专利名称:认证协作系统及认证协作方法
技术领域:
本发明涉及认证协作系统及认证协作方法的技木。
背景技术:
近年来,在因特网上的服务和企业内网络上的各种系统中,登录ID/密码的每ー个人的服务数量逐年増加。用户管理多个ID/密码所承受的负担非常大,很难对每项服务设定不同的密码并掌握。于是,在专利文献I等的单点登录(single sign on)中,只接受一次用户认证,就能够访问需要用户认证的多个服务。由此,能够削减用户所要管理的密码的数量,能够更加安全地管理密码。 非专利文献I 涉及一种被称为 SAML (Security Assertion Markup La nguage,安全断言标记语言)的单点登录技木,由标准化団体OASIS策划,是将安全地传输认证結果、访问许可判断结果等安全数据的方法用XML(E xtensible Markup Language,可扩展标记语言)描述的标记语言规格。在SAML中,将被称为IdP (Identity Provider,身份提供者)的用户认证的结果作为被称为断言(assertion)的消息发行,并提供给称为SP(Servi ceProvider,服务提供商)的服务。然后,SP通过信任断言,能够检测用户是否已认证。在先技术文献专利文献I :日本特开2010-113462号公报非专利文献I 'Profiles for the OASIS Security Assertion Mark upLanguage (SAML)V2. 0. ”,OASIS Standard, March 2005发明的概要发明所要解决的技术问题另ー方面,在网上银行或行政手续等需要高安全性的服务中,也考虑为了接受I个服务而将多个用户认证的结果组合使用的系统方式(多要素认证)。由此,即使多要素认证之中的I个用户认证被不法攻击者成功攻破,只要多要素认证之中的其他用户认证未成功,服务就不被许可,所以能够提高安全強度。但是,有时用户在多要素认证中来回使用(流用)相同的密码等,而导致疏忽了多要素认证中的各个密码管理。此时,若I个用户认证被攻击者破解,其他用户认证也被连锁破解,所以即使采用多要素认证,也不能保证充分的安全強度。
发明内容
本发明的目的在干,解决上述问题,防止在将多个用户认证的结果组合使用时安全性下降。用于解决技术问题所采用的技术手段为了解决上述课题,本发明涉及ー种认证协作系统,许可用户所使用的用户终端执行应用程序服务器所提供的服务时,作为与该服务的许可有关的策略,需要将针对用户的多次认证结果作为用户认证状态,其特征在于,所述认证协作系统构成为包括认证服务器,当与用户对应的认证信息是登录在该装置的存储单元内的数据时,作为表示认证处理已成功,输出构成所述用户认证状态的所述认证結果;认证协作服务器,当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时,许可服务;以及认证信息验证服务器,对所述认证服务器在所述认证处理中使用的所述认证信息,验证多个所述认证信息间的流用,所述认证服务器将在所述认证处理中处理的所述认证信息作为输入,进行保密化运算处理,生成每个所述认证信息的保密认证信息,、
所述认证信息验证服务器取得多组由所述认证服务器生成的所述保密认证信息和能够唯一地确定所述用户终端的用户的用户ID的组合,相互进行对照,从而提取发生了针对该组合的流用的多个所述认证信息,所述用户终端是指使用作为所述保密认证信息的生成源的所述认证信息的用户终端,在许可所述服务的处理中,所述认证协作服务器判断将发生了所述认证信息流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略,以作为构成所述用户认证状态的所述认证結果。其他单元将在后面描述。根据本发明,能够防止在将多个用户认证的结果组合使用时安全性下降。
图I是本发明的第I实施方式所涉及的认证协作系统的构成图。图2是示出构成本发明的第I实施方式所涉及的认证协作系统的各装置的详细情况的构成图。图3是构成本发明的第I实施方式所涉及的认证协作系统的各计算机的硬件构成图。图4是示出本发明的第I实施方式所涉及的用户ID “taro”使用第I服务ID的服务内容的处理的流程图。图5是示出在本发明的第I实施方式所涉及的图4的执行后,用户ID “taro”使用第2服务ID的服务内容的处理的流程图。图6是示出本发明的第I实施方式所涉及的图4和图5的处理中的认证协作服务器的动作的流程图。图7是示出本发明的第I实施方式所涉及的图4和图5的处理中的认证信息验证服务器的动作的流程图。图8是本发明的第2实施方式所涉及的认证协作系统的构成图。图9是示出构成本发明的第2实施方式所涉及的认证协作系统的各装置的详细情况的构成图。图10是示出在本发明的第2实施方式所涉及的域A侧开始的处理的流程图。图11是示出本发明的第2实施方式所涉及的、以向域B请求服务为时机在域B侧开始的处理的流程图。
图12是示出本发明的第2实施方式所涉及的SAML SP部执行的各处理的流程图。附图标记说明I应用程序服务器;2认证协作服务器;3认证信息验证服务器;8用户终端;4认证服务器;5网络;6认证代理服务器;11SAML SP部;12网页服务器;13访问表;21认证状态管理部;22定位符管理部;23ID管理部;24许可判断部;25SAML IdP代理部;26认证信息验证委托部;27认证状态表;28认证请求策略表;29认证服务器列表;31流用检测管理部;32认证信息验证部;33通信部;34流用检测用表;41认证信息管理部;42认证信息保密部;43认证部;44SAML IdP部;45认证信息表;61SAML SP部;62认证信息协作部;63SAML ECP部;64认证协作表;76认证信息提供部;81网页浏览器
具体实施例方式下面,參照附图,详细说明本发明的ー实施方式。
图I是认证协作系统的构成图。认证协作系统为2个域A、B间用网络5a、5b连接而构成。网络5a、5b可以是企业内LAN(Local Area Network,局域网)这样的私用网络,也可以是因特网这样的公共网路。另外,在下面的说明中,当在2个域中存在相同的构成要素时,该构成要素的符号末尾的“a,b”表示所属的域。例如,认证协作服务器2分别有域A内的认证协作服务器2a和域B内的认证协作服务器2b。在使用SAML的认证协作系统中,作为认证用的结构,包括认证协作服务器2a、认证协作服务器2b、认证信息验证服务器3、认证服务器4b、认证服务器4a。此外,作为利用该认证结果的装置,包括用户终端8、应用程序服务器lx、以及应用程序服务器ly。用户终端8是与认证协作系统的其他装置之间进行通信的装置,具备实施该通信的网页浏览器81。另外,对于这些装置构成,各个装置可以被物理地收纳在I台筐体中,也可以将多个装置(认证协作服务器2、认证信息验证服务器3等)物理地收纳在I台筐体中。下面,对在本实施方式中使用的各个术语进行定义。表I
权利要求
1.ー种认证协作系统,许可用户所使用的用户终端执行应用程序服务器所提供的服务吋,作为与该服务的许可有关的策略,作为用户认证状态需要针对用户的多次认证結果,其特征在于,所述认证协作系统包括 认证服务器,当与用户对应的认证信息是登录在自装置的存储单元内的数据时,作为认证处理已成功,并输出构成所述用户认证状态的所述认证结果; 认证协作服务器,当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时,许可服务;以及 认证信息验证服务器,对于所述认证服务器在所述认证处理中处理的所述认证信息,验证在多个所述认证信息间的流用, 所述认证服务器将在所述认证处理中处理的所述认证信息作为输入,进行保密化运算处理,从而生成每个所述认证信息的保密认证信息, 所述认证信息验证服务器取得多组由所述认证服务器生成的所述保密认证信息和唯一地确定所述用户终端的用户的用户ID的组合并进行相互对照,从而提取发生了该组合的流用的多个所述认证信息,所述用户终端是指使用作为所述保密认证信息的生成源的所述认证信息的用户终端, 在许可所述服务的处理中,作为构成所述用户认证状态的所述认证结果,所述认证协作服务器判断将发生了所述认证信息的流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略。
2.ー种认证协作系统,许可用户所使用的用户终端执行应用程序服务器所提供的服务时,作为与该服务的许可有关的策略,作为用户认证状态需要针对用户的多次认证结果,其特征在于,所述认证协作系统包括 认证服务器,当与用户对应的认证信息是登录在自装置的存储单元内的数据时,作为认证处理已成功,并输出构成所述用户认证状态的所述认证结果; 认证协作服务器,当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时,许可服务;以及 认证信息验证服务器,对于所述认证服务器在所述认证处理中处理的所述认证信息,验证在多个所述认证信息间的流用, 所述认证服务器将在所述认证处理中处理的所述认证信息和唯一地确定所述用户终端的用户的用户ID作为输入,进行保密化运算处理,从而生成每个所述认证信息的保密认证信息, 所述认证信息验证服务器取得多个由所述认证服务器生成的所述保密认证信息并进行相互对照,从而提取发生了该组合的流用的多个所述认证信息, 在许可所述服务的处理中,作为构成所述用户认证状态的所述认证结果,所述认证协作服务器判断将发生了所述认证信息的流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略。
3.—种认证协作系统,许可用户所使用的用户终端执行应用程序服务器所提供的服务吋,作为与该服务的许可有关的策略,作为用户认证状态需要针对用户的多次认证结果,其特征在于,所述认证协作系统包括 认证服务器,当与用户对应的认证信息是登录在自装置的存储单元内的数据时,作为认证处理已成功,并输出构成所述用户认证状态的所述认证结果; 认证协作服务器,当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时,许可服务;以及 认证信息验证服务器,对于所述认证服务器在所述认证处理中处理的所述认证信息,验证在多个所述认证信息间的流用, 当同一所述用户終端分别与多个所述认证服务器确立会话时,所述认证服务器作为识别该会话的会话ID使用同一会话ID,将在所述认证处理中处理的所述认证信息和会话ID作为输入,进行保密化运算处理,从而生成每个所述认证信息的保密认证信息, 所述认证信息验证服务器取得多个由所述认证服务器生成的所述保密认证信息并进行相互对照,从而提取发生了该组合的流用的多个所述认证信息, 在许可所述服务的处理中,作为构成所述用户认证状态的所述认证结果,所述认证协作服务器判断将发生了所述认证信息的流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略。
4.根据权利请求I所述的认证协作系统,其特征在干, 所述认证服务器,当所执行的所述认证处理的认证方式是密码认证或电子证书认证吋,作为所述保密化运算处理,调用以输入值为參量的哈希函数,从而生成所述保密认证信息, 所述认证信息验证服务器,作为用于提取发生了流用的多个所述认证信息的对照处理,当多个所述保密认证信息的值一致时,判断为在多个所述认证信息间发生了流用。
5.根据权利请求I所述的认证协作系统,其特征在干, 所述认证服务器,当所执行的所述认证处理的认证方式是生物体认证吋,作为所述保密化运算处理,将生物体的所述认证信息和私钥作为输入,调用不改变生物体信息的相关性地进行变换的函数,生成所述保密认证信息, 所述认证信息验证服务器,作为用于提取发生了流用的多个所述认证信息的对照处理,当多个所述保密认证信息间的类似度为预定值以上时,判断为在多个所述认证信息间发生了流用。
6.ー种认证协作方法,由认证协作系统执行,该认证协作系统在许可用户所使用的用户终端执行应用程序服务器所提供的服务时,作为与该服务的许可有关的策略,作为用户认证状态需要针对用户的多次认证结果,所述认证协作方法的特征在干, 所述认证协作系统构成为包括 认证服务器,当与用户对应的认证信息是登录在自装置的存储单元内的数据时,作为认证处理已成功,并输出构成所述用户认证状态的所述认证結果; 认证协作服务器,当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时,许可服务;以及 认证信息验证服务器,对于所述认证服务器在所述认证处理中处理的所述认证信息,验证在多个所述认证信息间的流用, 所述认证服务器将在所述认证处理中处理的所述认证信息作为输入,进行保密化运算处理,从而生成每个所述认证信息的保密认证信息, 所述认证信息验证服务器取得多组由所述认证服务器生成的所述保密认证信息和唯一地确定所述用户终端的用户的用户ID的组合并进行相互对照,从而提取发生了该组合的流用的多个所述认证信息,所述用户终端是指使用作为所述保密认证信息的生成源的所述认证信息的用户终端, 在许可所述服务的处理中,作为构成所述用户认证状态的所述认证结果,所述认证协作服务器判断将发生了所述认证信息的流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略。
7.—种认证协作方法,由认证协作系统执行,该认证协作系统在许可用户所使用的用户终端执行应用程序服务器所提供的服务时,作为与该服务的许可有关的策略,作为用户认证状态需要针对用户的多次认证结果,所述认证协作方法的特征在干, 所述认证协作系统构成为包括 认证服务器,当与用户对应的认证信息是登录在自装置的存储单元内的数据时,作为认证处理已成功,并输出构成所述用户认证状态的所述认证结果; 认证协作服务器,当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时,许可服务;以及 认证信息验证服务器,对于所述认证服务器在所述认证处理中处理的所述认证信息,验证在多个所述认证信息间的流用, 所述认证服务器将在所述认证处理中处理的所述认证信息和唯一地确定所述用户终端的用户的用户ID作为输入,进行保密化运算处理,从而生成每个所述认证信息的保密认证信息, 所述认证信息验证服务器取得多个由所述认证服务器生成的所述保密认证信息并进行相互对照,从而提取发生了该组合的流用的多个所述认证信息, 在许可所述服务的处理中,作为构成所述用户认证状态的所述认证结果,所述认证协作服务器判断将发生了所述认证信息的流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略。
8.—种认证协作方法,由认证协作系统执行,该认证协作系统在许可用户所使用的用户终端执行应用程序服务器所提供的服务时,作为与该服务的许可有关的策略,作为用户认证状态需要针对用户的多次认证结果,所述认证协作方法的特征在干, 所述认证协作系统构成为包括 认证服务器,当与用户对应的认证信息是登录在自装置的存储单元内的数据时,作为认证处理已成功,并输出构成所述用户认证状态的所述认证结果; 认证协作服务器,当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时,许可服务;以及 认证信息验证服务器,对于所述认证服务器在所述认证处理中处理的所述认证信息,验证在多个所述认证信息间的流用, 当同一所述用户終端分别与多个所述认证服务器确立会话时,所述认证服务器作为识别该会话的会话ID使用同一会话ID,将在所述认证处理中处理的所述认证信息和会话ID作为输入,进行保密化运算处理,从而生成每个所述认证信息的保密认证信息, 所述认证信息验证服务器取得多个由所述认证服务器生成的所述保密认证信息并进行相互对照,从而提取发生了该组合的流用的多个所述认证信息,在许可所述服务的处理中,作为构成所述用户认证状态的所述认证结果,所述认证协作服务器判断将发生了所述认证信息的流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略。
9.根据权利请求6所述的认证协作方法,其特征在干, 所述认证服务器,当所执行的所述认证处理的认证方式是密码认证或电子证书认证吋,作为所述保密化运算处理,调用以输入值为參量的哈希函数,从而生成所述保密认证信息, 所述认证信息验证服务器,作为用于提取发生了流用的多个所述认证信息的对照处理,当多个所述保密认证信息的值一致时,判断为在多个所述认证信息间发生了流用。
10.根据权利请求6所述的认证协作方法,其特征在干, 所述认证服务器,当所执行的所述认证处理的认证方式是生物体认证吋,作为所述保密化运算处理,将生物体的所述认证信息和私钥作为输入,调用不改变生物体信息的相关性地进行变换的函数,生成所述保密认证信息, 所述认证信息验证服务器,作为用于提取发生了流用的多个所述认证信息的对照处理,当多个所述保密认证信息间的类似度为预定值以上时,判断为在多个所述认证信息间发生了流用。
全文摘要
本发明提供一种以低成本实现将多个网页服务协作的协作服务的认证协作系统。认证协作系统的认证服务器(4)将在认证处理中处理的认证信息作为输入,进行保密化运算处理,从而生成每个认证信息的保密认证信息,认证信息验证服务器3取得多组由认证服务器(4)生成的保密认证信息和能够唯一地确定用户终端(8)的用户的用户ID的组合,相互进行对照,从而提取发生了针对该组合的流用的多个所述认证信息,用户终端(8)是使用作为保密认证信息的生成源的认证信息的用户终端,认证协作服务器(2)判断将发生了认证信息流用的认证结果除外之后的用户认证状态是否满足策略,以作为构成用户认证状态的认证结果。
文档编号H04L29/06GK102739400SQ201210022408
公开日2012年10月17日 申请日期2012年2月1日 优先权日2011年3月30日
发明者入部真一, 林直树, 矢户晃史, 锻忠司 申请人:株式会社日立制作所