特許ウォッチ

公開番号2024118884
公報種別公開特許公報(A)
公開日2024-09-02
出願番号2023025451
出願日2023-02-21
発明の名称サーバシステム及び不正ユーザ検知方法
出願人株式会社日立製作所
代理人弁理士法人サンネクスト国際特許事務所
主分類G06F 21/33 20130101AFI20240826BHJP(計算;計数)
要約【課題】不正なユーザの検知を実現し、サーバシステムのセキュリティを向上すること。
【解決手段】ユーザからのアクセスを受け付けるクライアント120と、前記クライアント120からの委譲を受け、前記ユーザの認証及び/又は認可のリクエストを処理するサーバとしての認可サーバ130とを備え、前記サーバは、前記リクエストを受信するとともに、前記ユーザを代表する識別子を取得し、前記リクエストに対するレスポンスに格納し、前記クライアント120は、前記ユーザから前記レスポンスを受信するとともに、前記ユーザを代表する識別子を取得し、該取得した識別子と前記レスポンスに格納された識別子とを比較して、前記レスポンスの送信元が正しいユーザであるか否かを判定する。
【選択図】図2

特許請求の範囲【請求項１】
ユーザからのアクセスを受け付けるクライアントと、
前記クライアントからの委譲を受け、前記ユーザの認証及び／又は認可のリクエストを処理するサーバとを備え、
前記サーバは、前記リクエストを受信するとともに、前記ユーザを代表する識別子を取得し、前記リクエストに対するレスポンスに格納し、
前記クライアントは、前記ユーザから前記レスポンスを受信するとともに、前記ユーザを代表する識別子を取得し、該取得した識別子と前記レスポンスに格納された識別子とを比較して、前記レスポンスの送信元が正しいユーザであるか否かを判定することを特徴とするサーバシステム。
続きを表示（約 900 文字）【請求項２】
請求項１に記載のサーバシステムであって、
前記サーバは、前記ユーザの認証及び認可を行い、
前記クライアントは、前記比較の結果が不一致である場合に、レスポンスの送信元からのアクセスを拒否することを特徴とするサーバシステム。
【請求項３】
請求項１に記載のサーバシステムであって、
前記ユーザを代表する識別子は、クライアント証明書であることを特徴とするサーバシステム。
【請求項４】
請求項１に記載のサーバシステムであって、
前記ユーザを代表する識別子は、ユーザの端末が所定の媒体から読み取った識別情報であることを特徴とするサーバシステム。
【請求項５】
請求項１に記載のサーバシステムであって、
前記サーバは、前記ユーザを代表する識別子を格納したレスポンスに電子署名し、
前記クライアントは、前記電子署名を検証した上で前記比較を行うことを特徴とするサーバシステム。
【請求項６】
請求項１に記載のサーバシステムであって、
前記ユーザに提供するリソースデータを保持するリソースサーバをさらに備え、
前記サーバは、前記リソースデータに対するアクセスの認可を行うことを特徴とするサーバシステム。
【請求項７】
ユーザからのアクセスを受け付けるクライアントと、
前記クライアントからの委譲を受け、前記ユーザの認証及び／又は認可のリクエストを処理するサーバとを備えるサーバシステムの不正ユーザ検知方法であって、
前記サーバが、前記リクエストを受信するとともに、前記ユーザを代表する識別子を取得し、前記リクエストに対するレスポンスに格納するステップと、
前記クライアントが、前記ユーザから前記レスポンスを受信するとともに、前記ユーザを代表する識別子を取得し、該取得した識別子と前記レスポンスに格納された識別子とを比較して、前記レスポンスの送信元が正しいユーザであるか否かを判定するステップとを含むことを特徴とする不正ユーザ検知方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、サーバシステム及び不正ユーザ検知方法に関する。
続きを表示（約 2,100 文字）【背景技術】
【０００２】
従来、認証や認可の技術として、ＯＡｕｔｈ２．０（ＲＦＣ６７４９）、ＯｐｅｎＩＤＣｏｎｎｅｃｔＣｏｒｅ１．０の認可コードフロー、ＳＡＭＬのＳＰ－ｉｎｉｔｉａｔｅｄなどが知られている。
また、複数の認可サーバが存在した際に、適切な認可サーバを選択する技術として、特開２０２０－５３１００号公報（特許文献１）に記載の技術がある。この公報には、「認可サーバーは、認可リクエストを受信したことに伴って、ユーザー情報が所在する第一の認可サーバーを特定し、第一の認可サーバーに対して認証要求を送信する第一の送信手段と、第一の認可サーバーはユーザーを認証し、ユーザー情報が所在する第一の認可サーバーを送信先として示す情報とともに認可レスポンスをクライアントに送信する第二の送信手段と、クライアントは認可レスポンスに基づいて、第二の特定手段により前記第一の認可サーバーを特定し、第一の認可サーバーに対して、リソースサーバーにアクセスするための認可トークンを要求するトークン要求を送信する第三の送信手段と、第一の認可サーバーはトークン要求に対して認可トークンを発行する発行手段と、を有する。」という記載がある。
【先行技術文献】
【特許文献】
【０００３】
特開２０２０－５３１００号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
従来の技術では、不正なユーザがクライアントに正規のユーザとしてログインする事態を防ぐことができなかった。ＯＡｕｔｈを例に説明すると、認可サーバが認証し、認可（同意）を取得したユーザとは別のユーザ（不正なユーザ）がクライアントにログインできる問題が発生していた。このように、従来の技術では不正アクセスに対するセキュリティが不十分であった。
【０００５】
そこで、本発明では、不正なユーザの検知を実現し、サーバシステムのセキュリティを向上することを目的とする。
【課題を解決するための手段】
【０００６】
上記目的を達成するために、代表的な本発明のサーバシステムの一つは、ユーザからのアクセスを受け付けるクライアントと、前記クライアントからの委譲を受け、前記ユーザの認証及び／又は認可のリクエストを処理するサーバとを備え、前記サーバは、前記リクエストを受信するとともに、前記ユーザを代表する識別子を取得し、前記リクエストに対するレスポンスに格納し、前記クライアントは、前記ユーザから前記レスポンスを受信するとともに、前記ユーザを代表する識別子を取得し、該取得した識別子と前記レスポンスに格納された識別子とを比較して、前記レスポンスの送信元が正しいユーザであるか否かを判定することを特徴とする。
また、代表的な本発明の不正ユーザ検知方法の一つは、ユーザからのアクセスを受け付けるクライアントと、前記クライアントからの委譲を受け、前記ユーザの認証及び／又は認可のリクエストを処理するサーバとを備えるサーバシステムの不正ユーザ検知方法であって、前記サーバが、前記リクエストを受信するとともに、前記ユーザを代表する識別子を取得し、前記リクエストに対するレスポンスに格納するステップと、前記クライアントが、前記ユーザから前記レスポンスを受信するとともに、前記ユーザを代表する識別子を取得し、該取得した識別子と前記レスポンスに格納された識別子とを比較して、前記レスポンスの送信元が正しいユーザであるか否かを判定するステップとを含むことを特徴とする。
【発明の効果】
【０００７】
本発明によれば、不正なユーザの検知を実現し、サーバシステムのセキュリティを向上できる。上記した以外の課題、構成及び効果は以下の実施の形態の説明により明らかにされる。
【図面の簡単な説明】
【０００８】
認証及び認可の基本的な処理の説明図
実施例１のシステムによる認証及び認可の処理の説明図
不正なアクセスのブロックについての説明図
システム要素の説明図
システム全体の構成図
認可サーバの処理手順を示すフローチャート
クライアントの処理手順を示すフローチャート
システムが管理するデータの説明図
データの利用の説明図
データの管理の説明図
【発明を実施するための形態】
【０００９】
以下、実施例を図面を用いて説明する。
【実施例】
【００１０】
図１は、認証及び認可の基本的な処理の説明図である。この図１は、ＯＡｕｔｈ２．０やＯＩＤＣＣｏｒｅ１．０の認可コードフローの具体例である。
ユーザは、ユーザ端末のブラウザ１１０を介して、クライアント１２０にアクセスする。ここでは、クライアント１２０は、リソースサーバ１４０に格納されたデータの提供を求めているものとする。
（【００１１】以降は省略されています）

関連特許