TOP > 国内特許検索 > 認証・認可システム、認証・認可方法

認証・認可システム、認証・認可方法

国内特許コード P140010840
整理番号 1990
掲載日 2014年8月11日
出願番号 特願2008-044093
公開番号 特開2009-205230
登録番号 特許第5126968号
出願日 平成20年2月26日(2008.2.26)
公開日 平成21年9月10日(2009.9.10)
登録日 平成24年11月9日(2012.11.9)
発明者
  • 青柳 真紀子
  • 橋本 正一
  • 高橋 健司
  • 永井 靖浩
  • 古村 隆明
出願人
  • 日本電信電話株式会社
  • 国立大学法人京都大学
発明の名称 認証・認可システム、認証・認可方法
発明の概要 【課題】本人認証に加えて、ユーザ属性に応じたアプリケーションサーバへのアクセス権限を判定する認可を行う認証・認可方式を提供する。
【解決手段】ルート認証局またはこのルート認証局を上位に持つ中間認証局が発行した電子証明書(利用者証明書)を本人認証に利用し、このルート認証局またはこのルート認証局を上位に持つ中間認証局が発行した電子証明書(資格証明書)を認可に利用する。利用者証明書からルート認証局の下位認証局に対する証明書までの信頼のパスと、資格証明書からルート認証局の下位認証局に対する証明書までの信頼のパスとが別個に形成され、それぞれの信頼のパスの起点がルート認証局で同一となっている。利用者証明書はユーザに一つ発行されており、資格証明書はユーザのアプリケーションサーバ装置へのアクセス権限に基づいて一つまたは複数発行される。認可は、これら資格証明書の中から一つ選択して行われる。
【選択図】図8
従来技術、競合技術の概要



教育機関や企業等でのサービス・業務の電子化は急速に進展しつつあり、クライアント-サーバによってWEBアプリケーションサーバが利用されている。サービス・業務ごとのアプリケーションサーバのリソースにアクセスするには、アクセスしようとするユーザの本人確認が必要であることが多い。このため、ユーザID(ユーザアカウント)とパスワード、ICカード、電子証明書、バイオメトリックスなどを用いたユーザの本人確認行為、すなわち本人認証が行われている。





本人認証は通常、サービスや業務毎に行われるため、それぞれのユーザIDが同一ユーザに発行される。ユーザは第三者によるなりすましを防止するため、各ユーザIDに対して異なったパスワードを設定し、自己責任で管理・運用しなければならない。





一方、アプリケーションサーバ側がユーザに対してサービス・業務に関するアプリケーションサーバのリソース使用を許可する認可処理は、本人認証が各サービス・業務毎に行われてきたこともあり、本人認証処理と等価に扱われている(例えば非特許文献1、2参照)。このため、ユーザおよびアプリケーションサーバ側は認可を意識することはなかった。





ところで、ユーザの立場で複数のユーザIDやパスワードを管理・運用することは繁雑であり、せっかくの電子化のメリットとなるべき利便性を損なっている。このため、ユーザの利便性向上、ユーザIDとパスワードの漏洩等によるなりすましリスクの抑制、アプリケーションサーバ側の視点から、ユーザIDとパスワードの管理コストの低減、および認証システムの設備投資や運用作業量の抑制などを実現するため、本人認証を複数のサービス・業務で一括して行うシングルサインオンという認証技術が導入されつつある(例えば非特許文献3参照)。





シングルサインオン認証は、例えば、一度の認証で複数のサービス・業務を収容するポータル画面に遷移し、以降、シングルログアウトするまで、認証サーバ装置と連携しているサービス・業務のアプリケーションサーバ装置にアクセスできるという認証方式である。図1に、ユーザIDとパスワードによるシングルサインオン認証処理の流れの一例を示す。ユーザはクライアント装置でポータルのURL(Uniform Resource Locator)を入力し、認証サーバ装置に対してポータルへのアクセス要求を行う。認証サーバ装置はクライアント装置へ認証情報を要求し、ユーザはユーザIDとパスワードを入力する。クライアント装置はユーザIDとパスワードを認証サーバへ送信し、認証サーバ装置ではデータベースの認証情報とマッチングを行い、ユーザの同一性を判定する。この結果、正しいと判定されればクライアント装置へポータルのURLアクセスを許可し、シングルサインオン認証が完了する。





この機能により、ユーザは複数のサービス・業務毎にユーザIDとパスワードを覚える事から解放され利便性が著しく向上する。一方、バックエンドのアプリケーションサーバ側もユーザIDの発行やそれに伴うユーザIDのライフサイクル管理が一元化される。また、サービス・業務毎に行っていたサービス・業務の本人認証という行為は大幅に軽減され、認証システムの開発・保守におけるコストや運用稼動の分割損も大きく改善される。





シングルサインオン認証は、一度の認証でポータルに入り、登録されているバックエンドのWEBアプリケーションサーバにアクセスすることができ、ユーザにとって非常に利便性の高い方式である。一方、最初に認証されれば、特定のアプリケーションサーバのリソースに自由にアクセスできることから、最初の認証をセキュアに行う必要がある。このため、シングルサインオン認証では、IDとパスワードだけでなく、ICカード利用といったより高セキュリティな多要素認証を用いることが望ましい。この時、ICカードに格納されるのは、ユーザ本人を証明する利用者証明書(電子証明書)である。





ICカードには利用者証明書を記録し、利用者証明書には会社名、名前、ユーザID、パスワードなどが含まれる。通常、ユーザが業務を行う業務組織に対応した発行局に対して、各部門などに設置した登録端末を使って電子申請し、発行された利用者証明書をダウンロードし、カード発行機へデータを送って、認証用ICカードを作成する。登録局端末にダウンロードした利用者証明書は、ICカードへ記録した段階で登録端末から自動的に消去される。このICカードには認証に必要な情報を利用者証明書というデータで記録し、シングルサインオン認証に利用する。





図2はICカード(利用者証明書)を使ったシングルサインオン認証の流れの一例である。ユーザIDとパスワードを用いた認証と異なるのは、ユーザ側でユーザIDおよびパスワードの入力の代わりに、ICカードを利用してPIN入力することであり、認証に必要な識別名(DN:Domain Name)を暗号化してこれを認証サーバへ送信し、認証サーバ装置ではこれを復号化した後にデータベースに格納した識別名とマッチングさせて、認証の判定を行っている。認証OKであれば、クライアント装置へポータルのURLを提示する。





図3はアクセス権限を有するユーザに対する認可処理の流れの一例を示す。まず、対象とするアプリケーションサーバ(APサーバ)へアクセスする権限を有するユーザの場合、クライアント装置から認証サーバ装置を経由して、対象となるアプリケーションサーバへアクセス要求を送る。バックエンドアプリケーションサーバはこれを受けてユーザIDを要求する。認証サーバ装置は認証をパスしたユーザIDをバックエンドアプリケーションサーバへ提示し、アプリケーションサーバはユーザデータベースと照合し、設定されたアクセス権限に従って、認可結果およびリソースURLを認証サーバ装置経由にてクライアント装置に表示させる。

【非特許文献1】

セラコミュニケーションシステム(株)、ID管理システム「GreenOffice Directory」, [平成20年2月6日検索], インターネット <URL : http://www.kccs.co.jp/products/directory/index.html>

【非特許文献2】

iberty Alliance ID-FF, [平成20年2月6日検索], インターネット <URL : http://www.projectliberty.org/resource_center/specifications/liberty_alliance_id_ff_1_2_specifications>

【非特許文献3】

ASIS (Organization for the Advancement of Structured Information Standards), "Security Assertion Markup Language(SAML) v2.0", [平成20年2月6日検索], インターネット <URL : http://www.oasis-open.org/specs/index.php#samlv2.0>

産業上の利用分野



本発明は、利用者(ユーザ)が複数の属性を有し、この属性ごとにアプリケーションサーバのリソースへのアクセス権限を有する場合に、本人認証を行うと共に、その属性の選択によってアプリケーションサーバのリソース利用の認可を行う技術に関する。

特許請求の範囲 【請求項1】
ユーザの本人認証に用いられるルート認証局またはこのルート認証局を上位に持つ中間認証局が発行した電子証明書(利用者証明書)と、ユーザのアプリケーションサーバ装置へのアクセス認可の判定に用いられる上記ルート認証局または上記ルート認証局を上位に持つ中間認証局が発行した電子証明書(資格証明書)とを記録した、耐タンパー性を持つ耐タンパーデバイスと、
上記耐タンパーデバイスに記録された上記利用者証明書および上記資格証明書の入力を受け付ける受付手段と、上記利用者証明書または上記資格証明書を認証サーバ装置に送信可能な送信手段とを備えるクライアント装置と、
上記クライアント装置から上記利用者証明書または上記資格証明書を受信する受信手段と、上記利用者証明書を用いて本人認証を行う認証手段と、上記資格証明書をアプリケーションサーバ装置に送信する送信手段とを備える認証サーバ装置と、
上記認証サーバ装置から上記資格証明書を受信する受信手段と、上記資格証明書を用いてアクセス認可の判定を行う認可判定手段とを備えるアプリケーションサーバ装置と
を備える認証・認可システム。

【請求項2】
上記利用者証明書はユーザに唯一つ発行され、
上記資格証明書はユーザのアプリケーションサーバ装置へのアクセス権限に基づいて一つまたは複数発行されている
ことを特徴とする請求項1に記載の認証・認可システム。

【請求項3】
耐タンパー性を持つ耐タンパーデバイスには、ユーザの本人認証に用いられるルート認証局またはこのルート認証局を上位に持つ中間認証局が発行した電子証明書(利用者証明書)と、ユーザのアプリケーションサーバ装置へのアクセス認可の判定に用いられる上記ルート認証局または上記ルート認証局を上位に持つ中間認証局が発行した電子証明書(資格証明書)が記録されており、
クライアント装置の受付手段が、上記耐タンパーデバイスに記録された上記利用者証明書および上記資格証明書の入力を受け付ける受付ステップと、
クライアント装置の送信手段が、上記利用者証明書を認証サーバ装置に送信する利用者証明書送信ステップと、
認証サーバ装置の受信手段が、上記クライアント装置から上記利用者証明書を受信する利用者証明書受信ステップと、
認証サーバ装置の認証手段が、上記利用者証明書を用いて本人認証を行う認証ステップと、
クライアント装置の送信手段が、上記本人認証に成功した場合に上記資格証明書を認証サーバ装置に送信する資格証明書送信ステップと、
認証サーバ装置の受信手段が、上記クライアント装置から上記資格証明書を受信する資格証明書受信ステップと、
認証サーバ装置の送信手段が、アプリケーションサーバ装置に上記資格証明書を送信する送信ステップと、
アプリケーションサーバ装置の受信手段が、上記認証サーバ装置から上記資格証明書を受信する受信ステップと、
アプリケーションサーバ装置の認可判定手段が、上記資格証明書を用いてアクセス認可の判定を行う認可判定ステップと
を有する認証・認可方法。

【請求項4】
上記利用者証明書はユーザに唯一つ発行されており、
上記資格証明書はユーザのアプリケーションサーバ装置へのアクセス権限に基づいて一つまたは複数発行されており、
上記資格証明書送信ステップでは、一つまたは複数発行されている上記資格証明書の中から一つ選択して認証サーバ装置に送信される
ことを特徴とする請求項3に記載の認証・認可方法。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2008044093thum.jpg
出願権利状態 登録
ライセンスをご希望の方、特許の内容に興味を持たれた方は、下記までご連絡ください。


PAGE TOP

close
close
close
close
close
close
close