特開2023-115743ネットワークシステムおよびシングルサインオンの処理方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023115743
(43)【公開日】2023-08-21
(54)【発明の名称】ネットワークシステムおよびシングルサインオンの処理方法
(51)【国際特許分類】
G06F 21/41 20130101AFI20230814BHJP
【FI】
G06F21/41
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022018136
(22)【出願日】2022-02-08
(71)【出願人】
【識別番号】300059979
【氏名又は名称】エイチ・シー・ネットワークス株式会社
(74)【代理人】
【識別番号】110002066
【氏名又は名称】弁理士法人筒井国際特許事務所
(72)【発明者】
【氏名】柴田 功克
(72)【発明者】
【氏名】小野 勝人
(72)【発明者】
【氏名】西野宮 浩志
(57)【要約】
【課題】高いセキュリティでシングルサインオンを実現することが可能なネットワークシステムおよびシングルサインオンの処理方法を提供する。
【解決手段】クライアント装置14は、Webサーバ12からのログインアカウントLCNの入力要求に応じて、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を送信し、SSO認証サーバ10から取得したワンタイムPW(OPW)をログインPWとしてWebサーバ12に送信する。SSO認証サーバ10は、クライアント装置14からのワンタイムPWの生成要求に応じて、ワンタイムPW(OPW)を生成し、生成したワンタイムPW(OPW)でリソースサーバ11のログインDBに登録されたログインPWを更新し、生成したワンタイムPW(OPW)をクライアント装置14に送信する。
【選択図】図3A
【解決手段】クライアント装置14は、Webサーバ12からのログインアカウントLCNの入力要求に応じて、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を送信し、SSO認証サーバ10から取得したワンタイムPW(OPW)をログインPWとしてWebサーバ12に送信する。SSO認証サーバ10は、クライアント装置14からのワンタイムPWの生成要求に応じて、ワンタイムPW(OPW)を生成し、生成したワンタイムPW(OPW)でリソースサーバ11のログインDBに登録されたログインPWを更新し、生成したワンタイムPW(OPW)をクライアント装置14に送信する。
【選択図】図3A
【特許請求の範囲】
【請求項1】
クライアントによって使用されるクライアント装置と、
ログインパスワードを含んだログインアカウントがログイン許可の場合に、前記クライアントに所定のサービスを提供するサーバ装置と、
前記サーバ装置へのログインを許可する前記ログインアカウントが登録されたログインデータベースを保持し、前記サーバ装置からの、前記ログインアカウントを含んだログイン判定要求に応じて、前記ログインデータベースと照合することでログイン許可またはログイン拒否を判定するリソースサーバと、
前記クライアント装置からのシングルサインオン用の認証アカウントの認証要求を受け、認証許可と判定した場合に、前記クライアント装置および前記リソースサーバと連携してシングルサインオンを実現するシングルサインオン認証サーバと、
を有し、
前記クライアント装置は、前記サーバ装置からの前記ログインアカウントの入力要求に応じて、前記シングルサインオン認証サーバに、ワンタイムパスワードの生成要求を送信し、前記シングルサインオン認証サーバから取得した前記ワンタイムパスワードを、前記ログインパスワードとして前記サーバ装置に送信し、
前記シングルサインオン認証サーバは、前記クライアント装置からの前記ワンタイムパスワードの前記生成要求に応じて、前記ワンタイムパスワードを生成し、生成した前記ワンタイムパスワードで、前記リソースサーバの前記ログインデータベースに登録された前記ログインパスワードを更新し、生成した前記ワンタイムパスワードを前記クライアント装置に送信する、
ネットワークシステム。
ログインパスワードを含んだログインアカウントがログイン許可の場合に、前記クライアントに所定のサービスを提供するサーバ装置と、
前記サーバ装置へのログインを許可する前記ログインアカウントが登録されたログインデータベースを保持し、前記サーバ装置からの、前記ログインアカウントを含んだログイン判定要求に応じて、前記ログインデータベースと照合することでログイン許可またはログイン拒否を判定するリソースサーバと、
前記クライアント装置からのシングルサインオン用の認証アカウントの認証要求を受け、認証許可と判定した場合に、前記クライアント装置および前記リソースサーバと連携してシングルサインオンを実現するシングルサインオン認証サーバと、
を有し、
前記クライアント装置は、前記サーバ装置からの前記ログインアカウントの入力要求に応じて、前記シングルサインオン認証サーバに、ワンタイムパスワードの生成要求を送信し、前記シングルサインオン認証サーバから取得した前記ワンタイムパスワードを、前記ログインパスワードとして前記サーバ装置に送信し、
前記シングルサインオン認証サーバは、前記クライアント装置からの前記ワンタイムパスワードの前記生成要求に応じて、前記ワンタイムパスワードを生成し、生成した前記ワンタイムパスワードで、前記リソースサーバの前記ログインデータベースに登録された前記ログインパスワードを更新し、生成した前記ワンタイムパスワードを前記クライアント装置に送信する、
ネットワークシステム。
【請求項2】
請求項1記載のネットワークシステムにおいて、
前記ログインアカウントは、前記ログインパスワードとログインIDとを含み、
前記クライアント装置は、
前記サーバ装置からの前記ログインアカウントの前記入力要求に応じて、前記シングルサインオン認証サーバに、前記ワンタイムパスワードの前記生成要求を含んだ前記ログインアカウントの取得要求を送信し、前記シングルサインオン認証サーバから前記ログインIDおよび前記ワンタイムパスワードを取得するログインアカウント取得要求部と、
前記ログインアカウント取得要求部で取得された前記ログインIDおよび前記ワンタイムパスワードを含んだログイン要求を、前記サーバ装置からの前記ログインアカウントの前記入力要求に対する応答として前記サーバ装置に送信するログイン処理部と、
を備え、
前記シングルサインオン認証サーバは、
シングルサインオン認証を許可する前記認証アカウントと前記サーバ装置への前記ログインIDとの対応関係を表す認証データベースを保持するメモリと、
前記クライアント装置からの前記認証アカウントの前記認証要求に応じて前記認証データベースに基づいて前記認証許可または認証拒否を判定する認証判定部と、
前記クライアント装置からの前記ログインアカウントの前記取得要求に応じて、前記ワンタイムパスワードを生成し、前記認証データベースに基づいて得られる前記ログインIDに対応する前記ログインパスワードを、生成した前記ワンタイムパスワードに定めることで前記ログインアカウントを決定するログインアカウント決定部と、
前記リソースサーバにパスワード更新命令を送信することで、前記リソースサーバの前記ログインデータベースを、前記ログインアカウント決定部で決定された前記ログインIDおよび前記ワンタイムパスワードで更新するログインデータベース更新指示部と、
前記ログインアカウント決定部で決定された前記ログインIDおよび前記ワンタイムパスワードを、前記ログインアカウントの前記取得要求に対する取得応答として前記クライアント装置に送信するログインアカウント取得応答部と、
を備える、
ネットワークシステム。
前記ログインアカウントは、前記ログインパスワードとログインIDとを含み、
前記クライアント装置は、
前記サーバ装置からの前記ログインアカウントの前記入力要求に応じて、前記シングルサインオン認証サーバに、前記ワンタイムパスワードの前記生成要求を含んだ前記ログインアカウントの取得要求を送信し、前記シングルサインオン認証サーバから前記ログインIDおよび前記ワンタイムパスワードを取得するログインアカウント取得要求部と、
前記ログインアカウント取得要求部で取得された前記ログインIDおよび前記ワンタイムパスワードを含んだログイン要求を、前記サーバ装置からの前記ログインアカウントの前記入力要求に対する応答として前記サーバ装置に送信するログイン処理部と、
を備え、
前記シングルサインオン認証サーバは、
シングルサインオン認証を許可する前記認証アカウントと前記サーバ装置への前記ログインIDとの対応関係を表す認証データベースを保持するメモリと、
前記クライアント装置からの前記認証アカウントの前記認証要求に応じて前記認証データベースに基づいて前記認証許可または認証拒否を判定する認証判定部と、
前記クライアント装置からの前記ログインアカウントの前記取得要求に応じて、前記ワンタイムパスワードを生成し、前記認証データベースに基づいて得られる前記ログインIDに対応する前記ログインパスワードを、生成した前記ワンタイムパスワードに定めることで前記ログインアカウントを決定するログインアカウント決定部と、
前記リソースサーバにパスワード更新命令を送信することで、前記リソースサーバの前記ログインデータベースを、前記ログインアカウント決定部で決定された前記ログインIDおよび前記ワンタイムパスワードで更新するログインデータベース更新指示部と、
前記ログインアカウント決定部で決定された前記ログインIDおよび前記ワンタイムパスワードを、前記ログインアカウントの前記取得要求に対する取得応答として前記クライアント装置に送信するログインアカウント取得応答部と、
を備える、
ネットワークシステム。
【請求項3】
請求項2記載のネットワークシステムにおいて、
前記シングルサインオン認証サーバは、シングルサインオンの適用先となる前記サーバ装置のURI(Uniform Resource Identifier)を定めた適用先一覧データを保持し、前記クライアント装置からの前記認証アカウントの前記認証要求に応じて前記認証許可と判定した場合には、前記クライアント装置に、前記適用先一覧データを送信し、
前記クライアント装置の前記ログインアカウント取得要求部は、前記ログインアカウントの前記入力要求を送信した前記サーバ装置が適用先であるか否かを前記適用先一覧データに基づいて判定し、適用先と判定した場合には、前記シングルサインオン認証サーバに、前記ログインアカウントの前記取得要求を送信し、非適用先と判定した場合には、前記ログインアカウントの前記取得要求を送信しない、
ネットワークシステム。
前記シングルサインオン認証サーバは、シングルサインオンの適用先となる前記サーバ装置のURI(Uniform Resource Identifier)を定めた適用先一覧データを保持し、前記クライアント装置からの前記認証アカウントの前記認証要求に応じて前記認証許可と判定した場合には、前記クライアント装置に、前記適用先一覧データを送信し、
前記クライアント装置の前記ログインアカウント取得要求部は、前記ログインアカウントの前記入力要求を送信した前記サーバ装置が適用先であるか否かを前記適用先一覧データに基づいて判定し、適用先と判定した場合には、前記シングルサインオン認証サーバに、前記ログインアカウントの前記取得要求を送信し、非適用先と判定した場合には、前記ログインアカウントの前記取得要求を送信しない、
ネットワークシステム。
【請求項4】
請求項2記載のネットワークシステムにおいて、
前記シングルサインオン認証サーバの前記ログインデータベース更新指示部は、前記ログインアカウント決定部で決定された前記ワンタイムパスワードの有効期限を監視し、有効期限切れを検出した場合には、前記リソースサーバにパスワード無効命令を送信することで、前記有効期限切れの前記ワンタイムパスワードを前記ログインデータベース上で無効化する、
ネットワークシステム。
前記シングルサインオン認証サーバの前記ログインデータベース更新指示部は、前記ログインアカウント決定部で決定された前記ワンタイムパスワードの有効期限を監視し、有効期限切れを検出した場合には、前記リソースサーバにパスワード無効命令を送信することで、前記有効期限切れの前記ワンタイムパスワードを前記ログインデータベース上で無効化する、
ネットワークシステム。
【請求項5】
請求項2記載のネットワークシステムにおいて、
前記サーバ装置は、HTTP(Hypertext Transfer Protocol)のプロトコル処理を実行可能なWebサーバであり、
前記クライアント装置の前記ログインアカウント取得要求部および前記ログイン処理部は、前記クライアント装置のWebブラウザのアドオンプログラムによって実現される、
ネットワークシステム。
前記サーバ装置は、HTTP(Hypertext Transfer Protocol)のプロトコル処理を実行可能なWebサーバであり、
前記クライアント装置の前記ログインアカウント取得要求部および前記ログイン処理部は、前記クライアント装置のWebブラウザのアドオンプログラムによって実現される、
ネットワークシステム。
【請求項6】
クライアントによって使用されるクライアント装置と、
ログインIDおよびログインパスワードを含むログインアカウントがログイン許可の場合に、前記クライアントに所定のサービスを提供するサーバ装置と、
前記サーバ装置へのログインを許可する前記ログインアカウントが登録されたログインデータベースを保持し、前記サーバ装置からの、前記ログインアカウントを含んだログイン判定要求に応じて、前記ログインデータベースと照合することでログイン許可またはログイン拒否を判定するリソースサーバと、
シングルサインオン認証を許可する認証アカウントと前記サーバ装置への前記ログインIDとの対応関係を表す認証データベースを保持し、前記クライアント装置からの前記認証アカウントの認証要求に応じて前記認証データベースに基づいて認証許可または認証拒否を判定し、前記認証許可と判定した場合に、前記クライアント装置および前記リソースサーバと連携してシングルサインオンを実現するシングルサインオン認証サーバと、
を有するネットワークシステムにおけるシングルサインオンの処理方法であって、
前記クライアント装置が前記シングルサインオン認証サーバに前記認証アカウントを認証させる認証ステップと、
前記クライアント装置が、前記サーバ装置からの前記ログインアカウントの入力要求に応じて、前記シングルサインオン認証サーバに、ワンタイムパスワードの生成要求を含んだ前記ログインアカウントの取得要求を送信するアカウント取得要求ステップと、
前記シングルサインオン認証サーバが、前記ログインアカウントの前記取得要求に応じてワンタイムパスワードを生成し、前記認証データベースに基づいて得られる前記ログインIDに対応する前記ログインパスワードを、生成した前記ワンタイムパスワードに定めるアカウント決定ステップと、
前記シングルサインオン認証サーバが、前記リソースサーバにパスワード更新命令を送信することで、前記リソースサーバの前記ログインデータベースを、前記アカウント決定ステップで決定された前記ログインIDおよび前記ワンタイムパスワードで更新するログインデータベース更新ステップと、
前記シングルサインオン認証サーバが、前記アカウント決定ステップで決定された前記ログインIDおよび前記ワンタイムパスワードを、前記ログインアカウントの前記アカウント取得要求ステップに対する取得応答として前記クライアント装置に送信するアカウント取得応答ステップと、
前記クライアント装置が、前記アカウント取得応答ステップで取得された前記ログインIDおよび前記ワンタイムパスワードを含んだログイン要求を、前記サーバ装置からの前記ログインアカウントの前記入力要求に対する応答として前記サーバ装置に送信するログイン処理ステップと、を備える、
シングルサインオンの処理方法。
ログインIDおよびログインパスワードを含むログインアカウントがログイン許可の場合に、前記クライアントに所定のサービスを提供するサーバ装置と、
前記サーバ装置へのログインを許可する前記ログインアカウントが登録されたログインデータベースを保持し、前記サーバ装置からの、前記ログインアカウントを含んだログイン判定要求に応じて、前記ログインデータベースと照合することでログイン許可またはログイン拒否を判定するリソースサーバと、
シングルサインオン認証を許可する認証アカウントと前記サーバ装置への前記ログインIDとの対応関係を表す認証データベースを保持し、前記クライアント装置からの前記認証アカウントの認証要求に応じて前記認証データベースに基づいて認証許可または認証拒否を判定し、前記認証許可と判定した場合に、前記クライアント装置および前記リソースサーバと連携してシングルサインオンを実現するシングルサインオン認証サーバと、
を有するネットワークシステムにおけるシングルサインオンの処理方法であって、
前記クライアント装置が前記シングルサインオン認証サーバに前記認証アカウントを認証させる認証ステップと、
前記クライアント装置が、前記サーバ装置からの前記ログインアカウントの入力要求に応じて、前記シングルサインオン認証サーバに、ワンタイムパスワードの生成要求を含んだ前記ログインアカウントの取得要求を送信するアカウント取得要求ステップと、
前記シングルサインオン認証サーバが、前記ログインアカウントの前記取得要求に応じてワンタイムパスワードを生成し、前記認証データベースに基づいて得られる前記ログインIDに対応する前記ログインパスワードを、生成した前記ワンタイムパスワードに定めるアカウント決定ステップと、
前記シングルサインオン認証サーバが、前記リソースサーバにパスワード更新命令を送信することで、前記リソースサーバの前記ログインデータベースを、前記アカウント決定ステップで決定された前記ログインIDおよび前記ワンタイムパスワードで更新するログインデータベース更新ステップと、
前記シングルサインオン認証サーバが、前記アカウント決定ステップで決定された前記ログインIDおよび前記ワンタイムパスワードを、前記ログインアカウントの前記アカウント取得要求ステップに対する取得応答として前記クライアント装置に送信するアカウント取得応答ステップと、
前記クライアント装置が、前記アカウント取得応答ステップで取得された前記ログインIDおよび前記ワンタイムパスワードを含んだログイン要求を、前記サーバ装置からの前記ログインアカウントの前記入力要求に対する応答として前記サーバ装置に送信するログイン処理ステップと、を備える、
シングルサインオンの処理方法。
【請求項7】
請求項6記載のシングルサインオンの処理方法において、
前記シングルサインオン認証サーバは、シングルサインオンの適用先となる前記サーバ装置のURI(Uniform Resource Identifier)を定めた適用先一覧データを保持し、前記認証ステップにおいて、前記クライアント装置からの前記認証要求に応じて前記認証許可と判定した場合には、前記クライアント装置に、前記適用先一覧データを送信し、
前記クライアント装置は、前記アカウント取得要求ステップにおいて、前記ログインアカウントの前記入力要求を送信した前記サーバ装置が適用先であるか否かを前記適用先一覧データに基づいて判定し、適用先と判定した場合には、前記シングルサインオン認証サーバに、前記ログインアカウントの前記取得要求を送信し、非適用先と判定した場合には、前記ログインアカウントの前記取得要求を送信しない、
シングルサインオンの処理方法。
前記シングルサインオン認証サーバは、シングルサインオンの適用先となる前記サーバ装置のURI(Uniform Resource Identifier)を定めた適用先一覧データを保持し、前記認証ステップにおいて、前記クライアント装置からの前記認証要求に応じて前記認証許可と判定した場合には、前記クライアント装置に、前記適用先一覧データを送信し、
前記クライアント装置は、前記アカウント取得要求ステップにおいて、前記ログインアカウントの前記入力要求を送信した前記サーバ装置が適用先であるか否かを前記適用先一覧データに基づいて判定し、適用先と判定した場合には、前記シングルサインオン認証サーバに、前記ログインアカウントの前記取得要求を送信し、非適用先と判定した場合には、前記ログインアカウントの前記取得要求を送信しない、
シングルサインオンの処理方法。
【請求項8】
請求項6記載のシングルサインオンの処理方法において、
前記シングルサインオン認証サーバが、前記アカウント決定ステップで決定された前記ワンタイムパスワードの有効期限を監視し、有効期限切れを検出した場合には、前記リソースサーバにパスワード無効命令を送信することで、前記有効期限切れの前記ワンタイムパスワードを前記ログインデータベース上で無効化するパスワード無効化ステップを更に備える、
シングルサインオンの処理方法。
前記シングルサインオン認証サーバが、前記アカウント決定ステップで決定された前記ワンタイムパスワードの有効期限を監視し、有効期限切れを検出した場合には、前記リソースサーバにパスワード無効命令を送信することで、前記有効期限切れの前記ワンタイムパスワードを前記ログインデータベース上で無効化するパスワード無効化ステップを更に備える、
シングルサインオンの処理方法。
【請求項9】
請求項8記載のシングルサインオンの処理方法において、
前記ワンタイムパスワードの前記有効期限は、前記アカウント決定ステップで前記ワンタイムパスワードが生成されてから、前記ログイン処理ステップに応じて前記リソースサーバが前記ログイン許可または前記ログイン拒否を判定するまでに要する期間に基づいて定められる、
シングルサインオンの処理方法。
前記ワンタイムパスワードの前記有効期限は、前記アカウント決定ステップで前記ワンタイムパスワードが生成されてから、前記ログイン処理ステップに応じて前記リソースサーバが前記ログイン許可または前記ログイン拒否を判定するまでに要する期間に基づいて定められる、
シングルサインオンの処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステムおよびシングルサインオン(明細書ではSSOと略す)の処理方法に関する。
【背景技術】
【0002】
特許文献1には、SSO後に、SSO前の情報に応じたサービスを、サービス利用者へ提供することが可能な認証システムが示される。具体的には、SP(Service Provider)サーバは、ユーザ端末からSSOのアクセスを受けた場合、ユーザ端末のSSO前の通信セッション情報をSSO前情報として情報保持部に保存し、ユーザ端末をIdP(Identify Provider)サーバへリダイレクトさせる。IdPサーバは、ユーザ端末から入力された認証情報を用いて、SSO認証DBを参照してSSO認証を行い、SSO認証の成功の場合、ユーザ端末をSPサーバへリダイレクトさせる。SPサーバは、SSO認証の成功後、SSO前情報を情報保持部から取得し、SSO前情報の内容に応じたサービスをユーザ端末へ提供する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2016-118930号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
例えば、特許文献1に記載されるようなSSOの技術が知れている。SSOの実現方式には、特許文献1に示されるような方式の他に様々な方式が存在する。その一つとして、例えば、複数のサーバ装置への各ログインアカウントをクライアント装置のWebブラウザに保持させ、個々のサーバ装置へログインする際に、対応するログインアカウントを、Webブラウザに自動で入力させるような方式が挙げられる。
【0005】
このような方式を用いて個々のサーバ装置へログインする場合、クライアント装置は、サーバ装置に対して、ログインID(IDentifier)およびログインパスワード(明細書ではパスワードをPWと略す)を含んだログインアカウントを自動で送信する。また、LDAP(Lightweight Directory Access Protocol)サーバ等のリソースサーバが設けられる場合、サーバ装置は、クライアント装置からのログインアカウントをリソースサーバに送信することで、リソースサーバにログイン許可/ログイン拒否を判定させる。
【0006】
しかしながら、この場合、クライアント装置とサーバ装置との間の通信経路、または、サーバ装置とリソースサーバとの間に通信経路で、ログインアカウントが漏洩するおそれがある。そして、漏洩したログインアカウントが不正に使用されることで、セキュリティの低下を招くおそれがあった。なお、セキュリティを向上させる方式として、ワンタイムパスワードを用いる方式が知られている。ただし、この場合、サーバ装置またはリソースサーバが、ワンタイムパスワードを取り扱う仕組みを備えている必要がある。
【0007】
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、高いセキュリティでシングルサインオンを実現することが可能なネットワークシステムおよびシングルサインオンの処理方法を提供することにある。
【0008】
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
【課題を解決するための手段】
【0009】
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。
【0010】
一実施の形態によるネットワークシステムは、クライアント装置と、サーバ装置と、リソースサーバと、SSO認証サーバと、を有する。クライアント装置は、クライアントによって使用される。サーバ装置は、ログインPWを含むログインアカウントがログイン許可の場合に、クライアントに所定のサービスを提供する。リソースサーバは、サーバ装置へのログインを許可するログインアカウントが登録されたログインデータベースを保持し、サーバ装置からの、ログインアカウントを含んだログイン判定要求に応じて、ログインデータベースと照合することでログイン許可またはログイン拒否を判定する。SSO認証サーバは、クライアント装置からのSSO用の認証アカウントの認証要求を受け、認証許可と判定した場合に、クライアント装置およびリソースサーバと連携してSSOを実現する。ここで、クライアント装置は、サーバ装置からのログインアカウントの入力要求に応じて、SSO認証サーバに、ワンタイムPWの生成要求を送信し、SSO認証サーバから取得したワンタイムPWをログインPWとしてサーバ装置に送信する。SSO認証サーバは、クライアント装置からのワンタイムPWの生成要求に応じて、ワンタイムPWを生成し、生成したワンタイムPWでリソースサーバのログインデータベースに登録されたログインPWを更新し、生成したワンタイムPWをクライアント装置に送信する。
【発明の効果】
【0011】
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、高いセキュリティでシングルサインオンを実現することが可能になる。
【図面の簡単な説明】
【0012】
【図1】実施の形態1によるネットワークシステムの構成例および前提となる動作例を示す概略図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0014】
<ネットワークシステムの概略>
図1は、実施の形態1によるネットワークシステムの構成例および前提となる動作例を示す概略図である。図1に示されるネットワークシステムは、互いにネットワーク15を介して接続される、SSO認証サーバ10、リソースサーバ11、複数のWebサーバ12[1],12[2]およびレイヤ2(L2)スイッチ13と、クライアント装置14とを備える。クライアント装置14は、ここでは、SSO用の認証アカウント“ACN1”を有するクライアント16によって使用される。クライアント装置14は、L2スイッチ13を介してネットワーク15に接続される。
図1は、実施の形態1によるネットワークシステムの構成例および前提となる動作例を示す概略図である。図1に示されるネットワークシステムは、互いにネットワーク15を介して接続される、SSO認証サーバ10、リソースサーバ11、複数のWebサーバ12[1],12[2]およびレイヤ2(L2)スイッチ13と、クライアント装置14とを備える。クライアント装置14は、ここでは、SSO用の認証アカウント“ACN1”を有するクライアント16によって使用される。クライアント装置14は、L2スイッチ13を介してネットワーク15に接続される。
【0015】
Webサーバ12[1],12[2]は、HTTP(Hypertext Transfer Protocol)の処理機能を搭載したサーバである。各Webサーバ12[1],12[2]は、ログインID(LID)およびログインPW(LPW)を含むログインアカウントLCNがログイン許可の場合に、クライアント16に所定のサービスを提供する。ここでは、Webサーバ12[1],12[2]のURI(Uniform Resource Identifier)は、それぞれ、“URI1”,“URI2”である。
【0016】
なお、Webサーバ12[1],12[2]は、例えば、アプリケーションサーバやファイルサーバ等の他のサーバ装置であってもよい。すなわち、サーバ装置は、Webサーバに限らず、ログインアカウントLCNがログイン許可の場合に、クライアント16に所定のサービスを提供するものであればよい。
【0017】
リソースサーバ11は、LDAPサーバ等のディレクトサーバであり、Webサーバ(サーバ装置)12[1],12[2]へのログインを管理するサーバである。リソースサーバ11は、メモリ25を備え、Webサーバ12[1],12[2]へのログインを許可するログインアカウントLCNが登録されたログインデータベース(明細書ではデータベースをDBと略す)26を、メモリ25に保持する。この例では、ログインDB26には、“URI1”を有するWebサーバ12[1]を対象に、ログインを許可するログインID(LID)およびログインPW(LPW)として、それぞれ、“LID11”および“LPW11”が登録される。
【0018】
同様に、ログインDB26には、“URI2”を有するWebサーバ12[2]を対象に、“LID12”および“LPW12”が登録される。なお、“LID12”および“LPW12”は、それぞれ、“LID11”および“LPW11”と同一であってもよい。リソースサーバ11は、Webサーバ12[1],12[2]からの、ログインアカウントLCNを含んだログイン判定要求に応じて、ログインDB26と照合することでログイン許可またはログイン拒否を判定する。
【0019】
SSO認証サーバ10は、SSO機能を提供する装置である。SSO認証サーバ10は、メモリ20を備え、SSO認証を許可する認証アカウントACNとWebサーバ12[1],12[2]へのログインアカウントLCNとの対応関係を表す認証DB21を、メモリ20に保持する。
【0020】
この例では、認証DB21には、SSO認証を許可する認証アカウントACNとして、“ACN1”が登録される。認証アカウントACNは、詳細には、例えば、ログインアカウントLCNの場合と同様に、認証IDおよび認証PWを含んでもよいが、特に、これに限らない。また、認証DB21には、“ACN1”に対応する“URI1”、すなわちWebサーバ12[1]へのログインID(LID)およびログインPW(LPW)として、それぞれ、“LID11”および“LPW11”が登録される。
【0021】
同様に、認証DB21には、“ACN1”に対応する“URI2”、すなわちWebサーバ12[2]へのログインID(LID)およびログインPW(LPW)として、それぞれ、“LID12”および“LPW12”が登録される。認証DB21における“URI1”,“URI2”,…は、SSOの適用先となるサーバ装置のURIを定めた適用先一覧データ22となる。SSO認証サーバ10は、クライアント装置14からの認証アカウントACNの認証要求に応じて、認証DB21に基づいて認証許可または認証拒否を判定する。そして、SSO認証サーバ10は、認証許可と判定した場合には、以下に述べるように、クライアント装置14等と連携してSSOを実現する。
【0022】
次に、図1に示されるネットワークシステムにおいて、前提となるSSOの処理方法の一例について説明する。クライアント16は、クライアント装置14を介して、SSO認証サーバ10にSSO用の認証アカウント“ACN1”を認証させる(ステップS101,S102)。具体的には、クライアント装置14は、認証アカウント“ACN1”の認証要求をSSO認証サーバ10に送信する(ステップS101)。SSO認証サーバ10は、認証DB21に基づいて認証アカウント“ACN1”の認証許可または認証拒否を判定し、この例では認証許可と判定する。SSO認証サーバ10は、クライアント装置14に、認証許可/認証拒否、この例では認証許可を表す認証応答を送信する(ステップS102)。
【0023】
続いて、クライアント16は、クライアント装置14のWebブラウザを介して、Webサーバ12[1]に初回アクセスを行う(ステップS103)。これに応じて、Webサーバ12[1]は、クライアント装置14に、ログインアカウントLCNの入力要求を送信する(ステップS104)。図2は、図1のネットワークシステムにおいて、クライアント装置に表示されるログインアカウント入力画面の一例を示す図である。ステップS104に応じて、クライアント装置14のWebブラウザには、例えば、図2に示されるように、ログインID(LID)およびログインPW(LPW)の入力を要求するログインアカウント入力画面18が表示される。
【0024】
クライアント装置14は、ステップS104におけるWebサーバ12[1]からログインアカウントLCNの入力要求に応じて、SSO認証サーバ10に、ログインアカウントLCNの取得要求を送信する(ステップS105)。当該ログインアカウントLCNの取得要求には、例えば、認証アカウント“ACN1”の情報と、Webサーバ12[1]の“URI1”の情報とが含まれる。SSO認証サーバ10は、認証DB21に基づいて、“ACN1”および“URI1”に対応するログインID“LID11”およびログインPW“LPW11”を決定し、“LID11”および“LPW11”を含むログインアカウントLCNの取得応答をクライアント装置14に送信する(ステップS106)。
【0025】
クライアント装置14は、ステップS106でのSSO認証サーバ10からのログインアカウントLCNの取得応答を受け、当該ログインアカウントLCN、すなわちログインID“LID11”およびログインPW“LPW11”のログイン要求をWebサーバ12[1]に送信する(ステップS107)。詳細には、クライアント装置14は、例えば、図2に示したようなログインアカウント入力画面18に、SSO認証サーバ10から取得したログインアカウントLCNを自動入力することで、Webサーバ12[1]にログイン要求を送信する。
【0026】
Webサーバ12[1]は、クライアント装置14からのログインアカウントLCNのログイン要求に応じて、当該ログインアカウントLCN、すなわちログインID“LID11”およびログインPW“LPW11”のログイン判定要求をリソースサーバ11に送信する(ステップS108)。リソースサーバ11は、ログインアカウントLCNをログインDB26と照合することで、“LID11”および“LPW11”のログイン許可またはログイン拒否、この例ではログイン許可を判定する。そして、リソースサーバ11は、Webサーバ12[1]に、ログイン許可を表すログイン判定結果を含んだログイン判定応答を送信する(ステップS109)。
【0027】
その結果、クライアント装置14は、Webサーバ12[1]に対してログイン状態となり、Webサーバ12[1]によって提供されるサービスを利用することが可能になる。また、その後、クライアント装置14がWebサーバ12[2]に対して初回アクセスを行った場合にも、ステップS103~S109の場合と同様の処理が行われる。その結果、クライアント装置14は、Webサーバ12[2]に対してログイン状態となり、Webサーバ12[2]によって提供されるサービスを利用することが可能になる。このように、クライアント16は、ステップS101,S102においてSSO認証サーバ10から認証許可を受けることで、その後は、SSOの適用先のWebサーバ12[1],12[2]に対して、個々にログインアカウントLCNの入力作業を行う必要性が無くなる。
【0028】
ただし、このような方式では、ログインアカウントの漏洩が生じ得る。、例えば、ステップS107でのログイン要求の際や、ステップS108でのログイン判定要求の際等で、ログインアカウントLCNが漏洩し得る。ログインアカウントLCNが漏洩すると、当該漏洩したログインアカウントLCNを用いてWebサーバ12[1],12[2]への不正アクセスが行われるおそれがある。そして、このような不正アクセスが行われた結果として、セキュリティの低下が生じる恐れがあった。そこで、以下に述べるようなSSOの処理方法を用いることが有益となる。
【0029】
<SSOの処理方法(実施の形態)>
図3Aは、図1に示されるネットワークシステムにおいて、SSOの処理方法の一例を示すシーケンス図であり、図3Bは、図3Aに続く処理方法の一例を示すシーケンス図である。図3Aに示されるステップS101,S101-1,S102,S102-1(認証ステップ)において、クライアント装置14は、SSO認証サーバ10にSSO用の認証アカウントACNを認証させる。
図3Aは、図1に示されるネットワークシステムにおいて、SSOの処理方法の一例を示すシーケンス図であり、図3Bは、図3Aに続く処理方法の一例を示すシーケンス図である。図3Aに示されるステップS101,S101-1,S102,S102-1(認証ステップ)において、クライアント装置14は、SSO認証サーバ10にSSO用の認証アカウントACNを認証させる。
【0030】
詳細には、図1で述べたように、クライアント装置14は、SSO認証サーバ10に、認証アカウントACNの認証要求を送信する(ステップS101)。これに応じて、SSO認証サーバ10は、認証DB21に基づいて認証許可または認証拒否を判定し(ステップS101-1)、この例では、認証許可を表す認証応答をクライアント装置14に送信する(ステップS102)。さらに、SSO認証サーバ10は、ステップS101-1で認証許可と判定した場合には、クライアント装置14に、例えば、SSOの適用先となるサーバ装置のURIを定めた適用先一覧データ22を送信する(ステップS102-1)。クライアント装置14は、当該適用先一覧データ22をメモリに保存する。
【0031】
その後、クライアント装置14は、図1で述べたように、Webサーバ12に初回アクセスを行い(ステップS103)、Webサーバ12からログインアカウントLCNの入力要求を受信する(ステップS104)。これに応じて、クライアント装置14は、ステップS104-1,S105a(アカウント取得要求ステップ)の処理を実行する。
【0032】
具体的には、クライアント装置14は、ステップS104でログインアカウントLCNの入力要求を送信したWebサーバ12が適用先であるか否かを、ステップS102-1で得られた適用先一覧データ22に基づいて判定する(ステップS104-1)。そして、クライアント装置14は、適用先と判定した場合には、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を含んだログインアカウントLCNの取得要求を送信する(ステップS105a)。ログインアカウントLCNの取得要求には、認証アカウントACNの情報や、Webサーバ12のURIの情報も含まれる。一方、クライアント装置14は、ステップS104-1で非適用先と判定した場合には、SSO認証サーバ10に、当該取得要求を送信しない。
【0033】
SSO認証サーバ10は、クライアント装置14からのログインアカウントLCNの取得要求に応じて、ステップS201,S202(アカウント決定ステップ)の処理と、ステップS203(ログインDB更新ステップ)の処理と、ステップS106a(アカウント取得応答ステップ)の処理とを実行する。具体的には、SSO認証サーバ10は、ステップS201において、ログインアカウントLCNの取得要求に含まれる認証アカウントACNが認証済みか否か、すなわちステップ101-1で認証許可と判定した認証アカウントACNであるか否かを確認する。
【0034】
ステップS201で認証アカウントACNが認証済みである場合、SSO認証サーバ10は、ワンタイムPW(OPW)を生成し、認証DB21に基づいて得られるログインID(LID)に対応するログインPW(LPW)を、生成したワンタイムPW(OPW)に定める(ステップS202)。例えば、SSO認証サーバ10は、ログインアカウントLCNの取得要求の中に認証アカウント“ACN1”の情報および“URI1”の情報が含まれる場合、ログインID“LID11”に対応するログインPW(LPW)を、生成したワンタイムPW(“OPW11”とする)に定める。
【0035】
続いて、SSO認証サーバ10は、リソースサーバ11にPW更新命令を送信することで、リソースサーバ11のログインDB26を、ステップS202で決定されたログインID(例えば“LID11”)およびワンタイムPW(例えば、“OPW11”)で更新する(ステップS203)。詳細には、リソースサーバ11は、例えば、“LID11”および“OPW11”を含んだPW更新命令に応じて、ログインDB26内の“LID11”に対応するログインPW(LPW)を、“OPW11”に更新する(ステップS204)。
【0036】
リソースサーバ11は、PWの更新が完了すると、SSO認証サーバ10にPW更新完了通知を送信する(ステップS205)。次いで、SSO認証サーバ10は、図1の場合と同様に、ステップS202で決定されたログインID(LID)およびワンタイムPW(OPW)を、ステップS105aでの取得要求に対する取得応答として、クライアント装置14に送信する(ステップS106a)。ただし、図1の場合とは、ログインPW(LPW)がワンタイムPW(OPW)である点が異なっている。
【0037】
その後は、図1で述べたように、クライアント装置14は、ステップS106aで取得されたログインID(LID)およびワンタイムPW(OPW)を含むログイン要求を、ステップS104での入力要求に対する応答としてWebサーバ12に送信する(ステップS107(ログイン処理ステップ))。これに応じて、図3Bに示されるように、Webサーバ12は、リソースサーバ11に、ログインID(LID)およびワンタイムPW(OPW)を含むログインアカウントLCNのログイン判定要求を送信する(ステップS108)。
【0038】
リソースサーバ11は、ログイン判定要求に応じて、ログインアカウントLCNをログインDB26と照合することでログイン許可またはログイン拒否を判定する(ステップS108-1)。この際には、ステップS204において、ログインDB26内の所定のログインPW(LPW)は、ワンタイムPW(OPW)で既に更新されているため、ステップS108-1では、ログイン許可と判定される。
【0039】
リソースサーバ11は、Webサーバ12に、ログイン許可を表すログイン判定応答を送信する(ステップS109)。これに応じて、Webサーバ12も、クライアント装置14に、ログイン許可を表すログイン応答を送信する(ステップS110)。これによって、クライアント16およびクライアント装置14は、ログイン状態となり、Webサーバ12から提供されるサービスを利用することが可能になる(ステップS111)。
【0040】
ここで、ステップS202で生成されたワンタイムPW(OPW)には、有効期限が設定される。SSO認証サーバ10は、ステップS301,S302(PW無効化ステップ)において、有効期限切れのワンタイムPW(OPW)を無効化する。具体的には、SSO認証サーバ10は、ワンタイムPW(OPW)の有効期限を監視する。そして、SSO認証サーバ10は、ワンタイムPW(OPW)の有効期限切れを検出した場合(ステップS301)には、リソースサーバ11にPW無効命令を送信することで(ステップS302)、有効期限切れのワンタイムPW(OPW)をログインDB26上で無効化する。
【0041】
詳細には、リソースサーバ11は、例えば、対象のログインID(LID)およびワンタイムPW(OPW)を含んだPW無効命令に応じて、ログインDB26内の当該ログインID(LID)に対応するログインPW(LPW)を無効化する(ステップS303)。この際に、PW無効命令は、ステップS203の場合と同様のPW更新命令であってもよい。すなわち、リソースサーバ11がPWを無効化する機能を有しない場合、ステップS302において、SSO認証サーバ10は、新たなワンタイムPW(OPW)を生成し、当該新たなワンタイムPW(OPW)を含んだPW更新命令をリソースサーバ11に送信すればよい。
【0042】
このように、ワンタイムPW(OPW)の有効期限が切れた時点で、当該ワンタイムPW(OPW)を、リソースサーバ11上で無効化しておくことで、ワンタイムPW(OPW)の有効期限を正しく管理することが可能になる。すなわち、リソースサーバ11は、例えば、有効期限切れのワンタイムPW(OPW)を含んだログイン判定要求を受信した場合には、ログイン拒否と判定することができる。これにより、有効期限切れのワンタイムPW(OPW)では、ログインできない環境を構築することが可能になる。
【0043】
その結果、例えば、ステップS107でのログイン要求やステップS108でのログイン判定要求等を傍受することで、ログインアカウントLCNが不正に取得された場合でも、当該ログインアカウントLCNでログインできる期間は、ワンタイムPW(OPW)の有効期限に限定される。この観点で、ワンタイムPW(OPW)の有効期限は、十分に短い方が望ましい。具体的には、ワンタイムPW(OPW)の有効期限は、少なくともステップS202でワンタイムPW(OPW)が生成されてから、ステップS108-1でリソースサーバ11がログイン判定を行うまでに要する期間だけ確保されればよく、この期間に基づいて、例えば、数秒~数十秒といった短い時間であってもよい。
【0044】
また、クライアント16が、クライアント装置14を介して、利用中のWebサーバ12にログアウト要求を送信すると(ステップS401)、Webサーバ12は、クライアント装置14にログアウト応答を送信する(ステップS402)。これにより、ログインアカウントLCNは、ログアウト状態となる。その結果、クライアント16は、クライアント装置14を介して、Webサーバ12から提供されるサービスを利用することが不可能になる(ステップS403)。
【0045】
その後、クライアント16がWebサーバ12に再度アクセスすると、ステップS103に移行し、その後のステップS202で新たに生成されたワンタイムPW(OPW)を用いてWebサーバ12へのログインが行われることになる。なお、Webサーバ12からのログアウトは、ステップS401のようにログアウト要求が送信された場合の他に、例えば、クライアント16がWebブラウザを閉じた場合や、セッションの有効期限またはセッション管理用クッキーの有効期限が過ぎた場合等でも生じ得る。
【0046】
以上のように、SSO認証サーバ10は、クライアント装置14からのSSO用の認証アカウントACNの認証要求を受け、認証許可と判定した場合に、クライアント装置14およびリソースサーバ11と連携して、ワンタイムPW(OPW)を用いたSSOを実現する。概略的には、クライアント装置14は、Webサーバ12からのログインアカウントLCNの入力要求に応じて、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を送信する(ステップS104,S105a)。そして、クライアント装置14は、SSO認証サーバ10から取得したワンタイムPW(OPW)をWebサーバ12に送信する(ステップS106a,S107)。
【0047】
一方、SSO認証サーバ10は、クライアント装置14からのワンタイムPW(OPW)の生成要求に応じて、ワンタイムPW(OPW)を生成する(ステップS105a,S202)。そして、SSO認証サーバ10は、生成したワンタイムPW(OPW)でリソースサーバ11のログインDB26に登録されたログインPW(LPW)を更新し(ステップS203)、生成したワンタイムPW(OPW)をクライアント装置14に送信する(ステップS106a)。
【0048】
このようなワンタイムPW(OPW)の仕組みを設けることで、セキュリティの向上が実現可能になる。具体的には、このようなワンタイムPW(OPW)の仕組みによって、少なくとも、Webサーバ12へログインする毎に、ログインPW(LPW)が逐次変更される。このため、仮に、ログインPW(LPW)が漏洩した場合であっても、当該ログインPW(LPW)を使用できる期間は、限定される。
【0049】
さらに、SSO認証サーバ10は、ステップS202で生成したワンタイムPW(OPW)の有効期限が切れた場合には、当該リソースサーバ11のログインDB26上で、当該有効期限切れのワンタイムPW(OPW)を無効化する(ステップS301,S302)。このように、ワンタイムPW(OPW)の有効期限を正しく管理することで、仮に、ログインPW(LPW)が漏洩した場合であっても、当該ログインPW(LPW)を使用できる期間が更に短い期間に限定されるため、セキュリティの更なる向上が実現可能になる。
【0050】
なお、図1に示したように、複数のWebサーバ12[1],12[2]が設けられる場合には、各Webサーバに対する初回アクセスが生じる度に、ステップS103以降の処理が行われることになる。これに伴い、リソースサーバ11は、Webサーバ12[1]への初回アクセスが生じた場合には、ログインDB26上の“URI1”に対応するログインPW(LPW)をワンタイムPW(OPW)で更新する(ステップS204)。同様に、リソースサーバ11は、Webサーバ12[2]への初回アクセスが生じた場合には、ログインDB26上の“URI2”に対応するログインPW(LPW)をワンタイムPW(OPW)で更新する(ステップS204)。
【0051】
ただし、Webサーバ12[1]とWebサーバ12[2]とで、共通のログインアカウントLCN、すなわち共通のログインID(LID)およびログインPW(LPW)を用いてもよい。例えば、クライアント装置14が、Webサーバ12[1]に共通のログインアカウントLCNを用いてログインしている状態でWebサーバ12[2]に初回アクセスを行った場合を想定する。この場合、共通のログインPW(LPW)がワンタイムPW(OPW)で更新されたのちに、Webサーバ12[2]へのログインが許可される。一方、Webサーバ12[1]にログインしている状態は、例えば、Webサーバ12[1]に対するセッションの有効期限等が切れるまで維持される。
【0052】
<クライアント装置の詳細>
図4は、図1におけるクライアント装置の主要部の構成例を示す概略図である。図4に示すクライアント装置14は、例えば、入力装置30、表示装置31、プロセッサ32、ネットワークインタフェース(ネットワークIF)33、およびメモリ34等を備える。入力装置30は、キーボードやマウス等であり、表示装置31は、液晶ディスプレイ等である。ネットワークIF33は、イーサネット(登録商標)のネットワークカード等であり、L2スイッチ13へのコネクタを備える。
図4は、図1におけるクライアント装置の主要部の構成例を示す概略図である。図4に示すクライアント装置14は、例えば、入力装置30、表示装置31、プロセッサ32、ネットワークインタフェース(ネットワークIF)33、およびメモリ34等を備える。入力装置30は、キーボードやマウス等であり、表示装置31は、液晶ディスプレイ等である。ネットワークIF33は、イーサネット(登録商標)のネットワークカード等であり、L2スイッチ13へのコネクタを備える。
【0053】
メモリ34は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の組合せで構成され、OS(Operating System)35、Webブラウザ36およびSSO処理プログラム37等を保持する。プロセッサ32は、メモリ34に保持されるSSO処理プログラム37を実行することで、後述するSSO処理部として機能する。
【0054】
図5は、図4に示されるクライアント装置において、プロセッサがSSO処理プログラムを実行することで実現されるSSO処理部の構成例を示す概略図である。図5に示されるSSO処理部37aは、認証要求部45と、ログイン処理部46と、ログインアカウント取得要求部47とを備える。この内、ログイン処理部46およびログインアカウント取得要求部47は、例えば、図4に示したWebブラウザ36に対するアドオン機能(プラグイン機能またはエクステンション機能とも呼ばれる)を担うアドオンプログラムによって実現される。
【0055】
認証要求部45は、主に、図3AにおけるステップS101,S102,S102-1に関する処理を担う。具体的には、認証要求部45は、クライアント16からのSSO用の認証アカウントACNの入力に応じて、SSO認証サーバ10に認証要求を送信する。また、認証要求部45は、SSO認証サーバ10からの認証応答を受信する。さらに、認証要求部45は、SSO認証サーバ10から認証許可を表す認証応答を受信した場合には、適用先一覧データ22も受信する。認証要求部45は、受信した適用先一覧データ22をメモリ34に保存する。
【0056】
ログイン処理部46は、主に、図3AにおけるステップS104,S107に関する処理を担う。具体的には、ログイン処理部46は、Webサーバ12からのログインアカウントLCNの入力要求に応じて、ログインアカウント取得要求部47にログインアカウントLCNを取得させる。そして、ログイン処理部46は、ログインアカウント取得要求部47によって取得されたログインアカウントLCN、すなわちログインID(LID)およびワンタイムPW(OPW)を含んだログイン要求をWebサーバ12に送信する。
【0057】
ログインアカウント取得要求部47は、主に、図3AにおけるS104-1,S105a,S106aに関する処理を担う。具体的には、ログインアカウント取得要求部47は、Webサーバ12からのログインアカウントLCNの入力要求、詳細にはログイン処理部46からの指示に応じて、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を含んだログインアカウントLCNの取得要求を送信する。
【0058】
また、この際に、ログインアカウント取得要求部47は、ログインアカウントLCNの入力要求を送信したWebサーバ12が適用先であるか否かを、メモリ34に保持される適用先一覧データ22に基づいて判定する。そして、ログインアカウント取得要求部47は、適用先と判定した場合に、SSO認証サーバ10に、ログインアカウントLCNの取得要求を送信し、非適用先と判定した場合には、当該取得要求を送信せず、その旨をログイン処理部46へ通知する。ログインアカウント取得要求部47は、ログインアカウントLCNの取得要求を送信した場合、SSO認証サーバ10からの取得応答によって、ログインID(LID)およびワンタイムPW(OPW)を取得する。
【0059】
<SSO認証サーバの詳細>
図6は、図1におけるSSO認証サーバの主要部の構成例を示す概略図である。図7は、図6における認証データベースの構成例を示す概略図である。図6に示されるSSO認証サーバ10は、例えば、図4の場合と同様に、プロセッサがメモリ20内のプログラムを実行することで実現される認証判定部50、ログインアカウント取得応答部51、ログインアカウント決定部52およびログインDB更新指示部53を備える。
図6は、図1におけるSSO認証サーバの主要部の構成例を示す概略図である。図7は、図6における認証データベースの構成例を示す概略図である。図6に示されるSSO認証サーバ10は、例えば、図4の場合と同様に、プロセッサがメモリ20内のプログラムを実行することで実現される認証判定部50、ログインアカウント取得応答部51、ログインアカウント決定部52およびログインDB更新指示部53を備える。
【0060】
認証判定部50は、主に、図3AにおけるステップS101,S101-1,S102,S102-1の処理を担う。具体的には、認証判定部50は、クライアント装置14からのSSO用の認証アカウントACNの認証要求を受けて、メモリ20に保持される認証DB21aに基づいて認証許可または認証拒否を判定する。そして、認証判定部50は、当該認証判定結果を含む認証応答をクライアント装置14に送信する。また、認証判定部50は、認証許可と判定した場合には、メモリ20に保持される適用先一覧データ22をクライアント装置14に送信する。
【0061】
ログインアカウント取得応答部51は、主に、図3AにおけるステップS105a,S106aの処理を担う。具体的には、ログインアカウント取得応答部51は、クライアント装置14からのログインアカウントLCNの取得要求に応じて、ログインアカウント決定部52にログインアカウントLCNを決定させる。また、ログインアカウント取得応答部51は、ログインアカウント決定部52で決定されたログインアカウントLCN、すなわちログインID(LID)およびワンタイムPW(OPW)を、ログインアカウントLCNの取得要求に対する取得応答としてクライアント装置14に送信する。
【0062】
ログインアカウント決定部52は、主に、図3AにおけるステップS201,S202の処理を担う。具体的には、ログインアカウント決定部52は、クライアント装置14からのログインアカウントLCNの取得要求、詳細にはログインアカウント取得応答部51からの通知に応じて、当該取得要求に含まれる認証アカウントACNが認証済みか否かを、例えば、認証DB21aに基づいて確認する。
【0063】
認証DB21aは、例えば、図7に示されるような構成を備える。図7に示される認証DB21aは、図1に示した認証DB21と比較して、次の3点が異なっている。1点目の相違点として、例えば、認証アカウントACN毎に有効期限23aが設けられる。当該有効期限23aは、例えば、認証判定部50で認証許可と判定された際に認証判定部50によって設定される。有効期限23aが設定されていない場合、その認証アカウントACNは、認証済みでない、すなわち認証許可と判定されていないことを意味する。
【0064】
2点目の相違点として、ログインPW(LPW)が、ワンタイムPW(OPW)になっている。この例では、“URI1”に対応するログインPW(LPW)は、“OPW11”であり、“URI2”に対応するログインPW(LPW)は、“OPW12”である。3点目の相違点として、ワンタイムPW(OPW)毎に有効期限23bが設定される。
【0065】
図6に戻り、ログインアカウント決定部52は、例えば、このような認証DB21aの有効期限23aに基づいて、ログインアカウントLCNの取得要求に含まれる認証アカウントACNが認証済みか否かを確認する。また、ログインアカウント決定部52は、ワンタイムPW生成部55を備える。ログインアカウント決定部52は、クライアント装置14からのログインアカウントLCNの取得要求に応じて、当該取得要求に含まれる認証アカウントACNが認証済みである場合には、ワンタイムPW生成部55を用いてワンタイムPW(OPW)を生成する。
【0066】
また、ログインアカウント決定部52は、ログインアカウントLCNの取得要求に含まれる認証アカウントACNの情報およびWebサーバ12のURIの情報を用いて認証DB21aを参照する。そして、ログインアカウント決定部52は、認証DB21aに基づいて得られるログインID(LID)に対応するログインPW(LPW)を、ワンタイムPW生成部55で生成したワンタイムPW(OPW)に定めることでログインアカウントLCNを決定する。ログインアカウント決定部52は、当該生成したワンタイムPW(OPW)を認証DB21aに登録すると共に、有効期限23bも設定する。
【0067】
そして、ログインアカウント決定部52は、決定したログインアカウントLCNを、ログインDB更新指示部53と、ログインアカウント取得応答部51とに送信する。なお、図示は省略されるが、ログインアカウント取得応答部51への送信は、例えば、図3Aに示したように、ステップS205でのPW更新完了通知を受信した後で行われる。または、ログインアカウント取得応答部51は、ログインアカウントLCNの取得応答の送信を、PW更新完了通知を受信するまで待つ。
【0068】
ログインDB更新指示部53は、主に、図3AにおけるステップS203,S205および図3BにおけるステップS301,S302の処理を担う。具体的には、ログインDB更新指示部53は、更新命令送信部56と、無効命令送信部57とを備える。更新命令送信部56は、リソースサーバ11に、ログインアカウント決定部52からのログインアカウントLCNを含んだPW更新命令を送信する。
【0069】
更新命令送信部56は、PW更新命令を送信することにより、リソースサーバ11のログインDB26を、ログインアカウント決定部52で決定されたログインID(LID)およびワンタイムPW(OPW)で更新する。また、図示は省略されるが、更新命令送信部56は、PW更新命令に応じたリソースサーバ11からのPW更新完了通知を受信する。
【0070】
無効命令送信部57は、図7に示した認証DB21a内の有効期限23bに基づいて、ログインアカウント決定部52で決定されたワンタイムPW(OPW)の有効期限を監視する。そして、無効命令送信部57は、有効期限切れを検出した場合には、リソースサーバ11に、有効期限切れのワンタイムPW(OPW)と、対応するログインID(LID)とを含んだPW無効命令を送信する。これにより、無効命令送信部57は、有効期限切れのワンタイムPW(OPW)をログインDB26上で無効化する。なお、前述したように、無効命令送信部57は、PW無効命令の一つとして、ワンタイムPW生成部55に生成させた新たなワンタイムPW(OPW)を含んだPW更新命令を送信してもよい。
【0071】
<SSO用の認証アカウントについて>
SSO認証サーバ10は、通常、高いセキュリティを有するため、例えば、図3Aにおける認証要求(ステップS101)の際に、SSO用の認証アカウントACNの傍受は生じ難い。ただし、クライアント装置14の入力装置30に対して、キーロガーが仕組まれたような場合には、認証アカウントACNの漏洩が生じ得る。そこで、キーロガー対策のため、SSO用の認証アカウントACNは、認証IDおよび認証PWに限らず、生体認証等であってもよい。また、SSO認証サーバ10は、認証PWに対して、例えば、チャレンジレスポンス方式によるワンタイムPW(OPW)等を適用してもよい。
SSO認証サーバ10は、通常、高いセキュリティを有するため、例えば、図3Aにおける認証要求(ステップS101)の際に、SSO用の認証アカウントACNの傍受は生じ難い。ただし、クライアント装置14の入力装置30に対して、キーロガーが仕組まれたような場合には、認証アカウントACNの漏洩が生じ得る。そこで、キーロガー対策のため、SSO用の認証アカウントACNは、認証IDおよび認証PWに限らず、生体認証等であってもよい。また、SSO認証サーバ10は、認証PWに対して、例えば、チャレンジレスポンス方式によるワンタイムPW(OPW)等を適用してもよい。
【0072】
<実施の形態の主要な効果>
以上、実施の形態の方式を用いると、SSO認証サーバ10とクライアント装置14との連携によって、高いセキュリティでシングルサインオンを実現することが可能になる。また、SSO認証サーバ10にワンタイムPW(OPW)を生成させ、SSO認証サーバ10とリソースサーバ11とを連携させることで、サーバ装置へのログインにワンタイムPW(OPW)を適用することが可能になる。さらに、ワンタイムPW(OPW)の有効期限を正しく管理することで、通信傍受への耐性に加えて、キーロガーへの耐性も得られる。これらの結果、セキュリティの向上が実現可能になる。
以上、実施の形態の方式を用いると、SSO認証サーバ10とクライアント装置14との連携によって、高いセキュリティでシングルサインオンを実現することが可能になる。また、SSO認証サーバ10にワンタイムPW(OPW)を生成させ、SSO認証サーバ10とリソースサーバ11とを連携させることで、サーバ装置へのログインにワンタイムPW(OPW)を適用することが可能になる。さらに、ワンタイムPW(OPW)の有効期限を正しく管理することで、通信傍受への耐性に加えて、キーロガーへの耐性も得られる。これらの結果、セキュリティの向上が実現可能になる。
【0073】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
【0074】
例えば、前述した各種プログラムは、非一時的な有形のコンピュータ可読記録媒体に格納された上で、コンピュータ装置に供給され得る。このような記録媒体として、例えば、ハードディスクドライブ等を代表とする磁気記録媒体、DVD(Digital Versatile Disc)やブルーレイディスク等を代表とする光記録媒体、フラッシュメモリ等を代表とする半導体メモリ等が挙げられる。
【符号の説明】
【0075】
10…SSO認証サーバ、11…リソースサーバ、12…Webサーバ(サーバ装置)、13…L2スイッチ、14…クライアント装置、15…ネットワーク、16…クライアント、18…ログインアカウント入力画面、20,25,34…メモリ、21,21a…認証DB、22…適用先一覧データ、23a,23b…有効期限、26…ログインDB、30…入力装置、31…表示装置、32…プロセッサ、33…ネットワークインタフェース、35…OS、36…Webブラウザ、37…SSO処理プログラム、37a…SSO処理部、45…認証要求部、46…ログイン処理部、47…ログインアカウント取得要求部、50…認証判定部、51…ログインアカウント取得応答部、52…ログインアカウント決定部、53…ログインDB更新指示部、55…ワンタイムPW生成部、56…更新命令送信部、57…無効命令送信部、ACN…認証アカウント、LCN…ログインアカウント、LID…ログインID、LPW…ログインパスワード、OPW…ワンタイムパスワード
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】