JPH0981520A - Collation server used for authentication on network - Google Patents
Collation server used for authentication on networkInfo
- Publication number
- JPH0981520A JPH0981520A JP7231161A JP23116195A JPH0981520A JP H0981520 A JPH0981520 A JP H0981520A JP 7231161 A JP7231161 A JP 7231161A JP 23116195 A JP23116195 A JP 23116195A JP H0981520 A JPH0981520 A JP H0981520A
- Authority
- JP
- Japan
- Prior art keywords
- user
- collation
- data
- server
- authentication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、アプリケーション
利用者の認証を行う方法に関する。特に、ネットワーク
上における利用者の認証に関する。TECHNICAL FIELD The present invention relates to a method for authenticating an application user. In particular, it relates to user authentication on the network.
【0002】[0002]
【従来の技術】銀行などのサービス業では、取引に際し
て、相手が本人であるか否かを確認すること、すなわち
認証は極めて重要な問題である。これは、他人が本人に
なりすまして口座からお金を引き出してしまったり、お
金を振り込んでしまったりすることを防止するためであ
る。2. Description of the Related Art In a service business such as a bank, it is extremely important to confirm whether or not the other party is the principal at the time of a transaction, that is, authentication. This is to prevent another person from withdrawing money from the account by impersonating the person or transferring money.
【0003】この認証のためには、古典的には例えば、
運転免許証や、一定の身分証明書等を提出してもらい、
本人であるか否かを確認している。近年、現金自動引き
出し器等の発達により、磁気カードやパスワードなどに
よって、本人の認証を行う方法が広く採用されている。[0003] Classically, for this authentication, for example,
Ask them to submit a driver's license, certain identification cards, etc.
Checking whether or not he / she is himself. In recent years, with the development of automatic cash drawers and the like, a method of authenticating an individual by using a magnetic card or a password has been widely adopted.
【0004】このような「認証」は、銀行以外でも必要
とされる場合は多い。例えば、研究機関などにおいて
は、秘密漏洩を防止すべく、一定の区域へは許可された
者のみ入場を許し、それ以外の者に対しては入場を制限
する場合が多い。また、会員制クラブ等でも会員である
ことを何らかの方法で確認しなければならない。この研
究機関や会員制クラブにおいても、上記磁気カードやパ
スワード、若しくは会員証等を用いることも好適であ
る。しかし、磁気カードや会員証は紛失してしまう可能
性があるし、また、パスワードも忘れてしまう可能性も
決して小さくはない。そのため、本人を確認する方法と
して、指紋や、網膜パターン等のいわゆるバイオメトリ
ックな物理量を認証のためのデータ(以下、認証データ
という)として用いる方法も提案されている。[0004] Such "authentication" is often required for other than banks. For example, in research institutes and the like, in order to prevent leakage of secrets, it is often the case that only authorized persons are allowed to enter a certain area, and other persons are restricted from entering. Membership clubs must also confirm that they are members in some way. It is also preferable to use the above magnetic card, password, membership card or the like in this research institute or membership club. However, there is a possibility that the magnetic card and the membership card are lost, and a possibility of forgetting the password is not small. Therefore, as a method of confirming the identity, a method of using a so-called biometric physical quantity such as a fingerprint or a retinal pattern as data for authentication (hereinafter referred to as authentication data) has been proposed.
【0005】企業内の電子ドキュメント承認プロセスで
は、署名を用いて本人であることを確認し、承認するこ
とが自然である。また近年、企業ではCADの利用が一
般化しており、その承認のプロセスでは署名データの形
状をイメージデータとしてCADデータにはりつけるこ
ともできる。In the electronic document approval process in a company, it is natural to use a signature to confirm the identity and to approve the person. In recent years, the use of CAD has become common in companies, and in the approval process, the shape of the signature data can be attached to the CAD data as image data.
【0006】[0006]
【発明が解決しようとする課題】近年、ネットワークの
発達により、このネットワーク上で種々のサービスの提
供が行われるようになった。例えば、いわゆるインター
ネットにおいては、WWW(World Wide Web)等による
マルチメディアタイトルの提供サービスが広く行われて
いる。このようなサービスの提供においては、一般の銀
行等におけるサービスと同様に、一定の資格者にのみア
クセスを認める場合もある。このようなネットワーク上
のサービスにおいても、従来のサービスと同様に、「認
証」はきわめて重要な問題である。In recent years, with the development of networks, various services have been provided on these networks. For example, in the so-called Internet, services for providing multimedia titles such as WWW (World Wide Web) are widely performed. In the provision of such services, access may be granted only to certain qualified persons, similarly to services in general banks and the like. For services on such a network, "authentication" is a very important issue, as is the case with conventional services.
【0007】しかしながら、ネットワーク上で本人であ
るか否かの認証をする場合に、上述したバイオメトリッ
クな認証データを用いることは一般にきわめて困難であ
る。例えば網膜パターンや指紋、あるいは掌紋等を入力
する装置を各端末に備える必要があり、また、このよう
な物理量をネットワークを介して伝送するための仕組み
も新たに必要となってしまう。However, it is generally extremely difficult to use the above-mentioned biometric authentication data when authenticating the person on the network. For example, each terminal needs to be provided with a device for inputting a retinal pattern, a fingerprint, a palm print or the like, and a mechanism for transmitting such a physical quantity via a network is also newly required.
【0008】そのため、ネットワーク上で用いられるバ
イオメトリックな物理量として、署名データを用いるこ
とが注目されている。この署名データは、いわゆるタブ
レットにより容易に入力することができ、かつ平面の2
次元データだけではなく、筆圧の変化や署名を書くスピ
ードもデータとしているため、本人であるか否かを確認
するための認証データとして優れた特性を有している。
更に、タブレットは一般に安価に構成できるので、端末
のコストも安く抑えることができるという特徴を有して
いる。[0008] Therefore, the use of signature data is drawing attention as a biometric physical quantity used on a network. This signature data can be easily entered by using a so-called tablet,
Not only the dimensional data, but also the change in writing pressure and the speed at which the signature is written are used as data, and thus have excellent characteristics as authentication data for confirming whether or not the person is the person.
Furthermore, since tablets can be generally configured at low cost, the tablet has a feature that the cost of the terminal can be reduced.
【0009】以上述べたように、パスワードなどの認証
データの他、署名データ等のバイオメトリックな認証デ
ータがネットワーク上における「認証」に利用されてい
る。As described above, in addition to authentication data such as a password, biometric authentication data such as signature data is used for "authentication" on the network.
【0010】ところが、ネットワークの拡大にともな
い、サービスの提供者であるアプリケーションサーバの
種類が増え、かつそのサービスの提供を受けるクライア
ントの数もきわめて膨大なものとなっている。そのた
め、各アプリケーションサーバがそれぞれ別個に認証を
行う際の負担が過大になってきている。特に、インター
ネットのように世界規模で拡がっている場合には、アプ
リケーションサーバとそのサービスの提供を受けるクラ
イアントとの間がきわめて遠距離となる場合も多い。こ
のような場合に、認証データのやりとりをすることがネ
ットワーク上のトラフィックの増大に結びついてしまう
ことも考えられる。However, with the expansion of networks, the types of application servers serving as service providers have increased, and the number of clients receiving the services has become extremely large. As a result, the burden on each application server when performing authentication separately has become excessive. In particular, in the case of the world wide spread like the Internet, there are many cases where an application server and a client who receives the service are extremely far away. In such a case, exchanging authentication data may lead to an increase in traffic on the network.
【0011】本発明は、このような課題を解決するため
になされたものであり、その目的は、ネットワーク上の
クライアントの認証のための照合の機能をアプリケーシ
ョンサーバと独立してネットワーク上に設けることによ
って、アプリケーションサーバの負荷を減少させるとと
もに、クライアントの認証を容易に行うことを可能とす
ることである。The present invention has been made to solve such a problem, and an object thereof is to provide a collation function for authenticating a client on a network on the network independently of an application server. This makes it possible to reduce the load on the application server and easily authenticate the client.
【0012】[0012]
【課題を解決するための手段】第1の本発明は、上記課
題を解決するために、ネットワーク上の利用者の正しい
認証データを記憶する記憶手段と、外部からの所定の利
用者の認証データに関する照合要求に応じて、前記記憶
手段から前記所定の利用者の正しい認証データを取り出
す検索手段と、前記照合要求に応じて、前記検索手段が
取り出した前記正しい認証データと、前記照合要求に係
る認証データとを比較照合する照合手段と、前記照合の
結果を送出する送出手段と、を含み、前記認証データが
前記所定の利用者の認証データであるか否か照合を行う
照合サーバである。In order to solve the above-mentioned problems, the first aspect of the present invention stores a correct authentication data of a user on a network and an external authentication data of a predetermined user. Related to the collation request, the retrieval unit retrieving the correct authentication data of the predetermined user from the storage unit in response to the collation request, and the correct authentication data retrieved by the retrieval unit in response to the collation request. A collation server that includes collation means for comparing and collating authentication data and transmission means for transmitting the result of the collation, and collates whether or not the authentication data is the authentication data of the predetermined user.
【0013】このような構成により、認証データの照合
動作を集中的に行わせることが可能となり、利用者の認
証を行う必要なる所定のアプリケーションサーバから適
宜利用することが可能となる。With such a configuration, the collation operation of the authentication data can be centrally performed, and can be appropriately used from a predetermined application server that needs to authenticate the user.
【0014】その結果、従来各アプリケーションサーバ
などが個々に有していた照合機能をネットワーク上で集
中して管理することができるので、資源の有効な活用が
可能となる。As a result, the collating function conventionally possessed by each application server or the like can be centrally managed on the network, so that effective use of resources becomes possible.
【0015】第2の本発明は、上記課題を解決するため
に、上記第1の本発明の照合サーバにおいて、前記記憶
手段は、前記利用者の識別データと、前記利用者の前記
認証データと、さらに、前記利用者に関して照合サーバ
が要求する所定のデータと、から成るテーブル手段を備
え、前記検索手段は、前記利用者の識別データに基づ
き、前記記憶手段から前記正しい認証データを取り出し
うるとともに、前記所定のデータに基づいても、前記記
憶手段から前記正しい認証データを取り出しうることを
特徴とする照合サーバである。In order to solve the above problems, a second aspect of the present invention is the collation server according to the first aspect of the present invention, wherein the storage means stores the identification data of the user and the authentication data of the user. And further comprising table means consisting of predetermined data requested by a collation server for the user, wherein the search means can retrieve the correct authentication data from the storage means based on the identification data of the user. The verification server is characterized in that the correct authentication data can be retrieved from the storage means based on the predetermined data.
【0016】このように、「正しい」認証データを取り
出すためのインデックスが利用者の識別データだけでな
く所定のデータによっても構成されているため、利用者
が識別データを忘れてしまった場合においても、その他
のデータから認証データを取り出すことが可能である。As described above, since the index for extracting the "correct" authentication data is composed not only of the user's identification data but also of predetermined data, even if the user forgets the identification data. It is possible to extract authentication data from other data.
【0017】例えば、上記所定のデータとしては、利用
者の名前や、電話番号、生年月日などを利用するのが好
適である。また、その利用者の識別するのにある程度寄
与するものであれば血液型等も利用可能である。For example, it is preferable to use the user's name, telephone number, date of birth, etc. as the predetermined data. Further, blood types and the like can be used as long as they contribute to the identification of the user to some extent.
【0018】第3の本発明は、上記課題を解決するため
に、上記第1の本発明の照合サーバにおいて、照合準備
要求に応じて、前記利用者の正しい認証データを記憶手
段から読み出し、前記記憶手段より読み出し速度の速い
キャッシュ手段に予め格納しておくキャッシュ制御手
段、を含むことを特徴とする照合サーバである。In order to solve the above-mentioned problems, the third aspect of the present invention, in the collation server of the above-mentioned first aspect of the present invention, reads the correct authentication data of the user from the storage means in response to a collation preparation request, The collation server includes a cache control unit that is stored in advance in a cache unit that has a faster reading speed than the storage unit.
【0019】第3の本発明においては、照合準備要求に
応じて予め「正しい」認証データをキャッシュに読み出
しておいたので、所定の利用者の認証データが実際に送
られてきたときに迅速に照合動作を開始することが可能
である。According to the third aspect of the present invention, the "correct" authentication data is read in advance in the cache in response to the collation preparation request, so that when the authentication data of a predetermined user is actually sent, the authentication data can be promptly sent. It is possible to start the matching operation.
【0020】そのため、認証動作の高速化を図ることが
可能である。Therefore, it is possible to speed up the authentication operation.
【0021】[0021]
【発明の実施の形態】以下、本発明の好適な実施の形態
を、図面に基づいて説明する。BEST MODE FOR CARRYING OUT THE INVENTION Preferred embodiments of the present invention will be described below with reference to the drawings.
【0022】図1には、本実施の形態において、ネット
ワーク上に設けられているアプリケーションサーバ(A
pplication Server)10のサービス
を利用するユーザホスト(User Host)20
と、ユーザホスト20の認証の際に利用される照合サー
バ(Server)30とがネットワーク上に配置され
ている様子が示されている。FIG. 1 shows an application server (A) provided on the network in this embodiment.
user host (User Host) 20 that uses the service of the application server 10
And a collation server (Server) 30 used for authentication of the user host 20 are arranged on a network.
【0023】本実施の形態において特徴的なことは、ユ
ーザホスト20の認証の際の照合動作が、アプリケーシ
ョンサーバ10において行われるのではなく、アプリケ
ーションサーバ10とは別体にネットワーク上に設けら
れている照合サーバ30を用いて行われていることであ
る。このように、照合動作を行う照合サーバ30をアプ
リケーションサーバ10と独立にネットワーク上に設け
ることにより、個々のアプリケーションサーバ10はユ
ーザホスト20の認証のための「正しい」認証データを
保持したり、照合のための機能を有する必要がなくな
る。また、図1においてはアプリケーションサーバ10
としてひとつの構成しか示されていないが、ネットワー
ク上に複数のアプリケーションサーバ10を設けること
も好適であり、この場合にはその複数のアプリケーショ
ンサーバ10から1個の照合サーバ30を利用して「照
合」動作を委託することができ、複数のアプリケーショ
ンサーバ10において従来重複して備えられていた認証
データの照合機能を一つにまとめることができ、効率的
な資源の運用が可能となる。A feature of this embodiment is that the collating operation for authenticating the user host 20 is not performed by the application server 10 but is provided separately from the application server 10 on the network. This is performed by using the matching verification server 30. As described above, by providing the collation server 30 performing the collation operation on the network independently of the application server 10, each application server 10 can hold “correct” authentication data for authenticating the user host 20, There is no need to have a function for In FIG. 1, the application server 10
Although only one configuration is shown, it is also preferable to provide a plurality of application servers 10 on the network. In this case, the plurality of application servers 10 use one collation server 30 to perform “collation”. The operation can be entrusted, and the authentication data collation function conventionally provided in a plurality of application servers 10 can be integrated into one, and efficient resource operation becomes possible.
【0024】また、この照合サーバ30は、ネットワー
ク上に複数個設けることも好適である。そして、各アプ
リケーションサーバ10は、認証の内容に応じて、好適
な照合サーバを利用することが可能となる。例えば、認
証データとして署名データが用いられる場合と、認証デ
ータとして指紋データが用いられる場合とにおいて利用
する照合サーバ30を変えることも考えられる。もしく
は、各利用者が自分の認証データを保持している照合サ
ーバ30を自ら指定することも考えられよう。It is also preferable to provide a plurality of the collation servers 30 on the network. Then, each application server 10 can use a suitable collation server according to the contents of the authentication. For example, it is conceivable to change the matching server 30 to be used depending on whether the signature data is used as the authentication data or the fingerprint data is used as the authentication data. Alternatively, it is conceivable that each user specifies the collation server 30 which holds his / her authentication data.
【0025】図1に示されているように、照合サーバ3
0をアプリケーションサーバ10と独立にネットワーク
上に設けることにより、認証の際のメッセージのやりと
りは例えば図1において矢印で示されるようになる。図
1(a)に示されているように、まず、アプリケーショ
ンサーバ10がユーザホスト20に対して認証データを
送るように要求する(図1(a)においてaで示され
る)。この認証データは、古典的にはパスワードや会員
番号を利用することもできるが、バイオメトリックな物
理量、例えば署名データ等を用いることが好適である。
特に、上述したように、署名データは、ユーザホスト2
0に安価なタブレットを準備するだけで容易に入力する
ことが可能である。As shown in FIG. 1, the collation server 3
By providing 0 on the network independently of the application server 10, the exchange of messages at the time of authentication becomes as shown by an arrow in FIG. 1, for example. As shown in FIG. 1A, first, the application server 10 requests the user host 20 to send the authentication data (indicated by a in FIG. 1A). For the authentication data, a password or a member number can be classically used, but it is preferable to use a biometric physical quantity, for example, signature data.
In particular, as described above, the signature data is stored in the user host 2
It is possible to input easily by preparing an inexpensive tablet for 0.
【0026】ユーザホスト20は、aの要求に対して利
用者の署名データをタブレットから入力し、利用者の識
別データ(例えば会員番号や利用者名)と共にアプリケ
ーションサーバ10に返送する(図1(a)においてb
で示される)。アプリケーションサーバ10において
は、この認証データを予め記憶しておいて「正当な」認
証データと照合し、ユーザホスト20が正しい利用者で
あるか否かを判断するわけであるが、この照合作用を外
部の照合サーバ30にいわば委託しているのである。こ
のため、アプリケーションサーバ10はユーザホスト2
0から送られてきた認証データと識別データを含むメッ
セージを照合サーバ30に送出し、照合を依頼する(図
1(a)においてcで示される)。In response to the request a, the user host 20 inputs the user's signature data from the tablet and sends it back to the application server 10 together with the user's identification data (for example, membership number or user name) (see FIG. 1 ( b in a)
Indicated by). In the application server 10, this authentication data is stored in advance and collated with "valid" authentication data to judge whether or not the user host 20 is a correct user. That is, it is outsourced to the external verification server 30. Therefore, the application server 10 uses the user host 2
A message including the authentication data and the identification data sent from 0 is sent to the matching server 30 to request matching (shown by c in FIG. 1A).
【0027】照合サーバ30は、アプリケーションサー
バ10から送られてきた認証データと識別データを含む
メッセージを受信すると、その認証データが正当な認証
データであるか否かを検査する。照合サーバ30はユー
ザホスト20が本人であると主張する利用者名と、その
利用者の正しい認証データとをデータベースとして内部
に保持している。そして、このデータベースを検索する
ことにより、ユーザホスト20が本人であると主張する
利用者についての正しい認証データ、本実施の形態にお
いては例えば署名データ、を取り出す。そして、この取
り出された認証データとアプリケーションサーバ10か
ら送られてきた認証データとを比較・照合し、その結果
をアプリケーションサーバ10に返送する(図1(a)
においてdで示されている)。アプリケーションサーバ
10は、この照合サーバ30から返送されてきた照合結
果に基づいてユーザホスト20に対して認証を行うので
ある。Upon receiving the message including the authentication data and the identification data sent from the application server 10, the verification server 30 checks whether the authentication data is valid authentication data. The verification server 30 internally holds a user name, which the user host 20 claims to be the user, and correct authentication data of the user, as a database. Then, by searching this database, the correct authentication data for the user who claims that the user host 20 is the principal, for example, signature data in this embodiment, is retrieved. Then, the extracted authentication data is compared and collated with the authentication data sent from the application server 10, and the result is returned to the application server 10 (FIG. 1 (a)).
At d). The application server 10 authenticates the user host 20 based on the collation result returned from the collation server 30.
【0028】本実施の形態においては、このように照合
の動作を行う部分を、アプリケーションサーバ10と独
立にネットワーク上に設けたので、複数のアプリケーシ
ョンサーバ10に共通に重複して設けられていた照合機
能を節約することができるとともに、認証動作の確実さ
を担保することが可能である。In the present embodiment, the portion for performing the collation operation in this manner is provided on the network independently of the application server 10, so that the collation that is commonly provided for a plurality of application servers 10 is performed. It is possible to save the functions and ensure the authenticity of the authentication operation.
【0029】尚、図1(a)においては、ユーザホスト
20が送出する署名データ(認証データ)はアプリケー
ションサーバ10を介して照合サーバ30に供給された
が、ユーザホスト20から直接照合サーバ30に送出す
ることも好適である。In FIG. 1A, the signature data (authentication data) sent from the user host 20 is supplied to the collation server 30 via the application server 10. Sending is also suitable.
【0030】図1(b)には、ユーザホスト20から直
接照合サーバ30に認証データを送出する場合の例が示
されている。図1(b)に示されている例によれば、ま
ず、アプリケーションサーバ10がユーザホスト20に
対して、認証データを照合サーバ30に送るように要求
する(図1(b)においてeで示される)。FIG. 1B shows an example in which the authentication data is directly sent from the user host 20 to the verification server 30. According to the example shown in FIG. 1B, first, the application server 10 requests the user host 20 to send the authentication data to the verification server 30 (shown by e in FIG. 1B). ).
【0031】ユーザホスト20は、eの要求に対して利
用者の署名データをタブレットから入力し、照合サーバ
30にこの署名データを送出する(図1(b)において
fで示される)。アプリケーションサーバ10は、ユー
ザホスト20が正しい利用者であるか否かを判断するわ
けであるが、その認証の際に必要な「照合」作用を外部
の照合サーバ30にいわば委託している。このため、照
合サーバ30は、ユーザホスト20から送出されてきた
認証データを予め記憶しておいて「正当な」認証データ
と照合する。図1(a)に示されている例と同様に、照
合サーバ30はユーザホスト20が本人であると主張す
る利用者名と、その利用者の正しい認証データとをデー
タベースとして内部に保持している。そして、このデー
タベースを検索することにより、ユーザホスト20が本
人であると主張する利用者についての正しい認証データ
を取り出す。そして、この取り出された認証データとユ
ーザホスト20から送られてきた認証データとを比較・
照合し、その結果をアプリケーションサーバ10に送出
する(図1においてgで示されている)。アプリケーシ
ョンサーバ10は、この照合サーバ30から返送されて
きた照合結果に基づいてユーザホスト20に対して認証
を行うのである。The user host 20 inputs the user's signature data from the tablet in response to the request e, and sends the signature data to the collation server 30 (indicated by f in FIG. 1B). The application server 10 determines whether or not the user host 20 is a correct user, but entrusts the external verification server 30 with the “verification” action required for the authentication. Therefore, the collation server 30 stores the authentication data sent from the user host 20 in advance and collates it with “valid” authentication data. Similar to the example shown in FIG. 1A, the collation server 30 internally holds a user name, which claims that the user host 20 is the user, and the correct authentication data of the user, as a database. There is. Then, by searching this database, the correct authentication data for the user who claims that the user host 20 is the principal is retrieved. Then, the extracted authentication data is compared with the authentication data sent from the user host 20.
It collates and sends the result to the application server 10 (indicated by g in FIG. 1). The application server 10 authenticates the user host 20 based on the collation result returned from the collation server 30.
【0032】なお、図1(a)、(b)いずれの場合も
アプリケーションサーバ10としては、インターネット
上における例えばWWWサーバや、各種のデータベース
等、種々のサービスを提供するサーバが考えられる。In each of FIGS. 1A and 1B, the application server 10 may be a server that provides various services such as a WWW server on the Internet or various databases.
【0033】図2には、図1に示されているユーザホス
ト20やアプリケーションサーバ10及び照合サーバ3
0の詳細な構成を表す構成ブロック図が示されている。
図2(a)は、図1(a)に対応する構成図である。図
2(a)に示されているように、ユーザホスト20は、
パーソナルコンピュータ等の端末から構成されており、
インターネットに接続し、WWWサーバ42に接続する
ためのネットスケープ(Netscape)52を備え
ている。なお、本実施の形態ではネットスケープ52が
用いられているが、これはモザイク(Mosaic)
等、他のWWWブラウザでもかまわない。ユーザホスト
20はこのネットスケープ52の他に、利用者が署名デ
ータを入力するためのタブレット(Tablet)54
を備えている。また、このタブレット54を制御し、署
名データを取り出すためのタブレットドライバプログラ
ム56が備えられている。このタブレットドライバプロ
グラム56は、アプリケーションサーバ10から認証デ
ータを送出するように要求が来た場合に、その要求をネ
ットスケープ52を介して受け取り、タブレット54を
駆動して得られた認証データ(署名データ)をアプリケ
ーションサーバ10に送出するのである。なお、図1
(a)に示されているメッセージのやりとりa,b,
c,dと同一のメッセージのやりとりに対して同一の符
号a,b,c,dが図2(a)にも付されている。FIG. 2 shows the user host 20, the application server 10, and the collation server 3 shown in FIG.
0 is a configuration block diagram showing a detailed configuration of 0.
FIG. 2A is a configuration diagram corresponding to FIG. As shown in FIG. 2A, the user host 20
It is composed of terminals such as personal computers,
A netscape (Netscape) 52 for connecting to the Internet and connecting to the WWW server 42 is provided. In this embodiment, the netscape 52 is used, but this is a mosaic (Mosaic).
For example, another WWW browser may be used. The user host 20 has, besides the netscape 52, a tablet (Tablet) 54 for the user to input signature data.
It has. Also, a tablet driver program 56 for controlling the tablet 54 and extracting signature data is provided. This tablet driver program 56 receives the request via the Netscape 52 when the application server 10 sends a request to send the authentication data, and drives the tablet 54 to obtain the authentication data (signature data). Is sent to the application server 10. FIG.
Message exchange a, b, shown in (a)
The same reference numerals a, b, c and d for the same message exchanges as those of c and d are also given in FIG.
【0034】アプリケーションサーバ10は、Unix
マシン上に構築される場合が多い。このアプリケーショ
ンサーバ10には、図2(a)に示されているようにマ
ルチメディアタイトルを提供するWWWサーバ42と、
利用者の正当性を確認するための署名照合要求プログラ
ム44とが備えられている。照合サーバ30は、アプリ
ケーションサーバ10と同様にUnix等のマシン上に
構築されており、正当な利用者とその利用者の認証デー
タとを登録した登録データ62を有している。そして、
上記署名照合要求プログラム44から送出されてくる利
用者名(利用者の識別コード)と、ユーザホスト20か
ら送出されてきた認証データとに基づいて照合し、照合
結果をアプリケーションサーバ10の署名照合要求プロ
グラム44に返送する。The application server 10 is a Unix server.
Often built on machines. The application server 10 includes a WWW server 42 for providing a multimedia title as shown in FIG.
A signature verification request program 44 for confirming the validity of the user is provided. The collation server 30 is constructed on a machine such as Unix like the application server 10, and has registration data 62 in which a legitimate user and the authentication data of the user are registered. And
The signature verification request of the application server 10 is performed based on the user name (user identification code) sent from the signature verification request program 44 and the authentication data sent from the user host 20. Return to program 44.
【0035】尚、図1(b)に対応する構成図は、図2
(b)に示されている。図2(b)におけるアプリケー
ションサーバ10、ユーザホスト20、及び照合サーバ
30の構成は、図2(a)に示されている構成と全く同
様である。異なる点は、ユーザホスト20のドライバプ
ログラムから照合サーバ30に直接に照合の要求が出さ
れていることである。照合サーバが照合の対象となる認
証データをユーザホスト20から受け取るのか、若しく
はアプリケーションサーバ10を介して受け取るのかの
違いがあるだけで、その他の構成は図2(a)と(b)
とは全く同様である。また、図2(b)には図1(b)
に対応して、やりとりされるメッセージにe,f,gの
符号が付されている。The configuration diagram corresponding to FIG. 1B is shown in FIG.
It is shown in (b). The configurations of the application server 10, the user host 20, and the matching server 30 in FIG. 2B are exactly the same as the configurations shown in FIG. 2A. The difference is that a request for collation is issued directly from the driver program of the user host 20 to the collation server 30. 2A and 2B, except that the verification server receives the authentication data to be verified from the user host 20 or the application server 10.
Is exactly the same as. In addition, FIG. 2B shows FIG.
Corresponding to, the exchanged messages are given the symbols e, f, g.
【0036】照合サーバ30の登録データ62は、本実
施の形態においては、リレーショナルデータベース(以
下、RDBという)によって管理されている。この登録
データのRDB内の様子が図3に示されている。図3に
示されているように、登録データは各正当な利用者毎に
所定のデータを記録した表の形で記録されている。図に
示されているように、まずフラグ(flag)は、シス
テムの種々の状態を表すためのフラグであり、例えば削
除フラグ(その利用者がシステムから削除されたか否か
を表す)等として用いられる。また、システムユニーク
キー(SysUniq Key)は、各利用者に与えら
れるシステムキーであり、照合サーバ30におけるテー
ブル(図3に示されている)の中で唯一に定められる。
また、登録タブレットタイプは、その利用者が利用する
タブレットのタイプを表す。また、署名データ(Sig
nature data)は、タブレット上で動く電子
ペンの動きを表す時系列データである。この署名データ
には、二次元的な位置を表す情報だけではなく、筆圧
や、ペンの速度の情報も含まれているため、本人である
か否かの認証を精度よく行うことが可能である。In the present embodiment, the registration data 62 of the collation server 30 is managed by a relational database (hereinafter, referred to as RDB). FIG. 3 shows the state of the registration data in the RDB. As shown in FIG. 3, the registration data is recorded in the form of a table in which predetermined data is recorded for each valid user. As shown in the figure, first, a flag (flag) is a flag for indicating various states of the system, and is used as a deletion flag (for example, indicating whether the user has been deleted from the system) or the like. Can be The system unique key (SysUniq Key) is a system key given to each user, and is uniquely set in the table (shown in FIG. 3) in the verification server 30.
The registered tablet type indicates the type of tablet used by the user. In addition, signature data (Sig
Nature data) is time-series data representing the movement of the electronic pen moving on the tablet. Since this signature data includes not only the information indicating the two-dimensional position but also the writing pressure and the pen speed information, it is possible to accurately authenticate the person. is there.
【0037】このように、照合サーバ30内部のRDB
には、システムユニークキーと、署名データとが登録さ
れているため、アプリケーションサーバ10から送出さ
れた来た署名データ及び利用者を表すシステムユニーク
キーを用いて、この送られてきた署名データが正当なも
のであるか否かを判断することが可能である。この判断
の結果の内容については後で説明する。As described above, the RDB in the collation server 30
Since the system unique key and the signature data are registered in, the signature data sent from the application server 10 and the system unique key representing the user are used to validate the sent signature data. It is possible to determine whether or not it is. The contents of the result of this determination will be described later.
【0038】本実施の形態におけるRDBにおいてはシ
ステムユニークキーと署名データの他に、システム要求
項目(System required items)
と呼ばれる登録項目が記憶されている。図3に示されて
いるように、システム要求項目としては、利用者の名前
(Name)、利用者の誕生日(Date of bi
rth)及び利用者の電話番号(Phone#)が登録
されている。これらのシステム要求項目は、システムユ
ニークキーの代わりに用いられるものである。すなわ
ち、システムユニークキーは後述するようにアプリケー
ションサーバと照合サーバとが保持している利用者を識
別するためのキーであるが、利用者は自分に与えられた
システムユニークキーを必ずしも覚えているとは限らな
い。そのため、利用者が登録されている署名データを確
認したい場合等において、システムユニークキー以外で
利用者を特定できる手段が存在した方が望ましい。この
ような場合にシステムユニークキー以外でも、利用者の
名前や誕生日、そして電話番号等で利用者を識別し得る
ようにしたのである。In the RDB of this embodiment, in addition to the system unique key and signature data, system required items (System required items)
Is stored. As shown in FIG. 3, the system request items include the user name (Name) and the user's birthday (Date of bi).
rth) and the user's telephone number (Phone #) are registered. These system requirements are used in place of the system unique key. That is, the system unique key is a key for identifying the user held by the application server and the matching server as described later, but the user must remember the system unique key given to him / her. Not necessarily. Therefore, when the user wants to confirm the registered signature data, it is desirable that there is a means for specifying the user by using a means other than the system unique key. In such a case, in addition to the system unique key, the user can be identified by the user's name, birthday, telephone number, and the like.
【0039】この本実施の形態におけるシステム要求項
目(System required items)
は、本願発明の「前記利用者に関して照合サーバ30が
要求する所定のデータ」に相当する。また、本実施の形
態のシステムユニークキーは、本願発明の「利用者の識
別コード」に相当する。System required items in this embodiment (System required items)
Corresponds to the “predetermined data requested by the matching server 30 for the user” of the present invention. The system unique key according to the present embodiment corresponds to the "user identification code" of the present invention.
【0040】このように本実施の形態においては、「正
しい」認証データをシステムユニークキーだけでなく、
所定のデータでも読み出せるように構成したので、利用
者がシステムユニークキーを失念してしまった場合等に
おいても電話番号などから認証データの確認を行うこと
が可能である。As described above, in the present embodiment, the "correct" authentication data is not limited to the system unique key,
Since the predetermined data can be read out, even if the user forgets the system unique key, it is possible to confirm the authentication data from the telephone number or the like.
【0041】更に、本実施の形態においては、図3に示
されているように、オプショナルフィールド(Opti
onal fields)が設けられている。このオプ
ショナルフィールドに登録されているデータはいわゆる
システム監査用のデータであり、ネットワークの管理者
が照合サーバ30の動作を管理する際に用いられる管理
データである。図3に示されているように、この管理用
のデータとしては、データの作成日(Creation
date)、データの作成者(Creation h
ost)、また、最終アクセス日(Last acc.
date)や、最終アクセス者(Last acc.
by)、その他アクセス回数(access cou
nt)や照合が失敗した回数(failure cou
nt)等、種々のデータを登録することが可能である。Further, in this embodiment, as shown in FIG. 3, an optional field (Opti
online fields) are provided. The data registered in this optional field is so-called system audit data, and is management data used when a network administrator manages the operation of the matching server 30. As shown in FIG. 3, the data for management includes a data creation date (Creation Date).
date), the creator of the data (Creation h
ost) and the last access date (Last acc.
date) and the last accessor (Last acc.
by), other access count (access cou)
nt) and the number of times matching failed (failure cou
nt) can be registered.
【0042】また、アプリケーションサーバ10にも照
合サーバ30内のRDBに対応して、利用者についての
情報を登録したRDBが備えられている。このアプリケ
ーションサーバ10内のRDBに登録されている内容が
図4に示されている。図4に示されているように、各種
の登録データが個々の利用者毎に登録されている。図4
に示されているように、まず、「照合サーバ名」は、そ
の利用者が送ってきた認証データ(署名データ)がどの
照合サーバによって照合されるべきか否かを表すもので
ある。図1に示された構成図においては、照合サーバ3
0はひとつしか示していなかったが、ネットワーク内に
複数の照合サーバ30が存在することも構成として可能
である。例えば、各利用者は、自分が連絡を取りやすい
照合サーバ30を使用したいと思う場合もあるであろう
し、またアプリケーションサーバ10が各利用者毎に照
合サーバを管理上の理由により変更したいと考える場合
もあるであろう。Further, the application server 10 is also provided with an RDB in which information about users is registered corresponding to the RDB in the collation server 30. Contents registered in the RDB in the application server 10 are shown in FIG. As shown in FIG. 4, various types of registration data are registered for each user. FIG.
As shown in FIG. 1, first, the “verification server name” indicates by which verification server the verification data (signature data) sent by the user should be verified. In the configuration diagram shown in FIG. 1, the collation server 3
Although only one 0 is shown, it is possible to have a plurality of matching servers 30 in the network. For example, each user may want to use a collation server 30 that is easy for him to contact, and the application server 10 may want to change the collation server for each user for administrative reasons. There will be cases.
【0043】図4に示されているフラグ(flag)と
システムユニークキー(Sys Uniq Key)と
は、図3におけるフラグ及びシステムユニークキーと同
一のものである。このシステムユニークキーは、上述し
たように、照合サーバ30のRDBの中で唯一に定めら
れているものである。換言すれば、照合サーバ30が異
なる利用者については、同一のシステムユニークキーが
割り当てられる可能性も存在する。したがって、利用者
の識別は、厳密には、このシステムユニークキーと照合
サーバ名とを組み合わせることにより行われることにな
る。アプリケーションユーザキー(App. user
key)は、そのアプリケーションサーバ10の提供
するサービスを受けられるか否かを表すキーである。場
合によっては図4に示されているように追加アプリケー
ションユーザキー(Additional app.
user key)が設定される場合もある。更に、図
4に示されているように作成日(Creation d
ate)や最終アクセス日(Last acc. da
te)、最終アクセス者(Last acc. b
y)、アクセス回数(access count)、照
合が失敗した回数(failure count)等が
図3に示されている照合サーバ30内のRDBに対応し
て登録されている。また、具体的な項目名は示されてい
ないが、アプリケーションオプショナルフィールド(A
pplication optionalfield
s)にアプリケーションが利用する所定の登録データを
登録することも好適である。The flag and system unique key (Sys Uniq Key) shown in FIG. 4 are the same as the flag and system unique key in FIG. This system unique key is uniquely determined in the RDB of the collation server 30 as described above. In other words, there is a possibility that the same system unique key is assigned to users having different collation servers 30. Therefore, the user is strictly identified by combining the system unique key and the matching server name. Application user key (App. User
key) is a key indicating whether or not the service provided by the application server 10 can be received. In some cases, as shown in FIG. 4, additional application user keys (Additional app.
user key) may be set. In addition, as shown in FIG.
ate) and the last access date (Last acc. da)
te), the last accessor (Last acc. b)
y), the number of accesses (access count), the number of times the verification failed (failure count), and the like are registered corresponding to the RDB in the verification server 30 shown in FIG. Although the specific item names are not shown, the application optional field (A
application optionalfield
It is also preferable to register predetermined registration data used by the application in s).
【0044】図5には、本実施の形態に係る照合サーバ
30がサポートするプロトコルの説明図が示されてい
る。図5に示されているように、まずプロトコル「キー
の登録」においては、アプリケーションサーバ10が所
定の必須項目を含むメッセージを照合サーバ30に送出
する。照合サーバはこれらの必須項目をRDBに登録す
ると共に、システムユニークキーを生成する。このシス
テムユニークキーはRDBに登録されると共に、アプリ
ケーションサーバ10に返送される。このようにして、
利用者を識別するシステムユニークキーが照合サーバ3
0において生成される。このシステムユニークキーはア
プリケーションサーバ10においてもRDB内に登録さ
れ、照合サーバ30とアプリケーションサーバ10との
間でシステムユニークキーの共有がなされる。FIG. 5 is an explanatory diagram of protocols supported by the collation server 30 according to this embodiment. As shown in FIG. 5, first, in the protocol “key registration”, the application server 10 sends a message including predetermined required items to the collation server 30. The collation server registers these required items in the RDB and generates a system unique key. This system unique key is registered in the RDB and returned to the application server 10. In this way,
The system unique key that identifies the user is the matching server 3
0 is generated. This system unique key is also registered in the RDB in the application server 10, and the collation server 30 and the application server 10 share the system unique key.
【0045】次に、プロトコル「署名データの登録」に
おいては、アプリケーションサーバ10が、システムユ
ニークキー、3個の署名データ、タブレットタイプ等
を、照合サーバ30に送出し、「正しい」署名データを
照合サーバ30内のRDBに登録させる。ここで、3個
の署名データを送出するのは平均的な署名データの値を
照合サーバにおいて求めて、平均的な値をRDB内に登
録するためである。登録が正常に完了すれば、戻り値
「ok」をアプリケーションサーバ10に返送し、既に
登録が行われている場合等には「error」が戻り値
として返送される。また、3個の署名データが互いに著
しく異なりすぎている場合には、署名データとしての信
頼性が低いため、登録は行わずに「unstable」
を戻り値として返送する。Next, in the protocol "registration of signature data", the application server 10 sends the system unique key, three signature data, tablet type, etc. to the verification server 30 to verify the "correct" signature data. It is registered in the RDB in the server 30. Here, the reason why the three pieces of signature data are transmitted is that the average value of the signature data is obtained by the collation server and the average value is registered in the RDB. When the registration is completed normally, the return value “ok” is returned to the application server 10, and when the registration is already performed, “error” is returned as the return value. If the three pieces of signature data are significantly different from each other, the reliability of the signature data is low, and therefore "unstable" is not performed.
Is returned as a return value.
【0046】プロトコル「照合準備」においては、アプ
リケーションサーバ10が、システムユニークキーのみ
を照合サーバ30に送出し、「正しい」認証データをR
DBからキャッシュに呼び出させておく。このように、
実際の認証データとの照合プロトコルに先立って、認証
データを予め呼び出させておくことにより、後述するよ
うに迅速な照合処理が行えるのである。本プロトコル
は、処理の迅速化のために行われるのであり、迅速化が
必要でない場合には、本プロトコルを省略し、直接、後
述する「照合」プロトコルを発行してもよい。尚、「正
しい」認証データの呼び出しが正常に完了した場合には
メッセージIDがアプリケーションサーバ10に返送さ
れるが、エラーが生じた場合には「error」を戻り
値としてアプリケーションサーバ10に返送する。In the protocol "preparation for collation", the application server 10 sends only the system unique key to the collation server 30, and the "correct" authentication data is sent to the R server.
Let the cache call it from the DB. in this way,
By calling the authentication data in advance prior to the verification protocol with the actual authentication data, a quick verification process can be performed as described later. This protocol is performed for speeding up the processing. If speeding up is not necessary, the protocol may be omitted and a “collation” protocol described later may be directly issued. Note that the message ID is returned to the application server 10 when the call of the “correct” authentication data is normally completed, but when an error occurs, “error” is returned to the application server 10 as a return value.
【0047】プロトコル「照合」は、ユーザホスト20
またはアプリケーションサーバ10がシステムユニーク
キー、署名データ、タブレットタイプ、及びメッセージ
IDを照合サーバ30に送出し、照合動作を行わせるプ
ロトコルである。尚、メッセージIDは、先に「照合準
備」プロトコルが発行されている場合にその戻り値とし
て返送されたメッセージIDが用いられる。尚、後述す
るように、照合結果はアプリケーションサーバ10に送
出されるが、その際、このメッセージIDはどの利用者
の認証であるかを識別するタグとして使用される。すな
わち、本実施の形態においては、このメッセージID
は、認証の識別用の番号であると共に、キャッシュに認
証データが既に呼び出されていることをも表すIDでも
ある。この場合メッセージIDの最初の作成は照合サー
バ30が行い、照合準備要求に対する応答の時にメッセ
ージに付与されるのである。The protocol "verify" is defined by the user host 20.
Alternatively, the protocol is such that the application server 10 sends the system unique key, the signature data, the tablet type, and the message ID to the collation server 30 to perform the collation operation. As the message ID, the message ID returned as a return value when the “collation preparation” protocol has been issued first is used. As will be described later, the matching result is sent to the application server 10, and at this time, this message ID is used as a tag for identifying which user is authenticated. That is, in the present embodiment, this message ID
Is an identification number for authentication, and is also an ID indicating that the authentication data has already been called in the cache. In this case, the first generation of the message ID is performed by the collation server 30 and is added to the message when a response to the collation preparation request is made.
【0048】一方、もし「照合準備」プロトコルが発行
されていない場合には、このメッセージIDは、単にど
の利用者に対する認証であるのかを識別する識別子とし
ての役割しか果たさない。この場合はメッセージIDの
最初の作成はアプリケーションサーバ20である。On the other hand, if the "collation preparation" protocol has not been issued, this message ID serves only as an identifier for identifying to which user the authentication is made. In this case, the first creation of the message ID is the application server 20.
【0049】さて、照合サーバ30は、このメッセージ
IDが自己が付与したものか否かによって、認証データ
が既にキャッシュに読み出されているか否かを知ること
ができる。既に「正しい」認証データが呼び出されてい
る場合には、そのデータと、送られてきた認証データと
を比較・照合する。「正しい」認証データが呼び出され
ていない場合には、RDBから新たに「正しい」認証デ
ータが呼び出されて、比較・照合動作が行われる。Now, the collation server 30 can know whether or not the authentication data has already been read into the cache by checking whether or not this message ID is given by itself. If the "correct" authentication data has already been called, the data is compared and collated with the sent authentication data. When the “correct” authentication data has not been called, the RDB newly calls the “correct” authentication data and the comparison / verification operation is performed.
【0050】比較・照合の結果、両者が非常に近く正し
い認証データであると判断される場合には、戻り値とし
て「yes」がアプリケーションサーバ10に送出され
る。一方、送られてきた認証データが「正しい」認証デ
ータと全く異なったものである場合には戻り値として
「no」が送出される。比較・照合の結果、正しい認証
データであるか否かが不明な場合は、戻り値として「m
aybe」がアプリケーションサーバ10に送出され
る。不明な場合の対処は、各アプリケーションサーバ1
0ごとに異なるであろうが、例えば、署名を利用者にや
り直させる等の処置が執られることになろう。また、比
較・照合をする「正しい」認証データが見つからなかっ
た場合等においては、戻り値として「error」がア
プリケーションサーバ10に返送される。As a result of the comparison and collation, when it is judged that the both are very close and correct authentication data, “yes” is sent to the application server 10 as a return value. On the other hand, if the sent authentication data is completely different from the "correct" authentication data, "no" is sent as the return value. If it is not clear whether the authentication data is correct or not as a result of comparison / verification, the return value is "m".
“Aybe” is sent to the application server 10. If you do not know what to do, use each application server 1
Although it may be different for each 0, for example, a procedure such as forcing the user to redo the signature will be taken. In addition, when “correct” authentication data for comparison / collation cannot be found, “error” is returned to the application server 10 as a return value.
【0051】次に、実際の利用者の認証が行われる様子
を図6に基づいて説明する。以下、この利用者のことを
アプリケーションクライアントと称する(図6)。ま
ず、アプリケーションクライアントは、ユーザホスト2
0を介してアプリケーションサーバ10に対して、接続
要求を行う。Next, how an actual user is authenticated will be described with reference to FIG. Hereinafter, this user is referred to as an application client (FIG. 6). First, the application client is the user host 2
A connection request is made to the application server 10 via 0.
【0052】これに応答してアプリケーションサーバ1
0は、アプリケーションクライアントに対して、アプリ
ケーションキーの入力を要求する。これに応答して、ユ
ーザホスト20の表示装置上にはアプリケーションキー
の入力を促すプロンプトが表示される。In response to this, the application server 1
0 requests the application client to input an application key. In response to this, a prompt for inputting the application key is displayed on the display device of the user host 20.
【0053】アプリケーションクライアントがユーザホ
スト20において所定のキーを入力すると、そのデータ
がアプリケーションサーバ10に送出される。When the application client inputs a predetermined key on the user host 20, the data is sent to the application server 10.
【0054】アプリケーションサーバ10は、このキー
データを受信すると、署名データの照合準備の要求を照
合サーバ30に送出する。この照合準備要求は、上述し
たように処理の迅速化のために行うものであり、省略す
ることも可能である。Upon receiving this key data, the application server 10 sends a request for verification of signature data verification to the verification server 30. This collation preparation request is made for speeding up the processing as described above, and can be omitted.
【0055】照合サーバ30は照合準備要求を受信する
と、上述したように、認証データをRDBから読み出
し、キャッシュに記憶させると共にアプリケーションサ
ーバ10に対してメッセージID、暗号キーを送出す
る。暗号キーは通信データの暗号化に用いられるキーで
あり、暗号化が必要なければ送らなくともよい。Upon receiving the collation preparation request, the collation server 30 reads the authentication data from the RDB, stores it in the cache, and sends the message ID and the encryption key to the application server 10, as described above. The encryption key is a key used for encrypting communication data, and need not be sent if encryption is not required.
【0056】上記メッセージID等を受信したアプリケ
ーションサーバ10は、アプリケーションクライアント
に署名を入力させるため、署名入力要求を出力する。Upon receiving the message ID and the like, the application server 10 outputs a signature input request so that the application client can input a signature.
【0057】この署名入力要求に応じてサーバホスト2
0においては署名入力プログラムが起動する。このプロ
グラムの起動に基づき、アプリケーションクライアント
はユーザホスト20に備えられているタブレット54を
用いて署名を行う。In response to this signature input request, the server host 2
At 0, the signature input program starts. Based on the activation of this program, the application client signs using the tablet 54 provided in the user host 20.
【0058】上記図1(a)に対応した構成では、ユー
ザホスト20は、タブレット54から入力された署名デ
ータをアプリケーションサーバ10に送信する。そし
て、アプリケーションサーバ10は受信した署名データ
を含んだ照合要求を照合サーバ30に対して発行する。
一方、上記図1(b)に対応した構成では、ユーザホス
ト20は、タブレット54から入力された署名データを
照合サーバ30に送出する(照合要求)。この際、図6
に示されているように、キーデータやメッセージIDが
署名データと共に、照合サーバ30に送出される。In the configuration corresponding to FIG. 1A, the user host 20 sends the signature data input from the tablet 54 to the application server 10. Then, the application server 10 issues a collation request including the received signature data to the collation server 30.
On the other hand, in the configuration corresponding to FIG. 1B, the user host 20 sends the signature data input from the tablet 54 to the verification server 30 (a verification request). At this time, FIG.
As shown in (1), the key data and the message ID are sent to the verification server 30 together with the signature data.
【0059】照合サーバ30は、照合要求に基づき、照
合を行い、その結果をアプリケーションサーバ10に返
送する。照合要求がアプリケーションサーバ10から送
出されてきた場合には、照合結果の送出先はその照合要
求を出したアプリケーションサーバ10である。一方、
照合要求がユーザホスト10から送出されてきた場合に
は、照合要求の際に同時に送られてきたメッセージID
等に基づいて、照合結果を送出すべきアプリケーション
サーバ10を特定することになる。The collation server 30 performs collation based on the collation request, and returns the result to the application server 10. When the collation request is sent from the application server 10, the destination of the collation result is the application server 10 that issued the collation request. on the other hand,
When the verification request is sent from the user host 10, the message ID sent at the same time as the verification request
Based on the above, the application server 10 to which the matching result is to be transmitted is specified.
【0060】アプリケーションサーバ10は照合結果に
基づき、認証を行う。このときの動作は各アプリケーシ
ョンサーバ10により異なるが、認証データが一致した
場合には「認証」を与えることになり、一致しない場合
は「認証」を与えない、若しくは署名をやり直させるこ
とになろう。The application server 10 authenticates based on the collation result. The operation at this time differs depending on each application server 10, but if the authentication data match, "authentication" will be given, and if they do not match, "authentication" will not be given or the signature will be retried. .
【0061】以上述べたように、本実施の形態によれ
ば、認証の際に行われる照合動作を外部の照合サーバに
委託したので、アプリケーションサーバの負荷を減らす
と共に照合動作の簡明化を図ることができ、複数のアプ
リケーションサーバが単一の照合サーバを利用すること
で、ネットワーク上の資源のより効果的な利用につなが
る。As described above, according to the present embodiment, since the collating operation performed at the time of authentication is entrusted to the external collating server, the load on the application server is reduced and the collating operation is simplified. By using a single collation server by multiple application servers, more effective use of resources on the network is achieved.
【0062】[0062]
【発明の効果】以上述べたように、第1の本発明によれ
ば、従来各アプリケーションサーバなどが個別に照合動
作を行っていたのに対し、照合サーバで集中的に照合動
作を行ったので、各アプリケーションサーバなどの構成
を簡易にすることができる。そのため、ネットワーク上
の資源の有効活用が図れるとともに、利用者の認証デー
タの集中管理も実現できるという効果を奏する。As described above, according to the first aspect of the present invention, the collation operation is intensively performed by the collation server, whereas each application server or the like conventionally performs the collation operation individually. The configuration of each application server can be simplified. Therefore, the resources on the network can be effectively used, and the centralized management of the user authentication data can be realized.
【0063】また、第2の照合サーバによれば、利用者
の識別データだけでなく、所定の他のデータからも認証
データにアクセス可能であるため、識別データを紛失し
ても認証データの確認ができる効果を奏する。According to the second verification server, the authentication data can be accessed not only from the user's identification data but also from other predetermined data, so that the authentication data can be confirmed even if the identification data is lost. There is an effect that can.
【0064】また、第3の本発明によれば、迅速な照合
動作の可能な照合サーバが得られる。Further, according to the third aspect of the present invention, it is possible to obtain a collation server capable of quick collation operation.
【図1】 本発明の実施の形態の構成を表す構成図であ
る。FIG. 1 is a configuration diagram showing a configuration of an embodiment of the present invention.
【図2】 本発明の実施の形態の構成の詳細を表す説明
図である。FIG. 2 is an explanatory diagram illustrating details of a configuration according to an embodiment of the present invention.
【図3】 照合サーバ内のRDBの構成を表す説明図で
ある。FIG. 3 is an explanatory diagram illustrating a configuration of an RDB in a collation server.
【図4】 アプリケーションサーバ内のRDBの構成を
表す説明図である。FIG. 4 is an explanatory diagram illustrating a configuration of an RDB in an application server.
【図5】 照合サーバがサポートするプロトコルを表す
説明図である。FIG. 5 is an explanatory diagram showing a protocol supported by the matching server.
【図6】 本実施の形態におけるメッセージの交換を表
す説明図である。FIG. 6 is an explanatory diagram showing exchange of messages in the present embodiment.
10 アプリケーションサーバ、20 ユーザホスト、
30 照合サーバ、42 WWWサーバ、44 署名照
合要求プログラム、52 ネットスケープ、54 タブ
レット、56 タブレットドライバプログラム、62
登録データ。10 application servers, 20 user hosts,
30 verification server, 42 WWW server, 44 signature verification request program, 52 netscape, 54 tablet, 56 tablet driver program, 62
Registration data.
Claims (3)
ータを記憶する記憶手段と、 外部からの所定の利用者の認証データに関する照合要求
に応じて、前記記憶手段から前記所定の利用者の正しい
認証データを取り出す検索手段と、 前記照合要求に応じて、前記検索手段が取り出した前記
正しい認証データと、前記照合要求に係る認証データと
を比較照合する照合手段と、 前記照合の結果を送出する送出手段と、 を含み、前記認証データが前記所定の利用者の認証デー
タであるか否か照合を行う照合サーバ。1. A storage unit for storing correct authentication data of a user on a network, and a correct authentication of the predetermined user from the storage unit in response to an external collation request relating to the authentication data of the predetermined user. Retrieval means for retrieving data, collating means for comparing and collating the correct authentication data retrieved by the retrieving means with the authentication data for the collation request in response to the collation request, and sending out the result of the collation And a means for verifying whether or not the authentication data is authentication data of the predetermined user.
者の前記認証データと、さらに、前記利用者に関して照
合サーバが要求する所定のデータと、から成るテーブル
手段を備え、 前記検索手段は、前記利用者の識別データに基づき、前
記記憶手段から前記正しい認証データを取り出しうると
ともに、前記所定のデータに基づいても、前記記憶手段
から前記正しい認証データを取り出しうることを特徴と
する照合サーバ。2. The collation server according to claim 1, wherein the storage means includes identification data of the user, the authentication data of the user, and predetermined data requested by the collation server for the user. And a table means consisting of, the search means can retrieve the correct authentication data from the storage means based on the identification data of the user, and also based on the predetermined data from the storage means A collation server capable of extracting correct authentication data.
を記憶手段から読み出し、前記記憶手段より読み出し速
度の速いキャッシュ手段に予め格納しておくキャッシュ
制御手段、 を含むことを特徴とする照合サーバ。3. The collation server according to claim 1, wherein in response to a collation preparation request, the correct authentication data of the user is read from a storage unit and stored in advance in a cache unit having a faster reading speed than the storage unit. A collation server comprising: cache control means.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP7231161A JPH0981520A (en) | 1995-09-08 | 1995-09-08 | Collation server used for authentication on network |
| EP96306390A EP0762261A3 (en) | 1995-09-08 | 1996-09-02 | A verification server and authentication method for use in authentication on networks |
| ARP960104263A AR003524A1 (en) | 1995-09-08 | 1996-09-06 | A VERIFICATION SERVER TO BE USED IN THE AUTHENTICATION OF COMPUTER NETWORKS. |
| SG1997000690A SG65643A1 (en) | 1995-09-08 | 1997-03-07 | A verification server and authentication method for use in authentication of networks |
| US08/925,634 US5987232A (en) | 1995-09-08 | 1997-09-09 | Verification server for use in authentication on networks |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP7231161A JPH0981520A (en) | 1995-09-08 | 1995-09-08 | Collation server used for authentication on network |
| SG1997000690A SG65643A1 (en) | 1995-09-08 | 1997-03-07 | A verification server and authentication method for use in authentication of networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH0981520A true JPH0981520A (en) | 1997-03-28 |
Family
ID=26529728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP7231161A Pending JPH0981520A (en) | 1995-09-08 | 1995-09-08 | Collation server used for authentication on network |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0981520A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11338824A (en) * | 1998-04-15 | 1999-12-10 | Hewlett Packard Co <Hp> | Method for protecting web resource |
| JP2002543523A (en) * | 1999-04-28 | 2002-12-17 | ユニケート ビー.ブイ. | Transaction method and system for a data network such as the Internet |
| US7454780B2 (en) | 2002-05-20 | 2008-11-18 | Sony Corporation | Service providing system and method |
| US8898746B2 (en) | 1997-06-11 | 2014-11-25 | Prism Technologies Llc | Method for managing access to protected computer resources |
| JP2022003439A (en) * | 2020-06-23 | 2022-01-11 | 日本無線株式会社 | Centralized stylus pen |
| WO2023286275A1 (en) * | 2021-07-16 | 2023-01-19 | 日本電信電話株式会社 | Information processing device, deployment configuration calculation method, and program |
-
1995
- 1995-09-08 JP JP7231161A patent/JPH0981520A/en active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898746B2 (en) | 1997-06-11 | 2014-11-25 | Prism Technologies Llc | Method for managing access to protected computer resources |
| US9369469B2 (en) | 1997-06-11 | 2016-06-14 | Prism Technologies, L.L.C. | Method for managing access to protected computer resources |
| US9413768B1 (en) | 1997-06-11 | 2016-08-09 | Prism Technologies Llc | Method for managing access to protected computer resources |
| US9544314B2 (en) | 1997-06-11 | 2017-01-10 | Prism Technologies Llc | Method for managing access to protected computer resources |
| JPH11338824A (en) * | 1998-04-15 | 1999-12-10 | Hewlett Packard Co <Hp> | Method for protecting web resource |
| JP2002543523A (en) * | 1999-04-28 | 2002-12-17 | ユニケート ビー.ブイ. | Transaction method and system for a data network such as the Internet |
| US7454780B2 (en) | 2002-05-20 | 2008-11-18 | Sony Corporation | Service providing system and method |
| JP2022003439A (en) * | 2020-06-23 | 2022-01-11 | 日本無線株式会社 | Centralized stylus pen |
| WO2023286275A1 (en) * | 2021-07-16 | 2023-01-19 | 日本電信電話株式会社 | Information processing device, deployment configuration calculation method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3361661B2 (en) | Authentication method on the network | |
| JPH0981519A (en) | Authentication method on network | |
| US5987232A (en) | Verification server for use in authentication on networks | |
| US20230388301A1 (en) | Anonymous association system utilizing biometrics | |
| CN1610292B (en) | Interoperable credential gathering and access method and device | |
| US7086085B1 (en) | Variable trust levels for authentication | |
| US9990627B2 (en) | Centralized identity authentication for electronic communication networks | |
| US8260806B2 (en) | Storage, management and distribution of consumer information | |
| JP4646509B2 (en) | Information storage server and information storage program | |
| KR20220002874A (en) | Credential Validation and Issuance with Credential Service Providers | |
| US20070094512A1 (en) | Storage media issuing method | |
| JP7461241B2 (en) | Customer information management server and customer information management method | |
| JP2003132022A (en) | User authentication system and method | |
| US20030236985A1 (en) | Transaction security in electronic commerce | |
| EP0762261A2 (en) | A verification server and authentication method for use in authentication on networks | |
| JP2004272827A (en) | Individual identification system and method | |
| JP2001014276A (en) | Personal authentication system and method therefor | |
| JPH0981520A (en) | Collation server used for authentication on network | |
| CN117409912A (en) | Medical record management system and method based on block chain | |
| JP3010022B2 (en) | Double signature authentication method | |
| KR20240160589A (en) | Identity Verification and Related Platforms | |
| JP2003186846A (en) | Customer registration system | |
| JP2000207362A (en) | Network system and its user authenticating method | |
| JP7516896B2 (en) | Card provision method, server and computer program | |
| JPS6272049A (en) | Resource usage management method in information processing system |