認(rèn)證系統(tǒng)、方法以及程序的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明的實(shí)施方式涉及認(rèn)證系統(tǒng)���、方法以及程序�。
【背景技術(shù)】
[0002]近年來��,企業(yè)或者供應(yīng)商等服務(wù)提供者對用戶的ID以及密碼進(jìn)行認(rèn)證����,向用戶提供服務(wù)。
[0003]因此��,用戶需要按照每個服務(wù)來管理ID以及密碼�。另外,出于安全強(qiáng)化的觀點(diǎn)���,各服務(wù)提供者要求用戶定期地更新密碼�����、或使用復(fù)雜且較長的密碼����。
[0004]這里,當(dāng)在線利用金融機(jī)構(gòu)時��,為了進(jìn)行本人確認(rèn)���,推薦使用隨機(jī)數(shù)卡或一次性密碼等�。在該情況下�,用戶需要按照每個服務(wù)管理一次性密碼的設(shè)備��、隨機(jī)數(shù)表��。
[0005]另一方面����,服務(wù)提供者按照每個用戶管理以及認(rèn)證ID以及密碼,并提供服務(wù)���。另夕卜�,出于成本��、運(yùn)用方面的考慮,服務(wù)提供者通過一次性密碼的設(shè)備�、隨機(jī)數(shù)表的使用等維持每個用戶的安全強(qiáng)度。由于這些一次性密碼的設(shè)備�����、隨機(jī)數(shù)表維持安全強(qiáng)度�����,因此不能與其他服務(wù)提供者共同地使用����。
[0006]如以上那樣,用戶以及服務(wù)提供者需要管理密碼���、一次性密碼的設(shè)備或者隨機(jī)數(shù)表等���。關(guān)于這種管理,按照用戶與服務(wù)的每個組合而管理對象增加���,因此變得繁瑣�����,導(dǎo)致便利性降低���。出于阻止這種便利性降低的觀點(diǎn)����,實(shí)現(xiàn)了基于通過一次認(rèn)證使多個服務(wù)能夠使用的單點(diǎn)登錄(SSO)的認(rèn)證協(xié)作(federat1n)�����。
[0007]為了使用單點(diǎn)登錄��,需要多個服務(wù)提供者相互建立信賴關(guān)系���,并且在各服務(wù)提供者的系統(tǒng)之間進(jìn)行認(rèn)證協(xié)作�。
[0008]現(xiàn)有技術(shù)文獻(xiàn)
[0009]專利文獻(xiàn)
[0010]專利文獻(xiàn)1:日本專利第4956096號公報
[0011]專利文獻(xiàn)2:日本特開2001 — 273421號公報
[0012]專利文獻(xiàn)3:日本特開2001 —197055號公報
【發(fā)明內(nèi)容】
[0013]發(fā)明要解決的課題
[0014]然而��,對于以上那種認(rèn)證協(xié)作�,由于產(chǎn)生了由各服務(wù)提供者監(jiān)視其他服務(wù)提供者的系統(tǒng)的需要��,因此運(yùn)用復(fù)雜化���,導(dǎo)致服務(wù)提供者的便利性降低���。
[0015]另外��,對于以上那種認(rèn)證協(xié)作���,在系統(tǒng)之間的認(rèn)證的強(qiáng)度不同的情況下,用戶難以安全地使用單點(diǎn)登錄�,導(dǎo)致用戶的便利性降低。
[0016]另外�����,由于服務(wù)提供者不能容易地準(zhǔn)備生物體認(rèn)證等的高安全環(huán)境�,因此持續(xù)使用暫時構(gòu)建的環(huán)境的可能性較高。因此�,提供給用戶的認(rèn)證方法被固定。
[0017]另外����,已知有服務(wù)提供者承包用戶的ID管理的IDaaS(Identity as a Service,身份認(rèn)證即服務(wù))運(yùn)營商����。
[0018]本發(fā)明要解決的課題在于,提供一種能夠在提高用戶以及服務(wù)提供者的便利性的同時容易地變更認(rèn)證方式的認(rèn)證系統(tǒng)、方法以及程序�����。
[0019]用于解決課題的手段
[0020]實(shí)施方式的認(rèn)證系統(tǒng)具備能夠與由用戶操作的用戶終端進(jìn)行通信的服務(wù)提供者裝置��、IDaaS運(yùn)營商裝置以及認(rèn)證代理裝置���。
[0021 ]上述服務(wù)提供者裝置具備服務(wù)帳戶信息存儲機(jī)構(gòu)�����。
[0022]上述服務(wù)帳戶信息存儲機(jī)構(gòu)存儲有服務(wù)帳戶信息�����,該服務(wù)帳戶信息包含用于識別該服務(wù)提供者裝置所提供的服務(wù)的帳戶的服務(wù)帳戶標(biāo)識符以及第一協(xié)作ID��。
[0023]上述IDaaS運(yùn)營商裝置具備SSO帳戶信息存儲機(jī)構(gòu)�。
[0024]上述SSO帳戶信息存儲機(jī)構(gòu)存儲SSO帳戶信息�����,該SSO帳戶信息包含與用于識別上述用戶的用戶ID—致的單點(diǎn)登錄(SSO)帳戶標(biāo)識符�、與上述第一協(xié)作ID—致的第一協(xié)作ID以及與上述第一協(xié)作ID不同的第二協(xié)作ID����。
[0025]上述認(rèn)證代理裝置具備認(rèn)證帳戶信息存儲機(jī)構(gòu)����。
[0026]上述認(rèn)證帳戶信息存儲機(jī)構(gòu)存儲有認(rèn)證帳戶信息����,該認(rèn)證帳戶信息包含用于識別針對上述用戶的認(rèn)證處理的帳戶的認(rèn)證帳戶標(biāo)識符、與上述第二協(xié)作ID—致的第二協(xié)作ID以及表示該認(rèn)證處理的方式的認(rèn)證類別��。
[0027]具有如下認(rèn)證帳戶信息的上述認(rèn)證代理裝置基于從上述用戶終端發(fā)送的用戶ID以及SSO請求����,執(zhí)行操作上述用戶終端的用戶的認(rèn)證處理,上述認(rèn)證帳戶信息經(jīng)由第二協(xié)作ID而與包含與該用戶ID—致的SSO帳戶標(biāo)識符在內(nèi)的SSO帳戶信息建立了關(guān)聯(lián)��。
[0028]在上述認(rèn)證處理的結(jié)果為成功時�����,具有包含了與被進(jìn)行了該認(rèn)證處理的用戶的用戶ID—致的SSO帳戶標(biāo)識符在內(nèi)的SSO帳戶信息的IDssS運(yùn)營商裝置��,允許針對如下服務(wù)的SSO認(rèn)證�,上述服務(wù)是經(jīng)由第一協(xié)作ID而與該SSO帳戶信息建立了關(guān)聯(lián)的服務(wù)帳戶信息中包含的服務(wù)帳戶標(biāo)識符所識別出的服務(wù)。
[0029]提供被允許了上述SSO認(rèn)證的服務(wù)的上述服務(wù)提供裝置對發(fā)送了上述用戶ID以及上述SSO請求的用戶終端發(fā)送與上述服務(wù)相關(guān)的信息。
【附圖說明】
[0030]圖1是表示第一實(shí)施方式的認(rèn)證系統(tǒng)的構(gòu)成的示意圖���。
[0031]圖2是用于說明該實(shí)施方式中的各裝置的帳戶信息等的示意圖����。
[0032]圖3是用于說明該實(shí)施方式中的各帳戶信息的示意圖�����。
[0033]圖4是用于說明該實(shí)施方式中的動作的一個例子的示意圖�����。
[0034]圖5是表示該實(shí)施方式中的業(yè)務(wù)順序的一個例子的順序圖��。
[0035]圖6是表示該實(shí)施方式中的業(yè)務(wù)順序的一個例子的順序圖��。
[0036]圖7是用于說明該實(shí)施方式中的動作的一個例子的流程圖�。
[0037]圖8是用于說明該實(shí)施方式中的動作的一個例子的流程圖。
[0038]圖9是用于說明該實(shí)施方式中的動作的一個例子的示意圖���。
[0039]圖10是用于說明應(yīng)用于第二實(shí)施方式的認(rèn)證系統(tǒng)中的各管理表的示意圖����。
[0040]圖11是用于說明該實(shí)施方式中的各帳戶信息的示意圖���。
[0041]圖12是用于說明該實(shí)施方式中的動作的一個例子的示意圖����。
[0042]圖13是表示該實(shí)施方式中的認(rèn)證等級的管理例的示意圖����。
[0043]圖14是用于說明該實(shí)施方式中的動作的一個例子的流程圖。
[0044]圖15是用于說明該實(shí)施方式中的動作的一個例子的流程圖�����。
[0045]圖16是用于說明該實(shí)施方式中的動作的一個例子的流程圖���。
[0046]圖17是用于說明該實(shí)施方式中的動作的一個例子的流程圖�����。
[0047]圖18是用于說明該實(shí)施方式中的動作的一個例子的流程圖�����。
[0048]圖19是用于說明該實(shí)施方式中的動作的一個例子的流程圖�����。
[0049]圖20是表示該實(shí)施方式中的認(rèn)證等級變更時的方針的一個例子的示意圖���。
[0050]圖21是表示該實(shí)施方式中的認(rèn)證等級變更時的方針的一個例子的示意圖����。
【具體實(shí)施方式】
[0051]以下���,使用【附圖說明】各實(shí)施方式��,在這之前�����,敘述各實(shí)施方式的概要�����。
[0052]第一實(shí)施方式涉及一種認(rèn)證系統(tǒng)�����,該認(rèn)證系統(tǒng)具備能夠與由用戶操作的用戶終端進(jìn)行通信的服務(wù)提供者裝置���、IDaaS運(yùn)營商裝置以及認(rèn)證代理裝置�����。此外,認(rèn)證系統(tǒng)也可以采用如下構(gòu)成:具備能夠分別與由用戶操作的用戶終端以及用于對該用戶提供服務(wù)的服務(wù)提供者裝置進(jìn)行通信的IDaaS運(yùn)營商裝置以及認(rèn)證代理裝置���。
[0053]服務(wù)提供者裝置具備服務(wù)帳戶信息存儲機(jī)構(gòu)�。服務(wù)帳戶信息存儲機(jī)構(gòu)存儲服務(wù)帳戶信息����,該服務(wù)帳戶信息包含用于識別服務(wù)提供者裝置所提供的服務(wù)的帳戶的服務(wù)帳戶標(biāo)識符以及第一協(xié)作ID。
[0054]IDaaS運(yùn)營商裝置具備單點(diǎn)登錄(SSO)帳戶信息存儲機(jī)構(gòu)���。SSO帳戶信息存儲機(jī)構(gòu)存儲SSO帳戶信息����,該SSO帳戶信息包含與用于識別用戶的用戶ID—致的單點(diǎn)登錄(SSO)帳戶標(biāo)識符��、與第一協(xié)作ID—致的第一協(xié)作ID以及與第一協(xié)作ID不同的第二協(xié)作ID�。
[0055]認(rèn)證代理裝置具備認(rèn)證帳戶信息存儲機(jī)構(gòu)。認(rèn)證帳戶信息存儲機(jī)構(gòu)存儲認(rèn)證帳戶信息��,該認(rèn)證帳戶信息包含用于識別針對用戶的認(rèn)證處理的帳戶的認(rèn)證帳戶標(biāo)識符、與第二協(xié)作ID—致的第二協(xié)作ID以及表示該認(rèn)證處理的方式的認(rèn)證類別���。
[0056]這里���,認(rèn)證代理裝置基于從用戶終端發(fā)送的用戶ID以及SSO請求,執(zhí)行操作用戶終端的用戶的認(rèn)證處理�,該認(rèn)證代理裝置具有經(jīng)由第二協(xié)作ID而與如下SSO帳戶信息建立了關(guān)聯(lián)的認(rèn)證帳戶信息,上述SSO帳戶信息包含與該用戶ID—致的SSO帳戶標(biāo)識符�。
[0057]在認(rèn)證處理的結(jié)果為成功時,具有包含了與被進(jìn)行了該認(rèn)證處理的用戶的用戶ID一致的SSO帳戶標(biāo)識符在內(nèi)的SSO帳戶信息的IDssS運(yùn)營商裝置��,允許針對如下服務(wù)的SSO認(rèn)證��,上述服務(wù)是經(jīng)由第一協(xié)作ID而與該SSO帳戶信息建立了關(guān)聯(lián)的服務(wù)帳戶信息中包含的服務(wù)帳戶標(biāo)識符所識別出的服務(wù)�。
[0058]提供被允許了SSO認(rèn)證的服務(wù)的服務(wù)提供裝置對發(fā)送用戶ID以及SSO請求的用戶終端發(fā)送與服務(wù)相關(guān)的信息。
[0059]根據(jù)以上那種第一實(shí)施方式�,各服務(wù)提供者無需監(jiān)視其他服務(wù)提供者的系統(tǒng),運(yùn)用變得容易��,服務(wù)提供者的便利性提高���。
[0060]另外�����,關(guān)于以上那種認(rèn)證協(xié)作����,由于由與IDaaS運(yùn)營商裝置協(xié)作的認(rèn)證代理裝置執(zhí)行認(rèn)證,因此用戶易于安全地使用單點(diǎn)登錄�����,用戶的便利性提高����。
[0061]另外��,由于服務(wù)提供者無需準(zhǔn)備生物體認(rèn)證等的高安全環(huán)境��,因此能夠容易地變更對用戶提供的認(rèn)證方法�����。
[0062]根據(jù)這種第一實(shí)施方式���,能夠在使用戶以及服務(wù)提供者的便利性提高的同時容易地變更認(rèn)證方式��。
[0063]另外����,在第一實(shí)施方式中,認(rèn)證代理裝置具備第一表存儲機(jī)構(gòu)����,該第一表存儲機(jī)構(gòu)存儲有認(rèn)證類別管理表,上述認(rèn)證類別管理表將表示認(rèn)證處理的方式的認(rèn)證類別以及表示該認(rèn)證處理的等級的認(rèn)證等級建立關(guān)聯(lián)地記述����。
[0064]SSO帳戶信息存儲機(jī)構(gòu)包含認(rèn)證等級。
[0065]這里�����,在認(rèn)證處理產(chǎn)生問題�����、該認(rèn)證處理的等級降低的情況下����,認(rèn)證代理裝置以使該認(rèn)證處理的認(rèn)證等級降低的方式更新認(rèn)證類別管理表,將降低后的該認(rèn)證等級以及在認(rèn)證帳戶信息內(nèi)與該認(rèn)證等級建立了關(guān)聯(lián)的認(rèn)證類別發(fā)送到IDaaS運(yùn)營商裝置�。
[0066]IDaaS運(yùn)營商裝置在從認(rèn)證代理裝置接收到認(rèn)證等級和認(rèn)證類別時,基于接收到的該認(rèn)證類別,檢索SSO帳戶信息���,以使通過該檢索獲得的認(rèn)證等級降低至接收到的該認(rèn)證等級的方式���,更新SSO帳戶信息。
[0067]因此���,根據(jù)第一實(shí)施方式����,在認(rèn)證處理產(chǎn)生問題�����、該認(rèn)證處理的等級降低的情況下�����,能夠使認(rèn)證等級降低�,因此能夠維持認(rèn)證處理的可靠性�����。
[0068]接下來,在第二實(shí)施方式中��,認(rèn)證代理裝置具備第一表存儲機(jī)構(gòu)�。第一表存儲機(jī)構(gòu)存儲有認(rèn)證類別管理表,該認(rèn)證類別管理表將表示認(rèn)證處理的方式的認(rèn)證類別���、表示該認(rèn)證處理的等級的認(rèn)證等級以及包含該認(rèn)證類別的認(rèn)證代理運(yùn)營商名的認(rèn)證類別索引建立關(guān)聯(lián)地記述�。
[0069]IDaaS運(yùn)營商裝置具備第二表存儲機(jī)構(gòu)���,該第二表存儲機(jī)構(gòu)存儲有將認(rèn)證等級以及認(rèn)證類別索引建立關(guān)聯(lián)地記述的認(rèn)證等級管理表�。
[0070]這里���,在認(rèn)證處理產(chǎn)生問題���、該認(rèn)證處理的等級降低的情況下,認(rèn)證代理裝置以使該認(rèn)證處理的認(rèn)證等級降低的方式更新認(rèn)證類別管理表��,將在該認(rèn)證類別管理表內(nèi)降低后的認(rèn)證等級以及與該認(rèn)證等級建立了關(guān)聯(lián)的認(rèn)證類別索引發(fā)送到IDaaS運(yùn)營商裝置�。
[0071 ] IDaaS運(yùn)營商裝置在從認(rèn)證代理裝置接收到認(rèn)證等級和認(rèn)證類別索引時,基于接收到的該認(rèn)證類別索引��,檢索認(rèn)證等級管理表���。IDaaS運(yùn)營商裝置以使通過該檢索獲得的認(rèn)證等級降低至接收到的該認(rèn)證等級的方式����,更新認(rèn)證等級管理表。
[0072]因此���,根據(jù)第二實(shí)施方式���,在認(rèn)證處理產(chǎn)生問題、該認(rèn)證處理的等級降低的情況下�����,能夠使認(rèn)證等級降低����,因此能夠維持認(rèn)證處理的可靠性。另外���,根據(jù)第二實(shí)施方式,在使認(rèn)證等級降低時�,IDaaS運(yùn)營商裝置無需更新每個用戶ID的SSO帳戶信息,而是更新認(rèn)證等級管理表即可����,因此能夠大幅度地減輕認(rèn)證等級的降低所需的負(fù)載����。
[0073]以上是各實(shí)施