要求されたサービスAが登録されているかを確認する。具体的には、サービス管理部12は、サービス管理DB15に記憶されたサービス内容153のモジュール、サービス許可情報及び端末機器情報154に基づき、サービスAが登録され、サービスAの使用が「許可」されているかを確認する。また、サービス管理部12は、サービスサーバID152に基づき、サービスAを提供するサービスサーバを判定する。
(ステップS5)サービス管理部12が、サービスAが登録されていると判定した場合、認証部13は、サービスAへの変更の許可を示すサービス許可情報を生成する。通信部11は、サービス許可情報を端末機器A30に通知する。
(ステップS6)端末機器A30の通信部31は、サービス許可情報を受信する。サービスアプリ実行部33は、受信したサービス許可情報によりサービス許可情報を更新する。これにより、端末機器A30にサービスアプリAのサービス許可情報が組み込まれる。
(ステップS7)IDサーバの通信部11は、サービス許可情報を端末機器A30に通知した後、ステップS2にて認証したID/PWをサービスサーバA20aに通知する。
(ステップS8)サービスサーバA20は、ログオン管理DB26のID262及びパスワード263に、受信したID/PWを登録し、ログオン情報266に「オン」を設定し、サービスAが入力されたIDで利用できるようにする。また、サービスサーバA20は、受信した該IDを使用する他の端末機器の情報をログオン管理DB26の端末機器情報264に登録する。ここでは、受信した該ID「0001ABC」を使用する他の端末機器の情報として、端末機器B40が登録される。
(ステップS9)サービス処理部24は、認証されたIDによるサービスを許可するサービス許可処理を行う。
(ステップS10)通信部21は、サービス許可通知をIDサーバ10に送信する。
(ステップS11)IDサーバ10の通信部11は、サービス許可通知を受信する。サービス管理部12は、サービス許可通知を受信すると、これに応じてサービスAの変更サービスの登録を完了する。これにより、該当IDによるサービスAの登録はIDサーバ10側で完了する。
(ステップS12)通信部11は、登録完了をサービスサーバA20aに通知する。
(ステップS13)プッシュ通知部25は、端末機器A30にサービスを実行するためのモジュールを送信する。ここでは、端末機器A30にサービスサーバAが提供するWebサービスアプリ(サービスAを利用するためのアプリ)を実行するためのモジュールAが送信される。
(ステップS14)端末機器A30の通信部31は、モジュールを受信し、サービスアプリ実行部33は、モジュールA(サービスA利用アプリ)を組み込む。
(ステップS15)端末機器A30の通信部31は、組込み完了通知をIDサーバ10に送信する。
(ステップS16)IDサーバ10の通信部11は、組込み完了通知を受信し、これに応じて登録完了通知を端末機器A30に送信する。
(ステップS17)端末機器A30はモジュールAの利用が可能となる。
(端末機器B40のサービスA利用処理)
次に、サービスサーバA20aが他方の端末機器B40をIDサーバ10に代行して認証し、端末機器B40において変更後のサービスAの利用が可能になるまでの処理について、図10を参照して説明する。
(ステップS21)図10の処理が開始されると、サービスサーバA20aのプッシュ通知部25は、ログオン管理DB26に基づき、ログオン情報266が「オン」に設定され、サービス通知情報267が「済」に設定されたIDをID262から抽出する。
(ステップS22)プッシュ通知部25は、ログオン管理DB26の端末機器情報264に基づき、抽出したIDによって区別される他の端末機器に対してプッシュ通知を行う。ここでは、IDによって区別される端末機器B40にプッシュ通知が行われ、端末機器B40にサービス利用アプリの変更があったことが通知される。
(ステップS23)プッシュ通知部25は、端末機器B40のグローバルIPアドレス(以下、「GIP」ともいう。)にユニーク情報を通知する。図6に一例を示すように、プッシュ通知によるユニーク情報50は、要求通知と、IDサーバ10が付与した期間情報と、サービスアプリを起動するヘッダ情報と、サービス内容(サービス許可情報を含む)情報と、構成情報とを含む。ただし、ユニーク情報には、期間情報は必ずしも含まれなくてもよい。ここでは、構成情報は、プッシュ管理DB27に記憶されたサービスサーバ名272が「サーバA」の代行認証情報273「XXXxx」である。
【0048】
なお、社内LAN内の端末機器B40にユニーク情報を送信する場合、端末機器B40のアドレスにはプライベートIPアドレスが指定される。端末機器B40が社外のネットワークに接続されている場合、端末機器B40のアドレスにはプライベートIPアドレス及びGIPアドレスが指定されるか、GIPアドレスのみが指定される。
(ステップS24)図10に戻り、端末機器B40のサービスアプリ実行部43がプッシュ通知を受信したことでサービスアプリが起動する。これは、端末機器B40の利用者が手動により行った操作に応じて目的とされるサービスアプリが起動されてもよいし、端末機器B40がOSシステムで実行した連携処理により目的とされるサービスアプリが起動されてもよい。
(ステップS25)端末機器B40のログオン処理部42は、ID/PWを手動で入力するか、又は保存されているID/PWを指定する。通信部41は、ユニーク情報のヘッダ情報にて特定されたサービスサーバ(ここでは、サービスサーバA20a)に指定されたID/PW及びユニーク情を送信し、ログオン操作を行う。
【0049】
これにより、サービスサーバA20aは、IDサーバ10に代行して認証を行うことができる。つまり、サービスサーバA20aは、ログオン処理部23とログオン管理DB26とを有することでIDサーバ10に替わって認証処理を行うことができる。サービスサーバA20aは、端末機器B40からのログオン操作時にID/PWとともにユニーク情報が送信される場合のみ、代行認証を行う。
【0050】
図6に一例を示すように、このときの端末機器B40からの認証によるユニーク情報60は、構成情報による代行認証情報及び証明書を有する。ここでは、代行認証情報は、ユニーク情報50に含まれていた「サービスサーバA」の代行認証情報「XXXxx」に対応する。ユニーク情報には、プッシュ通知によるユニーク情報に含まれていた期間情報を含めてもよい。
(ステップS26)図10に戻り、サービスサーバA20aの通知部21は、ID/PW及びユニーク情報を受信する。ログオン処理部23は、受信したID/PWを比較して端末機器B40を認証する。具体的には、ログオン処理部23は、ログオン管理DB26のID262及びパスワード263が受信したID/PWと一致するかを判定し、一致する場合、端末機器B40の認証に成功したと判断し、一致しない場合、端末機器B40の認証に失敗したと判断する。
【0051】
ユニーク情報が期間情報を含む場合、ログオン処理部23は、端末機器BのID262及びパスワード263が受信したID/PWと一致し、かつ、期間情報が示す期間内であれば端末機器B40の認証に成功したと判断する。このようにして、端末機器B40は、ユニーク情報に期間情報を含めることで、サービスサーバA20aに期間を含めた認証を了承する。
【0052】
期間情報が示す期間内でない場合、ログオン処理部23は、端末機器B40にエラー表示を出力させる。このようにして、期間情報を確認し、かつ、端末機器B40が登録された機器であることを確認した上で、端末機器B40についての代行認証がサービスサーバA20aにより行われる。期間情報に示される期間内でなければ、サービスサーバA20aに接続されないことにより、よりセキュリティの高いシステムを構築できる。
(ステップS27)サービスサーバA20aの通知部21は、IDサーバ10に認証に成功したID/PWを送信し、サービスサーバA20aがIDサーバ10に替わって認証処理を行ったことを通知する。これにより、サービスサーバA20aとIDサーバ10とのサーバ間連携が実行される。
(ステップS28)IDサーバ10の認証部13は、サービスAへの変更の許可を示すサービス許可情報を生成し、通信部11は、サービス許可情報を端末機器B40に通知する。
(ステップS29)端末機器B40の通信部41は、サービス許可情報を受信する。サービスアプリ実行部43は、受信したサービス許可情報によりサービス許可情報を更新する。これにより、端末機器B40にサービスアプリAのサービス許可情報が組み込まれる。
(ステップS30)プッシュ通知部25は、IDサーバ10が保存するサービス管理DB15に記憶されているサービスサーバID152の「サーバA」に対応するサービス内容153のモジュールを端末機器B40へ送信する。ここでは、端末機器B40にサービスサーバAが提供するWebサービスアプリ(サービスAを利用するためのアプリ)を実行するためのモジュールAが送信される。
(ステップS31)端末機器B40の通信部41は、モジュールを受信し、サービスアプリ実行部43は、モジュールA(サービスA利用アプリ)を組み込む。
(ステップS32)端末機器B40の通信部41は、組込み完了通知をIDサーバ10に送信する。
(ステップS33)IDサーバ10の通信部11は、組込み完了通知を受信し、これに応じて登録完了通知を端末機器B40に送信する。
(ステップS34)端末機器B40はモジュールAの利用が可能となる。
【0053】
[端末機器Aの認証/組込処理]
次に、本実施形態に係る端末機器A30の認証/組込処理について図11を参照して説明する。図11の処理が開始されると、端末機器A30のサービスアプリ実行部33は、サービスアプリを起動する(ステップS110)。ログオン処理部32は、ID/PWを送信し、IDサーバ10へログオンする(ステップS112)。通信部31は、IDサーバ10が作成し、Webアプリとして利用可能な変更サービス一覧情報を取得し、サービスアプリ実行部33は、変更サービス一覧情報を表示する(ステップS114)。
【0054】
次に、サービスアプリ実行部33は、IDサーバ10へ変更するサービス(ここではサービスA)の情報を、通信部31を経由して通知する(ステップS116)。次に、サービスアプリ実行部33は、IDサーバ10からのサービス(サービスサーバA20aによるサービスA)のサービス許可情報を組み込む(ステップS118)。そして、端末機器A30は、IDサーバ10とサービスサーバA20aとのサーバ間連携によって、サービスサーバAからの接続要求を待つ(ステップS120)。通信部31は、サービスサーバAからの接続要求があると、サービスサーバAと接続する(ステップS122)。
【0055】
次に、サービスアプリ実行部33は、サービスサーバA20aから送付されるサービスAの実行のためのモジュールAを組み込む(ステップS124)。通知部31は、モジュールAの組み込みが完了するとIDサーバ10へ通知し(ステップS126)、IDサーバ10より登録完了通知を取得し(ステップS128)、本処理を終了する。通知部31が、IDサーバ10より登録完了通知を受信すると、端末機器AによるサービスAの利用は可能になる。
【0056】
[端末機器Bの認証/組込処理]
次に、本実施形態に係る端末機器B40の認証/組込処理について図12を参照して説明する。図12の処理が開始されると、端末機器B40の通信部41は、サービスサーバA20aからのプッシュ通知を受信する(ステップS130)。IDサーバ10が保存するサービス管理DB15に保存されている端末機器情報154に基づき、サービスサーバA20aの通信部21は、サービス許可情報を端末機器B40へ送信する。そのプッシュ通知の情報にはユニーク情報が付与されている。
【0057】
ログオン処理部42は、ユニーク情報とID/PWとによりサービスサーバA20aに接続し(ステップS132)。サービスサーバA20aは、IDサーバ10に替わり、端末機器B40の代行認証を行う。このとき、端末機器B40にはID/PWの情報が保持されることで、利用者がID/PWを入力することなくログオン操作を実行することができる。
【0058】
端末機器B40は、サービスサーバA20aとIDサーバ10とのサーバ間連携によって、サービスサーバAに接続されたかどうかを判定する(ステップS134)。サービスサーバAに接続されると、通信部41は、IDサーバ10よりサービス(ここではサービスA)の許可情報が送信されるため、サービスアプリ実行部43は、これをサービスA許可情報に組み込む(ステップS136)。通信部42が、IDサーバ10へサービス許可情報の組み込み完了を通知すると(ステップS138)、サービスサーバA20aからモジュールが送信されるため、サービスアプリ実行部43は、これをサービスA利用アプリに組み込む(ステップS140)。そして、通信部41は、モジュールの組み込みが完了するとIDサーバ10に通知し、IDサーバ10より登録完了通知を取得し(ステップS144)、本処理を終了する。これにより、端末機器B40においてサービスA20aの利用が可能になる。
【0059】
以上では、サービスサーバA20aとIDサーバ10とのサーバ間連携により、端末機器A30の認証と端末機器B40の代行認証とが行われた。しかしながら、これに限らず、サービスサーバB20bとIDサーバ10とのサーバ間連携により、端末機器A30の認証と端末機器B40の代行認証が行われてもよい。また、サービスサーバA20aやサービスサーバB20bとIDサーバ10とのサーバ間連携により、端末機器B40の認証と端末機器A30の代行認証が行われてもよい。
【0060】
以上に説明したように、本実施形態に係る機器連携認証方法によれば、サービスサーバA20aやサービスサーバB20bがIDサーバ10の代行認証を行う。これにより、サービスサーバA20aやサービスサーバB20bからIDサーバ10への頻繁なアクセスを抑制することができる。これにより、IDサーバ10及びサービスサーバA20a間、IDサーバ10及びサービスサーバB20b間の通信量を減らすことができる。また、IDサーバ10は、前記サーバ間のアクセスが減るため、高速処理の必要性が減少する。このため、サーバシステムのコストを抑えることができる。この結果、通信コストとサーバシステムのコストを低減した機器連携認証システム1によるWebサービスを用いたサービスの提供が実現できる。
【0061】
(ハードウェア構成例)
最後に、本実施形態に係るサービスサーバのハードウェア構成について、図13を参照して説明する。図13は、本実施形態に係るサービスサーバのハードウェア構成の一例を示す。サービスサーバは、入力装置101、表示装置102、外部I/F103、RAM(Random Access Memory)104、ROM(Read Only Memory)105、CPU(Central Processing Unit)106、通信I/F107、及びHDD(Hard Disk Drive)108などを備え、それぞれがバスBで相互に接続されている。
【0062】
入力装置101は、キーボードやマウスなどを含み、サービスサーバに各操作信号を入力するために用いられる。表示装置102は、ディスプレイなどを含み、各種の処理結果を表示する。通信I/F107は、サービスサーバをネットワークに接続するインタフェースである。これにより、サービスサーバは、通信I/F107を介して、他の機器(端末機器A30,B40、IDサーバ10等)とデータ通信を行うことができる。
【0063】
HDD108は、プログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、サービスサーバの全体を制御する基本ソフトウェア及びアプリケーションソフトウェアがある。例えば、HDD108には、各種のデータベースやプログラム等が格納されてもよい。
【0064】
外部I/F103は、外部装置とのインタフェースである。外部装置には、記録媒体103aなどがある。これにより、サービスサーバは、外部I/F103を介して記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aには、フロッピー(登録商標)ディスク、CD(Compact Disk)、及びDVD(Digital Versatile Disk)、ならびに、SDメモリカード(SD Memory card)やUSBメモリ(Universal Serial Bus memory)等がある。
【0065】
ROM105は、電源を切っても内部データを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105には、ネットワーク設定等のプログラム及びデータが格納されている。RAM104は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。CPU106は、上記記憶装置(例えば「HDD108」や「ROM105」など)から、プログラムやデータをRAM104上に読み出し、処理を実行することで、装置全体の制御や搭載機能を実現する演算装置である。
【0066】
かかる構成により、本実施形態に係るサービスサーバでは、CPU106が、ROM105やHDD108内に格納されたデータ及びプログラムを用いて、認証/組込処理を実行する。なお、サービス管理DB、ID管理DB、認証テーブル、ログオン管理DB及びプッシュ管理DBに記憶された情報は、RAM104、HDD108、又はネットワークを介してサービスサーバに接続されるクラウド上のサーバ等に格納され得る。
【0067】
以上、情報処理装置、機器連携認証プログラム及び機器連携認証方法を上記実施形態により説明したが、本発明にかかる情報処理装置、機器連携認証プログラム及び機器連携認証方法は上記実施形態に限定されるものではなく、本発明の範囲内で種々の変形及び改良が可能である。また、上記実施形態及び変形例が複数存在する場合、矛盾しない範囲で組み合わせることができる。
【0068】
例えば、上記実施形態に係る認証/組込処理の構成は一例であり、本発明の範囲を限定するものではなく、用途や目的に応じて様々なシステム構成例があることは言うまでもない。例えば、IDサーバ10、サービスサーバA20a、サービスサーバB20b、端末機器A30,端末機器B40がネットワークNTを介して互いに接続されているシステム形態は、本実施形態に係る機器連携認証システム1の一態様であり、これに限定されない。例えば、本実施形態に係る機器連携認証システム1に含まれるサービスサーバA20a、サービスサーバB20b、端末機器A,端末機器Bのそれぞれの台数は、1台又は2台以上であり得る。
【符号の説明】
【0069】
1:機器連携認証システム
10:IDサーバ
11:通信部
12:サービス管理部
13:認証部
14:記憶部
15:サービス管理DB
16:ID管理DB
17:認証テーブル
20a:サービスサーバA
20b:サービスサーバB
21:通信部、
22:記憶部
23:認証部
24:サービス処理部
25:プッシュ通知部
31:通信部
32:ログオン処理部
33:サービスアプリ実行部
30:端末機器A
40:端末機器B
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.