JP2008129673A - User authentication system and method, gateway for use therein, program, and recording medium - Google Patents
User authentication system and method, gateway for use therein, program, and recording medium Download PDFInfo
- Publication number
- JP2008129673A JP2008129673A JP2006311095A JP2006311095A JP2008129673A JP 2008129673 A JP2008129673 A JP 2008129673A JP 2006311095 A JP2006311095 A JP 2006311095A JP 2006311095 A JP2006311095 A JP 2006311095A JP 2008129673 A JP2008129673 A JP 2008129673A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- gateway
- user
- authentication information
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明はネットワーク上で認証を必要とするサービスを利用する際のユーザ(利用者)の認証を行うシステム及びその方法に関する。 The present invention relates to a system and method for authenticating a user (user) when using a service that requires authentication on a network.
従来、ネットワークを介したサービスを受けるユーザの認証や電子署名を行う方式として、公開鍵及び秘密鍵からなる一対の利用者の鍵ペアと、公開鍵を証明する公開鍵証明書とを用いた公開鍵インフラストラクチャ(Public Key Infrastructure、以下PKIと称する)や、ケルベロス(Kerberos)等のようにチケット発行サーバ(Ticket Granting Server、以下TGSと称する)によって発行されるチケットを用いたチケット方式が知られている。
しかし、PKIにおいては通常、公開鍵及び公開鍵証明書は長寿命で運用されるため、証明書失効管理のオーバーヘッドが運用コスト増大の要因となっていた。また、ユーザが同一の公開鍵を多目的に使いまわすことになるため、ユーザが利用したサービスの履歴を蓄積することが可能になり、ユーザのプライバシーが損なわれるといった問題があった。
Conventionally, as a method of authenticating a user who receives a service via a network and performing an electronic signature, a public key and a public key certificate that certifies the public key and a public key certificate that certifies the public key are used. There is known a ticket system using a ticket issued by a ticket issuing server (Ticket Granting Server, hereinafter referred to as TGS) such as a key infrastructure (Public Key Infrastructure, hereinafter referred to as PKI) or Kerberos. Yes.
However, in the PKI, public keys and public key certificates are usually operated with a long lifetime, so the overhead of certificate revocation management has been a factor in increasing operational costs. In addition, since the user uses the same public key for multiple purposes, it is possible to accumulate a history of services used by the user, and the user's privacy is impaired.
また、チケット方式においてはサービスを提供する側及びサービスを受ける側がそれぞれ共有するマスター鍵をTGSが管理する必要があるため、マスター鍵の管理が煩雑になり、秘匿性が低下することにより、安全性が低下するといった問題があった。
PKIやチケット方式の問題を改善しようとするものとして、例えば特許文献1に有効期間が短い公開鍵証明書と鍵ペアを生成する方法が開示されている。
図14に特許文献1に示された公開鍵認証方法を示す。クライアント10はリクエストメッセージを鍵配布センター20に送る。鍵配布センター20はリクエストメッセージに応答して有効期間の短い公開−秘密鍵ペアと公開鍵証明書を生成し、鍵ペアを格納すると共に、鍵ペアと公開鍵証明書をクライアント10に配送する。クライアント10は入手した公開鍵とその証明書を用いてPK制御資源30にサービス要求を行う。
鍵の有効期間を短くすることで、同一鍵の多目的の利用を制限し、かつ鍵の管理を簡素化することができる。
For example, Patent Document 1 discloses a method of generating a public key certificate and a key pair with a short validity period as an attempt to improve the problem of PKI and ticket systems.
FIG. 14 shows the public key authentication method disclosed in Patent Document 1. The
By shortening the key validity period, multipurpose use of the same key can be restricted, and key management can be simplified.
しかしながら、上記したような従来の技術では、鍵ペアをクライアントに配送するために、鍵ペアをネットワーク上に送出するのでクライアント側と鍵配布センターとの間で両者が交換する情報をすりかえる中間者攻撃(man-in-the-middle attack)等の攻撃の可能性があり、安全性が低下するといった問題があった。
この発明の目的はこのような問題に鑑み、従来のものと比較して攻撃に対する安全性を向上させることができ、かつユーザの利便性を向上させることができるユーザ認証システムを提供することにある。
However, in the conventional technology as described above, since the key pair is sent over the network to deliver the key pair to the client, the man-in-the-middle attack that exchanges information exchanged between the client side and the key distribution center. (Man-in-the-middle attack) and the like, and there is a problem that safety is lowered.
In view of such problems, an object of the present invention is to provide a user authentication system that can improve security against attacks and improve user convenience as compared to the conventional one. .
この発明によれば、ネットワーク上でサービスを利用するユーザの認証を行うシステムは、第1のネットワーク上のユーザ端末と、第2のネットワーク上のサービス提供サーバと、それら第1のネットワークと第2のネットワークとを接続するゲートウェイとによって構成され、ゲートウェイは鍵ペアを生成する手段と、その生成した鍵ペアを記憶する手段と、鍵ペアの公開鍵に対応する証明書を生成する手段と、その生成した証明書を記憶する手段と、鍵ペアの秘密鍵と前記証明書とを用いてユーザの認証情報を生成する手段とを備え、サービス提供サーバはユーザ端末からサービスの提供を要求されると、ゲートウェイにおける前記認証情報の生成を要求し、その生成された認証情報を検証して正当であればユーザ端末に対してサービスを提供する構成とされる。 According to the present invention, a system for authenticating a user who uses a service on a network includes a user terminal on the first network, a service providing server on the second network, the first network and the second network. A gateway that connects to the network of the gateway, the gateway generating means for key pair, means for storing the generated key pair, means for generating a certificate corresponding to the public key of the key pair, and Means for storing the generated certificate, and means for generating user authentication information using the private key of the key pair and the certificate, and the service providing server is requested to provide the service from the user terminal Request the generation of the authentication information in the gateway, verify the generated authentication information, and if it is valid, service to the user terminal It is configured to provide.
さらに、この発明によれば、ネットワーク上でサービスを利用するユーザの認証を行うシステムは、第1のネットワーク上のユーザ端末と、第2のネットワーク上のサービス提供サーバ及び証明書発行サーバと、それら第1のネットワークと第2のネットワークとを接続するゲートウェイとによって構成され、ゲートウェイはユーザの第1の認証情報を生成する手段と、その第1の認証情報の証明書発行サーバにおける認証に基づき、鍵ペアを生成する手段と、その生成した鍵ペアを記憶する手段と、証明書発行サーバより受信した前記鍵ペアの公開鍵に対応する証明書を記憶する手段と、前記鍵ペアの秘密鍵と前記証明書とを用いてユーザの第2の認証情報を生成する手段とを備え、証明書発行サーバはゲートウェイより受信した第1の認証情報を検証する手段と、ゲートウェイより受信した公開鍵に対応する証明書を生成する手段とを備えており、サービス提供サーバはユーザ端末からサービスの提供を要求されると、ゲートウェイにおける第2の認証情報の生成を要求し、その生成された第2の認証情報を検証して正当であればユーザ端末に対してサービスを提供する構成とされる。 Furthermore, according to the present invention, a system for authenticating a user who uses a service on a network includes a user terminal on a first network, a service providing server and a certificate issuing server on a second network, and A gateway connecting the first network and the second network, the gateway based on means for generating first authentication information of the user and authentication of the first authentication information in the certificate issuing server; Means for generating a key pair; means for storing the generated key pair; means for storing a certificate corresponding to a public key of the key pair received from a certificate issuing server; and a secret key of the key pair; Means for generating second authentication information of the user using the certificate, and the certificate issuing server receives the first authentication received from the gateway. Means for verifying information, and means for generating a certificate corresponding to the public key received from the gateway. When the service providing server is requested to provide the service, the second authentication in the gateway It is configured to request generation of information, verify the generated second authentication information, and provide a service to the user terminal if it is valid.
この発明によるユーザ認証システムによれば、ユーザの認証情報を生成するための秘密鍵はゲートウェイからネットワーク上に送出されることはなく、ゲートウェイに格納されており、よって従来に比し、安全性の向上を図ることができる。
また、目的別かつ短期間有効な鍵を用いた認証を行うために必要な鍵ペアの生成、証明書の取得及び証明書と秘密鍵とを用いたユーザの認証情報の生成はゲートウェイもしくはゲートウェイと証明書発行サーバとによって行われるものとなっており、認証情報の生成等に例えばUSBトークンなどの外部デバイスを用いる場合にはユーザ端末側にドライバのインストール等の煩雑な作業が必要となるのに対し、この発明ではそのような作業を必要としない点でユーザの利便性を向上させることができる。
According to the user authentication system of the present invention, the secret key for generating the user authentication information is not transmitted from the gateway to the network, but is stored in the gateway. Improvements can be made.
In addition, the generation of a key pair necessary for performing authentication using a key that is valid for each purpose and for a short period of time, acquisition of a certificate, and generation of user authentication information using a certificate and a private key are performed with a gateway or gateway. This is performed by the certificate issuing server. When an external device such as a USB token is used to generate authentication information, complicated work such as driver installation is required on the user terminal side. On the other hand, in this invention, the convenience of the user can be improved in that such work is not required.
以下、この発明の実施形態を図面を参照して説明する。
〈実施形態1〉
図1はこの発明によるユーザ認証システムの実施形態1の構成を示したものであり、この形態ではゲートウェイ200はLAN(第1のネットワーク、図示せず)とインターネット(第2のネットワーク)500とを接続し、インターネット500上にサービス提供サーバ300が存在している。LANは例えば家庭内LANであって、複数のユーザ端末100−1,100−2,100−3が接続されている。これらユーザ端末100は例えば情報家電やパーソナルコンピュータ等とされる。
Embodiments of the present invention will be described below with reference to the drawings.
<Embodiment 1>
FIG. 1 shows a configuration of a first embodiment of a user authentication system according to the present invention. In this embodiment, a
図2はゲートウェイ200の構成を示したものであり、ゲートウェイ200はプログラムが記憶されたROMと、プログラムを実行するCPUと、CPUが用いるデータ等を記憶するRAMとで構成される制御手段210によって機能ブロック220の各手段の動作が制御されてその機能を実現するものである。
ゲートウェイ200はLANとインターネット500とを接続するネットワークインターフェース230に加えて、例えばRSAやDCSA等のアルゴリズムを用いて非対称鍵ペアを生成する鍵生成手段221と、生成した鍵ペアを記憶する鍵記憶手段222と、生成した鍵ペアの公開鍵に対応する公開鍵証明書(以下、単に証明書と言う。)を生成する証明書生成手段223と、生成した証明書を記憶する証明書記憶手段224と、証明書とそれに対応する秘密鍵とを用いてユーザの正当性を示す認証情報を生成する認証情報生成手段225と、判定手段226とを備えている。なお、鍵記憶手段222にはRSAやDCSA等のアルゴリズムを用いて非対称鍵ペアを生成する鍵生成手段提供者により、ゲートウェイ200の正当性を証明するための情報として初期鍵(秘密鍵)が記憶されている。
FIG. 2 shows a configuration of the
The
ゲートウェイ200はコンピュータ装置によって構成できるものであり、ROMもしくはハードディスク装置等の記憶手段(図示せず)に記憶されているプログラムには、これから説明するユーザ認証システムにおける動作を実行するためのプログラムが含まれている。このプログラムはCD−ROM等の記録媒体に記録可能なものである。
サービス提供サーバ300はインターネット500を介してコンテンツ配信、オンライン商取引等のユーザ認証を必要とするサービスを提供する事業者が運営するサーバであり、ゲートウェイ200の提供者との例えば事前契約のもとに上記初期鍵(秘密鍵)に対応する初期鍵(公開鍵)を取得しており、それを使って送られてきた情報に付加された署名を検証して、その情報が正当なゲートウェイ200から送信されたものであることを判別できることを特徴とする。
図3は図1に示したユーザ認証システムによって実行される認証手続きの手順を示すシーケンス図であり、以下、図3を参照して手順を説明する。
The
The
FIG. 3 is a sequence diagram showing the procedure of the authentication procedure executed by the user authentication system shown in FIG. 1, and the procedure will be described below with reference to FIG.
(1)ユーザはサービスの利用に際して、ユーザ端末100を用いてサービス提供サーバ300にサービスの提供を要求する(ステップS1)。
(2)サービス要求を受信したサービス提供サーバ300は対象のサービスがユーザの認証を必要とする場合、ユーザ端末100に対してゲートウェイ200からユーザの認証情報を取得するよう応答する(ステップS2)。より具体的にはゲートウェイ200のIPアドレスにサービス提供サーバ300のIPアドレスとこの要求の識別子等の認証情報の生成に必要な情報を付加したURLを生成し、ユーザ端末100上のブラウザなどのクライアントアプリケーションに対して、上記URLにリダイレクトするよう指示を送る。なお、ゲートウェイ200のIPアドレスはサービス要求の送信元IPアドレス等の詐称が困難な情報をもとに判断する。
(1) When using the service, the user requests the
(2) When the target service requires user authentication, the
(3)上記の応答を受信したユーザ端末100はゲートウェイ200に対して認証情報を要求する(ステップS3)。より具体的にはユーザ端末100上のブラウザなどのクライアントアプリケーションがサービス提供サーバ300から指定されたURLに対してアクセスする。
(4)認証情報要求を受信したゲートウェイ200は有効な証明書の有無を判断する(ステップS4)。この判断は証明書記憶手段224に例えば有効期限が切れていない有効な証明書が記憶されているか否かを判定手段226が判断することにより行われる。
有効な証明書がない場合、ゲートウェイ200は鍵ペアの生成を鍵生成手段221において行い、生成した鍵ペアを鍵記憶手段222に記憶する(ステップS5)。さらに、その鍵ペアの公開鍵に対応する証明書を証明書生成手段223において生成し、生成した証明書を証明書記憶手段224に記憶する(ステップS6)。
有効な証明書がある場合はステップS5,S6は実行されない。なお、上記証明書には正当なゲートウェイ200が生成した情報であることを示すために、初期鍵(秘密鍵)による署名を付加する。証明書には発行日時と有効期間が必須情報として含まれる。生成した鍵ペアの秘密鍵は耐タンパ性の高い記憶媒体への保存や暗号化等の手段を用いることによって漏洩の危険性を軽減することができる。
さらに、ゲートウェイ200は生成した証明書とそれに対応する秘密鍵とを用いてユーザの正当性を示す認証情報を認証情報生成手段225において生成し(ステップS7)、ユーザ端末100に対してその認証情報をサービス提供サーバ300に送信するよう応答する(ステップS8)。より具体的にはサービス提供サーバ300のIPアドレスに認証情報と対応する要求の識別子等の認証情報の送信に必要な情報を付加したURLを生成し、ユーザ端末100上のブラウザなどのクライアントアプリケーションに対して上記URLにリダイレクトするよう指示を送る。なお、サービス提供サーバ300のIPアドレスと対応する要求の識別子は認証情報要求より取得する。
(3) The
(4) The
If there is no valid certificate, the
If there is a valid certificate, steps S5 and S6 are not executed. Note that a signature with an initial key (private key) is added to the certificate in order to indicate that the certificate is information generated by a
Further, the
(5)上記の応答を受信したユーザ端末100はサービス提供サーバ300に対して認証情報を送信する(ステップS9)。より具体的にはユーザ端末100上のブラウザなどのクライアントアプリケーションがゲートウェイ200から指定されたURLに対してアクセスする。
(6)認証情報を受信したサービス提供サーバ300は事前に設定された初期鍵(公開鍵)を用いて証明書の署名検証を用い、さらに証明書で証明された公開鍵を用いた検証を行い、認証情報の正当性を確認し(ステップS10)、その内容がサービス提供サーバ300に設定されたポリシーに合致する場合、ユーザ端末100に対してサービスを提供する(ステップS11)。
(5) The
(6) The
〈実施形態2〉
図4はこの発明によるユーザ認証システムの実施形態2の構成を示したものであり、実施形態2では実施形態1の構成に加え、証明書発行サーバ400がインターネット500上に存在する構成となっている。
図5は図4におけるゲートウェイ200′の構成を示したものであり、ゲートウェイ200′は図2に示した実施形態1の構成に対して、証明書生成手段223が削除された(証明書生成手段223を具備しない)構成となっている。
図6は証明書発行サーバ400の構成を示したものであり、証明書発行サーバ400はプログラムが記憶されたROMと、プログラムを実行するCPUと、CPUが用いるデータ等を記憶するRAMとで構成される制御手段410によって機能ブロック420の各手段の動作が制御されてその機能を実現するものである。
<
FIG. 4 shows a configuration of a second embodiment of the user authentication system according to the present invention. In the second embodiment, a
FIG. 5 shows the configuration of the
FIG. 6 shows a configuration of the
証明書発行サーバ400はネットワークインターフェース430に加えて、サーバに対してアカウントをもつユーザの識別子、属性情報、そのユーザに関連する証明書等の情報を記憶するユーザ情報記憶手段421と、上記のユーザ情報を使って他の装置から受信した認証情報を検証し、その正当性と対象となるユーザを特定する認証情報検証手段422と、他の装置から受信した公開鍵に対して、その公開鍵に対応する秘密鍵によって生成された認証情報が証明する内容を制限する情報を含んだ証明書を生成する証明書生成手段423とを備えている。
In addition to the
サービス提供サーバ300はこの形態では証明書発行サーバ400を運営する事業者との事前の取り決めに基づき、証明書発行サーバ400が発行する証明書によって保証されたユーザを信頼し、サービスを提供することを特徴とする。なお、証明書発行サーバ400の運営者がサービス提供サーバ300の運営者を兼ねることも想定される。
図7は図4に示したユーザ認証システムによって実行される認証手続きの手順を示すシーケンス図であり、以下、図7を参照して手順を説明する。
In this embodiment, the
FIG. 7 is a sequence diagram showing the procedure of the authentication procedure executed by the user authentication system shown in FIG. 4. Hereinafter, the procedure will be described with reference to FIG.
(1)ユーザはサービスの利用に際して、ユーザ端末100を用いてサービス提供サーバ300にサービスの提供を要求する(ステップS1)。
(2)サービス要求を受信したサービス提供サーバ300は対象のサービスがユーザの認証を必要とする場合、ユーザ端末100に対してゲートウェイ200’からユーザの認証情報(第2の認証情報、以下、認証情報2と言う)を取得するよう応答する(ステップS2)。より具体的にはゲートウェイ200’のIPアドレスにサービス提供サーバ300のIPアドレスとこの要求の識別子等の認証情報2の生成に必要な情報を付加したURLを生成し、ユーザ端末100上のブラウザなどのクライアントアプリケーションに対して、上記URLにリダイレクトするよう指示を送る。なお、ゲートウェイ200’のIPアドレスはサービス要求の送信元IPアドレス等の詐称が困難な情報をもとに判断する。
(1) When using the service, the user requests the
(2) The
(3)上記の応答を受信したユーザ端末100はゲートウェイ200’に対して認証情報2を要求する(ステップS3)。より具体的にはユーザ端末100上のブラウザなどのクライアントアプリケーションがサービス提供サーバ300から指定されたURLに対してアクセスする。
(4)認証情報2要求を受信したゲートウェイ200’は有効な証明書の有無を判断する(ステップS4)。この判断は証明書記憶手段224に有効な証明書が記憶されているか否かを判定手段226が判断することにより行われる。
有効な証明書がない場合、ゲートウェイ200’は事前に設定されたパスワード、鍵等の情報を用いて、証明書発行サーバ400に対してユーザの正当性を証明する認証情報(第1の認証情報、以下、認証情報1と言う)を生成し(ステップS21)、その生成した認証情報1を証明書発行サーバ400に対して送信する(ステップS22)。認証情報1の生成は認証情報生成手段225によって行われる。
(5)認証情報1を受信した証明書発行サーバ400は事前に設定されたパスワード、鍵等の情報をもとに受信した認証情報1を認証情報検証手段422において検証することで(ステップS23)、ユーザを特定し、その結果(認証結果)をゲートウェイ200’に送信する(ステップS24)。
(3) The
(4) The
If there is no valid certificate, the
(5) Upon receiving the authentication information 1, the
(6)認証結果を受信したゲートウェイ200’は認証の完了を示す認証結果を得られた場合、鍵ペアの生成を鍵生成手段221において行い、生成した鍵ペアを鍵記憶手段222に記憶する(ステップS25)。そして、生成した鍵ペアの公開鍵を証明書発行サーバ400に送信し、証明書の発行を要求する(ステップS26)。
なお、ステップS22の認証情報1の送信とステップS26の証明書発行要求はメッセージにCookie等のセッション情報を含めることで、受信側で送信者の同一性を判別可能な状態であることを想定している。
また、証明書発行要求の中には、例えば証明書の有効期限、証明書に含まれるユーザの属性の種別、証明書に含まれるユーザの識別子の種別、証明書に記載されるユーザに対して認可される権限の種別、対応する秘密鍵で生成される認証情報が適用されるべきサービス提供サーバ300の識別子等の証明書に対する条件を含めることができる。なお、生成した鍵ペアの秘密鍵は耐タンパ性の高い記録媒体への保存や暗号化等の手段を用いることによって漏洩の危険性を軽減することができる。
(6) When receiving the authentication result indicating that the authentication is completed, the
It is assumed that the transmission of authentication information 1 in step S22 and the certificate issuance request in step S26 are in a state where the identity of the sender can be determined on the receiving side by including session information such as cookies in the message. ing.
Also, in the certificate issuance request, for example, the expiration date of the certificate, the type of user attribute included in the certificate, the type of user identifier included in the certificate, and the user described in the certificate The conditions for the certificate such as the type of authority authorized and the identifier of the
(7)証明書発行要求を受信した証明書発行サーバ400は受信した公開鍵の正当性を示す証明書を証明書生成手段423において生成し(ステップS27)、生成した証明書をゲートウェイ200’に対して送信する(ステップS28)。
なお、証明書を生成する際、上記証明書発行要求に含まれる証明書に対する条件を参照して、例えば証明書に対象となる公開鍵に関する情報や有効期限、証明書の識別子などの一般的な情報のほかに、証明書発行サーバ400が管理するユーザの識別子、証明書発行サーバ400とサービス提供サーバ300の間で事前に共有されているユーザの識別子、証明書発行サーバ400が生成した一時的な識別子、証明書発行サーバ400がその正当性を保証するユーザの属性情報、ユーザに対して認可される権限の種類、対応する秘密鍵で生成される認証情報が適用されるべきサービス提供サーバ300の識別子等の情報を含めることで、サービス提供サーバ300に付加的な情報を取得させることもできる。
その際に証明書が対象とするユーザの同一性を示す情報やユーザのプライバシーにかかわる情報は例えばサービス提供サーバ300が保持する非対称鍵ペアの公開鍵等を用いて暗号化されることが想定される。さらに、改ざんを防止する目的で例えば証明書発行サーバ400が保持する非対称鍵ペアの秘密鍵を用いた署名を付加することで改ざんを防止することも想定される。また、証明書発行サーバ400が証明書もしくは証明書の識別子等の証明書を識別する情報を対象となるユーザの情報と関連付けて記憶することで、のちにサービス提供サーバ300からユーザに関して問い合わせがあった場合、証明書発行サーバ400はそれらの情報を鍵としてユーザを特定することができる。
(7) Upon receiving the certificate issuance request, the
When generating a certificate, refer to the conditions for the certificate included in the certificate issuance request. For example, general information such as information on the public key that is the target of the certificate, expiration date, certificate identifier, etc. In addition to the information, the user identifier managed by the
At this time, it is assumed that information indicating the identity of the user targeted by the certificate and information relating to the user's privacy are encrypted using, for example, the public key of the asymmetric key pair held by the
(8)証明書を受信したゲートウェイ200’は取得した証明書をそれに対応する鍵ペアと関連づけて証明書記憶手段224に記憶する(ステップS29)。そして、証明書とそれに対応する秘密鍵を用いてユーザの正当性を示す認証情報2を認証情報生成手段225において生成し(ステップS7)、ユーザ端末100に対してサービス提供サーバ300に認証情報2を送信するよう応答する(ステップS8)。より具体的にはサービス提供サーバ300のIPアドレスに認証情報2と対応する要求の識別子等の認証情報2の送信に必要な情報を付加したURLを生成し、ユーザ端末100上のブラウザなどのクライアントアプリケーションに対して上記URLにリダイレクトするよう指示を送る。なお、サービス提供サーバ300のIPアドレスと対応する要求の識別子は認証情報2要求より取得する。なお、ステップS4で有効な証明書があると判断した場合はステップS21〜S29は実行されない。
(9)上記の応答を受信したユーザ端末100はサービス提供サーバ300に対して認証情報2を送信する(ステップS9)。より具体的にはユーザ端末100上のブラウザなどのクライアントアプリケーションがゲートウェイ200’から指定されたURLに対してアクセスする。
(10)認証情報2を受信したサービス提供サーバ300は事前に設定された証明書発行サーバ300の公開鍵を用いた署名検証、証明書で証明された公開鍵を用いた検証等により認証情報2の正当性を確認し(ステップS10)、その内容がサービス提供サーバ300に設定されたポリシーに合致する場合、ユーザ端末100に対してサービスを提供する(ステップS11)。
(8) The
(9) The
(10) The
<実施形態3>
実施形態3は実施形態2において、ゲートウェイ200’による認証情報1の生成に先立って、ユーザ端末100を通してユーザに対し、確認情報を要求するようにしたものである。
図8は実施形態3の認証手続きの手順を示したものであり、この形態ではゲートウェイ200’は認証情報2要求をユーザ端末100から受信すると、ユーザ端末100に対し、これから行う証明書取得やサービス利用等の動作の内容を通知して、ユーザの確認情報を要求する(ステップS31)。確認情報の要求は、例えばユーザの許諾確認とPINコード等のユーザを認証するための情報の提示を求めるものとする。
確認情報要求を受信したユーザ端末100は例えばディスプレイやスピーカ等の出力デバイスを用いてユーザにこれから行われる動作の内容を通知して、キーボード、マウス、指紋認証装置、ICカード等の入力デバイスを用いたユーザからの許諾の意思とPINコード等のユーザを認証するための情報を取得し、ゲートウェイ200’に対して送信する(ステップS32)。
確認情報を受信したゲートウェイ200’は受信した情報をもとにユーザを識別し、その正当性と許諾の意思を確認する(ステップS33)。そして、正当性と許諾の意思を確認後、認証情報1を生成する。この形態では以上説明したステップS31〜S33が実施形態2におけるステップS3とS4の間に実行される。なお、ユーザに要求する確認情報は例えば許諾の意思だけでもよく、またPINコード等の認証情報だけでもよい。
<Embodiment 3>
In the third embodiment, confirmation information is requested from the user through the
FIG. 8 shows the procedure of the authentication procedure according to the third embodiment. In this embodiment, when the
The
The
<実施形態4>
実施形態4は実施形態2において、ゲートウェイ200’による認証情報2の生成に先立って、ゲートウェイ200’がユーザ端末100経由でユーザに対してゲートウェイ200’が記憶している複数の秘密鍵に関連する情報を提示して、その中から認証情報2の生成に際して使用を希望する秘密鍵の選択を要求するようにしたものである。
図9は実施形態4の認証手続きの手順を示したものであり、この形態ではゲートウェイ200’は認証情報2要求をユーザ端末100から受信すると、ユーザ端末100に対し、ゲートウェイ200’が記憶している複数の秘密鍵に関する情報、例えば対応する証明書に記載されたユーザの識別子や属性情報、利用が許諾されているサービスの名前、そのサービス上で認可されるユーザの権限などそれらに関連付けられた文字列や画像情報等をユーザ端末100に送信して(ステップS41)、ユーザにそれらの中から一つを選択させるもしくは証明書発行要求を行い、新たな秘密鍵を生成させることを要求するように指示する。
<Embodiment 4>
The fourth embodiment relates to a plurality of secret keys stored in the
FIG. 9 shows an authentication procedure according to the fourth embodiment. In this embodiment, when the
秘密鍵情報一覧を受信したユーザ端末100は例えばディスプレイやスピーカ等の出力デバイスを用いてユーザにその一覧とユーザが新しい証明書の発行を要請するための情報を通知して、キーボード、マウス等の入力デバイスを用いたユーザからの選択した秘密鍵に関わる情報もしくは証明書発行の要請を取得し、ゲートウェイ200’に対してその秘密鍵の識別子もしくは証明書発行要求を送信する(ステップS42)。
ゲートウェイ200’は証明書発行要求を受信した場合には(ステップS43)、認証情報1の生成を行い(ステップS21)、以下、実施形態2と同様の手順が実行される。一方、秘密鍵識別子を受信した場合には、受信した情報をもとにユーザが選択した秘密鍵を識別し、その秘密鍵と、秘密鍵と対応する証明書とを用いて認証情報2を生成する(ステップS7)。この形態では上述したステップS41〜S43が実施形態2におけるステップS3とS4の間に実行される。
The
When the
<実施形態5>
実施形態5は実施形態3において、ゲートウェイ200’が認証情報1の生成に先立ってユーザの正当性と許諾の意思を確認(ステップS33)した後に、ゲートウェイ200’が証明書発行サーバ400にユーザ仮名識別子を要求し(ステップS51)、ユーザ仮名識別子の送信(ステップS52)を受けてゲートウェイ200’が認証情報1の生成を行い(ステップS21)、以下、実施形態3と同様の手順が実行されるようにしたものであり、図10にこの実施形態5の認証手続きの手順を示す。
この実施形態5は証明書発行サーバ400によってゲートウェイ200’が発行する認証情報2の内容をコントロールしたいという要求があることが想定されることに基づく。そのための仕組みとして証明書のなかにゲートウェイ200’が発行することが許されるユーザ仮名識別子のリスト、証明書の対象となるサービス提供サーバ300の識別子のリストを記述しておき、サービス提供サーバ300は自分の識別子が証明書に記載されていることを確認し、また認証情報2で指定されたユーザ仮名識別子が証明書に記載されていることを確認することで、認証が証明書発行サーバ400のポリシーを満足する形で完了したことを確認することができる。
<Embodiment 5>
The fifth embodiment is the same as the third embodiment except that the
The fifth embodiment is based on the assumption that there is a request to control the contents of the
なお、ユーザ仮名識別子は証明書発行サーバユーザ識別子とサービス提供サーバユーザ識別子を連携させるためのユーザ識別子であり、証明書発行サーバ400を運営する事業者とサービス提供サーバ300を運営する事業者の事前の取り決めにより共有される。仮名を用いた連携により各サービス提供事業者によるユーザの行動把握が難しくなり、それによってユーザのオンラインサービスにおけるプライバシー保護の観点から有効である。
上記において証明書発行サーバユーザ識別子は証明書発行サーバ400がユーザを識別するための識別子であり、ユーザが例えば証明書発行サーバ400を運営する事業者との事前契約等により証明書発行サーバ400にアカウントを持っていることを想定している。また、サービス提供サーバユーザ識別子はサービス提供サーバ300がユーザを識別するための識別子であり、ユーザが例えばサービス提供サーバ300を運営する事業者との事前契約等によりサービス提供サーバ300にアカウントを持っていることを想定している。
The user pseudonym identifier is a user identifier for linking the certificate issuing server user identifier and the service providing server user identifier, and is used in advance by the operator that operates the
In the above, the certificate issuance server user identifier is an identifier for the
〈実施形態6〉
実施形態6はサービス提供サーバ300が認証情報にユーザ属性を付加するように要求した場合、ゲートウェイ200がユーザ端末100に対して要求されたユーザ属性を認証情報に含めてよいか許諾を得るためのシーケンスを追加したものである。
図11は実施形態6の認証手続きの手順を示したものであり、この形態では実施形態1におけるステップS3とS4の間に、ゲートウェイ200がユーザ端末100に対して認証情報にユーザの属性情報を含めてよいかの確認要求を行い(ステップS61)、ユーザ端末100は属性情報確認要求に対し、応答する(ステップS62)。
<Embodiment 6>
In the sixth embodiment, when the
FIG. 11 shows the procedure of the authentication procedure according to the sixth embodiment. In this embodiment, between steps S3 and S4 in the first embodiment, the
〈実施形態7〉
実施形態7はサービス提供サーバ300が認証情報を検証し、ユーザの正当性を確認した際に、要求があったサービスにおいてユーザのアカウントを作成するようにしたものであり、図12はその手順を示したものである。なお、図12は図3に示した実施形態1の手順に適用した場合を示している。
この形態では認証情報の検証(ステップS10)を終了したサービス提供サーバ300はユーザの正当性が確認された場合、証明書から得られた情報をもとにユーザのアカウントを作成し(ステップS71)、ユーザ端末100に対してアカウントの作成が完了したことを通知する(ステップS72)。
<Embodiment 7>
In the seventh embodiment, when the
In this embodiment, the
〈変形実施形態〉
この実施形態はサービス提供サーバ300からの認証情報要求を受けてゲートウェイ200が鍵ペア生成、証明書生成及び認証情報生成といった一連の手順を行うのではなく、サービス利用のための事前準備として、証明書を予め取得しておくようにしたものであり、図13はその手順を示したものである。なお、図13は図3に示した実施形態1の手順の変形形態となっている。
この形態ではユーザはサービス利用のための事前準備としてユーザ端末100を用いてゲートウェイ200に対して証明書の取得を要求する。証明書生成要求はユーザ端末100からゲートウェイ200に送信される(ステップS81)。なお、この手順はユーザ端末100のインターネットブラウザ等のソフトウェアにより定期的に実行されるように実装してもよい。
証明書生成要求を受信したゲートウェイ200は鍵ペアの生成を行い、生成した鍵ペアを記憶し(ステップS82)、さらにその公開鍵に対応する証明書を生成し、生成した証明書を記憶する(ステップS83)。そして、ユーザ端末100に対して証明書の生成が完了したことを通知する(ステップS84)。
<Modified Embodiment>
In this embodiment, the
In this mode, the user requests the
Upon receiving the certificate generation request, the
この形態では証明書が予め生成、記憶されているため、ユーザがユーザ端末100を用いてサービス提供サーバ300にサービスの提供を要求(ステップS1)した際には、ゲートウェイ200はサービス提供サーバ300からの認証情報要求(ステップS2,S3)を受けてユーザの認証情報を、生成されている証明書とそれに対応する秘密鍵とを用いて生成する(ステップS7)。
以上、各種実施形態について説明したが、この発明によるユーザ認証システムでは、目的別かつ短期間有効な鍵を用いた認証を行うために必要な鍵ペアの生成、証明書の取得、秘密鍵を用いた認証情報の生成等の機能をLAN内に存在するゲートウェイが行うものとなっている。
In this embodiment, since the certificate is generated and stored in advance, when the user requests the
Although various embodiments have been described above, in the user authentication system according to the present invention, generation of a key pair necessary for performing authentication using a key that is valid for each purpose and for a short period of time, acquisition of a certificate, and use of a secret key The authentication information generation function is performed by a gateway existing in the LAN.
従来においては複数のユーザ端末で認証情報の生成等を利用するという目的で、例えばUSBトークンなどの外部デバイスに認証情報の生成等の機能を実装するということは行われていたが、この方法ではユーザ端末と外部デバイス間で安全な通信路を確立しやすいというメリットがある一方で、ユーザ端末側にドライバのインストールやデバイスの差し替え等のユーザによる設定が必要であるというデメリットがあった。
これに対し、この発明ではユーザ端末とゲートウェイ間のやりとりはすべて標準的なプロトコルに基づいて行われるのでユーザ端末にインストール等の煩雑な設定を必要としないというメリットがある。
Conventionally, for the purpose of using authentication information generation in a plurality of user terminals, for example, a function such as authentication information generation has been implemented in an external device such as a USB token. While there is a merit that it is easy to establish a safe communication path between the user terminal and the external device, there is a demerit that user settings such as driver installation and device replacement are necessary on the user terminal side.
On the other hand, the present invention has an advantage that no complicated setting such as installation is required in the user terminal because all the communication between the user terminal and the gateway is performed based on a standard protocol.
Claims (13)
第1のネットワーク上のユーザ端末と、第2のネットワーク上のサービス提供サーバと、それら第1のネットワークと第2のネットワークとを接続するゲートウェイとによって構成され、
前記ゲートウェイは鍵ペアを生成する手段と、その生成した鍵ペアを記憶する手段と、前記鍵ペアの公開鍵に対応する証明書を生成する手段と、その生成した証明書を記憶する手段と、前記鍵ペアの秘密鍵と前記証明書とを用いてユーザの認証情報を生成する手段とを備え、
前記サービス提供サーバは前記ユーザ端末からサービスの提供を要求されると、前記ゲートウェイにおける前記認証情報の生成を要求し、その生成された認証情報を検証して正当であれば前記ユーザ端末に対してサービスを提供する構成とされていることを特徴とするユーザ認証システム。 A system for authenticating a user who uses a service on a network,
A user terminal on the first network, a service providing server on the second network, and a gateway connecting the first network and the second network;
The gateway generates a key pair; means for storing the generated key pair; means for generating a certificate corresponding to the public key of the key pair; means for storing the generated certificate; Means for generating user authentication information using the private key of the key pair and the certificate;
When the service providing server is requested to provide a service from the user terminal, the service providing server requests generation of the authentication information in the gateway, and verifies the generated authentication information. A user authentication system configured to provide a service.
第1のネットワーク上のユーザ端末と、第2のネットワーク上のサービス提供サーバ及び証明書発行サーバと、それら第1のネットワークと第2のネットワークとを接続するゲートウェイとによって構成され、
前記ゲートウェイはユーザの第1の認証情報を生成する手段と、その第1の認証情報の前記証明書発行サーバにおける認証に基づき、鍵ペアを生成する手段と、その生成した鍵ペアを記憶する手段と、前記証明書発行サーバより受信した前記鍵ペアの公開鍵に対応する証明書を記憶する手段と、前記鍵ペアの秘密鍵と前記証明書とを用いてユーザの第2の認証情報を生成する手段とを備え、
前記証明書発行サーバは前記ゲートウェイより受信した前記第1の認証情報を検証する手段と、前記ゲートウェイより受信した前記公開鍵に対応する前記証明書を生成する手段とを備えており、
前記サービス提供サーバは前記ユーザ端末からサービスの提供を要求されると、前記ゲートウェイにおける前記第2の認証情報の生成を要求し、その生成された第2の認証情報を検証して正当であれば前記ユーザ端末に対してサービスを提供する構成とされていることを特徴とするユーザ認証システム。 A system for authenticating a user who uses a service on a network,
A user terminal on the first network, a service providing server and a certificate issuing server on the second network, and a gateway connecting the first network and the second network;
The gateway generates first authentication information of the user, means for generating a key pair based on authentication of the first authentication information in the certificate issuing server, and means for storing the generated key pair And means for storing a certificate corresponding to the public key of the key pair received from the certificate issuing server, and generating second authentication information of the user using the private key of the key pair and the certificate And means for
The certificate issuing server comprises means for verifying the first authentication information received from the gateway; and means for generating the certificate corresponding to the public key received from the gateway;
When the service providing server is requested to provide a service from the user terminal, the service providing server requests generation of the second authentication information in the gateway, verifies the generated second authentication information, and is valid. A user authentication system characterized in that a service is provided to the user terminal.
前記証明書を記憶する手段は複数の鍵ペアの各公開鍵に対応する複数の証明書を記憶しており、
前記認証情報を生成する手段は前記ユーザ端末より指定された秘密鍵と、その秘密鍵と対応する前記証明書とを用いて前記認証情報を生成することを特徴とするユーザ認証システム。 The user authentication system according to claim 1,
The means for storing the certificate stores a plurality of certificates corresponding to each public key of a plurality of key pairs,
The means for generating the authentication information generates the authentication information by using a secret key designated by the user terminal and the certificate corresponding to the secret key.
前記証明書を記憶する手段は複数の鍵ペアの各公開鍵に対応する複数の証明書を記憶しており、
前記第2の認証情報を生成する手段は前記ユーザ端末より指定された秘密鍵と、その秘密鍵と対応する前記証明書とを用いて前記第2の認証情報を生成することを特徴とするユーザ認証システム。 The user authentication system according to claim 2, wherein
The means for storing the certificate stores a plurality of certificates corresponding to each public key of a plurality of key pairs,
The means for generating the second authentication information generates the second authentication information by using a secret key designated by the user terminal and the certificate corresponding to the secret key. Authentication system.
前記サービス提供サーバは前記ユーザ端末からサービスの提供を要求されると、前記ゲートウェイに対してユーザの認証情報を要求し、
前記ゲートウェイは認証情報を要求されると、鍵ペアを生成して、その鍵ペアの公開鍵に対応する証明書を生成し、さらに前記鍵ペアの秘密鍵と前記証明書とを用いてユーザの認証情報を生成して、その認証情報を前記サービス提供サーバに送信し、
前記サービス提供サーバは認証情報を受信すると、その認証情報を検証し、正当であれば前記ユーザ端末に対してサービスを提供することを特徴とするユーザ認証方法。 A user terminal on the first network, a service providing server on the second network, and a gateway connecting the first network and the second network, and authentication of the service providing server is required from the user terminal A user authentication method when using the service
When the service providing server is requested to provide a service from the user terminal, the service providing server requests user authentication information from the gateway,
When the authentication information is requested, the gateway generates a key pair, generates a certificate corresponding to the public key of the key pair, and further uses the private key of the key pair and the certificate. Generating authentication information and sending the authentication information to the service providing server;
When the service providing server receives authentication information, the service providing server verifies the authentication information, and if valid, provides a service to the user terminal.
前記サービス提供サーバは前記ユーザ端末からサービスの提供を要求されると、前記ゲートウェイに対してユーザの第2の認証情報を要求し、
前記ゲートウェイは第2の認証情報を要求されると、ユーザの第1の認証情報を生成して前記証明書発行サーバに送信し、
前記証明書発行サーバは第1の認証情報を受信すると、その第1の認証情報を検証して、その結果を前記ゲートウェイに送信し、
前記ゲートウェイは受信した前記結果が認証成功を示すものであれば、鍵ペアを生成してその鍵ペアの公開鍵を前記証明書発行サーバに送信し、
前記証明書発行サーバは受信した公開鍵に対応する証明書を生成して、その証明書を前記ゲートウェイに送信し、
前記ゲートウェイは前記鍵ペアの秘密鍵と前記証明書とを用いてユーザの第2の認証情報を生成して、その第2の認証情報を前記サービス提供サーバに送信し、
前記サービス提供サーバは第2の認証情報を受信すると、その第2の認証情報を検証し、正当であれば前記ユーザ端末に対してサービスを提供することを特徴とするユーザ認証方法。 A user terminal on the first network, a service providing server and a certificate issuing server on the second network, and a gateway for connecting the first network and the second network, and providing the service from the user terminal A user authentication method when using a service that requires server authentication,
When the service providing server is requested to provide a service from the user terminal, the service providing server requests second authentication information of the user from the gateway,
When the gateway is requested for second authentication information, the gateway generates user first authentication information and sends it to the certificate issuing server;
When the certificate issuing server receives the first authentication information, the certificate issuing server verifies the first authentication information and sends the result to the gateway;
If the received result indicates successful authentication, the gateway generates a key pair and sends the public key of the key pair to the certificate issuing server.
The certificate issuing server generates a certificate corresponding to the received public key, sends the certificate to the gateway,
The gateway generates user second authentication information using the secret key of the key pair and the certificate, and transmits the second authentication information to the service providing server,
The service providing server, when receiving the second authentication information, verifies the second authentication information and, if valid, provides the service to the user terminal.
前記ゲートウェイは前記ユーザ端末に確認情報を要求し、その確認情報を確認した後に、前記認証情報の生成を行うことを特徴とするユーザ認証方法。 The user authentication method according to claim 5, wherein
The gateway requests the user terminal for confirmation information, confirms the confirmation information, and then generates the authentication information.
前記ゲートウェイは前記ユーザ端末に確認情報を要求し、その確認情報を確認した後に、前記第1の認証情報の生成を行うことを特徴とするユーザ認証方法。 The user authentication method according to claim 6, wherein
The gateway requests confirmation information from the user terminal, and after confirming the confirmation information, generates the first authentication information.
前記ゲートウェイはゲートウェイが管理している秘密鍵の識別子とその特徴を表す情報を前記ユーザ端末に送信し、前記ユーザ端末から指定された前記識別子に対応する秘密鍵と、その秘密鍵に対応する前記証明書とを用いて前記認証情報を生成することを特徴とするユーザ認証方法。 The user authentication method according to claim 5, wherein
The gateway transmits an identifier of a secret key managed by the gateway and information indicating the characteristic to the user terminal, a secret key corresponding to the identifier specified by the user terminal, and the secret key corresponding to the secret key A user authentication method, wherein the authentication information is generated using a certificate.
前記ゲートウェイはゲートウェイが管理している秘密鍵の識別子とその特徴を表す情報を前記ユーザ端末に送信し、前記ユーザ端末から指定された前記識別子に対応する秘密鍵と、その秘密鍵に対応する前記証明書とを用いて前記第2の認証情報を生成することを特徴とするユーザ認証方法。 The user authentication method according to claim 6, wherein
The gateway transmits an identifier of a secret key managed by the gateway and information indicating the characteristic to the user terminal, a secret key corresponding to the identifier specified by the user terminal, and the secret key corresponding to the secret key A user authentication method, wherein the second authentication information is generated using a certificate.
鍵ペアを生成する手段と、
その生成した鍵ペアを記憶する手段と、
前記鍵ペアの公開鍵に対応する証明書を生成する手段と、
その生成した証明書を記憶する手段と、
前記鍵ペアの秘密鍵と前記証明書とを用いて、前記第1のネットワーク上のユーザ端末が前記第2のネットワーク上のサービス提供サーバのサービスを利用する際に必要なユーザの認証情報を生成する手段とを具備することを特徴とするゲートウェイ。 A gateway connecting the first network and the second network,
Means for generating a key pair;
Means for storing the generated key pair;
Means for generating a certificate corresponding to the public key of the key pair;
Means for storing the generated certificate;
Using the private key of the key pair and the certificate, user authentication information necessary for the user terminal on the first network to use the service of the service providing server on the second network is generated. And a gateway.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006311095A JP2008129673A (en) | 2006-11-17 | 2006-11-17 | User authentication system and method, gateway for use therein, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006311095A JP2008129673A (en) | 2006-11-17 | 2006-11-17 | User authentication system and method, gateway for use therein, program, and recording medium |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008129673A true JP2008129673A (en) | 2008-06-05 |
Family
ID=39555448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006311095A Pending JP2008129673A (en) | 2006-11-17 | 2006-11-17 | User authentication system and method, gateway for use therein, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008129673A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012044694A (en) * | 2009-12-25 | 2012-03-01 | Canon It Solutions Inc | Relay processing device, relay processing method, and program |
JP2013098749A (en) * | 2011-10-31 | 2013-05-20 | Fujitsu Ltd | Registration method, registration program, and registration device |
JP2013531834A (en) * | 2010-05-13 | 2013-08-08 | マイクロソフト コーポレーション | One-time password with IPsec and IKE version 1 authentication |
JP2015156110A (en) * | 2014-02-20 | 2015-08-27 | 日本電気株式会社 | History information management system, history information management method, history information management server, and gateway |
JP2020177376A (en) * | 2019-04-17 | 2020-10-29 | 三菱電機株式会社 | Gateway device and communication system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030158949A1 (en) * | 2002-02-19 | 2003-08-21 | Miller Lawrence R. | System and method for single sign-on session management without central server |
JP2003337917A (en) * | 2002-05-22 | 2003-11-28 | Interpress:Kk | Personal identification system by mobile terminal |
JP2005318269A (en) * | 2004-04-28 | 2005-11-10 | Ntt Docomo Inc | Electronic certificate management system, method and server |
JP2006050209A (en) * | 2004-08-04 | 2006-02-16 | Ricoh Co Ltd | Electronic signature providing method, electronic signature providing apparatus, portable information processing device, electronic signature providing system, electronic signature providing program, signature data creating program and recording medium |
JP2006165678A (en) * | 2004-12-02 | 2006-06-22 | Hitachi Ltd | Relaying method for encryption communication, gateway server apparatus, program for encryption communication, and program storage medium for encryption communication |
-
2006
- 2006-11-17 JP JP2006311095A patent/JP2008129673A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030158949A1 (en) * | 2002-02-19 | 2003-08-21 | Miller Lawrence R. | System and method for single sign-on session management without central server |
JP2003337917A (en) * | 2002-05-22 | 2003-11-28 | Interpress:Kk | Personal identification system by mobile terminal |
JP2005318269A (en) * | 2004-04-28 | 2005-11-10 | Ntt Docomo Inc | Electronic certificate management system, method and server |
JP2006050209A (en) * | 2004-08-04 | 2006-02-16 | Ricoh Co Ltd | Electronic signature providing method, electronic signature providing apparatus, portable information processing device, electronic signature providing system, electronic signature providing program, signature data creating program and recording medium |
JP2006165678A (en) * | 2004-12-02 | 2006-06-22 | Hitachi Ltd | Relaying method for encryption communication, gateway server apparatus, program for encryption communication, and program storage medium for encryption communication |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012044694A (en) * | 2009-12-25 | 2012-03-01 | Canon It Solutions Inc | Relay processing device, relay processing method, and program |
JP2013531834A (en) * | 2010-05-13 | 2013-08-08 | マイクロソフト コーポレーション | One-time password with IPsec and IKE version 1 authentication |
JP2013098749A (en) * | 2011-10-31 | 2013-05-20 | Fujitsu Ltd | Registration method, registration program, and registration device |
JP2015156110A (en) * | 2014-02-20 | 2015-08-27 | 日本電気株式会社 | History information management system, history information management method, history information management server, and gateway |
JP2020177376A (en) * | 2019-04-17 | 2020-10-29 | 三菱電機株式会社 | Gateway device and communication system |
JP7257862B2 (en) | 2019-04-17 | 2023-04-14 | 三菱電機株式会社 | Gateway device and communication system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11082225B2 (en) | Information processing system and control method therefor | |
KR101640383B1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
JP2022504420A (en) | Digital certificate issuance methods, digital certificate issuance centers, storage media and computer programs | |
TWI321939B (en) | Method and system for a single-sign-on operation providing grid access and network access | |
JP6810334B2 (en) | Profile data distribution control device, profile data distribution control method, and profile data distribution control program | |
JP5604176B2 (en) | Authentication cooperation apparatus and program thereof, device authentication apparatus and program thereof, and authentication cooperation system | |
KR20190024817A (en) | Authority transfer system, control method therefor, and client | |
JP2010056717A (en) | Server certificate issuing system | |
TW200833060A (en) | Authentication delegation based on re-verification of cryptographic evidence | |
CN104508713A (en) | Method and device for control of a lock mechanism using a mobile terminal | |
JP5992535B2 (en) | Apparatus and method for performing wireless ID provisioning | |
JP6571890B1 (en) | Electronic signature system, certificate issuing system, certificate issuing method and program | |
JP2008287395A (en) | Authentication method and authentication system | |
JP4332071B2 (en) | Client terminal, gateway device, and network system including these | |
JP2008129673A (en) | User authentication system and method, gateway for use therein, program, and recording medium | |
JP6465426B1 (en) | Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method | |
KR101572598B1 (en) | Secure User Authentication Scheme against Credential Replay Attack | |
KR20090054774A (en) | Method of integrated security management in distribution network | |
JP4761348B2 (en) | User authentication method and system | |
JP2007310619A (en) | Authentication method and authentication system using the same | |
JP7043480B2 (en) | Information processing system and its control method and program | |
JP2008287359A (en) | Authentication apparatus and program | |
JP2005227891A (en) | Device, method and program for providing authentication service, and recording medium | |
JP2000261428A (en) | Authentication device in decentralized processing system | |
WO2020017643A1 (en) | Electronic signature system, certificate issuance system, key management system, certificate issuance method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090105 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110712 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110713 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110818 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110908 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110927 |