知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6871581
(24)【登録日】2021年4月20日
(45)【発行日】2021年5月12日
(54)【発明の名称】認証管理方法及びシステム
(51)【国際特許分類】
G06F 21/42 20130101AFI20210426BHJP
H04L 9/08 20060101ALI20210426BHJP
H04L 9/16 20060101ALI20210426BHJP
【FI】
G06F21/42
H04L9/00 601B
H04L9/00 643
【請求項の数】10
【全頁数】16
(21)【出願番号】特願2019-544680(P2019-544680)
(86)(22)【出願日】2018年2月12日
(65)【公表番号】特表2020-507865(P2020-507865A)
(43)【公表日】2020年3月12日
(86)【国際出願番号】KR2018001813
(87)【国際公開番号】WO2018151480
(87)【国際公開日】20180823
【審査請求日】2019年8月16日
(31)【優先権主張番号】10-2017-0022588
(32)【優先日】2017年2月20日
(33)【優先権主張国】KR
(31)【優先権主張番号】10-2017-0022589
(32)【優先日】2017年2月20日
(33)【優先権主張国】KR
(73)【特許権者】
【識別番号】518375926
【氏名又は名称】イーストーム カンパニー,リミテッド
(74)【代理人】
【識別番号】110000338
【氏名又は名称】特許業務法人HARAKENZO WORLD PATENT & TRADEMARK
(72)【発明者】
【氏名】ウ,ジョン ヒョン
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特開2009−223452(JP,A)
【文献】
特開2015−014947(JP,A)
【文献】
特開2014−006848(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/42
H04L 9/08
H04L 9/16
(57)【特許請求の範囲】
【請求項1】
認証管理システムとして、
コンピューティング装置の運営体制で自体的に支援するOSアカウント認証方式を代替する代替認証方式を通じたOSアカウント認証を支援するために、前記コンピューティング装置に設置されるカスタム資格情報プロバイダー(custom credential provider);及び
前記カスタム資格情報プロバイダーと通信網を通して通信が繋がるし、前記代替認証方式で使われる代替認証情報に基づくOSアカウント認証が試みられる場合、前記代替認証情報を利用して前記OSアカウント認証を試みたユーザーに関するユーザー認証を行い、前記ユーザー認証が成功した場合、前記運営体制で自体的に支援するOSアカウント認証方式によるOSアカウント認証を行うために必要なアカウント認証情報、または前記アカウント認証情報の生成に基礎となるシード値を前記カスタム資格情報プロバイダーに伝達する、認証管理サーバー
を含み、
前記カスタム資格情報プロバイダーは、
前記認証管理サーバーから前記シード値を受信した場合、受信されたシード値を利用して前記運営体制で要求するパスワードセキュリティ規則を充たすアカウント認証情報を新規生成し、新規生成されたアカウント認証情報でアカウント認証情報を更新した後、新規生成されたアカウント認証情報を利用して前記運営体制で自体的に提供するOSアカウント認証方式に従う認証を行い、OSアカウント認証が成功されることによって、OSアカウント認証を試みた該当ユーザーにユーザーセッションを提供する
認証管理システム。
コンピューティング装置の運営体制で自体的に支援するOSアカウント認証方式を代替する代替認証方式を通じたOSアカウント認証を支援するために、前記コンピューティング装置に設置されるカスタム資格情報プロバイダー(custom credential provider);及び
前記カスタム資格情報プロバイダーと通信網を通して通信が繋がるし、前記代替認証方式で使われる代替認証情報に基づくOSアカウント認証が試みられる場合、前記代替認証情報を利用して前記OSアカウント認証を試みたユーザーに関するユーザー認証を行い、前記ユーザー認証が成功した場合、前記運営体制で自体的に支援するOSアカウント認証方式によるOSアカウント認証を行うために必要なアカウント認証情報、または前記アカウント認証情報の生成に基礎となるシード値を前記カスタム資格情報プロバイダーに伝達する、認証管理サーバー
を含み、
前記カスタム資格情報プロバイダーは、
前記認証管理サーバーから前記シード値を受信した場合、受信されたシード値を利用して前記運営体制で要求するパスワードセキュリティ規則を充たすアカウント認証情報を新規生成し、新規生成されたアカウント認証情報でアカウント認証情報を更新した後、新規生成されたアカウント認証情報を利用して前記運営体制で自体的に提供するOSアカウント認証方式に従う認証を行い、OSアカウント認証が成功されることによって、OSアカウント認証を試みた該当ユーザーにユーザーセッションを提供する
認証管理システム。
【請求項2】
前記認証管理サーバーは、
前記OSアカウント認証が試みられる度に毎回前記アカウント認証情報または前記シード値を新規生成したり、前記運営体制のセキュリティ政策によるアカウント認証情報の周期的変更期間の到来可否によって予め指定された変更必要時点に到逹した場合のみに前記アカウント認証情報または前記シード値を新規生成する、請求項1に記載の認証管理システム。
前記OSアカウント認証が試みられる度に毎回前記アカウント認証情報または前記シード値を新規生成したり、前記運営体制のセキュリティ政策によるアカウント認証情報の周期的変更期間の到来可否によって予め指定された変更必要時点に到逹した場合のみに前記アカウント認証情報または前記シード値を新規生成する、請求項1に記載の認証管理システム。
【請求項3】
前記カスタム資格情報プロバイダーは、
前記認証管理サーバーから前記アカウント認証情報を直接受信した場合、受信されたアカウント認証情報を利用して前記運営体制で自体的に提供するOSアカウント認証方式に従う認証を行い、OSアカウント認証が成功することによってOSアカウント認証を試みた該当ユーザーにユーザーセッションを提供する、請求項1に記載の認証管理システム。
前記認証管理サーバーから前記アカウント認証情報を直接受信した場合、受信されたアカウント認証情報を利用して前記運営体制で自体的に提供するOSアカウント認証方式に従う認証を行い、OSアカウント認証が成功することによってOSアカウント認証を試みた該当ユーザーにユーザーセッションを提供する、請求項1に記載の認証管理システム。
【請求項4】
認証管理システムとして、
コンピューティング装置の運営体制で自体的に支援するOSアカウント認証方式を代替する代替認証方式を通じたOSアカウント認証を支援するために、前記コンピューティング装置に設置されるカスタム資格情報プロバイダー(custom credential provider);及び
前記カスタム資格情報プロバイダーと通信網を通して通信が繋がるし、前記代替認証方式で使われる代替認証情報に基づくOSアカウント認証が試みられる場合、前記代替認証情報を利用して前記OSアカウント認証を試みたユーザーに関するユーザー認証を行い、前記ユーザー認証が成功した場合、前記運営体制で自体的に支援するOSアカウント認証方式によるOSアカウント認証を行うために必要なアカウント認証情報、または前記アカウント認証情報の生成に基礎となるシード値を前記カスタム資格情報プロバイダーに伝達する、認証管理サーバー
を含み、
前記代替認証方式を通じた認証を行うために、ユーザーのモバイル機器にアプリ(App)の形態で設置されるモバイル認証器をさらに含み、
前記カスタム資格情報プロバイダーは、前記OSアカウント認証が試みられた場合、前記OSアカウント認証を試みたユーザーアカウント情報を前記認証管理サーバーに伝達し、
前記認証管理サーバーは、ユーザーアカウント情報が受信されることによって、受信されたユーザーアカウント情報によるユーザーを認証するためのユーザー認証値を前記代替認証情報として生成し、前記ユーザーアカウント情報に連動されたモバイル認証器情報に基づいて前記ユーザー認証値を該当モバイル認証器に伝達し、該当モバイル認証器から認証同意値が受信される場合、受信された認証同意値に基づいて代替認証情報によるユーザー認証を行う認証管理システム。
コンピューティング装置の運営体制で自体的に支援するOSアカウント認証方式を代替する代替認証方式を通じたOSアカウント認証を支援するために、前記コンピューティング装置に設置されるカスタム資格情報プロバイダー(custom credential provider);及び
前記カスタム資格情報プロバイダーと通信網を通して通信が繋がるし、前記代替認証方式で使われる代替認証情報に基づくOSアカウント認証が試みられる場合、前記代替認証情報を利用して前記OSアカウント認証を試みたユーザーに関するユーザー認証を行い、前記ユーザー認証が成功した場合、前記運営体制で自体的に支援するOSアカウント認証方式によるOSアカウント認証を行うために必要なアカウント認証情報、または前記アカウント認証情報の生成に基礎となるシード値を前記カスタム資格情報プロバイダーに伝達する、認証管理サーバー
を含み、
前記代替認証方式を通じた認証を行うために、ユーザーのモバイル機器にアプリ(App)の形態で設置されるモバイル認証器をさらに含み、
前記カスタム資格情報プロバイダーは、前記OSアカウント認証が試みられた場合、前記OSアカウント認証を試みたユーザーアカウント情報を前記認証管理サーバーに伝達し、
前記認証管理サーバーは、ユーザーアカウント情報が受信されることによって、受信されたユーザーアカウント情報によるユーザーを認証するためのユーザー認証値を前記代替認証情報として生成し、前記ユーザーアカウント情報に連動されたモバイル認証器情報に基づいて前記ユーザー認証値を該当モバイル認証器に伝達し、該当モバイル認証器から認証同意値が受信される場合、受信された認証同意値に基づいて代替認証情報によるユーザー認証を行う認証管理システム。
【請求項5】
前記ユーザー認証値で有効時間を有するOTP(one time password)が利用される場合、
前記認証管理サーバーは、前記ユーザー認証値と該当認証値に対する有効時間情報を前記カスタム資格情報プロバイダー及び前記モバイル認証器に伝達し、
前記カスタム資格情報プロバイダー及び前記モバイル認証器は、それぞれ認証表示窓を通して前記ユーザー認証値と前記有効時間が一緒に表示されるようにするGUI(Graphical User Interface)を装置の画面上に表出させる、請求項4に記載の認証管理システム。
前記認証管理サーバーは、前記ユーザー認証値と該当認証値に対する有効時間情報を前記カスタム資格情報プロバイダー及び前記モバイル認証器に伝達し、
前記カスタム資格情報プロバイダー及び前記モバイル認証器は、それぞれ認証表示窓を通して前記ユーザー認証値と前記有効時間が一緒に表示されるようにするGUI(Graphical User Interface)を装置の画面上に表出させる、請求項4に記載の認証管理システム。
【請求項6】
前記ユーザー認証値は、前記認証表示窓内で数字列または文字列で表示され、前記有効時間は前記認証表示窓内でタイムラップスバー(Time Lapse Bar)の形態で表示され、該当有効時間の経過が視覚的に案内されるように表示される、請求項5に記載の認証管理システム。
【請求項7】
認証管理システムとして、
コンピューティング装置の運営体制で自体的に支援するOSアカウント認証方式を代替する代替認証方式を通じたOSアカウント認証を支援するために、前記コンピューティング装置に設置されるカスタム資格情報プロバイダー(custom credential provider);及び
前記カスタム資格情報プロバイダーと通信網を通して通信が繋がるし、前記代替認証方式で使われる代替認証情報に基づくOSアカウント認証が試みられる場合、前記代替認証情報を利用して前記OSアカウント認証を試みたユーザーに関するユーザー認証を行い、前記ユーザー認証が成功した場合、前記運営体制で自体的に支援するOSアカウント認証方式によるOSアカウント認証を行うために必要なアカウント認証情報、または前記アカウント認証情報の生成に基礎となるシード値を前記カスタム資格情報プロバイダーに伝達する、認証管理サーバー
を含み、
前記コンピューティング装置に設置され、ユーザーセッション内で駆動されてユーザー指定の業務ソフトウェアに関する統合認証を代行するための認証クライアントエージェントをさらに含み、
前記カスタム資格情報プロバイダーは、前記ユーザーセッションが提供された後、前記代替認証情報を前記認証クライアントエージェントに伝達し、
前記認証クライアントエージェントは、受信した代替認証情報を利用して前記認証管理サーバーにエージェント認証を要請し、
前記認証管理サーバーは、エージェントの要請によって受信された代替認証情報を利用してエージェント認証を行い、エージェント認証が成功した場合、前記認証クライアントエージェントに前記ユーザー指定の業務ソフトウェアリストを伝達する認証管理システム。
コンピューティング装置の運営体制で自体的に支援するOSアカウント認証方式を代替する代替認証方式を通じたOSアカウント認証を支援するために、前記コンピューティング装置に設置されるカスタム資格情報プロバイダー(custom credential provider);及び
前記カスタム資格情報プロバイダーと通信網を通して通信が繋がるし、前記代替認証方式で使われる代替認証情報に基づくOSアカウント認証が試みられる場合、前記代替認証情報を利用して前記OSアカウント認証を試みたユーザーに関するユーザー認証を行い、前記ユーザー認証が成功した場合、前記運営体制で自体的に支援するOSアカウント認証方式によるOSアカウント認証を行うために必要なアカウント認証情報、または前記アカウント認証情報の生成に基礎となるシード値を前記カスタム資格情報プロバイダーに伝達する、認証管理サーバー
を含み、
前記コンピューティング装置に設置され、ユーザーセッション内で駆動されてユーザー指定の業務ソフトウェアに関する統合認証を代行するための認証クライアントエージェントをさらに含み、
前記カスタム資格情報プロバイダーは、前記ユーザーセッションが提供された後、前記代替認証情報を前記認証クライアントエージェントに伝達し、
前記認証クライアントエージェントは、受信した代替認証情報を利用して前記認証管理サーバーにエージェント認証を要請し、
前記認証管理サーバーは、エージェントの要請によって受信された代替認証情報を利用してエージェント認証を行い、エージェント認証が成功した場合、前記認証クライアントエージェントに前記ユーザー指定の業務ソフトウェアリストを伝達する認証管理システム。
【請求項8】
前記認証クライアントエージェントは、
前記認証管理サーバーから業務ソフトウェアリストを受信することによって、前記業務ソフトウェアリストに含まれた業務ソフトウェアを実行し、各業務ソフトウェアに対する個別認証手続きが進められるように処理する、請求項7に記載の認証管理システム。
前記認証管理サーバーから業務ソフトウェアリストを受信することによって、前記業務ソフトウェアリストに含まれた業務ソフトウェアを実行し、各業務ソフトウェアに対する個別認証手続きが進められるように処理する、請求項7に記載の認証管理システム。
【請求項9】
前記認証クライアントエージェントは、前記各業務ソフトウェアに前記代替認証情報を伝達し、前記各業務ソフトウェアが前記代替認証情報を利用して前記認証管理サーバーとの関係でユーザー認証を行えるようにし、
前記認証管理サーバーは、前記代替認証情報を利用した各業務ソフトウェアからの認証要請に対応してユーザー認証を行い、認証遂行結果を各業務ソフトウェアに伝達して各業務ソフトウェアでの個別認証が行われるようにする、請求項8に記載の認証管理システム。
前記認証管理サーバーは、前記代替認証情報を利用した各業務ソフトウェアからの認証要請に対応してユーザー認証を行い、認証遂行結果を各業務ソフトウェアに伝達して各業務ソフトウェアでの個別認証が行われるようにする、請求項8に記載の認証管理システム。
【請求項10】
前記認証管理サーバーは、前記認証クライアントエージェントに、前記ユーザー指定の業務ソフトウェアリストに含まれた各業務ソフトウェアの個別認証情報をさらに伝達し、
前記認証クライアントエージェントは、受信された各業務ソフトウェアの個別認証情報を利用して各業務ソフトウェアに関する個別認証を代行する、請求項8に記載の認証管理システム。
前記認証クライアントエージェントは、受信された各業務ソフトウェアの個別認証情報を利用して各業務ソフトウェアに関する個別認証を代行する、請求項8に記載の認証管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証管理方法及びシステムに係り、より具体的には、セキュリティ規定を充すことができるように運営体制のパスワードを自動に変更したり、運営体制のユーザーセッション内で自動にプログラムを駆動及び認証処理する方法及びこのためシステムに関する。
【背景技術】
【0002】
最近、セキュリティと係る法令を改定することによって、マイクロソフトウィンドウ(Microsoft Windows)基盤のシステムにログインする時にウィンドウズ(登録商標)アカウントに対するパスワードを周期的に変えるようにする規定が導入している。しかし、運営体制(OS:Operating System)のパスワードを周期的に変更することが不便で、このような不便を解決するためにユーザーが覚えやすいパスワードに変更(更新)すると、逆にセキュリティが緩くなる場合が多い。
【0003】
そのため、ユーザーIDとパスワードを利用してユーザー認証をする方式を使わずに、別の方法でユーザーを認証する技術が徐々に台頭している。一例として、ウィンドウズ(登録商標)10の場合、PCに装着されているカメラを通してユーザーの顔を認識し、これによってユーザーログインを自動に処理したり、FIDO(Fast Identity Online)が設置された運営体制の場合、指紋認識、虹彩認識、音声認識などの方法でユーザーログオンを処理したりする。しかし、前記のような代替認証方式の場合も運営体制の内部的には従来と相違しない。つまり、ユーザーがどのような方式で認証をしようが構わず、運営体制の内部的には該当ユーザーアカウントとパスワードが依然として存在する。ただし、ユーザーの認証インターフェースだけが別の様々な認証手段に代替され、そういう別の認証手段による認証が完了すれば、実際運営体制の内部に登録されているユーザーアカウントとパスワードでユーザーを認証させる。ウィンドウズの場合も資格情報プロバイダー(credential provider)を第3者が確張し、様々な認証方式でユーザーが認証を受けることができるようにAPIを提供するが、実際、ウィンドウズの内部ではウィンドウズユーザーアカウントとパスワードで駆動され、これによってユーザーアカウントによるセッションが提供される。
【0004】
結局、前述したように代替認証手段による場合も相変らず周期的にパスワードを更新しなければならないことは従来と変わらないし、パスワード更新による不便さは相変らずである。したがって、第3の認証方式でユーザーを認証する時、関連規定にしたがって、指定されたパスワード変更周期が到来される前に自動に運営体制の内部で管理するパスワードを変更することができる技術が求められる。
【0005】
また、運営体制が駆動された後、前述したように、ユーザー認証を終えると、該当ユーザーアカウントによるセッションが提供され、提供されたユーザーセッション内で自動にプログラムをスタートさせる従来の技術は多数存在したが、該当プログラムを実際実行するためのユーザーIDとパスワードまでを自動に入力してくれる技術はなかった。一般に、会社員の場合、出勤してから少なくとも運営体制アカウント認証、会社電子メール認証、グループウエア認証、業務システム認証など3〜4つ以上のユーザー認証を行わないと業務を始めることができない。そのため、業務遅延とともにユーザーに不便をもたらす場合が多い。したがって、これを一つに統合して認証することができる技術と方法が必要となる。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、社内ウィンドウズのドメインアカウント或いはローカルアカウントのパスワードを入力せずに資格情報プロバイダーを通して代替認証方式に従ってユーザー認証をする場合、ユーザーがパスワードを直接入力及び変更(更新)しなくても、セキュリティ規定を充たすことができるよう、運営体制のパスワードなどを自動に設定及び変更(更新)できる方法及びシステムを提供するためのものである。
【0007】
また、本発明はシステム統合アカウントを使用しないか、又はシステム統合アカウントに変更しにくい業務環境でウィンドウズ基盤のシステムにログオンする時に資格情報プロバイダーに使用する認証情報を持って、ユーザー認証が必要な様々な業務ソフトウェアまでユーザーが直接個別的に認証せずに自動に認証して使用できるようにする方法及びシステムを提供するためのものである。
【課題を解決するための手段】
【0008】
本発明の一側面によれば、コンピューティング装置の運営体制で自体的に支援するOSアカウント認証方式を代替する代替認証方式を通じたOSアカウント認証を支援するために、前記コンピューティング装置に設置されるカスタム資格情報プロバイダー(custom credential provider);及び前記カスタム資格情報プロバイダーと通信網を通して通信が繋がるし、前記代替認証方式で使われる代替認証情報に基づくOSアカウント認証が試みられる場合、前記代替認証情報を利用して前記OSアカウント認証を試みたユーザーに関するユーザー認証を行い、前記ユーザー認証が成功した場合、前記運営体制で自体的に支援するOSアカウント認証方式によるOSアカウント認証を行うために必要なアカウント認証情報、または前記アカウント認証情報の生成に基礎となるシード値を前記カスタム資格情報プロバイダーに伝達する、認証管理サーバーを含む認証管理システムが提供される。
【0009】
一実施例において、前記認証管理サーバーは、前記OSアカウント認証が試みられる度に毎回前記アカウント認証情報または前記シード値を新規生成したり、前記運営体制のセキュリティ政策によるアカウント認証情報の周期的変更期間の到来可否によって予め指定された変更必要時点に到逹した場合のみに前記アカウント認証情報または前記シード値を新規生成することができる。
【0010】
一実施例において、前記カスタム資格情報プロバイダーは、前記認証管理サーバーから前記アカウント認証情報を直接受信した場合、受信されたアカウント認証情報を利用して前記運営体制で自体的に提供するOSアカウント認証方式に従う認証を行い、OSアカウント認証が成功することによってOSアカウント認証を試みた該当ユーザーにユーザーセッションを提供することができる。
【0011】
一実施例において、前記カスタム資格情報プロバイダーは、前記認証管理サーバーから前記シード値を受信した場合、受信されたシード値を利用して前記運営体制で要求するパスワードセキュリティ規則を充たすアカウント認証情報を新規生成し、新規生成されたアカウント認証情報でアカウント認証情報を更新した後、新規生成されたアカウント認証情報を利用して前記運営体制で自体的に提供するOSアカウント認証方式に従う認証を行い、OSアカウント認証が成功されることによって、OSアカウント認証を試みた該当ユーザーにユーザーセッションを提供することができる。
【0012】
一実施例において、前記代替認証方式を通じた認証を行うために、ユーザーのモバイル機器にアプリ(App)形態で設置されるモバイル認証器をさらに含み、前記カスタム資格情報プロバイダーは、前記OSアカウント認証が試みられた場合、前記OSアカウント認証を試みたユーザーアカウント情報を前記認証管理サーバーに伝達し、
前記認証管理サーバーは、ユーザーアカウント情報が受信されることによって、受信されたユーザーアカウント情報によるユーザーを認証するためのユーザー認証値を前記代替認証情報として生成し、前記ユーザーアカウント情報に連動された前記モバイル認証器情報に基づいて前記ユーザー認証値を該当モバイル認証器に伝達し、該当モバイル認証器から認証同意値が受信される場合、受信された認証同意値に基づいて代替認証情報によるユーザー認証を行うことができる。
【0013】
一実施例において、前記ユーザー認証値で有効期間を有するOTP(one time password)が利用される場合、前記認証管理サーバーは、前記ユーザー認証値と該当認証値に対する有効時間情報を前記カスタム資格情報プロバイダー及び前記モバイル認証器に伝達し、
前記カスタム資格情報プロバイダー及び前記モバイル認証器は、それぞれ認証値表示窓を通して前記ユーザー認証値と前記有効時間が一緒に表示されるようにするGUI(Graphical User Interface)を装置の画面上に表出させることができる。
【0014】
この時、前記ユーザー認証値は、前記認証表示窓内で数字列または文字列で表示され、前記有効時間は前記認証表示窓内でタイムラップスバー(Time Lapse Bar)の形態で表示され、該当有効時間の経過が視覚的に案内されるように表示される。
【0015】
一実施例において、前記コンピューティング装置に設置され、前記ユーザーセッション内で駆動され、ユーザー指定の業務ソフトウェアに関する統合認証を代行するための認証クライアントエージェントをさらに含み、前記カスタム資格情報プロバイダーは、前記ユーザーセッションが提供された後、前記代替認証情報を前記認証クライアントエージェントに伝達し、
前記認証クライアントエージェントは、受信した代替認証情報を利用して前記認証管理サーバーにエージェント認証を要請し、
前記認証管理サーバーは、エージェントの要請によって受信された代替認証情報を利用してエージェント認証を行い、エージェント認証が成功した場合、前記認証クライアントエージェントに前記ユーザー指定の業務ソフトウェアリストを伝達することができる。
【0016】
一実施例において、前記認証クライアントエージェントは、前記認証管理サーバーから業務ソフトウェアリストを受信することによって、前記リストに含まれた業務ソフトウェアを実行し、各業務ソフトウェアに対する個別認証手続きが進められるように処理することができる。
【0017】
一実施例において、前記認証クライアントエージェントは、前記各業務ソフトウェアに前記代替認証情報を伝達し、前記各業務ソフトウェアが前記代替認証情報を利用して前記認証管理サーバーとの関係でユーザー認証を行えるようにし、前記認証管理サーバーは、前記代替認証情報を利用した各業務ソフトウェアからの認証要請に対応してユーザー認証を行い、認証遂行結果を各業務ソフトウェアに伝達して各業務ソフトウェアでの個別認証が行われるようにすることができる。
【0018】
一実施例において、前記認証管理サーバーは、前記認証クライアントエージェントに、前記ユーザー指定の業務ソフトウェアリストに含まれた各業務ソフトウェアの個別認証情報をさらに伝達し、前記認証クライアントエージェントは、受信された各業務ソフトウェアの個別認証情報を利用して各業務ソフトウェアに関する個別認証を代行することができる。
【発明の効果】
【0019】
本発明の実施例によれば、社内ウィンドウズのドメインアカウント或いはローカルアカウントのパスワードを入力せずに資格情報プロバイダーを通じて代替認証方式に従ってユーザー認証をする場合、ユーザーがパスワードを直接入力及び変更(更新)せずとも、セキュリティ規定を充たれるように運営体制のパスワードなどを自動に設定及び変更(更新)できる効果がある。また、これによれば、ユーザーが周期的に直接パスワードを変更しなければならない不便さがなくなって、ユーザーのパスワードが外部へ露出する問題がなく、手軽で安全な認証管理が可能となる効果がある。
【0020】
また、本発明の実施例によれば、ウィンドウズ基盤のシステムにログオンする時に資格情報プロバイダーに使用する認証情報を持ってユーザー認証が必要な様々な業務ソフトウェアまでユーザーが直接個別認証せずに自動に認証して使用することができる効果がある。
【図面の簡単な説明】
【0021】
【図1】本発明の実施例によってセキュリティ規定を充たすことができるように運営体制のパスワードを自動に変更する認証管理方法及びシステムの全般的な流れを図示した図面。
【図2】本発明に適用可能な一実施例の代替認証方式を説明するための参照図面。
【図3】本発明に適用可能な一実施例の代替認証方式を説明するための参照図面。
【図4】本発明の実施例による統合ログオン方法及びシステムの全般的な流れを図示した図面。
【発明を実施するための形態】
【0022】
本発明は、様々な変換をすることができ、幾つかの実施例を有することができるため、特定の実施例を図面に例示して詳細に説明する。しかし、これは本発明を特定の実施形態に対して限定することではなく、本発明の思想及び技術範囲に含まれる全ての変換、均等物ないし代替物を含むものとして理解しなければならない。
【0023】
本発明を説明するに当たり、関連した公知技術に対する具体的な説明が本発明の要旨を不要に曖昧にすることができると判断される場合、その詳細な説明を省略する。また、本明細書の説明過程で利用される数字(例えば、第1、第2など)は、一つの構成要素を別の構成要素と区分けするための識別記号に過ぎない。
【0024】
また、明細書全体いわたって、一つの構成要素が別の構成要素と「繋がる」または「接続される」などで言及される時は、前記一つの構成要素が前記別の構成要素と直接繋がったり、または直接接続されることもあるが、特に反対の記載が存在しない限り、中間にまた別の構成要素を媒介にして繋がったり、または接続されると理解しなければならない。
【0025】
また、明細書全体にわたって、とある部分がとある構成要素を「含む」とする時、これは特に反対の記載がない限り、別の構成要素を除くことではなく、別の構成要素をさらに含むことができることを意味する。また、明細書に記載された「部」、「モジュール」などの用語は、少なくとも一つの機能や動作を処理する単位を意味し、これは一つ以上のハードウェアやソフトウェア、またはハードウェア及びソフトウェアの組み合わせによって具現できることを意味する。
【0026】
以下、添付の図面を参照して本発明の実施例を詳しく説明する。本明細書では説明の便宜及び集中のために、マイクロソフトウィンドウズ(Microsoft Windows)を運営体制(OS)とするコンピューティング装置を例えて説明するが、本発明は、それ以外の様々な運営体制におけるユーザー認証過程でも適用することができることは自明である。
【0027】
一般に、資格情報プロバイダーは、該当運営体制で自体的に提供するユーザー認証管理プログラムまたはプロセス(以下、認証管理モジュールと通称する)を意味する。例えば、マイクロソフトウィンドウズ運営体制の場合、ウィンドウズ運営体制で自体的に提供する資格情報プロバイダーは、ユーザーのコンピューターがついた時、図3の(A)のようなユーザーアカウント認証画面(以下、ログイン画面と略称する)をディスプレイ上に表出する。これによってユーザーはログイン画面上でユーザーアカウント情報及び該当OSアカウントのパスワード情報を入力することでユーザー認証を行う(図3のAのUser Name入力窓及びPassword入力窓参照)。無論、この時、場合によってユーザーアカウント情報はデフォルト(default)に設定され、別途ユーザー入力が要求されないこともあることは自明である。この時、パスワードは該当OSのセキュリティ政策によって、一定期間が経過すれば変更するように要請されることができるし、また該当OSで既設定されたパスワードセキュリティ規則に合わせて変更されることが要求される。このような理由により、前記背景技術の説明で論議されたように、パスワード管理上、様々な問題が発生することがある。
【0028】
前記と違って、カスタム資格情報プロバイダー(Custom Credential Provider)は、該当運営体制で自体的に提供する認証管理モジュールではない第3の代替認証手段を通じるユーザー認証を支援するためのプログラムまたはプロセスを意味する。この時、第3の代替認証技術としては、顔認識、指紋認識、虹彩認識など、いわゆるFIDO(Fast Identity Online)技術が活用されてもよく、後述する図2及び図3の(B)、(C)方式などを含む様々な認証技術が活用されてもよい。このようなカスタム資格情報プロバイダーは、第3の代替認証方式を支援するために該当ユーザーのコンピューターに予め設置されてもよい。このように、本発明は第3の代替認証手段を通じて該当運営体制(または該当運営体制における特定ユーザーアカウント)に関するユーザー認証を行うケースを前提にして論議されるものである。
【0029】
しかし、既存のカスタム資格情報プロバイダーは、認証方式だけをOS自体認証方式から代替認証方式に代替したものに過ぎず、該当OSのセキュリティ政策及びパスワードセキュリティ規則によるOSアカウントのパスワードの周期的な変更までを支援することではない。したがって、本発明の実施例ではカスタム資格情報プロバイダーを通じたユーザー認証方式を採用すると同時に、OSアカウントのパスワードの周期的変更までを同時に支援することができる新規方式を提案する。これは以下の説明によって、より明確に理解することができる。
【0030】
また、以下で説明する図1、図2、図4の認証手続きにおける各段階に関する識別番号(つまり、S111、S112、S113など)は、各段階を分けて説明するためのものに過ぎず、手続き的な手順を定義したものではないことを明確にしておく。論理的に、いずれか一段階が実行された後でなければ他の段階が実行できない場合ではない以上、各段階は、その識別番号の先後と関係なく、並列的にまたは同時に実行されることができることは勿論である。場合によっては、その識別番号の先後と違う手順で各段階が実行されてもよいことも自明である。本発明の核心的な技術特徴が充分反映できる限度で、各段階の順序もまた様々な変形ができるためである。ただし、以下では説明の集中及び便宜上、図面に図示された手順にしたがって各段階を説明する。
【0031】
図1は、本発明の実施例によってセキュリティ規定を充たすことができるように運営体制のパスワードを自動に変更する認証管理方法及びシステムの全般的な流れを図示した図面である。図1を参照すれば、本発明の一実施例による認証管理方法を遂行するシステムは、カスタム資格情報プロバイダー10及び認証管理サーバー20を含んで具現されてもよい。この時、カスタム資格情報プロバイダー10と認証管理サーバー20は、有線通信網または無線通信網(あるいは近距離無線通信網)を通して通信が繋がる。
【0032】
先ず、ユーザーがコンピューターをつけると、カスタム資格情報プロバイダー10が実行される。これによってカスタム資格情報プロバイダー10は、該当運営体制自体のログイン画面ではなく、事前に設定された第3の代替認証方式に従うログイン画面をコンピューターディスプレイ画面上に表出することができる。
【0033】
前述したように、カスタム資格情報プロバイダー10によって提供されるログイン画面を通して、ユーザーは該当ユーザーのOSアカウント(以下、これを略してユーザーアカウントと名付ける)に関する認証情報を入力することができる[図1のS112参照]。ここで、前記認証情報とは、第3の代替認証方式による時の認証情報(すなわち、代替認証情報)を意味する。これによって、カスタム資格情報プロバイダー10は、入力された認証情報を認証管理サーバー20に伝達してユーザー認証を要請することができる[図1のS114参照]。
【0034】
ここで、認証情報はユーザーによって直接マニュアルに入力されることもできるが、自動入力されてもよいことは勿論である。認証情報が自動入力されるケースを説明すれば次のとおりである。例えば、第3の代替認証方式としてFIDO技術が適用された場合であれば、その適用されたFIDO技術によって事前に定義された特定認証情報が自動入力されてもよい。この時、代替認証方式として顔認識技術が適用された場合、コンピューターに取り付けられたカメラを通して入力される該当ユーザーの顔認識情報が認証情報として活用されてもよい。別の例として、代替認証方式として指紋認識技術または虹彩認識技術が適用された場合、コンピューターに取り付けられたり、コンピューターに有線/無線で通信が繋がった指紋認識機または虹彩認識機を通して取得できる該当ユーザーの指紋情報または虹彩情報が認証情報として活用されてもよい。
【0035】
前述したように認証情報が伝達されると、認証管理サーバー20は伝達された認証情報と該当ユーザーのOSアカウントに関して事前に登録された認証情報の一致可否によってユーザー認証を行うことができる[図1のS116参照]。
【0036】
図1のS112及びS114(すなわち、図1の四角い点線ボックスの(A)参照)では、カスタム資格情報プロバイダー10がユーザー認証のための認証情報を受信した後、その認証情報に基づいて認証管理サーバー20に直接認証を要請する場合を挙げたが、前記プロセスとは異なるプロセスで認証手続きが進められてもよいことは勿論である。これに関する別の実施例に対しては、以後図2及び図3の(B)、(C)の説明を通じて詳しく説明する。
【0037】
前述したS116で代替認証情報によるユーザー認証が行われた後、認証管理サーバー20は該当ユーザーアカウントに関する運営体制上での認証手続きを仕上げるための動作を遂行する。前段階を通して代替認証情報によるユーザー認証は行われたが、これは第3の代替認証手段を通じた認証完了に過ぎず、運営体制の内部的には該当ユーザーアカウントに対するOSパスワード(すなわち、OSアカウント認証情報)が再び入力されないと、実際ログイン(すなわち、該当ユーザーのOSアカウントに関するセッション提供)が完了できないためである。これに係る手続きが図1のS118〜S128に図示されている。以下、これについて詳しく説明する。
【0038】
図1のS116で代替認証情報を通じたユーザー認証が行われると、認証管理サーバー20は運営体制アカウントを認証するための新規OSアカウントのパスワードを生成するために利用されるパスワードのシード値を生成し[図1のS118参照]、代替認証を要請したユーザーアカウント情報(本例ではuser name)とパスワードのシード値をカスタム資格情報プロバイダー10に伝達することができる[図1のS120参照]。
【0039】
ここで、図1のS118によるパスワードシード値の生成は、OSアカウント認証が試みられる度に毎回行われてもよく、セキュリティ政策上、求められるOSアカウントのパスワードの周期的変更(更新)期間の到来可否を確認した後で事前に指定された変更必要時点(例えば、3ヶ月週期のOSアカウントのパスワードの変更期間中、一週間が残っている時点など)に到逹した場合のみに行われても良い。ただし、期間到来可否の判断過程を経ることなく、OSアカウント認証が試みられる度にOSアカウントのパスワードを毎回変更する方式がより簡単で、セキュリティ上安全な方式である。
【0040】
カスタム資格情報プロバイダー10は、受信したパッドワードシード値を利用して事前に指定されたアルゴリズムで新規OSアカウントのパスワードを生成し[図1のS122参照]、既存に登録されて使われたOSアカウントのパスワードを新規OSアカウントのパスワードに変更(更新)登録した後[図1のS124参照]、その新規OSアカウントのパスワードとユーザーアカウント情報を利用してOSアカウントに関する認証を行うことができる[図1のS126参照]。
【0041】
このために、カスタム資格情報プロバイダー10は、該当運営体制に最初設置される時、今後のOSアカウントのパスワードを変更することができる管理者(Administrator)権限で設置されてもよい。また、実施例によって、カスタム資格情報プロバイダー10は、該当PCの物理的固有値(例えば、メックアドレス、ハードディスク固有値、CPU固有値など)のうち、一部または全部を利用してPC端末キーを生成し、これをPCの貯蔵空間に暗号化して保管しておいた後、今後の認証管理サーバー20からパスワードシード値が伝達されると、そのシード値にPC端末キー値を演算して新規OSアカウントのパスワードを生成することができる。また、この時、新規OSアカウントのパスワードは、該当OSで要求するパスワードセキュリティ規則を充たさなければならないので、カスタム資格情報プロバイダー10は指定されたパスワードセキュリティ規則を充たせるパスワード生成アルゴリズムを事前に登録して活用することができる。
【0042】
前述した手続きによる認証が成功すれば、カスタム資格情報プロバイダー10は該当ユーザーにユーザーセッションを提供する。
【0044】
一例として、図1のフロー図では、該当ユーザーのアカウント情報としてuser nameを活用しているが、これとは違う情報が活用されてもよい。また、user nameを活用する場合にも固定されたuser nameを使うことではなく、OSアカウント認証に対する試みがある度にuser nameも毎回変更することもあり得る。User nameの持続的変更を通じてセキュリティ水準を高めることができる。このような場合、認証管理サーバー20でパスワードシード値だけでなくuser nameの変更値(更新値)も一緒に生成した後、これをカスタム資格情報プロバイダー10に伝達する方式が利用されてもよい。
【0045】
別の例として、図1のフロー図では、認証管理サーバー20でパスワードシード値を生成し、カスタム資格情報プロバイダー10がそのシード値に基づいて新規OSアカウントのパスワードを生成する方式を示しているが、認証管理サーバー20が直接新規OSアカウントのパスワードを生成してカスタム資格情報プロバイダー10に伝達してもよい。これに関する例示が図4のS116、S125に図示されている。
【0047】
図2を参照すれば、カスタム資格情報プロバイダー10と認証管理サーバー20との間の認証過程でモバイル認証器50を通じた認証情報のユーザー入力が行われることを確認することができる。ここで、モバイル認証器50は、ユーザー認証を行うための別途認証用モバイル機器であってもよく、認証機能を代行するエージェントプログラムまたはモバイルアプリであってもよい。以下、図2のフロー図によるユーザー認証過程に対して具体的に説明すれば次のとおりである。ここで、図2は、図1の四角い点線ボックスの(A)過程を代替することができる別の実施例を説明するための図面である。
【0048】
カスタム資格情報プロバイダー10による認証管理が実行されることによって、カスタム資格情報プロバイダー10はユーザー認証を要する該当ユーザーのアカウント情報を認証管理サーバー20に伝送する。ユーザーアカウント情報を受信した認証管理サーバー20は、ユーザーDB(未図示)でそのアカウント情報に連動したアプリプッシュIDを照会する。また、認証管理サーバー20は該当ユーザーアカウントのユーザー認証をするために使われるユーザー認証値を生成することができる。
【0049】
この時、ユーザー認証値は、任意のランダム値、乱数値、OTP(one time password)などが使われてもよく、その生成方式も特に制限されないことは勿論である。また、場合によって該当ユーザーアカウント情報に相応する特定情報を暗号生成のシード値にしてユーザー認証値を生成することもでき、ユーザー認証値の生成過程において暗号生成条件として時間、試みた回数などをさらに活用することもできる。これは、以後説明する各種認証値にも同一または類似に適用されてもよい。
【0050】
このように生成されたユーザー認証値は、カスタム資格情報プロバイダー10に伝送される。この時、認証管理サーバー20は、該当ユーザー認証値が有効に認められることができる特定条件を一緒にカスタム資格情報プロバイダー10に送ることもできる。例えば、ユーザー認証値としてOTPが活用される場合、前記特定条件は、そのOTPが有効に認められることができる時間制限条件(例えば、60秒)であってもよい。
【0051】
ユーザー認証値と条件を受信したカスタム資格情報プロバイダー10は、コンピューター画面を通して認証確認用GUI画面を表出することができる。このような認証用GUI画面の一例が図3の(B)を通して例示されている。図3の(B)を参照すれば、受信されたユーザー認証値であるOTPが有効時間とともに画面に表出されていることを確認することができる。この時、ユーザー認証値であるOTPは、表示窓70bの中に表出されると同時に、有効時間条件がタイムラップスバー(Time Lapse Bar)の形態で表示されていることを確認することができる。すなわち、表示窓70bにはユーザー認証値とともに有効時間の経過または残りの有効時間が視覚的に区別して表出されることで、該当ユーザー認証値の有効時間をユーザーが視覚的に確認することができる。
【0052】
前述した過程と並行して、認証管理サーバー20は生成したユーザー認証値を先に照会したアプリプッシュIDを利用してプッシュメッセージをモバイル認証器50に伝達する。これによって、モバイル認証器50は、駆動された認証アプリ画面を通して伝達されたユーザー認証値を確認することができる。これに関する例示図面が図3の(C)を通して図示されている。図3の(C)を参照すれば、70cの表示窓を通してユーザー認証値がその有効時間とともに視覚的に表出されることを確認することができる。これによって、ユーザーはコンピューター画面上に表出されたユーザー認証値とモバイル認証器50アプリ画面上に表出されたユーザー認証値の一致可否を確認することができる。もし、両者が一致する場合、ユーザーは70dの受諾ボタンを選択して認証情報を入力することができ、これによって認証同意値が認証管理サーバー20に伝送されることができる。この時、認証同意値は前述したユーザー認証値自体であってもよく、そのユーザー認証値を通じたユーザー認証を認証管理サーバー20で再度検証できるようにモバイル認証器50で新規生成した検証値であってもよい。
【0053】
認証同意値が受信された場合、認証管理サーバー20は、それによるユーザー認証を完了し、カスタム資格情報プロバイダー10との関係における後続手続き(例えば、前述した図1のS118以後の段階)を行うことができる。
【0054】
図4は、本発明の実施例による統合ログオン方法及びシステムの全般的な流れを図示した図面である。ここで、図4のS112、S114、S116、S125、S126、S128は、前述した図1のS112〜S128と根本的に違わないところ、以下では重複する説明は省略する。
【0055】
図4のS112〜S128段階によって該当ユーザーのOSアカウントに関する認証が完了すれば、カスタム資格情報プロバイダー10は該当ユーザーのために提供されたセッション内で認証クライアント30を実行する[図4のS130参照]。ここで、認証クライアント30はユーザーセッションが開かれた後で駆動され、業務ソフトウェアの統合認証関連プロセスを実行するためのエージェントプログラムを指す。
【0056】
この時、カスタム資格情報プロバイダー10は、前の段階S112で獲得した代替認証情報を認証クライアント30に伝達することができる。これによって認証クライアント30は、カスタム資格情報プロバイダー10から伝達された代替認証情報を認証管理サーバー20に再び伝達しながら認証を要請することができる[図4のS132参照]。この時の認証要請は、業務ソフトウェアの統合認証を代行する認証クライアント30が偽・変造された虚偽のエージェントプログラムではないことを確認(すなわち、統合認証を代行する権限があるエージェントプログラムであることを確認)するための過程である。
【0057】
認証管理サーバー20は、認証クライアント30から受信された代替認証情報を利用して認証クライアント30を認証し[図4のS134参照]、これによって該当代替認証情報を使用するユーザーを確認することができる。
【0058】
前記過程による認証が成功した場合、認証管理サーバー20は該当ユーザーが統合認証ができるように事前に登録しておいた業務ソフトウェアに関するリスト(すなわち、自動ログインが実行されるプログラムリスト)を認証クルリイオント30に伝達する[図4のS136参照]。
【0059】
認証クライアント30は、伝達されたプログラム実行リストにしたがって指定された業務ソフトウェアを行い、先に伝達された代替認証情報を各業務ソフトウェアに伝達する[図4のS138参照]。これによって実行された各業務ソフトウェア(図4のフロー図ではクライアントプログラム40がこれを代表する)は、認証クライアント30から伝達された代替認証情報を認証管理サーバー20に伝達して認証を要請する[図4のS140参照]。
【0060】
認証管理サーバー20は、各業務ソフトウェアから伝達された代替認証情報に基づいてユーザーを認証し[図4のS142参照]、認証を成功した時に該当認証結果を各業務ソフトウェアに伝達する[図4のS144参照]。
【0061】
この場合、各業務ソフトウェアは、認証管理サーバー20から認証結果を伝達される時、各業務ソフトウェアで実際使う個別認証情報(例えば、各業務ソフトウェアごとに個別的に設定されているID/PASSWORDなど)を伝達されて認証を処理したり、認証管理サーバー20からは認証成功の可否のみを伝達され、登録しておいた個別認証情報を利用して直接認証を処理することもできる。
【0062】
前述した図4のS134及びS142過程を遂行するために、認証管理サーバー20は認証クライアント30と業務ソフトウェアの追加認証のために必要な時間または設定された時間の間、カスタム資格情報プロバイダー10から最初伝達された代替認証情報を貯蔵しておくことができる。また、具現方式によってユーザー認証に使われる値(すなわち、代替認証情報)が所定の有効時間を有するOTPである場合、認証管理サーバー20では該当OTPが様々なウィンドウクライアントプログラム40で使われても時間が超過しないように該当OTPの有効時間を増やして設定することができる。
【0063】
また、具現方式によって、運営体制ユーザーを認証した後、認証クライアント30が認証管理サーバー20から個別業務プログラムことに別途IDとパスワードリストをダウンロードして該当プログラムを自動に呼び出すこともできることは自明である。
【0064】
また、具現方式によってクライアントプログラム40がウェブブラウザによるユーザー認証を含む場合、「iexplorer Http://www.sample.com?id=id&password=1234」などでプログラムの呼び出しとともにユーザー認証情報を搭載した特定URLを同時に呼び出すことができる。
【0065】
また、具現方式によって、クライアントプログラム40がWin32による一般ウィンドウプログラムである場合「command id/passowrd」などで該当プログラムを呼び出す時、IDと暗号を同時に一緒に伝達して駆動を開始することができることも自明である。
【0066】
前述した内容によれば、ウィンドウズ基盤のシステムにログオンする時、資格情報プロバイダーに使う代替認証情報をそのまま利用して、ユーザー認証が必要な様々な業務ソフトウェアまでユーザーが直接個別的に認証せずに自動に認証して使用することができる効果がある。
【0067】
前述した本発明の実施例による認証管理方法は、コンピューターで読み取れる記録媒体にコンピューターが読み取れるコードで具現されることが可能である。コンピューターが読み取れる記録媒体としては、コンピューターシステムによって読み取ることができるデータが保存された全種類の記録媒体を含む。例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、磁気テープ、磁気ディスク、フラッシュメモリー、光データ保存装置などがあり得る。また、コンピューターが読み取れる記録媒体は、コンピューター通信網で繋がったコンピューターシステムに分散され、分散方式で読み取れるコードとして貯蔵され、実行されることができる。
【0068】
以上では、本発明の実施例を参照して説明したが、該当技術分野における通常の知識を有する者であれば、下記の特許請求の範囲に記載した本発明の思想及び領域から脱しない範囲内で本発明を多様に修正及び変更できることを容易に理解することができる。