[发明专利]认证协作系统及认证协作方法

说明书

技术领域

本发明涉及认证协作系统及认证协作方法的技术。

背景技术

近年来，在因特网上的服务和企业内网络上的各种系统中，登录ID/密码的每一个人的服务数量逐年增加。用户管理多个ID/密码所承受的负担非常大，很难对每项服务设定不同的密码并掌握。

于是，在专利文献1等的单点登录(single sign on)中，只接受一次用户认证，就能够访问需要用户认证的多个服务。由此，能够削减用户所要管理的密码的数量，能够更加安全地管理密码。

非专利文献1涉及一种被称为SAML(Security Assertion Markup La nguage，安全断言标记语言)的单点登录技术，由标准化团体OASIS策划，是将安全地传输认证结果、访问许可判断结果等安全数据的方法用XML(E xtensible Markup Language，可扩展标记语言)描述的标记语言规格。在SAML中，将被称为IdP(Identity Provider，身份提供者)的用户认证的结果作为被称为断言(assertion)的消息发行，并提供给称为SP(Servi ce Provider，服务提供商)的服务。然后，SP通过信任断言，能够检测用户是否已认证。

在先技术文献

专利文献1：日本特开2010-113462号公报

非专利文献1：“Profiles for the OASIS Security Assertion Mark up Language(SAML)V2.0.”，OASIS Standard，March 2005

发明的概要

发明所要解决的技术问题

另一方面，在网上银行或行政手续等需要高安全性的服务中，也考虑为了接受1个服务而将多个用户认证的结果组合使用的系统方式(多要素认证)。由此，即使多要素认证之中的1个用户认证被不法攻击者成功攻破，只要多要素认证之中的其他用户认证未成功，服务就不被许可，所以能够提高安全强度。

但是，有时用户在多要素认证中来回使用(流用)相同的密码等，而导致疏忽了多要素认证中的各个密码管理。此时，若1个用户认证被攻击者破解，其他用户认证也被连锁破解，所以即使采用多要素认证，也不能保证充分的安全强度。

发明内容

本发明的目的在于，解决上述问题，防止在将多个用户认证的结果组合使用时安全性下降。

用于解决技术问题所采用的技术手段

为了解决上述课题，本发明涉及一种认证协作系统，许可用户所使用的用户终端执行应用程序服务器所提供的服务时，作为与该服务的许可有关的策略，需要将针对用户的多次认证结果作为用户认证状态，其特征在于，所述认证协作系统构成为包括：

认证服务器，当与用户对应的认证信息是登录在该装置的存储单元内的数据时，作为表示认证处理已成功，输出构成所述用户认证状态的所述认证结果；

认证协作服务器，当所述认证服务器输出的所述认证结果的集合、即所述用户认证状态满足对每个服务规定的所述策略时，许可服务；以及

认证信息验证服务器，对所述认证服务器在所述认证处理中使用的所述认证信息，验证多个所述认证信息间的流用，

所述认证服务器将在所述认证处理中处理的所述认证信息作为输入，进行保密化运算处理，生成每个所述认证信息的保密认证信息，

所述认证信息验证服务器取得多组由所述认证服务器生成的所述保密认证信息和能够唯一地确定所述用户终端的用户的用户ID的组合，相互进行对照，从而提取发生了针对该组合的流用的多个所述认证信息，所述用户终端是指使用作为所述保密认证信息的生成源的所述认证信息的用户终端，

在许可所述服务的处理中，所述认证协作服务器判断将发生了所述认证信息流用的所述认证结果除外之后的所述用户认证状态是否满足所述策略，以作为构成所述用户认证状态的所述认证结果。

其他单元将在后面描述。

根据本发明，能够防止在将多个用户认证的结果组合使用时安全性下降。

附图说明

图1是本发明的第1实施方式所涉及的认证协作系统的构成图。

图2是示出构成本发明的第1实施方式所涉及的认证协作系统的各装置的详细情况的构成图。

图3是构成本发明的第1实施方式所涉及的认证协作系统的各计算机的硬件构成图。

图4是示出本发明的第1实施方式所涉及的用户ID“taro”使用第1服务ID的服务内容的处理的流程图。