技術(shù)領(lǐng)域

本發(fā)明涉及認證協(xié)作系統(tǒng)及認證協(xié)作方法的技術(shù)。

背景技術(shù)

近年來，在因特網(wǎng)上的服務(wù)和企業(yè)內(nèi)網(wǎng)絡(luò)上的各種系統(tǒng)中，登錄ID/密碼的每一個人的服務(wù)數(shù)量逐年增加。用戶管理多個ID/密碼所承受的負擔非常大，很難對每項服務(wù)設(shè)定不同的密碼并掌握。

于是，在專利文獻1等的單點登錄(single?sign?on)中，只接受一次用戶認證，就能夠訪問需要用戶認證的多個服務(wù)。由此，能夠削減用戶所要管理的密碼的數(shù)量，能夠更加安全地管理密碼。

非專利文獻1涉及一種被稱為SAML(Security?Assertion?Markup?La?nguage，安全斷言標記語言)的單點登錄技術(shù)，由標準化團體OASIS策劃，是將安全地傳輸認證結(jié)果、訪問許可判斷結(jié)果等安全數(shù)據(jù)的方法用XML(E?xtensible?Markup?Language，可擴展標記語言)描述的標記語言規(guī)格。在SAML中，將被稱為IdP(Identity?Provider，身份提供者)的用戶認證的結(jié)果作為被稱為斷言(assertion)的消息發(fā)行，并提供給稱為SP(Servi?ce?Provider，服務(wù)提供商)的服務(wù)。然后，SP通過信任斷言，能夠檢測用戶是否已認證。

在先技術(shù)文獻

專利文獻1：日本特開2010-113462號公報

非專利文獻1：“Profiles?for?the?OASIS?Security?Assertion?Mark?up?Language(SAML)V2.0.”，OASIS?Standard，March?2005

發(fā)明的概要

發(fā)明所要解決的技術(shù)問題

另一方面，在網(wǎng)上銀行或行政手續(xù)等需要高安全性的服務(wù)中，也考慮為了接受1個服務(wù)而將多個用戶認證的結(jié)果組合使用的系統(tǒng)方式(多要素認證)。由此，即使多要素認證之中的1個用戶認證被不法攻擊者成功攻破，只要多要素認證之中的其他用戶認證未成功，服務(wù)就不被許可，所以能夠提高安全強度。

但是，有時用戶在多要素認證中來回使用(流用)相同的密碼等，而導(dǎo)致疏忽了多要素認證中的各個密碼管理。此時，若1個用戶認證被攻擊者破解，其他用戶認證也被連鎖破解，所以即使采用多要素認證，也不能保證充分的安全強度。

發(fā)明內(nèi)容

本發(fā)明的目的在于，解決上述問題，防止在將多個用戶認證的結(jié)果組合使用時安全性下降。

用于解決技術(shù)問題所采用的技術(shù)手段

為了解決上述課題，本發(fā)明涉及一種認證協(xié)作系統(tǒng)，許可用戶所使用的用戶終端執(zhí)行應(yīng)用程序服務(wù)器所提供的服務(wù)時，作為與該服務(wù)的許可有關(guān)的策略，需要將針對用戶的多次認證結(jié)果作為用戶認證狀態(tài)，其特征在于，所述認證協(xié)作系統(tǒng)構(gòu)成為包括：

認證服務(wù)器，當與用戶對應(yīng)的認證信息是登錄在該裝置的存儲單元內(nèi)的數(shù)據(jù)時，作為表示認證處理已成功，輸出構(gòu)成所述用戶認證狀態(tài)的所述認證結(jié)果；

認證協(xié)作服務(wù)器，當所述認證服務(wù)器輸出的所述認證結(jié)果的集合、即所述用戶認證狀態(tài)滿足對每個服務(wù)規(guī)定的所述策略時，許可服務(wù)；以及

認證信息驗證服務(wù)器，對所述認證服務(wù)器在所述認證處理中使用的所述認證信息，驗證多個所述認證信息間的流用，

所述認證服務(wù)器將在所述認證處理中處理的所述認證信息作為輸入，進行保密化運算處理，生成每個所述認證信息的保密認證信息，

所述認證信息驗證服務(wù)器取得多組由所述認證服務(wù)器生成的所述保密認證信息和能夠唯一地確定所述用戶終端的用戶的用戶ID的組合，相互進行對照，從而提取發(fā)生了針對該組合的流用的多個所述認證信息，所述用戶終端是指使用作為所述保密認證信息的生成源的所述認證信息的用戶終端，

在許可所述服務(wù)的處理中，所述認證協(xié)作服務(wù)器判斷將發(fā)生了所述認證信息流用的所述認證結(jié)果除外之后的所述用戶認證狀態(tài)是否滿足所述策略，以作為構(gòu)成所述用戶認證狀態(tài)的所述認證結(jié)果。

其他單元將在后面描述。

根據(jù)本發(fā)明，能夠防止在將多個用戶認證的結(jié)果組合使用時安全性下降。

附圖說明

圖1是本發(fā)明的第1實施方式所涉及的認證協(xié)作系統(tǒng)的構(gòu)成圖。

圖2是示出構(gòu)成本發(fā)明的第1實施方式所涉及的認證協(xié)作系統(tǒng)的各裝置的詳細情況的構(gòu)成圖。

圖3是構(gòu)成本發(fā)明的第1實施方式所涉及的認證協(xié)作系統(tǒng)的各計算機的硬件構(gòu)成圖。

圖4是示出本發(fā)明的第1實施方式所涉及的用戶ID“taro”使用第1服務(wù)ID的服務(wù)內(nèi)容的處理的流程圖。