JP2008009644A - Authentication system and authentication method - Google Patents

Authentication system and authentication method Download PDF

Info

Publication number
JP2008009644A
JP2008009644A JP2006178562A JP2006178562A JP2008009644A JP 2008009644 A JP2008009644 A JP 2008009644A JP 2006178562 A JP2006178562 A JP 2006178562A JP 2006178562 A JP2006178562 A JP 2006178562A JP 2008009644 A JP2008009644 A JP 2008009644A
Authority
JP
Japan
Prior art keywords
authentication
status information
unit
client device
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006178562A
Other languages
Japanese (ja)
Other versions
JP4950573B2 (en
Inventor
Tatsuro Ikeda
竜朗 池田
Chieko Kobayashi
智恵子 小林
Masaaki Okajima
正明 岡島
Masahisa Shinozaki
政久 篠崎
Hiroki Mukoyama
弘樹 向山
Kazuya Hashimoto
和也 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2006178562A priority Critical patent/JP4950573B2/en
Publication of JP2008009644A publication Critical patent/JP2008009644A/en
Application granted granted Critical
Publication of JP4950573B2 publication Critical patent/JP4950573B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an authentication system and an authentication method dispensing with another initial authentication in a different client device. <P>SOLUTION: Identification information for identifying a portable medium is read from the portable medium and transmitted to an authentication server device. The authentication server device issues and stores authentication state information based on the received identification information, while the issued authentication state information is written in the portable medium. The authentication state information is read from the portable medium, and authentication processing is carried out based on the stored authentication state information. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は,認証状態情報を格納する可搬媒体を用いて認証を行う認証システムおよび認証方法に関する。   The present invention relates to an authentication system and an authentication method for performing authentication using a portable medium that stores authentication state information.

通信やサービスを利用する際に,通信相手やユーザを識別及び認証するための認証技術が利用されている。この認証技術として,認証の利便性向上が可能なシングルサインオン技術が注目されている。シングルサインオン技術では,認証処理を初期認証と事後認証とに分割することで,分散システム環境下でのユーザの認証処理負担が軽減される。例えば,パスワード(多くの場合,これに加えて,ユーザ識別子)を入力することで,初期認証を実行する。このとき,初期認証時の認証状態をセッション情報(例えば,WebサーバのHTTPセッション)などと関連付ける。事後認証では,このセッション情報を利用することで,再度のパスワードの入力が不要となる。   Authentication techniques for identifying and authenticating communication partners and users are used when using communications and services. As this authentication technique, a single sign-on technique capable of improving the convenience of authentication has attracted attention. In single sign-on technology, the authentication processing is divided into initial authentication and post-authentication, thereby reducing the burden of user authentication processing in a distributed system environment. For example, initial authentication is performed by inputting a password (in many cases, in addition to this, a user identifier). At this time, the authentication state at the time of initial authentication is associated with session information (for example, an HTTP session of a Web server). In post-authentication, using this session information eliminates the need to enter the password again.

ここで,ユーザの識別力が強力な認証方式を採用することが望ましい。しかし,識別力が強力な認証方式では,特別な装置やアプリケーション(例えば,バイオメトリック認証での生体スキャナ)を全てのクライアント(端末)に設置する必要がある。   Here, it is desirable to adopt an authentication method with strong user discrimination. However, in an authentication method with strong discrimination power, a special device or application (for example, a biometric scanner for biometric authentication) needs to be installed in all clients (terminals).

一方,異なるシステム間で認証状態を共有することで,シングルサインオンを可能とする技術が登場してきている。この標準仕様としてOASISでSAML(Security Assertion Markup Language)が策定された(非特許文献1参照)。この標準仕様を用いて,初期認証に対応する認証装置を複数のクライアントと接続することで,強力な認証方式の導入が容易となる。
“Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0”,[online],OASIS Security Services (SAML) TC,[2005年12月27日検索],インターネット<URL:http://www.oasis-open.org/committees/download.php/11898/saml-core-2.0-os.pdf> “An Internet Attribute Certificate Profile for Authorization, RFC 3281”,[online],IETF,[2005年12月27日検索],インターネット<URL:http://www.ietf.org/rfc/rfc3281.txt> On the other hand, technologies that enable single sign-on by sharing the authentication status between different systems have appeared. As this standard specification, SAML (Security Assertion Markup Language) was formulated by OASIS (see Non-Patent Document 1). Using this standard specification, it is easy to introduce a strong authentication method by connecting an authentication device that supports initial authentication to multiple clients.
“Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0”, [online], OASIS Security Services (SAML) TC, [Searched on December 27, 2005], Internet <URL: http: // www .oasis-open.org / committees / download.php / 11898 / saml-core-2.0-os.pdf> “An Internet Attribute Certificate Profile for Authorization, RFC 3281”, [online], IETF, [searched on December 27, 2005], Internet <URL: http://www.ietf.org/rfc/rfc3281.txt>

このとき,発行される認証状態情報は特定のクライアント上で管理される。このため,シングルサインオンを利用できるのが,特定のクライアントに限られる。例えば,あるクライアントのWebブラウザを用いて初期認証を実行した場合,そのWebブラウザ(即ち,そのクライアント)を介してのみシングルサインオンが可能となる。
この結果,利用者が用いる物理端末(例えば,パーソナルコンピュータ)が特定されない場合に,利用者の利便性が損なわれる。すなわち,利用者がある物理端末で初期認証を実行していても,利用する物理端末が変更されると,初期認証を再度実施する必要がある。
上記に鑑み,本発明は異なるクライアント装置での再度の初期認証を不要とする認証システムおよび認証方法を提供することを目的とする。 At this time, the issued authentication status information is managed on a specific client. For this reason, single sign-on can be used only by specific clients. For example, when initial authentication is executed using a Web browser of a certain client, single sign-on is possible only through the Web browser (that is, the client).
As a result, when the physical terminal (for example, personal computer) used by the user is not specified, the convenience of the user is impaired. That is, even if the user performs initial authentication on a physical terminal, it is necessary to perform initial authentication again when the physical terminal to be used is changed.
In view of the above, an object of the present invention is to provide an authentication system and an authentication method that do not require re-initial authentication with a different client device.

本発明の一態様に係る認証システムは,第1,第2のクライアント装置,および認証サーバ装置を具備し,前記第1のクライアント装置が,可搬媒体からこの可搬媒体を識別する識別情報を読み出す読出部と,前記認証サーバ装置へと前記読み出される識別情報を送信する送信部と,前記認証サーバ装置から認証状態情報を受信する受信部と,前記受信する認証状態情報を前記可搬媒体に書き込む書込部と,を有し,前記第2のクライアント装置が,可搬媒体から認証状態情報を読み出す読出部と,前記読み出される認証状態情報を送信する送信部と,を有し,前記認証サーバ装置が,前記第1のクライアント装置から送信される識別情報を受信する第1の受信部と,前記受信される識別情報に基づき,認証状態情報を発行する発行部と,前記発行される認証状態情報を記憶する記憶部と,前記発行される認証状態情報を前記第1のクライアント装置へと送信する送信部と,前記第1のクライアント装置から送信される認証状態情報を受信する第2の受信部と,前記受信される認証状態情報,および前記記憶される認証状態情報に基づき,認証処理を実行する認証部と,を有することを特徴とする。   An authentication system according to an aspect of the present invention includes first and second client devices and an authentication server device, and the first client device has identification information for identifying the portable medium from a portable medium. A reading unit for reading, a transmitting unit for transmitting the read identification information to the authentication server device, a receiving unit for receiving authentication status information from the authentication server device, and the received authentication status information in the portable medium. A writing unit, and the second client device includes a reading unit that reads authentication status information from a portable medium, and a transmission unit that transmits the read authentication status information. A server device for receiving identification information transmitted from the first client device; an issuing unit for issuing authentication status information based on the received identification information; A storage unit for storing issued authentication status information, a transmitting unit for transmitting the issued authentication status information to the first client device, and receiving authentication status information transmitted from the first client device And a second authentication unit configured to perform authentication processing based on the received authentication status information and the stored authentication status information.

本発明の一態様に係る認証方法は,第1,第2のクライアント装置,および認証サーバ装置を用いる認証方法であって,前記第1のクライアント装置が,可搬媒体からこの可搬媒体を識別する識別情報を読み出すステップと,前記第1のクライアント装置が,前記認証サーバ装置へと前記読み出される識別情報を送信するステップと,前記認証サーバ装置が,前記第1のクライアント装置から送信される識別情報を受信するステップと,前記認証サーバ装置が,前記受信される識別情報に基づき,認証状態情報を発行するステップと,前記認証サーバ装置が,前記発行される認証状態情報を記憶するステップと,前記認証サーバ装置が,前記第1のクライアント装置へと前記発行される認証状態情報を送信するステップと,前記第1のクライアント装置が,前記認証サーバ装置から送信される認証状態情報を受信するステップと,前記第1のクライアント装置が,前記受信する認証状態情報を可搬媒体に書き込むステップと,前記第2のクライアント装置が,前記可搬媒体から認証状態情報を読み出すステップと,前記第2のクライアント装置が,前記読み出した認証状態情報を送信するステップと,前記認証サーバ装置が,認証状態情報を受信するステップと,前記認証サーバ装置が,前記受信される認証状態情報,および前記記憶される認証状態情報に基づき,認証処理を実行するステップと,を具備することを特徴とする。   An authentication method according to an aspect of the present invention is an authentication method using first and second client devices and an authentication server device, wherein the first client device identifies the portable medium from a portable medium. Reading the identification information to be performed, the first client device transmitting the read identification information to the authentication server device, and the authentication server device transmitting the identification information from the first client device Receiving information, a step in which the authentication server device issues authentication status information based on the received identification information, a step in which the authentication server device stores the issued authentication status information, The authentication server device transmitting the issued authentication status information to the first client device; and the first client device. Receiving the authentication status information transmitted from the authentication server device; writing the received authentication status information to a portable medium; and the second client device. Reading the authentication status information from the portable medium, the second client device transmitting the read authentication status information, the authentication server device receiving the authentication status information, The authentication server device includes a step of executing an authentication process based on the received authentication status information and the stored authentication status information.

本発明によれば,異なるクライアント装置での再度の初期認証を不要とする認証システムおよび認証方法を提供できる。   According to the present invention, it is possible to provide an authentication system and an authentication method that do not require re-initial authentication at a different client device.

以下,図面を参照して,本発明の実施の形態を詳細に説明する。
(第1の実施の形態)
図1は本発明の第1の実施形態に係るシングルサインオンシステム100の構成例を示すブロック図である。
このシングルサインオンシステム100は,可搬媒体110,クライアント装置120(第1,第2クライアント装置120(1),120(2)),認証サーバ装置130から構成される。このシングルサインオンシステム100に,シングルサインオンシステム100での認証を信頼し,サービスを提供するサービス提供装置140(140(1),140(2))がネットワークを介して接続される。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
(First embodiment)
FIG. 1 is a block diagram showing a configuration example of a single sign-on system 100 according to the first embodiment of the present invention.
The single sign-on system 100 includes a portable medium 110, a client device 120 (first and second client devices 120 (1) and 120 (2)), and an authentication server device 130. Service providing apparatuses 140 (140 (1), 140 (2)) that trust the authentication in the single sign-on system 100 and provide services are connected to the single sign-on system 100 via a network.

A.認証サーバ装置130について
認証サーバ装置130は,利用者を認証し,認証結果に基づいてシングルサインオンを実現するための認証状態情報を発行する。
図2は,認証サーバ装置130の内部構成の一例を表すブロック図である。
認証サーバ装置130は,通信部131,可搬媒体認証部132,認証状態情報発行部133,認証状態情報送信部134,認証状態情報管理部135,情報保管部136を備える。
なお,シングルサインオンでの(認証)セッション管理の機構についての記載は省略する。 A. About Authentication Server Device 130 The authentication server device 130 authenticates the user and issues authentication status information for realizing single sign-on based on the authentication result.
FIG. 2 is a block diagram illustrating an example of the internal configuration of the authentication server device 130.
The authentication server device 130 includes a communication unit 131, a portable medium authentication unit 132, an authentication status information issue unit 133, an authentication status information transmission unit 134, an authentication status information management unit 135, and an information storage unit 136.
Note that the description of the (authentication) session management mechanism in single sign-on is omitted.

通信部131は,ネットワークを介して通信ピア(クライアント装置120,サービス提供装置140)との間で,利用者の認証に関する情報(例えば,証状態情報)を送受信する。   The communication unit 131 transmits / receives information (for example, certificate status information) related to user authentication to and from a communication peer (client device 120, service providing device 140) via a network.

可搬媒体認証部132は,通信部131を介するクライアント装置120との認証プロトコルメッセージのやり取りによって,可搬媒体110を認証する。この認証に際して,可搬媒体認証部132は,情報保管部136から可搬媒体110のクレデンシャル(信用証明)を読み出す。可搬媒体認証部132は,認証の結果を認証状態情報発行部133に通知する。
このクレデンシャル(信用証明)として,例えば,可搬媒体110を識別するための識別子と,暗証(暗号学的な秘密情報など広義のパスワード)の組み合わせを挙げることができる。 The portable medium authentication unit 132 authenticates the portable medium 110 by exchanging an authentication protocol message with the client device 120 via the communication unit 131. At the time of this authentication, the portable medium authentication unit 132 reads the credential (credential) of the portable medium 110 from the information storage unit 136. The portable medium authentication unit 132 notifies the authentication status information issuing unit 133 of the authentication result.
As this credential (credential), for example, a combination of an identifier for identifying the portable medium 110 and a password (a password in a broad sense such as cryptographic secret information) can be cited.

認証状態情報発行部133は,可搬媒体110の認証結果に基づいて,認証状態情報を発行する。即ち,認証状態情報の発行の可否を判断するための情報(発行可否判断情報)として,可搬媒体110の認証結果を用いている。   The authentication status information issuing unit 133 issues authentication status information based on the authentication result of the portable medium 110. That is, the authentication result of the portable medium 110 is used as information for determining whether or not the authentication status information is issued (issuance determination information).

以下の(1)〜(4)を発行可否判断情報として利用できる。
(1)可搬媒体110の識別子(識別情報)
(2)可搬媒体110の識別子と暗証の組み合わせ
(3)ユーザIDと固定パスワードの組み合わせ(利用者識別情報の一種)
(4)指紋や虹彩といったバイオメトリック情報(利用者識別情報の一種)
(5)(1),または(2)と,(3),(4)の任意の組み合わせ The following (1) to (4) can be used as issue permission determination information.
(1) Identifier (identification information) of the portable medium 110
(2) Combination of identifier and password of portable medium 110 (3) Combination of user ID and fixed password (a kind of user identification information)
(4) Biometric information such as fingerprints and irises (a type of user identification information)
(5) Any combination of (1) or (2) and (3), (4)

認証状態情報は,利用者の正当性を保証するための状態情報である。認証状態情報に基づいてシングルサインオンを実現できる。認証状態情報には,SAMLで規定される(SAMLアサーションに含まれる)認証ステートメント(Authentication Statement)要素を利用できる。
なお,認証状態情報に,認証の有効期限や,実際に実行された認証方式といった追加情報(第2の実施形態で説明する制約情報(利用制約)も追加情報の一種)を含めることで,認証状態を制御できる。 The authentication status information is status information for guaranteeing the validity of the user. Single sign-on can be realized based on the authentication status information. As the authentication status information, an authentication statement element (included in the SAML assertion) defined by SAML can be used.
The authentication status information includes additional information (the restriction information (usage restriction) described in the second embodiment is also a kind of additional information) such as the validity period of authentication and the authentication method actually executed. You can control the state.

認証状態情報送信部134は,認証状態情報発行部133で発行される認証状態情報を含むメッセージを通信ピア(クライアント装置120)に送信する。   The authentication status information transmitting unit 134 transmits a message including the authentication status information issued by the authentication status information issuing unit 133 to the communication peer (client device 120).

認証状態情報管理部135は,発行された認証状態情報を記憶し,管理する。認証状態情報管理部135は,認証状態情報内で指定された有効期限等の終了条件を監視し,無効となった認証状態情報を削除する。なお,管理者による無効化命令などによって,認証状態情報を削除してもよい。
また,認証状態情報管理部135は,外部(サービス提供装置140)からの認証状態確認の問い合わせに対して,認証状態確認を応答する。 The authentication status information management unit 135 stores and manages issued authentication status information. The authentication status information management unit 135 monitors termination conditions such as the expiration date specified in the authentication status information, and deletes the invalidated authentication status information. Note that the authentication status information may be deleted by an invalidation command from the administrator.
Further, the authentication status information management unit 135 responds to the authentication status confirmation in response to an inquiry about the authentication status confirmation from the outside (service providing apparatus 140).

情報保管部136は,可搬媒体認証部132および認証状態情報発行部133で利用する情報を保管し,これらからの要求に応じて情報を提供する。情報保管部136で保管される情報として,可搬媒体110およびクライアント装置120のクレデンシャルを挙げることができる。   The information storage unit 136 stores information used by the portable medium authentication unit 132 and the authentication status information issuing unit 133, and provides information in response to requests from these. Examples of information stored in the information storage unit 136 include the credentials of the portable medium 110 and the client device 120.

B.クライアント装置120について
クライアント装置120は,ネットワークに接続された端末であり,コンピュータ一般(例えば,パーソナルコンピュータやキオスク端末)を利用できる。 B. About Client Device 120 The client device 120 is a terminal connected to a network and can use a general computer (for example, a personal computer or a kiosk terminal).

図3は,クライアント装置120の内部構成の一例を表すブロック図である。なお,第1,第2クライアント装置120(1),120(2)は,同等の構成を採用できる。
クライアント装置120は,第1,第2通信部121a,121b,認証状態情報受領部122,認証状態情報取得部123,認証状態情報提供部124,通信ピア認証部125,認証クライアント部126,情報保管部127,制御部128,ユーザインタフェース部129を備える。 FIG. 3 is a block diagram illustrating an example of the internal configuration of the client device 120. The first and second client devices 120 (1) and 120 (2) can adopt the same configuration.
The client device 120 includes first and second communication units 121a and 121b, an authentication status information receiving unit 122, an authentication status information acquisition unit 123, an authentication status information providing unit 124, a communication peer authentication unit 125, an authentication client unit 126, and information storage. A unit 127, a control unit 128, and a user interface unit 129.

第1通信部121aは,ネットワークを介して通信ピア(認証サーバ装置130,サービス提供装置140)との間で,利用者の認証に関する情報(例えば,証状態情報)を送受信する。   The first communication unit 121a transmits and receives information (for example, certificate status information) related to user authentication to and from communication peers (the authentication server device 130 and the service providing device 140) via the network.

第2通信部121bは,可搬媒体110と通信する。この通信には,無線(例えば,無線LAN(IEEE 802.11シリーズ)やブルートゥース(Bluetooth))),有線(例えば,USB(Universal Serial Bus)1.x/2.0)を利用できる。
第2通信部121bは,可搬媒体110に加えて,利用者認証装置(例えば,バイオメトリック照合装置)と通信し,利用者認証装置から利用者を識別する情報(例えば,指紋,顔画像,虹彩,血管形状)を受信しても良い。この利用者認証装置は,初期認証を実行するクライアント装置120のみが備えていれば足りる。
なお,第2通信部121bに代えて,第1通信部121aが可搬媒体110または利用者認証装置と通信してもよい。 The second communication unit 121b communicates with the portable medium 110. For this communication, wireless (for example, wireless LAN (IEEE 802.11 series) or Bluetooth (Bluetooth))) or wired (for example, USB (Universal Serial Bus) 1.x / 2.0) can be used.
In addition to the portable medium 110, the second communication unit 121b communicates with a user authentication device (for example, a biometric matching device) and identifies information (for example, a fingerprint, a face image, a user image) from the user authentication device. (Iris, blood vessel shape) may be received. This user authentication device only needs to be included in the client device 120 that performs initial authentication.
In place of the second communication unit 121b, the first communication unit 121a may communicate with the portable medium 110 or the user authentication device.

認証状態情報受領部122は,認証サーバ装置130に対して認証状態情報を要求し,受領する。また,認証状態情報受領部122は,受領した認証状態情報を可搬媒体110に格納させる。   The authentication status information receiving unit 122 requests and receives authentication status information from the authentication server device 130. Further, the authentication status information receiving unit 122 stores the received authentication status information in the portable medium 110.

認証状態情報取得部123は,可搬媒体110から認証状態情報を取得する。
認証状態情報提供部124は,認証状態情報取得部123を介して可搬媒体110から取得した認証状態情報を,サービス提供装置140に提供する。 The authentication status information acquisition unit 123 acquires authentication status information from the portable medium 110.
The authentication status information providing unit 124 provides the authentication status information acquired from the portable medium 110 via the authentication status information acquiring unit 123 to the service providing apparatus 140.

通信ピア認証部125は,通信ピア(認証サーバ装置130,サービス提供装置140,利用者認証装置)を認証し,自己を証明する。
認証クライアント部126は,認証サーバ装置130が利用者または可搬媒体110を認証するときに,可搬媒体110からそのクレデンシャル(信用証明)を読み出す。認証クライアント部126は,この読み出しに先立って,可搬媒体110との間で認証プロトコルをやり取りする。 The communication peer authentication unit 125 authenticates the communication peer (authentication server device 130, service providing device 140, user authentication device) and proves itself.
The authentication client unit 126 reads the credentials (credentials) from the portable medium 110 when the authentication server device 130 authenticates the user or the portable medium 110. Prior to this reading, the authentication client unit 126 exchanges an authentication protocol with the portable medium 110.

情報保管部127は,通信ピア認証部125,認証クライアント部126で利用する情報を保管し,これらからの要求に応じて情報を提供する。
制御部128は,第1,第2通信部121a,121b,認証状態情報受領部122,認証状態情報取得部123,認証状態情報提供部124,通信ピア認証部125,認証クライアント部126,ユーザインタフェース部129間での情報伝達を制御する。
ユーザインタフェース部129は,利用者が情報を入出力するための機器である。ユーザインタフェース部129には,グラフィカルユーザインタフェース(GUI)などを実装しても良い。 The information storage unit 127 stores information used by the communication peer authentication unit 125 and the authentication client unit 126, and provides information in response to a request from them.
The control unit 128 includes first and second communication units 121a and 121b, an authentication status information receiving unit 122, an authentication status information acquisition unit 123, an authentication status information providing unit 124, a communication peer authentication unit 125, an authentication client unit 126, a user interface. Controls information transmission between the units 129.
The user interface unit 129 is a device for a user to input and output information. The user interface unit 129 may be implemented with a graphical user interface (GUI) or the like.

C.可搬媒体110について
可搬媒体110は,ある程度の計算能力を有した運搬可能な媒体装置であり,スマートカードや携帯電話,PDAなどを利用できる。可搬媒体110は,内部情報の外部漏洩を防止する機能を有することが望ましい。 C. About the portable medium 110 The portable medium 110 is a transportable medium device having a certain degree of calculation capability, and a smart card, a mobile phone, a PDA, or the like can be used. The portable medium 110 preferably has a function of preventing external leakage of internal information.

図4は,可搬媒体110の内部構成の一例を表すブロック図である。
可搬媒体110は,通信部111と,通信ピア認証部112と,認証状態情報格納部113と,情報提供部114と,情報保管部115とを備える。 FIG. 4 is a block diagram illustrating an example of the internal configuration of the portable medium 110.
The portable medium 110 includes a communication unit 111, a communication peer authentication unit 112, an authentication state information storage unit 113, an information provision unit 114, and an information storage unit 115.

通信部111は,クライアント装置120と通信して,利用者の認証に関する情報(例えば,認証状態情報)を送受信する。
通信ピア認証部112は,通信ピア(クライアント装置120)を認証し,自己を証明する。
認証状態情報格納部113は,クライアント装置120から提供される認証状態情報を情報保管部115に格納する。
情報提供部114は,外部装置からの要求に応じて,情報保管部115に格納される認証状態情報または可搬媒体110のクレデンシャルを提供する。
情報保管部115は,通信ピア認証部112,情報提供部114で利用する情報を保管し,これらからの要求に応じて情報を提供する。 The communication unit 111 communicates with the client device 120 to transmit and receive information related to user authentication (for example, authentication status information).
The communication peer authentication unit 112 authenticates the communication peer (client device 120) and proves itself.
The authentication status information storage unit 113 stores the authentication status information provided from the client device 120 in the information storage unit 115.
The information providing unit 114 provides authentication status information stored in the information storage unit 115 or credentials of the portable medium 110 in response to a request from an external device.
The information storage unit 115 stores information used by the communication peer authentication unit 112 and the information providing unit 114, and provides information in response to requests from these.

(シングルサインオンシステム100の動作)
以下,シングルサインオンシステム100の動作を説明する。
シングルサインオンシステム100の動作は,初期認証フェーズ,事後認証フェーズに区分される。
初期認証フェーズは,第1クライアント装置120(1)を利用して,ログインするまでの動作である。
事後認証フェーズは,第1クライアント装置120(1)と異なる第2クライアント装置120(2)を利用して,サービス提供装置140が提供するサービスを享受するまでの動作である。このとき,初期認証フェーズで取得した認証状態情報を利用して,サービス提供装置140に対して利用者の認証を行う。
図5,図6はそれぞれ,シングルサインオンシステム100の初期認証フェーズおよび事後認証フェーズでの動作手順の一例を表すフロー図である。 (Operation of the single sign-on system 100)
Hereinafter, the operation of the single sign-on system 100 will be described.
The operation of the single sign-on system 100 is divided into an initial authentication phase and a post-authentication phase.
The initial authentication phase is an operation until logging in using the first client device 120 (1).
The post-authentication phase is an operation until the service provided by the service providing apparatus 140 is received using the second client apparatus 120 (2) different from the first client apparatus 120 (1). At this time, the user is authenticated to the service providing apparatus 140 using the authentication status information acquired in the initial authentication phase.
FIG. 5 and FIG. 6 are flowcharts showing examples of operation procedures in the initial authentication phase and the post-authentication phase of the single sign-on system 100, respectively.

A.初期認証
(1) 第1クライアント装置120(1)が,認証サーバ装置130にログイン処理(即ち,認証状態情報の発行)を要求する(ステップS11)。なお,この要求は,第1クライアント装置120(1)への利用者の入力によって開始される。
(2) 認証サーバ装置130は,第1クライアント装置120(1)に対して認証処理の実行を要求する(ステップS12)。 A. Initial Authentication (1) The first client device 120 (1) requests the authentication server device 130 for login processing (that is, issuance of authentication status information) (step S11). This request is initiated by a user input to the first client device 120 (1).
(2) The authentication server device 130 requests the first client device 120 (1) to execute an authentication process (step S12).

(3) 第1クライアント装置120(1)は,前記要求を受けて,合意された認証処理を実行する(ステップS13)。
認証サーバ装置130が認証方式を指定し,第1クライアント装置120(1)が指定された認証方式を実行する。このとき,複数の認証プロトコルを処理できるが,可搬媒体110を利用した認証プロトコルを実施することが望ましい。たとえば,可搬媒体110に格納された公開鍵証明書(クレデンシャルの一種)を利用して,可搬媒体110を認証する。この場合,可搬媒体110を保持する利用者がサービス利用装置140からのサービスを享受する権原を有することになる。 (3) In response to the request, the first client device 120 (1) executes the agreed authentication process (step S13).
The authentication server device 130 designates the authentication method, and the first client device 120 (1) executes the designated authentication method. At this time, a plurality of authentication protocols can be processed, but it is desirable to implement an authentication protocol using the portable medium 110. For example, the portable medium 110 is authenticated using a public key certificate (a kind of credential) stored in the portable medium 110. In this case, the user who holds the portable medium 110 has the right to enjoy the service from the service using device 140.

1)認証サーバ装置130の可搬媒体認証部132が,次ステップにおける認証状態情報の格納対象となる可搬媒体110を確認する(通信ピアの確認)。この確認に先立って,第1クライアント装置120(1)は,利用者に対して,可搬媒体110の第1クライアント装置120(1)への接続を要求する旨を表示する。   1) The portable medium authentication unit 132 of the authentication server device 130 confirms the portable medium 110 that is a storage target of authentication status information in the next step (confirmation of communication peer). Prior to this confirmation, the first client device 120 (1) displays to the user a request to connect the portable medium 110 to the first client device 120 (1).

2)接続を確認後,第1クライアント装置120(1)の認証クライアント部126は,可搬媒体110に格納されるクレデンシャルを読み出して,認証処理のクライアント側処理を実行する(可搬媒体110の認証)。
なお,可搬媒体110からクレデンシャルを直接読み出さず,クレデンシャルに基づいて暗号学的に処理された情報(認証プロトコルの認証アルゴリズムで必要なMAC値またはディジタル署名値など)を可搬媒体110に要求してもよい。クレデンシャルを直接読み出す場合には,可搬媒体110および第1クライアント装置120(1)双方の通信ピア認証部112,125が,相互に通信ピアを認証することが望ましい。 2) After confirming the connection, the authentication client unit 126 of the first client device 120 (1) reads the credentials stored in the portable medium 110 and executes the client side process of the authentication process (of the portable medium 110). Authentication).
In addition, the credential is not directly read from the portable medium 110, and information (such as a MAC value or a digital signature value necessary for an authentication algorithm of the authentication protocol) that is cryptographically processed based on the credential is requested to the portable medium 110. May be. When reading the credentials directly, it is desirable that the communication peer authentication units 112 and 125 of both the portable medium 110 and the first client device 120 (1) mutually authenticate the communication peer.

3)通信ピアの認証が成功し,かつ情報提供が可能であると判断された場合,可搬媒体110の情報を第1クライアント装置120(1)に送信できる。上述の認証処理が成功した場合は,次のステップS14へ進む。いずれかの認証処理が失敗した場合は処理を終了するか,もしくは本ステップS13を規定回数再試行してもよい。   3) When it is determined that authentication of the communication peer is successful and information can be provided, the information on the portable medium 110 can be transmitted to the first client device 120 (1). If the above authentication process is successful, the process proceeds to the next step S14. If any of the authentication processes fails, the process may be terminated, or step S13 may be retried a predetermined number of times.

(4) 認証サーバ装置130は,第1クライアント装置120(1)で実施された認証処理内容を検証することにより,シングルサインオンの初期認証結果の成否を判断する。この結果が成功であると判断されれば,ログインを許可し,それを証明する情報として認証状態情報を発行する(ステップS14)。
認証サーバ装置130が発行する際に利用する発行クレデンシャル(公開鍵証明書対の秘密鍵など)や発行を許可するか否かの発行ポリシといった,発行に必要な情報は事前に認証サーバ装置130の情報保管部136に格納されているものとする。 (4) The authentication server device 130 determines the success or failure of the initial authentication result of single sign-on by verifying the contents of the authentication processing performed by the first client device 120 (1). If it is determined that the result is successful, login is permitted, and authentication status information is issued as information to prove it (step S14).
Information necessary for issuance, such as issuance credentials (such as a private key of a public key certificate pair) used when the authentication server device 130 is issued and an issuance policy for whether or not to permit issuance, are stored in advance in the authentication server device 130. It is assumed that the information is stored in the information storage unit 136.

このときの認証状態情報には,認証ステートメント要素を含むSAML認証アサーションを利用できる。
なお,認証状態情報を可搬媒体110固有の暗号化鍵で暗号化することが望ましい。認証状態情報全体を暗号化してもよく,その一部分のみを暗号化してもよい。また,暗号化鍵は,事前共有しても良いし,ステップS13で実行された認証プロトコルを介して交換してもよい。
発行した認証状態情報は認証サーバ装置130内の認証状態情報送信部134および認証状態情報管理部135に通知される。 As the authentication status information at this time, a SAML authentication assertion including an authentication statement element can be used.
It is desirable to encrypt the authentication status information with an encryption key unique to the portable medium 110. The entire authentication status information may be encrypted, or only a part thereof may be encrypted. The encryption key may be shared in advance or may be exchanged via the authentication protocol executed in step S13.
The issued authentication status information is notified to the authentication status information transmission unit 134 and the authentication status information management unit 135 in the authentication server device 130.

(5) 認証サーバ装置130の認証状態情報送信部134は,ステップS14で発行した認証状態情報を,第1クライアント装置120(1)に送信する(ステップS15)。
(6) 第1クライアント装置120(1)は,第2通信部121bを介して,受領した認証状態情報を可搬媒体110に格納する。可搬媒体110は,受領した認証状態情報を情報記憶部115に格納する(ステップS16)。 (5) The authentication status information transmission unit 134 of the authentication server device 130 transmits the authentication status information issued in step S14 to the first client device 120 (1) (step S15).
(6) The first client device 120 (1) stores the received authentication status information in the portable medium 110 via the second communication unit 121b. The portable medium 110 stores the received authentication status information in the information storage unit 115 (step S16).

B.事後認証
(1) 第2クライアント装置120(2)からサービス提供装置140にサービスの提供を要求する(ステップS21)。
(2) サービス提供装置140は,第2クライアント装置120(2)に対して認証状態情報の取得(即ち,認証処理の実施)を要求する(ステップS22)。 B. Post-authentication (1) The second client device 120 (2) requests the service providing device 140 to provide a service (step S21).
(2) The service providing device 140 requests the second client device 120 (2) to acquire authentication status information (that is, perform authentication processing) (step S22).

(3) 第2クライアント装置120(2)からの要求に応じて,可搬媒体110が認証状態情報を提供する(ステップS23)。この認証に先立って,可搬媒体110,第2クライアント装置120(2)間で双方向認証処理もしくは要求側の片方向認証(通信ピアの確認)を実施することが望ましい。
(4) 第2クライアント装置120(2)は,サービス提供装置140に対して,取得した認証状態情報を提出する(ステップS24)。 (3) In response to a request from the second client device 120 (2), the portable medium 110 provides authentication status information (step S23). Prior to this authentication, it is desirable to perform bidirectional authentication processing or one-way authentication on the requesting side (confirmation of communication peer) between the portable medium 110 and the second client device 120 (2).
(4) The second client device 120 (2) submits the acquired authentication status information to the service providing device 140 (step S24).

(5) サービス提供装置140は,認証サーバ装置130との間で提出された認証状態情報を確認する(ステップS25)。
即ち,サービス提供装置140は,認証状態情報の正当性を検証し,記載されている情報(例えば,どのようなユーザなのか)を確認して,サービスを提供してよいかどうかを判断する。
サービス提供装置140が提供されたのが認証状態情報そのものではなく,参照情報(SAMLアーティファクトなど)の場合は,サービス提供装置140から認証サーバ装置130に認証状態情報を問い合わせてもよい。認証状態情報に関連付けられたシングルサインオンのセッション状態を,サービス提供装置140から認証サーバ装置130に問い合わせてもよい。 (5) The service providing apparatus 140 confirms the authentication status information submitted with the authentication server apparatus 130 (step S25).
That is, the service providing apparatus 140 verifies the validity of the authentication status information, confirms the described information (for example, what kind of user it is), and determines whether the service can be provided.
If the service providing apparatus 140 is not the authentication status information itself but the reference information (SAML artifact or the like), the service providing apparatus 140 may inquire the authentication server apparatus 130 about the authentication status information. The service providing apparatus 140 may inquire the authentication server apparatus 130 about the single sign-on session state associated with the authentication state information.

(6) サービスを提供してよいと判断すれば,第2クライアント装置120(2)に対してサービスを提供する(ステップS26)。なお,サービスの提供を拒否すると判断すれば,サービス要求を破棄する。 (6) If it is determined that the service can be provided, the service is provided to the second client device 120 (2) (step S26). If it is determined that service provision is rejected, the service request is discarded.

以上のようにして,可搬媒体110を用いてシングルサインオンを実現可能である。すなわち,初期認証処理を異なる装置(クライアント装置120)上で都度実施する必要がなくなり,異なる装置でシングルサインオンが可能となる。   As described above, single sign-on can be realized using the portable medium 110. That is, it is not necessary to perform the initial authentication process on a different device (client device 120) each time, and single sign-on can be performed on a different device.

この結果,特定の装置(第1クライアント装置110(1))のみに強力なユーザ認証機能を実装して初期認証を実施し,一方,他の装置では初期認証を不要とすることができる。例えば,バイオメトリック装置(例えば,生体スキャナ)を特定の装置にみに接続して初期認証を実行し,事後認証は比較的簡略な他の装置(例えば,情報家電など)で実行できる。   As a result, it is possible to implement a strong user authentication function only in a specific device (first client device 110 (1)) to perform initial authentication, while other devices can make initial authentication unnecessary. For example, a biometric device (for example, a biological scanner) is connected only to a specific device to perform initial authentication, and post-authentication can be performed by another device (for example, an information appliance) that is relatively simple.

認証状態情報を暗号化することで,基となる認証状態情報を外部に公開することなく,クライアント装置110でシングルサインオンを実行できる。   By encrypting the authentication status information, the client device 110 can execute single sign-on without exposing the authentication status information that is the basis to the outside.

(第2の実施形態)
以下,本発明の第2の実施形態を説明する。
本実施形態では,認証状態情報に基づいた副認証状態情報をクライアント装置120に提供することで,認証状態情報の不正利用を防止する。 (Second Embodiment)
The second embodiment of the present invention will be described below.
In this embodiment, by providing sub-authentication status information based on the authentication status information to the client device 120, unauthorized use of the authentication status information is prevented.

図7は,本実施形態に係る可搬媒体210の内部構成を表すブロック図である。
可搬媒体210は,可搬媒体110の構成要素(通信部111と,通信ピア認証部112と,認証状態情報格納部113と,情報提供部114と,情報保管部115)に発行決定部216,副認証状態情報発行部217が追加されている。
発行決定部216は,副認証状態情報の発行の可否を決定する。
副認証状態情報発行部217は,副認証状態情報を発行ポリシに従って発行する。 FIG. 7 is a block diagram showing the internal configuration of the portable medium 210 according to this embodiment.
The portable medium 210 is a component of the portable medium 110 (the communication unit 111, the communication peer authentication unit 112, the authentication status information storage unit 113, the information providing unit 114, and the information storage unit 115) and the issue determination unit 216. , A sub-authentication status information issuing unit 217 is added.
The issue determination unit 216 determines whether or not the sub authentication status information can be issued.
The sub authentication status information issuing unit 217 issues the sub authentication status information according to the issue policy.

以下,認証状態情報と副認証状態情報の関係につき説明する。
SAML V2.0を例にとって説明すると,ある認証アサーション(original assertion。以降,基本アサーションと表記する)からその子関係にあたるアサーション(subsequent assertion。以降,後継アサーションと表記する)を生成する。基本アサーション,後継アサーションがそれぞれ認証状態情報と副認証状態情報に対応する。 The relationship between authentication status information and sub-authentication status information will be described below.
For example, SAML V2.0 is used to generate an assertion (subsequent assertion, hereinafter referred to as a successor assertion) from a certain authentication assertion (original assertion, hereinafter referred to as a basic assertion). Basic assertion and successor assertion correspond to authentication status information and sub-authentication status information, respectively.

後継アサーションは,基本アサーションの正当性に基づいて発行されるアサーションである。例えば,公開鍵証明書のルート証明書と,ルート証明書によって発行される個々の公開鍵証明書のような関係にあたる。このとき重要なのは,上位の証明書であるルート証明書が,その下位に位置する個別の公開鍵証明書を証明(保証)しているということである。なお,後継アサーションを発行する対象(例えば,特定のクライアント装置120)を制限してもよい。   A successor assertion is an assertion issued based on the validity of the basic assertion. For example, the relationship is like a root certificate of a public key certificate and individual public key certificates issued by the root certificate. What is important at this time is that the root certificate, which is a higher-level certificate, proves (guarantees) an individual public-key certificate positioned below it. In addition, you may restrict | limit the object (for example, specific client apparatus 120) which issues a succession assertion.

図8は,基本アサーションの制約情報の表現例を示す図である。
制約情報は,第2クライアント装置120(2)の振る舞いを制約する。ここでは,制約情報の例として,SAML V2.0におけるSAMLアサーションの一部として,<Condition>要素中の<ProxyRestriction>要素を挙げている。 FIG. 8 is a diagram illustrating a representation example of basic assertion constraint information.
The restriction information restricts the behavior of the second client device 120 (2). Here, as an example of constraint information, the <ProxyRestriction> element in the <Condition> element is cited as part of the SAML assertion in SAML V2.0.

<ProxyRestriction>要素は,後継アサーションを生成可能かどうかについて制約するための要素である。
ここでは,<ProxyRestriction>要素のCount属性の値として”1”を設定している。これは,基本アサーションに基づいて後継アサーションを1段階のみ生成可能であることを示しており,後継アサーションからさらに後継アサーションを生成することを禁止している。この値は,後継アサーションを生成可能な設定値(即ち”1”以上)であればよい。 The <ProxyRestriction> element is an element for restricting whether successor assertions can be generated.
Here, "1" is set as the value of the Count attribute of the <ProxyRestriction> element. This indicates that only one stage of successor assertion can be generated based on the basic assertion, and it is prohibited to generate further successor assertions from the succeeding assertions. This value may be a set value (that is, “1” or more) that can generate a succeeding assertion.

後継アサーションを生成可能なエンティティを指定するための要素として<ProxyRestriction>要素中に<Audience>要素を含めることができる。
<Audience>要素の値は,一般的にはURI表記等を利用するが,ここでは説明を簡易にするためにクライアント名として「CLIENT2」(図では斜体表記)を用いることとする。このクライアント名「CLIENT2」は,第2クライアント装置120(2)を一意に識別可能な識別情報である。 An <Audience> element can be included in the <ProxyRestriction> element as an element for designating an entity that can generate a successor assertion.
The value of the <Audience> element generally uses URI notation, but “CLIENT2” (in italic notation in the figure) is used as the client name here to simplify the explanation. The client name “CLIENT2” is identification information that can uniquely identify the second client device 120 (2).

クライアント名「CLIENT2」は,事後認証を実行する機構(サービス提供装置140)で利用されるクライアント装置120を識別する識別情報と一致することが望ましい。例えば,第2クライアント装置120(2)を認証するためにTLS(Transport Layer Security)等を用いるであれば,クライアント名「CLIENT2」は事後認証のためのX.509公開鍵証明書に記述されるサブジェクト名と一致していることが望ましい。また,第2クライアント装置120(2)を認証するためにSAMLの認証アサーションを利用するのであれば,この認証アサーション中の認証ステートメントに含まれるであろう<Subject>要素で示される識別情報とクライアント名「CLIENT2」とが一致することが望ましい。   It is desirable that the client name “CLIENT2” matches the identification information for identifying the client device 120 used by the mechanism (service providing device 140) that performs the post-authentication. For example, if TLS (Transport Layer Security) or the like is used to authenticate the second client device 120 (2), the client name “CLIENT2” is described in the X.509 public key certificate for post-authentication. It should match the subject name. Further, if the SAML authentication assertion is used to authenticate the second client device 120 (2), the identification information indicated by the <Subject> element and the client that will be included in the authentication statement in the authentication assertion. The name “CLIENT2” should match.

第2クライアント装置120(2)以外のクライアント装置に,第2クライアント装置120(2)と同様の振る舞いを許可する場合には,そのクライアント装置に対応した<Audience>要素を追加してもよい。   When allowing a client device other than the second client device 120 (2) to behave in the same manner as the second client device 120 (2), an <Audience> element corresponding to the client device may be added.

<Subject>要素は,利用者を識別するための識別情報が記述される。ここでは,識別情報として「USER」を用いることとする。   In the <Subject> element, identification information for identifying the user is described. Here, “USER” is used as identification information.

後継アサーションの権限等は,基本的に基本アサーションの権限を継承するが,個々の後継アサーションの利用制御を想定した要素や属性を追加してもよい。
図9は,後継アサーションの一部の表現例を示す図である。
後継アサーションでも,前述の基本アサーションと同様に,<Condition>要素等で制約条件を表現可能である。例えば,アサーション自体の有効開始時刻(NotBefore属性)や有効期限(NotOnOrAfter属性)を示す条件を追加可能である。
ただし,これら属性は基本アサーションが持つ条件の範囲内の値を設定する。 The authority of the succeeding assertion basically inherits the authority of the basic assertion, but elements and attributes that are assumed to be used for controlling the use of each succeeding assertion may be added.
FIG. 9 is a diagram illustrating a partial expression example of the successor assertion.
In the succeeding assertion, the constraint condition can be expressed by the <Condition> element and the like, as in the basic assertion described above. For example, it is possible to add a condition indicating the valid start time (NotBefore attribute) and the valid period (NotOnOrAfter attribute) of the assertion itself.
However, for these attributes, values within the range of the conditions of the basic assertion are set.

また,アサーションを利用することのできるパーティの制約条件を<AudienceRistriction>要素に示すことができる。本実施形態では,サービス提供装置140の識別情報を,この<AudienceRistriction>要素の<Audience>要素で指定している(本図では,URL表記「」を利用している)。これにより,後継アサーションを消費可能なサービス提供装置140を制約することが可能である。
これら情報については,必要があれば追加すればよく,実装における情報交換の処理性能等の制約に応じて選択的に利用すればよい。 In addition, the <AudienceRistriction> element can indicate the restriction conditions of parties that can use assertions. In the present embodiment, the identification information of the service providing device 140 is specified by the <Audience> element of the <AudienceRistriction> element (in this figure, the URL notation “” is used). Thereby, it is possible to restrict the service providing apparatus 140 that can consume the successor assertion.
These pieces of information may be added if necessary, and may be selectively used according to restrictions such as information exchange processing performance in implementation.

後継アサーションの発行対象者を示す<Subject>要素には,利用者を識別するために,基本アサーションと同じサブジェクト名「USER」が記述される。
エビデンスとなるアサーションへの参照情報を<Advice>要素として記述している。<Advice>要素中の<AssertionIDRef>要素に基本アサーションのアサーションID(本図では,「original assertion ID」として斜体表記)を含めている。URI参照の場合は<AssertionURIRef>要素,アサーションそのものの場合は<Assertion>要素,暗号化されたアサーションの場合は<EncryptedAssertion>によって基本アサーションが識別される。これにより,基本アサーションと後継アサーションとを関連付けている。なお,この他の要素を適宜に利用して,基本アサーションと後継アサーションとを関連付けることも可能である。 In the <Subject> element indicating the issuer of the successor assertion, the same subject name “USER” as the basic assertion is described in order to identify the user.
Reference information to the assertion as evidence is described as an <Advice> element. The <AssertionIDRef> element in the <Advice> element includes the assertion ID of the basic assertion (in this figure, italicized as “original assertion ID”). A basic assertion is identified by an <AssertionURIRef> element for a URI reference, an <Assertion> element for an assertion itself, and an <EncryptedAssertion> for an encrypted assertion. This associates the basic assertion with the successor assertion. It is also possible to associate the basic assertion with the succeeding assertion by appropriately using other elements.

後継アサーションに記載された基本アサーションを参照するための情報,もしくは基本アサーションそのものを参照するための情報を,発行したオーソリティ(認証サーバ装置130)に問い合わせる。この結果,基本アサーション(認証状態情報)を公開することなく,後継アサーション(副認証状態情報)の正当性を確認することが可能となる。
なお,図8及び図9で示した各要素及び属性は,接頭辞等の表記を省略している。 The issued authority (authentication server device 130) is inquired about information for referring to the basic assertion described in the succeeding assertion or information for referring to the basic assertion itself. As a result, it is possible to confirm the validity of the succeeding assertion (sub-authentication status information) without disclosing the basic assertion (authentication status information).
The elements and attributes shown in FIGS. 8 and 9 are omitted from the prefix and the like.

本実施形態ではSAMLアサーションを例にとって説明するが,副認証状態情報は,同様な要件を満たす情報構造体であればよい。例えば,X.509をベースにした属性証明書(An Internet Attribute Certificate Profile for Authorization:RFC3281)などを利用してもよい。属性証明書は,公開鍵証明書に基づいて発行される特定の主体が有する属性を証明するための情報構造体である。この場合,認証状態情報は,X.509公開鍵証明書となる。   In this embodiment, the SAML assertion will be described as an example. However, the sub-authentication state information may be an information structure that satisfies the same requirements. For example, an attribute certificate (An Internet Attribute Certificate Profile for Authorization: RFC3281) based on X.509 may be used. The attribute certificate is an information structure for proving the attribute of a specific subject issued based on the public key certificate. In this case, the authentication status information is an X.509 public key certificate.

(シングルサインオンシステム200の動作)
シングルサインオンシステム200の動作手順を説明する。
シングルサインオンシステム200の動作は,シングルサインオンシステム100と同様,初期認証フェーズ,事後認証フェーズに区分される。
シングルサインオンシステム200での初期認証フェーズは,シングルサインオンシステム100とほぼ同様である。即ち,認証サーバ装置130が発行した認証状態情報が可搬媒体210に格納される。従い,事後認証フェーズについて説明する。
図10は,シングルサインオンシステム200の事後認証フェーズでの動作手順の一例を表すフロー図である。 (Operation of the single sign-on system 200)
An operation procedure of the single sign-on system 200 will be described.
The operation of the single sign-on system 200 is divided into an initial authentication phase and a post-authentication phase, as in the single sign-on system 100.
The initial authentication phase in the single sign-on system 200 is almost the same as that in the single sign-on system 100. That is, the authentication status information issued by the authentication server device 130 is stored in the portable medium 210. Therefore, the post-authentication phase will be explained.
FIG. 10 is a flowchart showing an example of an operation procedure in the post-authentication phase of the single sign-on system 200.

(1) 第2クライアント装置120(2)からサービス提供装置140にサービスの提供を要求する(ステップS31)。
(2) サービス提供装置140は,第2クライアント装置120(2)に対して副認証状態情報の取得(即ち,認証処理の実施)を要求する(ステップS32)。 (1) The second client device 120 (2) requests the service providing device 140 to provide a service (step S31).
(2) The service providing device 140 requests the second client device 120 (2) to acquire the sub-authentication status information (that is, perform the authentication process) (step S32).

(3) 第2クライアント装置120(2)からの要求に応じて,可搬媒体210が副認証状態情報を提供する(ステップS33)。
1) 第2クライアント装置120(2)は,可搬媒体110に対して副認証状態情報の取得を要求する。
2) 可搬媒体210は,副認証状態情報の発行決定を判断する。発行が許可されれば,可搬媒体210が保持する認証状態情報から副認証状態情報を,内部に保持する発行ポリシに基づいて発行する。このとき,前記に示したような制約条件を設けてもよい。 (3) In response to a request from the second client device 120 (2), the portable medium 210 provides sub-authentication status information (step S33).
1) The second client device 120 (2) requests the portable medium 110 to acquire sub authentication status information.
2) The portable medium 210 determines whether to issue the sub authentication status information. If the issue is permitted, the sub-authentication status information is issued from the authentication status information held in the portable medium 210 based on the issue policy held inside. At this time, the constraint conditions as described above may be provided.

(4) 第2クライアント装置120(2)は,サービス提供装置140に対して,可搬媒体210から取得した副認証状態情報を提出する(ステップS34)。
(5) サービス提供装置140は,提出された副認証状態情報を確認する(ステップS35)。
このとき,可搬媒体210から認証状態情報が出力されない。このため,副認証状態情報に記述される認証状態情報の参照情報(例えば,SAMLで規定されるようなアサーションID参照要素やアサーションURI参照要素など)に基づいて,発行者である認証サーバ装置130に問い合わせる。この認証状態情報が正当であり,かつ記述内容及び署名部位が正当であると判断できたとき,副認証状態情報を正当とすることができる。 (4) The second client device 120 (2) submits the sub-authentication status information acquired from the portable medium 210 to the service providing device 140 (step S34).
(5) The service providing apparatus 140 confirms the submitted sub authentication status information (step S35).
At this time, authentication status information is not output from the portable medium 210. Therefore, based on the reference information (for example, an assertion ID reference element or an assertion URI reference element as defined in SAML) described in the sub-authentication state information, the authentication server apparatus 130 that is an issuer. Contact When it is determined that the authentication status information is valid and the description content and the signature part are valid, the sub-authentication status information can be validated.

(6) サービスを提供してよいと判断すれば,第2クライアント装置120(2)に対してサービスを提供する(ステップS36)。なお,サービスの提供を拒否すると判断すれば,サービス要求を破棄する。 (6) If it is determined that the service can be provided, the service is provided to the second client device 120 (2) (step S36). If it is determined that service provision is rejected, the service request is discarded.

(第3の実施形態)
以下,第3の実施形態に係るシングルサインオンシステム300につき説明する。本実施形態では,可搬媒体310が認証サーバ装置130と直接的に接続することを考える。
可搬媒体110が携帯電話のように,一般的なネットワーク接続機能(例えば,インターネット接続機能など)を有している場合,可搬媒体310が認証サーバ装置130と直接的に接続できる。すなわち,クライアント装置120を介さずに,可搬媒体110が認証状態情報を取得できる。 (Third embodiment)
Hereinafter, the single sign-on system 300 according to the third embodiment will be described. In the present embodiment, it is considered that the portable medium 310 is directly connected to the authentication server device 130.
When the portable medium 110 has a general network connection function (for example, an Internet connection function) like a mobile phone, the portable medium 310 can be directly connected to the authentication server device 130. That is, the portable medium 110 can acquire the authentication status information without going through the client device 120.

(シングルサインオンシステム300の動作)
以下,シングルサインオンシステム300の動作手順を説明する。
シングルサインオンシステム300では,可搬媒体310が認証サーバ装置130およびサービス提供装置140と直接接続し,可搬媒体310とクライアント装置120間での通信は行わない。 (Operation of the single sign-on system 300)
Hereinafter, an operation procedure of the single sign-on system 300 will be described.
In the single sign-on system 300, the portable medium 310 is directly connected to the authentication server apparatus 130 and the service providing apparatus 140, and communication between the portable medium 310 and the client apparatus 120 is not performed.

例えば,第1の実施形態で説明した図5の動作を考える。ステップS11〜S16には,第1クライアント装置120(1)の動作が含まれる。本実施形態では,図5の第1クライアント装置120(1)での動作は可搬媒体310で実行される。
また,図6の動作手順についても同様に,第1クライアント装置120(1)に代えて可搬媒体310で実行される。 For example, consider the operation of FIG. 5 described in the first embodiment. Steps S11 to S16 include the operation of the first client device 120 (1). In the present embodiment, the operation in the first client device 120 (1) in FIG.
Similarly, the operation procedure of FIG. 6 is executed by the portable medium 310 instead of the first client device 120 (1).

(その他の実施形態)
本発明の実施形態は上記の実施形態に限られず拡張,変更可能であり,拡張,変更した実施形態も本発明の技術的範囲に含まれる。 (Other embodiments)
Embodiments of the present invention are not limited to the above-described embodiments, and can be expanded and modified. The expanded and modified embodiments are also included in the technical scope of the present invention.

本発明の第1の実施形態に係るシングルサインオンシステムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the single sign-on system which concerns on the 1st Embodiment of this invention. 第1の実施形態に係る認証サーバ装置の内部構成の一例を表すブロック図である。It is a block diagram showing an example of an internal structure of the authentication server apparatus which concerns on 1st Embodiment. 第1の実施形態に係るクライアント装置の内部構成の一例を表すブロック図である。It is a block diagram showing an example of an internal structure of the client apparatus which concerns on 1st Embodiment. 第1の実施形態に係る可搬媒体の内部構成の一例を表すブロック図である。It is a block diagram showing an example of the internal structure of the portable medium which concerns on 1st Embodiment. 第1の実施形態に係るシングルサインオンシステムの初期認証フェーズでの動作手順の一例を表すフロー図である。It is a flowchart showing an example of the operation | movement procedure in the initial authentication phase of the single sign-on system which concerns on 1st Embodiment. 第1の実施形態に係るシングルサインオンシステムの事後認証フェーズでの動作手順の一例を表すフロー図である。It is a flowchart showing an example of the operation | movement procedure in the post-authentication phase of the single sign-on system which concerns on 1st Embodiment. 第2の実施形態に係る可搬媒体の内部構成を表すブロック図である。It is a block diagram showing the internal structure of the portable medium which concerns on 2nd Embodiment. 基本アサーションの制約情報の表現例を示す図である。It is a figure which shows the example of expression of the constraint information of a basic assertion. 後継アサーションの一部の表現例を示す図である。It is a figure which shows the example of a representation of a part of successor assertion. 第2の実施形態に係るシングルサインオンシステムの事後認証フェーズでの動作手順の一例を表すフロー図である。It is a flowchart showing an example of the operation | movement procedure in the post-authentication phase of the single sign-on system which concerns on 2nd Embodiment.

符号の説明Explanation of symbols

100…シングルサインオンシステム,110…可搬媒体,111…通信部,112…通信ピア認証部,113…認証状態情報格納部,114…情報提供部,115…情報保管部,120…クライアント装置,121a,121b 通信部,122…認証状態情報受領部,123…認証状態情報取得部,124…認証状態情報提供部,125…通信ピア認証部,126…認証クライアント部,127…情報保管部,128…制御部,129…ユーザインタフェース部,130…認証サーバ装置,131…通信部,132…可搬媒体認証部,133…認証状態情報発行部,134…認証状態情報送信部,135…認証状態情報管理部,136…情報保管部,140…サービス提供装置,200…シングルサインオンシステム,210…可搬媒体,216…発行決定部,217…副認証状態情報発行部   DESCRIPTION OF SYMBOLS 100 ... Single sign-on system, 110 ... Portable medium, 111 ... Communication part, 112 ... Communication peer authentication part, 113 ... Authentication status information storage part, 114 ... Information provision part, 115 ... Information storage part, 120 ... Client apparatus, 121a, 121b communication unit, 122 ... authentication status information receiving unit, 123 ... authentication status information acquisition unit, 124 ... authentication status information providing unit, 125 ... communication peer authentication unit, 126 ... authentication client unit, 127 ... information storage unit, 128 ... Control unit, 129 ... User interface unit, 130 ... Authentication server device, 131 ... Communication unit, 132 ... Portable medium authentication unit, 133 ... Authentication status information issue unit, 134 ... Authentication status information transmission unit, 135 ... Authentication status information Management unit, 136 ... information storage unit, 140 ... service providing device, 200 ... single sign-on system, 210 ... portable media 216 ... issue determining unit, 217 ... sub-authentication state information issuing unit

Claims (5)

第1,第2のクライアント装置,および認証サーバ装置を具備し,
前記第1のクライアント装置が,
可搬媒体からこの可搬媒体を識別する識別情報を読み出す読出部と,
前記認証サーバ装置へと前記読み出される識別情報を送信する送信部と,
前記認証サーバ装置から認証状態情報を受信する受信部と,
前記受信する認証状態情報を前記可搬媒体に書き込む書込部と,を有し,
前記第2のクライアント装置が,
可搬媒体から認証状態情報を読み出す読出部と,
前記読み出される認証状態情報を送信する送信部と,を有し,
前記認証サーバ装置が,
前記第1のクライアント装置から送信される識別情報を受信する第1の受信部と,
前記受信される識別情報に基づき,認証状態情報を発行する発行部と,
前記発行される認証状態情報を記憶する記憶部と,
前記発行される認証状態情報を前記第1のクライアント装置へと送信する送信部と,
前記第2のクライアント装置から送信される認証状態情報を受信する第2の受信部と,
前記受信される認証状態情報,および前記記憶される認証状態情報に基づき,認証処理を実行する認証部と,を有する
ことを特徴とする認証システム。 Comprising first and second client devices and an authentication server device;
The first client device is
A reading unit for reading identification information for identifying the portable medium from the portable medium;
A transmission unit for transmitting the read identification information to the authentication server device;
A receiving unit for receiving authentication status information from the authentication server device;
A writing unit for writing the received authentication status information to the portable medium,
The second client device is
A reading unit for reading authentication status information from a portable medium;
A transmission unit for transmitting the read authentication status information,
The authentication server device is
A first receiver for receiving identification information transmitted from the first client device;
An issuing unit for issuing authentication status information based on the received identification information;
A storage unit for storing the issued authentication status information;
A transmission unit for transmitting the issued authentication status information to the first client device;
A second receiver for receiving authentication status information transmitted from the second client device;
An authentication system, comprising: an authentication unit that executes an authentication process based on the received authentication status information and the stored authentication status information. 前記認証サーバ装置が,
前記発行される認証状態情報を暗号化して暗号化認証状態情報を生成する暗号化部と,
暗号化認証状態情報を復号化し,認証状態情報を生成する復号化部と,をさらに有し,
前記送信部が,前記第1のクライアント装置へと前記生成される暗号化認証状態情報を送信し,
前記第2の受信部が,前記第2のクライアント装置から送信される暗号化認証状態情報を受信し,
前記認証部が,前記受信される暗号化認証状態情報から生成される認証状態情報,および前記記憶される認証状態情報に基づき,認証処理を実行する
ことを特徴とする請求項1記載の認証システム。 The authentication server device is
An encryption unit that encrypts the issued authentication status information to generate encrypted authentication status information;
A decryption unit for decrypting the encrypted authentication status information and generating the authentication status information,
The transmitting unit transmits the generated encrypted authentication status information to the first client device;
The second receiving unit receives the encrypted authentication status information transmitted from the second client device;
The authentication system according to claim 1, wherein the authentication unit executes an authentication process based on authentication state information generated from the received encrypted authentication state information and the stored authentication state information. . 前記可搬媒体が,
前記認証サーバ装置で発行される認証状態情報を記憶する記憶部と,
前記記憶される認証状態情報に基づき,権限を委譲するための副認証状態情報を発行する発行部と,
前記第2のクライアント装置からの要求に応じて,前記発行される副認証状態情報を提供する提供部と,を有し,
前記第2のクライアント装置の送信部が,前記提供される副認証状態情報を送信し,
前記認証サーバ装置の第2の受信部が,副認証状態情報を受信し,
前記認証サーバ装置の認証部が,前記受信される副認証状態情報,および前記記憶される認証状態情報に基づき,認証処理を実行する,
ことを特徴とする請求項1記載の認証システム。 The portable medium is
A storage unit for storing authentication status information issued by the authentication server device;
An issuing unit for issuing sub-authentication status information for delegating authority based on the stored authentication status information;
A providing unit for providing the issued sub-authentication status information in response to a request from the second client device;
A transmission unit of the second client device transmits the provided sub-authentication status information;
A second receiving unit of the authentication server device receives the sub-authentication state information;
An authentication unit of the authentication server device executes an authentication process based on the received sub-authentication state information and the stored authentication state information;
The authentication system according to claim 1. 前記発行される認証状態情報が,前記前記第2のクライアント装置を副認証状態情報の提供対象として識別する情報を含む,
ことを特徴とする請求項3記載の認証システム。 The issued authentication status information includes information for identifying the second client device as a provision target of sub-authentication status information;
The authentication system according to claim 3. 第1,第2のクライアント装置,および認証サーバ装置を用いる認証方法であって,
前記第1のクライアント装置が,可搬媒体からこの可搬媒体を識別する識別情報を読み出すステップと,
前記第1のクライアント装置が,前記認証サーバ装置へと前記読み出される識別情報を送信するステップと,
前記認証サーバ装置が,前記第1のクライアント装置から送信される識別情報を受信するステップと,
前記認証サーバ装置が,前記受信される識別情報に基づき,認証状態情報を発行するステップと,
前記認証サーバ装置が,前記発行される認証状態情報を記憶するステップと,
前記認証サーバ装置が,前記第1のクライアント装置へと前記発行される認証状態情報を送信するステップと,
前記第1のクライアント装置が,前記認証サーバ装置から送信される認証状態情報を受信するステップと,
前記第1のクライアント装置が,前記受信する認証状態情報を可搬媒体に書き込むステップと,
前記第2のクライアント装置が,前記可搬媒体から認証状態情報を読み出すステップと,
前記第2のクライアント装置が,前記読み出した認証状態情報を送信するステップと,
前記認証サーバ装置が,認証状態情報を受信するステップと,
前記認証サーバ装置が,前記受信される認証状態情報,および前記記憶される認証状態情報に基づき,認証処理を実行するステップと,
を具備することを特徴とする認証システム。 An authentication method using a first and second client device and an authentication server device,
The first client device reading identification information identifying the portable medium from the portable medium;
The first client device transmitting the read identification information to the authentication server device;
The authentication server device receiving identification information transmitted from the first client device;
The authentication server device issuing authentication status information based on the received identification information;
The authentication server device storing the issued authentication status information;
The authentication server device transmitting the issued authentication status information to the first client device;
The first client device receiving authentication status information transmitted from the authentication server device;
The first client device writing the received authentication status information to a portable medium;
The second client device reads authentication status information from the portable medium;
The second client device transmitting the read authentication status information;
The authentication server device receiving authentication status information;
The authentication server device executing an authentication process based on the received authentication status information and the stored authentication status information;
An authentication system comprising:
JP2006178562A 2006-06-28 2006-06-28 Authentication system and authentication method Active JP4950573B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006178562A JP4950573B2 (en) 2006-06-28 2006-06-28 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006178562A JP4950573B2 (en) 2006-06-28 2006-06-28 Authentication system and authentication method

Publications (2)

Publication Number Publication Date
JP2008009644A true JP2008009644A (en) 2008-01-17
JP4950573B2 JP4950573B2 (en) 2012-06-13

Family

ID=39067815

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006178562A Active JP4950573B2 (en) 2006-06-28 2006-06-28 Authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP4950573B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010224022A (en) * 2009-03-19 2010-10-07 Hitachi Ltd Terminal system for guaranteeing authenticity, terminal, and terminal management server
JP2013114530A (en) * 2011-11-30 2013-06-10 Konica Minolta Business Technologies Inc Network system, information processing device and control method thereof, and computer program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007354A (en) * 2000-06-22 2002-01-11 Melco Inc System and device for providing connection service
JP2003030143A (en) * 2001-04-30 2003-01-31 Matsushita Electric Ind Co Ltd Computer network security system employing portable storage device
JP2004302921A (en) * 2003-03-31 2004-10-28 Toshiba Corp Device authenticating apparatus using off-line information and device authenticating method
JP2007241591A (en) * 2006-03-08 2007-09-20 Hitachi Medical Corp Server/client system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007354A (en) * 2000-06-22 2002-01-11 Melco Inc System and device for providing connection service
JP2003030143A (en) * 2001-04-30 2003-01-31 Matsushita Electric Ind Co Ltd Computer network security system employing portable storage device
JP2004302921A (en) * 2003-03-31 2004-10-28 Toshiba Corp Device authenticating apparatus using off-line information and device authenticating method
JP2007241591A (en) * 2006-03-08 2007-09-20 Hitachi Medical Corp Server/client system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010224022A (en) * 2009-03-19 2010-10-07 Hitachi Ltd Terminal system for guaranteeing authenticity, terminal, and terminal management server
JP2013114530A (en) * 2011-11-30 2013-06-10 Konica Minolta Business Technologies Inc Network system, information processing device and control method thereof, and computer program

Also Published As

Publication number Publication date
JP4950573B2 (en) 2012-06-13

Similar Documents

Publication Publication Date Title
CN110138718B (en) Information processing system and control method thereof
TWI429256B (en) Authentication delegation based on re-verification of cryptographic evidence
US7113994B1 (en) System and method of proxy authentication in a secured network
RU2297037C2 (en) Method for controlling protected communication line in dynamic networks
EP1927211B1 (en) Authentication method and apparatus utilizing proof-of-authentication module
US9130758B2 (en) Renewal of expired certificates
JP6061633B2 (en) Device apparatus, control method, and program thereof.
US20120295587A1 (en) Trusted mobile device based security
EP1117204A2 (en) Authorization infrastructure based on public key cryptography
EP2553894B1 (en) Certificate authority
JP2019046059A (en) Delegation-of-authority system, control method and program
JP2008506317A (en) Secure messaging system using derived key
US8397281B2 (en) Service assisted secret provisioning
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
JP5992535B2 (en) Apparatus and method for performing wireless ID provisioning
JP6571890B1 (en) Electronic signature system, certificate issuing system, certificate issuing method and program
CN113411187B (en) Identity authentication method and system, storage medium and processor
GB2554082A (en) User sign-in and authentication without passwords
JP6465426B1 (en) Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
JP4950573B2 (en) Authentication system and authentication method
JP7043480B2 (en) Information processing system and its control method and program
WO2007108114A1 (en) Domain participation method, attribute certificate selection method, communication terminal, ic card, ce device, attribute certificate issuing station, and content server
JP5860421B2 (en) Decoding method and decoding system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090311

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111026

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111101

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111222

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20111222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20111222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120309

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4950573

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350