认证系统、方法以及程序的制作方法

认证系统、方法以及程序的制作方法
【技术领域】
[0001]本发明的实施方式涉及认证系统、方法以及程序。
【背景技术】
[0002]近年来，企业或者供应商等服务提供者对用户的ID以及密码进行认证，向用户提供服务。
[0003]因此，用户需要按照每个服务来管理ID以及密码。另外，出于安全强化的观点，各服务提供者要求用户定期地更新密码、或使用复杂且较长的密码。
[0004]这里，当在线利用金融机构时，为了进行本人确认，推荐使用随机数卡或一次性密码等。在该情况下，用户需要按照每个服务管理一次性密码的设备、随机数表。
[0005]另一方面，服务提供者按照每个用户管理以及认证ID以及密码，并提供服务。另夕卜，出于成本、运用方面的考虑，服务提供者通过一次性密码的设备、随机数表的使用等维持每个用户的安全强度。由于这些一次性密码的设备、随机数表维持安全强度，因此不能与其他服务提供者共同地使用。
[0006]如以上那样，用户以及服务提供者需要管理密码、一次性密码的设备或者随机数表等。关于这种管理，按照用户与服务的每个组合而管理对象增加，因此变得繁琐，导致便利性降低。出于阻止这种便利性降低的观点，实现了基于通过一次认证使多个服务能够使用的单点登录(SSO)的认证协作(federat1n)。
[0007]为了使用单点登录，需要多个服务提供者相互建立信赖关系，并且在各服务提供者的系统之间进行认证协作。
[0008]现有技术文献
[0009]专利文献
[0010]专利文献1:日本专利第4956096号公报
[0011]专利文献2:日本特开2001 — 273421号公报
[0012]专利文献3:日本特开2001 —197055号公报

【发明内容】

[0013]发明要解决的课题
[0014]然而，对于以上那种认证协作，由于产生了由各服务提供者监视其他服务提供者的系统的需要，因此运用复杂化，导致服务提供者的便利性降低。
[0015]另外，对于以上那种认证协作，在系统之间的认证的强度不同的情况下，用户难以安全地使用单点登录，导致用户的便利性降低。
[0016]另外，由于服务提供者不能容易地准备生物体认证等的高安全环境，因此持续使用暂时构建的环境的可能性较高。因此，提供给用户的认证方法被固定。
[0017]另外，已知有服务提供者承包用户的ID管理的IDaaS(Identity as a Service，身份认证即服务)运营商。
[0018]本发明要解决的课题在于，提供一种能够在提高用户以及服务提供者的便利性的同时容易地变更认证方式的认证系统、方法以及程序。
[0019]用于解决课题的手段
[0020]实施方式的认证系统具备能够与由用户操作的用户终端进行通信的服务提供者装置、IDaaS运营商装置以及认证代理装置。
[0021 ]上述服务提供者装置具备服务帐户信息存储机构。
[0022]上述服务帐户信息存储机构存储有服务帐户信息，该服务帐户信息包含用于识别该服务提供者装置所提供的服务的帐户的服务帐户标识符以及第一协作ID。
[0023]上述IDaaS运营商装置具备SSO帐户信息存储机构。
[0024]上述SSO帐户信息存储机构存储SSO帐户信息，该SSO帐户信息包含与用于识别上述用户的用户ID—致的单点登录(SSO)帐户标识符、与上述第一协作ID—致的第一协作ID以及与上述第一协作ID不同的第二协作ID。
[0025]上述认证代理装置具备认证帐户信息存储机构。
[0026]上述认证帐户信息存储机构存储有认证帐户信息，该认证帐户信息包含用于识别针对上述用户的认证处理的帐户的认证帐户标识符、与上述第二协作ID—致的第二协作ID以及表示该认证处理的方式的认证类别。
[0027]具有如下认证帐户信息的上述认证代理装置基于从上述用户终端发送的用户ID以及SSO请求，执行操作上述用户终端的用户的认证处理，上述认证帐户信息经由第二协作ID而与包含与该用户ID—致的SSO帐户标识符在内的SSO帐户信息建立了关联。
[0028]在上述认证处理的结果为成功时，具有包含了与被进行了该认证处理的用户的用户ID—致的SSO帐户标识符在内的SSO帐户信息的IDssS运营商装置，允许针对如下服务的SSO认证，上述服务是经由第一协作ID而与该SSO帐户信息建立了关联的服务帐户信息中包含的服务帐户标识符所识别出的服务。
[0029]提供被允许了上述SSO认证的服务的上述服务提供装置对发送了上述用户ID以及上述SSO请求的用户终端发送与上述服务相关的信息。
【附图说明】
[0030]图1是表示第一实施方式的认证系统的构成的示意图。
[0031]图2是用于说明该实施方式中的各装置的帐户信息等的示意图。
[0032]图3是用于说明该实施方式中的各帐户信息的示意图。
[0033]图4是用于说明该实施方式中的动作的一个例子的示意图。
[0034]图5是表示该实施方式中的业务顺序的一个例子的顺序图。
[0035]图6是表示该实施方式中的业务顺序的一个例子的顺序图。
[0036]图7是用于说明该实施方式中的动作的一个例子的流程图。
[0037]图8是用于说明该实施方式中的动作的一个例子的流程图。
[0038]图9是用于说明该实施方式中的动作的一个例子的示意图。
[0039]图10是用于说明应用于第二实施方式的认证系统中的各管理表的示意图。
[0040]图11是用于说明该实施方式中的各帐户信息的示意图。
[0041]图12是用于说明该实施方式中的动作的一个例子的示意图。
[0042]图13是表示该实施方式中的认证等级的管理例的示意图。
[0043]图14是用于说明该实施方式中的动作的一个例子的流程图。
[0044]图15是用于说明该实施方式中的动作的一个例子的流程图。
[0045]图16是用于说明该实施方式中的动作的一个例子的流程图。
[0046]图17是用于说明该实施方式中的动作的一个例子的流程图。
[0047]图18是用于说明该实施方式中的动作的一个例子的流程图。
[0048]图19是用于说明该实施方式中的动作的一个例子的流程图。
[0049]图20是表示该实施方式中的认证等级变更时的方针的一个例子的示意图。
[0050]图21是表示该实施方式中的认证等级变更时的方针的一个例子的示意图。
【具体实施方式】
[0051]以下，使用【附图说明】各实施方式，在这之前，叙述各实施方式的概要。
[0052]第一实施方式涉及一种认证系统，该认证系统具备能够与由用户操作的用户终端进行通信的服务提供者装置、IDaaS运营商装置以及认证代理装置。此外，认证系统也可以采用如下构成:具备能够分别与由用户操作的用户终端以及用于对该用户提供服务的服务提供者装置进行通信的IDaaS运营商装置以及认证代理装置。
[0053]服务提供者装置具备服务帐户信息存储机构。服务帐户信息存储机构存储服务帐户信息，该服务帐户信息包含用于识别服务提供者装置所提供的服务的帐户的服务帐户标识符以及第一协作ID。
[0054]IDaaS运营商装置具备单点登录(SSO)帐户信息存储机构。SSO帐户信息存储机构存储SSO帐户信息，该SSO帐户信息包含与用于识别用户的用户ID—致的单点登录(SSO)帐户标识符、与第一协作ID—致的第一协作ID以及与第一协作ID不同的第二协作ID。
[0055]认证代理装置具备认证帐户信息存储机构。认证帐户信息存储机构存储认证帐户信息，该认证帐户信息包含用于识别针对用户的认证处理的帐户的认证帐户标识符、与第二协作ID—致的第二协作ID以及表示该认证处理的方式的认证类别。
[0056]这里，认证代理装置基于从用户终端发送的用户ID以及SSO请求，执行操作用户终端的用户的认证处理，该认证代理装置具有经由第二协作ID而与如下SSO帐户信息建立了关联的认证帐户信息，上述SSO帐户信息包含与该用户ID—致的SSO帐户标识符。
[0057]在认证处理的结果为成功时，具有包含了与被进行了该认证处理的用户的用户ID一致的SSO帐户标识符在内的SSO帐户信息的IDssS运营商装置，允许针对如下服务的SSO认证，上述服务是经由第一协作ID而与该SSO帐户信息建立了关联的服务帐户信息中包含的服务帐户标识符所识别出的服务。
[0058]提供被允许了SSO认证的服务的服务提供装置对发送用户ID以及SSO请求的用户终端发送与服务相关的信息。
[0059]根据以上那种第一实施方式，各服务提供者无需监视其他服务提供者的系统，运用变得容易，服务提供者的便利性提高。
[0060]另外，关于以上那种认证协作，由于由与IDaaS运营商装置协作的认证代理装置执行认证，因此用户易于安全地使用单点登录，用户的便利性提高。
[0061]另外，由于服务提供者无需准备生物体认证等的高安全环境，因此能够容易地变更对用户提供的认证方法。
[0062]根据这种第一实施方式，能够在使用户以及服务提供者的便利性提高的同时容易地变更认证方式。
[0063]另外，在第一实施方式中，认证代理装置具备第一表存储机构，该第一表存储机构存储有认证类别管理表，上述认证类别管理表将表示认证处理的方式的认证类别以及表示该认证处理的等级的认证等级建立关联地记述。
[0064]SSO帐户信息存储机构包含认证等级。
[0065]这里，在认证处理产生问题、该认证处理的等级降低的情况下，认证代理装置以使该认证处理的认证等级降低的方式更新认证类别管理表，将降低后的该认证等级以及在认证帐户信息内与该认证等级建立了关联的认证类别发送到IDaaS运营商装置。
[0066]IDaaS运营商装置在从认证代理装置接收到认证等级和认证类别时，基于接收到的该认证类别，检索SSO帐户信息，以使通过该检索获得的认证等级降低至接收到的该认证等级的方式，更新SSO帐户信息。
[0067]因此，根据第一实施方式，在认证处理产生问题、该认证处理的等级降低的情况下，能够使认证等级降低，因此能够维持认证处理的可靠性。
[0068]接下来，在第二实施方式中，认证代理装置具备第一表存储机构。第一表存储机构存储有认证类别管理表，该认证类别管理表将表示认证处理的方式的认证类别、表示该认证处理的等级的认证等级以及包含该认证类别的认证代理运营商名的认证类别索引建立关联地记述。
[0069]IDaaS运营商装置具备第二表存储机构，该第二表存储机构存储有将认证等级以及认证类别索引建立关联地记述的认证等级管理表。
[0070]这里，在认证处理产生问题、该认证处理的等级降低的情况下，认证代理装置以使该认证处理的认证等级降低的方式更新认证类别管理表，将在该认证类别管理表内降低后的认证等级以及与该认证等级建立了关联的认证类别索引发送到IDaaS运营商装置。
[0071 ] IDaaS运营商装置在从认证代理装置接收到认证等级和认证类别索引时，基于接收到的该认证类别索引，检索认证等级管理表。IDaaS运营商装置以使通过该检索获得的认证等级降低至接收到的该认证等级的方式，更新认证等级管理表。
[0072]因此，根据第二实施方式，在认证处理产生问题、该认证处理的等级降低的情况下，能够使认证等级降低，因此能够维持认证处理的可靠性。另外，根据第二实施方式，在使认证等级降低时，IDaaS运营商装置无需更新每个用户ID的SSO帐户信息，而是更新认证等级管理表即可，因此能够大幅度地减轻认证等级的降低所需的负载。
[0073]以上是各实施