知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-26
(45)【発行日】2022-06-03
(54)【発明の名称】情報処理システム、情報処理方法、及びプログラム
(51)【国際特許分類】
G06F 21/41 20130101AFI20220527BHJP
G06F 21/60 20130101ALI20220527BHJP
H04L 9/32 20060101ALI20220527BHJP
【FI】
G06F21/41
G06F21/60 320
H04L9/32 100
【請求項の数】
7
(21)【出願番号】P 2018086510
(22)【出願日】2018-04-27
(65)【公開番号】P2019192089
(43)【公開日】2019-10-31
【審査請求日】2020-10-12
(73)【特許権者】
【識別番号】000136136
【氏名又は名称】株式会社PFU
(74)【代理人】
【識別番号】100137394
【弁理士】
【氏名又は名称】横井 敏弘
(72)【発明者】
【氏名】▲高▼木 賢治
(72)【発明者】
【氏名】髭右近 仁
(72)【発明者】
【氏名】坂本 裕之
【審査官】吉倉 大智
(56)【参考文献】
【文献】特開2015-191269(JP,A)
【文献】特開2006-350866(JP,A)
【文献】特開2005-011155(JP,A)
【文献】特開2006-031064(JP,A)
【文献】特開2007-219630(JP,A)
【文献】特開2002-328904(JP,A)
【文献】特開2006-065708(JP,A)
【文献】特開2016-153951(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-21/88
G06F 12/00
H04L 9/00
(57)【特許請求の範囲】
【請求項1】
秘密管理サーバと、ユーザ端末と、互いに異なる場所に配置された複数の記録装置とを含む情報処理システムであって、前記秘密管理サーバは、
共用される秘密情報から、複数の分散片データを生成する分散化部と、
前記秘密情報に関連付けて、認証情報を格納する認証情報格納部と、
前記認証情報格納部に格納されている認証情報に基づいて、ユーザ認証を行う認証部と、
前記認証部によるユーザ認証に成功したことを条件として、関連付けられた秘密情報の分散片データを前記記録装置から取得する取得部と
を有し、
前記ユーザ端末は、
前記取得部により取得された秘密情報の分散片データを用いて、利用システムにログインするログイン部
を有し、
前記分散化部により生成された分散片データは、複数の前記記録装置に分散して格納されている
情報処理システム。
【請求項2】
前記利用システムにおける秘密情報の変更に応じて、複数の前記記録装置に格納されている秘密情報の分散片データを定期的に更新する秘密情報更新部をさらに有し、
前記認証情報格納部は、ユーザに対して設定された有効期間を、前記認証情報の一部として格納し、
前記認証部は、ユーザに対して設定された有効期間に従って、ユーザ認証を行う
請求項1に記載の情報処理システム。
【請求項3】
ユーザの前記有効期間は、各ユーザが前記利用システムの運用業務又は保守業務を担当する期間である請求項2に記載の情報処理システム。
【請求項4】
共用される秘密情報と、ユーザIDとに関連付けて、各ユーザによる秘密情報の利用履歴を格納する履歴格納部をさらに有する請求項1に記載の情報処理システム。
【請求項5】
前記認証情報格納部に格納される認証情報の追加、変更、又は削除を行う権限編集部をさらに有し、
前記認証部は、前記権限編集部により追加、変更又は削除された認証情報に基づいて、ユーザ認証を行う
請求項1に記載の情報処理システム。
【請求項6】
コンピュータが、共用される秘密情報から、複数の分散片データを生成するステップと、コンピュータが、生成された分散片データを、複数の記録装置に分散して格納するステップと、
コンピュータが、前記秘密情報に関連付けて、認証情報を登録するステップと、
コンピュータが、登録された認証情報に基づいて、ユーザ認証を行うステップと、
コンピュータが、前記ユーザ認証に成功したことを条件として、関連付けられた秘密情報の分散片データを前記記録装置から取得するステップと、
コンピュータが、取得された分散片データを用いて、利用システムにログインするステップと
を有する情報処理方法。
【請求項7】
共用される秘密情報から、複数の分散片データを生成するステップと、生成された分散片データを、複数の記録装置に分散して格納するステップと、
前記秘密情報に関連付けて、認証情報を登録するステップと、
登録された認証情報に基づいて、ユーザ認証を行うステップと、
前記ユーザ認証に成功したことを条件として、関連付けられた秘密情報の分散片データを前記記録装置から取得するステップと、
取得された分散片データを用いて、利用システムにログインするステップと
をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理システム、情報処理方法、及びプログラムに関するものである。
【背景技術】
【0002】
例えば、特許文献1には、パスワードは、複数の分割パスワードを所定の連結順序に組み合わせた構成とされ、複数の分割パスワード及び連結順序を複数の利用者に対応づけて管理することを特徴とするパスワード管理方法が開示されている。
【0003】
特許文献2には、ユーザー側端末が、管理サーバーと複数のアプリケーションサービスプロバイダ(以下「ASP」という)に、通信手段を介して個別に接続する一方、管理サーバーには、ユーザーの表認証情報とその表認証情報に対応した1または複数の裏認証情報とを記憶する管理データ登録部と、個別のASPに対応させたログイン用のスクリプトを記憶するためのスクリプト記憶部と、ユーザー側端末に接続する入出力部と、入出力部に連携する処理部とを備え、この処理部は、ユーザー側末側から特定のASPを選択する信号が入力したとき、ASPに対応するログイン用のスクリプトと裏認証情報とをユーザー側端末にダウンロードさせる機能を備え、ユーザー側端末は、ダウンロードされたスクリプトと裏認証情報とに基づいて目的のASPに自動的に接続し、ログインする機能を備えたASP管理システムが開示されている。
【0004】
特許文献3には、パスワード文字列を生成するパスワード文字列生成手段と、生成された前記パスワード文字列を複数の部分的なパスワード文字列情報に分割する文字列分割手段と、分割された前記部分的なパスワード文字列情報のそれぞれをウェブサーバの異なるアドレスに登録する登録手段と、前記分割した部分的なパスワード文字列情報のそれぞれを前記ウェブサーバ上で参照するためのアドレス情報を個別に通知する通知手段と、前記分割した部分的なパスワード文字列情報のうちの1つについては、それ以外の部分的なパスワード文字列情報の入力を条件として前記ウェブサーバ上での参照を認める認証機構とを有することを特徴とするパスワード情報通知システムが開示されている。
【0005】
特許文献4には、認証連携サーバと端末装置とを備える認証連携システムであって、所定のサービスを提供するサービス提供サーバにおけるユーザに対する認証に用いられる認証情報から秘密分散技術により生成された複数の断片データのうち少なくとも2つの前記断片データから前記認証情報を復号する復号部と、前記復号部により復号された前記認証情報を用いて前記サービス提供サーバにユーザに対する認証を要求する認証代行部とを備え、前記断片データは、前記認証連携サーバと、ユーザが指定する前記認証連携サーバ以外の記憶領域とに記憶され、前記復号部は、ユーザが前記端末装置から前記サービス提供サーバへアクセスする際に、前記認証連携サーバに記憶された断片データと、前記記憶領域に記憶された断片データとから前記認証情報を復号することを特徴とする認証連携システムが開示されている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2007-219630
【文献】特開2002-328904
【文献】特開2006-065708
【文献】特開2016-153951
【発明の概要】
【発明が解決しようとする課題】
【0007】
ログインに必要な秘密情報を簡便に共用できる情報処理システムを提供する。
【課題を解決するための手段】
【0008】
本発明に係る情報処理システムは、共用される秘密情報を格納する秘密情報格納部と、前記秘密情報に関連付けて、認証情報を格納する認証情報格納部と、前記認証情報格納部に格納されている認証情報に基づいて、ユーザ認証を行う認証部と、前記認証部によるユーザ認証に成功したことを条件として、関連付けられた秘密情報を取得する取得部と、前記取得部により取得された秘密情報を用いて、利用システムにログインするログイン部とを有する。
【0009】
好適には、前記秘密情報から、複数の分散片データを生成する分散化部をさらに有し、前記秘密情報格納部は、互いに異なる場所に配置された複数の記録装置を含み、前記分散化部により生成された分散片データは、複数の前記記録装置に分散して格納されている。
【0010】
好適には、前記利用システムにおける秘密情報の変更に応じて、前記秘密情報格納部に格納されている秘密情報を定期的に更新する秘密情報更新部をさらに有し、前記認証情報格納部は、ユーザに対して設定された有効期間を、前記認証情報の一部として格納し、前記認証部は、ユーザに対して設定された有効期間に従って、ユーザ認証を行う。
好適には、ユーザの前記有効期間は、各ユーザが前記利用システムの運用業務又は保守業務を担当する期間である。
好適には、ユーザの前記有効期間は、各ユーザが前記利用システムの運用業務又は保守業務を担当する期間である。
【0011】
好適には、共用される秘密情報と、ユーザIDとに関連付けて、各ユーザによる秘密情報の利用履歴を格納する履歴格納部をさらに有する。
【0012】
好適には、前記認証情報格納部に格納される認証情報の追加、変更、又は削除を行う権限編集部をさらに有し、前記認証部は、前記権限編集部により追加、変更又は削除された認証情報に基づいて、ユーザ認証を行う。
【0013】
また、本発明に係る情報処理方法は、共用される秘密情報を登録するステップと、登録された秘密情報に関連付けて、認証情報を登録するステップと、登録された認証情報に基づいて、ユーザ認証を行うステップと、前記ユーザ認証に成功したことを条件として、前記認証情報に関連付けられた秘密情報を取得するステップと、取得された秘密情報を用いて、利用システムにログインするステップとを有する。
【0014】
また、本発明に係るプログラムは、共用される秘密情報を登録するステップと、登録された秘密情報に関連付けて、認証情報を登録するステップと、登録された認証情報に基づいて、ユーザ認証を行うステップと、前記ユーザ認証に成功したことを条件として、前記認証情報に関連付けられた秘密情報を取得するステップと、取得された秘密情報を用いて、利用システムにログインするステップとをコンピュータに実行させる。
【発明の効果】
【0015】
ログインに必要な秘密情報を簡便に共用できる。
【図面の簡単な説明】
【0016】
【図1】情報処理システム1の全体構成を例示する図である。
【図2】秘密管理サーバ2のハードウェア構成を例示する図である。
【図3】ユーザ端末4のハードウェア構成を例示する図である。
【図4】秘密管理サーバ2及びユーザ端末4の機能構成を例示する図である。
【図5】情報処理システム1における秘密登録処理(S10)を説明するシーケンス図である。
【図6】情報処理システム1における秘密管理処理(S20)を説明するシーケンス図である。
【図7】情報処理システム1における自動ログイン処理(S30)を説明するシーケンス図である。
【図8】変形例1における秘密管理サーバ2及びユーザ端末4の機能構成を例示する図である。
【図9】変形例1におけるユーザ認証の認証情報を例示する図である。
【発明を実施するための形態】
【0017】
(背景と概要)
システムやサービスにログインする際には、パスワードなどの秘密情報が必要になる。システムやサービスのアカウントを共用する場合には、パスワードなどの秘密情報を共用する必要があるが、秘密情報の管理が甘くなり、セキュリティ上の問題が発生する。例えば、共用されるアカウントを実際に誰が利用したのか不明確になりがちである。また、共用するユーザが覚えやすいように、安易なパスワード設定になりがちであり、さらには、パスワードを変更しなくなり固定化する傾向にある。アカウントを共用したユーザから、パスワード等が漏洩するリスクがある。特に、システムの運用管理を業務として請負っている場合には、お客様のシステムにログインするためのパスワードが対象となり、厳重に管理する必要がある。
システムやサービスにログインする際には、パスワードなどの秘密情報が必要になる。システムやサービスのアカウントを共用する場合には、パスワードなどの秘密情報を共用する必要があるが、秘密情報の管理が甘くなり、セキュリティ上の問題が発生する。例えば、共用されるアカウントを実際に誰が利用したのか不明確になりがちである。また、共用するユーザが覚えやすいように、安易なパスワード設定になりがちであり、さらには、パスワードを変更しなくなり固定化する傾向にある。アカウントを共用したユーザから、パスワード等が漏洩するリスクがある。特に、システムの運用管理を業務として請負っている場合には、お客様のシステムにログインするためのパスワードが対象となり、厳重に管理する必要がある。
【0018】
そこで、本実施形態の情報処理システム1では、利用システムの秘密情報(パスワード)をユーザに直接教えることなく、秘密情報にアクセスするためのユーザ認証を実施し、認証に成功した場合に、秘密情報を取得して利用システムに自動ログインするよう構成した。これにより、ユーザは、共用される秘密情報を知ることなく、個別に設定したユーザ認証の認証情報に基づいて、利用システムにログインできる。利用システムの秘密情報が頻繁に変更されても、各ユーザの認証情報を変更しない限り、継続して利用システムにログインすることができ、利用システムのセキュリティレベルが向上する。
また、本情報処理システム1では、秘密情報(パスワード)は、秘密分散法により分散片データとして互いに異なるストレージに保存されており、セキュアな状態で高い可用性が実現できる。さらに、秘密情報の利用履歴が管理され、不正ログイン等の検証が容易になる。
また、本情報処理システム1では、秘密情報(パスワード)は、秘密分散法により分散片データとして互いに異なるストレージに保存されており、セキュアな状態で高い可用性が実現できる。さらに、秘密情報の利用履歴が管理され、不正ログイン等の検証が容易になる。
【0019】
(実施形態)
図1は、情報処理システム1の全体構成を例示する図である。
図1に例示するように、情報処理システム1は、秘密管理サーバ2と、ユーザ端末4と、利用サーバ9とを含み、これらの構成がネットワーク8を介して互いに接続している。
秘密管理サーバ2は、利用システム9の秘密情報を管理するコンピュータ端末である。本例の秘密管理サーバ2は、ユーザ端末4のユーザ認証を行い、ユーザ認証に成功した場合に、利用システム9の秘密情報(パスワード)の分散片データをユーザ端末4に提供する。
図1は、情報処理システム1の全体構成を例示する図である。
図1に例示するように、情報処理システム1は、秘密管理サーバ2と、ユーザ端末4と、利用サーバ9とを含み、これらの構成がネットワーク8を介して互いに接続している。
秘密管理サーバ2は、利用システム9の秘密情報を管理するコンピュータ端末である。本例の秘密管理サーバ2は、ユーザ端末4のユーザ認証を行い、ユーザ認証に成功した場合に、利用システム9の秘密情報(パスワード)の分散片データをユーザ端末4に提供する。
【0020】
ユーザ端末4は、ユーザが操作するコンピュータ端末である。本例では、複数のユーザ端末4(ユーザ端末4A及びユーザ端末4B)が、それぞれ異なるユーザにより利用され、利用サーバ9にログインして、利用システム9の運用管理を実施する。
【0021】
利用サーバ9は、共用される秘密情報を用いてログインされる利用システムを構成している。本例の利用サーバ9は、複数のユーザにより運用管理されている顧客のサーバ装置である。なお、本例では、複数のユーザが利用サーバ9を運用管理する場合を具体例として説明するが、これに限定されるものはない。
【0022】
図2は、秘密管理サーバ2のハードウェア構成を例示する図である。
図2に例示するように、秘密管理サーバ2は、CPU200、メモリ202、HDD204、ネットワークインタフェース206(ネットワークIF206)、表示装置208、及び入力装置210を有し、これらの構成はバス212を介して互いに接続している。
CPU200は、例えば、中央演算装置である。
メモリ202は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD204は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラム(例えば、図4のサーバプログラム300)やその他のデータファイルを格納する。
ネットワークIF206は、有線又は無線で通信するためのインタフェースである。
表示装置208は、例えば、液晶ディスプレイである。
入力装置210は、例えば、キーボード及びマウスである。
図2に例示するように、秘密管理サーバ2は、CPU200、メモリ202、HDD204、ネットワークインタフェース206(ネットワークIF206)、表示装置208、及び入力装置210を有し、これらの構成はバス212を介して互いに接続している。
CPU200は、例えば、中央演算装置である。
メモリ202は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD204は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラム(例えば、図4のサーバプログラム300)やその他のデータファイルを格納する。
ネットワークIF206は、有線又は無線で通信するためのインタフェースである。
表示装置208は、例えば、液晶ディスプレイである。
入力装置210は、例えば、キーボード及びマウスである。
【0023】
図3は、ユーザ端末4のハードウェア構成を例示する図である。
図3に例示するように、ユーザ端末4は、CPU400、メモリ402、HDD404、ネットワークインタフェース406(ネットワークIF406)、表示装置408、及び入力装置410を有し、これらの構成はバス412を介して互いに接続している。
CPU400は、例えば、中央演算装置である。
メモリ402は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD404は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラム(例えば、図4のユーザプログラム500)やその他のデータファイルを格納する。
ネットワークIF406は、有線又は無線で通信するためのインタフェースである。
表示装置408は、例えば、液晶ディスプレイである。
入力装置410は、例えば、キーボード及びマウスである。
図3に例示するように、ユーザ端末4は、CPU400、メモリ402、HDD404、ネットワークインタフェース406(ネットワークIF406)、表示装置408、及び入力装置410を有し、これらの構成はバス412を介して互いに接続している。
CPU400は、例えば、中央演算装置である。
メモリ402は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD404は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラム(例えば、図4のユーザプログラム500)やその他のデータファイルを格納する。
ネットワークIF406は、有線又は無線で通信するためのインタフェースである。
表示装置408は、例えば、液晶ディスプレイである。
入力装置410は、例えば、キーボード及びマウスである。
【0024】
図4は、秘密管理サーバ2及びユーザ端末4の機能構成を例示する図である。
図4に例示するように、秘密管理サーバ2には、サーバプログラム300がインストールされ、HDD404内に認証情報格納部360及びログ情報格納部370が構成されている。さらに、秘密管理サーバ2には、物理的に異なる外部ストレージが2台接続されており、これらのストレージにそれぞれ秘密情報格納部350A及び秘密情報格納部350Bが構成されている。
また、ユーザ端末4には、ユーザプログラム500がインストールされている。
サーバプログラム300及びユーザプログラム500は、例えば、CD-ROM等の記録媒体に格納されており、この記録媒体を介して、秘密管理サーバ2及びユーザ端末4にそれぞれインストールされる。
なお、サーバプログラム300及びユーザプログラム500の一部又は全部は、ASICなどのハードウェアにより実現されてもよい。また、サーバプログラム300及びユーザプログラム500の一部又は全部は、OS(Operating System)の機能を一部借用して実現されてもよい。
図4に例示するように、秘密管理サーバ2には、サーバプログラム300がインストールされ、HDD404内に認証情報格納部360及びログ情報格納部370が構成されている。さらに、秘密管理サーバ2には、物理的に異なる外部ストレージが2台接続されており、これらのストレージにそれぞれ秘密情報格納部350A及び秘密情報格納部350Bが構成されている。
また、ユーザ端末4には、ユーザプログラム500がインストールされている。
サーバプログラム300及びユーザプログラム500は、例えば、CD-ROM等の記録媒体に格納されており、この記録媒体を介して、秘密管理サーバ2及びユーザ端末4にそれぞれインストールされる。
なお、サーバプログラム300及びユーザプログラム500の一部又は全部は、ASICなどのハードウェアにより実現されてもよい。また、サーバプログラム300及びユーザプログラム500の一部又は全部は、OS(Operating System)の機能を一部借用して実現されてもよい。
【0025】
図4に例示するように、サーバプログラム300は、利用者認証部302、分散化部304、分散片取得部306、及び履歴管理部308を有する。なお、認証情報格納部360は、ユーザ端末4から登録されたユーザ認証の認証情報を格納する。また、ログ情報格納部370は、履歴管理部308により収集された履歴情報を格納する。
【0026】
サーバプログラム300において、利用者認証部302は、秘密情報に関連付けて認証情報格納部360に格納されている認証情報に基づいて、ユーザ認証を行う。本例の利用者認証部302は、ユーザ端末4から受信した認証情報と、認証情報格納部360に格納されている認証情報とに基づいて、ユーザ認証を行う。
【0027】
分散化部304は、秘密情報から、複数の分散片データを生成する。例えば、分散化部304は、秘密分散法を用いて、秘密情報を復号するための複数の分散片データを生成する。秘密分散法は、例えば、(k,n)しきい値法である。本例の分散化部304は、利用サーバ9のパスワード(秘密情報)から、複数の分散片データを生成する。
【0028】
分散片取得部306は、利用者認証部302によるユーザ認証に成功したことを条件として、関連付けられた秘密情報を取得する。例えば、分散片取得部306は、利用者認証部302によるユーザ認証に成功した場合にのみ、互いに異なる場所に設置された複数のストレージ(記録装置)から、分散片データを取得する。本例の分散片取得部306は、利用者認証部302によるユーザ認証に成功した場合にのみ、秘密情報格納部350A及び秘密情報格納部350Bから、それぞれ分散片データを読み出し、読み出された分散片データをユーザ端末4に送信する。
【0029】
履歴管理部308は、共用される秘密情報の利用状況を監視し、秘密情報と、ユーザIDとに関連付けて、各ユーザによる秘密情報の利用履歴をログ情報格納部370に登録する。本例の履歴管理部308は、分散片取得部306により分散片データが読み出された場合に、分散片データの送信先であるユーザのユーザIDと、送信日時と、分散片データに対応する秘密情報の識別情報とを互いに関連付けてログ情報格納部370に登録する。
【0030】
また、図4に例示するように、ユーザプログラム500は、秘密情報登録部502、認証情報登録部504、秘密情報要求部506、秘密情報復元部508、自動ログイン部510、履歴通知部512、及び権限編集部514を有する。
【0031】
ユーザプログラム500において、秘密情報登録部502は、共用される秘密情報を秘密管理サーバ2に登録する。本例の秘密情報登録部502は、利用サーバ9にログインするためのパスワードを秘密管理サーバ2に登録する。
【0032】
認証情報登録部504は、秘密情報に関連付けて、この秘密情報を共用するユーザの認証情報を秘密管理サーバ2に登録する。本例の認証情報登録部504は、利用サーバ9のパスワードに関連付けて、このパスワードを共用するユーザの認証情報(ユーザID及びパスワード)を認証情報格納部360に登録する。
【0033】
秘密情報要求部506は、秘密管理サーバ2に対して、利用システムにログインするための秘密情報を要求する。本例の秘密情報要求部506は、秘密管理サーバ2に対して、秘密情報の識別情報と、ユーザIDと、ユーザ認証のパスワードとを秘密管理サーバ2に送信して、秘密情報を要求する。
【0034】
秘密情報復元部508は、分散片取得部306により取得された分散片データに基づいて、秘密情報を復元する。本例の秘密情報復元部508は、秘密管理サーバ2から受信した2つの分散片データに基づいて、利用サーバ9のパスワードを復号する。
【0035】
自動ログイン部510は、分散片取得部306により取得された分散片データに基づいて、利用システムにログインする。例えば、自動ログイン部510は、分散片取得部306により取得された分散片データに基づいて、秘密情報を復号し、復号された秘密情報を表示することなく、自動的に秘密情報を入力し利用システムにログインする。本例の自動ログイン部510は、秘密情報復元部508により復号されたパスワードを用いて、利用サーバ9に自動的にログインする。
【0036】
履歴通知部512は、秘密情報の利用履歴を秘密管理サーバ2に通知する。本例の履歴通知部512は、秘密管理サーバ2から受信した秘密情報(分散片データ)を用いて利用サーバ9にログインした場合に、ログインした日時、及び、ログアウトした日時を履歴管理部308に通知する。
【0037】
権限編集部514は、認証情報格納部360に格納される認証情報の追加、変更、又は削除を行う。本例の権限編集部514は、秘密情報に関連付けて登録されているユーザの認証情報を、追加、変更又は削除する。
【0038】
図5は、情報処理システム1における秘密登録処理(S10)を説明するシーケンス図である。秘密登録処理(S10)は、共用される秘密情報を新規登録する処理である。
図5に例示するように、ステップ100(S100)において、ユーザ端末4の秘密情報登録部502(図4)は、秘密管理サーバ2に対して、ユーザID及びパスワードを送信して、ユーザ認証を要求する。
ステップ105(S105)において、秘密管理サーバ2の利用者認証部302は、ユーザ端末4から受信したユーザID及びパスワードに基づいて、ユーザ認証を行い、ユーザ認証に成功した場合に、S110の処理に移行する。なお、ユーザ認証に失敗した場合に、秘密管理サーバ2は、その旨をユーザ端末4に通知して、秘密登録処理(S10)を終了する。
図5に例示するように、ステップ100(S100)において、ユーザ端末4の秘密情報登録部502(図4)は、秘密管理サーバ2に対して、ユーザID及びパスワードを送信して、ユーザ認証を要求する。
ステップ105(S105)において、秘密管理サーバ2の利用者認証部302は、ユーザ端末4から受信したユーザID及びパスワードに基づいて、ユーザ認証を行い、ユーザ認証に成功した場合に、S110の処理に移行する。なお、ユーザ認証に失敗した場合に、秘密管理サーバ2は、その旨をユーザ端末4に通知して、秘密登録処理(S10)を終了する。
【0039】
ステップ110(S110)において、利用者認証部302は、ユーザ認証に成功した旨をユーザ端末4に返信する。
ステップ115(S115)において、ユーザ端末4の秘密情報登録部502は、新規登録する秘密情報の入力を受け付ける。
ステップ115(S115)において、ユーザ端末4の秘密情報登録部502は、新規登録する秘密情報の入力を受け付ける。
【0040】
ステップ120(S120)において、秘密情報登録部502は、入力された秘密情報(本例では、利用サーバ9にログインするためのパスワード)を、秘密管理サーバ2にアップロードする。
ステップ125(S125)において、秘密管理サーバ2の分散化部304は、秘密情報登録部502からアップロードされた秘密情報から、この秘密情報を復元するための複数の分散片データを生成する。
ステップ125(S125)において、秘密管理サーバ2の分散化部304は、秘密情報登録部502からアップロードされた秘密情報から、この秘密情報を復元するための複数の分散片データを生成する。
【0041】
ステップ130(S130)において、分散化部304は、生成された複数の分散片データを、秘密情報格納部350A及び秘密情報格納部350Bに分散して保存する。
ステップ135(S135)において、秘密情報格納部350A及び秘密情報格納部350Bは、それぞれ秘密管理サーバ2に、分散片データの保存処理結果を通知する。
ステップ135(S135)において、秘密情報格納部350A及び秘密情報格納部350Bは、それぞれ秘密管理サーバ2に、分散片データの保存処理結果を通知する。
【0042】
ステップ140(S140)において、分散化部304は、分散片メタデータを生成し保存する。その際に、分散化部304は、秘密情報の新規登録を要求したユーザに対して、この秘密情報の管理者権限を付与し、分散片データに関連付けて、ユーザ認証のユーザID及びパスワードを認証情報格納部360に登録する。秘密情報の管理者権限には、秘密情報の利用者権限を追加、変更、及び削除する権限が含まれる。
ステップ145(S145)において、分散化部304は、秘密情報の分散処理結果をユーザ端末4に通知する。
このように、秘密情報が新規登録される際に、秘密情報は分散片データに分割され、この分散片データにアクセス可能な管理者権限が設定される。
ステップ145(S145)において、分散化部304は、秘密情報の分散処理結果をユーザ端末4に通知する。
このように、秘密情報が新規登録される際に、秘密情報は分散片データに分割され、この分散片データにアクセス可能な管理者権限が設定される。
【0043】
図6は、情報処理システム1における秘密管理処理(S20)を説明するシーケンス図である。秘密管理処理(S20)は、登録された秘密情報を共用するユーザの追加登録又は変更、或いは、秘密情報の削除を行う処理である。なお、本例では、秘密情報を共用するユーザの追加登録又は変更を行った後で、秘密情報の削除を行う場合を具体例として説明しているが、これに限定されるものではない。
【0044】
図6に例示するように、ステップ200(S200)において、ユーザ端末4の権限編集部514(図4)は、秘密管理サーバ2に対して、管理者権限のユーザID及びパスワードを送信して、ユーザ認証を要求する。
ステップ205(S205)において、秘密管理サーバ2の利用者認証部302は、ユーザ端末4から受信したユーザID及びパスワードに基づいて、ユーザ認証を行い、ユーザ認証に成功した場合に、S210の処理に移行する。なお、ユーザ認証に失敗した場合に、秘密管理サーバ2は、その旨をユーザ端末4に通知して、秘密管理処理(S20)を終了する。
ステップ205(S205)において、秘密管理サーバ2の利用者認証部302は、ユーザ端末4から受信したユーザID及びパスワードに基づいて、ユーザ認証を行い、ユーザ認証に成功した場合に、S210の処理に移行する。なお、ユーザ認証に失敗した場合に、秘密管理サーバ2は、その旨をユーザ端末4に通知して、秘密管理処理(S20)を終了する。
【0045】
ステップ210(S210)において、利用者認証部302は、ユーザ認証に成功した旨をユーザ端末4に返信する。
ステップ215(S215)において、ユーザ端末4の権限編集部514は、管理対象となる秘密情報の一覧を、秘密管理サーバ2に要求する。
ステップ220(S220)において、秘密管理サーバ2は、管理対象となる秘密情報の一覧をユーザ端末4に返信する。
ステップ215(S215)において、ユーザ端末4の権限編集部514は、管理対象となる秘密情報の一覧を、秘密管理サーバ2に要求する。
ステップ220(S220)において、秘密管理サーバ2は、管理対象となる秘密情報の一覧をユーザ端末4に返信する。
【0046】
ステップ225(S225)において、ユーザ端末4の権限編集部514は、管理対象となる秘密情報のうち、ユーザにより選択された秘密情報の明細を、秘密管理サーバ2に要求する。
ステップ230(S230)において、秘密管理サーバ2は、ユーザにより選択された秘密情報の明細をユーザ端末4に返信する。
ステップ230(S230)において、秘密管理サーバ2は、ユーザにより選択された秘密情報の明細をユーザ端末4に返信する。
【0047】
ステップ235(S235)において、ユーザ端末4の権限編集部514は、選択した秘密情報に関して、共用するユーザの追加又は変更するための編集データの入力を受け付ける。
ステップ240(S240)において、権限編集部514は、入力された編集データ(追加されるユーザのユーザID及びパスワード、又は、変更後のユーザのユーザID及びパスワード)を秘密管理サーバ2にアップロードして、秘密情報に関連付けられた認証情報の更新を要求する。
ステップ240(S240)において、権限編集部514は、入力された編集データ(追加されるユーザのユーザID及びパスワード、又は、変更後のユーザのユーザID及びパスワード)を秘密管理サーバ2にアップロードして、秘密情報に関連付けられた認証情報の更新を要求する。
【0048】
ステップ245(S245)において、秘密管理サーバ2の利用者認証部302は、権限編集部514からアップロードされた編集データに従って、分散片メタデータを更新する。その際に、秘密情報に関連付けられるユーザID及びパスワードが、編集データに従って、追加又は変更される。
ステップ250(S250)において、利用者認証部302は、更新結果をユーザ端末4に通知する。
ステップ250(S250)において、利用者認証部302は、更新結果をユーザ端末4に通知する。
【0049】
ステップ255(S255)において、ユーザ端末4の権限編集部514は、秘密管理サーバ2に対して、管理対象となっている秘密情報の削除を要求する。
ステップ260(S260)において、秘密管理サーバ2は、ユーザ端末4からの要求に応じて、秘密情報格納部350A及び秘密情報格納部350Bに格納されている分散片データをそれぞれ削除するよう指示する。
ステップ265(S265)において、秘密情報格納部350A及び秘密情報格納部350Bは、それぞれ秘密管理サーバ2に、分散片データの削除結果を通知する。
ステップ260(S260)において、秘密管理サーバ2は、ユーザ端末4からの要求に応じて、秘密情報格納部350A及び秘密情報格納部350Bに格納されている分散片データをそれぞれ削除するよう指示する。
ステップ265(S265)において、秘密情報格納部350A及び秘密情報格納部350Bは、それぞれ秘密管理サーバ2に、分散片データの削除結果を通知する。
【0050】
ステップ270(S270)において、利用者認証部302は、分散片データが削除された旨を示す分散片メタデータを生成し保存する。
ステップ275(S275)において、秘密管理サーバ2は、秘密情報の分散片データが正常に削除された旨をユーザ端末4に通知する。
このように、利用サーバ9の秘密情報やそのメタデータを変更することなく、この秘密情報を共用するユーザの追加、変更及び削除を行うことができる。また、秘密情報自体の削除も可能である。
ステップ275(S275)において、秘密管理サーバ2は、秘密情報の分散片データが正常に削除された旨をユーザ端末4に通知する。
このように、利用サーバ9の秘密情報やそのメタデータを変更することなく、この秘密情報を共用するユーザの追加、変更及び削除を行うことができる。また、秘密情報自体の削除も可能である。
【0051】
図7は、情報処理システム1における自動ログイン処理(S30)を説明するシーケンス図である。自動ログイン処理(S30)は、共用される秘密情報を用いて利用サーバ9にログインする処理である。
図7に例示するように、ステップ300(S300)において、ユーザ端末4は、ユーザの操作に応じて、自動ログイン部510を起動させると、利用サーバ9に接続するための接続用アプリを起動させる。
ステップ305(S305)において、接続用アプリは、利用サーバ9に接続して、利用サーバ9のログイン画面を表示する。
図7に例示するように、ステップ300(S300)において、ユーザ端末4は、ユーザの操作に応じて、自動ログイン部510を起動させると、利用サーバ9に接続するための接続用アプリを起動させる。
ステップ305(S305)において、接続用アプリは、利用サーバ9に接続して、利用サーバ9のログイン画面を表示する。
【0052】
ステップ310(S310)において、ユーザ端末4の秘密情報要求部506(図4)は、秘密管理サーバ2に対して、ユーザID及びパスワードを送信して、ユーザ認証を要求する。
ステップ315(S315)において、秘密管理サーバ2の利用者認証部302は、ユーザ端末4から受信したユーザID及びパスワードに基づいて、ユーザ認証を行い、ユーザ認証に成功した場合に、S320の処理に移行する。なお、ユーザ認証に失敗した場合に、秘密管理サーバ2は、その旨をユーザ端末4に通知して、自動ログイン処理(S30)を終了する。
ステップ315(S315)において、秘密管理サーバ2の利用者認証部302は、ユーザ端末4から受信したユーザID及びパスワードに基づいて、ユーザ認証を行い、ユーザ認証に成功した場合に、S320の処理に移行する。なお、ユーザ認証に失敗した場合に、秘密管理サーバ2は、その旨をユーザ端末4に通知して、自動ログイン処理(S30)を終了する。
【0053】
ステップ320(S320)において、利用者認証部302は、ユーザ認証に成功した旨をユーザ端末4に返信する。
ステップ325(S325)において、ユーザ端末4の秘密情報要求部502は、秘密情報の識別情報(データID)を秘密管理サーバ2に送信して、秘密情報を要求する。
ステップ325(S325)において、ユーザ端末4の秘密情報要求部502は、秘密情報の識別情報(データID)を秘密管理サーバ2に送信して、秘密情報を要求する。
【0054】
ステップ330(S330)において、分散片取得部306は、分散片メタデータを参照して、受信した秘密情報の識別情報(データID)と、利用者認証部302によるユーザ認証の結果とに基づいて、取得すべき分散片データを特定する。
ステップ335(S335)において、分散片取得部306は、秘密情報格納部350A及び秘密情報格納部350Bに接続して、特定された分散片データにアクセスする。
ステップ335(S335)において、分散片取得部306は、秘密情報格納部350A及び秘密情報格納部350Bに接続して、特定された分散片データにアクセスする。
【0055】
ステップ340(S340)において、分散片取得部306は、秘密情報格納部350A及び秘密情報格納部350Bから、それぞれ分散片データを取得する。
ステップ345(S345)において、分散片取得部306は、取得した2つの分散片データをユーザ端末4に送信する。
ステップ345(S345)において、分散片取得部306は、取得した2つの分散片データをユーザ端末4に送信する。
【0056】
ステップ350(S350)において、ユーザ端末4の秘密情報復元部508は、秘密管理サーバ2から受信した2つの分散片データに基づいて、利用サーバ9の秘密情報(パスワード)を復元する。
ステップ355(S355)において、自動ログイン部510は、復元された秘密情報(パスワード)を表示することなく、利用サーバ9のログイン画面に入力する。
ステップ355(S355)において、自動ログイン部510は、復元された秘密情報(パスワード)を表示することなく、利用サーバ9のログイン画面に入力する。
【0057】
ステップ360(S360)において、自動ログイン部510は、接続用アプリを介して、入力された秘密情報(パスワード)を利用サーバ9に送信する。
ステップ365(S365)において、利用サーバ9は、受信した秘密情報(パスワード)に基づいて、ユーザ端末4のログイン認証を行う。
ステップ365(S365)において、利用サーバ9は、受信した秘密情報(パスワード)に基づいて、ユーザ端末4のログイン認証を行う。
【0058】
ステップ370(S370)において、利用サーバ9は、ログイン認証の結果をユーザ端末4に通知する。
ステップ375(S375)において、ユーザ端末4の履歴通知部512は、利用サーバ9にログインした日時を秘密管理サーバ2に通知する。
ステップ380(S380)において、秘密管理サーバ2の履歴管理部308は、ユーザ端末4から通知されたログイン日時を、ログ情報格納部370に登録する。なお、ユーザ端末4が利用サーバ9からログアウトした際も同様に、ログアウト日時が秘密管理サーバ2に通知され、ログ情報格納部370に登録される。
ステップ375(S375)において、ユーザ端末4の履歴通知部512は、利用サーバ9にログインした日時を秘密管理サーバ2に通知する。
ステップ380(S380)において、秘密管理サーバ2の履歴管理部308は、ユーザ端末4から通知されたログイン日時を、ログ情報格納部370に登録する。なお、ユーザ端末4が利用サーバ9からログアウトした際も同様に、ログアウト日時が秘密管理サーバ2に通知され、ログ情報格納部370に登録される。
【0059】
このように、利用サーバ9の秘密情報が表示されることなく、ユーザ認証の結果に応じて、利用サーバ9への自動ログインが実現される。さらに、利用サーバ9のログイン日時及びログアウト日時がログ情報格納部370に蓄積されていく。
【0060】
以上説明したように、本実施形態の情報処理システム1では、利用サーバ9の秘密情報(パスワード)が秘密分散法によりセキュアな状態で保存され、ユーザ認証によって複数のユーザにより秘密情報が共用される。
また、本実施形態の情報処理システム1では、利用サーバ9の秘密情報に影響を与えることなく、この秘密情報を共用するユーザの追加や変更、及び、ユーザ認証に用いるパスワードの変更等が可能になる。
また、本実施形態の情報処理システム1では、秘密情報の利用状況がログとして管理されるため、利用サーバ9への不正ログイン等を捕捉可能となる。
また、本実施形態の情報処理システム1では、利用サーバ9の秘密情報に影響を与えることなく、この秘密情報を共用するユーザの追加や変更、及び、ユーザ認証に用いるパスワードの変更等が可能になる。
また、本実施形態の情報処理システム1では、秘密情報の利用状況がログとして管理されるため、利用サーバ9への不正ログイン等を捕捉可能となる。
【0061】
(変形例1)
次に、上記実施形態の変形例1を説明する。
図8は、変形例1における秘密管理サーバ2及びユーザ端末4の機能構成を例示する図である。なお、本図に示された各構成のうち、図4に示された構成と実質的に同一のものには、同一の符号が付されている。
図8に例示するように、変形例1のサーバプログラム330は、図4のサーバプログラム300に、秘密更新検知部332及び秘密情報更新部334を追加した構成をとる。
秘密更新検知部332は、利用システムにおける秘密情報の更新を検知する。本例の秘密更新検知部332は、利用サーバ9の秘密情報(パスワード)の定期的更新を検知する。
秘密情報更新部334は、秘密更新検知部332により秘密情報の更新が検知されると、利用システムにおける秘密情報の変更に応じて、秘密情報格納部350に格納されている秘密情報を更新する。本例の秘密情報更新部334は、秘密更新検知部332により秘密情報の更新が検知されると、更新された秘密情報から分散片データを生成するよう分散化部304に指示し、生成された分散片データを秘密情報格納部350に登録する。
すなわち、変形例1では、利用サーバ9が定期的に秘密情報(パスワード)を変更し、秘密管理サーバ2は、これに同期して、秘密情報格納部350に格納される分散片データを更新する。
次に、上記実施形態の変形例1を説明する。
図8は、変形例1における秘密管理サーバ2及びユーザ端末4の機能構成を例示する図である。なお、本図に示された各構成のうち、図4に示された構成と実質的に同一のものには、同一の符号が付されている。
図8に例示するように、変形例1のサーバプログラム330は、図4のサーバプログラム300に、秘密更新検知部332及び秘密情報更新部334を追加した構成をとる。
秘密更新検知部332は、利用システムにおける秘密情報の更新を検知する。本例の秘密更新検知部332は、利用サーバ9の秘密情報(パスワード)の定期的更新を検知する。
秘密情報更新部334は、秘密更新検知部332により秘密情報の更新が検知されると、利用システムにおける秘密情報の変更に応じて、秘密情報格納部350に格納されている秘密情報を更新する。本例の秘密情報更新部334は、秘密更新検知部332により秘密情報の更新が検知されると、更新された秘密情報から分散片データを生成するよう分散化部304に指示し、生成された分散片データを秘密情報格納部350に登録する。
すなわち、変形例1では、利用サーバ9が定期的に秘密情報(パスワード)を変更し、秘密管理サーバ2は、これに同期して、秘密情報格納部350に格納される分散片データを更新する。
【0062】
図9は、変形例1におけるユーザ認証の認証情報を例示する図である。
図9に例示するように、変形例1の利用者認証部302は、ユーザID、ユーザ認証のパスワード、及び、有効期間を互いに関連付けて認証情報格納部360に登録する。認証情報格納部360に格納される有効期間は、例えば、各ユーザ(担当者)が利用サーバ9の運用業務又は保守業務を担当する期間である。
秘密情報が定期的に変更されることによって、仮に、秘密情報がユーザ端末4上に残っていたとしても、有効期限外のユーザであれば利用サーバ9にログインできなくなる。
このように、変形例1では、よりセキュアな環境が実現される。
図9に例示するように、変形例1の利用者認証部302は、ユーザID、ユーザ認証のパスワード、及び、有効期間を互いに関連付けて認証情報格納部360に登録する。認証情報格納部360に格納される有効期間は、例えば、各ユーザ(担当者)が利用サーバ9の運用業務又は保守業務を担当する期間である。
秘密情報が定期的に変更されることによって、仮に、秘密情報がユーザ端末4上に残っていたとしても、有効期限外のユーザであれば利用サーバ9にログインできなくなる。
このように、変形例1では、よりセキュアな環境が実現される。
【0063】
また、上記実施形態では、秘密管理サーバ2が分散片データを収集し、ユーザ端末4に提供する形態を説明したが、これに限定されるものではなく、例えば、ユーザ端末4が分散片データを収集するようにしてもよい。
【符号の説明】
【0064】
1 情報処理システム
2 秘密管理サーバ
4 ユーザ端末
9 利用サーバ
300 サーバプログラム
500 ユーザプログラム
2 秘密管理サーバ
4 ユーザ端末
9 利用サーバ
300 サーバプログラム
500 ユーザプログラム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】