国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      認(rèn)證中介服務(wù)器、程序、認(rèn)證系統(tǒng)以及選擇方法

      文檔序號(hào):7719262閱讀:238來(lái)源:國(guó)知局
      專利名稱:認(rèn)證中介服務(wù)器、程序、認(rèn)證系統(tǒng)以及選擇方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及在終端裝置從服務(wù)提供服務(wù)器接收服務(wù)的提供時(shí),選擇終端裝置的用
      戶接受認(rèn)證的認(rèn)證服務(wù)器的技術(shù)。
      背景技術(shù)
      由于因特網(wǎng)的普及,經(jīng)由網(wǎng)絡(luò)向用戶提供動(dòng)畫或聲音的傳送、Web應(yīng)用或Web站點(diǎn) 的公開(kāi)等多種多樣的服務(wù),在接受這些服務(wù)的提供時(shí),有時(shí)服務(wù)的提供者要進(jìn)行利用服務(wù) 的用戶的認(rèn)證。 然后,在各個(gè)服務(wù)提供者獨(dú)自裝有用戶認(rèn)證方式的情況下,在用戶每次享受各種 服務(wù)時(shí),各個(gè)服務(wù)提供者要求進(jìn)行任意選擇的認(rèn)證方式的認(rèn)證,損害了用戶的便利性,此 外,在用戶使用各個(gè)服務(wù)之前必須向各個(gè)服務(wù)提供者登錄自己的屬性信息,增加了屬性信 息泄露的可能,有可能關(guān)系到用戶隱私的侵害。 作為這樣問(wèn)題的解決辦法,已知有可以通過(guò)一次的認(rèn)證操作享受多個(gè)服務(wù)的被稱 為單點(diǎn)登錄的技術(shù)。例如,在文獻(xiàn)1以及文獻(xiàn)2中記載的SAML(SecurityAssertion Markup Language)或在文獻(xiàn)3中記載的OpenID Authentication中,通過(guò)服務(wù)提供者(在文獻(xiàn)1以 及文獻(xiàn)2中稱為Service Provider,此外,在文獻(xiàn)3中作為Relying Party進(jìn)行參照)向認(rèn) 證服務(wù)器(在非專利文獻(xiàn)1以及文獻(xiàn)2中被稱為Identity Provider,此外在文獻(xiàn)3中作 為OpenID Provider進(jìn)行參照)委托用戶的認(rèn)證,由此防止了用戶在每次使用服務(wù)時(shí)必須 進(jìn)行認(rèn)證操作,以及防止各個(gè)服務(wù)提供者保存用戶的屬性信息。
      在上述現(xiàn)有技術(shù)中,在用戶使用多個(gè)認(rèn)證方式時(shí),存在以下的問(wèn)題。
      在文獻(xiàn)1以及文獻(xiàn)2記載的SAML中,服務(wù)提供者基本上僅在結(jié)成信賴關(guān)系的認(rèn) 證服務(wù)器之間執(zhí)行認(rèn)證委托。在存在多個(gè)結(jié)成信賴關(guān)系的認(rèn)證服務(wù)器時(shí),雖然使用記載為 Identity Provider Discovery Profile的方法,用戶能夠動(dòng)態(tài)地選擇完成認(rèn)證的認(rèn)證服 務(wù)器,但存在無(wú)法反映用戶的狀況(例如狀況信息)或策略的問(wèn)題。 此外,在文獻(xiàn)3記載的OpenID Authentication中,通過(guò)用戶對(duì)服務(wù)提供服務(wù)器提
      示稱為OpenID的URL,可以指定在認(rèn)證中使用的認(rèn)證服務(wù)器,但在區(qū)分使用多個(gè)認(rèn)證服務(wù)
      器時(shí),需要準(zhǔn)備認(rèn)證服務(wù)器數(shù)量的OpenID,存在降低用戶便利性的問(wèn)題。文獻(xiàn)10ASIS、 Assertions and Protocols for the OASIS Security
      AssertionMarkup Language (SAML) V2. 0 [平成20年8月20日柃索]、因特網(wǎng)〈URL :htto:〃
      docs.oasis-open. org/security/saml/v2. 0/saml_core_2. 0_os. pdf>文獻(xiàn)2OASIS、 Prof iles for the OASIS Security Assertion
      MarkupLanguage (SAML) V2. 0 [平成20年8月20日檢索]、因特網(wǎng)〈URL :htto:〃docs.
      oasis-open, org/security/s咖l/v2. 0/saml_profiles_2. 0_os. pdf>文獻(xiàn)3OpenID Authentication. 0-Final、[平成20年8月20日檢索]、因特
      網(wǎng)〈URL :http:〃openid. net/specs/openid_authentication_20. html>

      發(fā)明內(nèi)容
      本發(fā)明提供一種考慮到用戶的狀況、用戶所利用的服務(wù)的種類以及用戶的便利 性,可動(dòng)態(tài)地變更認(rèn)證服務(wù)器的技術(shù)。 為了解決上述的課題,本發(fā)明使用戶選擇滿足預(yù)先設(shè)定的選擇條件的認(rèn)證服務(wù) 器。 例如,本發(fā)明提供一種認(rèn)證中介服務(wù)器,其在終端裝置從服務(wù)提供服務(wù)器接受服 務(wù)提供時(shí),選擇所述終端裝置的用戶接受認(rèn)證的認(rèn)證服務(wù)器,認(rèn)證中介服務(wù)器的特征為具 備存儲(chǔ)部以及控制部,所述存儲(chǔ)部存儲(chǔ)服務(wù)提供服務(wù)器請(qǐng)求信息,該服務(wù)提供服務(wù)器請(qǐng)求 信息確定服務(wù)提供服務(wù)器ID、以及該服務(wù)提供服務(wù)器ID為認(rèn)證請(qǐng)求的請(qǐng)求條件,控制部進(jìn) 行以下的處理當(dāng)從所述服務(wù)提供服務(wù)器取得確定了服務(wù)提供服務(wù)器ID的信息取得請(qǐng)求 時(shí),從所述服務(wù)提供服務(wù)器請(qǐng)求信息取得與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器 ID對(duì)應(yīng)的請(qǐng)求條件,選擇滿足取得的請(qǐng)求條件的所述認(rèn)證服務(wù)器;以及向所述服務(wù)提供服
      務(wù)器通知確定被選擇的認(rèn)證服務(wù)器的信息。 根據(jù)本發(fā)明,可以考慮用戶的狀況、用戶使用的服務(wù)器的種類以及用戶的便利性 來(lái)動(dòng)態(tài)地變更認(rèn)證服務(wù)器。


      圖1舉例表示認(rèn)證系統(tǒng)的概要結(jié)構(gòu)。 圖2表示終端裝置的功能結(jié)構(gòu)的一例。 圖3舉例表示對(duì)話信息表的概要結(jié)構(gòu)。 圖4舉例表示計(jì)算機(jī)硬件的概要結(jié)構(gòu)。 圖5表示服務(wù)提供服務(wù)器的功能結(jié)構(gòu)的一例。 圖6舉例表示對(duì)話信息表的概要結(jié)構(gòu)。 圖7表示認(rèn)證服務(wù)器的功能結(jié)構(gòu)的一例。 圖8舉例表示對(duì)話信息表的概要結(jié)構(gòu)。 圖9舉例表示用戶屬性信息表的概要結(jié)構(gòu)。 圖10表示認(rèn)證中介服務(wù)器的結(jié)構(gòu)的功能結(jié)構(gòu)的一例。 圖11舉例表示用戶策略信息表的概要結(jié)構(gòu)。 圖12舉例表示認(rèn)證服務(wù)器信息表的概要結(jié)構(gòu)。 圖13舉例表示服務(wù)提供服務(wù)器請(qǐng)求信息表的概要結(jié)構(gòu)。 圖14舉例表示認(rèn)證等級(jí)信息表的概要結(jié)構(gòu)。 圖15舉例表示提供認(rèn)證強(qiáng)度信息表的概要結(jié)構(gòu)。 圖16舉例表示認(rèn)證等級(jí)定義信息表的概要結(jié)構(gòu)。 圖17舉例表示ID信息表的概要結(jié)構(gòu)。 圖18舉例表示屬性信息表的概要結(jié)構(gòu)。 圖19表示狀況服務(wù)器的功能結(jié)構(gòu)的一例。 圖20舉例表示狀況信息表的概要結(jié)構(gòu)。 圖21表示在認(rèn)證系統(tǒng)中進(jìn)行認(rèn)證時(shí)的處理順序的一例。 圖22表示在認(rèn)證系統(tǒng)中進(jìn)行認(rèn)證時(shí)的處理順序的一例。
      7
      圖23是表示用戶提供服務(wù)器的處理的流程圖。 圖24是表示認(rèn)證服務(wù)器的處理的流程圖。 圖25是表示終端裝置的處理的流程圖。 圖26是表示認(rèn)證中介服務(wù)器的處理的流程圖。
      具體實(shí)施例方式
      在以下的實(shí)施方式中使用的域名、URL、URI、IP地址等信息是為了說(shuō)明而虛構(gòu)的, 與實(shí)際情況沒(méi)有關(guān)系。 圖1是本發(fā)明一實(shí)施方式的認(rèn)證系統(tǒng)10的概要圖。 如圖所示,認(rèn)證系統(tǒng)10具有終端裝置1 ;多個(gè)服務(wù)提供服務(wù)器2A、2B......;(在
      以下不對(duì)各個(gè)服務(wù)提供服務(wù)器進(jìn)行區(qū)別時(shí),稱為服務(wù)提供服務(wù)器2);多個(gè)認(rèn)證服務(wù)器3A、
      3B......(在以下不對(duì)各個(gè)認(rèn)證服務(wù)器進(jìn)行區(qū)別時(shí),稱為認(rèn)證服務(wù)器3);認(rèn)證中介服務(wù)器
      4 ;狀況服務(wù)器5。并且,它們可以經(jīng)由網(wǎng)絡(luò)6相互收發(fā)信息。 圖2是表示終端裝置1的一例的概要圖。如圖所示,終端裝置1具備存儲(chǔ)部101、
      控制部105、輸入部115、輸出部116、收發(fā)部117、聲音輸入輸出部118。 存儲(chǔ)部101具備狀況信息存儲(chǔ)區(qū)域102、狀況信息存儲(chǔ)區(qū)域103。在狀況信息存儲(chǔ)
      區(qū)域102中存儲(chǔ)狀況信息,該狀況信息確定經(jīng)由網(wǎng)絡(luò)6在與其他裝置之間確立的對(duì)話。在
      此,在本實(shí)施方式中,將對(duì)話看作是指在裝置之間進(jìn)行的一連串的數(shù)據(jù)通信順序。 例如,在本實(shí)施方式中,在對(duì)話信息存儲(chǔ)區(qū)域102中存儲(chǔ)圖3(對(duì)話信息表102a的
      概要圖)所示的對(duì)話信息表102a。 對(duì)話信息存儲(chǔ)表102a具有連接目的地ID欄102b和對(duì)話ID欄102c 。
      在連接目的地ID欄102b中存儲(chǔ)確定連接目的地的裝置的信息。在此,作為確定 連接目的地的裝置的信息,存儲(chǔ)用于唯一識(shí)別各個(gè)裝置(服務(wù)提供服務(wù)器2或認(rèn)證服務(wù)器 3)的識(shí)別信息,即服務(wù)提供服務(wù)器ID或認(rèn)證服務(wù)器ID。例如,在連接目的地的裝置是Web 服務(wù)器時(shí),作為連接目的地ID欄的值,可以使用http:〃麗w. hitachi.com/這樣的URL。
      在對(duì)話ID欄102c中存儲(chǔ)確定與通過(guò)連接目的地ID欄102b確定的裝置之間的對(duì) 話的信息。在此,作為確定對(duì)話的信息,存儲(chǔ)對(duì)各個(gè)對(duì)話唯一分配的識(shí)別信息,即對(duì)話ID。 例如,在連接目的地的裝置為Web服務(wù)器時(shí),作為對(duì)話ID欄的值,可以存儲(chǔ)在來(lái)自Web服務(wù) 器的HTTP響應(yīng)內(nèi)作為Set-Cookie頭部的值被賦予的字符串。 返回圖2,在狀況信息存儲(chǔ)區(qū)域103中存儲(chǔ)利用終端裝置1的用戶的狀況信息。
      例如,在本實(shí)施方式中,作為狀況信息,存儲(chǔ)有用于確定使用終端裝置1的用戶是 在"自家"或者在"職場(chǎng)"的信息(可以預(yù)先經(jīng)由輸入部115由用戶輸入)以及用于確定使 用終端裝置1的用戶是否經(jīng)由聲音輸入輸出部118 "正在通話"的信息(可以通過(guò)后述的 聲音通信部112確定是否正在通話),但并不限于這樣的方式。 控制部105具有服務(wù)使用部106、服務(wù)請(qǐng)求生成部107、服務(wù)通信部108、認(rèn)證處理 部109、狀況管理部110、狀況信息處理部111、聲音通信部112、用戶策略處理部113。
      服務(wù)使用部106經(jīng)由輸入部115以及輸出部116對(duì)用戶提供用于使用服務(wù)的輸入 輸出接口 ,并進(jìn)行接受需要信息的輸入的處理。 服務(wù)請(qǐng)求生成部107進(jìn)行以下的處理根據(jù)經(jīng)由輸入部115以及輸出部116服務(wù)
      8使用部106接受輸入后得到的信息,生成用于對(duì)服務(wù)提供服務(wù)器2請(qǐng)求服務(wù)的消息(服務(wù) 請(qǐng)求消息)。 服務(wù)通信部108控制經(jīng)由收發(fā)部117以及網(wǎng)絡(luò)6的信息的收發(fā)處理。例如,作為 服務(wù)通信部108,考慮能夠進(jìn)行用于使用Web站點(diǎn)或Web應(yīng)用的HTTP通信的協(xié)議棧等。
      此外,服務(wù)通信部108進(jìn)行在認(rèn)證中介服務(wù)器4以及服務(wù)提供服務(wù)器2之間交換 的消息的傳輸處理。 認(rèn)證處理部109在認(rèn)證服務(wù)器3執(zhí)行的認(rèn)證時(shí),進(jìn)行向用戶的輸入輸出請(qǐng)求以 及認(rèn)證所需要的信息的計(jì)算處理。例如,在認(rèn)證服務(wù)器3執(zhí)行的認(rèn)證方式是TLS客戶機(jī) 認(rèn)證時(shí),如果有需要,則認(rèn)證處理部109進(jìn)行以下的處理經(jīng)由輸出部116向用戶請(qǐng)求輸 入PIN(Personal Indentification Number),取得在智能卡等可移動(dòng)的存儲(chǔ)介質(zhì)或存儲(chǔ)部 101中存儲(chǔ)的用戶的秘密密鑰,與從認(rèn)證服務(wù)器3發(fā)送來(lái)的信息結(jié)合起來(lái)計(jì)算用于對(duì)本人 進(jìn)行認(rèn)證的信息,然后經(jīng)由收發(fā)部117向認(rèn)證服務(wù)器3發(fā)送計(jì)算出的信息。
      對(duì)話管理部110進(jìn)行對(duì)終端裝置1與其他裝置之間確立的對(duì)話進(jìn)行管理的處理。 例如,當(dāng)裝置裝置1與服務(wù)提供服務(wù)器2或認(rèn)證服務(wù)器3之間確立了對(duì)話時(shí),在對(duì)話信息表 102a中生成新的記錄,把連接目的地的裝置的ID和對(duì)話ID存儲(chǔ)在生成的新的記錄中,當(dāng)確 立的對(duì)話結(jié)束(被切斷)時(shí),刪除與該對(duì)話對(duì)應(yīng)的記錄。 狀況信息處理部111進(jìn)行對(duì)終端裝置1的用戶的狀況信息進(jìn)行管理的處理。例如, 進(jìn)行以下的處理經(jīng)由輸入部115從終端裝置1的用戶接受用于確定用戶在"自家"或者在 "職場(chǎng)"的信息的輸入,把輸入的用于確定"自家"或"職場(chǎng)"的信息存儲(chǔ)在存儲(chǔ)部101的狀 況信息存儲(chǔ)區(qū)域103中。 此外,狀況信息處理部111在后述的聲音通信部112正在進(jìn)行聲音通信時(shí),在存儲(chǔ) 部101的狀況信息存儲(chǔ)區(qū)域103中存儲(chǔ)用于確定終端裝置1的用戶正在進(jìn)行聲音通話的信 息(確定"正在通信"的信息)。 并且,狀況信息處理部111在預(yù)定的時(shí)刻或者在存在來(lái)自狀況服務(wù)器2的請(qǐng)求時(shí), 控制經(jīng)由收發(fā)部117以及網(wǎng)絡(luò)6發(fā)送狀況信息的處理,該狀況信息被存儲(chǔ)在了狀況信息存 儲(chǔ)區(qū)域103中。 聲音通信部112進(jìn)行遵照SIP (Session Initiation Protocol)等的呼叫控制,并 且控制遵照RTP (Real Time Protocol)等的聲音通信。 用戶策略處理部113經(jīng)由輸入部115從終端裝置1的用戶接受策略信息的輸入, 該策略信息用于確定用戶ID、使用的認(rèn)證服務(wù)器3的認(rèn)證服務(wù)器ID、該認(rèn)證服務(wù)器3的優(yōu) 先度、使用該認(rèn)證服務(wù)器3時(shí)的使用條件(針對(duì)狀況信息的條件)、對(duì)使用該認(rèn)證服務(wù)器3 的服務(wù)提供服務(wù)器2進(jìn)行確定的信息(服務(wù)提供服務(wù)器ID)。 然后,用戶策略處理部113進(jìn)行以下的處理經(jīng)由收發(fā)部117以及網(wǎng)絡(luò)6向認(rèn)證中
      介服務(wù)器4發(fā)送接受輸入后得到的策略信息。 輸入部115接受信息的輸入。 輸出部116輸出信息。 收發(fā)部117經(jīng)由網(wǎng)絡(luò)6進(jìn)行信息的收發(fā)。 聲音輸入輸出部118進(jìn)行聲音的輸入以及輸出。 例如可以通過(guò)在圖4(計(jì)算機(jī)9的概要圖)所示的具有CPU(CentralProcessingUnit) 901、存儲(chǔ)器902、 HDD (Hard Disk Drive)等外部存儲(chǔ)裝置903、對(duì)CD (Compact Disk)或DVD(Digital Versatile Disk)等具有可移動(dòng)性的存儲(chǔ)介質(zhì)904讀寫信息的讀 寫裝置905、鍵盤鼠標(biāo)等輸入裝置906、顯示器等輸出裝置907、用于與通信網(wǎng)絡(luò)連接的 NIC(Network Interface Card)等收發(fā)裝置908的一般的計(jì)算機(jī)9中,可以使用地連接具備 麥克風(fēng)以及揚(yáng)聲器的手持機(jī)(未圖示),來(lái)實(shí)現(xiàn)以上記載的終端裝置1。
      例如,可以通過(guò)CPU901使用存儲(chǔ)器902或外部存儲(chǔ)裝置903來(lái)實(shí)現(xiàn)存儲(chǔ)部101, 可以通過(guò)把外部存儲(chǔ)裝置903中存儲(chǔ)的規(guī)定的程序加載到存儲(chǔ)器902中,然后由CPU901進(jìn) 行執(zhí)行來(lái)實(shí)現(xiàn)控制部105,可以通過(guò)CPU901使用輸入裝置906來(lái)實(shí)現(xiàn)輸入部115,可以通過(guò) CPU901使用輸出裝置907來(lái)實(shí)現(xiàn)輸出部116,可以通過(guò)CPU901使用收發(fā)裝置908來(lái)實(shí)現(xiàn)收 發(fā)部117,可以通過(guò)CPU901使用手持機(jī)(未圖示)來(lái)實(shí)現(xiàn)聲音輸入輸出部118。
      可以經(jīng)由讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)向外部存儲(chǔ) 裝置903下載該規(guī)定的程序,然后加載到存儲(chǔ)器902上由CPU901來(lái)執(zhí)行。此外,可以經(jīng)由 讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)將該規(guī)定的程序直接加載到存 儲(chǔ)器902上,然后由CPU901來(lái)執(zhí)行。 圖5是表示服務(wù)提供服務(wù)器2的一例的概要圖。如圖所示,服務(wù)提供服務(wù)器2具 備存儲(chǔ)部201、控制部204、輸入部211、輸出部212、收發(fā)部213。
      存儲(chǔ)部201具備對(duì)話信息存儲(chǔ)區(qū)域202。 在對(duì)話信息存儲(chǔ)區(qū)域202中存儲(chǔ)對(duì)話信息,該對(duì)話信息確定服務(wù)提供服務(wù)器2經(jīng)
      由網(wǎng)絡(luò)6與其他裝置之間確立的對(duì)話。例如,在本實(shí)施方式中,在對(duì)話信息存儲(chǔ)區(qū)域202中
      存儲(chǔ)圖6(對(duì)話信息表202a的概要圖)所示的對(duì)話信息表202a。 對(duì)話信息存儲(chǔ)表202a具有連接目的地ID欄202b和對(duì)話ID欄202c 。 在連接目的地ID欄202b中存儲(chǔ)確定連接目的地的裝置的信息。在此,作為確定
      連接目的地的裝置的信息,存儲(chǔ)對(duì)各個(gè)裝置(終端裝置l)唯一分配的識(shí)別信息。例如,在
      連接目的地的裝置為終端裝置1時(shí),可以采用使用終端裝置1的用戶的用戶ID。 在對(duì)話ID欄202c中存儲(chǔ)對(duì)與通過(guò)連接目的地ID欄202b確定的裝置之間的對(duì)話
      進(jìn)行確定的信息。在此,作為確定對(duì)話的信息,存儲(chǔ)用于唯一地識(shí)別各個(gè)對(duì)話的識(shí)別信息,
      即對(duì)話ID。例如,在連接目的地的裝置為Web客戶機(jī)時(shí),作為對(duì)話ID欄的值,可以存儲(chǔ)在來(lái)
      自該Web客戶機(jī)的HTTP請(qǐng)求內(nèi)作為Cookoie頭部的值被賦予的字符串。 返回圖5,控制部204具備服務(wù)提供部205、對(duì)話管理部206、認(rèn)證服務(wù)器信息取得
      部207、認(rèn)證請(qǐng)求處理部208、服務(wù)通信部209。 服務(wù)提供部205進(jìn)行向終端裝置1提供從終端裝置1請(qǐng)求的服務(wù)的處理。
      對(duì)話管理部206進(jìn)行對(duì)服務(wù)提供服務(wù)器2與其他裝置之間確立的對(duì)話進(jìn)行管理的 處理。例如,當(dāng)服務(wù)提供服務(wù)器2與終端裝置1之間確立了對(duì)話時(shí),在對(duì)話信息表202a中 生成新的記錄,在所生成的新的記錄中存儲(chǔ)連接目的地裝置的ID和對(duì)話ID,當(dāng)確立的對(duì)話 結(jié)束時(shí),刪除與該對(duì)話對(duì)應(yīng)的記錄。 認(rèn)證服務(wù)信息取得部207進(jìn)行以下的處理在終端裝置1請(qǐng)求特定的服務(wù)時(shí),經(jīng)由 收發(fā)部213以及網(wǎng)絡(luò)6從認(rèn)證中介服務(wù)器4直接,或者經(jīng)由終端裝置1間接地取得認(rèn)證服 務(wù)器信息,該認(rèn)證服務(wù)器信息用于確定對(duì)該終端裝置1的用戶執(zhí)行認(rèn)證的認(rèn)證服務(wù)器3。
      例如,在認(rèn)證中介服務(wù)器4如同文獻(xiàn)3中記載的OpenID Authentication那樣,通過(guò)XRDS文件通知認(rèn)證服務(wù)器信息時(shí),服務(wù)提供服務(wù)器2可以針對(duì)該認(rèn)證中介服務(wù)器4使用 HTTP或HTTPS直接請(qǐng)求并取得認(rèn)證服務(wù)器信息。 此夕卜,服務(wù)提供服務(wù)器2可以按照在文獻(xiàn)2中記載的Identity ProviderDiscovery Prof ile,利用HTTP重定向,經(jīng)由終端裝置1間接地向認(rèn)證中介服務(wù)器 4請(qǐng)求并取得認(rèn)證服務(wù)器信息。 認(rèn)證請(qǐng)求處理部208進(jìn)行以下的處理在從認(rèn)證中介服務(wù)器4接收到認(rèn)證服務(wù)器 信息時(shí),經(jīng)由收發(fā)部213以及網(wǎng)絡(luò)6,針對(duì)通過(guò)該認(rèn)證服務(wù)器信息指定的認(rèn)證服務(wù)器3經(jīng)由 終端裝置1間接地發(fā)送請(qǐng)求用戶認(rèn)證的認(rèn)證請(qǐng)求消息。例如,當(dāng)終端裝置1、服務(wù)提供服務(wù) 器2和認(rèn)證服務(wù)器3可以使用HTTP或HTTPS進(jìn)行通信時(shí),可以利用HTTP重定向,經(jīng)由終端 裝置1間接地發(fā)送認(rèn)證請(qǐng)求消息。 服務(wù)通信部209進(jìn)行以下的處理經(jīng)由收發(fā)部213以及網(wǎng)絡(luò)6收發(fā)對(duì)終端裝置1
      提供服務(wù)所需要的信息。例如,作為服務(wù)通信部209,可以構(gòu)成為進(jìn)行用于使用Web站點(diǎn)或
      Web應(yīng)用的HTTP通信的協(xié)議棧等。 輸入部211接受信息的輸入。 輸出部212輸出信息。 收發(fā)部213經(jīng)由網(wǎng)絡(luò)6進(jìn)行信息的收發(fā)。 例如通過(guò)圖4所示的計(jì)算機(jī)來(lái)實(shí)現(xiàn)以上記載的服務(wù)提供服務(wù)器2。
      例如,可以通過(guò)CPU901使用存儲(chǔ)器902或外部存儲(chǔ)裝置903來(lái)實(shí)現(xiàn)存儲(chǔ)部201 ,可 以通過(guò)把外部存儲(chǔ)裝置903中存儲(chǔ)的規(guī)定的程序加載到存儲(chǔ)器902中由CPU901執(zhí)行來(lái)實(shí) 現(xiàn)控制部204,可以通過(guò)CPU901使用輸入裝置906來(lái)實(shí)現(xiàn)輸入部211,可以通過(guò)CPU901使 用輸出裝置來(lái)實(shí)現(xiàn)輸出部212,可以通過(guò)CPU901使用收發(fā)裝置908來(lái)實(shí)現(xiàn)收發(fā)部213。
      可以經(jīng)由讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)向外部存儲(chǔ) 裝置903下載該規(guī)定的程序,然后加載到存儲(chǔ)器902上由CPU901來(lái)執(zhí)行。此外,可以經(jīng)由 讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)將該規(guī)定的程序直接加載到存 儲(chǔ)器902上,然后由CPU901來(lái)執(zhí)行。 圖7是表示認(rèn)證服務(wù)器2的一例的概要圖。如圖所示,認(rèn)證服務(wù)器3具備存儲(chǔ)部 301、控制部305、輸入部312、輸出部313、收發(fā)部314。 存儲(chǔ)部301具備對(duì)話信息存儲(chǔ)區(qū)域302和用戶屬性信息存儲(chǔ)區(qū)域303。 在對(duì)話信息存儲(chǔ)區(qū)域303中存儲(chǔ)對(duì)話信息,該對(duì)話信息用于確定認(rèn)證服務(wù)器3經(jīng)
      由網(wǎng)絡(luò)6與其他裝置之間確立的對(duì)話。例如,在本實(shí)施方式中,圖8(對(duì)話信息表302a的概
      要圖)所示的對(duì)話信息表302a存儲(chǔ)在對(duì)話信息存儲(chǔ)區(qū)域302中。 對(duì)話信息存儲(chǔ)表302a具有連接目的地ID欄302b和對(duì)話ID欄302c 。 在連接目的地ID欄302b中存儲(chǔ)確定連接目的地的裝置的信息。在此,作為確定
      連接目的地的裝置的信息,存儲(chǔ)用于唯一識(shí)別各個(gè)裝置(終端裝置l)的識(shí)別信息。例如,
      在連接目的地的裝置是終端裝置1時(shí),可以采用使用終端裝置1的用戶的用戶ID。 在對(duì)話ID欄302c中存儲(chǔ)確定與通過(guò)連接目的地ID欄302b確定的裝置之間的對(duì)
      話的信息。在此,作為確定對(duì)話的信息,存儲(chǔ)對(duì)各個(gè)對(duì)話唯一分配的識(shí)別信息,即對(duì)話ID。
      例如,在連接目的地的裝置為Web客戶機(jī)時(shí),作為對(duì)話ID欄的值,可以存儲(chǔ)在來(lái)自該Web客
      戶機(jī)的HTTP請(qǐng)求內(nèi)作為Cookie頭部的值而被賦予的字符串。
      11
      返回圖7,在用戶屬性信息存儲(chǔ)區(qū)域303中存儲(chǔ)用戶屬性信息,該用戶屬性信息用 于確定認(rèn)證服務(wù)器3進(jìn)行認(rèn)證的用戶的屬性。例如,在本實(shí)施方式中,在用戶屬性信息存儲(chǔ) 區(qū)業(yè)余303中存儲(chǔ)圖9(用戶屬性信息表303a的概要圖)所示的用戶屬性信息表303a。
      用戶屬性信息表303a具有用戶ID欄303b和屬性欄303c。 在用戶ID欄303b中存儲(chǔ)確定終端裝置1的用戶的信息。在此,作為確定用戶的 信息,存儲(chǔ)唯一識(shí)別各個(gè)用戶的識(shí)別信息,即用戶ID。 在屬性欄303c中存儲(chǔ)用于確定通過(guò)用戶ID欄303b確定的用戶的屬性的信息。在 此,作為用于確定用戶的屬性的信息,例如存儲(chǔ)用于確定用戶的姓名、用戶的郵件地址、用 戶的住所、用戶的電子證書等的信息中的,與由認(rèn)證服務(wù)器3進(jìn)行的認(rèn)證方式對(duì)應(yīng)的信息。
      接受來(lái)自服務(wù)提供服務(wù)器2的請(qǐng)求,在用戶設(shè)定的策略范圍內(nèi)向服務(wù)提供服務(wù)器 2發(fā)送該用戶屬性信息。此外,如果認(rèn)證需要,還可以在用戶屬性存儲(chǔ)區(qū)域303中存儲(chǔ)用戶 的密碼。 控制部305具備認(rèn)證請(qǐng)求處理部306、認(rèn)證執(zhí)行部307、認(rèn)證結(jié)果生成部308、對(duì)話 管理部309、用戶屬性管理部310。 認(rèn)證請(qǐng)求處理部306進(jìn)行以下的處理從服務(wù)提供服務(wù)器2直接地,或者經(jīng)由終端 裝置1間接地接收所發(fā)送的認(rèn)證請(qǐng)求消息,取得接收到的認(rèn)證請(qǐng)求消息中包含的參數(shù)(對(duì) 話ID、用戶ID等)。例如,在終端裝置1、服務(wù)提供服務(wù)器2以及認(rèn)證服務(wù)器3可以進(jìn)行使 用HTTP或HTTPS的通信時(shí),認(rèn)證服務(wù)器3可以利用HTTP重定向,接收從服務(wù)提供服務(wù)器2 經(jīng)由終端裝置1間接發(fā)送的認(rèn)證請(qǐng)求消息。 認(rèn)證執(zhí)行部307執(zhí)行用戶的認(rèn)證所需要的處理。在本實(shí)施方式中,認(rèn)證執(zhí)行部307 經(jīng)由收發(fā)部314以及網(wǎng)絡(luò)6向終端裝置1請(qǐng)求用于證明本人的信息。例如,在認(rèn)證服務(wù)器 3執(zhí)行的認(rèn)證方式是TLS客戶機(jī)認(rèn)證時(shí),認(rèn)證執(zhí)行部307向終端裝置1發(fā)送隨機(jī)數(shù)列,使用 在用戶屬性存儲(chǔ)區(qū)域303中存儲(chǔ)的終端裝置1的電子證書來(lái)認(rèn)證從該終端裝置1回復(fù)的信 息是通過(guò)終端裝置1具有的秘密密鑰計(jì)算出的信息,由此可以執(zhí)行用戶的認(rèn)證。
      認(rèn)證結(jié)果生成部308生成認(rèn)證結(jié)果信息,該認(rèn)證結(jié)果信息用于確定由認(rèn)證執(zhí)行部 307執(zhí)行的用戶認(rèn)證的結(jié)果。作為該認(rèn)證結(jié)果信息,例如可以使用在文獻(xiàn)l中記載的稱為 SAML Assertion的XML文件。 對(duì)話管理部309進(jìn)行對(duì)認(rèn)證服務(wù)器3與其他裝置之間確立的對(duì)話進(jìn)行管理的處 理。例如,當(dāng)認(rèn)證服務(wù)器3與終端裝置1之間確立了對(duì)話時(shí),在對(duì)話信息表302a中生成新 的記錄,在所生成的新的記錄中存儲(chǔ)連接目的地的ID和對(duì)話ID,當(dāng)確立的對(duì)話結(jié)束時(shí),刪 除與該對(duì)話對(duì)應(yīng)的記錄。 用戶屬性管理部310進(jìn)行以下的處理從終端裝置1接收請(qǐng)求,生成、更新或者刪 除在用戶屬性存儲(chǔ)區(qū)域303中存儲(chǔ)的用戶屬性信息。 此外,用戶屬性管理部310當(dāng)經(jīng)由收發(fā)部314以及網(wǎng)絡(luò)6從服務(wù)提供服務(wù)器2接
      收到屬性取得請(qǐng)求消息時(shí),進(jìn)行以下的處理在用戶設(shè)定的策略的范圍內(nèi),向服務(wù)提供服務(wù)
      器2發(fā)送所請(qǐng)求的用戶屬性信息。 輸入部312接受信息的輸入。 輸出部313輸出信息。 收發(fā)部314經(jīng)由網(wǎng)絡(luò)6進(jìn)行信息的收發(fā)。
      12
      例如可以通過(guò)圖4所示的計(jì)算機(jī)9來(lái)實(shí)現(xiàn)以上記載的認(rèn)證服務(wù)器3。例如,可以通過(guò)CPU901使用存儲(chǔ)器902或外部存儲(chǔ)裝置903來(lái)實(shí)現(xiàn)存儲(chǔ)部301,
      可以通過(guò)把外部存儲(chǔ)裝置903中存儲(chǔ)的規(guī)定的程序加載到存儲(chǔ)器902中然后由CPU901進(jìn)
      行執(zhí)行來(lái)實(shí)現(xiàn)控制部305,可以通過(guò)CPU901使用輸入裝置906來(lái)實(shí)現(xiàn)輸入部312,可以通過(guò)
      CPU901使用輸出裝置907來(lái)實(shí)現(xiàn)輸出部313,可以通過(guò)CPU901使用收發(fā)裝置908來(lái)實(shí)現(xiàn)收
      發(fā)部314??梢越?jīng)由讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)向外部存儲(chǔ) 裝置903下載該規(guī)定的程序,然后加載到存儲(chǔ)器902上由CPU901來(lái)執(zhí)行。此外,可以經(jīng)由 讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)將該規(guī)定的程序直接加載到存 儲(chǔ)器902上,然后由CPU901來(lái)執(zhí)行。
      圖10是表示認(rèn)證中介服務(wù)器4的結(jié)構(gòu)的一例。 如圖所示,認(rèn)證中介服務(wù)器4具備存儲(chǔ)部401、控制部411、輸入部418、生成部 419、收發(fā)部420。 存儲(chǔ)部401具備用戶策略信息存儲(chǔ)區(qū)域402、認(rèn)證服務(wù)器信息存儲(chǔ)區(qū)域403、服務(wù) 提供服務(wù)器請(qǐng)求信息存儲(chǔ)區(qū)域404、認(rèn)證等級(jí)信息存儲(chǔ)區(qū)域405、提供認(rèn)證強(qiáng)度信息存儲(chǔ)區(qū) 域406、認(rèn)證等級(jí)定義信息存儲(chǔ)區(qū)域407、 ID信息存儲(chǔ)區(qū)域408、屬性信息存儲(chǔ)區(qū)域409。
      在用戶策略信息存儲(chǔ)區(qū)域402中,對(duì)每個(gè)用戶存儲(chǔ)用于確定選擇認(rèn)證服務(wù)器3的 選擇指針的用戶策略信息。例如,在本實(shí)施方式中,在用戶策略信息存儲(chǔ)區(qū)域402中存儲(chǔ)圖 11 (用戶策略信息表402a的概要圖)所示的用戶策略信息表402a。 用戶策略信息表402a具有用戶ID欄402b、認(rèn)證服務(wù)器ID欄402c、最終認(rèn)證時(shí)刻 欄402d、優(yōu)先度欄402e、使用條件欄402f 、服務(wù)提供服務(wù)器ID條件欄402g。
      在用戶ID欄402b中存儲(chǔ)確定終端裝置1的用戶的信息。在此,作為確定用戶的 信息,存儲(chǔ)對(duì)各個(gè)用戶唯一分配的識(shí)別信息,即用戶ID。 在此,以記錄(表的行)的形式將一個(gè)以上的認(rèn)證服務(wù)器關(guān)聯(lián)信息與一個(gè)用戶ID 關(guān)聯(lián)起來(lái)。認(rèn)證服務(wù)器關(guān)聯(lián)信息具有認(rèn)證服務(wù)器ID、最終認(rèn)證時(shí)刻、優(yōu)先度、選擇條件。
      在認(rèn)證服務(wù)器ID欄402c中存儲(chǔ)用于確定能夠?qū)νㄟ^(guò)用戶ID欄402b確定的用戶 進(jìn)行認(rèn)證的認(rèn)證服務(wù)器3的信息(在此為認(rèn)證服務(wù)器ID)。例如,在認(rèn)證服務(wù)器3接受基于 HTTP的連接時(shí),作為認(rèn)證服務(wù)器ID欄402的倌,可以使用http:〃麗w. hitachi. com/這樣 的URL。 在最終認(rèn)證時(shí)刻欄402d中存儲(chǔ)以下的信息(在此為年月日時(shí)間),該信息用于確 定在通過(guò)用戶ID欄402b確定的用戶的認(rèn)證中,最后選擇通過(guò)認(rèn)證服務(wù)器ID欄402c確定 的認(rèn)證服務(wù)器3時(shí)的時(shí)刻。 在優(yōu)先度欄402e中存儲(chǔ)以下的信息,該信息用于確定在通過(guò)用戶ID欄402b確定 的用戶的認(rèn)證中,選擇通過(guò)認(rèn)證服務(wù)器ID欄402c確定的認(rèn)證服務(wù)器3時(shí)的優(yōu)先度。在本 實(shí)施方式中,做成了優(yōu)先度欄402e中存儲(chǔ)的數(shù)值越小,進(jìn)行選擇時(shí)的優(yōu)先度(優(yōu)先選擇的 程度)越高,但并不限于這樣的方式。 在使用條件欄402f中存儲(chǔ)以下的信息,該信息用于確定在通過(guò)用戶ID欄402b確 定的用戶的認(rèn)證中,選擇通過(guò)認(rèn)證服務(wù)器ID欄402c確定的認(rèn)證服務(wù)器3時(shí)的條件。在此, 作為確定使用認(rèn)證服務(wù)器3時(shí)的條件的信息,例如可以使用用戶的狀況信息、用戶使用的終端裝置1的狀況信息、用戶使用的終端裝置1的種類等。 在使用條件欄402f中存儲(chǔ)了 "*"的記號(hào)時(shí),表示不存在使用通過(guò)認(rèn)證服務(wù)器ID
      欄402c確定的認(rèn)證服務(wù)器3時(shí)應(yīng)該滿足的條件的情況(不要求條件的情況)。 在服務(wù)提供服務(wù)器ID條件欄402g中存儲(chǔ)以下的信息(在此為服務(wù)提供服務(wù)器
      ID),該信息在通過(guò)用戶ID欄402b確定的用戶的認(rèn)證中,用于確定選擇通過(guò)認(rèn)證服務(wù)器ID
      欄402c確定的認(rèn)證服務(wù)器的服務(wù)提供服務(wù)器2。例如,在通過(guò)用戶ID欄402b確定的用戶
      的認(rèn)證中,使用通過(guò)認(rèn)證服務(wù)器ID欄402c確定的認(rèn)證服務(wù)器的情況,可以僅限于從通過(guò)服
      務(wù)提供服務(wù)器ID條件欄402g確定的服務(wù)提供服務(wù)器2接收到認(rèn)證請(qǐng)求的情況。 在服務(wù)提供服務(wù)器ID條件欄402g中存儲(chǔ)有"*"的標(biāo)記時(shí),表示該服務(wù)提供服務(wù)
      器ID條件欄包含全部服務(wù)提供服務(wù)器ID(不限于特定的服務(wù)提供服務(wù)器2)。 返回圖10,在認(rèn)證服務(wù)器信息存儲(chǔ)區(qū)域403中存儲(chǔ)認(rèn)證服務(wù)器信息,該認(rèn)證服務(wù)
      器信息確定認(rèn)證中介服務(wù)器4可以對(duì)服務(wù)提供服務(wù)器2介紹的認(rèn)證服務(wù)器3、認(rèn)證服務(wù)器3
      對(duì)應(yīng)的認(rèn)證方式、該認(rèn)證服務(wù)器3保有的用戶的屬性信息。例如在本實(shí)施方式中,在認(rèn)證服
      務(wù)器信息存儲(chǔ)區(qū)域403中存儲(chǔ)圖12(認(rèn)證服務(wù)器信息表403a的概要圖)所示的認(rèn)證服務(wù)
      器信息表403a。 認(rèn)證服務(wù)器信息表403a具有認(rèn)證服務(wù)器ID欄403b和對(duì)應(yīng)認(rèn)證方式欄403c以及 保有屬性信息欄403d。 在認(rèn)證服務(wù)器ID欄403b中存儲(chǔ)確定認(rèn)證服務(wù)器3的信息。在此,存儲(chǔ)用于唯一 識(shí)別各個(gè)認(rèn)證服務(wù)器3的識(shí)別信息,即認(rèn)證服務(wù)器ID。 對(duì)于一個(gè)認(rèn)證服務(wù)器ID,通過(guò)記錄(表的行)的形式使一個(gè)以上的對(duì)應(yīng)認(rèn)證方式 和一個(gè)以上的保有屬性信息與之相關(guān)聯(lián)。 在對(duì)應(yīng)認(rèn)證方式欄403c中存儲(chǔ)有以下的信息,該信息用于確定通過(guò)認(rèn)證服務(wù)器
      ID欄403b確定的認(rèn)證服務(wù)器3可以執(zhí)行的認(rèn)證方式的種類。在此,作為確定認(rèn)證方式的種
      類的信息,存儲(chǔ)用于唯一地識(shí)別各個(gè)認(rèn)證方式的識(shí)別信息,即認(rèn)證方式名。 在保有屬性信息欄403d中存儲(chǔ)以下的信息,該信息用于確定通過(guò)認(rèn)證服務(wù)器ID
      欄403b確定的認(rèn)證服務(wù)器3保有的屬性信息的種類。在此,作為確定用戶屬性信息種類的
      信息,存儲(chǔ)姓名、住所、郵件地址、信用卡號(hào)碼等用戶屬性的名稱。 返回圖10,在服務(wù)提供服務(wù)器請(qǐng)求信息存儲(chǔ)區(qū)域404中,對(duì)每個(gè)服務(wù)提供服務(wù)器2 存儲(chǔ)對(duì)用于選擇認(rèn)證服務(wù)器3的選擇指針進(jìn)行確定的服務(wù)提供服務(wù)器請(qǐng)求信息。例如,在 本實(shí)施方式中,在服務(wù)提供服務(wù)器請(qǐng)求信息存儲(chǔ)區(qū)域404中存儲(chǔ)圖13(服務(wù)提供服務(wù)器請(qǐng) 求信息表404a的概要圖)所示的服務(wù)提供服務(wù)器請(qǐng)求信息表404a。 服務(wù)提供服務(wù)器請(qǐng)求信息表404a具有服務(wù)提供服務(wù)器ID條件欄404b、協(xié)作認(rèn)證 服務(wù)器ID欄404c、請(qǐng)求認(rèn)證等級(jí)欄404d、請(qǐng)求屬性信息欄404e。 在服務(wù)提供服務(wù)器ID欄404b中存儲(chǔ)確定服務(wù)提供服務(wù)器2的信息。在此,作為 確定服務(wù)提供服務(wù)器2的信息,存儲(chǔ)用于唯一識(shí)別各個(gè)服務(wù)提供服務(wù)器2的識(shí)別信息,即服 務(wù)提供服務(wù)器ID。 對(duì)于一個(gè)服務(wù)提供服務(wù)器ID,以記錄的方式(表的行)使一個(gè)以上的協(xié)調(diào)驗(yàn)證服
      務(wù)器ID、一個(gè)以上的請(qǐng)求認(rèn)證方式、一個(gè)以上的請(qǐng)求屬性信息與之相關(guān)聯(lián)。 在協(xié)作認(rèn)證服務(wù)器ID欄404c中存儲(chǔ)有以下的信息,該信息用于確定通過(guò)服務(wù)提供服務(wù)器ID欄404b確定的服務(wù)提供服務(wù)器2為了委托認(rèn)證,事先進(jìn)行協(xié)作處理的認(rèn)證服 務(wù)器3。在此,作為確定認(rèn)證服務(wù)器3的信息,存儲(chǔ)用于唯一地識(shí)別各個(gè)認(rèn)證服務(wù)器3的識(shí) 別信息,即認(rèn)證服務(wù)器ID。在協(xié)作認(rèn)證服務(wù)器ID欄404c中存儲(chǔ)有"*"的記號(hào)時(shí),表示通過(guò) 服務(wù)提供服務(wù)器ID欄404b確定的服務(wù)提供服務(wù)器2不需要在與認(rèn)證服務(wù)器3之間進(jìn)行事 先的協(xié)作處理。 在請(qǐng)求認(rèn)證等級(jí)欄404d中存儲(chǔ)有以下的信息,該信息用于確定在通過(guò)服務(wù)提供 服務(wù)器ID欄404b確定的服務(wù)提供服務(wù)器2提供服務(wù)時(shí)要求的認(rèn)證的安全性(強(qiáng)度)的等 級(jí)(請(qǐng)求認(rèn)證等級(jí))。 在請(qǐng)求屬性信息欄404e中存儲(chǔ)以下的信息,該信息用于確定通過(guò)服務(wù)提供服務(wù) 器ID欄404b確定的服務(wù)提供服務(wù)器2對(duì)認(rèn)證服務(wù)器3請(qǐng)求公開(kāi)的用戶的屬性信息的種類。 當(dāng)在請(qǐng)求屬性信息欄404e中存儲(chǔ)有"*"記號(hào)時(shí),表示通過(guò)服務(wù)提供服務(wù)器ID欄404b確定 的服務(wù)提供服務(wù)器2對(duì)認(rèn)證服務(wù)器3不請(qǐng)求特定的屬性信息。 返回圖10,在認(rèn)證等級(jí)信息存儲(chǔ)區(qū)域405中存儲(chǔ)用于確定用戶接受的最新的認(rèn)
      證等級(jí)(當(dāng)前認(rèn)證等級(jí))的認(rèn)證等級(jí)信息。例如,在認(rèn)證等級(jí)信息存儲(chǔ)區(qū)域405中存儲(chǔ)圖
      14(認(rèn)證等級(jí)信息表405a的概要圖)所述的認(rèn)證等級(jí)信息表405a。 認(rèn)證等級(jí)信息表405a具有用戶ID欄405b和當(dāng)前認(rèn)證等級(jí)欄405c 。 在用戶ID欄405b中存儲(chǔ)確定用戶的信息。在此,存儲(chǔ)用于唯一識(shí)別各個(gè)用戶的
      識(shí)別信息,即用戶ID。 在當(dāng)前認(rèn)證等級(jí)欄405c中存儲(chǔ)以下的信息,該信息用于確定通過(guò)用戶ID欄405b 確定的用戶接受認(rèn)證的最新的認(rèn)證等級(jí)(當(dāng)前接受的認(rèn)證等級(jí))。 返回圖IO,在提供認(rèn)證強(qiáng)度信息存儲(chǔ)區(qū)域406中存儲(chǔ)提供認(rèn)證強(qiáng)度信息,該提供 認(rèn)證強(qiáng)度信息,用于確認(rèn)由認(rèn)證服務(wù)器3提供的認(rèn)證方式、以及該認(rèn)證方式的認(rèn)證強(qiáng)度。例 如,在本實(shí)施方式中,在提供認(rèn)證強(qiáng)度信息存儲(chǔ)區(qū)域406中存儲(chǔ)圖15(提供認(rèn)證強(qiáng)度信息表 406a的概要圖)所示的提供認(rèn)證強(qiáng)度信息表406a。 提供認(rèn)證強(qiáng)度信息表406a具有認(rèn)證服務(wù)器ID欄406b、提供認(rèn)證方式欄406c、認(rèn) 證強(qiáng)度欄406d、提供URI欄406e。 在認(rèn)證服務(wù)器ID欄406b中存儲(chǔ)用于確定認(rèn)證服務(wù)器3的信息。在此,存儲(chǔ)用于 唯一識(shí)別各個(gè)認(rèn)證服務(wù)器3的識(shí)別信息,即認(rèn)證服務(wù)器ID。 在提供認(rèn)證方式欄406c中存儲(chǔ)以下的信息,該信息用于確定通過(guò)認(rèn)證服務(wù)器ID 欄406確定的認(rèn)證服務(wù)器3提供的認(rèn)證方式。 在認(rèn)證強(qiáng)度欄406中存儲(chǔ)以下的信息,該信息用于確定通過(guò)認(rèn)證服務(wù)器ID欄406b 確定的認(rèn)證服務(wù)器3,按照通過(guò)提供認(rèn)證方式欄406c確定的認(rèn)證方式進(jìn)行的認(rèn)證的認(rèn)證強(qiáng) 度。在此,在本實(shí)施方式中,在認(rèn)證強(qiáng)度欄406b中存儲(chǔ)的數(shù)值越大,表示認(rèn)證強(qiáng)度越高(認(rèn) 證的安全性高)。 在提供URI欄406e中存儲(chǔ)以下的信息,該信息用于確定通過(guò)認(rèn)證服務(wù)器ID欄 406b確定的認(rèn)證服務(wù)器3,提供基于通過(guò)提供認(rèn)證方式欄406c確定的認(rèn)證方式的認(rèn)證的 URI。 返回圖IO,在認(rèn)證等級(jí)定義信息存儲(chǔ)區(qū)域407中存儲(chǔ)確定認(rèn)證等級(jí)的定義的認(rèn)證 等級(jí)定義信息。例如,在本實(shí)施方式中,在認(rèn)證等級(jí)定義信息存儲(chǔ)區(qū)域407a中存儲(chǔ)圖16 (認(rèn)
      15證等級(jí)定義信息表407a的概要圖)所述的認(rèn)證等級(jí)定義信息表407a。
      認(rèn)證等級(jí)定義信息表407a具有認(rèn)證等級(jí)欄407b和定義欄407c。
      在認(rèn)證等級(jí)欄407b中存儲(chǔ)確定認(rèn)證等級(jí)的信息。 在定義欄407c中存儲(chǔ)以下的信息,該信息用于確定為了滿足通過(guò)認(rèn)證等級(jí)欄 407b確定的認(rèn)證等級(jí)而執(zhí)行的、所需要的認(rèn)證的方法。在此,在本實(shí)施方式中,在定義欄 407c中,通過(guò)認(rèn)證強(qiáng)度和認(rèn)證的次數(shù)的組合,來(lái)確定與各個(gè)認(rèn)證等級(jí)對(duì)應(yīng)的認(rèn)證的方式。
      在本實(shí)施方式的認(rèn)證等級(jí)定義中,在服務(wù)提供者要求某個(gè)認(rèn)證等級(jí)的情況下,當(dāng) 用戶滿足比所需要的認(rèn)證等級(jí)還大的數(shù)字的認(rèn)證等級(jí)時(shí),判定為滿足要求認(rèn)證等級(jí)。
      返回圖IO,在ID信息存儲(chǔ)區(qū)域408中存儲(chǔ)ID信息,該ID信息用于確定用戶在各 個(gè)服務(wù)提供服務(wù)器2中使用的固有的用戶ID。例如,在本實(shí)施方式中,在ID信息存儲(chǔ)區(qū)域 408中存儲(chǔ)圖17(ID信息表408a的概要圖)所示的ID信息表408a。
      ID信息表408a具有用戶ID欄408b、用戶ID欄408c、服務(wù)固有用戶ID欄408d。
      在用戶ID欄408b中存儲(chǔ)確定用戶的信息。在此,存儲(chǔ)用于唯一識(shí)別各個(gè)用戶的 識(shí)別信息,即用戶ID。 在服務(wù)器ID欄408c中存儲(chǔ)以下的信息,該信息用于確定通過(guò)用戶ID欄408確定 的用戶接受服務(wù)提供的服務(wù)提供服務(wù)器2。在此,存儲(chǔ)用于唯一識(shí)別各個(gè)服務(wù)提供服務(wù)器2 的識(shí)別信息,即服務(wù)提供服務(wù)器ID。 在服務(wù)固有用戶ID欄408d中存儲(chǔ)以下的信息,該信息用于確定通過(guò)用戶ID欄 408b確定的用戶在通過(guò)服務(wù)器ID欄408c確定的服務(wù)提供服務(wù)器2中使用的識(shí)別信息(服 務(wù)固有用戶ID)。 返回圖10,在屬性信息存儲(chǔ)區(qū)域409中存儲(chǔ)確定用戶的屬性的屬性信息。例如,在 本實(shí)施方式中,在屬性信息存儲(chǔ)區(qū)域409中存儲(chǔ)圖18(屬性信息表409a的概要圖)所示的 屬性信息表409a。 屬性信息表409a具有用戶ID欄409b、屬性類型欄409c、屬性值欄409d。 在用戶ID欄409b中存儲(chǔ)確定用戶的信息。在此,存儲(chǔ)用于唯一地識(shí)別各個(gè)用戶
      的識(shí)別信息,即用戶ID。 在屬性類型欄409c中存儲(chǔ)以下的信息,該信息用于確定通過(guò)用戶ID欄409b確定 的用戶的屬性的種類。 在屬性值欄409d中存儲(chǔ)以下的信息,該信息用于確定通過(guò)用戶ID欄409b確定的 用戶在通過(guò)屬性類型欄409c確定的屬性的種類中使用的屬性的值。 返回圖10,控制部411具有信息取得請(qǐng)求處理部412、認(rèn)證服務(wù)器選擇部413、用戶 策略管理部414、用戶信息取得部415、身份變換部416。 信息取得請(qǐng)求處理部412在經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6從服務(wù)提供服務(wù)器2直接 地,或者經(jīng)由終端裝置1間接地接收到信息取得請(qǐng)求消息時(shí),取得接收到的信息取得請(qǐng)求 消息中包含的用戶ID以及服務(wù)提供服務(wù)器ID,并發(fā)送給認(rèn)證服務(wù)器選擇部413。
      當(dāng)在接收到的該信息取得請(qǐng)求消息中沒(méi)有包含用戶ID的情況下,可以經(jīng)由收發(fā) 部420以及網(wǎng)絡(luò)6對(duì)終端裝置1回復(fù)請(qǐng)求輸入用戶ID的響應(yīng)消息(例如包含form標(biāo)簽的 HTTP響應(yīng)),取得用戶ID。 認(rèn)證服務(wù)器選擇部413在從信息取得請(qǐng)求處理部412接收到用戶ID以及服務(wù)提
      16供服務(wù)器ID時(shí),從存儲(chǔ)部401的用戶策略信息存儲(chǔ)區(qū)域402中存儲(chǔ)的用戶策略信息、認(rèn)證 服務(wù)器信息存儲(chǔ)區(qū)域403中存儲(chǔ)的認(rèn)證服務(wù)器信息、服務(wù)提供服務(wù)器請(qǐng)求信息存儲(chǔ)區(qū)域 404中存儲(chǔ)的服務(wù)提供服務(wù)器請(qǐng)求消息,取得與得到的用戶ID以及服務(wù)提供服務(wù)器ID相應(yīng) 的信息,并且,參照后述的用戶信息取得部415取得的用戶的狀況信息等,選擇在用戶的認(rèn) 證中應(yīng)該使用的認(rèn)證服務(wù)器3。 此外,認(rèn)證服務(wù)器選擇部413對(duì)服務(wù)提供服務(wù)器2直接地,或者經(jīng)由終端裝置1間 接地發(fā)送確定所選擇的認(rèn)證服務(wù)器3的認(rèn)證服務(wù)器信息。例如,如在文獻(xiàn)3中記載的0penlD Authentication那樣,可以將認(rèn)證服務(wù)器3的信息表現(xiàn)為XRDS文件,發(fā)送給服務(wù)提供服務(wù) 器2。此外,還可以按照在文獻(xiàn)2中記載的Identity Provider Discovery Profile,使用 HTTP重定向,經(jīng)由終端裝置1間接地向服務(wù)提供服務(wù)器2發(fā)送認(rèn)證服務(wù)器信息。
      用戶策略管理部414經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6從終端裝置1取得用于確定用戶 ID、通過(guò)該用戶ID的用戶所使用的認(rèn)證服務(wù)器3的認(rèn)證服務(wù)器ID、該認(rèn)證服務(wù)器3的優(yōu)先 度、選擇該認(rèn)證服務(wù)器3的條件(使用條件、服務(wù)提供服務(wù)器ID條件)的信息,對(duì)于在存儲(chǔ) 部401的用戶策略信息存儲(chǔ)區(qū)域402中存儲(chǔ)的用戶策略信息表402a,生成、更新、或者刪除 記錄。 用戶信息取得部415通過(guò)經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6對(duì)狀況服務(wù)器5發(fā)送確定了 用戶ID的狀況信息取得請(qǐng)求,從狀況服務(wù)器5取得與該用戶ID對(duì)應(yīng)的用戶的狀況信息。此 外,當(dāng)在網(wǎng)絡(luò)6上存在對(duì)與狀況類似的用戶信息進(jìn)行管理的服務(wù)器時(shí),從該服務(wù)器取得用 戶信息。 身份變換部416進(jìn)行對(duì)ID信息存儲(chǔ)區(qū)域408中存儲(chǔ)的ID信息以及屬性信息存儲(chǔ) 區(qū)域409中存儲(chǔ)的屬性信息進(jìn)行管理的處理。 此外,身份變換部416進(jìn)行以下的處理從屬性信息存儲(chǔ)區(qū)域409取得服務(wù)提供服
      務(wù)器2請(qǐng)求的請(qǐng)求屬性信息,經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6直接地,或者經(jīng)由終端裝置1間接
      地發(fā)送給服務(wù)提供服務(wù)器2。 輸入部418接受信息的輸入。 輸出部419輸出信息。 收發(fā)部420經(jīng)由網(wǎng)絡(luò)6進(jìn)行信息的收發(fā)。 例如可以通過(guò)圖4所述的計(jì)算機(jī)9實(shí)現(xiàn)以上記載的認(rèn)證中介服務(wù)器4。例如,可以通過(guò)CPU901使用存儲(chǔ)器902或外部存儲(chǔ)裝置903來(lái)實(shí)現(xiàn)存儲(chǔ)部401 ,可
      以通過(guò)把外部存儲(chǔ)裝置903中存儲(chǔ)的規(guī)定的程序加載到存儲(chǔ)器902中然后由CPU901執(zhí)行
      來(lái)實(shí)現(xiàn)控制部411 ,可以通過(guò)CPU901使用輸入裝置906來(lái)實(shí)現(xiàn)輸入部418,可以通過(guò)CPU901
      使用輸出裝置907來(lái)實(shí)現(xiàn)輸出部419,可以通過(guò)CPU901使用收發(fā)裝置908來(lái)實(shí)現(xiàn)收發(fā)部
      420。 可以經(jīng)由讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)向外部存儲(chǔ) 裝置903下載該規(guī)定的程序,然后加載到存儲(chǔ)器902上由CPU901來(lái)執(zhí)行。此外,可以經(jīng)由 讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)將該規(guī)定的程序直接加載到存 儲(chǔ)器902上,然后由CPU901來(lái)執(zhí)行。 圖19是表示狀況服務(wù)器5的一例的概要圖。如圖所示,狀況服務(wù)器5具有存儲(chǔ)部 501、控制部504、輸入部508、輸出部509、以及收發(fā)部510。
      存儲(chǔ)部510具備狀況信息存儲(chǔ)區(qū)域502。 在狀況信息存儲(chǔ)區(qū)域502中存儲(chǔ)確定終端裝置1的用戶的狀況的狀況信息。例如, 在本實(shí)施方式中,在狀況信息存儲(chǔ)區(qū)域502中存儲(chǔ)圖20 (狀況信息表502a的概要圖)所示 的狀況信息表502a。 狀況信息表502a具有用戶ID欄502b和狀況信息欄502c 。 在用戶ID欄502b中存儲(chǔ)確定用戶的信息。在此,存儲(chǔ)用于唯一地識(shí)別各個(gè)用戶 的識(shí)別信息,即用戶ID。 在狀況信息欄502c中存儲(chǔ)確定通過(guò)用戶ID欄502b確定的用戶的狀況(狀況) 的狀況信息。 返回圖19,控制部504具備信息取得請(qǐng)求處理部505、信息更新請(qǐng)求處理部506。
      信息取得請(qǐng)求處理部505,當(dāng)經(jīng)由收發(fā)部510以及網(wǎng)絡(luò)6從認(rèn)證中介服務(wù)器4接收 到信息取得請(qǐng)求消息時(shí),取得在得到的信息取得請(qǐng)求消息中包含的用戶ID,將該用戶ID作 為關(guān)鍵字檢索在狀況信息存儲(chǔ)區(qū)域502中存儲(chǔ)的狀況信息。作為檢索的結(jié)果,當(dāng)取得通過(guò) 該用戶ID確定的用戶的狀況信息時(shí),將該狀況信息經(jīng)由收發(fā)部510以及網(wǎng)絡(luò)6回復(fù)給發(fā)送 來(lái)信息取得請(qǐng)求消息的認(rèn)證中介服務(wù)器4。信息更新請(qǐng)求處理部506當(dāng)經(jīng)由收發(fā)部510以及網(wǎng)絡(luò)6,從終端裝置l接收到信息
      更新請(qǐng)求消息時(shí),取得在接收到的信息更新請(qǐng)求消息中包含的用戶ID以及狀況信息,生成
      或者更新?tīng)顩r信息存儲(chǔ)區(qū)域502內(nèi)的與該用戶ID對(duì)應(yīng)的記錄。 輸入部508接受信息的輸入。 輸出部509輸出信息。 收發(fā)部510經(jīng)由網(wǎng)絡(luò)6進(jìn)行信息的收發(fā)。 例如可以通過(guò)圖4所示的計(jì)算機(jī)9來(lái)實(shí)現(xiàn)以上記載的狀況服務(wù)器5。 例如,可以通過(guò)CPU901使用存儲(chǔ)器902或外部存儲(chǔ)裝置903來(lái)實(shí)現(xiàn)存儲(chǔ)部501,
      可以通過(guò)把外部存儲(chǔ)裝置903中存儲(chǔ)的規(guī)定的程序加載到存儲(chǔ)器902中然后由CPU901進(jìn)
      行執(zhí)行來(lái)實(shí)現(xiàn)控制部504,可以通過(guò)CPU901使用輸入裝置906來(lái)實(shí)現(xiàn)輸入部508,可以通過(guò)
      CPU901使用輸出裝置907來(lái)實(shí)現(xiàn)輸出部509,可以通過(guò)CPU901使用收發(fā)裝置908來(lái)實(shí)現(xiàn)收
      發(fā)部510。 可以經(jīng)由讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)向外部存儲(chǔ) 裝置903下載該規(guī)定的程序,然后加載到存儲(chǔ)器902上由CPU901來(lái)執(zhí)行。此外,可以經(jīng)由 讀寫裝置905從存儲(chǔ)介質(zhì)904或者經(jīng)由收發(fā)裝置908從網(wǎng)絡(luò)將該規(guī)定的程序直接加載到存 儲(chǔ)器902上,然后由CPU901來(lái)執(zhí)行。 圖21以及圖22是表示通過(guò)認(rèn)證系統(tǒng)10進(jìn)行認(rèn)證時(shí)的處理的一例的順序。
      在本順序中,表示通過(guò)用戶ID "user001"識(shí)別的用戶在使用終端裝置1對(duì)通過(guò)服 務(wù)提供服務(wù)器ID "sp001"識(shí)別的服務(wù)提供服務(wù)器2A以及通過(guò)服務(wù)提供服務(wù)器ID "sp002" 識(shí)別的服務(wù)提供服務(wù)器2B請(qǐng)求提供服務(wù)時(shí)的、各裝置中的處理。以終端裝置1與其他裝置 之間沒(méi)有建立對(duì)話為前提。 此外,假設(shè)通過(guò)認(rèn)證服務(wù)器ID "idp001"識(shí)別認(rèn)證服務(wù)器3A,通過(guò)認(rèn)證服務(wù)器 ID "idp002"識(shí)別認(rèn)證服務(wù)器3B。 并且,假設(shè)通過(guò)"sp001"的服務(wù)提供服務(wù)器ID確定的服務(wù)提供服務(wù)器2A,在對(duì)認(rèn)證中介服務(wù)器4請(qǐng)求取得(選擇)認(rèn)證服務(wù)器3時(shí),經(jīng)由終端裝置1間接地發(fā)送請(qǐng)求消息, 另一方面,假設(shè)通過(guò)服務(wù)提供服務(wù)器ID "sp002"確定的服務(wù)提供服務(wù)器2B,在對(duì)認(rèn)證中介 服務(wù)器4請(qǐng)求取得(選擇)認(rèn)證服務(wù)器3時(shí),不經(jīng)由終端裝置1直接發(fā)送請(qǐng)求消息。
      在圖21中表示終端裝置1的用戶從服務(wù)提供服務(wù)器2A接受服務(wù)提供時(shí)的順序。
      首先,終端裝置1的用戶在執(zhí)行了用于經(jīng)由輸入部115從服務(wù)提供服務(wù)器2A接收 服務(wù)提供的服務(wù)請(qǐng)求操作時(shí),終端裝置1的服務(wù)請(qǐng)求生成部107生成確定終端裝置1的用 戶的用戶ID"suerOOl"的用戶請(qǐng)求消息,經(jīng)由收發(fā)部117以及網(wǎng)絡(luò)6向服務(wù)提供服務(wù)器2A 發(fā)送生成的服務(wù)請(qǐng)求消息(SIO)。在此,在本實(shí)施方式中,使用HTTP的GET請(qǐng)求或POST請(qǐng) 求等來(lái)記述服務(wù)請(qǐng)求消息,但并不限于這樣的方式。 在服務(wù)提供服務(wù)器2A中,當(dāng)經(jīng)由收發(fā)部211以及網(wǎng)絡(luò)6接收到服務(wù)請(qǐng)求消息時(shí), 服務(wù)通信部209確認(rèn)在該服務(wù)請(qǐng)求消息中是否包含了對(duì)話信息(在本順序中作為沒(méi)有包含 對(duì)話信息來(lái)進(jìn)行說(shuō)明),當(dāng)判明不存在對(duì)話信息時(shí),認(rèn)證服務(wù)器信息取得部207生成確定用 戶ID "user001"以及用戶提供服務(wù)器ID "sp001"的信息取得請(qǐng)求消息,經(jīng)由收發(fā)部213 以及網(wǎng)絡(luò)6,以經(jīng)由終端裝置1的形式向認(rèn)證中介服務(wù)器4進(jìn)行發(fā)送(Sll、 12)。
      認(rèn)證中介服務(wù)器4當(dāng)經(jīng)由收發(fā)部412以及網(wǎng)絡(luò)6接收到信息取得請(qǐng)求消息時(shí),信 息取得請(qǐng)求處理部412取得接收到的信息取得請(qǐng)求消息中包含的用戶ID以及服務(wù)提供服 務(wù)器ID,然后轉(zhuǎn)移到選擇認(rèn)證服務(wù)器的候補(bǔ)的處理。在此,作為用戶ID取得"userOOl",作 為服務(wù)提供服務(wù)器ID取得"sp001"。 然后,用戶信息取得部415生成確定了由信息取得請(qǐng)求處理部412取得的用戶ID 的狀況信息取得請(qǐng)求消息,經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6把生成的狀況信息取得請(qǐng)求消息發(fā) 送給狀況服務(wù)器5(S13)。 在接收到這樣的狀況信息取得請(qǐng)求消息的狀況服務(wù)器5中,信息取得請(qǐng)求處理部 505從狀況信息存儲(chǔ)區(qū)域502取得與接收到的狀況信息取得請(qǐng)求消息中包含的用戶ID(在 此為"user001")對(duì)應(yīng)的狀況信息,把包含取得的狀況信息的響應(yīng)消息回復(fù)給認(rèn)證中介服 務(wù)器4(S14)。例如,在圖20所示的狀況信息表502中,作為與用戶ID"userOOl"對(duì)應(yīng)的狀 況信息,取得確定"自家"的信息。 然后,認(rèn)證服務(wù)器選擇部413進(jìn)行認(rèn)證服務(wù)器3的選擇處理(S15)。
      例如,首先,認(rèn)證服務(wù)器選擇部413以用戶ID "user001"作為關(guān)鍵字,從用戶策略 信息存儲(chǔ)區(qū)域圖402中存儲(chǔ)的用戶策略信息表402a取得策略信息(認(rèn)證服務(wù)器ID、最終認(rèn) 證時(shí)刻、優(yōu)先度、使用條件、服務(wù)提供服務(wù)器ID條件)的集合(記錄的集合),作為認(rèn)證服務(wù) 器3的候補(bǔ)組存儲(chǔ)在存儲(chǔ)部401中。例如,在圖11所示的用戶策略信息表402a中,作為與用 戶ID"userOOl"對(duì)應(yīng)的用戶策略信息,從表402a上取得記錄(與認(rèn)證服務(wù)器ID"idpOOl"、 "idp002"、" idp003"、" idp004"對(duì)應(yīng)的記錄)。 然后,認(rèn)證服務(wù)器選擇部413將服務(wù)提供服務(wù)器ID "sp001"作為關(guān)鍵字,從服務(wù) 提供服務(wù)器請(qǐng)求信息存儲(chǔ)區(qū)域404中存儲(chǔ)的服務(wù)提供服務(wù)器請(qǐng)求信息表404a取得服務(wù)提 供服務(wù)器請(qǐng)求信息(便攜認(rèn)證服務(wù)器ID、請(qǐng)求認(rèn)證等級(jí)、請(qǐng)求屬性信息)。例如,在圖12所 示的服務(wù)提供服務(wù)器請(qǐng)求信息表404a中,作為與服務(wù)提供服務(wù)器ID "sp001"對(duì)應(yīng)的服務(wù) 提供服務(wù)器請(qǐng)求信息,取得在最上面的記錄中存儲(chǔ)的協(xié)作認(rèn)證服務(wù)器ID為"*",請(qǐng)求認(rèn)證 等級(jí)為"2",請(qǐng)求屬性信息為"郵件地址"的信息。
      接著,認(rèn)證服務(wù)器選擇部407進(jìn)行判定不足的認(rèn)證強(qiáng)度的處理。 首先,認(rèn)證服務(wù)器選擇部413從認(rèn)證等級(jí)信息存儲(chǔ)區(qū)域405中存儲(chǔ)的認(rèn)證等級(jí)信
      息表405a取得與用戶ID "user001"對(duì)應(yīng)的最新(當(dāng)前)的認(rèn)證等級(jí)。在此,因?yàn)橥ㄟ^(guò)用
      戶ID "user001"識(shí)別的用戶還沒(méi)有接受認(rèn)證,所以設(shè)當(dāng)前的認(rèn)證等級(jí)為"0"。 如上所述,在從服務(wù)提供服務(wù)器請(qǐng)求信息表404a取得的服務(wù)提供服務(wù)器請(qǐng)求信
      息中,因?yàn)檎?qǐng)求認(rèn)證等級(jí)為"2",所以選擇服務(wù)器選擇部413判定為認(rèn)證強(qiáng)度不足。 然后,認(rèn)證服務(wù)器選擇部413參照認(rèn)證等級(jí)定義表407a,把通過(guò)用戶ID"userOOl"
      識(shí)別的用戶的當(dāng)前的認(rèn)證等級(jí)"0"與請(qǐng)求認(rèn)證等級(jí)"2"進(jìn)行比較,判定為了滿足請(qǐng)求認(rèn)證
      等級(jí)"2"而需要的認(rèn)證強(qiáng)度。例如,在圖16所示的認(rèn)證等級(jí)定義表407a中,認(rèn)證等級(jí)"0"
      為"沒(méi)有接受認(rèn)證"狀態(tài),認(rèn)證等級(jí)"2"為"通過(guò)認(rèn)證強(qiáng)度為2的認(rèn)證方式接受一次認(rèn)證"狀
      態(tài),所以判定為不足的認(rèn)證強(qiáng)度為"2",如果進(jìn)行一次該認(rèn)證強(qiáng)度"2"的認(rèn)證,即可以滿足
      請(qǐng)求認(rèn)證等級(jí)"2"。 然后,認(rèn)證服務(wù)器選擇部407進(jìn)行縮小認(rèn)證服務(wù)器3的候補(bǔ)的處理。
      首先,認(rèn)證服務(wù)器選擇部407把服務(wù)提供服務(wù)器ID "sp001"作為關(guān)鍵字,從存儲(chǔ) 部401中存儲(chǔ)到認(rèn)證服務(wù)器3的候補(bǔ)組中,選擇具有與從服務(wù)提供服務(wù)器請(qǐng)求信息表404a 取得的服務(wù)提供服務(wù)器請(qǐng)求信息中包含的協(xié)作認(rèn)證服務(wù)器ID —致的認(rèn)證服務(wù)器ID的認(rèn)證 服務(wù)器3。在此,因?yàn)榉?wù)提供服務(wù)器"鄧001"的協(xié)作認(rèn)證服務(wù)器的值為"*",所以作為候 補(bǔ)殘留有認(rèn)證服務(wù)器3的候補(bǔ)組內(nèi)的全部的認(rèn)證服務(wù)器3。 然后,認(rèn)證服務(wù)器選擇部407從認(rèn)證服務(wù)器3的候補(bǔ)組中,選擇服務(wù)提供服務(wù)器ID 條件的值包含作為信息取得請(qǐng)求消息的發(fā)送源的服務(wù)提供服務(wù)器2的服務(wù)提供服務(wù)器ID 的認(rèn)證服務(wù)器3,從候補(bǔ)組中刪除除此以外的認(rèn)證服務(wù)器3。在此,因?yàn)樽鳛樾畔⑷〉谜?qǐng)求 消息的發(fā)送源的服務(wù)提供服務(wù)器的ID "sp001"包含在各個(gè)記錄的服務(wù)提供服務(wù)器ID條件 中,所以作為候補(bǔ)殘留有候補(bǔ)組內(nèi)的全部的認(rèn)證服務(wù)器3。 然后,認(rèn)證服務(wù)器選擇部407從認(rèn)證服務(wù)器信息存儲(chǔ)區(qū)域403中存儲(chǔ)的認(rèn)證服務(wù) 器信息表403a,取得與在認(rèn)證服務(wù)器3的候補(bǔ)組中留有的認(rèn)證服務(wù)器3的認(rèn)證服務(wù)器ID對(duì) 應(yīng)的認(rèn)證服務(wù)器信息(請(qǐng)求認(rèn)證等級(jí)、保有屬性信息),然后對(duì)存儲(chǔ)部401內(nèi)的候補(bǔ)組的各 個(gè)認(rèn)證服務(wù)器3追加認(rèn)證服務(wù)器信息(對(duì)各個(gè)認(rèn)證服務(wù)器3進(jìn)行關(guān)聯(lián))。
      然后,認(rèn)證服務(wù)器選這部407在認(rèn)證服務(wù)器3的候補(bǔ)組內(nèi)的認(rèn)證服務(wù)器3中,從認(rèn) 證強(qiáng)度信息存儲(chǔ)區(qū)域406中存儲(chǔ)的認(rèn)證強(qiáng)度信息表406a僅選擇認(rèn)證強(qiáng)度與像上述那樣進(jìn) 行了判定的不足的認(rèn)證強(qiáng)度一致,并且,保有屬性信息與請(qǐng)求屬性信息一致的認(rèn)證服務(wù)器 3。 在此,因?yàn)椴蛔愕恼J(rèn)證強(qiáng)度為"2",作為請(qǐng)求屬性信息指定了"郵件地址",所以在 認(rèn)證強(qiáng)度信息表406a以及認(rèn)證服務(wù)器信息403a中,作為適合上述這些認(rèn)證強(qiáng)度和請(qǐng)求 屬性信息的認(rèn)證服務(wù)器3,在候補(bǔ)組中殘留有"idp001"以及"idp002"。關(guān)于認(rèn)證服務(wù)器 "idp004"因?yàn)檎J(rèn)證強(qiáng)度為"l",此外關(guān)于認(rèn)證服務(wù)器"idp003"因?yàn)楸S袑傩孕畔⑾抻?信 用卡號(hào)碼",不包含請(qǐng)求屬性信息"郵件地址",所以分別從候補(bǔ)組中刪除。
      然后,認(rèn)證服務(wù)器選擇部407僅選擇在候補(bǔ)組中剩余的認(rèn)證服務(wù)器3中的、使用條 件的值與在步驟S14中取得的用戶的狀況信息一致的認(rèn)證服務(wù)器3,從候補(bǔ)組中刪除不一 致的認(rèn)證服務(wù)器3。在此,因?yàn)樽鳛闋顩r信息得到了確定"自家"的信息,所以在候補(bǔ)組中
      20殘留有候補(bǔ)組內(nèi)使用條件與"自家"或"*"(表示沒(méi)有指定使用條件) 一致的"idp001"和 "idp002"。 然后,選擇服務(wù)器選擇部407保留在候補(bǔ)組中優(yōu)先度最高的候補(bǔ),將其他的候補(bǔ) 從候補(bǔ)組中刪除。在圖11所示的用戶策略信息表402a中,因?yàn)檫@些候補(bǔ)組"idp001"以及 "idp002"都具有相同優(yōu)先度"10",所以不進(jìn)行候補(bǔ)組的縮小。 然后,認(rèn)證服務(wù)器選擇部407選擇候補(bǔ)組內(nèi)最終認(rèn)證時(shí)刻最早的候補(bǔ)。在圖11所 示的用戶策略信息表402a中,因?yàn)?idp001"的最終認(rèn)證時(shí)刻為"2008-08-19T10:03:28", "idp002"的最終認(rèn)證時(shí)刻為"2008-07-30T17:32:15",所以作為最終認(rèn)證時(shí)刻最早的候補(bǔ), 選擇"idp002"作為候補(bǔ)。 對(duì)于在該階段作為候補(bǔ)被選擇的認(rèn)證服務(wù)器3,用當(dāng)前的時(shí)刻置換在用戶策略存 儲(chǔ)區(qū)域402中存儲(chǔ)的用戶策略信息表402a的最終認(rèn)證時(shí)刻欄402d的值。在此,用當(dāng)前時(shí) 刻(例如,設(shè)為2008-08-22T16:50:36)來(lái)改寫"idp002"的最終認(rèn)證時(shí)刻欄。
      到此為止,步驟S15的認(rèn)證服務(wù)器3的選擇處理結(jié)束。 然后,認(rèn)證服務(wù)器選擇部413從提供認(rèn)證強(qiáng)度信息存儲(chǔ)區(qū)域406中存儲(chǔ)的提供認(rèn) 證強(qiáng)度信息表406a的提供URI欄406e取得作為候補(bǔ)被選擇的認(rèn)證服務(wù)器3B提供的認(rèn)證 方式(與認(rèn)證強(qiáng)度的不足對(duì)應(yīng)的認(rèn)證方式)的提供URI,生成包含用于確定取得的提供URI 的信息的響應(yīng)消息(針對(duì)信息取得請(qǐng)求消息),并且經(jīng)由終端裝置1間接地發(fā)送給服務(wù)提供 服務(wù)器2A(S16、S17)。在此,經(jīng)由終端裝置中1間接地向服務(wù)提供服務(wù)器2A發(fā)送認(rèn)證服務(wù) 器ID "idp002"提供的電子證書型認(rèn)證方式的提供URI "httos: 〃i(to002〃,。
      服務(wù)提供服務(wù)器2A當(dāng)從認(rèn)證中介服務(wù)器4接收到針對(duì)信息取得消息的響應(yīng)消息 時(shí),認(rèn)證服務(wù)器信息取得部207從接收到的響應(yīng)消息中取得提供URI,認(rèn)證請(qǐng)求處理部208 經(jīng)由終端裝置1對(duì)提供URI發(fā)送認(rèn)證請(qǐng)求消息(S18、 S19)。 認(rèn)證服務(wù)器3B的認(rèn)證執(zhí)行部307在與用戶使用的終端裝置1之間執(zhí)行認(rèn)證處理 (S20)。在此,如圖12的認(rèn)證服務(wù)器信息表403a所示,因?yàn)橥ㄟ^(guò)認(rèn)證服務(wù)器ID "idp002" 確定的認(rèn)證服務(wù)器3對(duì)應(yīng)于電子證書型認(rèn)證方式,所以認(rèn)證執(zhí)行部307經(jīng)由收發(fā)部314以 及網(wǎng)絡(luò)6對(duì)終端裝置1請(qǐng)求并取得用戶的電子證書。 然后,認(rèn)證執(zhí)行部307確認(rèn)取得的電子證書的正當(dāng)性(在此,作為電子證書為正當(dāng) 的來(lái)進(jìn)行說(shuō)明),認(rèn)證結(jié)果生成部308生成表示用戶認(rèn)證成功的認(rèn)證結(jié)果消息,經(jīng)由終端裝 置1間接地發(fā)送給服務(wù)提供服務(wù)器2A(S21、 S22)。 在服務(wù)提供服務(wù)器2A中,當(dāng)從認(rèn)證服務(wù)器3B接收到認(rèn)證結(jié)果消息時(shí),認(rèn)證請(qǐng)求 處理部208從接收到的認(rèn)證結(jié)果消息中取得確定認(rèn)證結(jié)果的信息,確認(rèn)認(rèn)證結(jié)果的正當(dāng)性 (S23)。 根據(jù)對(duì)認(rèn)證結(jié)果進(jìn)行驗(yàn)證的結(jié)果,當(dāng)可以確認(rèn)用戶的正當(dāng)性時(shí),認(rèn)證服務(wù)器信息 取得部207生成傳達(dá)所述提供URI提供的認(rèn)證方式下的認(rèn)證成功的信息取得請(qǐng)求消息,然 后經(jīng)由收發(fā)部213以及網(wǎng)絡(luò)6,以經(jīng)過(guò)終端裝置1的形式向認(rèn)證中介服務(wù)器4發(fā)送(S24、 S25)。 然后,認(rèn)證中介服務(wù)器4當(dāng)經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6接收到信息取得請(qǐng)求消息 時(shí),信息取得請(qǐng)求處理部412取得接收到的信息取得請(qǐng)求消息中包含的用戶ID以及服務(wù)提 供服務(wù)器ID,轉(zhuǎn)移到選擇認(rèn)證服務(wù)器的候補(bǔ)的處理(S26)。
      在此,在認(rèn)證服務(wù)器選擇部413中,作為在上述的步驟S15中,根據(jù)用戶 ID "user001"識(shí)別的用戶的當(dāng)前認(rèn)證等級(jí)被更新為"2"的結(jié)果,判定為不需要追加的認(rèn)證, 生成不包含提供URI而包含用戶ID"userOOl"的響應(yīng)消息,經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6,以 經(jīng)由終端裝置1的形式向服務(wù)提供服務(wù)器2A發(fā)送(S27、 S28)。 在步驟S27、S28發(fā)送的響應(yīng)消息中包含在ID信息存儲(chǔ)區(qū)域408中存儲(chǔ)的ID信息 (針對(duì)服務(wù)提供服務(wù)器2A的服務(wù)固有用戶ID)和在屬性信息存儲(chǔ)區(qū)域409中存儲(chǔ)的屬性信 息(與服務(wù)提供服務(wù)器2A請(qǐng)求的請(qǐng)求屬性信息對(duì)應(yīng)的屬性信息)。 在服務(wù)提供服務(wù)器2A中,當(dāng)從認(rèn)證中介服務(wù)器4接收到響應(yīng)消息時(shí),認(rèn)證請(qǐng)求處 理部208從該響應(yīng)消息中取得用戶ID,并且對(duì)話管理部206新生成對(duì)話ID,在對(duì)話信息存 儲(chǔ)區(qū)域202中存儲(chǔ)的對(duì)話信息表202a中存儲(chǔ)該用戶ID和該對(duì)話ID的組,服務(wù)提供部205 對(duì)終端裝置1提供請(qǐng)求的服務(wù)(S29)。 在服務(wù)提供服務(wù)器2A中,可以在提供服務(wù)時(shí)使用在步驟S27、 S28發(fā)送來(lái)的ID信 息以及屬性信息。例如,具有以下的使用方法在服務(wù)提供服務(wù)器2A提供的服務(wù)所需要的 登錄處理或驗(yàn)證處理等中使用這些信息,或者在經(jīng)由服務(wù)提供服務(wù)器2A購(gòu)入的物品的支 付中使用屬性信息中包含的信用卡號(hào)碼,或者在來(lái)自服務(wù)提供服務(wù)器2A的信息提供中使 用屬性信息中包含的郵件地址。 然后,在圖22中,繼圖21所示的順序之后,表示終端裝置1的用戶從服務(wù)提供服 務(wù)器2B接受服務(wù)提供時(shí)的順序。 首先,在終端裝置1的用戶經(jīng)由終端裝置1的輸入部115執(zhí)行了用于從服務(wù)提供 服務(wù)器2B接受服務(wù)提供的服務(wù)請(qǐng)求操作時(shí),終端裝置1的服務(wù)請(qǐng)求生成部107生成確定了 終端裝置1的用戶的用戶ID "user001"的服務(wù)請(qǐng)求消息,經(jīng)由收發(fā)部117以及網(wǎng)絡(luò)6向服 務(wù)提供服務(wù)器2B發(fā)送生成的服務(wù)請(qǐng)求消息(S30)。 在服務(wù)提供服務(wù)器2B中,當(dāng)經(jīng)由收發(fā)部213以及網(wǎng)絡(luò)6接收到服務(wù)請(qǐng)求消息時(shí), 服務(wù)通信部208確認(rèn)在接收到的服務(wù)請(qǐng)求消息中是否包含對(duì)話信息(在此,作為不包含對(duì) 話信息來(lái)進(jìn)行說(shuō)明),在不包含對(duì)話信息時(shí),認(rèn)證服務(wù)器信息取得部207生成確定了用戶ID 以及服務(wù)提供服務(wù)器ID的信息取得請(qǐng)求消息,經(jīng)由收發(fā)部213以及網(wǎng)絡(luò)8向認(rèn)證中介服務(wù) 器4發(fā)送(S31)。 在認(rèn)證中介服務(wù)器4中,當(dāng)經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6接收到信息取得請(qǐng)求消息 時(shí),信息取得請(qǐng)求處理部412取得接收到的消息中包含的用戶ID以及服務(wù)提供服務(wù)器ID, 轉(zhuǎn)移到選擇認(rèn)證服務(wù)器3的候補(bǔ)的處理。在此,作為用戶ID取得"userOOl",作為服務(wù)提供 服務(wù)器ID取得"sp002"。 然后,用戶信息取得部415生成確定了由信息取得請(qǐng)求處理部412取得的用戶ID 的狀況信息取得請(qǐng)求消息,經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6,把生成的狀況信息取得請(qǐng)求消息發(fā) 送給狀況服務(wù)器5(S32)。 在接收到這樣的狀況信息取得請(qǐng)求消息的狀況服務(wù)器5中,信息取得請(qǐng)求處理 505從狀況信息存儲(chǔ)區(qū)域502取得與接收到的狀況信息取得請(qǐng)求消息中包含的用戶ID(在 此為"user001")對(duì)應(yīng)的狀況信息,把包含取得的狀況信息的響應(yīng)消息回復(fù)給認(rèn)證中介服 務(wù)器4(S33)。例如,在圖20所示的狀況信息表502中,作為與用戶ID"user001 "對(duì)應(yīng)的狀 況信息,取得確定"自家"的信息。
      然后,認(rèn)證服務(wù)器選擇部413進(jìn)行認(rèn)證服務(wù)器3的選擇處理(S34)。
      例如,首先,認(rèn)證服務(wù)器選擇部413將用戶ID "user001"作為關(guān)鍵字,從用戶策略 信息存儲(chǔ)區(qū)域402中存儲(chǔ)的用戶策略信息表402a中取得策略信息(認(rèn)證服務(wù)器ID、最終認(rèn) 證時(shí)刻、優(yōu)先度、使用條件、服務(wù)提供服務(wù)器ID條件)的集合(記錄的集合),作為認(rèn)證服務(wù) 器3的候補(bǔ)組存儲(chǔ)在存儲(chǔ)部401中。例如,在圖11所示的用戶策略信息表402a中,作為與用 戶ID"user001"對(duì)應(yīng)的用戶策略信息,從表402a上取得記錄(與認(rèn)證服務(wù)器ID"idp001"、 "idp002"、"idp003"、"idp004對(duì)應(yīng)的4個(gè)記錄")。 然后,認(rèn)證服務(wù)器選擇部413將服務(wù)提供服務(wù)器ID "sp002"作為關(guān)鍵字,從服務(wù) 提供服務(wù)器請(qǐng)求信息存儲(chǔ)區(qū)域404中存儲(chǔ)的服務(wù)提供服務(wù)器請(qǐng)求信息表404a取得服務(wù)提 供服務(wù)器請(qǐng)求信息(協(xié)作認(rèn)證服務(wù)器ID、請(qǐng)求認(rèn)證等級(jí)、請(qǐng)求屬性信息)。例如,在圖12所 示的服務(wù)提供服務(wù)器請(qǐng)求信息表404a中,作為與服務(wù)提供服務(wù)器ID "sp002"對(duì)應(yīng)的服務(wù) 提供服務(wù)器請(qǐng)求信息,取得從上開(kāi)始在第二個(gè)記錄中存儲(chǔ)的協(xié)作認(rèn)證服務(wù)器ID為"*",請(qǐng) 求認(rèn)證等級(jí)為"3",請(qǐng)求屬性信息為"*"的信息。 接著,認(rèn)證服務(wù)器選擇部407進(jìn)行判定不足的認(rèn)證強(qiáng)度的處理。 首先,認(rèn)證服務(wù)器選擇部413從在認(rèn)證等級(jí)信息存儲(chǔ)區(qū)域405中存儲(chǔ)的認(rèn)證等級(jí)
      信息表405a取得與用戶ID "user001"對(duì)應(yīng)的最新(當(dāng)前)的認(rèn)證等級(jí)。在此,通過(guò)用戶
      ID "user001"識(shí)別的用戶通過(guò)圖21所示的處理,接受了 "idp002"的電子證書型認(rèn)證方式
      的認(rèn)證,所以使當(dāng)前的認(rèn)證等級(jí)為"2"。 如上所述,在從服務(wù)提供服務(wù)器請(qǐng)求消息表404a取得的服務(wù)提供服務(wù)器請(qǐng)求信 息中,因?yàn)檎?qǐng)求認(rèn)證等級(jí)為"4",所以認(rèn)證服務(wù)器選擇部413判定為認(rèn)證強(qiáng)度不足。
      然后,認(rèn)證服務(wù)器選擇部413參照認(rèn)證等級(jí)定義表407a,將通過(guò)用戶ID"userOOl" 識(shí)別的用戶的當(dāng)前的認(rèn)證等級(jí)"2"和請(qǐng)求認(rèn)證等級(jí)"4"進(jìn)行比較,判定為了滿足請(qǐng)求認(rèn)證 等級(jí)"4"而需要的認(rèn)證強(qiáng)度。例如,在圖16所示的認(rèn)證等級(jí)定義表407a中,因?yàn)檎J(rèn)證等級(jí) "2"是"通過(guò)認(rèn)證強(qiáng)度為2的認(rèn)證方式接受一次認(rèn)證"的狀態(tài),認(rèn)證等級(jí)"4"是"通過(guò)認(rèn)證 強(qiáng)度為1的認(rèn)證方式和認(rèn)證強(qiáng)度為2的認(rèn)證方式分別接受一次以上的認(rèn)證"的狀態(tài),所以如 果進(jìn)行一次的該認(rèn)證強(qiáng)度"1"的認(rèn)證,則判定為可以滿足請(qǐng)求認(rèn)證等級(jí)"4"。
      接著,認(rèn)證服務(wù)器選擇部407進(jìn)行縮小認(rèn)證服務(wù)器3的候補(bǔ)的處理。
      首先,認(rèn)證服務(wù)器選擇部407將服務(wù)提供服務(wù)器ID "sp002"作為關(guān)鍵字,從存儲(chǔ) 部401中存儲(chǔ)的認(rèn)證服務(wù)器3的候補(bǔ)組中選擇具有與從服務(wù)提供服務(wù)器請(qǐng)求信息表404a 取得的服務(wù)提供服務(wù)器請(qǐng)求信息中包含的協(xié)作認(rèn)證服務(wù)器ID —致的認(rèn)證服務(wù)器ID的認(rèn)證 服務(wù)器3。在此,因?yàn)榉?wù)提供服務(wù)器"鄧002"的協(xié)作認(rèn)證服務(wù)器的值為"*",所以作為候 補(bǔ)殘留有認(rèn)證服務(wù)器3的候補(bǔ)組內(nèi)的全部的認(rèn)證服務(wù)器3。 然后,認(rèn)證服務(wù)器選擇407從認(rèn)證服務(wù)器3的候補(bǔ)組中選擇服務(wù)提供服務(wù)器ID條 件的值包含作為信息取得請(qǐng)求消息的發(fā)送源的服務(wù)提供服務(wù)器2的服務(wù)提供服務(wù)器ID的 認(rèn)證服務(wù)器3,從候補(bǔ)組中刪除其他以外的認(rèn)證服務(wù)器3。在此,因?yàn)樽鳛樾畔⑷〉谜?qǐng)求消 息的發(fā)送源的服務(wù)提供服務(wù)器的ID "sp002"包含在除了"idp003"以外的各個(gè)記錄的服務(wù) 提供服務(wù)器ID條件中,所以在候補(bǔ)組中殘留有"idp001"、"idp002"、"idp004"。這表示在 用戶"user001"使用服務(wù)提供服務(wù)器"sp002"的服務(wù)時(shí),不希望使用認(rèn)證服務(wù)器"idp003"。
      然后,認(rèn)證服務(wù)器選擇部407從認(rèn)證服務(wù)器信息存儲(chǔ)區(qū)域403中存儲(chǔ)的認(rèn)證服務(wù)器信息表403a中取得與認(rèn)證服務(wù)器3的候補(bǔ)組中剩余的認(rèn)證服務(wù)器3的認(rèn)證服務(wù)器ID對(duì) 應(yīng)的認(rèn)證服務(wù)器信息(請(qǐng)求認(rèn)證等級(jí)、保有屬性信息),對(duì)存儲(chǔ)部401內(nèi)的候補(bǔ)組的各個(gè)認(rèn) 證服務(wù)器3進(jìn)行追加(對(duì)各個(gè)認(rèn)證服務(wù)器3進(jìn)行關(guān)聯(lián))。 然后,認(rèn)證服務(wù)器選擇部407在認(rèn)證服務(wù)器3的候補(bǔ)組的認(rèn)證服務(wù)器3中,從認(rèn)證 強(qiáng)度信息存儲(chǔ)區(qū)域406中存儲(chǔ)的認(rèn)證強(qiáng)度信息表406a中僅選擇認(rèn)證強(qiáng)度與上述那樣進(jìn)行 了判定的不足的認(rèn)證強(qiáng)度一致,并且保有屬性信息與請(qǐng)求屬性信息一致的認(rèn)證服務(wù)器3。
      在此,因?yàn)椴蛔愕恼J(rèn)證強(qiáng)度為"1",作為請(qǐng)求屬性信息指定了"*",所以在認(rèn)證強(qiáng) 度信息表406a以及認(rèn)證服務(wù)器信息表403a中,作為適合這些的認(rèn)證服務(wù)器3,在候補(bǔ)組中 殘留有"idpOOl"以及"idp004"。關(guān)于認(rèn)證服務(wù)器"idp002",因?yàn)檎J(rèn)證強(qiáng)度為"2",所以被 從候補(bǔ)組中刪除。 然后,認(rèn)證服務(wù)器選擇部407僅選擇在候補(bǔ)組中剩余的認(rèn)證服務(wù)器3內(nèi)的、使用條 件的值與在步驟S33中取得的用戶的狀況信息一致的認(rèn)證服務(wù)器3,將不一致的認(rèn)證服務(wù) 器3從候補(bǔ)組中刪除。在此,作為狀況信息得到了確定"自家"的信息,所以在候補(bǔ)組中剩 余候補(bǔ)組內(nèi)的、使用條件與"自家"或"*"(表示沒(méi)有指定使用條件) 一致的"idp001"。
      然后,認(rèn)證服務(wù)器選擇部407殘留有候補(bǔ)組中優(yōu)先度最高的候補(bǔ),將其他的候補(bǔ) 從候補(bǔ)組中刪除。在此,因?yàn)楹蜓a(bǔ)僅為"idp001",所以不進(jìn)行候補(bǔ)組的縮小。
      然后,認(rèn)證服務(wù)器選擇部407在候補(bǔ)組內(nèi)選擇最終認(rèn)證時(shí)刻最早的候補(bǔ)。在此,因 為候補(bǔ)僅為"idp001 ",所以不進(jìn)行候補(bǔ)組的縮小。 對(duì)于在該階段作為候補(bǔ)被選擇的認(rèn)證服務(wù)器3,用當(dāng)前的時(shí)刻置換在用戶策略存 儲(chǔ)區(qū)域402中存儲(chǔ)的用戶策略信息表402a的最終認(rèn)證時(shí)刻欄402d的值。在此,用當(dāng)前時(shí) 刻來(lái)改寫"idp001"的最終認(rèn)證時(shí)刻欄。 到此為止,步驟S15的認(rèn)證服務(wù)器3的選擇處理結(jié)束。 然后,認(rèn)證服務(wù)器選擇部413從提供認(rèn)證強(qiáng)度信息存儲(chǔ)區(qū)域406中存儲(chǔ)的提供認(rèn) 證強(qiáng)度信息表406a的提供URI欄406e取得作為候補(bǔ)被選擇的認(rèn)證服務(wù)器3A提供的認(rèn)證 方式的提供URI,生成包含用于確定取得的提供URI的信息的響應(yīng)消息(針對(duì)信息取得請(qǐng)求 消息),然后發(fā)送給服務(wù)提供服務(wù)器2B (S35)。在此,向服務(wù)提供服務(wù)器2B發(fā)送認(rèn)證服務(wù)器 ID "idp001"提供的ID/PW認(rèn)證方式的提供URI "https:〃idp001/passwd/"。
      服務(wù)提供服務(wù)器2B當(dāng)從認(rèn)證中介服務(wù)器4接收到針對(duì)信息取得消息的響應(yīng)消息 時(shí),認(rèn)證服務(wù)器信息取得部207從接收到的響應(yīng)消息中取得提供URI,認(rèn)證請(qǐng)求處理部208 經(jīng)由終端裝置1對(duì)提供URI發(fā)送認(rèn)證請(qǐng)求消息(S37、 S38)。 認(rèn)證服務(wù)器3A的認(rèn)證執(zhí)行部307在與用戶使用的終端裝置1之間執(zhí)行認(rèn)證處理 (S38)。在此,認(rèn)證執(zhí)行部307經(jīng)由收發(fā)部314以及網(wǎng)絡(luò)6對(duì)終端裝置1請(qǐng)求并取得用戶ID 以及密碼。 然后,認(rèn)證執(zhí)行部307將取得的用戶ID作為關(guān)鍵字,檢索在用戶屬性信息欄303c 中存儲(chǔ)的用戶屬性信息表303a,根據(jù)在對(duì)應(yīng)的屬性欄303c中存儲(chǔ)的密碼和取得的密碼是 否對(duì)應(yīng)來(lái)確認(rèn)取得的用戶ID以及密碼的正當(dāng)性(在此,作為用戶ID以及密碼為正當(dāng)來(lái)進(jìn) 行說(shuō)明),認(rèn)證結(jié)果生成部308生成表示用戶認(rèn)證成功的認(rèn)證結(jié)果消息,經(jīng)由終端裝置1間 接地發(fā)送給服務(wù)提供服務(wù)器2B(S39、 S40)。 在服務(wù)提供服務(wù)器2B中,當(dāng)從認(rèn)證服務(wù)器3A接收到認(rèn)證結(jié)果消息時(shí),認(rèn)證請(qǐng)求處理部208從接收到的認(rèn)證結(jié)果消息中取得確定認(rèn)證結(jié)果的信息,確認(rèn)認(rèn)證結(jié)果的正當(dāng)性(S41)。 根據(jù)對(duì)認(rèn)證結(jié)果進(jìn)行驗(yàn)證的結(jié)果,當(dāng)可以確認(rèn)用戶的正當(dāng)性時(shí),認(rèn)證服務(wù)器信息取得部207生成傳達(dá)所述提供URI提供的認(rèn)證方式下的認(rèn)證成功的信息取得請(qǐng)求消息,然后經(jīng)由收發(fā)部213以及網(wǎng)絡(luò)6,向認(rèn)證中介服務(wù)器4發(fā)送(S42)。 然后,在認(rèn)證中介服務(wù)器4中,當(dāng)經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6接收到信息取得請(qǐng)求消息時(shí),信息取得請(qǐng)求處理部412取得接收到的信息取得請(qǐng)求消息中包含的用戶ID以及服務(wù)提供服務(wù)器ID,轉(zhuǎn)移到選擇認(rèn)證服務(wù)器3的候補(bǔ)的處理(S43)。 在此,在認(rèn)證服務(wù)器選擇部413中,根據(jù)在上述的步驟S15中,通過(guò)用戶ID "user001"識(shí)別的用戶的當(dāng)前認(rèn)證等級(jí)被更新為"4"的結(jié)果,判定為不需要追加的認(rèn)證,生成不包含提供URI,包含用戶ID "user001"的響應(yīng)消息,經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6,向服務(wù)提供服務(wù)器2B發(fā)送(S44)。 在步驟S44發(fā)送的響應(yīng)消息中包含在ID信息存儲(chǔ)區(qū)域408中存儲(chǔ)的ID信息(針對(duì)服務(wù)提供服務(wù)器2B的服務(wù)固有用戶ID)和在屬性信息存儲(chǔ)區(qū)域409中存儲(chǔ)的屬性信息(與服務(wù)提供服務(wù)器2B請(qǐng)求的請(qǐng)求屬性信息對(duì)應(yīng)的屬性信息)。 在服務(wù)提供服務(wù)器2B中,當(dāng)從認(rèn)證中介服務(wù)器4接收到響應(yīng)消息時(shí),認(rèn)證請(qǐng)求處理部208從該響應(yīng)消息中取得用戶ID,并且對(duì)話管理部206新生成對(duì)話ID,在對(duì)話信息存儲(chǔ)區(qū)域202中存儲(chǔ)的對(duì)話信息表202a中存儲(chǔ)該用戶ID和該對(duì)話ID的組,服務(wù)提供部205對(duì)終端裝置1提供請(qǐng)求的服務(wù)(S45)。 在服務(wù)提供服務(wù)器2B中,可以在提供服務(wù)時(shí)使用在步驟S44發(fā)送來(lái)的ID信息以及屬性信息。 圖23是表示服務(wù)提供服務(wù)器2的處理的流程圖。 首先,服務(wù)提供服務(wù)器2的服務(wù)通信部209經(jīng)由收發(fā)部213以及網(wǎng)絡(luò)6從終端裝置1接收到服務(wù)請(qǐng)求消息時(shí)(S50中Yes),對(duì)話管理部206確認(rèn)在接收到的服務(wù)請(qǐng)求消息中是否包含對(duì)話ID(S51)。然后,在包含對(duì)話ID的情況下(在S51中為Yes)進(jìn)入到步驟S52,在不包含對(duì)話ID時(shí)(在S51中為No)進(jìn)入到步驟S53。 在步驟S52中,對(duì)話管理部205確定在對(duì)話信息存儲(chǔ)區(qū)域502中存儲(chǔ)的對(duì)話信息表202a中是否存在與在步驟S51中確認(rèn)的對(duì)話ID對(duì)應(yīng)的記錄。在存在這樣的記錄時(shí)(在S52中為Yes)進(jìn)入步驟S65,在不存在這樣的記錄時(shí)(在S52中為No)進(jìn)入步驟S53。
      在步驟S65中,對(duì)話管理部206判斷與取得的對(duì)話ID對(duì)應(yīng)的對(duì)話有效,服務(wù)提供部204對(duì)作為服務(wù)請(qǐng)求消息的發(fā)送源的終端裝置1提供服務(wù)。 另一方面,在步驟S53中,對(duì)話管理部206判斷對(duì)話無(wú)效,認(rèn)證服務(wù)器信息取得部207生成確定了在步驟S50中接收到的服務(wù)請(qǐng)求消息中包含的用戶ID以及自身裝置的服務(wù)提供服務(wù)器ID的信息取得消息。 然后,認(rèn)證服務(wù)器信息取得部207向認(rèn)證中介服務(wù)器4發(fā)送生成的信息取得消息(S54),等待接收響應(yīng)(S55)。 當(dāng)從認(rèn)證中介服務(wù)器4接收到針對(duì)信息取得消息的響應(yīng)時(shí)(在S55中為Yes),認(rèn)證服務(wù)器信息取得部207確認(rèn)在接收到的響應(yīng)消息中是否包含提供URI (S56)。然后,在接收到的響應(yīng)消息中包含提供URI時(shí)(在S56中為Yes)進(jìn)入步驟S57,在接收到的響應(yīng)消息中不包含提供URI時(shí)(在S56中為No)進(jìn)入步驟S63。 在步驟S57中,認(rèn)證請(qǐng)求處理部208判斷為還需要進(jìn)一步的認(rèn)證,經(jīng)由終端裝置1對(duì)通過(guò)在步驟S56中確認(rèn)的提供URI確定的認(rèn)證服務(wù)器3發(fā)送認(rèn)證請(qǐng)求消息(S57),等待接收響應(yīng)(S58)。 當(dāng)從認(rèn)證服務(wù)器3接收到針對(duì)認(rèn)證請(qǐng)求消息的響應(yīng)消息時(shí)(在S58中為Yes),認(rèn)證請(qǐng)求處理部208從接收到的響應(yīng)消息中取得確定認(rèn)證結(jié)果的信息(S59),確認(rèn)認(rèn)證結(jié)果的正當(dāng)性(S60)。 根據(jù)對(duì)認(rèn)證結(jié)果進(jìn)行驗(yàn)證后的結(jié)果,在可以確認(rèn)用戶的正當(dāng)性時(shí)(在S60中為Yes),為了向認(rèn)證中介服務(wù)器4通知可以確認(rèn)用戶的正當(dāng)性,生成包含在步驟S56中確認(rèn)的提供URI、表示認(rèn)證成功的信息、以及在步驟S59中取得的認(rèn)證結(jié)果中包含的用戶的屬性信息的信息取得消息(步驟S61),返回步驟S54,重復(fù)進(jìn)行處理。 另一方面,根據(jù)對(duì)認(rèn)證結(jié)果進(jìn)行驗(yàn)證后的結(jié)果,在無(wú)法確認(rèn)用戶的正當(dāng)性時(shí)(在S60中為No),為了向認(rèn)證中介服務(wù)器4通知無(wú)法確認(rèn)用戶的正當(dāng)性,生成包含在步驟S56中確認(rèn)的提供URI、表示認(rèn)證失敗的信息的信息取得消息(S62),返回步驟S54重復(fù)進(jìn)行處理。 此外,當(dāng)在步驟S56中不包含提供URI時(shí),認(rèn)證服務(wù)器信息取得部207確認(rèn)在步驟S55中接收到的響應(yīng)消息是否為錯(cuò)誤消息(S63)。當(dāng)在步驟S55中接收到的響應(yīng)消息是錯(cuò)誤消息時(shí)(在S63中為Yes),不向終端裝置1提供服務(wù)而結(jié)束處理,當(dāng)在步驟S55中接收到的響應(yīng)消息不是錯(cuò)誤消息時(shí)(在S63中為No),進(jìn)入到步驟S64。 在步驟S64中,認(rèn)證服務(wù)器信息取得部207在判斷為不需要進(jìn)一步的認(rèn)證時(shí),認(rèn)證請(qǐng)求處理部208從針對(duì)信息取得消息的響應(yīng)消息中取得服務(wù)提供服務(wù)器2中的用戶的識(shí)別信息(服務(wù)固有用戶ID)、屬性信息,并且對(duì)話管理部206新生成對(duì)話ID,在對(duì)話信息存儲(chǔ)區(qū)域202中存儲(chǔ)的對(duì)話信息表202a中存儲(chǔ)該識(shí)別消息(用戶ID)和該對(duì)話ID的組。
      然后,服務(wù)提供部205對(duì)終端裝置1提供服務(wù)(S65)。在此,服務(wù)提供部205在提供服務(wù)時(shí),可以使用在步驟S64中取得的用戶的識(shí)別信息(服務(wù)固有用戶ID)以及屬性信息來(lái)提供服務(wù)。 圖24是表示認(rèn)證服務(wù)器3的處理的流程圖。 首先,在認(rèn)證服務(wù)器3中,當(dāng)經(jīng)由收發(fā)部314以及網(wǎng)絡(luò)6接收到用戶認(rèn)證請(qǐng)求時(shí)(在S70中為Yes),對(duì)話管理部308確認(rèn)在接收到的用戶認(rèn)證請(qǐng)求消息中是否包含對(duì)話ID(S71)。然后,在包含對(duì)話ID的情況下(在S71中為Yes),進(jìn)入到步驟S72,在不包含對(duì)話ID的情況下(在S71中為No)進(jìn)入到步驟S73。 在步驟S72中,對(duì)話管理部308通過(guò)確認(rèn)在對(duì)話信息存儲(chǔ)區(qū)域302中存儲(chǔ)的對(duì)話信息表302a中是否存在與步驟S71中確認(rèn)的對(duì)話ID對(duì)應(yīng)的記錄,來(lái)判斷對(duì)話是否有效。
      然后,對(duì)話管理部308在可以從對(duì)話信息表302a取得與用戶認(rèn)證請(qǐng)求消息中包含的對(duì)話ID相關(guān)聯(lián)的連接目的地ID時(shí),判斷為對(duì)話有效(在S72中為Yes)并進(jìn)入步驟S76,在無(wú)法從對(duì)話信息表302a取得與用戶認(rèn)證請(qǐng)求消息中包含的對(duì)話ID相關(guān)聯(lián)的連接目的地ID時(shí),判斷為對(duì)話無(wú)效(在S72中為No)并進(jìn)入步驟S73。 在步驟S73中,認(rèn)證執(zhí)行部307對(duì)終端裝置1執(zhí)行認(rèn)證處理。例如,認(rèn)證執(zhí)行部307對(duì)終端裝置1請(qǐng)求用戶ID和密碼的組,通過(guò)將其與用戶屬性信息存儲(chǔ)區(qū)域303中存儲(chǔ)的用戶屬性信息表303a中存儲(chǔ)的用戶ID以及密碼進(jìn)行比較,可以認(rèn)證用戶的本人性(正 當(dāng)性)。 此外,作為其他的例子,認(rèn)證執(zhí)行部307,向終端裝置1發(fā)送隨機(jī)數(shù)列,使用在用戶 屬性存儲(chǔ)區(qū)域303中存儲(chǔ)的終端裝置1的電子證書(公開(kāi)密鑰)來(lái)驗(yàn)證從該終端裝置1回 復(fù)的信息是通過(guò)終端裝置1保有的秘密密鑰計(jì)算出的信息,由此可以實(shí)現(xiàn)用戶認(rèn)證。
      然后,認(rèn)證執(zhí)行部307通過(guò)步驟S73的認(rèn)證處理確認(rèn)認(rèn)證是否成功(S74)。然后, 在認(rèn)證成功時(shí)(在S74中為Yes)進(jìn)入到步驟S75,在認(rèn)證失敗時(shí)(在S74中為No)進(jìn)入到 步驟S77。 在步驟S75中,對(duì)話管理部309新生成對(duì)話ID,在對(duì)話信息存儲(chǔ)區(qū)域302中存儲(chǔ) 的對(duì)話信息表302a中存儲(chǔ)作為步驟S73的認(rèn)證結(jié)果而得到的用戶ID、生成的對(duì)話ID的組 (S75)。 然后,在步驟S76中,認(rèn)證結(jié)果生成部308生成表示用戶的認(rèn)證成功的認(rèn)證結(jié)果消 息,經(jīng)由收發(fā)部314以及網(wǎng)絡(luò)6,將生成的認(rèn)證結(jié)果消息經(jīng)由終端裝置1間接地發(fā)送給作為 用戶認(rèn)證請(qǐng)求消息的發(fā)送源的服務(wù)提供服務(wù)器2。在在此發(fā)送的認(rèn)證結(jié)果消息中,作為用戶 ID存儲(chǔ)與對(duì)話ID相關(guān)聯(lián)的連接目的地ID。此外,在該認(rèn)證結(jié)果消息中包含由該認(rèn)證服務(wù) 器3進(jìn)行管理的、通過(guò)所述用戶ID識(shí)別的用戶的屬性信息。 另一方面,在步驟S77中,認(rèn)證結(jié)果生成部308生成表示用戶認(rèn)證失敗而結(jié)束的認(rèn) 證結(jié)果消息,經(jīng)由收發(fā)部314以及網(wǎng)絡(luò)6,將該認(rèn)證結(jié)果消息經(jīng)由終端裝置1間接地發(fā)送給 作為用戶認(rèn)證請(qǐng)求消息的發(fā)送源的服務(wù)提供服務(wù)器2。 在上述的處理中,可以在進(jìn)行認(rèn)證之間(S73之前),或者在發(fā)送認(rèn)證結(jié)果之前 (S76之前),對(duì)終端裝置1通知向服務(wù)提供服務(wù)器2發(fā)送認(rèn)證結(jié)果的主旨。
      圖25是表示終端裝置1的處理的流程圖。 首先,當(dāng)終端裝置1的服務(wù)使用部106經(jīng)由輸入部115從用戶接收到針對(duì)服務(wù)提 供服務(wù)器2的服務(wù)利用請(qǐng)求時(shí)(在S80中為Yes),服務(wù)請(qǐng)求生成部107生成確定了用戶ID 的服務(wù)請(qǐng)求消息,服務(wù)通信部108經(jīng)由收發(fā)部117以及網(wǎng)絡(luò)6向服務(wù)提供服務(wù)器2發(fā)送生 成的服務(wù)請(qǐng)求消息(S81),并等待接收響應(yīng)(S82)。在此,可以在服務(wù)請(qǐng)求消息中包含用戶 希望使用的認(rèn)證中介服務(wù)器4的ID。 當(dāng)從服務(wù)提供服務(wù)器2接收到針對(duì)服務(wù)利用請(qǐng)求消息的應(yīng)答消息時(shí)(在S82中 為Yes),服務(wù)通信部108確認(rèn)該應(yīng)答消息的內(nèi)容,確認(rèn)該響應(yīng)消息是否為應(yīng)該對(duì)認(rèn)證中介 服務(wù)器4傳輸?shù)男畔⑷〉孟?S83)。在此,如在文獻(xiàn)2中記載的SAML Web SSO Profile 或在文獻(xiàn)3中記載的0penlD Authentication那樣,在終端裝置1、服務(wù)提供服務(wù)器2、認(rèn)證 中介服務(wù)器4可以使用HTTP或HTTPS可以進(jìn)行通信時(shí),可以利用HTTP重定向的功能,不判 定該響應(yīng)消息是否為信息取得消息而向通過(guò)響應(yīng)消息內(nèi)的Location頭部表示的URL發(fā)送 HTTP請(qǐng)求。此時(shí),可以認(rèn)為該響應(yīng)消息是否為信息取得消息與通過(guò)該Location頭部表示的 URL是否等于認(rèn)證中介服務(wù)器的URL是等價(jià)的。 然后,當(dāng)在步驟S82中取得的響應(yīng)消息不是信息取得消息時(shí)(在S83中為No),進(jìn) 入步驟S89。另一方面,在該響應(yīng)消息是信息取得消息時(shí)(在S83中為Yes),進(jìn)入步驟S84。
      在步驟S84中,服務(wù)通信部108向認(rèn)證中介服務(wù)器4傳輸該響應(yīng)消息(信息取得 消息)(S84),等待接收響應(yīng)(S85)。
      27
      然后,服務(wù)通信部108當(dāng)從認(rèn)證中介服務(wù)器4接收到響應(yīng)消息時(shí)(在S85中為 Yes),向服務(wù)提供服務(wù)器傳輸該響應(yīng)消息(S86)。 然后,服務(wù)通信部108當(dāng)在步驟S86中傳輸?shù)捻憫?yīng)消息是錯(cuò)誤消息時(shí)(在S87中 為Yes)結(jié)束處理,在不是錯(cuò)誤消息時(shí)(在S52中為No)等待向在步驟S86中傳輸?shù)南⒌?響應(yīng)(S88)。 然后,當(dāng)從服務(wù)提供服務(wù)器2接收到響應(yīng)時(shí)(在S88中為Yes),進(jìn)入到步驟S89。
      在步驟S89中,服務(wù)通信部108確認(rèn)響應(yīng)消息是否為應(yīng)該對(duì)認(rèn)證服務(wù)器3傳輸?shù)?認(rèn)證請(qǐng)求消息。在此,如在文獻(xiàn)2中記載的SAML Web SSO Profile或在文獻(xiàn)3中記載的 OpenID Authentication那樣,在終端裝置1、服務(wù)提供服務(wù)器2以及認(rèn)證服務(wù)器3可以使 用HTTP或HTTPS進(jìn)行通信的情況下,可以利用HTTP重定向的功能,不判定該響應(yīng)消息是否 為認(rèn)證請(qǐng)求消息而向通過(guò)響應(yīng)消息內(nèi)的Location頭部表示的URL發(fā)送HTTP請(qǐng)求。此時(shí), 可以認(rèn)為該響應(yīng)消息是否為認(rèn)證請(qǐng)求消息與通過(guò)該Location頭部表示的URL是否等于認(rèn) 證服務(wù)器的URL是等價(jià)的。 在響應(yīng)消息不是認(rèn)證請(qǐng)求消息時(shí)(在S89中為No),享受來(lái)自服務(wù)提供服務(wù)器2的 服務(wù)(S90)。通過(guò)在認(rèn)證中介服務(wù)器4中登錄從服務(wù)提供服務(wù)器2接受服務(wù)提供時(shí)所需要 的信息(服務(wù)固有用戶ID或?qū)傩孕畔?,能夠在接受服務(wù)的提供時(shí)不需要追加取得該需要 的信息。 另一方面,在響應(yīng)消息不是認(rèn)證請(qǐng)求消息時(shí)(在S89中為Yes),向認(rèn)證服務(wù)器3傳 輸該響應(yīng)消息(認(rèn)證請(qǐng)求消息)(S91)。 然后,當(dāng)從認(rèn)證服務(wù)器3請(qǐng)求執(zhí)行認(rèn)證處理時(shí),認(rèn)證處理部109恰當(dāng)?shù)厥褂幂斎氩?115以及輸出部116,執(zhí)行對(duì)應(yīng)的認(rèn)證處理(S92)。例如,在從認(rèn)證服務(wù)器3請(qǐng)求用戶ID和 密碼的組時(shí),認(rèn)證處理部109請(qǐng)求用戶輸入用戶ID和密碼的組,將取得的用戶ID和密碼的 組經(jīng)由收發(fā)部117以及網(wǎng)絡(luò)6,發(fā)送給認(rèn)證服務(wù)器3。 然后,認(rèn)證處理部109判斷步驟S92中的認(rèn)證處理是否成功(S93),在沒(méi)有成功時(shí) (在S93中為No),S卩,在對(duì)于認(rèn)證服務(wù)器3無(wú)法證明用戶的本人性(正當(dāng)性)時(shí),服務(wù)使用 部106在輸出部116顯示對(duì)用戶表示認(rèn)證失敗的錯(cuò)誤消息(s94),不享受服務(wù)而結(jié)束處理。
      另一方面,在認(rèn)證處理成功時(shí)(在S93中為Yes),即,在對(duì)于認(rèn)證服務(wù)器3能夠證 明用戶的本人性(正當(dāng)性)時(shí),對(duì)話管理部110使從認(rèn)證服務(wù)器3作為響應(yīng)而返回的認(rèn)證 結(jié)果消息中包含的對(duì)話ID與認(rèn)證服務(wù)器3的ID相關(guān)聯(lián),并將其存儲(chǔ)在對(duì)話信息存儲(chǔ)區(qū)域 102中存儲(chǔ)的對(duì)話信息表102a中(S95)。 然后,認(rèn)證處理部109向服務(wù)提供服務(wù)器2傳輸從認(rèn)證服務(wù)器3作為響應(yīng)而返回 的認(rèn)證結(jié)果消息(S96),返回到步驟S82,重復(fù)處理。
      圖26是表示認(rèn)證中介服務(wù)器4的處理的流程圖。 首先,認(rèn)證中介服務(wù)器4當(dāng)經(jīng)由收發(fā)部420以及網(wǎng)絡(luò)6接收到信息取得請(qǐng)求消息 時(shí)(在S100中為Yes),信息取得請(qǐng)求處理部412取得在所得到的信息取得請(qǐng)求消息中包含 的用戶ID以及服務(wù)提供ID(S101)。在此,關(guān)于用戶ID,未必需要作為信息取得請(qǐng)求消息的 參數(shù)而包含有用戶ID,如文獻(xiàn)3中的OpenID那樣,可以將接收到該消息的認(rèn)證中介服務(wù)器 的URL作為用戶ID使用,還可以請(qǐng)求終端裝置l來(lái)輸入。 然后,用戶信息取得部415把確定了在步驟S101中取得的用戶ID的用戶信息取得請(qǐng)求,經(jīng)由收發(fā)部211以及網(wǎng)絡(luò)6,發(fā)送給狀況服務(wù)器5,由此從狀況服務(wù)器5取得通過(guò)該 用戶ID確定的用戶的狀況信息(S102)。當(dāng)在網(wǎng)絡(luò)6上存在對(duì)與狀況類似的用戶信息進(jìn)行 管理的服務(wù)器時(shí),可以從該服務(wù)器取得用戶信息。 然后,認(rèn)證服務(wù)器選擇部413把在步驟S101中取得的用戶ID作為關(guān)鍵字,從在 用戶策略信息存儲(chǔ)區(qū)域402中存儲(chǔ)的用戶策略信息表402a中取得通過(guò)該用戶ID確定的 用戶的策略信息(認(rèn)證服務(wù)器ID、最終認(rèn)證時(shí)刻、優(yōu)先度、使用條件、服務(wù)提供服務(wù)器ID條 件)的記錄的集合,將該策略信息的集合作為認(rèn)證服務(wù)器3的候補(bǔ)組存儲(chǔ)在存儲(chǔ)部401中 (S103)。 然后,認(rèn)證服務(wù)器選擇部413把在步驟S101中取得的服務(wù)提供服務(wù)器ID作為關(guān) 鍵字,檢索在服務(wù)提供服務(wù)器請(qǐng)求信息存儲(chǔ)區(qū)域404中存儲(chǔ)的服務(wù)提供服務(wù)器請(qǐng)求信息表 404a,取得通過(guò)該服務(wù)提供服務(wù)器ID確定的服務(wù)提供服務(wù)器請(qǐng)求信息(協(xié)作認(rèn)證服務(wù)器 ID、請(qǐng)求認(rèn)證等級(jí)、請(qǐng)求屬性信息)的記錄(S104)。 然后,認(rèn)證服務(wù)器選擇部413確認(rèn)在步驟S100中接收到的信息提供請(qǐng)求消息中是 否包含提供URI (S105)。然后,當(dāng)在信息提供請(qǐng)求消息中包含有提供URI時(shí)(在S105中為 Yes),進(jìn)入到步驟S106,當(dāng)在信息提供請(qǐng)求消息中不包含提供URI時(shí)(在S105中為No),進(jìn) 入步驟SllO。 在步驟S106中,認(rèn)證服務(wù)器選擇部413確認(rèn)在信息提供請(qǐng)求消息中是否包含表示 認(rèn)證成功的信息。然后,當(dāng)在信息提供請(qǐng)求消息中包含有表示認(rèn)證成功的消息時(shí)(在S106 中為Yes),進(jìn)入到步驟S107,當(dāng)在信息提供請(qǐng)求消息中不包含表示認(rèn)證成功的消息時(shí)(在 S106中為No),進(jìn)入到步驟S109。 在步驟S107中,認(rèn)證服務(wù)器選擇部413更新認(rèn)證等級(jí)信息存儲(chǔ)區(qū)域405的認(rèn)證等 級(jí)信息表405a。 S卩,把在步驟SIOI中取得的用戶ID作為關(guān)鍵字檢索認(rèn)證等級(jí)信息表405a, 取得通過(guò)該用戶ID確定的記錄的認(rèn)證等級(jí),把在步驟S105中確認(rèn)的提供URI作為關(guān)鍵字, 從提供認(rèn)證強(qiáng)度信息存儲(chǔ)區(qū)域406中存儲(chǔ)的提供認(rèn)證強(qiáng)度信息表406a取得該提供URI提 供的認(rèn)證方式的認(rèn)證強(qiáng)度,參照在認(rèn)證等級(jí)定義信息存儲(chǔ)區(qū)域407中存儲(chǔ)的認(rèn)證等級(jí)定義 信息表407a的定義確定新的認(rèn)證等級(jí),更新認(rèn)證等級(jí)信息表405a的與在步驟S101中取得 的用戶ID對(duì)應(yīng)的認(rèn)證等級(jí)欄405c。 然后,身份變換部416更新在屬性信息存儲(chǔ)區(qū)域409中存儲(chǔ)的屬性信息表 409a(S108)。 S卩,把在步驟SIOI中取得的用戶ID作為關(guān)鍵字檢索屬性信息表409a,作為通 過(guò)該用戶ID確定的用戶的屬性值,來(lái)存儲(chǔ)在步驟SIOO中取得的信息提供請(qǐng)求消息中包含 的屬性值。 在步驟S109中,認(rèn)證服務(wù)器選擇部413從在步驟S103中存儲(chǔ)的認(rèn)證服務(wù)器3的 候補(bǔ)組中刪除與在步驟S105中確認(rèn)的提供URI對(duì)應(yīng)的認(rèn)證服務(wù)器3。 在步驟S110中,認(rèn)證服務(wù)器選擇部413判斷是否需要追加的認(rèn)證(S410)。首先,認(rèn) 證服務(wù)器選擇部413把在步驟S101中取得的用戶ID作為關(guān)鍵字,從認(rèn)證等級(jí)信息表405a 取得通過(guò)該用戶ID確定的用戶的當(dāng)前認(rèn)證等級(jí)。然后,將取得的當(dāng)前認(rèn)證等級(jí),與在步驟 S104中取得的服務(wù)提供服務(wù)器請(qǐng)求信息中包含的請(qǐng)求認(rèn)證等級(jí)進(jìn)行比較,確認(rèn)認(rèn)證強(qiáng)度是 否不足。 在此,在認(rèn)證強(qiáng)度并非不足時(shí),在步驟S110中判斷為不需要追加的認(rèn)證(在S110中為No),進(jìn)入到步驟Slll。另一方面,在認(rèn)證強(qiáng)度不足時(shí),在步驟S110中判斷為需要追加的認(rèn)證(在S110中為Yes),進(jìn)入到步驟S112。 在步驟Slll中,身份變換部416把在步驟S101中取得的用戶ID以及服務(wù)提供服務(wù)器ID作為關(guān)鍵字檢索在ID信息存儲(chǔ)區(qū)域408中存儲(chǔ)的ID信息表408a,在通過(guò)該服務(wù)提供服務(wù)器ID確定的服務(wù)提供服務(wù)器2中,取得通過(guò)該用戶ID確定的用戶所使用的用戶的識(shí)別信息(服務(wù)固有用戶ID)。然后,身份變換部416把在步驟S101中取得的服務(wù)提供服務(wù)器ID作為關(guān)鍵字,檢索服務(wù)提供服務(wù)器請(qǐng)求信息表404a,取得通過(guò)該服務(wù)提供服務(wù)器ID確定的服務(wù)提供服務(wù)器2所需要的請(qǐng)求屬性信息。接著,身份變換部416把取得的請(qǐng)求屬性信息以及在步驟SIOI中取得的用戶ID作為關(guān)鍵字,檢索屬性信息表409a,取得通過(guò)該用戶ID確定的用戶的屬性信息。并且,在身份變換部416生成了包含取得的服務(wù)固有用戶信息和屬性信息的信息取得響應(yīng)消息時(shí),認(rèn)證服務(wù)器選擇部413向服務(wù)提供服務(wù)器2直接,或者經(jīng)由終端裝置1間接地發(fā)送信息取得響應(yīng)消息,然后結(jié)束處理。 另一方面,在步驟S112中,認(rèn)證服務(wù)器選擇部413進(jìn)行縮小認(rèn)證服務(wù)器3的候補(bǔ)的處理。 首先,認(rèn)證服務(wù)器選擇部413從在步驟S103中存儲(chǔ)的認(rèn)證服務(wù)器3的候補(bǔ)組中剩余認(rèn)證服務(wù)器ID與協(xié)作認(rèn)證服務(wù)器ID (在步驟S104中作為服務(wù)提供服務(wù)器2的信息而取得) 一致的認(rèn)證服務(wù)器3,并且從候補(bǔ)組中刪除不一致的認(rèn)證服務(wù)器3。在該協(xié)作認(rèn)證服務(wù)器ID的值為"*"時(shí),作為候補(bǔ)剩余候補(bǔ)組內(nèi)的全部的認(rèn)證服務(wù)器。 接著,認(rèn)證服務(wù)器選擇部413從認(rèn)證服務(wù)器3的候補(bǔ)組中僅選擇服務(wù)提供服務(wù)器ID條件的值包含作為信息取得請(qǐng)求消息的發(fā)送源的服務(wù)提供服務(wù)器2的服務(wù)提供服務(wù)器ID的認(rèn)證服務(wù)器,并從候補(bǔ)組中刪除其他的認(rèn)證服務(wù)器。在該服務(wù)提供服務(wù)器ID條件的值為"*"時(shí),作為候補(bǔ)剩余候補(bǔ)組內(nèi)的全部的認(rèn)證服務(wù)器。 并且,認(rèn)證服務(wù)器選擇部413對(duì)于在認(rèn)證服務(wù)器的候補(bǔ)組中剩余的各個(gè)候補(bǔ),從認(rèn)證服務(wù)器信息存儲(chǔ)區(qū)域403中存儲(chǔ)的認(rèn)證服務(wù)器信息表403a中取得認(rèn)證服務(wù)器信息(對(duì)應(yīng)認(rèn)證方式、保有屬性信息),并追加在存儲(chǔ)部401內(nèi)的候補(bǔ)組中。 然后,認(rèn)證服務(wù)器選擇部413對(duì)于在認(rèn)證服務(wù)器3的候補(bǔ)組中剩余的各個(gè)候補(bǔ),從存儲(chǔ)部401內(nèi)的提供認(rèn)證強(qiáng)度信息表406a中取得與各個(gè)候補(bǔ)對(duì)應(yīng)的認(rèn)證強(qiáng)度、提供URI,并追加在存儲(chǔ)部401內(nèi)的候補(bǔ)組中。 然后,認(rèn)證服務(wù)器選擇部413在候補(bǔ)組內(nèi)的認(rèn)證服務(wù)器3中,僅剩余包含提供不足的認(rèn)證強(qiáng)度(在步驟S110中確定的認(rèn)證強(qiáng)度)的認(rèn)證方式,并且保有屬性信息包含請(qǐng)求屬性信息(在步驟S104中作為服務(wù)提供服務(wù)器請(qǐng)求信息取得的請(qǐng)求屬性信息)的認(rèn)證服務(wù)器,并且從候補(bǔ)組中刪除不一致的認(rèn)證服務(wù)器。同樣地,在請(qǐng)求屬性信息的值為"*"時(shí),保有屬性信息的值不會(huì)對(duì)候補(bǔ)組的縮小造成影響。 然后,認(rèn)證服務(wù)器選擇部413在候補(bǔ)組內(nèi)的認(rèn)證服務(wù)器中,僅剩余使用條件的值與在步驟S102中取得的狀況信息相匹配的認(rèn)證服務(wù)器,并且從候補(bǔ)組中刪除不匹配的認(rèn)證服務(wù)器。在該使用條件的值為"*"時(shí),作為候補(bǔ)剩余候補(bǔ)組內(nèi)的全部的認(rèn)證服務(wù)器。
      然后,認(rèn)證服務(wù)器選擇部413確認(rèn)在候補(bǔ)組內(nèi)是否剩余認(rèn)證服務(wù)器的候補(bǔ)(S113)。然后,在沒(méi)有剩余候補(bǔ)時(shí)(在步驟S112中為No)進(jìn)入到步驟S114,在剩余候補(bǔ)時(shí)(在步驟S112中為Yes)進(jìn)入步驟S115。
      30
      在步驟S114中,認(rèn)證服務(wù)器選擇部413直接或者經(jīng)由終端裝置1間接地向服務(wù)提 供服務(wù)器2發(fā)送表示不存在可以使用的認(rèn)證服務(wù)器3的錯(cuò)誤消息,然后結(jié)束處理。
      另一方面,在步驟SI 15中,認(rèn)證服務(wù)器選擇部413在候補(bǔ)組內(nèi)剩余的認(rèn)證服務(wù)器 3中選擇優(yōu)先度最高的候補(bǔ)。 然后,認(rèn)證服務(wù)器選擇部413確認(rèn)是否存在多個(gè)在步驟S115中選擇的認(rèn)證服務(wù)器 3(S116),在存在多個(gè)時(shí)(在步驟S116中為Yes)進(jìn)入到步驟S117,在不存在多個(gè)時(shí)(在步 驟S116中為No)進(jìn)入到步驟SI 18。 在步驟SI 17中,認(rèn)證服務(wù)器選擇部413在候補(bǔ)組內(nèi)選擇最終認(rèn)證時(shí)刻最早的候 補(bǔ)。 然后,用戶策略管理部414對(duì)于選擇出的認(rèn)證服務(wù)器3,用當(dāng)前的時(shí)刻置換在用 戶策略信息存儲(chǔ)區(qū)域402中存儲(chǔ)的用戶策略信息表402a的最終認(rèn)證時(shí)刻欄402d的值 (S118)。 然后,認(rèn)證服務(wù)器選擇部413把作為候補(bǔ)選擇的認(rèn)證服務(wù)器3的ID直接或者經(jīng)由 終端裝置1間接地發(fā)送給服務(wù)提供服務(wù)器(S119),然后結(jié)束處理。 如以上所記載的那樣,根據(jù)本發(fā)明,用戶通過(guò)在終端裝置1中輸入同一用戶ID,可 以根據(jù)用戶的策略、服務(wù)提供服務(wù)器2的請(qǐng)求認(rèn)證方式以及請(qǐng)求屬性信息、用戶的狀況信 息,動(dòng)態(tài)地選擇追加的認(rèn)證服務(wù)器3,來(lái)用于認(rèn)證。 此外,在最終縮小認(rèn)證服務(wù)器3的候補(bǔ)時(shí),因?yàn)楦鶕?jù)最后使用認(rèn)證服務(wù)器3的時(shí)刻 來(lái)進(jìn)行縮小,所以能夠降低連續(xù)使用相同的認(rèn)證服務(wù)器3的可能性。由此,與連續(xù)使用同一 認(rèn)證服務(wù)器3時(shí)相比,難以通過(guò)認(rèn)證服務(wù)器3追查用戶使用服務(wù)的履歷。
      在以上記載的實(shí)施方式中,如在圖21的步驟S15、圖22的步驟S34以及圖26的步 驟S112 S117中記載的那樣,在選擇認(rèn)證服務(wù)器3時(shí),按滿足以下條件來(lái)進(jìn)行選擇是服 務(wù)提供服務(wù)器2進(jìn)行協(xié)作的認(rèn)證服務(wù)器;是確定了在用戶通過(guò)特定的服務(wù)提供服務(wù)器2接 受處理時(shí)進(jìn)行選擇的認(rèn)證服務(wù)器3 ;是提供了為了滿足服務(wù)提供服務(wù)器2所要求的認(rèn)證等 級(jí)所需要的認(rèn)證方式的認(rèn)證服務(wù)器3 ;是保有服務(wù)提供服務(wù)器2要求的用戶的屬性信息的
      認(rèn)證服務(wù)器3 ;是通過(guò)用戶的狀況信息選擇的認(rèn)證服務(wù)器3 ;是從用戶決定的優(yōu)先度較高的 認(rèn)證服務(wù)器中選擇出的認(rèn)證服務(wù)器3 ;以及是從最終認(rèn)證時(shí)刻較早的認(rèn)證服務(wù)器中選擇出 的認(rèn)證服務(wù)器3,但并不限于這樣的方式,還可以選擇滿足這些條件中的至少一個(gè)以上的條 件,或滿足這些條件中的任意條件的組合的認(rèn)證服務(wù)器。 在以上記載的實(shí)施方式中,如圖14所示,在認(rèn)證等級(jí)信息表405a中存儲(chǔ)有確定 了用戶ID、以及通過(guò)該用戶ID確定的用戶已經(jīng)接收認(rèn)證的最新的認(rèn)證等級(jí)(當(dāng)前認(rèn)證等 級(jí))的信息,但并不限于這樣的方式,例如還可以存儲(chǔ)以下的信息,該信息確定通過(guò)該用戶 ID確定的用戶在當(dāng)前認(rèn)證等級(jí)下,接受了認(rèn)證的認(rèn)證方式的認(rèn)證強(qiáng)度、和接受了具有該認(rèn) 證強(qiáng)度的認(rèn)證方式的認(rèn)證的次數(shù)。通過(guò)事先存儲(chǔ)好這些信息,特別是在必須接受三次以上 的具有特定的認(rèn)證強(qiáng)度的認(rèn)證方式的認(rèn)證時(shí),也能夠判定強(qiáng)度不足。 在以上記載的實(shí)施方式中,將認(rèn)證中介服務(wù)器4和狀況服務(wù)器5記載為了不同的 裝置,但并不限于這樣的方式,還可以將這些裝置進(jìn)行的處理綜合在一個(gè)裝置中。
      權(quán)利要求
      一種認(rèn)證中介服務(wù)器,其在終端裝置從服務(wù)提供服務(wù)器接受服務(wù)提供時(shí),選擇所述終端裝置的用戶接受認(rèn)證的認(rèn)證服務(wù)器,其特征在于,具備存儲(chǔ)部以及控制部,所述存儲(chǔ)部存儲(chǔ)服務(wù)提供服務(wù)器請(qǐng)求信息,該服務(wù)提供服務(wù)器請(qǐng)求信息確定服務(wù)提供服務(wù)器ID、以及該服務(wù)提供服務(wù)器ID為認(rèn)證請(qǐng)求的請(qǐng)求條件,所述控制部進(jìn)行以下的處理當(dāng)從所述服務(wù)提供服務(wù)器取得確定了服務(wù)提供服務(wù)器ID的信息取得請(qǐng)求時(shí),從所述服務(wù)提供服務(wù)器請(qǐng)求信息取得與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器ID對(duì)應(yīng)的請(qǐng)求條件,選擇滿足取得的請(qǐng)求條件的所述認(rèn)證服務(wù)器;向所述服務(wù)提供服務(wù)器通知確定選擇出的認(rèn)證服務(wù)器的信息。
      2. 根據(jù)權(quán)利要求1所述的認(rèn)證中介服務(wù)器,其特征在于, 在所述存儲(chǔ)部中存儲(chǔ)有以下的信息認(rèn)證等級(jí)信息,其確定用戶ID以及通過(guò)該用戶ID確定的用戶接受認(rèn)證的最新的認(rèn)證 等級(jí),即當(dāng)前認(rèn)證等級(jí);提供認(rèn)證強(qiáng)度信息,其確定認(rèn)證服務(wù)器ID、通過(guò)該認(rèn)證服務(wù)器ID確定的認(rèn)證服務(wù)器提 供的認(rèn)證方式、以及該認(rèn)證方式的認(rèn)證強(qiáng)度;以及認(rèn)證等級(jí)定義信息,其確定認(rèn)證等級(jí)以及通過(guò)該認(rèn)證等級(jí)請(qǐng)求的認(rèn)證強(qiáng)度,在所述請(qǐng)求條件中包含有作為所述服務(wù)提供服務(wù)器請(qǐng)求的認(rèn)證等級(jí)的請(qǐng)求認(rèn)證等級(jí),在所述信息取得請(qǐng)求中包含有用戶ID,所述控制部進(jìn)行以下的處理根據(jù)所述認(rèn)證等級(jí)信息確定與通過(guò)所述信息取得請(qǐng)求確定的用戶ID對(duì)應(yīng)的當(dāng)前認(rèn)證 等級(jí);根據(jù)所述請(qǐng)求條件確定與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器ID對(duì)應(yīng)的請(qǐng) 求認(rèn)證等級(jí);在根據(jù)所述認(rèn)證等級(jí)信息確定的當(dāng)前認(rèn)證等級(jí)不滿根據(jù)所述請(qǐng)求條件確定的請(qǐng)求認(rèn) 證等級(jí)時(shí),比較根據(jù)所述認(rèn)證等級(jí)信息確定的當(dāng)前認(rèn)證等級(jí)和根據(jù)所述請(qǐng)求條件確定的請(qǐng) 求認(rèn)證等級(jí),來(lái)確定為滿足根據(jù)所述請(qǐng)求條件確定的請(qǐng)求認(rèn)證等級(jí)所需要的認(rèn)證強(qiáng)度;以 及從所述提供認(rèn)證強(qiáng)度信息確定提供滿足所述不足的認(rèn)證強(qiáng)度的認(rèn)證方式的認(rèn)證服務(wù) 器的認(rèn)證服務(wù)器ID,所述控制部從通過(guò)由所述提供認(rèn)證強(qiáng)度信息確定的認(rèn)證服務(wù)器ID確定的所述認(rèn)證服 務(wù)器中選擇所述終端裝置的用戶接受認(rèn)證的認(rèn)證服務(wù)器。
      3. 根據(jù)權(quán)利要求1所述的認(rèn)證中介服務(wù)器,其特征在于,在所述存儲(chǔ)部中存儲(chǔ)有認(rèn)證服務(wù)器信息,該認(rèn)證服務(wù)器信息確定認(rèn)證服務(wù)器ID以及 作為通過(guò)該認(rèn)證服務(wù)器ID確定的認(rèn)證服務(wù)器保有的用戶的屬性信息的保有屬性信息,在所述請(qǐng)求條件中包含有請(qǐng)求屬性信息,該請(qǐng)求屬性信息是在所述服務(wù)提供服務(wù)器請(qǐng) 求的認(rèn)證中使用的用戶的屬性信息,所述控制部根據(jù)所述請(qǐng)求條件確定與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器 ID對(duì)應(yīng)的請(qǐng)求屬性信息,選擇在所述保有屬性信息中具有根據(jù)所述請(qǐng)求條件確定的請(qǐng)求屬 性信息的認(rèn)證服務(wù)器。
      4. 根據(jù)權(quán)利要求1所述的認(rèn)證中介服務(wù)器,其特征在于,在所述請(qǐng)求條件中包含有確定所述服務(wù)提供服務(wù)器協(xié)作的認(rèn)證服務(wù)器的協(xié)作認(rèn)證服 務(wù)器ID信息,所述控制部根據(jù)所述請(qǐng)求條件確定與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器 ID對(duì)應(yīng)的協(xié)作認(rèn)證服務(wù)器ID信息,選擇通過(guò)根據(jù)所述請(qǐng)求條件確定的協(xié)作認(rèn)證服務(wù)器ID 信息確定的認(rèn)證服務(wù)器。
      5. 根據(jù)權(quán)利要求1所述的認(rèn)證中介服務(wù)器,其特征在于,在所述存儲(chǔ)部中存儲(chǔ)有用戶策略信息,該用戶策略信息確定用戶ID、能夠進(jìn)行通過(guò)該 用戶ID確定的用戶的認(rèn)證的認(rèn)證服務(wù)器、最后選擇該認(rèn)證服務(wù)器的日期時(shí)間、以及選擇該 認(rèn)證服務(wù)器的條件,在所述信息取得請(qǐng)求中包含有用戶ID,所述控制部,根據(jù)所述用戶策略信息選擇這樣的認(rèn)證服務(wù)器,該認(rèn)證服務(wù)器是能夠進(jìn)行通過(guò)所述信 息取得請(qǐng)求中包含的用戶ID確定的用戶的認(rèn)證的認(rèn)證服務(wù)器,并且是滿足所述選擇的條 件,所述最后選擇的日期時(shí)間為最早的認(rèn)證服務(wù)器。
      6. 根據(jù)權(quán)利要求5所述的認(rèn)證中介服務(wù)器,其特征在于, 在所述選擇的條件中包含有確定所述用戶的狀況的狀況信息,所述控制部進(jìn)行取得與通過(guò)所述信息取得請(qǐng)求確定的用戶ID對(duì)應(yīng)的狀況信息的處 理,選擇在所述選擇的條件中包含取得的狀況信息的認(rèn)證服務(wù)器。
      7. 根據(jù)權(quán)利要求5所述的認(rèn)證中介服務(wù)器,其特征在于, 在所述選擇的條件中包含有服務(wù)提供服務(wù)器ID,在所述信息取得請(qǐng)求中確定了從所述終端裝置請(qǐng)求提供服務(wù)的服務(wù)提供服務(wù)器ID, 所述控制部選擇在所述選擇的條件中包含通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服 務(wù)器ID的認(rèn)證服務(wù)器。
      8. 根據(jù)權(quán)利要求5所述的認(rèn)證中介服務(wù)器,其特征在于, 在所述用戶策略信息中包含有確定選擇所述認(rèn)證服務(wù)器的優(yōu)先度的信息, 所述控制部從所述優(yōu)先度高的中來(lái)選擇所述認(rèn)證服務(wù)器。
      9. 一種程序,使計(jì)算機(jī)作為下述這樣的認(rèn)證中介服務(wù)器來(lái)工作,該認(rèn)證中介服務(wù)器,在 終端裝置從服務(wù)提供服務(wù)器接受服務(wù)提供時(shí),選擇所述終端裝置的用戶接受認(rèn)證的認(rèn)證服 務(wù)器,該程序的特征在于,使所述計(jì)算機(jī)作為存儲(chǔ)單元以及控制單元來(lái)工作,所述存儲(chǔ)單元存儲(chǔ)服務(wù)提供服務(wù)器 請(qǐng)求信息,該服務(wù)提供服務(wù)器請(qǐng)求信息確定服務(wù)提供服務(wù)器ID、以及該服務(wù)提供服務(wù)器ID 為認(rèn)證請(qǐng)求的請(qǐng)求條件,使所述控制單元進(jìn)行以下的處理當(dāng)從所述服務(wù)提供服務(wù)器取得確定了服務(wù)提供服務(wù)器ID的信息取得請(qǐng)求時(shí),從所述 服務(wù)提供服務(wù)器請(qǐng)求信息取得與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器ID對(duì)應(yīng)的 請(qǐng)求條件,選擇滿足取得的請(qǐng)求條件的所述認(rèn)證服務(wù)器;向所述服務(wù)提供服務(wù)器通知確定選擇出的認(rèn)證服務(wù)器的信息。
      10. 根據(jù)權(quán)利要求9所述的程序,其特征在于,在所述存儲(chǔ)單元中存儲(chǔ)有認(rèn)證等級(jí)信息,其確定用戶ID以及通過(guò)該用戶ID確定的用戶接受認(rèn)證的最新的認(rèn)證 等級(jí),即當(dāng)前認(rèn)證等級(jí);提供認(rèn)證強(qiáng)度信息,其確定認(rèn)證服務(wù)器ID、通過(guò)該認(rèn)證服務(wù)器ID確定的認(rèn)證服務(wù)器提 供的認(rèn)證方式、以及該認(rèn)證方式的認(rèn)證強(qiáng)度;以及認(rèn)證等級(jí)定義信息,其確定認(rèn)證等級(jí)以及通過(guò)該認(rèn)證等級(jí)請(qǐng)求的認(rèn)證強(qiáng)度,在所述請(qǐng)求條件中包含有作為所述服務(wù)提供服務(wù)器請(qǐng)求的認(rèn)證等級(jí)的請(qǐng)求認(rèn)證等級(jí),在所述信息取得請(qǐng)求中包含有用戶ID,使所述控制單元進(jìn)行以下的處理根據(jù)所述認(rèn)證等級(jí)信息確定與通過(guò)所述信息取得請(qǐng)求確定的用戶ID對(duì)應(yīng)的當(dāng)前認(rèn)證 等級(jí);根據(jù)所述請(qǐng)求條件確定與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器ID對(duì)應(yīng)的請(qǐng) 求認(rèn)證等級(jí);在根據(jù)所述認(rèn)證等級(jí)信息確定的當(dāng)前認(rèn)證等級(jí)不滿根據(jù)所述請(qǐng)求條件確定的請(qǐng)求認(rèn) 證等級(jí)時(shí),比較根據(jù)所述認(rèn)證等級(jí)信息確定的當(dāng)前認(rèn)證等級(jí)和根據(jù)所述請(qǐng)求條件確定的請(qǐng) 求認(rèn)證等級(jí),來(lái)確定為滿足根據(jù)所述請(qǐng)求條件確定的請(qǐng)求認(rèn)證等級(jí)所需要的認(rèn)證強(qiáng)度;以 及從所述提供認(rèn)證強(qiáng)度信息確定提供滿足所述不足的認(rèn)證強(qiáng)度的認(rèn)證方式的認(rèn)證服務(wù) 器的認(rèn)證服務(wù)器ID,使所述控制單元從通過(guò)由所述提供認(rèn)證強(qiáng)度信息確定的認(rèn)證服務(wù)器ID確定的所述認(rèn) 證服務(wù)器中選擇所述終端裝置的用戶接受認(rèn)證的認(rèn)證服務(wù)器。
      11. 根據(jù)權(quán)利要求9所述的程序,其特征在于,在所述存儲(chǔ)單元中存儲(chǔ)有認(rèn)證服務(wù)器信息,該認(rèn)證服務(wù)器信息確定認(rèn)證服務(wù)器ID以 及作為通過(guò)該認(rèn)證服務(wù)器ID確定的認(rèn)證服務(wù)器保有的用戶的屬性信息的保有屬性信息,在所述請(qǐng)求條件中包含有請(qǐng)求屬性信息,該請(qǐng)求屬性信息是在所述服務(wù)提供服務(wù)器請(qǐng) 求的認(rèn)證中使用的用戶的屬性信息,使所述控制單元根據(jù)所述請(qǐng)求條件確定與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服 務(wù)器ID對(duì)應(yīng)的請(qǐng)求屬性信息,選擇在所述保有屬性信息中具有根據(jù)所述請(qǐng)求條件確定的 請(qǐng)求屬性信息的認(rèn)證服務(wù)器。
      12. 根據(jù)權(quán)利要求9所述的程序,其特征在于,在所述請(qǐng)求條件中包含有確定所述服務(wù)提供服務(wù)器協(xié)作的認(rèn)證服務(wù)器的協(xié)作認(rèn)證服 務(wù)器ID信息,使所述控制單元根據(jù)所述請(qǐng)求條件確定與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服 務(wù)器ID對(duì)應(yīng)的協(xié)作認(rèn)證服務(wù)器ID信息,選擇通過(guò)根據(jù)所述請(qǐng)求條件確定的協(xié)作認(rèn)證服務(wù) 器ID信息確定的認(rèn)證服務(wù)器。
      13. 根據(jù)權(quán)利要求9所述的程序,其特征在于,在所述存儲(chǔ)單元中存儲(chǔ)有用戶策略信息,該用戶策略信息確定用戶ID、能夠進(jìn)行通過(guò) 該用戶ID確定的用戶的認(rèn)證的認(rèn)證服務(wù)器、最后選擇該認(rèn)證服務(wù)器的日期時(shí)間、以及選擇 該認(rèn)證服務(wù)器的條件,在所述信息取得請(qǐng)求中包含有用戶ID,使所述控制單元根據(jù)所述用戶策略信息選擇這樣的認(rèn)證服務(wù)器,該認(rèn)證服務(wù)器是能夠 進(jìn)行通過(guò)所述信息取得請(qǐng)求中包含的用戶ID確定的用戶的認(rèn)證的認(rèn)證服務(wù)器,并且是滿 足所述選擇的條件,所述最后選擇的日期時(shí)間為最早的認(rèn)證服務(wù)器。
      14. 根據(jù)權(quán)利要求13所述的程序,其特征在于, 在所述選擇的條件中包含有確定所述用戶的狀況的狀況信息,使所述控制單元進(jìn)行取得與通過(guò)所述信息取得請(qǐng)求確定的用戶ID對(duì)應(yīng)的狀況信息的 處理,選擇在所述選擇的條件中包含取得的狀況信息的認(rèn)證服務(wù)器。
      15. 根據(jù)權(quán)利要求13所述的程序,其特征在于, 在所述選擇的條件中包含服務(wù)提供服務(wù)器ID,在所述信息取得請(qǐng)求中確定了從所述終端裝置請(qǐng)求提供服務(wù)的服務(wù)提供服務(wù)器ID, 使所述控制單元選擇在所述選擇的條件中包含通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提 供服務(wù)器ID的認(rèn)證服務(wù)器。
      16. 根據(jù)權(quán)利要求13所述的程序,其特征在于,在所述用戶策略信息中包含有確定選擇所述認(rèn)證服務(wù)器的優(yōu)先度的信息, 使所述控制單元從所述優(yōu)先度高的中來(lái)選擇所述認(rèn)證服務(wù)器。
      17. —種認(rèn)證系統(tǒng),其具備終端裝置;對(duì)該終端裝置提供服務(wù)的服務(wù)提供服務(wù)器;在該終端裝置從該服務(wù)提供服務(wù)器接受服務(wù)提供時(shí),該終端裝置的用戶接受認(rèn)證的認(rèn)證服務(wù)器;進(jìn)行該認(rèn)證服務(wù)器的選擇的認(rèn)證中介服務(wù)器,該認(rèn)證系統(tǒng)的特征在于,所述認(rèn)證中介服務(wù)器具備存儲(chǔ)部以及控制部,所述存儲(chǔ)部存儲(chǔ)服務(wù)提供服務(wù)器請(qǐng)求信息,該服務(wù)提供服務(wù)器請(qǐng)求信息確定服務(wù)提供服務(wù)器ID、以及該服務(wù)提供服務(wù)器ID為認(rèn)證請(qǐng)求的請(qǐng)求條件,所述認(rèn)證中介服務(wù)器的控制部進(jìn)行以下的處理當(dāng)從所述服務(wù)提供服務(wù)器取得確定了服務(wù)提供服務(wù)器ID的信息取得請(qǐng)求時(shí),從所述 服務(wù)提供服務(wù)器請(qǐng)求信息取得與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服務(wù)器ID對(duì)應(yīng)的 請(qǐng)求條件,選擇滿足取得的請(qǐng)求條件的所述認(rèn)證服務(wù)器;向所述服務(wù)提供服務(wù)器通知確定選擇出的認(rèn)證服務(wù)器的信息。
      18. —種選擇方法,其用于認(rèn)證中介服務(wù)器,在終端裝置從服務(wù)提供服務(wù)器接受服務(wù)提 供時(shí),選擇所述終端裝置的用戶接受認(rèn)證的認(rèn)證服務(wù)器,所述認(rèn)證中介服務(wù)器,具備存儲(chǔ)部 以及控制部,所述存儲(chǔ)部存儲(chǔ)確定服務(wù)提供服務(wù)器ID、以及該服務(wù)提供服務(wù)器ID為認(rèn)證請(qǐng) 求的請(qǐng)求條件的服務(wù)提供服務(wù)器請(qǐng)求信息,該選擇方法的特征在于,具有以下的步驟所述控制部進(jìn)行當(dāng)從所述服務(wù)提供服務(wù)器取得確定了服務(wù)提供服務(wù)器ID的信息取得 請(qǐng)求時(shí),從所述服務(wù)提供服務(wù)器請(qǐng)求信息取得與通過(guò)所述信息取得請(qǐng)求確定的服務(wù)提供服 務(wù)器ID對(duì)應(yīng)的請(qǐng)求條件,選擇滿足取得的請(qǐng)求條件的所述認(rèn)證服務(wù)器的處理的步驟;以及所述控制部進(jìn)行向所述服務(wù)提供服務(wù)器通知確定選擇出的認(rèn)證服務(wù)器的信息的處理 的步驟。
      全文摘要
      提供一種認(rèn)證中介服務(wù)器、程序、認(rèn)證系統(tǒng)以及選擇方法??紤]用戶的狀況、用戶使用的服務(wù)的種類以及用戶的便利性,可以動(dòng)態(tài)地變更認(rèn)證服務(wù)器。在終端裝置(1)從服務(wù)提供服務(wù)器(2)接受服務(wù)的提供時(shí),認(rèn)證中介服務(wù)器(4),從滿足終端裝置(1)預(yù)先設(shè)定的狀況信息、優(yōu)先度、使用條件、服務(wù)提供服務(wù)器條件等選擇條件的認(rèn)證服務(wù)器(3)中進(jìn)行選擇,終端裝置(1)的用戶通過(guò)所選擇的認(rèn)證服務(wù)器(3)接受認(rèn)證。
      文檔編號(hào)H04L29/06GK101741840SQ20091022605
      公開(kāi)日2010年6月16日 申請(qǐng)日期2009年11月25日 優(yōu)先權(quán)日2008年11月26日
      發(fā)明者入部真一, 山本暖, 藤城孝宏, 鍛忠司 申請(qǐng)人:株式會(huì)社日立制作所
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1