Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5991817B2 - ネットワークシステム - Google Patents
[go: Go Back, main page]

JP5991817B2 - ネットワークシステム - Google Patents

ネットワークシステム Download PDF

Info

Publication number
JP5991817B2
JP5991817B2 JP2012005363A JP2012005363A JP5991817B2 JP 5991817 B2 JP5991817 B2 JP 5991817B2 JP 2012005363 A JP2012005363 A JP 2012005363A JP 2012005363 A JP2012005363 A JP 2012005363A JP 5991817 B2 JP5991817 B2 JP 5991817B2
Authority
JP
Japan
Prior art keywords
user
condition
authentication
terminal
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012005363A
Other languages
English (en)
Other versions
JP2013145457A (ja
Inventor
一宏 小椋
一宏 小椋
Original Assignee
株式会社Hde
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社Hde filed Critical 株式会社Hde
Priority to JP2012005363A priority Critical patent/JP5991817B2/ja
Publication of JP2013145457A publication Critical patent/JP2013145457A/ja
Application granted granted Critical
Publication of JP5991817B2 publication Critical patent/JP5991817B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、プログラム、ネットワークシステムに関する。
従来から、ユーザIDとパスワードとに基づき、ユーザを認証する認証サーバが存在する。また、近年は、クラウドコンピューティングと呼ばれるシステムによって、インターネットを介してユーザが何処からでもアクセスできるようになり、ユーザの利便性を図れるようになってきている。
また、従来技術として、端末がサーバから回線識別情報を取得し、回線識別情報が端末側で予め記憶されている場合に決済処理を行うものが存在する(特許文献1の図1、0009段落参照)。
特開2006−261991号公報
従来では、端末がユーザIDとパスワードとをイントラネットを介して認証サーバに送信することが多く、閉域化されたネットワーク上ではセキュリティ面で安全が確保される状況下にあった。
一方、クラウドコンピューティングでは、広域化されたネットワークであるので、端末から入力されたユーザIDとパスワードとがインターネットを介して認証サーバに送信することになり、イントラネットでの認証システムに比べて、盗聴やなりすまし等のセキュリティ上の問題が生じる可能性が高い。
本発明は、上述した課題に鑑みたものであり、クラウドコンピューティングにおけるユーザの利便性を高め、セキュリティを高めた認証を行うことが可能なプログラム、ネットワークシステムを提供することにある。
(1)本発明は、端末とインターネットを介して接続された認証サーバのためのプログラムであって、前記端末から受信したユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する第1の判断部と、前記端末の送信元のアドレス情報が、予め前記認証データベースに登録されているアドレス情報と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する第2の判断部と、前記端末から受信した証明情報が、予め前記認証データベースに登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する第3の判断部と、前記ユーザIDのグループを判定するグループ判定部と、前記ユーザIDの認証の許可又は不許可を判定する認証判定部として、コンピュータを機能させ、前記認証判定部が、前記第1の条件及び前記第2の条件を満たす場合に、第1のグループに属するユーザIDの認証を許可し、前記第1の条件及び前記第2の条件を満たす場合、又は、前記第1の条件及び前記第3の条件を満たす場合に、第2のグループに属するユーザIDの認証を許可するプログラムに関する。
また、本発明は、コンピュータにより読み取り可能であって、上記プログラムを記憶した情報記憶媒体に関する。また、本発明は、上記各部を含む認証サーバに関する。また、「アドレス情報」とは、例えば、組織のネットワークのゲートウェイのIP(Internet Protcol)アドレスである。
本発明によれば、第1のグループに属するユーザIDと、第2のグループに属するユーザIDで異なった方法・フローで認証の許可を判定するので、利便性とセキュリティを高めつつ、グループに応じた適切な認証を行うことができる。
例えば、本発明によれば、第1のグループに属するユーザID(例えば、開発部のグループのユーザID)については、ユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致する場合、及び、端末の送信元のアドレス情報が、予め認証データベースに登録されているアドレス情報(例えば、会社のネットワークのゲートウェイのIPアドレス)と一致する場合に認証を許可する。また、第2のグループに属するユーザID(例えば、営業部のグループのユーザID)については、(A)ユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致する場合、及び、端末の送信元のアドレス情報が、予め認証データベースに登録されているアドレス情報と一致する場合、又は、(B)ユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致する場合、及び、端末から受信した証明情報が、予め認証データベースに登録されている証明情報と一致する場合に認証を許可する。
つまり、本発明によれば、予め認証データベースに会社のネットワークのゲートウェイのIPアドレスを登録した場合には、第1のグループに属するユーザID(例えば、開発部のグループのユーザID)については、社内のネットワークからのアクセスに制限し、社外のネットワークからのアクセスを禁止することができる。また、第2のグループに属するユーザID(例えば、営業部のグループのユーザID)については、社外のネットワークからのアクセスであったとしても、端末から受信した証明情報が予め認証データベースに登録されている証明情報と一致する場合に、認証が許可されることになる。このように、本発明によれば、第1のグループに属する端末ついては、端末の送信元を例えば会社のネットワークのゲートウェイのIPアドレスに制限する(社内のネットワークからのアクセスに制限する)ことによって、セキュリティを高めることができる。また、第2のグループに属する端末については、端末の送信元が例えば会社のネットワークのゲートウェイのIPアドレスでない場合(例えば、社外のネットワークからのアクセスであった場合)であっても、証明情報の一致を条件に認証が許可される。このように、本発明によれば、セキュリティを高めるとともに、利便性を高めた認証システムを提供することができる。
(2)また、本発明のプログラムは、前記端末が第2のグループに属するユーザIDの端末である場合には、前記第1の条件及び前記第2の条件を満たす場合に、当該第2のグループに属するユーザIDの端末に、前記証明情報を送信する処理を行う通信制御部として、コンピュータを更に機能させるようにしてもよい。
本発明によれば、第2のグループに属するユーザID(例えば、営業部のグループのユーザID)の端末に対して、ユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致する場合、及び、端末の送信元のアドレス情報が、予め認証データベースに登録されているアドレス情報(例えば、会社のネットワークのゲートウェイのIPアドレス)と一致する場合に、証明情報を送信する処理を行う。
つまり、本発明によれば、予め認証データベースに会社のネットワークのゲートウェイのIPアドレスを登録した場合に、第2のグループに属するユーザIDの端末の送信元が会社のネットワークのゲートウェイのIPアドレス(社内のネットワークからのアクセス)である場合に、認証サーバは証明情報を送信する。したがって、本発明によれば、証明情報の付与を、例えば社内からの端末に制限することによってセキュリティを高めることができる。
(3)本発明は、端末と認証サーバとがインターネットを介して接続されたネットワークシステムであって、前記端末から受信したユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する第1の判断部と、前記端末の送信元のアドレス情報が、予め前記認証データベースに登録されているアドレス情報と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する第2の判断部と、前記端末から受信した証明情報が、予め前記認証データベースに登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する第3の判断部と、前記ユーザIDのグループを判定するグループ判定部と、前記ユーザIDの認証の許可又は不許可を判定する認証判定部と、を含み、前記認証判定部が、前記第1の条件及び前記第2の条件を満たす場合に、第1のグループに属するユーザIDの認証を許可し、前記第1の条件及び前記第2の条件を満たす場合、又は、前記第1の条件及び前記第3の条件を満たす場合に、第2のグループに属するユーザIDの認証を許可し、前記端末が、ファイルのダウンロードが禁止されているWebブラウザと、入力部から入力されたユーザIDとパスワードとを、前記認証サーバに送信する処理を行う通信制御部と、を含み、前記通信制御部が、前記Webブラウザに予め前記証明情報が設定されている場合に、前記証明情報を前記認証サーバに送信するネットワークシステムに関する。
本発明によれば、第1のグループに属するユーザIDと、第2のグループに属するユーザIDで異なった方法・フローで認証の許可を判定するので、利便性とセキュリティを高めつつ、グループに応じた適切な認証を行うことができる。
また、本発明の端末は、ファイルのダウンロードが禁止されている特別なWebブラウザに予め証明情報が設定されている場合に、証明情報を認証サーバに送信する。したがって、本発明によれば、認証が許可されるようにするために、ファイルのダウンロードが禁止されている特別なWebブラウザを使用するように促すことができる。また、ファイルのダウンロードが禁止されている特別なWebブラウザの利用促進を図ることによって、ファイルのダウンロードを防止することができ、更にセキュリティを高めることができる。
本実施形態のネットワーク図の一例。 本実施形態の機能ブロック図の一例。 図3(A)(B)(C)は、データベースに格納されるデータの説明図。 図4(A)(B)は、アクセス成功・失敗フローのフローチャート図。 図5は、OTP確認フロー、証明情報確認フローのフローチャート図。 図6(A)(B)は、証明情報付与フローのフローチャート図。 本実施形態の処理の流れを示すフローチャート図。 本実施形態の処理の流れを示すフローチャート図。
以下、本実施形態について説明する。なお、以下に説明する本実施形態は、特許請求の範囲に記載された本発明の内容を不当に限定するものではない。また本実施形態で説明される構成の全てが、本発明の必須構成要件であるとは限らない。
1.ネットワーク
図1は、本実施形態のネットワーク図の一例である。本実施形態の認証サーバ10(IDプロバイダ)は、ユーザの端末20から送信される情報(データ)に基づいて、ユーザの認証を行う。
認証サーバ10は、ネットワークを介して、複数の端末20と接続される。例えば、本実施形態の認証サーバ10は、インターネットを介して、会社や学校などの小規模ネットワーク30を構成する各端末20−A〜20−Eと接続されている。また、認証サーバ10は、インターネットを介して、userAの自宅41の端末20−F、userBが会社から持ち帰った端末20−B、userCの自宅43の端末20−G、userDの携帯用の端末20−H(例えば、スマートフォン)と接続可能である。なお、本実施形態の端末20は有線又は無線によって認証サーバ10と接続される。
また、認証サーバ10は、ユーザID、パスワード等の情報が格納された認証データベース11とネットワーク(イントラネット又はインターネット)を介して接続されている。認証サーバ10は、認証データベース11に登録されているデータを参照する処理を行う。また、認証サーバ10は、認証データベース11に対して新たなデータの登録や、データの削除、データの変更の命令を行うことができる。
また、認証サーバ10は、ネットワークを介してメールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34などの種々のサーバ(サービス提供サーバ)と接続されている。例えば、メールサーバ31は、認証サーバ10が認証を許可したユーザIDに関するメールサービスの提供を行う。また、ファイルサーバ32は、認証サーバ10が認証を許可したユーザIDに関するファイルサービスの提供を行う。また、ショッピングサーバ33は、認証サーバ10が認証を許可したユーザIDに関するショッピングサービスの提供を行う。また、写真サーバ34は、認証サーバ10が認証を許可したユーザIDに関する写真サービスの提供を行う。つまり、ユーザは、1つのユーザIDとパスワード等を覚えるだけで、認証サーバ10への認証が許可されると種々のサーバ31〜34からサービスの提供を受けることができるシングルサインオンが可能となる。なお、認証サーバ10と各種サーバ31〜34と認証の許可又は不許可等のデータを送信する場合には、電子署名などを用いてデータの暗号化を行うようにしてもよい。
2.構成
図2は、本実施形態のネットワークシステムの機能ブロック図の一例である。なお、本実施形態のネットワークシステムは、図2の各部を全て含む必要はなく、その一部を省略した構成としてもよい。
まず、認証サーバ10の機能について説明する。記憶部170は、処理部100などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
また、情報記憶媒体180は、コンピュータにより読み取り可能であり、この情報記憶媒体180にはプログラムやデータなどが格納されている。即ち、情報記憶媒体180には、本実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部100は、この情報記憶媒体180に格納されるプログラム(データ)から読み出されたデータに基づいて本実施形態の種々の処理を行うことができる。
例えば、情報記録媒体180は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
処理部100は、記憶部170に格納されるプログラム(データ)に基づいて本実施形態の種々の処理を行う。なお、本実施形態の処理部100が、情報記憶媒体180に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部170に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
処理部100(プロセッサ)は、記憶部170内の主記憶部をワーク領域として各種処理を行う。処理部100の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
処理部100は、通信制御部111、判断部112、グループ判定部113、認証判定部114を含む。
通信制御部111は、ネットワーク(イントラネット又はインターネット)を介して端末20とデータを送受信する処理を行う。
例えば、通信制御部111は、端末20によって送信されるユーザID、パスワードを受信する処理を行う。また、通信制御部111は、認証の許可又は不許可を端末20に送信するようにしてもよい。
また、通信制御部111は、認証データベース11や、メールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34の各種サーバとネットワーク(イントラネット又はインターネット)を介してデータを送受信する処理を行う。例えば、通信制御部111は、認証の許可又は不許可を各種サーバ31〜34に送信するようにしてもよい。
特に、本実施形態の通信制御部111は、端末20が第2のグループに属するユーザIDの端末20である場合には、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合に、第2のグループに属するユーザIDの端末20に、証明情報を送信する処理を行う。
判断部112は、認証のための判断を行う。特に、本実施形態の判断部112は、第1の判断部112A、第2の判断部112B、第3の判断部112Cを含む。
第1の判断部112Aは、端末20から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する。
第2の判断部112Bは、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する。
第3の判断部112Cは、端末20から受信した証明情報が、予め認証データベース11に登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する。
グループ判定部113は、ユーザIDのグループを判定する。本実施形態では、2以上の複数のグループ(例えば、第1、第2のグループ)のうち、ユーザIDがいずれのグループに属するかを、認証データベース11に登録されているユーザ情報を参照して判定する。
認証判定部114は、ユーザIDの認証の許可又は不許可を判定する。そして、認証判定部114は、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合に、第1のグループに属するユーザIDの認証を許可し、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合、又は、第1の判断部112Aの第1の条件及び第3の判断部112Cの第3の条件を満たす場合に、第2のグループに属するユーザIDの認証を許可する。
認証サーバ10は、認証データベース11を含む。認証データベース11には、ユーザID、パスワード、アドレス情報、証明情報などの情報が登録(格納、記憶)される。本実施形態では、管理者からの入力情報に基づいて、予め情報を認証データベース11に登録してもよい。また、管理者からの入力情報に基づいて、情報の更新処理、情報の削除処理を行うようにしてもよい。また、本実施形態では、認証サーバ10が、登録処理を行ってもよい。例えば、認証サーバ10は、端末20からの登録要求に基づいてユーザID、パスワード等を登録してもよい。また、本実施形態では、認証サーバ10が、更新処理を行ってもよい。例えば、認証サーバ10は、端末20からの更新要求に基づいてユーザID、パスワード等を更新してもよい。また、本実施形態では、認証サーバ10が削除処理を行ってもよい。例えば、認証サーバ10は、端末20からの削除要求に基づいてユーザID、パスワード等を削除してもよい。なお、本実施形態では認証データベース11の記憶部(記憶領域)が認証サーバ10の記憶部170(記憶領域)から物理的に分離されているが、認証サーバ10の記憶部170に、認証データベース11のデータを記憶させるようにしてもよい。
また、本実施形態の処理部100は、Webサーバとして機能するWeb処理部を含んでいてもよい。例えば、Web処理部は、HTTP(Hypertext Transfer Protocol)を通じて、端末20にインストールされているWebブラウザ210の要求に応じてデータを送信する処理、端末20のWebブラウザ210によって送信されるデータを受信する処理を行う。特に、本実施形態では、Web処理部が、ユーザ認証を行うためのログイン画面を提供し、端末20のWebブラウザ210によって送信されたユーザID、パスワード等のユーザ情報を受信する処理を行うようにしてもよい。
端末20は、コンピュータ、スマートフォン、タブレット型コンピュータ、携帯電話、ゲーム機などである。
記憶部270は、処理部200などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
また、情報記憶媒体280は、コンピュータにより読み取り可能であり、この情報記憶媒体280にはプログラムやデータなどが格納されている。即ち、情報記憶媒体280には、本実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部200は、この情報記憶媒体280に格納されるプログラム(データ)から読み出されたデータに基づいて本実施形態の種々の処理を行うことができる。
例えば、情報記録媒体280は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
処理部200は、記憶部270に格納されるプログラム(データ)に基づいて本実施形態の種々の処理を行う。なお、本実施形態の処理部200が、情報記憶媒体280に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部270に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
処理部200(プロセッサ)は、記憶部270内の主記憶部をワーク領域として各種処理を行う。処理部200の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
処理部200は、Webブラウザ210、通信制御部211を含む。端末20は、Webブラウザ210によって、インターネットを介してURL(Uniform Resource Locator)によって指定されたWebサーバからの情報を表示させることができる。例えば、端末20は、認証サーバ10において認証が許可されると、Webサーバ機能を備えたメールサーバ31からの端末20のユーザIDのメール情報(ユーザの受信メール、送信されたメール等)を表示させることができる。また、本実施形態のWebブラウザ210は、ファイルのダウンロードが禁止されているWebブラウザであってもよい。
通信制御部211は、ネットワークを介して認証サーバ10、各種サーバ31〜34等とデータを送受信する処理を行う。例えば、通信制御部211は、入力部220から入力されたユーザIDとパスワードとを、認証サーバ10に送信する処理を行う。また、通信制御部211は、Webブラウザ210に予め証明情報が設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。また、通信制御部211は、認証判定の結果(許可又は不許可)を認証サーバ10から受信するようにしてもよい。また、通信制御部211は、認証サーバ10によって認証が許可された場合に、メールサーバ31から当該端末20のユーザIDに関するメール情報を受信するようにしてもよい。
入力部220は、ユーザ(操作者)からの入力情報を入力するための入力機器(コントローラ)であり、ユーザの入力情報を処理部200に出力する。本実施形態の入力部220は、ユーザの入力情報(入力信号)を検出する検出部を備えていてもよい。例えば、入力部220は、キーボードの入力情報を検出し、タッチパネル型ディスプレイの接触位置(タッチ位置)を検出する。
また、入力部220は、3軸の加速度を検出する加速度センサや、角速度を検出するジャイロセンサ、撮像部を備えた入力機器でもよい。また入力部220は、入力機器と一体化されている端末20(スマートフォン、携帯電話、携帯端末、携帯型ゲーム装置)なども含まれる。
表示部290は、Webブラウザの情報、画像を出力するものであり、その機能は、CRT、LCD、タッチパネル型ディスプレイ、あるいはHMD(ヘッドマウントディスプレイ)などにより実現できる。
3.本実施形態の処理の手法
3.1 概要
本実施形態の認証サーバ10は、組織内の複数のユーザについてグループ分けを行い、各グループに応じた認証を行う手法を採用する。つまり、認証サーバ10は、端末のユーザIDのグループを判定し、ユーザIDの属するグループに基づいてユーザIDの認証の許可又は不許可を判定する手法を採用する。
例えば、認証サーバ10は、(1)端末から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する第1の判断と、(2)端末の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報(例えば、会社のネットワークのゲートウェイのIPアドレス)と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する第2の判断と、(3)端末から受信した証明情報が、予め認証データベース11に登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する第3の判断を行う。そして、認証サーバ10は、第1の条件及び第2の条件を満たす場合に、第1のグループに属するユーザID(例えば、開発部のグループのユーザID)の認証を許可し、第1の条件及び第2の条件を満たす場合、又は、第1の条件及び第3の条件を満たす場合に、第2のグループに属するユーザID(例えば、営業部のグループのユーザID)の認証を許可する。
このようにすれば、第1のグループに属するユーザIDと、第2のグループに属するユーザIDで異なった方法・フローで認証を判定するので、利便性とセキュリティを高めつつ、グループに応じた適切な認証を行うことができる。つまり、会社のネットワークのゲートウェイのIPアドレスが認証データベース11に予め登録されている場合には、第1のグループ(例えば開発グループ)に属するユーザIDについては、社内のネットワークからのアクセスに制限することによって、セキュリティを高めることができる。また、第2のグループ(例えば営業グループ)に属するユーザIDについては、社内のネットワークからのアクセスも可能であるし、社外のネットワークからのアクセスであった場合であっても、証明情報の一致を条件に認証を許可する。このように、本実施形態では、第2のグループのユーザに対して、セキュリティを高めつつ社外のネットワークからでもアクセス可能なように利便性を高めるようにしている。
3.2 認証データベース
3.2.1 ユーザ情報
図3(A)は、認証データベース11に登録されているユーザ情報の一例である。ユーザ情報は、ユーザID(ユーザ識別情報、ユーザ名)、パスワード、ユーザが属するグループID(グループ識別情報)を含む。また、ユーザ情報には、OTP(OTPはワンタイムパスワードの略)のseed番号(種番号)、証明情報を含んでいてもよい。OTPのseed番号、証明情報が登録されていない場合には、NULLが設定される。また、パスワード、グループID、OTPのseed番号、証明情報は、ユーザIDに対応付けられて登録される。なお、本実施形態の証明情報は、1ユーザあたり1つの識別された情報(アルファベットや数字からなる文字列)とし、ユーザ毎に異なる証明情報が付与される。なお、図3(A)は、組織IDが1の○○会社のユーザ情報である。本実施形態では、組織毎にユーザ情報を管理する。
3.2.2 組織情報
図3(B)は、認証データベース11に登録されている組織情報の一例である。例えば、組織情報は、組織ID(組織識別情報)、組織名、その組織のネットワークのIPアドレス(ネットワークのゲートウェイのIPアドレス)を含む。つまり、組織IDに対応づけて、組織名、組織のネットワークのIPアドレスが登録される。
3.2.3 フローパターン(処理パターン)
図3(C)は、認証データベース11に登録されている各種フローパターン(処理パターン、処理類型)の一例である。例えば、図3(C)に示すように、グループIDに対応づけて、アクセス成功・失敗フロー、OTP確認フロー(ワンタイムパスワード確認フロー)、証明情報確認フロー、証明情報付与フローそれぞれのパターン(類型)が登録される。
3.2.3.1 アクセス成功・失敗フロー
まず、アクセス成功・失敗フローについて説明する。アクセス成功・失敗フローとは、ユーザの端末20から認証サーバ10へのアクセスの成功又は失敗を判定するための処理の流れである。
図4(A)は、アクセス成功・失敗フローのAパターンである。Aパターンについて説明すると、まず、組織のネットワークからのアクセスか否かを判断する(ステップS1)。つまり、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。例えば、認証サーバ10は、端末20から受信したパケット情報から、端末20の送信元(アクセス元)のIPアドレスを検出し、端末の送信元のIPアドレスが、認証データベースに登録されているIPアドレスと一致するか否かを判断する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図3(B)に示すように、端末20−Aの送信元のIPアドレスが認証データベース11に登録されているので、「○○会社」のネットワークからのアクセスであると判定できる。つまり、組織(○○会社)のネットワークからのアクセスであると判定される。
そして、組織のネットワークからのアクセスである場合(ステップS1のY)、成功と判定し(ステップS2)、一方、組織のネットワークからのアクセスでない場合(ステップS1のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、失敗と判定する(ステップS3)。図3(C)の例によれば、開発部、営業部、管理部のグループはパターンAのフローでアクセス成功・失敗を判定する。
図4(B)は、アクセス成功・失敗フローのBパターンの条件式である。Bパターンについて説明すると、まず、組織のネットワークからのアクセスか否かを判断する(ステップS5)。そして、組織のネットワークからのアクセスである場合(ステップS5のY)、現在時刻が所定時間帯(例えば、午前9時から午後6時まで)であるか否かを判断する(ステップS6)。現在時刻が所定時間帯である場合には(ステップS6のY)、成功と判定する(ステップS7)。一方、組織のネットワークからのアクセスでない場合(ステップS5のN)、或いは、現在時刻が所定時間帯でない場合には(ステップS6のN)、失敗と判定する(ステップS8)。図3(C)の例によれば、アルバイトのグループはパターンBのフローでアクセス成功・失敗を判定する。なお、本実施形態では、アクセス成功・失敗フローの他のパターンを用意しておいてもよい。例えば、端末の送信元のIPアドレスのドメイン名が特定の文字列(例えば、「jp」)を含む場合には、成功と判定し、端末の送信元のIPアドレスのドメイン名が特定の文字列を含まない場合には、失敗と判定するフローをCパターンとして用意しておいてもよい。
3.2.3.2 OTP確認フロー
次に、OTP確認フロー(ワンタイムパスワード確認フロー)について説明する。OTP確認フローとは、ユーザの端末に対して、OTPの確認を必要とするか否かを判定するための処理の流れである。
図5は、AパターンのOTP確認フローである。例えば、組織のネットワークからのアクセスか否かを判断する(ステップS10)。つまり、上述したように、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。そして、組織のネットワークからのアクセスである場合(ステップS10のY)、不要と判定し(ステップS11)、組織のネットワークからのアクセスでない場合(ステップS10のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、必要と判定する(ステップS12)。図3(C)の例によれば、開発部、管理部、営業部、アルバイトはパターンAのフローでOTPの確認の要・不要を判定する。なお、本実施形態では、OTP確認フローの他のパターンを用意しておいてもよい。
3.2.3.3 証明情報確認フロー
次に、証明情報確認フローについて説明する。証明情報確認フローとは、ユーザの端末に対して、証明情報の確認を必要とするか否かを判定するための処理の流れである。
本実施形態では、Aパターンの証明情報確認フローは、OTP確認フローのAパターンと同様のフローを採用している。また、図3(C)の例によれば、開発部、管理部、営業部、アルバイトはパターンAのフローで証明情報の確認の要・不要を判定する。なお、本実施形態では、独自の証明情報確認フローを設定してもよいし、複数種類の証明情報確認フローを設定しておいてもよい。
3.2.3.4 証明情報付与フロー
次に、証明情報付与フローについて説明する。証明情報付与フローとは、ユーザの端末に対して、証明情報を付与するか否かを判定するための処理の流れである。
図6(A)は、Aパターンの証明情報付与フローである。例えば、組織のネットワークからのアクセスか否かを判断する(ステップS20)。つまり、上述したように、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。そして、組織のネットワークからのアクセスである場合(ステップS20のY)付与すると判定し(ステップS21)、組織のネットワークからのアクセスでない場合(ステップS20のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、付与しないと判定する(ステップS22)。図3(C)の例によれば、営業部はパターンAの証明情報付与フローで証明情報を付与するか否かを判定する。
図6(B)は、Bパターンの証明情報付与フローである。Bパターンは、常に付与しないと判定する(ステップS23)。つまり、組織(例えば、○○会社)内外のネットワークを問わず常に証明情報を付与しないと判定する。図3(C)の例によれば、開発部、管理部、アルバイトは、パターンBのフローで証明情報を付与しないと判定される。このように、社外のネットワークからのアクセスを禁止したいグループに対しては証明情報を付与しないようにすることで、セキュリティを更に向上させることができる。
3.2.4 ワンタイムパスワードの説明
本実施形態では、社外のネットワークからのアクセスは、詐欺、盗難などのセキュリティ上の問題があるので、社外のネットワークからアクセスする可能性のある特定のグループに属するユーザ(例えば、営業部のユーザ)の端末20に、認証サーバ10とアルゴリズムが同じOTP(ワンタイムパスワード)を生成するOTP生成プログラムをインストールし、ワンタイムパスワードを用いた認証を行っている。
例えば、端末20にインストールされたOTP生成プログラム(或いはOTP生成装置の生成プログラム)と、認証サーバ10にインストールされたOTP生成プログラムとにおいて、アルゴリズム及びseed番号(種番号)は一致しており、その結果、端末側(ユーザに付与したOTP生成装置側)で生成されたOTPと、認証サーバで生成されたOTPが一致していることになる。例えば、ワンタイムパスワード生成プログラムでは、所定周期(30秒毎)に、時刻とseed番号(種番号)とに基づいてワンタイムパスワードを生成する処理を行う。なお、本実施形態では、営業部などの特定のグループについて、ワンタイムパスワードの照合処理を含めて認証を行っているが、ワンタイムパスワードの照合処理を行わないように制御してもよい。
3.2.5 証明情報の説明
また、本実施形態では、営業部などの特定のグループに属するユーザの端末20に対して証明情報を付与するようにしている。例えば、認証サーバ10は、端末20が第2のグループ(例えば、営業部のグループ)に属するユーザIDの端末20である場合には、端末20から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致する場合(第1の判断部112Aの第1の条件を満たす場合)及び端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致する場合(第2の判断部112Bの第2の条件を満たす場合)に、当該第2のグループに属するユーザIDの端末に、証明情報を送信する処理を行う。また、端末20は、Webブラウザを用いて、端末20と認証サーバ10との通信を行い、例えば、端末20は、認証サーバ10から証明情報を受信した場合には、当該証明情報をWebブラウザのクッキーとして記憶する処理を行う。「クッキー」とは、HTTP cookieであり、Webブラウザに記憶される情報のことを示す。
例えば、図1を用いて説明すると、認証データベース11に、「○○会社」のネットワーク30のゲートウェイのIPアドレス(122.200.243.240)が登録されているとする。そして、図1に示すように、例えば、営業部のユーザBが社内にいる際に、社内のネットワークに接続された端末20−Bから認証サーバ10にアクセスし、認証許可されると認証サーバ10から証明情報を受信する。つまり、端末20−BのWebブラウザに、クッキーとして証明情報が記憶される。そして、営業部のユーザBが端末20−Bを持ち帰り、例えば、自宅のネットワークに端末20−Bを接続し、端末20−BがWebブラウザを用いてインターネットを介して認証サーバ10にアクセスすると、入力されたユーザID、パスワード、及び、Webブラウザのクッキーとして設定された証明情報を認証サーバ10に送信する。そして、認証サーバ10は、端末20−Bから受信したユーザID、パスワード、証明情報を認証データベース11に登録されているユーザID、パスワード、証明情報と一致している場合に、認証を許可する。
このように、本実施形態では、営業部のユーザBが使用する端末20−Bが認証サーバ10に認証許可されることを契機として端末20−Bが証明情報を取得できる仕組みを提供している。つまり、本実施形態によれば、社内のネットワークから営業グループのユーザIDとしてWebブラウザを用いて認証サーバ10を正常にログインするだけで証明情報を取得できるので利便性を高めることができる。また、認証サーバ10では社内のネットワークからのアクセスに対して証明情報を付与することによってセキュリティを強固なものにすることができる。なお、認証サーバ10は、ユーザの端末に付与する証明情報に有効期限(例えば、証明情報を付与した日から7日間有効とする有効期限)を設定していてもよく、有効期限が切れた証明情報を受信した場合には、当該証明情報を無効として処理してもよい。このようにすれば、更にセキュリティを高めることができる。
3.2.6 その他
本実施形態では、認証サーバ10が認証データベース11に登録されているユーザ情報、組織情報、各種フロー等を参照する。また、認証サーバ10は、端末20からの要求に応じて、ユーザ情報、組織情報、各種フローの登録処理、更新処理、削除処理を行うようにしてもよい。また、本実施形態では、管理者が認証データベースを管理可能であり、管理者からの入力情報に基づいて、ユーザ情報、組織情報、各種フローの参照、登録、変更、削除等を行うことができる。また、管理者からの入力情報に基づいて、フローの変更、追加、削除等も行うことができる。
3.3 処理の流れ
図7(A)(B)は、本実施形態の認証サーバ10の処理の流れを示すフローチャートである。まず、認証サーバ10は、端末20からユーザIDとパスワードを受信する(ステップS100)。
次に、受信した端末20の送信元のIPアドレスを確認する(ステップS101)。例えば、認証サーバ10は、端末20から受信したパケット情報から、送信元のIPアドレスを検出する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図3(B)に示すように、組織ID=1である「○○会社」のネットワークからのアクセスであると判定できる。一方、端末20−Aの送信元のIPアドレスが認証データベースに登録されていない場合には、会社外(組織外)のネットワークからのアクセス(インターネット上の不特定な端末、不特定なネットワークからのアクセス)であると判定できる。
そして、端末20から受信したユーザIDとパスワードとが正しいか否かを判断する(ステップS102)。つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致するか否かを判断する。
端末20から受信したユーザIDとパスワードとが正しい場合、つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致する場合には(ステップS102のY)、ステップS103に進む。一方、端末20から受信したユーザIDとパスワードとが正しくない場合、つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致しない場合には(ステップS102のN)、認証を不許可と判定する(ステップS113)。
次に、受信したユーザIDのグループIDを判定する(ステップS103)。つまり、図3(A)に示すように、認証データベース11に登録されたユーザIDに対応するグループIDを参照してグループIDを判定する。例えば、受信したユーザIDが「userA」である場合は、「userA」のグループIDは「1」となる。
次に、グループIDに基づいてアクセスが成功か否かを判断する(ステップS104)。図3(C)に示すように、グループID毎に、アクセス成功・失敗フローのパターンが設定されているので、グループIDに対応するパターンに基づいてアクセス成功又は失敗を判断する。
例えば、図3(A)に示すように「userA」はグループIDが「1」でアクセス成功・失敗フローがAパターンである。したがって、図4(A)に示すように「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合には、アクセス成功と判定される(ステップS2、ステップS104のY)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、アクセス失敗と判定される(ステップS3、ステップS104のN)。
また、例えば、図3(A)に示すように「userF」はグループIDが「4」でアクセス成功・失敗フローがBパターンである。したがって、図4(B)に示すように、「userF」が組織(例えば○○会社)のネットワークからのアクセスした場合であって、現在時刻が所定の時間帯内(例えば、午後2時)である場合には、アクセス成功と判定される(ステップS7、ステップS104のY)。一方、「userF」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合や、「userF」が組織(例えば○○会社)のネットワークからアクセスした場合であっても、現在時刻が所定の時間帯以外の時刻(例えば、午後11時)である場合には、アクセス失敗と判定される(ステップS8、ステップS104のN)。
そして、アクセス成功と判定された場合には(ステップS104のY)、ステップS105に進む。一方、アクセス失敗と判定された場合(ステップS104のN)は、グループID=2か否かを判断する(ステップS114)。つまり、グループが特定のグループ(例えば、第2のグループ)であるか否かを判断する。そして、グループID=2である場合には(ステップS114のY)、ステップS105に進み、グループID=2でない場合には(ステップS114のN)、認証を不許可と判定する(ステップS113)。
次に、ワンタイムパスワード(OTP)を確認するか否かを判断する(ステップS105)。図3(C)に示すように、グループID毎に、OTP確認フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいてOTPを確認するか否かを判断する。
例えば、図3(A)に示すように「userA」はグループIDが「1」でOTP確認フローがAパターンである。したがって、図5に示すように、「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合にはOTPの確認が不要と判断され(ステップS11)、ワンタイムパスワードを確認しない(ステップS105のN)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、OTPの確認が必要と判断され(ステップS12)、ワンタイムパスワードを確認する(ステップS105のY)。
そして、ワンタイムパスワードを確認する場合には(ステップS105のY)、ワンタイムパスワードを端末に要求し(ステップS106)、端末から受信したワンタイムパスワードが正しいか否かを判断する(ステップS107)。つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致するか否かを判断する。ワンタイムパスワードが正しい場合、つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致する場合、(ステップS107のY)は、ステップS108に進む。一方、ワンタイムパスワードが正しくない場合、つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致しない場合(ステップS107のN)、認証を不許可と判定する(ステップS113)。
次に、証明情報を確認するか否かを判断する(ステップS108)。図3(C)に示すように、グループID毎に、証明情報確認フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいて証明情報を確認するか否かを判断する。
例えば、図3(A)に示すように「userA」はグループIDが「1」で証明情報確認フローがAパターンである。したがって、図5に示すように、「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合には証明情報の確認が不要と判断され(ステップS11)、証明情報を確認しない(ステップS108のN)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、証明情報の確認が必要と判断され(ステップS12)、証明情報を確認する(ステップS108のY)。
そして、証明情報を確認する場合には(ステップS108のY)、端末から受信した証明情報が正しいか否かを判断する(ステップS109)。つまり、端末20から受信した証明情報が、予め認証データベース11に登録されている当該ユーザIDに対応する証明情報と一致するか否かを判断する。例えば、ユーザIDが「userB」である端末20−Bから送信された証明情報が「rg2b9i4g7px」である場合には、認証データベース11に登録されているユーザID「userB」に対応する証明情報「rg2b9i4g7px」と一致するので証明情報が正しいと判断される。そして、証明情報が正しい場合(ステップS109のY)は、ステップS110に進む。一方、証明情報が正しくない場合(ステップS109のN)、認証を不許可と判定する(ステップS113)。
次に、証明情報を付与するか否かを判断する(ステップS110)。図3(C)に示すように、グループID毎に、証明情報付与フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいて証明情報を付与するか否かを判断する。
例えば、図3(A)に示すように「userB」はグループIDが「2」で証明情報付与フローがAパターンである。したがって、図6(A)に示すように、「userB」が組織(例えば○○会社)のネットワークからのアクセスである場合には証明情報を付与すると判定する(ステップS21、ステップS110のY)。一方、「userB」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、証明情報を付与しないと判定する(ステップS22、ステップS110のN)。
また、例えば、図3(A)に示すように「userA」はグループIDが「1」で証明情報付与フローがBパターンである。したがって、図6(B)に示すように、「userA」が○○会社の社内のネットワークからのアクセスか否かにかかわらず、証明情報を付与しないと判定する(ステップS23、ステップS110のN)。
そして、証明情報を付与する場合には(ステップS110のY)、端末20に証明情報を送信する(ステップS111)。そして、ステップS111、又は、ステップS110のNの後、認証を許可と判定する(ステップS112)。以上で処理が終了する。
3.4 SSLクライアント証明書を利用する例
本実施形態の認証サーバ10は、証明情報を要求する端末に対して、証明情報の照合に追加して(又は証明情報の照合の替わりに)、端末から送信されるSSL(Secure Socket Layer)クライアント証明書を用いた認証を行うようにしてもよい。かかる認証を行う場合には、端末20のWebブラウザに予めSSLクライアント証明書が設定される。
例えば、端末20は認証サーバ10にHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)接続を行い、認証サーバ10は端末20にSSLクライアント証明書を要求する。そして、端末20は、SSLクライアント証明書を認証サーバ10に送信する。そして、認証サーバ10は、署名されたSSLクライアント証明書を解読しクライアント(端末20)の公開鍵を取得する。端末20は、送付メッセージにダイジェストを付加し、端末20の持つ秘密鍵で暗号化する。そして、認証サーバ10は、端末20の公開鍵を使ってメッセージを解読し、解読したメッセージからメッセージ・ダイジェストを作成し、端末20が付加したメッセージ・ダイジェストと比較する。一致が確認された場合には、信頼できる端末20から改ざんされていないメッセージを受信することになり、認証許可と判定する。
3.5 特別なWebブラウザを利用する例
本実施形態では、端末20にファイルのダウンロードが禁止されているWebブラウザ50を設定し、Webブラウザ50に予め証明情報がクッキーとして設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。このようにすれば、ファイルのダウンロードが禁止されている特別なWebブラウザ50を使用するように促すことができる。また、ファイルのダウンロードが禁止されている特別なWebブラウザ50の利用促進を図ることによって、ファイルのダウンロードを防止することができ、更にセキュリティを高めることができる。
例えば、図1に示すように、userDの私物の端末20−H(例えば、スマートフォンやパーソナルコンピュータ)に、ファイルのダウンロードが禁止された特別なWebブラウザ50がインストールされているとする。そして、Webブラウザ50に予め証明情報を設定する(Webブラウザのクッキーとして証明情報を設定する)。なお、管理者からの入力に基づき、端末20−HのWebブラウザに証明情報を設定するようにしてもよい。
すると、userDは、社外のネットワークであっても私物の端末20−Hから、認証サーバ10への認証が許可され、メールサーバ31等のサービス提供サーバへのログインが可能となり、より利便性の高いネットワークシステムを実現できる。また、証明情報は、通常のWebブラウザに設定できずに特殊なWebブラウザ50にのみ設定できるようにすることで、私物の端末20−Hに対してもセキュリティの管理を行うことができる。
3.6 その他
本実施形態では、ユーザID・パスワード以外の多要素認証の例として、証明情報、OTPの照合、SSLクライアント証明書等を用いた認証を説明したが、他の多要素認証を行うようにしてもよい。
また、本実施形態では、ユーザID・パスワード判定処理の例として、認証サーバが、予め認証データベースに格納されているパスワードを用いて判定する処理を説明したが、認証データベースにパスワードを格納しないで、他のシステムにユーザID・パスワード判定処理を委任するようにしてもよい。
10 認証サーバ、11 認証データベース、100 処理部、111 通信制御部、
112 判断部、112A 第1の判断部、112B 第2の判断部、
112C 第3の判断部、113 グループ判定部、114 認証判定部、
170 記憶部、180 情報記憶媒体、
20 端末、200 処理部、210 Webブラウザ、211 通信制御部、
220 入力部、270 記憶部、280 情報記憶媒体、290 表示部、
50 ダウンロードが禁止されたWebブラウザ

Claims (2)

  1. 端末と認証サーバとがインターネットを介して接続されたネットワークシステムであって、
    前記認証サーバが、
    前記端末から受信したユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する第1の判断部と、
    予め前記認証データベースに登録されているIPアドレスに基づき、前記端末が組織内のネットワークからのアクセスであると判定されることを、第2の条件とする当該第2の条件を満たすか否かを判断する第2の判断部と、
    前記端末から受信した証明情報が、予め前記認証データベースに登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する第3の判断部と、
    前記ユーザIDのグループを判定するグループ判定部と、
    第1のグループに属するユーザIDに対して、前記第1の条件及び前記第2の条件を満たす場合に認証を許可する認証判定部と、を含み、
    前記認証判定部が、
    第2のグループに属するユーザIDに対して、前記第1の条件及び前記第2の条件を満たす場合、又は、前記第1の条件及び前記第3の条件を満たす場合に認証を許可し、
    前記端末が、
    ファイルのダウンロードが禁止されている特別なWebブラウザと、
    入力部から入力されたユーザIDとパスワードとを、前記認証サーバに送信する処理を行う通信制御部と、
    前記特別なWebブラウザにのみ前記証明情報を設定可能とする証明情報設定部と、を含み、
    前記通信制御部が、
    前記特別なWebブラウザに予め前記証明情報が設定されている場合に、前記証明情報を前記認証サーバに送信することを特徴とするネットワークシステム。
  2. 端末と認証サーバとがインターネットを介して接続されたネットワークシステムであって、
    前記認証サーバが、
    前記端末から受信したユーザIDとパスワードとが、予め認証データベースに登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する第1の判断部と、
    予め前記認証データベースに登録されているIPアドレスに基づき、前記端末が組織内のネットワークからのアクセスであると判定されることを、第2の条件とする当該第2の条件を満たすか否かを判断する第2の判断部と、
    前記端末から受信した証明情報が、予め前記認証データベースに登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する第3の判断部と、
    前記ユーザIDのグループを判定するグループ判定部と、
    第1のグループに属するユーザIDに対して、前記第1の条件及び前記第2の条件を満たす場合に認証を許可する認証判定部と、
    第2のグループに属するユーザIDに対して、前記第1の条件及び前記第2の条件を満たす場合に、当該第2のグループに属するユーザIDの端末に、前記証明情報を送信する処理を行う通信制御部と、を含み、
    前記認証判定部が、
    第2のグループに属するユーザIDに対して、前記第1の条件及び前記第2の条件を満たす場合、又は、前記第1の条件及び前記第3の条件を満たす場合に認証を許可し、
    前記端末が、
    入力部から入力されたユーザIDとパスワードとを、前記認証サーバに送信する処理を行う通信制御部と、を含み、
    前記通信制御部が、
    前記端末に予め前記証明情報が設定されている場合に、前記証明情報を前記認証サーバに送信することを特徴とするネットワークシステム。
JP2012005363A 2012-01-13 2012-01-13 ネットワークシステム Active JP5991817B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012005363A JP5991817B2 (ja) 2012-01-13 2012-01-13 ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012005363A JP5991817B2 (ja) 2012-01-13 2012-01-13 ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2013145457A JP2013145457A (ja) 2013-07-25
JP5991817B2 true JP5991817B2 (ja) 2016-09-14

Family

ID=49041226

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012005363A Active JP5991817B2 (ja) 2012-01-13 2012-01-13 ネットワークシステム

Country Status (1)

Country Link
JP (1) JP5991817B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150341445A1 (en) * 2014-05-23 2015-11-26 Radoslav Nikolov Hybrid applications operating between on-premise and cloud platforms
JP2016029765A (ja) * 2014-07-25 2016-03-03 富士ゼロックス株式会社 通信システムおよびルーター
JP6449088B2 (ja) * 2015-03-31 2019-01-09 株式会社日立製作所 情報収集システム、情報収集システムにおける接続制御方法
JP6215979B2 (ja) * 2016-02-01 2017-10-18 本田技研工業株式会社 自動車の車体構造
JP6852495B2 (ja) 2017-03-23 2021-03-31 富士通株式会社 アドレス変換装置、情報処理システム及び情報処理システムの制御方法
JP2020149332A (ja) * 2019-03-13 2020-09-17 株式会社サテライトオフィス セキュリティブラウザアプリケーションソフトウェア
CN111291345B (zh) * 2020-02-24 2025-10-10 平安科技(深圳)有限公司 声纹数据处理方法、装置、计算机设备和存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3498647B2 (ja) * 1999-02-09 2004-02-16 コクヨ株式会社 横架材の取付構造
JP3168934U (ja) * 2011-04-11 2011-07-07 株式会社ワコーパレット内 棚板支持具

Also Published As

Publication number Publication date
JP2013145457A (ja) 2013-07-25

Similar Documents

Publication Publication Date Title
US12177201B2 (en) Managing security credentials
KR102390108B1 (ko) 정보 처리 시스템 및 제어 방법
US8532620B2 (en) Trusted mobile device based security
US9660982B2 (en) Reset and recovery of managed security credentials
US9674175B2 (en) Proxy server-based network site account management
JP6286504B2 (ja) 多数のネットワークサイトのためのアカウント管理
JP5991817B2 (ja) ネットワークシステム
US9998288B2 (en) Management of secret data items used for server authentication
CN104378376A (zh) 基于soa的单点登录方法、认证服务器和浏览器
JP2004185623A (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
JP2019046133A (ja) 情報処理装置、制御方法、およびプログラム
JP6178112B2 (ja) 認証サーバ、認証システム及びプログラム
US20210385225A1 (en) Computerized device and method for authenticating a user
JPWO2019234801A1 (ja) サービス提供システム及びサービス提供方法
JP6653368B2 (ja) 認証サーバ、認証システム及びプログラム
JP6532505B2 (ja) 認証サーバ、認証システム及びプログラム
JP2020053100A (ja) 情報処理システムと、その制御方法とプログラム
JP7521598B2 (ja) 認証代行装置、認証代行方法および認証代行プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150728

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150826

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160727

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160816

R150 Certificate of patent or registration of utility model

Ref document number: 5991817

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250