TOP > 国内特許検索 > 権限委譲システム、権限委譲方法および権限委譲プログラム

権限委譲システム、権限委譲方法および権限委譲プログラム

国内特許コード P140010839
整理番号 1988
掲載日 2014年8月11日
出願番号 特願2008-045784
公開番号 特開2009-205342
登録番号 特許第5170648号
出願日 平成20年2月27日(2008.2.27)
公開日 平成21年9月10日(2009.9.10)
登録日 平成25年1月11日(2013.1.11)
発明者
  • 橋本 正一
  • 青柳 真紀子
  • 永井 靖浩
  • 古村 隆明
出願人
  • 日本電信電話株式会社
  • 国立大学法人京都大学
発明の名称 権限委譲システム、権限委譲方法および権限委譲プログラム
発明の概要 【課題】権限を適切に委譲することを課題とする。
【解決手段】利用者の本人性を確認可能な情報を格納する格納媒体に、当該格納媒体を利用する利用者が他の利用者から委譲された権限に関する権限委譲情報を格納する。認証サーバは、アクセス要求を利用者端末から受け付けた際に、当該利用者が利用する格納媒体に格納されている情報に基づいて当該利用者の本人性を認証するとともに、当該格納媒体に格納された権限委譲情報もしくは当該権限委譲譲歩から導出される情報を、当該アクセス要求にて指定されたアプリケーションサーバに転送し、アプリケーションサーバ各々は、転送された権限委譲情報等を受け付けると、当該権限委譲情報等に基づいて、当該権限委譲情報を格納する格納媒体の利用者の権限を判定する。
【選択図】 図1
従来技術、競合技術の概要



教育機関や企業等でのサービス・業務の電子化は急速に進展しつつあり、クライアント-サーバによるWEBアプリケーションが利用されている。これらのサービス・業務のアプリケーションリソースに利用者がアクセスするには、アクセスしようとする本人性の確認が必要なことから、IDとパスワード、ICカード、電子証明書、バイオメトリックスを用いた本人性の確認行為、すなわち、個人認証が行われている(非特許文献1、非特許文献2を参照)。





図14に、従来のサービス・業務のアプリケーションごとの認証処理の概要を示す。個人認証は、通常、サービスや業務ごとに行われることから、それぞれの認証サーバが、ID払い出し機能によりIDおよび初期パスワードを発行し、認証情報を管理するためのディレクトリデータベースにこれらの情報を格納するとともに、これらの情報を利用者に電子メールや通知書等により通知する。利用者は、なりすましを防止するため、各認証サーバに対して初期パスワードの変更登録を実施し、以降、自己責任によりこれを管理・運用しなければならない。





一方、アプリケーション側が利用者に対して、サービス・業務アプリケーションのリソース使用を許可する認可処理については、個人認証処理が認可と等価であったため、認証と認可は一体として扱われ、利用者およびアプリケーション側は認可を意識することはなかった。





ところが、利用者の立場で、複数のIDやパスワードを管理・運用することは繁雑であり、せっかくの電子化のメリットとなるべき利便性を損なっている。このため、利用者の利便性向上、IDとパスワードの漏洩等によるなりすましリスクの抑制、アプリケーション側の視点からは、IDとパスワードの管理コストの低減、および、認証システムの設備投資や運用作業量の抑制などを実現するため、個人認証を複数のサービス・業務で一括して行うシングルサインオンといった認証方式が導入されつつある。





シングルサインオン認証は、一度の認証で、複数のサービス・業務を収容するポータル画面に遷移し、以降、シングルログアウトするまで、ポータルに提示されたサービス・業務のアプリケーションにアクセスできるという認証方式である。図15に、IDおよびパスワードによるシングルサインオン認証処理の流れを示す。利用者は、ポータルのURL(Uniform Resource Locator)をクライアント端末に入力し、クライアント端末は、認証サーバへポータルへのアクセス要求を行う。すると、認証サーバは、クライアント端末へ認証情報を要求し、利用者は、IDおよびパスワードをクライアント端末に入力する。そして、クライアント端末は、IDおよびパスワードを認証サーバへ送信し、認証サーバは、ディレクトリデータベースの認証情報とマッチングを行い、本人性を判定する。この結果、正しいと判定されれば、認証サーバは、クライアント端末へポータルのURLアクセスを許可し、シングルサインオン認証処理が完了する。





この機能により、利用者は、複数のサービス・業務ごとにIDおよびパスワードを覚えることから解放され、利便性が著しく向上する。一方、バックエンドのアプリケーション側も、IDの発行やそれに伴うIDのライフサイクル管理が一元化される。また、サービス・業務ごとに行っていたサービス・業務の個人認証という行為は大幅に軽減され、認証システムの開発・保守におけるコストや運用稼動の分割損も大きく改善される。





【非特許文献1】

ベリサインマネージドPKI”、[online]、[平成20年2月6日検索]、インターネット<http://www.verisign.co.jp/mpki/solution/authdevice/companyid.html>

【非特許文献2】

ID管理システム「GreenOffice Directory」”、[online]、[平成20年2月6日検索]、インターネット<http://www.kccs.co.jp/products/directory/index.html>

産業上の利用分野



本発明は、権限委譲システム、権限委譲方法および権限委譲プログラムに関する。

特許請求の範囲 【請求項1】
アプリケーションサーバ各々を利用する利用者の本人性を認証サーバが認証する構成の下、所定のアプリケーションサーバを利用する権限を他の利用者から委譲された利用者について当該利用者の権限を判定し、当該利用者による当該アプリケーションサーバの利用を制御する権限委譲システムであって、
利用者の本人性を確認可能な情報を格納する格納媒体に、当該格納媒体を利用する利用者が他の利用者から委譲された権限に関する権限委譲情報を格納する格納手段を備え、
前記認証サーバは、
所定のアプリケーションサーバへアクセスすることを要求するアクセス要求を利用者が利用する利用者端末から受け付けた際に、当該利用者が利用する格納媒体に格納されている情報に基づいて当該利用者の本人性を認証するとともに、前記格納手段によって当該格納媒体に格納された権限委譲情報もしくは当該権限委譲情報から導出される情報を、当該アクセス要求にて指定されたアプリケーションサーバに転送する権限委譲情報転送手段を備え、
前記アプリケーションサーバ各々は、
前記権限委譲情報転送手段によって転送された前記権限委譲情報もしくは前記情報を受け付けると、当該権限委譲情報もしくは当該情報から、委譲された権限の内容を抽出し、抽出した当該内容を確認することで、当該権限委譲情報を格納する格納媒体の利用者の権限を判定する判定手段と、
を備えたことを特徴とする権限委譲システム。

【請求項2】
前記権限委譲情報は、委譲の対象となるアプリケーションの種別、および/または、委譲の範囲により、複数のパターンで定義されるものであって、
前記格納手段は、前記複数のパターンの内のいずれかのパターンを、前記権限委譲情報として前記格納媒体に格納することを特徴とする請求項1に記載の権限委譲システム。

【請求項3】
前記格納手段は、権限を他の利用者に委譲する権限委譲者を識別する利用者IDと、権限を委譲される被権限委譲者を識別する利用者IDと、委譲の対象となるアプリケーションの種別および/または委譲の範囲により定義される権限委譲情報のパターンと、当該委譲が有効である有効期限とを、当該権限委譲者によって指定されることで、前記権限委譲情報として前記格納媒体に格納することを特徴とする請求項1または2に記載の権限委譲システム。

【請求項4】
前記権限委譲システムは、発行局サーバと登録局サーバと失効リストリポジトリサーバと登録端末とから構成されるものであって、
前記発行局サーバは、
利用者の本人性を確認するための利用者証明書を発行する利用者証明書発行手段と、
前記権限委譲情報を確認するための権限委譲証明書を発行する権限委譲証明書発行手段とを備え、
前記登録局サーバは、
前記利用者証明書および前記権限委譲証明書の発行申請を受け付ける申請受付手段と、
前記申請受付手段によって受け付けた利用者証明書の発行を前記発行局サーバに要求する利用者証明書発行要求手段と、
前記申請受付手段によって受け付けた権限委譲証明書の発行を前記発行局サーバに要求する権限委譲証明書発行要求手段と、
前記利用者証明書発行手段によって発行された利用者証明書を取得し、当該利用者証明書を申請した利用者が利用する前記登録端末に対して、当該利用者証明書を送信する利用者証明書送信手段と、
前記権限委譲証明書発行手段によって発行された権限委譲証明書を取得し、当該権限委譲証明書によって権限を委譲された利用者が利用する所定の端末に対して、当該権限委譲証明書を送信する権限委譲証明書送信手段とを備え、
前記失効リストリポジトリサーバは、
前記利用者証明書および/または前記権限委譲証明書が失効しているか否かをアプリケーションサーバに通知する通知手段を備え、
前記登録端末は、
前記利用者証明書送信手段によって送信された利用者証明書を取得する利用者証明書取得手段を備え、
前記所定の端末は、
前記権限委譲証明書送信手段によって送信された権限委譲証明書を取得する権限委譲証明書取得手段を備えたことを特徴とする請求項1~3のいずれか一つに記載の権限委譲システム。

【請求項5】
前記登録端末は、
権限を他の利用者に委譲する権限委譲者を識別する利用者ID、権限を委譲される被権限委譲者を識別する利用者ID、委譲の対象となるアプリケーションの種別および/または委譲の範囲により定義される権限委譲情報のパターン、および当該委譲が有効である有効期限の指定を権限委譲者から受け付け、前記登録局サーバに送信することで、権限委譲証明書の発行申請を行う権限委譲証明書申請手段を備え、
前記登録局サーバは、
前記権限委譲者の本人性を、当該権限委譲者が利用する格納媒体に格納された利用者証明書により認証する第1の利用者認証手段と、
前記第1の利用者認証手段によって前記権限委譲者の本人性が認証されたことを条件として、前記権限委譲証明書申請手段によって申請された権限委譲証明書の発行を、前記発行局サーバに送信する権限委譲証明書発行要求手段と、
前記被権限委譲者の本人性を、当該被権限委譲者が利用する格納媒体に格納された利用者証明書により認証する第2の利用者認証手段と、
前記第2の利用者認証手段によって前記被権限委譲者の本人性が認証されたことを条件として、当該被権限委譲者が利用する所定の端末に権限委譲証明書を送信する権限委譲証明書送信手段とを備え、
前記発行局サーバの権限委譲証明書発行手段は、前記権限委譲証明書申請手段によって受け付けられた情報に基づいて、前記権限委譲証明書を発行することを特徴とする請求項4に記載の権限委譲システム。

【請求項6】
前記認証サーバは、
他の利用者から権限を委譲された被権限委譲者の本人性を、当該被権限委譲者が利用する格納媒体に格納された利用者証明書により認証する認証手段を備え、
前記アプリケーションサーバは、
前記認証手段によって前記被権限委譲者の本人性が確認されたことを条件として、当該被権限委譲者が利用する格納媒体に格納された権限委譲証明書を要求する権限委譲証明書要求手段と、
前記権限委譲証明書要求手段によって要求した権限委譲証明書を取得すると、前記被権限委譲者に委譲された権限が有効期限を経過しているか否か、および、当該権限が失効しているか否かを確認する第1の確認手段と、
前記第1の確認手段によって、権限の有効期限を経過していないこと、および、当該権限が失効していないことが確認されたことを条件として、当該委譲の対象および委譲の範囲を確認し、前記被権限委譲者に対して当該アプリケーションサーバを利用する権限を認可するか否かを決定する第2の確認手段と、
を備えたことを特徴とする請求項1~5のいずれか一つに記載の権限委譲システム。

【請求項7】
アプリケーションサーバ各々を利用する利用者の本人性を認証サーバが認証する構成の下、所定のアプリケーションサーバを利用する権限を他の利用者から委譲された利用者について当該利用者の権限を判定し、当該利用者による当該アプリケーションサーバの利用を制御する権限委譲方法であって、
利用者の本人性を確認可能な情報を格納する格納媒体に、当該格納媒体を利用する利用者が他の利用者から委譲された権限に関する権限委譲情報を格納する格納工程を含み、
前記認証サーバは、
所定のアプリケーションサーバへアクセスすることを要求するアクセス要求を利用者が利用する利用者端末から受け付けた際に、当該利用者が利用する格納媒体に格納されている情報に基づいて当該利用者の本人性を認証するとともに、前記格納工程によって当該格納媒体に格納された権限委譲情報もしくは当該権限委譲情報から導出される情報を、当該アクセス要求にて指定されたアプリケーションサーバに転送する権限委譲情報転送工程を含み、
前記アプリケーションサーバ各々は、
前記権限委譲情報転送工程によって転送された前記権限委譲情報もしくは前記情報を受け付けると、当該権限委譲情報もしくは当該情報から、委譲された権限の内容を抽出し、抽出した当該内容を確認することで、当該権限委譲情報を格納する格納媒体の利用者の権限を判定する判定工程と、
を含んだことを特徴とする権限委譲方法。

【請求項8】
アプリケーションサーバ各々を利用する利用者の本人性を認証サーバが認証する構成の下、所定のアプリケーションサーバを利用する権限を他の利用者から委譲された利用者について当該利用者の権限を判定し、当該利用者による当該アプリケーションサーバの利用を制御する権限委譲方法をコンピュータに実行させる権限委譲プログラムであって、
利用者の本人性を確認可能な情報を格納する格納媒体に、当該格納媒体を利用する利用者が他の利用者から委譲された権限に関する権限委譲情報を格納する格納手順をコンピュータに実行させ、
前記認証サーバとしてのコンピュータに、
所定のアプリケーションサーバへアクセスすることを要求するアクセス要求を利用者が利用する利用者端末から受け付けた際に、当該利用者が利用する格納媒体に格納されている情報に基づいて当該利用者の本人性を認証するとともに、前記格納手順によって当該格納媒体に格納された権限委譲情報もしくは当該権限委譲情報から導出される情報を、当該アクセス要求にて指定されたアプリケーションサーバに転送する権限委譲情報転送手順を実行させ、
前記アプリケーションサーバ各々としてのコンピュータに、
前記権限委譲情報転送手順によって転送された前記権限委譲情報もしくは前記情報を受け付けると、当該権限委譲情報もしくは当該情報から、委譲された権限の内容を抽出し、抽出した当該内容を確認することで、当該権限委譲情報を格納する格納媒体の利用者の権限を判定する判定手順と、
を実行させることを特徴とする権限委譲プログラム。

【請求項9】
アプリケーションサーバ各々を利用する利用者の本人性を認証サーバが認証する構成の下、所定のアプリケーションサーバを利用する権限を他の利用者から委譲された利用者について当該利用者の権限を判定し、当該利用者による当該アプリケーションサーバの利用を制御する権限委譲方法であって、
利用者の本人性を確認可能な情報を格納する格納媒体に、当該格納媒体を利用する利用者が他の利用者から委譲された権限に関する権限委譲情報であって、前記アプリケーションサーバにおいて委譲された権限の内容が抽出され、抽出された当該内容が確認されることで、当該格納媒体の利用者の権限が判定される権限委譲情報を格納する格納工程を含んだことを特徴とする権限委譲方法。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2008045784thum.jpg
出願権利状態 登録
ライセンスをご希望の方、特許の内容に興味を持たれた方は、下記までご連絡ください。


PAGE TOP

close
close
close
close
close
close
close