專利名稱:認(rèn)證協(xié)作系統(tǒng)及認(rèn)證協(xié)作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認(rèn)證協(xié)作系統(tǒng)及認(rèn)證協(xié)作方法的技木�����。
背景技術(shù):
近年來(lái)�����,在因特網(wǎng)上的服務(wù)和企業(yè)內(nèi)網(wǎng)絡(luò)上的各種系統(tǒng)中,登錄ID/密碼的每ー個(gè)人的服務(wù)數(shù)量逐年増加����。用戶管理多個(gè)ID/密碼所承受的負(fù)擔(dān)非常大,很難對(duì)每項(xiàng)服務(wù)設(shè)定不同的密碼并掌握���。于是,在專利文獻(xiàn)I等的單點(diǎn)登錄(single sign on)中���,只接受一次用戶認(rèn)證,就能夠訪問(wèn)需要用戶認(rèn)證的多個(gè)服務(wù)。由此�,能夠削減用戶所要管理的密碼的數(shù)量�,能夠更加安全地管理密碼���。 非專利文獻(xiàn)I 涉及一種被稱為 SAML (Security Assertion Markup La nguage,安全斷言標(biāo)記語(yǔ)言)的單點(diǎn)登錄技木���,由標(biāo)準(zhǔn)化団體OASIS策劃,是將安全地傳輸認(rèn)證結(jié)果�����、訪問(wèn)許可判斷結(jié)果等安全數(shù)據(jù)的方法用XML(E xtensible Markup Language,可擴(kuò)展標(biāo)記語(yǔ)言)描述的標(biāo)記語(yǔ)言規(guī)格��。在SAML中��,將被稱為IdP (Identity Provider��,身份提供者)的用戶認(rèn)證的結(jié)果作為被稱為斷言(assertion)的消息發(fā)行�,并提供給稱為SP(Servi ceProvider,服務(wù)提供商)的服務(wù)���。然后�,SP通過(guò)信任斷言�����,能夠檢測(cè)用戶是否已認(rèn)證。在先技術(shù)文獻(xiàn)專利文獻(xiàn)I :日本特開(kāi)2010-113462號(hào)公報(bào)非專利文獻(xiàn)I 'Profiles for the OASIS Security Assertion Mark upLanguage (SAML)V2. 0. ”���,OASIS Standard, March 2005發(fā)明的概要發(fā)明所要解決的技術(shù)問(wèn)題另ー方面���,在網(wǎng)上銀行或行政手續(xù)等需要高安全性的服務(wù)中,也考慮為了接受I個(gè)服務(wù)而將多個(gè)用戶認(rèn)證的結(jié)果組合使用的系統(tǒng)方式(多要素認(rèn)證)�����。由此�,即使多要素認(rèn)證之中的I個(gè)用戶認(rèn)證被不法攻擊者成功攻破,只要多要素認(rèn)證之中的其他用戶認(rèn)證未成功��,服務(wù)就不被許可��,所以能夠提高安全強(qiáng)度����。但是��,有時(shí)用戶在多要素認(rèn)證中來(lái)回使用(流用)相同的密碼等�����,而導(dǎo)致疏忽了多要素認(rèn)證中的各個(gè)密碼管理。此時(shí)��,若I個(gè)用戶認(rèn)證被攻擊者破解�,其他用戶認(rèn)證也被連鎖破解,所以即使采用多要素認(rèn)證����,也不能保證充分的安全強(qiáng)度。
發(fā)明內(nèi)容
本發(fā)明的目的在干���,解決上述問(wèn)題�����,防止在將多個(gè)用戶認(rèn)證的結(jié)果組合使用時(shí)安全性下降��。用于解決技術(shù)問(wèn)題所采用的技術(shù)手段為了解決上述課題�����,本發(fā)明涉及ー種認(rèn)證協(xié)作系統(tǒng)���,許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)時(shí)�����,作為與該服務(wù)的許可有關(guān)的策略����,需要將針對(duì)用戶的多次認(rèn)證結(jié)果作為用戶認(rèn)證狀態(tài)���,其特征在于��,所述認(rèn)證協(xié)作系統(tǒng)構(gòu)成為包括認(rèn)證服務(wù)器����,當(dāng)與用戶對(duì)應(yīng)的認(rèn)證信息是登錄在該裝置的存儲(chǔ)單元內(nèi)的數(shù)據(jù)時(shí)����,作為表示認(rèn)證處理已成功,輸出構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果����;認(rèn)證協(xié)作服務(wù)器���,當(dāng)所述認(rèn)證服務(wù)器輸出的所述認(rèn)證結(jié)果的集合���、即所述用戶認(rèn)證狀態(tài)滿足對(duì)每個(gè)服務(wù)規(guī)定的所述策略時(shí)���,許可服務(wù);以及認(rèn)證信息驗(yàn)證服務(wù)器�,對(duì)所述認(rèn)證服務(wù)器在所述認(rèn)證處理中使用的所述認(rèn)證信息,驗(yàn)證多個(gè)所述認(rèn)證信息間的流用��,所述認(rèn)證服務(wù)器將在所述認(rèn)證處理中處理的所述認(rèn)證信息作為輸入����,進(jìn)行保密化運(yùn)算處理,生成每個(gè)所述認(rèn)證信息的保密認(rèn)證信息��,��、
所述認(rèn)證信息驗(yàn)證服務(wù)器取得多組由所述認(rèn)證服務(wù)器生成的所述保密認(rèn)證信息和能夠唯一地確定所述用戶終端的用戶的用戶ID的組合��,相互進(jìn)行對(duì)照���,從而提取發(fā)生了針對(duì)該組合的流用的多個(gè)所述認(rèn)證信息�,所述用戶終端是指使用作為所述保密認(rèn)證信息的生成源的所述認(rèn)證信息的用戶終端��,在許可所述服務(wù)的處理中���,所述認(rèn)證協(xié)作服務(wù)器判斷將發(fā)生了所述認(rèn)證信息流用的所述認(rèn)證結(jié)果除外之后的所述用戶認(rèn)證狀態(tài)是否滿足所述策略�,以作為構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果。其他單元將在后面描述���。根據(jù)本發(fā)明��,能夠防止在將多個(gè)用戶認(rèn)證的結(jié)果組合使用時(shí)安全性下降�����。
圖I是本發(fā)明的第I實(shí)施方式所涉及的認(rèn)證協(xié)作系統(tǒng)的構(gòu)成圖���。圖2是示出構(gòu)成本發(fā)明的第I實(shí)施方式所涉及的認(rèn)證協(xié)作系統(tǒng)的各裝置的詳細(xì)情況的構(gòu)成圖。圖3是構(gòu)成本發(fā)明的第I實(shí)施方式所涉及的認(rèn)證協(xié)作系統(tǒng)的各計(jì)算機(jī)的硬件構(gòu)成圖��。圖4是示出本發(fā)明的第I實(shí)施方式所涉及的用戶ID “taro”使用第I服務(wù)ID的服務(wù)內(nèi)容的處理的流程圖���。圖5是示出在本發(fā)明的第I實(shí)施方式所涉及的圖4的執(zhí)行后���,用戶ID “taro”使用第2服務(wù)ID的服務(wù)內(nèi)容的處理的流程圖。圖6是示出本發(fā)明的第I實(shí)施方式所涉及的圖4和圖5的處理中的認(rèn)證協(xié)作服務(wù)器的動(dòng)作的流程圖����。圖7是示出本發(fā)明的第I實(shí)施方式所涉及的圖4和圖5的處理中的認(rèn)證信息驗(yàn)證服務(wù)器的動(dòng)作的流程圖。圖8是本發(fā)明的第2實(shí)施方式所涉及的認(rèn)證協(xié)作系統(tǒng)的構(gòu)成圖���。圖9是示出構(gòu)成本發(fā)明的第2實(shí)施方式所涉及的認(rèn)證協(xié)作系統(tǒng)的各裝置的詳細(xì)情況的構(gòu)成圖�����。圖10是示出在本發(fā)明的第2實(shí)施方式所涉及的域A側(cè)開(kāi)始的處理的流程圖�����。圖11是示出本發(fā)明的第2實(shí)施方式所涉及的�����、以向域B請(qǐng)求服務(wù)為時(shí)機(jī)在域B側(cè)開(kāi)始的處理的流程圖�����。
圖12是示出本發(fā)明的第2實(shí)施方式所涉及的SAML SP部執(zhí)行的各處理的流程圖��。附圖標(biāo)記說(shuō)明I應(yīng)用程序服務(wù)器�����;2認(rèn)證協(xié)作服務(wù)器�����;3認(rèn)證信息驗(yàn)證服務(wù)器���;8用戶終端�����;4認(rèn)證服務(wù)器�����;5網(wǎng)絡(luò)�;6認(rèn)證代理服務(wù)器���;11SAML SP部�;12網(wǎng)頁(yè)服務(wù)器�;13訪問(wèn)表;21認(rèn)證狀態(tài)管理部���;22定位符管理部���;23ID管理部��;24許可判斷部�����;25SAML IdP代理部;26認(rèn)證信息驗(yàn)證委托部����;27認(rèn)證狀態(tài)表;28認(rèn)證請(qǐng)求策略表���;29認(rèn)證服務(wù)器列表����;31流用檢測(cè)管理部��;32認(rèn)證信息驗(yàn)證部�����;33通信部���;34流用檢測(cè)用表��;41認(rèn)證信息管理部���;42認(rèn)證信息保密部����;43認(rèn)證部����;44SAML IdP部;45認(rèn)證信息表��;61SAML SP部����;62認(rèn)證信息協(xié)作部;63SAML ECP部��;64認(rèn)證協(xié)作表���;76認(rèn)證信息提供部�;81網(wǎng)頁(yè)瀏覽器
具體實(shí)施例方式下面���,參照附圖��,詳細(xì)說(shuō)明本發(fā)明的ー實(shí)施方式����。
圖I是認(rèn)證協(xié)作系統(tǒng)的構(gòu)成圖。認(rèn)證協(xié)作系統(tǒng)為2個(gè)域A���、B間用網(wǎng)絡(luò)5a、5b連接而構(gòu)成����。網(wǎng)絡(luò)5a、5b可以是企業(yè)內(nèi)LAN(Local Area Network,局域網(wǎng))這樣的私用網(wǎng)絡(luò)�,也可以是因特網(wǎng)這樣的公共網(wǎng)路。另外����,在下面的說(shuō)明中,當(dāng)在2個(gè)域中存在相同的構(gòu)成要素時(shí)���,該構(gòu)成要素的符號(hào)末尾的“a���,b”表示所屬的域。例如����,認(rèn)證協(xié)作服務(wù)器2分別有域A內(nèi)的認(rèn)證協(xié)作服務(wù)器2a和域B內(nèi)的認(rèn)證協(xié)作服務(wù)器2b����。在使用SAML的認(rèn)證協(xié)作系統(tǒng)中���,作為認(rèn)證用的結(jié)構(gòu)�����,包括認(rèn)證協(xié)作服務(wù)器2a����、認(rèn)證協(xié)作服務(wù)器2b���、認(rèn)證信息驗(yàn)證服務(wù)器3�、認(rèn)證服務(wù)器4b�、認(rèn)證服務(wù)器4a。此外���,作為利用該認(rèn)證結(jié)果的裝置����,包括用戶終端8、應(yīng)用程序服務(wù)器lx��、以及應(yīng)用程序服務(wù)器ly�。用戶終端8是與認(rèn)證協(xié)作系統(tǒng)的其他裝置之間進(jìn)行通信的裝置,具備實(shí)施該通信的網(wǎng)頁(yè)瀏覽器81�。另外,對(duì)于這些裝置構(gòu)成����,各個(gè)裝置可以被物理地收納在I臺(tái)筐體中,也可以將多個(gè)裝置(認(rèn)證協(xié)作服務(wù)器2����、認(rèn)證信息驗(yàn)證服務(wù)器3等)物理地收納在I臺(tái)筐體中�����。下面�,對(duì)在本實(shí)施方式中使用的各個(gè)術(shù)語(yǔ)進(jìn)行定義。表I
權(quán)利要求
1.ー種認(rèn)證協(xié)作系統(tǒng)�,許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)吋,作為與該服務(wù)的許可有關(guān)的策略�,作為用戶認(rèn)證狀態(tài)需要針對(duì)用戶的多次認(rèn)證結(jié)果,其特征在于��,所述認(rèn)證協(xié)作系統(tǒng)包括 認(rèn)證服務(wù)器,當(dāng)與用戶對(duì)應(yīng)的認(rèn)證信息是登錄在自裝置的存儲(chǔ)單元內(nèi)的數(shù)據(jù)時(shí)���,作為認(rèn)證處理已成功�����,并輸出構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果�����; 認(rèn)證協(xié)作服務(wù)器�,當(dāng)所述認(rèn)證服務(wù)器輸出的所述認(rèn)證結(jié)果的集合��、即所述用戶認(rèn)證狀態(tài)滿足對(duì)每個(gè)服務(wù)規(guī)定的所述策略時(shí)�����,許可服務(wù)����;以及 認(rèn)證信息驗(yàn)證服務(wù)器,對(duì)于所述認(rèn)證服務(wù)器在所述認(rèn)證處理中處理的所述認(rèn)證信息����,驗(yàn)證在多個(gè)所述認(rèn)證信息間的流用���, 所述認(rèn)證服務(wù)器將在所述認(rèn)證處理中處理的所述認(rèn)證信息作為輸入,進(jìn)行保密化運(yùn)算處理��,從而生成每個(gè)所述認(rèn)證信息的保密認(rèn)證信息�����, 所述認(rèn)證信息驗(yàn)證服務(wù)器取得多組由所述認(rèn)證服務(wù)器生成的所述保密認(rèn)證信息和唯一地確定所述用戶終端的用戶的用戶ID的組合并進(jìn)行相互對(duì)照��,從而提取發(fā)生了該組合的流用的多個(gè)所述認(rèn)證信息���,所述用戶終端是指使用作為所述保密認(rèn)證信息的生成源的所述認(rèn)證信息的用戶終端���, 在許可所述服務(wù)的處理中����,作為構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果,所述認(rèn)證協(xié)作服務(wù)器判斷將發(fā)生了所述認(rèn)證信息的流用的所述認(rèn)證結(jié)果除外之后的所述用戶認(rèn)證狀態(tài)是否滿足所述策略�。
2.ー種認(rèn)證協(xié)作系統(tǒng),許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)時(shí)�����,作為與該服務(wù)的許可有關(guān)的策略,作為用戶認(rèn)證狀態(tài)需要針對(duì)用戶的多次認(rèn)證結(jié)果���,其特征在于��,所述認(rèn)證協(xié)作系統(tǒng)包括 認(rèn)證服務(wù)器�,當(dāng)與用戶對(duì)應(yīng)的認(rèn)證信息是登錄在自裝置的存儲(chǔ)單元內(nèi)的數(shù)據(jù)時(shí)��,作為認(rèn)證處理已成功���,并輸出構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果����; 認(rèn)證協(xié)作服務(wù)器�,當(dāng)所述認(rèn)證服務(wù)器輸出的所述認(rèn)證結(jié)果的集合、即所述用戶認(rèn)證狀態(tài)滿足對(duì)每個(gè)服務(wù)規(guī)定的所述策略時(shí)�,許可服務(wù);以及 認(rèn)證信息驗(yàn)證服務(wù)器�����,對(duì)于所述認(rèn)證服務(wù)器在所述認(rèn)證處理中處理的所述認(rèn)證信息�����,驗(yàn)證在多個(gè)所述認(rèn)證信息間的流用, 所述認(rèn)證服務(wù)器將在所述認(rèn)證處理中處理的所述認(rèn)證信息和唯一地確定所述用戶終端的用戶的用戶ID作為輸入�����,進(jìn)行保密化運(yùn)算處理��,從而生成每個(gè)所述認(rèn)證信息的保密認(rèn)證信息�����, 所述認(rèn)證信息驗(yàn)證服務(wù)器取得多個(gè)由所述認(rèn)證服務(wù)器生成的所述保密認(rèn)證信息并進(jìn)行相互對(duì)照�,從而提取發(fā)生了該組合的流用的多個(gè)所述認(rèn)證信息, 在許可所述服務(wù)的處理中���,作為構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果����,所述認(rèn)證協(xié)作服務(wù)器判斷將發(fā)生了所述認(rèn)證信息的流用的所述認(rèn)證結(jié)果除外之后的所述用戶認(rèn)證狀態(tài)是否滿足所述策略�。
3.—種認(rèn)證協(xié)作系統(tǒng)�,許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)吋,作為與該服務(wù)的許可有關(guān)的策略���,作為用戶認(rèn)證狀態(tài)需要針對(duì)用戶的多次認(rèn)證結(jié)果��,其特征在于���,所述認(rèn)證協(xié)作系統(tǒng)包括 認(rèn)證服務(wù)器���,當(dāng)與用戶對(duì)應(yīng)的認(rèn)證信息是登錄在自裝置的存儲(chǔ)單元內(nèi)的數(shù)據(jù)時(shí),作為認(rèn)證處理已成功����,并輸出構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果; 認(rèn)證協(xié)作服務(wù)器�����,當(dāng)所述認(rèn)證服務(wù)器輸出的所述認(rèn)證結(jié)果的集合�、即所述用戶認(rèn)證狀態(tài)滿足對(duì)每個(gè)服務(wù)規(guī)定的所述策略時(shí),許可服務(wù)����;以及 認(rèn)證信息驗(yàn)證服務(wù)器,對(duì)于所述認(rèn)證服務(wù)器在所述認(rèn)證處理中處理的所述認(rèn)證信息�����,驗(yàn)證在多個(gè)所述認(rèn)證信息間的流用, 當(dāng)同一所述用戶終端分別與多個(gè)所述認(rèn)證服務(wù)器確立會(huì)話時(shí)�,所述認(rèn)證服務(wù)器作為識(shí)別該會(huì)話的會(huì)話ID使用同一會(huì)話ID,將在所述認(rèn)證處理中處理的所述認(rèn)證信息和會(huì)話ID作為輸入��,進(jìn)行保密化運(yùn)算處理�����,從而生成每個(gè)所述認(rèn)證信息的保密認(rèn)證信息�����, 所述認(rèn)證信息驗(yàn)證服務(wù)器取得多個(gè)由所述認(rèn)證服務(wù)器生成的所述保密認(rèn)證信息并進(jìn)行相互對(duì)照���,從而提取發(fā)生了該組合的流用的多個(gè)所述認(rèn)證信息����, 在許可所述服務(wù)的處理中�,作為構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果,所述認(rèn)證協(xié)作服務(wù)器判斷將發(fā)生了所述認(rèn)證信息的流用的所述認(rèn)證結(jié)果除外之后的所述用戶認(rèn)證狀態(tài)是否滿足所述策略���。
4.根據(jù)權(quán)利請(qǐng)求I所述的認(rèn)證協(xié)作系統(tǒng)����,其特征在干��, 所述認(rèn)證服務(wù)器�,當(dāng)所執(zhí)行的所述認(rèn)證處理的認(rèn)證方式是密碼認(rèn)證或電子證書認(rèn)證吋,作為所述保密化運(yùn)算處理�����,調(diào)用以輸入值為參量的哈希函數(shù)�����,從而生成所述保密認(rèn)證信息�, 所述認(rèn)證信息驗(yàn)證服務(wù)器,作為用于提取發(fā)生了流用的多個(gè)所述認(rèn)證信息的對(duì)照處理�,當(dāng)多個(gè)所述保密認(rèn)證信息的值一致時(shí),判斷為在多個(gè)所述認(rèn)證信息間發(fā)生了流用�����。
5.根據(jù)權(quán)利請(qǐng)求I所述的認(rèn)證協(xié)作系統(tǒng)����,其特征在干, 所述認(rèn)證服務(wù)器�����,當(dāng)所執(zhí)行的所述認(rèn)證處理的認(rèn)證方式是生物體認(rèn)證吋,作為所述保密化運(yùn)算處理�,將生物體的所述認(rèn)證信息和私鑰作為輸入,調(diào)用不改變生物體信息的相關(guān)性地進(jìn)行變換的函數(shù)��,生成所述保密認(rèn)證信息����, 所述認(rèn)證信息驗(yàn)證服務(wù)器,作為用于提取發(fā)生了流用的多個(gè)所述認(rèn)證信息的對(duì)照處理��,當(dāng)多個(gè)所述保密認(rèn)證信息間的類似度為預(yù)定值以上時(shí)�����,判斷為在多個(gè)所述認(rèn)證信息間發(fā)生了流用����。
6.ー種認(rèn)證協(xié)作方法,由認(rèn)證協(xié)作系統(tǒng)執(zhí)行���,該認(rèn)證協(xié)作系統(tǒng)在許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)時(shí)�����,作為與該服務(wù)的許可有關(guān)的策略����,作為用戶認(rèn)證狀態(tài)需要針對(duì)用戶的多次認(rèn)證結(jié)果�,所述認(rèn)證協(xié)作方法的特征在干, 所述認(rèn)證協(xié)作系統(tǒng)構(gòu)成為包括 認(rèn)證服務(wù)器���,當(dāng)與用戶對(duì)應(yīng)的認(rèn)證信息是登錄在自裝置的存儲(chǔ)單元內(nèi)的數(shù)據(jù)時(shí)����,作為認(rèn)證處理已成功��,并輸出構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果��; 認(rèn)證協(xié)作服務(wù)器�,當(dāng)所述認(rèn)證服務(wù)器輸出的所述認(rèn)證結(jié)果的集合、即所述用戶認(rèn)證狀態(tài)滿足對(duì)每個(gè)服務(wù)規(guī)定的所述策略時(shí)�,許可服務(wù);以及 認(rèn)證信息驗(yàn)證服務(wù)器����,對(duì)于所述認(rèn)證服務(wù)器在所述認(rèn)證處理中處理的所述認(rèn)證信息,驗(yàn)證在多個(gè)所述認(rèn)證信息間的流用, 所述認(rèn)證服務(wù)器將在所述認(rèn)證處理中處理的所述認(rèn)證信息作為輸入��,進(jìn)行保密化運(yùn)算處理���,從而生成每個(gè)所述認(rèn)證信息的保密認(rèn)證信息�����, 所述認(rèn)證信息驗(yàn)證服務(wù)器取得多組由所述認(rèn)證服務(wù)器生成的所述保密認(rèn)證信息和唯一地確定所述用戶終端的用戶的用戶ID的組合并進(jìn)行相互對(duì)照�,從而提取發(fā)生了該組合的流用的多個(gè)所述認(rèn)證信息���,所述用戶終端是指使用作為所述保密認(rèn)證信息的生成源的所述認(rèn)證信息的用戶終端�����, 在許可所述服務(wù)的處理中�����,作為構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果����,所述認(rèn)證協(xié)作服務(wù)器判斷將發(fā)生了所述認(rèn)證信息的流用的所述認(rèn)證結(jié)果除外之后的所述用戶認(rèn)證狀態(tài)是否滿足所述策略�。
7.—種認(rèn)證協(xié)作方法,由認(rèn)證協(xié)作系統(tǒng)執(zhí)行,該認(rèn)證協(xié)作系統(tǒng)在許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)時(shí)���,作為與該服務(wù)的許可有關(guān)的策略����,作為用戶認(rèn)證狀態(tài)需要針對(duì)用戶的多次認(rèn)證結(jié)果�,所述認(rèn)證協(xié)作方法的特征在干, 所述認(rèn)證協(xié)作系統(tǒng)構(gòu)成為包括 認(rèn)證服務(wù)器����,當(dāng)與用戶對(duì)應(yīng)的認(rèn)證信息是登錄在自裝置的存儲(chǔ)單元內(nèi)的數(shù)據(jù)時(shí)��,作為認(rèn)證處理已成功�����,并輸出構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果����; 認(rèn)證協(xié)作服務(wù)器,當(dāng)所述認(rèn)證服務(wù)器輸出的所述認(rèn)證結(jié)果的集合�����、即所述用戶認(rèn)證狀態(tài)滿足對(duì)每個(gè)服務(wù)規(guī)定的所述策略時(shí),許可服務(wù)���;以及 認(rèn)證信息驗(yàn)證服務(wù)器�����,對(duì)于所述認(rèn)證服務(wù)器在所述認(rèn)證處理中處理的所述認(rèn)證信息�,驗(yàn)證在多個(gè)所述認(rèn)證信息間的流用����, 所述認(rèn)證服務(wù)器將在所述認(rèn)證處理中處理的所述認(rèn)證信息和唯一地確定所述用戶終端的用戶的用戶ID作為輸入,進(jìn)行保密化運(yùn)算處理��,從而生成每個(gè)所述認(rèn)證信息的保密認(rèn)證信息���, 所述認(rèn)證信息驗(yàn)證服務(wù)器取得多個(gè)由所述認(rèn)證服務(wù)器生成的所述保密認(rèn)證信息并進(jìn)行相互對(duì)照�,從而提取發(fā)生了該組合的流用的多個(gè)所述認(rèn)證信息�, 在許可所述服務(wù)的處理中,作為構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果�����,所述認(rèn)證協(xié)作服務(wù)器判斷將發(fā)生了所述認(rèn)證信息的流用的所述認(rèn)證結(jié)果除外之后的所述用戶認(rèn)證狀態(tài)是否滿足所述策略����。
8.—種認(rèn)證協(xié)作方法���,由認(rèn)證協(xié)作系統(tǒng)執(zhí)行,該認(rèn)證協(xié)作系統(tǒng)在許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)時(shí)����,作為與該服務(wù)的許可有關(guān)的策略,作為用戶認(rèn)證狀態(tài)需要針對(duì)用戶的多次認(rèn)證結(jié)果��,所述認(rèn)證協(xié)作方法的特征在干�����, 所述認(rèn)證協(xié)作系統(tǒng)構(gòu)成為包括 認(rèn)證服務(wù)器����,當(dāng)與用戶對(duì)應(yīng)的認(rèn)證信息是登錄在自裝置的存儲(chǔ)單元內(nèi)的數(shù)據(jù)時(shí)���,作為認(rèn)證處理已成功�����,并輸出構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果���; 認(rèn)證協(xié)作服務(wù)器�����,當(dāng)所述認(rèn)證服務(wù)器輸出的所述認(rèn)證結(jié)果的集合���、即所述用戶認(rèn)證狀態(tài)滿足對(duì)每個(gè)服務(wù)規(guī)定的所述策略時(shí),許可服務(wù)����;以及 認(rèn)證信息驗(yàn)證服務(wù)器,對(duì)于所述認(rèn)證服務(wù)器在所述認(rèn)證處理中處理的所述認(rèn)證信息�����,驗(yàn)證在多個(gè)所述認(rèn)證信息間的流用�����, 當(dāng)同一所述用戶終端分別與多個(gè)所述認(rèn)證服務(wù)器確立會(huì)話時(shí)���,所述認(rèn)證服務(wù)器作為識(shí)別該會(huì)話的會(huì)話ID使用同一會(huì)話ID����,將在所述認(rèn)證處理中處理的所述認(rèn)證信息和會(huì)話ID作為輸入,進(jìn)行保密化運(yùn)算處理����,從而生成每個(gè)所述認(rèn)證信息的保密認(rèn)證信息, 所述認(rèn)證信息驗(yàn)證服務(wù)器取得多個(gè)由所述認(rèn)證服務(wù)器生成的所述保密認(rèn)證信息并進(jìn)行相互對(duì)照�,從而提取發(fā)生了該組合的流用的多個(gè)所述認(rèn)證信息,在許可所述服務(wù)的處理中���,作為構(gòu)成所述用戶認(rèn)證狀態(tài)的所述認(rèn)證結(jié)果�,所述認(rèn)證協(xié)作服務(wù)器判斷將發(fā)生了所述認(rèn)證信息的流用的所述認(rèn)證結(jié)果除外之后的所述用戶認(rèn)證狀態(tài)是否滿足所述策略�����。
9.根據(jù)權(quán)利請(qǐng)求6所述的認(rèn)證協(xié)作方法�����,其特征在干��, 所述認(rèn)證服務(wù)器����,當(dāng)所執(zhí)行的所述認(rèn)證處理的認(rèn)證方式是密碼認(rèn)證或電子證書認(rèn)證吋���,作為所述保密化運(yùn)算處理��,調(diào)用以輸入值為參量的哈希函數(shù)����,從而生成所述保密認(rèn)證信息, 所述認(rèn)證信息驗(yàn)證服務(wù)器���,作為用于提取發(fā)生了流用的多個(gè)所述認(rèn)證信息的對(duì)照處理����,當(dāng)多個(gè)所述保密認(rèn)證信息的值一致時(shí)��,判斷為在多個(gè)所述認(rèn)證信息間發(fā)生了流用�。
10.根據(jù)權(quán)利請(qǐng)求6所述的認(rèn)證協(xié)作方法,其特征在干���, 所述認(rèn)證服務(wù)器�,當(dāng)所執(zhí)行的所述認(rèn)證處理的認(rèn)證方式是生物體認(rèn)證吋����,作為所述保密化運(yùn)算處理,將生物體的所述認(rèn)證信息和私鑰作為輸入��,調(diào)用不改變生物體信息的相關(guān)性地進(jìn)行變換的函數(shù),生成所述保密認(rèn)證信息���, 所述認(rèn)證信息驗(yàn)證服務(wù)器�����,作為用于提取發(fā)生了流用的多個(gè)所述認(rèn)證信息的對(duì)照處理����,當(dāng)多個(gè)所述保密認(rèn)證信息間的類似度為預(yù)定值以上時(shí)��,判斷為在多個(gè)所述認(rèn)證信息間發(fā)生了流用�����。
全文摘要
本發(fā)明提供一種以低成本實(shí)現(xiàn)將多個(gè)網(wǎng)頁(yè)服務(wù)協(xié)作的協(xié)作服務(wù)的認(rèn)證協(xié)作系統(tǒng)��。認(rèn)證協(xié)作系統(tǒng)的認(rèn)證服務(wù)器(4)將在認(rèn)證處理中處理的認(rèn)證信息作為輸入����,進(jìn)行保密化運(yùn)算處理,從而生成每個(gè)認(rèn)證信息的保密認(rèn)證信息���,認(rèn)證信息驗(yàn)證服務(wù)器3取得多組由認(rèn)證服務(wù)器(4)生成的保密認(rèn)證信息和能夠唯一地確定用戶終端(8)的用戶的用戶ID的組合�����,相互進(jìn)行對(duì)照���,從而提取發(fā)生了針對(duì)該組合的流用的多個(gè)所述認(rèn)證信息,用戶終端(8)是使用作為保密認(rèn)證信息的生成源的認(rèn)證信息的用戶終端��,認(rèn)證協(xié)作服務(wù)器(2)判斷將發(fā)生了認(rèn)證信息流用的認(rèn)證結(jié)果除外之后的用戶認(rèn)證狀態(tài)是否滿足策略�����,以作為構(gòu)成用戶認(rèn)證狀態(tài)的認(rèn)證結(jié)果�����。
文檔編號(hào)H04L29/06GK102739400SQ201210022408
公開(kāi)日2012年10月17日 申請(qǐng)日期2012年2月1日 優(yōu)先權(quán)日2011年3月30日
發(fā)明者入部真一, 林直樹(shù), 矢戶晃史, 鍛忠司 申請(qǐng)人:株式會(huì)社日立制作所