JP5569284B2 - Information processing apparatus, authentication control method, and authentication control program - Google Patents

Information processing apparatus, authentication control method, and authentication control program Download PDF

Info

Publication number
JP5569284B2
JP5569284B2 JP2010205882A JP2010205882A JP5569284B2 JP 5569284 B2 JP5569284 B2 JP 5569284B2 JP 2010205882 A JP2010205882 A JP 2010205882A JP 2010205882 A JP2010205882 A JP 2010205882A JP 5569284 B2 JP5569284 B2 JP 5569284B2
Authority
JP
Japan
Prior art keywords
password
character string
authentication
user
client device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010205882A
Other languages
Japanese (ja)
Other versions
JP2012063863A (en
Inventor
真良 杉山
修二 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2010205882A priority Critical patent/JP5569284B2/en
Publication of JP2012063863A publication Critical patent/JP2012063863A/en
Application granted granted Critical
Publication of JP5569284B2 publication Critical patent/JP5569284B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)

Description

本発明は、情報処理装置、認証制御方法、及び認証制御プログラムに関し、特にパスワードの入力の省略が可能な認証処理を制御する情報処理装置、認証制御方法、及び認証制御プログラムに関する。   The present invention relates to an information processing apparatus, an authentication control method, and an authentication control program, and more particularly, to an information processing apparatus, an authentication control method, and an authentication control program that control an authentication process that allows omission of password input.

従来、各種のコンピュータシステムは認証機能を有し、認証されたユーザにのみ利用権限を与えるように構成されている。具体的には、最初に認証画面が表示される。認証画面において、ユーザは、ユーザ名(又はユーザID)及びパスワードの入力を行う。当該画面に入力されたユーザ名及びパスワードが、予め保持されているユーザ名及びパスワードに合致する場合、ユーザに利用権限が与えられる。認証機能によれば、利用権限を付与するユーザを予め限定することができ、コンピュータシステムの安全性を向上させることができる。   2. Description of the Related Art Conventionally, various computer systems have an authentication function and are configured to give use authority only to authenticated users. Specifically, an authentication screen is displayed first. On the authentication screen, the user inputs a user name (or user ID) and password. When the user name and password input on the screen match the user name and password stored in advance, the use authority is given to the user. According to the authentication function, the users to whom the use authority is given can be limited in advance, and the safety of the computer system can be improved.

他方において、近年では、一台のPC(Personal Computer)等が、複数のユーザによって共用されることが少なくなっている。換言すれば、各ユーザは、自らに専用のPCを有することが多い。そして、各PCでは、OS(Operating System)へのログイン時に、認証が行われる。そうすると、OSにログインできているということによって、PCの操作者が当該PCの正当なユーザであることは或る程度担保されている。それにも拘わらず、インターネット上のサイトや他のコンピュータシステムを利用する際に、改めてユーザ名及びパスワードの入力を要求されるのは、ユーザにとって煩わしい場合がある。   On the other hand, in recent years, one PC (Personal Computer) or the like is rarely shared by a plurality of users. In other words, each user often has a dedicated PC. In each PC, authentication is performed when logging in to an OS (Operating System). In this case, the fact that the operator of the PC is a legitimate user of the PC is secured to some extent by being able to log in to the OS. Nevertheless, when using a site on the Internet or another computer system, it may be bothersome for the user to be required to input a user name and password again.

そこで、従来、認証画面に予めユーザ名及びマスクされたパスワードを表示させることによって、ユーザ名及びパスワードの入力操作の省略が可能とされている。   Therefore, conventionally, the user name and password input operation can be omitted by displaying the user name and the masked password in advance on the authentication screen.

図1は、ユーザ名及びパスワードの入力操作を省略するための仕組みを説明するための図である。同図において、認証サーバ510は、認証機能を有するコンピュータである。認証画面610は、認証サーバ510とネットワークを介して接続されるコンピュータにおいて表示される画面である。   FIG. 1 is a diagram for explaining a mechanism for omitting a user name and password input operation. In the figure, an authentication server 510 is a computer having an authentication function. The authentication screen 610 is a screen displayed on a computer connected to the authentication server 510 via a network.

ステップS1において、認証画面610は、ユーザ識別情報を認証サーバ510に送信する。例えば、認証サーバ510がWebサイトを提供するコンピュータであれば、ユーザ識別情報は、当該Webサイトに対するクッキー情報に相当する。   In step S <b> 1, the authentication screen 610 transmits user identification information to the authentication server 510. For example, if the authentication server 510 is a computer that provides a website, the user identification information corresponds to cookie information for the website.

続いて、認証サーバ510は、ユーザ識別情報に関連付けられているユーザ名及びパスワードを認証画面610に返信する(S2)。認証画面610は、受信されたユーザ名及びパスワードを表示させる。この際、認証画面610は、パスワードに関しては「******」といったように、マスクされた結果を表示する。認証画面610において、OKボタン611が押下されると、認証画面610は、自らが表示させているユーザ名及びパスワードを認証サーバ510に送信する(S3)。認証サーバ510は、受信されたユーザ名及びパスワードを、データベースに登録されているユーザ名及びパスワードと照合することにより、ユーザの認証を行う。   Subsequently, the authentication server 510 returns the user name and password associated with the user identification information to the authentication screen 610 (S2). The authentication screen 610 displays the received user name and password. At this time, the authentication screen 610 displays the masked result such as “****” regarding the password. When the OK button 611 is pressed on the authentication screen 610, the authentication screen 610 transmits the user name and password displayed by itself to the authentication server 510 (S3). The authentication server 510 authenticates the user by comparing the received user name and password with the user name and password registered in the database.

図1に示されるような仕組みによれば、ユーザは、OKボタン611を押下するのみで、簡易に認証を受けることができる。   According to the mechanism shown in FIG. 1, the user can simply authenticate simply by pressing the OK button 611.

しかしながら、従来の仕組みには、セキュリティ上の観点から不都合な点がある。一例として、ユーザ名及びパスワードがネットワーク上を流通する機会が増加することが挙げられる。すなわち、認証サーバ510から認証画面610へのユーザ名及びパスワードの転送が必要となる。その結果、ユーザ名及びパスワードが盗聴される可能性が増加することが考えられる。   However, the conventional mechanism has disadvantages from the viewpoint of security. As an example, there is an increase in the chance that the user name and password are distributed on the network. That is, it is necessary to transfer the user name and password from the authentication server 510 to the authentication screen 610. As a result, the possibility of eavesdropping on the user name and password may increase.

本発明は、上記の点に鑑みてなされたものであって、パスワードの入力を省略させることによるセキュリティの劣化を改善することのできる情報処理装置、認証制御方法、及び認証制御プログラムの提供を目的とする。   The present invention has been made in view of the above points, and it is an object of the present invention to provide an information processing apparatus, an authentication control method, and an authentication control program capable of improving the deterioration of security caused by omitting the input of a password. And

そこで上記課題を解決するため、本発明は、ユーザ識別情報をクライアント装置より受信し、ユーザごとにパスワードを記憶するユーザ情報記憶手段に記憶されている全てのパスワードと異なる第一の文字列を前記クライアント装置に送信する文字列送信手段と、前記クライアント装置よりパスワードとして受信される第二の文字列に、前記第一の文字列の少なくとも一部が含まれているかを判定する照合手段と、前記照合手段による判定結果が肯定的な場合に、前記ユーザ識別情報に関連付けて記憶されているパスワードを認証に用いるパスワードとして選択する選択手段とを有する。   Therefore, in order to solve the above-described problem, the present invention receives user identification information from a client device, and uses a first character string different from all passwords stored in user information storage means for storing a password for each user. A character string transmitting means for transmitting to the client device; a collating means for determining whether at least a part of the first character string is included in the second character string received as a password from the client device; Selecting means for selecting, as a password used for authentication, a password stored in association with the user identification information when the determination result by the collating means is affirmative.

このような情報処理装置では、パスワードの入力を省略させることによるセキュリティの劣化を改善することができる。   In such an information processing apparatus, it is possible to improve the deterioration of security caused by omitting the password input.

本発明によれば、パスワードの入力を省略させることによるセキュリティの劣化を改善することができる。   According to the present invention, it is possible to improve the deterioration of security caused by omitting the input of a password.

ユーザ名及びパスワードの入力操作を省略するための仕組みを説明するための図である。It is a figure for demonstrating the mechanism for abbreviate | omitting input operation of a user name and a password. 第一の実施の形態における情報処理システムの構成例を示す図である。It is a figure which shows the structural example of the information processing system in 1st embodiment. 本発明の実施の形態における情報処理サーバのハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of the information processing server in embodiment of this invention. 第一の形態の情報処理システムにおける認証処理の処理手順の一例を説明するための図である。It is a figure for demonstrating an example of the process sequence of the authentication process in the information processing system of a 1st form. 第一の実施の形態におけるキャッシュ情報記憶部の構成例を示す図である。It is a figure which shows the structural example of the cache information storage part in 1st embodiment. 認証画面の表示例を示す図である。It is a figure which shows the example of a display of an authentication screen. 第二の実施の形態における情報処理システムの構成例を示す図である。It is a figure which shows the structural example of the information processing system in 2nd embodiment. 第二の形態の情報処理システムにおける認証処理の処理手順の一例を説明するための図である。It is a figure for demonstrating an example of the process sequence of the authentication process in the information processing system of a 2nd form. 第三の実施の形態における情報処理システムの構成例及びその処理手順を説明するための図である。It is a figure for demonstrating the structural example of the information processing system in 3rd embodiment, and its process sequence.

以下、図面に基づいて本発明の実施の形態を説明する。図2は、第一の実施の形態における情報処理システムの構成例を示す図である。同図の情報処理システム1において、情報処理サーバ10と認証サーバ20とは、LAN(Local Area Network)又はインターネット等のネットワークを介して通信可能とされている。また、情報処理サーバ10とクライアント装置30とは、LAN又はインターネット等のネットワークを介して通信可能とされている。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 2 is a diagram illustrating a configuration example of the information processing system according to the first embodiment. In the information processing system 1 in FIG. 1, the information processing server 10 and the authentication server 20 can communicate with each other via a network such as a LAN (Local Area Network) or the Internet. The information processing server 10 and the client device 30 can communicate with each other via a network such as a LAN or the Internet.

クライアント装置30は、情報処理サーバ10がネットワークを介して提供するサービスを受けるためにユーザが利用するPC(Personal Computer)等のコンピュータである。携帯電話、PDA(Personal Digital Assistance)、又はスマートフォン等が、クライアント装置30として用いられてもよい。   The client device 30 is a computer such as a PC (Personal Computer) used by a user to receive a service provided by the information processing server 10 via a network. A mobile phone, a PDA (Personal Digital Assistance), a smartphone, or the like may be used as the client device 30.

情報処理サーバ10は、ネットワークを介して所定のサービスを提供するコンピュータである。情報処理サーバ10の一形態として、Webサーバが挙げられる。但し、情報処理サーバ10によって提供されるサービスは、専用のクライアントアプリケーションが必要とされるサーバプログラムによって実現されてもよい。   The information processing server 10 is a computer that provides a predetermined service via a network. One form of the information processing server 10 is a Web server. However, the service provided by the information processing server 10 may be realized by a server program that requires a dedicated client application.

認証サーバ20は、クライアント装置30を介して情報処理サーバ10が提供するサービスを受けようとするユーザを認証するコンピュータである。   The authentication server 20 is a computer that authenticates a user who intends to receive a service provided by the information processing server 10 via the client device 30.

同図において、クライアント装置30は、UI制御部31を有する。UI制御部31は、情報処理サーバ10が提供するサービスを受けるための画面の表示制御等を行う。UI制御部31が表示させる画面の一つとして認証画面が挙げられる。認証画面は、一般的にログイン画面等とも呼ばれ、ユーザ名(ユーザIDとも呼ばれる。)及びパスワード等をユーザに入力させるための画面である。なお、情報処理サーバ10がWebサーバである場合、UI制御部31は、Webブラウザに相当する。   In the figure, the client device 30 has a UI control unit 31. The UI control unit 31 performs display control of a screen for receiving a service provided by the information processing server 10. One of the screens displayed by the UI control unit 31 is an authentication screen. The authentication screen is generally called a login screen or the like, and is a screen for allowing a user to input a user name (also called a user ID), a password, and the like. When the information processing server 10 is a Web server, the UI control unit 31 corresponds to a Web browser.

情報処理サーバ10は、文字列送信部11、照合部12、選択部13、認証制御部14、キャッシュ情報記憶部15、及びサービス提供部16等を有する。これら各部は、情報処理サーバ10にインストールされたプログラム(認証制御プログラム)が、情報処理サーバ10のCPUに実行させる処理によって実現される。   The information processing server 10 includes a character string transmission unit 11, a collation unit 12, a selection unit 13, an authentication control unit 14, a cache information storage unit 15, a service providing unit 16, and the like. Each of these units is realized by processing that a program (authentication control program) installed in the information processing server 10 causes the CPU of the information processing server 10 to execute.

文字列送信部11は、認証画面においてユーザ名及びパスワードとして表示される文字列をクライアント装置30に送信する。認証画面に対するユーザ名及びパスワードの入力の省略を可能とするためのである。但し、文字列送信部11は、パスワードに関しては、真のパスワードではなく、ダミーのパスワード(以下、「ダミーパスワード」という。)を送信する。   The character string transmission unit 11 transmits a character string displayed as a user name and a password on the authentication screen to the client device 30. This is to enable the user name and password to be omitted from the authentication screen. However, the character string transmission unit 11 transmits a dummy password (hereinafter referred to as “dummy password”) instead of a true password.

照合部12は、クライアント装置30より受信される認証要求に含まれているパスワード(以下、「受信パスワード」という。)と、ダミーパスワードとを照合し、受信パスワードにダミーパスワードの一部が含まれているか否かを判定する。   The collation unit 12 collates a password (hereinafter referred to as “reception password”) included in the authentication request received from the client device 30 with a dummy password, and the reception password includes a part of the dummy password. It is determined whether or not.

選択部13は、照合部12による判定結果に基づいて、認証に用いるパスワードを選択する。具体的には、照合部12による判定結果が肯定的な場合(受信パスワードにダミーパスワードの少なくとも一部が含まれている場合)、選択部13は、キャッシュ情報記憶部15にキャッシュされているパスワードを認証に用いるパスワードとして選択する。一方、照合部12による判定結果が否定的な場合(受信パスワードにダミーパスワードの少なくとも一部が含まれていない場合)、選択部13は、受信パスワードを認証に用いるパスワードとして選択する。   The selection unit 13 selects a password used for authentication based on the determination result by the verification unit 12. Specifically, when the determination result by the collation unit 12 is affirmative (when the received password includes at least a part of the dummy password), the selection unit 13 sets the password cached in the cache information storage unit 15. Is selected as the password used for authentication. On the other hand, when the determination result by the collation unit 12 is negative (when the reception password does not include at least a part of the dummy password), the selection unit 13 selects the reception password as a password used for authentication.

認証制御部14は、クライアント装置30より受信される認証要求に含まれているユーザ名又はキャッシュ情報記憶部15に記憶されているユーザ名と、選択部13によって選択されたパスワードとに基づく認証を認証サーバ20に実行させる。キャッシュ情報記憶部15は、認証サーバ20において管理されているユーザ名及びパスワードを、例えば、情報処理サーバ10の補助記憶装置を用いてキャッシュする。サービス提供部16は、クライアント装置30を利用するユーザが認証された場合に、所定のサービスを提供する。   The authentication control unit 14 performs authentication based on the user name included in the authentication request received from the client device 30 or the user name stored in the cache information storage unit 15 and the password selected by the selection unit 13. The authentication server 20 is made to execute. The cache information storage unit 15 caches the user name and password managed in the authentication server 20 using, for example, an auxiliary storage device of the information processing server 10. The service providing unit 16 provides a predetermined service when a user who uses the client device 30 is authenticated.

認証サーバ20は、認証処理部21及びユーザ情報記憶部22等を有する。認証処理部21は、情報処理サーバ10の認証制御部14からの認証要求に含まれているユーザ名及びパスワードを、ユーザ情報記憶部22に記録されているユーザ名及びパスワードと照合することにより認証を行う。ユーザ情報記憶部22は、情報処理サーバ10が提供するサービスの利用を許可されたユーザごとに、ユーザ名及びパスワード等を記憶する。   The authentication server 20 includes an authentication processing unit 21 and a user information storage unit 22. The authentication processing unit 21 performs authentication by checking the user name and password included in the authentication request from the authentication control unit 14 of the information processing server 10 with the user name and password recorded in the user information storage unit 22. I do. The user information storage unit 22 stores a user name, a password, and the like for each user who is permitted to use the service provided by the information processing server 10.

図3は、本発明の実施の形態における情報処理サーバのハードウェア構成例を示す図である。図3の情報処理サーバ10は、それぞれバスBで相互に接続されているドライブ装置100と、補助記憶装置102と、メモリ装置103と、CPU104と、インタフェース装置105とを有する。   FIG. 3 is a diagram illustrating a hardware configuration example of the information processing server according to the embodiment of the present invention. The information processing server 10 in FIG. 3 includes a drive device 100, an auxiliary storage device 102, a memory device 103, a CPU 104, and an interface device 105 that are connected to each other via a bus B.

情報処理サーバ10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。   A program for realizing processing in the information processing server 10 is provided by a recording medium 101 such as a CD-ROM. When the recording medium 101 on which the program is recorded is set in the drive device 100, the program is installed from the recording medium 101 to the auxiliary storage device 102 via the drive device 100. However, the program need not be installed from the recording medium 101 and may be downloaded from another computer via a network. The auxiliary storage device 102 stores the installed program and also stores necessary files and data.

メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って情報処理サーバ10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。   The memory device 103 reads the program from the auxiliary storage device 102 and stores it when there is an instruction to start the program. The CPU 104 executes functions related to the information processing server 10 in accordance with a program stored in the memory device 103. The interface device 105 is used as an interface for connecting to a network.

以下、情報処理システム1の処理手順について説明する。図4は、第一の形態の情報処理システムにおける認証処理の処理手順の一例を説明するための図である。   Hereinafter, a processing procedure of the information processing system 1 will be described. FIG. 4 is a diagram for explaining an example of a processing procedure of authentication processing in the information processing system according to the first embodiment.

クライアント装置30におけるUI制御部31に対するユーザによる所定の入力に応じ、UI制御部31は、情報処理サーバ10に対し、アクセス要求を送信する(S101)。当該アクセス要求には、クライアント装置30のユーザを識別するためのユーザ識別情報が含まれている。ユーザ識別情報は、予め補助記憶装置102に記憶されている。ユーザ識別情報は、例えば、情報処理サーバ10がWebサーバである場合、当該Webサーバに対するクッキー情報であってもよい。ユーザ識別情報は、ユーザ名と同じ値でもよいし、異なっていてもよい。   In response to a predetermined input by the user to the UI control unit 31 in the client device 30, the UI control unit 31 transmits an access request to the information processing server 10 (S101). The access request includes user identification information for identifying the user of the client device 30. User identification information is stored in the auxiliary storage device 102 in advance. For example, when the information processing server 10 is a Web server, the user identification information may be cookie information for the Web server. The user identification information may be the same value as the user name or may be different.

または、UI制御部31は、ユーザ名を入力させるための画面を表示させ、当該画面を介してユーザ名を入力させてもよい。この場合、UI制御部31は、入力されたユーザ名をユーザ識別情報として情報処理サーバ10に送信する。   Alternatively, the UI control unit 31 may display a screen for inputting a user name and input the user name via the screen. In this case, the UI control unit 31 transmits the input user name to the information processing server 10 as user identification information.

情報処理サーバ10において、アクセス要求が受信されると、文字列送信部11は、当該アクセス要求に含まれているユーザ識別情報に基づいて、ユーザ名をキャッシュ情報記憶部15より検索する(S102)。   In the information processing server 10, when the access request is received, the character string transmission unit 11 searches the cache information storage unit 15 for the user name based on the user identification information included in the access request (S102). .

図5は、第一の実施の形態におけるキャッシュ情報記憶部の構成例を示す図である。同図に示されるように、キャッシュ情報記憶部15は、ユーザごとに、ユーザ識別情報、ユーザ名、及びパスワード等を関連付けて記憶している。   FIG. 5 is a diagram illustrating a configuration example of the cache information storage unit in the first embodiment. As shown in the figure, the cache information storage unit 15 stores user identification information, a user name, a password, and the like in association with each user.

したがって、ステップS102において、文字列送信部11は、アクセス要求に含まれているユーザ識別情報に関連付けられているユーザ名を検索する。なお、ユーザ名がユーザ識別情報としても用いられている場合、ステップS102は、必ずしも実行されなくてもよい。   Therefore, in step S102, the character string transmission unit 11 searches for a user name associated with the user identification information included in the access request. If the user name is also used as user identification information, step S102 does not necessarily have to be executed.

続いて、文字列送信部11は、ダミーパスワードを生成する(S103)。文字列送信部11は、ダミーパスワードを、ステップS102において検索されたユーザ名に関連付けて、例えば、メモリ装置103に記録しておく。   Subsequently, the character string transmission unit 11 generates a dummy password (S103). The character string transmission unit 11 records the dummy password in the memory device 103, for example, in association with the user name searched in step S102.

ダミーパスワードは、ユーザ情報記憶部22に記憶されている全てのユーザのパスワードと異なる任意の文字列であればよい。例えば、文字列送信部11は、ランダムに又は所定の命名規則に基づいて文字列を生成する。文字列送信部11は、当該文字列がパスワードとして登録されているか否かを、認証サーバ20の認証処理部21に問い合わせる。認証処理部21は、当該文字列がパスワードとしてユーザ情報記憶部22に記憶されているか否かを確認し、確認結果を返信する。   The dummy password may be an arbitrary character string that is different from the passwords of all the users stored in the user information storage unit 22. For example, the character string transmission unit 11 generates a character string randomly or based on a predetermined naming rule. The character string transmission unit 11 inquires of the authentication processing unit 21 of the authentication server 20 whether or not the character string is registered as a password. The authentication processing unit 21 confirms whether or not the character string is stored in the user information storage unit 22 as a password, and returns a confirmation result.

または、当該文字列は、予め固定的に決められていてもよい。ユーザごとに固定的であってもよいし、全ユーザに共通な値であってもよい。更に、当該文字列は、定期的に認証サーバ20から転送されてもよい。すなわち、認証処理部21が、ユーザ情報記憶部22にパスワードとして記憶されていない文字列を生成し、情報処理サーバ10に転送してもよい。   Alternatively, the character string may be fixedly determined in advance. It may be fixed for each user, or may be a value common to all users. Further, the character string may be periodically transferred from the authentication server 20. That is, the authentication processing unit 21 may generate a character string that is not stored as a password in the user information storage unit 22 and transfer it to the information processing server 10.

なお、ダミーパスワードの文字数は、真のパスワードの文字数と異なることが望ましい。後述される認証画面310において、ダミーパスワードが表示される際に、UI制御部31の実装内容によっては、マスクされた文字列がダミーパスワードと同じ文字数で表示される場合がある。そうすると、真のパスワードの文字数が特定され、真のパスワードが看破される可能性が高まってしまからである。   Note that the number of characters in the dummy password is preferably different from the number of characters in the true password. When the dummy password is displayed on the authentication screen 310 described later, the masked character string may be displayed with the same number of characters as the dummy password depending on the implementation contents of the UI control unit 31. Then, the number of characters in the true password is specified, and the possibility that the true password will be broken increases.

続いて、文字列送信部11は、ユーザ名及びダミーパスワードを、アクセス要求に対する応答に含めてクライアント装置30に返信する(S104)。クライアント装置30においてユーザ名及びダミーパスワードが受信されると、UI制御部31は、当該ユーザ名及びダミーパスワードが入力された(設定された)状態の認証画面を、クライアント装置30の表示装置に表示させる(S105)。   Subsequently, the character string transmission unit 11 returns the user name and the dummy password to the client device 30 in a response to the access request (S104). When the user name and the dummy password are received by the client device 30, the UI control unit 31 displays an authentication screen in which the user name and the dummy password are input (set) on the display device of the client device 30. (S105).

図6は、認証画面の表示例を示す図である。同図において、認証画面310は、ユーザ名入力領域311、パスワード入力領域312、及びOKボタン313等を有する。ユーザ名入力領域311は、ユーザ名を入力させるための領域である。パスワード入力領域312は、パスワードを入力させるための領域である。但し、本実施の形態の認証画面310には、表示された初期状態において、ユーザ名入力領域311には、情報処理サーバ10より返信されたユーザ名が設定されている。また、パスワード入力領域312には、情報処理サーバ10より返信されたダミーパスワードがパスワードとして設定されている。   FIG. 6 is a diagram illustrating a display example of the authentication screen. In the figure, the authentication screen 310 has a user name input area 311, a password input area 312, an OK button 313 and the like. The user name input area 311 is an area for inputting a user name. The password input area 312 is an area for inputting a password. However, the user name returned from the information processing server 10 is set in the user name input area 311 in the initial state displayed on the authentication screen 310 of the present embodiment. In the password input area 312, a dummy password returned from the information processing server 10 is set as a password.

したがって、ユーザは、ユーザ名及びパスワードの入力操作を省略することができる。なお、同図では、パスワード入力領域312において、パスワードがマスクされて表示された状態が示されている。但し、パスワード入力領域312に設定されているパスワードは、ダミーパスワードである。したがって、マスクされずに表示されてしまってもよい。   Therefore, the user can omit the user name and password input operation. In the figure, the password input area 312 shows a state where the password is masked and displayed. However, the password set in the password input area 312 is a dummy password. Therefore, it may be displayed without being masked.

なお、ユーザは、必要に応じてユーザ名入力領域311又はパスワード入力領域312において、ユーザ名又はパスワードを編集することができる。その場合、認証画面310に設定されているユーザ名及びパスワードの値は更新される。   Note that the user can edit the user name or password in the user name input area 311 or the password input area 312 as necessary. In this case, the user name and password values set in the authentication screen 310 are updated.

続いて、ユーザによってOKボタン313がクリックされると、UI制御部31は、認証画面310に設定されているユーザ名及びパスワードを含む認証要求を情報処理サーバ10に送信する(S106)。   Subsequently, when the OK button 313 is clicked by the user, the UI control unit 31 transmits an authentication request including the user name and password set on the authentication screen 310 to the information processing server 10 (S106).

情報処理サーバ10において認証要求が受信されると、照合部12は、認証要求に含まれているユーザ名(受信ユーザ名)に関連付けられてメモリ装置103に記録されているダミーパスワードを取得し、当該ダミーパスワードと認証要求に含まれているパスワード(受信パスワード)とを照合(又は比較)する(S107)。具体的には、照合部12は、受信パスワードに、ダミーパスワードの少なくとも一部が含まれているか否かを判定する。これは、ユーザの意図を判断するための処理である。すなわち、ユーザが、認証画面310のパスワード入力領域312においてパスワードを入力し直した場合、ユーザは、入力したパスワードに基づく認証を希望していると考えられる。一方、ユーザが、パスワード入力領域312においてパスワードを編集せずにOKボタン313をクリックした場合、ユーザは、キャッシュされているパスワードに基づく認証を希望していると考えられる。そうすると、照合部12は、受信パスワードがダミーパスワードに完全に一致するか否かを判定すればよいとも考えられる。   When the authentication request is received by the information processing server 10, the collation unit 12 acquires a dummy password recorded in the memory device 103 in association with the user name (reception user name) included in the authentication request, The dummy password is compared (or compared) with the password (received password) included in the authentication request (S107). Specifically, the collation unit 12 determines whether or not the received password includes at least a part of the dummy password. This is a process for determining the user's intention. That is, when the user re-enters the password in the password input area 312 of the authentication screen 310, it is considered that the user desires authentication based on the input password. On the other hand, if the user clicks the OK button 313 without editing the password in the password input area 312, the user is considered to desire authentication based on the cached password. Then, it is considered that the collation unit 12 may determine whether or not the received password completely matches the dummy password.

但し、ユーザが、パスワード入力領域312において、数文字削除した後、やはりキャッシュされているパスワードに基づく認証を希望する場合も考えられる。したがって、本実施の形態において、照合部12は、受信パスワードに、ダミーパスワードの少なくとも一部が含まれているか否かを判定する。   However, there may be a case where the user desires authentication based on the cached password after deleting several characters in the password input area 312. Therefore, in the present embodiment, the collation unit 12 determines whether or not at least part of the dummy password is included in the received password.

但し、ユーザが、新たに入力したパスワードによる認証を希望し、パスワードを入力し直した場合、受信パスワードにダミーパスワードの一部が偶然含まれてしまう可能性もある。そうすると、新たに入力されたパスワードが有効なものとして扱われる可能性が低くなってしまう。特に、ダミーパスワードの文字数が大きくなればなるほど、ダミーパスワードに含まれる文字の種類は多くなり、新たに入力されたパスワードにダミーパスワードの一部が偶然含まれてしまう可能性は高くなる。   However, if the user wishes to authenticate with a newly entered password and re-enters the password, a part of the dummy password may be accidentally included in the received password. If it does so, possibility that the newly input password will be handled as an effective thing will become low. In particular, as the number of characters in the dummy password increases, the types of characters included in the dummy password increase, and the possibility that a part of the dummy password is accidentally included in the newly input password increases.

そこで、照合部12による判定が肯定的となる条件に更なる制限を設けてもよい。例えば、ダミーパスワードと受信パスワードとが、所定の文字数以上の共通の文字列を含むことを条件として追加してもよい。更に、一致する文字列の位置(例えば、先頭からの位置)が一致することを条件として追加してもよい。例えば、先頭からの所定の文字数の文字列が一致することを条件としてもよい。   Therefore, a further restriction may be provided on the conditions for the positive determination by the collation unit 12. For example, the dummy password and the reception password may be added on condition that a common character string having a predetermined number of characters or more is included. Furthermore, it may be added on condition that the position of the matching character string (for example, the position from the beginning) matches. For example, the condition may be that character strings of a predetermined number of characters from the beginning match.

なお、ユーザが、新たに入力されたパスワードによる認証を希望する場合とは、例えば、キャッシュ情報記憶部15に記憶されているパスワードが、ユーザ情報記憶部22に記憶されているパスワードとが一致していないことをユーザが知っている場合である。具体的には、セキュリティ上の観点より、認証サーバ20において定期的かつ強制的にユーザ情報記憶部22におけるパスワードが変更され、電子メール等によって新たなパスワードがユーザに通知されている場合が一例として挙げられる。または、情報処理サーバ10を介さずに、ユーザの操作に基づくクライアント装置30からの要求に応じて、認証サーバ20においてユーザ情報記憶部22におけるパスワードが変更された場合も当てはまる。   Note that the case where the user wishes to authenticate with a newly entered password means, for example, that the password stored in the cache information storage unit 15 matches the password stored in the user information storage unit 22. This is the case when the user knows that it is not. Specifically, as an example, from the viewpoint of security, the password in the user information storage unit 22 is periodically and forcibly changed in the authentication server 20, and a new password is notified to the user by e-mail or the like. Can be mentioned. Alternatively, the case where the password in the user information storage unit 22 is changed in the authentication server 20 in response to a request from the client device 30 based on a user operation without going through the information processing server 10 is also applicable.

または、ユーザが、パスワード入力領域312において、数文字削除した後、やはりキャッシュされているパスワードに基づく認証を希望する場合、ユーザの取り得る行動として、削除した分について、真のパスワードを入力することが考えられる。ダミーパスワードがマスクされて表示されている場合、ユーザは、真のパスワードが認証画面310に設定されているものと考えるからである。   Or, if the user wishes to authenticate based on the cached password after deleting a few characters in the password input area 312, as the user can take action, enter the true password for the deleted amount Can be considered. This is because when the dummy password is masked and displayed, the user thinks that the true password is set on the authentication screen 310.

そこで、受信パスワードに、ダミーパスワードの少なくとも一部が含まれており、両者が相違する部分については、キャッシュ情報記憶部15にキャッシュされているパスワード(すなわち、真のパスワード)に一致することを、照合部12による判定結果が肯定的となる条件としてもよい。なお、キャッシュされているパスワードは、認証要求に含まれているユーザ名に基づいて、キャッシュ情報記憶部15を用いて特定されればよい。   Therefore, the received password includes at least a part of the dummy password, and the difference between the two corresponds to the password cached in the cache information storage unit 15 (that is, the true password). It is good also as conditions where the determination result by collation part 12 becomes affirmative. The cached password may be specified using the cache information storage unit 15 based on the user name included in the authentication request.

または、ダミーパスワードに、パスワード入力領域312には入力できない(入力が制限されている)文字(以下、「禁止文字」という。)が含まれるようにしてもよい。換言すれば、ステップS103において、文字列送信部11は、ダミーパスワードに禁止文字を含めるようにしてもよい。すなわち、一般的にパスワードに使用できる文字には制限がある。そして、UI制御部31は、パスワード入力領域312に対する禁止文字の入力を拒否するように実装されている場合が多い。そうすると、受信パスワードに、ダミーパスワードの少なくとも一部が含まれており、かつ、その一部に禁止文字が含まれている場合、当該禁止文字は、ユーザによって入力されたものでないことが保証される。したがって、この場合、照合部12の判定結果を肯定的なものとすることについて、妥当性が認められる。なお、禁止文字によってのみ(禁止文字の集合によって)ダミーパスワードが構成されるようにしてもよい。そうすることにより、受信パスワードにダミーパスワードの少なくとも一部が含まれているか否かの判定結果の正確性(確からしさ)を向上させることができる。この場合、パスワード入力領域312において全てのダミーパスワードが削除されない限り、受信パスワードには、ユーザには入力できない可能性の高い禁止文字が含まれるからである。   Alternatively, the dummy password may include characters (hereinafter, referred to as “prohibited characters”) that cannot be input in the password input area 312 (the input is restricted). In other words, in step S103, the character string transmission unit 11 may include prohibited characters in the dummy password. In other words, there are generally restrictions on the characters that can be used in passwords. In many cases, the UI control unit 31 is implemented so as to reject the entry of prohibited characters in the password input area 312. Then, if the received password includes at least part of the dummy password and part of it includes prohibited characters, it is guaranteed that the prohibited characters are not input by the user. . Therefore, in this case, the validity of making the determination result of the collation unit 12 positive is recognized. A dummy password may be configured only by prohibited characters (by a set of prohibited characters). By doing so, it is possible to improve the accuracy (certainty) of the determination result as to whether or not at least part of the dummy password is included in the received password. In this case, unless all dummy passwords are deleted in the password input area 312, the received password includes prohibited characters that are likely not to be input by the user.

なお、照合部12による判定結果が肯定的となるのは、受信ユーザ名に関連付けられているダミーパスワードがメモリ装置103に記録されていることが前提となる。すなわち、認証画面310のユーザ名入力領域311において、ユーザ名が変更されていないことが前提となる。したがって、受信ユーザ名に関連付けられているダミーパスワードがメモリ装置103に記録されていない場合、照合部12による判定結果は否定的なものとなる。   Note that the determination result by the collation unit 12 is affirmative on the assumption that a dummy password associated with the received user name is recorded in the memory device 103. That is, it is assumed that the user name has not been changed in the user name input area 311 of the authentication screen 310. Therefore, if the dummy password associated with the received user name is not recorded in the memory device 103, the determination result by the collation unit 12 is negative.

続いて、選択部13は、照合部12による判定結果に基づいて認証に用いるパスワード等を選択する(S108)。具体的には、照合部12による判定結果が肯定的な場合、選択部13は、キャッシュされているパスワードを選択する。この場合、選択部13は、受信ユーザ名に係るパスワードをキャッシュ情報記憶部15より取得し、当該受信ユーザ名(又はキャッシュ情報記憶部15に記憶されている当該受信ユーザ名と同じユーザ名)と、当該パスワードとを認証に用いるユーザ名及びパスワードとして選択する。一方、照合部12による判定結果が否定的な場合、選択部13は、受信ユーザ名及び受信パスワードを認証に用いるユーザ名及びパスワードとして選択する。   Subsequently, the selection unit 13 selects a password or the like used for authentication based on the determination result by the collation unit 12 (S108). Specifically, when the determination result by the collation unit 12 is positive, the selection unit 13 selects a cached password. In this case, the selection unit 13 acquires the password related to the received user name from the cache information storage unit 15, and the received user name (or the same user name as the received user name stored in the cache information storage unit 15). The password is selected as the user name and password used for authentication. On the other hand, when the determination result by the collation unit 12 is negative, the selection unit 13 selects the received user name and received password as the user name and password used for authentication.

続いて、認証制御部14は、選択部13によって選択されたユーザ名及びパスワードを含む認証要求を認証サーバ20に送信する(S109)。認証サーバ20において認証要求が受信されると、認証サーバ20の認証処理部21は、当該認証要求に含まれているユーザ名及びパスワードと、ユーザ情報記憶部22に記憶されているユーザ名及びパスワードとを照合することにより、認証を行う(S110)。続いて、認証処理部21は、認証結果を情報処理サーバ10に返信する(S111)。   Subsequently, the authentication control unit 14 transmits an authentication request including the user name and password selected by the selection unit 13 to the authentication server 20 (S109). When the authentication request is received by the authentication server 20, the authentication processing unit 21 of the authentication server 20 includes the user name and password included in the authentication request and the user name and password stored in the user information storage unit 22. Is verified (S110). Subsequently, the authentication processing unit 21 returns an authentication result to the information processing server 10 (S111).

情報処理サーバ10において認証結果が受信されると、サービス提供部16は、認証結果に応じてサービスの提供の許否を判定する。   When the authentication result is received by the information processing server 10, the service providing unit 16 determines whether or not to provide the service according to the authentication result.

なお、上記においては、情報処理サーバ10と認証サーバ20とが別の装置である例を示したが、情報処理サーバ10が認証サーバ20を兼ねてもよい。具体的には、情報処理サーバ10が、認証処理部21及びユーザ情報記憶部22を有していてもよい。この場合、キャッシュ情報記憶部15は、必ずしも必要ではない。キャッシュ情報記憶部15の機能は、ユーザ情報記憶部22によって代替されればよいからである。但し、この場合、ユーザ情報記憶部22の各レコードと、ユーザ識別情報との関連付け情報が補助記憶装置102に記憶される必要がある。   In the above, an example in which the information processing server 10 and the authentication server 20 are separate devices has been described, but the information processing server 10 may also serve as the authentication server 20. Specifically, the information processing server 10 may include an authentication processing unit 21 and a user information storage unit 22. In this case, the cache information storage unit 15 is not always necessary. This is because the function of the cache information storage unit 15 may be replaced by the user information storage unit 22. However, in this case, association information between each record in the user information storage unit 22 and the user identification information needs to be stored in the auxiliary storage device 102.

上述したように、本実施の形態によれば、真のパスワードがネットワーク上を流通する機会を減少させることができる。具体的には、ステップS104においては、真のパスワードではなくダミーパスワードが転送される。また、ユーザが、キャッシュされているパスワードによる認証を望む場合、ステップS106においてもダミーパスワードが転送される。したがって、パスワードの入力を省略させることによるセキュリティの劣化を改善することができる。   As described above, according to the present embodiment, it is possible to reduce the chance that a true password is distributed on the network. Specifically, in step S104, a dummy password is transferred instead of a true password. If the user desires authentication using a cached password, the dummy password is also transferred in step S106. Therefore, it is possible to improve the deterioration of security caused by omitting the password input.

また、本実施の形態の実施に際し、クライアント装置30側(すなわち、UI制御部31)に関して基本的に改変は必要とされない点も、本実施の形態の利点として挙げられる。すなわち、UI制御部31から見れば、真のパスワードの代わりにダミーパスワードが送信されてくる点が相違するが、両者は単なる文字列である。したがって、UI制御部31にとって、斯かる相違点による影響は無い。よって、ユーザに対しても、基本的に従来の方式(例えば、図1において説明した方式)との差異は露出されない。その結果、ユーザが知らない間(又は、ユーザに気付かれることなく)に、セキュリティを向上させることができる。   In addition, it is also mentioned as an advantage of the present embodiment that basically no modification is required on the client device 30 side (that is, the UI control unit 31) when implementing the present embodiment. In other words, the UI control unit 31 is different in that a dummy password is transmitted instead of a true password, but both are simply character strings. Therefore, the UI control unit 31 is not affected by such a difference. Therefore, basically, the difference from the conventional method (for example, the method described in FIG. 1) is not exposed to the user. As a result, security can be improved while the user does not know (or without being noticed by the user).

また、本実施の形態によれば、パスワードが看破される危険性を著しく低下させることもできる。すなわち、従来の方式(図1において説明した方式)は、真のパスワードが看破される可能性があるという問題を有する。例えば、認証画面610に表示されているパスワードは、マスクされているものの、実際の値である。したがって、最後の一文字を削除し、削除した分の一文字を適当に入力する。この状態で認証を受ける。認証に失敗したら同じことを繰り返す。この際、入力する一文字は、前回と異なるものとする。いずれ認証に成功したら、パスワードの最後の一文字が判明したことになる。続いて、最後から2番目、3番目と、一文字ずつ同じことを繰り返すことにより、最終的にはパスワードの全ての文字列が看破されてしまう可能性がある。   In addition, according to the present embodiment, it is possible to significantly reduce the risk of a password being viewed. That is, the conventional method (the method described with reference to FIG. 1) has a problem that a true password may be detected. For example, although the password displayed on the authentication screen 610 is masked, it is an actual value. Therefore, the last character is deleted, and the deleted character is input appropriately. Authentication is received in this state. Repeat the same if authentication fails. At this time, it is assumed that one character to be input is different from the previous one. If the authentication succeeds, the last character of the password is known. Subsequently, by repeating the same thing one character at a time from the second to the third, there is a possibility that all the character strings of the password will eventually be ignored.

一方、本実施の形態において、認証画面310に表示されるパスワードは、ダミーパスワードである。したがって、上記のようなパスワードの看破を防止することができる。   On the other hand, in the present embodiment, the password displayed on authentication screen 310 is a dummy password. Therefore, it is possible to prevent the password from being broken.

なお、上記のようなパスワードの看破方法に鑑みると、パスワードが編集された場合は、キャッシュされているパスワードを用いた認証を回避した方が、セキュリティ上の観点上好ましいと考えられる。特に、パスワードの一部について編集が行われた場合、上記のようなパスワードの看破が試みられている可能性も考えられるからである。   In view of the above password detection method, when the password is edited, it is considered preferable in terms of security to avoid authentication using the cached password. In particular, when a part of the password is edited, there is a possibility that the above-mentioned password is attempted to be viewed.

そこで、ダミーパスワードと受信パスワードとが完全に一致することを、照合部12による判定が肯定的となる条件としてもよい。但し、これでもパスワードの編集が行われていないことを完全には保証できない。パスワードの最後の一部が削除され、改めて追加された一部が、偶然にダミーパスワードと一致する可能性も有るからである。そこで、斯かる観点からも、禁止文字によってのみダミーパスワードを構成することの利点が認められる。ダミーパスワードの全てが禁止文字である場合は、改めて追加された一部が、偶然にダミーパスワードと一致する可能性を低下させることができるからである。すなわち、認証画面310では、禁止文字の入力が不可能である場合が多いからである。   Therefore, a condition that the determination by the collation unit 12 is affirmative may be that the dummy password and the received password completely match. However, even this cannot completely guarantee that the password has not been edited. This is because the last part of the password is deleted and the part newly added may coincide with the dummy password by chance. Therefore, from this point of view, the advantage of configuring the dummy password only with the prohibited characters is recognized. This is because, when all of the dummy passwords are prohibited characters, the possibility that a part newly added coincides with the dummy password by chance can be reduced. That is, on the authentication screen 310, it is often impossible to input prohibited characters.

但し、禁止文字によってのみダミーパスワードを構成したとしても、ダミーパスワードの後に何らかの文字を追加し、削除するといった行為(編集)を検知することは困難である。   However, even if the dummy password is configured only by the prohibited characters, it is difficult to detect an action (edit) of adding or deleting some characters after the dummy password.

そこで、ダミーパスワードの文字数を、認証画面310のパスワード入力領域312において入力可能な最大文字数としてもよい。そうすることにより、ダミーパスワードの後に何らかの文字を追加し、削除するといった行為を防止することができる。これは、ダミーパスワードが禁止文字のみで構成されていない場合にも有効である。   Therefore, the number of characters of the dummy password may be the maximum number of characters that can be input in the password input area 312 of the authentication screen 310. By doing so, it is possible to prevent the act of adding or deleting some characters after the dummy password. This is also effective when the dummy password is not composed of only prohibited characters.

次に、第二の実施の形態について説明する。図7は、第二の実施の形態における情報処理システムの構成例を示す図である。図7中、図2と同一部分には同一符号を付し、その説明は省略する。また、第二の実施の形態では第一の実施の形態と異なる点について説明する。したがって、特に言及されない点については、第一の実施の形態と同様でよい。   Next, a second embodiment will be described. FIG. 7 is a diagram illustrating a configuration example of an information processing system according to the second embodiment. In FIG. 7, the same parts as those of FIG. In the second embodiment, differences from the first embodiment will be described. Therefore, the points not particularly mentioned may be the same as those in the first embodiment.

同図の情報処理システム2において、クライアント装置30aは、キャッシュ情報記憶部32を有している。一方、情報処理サーバ10aは、キャッシュ情報記憶部15を有していない。すなわち、第二の実施の形態は、ユーザ名及びパスワードをキャッシュする位置が情報処理サーバ10に限定されないことを説明するための実施形態である。   In the information processing system 2 shown in FIG. 1, the client device 30 a has a cache information storage unit 32. On the other hand, the information processing server 10 a does not have the cache information storage unit 15. That is, the second embodiment is an embodiment for explaining that the location where the user name and password are cached is not limited to the information processing server 10.

キャッシュ情報記憶部32の内容は、図5に示されるものと同様でよい。但し、必ずしもユーザ識別情報の列は必要ではない。また、キャッシュ情報記憶部32は、基本的に、クライアント装置30のログインユーザに関するユーザ名及びパスワードのみを記憶する。   The contents of the cache information storage unit 32 may be the same as those shown in FIG. However, the user identification information column is not necessarily required. In addition, the cache information storage unit 32 basically stores only the user name and password related to the login user of the client device 30.

以下、情報処理システム2の処理手順について説明する。図8は、第二の形態の情報処理システムにおける認証処理の処理手順の一例を説明するための図である。クライアント装置30におけるUI制御部31に対するユーザによる所定の入力に応じ、UI制御部31は、情報処理サーバ10に対し、アクセス要求を送信する(S201)。当該アクセス要求には、キャッシュ情報記憶部32に記憶されているユーザ名及びパスワードがユーザ識別情報として含まれる。情報処理サーバ10がWebサーバである場合、キャッシュ情報記憶部32は、当該WebサーバのWebサイトに対するクッキー情報を記憶する記憶部であってもよい。   Hereinafter, the processing procedure of the information processing system 2 will be described. FIG. 8 is a diagram for explaining an example of a processing procedure of authentication processing in the information processing system according to the second embodiment. In response to a predetermined input from the user to the UI control unit 31 in the client device 30, the UI control unit 31 transmits an access request to the information processing server 10 (S201). The access request includes the user name and password stored in the cache information storage unit 32 as user identification information. When the information processing server 10 is a Web server, the cache information storage unit 32 may be a storage unit that stores cookie information for the Web site of the Web server.

情報処理サーバ10において、アクセス要求が受信されると、情報処理サーバ10の文字列送信部11は、当該アクセス要求に含まれているユーザ識別情報よりユーザ名及びパスワードを抽出する(S202)。   In the information processing server 10, when the access request is received, the character string transmission unit 11 of the information processing server 10 extracts the user name and password from the user identification information included in the access request (S202).

ステップS203以降は、図4のステップS103以降と同様でよい。但し、図4においてキャッシュ情報記憶部15に記憶されているユーザ名又はパスワードの代わりに、ステップS202において抽出されたユーザ名パスワードが利用されればよい。   Step S203 and subsequent steps may be the same as step S103 and subsequent steps in FIG. However, the user name password extracted in step S202 may be used instead of the user name or password stored in the cache information storage unit 15 in FIG.

上述したように、ユーザ名及びパスワードは、クライアント装置30にキャッシュされていてもよい。   As described above, the user name and password may be cached in the client device 30.

なお、情報処理サーバ10等は、必ずしも汎用的なコンピュータでなくてもよい。近年では、複合機、コピー機、プリンタ、ファクシミリ等の機器も、Webサーバ等のサーバとして機能することが可能となっている。したがって、このような機器が情報処理サーバ10等として用いられてもよい。   The information processing server 10 or the like is not necessarily a general-purpose computer. In recent years, devices such as multifunction peripherals, copiers, printers, and facsimile machines can function as servers such as Web servers. Therefore, such a device may be used as the information processing server 10 or the like.

ここでは、複合機が、情報処理サーバ10若しくは10a及びクライアント装置30若しくは30aの機能を有する例を第三の実施の形態として説明する。   Here, an example in which the multifunction machine has the functions of the information processing server 10 or 10a and the client device 30 or 30a will be described as a third embodiment.

図9は、第三の実施の形態における情報処理システムの構成例及びその処理手順を説明するための図である。図9中、図2又は図7と同一部分には同一符号を付し、その説明は省略する。   FIG. 9 is a diagram for explaining a configuration example of an information processing system and a processing procedure thereof in the third embodiment. 9, the same parts as those in FIG. 2 or FIG. 7 are denoted by the same reference numerals, and the description thereof is omitted.

同図の情報処理システム3において、複合機40及び認証サーバ20は、LAN(Local Area Network)又はインターネット等のネットワークを介して通信可能とされている。   In the information processing system 3 in the figure, the multi-function device 40 and the authentication server 20 can communicate via a network such as a LAN (Local Area Network) or the Internet.

複合機は40、図3に示されるようなハードウェア及び画像形成手段としてのハードウェア(プリンタ及びスキャナ等)の他に、タッチパネル41を有する。タッチパネル41は、操作画面を表示させ、操作画面を介してユーザより入力を受け付けるタッチ式の液晶パネルである。複合機40には、また、ICカードリーダ42が接続されている。ICカードリーダ42は、ICカード50に記録された情報を読み取るハードウェアである。ICカード50は、各ユーザに複数枚ずつ配布されており、当該ユーザのユーザ名及びパスワードが記録されている。ICカード50内のユーザ名及びパスワードは、専用のツールを用いないと修正することはできない。   The multifunction peripheral 40 has a touch panel 41 in addition to hardware as shown in FIG. 3 and hardware (printer, scanner, etc.) as image forming means. The touch panel 41 is a touch-type liquid crystal panel that displays an operation screen and receives an input from the user via the operation screen. An IC card reader 42 is also connected to the multi-function device 40. The IC card reader 42 is hardware that reads information recorded on the IC card 50. A plurality of IC cards 50 are distributed to each user, and the user name and password of the user are recorded. The user name and password in the IC card 50 cannot be corrected without using a dedicated tool.

更に、複合機40は、図2又は図7において、情報処理サーバ10若しくは10a、及びクライアント装置30若しくは30aが有する各部のソフトウェアを有する。   Furthermore, the multifunction device 40 includes software of each unit included in the information processing server 10 or 10a and the client device 30 or 30a in FIG. 2 or FIG.

複合機40の一部又は全部の機能を利用する際に、ユーザは、ICカード50の提示を要求される。ユーザによって、ICカード50がICカードリーダ42にセットされると、ICカードリーダ42によって、ICカード50に記録されているユーザ名及びパスワードが読み取られる(S301)。複合機40の文字列送信部11は、ダミーパスワードを生成し、ICカード50より読み取られたユーザ名と当該ダミーパスワードとをタッチパネル41に送信する(S302)。タッチパネル41のUI制御部31は、当該ユーザ名及びダミーパスワードが設定された認証画面310(図6参照)をタッチパネル41に表示させる。   When using a part or all of the functions of the multi-function device 40, the user is required to present the IC card 50. When the IC card 50 is set in the IC card reader 42 by the user, the user name and password recorded in the IC card 50 are read by the IC card reader 42 (S301). The character string transmission unit 11 of the multi-function device 40 generates a dummy password, and transmits the user name read from the IC card 50 and the dummy password to the touch panel 41 (S302). The UI control unit 31 of the touch panel 41 causes the touch panel 41 to display an authentication screen 310 (see FIG. 6) in which the user name and the dummy password are set.

ユーザは、必要に応じてユーザ名又はパスワードの編集を行う。ユーザによってOKボタン313がクリックされると、UI制御部31は、認証画面310に設定されているユーザ名及びパスワードを含む認証要求を複合機40に送信する(S303)。その後、複合機40内において、ステップS107及びS108と同様の処理が実行され、認証サーバ20に対して認証要求が送信される(S304)。認証サーバ20の認証処理部21は認証を行い、認証結果を複合機40に返信する(S305)。複合機40は、認証結果に応じて、機能の提供の可否を判定する。   The user edits the user name or password as necessary. When the OK button 313 is clicked by the user, the UI control unit 31 transmits an authentication request including the user name and password set on the authentication screen 310 to the multi-function device 40 (S303). Thereafter, processing similar to that in steps S107 and S108 is executed in the multi-function device 40, and an authentication request is transmitted to the authentication server 20 (S304). The authentication processing unit 21 of the authentication server 20 performs authentication, and returns an authentication result to the multi-function device 40 (S305). The multi-function device 40 determines whether the function can be provided according to the authentication result.

このように、複合機40に関しても、第一又は第二の実施の形態と同様の処理手順を適用することができる。また、ICカード50に関して、特別な機能を追加することなく、セキュリティを向上させることができる。   As described above, the same processing procedure as that of the first or second embodiment can be applied to the multi-function device 40. Further, security can be improved without adding a special function to the IC card 50.

なお、第三の実施の形態において、正当なユーザがログイン画面310においてパスワードを編集するケースとしては、例えば、ユーザが、複数枚所有するICカード50のうちの一枚を紛失した場合が考えられる。ここで、複数枚のICカード50には、全て同じユーザ名及びパスワードが記録されている。この場合、ユーザは、紛失したICカードの不正利用を防止するため、認証サーバ20のユーザ情報記憶部22に記憶されているパスワードを更新させる。但し、手持ちの残りのICカード50については、パスワードの更新が直ちに行われるとは限らない。専用のツールを用いたICカード50内のパスワードの更新は、迅速な対応が困難だからである。   In the third embodiment, a case where a legitimate user edits a password on the login screen 310 may be, for example, a case where the user loses one of a plurality of IC cards 50 owned by the user. . Here, the same user name and password are recorded in a plurality of IC cards 50. In this case, the user updates the password stored in the user information storage unit 22 of the authentication server 20 in order to prevent unauthorized use of the lost IC card. However, for the remaining IC card 50 on hand, the password is not always updated immediately. This is because it is difficult to quickly update the password in the IC card 50 using a dedicated tool.

斯かるユーザが複合機40を利用する場合、ユーザは、手持ちのICカード50をICカードリーダ42にセットする。ユーザは、ICカード50に記録されているパスワードは有効で無いことを知っているため、ログイン画面310においてパスワードを編集する。   When such a user uses the multi-function device 40, the user sets the IC card 50 on hand in the IC card reader 42. Since the user knows that the password recorded in the IC card 50 is not valid, the user edits the password on the login screen 310.

以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to such specific embodiment, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.

1、2、3 情報処理システム
10、10a 情報処理サーバ
11 文字列送信部
12 照合部
13 選択部
14 認証制御部
15 キャッシュ情報記憶部
16 サービス提供部
20 認証サーバ
21 認証処理部
22 ユーザ情報記憶部
30、30a クライアント装置
31 UI制御部
32 キャッシュ情報記憶部
40 複合機
41 タッチパネル
42 ICカードリーダ
50 ICカード
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス 1, 2, 3 Information processing system 10, 10a Information processing server 11 Character string transmission unit 12 Collation unit 13 Selection unit 14 Authentication control unit 15 Cache information storage unit 16 Service provision unit 20 Authentication server 21 Authentication processing unit 22 User information storage unit 30, 30a Client device 31 UI control unit 32 Cache information storage unit 40 Multifunction device 41 Touch panel 42 IC card reader 50 IC card 100 Drive device 101 Recording medium 102 Auxiliary storage device 103 Memory device 104 CPU
105 Interface device B bus

特開平7−093073号公報Japanese Patent Laid-Open No. 7-093073

Claims (7)

ユーザ識別情報をクライアント装置より受信し、ユーザごとにパスワードを記憶するユーザ情報記憶手段に記憶されている全てのパスワードと異なる第一の文字列を前記クライアント装置に送信する文字列送信手段と、
前記クライアント装置よりパスワードとして受信される第二の文字列に、前記第一の文字列の少なくとも一部が含まれているかを判定する照合手段と、
前記照合手段による判定結果が肯定的な場合に、前記ユーザ識別情報に関連付けて記憶されているパスワードを認証に用いるパスワードとして選択する選択手段とを有する情報処理装置。 Character string transmitting means for receiving user identification information from the client device and transmitting to the client device a first character string different from all passwords stored in user information storage means for storing passwords for each user;
Collating means for determining whether the second character string received as a password from the client device includes at least a part of the first character string;
An information processing apparatus comprising: a selecting unit that selects a password stored in association with the user identification information as a password used for authentication when a determination result by the collating unit is positive. 前記照合手段は、前記第二の文字列と前記第一の文字列とが所定の文字数以上の共通の文字列を含むかを判定する請求項1記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the collating unit determines whether the second character string and the first character string include a common character string having a predetermined number of characters or more. 前記文字列送信手段は、前記クライアント装置が表示させる認証画面において入力が制限されている文字を含む前記第一の文字列を前記クライアント装置に送信する請求項1又は2記載の情報処理装置。   3. The information processing apparatus according to claim 1, wherein the character string transmission unit transmits the first character string including a character whose input is restricted on an authentication screen displayed by the client apparatus to the client apparatus. 前記文字列送信手段は、前記認証画面において入力が制限されている文字のみによって構成される前記第一の文字列を前記クライアント装置に送信する請求項3記載の情報処理装置。 The information processing apparatus according to claim 3, wherein the character string transmitting unit transmits the first character string including only characters restricted in input on the authentication screen to the client apparatus. 前記文字列送信手段は、前記クライアント装置が表示させる認証画面において入力可能な最大文字数を有する前記第一の文字列を該クライアント装置に送信し、
前記照合手段は、前記第二の文字列と前記第一の文字列とが一致するかを判定する請求項1乃至4いずれか一項記載の情報処理装置。 The character string transmitting means transmits the first character string having the maximum number of characters that can be input on the authentication screen displayed by the client device to the client device,
The information processing apparatus according to claim 1, wherein the matching unit determines whether the second character string matches the first character string. ユーザ識別情報をクライアント装置より受信し、ユーザごとにパスワードを記憶するユーザ情報記憶手段に記憶されている全てのパスワードと異なる第一の文字列を前記クライアント装置に送信する文字列送信手順と、
前記クライアント装置よりパスワードとして受信される第二の文字列に、前記第一の文字列の少なくとも一部が含まれているかを判定する照合手順と、
前記照合手による判定結果が肯定的な場合に、前記ユーザ識別情報に関連付けて記憶されているパスワードを認証に用いるパスワードとして選択する選択手順とをコンピュータが実行する認証制御方法。 A character string transmission procedure for receiving user identification information from the client device and transmitting to the client device a first character string different from all passwords stored in the user information storage means for storing a password for each user;
A verification procedure for determining whether the second character string received as a password from the client device includes at least a part of the first character string;
Wherein when verification procedure of the determination result is affirmative, the authentication control method and a selection procedure for selecting a password stored in association with the user identification information as the password used for authentication computer executes. ユーザ識別情報をクライアント装置より受信し、ユーザごとにパスワードを記憶するユーザ情報記憶手段に記憶されている全てのパスワードと異なる第一の文字列を前記クライアント装置に送信する文字列送信手順と、
前記クライアント装置よりパスワードとして受信される第二の文字列に、前記第一の文字列の少なくとも一部が含まれているかを判定する照合手順と、
前記照合手による判定結果が肯定的な場合に、前記ユーザ識別情報に関連付けて記憶されているパスワードを認証に用いるパスワードとして選択する選択手順とをコンピュータに実行させる認証制御プログラム。 A character string transmission procedure for receiving user identification information from the client device and transmitting to the client device a first character string different from all passwords stored in the user information storage means for storing a password for each user;
A verification procedure for determining whether the second character string received as a password from the client device includes at least a part of the first character string;
Wherein when verification procedure of the determination result is affirmative, the authentication control program for executing a selection procedure for selecting a password stored in association with the user identification information as the password used for authentication to the computer.
JP2010205882A 2010-09-14 2010-09-14 Information processing apparatus, authentication control method, and authentication control program Expired - Fee Related JP5569284B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010205882A JP5569284B2 (en) 2010-09-14 2010-09-14 Information processing apparatus, authentication control method, and authentication control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010205882A JP5569284B2 (en) 2010-09-14 2010-09-14 Information processing apparatus, authentication control method, and authentication control program

Publications (2)

Publication Number Publication Date
JP2012063863A JP2012063863A (en) 2012-03-29
JP5569284B2 true JP5569284B2 (en) 2014-08-13

Family

ID=46059537

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010205882A Expired - Fee Related JP5569284B2 (en) 2010-09-14 2010-09-14 Information processing apparatus, authentication control method, and authentication control program

Country Status (1)

Country Link
JP (1) JP5569284B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6068908B2 (en) * 2012-10-01 2017-01-25 株式会社三菱東京Ufj銀行 Authentication information transfer system and web server
JP6504923B2 (en) * 2015-05-29 2019-04-24 キヤノン株式会社 INFORMATION PROCESSING APPARATUS, SYSTEM, CONTROL METHOD, AND PROGRAM
JP2018125728A (en) * 2017-02-01 2018-08-09 富士ゼロックス株式会社 Information processing apparatus and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0643770B2 (en) * 1987-05-21 1994-06-08 山武ハネウエル株式会社 Password verification method
JP2005044054A (en) * 2003-07-25 2005-02-17 Base Technology Inc Processing system for code string
JP2006011940A (en) * 2004-06-28 2006-01-12 Casio Comput Co Ltd Personal identification device, portable terminal, identification data input processing program, and terminal control program
JP2007122599A (en) * 2005-10-31 2007-05-17 Toshiba Digital Media Engineering Corp Method and device for authentication
NO20076550A (en) * 2007-12-19 2009-05-04 Fast Search & Transfer Asa Procedure to improve security in login and service access procedures

Also Published As

Publication number Publication date
JP2012063863A (en) 2012-03-29

Similar Documents

Publication Publication Date Title
US11023568B2 (en) Image processing apparatus, system related to image processing apparatus, and method
US9923889B2 (en) Data processing system, data processing apparatus and log in method
US10609254B2 (en) System for executing process associated with biometric information, and method, information processing apparatus, method, and program storage medium for same
US9203822B2 (en) Network system, data processing apparatus, and method for multi-factor authentication
JP6393988B2 (en) Apparatus, information processing system, control method, program, and storage medium
JP2005316952A (en) Information processing apparatus, resource management apparatus, attribute modifiability determination method, attribute modifiability determination program, and recording medium
US20160112493A1 (en) Information processing apparatus, information processing apparatus control method, and storage medium storing program
JP2011128771A (en) Information processing apparatus, information processing method and information processing program
US20100225950A1 (en) Image forming apparatus and method
JP5569284B2 (en) Information processing apparatus, authentication control method, and authentication control program
JP2007272600A (en) Personal authentication method, system and program associated with environment authentication
JP2008146551A (en) Password information management system, terminal and program
CN112565172B (en) Control method, information processing apparatus, and information processing system
JP2020095433A (en) Information processing device, system, control method of information processing device, control method of system and program
JP2007206850A (en) Login management device and program
JP6351061B2 (en) Management system, management method, program, and user terminal
JP2008162171A (en) Image forming apparatus, image forming method, image forming program, authenticating server and printing server
US9058476B2 (en) Method and image forming apparatus to authenticate user by using smart card
JP4683856B2 (en) Authentication program and authentication server
JP5005394B2 (en) Mail server access method and e-mail system
JP6611249B2 (en) Authentication server and authentication server program
JP5282839B2 (en) Information processing apparatus, program, and recording medium
JP4563775B2 (en) Authentication information automatic input device, method and program
JP7200776B2 (en) Information processing system and program
JP2019003509A (en) Information processing device and information processing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140527

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140609

R151 Written notification of patent or utility model registration

Ref document number: 5569284

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees