JP2012209782A - Authentication system, authentication method and authentication management server - Google Patents
Authentication system, authentication method and authentication management server Download PDFInfo
- Publication number
- JP2012209782A JP2012209782A JP2011074157A JP2011074157A JP2012209782A JP 2012209782 A JP2012209782 A JP 2012209782A JP 2011074157 A JP2011074157 A JP 2011074157A JP 2011074157 A JP2011074157 A JP 2011074157A JP 2012209782 A JP2012209782 A JP 2012209782A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- key information
- information
- distributed
- distributed key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、認証システム、認証方法および認証管理サーバに関する。 The present invention relates to an authentication system, an authentication method, and an authentication management server.
現在、社会へのインターネットの浸透により、商取引等の様々なサービスをオンラインで受けることができるようになっている。例えばパソコンや携帯電話からオンラインモールにアクセスし、そこでショッピングを楽しむことができる。オンラインモールでの決済は通常電子的に行われ、現金を郵送したりする必要もない。 Currently, various services such as commercial transactions can be received online due to the penetration of the Internet into society. For example, you can access the online mall from a personal computer or mobile phone and enjoy shopping there. Payment at online malls is usually done electronically, and there is no need to mail cash.
しかしながら、かかる利便性の影にオンライン特有の危険性が潜んでいることを忘れてはならない。そのような危険性のなかでも最近クローズアップされているもののひとつに情報の漏洩がある。オンライン処理では、例えば認証の鍵情報やユーザIDなどがひとつのサーバのハードディスクドライブから別のサーバのハードディスクドライブへと有線または無線もしくはそれらの組み合わせの通信路を使用して運ばれる。そしてこのような情報の伝搬が多数回繰り返される。これらの段階のどこかで例えば情報の不正な複製や通信の傍受などによって情報が漏洩する可能性がある。認証の鍵情報やユーザIDなどが流出すると、それが悪意の第3者の手に渡り悪用される可能性がある。 However, it must be remembered that there is a risk inherent to online in the shadow of such convenience. Among such dangers, one of the recent close-ups is information leakage. In online processing, for example, authentication key information, user ID, and the like are carried from a hard disk drive of one server to a hard disk drive of another server using a wired, wireless, or combination communication path. Such information propagation is repeated many times. Somewhere in these stages, information can be leaked, for example, due to unauthorized duplication of information or interception of communications. If the authentication key information or user ID is leaked, it may be misused in the hands of a malicious third party.
従来では、例えば特許文献1に、安全性を高めた共同購入サービスの提供を容易にする共同購入実現装置が提案されている。 Conventionally, for example, Patent Document 1 proposes a joint purchase realizing device that facilitates provision of a joint purchase service with improved safety.
インターネットは基本的に性善説に基づいて設計されている仕組みであるが、インターネットに多種多様な人々が接続可能となっている現在にはこの設計思想は適さなくなってきていると考えられる。セキュリティに関して、特許文献1に記載されるようなアプリケーションを絞った対症療法的な手当は可能であっても、根本的な解決にはならないであろう。したがって、オンライン認証の設計思想を変更する必要がある。 The Internet is basically a mechanism that is designed based on a good-natured theory, but this design philosophy is considered to be no longer suitable at the present time when a wide variety of people can connect to the Internet. As for security, symptomatic treatment focused on applications as described in Patent Document 1 is possible, but it will not be a fundamental solution. Therefore, it is necessary to change the design concept of online authentication.
本発明はこうした課題に鑑みてなされたものであり、その目的は、破ることがより困難な認証を実現する認証技術の提供にある。 The present invention has been made in view of these problems, and an object thereof is to provide an authentication technique that realizes authentication that is more difficult to break.
本発明のある態様は認証システムに関する。この認証システムは、Nを2以上の整数とするとき、N個の分散鍵情報と、そのN個の分散鍵情報から所定の法則にしたがい生成される秘密鍵情報と、を使用する認証システムであって、N−1個の分散鍵情報がひとつずつ分配されるN−1台の認証関連サーバと、残りの1個の分散鍵情報を保持する認証部と、N−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と認証部から取得された分散鍵情報とから法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して発行要求を取得するとその秘密鍵情報に基づく認証情報をユーザにネットワークを介して送信する発行部と、を備える。認証部は、認証情報の検証が要求されると、N−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と当該認証部が保持する分散鍵情報とから法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して取得された認証情報を当該認証部によって生成された秘密鍵情報に基づき検証する。 One embodiment of the present invention relates to an authentication system. This authentication system is an authentication system that uses N distributed key information and secret key information generated from the N distributed key information according to a predetermined rule when N is an integer of 2 or more. N-1 authentication related servers to which N-1 distributed key information is distributed one by one, an authentication unit holding the remaining one distributed key information, and N-1 authentication related servers The secret key information is generated according to the law from the N-1 distributed key information acquired from the network through the network and the distributed key information acquired from the authentication unit, and when the issuance request is acquired from the user through the network And an issuing unit that transmits authentication information based on the secret key information to the user via the network. When the authentication unit is requested to verify the authentication information, the N-1 distributed key information acquired from the N-1 authentication-related servers via the network and the distributed key information held by the authentication unit. Secret key information is generated according to the law, and the authentication information acquired from the user via the network is verified based on the secret key information generated by the authentication unit.
この態様によると、N−1台の認証関連サーバおよび認証部にN個の分散鍵情報がひとつずつ分配されている状況において、N個の分散鍵情報から生成された秘密鍵情報に基づく認証情報がユーザに送信され、ユーザから取得された認証情報が認証部によって生成された秘密鍵情報に基づき検証される。 According to this aspect, authentication information based on secret key information generated from N pieces of distributed key information in a situation where N pieces of distributed key information are distributed one by one to N-1 authentication-related servers and authentication units. Is transmitted to the user, and the authentication information acquired from the user is verified based on the secret key information generated by the authentication unit.
本発明の別の態様は、認証管理サーバである。この認証管理サーバは、Nを2以上の整数とするとき、N個の分散鍵情報のうちのひとつを保持する分散鍵保持部と、ユーザがN個の分散鍵情報から所定の法則にしたがい予め生成された秘密鍵情報に基づく認証情報を受信した場合にその受信に応じてユーザがネットワークを介して送信する認証情報を受信する認証情報受信部と、認証情報受信部によって認証情報が受信されると、分散鍵保持部によって保持される分散鍵情報以外のN−1個の分散鍵情報がひとつずつ分配されているN−1台の認証関連サーバからネットワークを介してN−1個の分散鍵情報を取得する分散鍵取得部と、分散鍵取得部によって取得されたN−1個の分散鍵情報と分散鍵保持部によって保持される分散鍵情報とから法則にしたがい秘密鍵情報を生成する秘密鍵生成部と、認証情報受信部によって受信された認証情報を秘密鍵生成部によって生成された秘密鍵情報に基づき検証する検証部と、を備える。 Another aspect of the present invention is an authentication management server. When N is an integer of 2 or more, the authentication management server includes a distributed key holding unit that holds one of N pieces of distributed key information, and a user in advance according to a predetermined rule from the N pieces of distributed key information. When authentication information based on the generated secret key information is received, the authentication information is received by the authentication information receiving unit that receives the authentication information that the user transmits via the network, and the authentication information receiving unit receives the authentication information. And N-1 distributed keys via the network from N-1 authentication-related servers to which N-1 distributed key information other than the distributed key information held by the distributed key holding unit is distributed one by one. A secret that generates secret key information according to the law from a distributed key acquisition unit that acquires information, and N-1 pieces of distributed key information acquired by the distributed key acquisition unit and distributed key information held by the distributed key holding unit Comprising a generating unit, and a verification unit for verifying, based on the secret key information received authentication information generated by the secret key generation unit by the authentication information receiving unit.
本発明のさらに別の態様もまた、認証管理サーバである。この認証管理サーバは、ユーザからの発行要求の取得にかかわらず、Nを2以上の整数とするとき、N個の分散鍵情報がひとつずつ分配されたN台の認証関連サーバからネットワークを介してN個の分散鍵情報を取得する分散鍵取得部と、分散鍵取得部によって取得されたN個の分散鍵情報から所定の法則にしたがい秘密鍵情報を生成する秘密鍵生成部と、ユーザからネットワークを介して発行要求を取得する発行要求取得部と、発行要求取得部によって発行要求が取得されると、秘密鍵生成部によって生成された秘密鍵情報に基づく認証情報をユーザにネットワークを介して送信する認証情報送信部と、を備える。ユーザは認証情報送信部によって送信された認証情報の受信に応じて認証情報をN個の認証関連サーバのうちのひとつにネットワークを介して送信し、その認証関連サーバはユーザからネットワークを介して認証情報を受信すると、他のN−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報とその認証関連サーバに分配された分散鍵情報とから法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して取得された認証情報をその認証関連サーバによって生成された秘密鍵情報に基づき検証する。 Yet another embodiment of the present invention is also an authentication management server. Regardless of the issuance request from the user, this authentication management server, when N is an integer of 2 or more, from N authentication related servers to which N pieces of distributed key information are distributed one by one via the network A distributed key acquiring unit for acquiring N distributed key information, a secret key generating unit for generating secret key information according to a predetermined rule from the N distributed key information acquired by the distributed key acquiring unit, and a network from the user An issuance request acquisition unit for acquiring an issuance request via the network, and when the issuance request is acquired by the issuance request acquisition unit, authentication information based on the secret key information generated by the secret key generation unit is transmitted to the user via the network. An authentication information transmitting unit. In response to receiving the authentication information transmitted by the authentication information transmitting unit, the user transmits authentication information to one of N authentication-related servers via the network, and the authentication-related server authenticates from the user via the network. When the information is received, the secret key according to the law from the N-1 distributed key information acquired from the other N-1 authentication related servers via the network and the distributed key information distributed to the authentication related server. Information is generated, and the authentication information acquired from the user via the network is verified based on the secret key information generated by the authentication-related server.
本発明のさらに別の態様もまた、認証管理サーバである。この認証管理サーバは、Nを2以上の整数とするとき、N個の分散鍵情報のうちのひとつを保持する認証部と、認証部によって保持される分散鍵情報以外のN−1個の分散鍵情報がひとつずつ分配されているN−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と認証部から取得された分散鍵情報とから所定の法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して発行要求を取得するとその秘密鍵情報に基づく認証情報をユーザにネットワークを介して送信する発行部と、を備える。認証部は、認証情報の検証が要求されると、N−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と当該認証部が保持する分散鍵情報とから法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して取得された認証情報を当該認証部によって生成された秘密鍵情報に基づき検証する。 Yet another embodiment of the present invention is also an authentication management server. In this authentication management server, when N is an integer of 2 or more, an authentication unit that holds one of N pieces of distributed key information and N−1 distributed items other than the distributed key information held by the authentication unit In accordance with a predetermined rule, N-1 distributed key information acquired from the N-1 authentication-related servers to which key information is distributed one by one through the network and distributed key information acquired from the authentication unit. And an issuing unit that generates secret key information and transmits authentication information based on the secret key information to the user via the network when an issuance request is obtained from the user via the network. When the authentication unit is requested to verify the authentication information, the N-1 distributed key information acquired from the N-1 authentication-related servers via the network and the distributed key information held by the authentication unit. Secret key information is generated according to the law, and the authentication information acquired from the user via the network is verified based on the secret key information generated by the authentication unit.
なお、以上の構成要素の任意の組み合わせや、本発明の構成要素や表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で相互に置換したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above-described constituent elements, and those in which constituent elements and expressions of the present invention are mutually replaced between apparatuses, methods, systems, programs, recording media storing programs, and the like are also aspects of the present invention. It is effective as
本発明によれば、破ることがより困難な認証を実現できる。 According to the present invention, authentication that is more difficult to break can be realized.
以下、本発明を好適な実施の形態をもとに図面を参照しながら説明する。各図面に示される同一または同等の構成要素、部材、処理には、同一の符号を付するものとし、適宜重複した説明は省略する。 The present invention will be described below based on preferred embodiments with reference to the drawings. The same or equivalent components, members, and processes shown in the drawings are denoted by the same reference numerals, and repeated descriptions are omitted as appropriate.
図1は、実施の形態に係る認証システム10の構成を示す模式図である。認証システム10はインターネット6などのネットワークを介してユーザのユーザPC(Personal Computer)2と接続される。認証システム10は、乙電子商店サーバ12と、甲銀行決済サーバ14と、指定信用情報機関サーバ16と、認証局サーバ18と、発行局サーバ20と、を備える。乙電子商店サーバ12、甲銀行決済サーバ14、指定信用情報機関サーバ16、認証局サーバ18、発行局サーバ20はいずれもインターネット6と接続される。発行局サーバ20は、インターネット6とは異なるネットワークである移動体通信網8と接続される。ユーザはユーザPC2およびユーザ携帯電話4を有し、ユーザPC2はインターネット6と接続され、ユーザ携帯電話4は移動体通信網8と接続される。
FIG. 1 is a schematic diagram illustrating a configuration of an
乙電子商店サーバ12を管理する乙電子商店は甲銀行決済サーバ14を管理する甲銀行に、乙電子商店サーバ12が提供するEC(Electronic Commerce)サイトにおけるネット決済機能の提供を委託している。甲銀行決済サーバ14はそのECサイトにインターネット6を介してネット決済機能を提供する。甲銀行は認証局サーバ18および発行局サーバ20の両者を管理する丙セキュリティサービス社にネット決済における利用認証を委託している。
The OT electronic store that manages the OT electronic store server 12 entrusts the KO bank that manages the OB
「利用認証」は、例えばユーザがネット決済を利用してもよいか否かを判断することである。「利用認証」は、ユーザの真偽を判断するユーザ認証であってもよく、またはユーザ認証をその一部に含んでもよい。 “Usage authentication” is, for example, determining whether or not the user may use online payment. “Usage authentication” may be user authentication for determining the authenticity of a user, or may include user authentication as a part thereof.
甲銀行は、信用情報に基づく信用認証を指定信用情報機関サーバ16を管理する指定信用情報機関に委託している。
「信用認証」は利用認証の一部として利用認証のプロセスに組み込まれており、例えばユーザの年齢や性別や前科(性犯罪履歴など)や自己破産履歴などに基づきネット決済を利用しても良いか否かを判断することである。
Bank A entrusts credit authentication based on credit information to a designated credit information organization that manages the designated credit information organization server 16.
"Credit authentication" is built into the usage authentication process as part of usage authentication. For example, online payment may be used based on the user's age, gender, predecessor (sex crime history, etc.), self-bankruptcy history, etc. It is to determine whether or not.
認証システム10では、甲銀行決済サーバ14と指定信用情報機関サーバ16と認証局サーバ18とにひとつずつ分配される3個の分散鍵情報と、その3個の分散鍵情報から所定の結合法則にしたがい生成される秘密鍵情報と、を使用して利用認証が行われる。
In the
したがって、認証局サーバ18だけではネット決済における利用認証は完結せず甲銀行もその利用認証のプロセスに参加することとなるので、甲銀行が認証のリスクをコントロールすることができる。その結果、丙セキュリティサービス社、指定信用情報機関、もしくは甲銀行自身のいずれかまたは複数において情報が漏洩し悪意の第3者がその情報を手にしたとしても、利用認証が破られる可能性はより低くなる。したがって、甲銀行が丙セキュリティサービス社を完全に信用してそこに利用認証を「丸投げ」する以外のよりセキュアなオプション、すなわちいずれの事業者も相互に信頼しない性悪説を前提とするよりセキュアな認証システムの提供が可能となる。
Therefore, the
所定の結合法則は例えば、秘密鍵情報をSS(Shared Secret)4、3個の分散鍵情報をSS1、SS2、SS3と表記するとき、SS4をSS1、SS2、SS3から以下の式1にしたがって生成することである。
SS4=F(SS1、SS2、SS3) …(式1)
ここで、F(x、y、z)は値x、値y、値zを変数とする関数である。この法則では、SS1、SS2、SS3の全てが揃わなければSS4を得ることはできない。
あるいはまた、所定の結合法則は、公知のしきい値暗号系のアルゴリズムに基づくものであってもよい。
For example, when the secret key information is expressed as SS (Shared Secret) 4 and the three distributed key information is expressed as SS1, SS2, SS3, SS4 is generated from SS1, SS2, SS3 according to the following formula 1. It is to be.
SS4 = F (SS1, SS2, SS3) (Formula 1)
Here, F (x, y, z) is a function having values x, y, and z as variables. According to this rule, SS4 cannot be obtained unless SS1, SS2, and SS3 are all available.
Alternatively, the predetermined combination rule may be based on a known threshold encryption algorithm.
本実施の形態に係る認証システム10では、3個の分散鍵情報および秘密鍵情報はユーザごとに設定される。すなわち、ひとりのユーザに対して3個の分散鍵情報とその3個の分散鍵情報から生成される秘密鍵情報との組み合わせが設定され、複数のユーザのそれぞれに対してそれぞれ異なる組み合わせが設定されている。
また、ネット決済サービスごと、例えばネット決済サービスの種類ごとに分散鍵情報の個数が設定される。例えば、通常決済では3個の分散鍵情報が使用され、簡易決済では2個使用される。これにより、トレードオフの関係にあるセキュリティの強さと認証にかかる手間、時間とをサービスごとにより自由に設定できる。
In the
In addition, the number of distributed key information is set for each Internet payment service, for example, for each type of Internet payment service. For example, three pieces of distributed key information are used in normal payment, and two pieces are used in simple payment. This makes it possible to freely set the security strength, the labor and time required for authentication, which are in a trade-off relationship, for each service.
乙電子商店サーバ12は、インターネット6を介してユーザに所定のサービス、ここではECを提供するサーバである。乙電子商店サーバ12は処理部と保持部とを有し(いずれも不図示)、保持部は認証先管理テーブル22を保持する。乙電子商店サーバ12の処理部は、甲銀行決済サーバ14が提供するネット決済機能が組み込まれたECサイトを、インターネット6を介してユーザPC2のディスプレイに表示させる。乙電子商店サーバ12の処理部は、ECサイトにおいてネット決済が指定されると、利用認証のためにユーザPC2を認証局サーバ18にリダイレクトする。
The electronic store server 12 is a server that provides a predetermined service, here EC, to the user via the Internet 6. The electronic store server 12 includes a processing unit and a holding unit (both not shown), and the holding unit holds the authentication destination management table 22. The processing unit of the electronic shopping server 12 displays the EC site in which the Internet settlement function provided by the Bank
認証局サーバ18および発行局サーバ20は、インターネット6および移動体通信網8を介してネット決済における利用認証を行うサーバである。認証局サーバ18は処理部114と保持部116とを有し(いずれも図14で図示)、保持部116は第3分散鍵情報40と、第3分散鍵管理テーブル42と、第1分散鍵取得先テーブル44と、OTP発行先テーブル46と、を保持する。発行局サーバ20は処理部102と保持部104とを有し(いずれも図13で図示)、保持部104は秘密鍵情報48と、秘密鍵管理テーブル50と、第2分散鍵取得先テーブル52と、を保持する。
The
認証局サーバ18は、ユーザPC2がリダイレクトされてくると、ユーザ携帯電話4から発行局サーバ20に発行要求を送信するようインターネット6を介してユーザに通知する。発行局サーバ20は、ユーザから移動体通信網8を介して発行要求を取得すると、そのユーザに対応する秘密鍵情報を特定し、特定された秘密鍵情報に基づく認証情報、例えば秘密鍵情報を入力とする所定の生成アルゴリズムによって生成されるワンタイムパスワード(One Time Password、以下OTPと称す)をユーザに移動体通信網8を介して送信する。認証局サーバ18は、ユーザからインターネット6を介してOTPを取得し、それを検証する。発行要求は、例えば利用認証においてOTPの発行を要求する情報である。
When the
甲銀行決済サーバ14は、インターネット6を介して乙電子商店サーバ12に所定のリソースやサービス、ここではネット決済機能を提供するサーバである。甲銀行決済サーバ14は、認証局サーバ18における検証の結果、ユーザがネット決済を利用してもよいと判定されると、所定の決済サイトをインターネット6を介してユーザPC2のディスプレイに表示させる。
甲銀行決済サーバ14は処理部と保持部とを有し(いずれも不図示)、保持部は第1分散鍵情報24と、第1分散鍵管理テーブル26と、サービス認証管理テーブル28と、利用判断委託先テーブル30と、第1利用可否テーブル32と、を保持する。
The Bank
The Bank
指定信用情報機関サーバ16は、利用認証の一部として信用認証を行うサーバである。指定信用情報機関サーバ16は処理部と保持部とを有し(いずれも不図示)、保持部は第2分散鍵情報34と、第2分散鍵管理テーブル36と、第2利用可否テーブル38と、を保持する。
The designated credit information institution server 16 is a server that performs credit authentication as part of usage authentication. The designated credit information agency server 16 has a processing unit and a holding unit (both not shown), and the holding unit includes a second distributed
図2は、第1分散鍵管理テーブル26の一例を示すデータ構造図である。第1分散鍵管理テーブル26は、ユーザを特定するユーザIDと、甲銀行決済サーバ14が提供するネット決済サービスを特定するサービスIDと、第1分散鍵情報を特定する第1分散鍵IDと、を対応付けて保持する。図2においては、乙電子商店サーバ12が提供するECサイトにおける通常決済のネット決済サービスを特定するサービスIDは「甲銀行通常決済@EC」であり、簡易決済のネット決済サービスを特定するサービスIDは「甲銀行簡易決済@EC」である。第1分散鍵IDはユーザIDおよびサービスIDに対応する第1分散鍵情報を甲銀行決済サーバ14において特定するIDであり、例えば第1分散鍵情報の名称や保持部内でのアドレス等である。
FIG. 2 is a data structure diagram showing an example of the first distributed key management table 26. The first distributed key management table 26 includes a user ID that identifies a user, a service ID that identifies a net payment service provided by the
図3は、サービス認証管理テーブル28の一例を示すデータ構造図である。サービス認証管理テーブル28は、サービスIDと、甲銀行がそのサービスIDによって特定されるネット決済サービスについて利用認証を委託している事業者が管理する発行局サーバを特定するIDと、その事業者が管理する認証局サーバを特定するIDと、を対応付けて保持する。サーバを特定するIDは例えばそのサーバのURL(Uniform Resource Locator)である。図3においては、認証局サーバ18のURLは「www.ninshou1.…」であり、発行局サーバ20のURLは「www.hakkou.…」である。
FIG. 3 is a data structure diagram showing an example of the service authentication management table 28. The service authentication management table 28 includes a service ID, an ID for identifying an issuing authority server managed by a business operator entrusted with use authentication for the Internet settlement service identified by the bank A, and the business operator. An ID that identifies the certificate authority server to be managed is stored in association with each other. The ID that identifies the server is, for example, the URL (Uniform Resource Locator) of the server. In FIG. 3, the URL of the
図4は、利用判断委託先テーブル30の一例を示すデータ構造図である。利用判断委託先テーブル30は、サービスIDと、甲銀行がそのサービスIDによって特定されるネット決済サービスについて信用認証を委託している機関が管理するサーバのURLと、を対応付けて保持する。図4においては、指定信用情報機関サーバ16のURLは「www.ninshou2.…」である。利用判断委託先テーブル30は、認証局サーバ18および発行局サーバ20に送信され、または認証局サーバ18および発行局サーバ20によって参照されることによって、分散鍵情報の取得先を更新するために使用されてもよい。
FIG. 4 is a data structure diagram illustrating an example of the usage determination entrustment destination table 30. The use determination entrustment destination table 30 holds a service ID and a URL of a server managed by an institution that entrusts credit authentication for the Internet settlement service specified by the bank A with the service ID in association with each other. In FIG. 4, the URL of the designated credit information institution server 16 is “www.ninshou2... The use determination entrustment destination table 30 is used to update the acquisition destination of the distributed key information by being transmitted to the
図5は、第1利用可否テーブル32の一例を示すデータ構造図である。第1利用可否テーブル32は甲銀行が設定するいわゆるブラックリストであり、サービスIDと、ユーザIDと、利用可否に関する情報と、を対応付けて保持する。利用可否に関する情報は、サービスIDによって特定されるネット決済サービスについて、ユーザIDによって特定されるユーザの利用を甲銀行が許す場合は「可」に、許さない場合は「否」に、設定される。 FIG. 5 is a data structure diagram illustrating an example of the first availability table 32. The first availability table 32 is a so-called black list set by the Bank, and stores a service ID, a user ID, and information on availability in association with each other. The information regarding availability is set to “permitted” if the bank accepts the use of the user specified by the user ID for the online settlement service specified by the service ID, and “not permitted” otherwise. .
図6は、第2分散鍵管理テーブル36の一例を示すデータ構造図である。第2分散鍵管理テーブル36は、ユーザIDと、サービスIDと、第2分散鍵情報を特定する第2分散鍵IDと、を対応付けて保持する。第2分散鍵IDはユーザIDおよびサービスIDに対応する第2分散鍵情報を指定信用情報機関サーバ16において特定するIDである。 FIG. 6 is a data structure diagram showing an example of the second distributed key management table 36. The second distributed key management table 36 holds a user ID, a service ID, and a second distributed key ID that specifies the second distributed key information in association with each other. The second distributed key ID is an ID for specifying the second distributed key information corresponding to the user ID and the service ID in the designated credit information institution server 16.
図7は、第2利用可否テーブル38の一例を示すデータ構造図である。第2利用可否テーブル38は指定信用情報機関が設定するいわゆるブラックリストであり、サービスIDと、ユーザIDと、利用可否に関する情報と、を対応付けて保持する。利用可否に関する情報は、サービスIDによって特定されるネット決済サービスについて、ユーザIDによって特定されるユーザの利用を指定信用情報機関が許す場合は「可」に、許さない場合は「否」に、設定される。 FIG. 7 is a data structure diagram showing an example of the second availability table 38. The second availability table 38 is a so-called black list set by the designated credit information organization, and stores a service ID, a user ID, and information on availability in association with each other. Information regarding availability is set to “Yes” if the designated credit information organization allows the use of the user specified by the user ID for the online payment service specified by the service ID, and to “No” if not allowed. Is done.
図8は、第3分散鍵管理テーブル42の一例を示すデータ構造図である。第3分散鍵管理テーブル42は、ユーザIDと、サービスIDと、第3分散鍵情報を特定する第3分散鍵IDと、を対応付けて保持する。第3分散鍵IDはユーザIDおよびサービスIDに対応する第3分散鍵情報を認証局サーバ18において特定するIDである。
FIG. 8 is a data structure diagram showing an example of the third distributed key management table 42. The third distributed key management table 42 holds a user ID, a service ID, and a third distributed key ID that specifies the third distributed key information in association with each other. The third distributed key ID is an ID for specifying third distributed key information corresponding to the user ID and the service ID in the
図9は、第1分散鍵取得先テーブル44の一例を示すデータ構造図である。第1分散鍵取得先テーブル44は、サービスIDと、そのサービスIDによって特定されるネット決済サービスの利用認証における分散鍵情報の取得先のサーバのURLと、を対応付けて保持する。第1分散鍵取得先テーブル44は、ネット決済サービスごとに、使用される分散鍵情報の個数およびそれらの分散鍵情報の分配先を保持していると言える。図9において、甲銀行決済サーバ14のURLは「www.koubank.…」である。
第2分散鍵取得先テーブル52の構成は第1分散鍵取得先テーブル44の構成と同様である。
FIG. 9 is a data structure diagram illustrating an example of the first distributed key acquisition destination table 44. The first distributed key acquisition destination table 44 holds the service ID and the URL of the server from which the distributed key information is acquired in the use authentication of the net settlement service specified by the service ID, in association with each other. It can be said that the first distributed key acquisition destination table 44 holds the number of distributed key information used and the distribution destination of the distributed key information for each net settlement service. In FIG. 9, the URL of the bank
The configuration of the second distributed key acquisition destination table 52 is the same as the configuration of the first distributed key acquisition destination table 44.
図10は、OTP発行先テーブル46の一例を示すデータ構造図である。OTP発行先テーブル46は、サービスIDと、そのサービスIDによって特定されるネット決済サービスの利用認証においてOTPを発行する発行局サーバのURLと、を対応付けて保持する。 FIG. 10 is a data structure diagram showing an example of the OTP issue destination table 46. The OTP issue destination table 46 holds the service ID and the URL of the issuing authority server that issues the OTP in the use authentication of the net settlement service specified by the service ID in association with each other.
図11は、秘密鍵管理テーブル50の一例を示すデータ構造図である。秘密鍵管理テーブル50は、ユーザIDと、サービスIDと、秘密鍵情報を特定する秘密鍵IDと、を対応付けて保持する。秘密鍵IDはユーザIDおよびサービスIDに対応する秘密鍵情報を発行局サーバ20において特定するIDである。
FIG. 11 is a data structure diagram showing an example of the secret key management table 50. The secret key management table 50 holds a user ID, a service ID, and a secret key ID that specifies secret key information in association with each other. The secret key ID is an ID for specifying secret key information corresponding to the user ID and the service ID in the
図12は、認証先管理テーブル22の一例を示すデータ構造図である。認証先管理テーブル22は、サービスIDと、そのサービスIDによって特定されるネット決済サービスの利用認証を行うためのリダイレクト先のサーバのURLと、を対応付けて保持する。 FIG. 12 is a data structure diagram showing an example of the authentication destination management table 22. The authentication destination management table 22 holds a service ID and a URL of a redirect destination server for performing use authentication of the net settlement service specified by the service ID in association with each other.
図13は、発行局サーバ20の機能および構成を示すブロック図である。ここに示す各ブロックは、ハードウエア的には、コンピュータのCPU(central processing unit)をはじめとする素子や機械装置で実現でき、ソフトウエア的にはプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウエア、ソフトウエアの組合せによっていろいろなかたちで実現できることは、本明細書に触れた当業者には理解されるところである。
なお、説明をより明瞭とするため図13において秘密鍵情報48の図示を省略する。
FIG. 13 is a block diagram showing the function and configuration of the issuing
For clarity of explanation, the secret
発行局サーバ20は処理部102と保持部104とを備える。処理部102は、第1分散鍵取得部106と、第1秘密鍵生成部108と、発行要求取得部110と、OTP送信部112と、を含む。
The issuing
処理部102は、ユーザからの発行要求の取得にかかわらず例えば定期的に秘密鍵情報を更新する。
第1分散鍵取得部106は定期的に、ユーザごとおよびネット決済サービスごとに、分散鍵情報の分配先からインターネット6を介して分散鍵情報を取得する。例えば一日一回、第1分散鍵取得部106は第2分散鍵取得先テーブル52を参照してあるユーザおよびあるネット決済サービスについての分散鍵情報の分配先を特定する。第1分散鍵取得部106は、特定された分配先のサーバにインターネット6を介して分散鍵情報を問い合わせる。第1分散鍵取得部106は、その問い合わせに応じて送信されてきた分散鍵情報を受信する。
The
The first distributed
第1秘密鍵生成部108は、第1分散鍵取得部106によって取得された分散鍵情報から結合法則にしたがい秘密鍵情報を生成する。第1秘密鍵生成部108は、生成された秘密鍵情報をユーザごとおよびネット決済サービスごとに保持部104に保持させると共に秘密鍵管理テーブル50に登録する。
The first secret
発行要求取得部110は、ユーザのユーザ携帯電話4から移動体通信網8を介して発行要求を取得する。この発行要求は、利用認証の対象となっているネット決済サービスのサービスIDを含む。
The issue
OTP送信部112は、発行要求取得部110が発行要求を取得すると、発行要求を送信したユーザのユーザIDおよび発行要求に含まれるサービスIDの両者に対応する秘密鍵IDを秘密鍵管理テーブル50から抽出する。OTP送信部112は、抽出された秘密鍵IDによって特定される秘密鍵情報を保持部104から取得する。OTP送信部112は、取得された秘密鍵情報を入力とする生成アルゴリズムによってOTPを生成し、生成されたOTPをユーザ携帯電話4に移動体通信網8を介して送信する。
When the issuance
図14は、認証局サーバ18の機能および構成を示すブロック図である。ここに示す各ブロックは、ハードウエア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウエア的にはプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウエア、ソフトウエアの組合せによっていろいろなかたちで実現できることは、本明細書に触れた当業者には理解されるところである。
なお、説明をより明瞭とするため図14において第3分散鍵情報40の図示を省略する。
FIG. 14 is a block diagram showing the function and configuration of the
For the sake of clarity, the third distributed
認証局サーバ18は処理部114と保持部116とを備える。処理部114は、OTP入力要求部118と、OTP受信部120と、第2分散鍵取得部122と、第2秘密鍵生成部124と、検証部126と、を含む。
The
OTP入力要求部118は、ユーザPC2が乙電子商店サーバ12によってリダイレクトされてくると、リダイレクトの原因となったネット決済サービスの利用認証においてOTPを発行する発行局サーバのURLをOTP発行先テーブル46を参照して決定する。OTP入力要求部118は、決定された発行局サーバのURLをインターネット6を介してユーザPC2のディスプレイに表示させ、OTPの入力を要求する。
When the
ユーザはユーザPC2のディスプレイに表示されたURLをユーザ携帯電話4のブラウザに打ち込む。ユーザ携帯電話4は移動体通信網8を介して発行局サーバ、この場合は発行局サーバ20にアクセスする。ユーザ携帯電話4が移動体通信網8を介して発行局サーバ20からOTPを受信した場合、ユーザは受信したOTPを見てユーザPC2にOTPを入力する。ユーザPC2はインターネット6を介してそのOTPを認証局サーバ18に送信する。OTP受信部120は、そのようにして送信されたOTPを受信する。
The user inputs the URL displayed on the display of the
第2分散鍵取得部122は、OTP受信部120によってOTPが受信されると、OTPを送信したユーザおよび利用認証の対象となっているネット決済サービスについて、分散鍵情報の分配先からインターネット6を介して分散鍵情報を取得する。第2分散鍵取得部122は第1分散鍵取得先テーブル44を参照して、利用認証の対象となっているネット決済サービスについての分散鍵情報の分配先を特定する。第2分散鍵取得部122は、特定された分配先のサーバにインターネット6を介して分散鍵情報を問い合わせる。第2分散鍵取得部122は、その問い合わせに応じて送信されてきた分散鍵情報を受信する。第2分散鍵取得部122は、分配先のひとつが認証局サーバ18自身である場合は、保持部116から対応する第3分散鍵情報を取得する。
When the OTP is received by the
第2秘密鍵生成部124は、第2分散鍵取得部122によって取得された分散鍵情報から結合法則にしたがい秘密鍵情報を生成する。第2秘密鍵生成部124は、OTP受信部120によるOTPの受信に応じて動的に秘密鍵情報を生成すると言える。
The second secret
検証部126は、OTP受信部120によって受信されたOTPを第2秘密鍵生成部124によって生成された秘密鍵情報に基づき検証する。特に検証部126は、第2秘密鍵生成部124によって生成された秘密鍵情報を入力とする生成アルゴリズムによってOTPを生成し、生成されたOTPとOTP受信部120によって受信されたOTPとが一致するか否かを判定する。ここで使用される生成アルゴリズムは、OTP送信部112で使用される生成アルゴリズムと同一である。一致する場合、検証部126はユーザはネット決済を利用してもよいと判定し、一致しない場合、検証部126は利用不可と判定する。検証部126は利用してもよいと判定された場合、乙電子商店サーバ12が所有する検証鍵情報に対応する署名鍵情報をインターネット6を介してユーザPC2に送信する。
The
検証部126は、検証後、検証に使用したOTPおよび生成された秘密鍵情報を破棄する。これによりOTPや秘密鍵情報の漏洩のリスクを低減できる。
After the verification, the
以上の構成による認証システム10の動作を説明する。
図15は、認証システム10における一連の処理の一例を時系列に沿って示すチャートである。図16は、図15の続きのチャートである。発行局サーバ20の第1分散鍵取得部106は定期的に、例えばユーザID「A001」およびサービスID「甲銀行通常決済@EC」について分散鍵情報を問い合わせる。第1分散鍵取得部106は第2分散鍵取得先テーブル52を参照して甲銀行決済サーバ14、指定信用情報機関サーバ16および認証局サーバ18を問い合わせ先として特定し、ユーザID「A001」およびサービスID「甲銀行通常決済@EC」を含む第1SS問い合わせ信号S1、S2、S3を各問い合わせ先にインターネット6を介して送信する(S202)。
The operation of the
FIG. 15 is a chart illustrating an example of a series of processes in the
甲銀行決済サーバ14の処理部、指定信用情報機関サーバ16の処理部および認証局サーバ18の処理部114はそれぞれ、第1SS問い合わせ信号S1、S2、S3の受信に応じて、その保持部が有する対応する分散鍵情報を含む第1SS応答信号S4、S5、S6をインターネット6を介して発行局サーバ20に送信する。発行局サーバ20の第1分散鍵取得部106は第1SS応答信号S4、S5、S6を受信する(S204)。発行局サーバ20の第1秘密鍵生成部108は、受信された第1SS応答信号S4、S5、S6に含まれる3個の分散鍵情報からユーザID「A001」およびサービスID「甲銀行通常決済@EC」についての秘密鍵情報を生成し、保持部104に保持させると共に秘密鍵管理テーブル50に登録する(S206)。発行局サーバ20は上記の処理をユーザごと、ネット決済サービスごとに行う。
The processing unit of the bank
ユーザID「A001」のユーザは、乙電子商店サーバ12がインターネット6を介して提供するECサイトにおいて商品を選択し、支払画面において甲銀行が提供する通常決済のネット決済サービスを指定する。
図17は、支払画面300の代表画面図である。支払画面300は、支払情報表示領域302と、通常決済ボタン304と、簡易決済ボタン306と、代引きボタン308と、クレジットカードボタン310と、を有する。ユーザが通常決済ボタン304を押し下げることにより、通常決済のネット決済サービスが指定される。
The user with the user ID “A001” selects a product on an EC site provided by the electronic shop server 12 via the Internet 6 and designates a normal payment network payment service provided by the Bank on the payment screen.
FIG. 17 is a representative screen diagram of the
図15に戻り、ユーザPC2は、ユーザによる通常決済のネット決済サービスの指定を決済要求S7としてインターネット6を介して乙電子商店サーバ12に送信する(S208)。乙電子商店サーバ12は、決済要求S7を受信すると、認証局サーバ18によって発行される署名鍵情報を検証するための検証鍵情報の更新が必要か否かを認証局サーバ18にインターネット6を介して問い合わせる(S210)。認証局サーバ18は、更新が必要であれば新たな検証鍵情報を、必要でなければその旨を、インターネット6を介して乙電子商店サーバ12に送信する(S212)。
Returning to FIG. 15, the
乙電子商店サーバ12は、決済要求S7を受信すると、図12に示される認証先管理テーブル22を参照して、ユーザによって指定された通常決済のネット決済サービスに対応するリダイレクト先を認証局サーバ18と決定し、ユーザPC2を認証局サーバ18のURLにリダイレクトする(S214)。このリダイレクトに際し、乙電子商店サーバ12またはユーザPC2からリダイレクト先である認証局サーバ18に、ユーザID「A001」およびサービスID「甲銀行通常決済@EC」が通知される。
Upon receiving the settlement request S7, the electronic store server 12 refers to the authentication destination management table 22 shown in FIG. 12, and designates the redirect destination corresponding to the net settlement service of the normal settlement designated by the user as the
認証局サーバ18のOTP入力要求部118は、ユーザPC2がリダイレクトされると、図10に示されるOTP発行先テーブル46を参照して、ユーザによって指定された通常決済のネット決済サービスの利用認証においてOTPを発行する発行局サーバを発行局サーバ20と決定する。認証局サーバ18のOTP入力要求部118は、決定された発行局サーバ20のURL「www.hakkou.…」を表示しOTPの入力を促すOTP入力画面を、インターネット6を介してユーザPC2のディスプレイに表示させる。特に認証局サーバ18のOTP入力要求部118は、OTP入力画面をディスプレイに表示させるための画面情報をOTP入力要求S8としてユーザPC2に送信する(S216)。
When the
図18は、OTP入力画面312の代表画面図である。OTP入力画面312は、URL表示領域314と、サービスID表示領域316と、OTP入力領域318と、OKボタン320と、を有する。URL表示領域314には、認証局サーバ18によって決定された発行局サーバ20のURLが表示される。サービスID表示領域316には、ユーザによって指定された通常決済のネット決済サービスのサービスIDが表示される。OTP入力領域318、OKボタン320は後述する。
FIG. 18 is a representative screen diagram of the
図15に戻り、ユーザはユーザ携帯電話4のブラウザにURL表示領域314に表示されるURL「www.hakkou.…」を入力し、ユーザ携帯電話4は入力されたURL「www.hakkou.…」に基づいて移動体通信網8を介して発行局サーバ20にアクセスする。発行局サーバ20とユーザとの間でユーザID「A001」およびパスワードを利用する所定のユーザ認証が行われる。ユーザ認証が成功すると、ユーザはサービスID表示領域316に表示されるサービスID「甲銀行通常決済@EC」をユーザ携帯電話4に入力し、ユーザ携帯電話4はそのサービスID「甲銀行通常決済@EC」を含む発行要求S9を移動体通信網8を介して発行局サーバ20に送信することでOTPの発行を要求する(S218)。
Returning to FIG. 15, the user inputs the URL “www.hakkou....” Displayed in the
発行局サーバ20の発行要求取得部110は、発行要求S9を受信する。発行局サーバ20のOTP送信部112は、発行要求取得部110によって発行要求S9が受信されると、図11に示される秘密鍵管理テーブル50から、ユーザ認証で認証されたユーザID「A001」および発行要求S9に含まれるサービスID「甲銀行通常決済@EC」に対応する秘密鍵ID「SS4A」を抽出する(S220)。OTP送信部112は、抽出された秘密鍵ID「SS4A」によって特定される秘密鍵情報に基づいてOTPを生成する(S222)。OTP送信部112は、生成されたOTPを含むOTP発行信号S10を移動体通信網8を介してユーザ携帯電話4に送信する(S224)。
The issue
図16を参照すると、ユーザ携帯電話4は、OTP発行信号S10を受信すると、OTP発行信号S10に含まれるOTPをユーザ携帯電話4のディスプレイに表示させる。ユーザは、ユーザ携帯電話4のディスプレイでOTPを確認し、図18に示されるOTP入力画面312のOTP入力領域318にOTPを入力し、OKボタン320を押し下げる。ユーザPC2はOKボタン320が押し下げられると、OTP入力領域318に入力されたOTPを含む認証要求S11をインターネット6を介して認証局サーバ18に送信する(S226)。
Referring to FIG. 16, when receiving the OTP issue signal S10, the user mobile phone 4 displays the OTP included in the OTP issue signal S10 on the display of the user mobile phone 4. The user confirms the OTP on the display of the user mobile phone 4, enters the OTP in the
認証局サーバ18のOTP受信部120は認証要求S11を受信する。認証局サーバ18の第2分散鍵取得部122は、OTP受信部120によって認証要求S11が受信されると、ユーザID「A001」およびサービスID「甲銀行通常決済@EC」について分散鍵情報を問い合わせる。第2分散鍵取得部122は第1分散鍵取得先テーブル44を参照して甲銀行決済サーバ14、指定信用情報機関サーバ16および認証局サーバ18自身を問い合わせ先として特定する。第2分散鍵取得部122は、第3分散鍵管理テーブル42からユーザID「A001」およびサービスID「甲銀行通常決済@EC」の両者に対応する第3分散鍵ID「SS3A」を抽出し、抽出された第3分散鍵ID「SS3A」によって特定される第3分散鍵情報を保持部116から取得する。また第2分散鍵取得部122は、ユーザID「A001」およびサービスID「甲銀行通常決済@EC」を含む第2SS問い合わせ信号S12、S13を認証局サーバ18自身以外の各問い合わせ先にインターネット6を介して送信する(S228)。
The
甲銀行決済サーバ14および指定信用情報機関サーバ16はそれぞれ、第2SS問い合わせ信号S13、S12を受信すると、自身が設定する基準に基づいた独自の認証を行う(S230、S232)。ここでの独自の認証の結果は利用認証が成功するための必要条件を構成するが十分条件ではない。
Upon receipt of the second SS inquiry signals S13 and S12, the bank
甲銀行決済サーバ14は、受信された第2SS問い合わせ信号S13に含まれるユーザID「A001」によって特定されるユーザが当該甲銀行決済サーバ14において認証すべきでない対象として登録されている場合、当該甲銀行決済サーバ14の保持部が保持しているそのユーザID「A001」に対応する第1分散鍵情報の認証局サーバ18への送信を制限する。
If the user specified by the user ID “A001” included in the received second SS inquiry signal S13 is registered as an object that should not be authenticated in the bank
図19は、甲銀行決済サーバ14における独自の認証処理の一例を示すフローチャートである。甲銀行決済サーバ14の処理部は、第2SS問い合わせ信号S13を受信し(S302)、受信された第2SS問い合わせ信号S13からユーザID「A001」およびサービスID「甲銀行通常決済@EC」を抽出する(S304)。処理部は、抽出されたサービスID「甲銀行通常決済@EC」および第2SS問い合わせ信号S13の送信元である認証局サーバ18の組がサービス認証管理テーブル28に登録されているか否かを判定する(S306)。登録されていない場合(S306のN)、処理部は認証を許可しない旨を認証局サーバ18に通知する(S310)。これにより例えば、分散鍵情報の問い合わせが、甲銀行が利用認証を委託している認証局サーバからの問い合わせかどうかを確認することができる。
FIG. 19 is a flowchart showing an example of unique authentication processing in the Bank
登録されている場合(S306のY)、処理部は、抽出されたユーザID「A001」によって特定されるユーザが抽出されたサービスID「甲銀行通常決済@EC」によって特定される通常決済のネット決済サービスを利用してもよいか否かを、第1利用可否テーブル32を参照して判定する(S308)。利用不可と判定された場合(S308の否)、処理部は認証を許可しない旨を認証局サーバ18にインターネット6を介して通知する(S310)。利用可と判定された場合(S308の可)、処理部は、第1分散鍵管理テーブル26からユーザID「A001」およびサービスID「甲銀行通常決済@EC」の両者に対応する第1分散鍵ID「SS1A」を抽出する(S312)。処理部は、抽出された第1分散鍵ID「SS1A」によって特定される第1分散鍵情報を甲銀行決済サーバ14の保持部から取得し、取得された第1分散鍵情報を含む第2SS応答信号S14を認証局サーバ18にインターネット6を介して送信する(S314)。
If it is registered (Y in S306), the processing unit identifies the user identified by the extracted user ID “A001” and the normal settlement network identified by the service ID “Extraordinary Bank settlement @EC” extracted. Whether or not the settlement service may be used is determined with reference to the first availability table 32 (S308). When it is determined that it cannot be used (No in S308), the processing unit notifies the
指定信用情報機関サーバ16は、受信された第2SS問い合わせ信号S12に含まれるユーザID「A001」によって特定されるユーザが当該指定信用情報機関サーバ16において認証すべきでない対象として登録されている場合、当該指定信用情報機関サーバ16の保持部が保持しているそのユーザID「A001」に対応する第2分散鍵情報の認証局サーバ18への送信を制限する。指定信用情報機関サーバ16における独自の認証処理の一例は図19に示されるものに準じる。
When the designated credit information institution server 16 is registered as a target that the user specified by the user ID “A001” included in the received second SS inquiry signal S12 should not be authenticated in the designated credit information institution server 16, Transmission of the second distributed key information corresponding to the user ID “A001” held by the holding unit of the designated credit information organization server 16 to the
図16に戻り、認証局サーバ18の処理部114は、甲銀行決済サーバ14または指定信用情報機関サーバ16から認証を許可しない旨の通知を受けると、利用認証の不成功をユーザPC2にインターネット6を介して通知し(S234)、利用認証の処理を中断または終了する。
Returning to FIG. 16, when the
認証局サーバ18の第2分散鍵取得部122は、問い合わせ先の全てすなわち甲銀行決済サーバ14および指定信用情報機関サーバ16からそれぞれ第2SS応答信号S14、S15を受信する(S236)。第2分散鍵取得部122は、受信された第2SS応答信号S14、S15から、それらに含まれる2個の分散鍵情報(すなわちユーザID「A001」およびサービスID「甲銀行通常決済@EC」の両者に対応する第1分散鍵情報および第2分散鍵情報)を抽出する(S238)。
The second distributed
認証局サーバ18の第2秘密鍵生成部124は、ユーザID「A001」およびサービスID「甲銀行通常決済@EC」について、第2分散鍵取得部122によって取得された第1分散鍵情報、第2分散鍵情報および第3分散鍵情報から結合法則にしたがい秘密鍵情報を生成する(S240)。
The second secret
認証局サーバ18の検証部126は、生成された秘密鍵情報に基づいてOTPを生成し(S242)、生成されたOTPと認証要求S11に含まれるOTPとが一致するか否かを判定する(S244)。一致しない場合、認証局サーバ18の処理部114は利用認証の不成功をユーザPC2にインターネット6を介して通知し(S246)、利用認証の処理を中断または終了する。一致する場合、認証局サーバ18の検証部126は署名鍵情報を含む認証成功信号S16をユーザPC2にインターネット6を介して送信する(S248)。
The
ユーザPC2は、認証成功信号S16を受信すると、受信された認証成功信号S16から署名鍵情報を抽出する。ユーザPC2は、抽出された署名鍵情報を含む署名鍵提示信号S17を乙電子商店サーバ12にインターネット6を介して送信する(S250)。
Upon receiving the authentication success signal S16, the
乙電子商店サーバ12の処理部は、署名鍵提示信号S17を受信すると、受信された署名鍵提示信号S17に含まれる署名鍵情報を、予め保持している検証鍵情報によって検証する(S252)。検証の結果、検証鍵情報と署名鍵情報とが対応しないと判定された場合、乙電子商店サーバ12の処理部は利用認証の不成功をユーザPC2にインターネット6を介して通知し(S254)、利用認証の処理を中断または終了する。検証の結果、検証鍵情報と署名鍵情報とが対応すると判定された場合、乙電子商店サーバ12の処理部はユーザPC2のディスプレイに認証成功画面を表示させると共にユーザPC2を甲銀行決済サーバ14が提供する決済サイトにリダイレクトする(S256)。その後、決済サイトを通じて甲銀行決済サーバ14とユーザPC2との間で決済処理が行われる(S258)。
When receiving the signature key presentation signal S17, the processing unit of the electronic store server 12 verifies the signature key information included in the received signature key presentation signal S17 with the verification key information held in advance (S252). As a result of the verification, if it is determined that the verification key information and the signature key information do not correspond, the processing unit of the electronic store server 12 notifies the
図20は、認証成功画面322の代表画面図である。
図21は、決済画面324の代表画面図である。ステップS258の決済処理において甲銀行決済サーバ14は決済画面324をユーザPC2のディスプレイに表示させる。
FIG. 20 is a representative screen diagram of the
FIG. 21 is a representative screen diagram of the
上述の実施の形態において、保持部の例は、ハードディスクやメモリである。また、本明細書の記載に基づき、各部を、図示しないCPUや、インストールされたアプリケーションプログラムのモジュールや、システムプログラムのモジュールや、ハードディスクから読み出したデータの内容を一時的に記憶するメモリなどにより実現できることは本明細書に触れた当業者には理解されるところである。 In the above-described embodiment, examples of the holding unit are a hard disk and a memory. Based on the description in this specification, each unit is realized by a CPU (not shown), an installed application program module, a system program module, a memory that temporarily stores the contents of data read from the hard disk, and the like. It is understood by those skilled in the art who have touched this specification that they can do this.
本実施の形態に係る認証システム10によると、破ることがより困難な利用認証の仕組みを実現できる。以下の4つの状況においてこの仕組みがいかに機能するかを説明する。
(1)甲銀行や指定信用情報機関や丙セキュリティサービス社の内部から、またはインターネット6上の通信傍受によって第1分散鍵情報、第2分散鍵情報および第3分散鍵情報のうちの2つまでが外部に流出した場合
この場合、秘密鍵情報は第1分散鍵情報、第2分散鍵情報および第3分散鍵情報の全てが揃わないと生成できないので、悪意の第3者が流出した分散鍵情報を手にしたとしても、認証局サーバ18における認証で必要なOTPを生成することができない。
According to the
(1) Up to two of the first distributed key information, the second distributed key information, and the third distributed key information from the inside of the Bank, designated credit information agency, Sakai Security Service Company, or by communication interception on the Internet 6 In this case, since the secret key information cannot be generated unless all of the first distributed key information, the second distributed key information, and the third distributed key information are prepared, the distributed key leaked by a malicious third party Even if the information is obtained, the OTP required for authentication in the
(2)発行局サーバ20からユーザ携帯電話4へ送信されるOTPが傍受された場合
この場合、一般に認証プロセスのなかにいる真正のユーザのほうが悪意の第3者よりも早くOTPを認証局サーバ18に送る。すると認証局サーバ18におけるOTPの検証後そのOTPは破棄されるので、傍受されたOTPが悪意の第3者から送信されてきても検証を通過しない。また、悪意の第3者がOTPを真正のユーザよりも早く認証局サーバ18に送ったとしても、真正のユーザは自己のOTPが否定されたことをもって悪意の第3者の存在に気付くことができる。
(2) When an OTP transmitted from the issuing
(3)秘密鍵情報が外部に流出し、悪意の第3者がOTPを複製することが可能となった場合
この場合、例えば甲銀行、指定信用情報機関および丙セキュリティサービス社のうちの少なくともひとつが任意のタイミングで、例えば定期的に、自己の分散鍵情報の更新を行うことで、OTPの複製のリスクを回避できる。すなわち、漏洩した(可能性のある)秘密鍵情報を任意のタイミングで無効にすることができる。
(3) When the private key information is leaked to the outside and a malicious third party can copy the OTP. In this case, for example, at least one of the Bank A, designated credit information agency, and Sakai Security Service Company However, the risk of OTP duplication can be avoided by updating its own distributed key information at an arbitrary timing, for example, periodically. That is, the leaked (possible) secret key information can be invalidated at an arbitrary timing.
(4)ユーザが署名鍵情報を偽造し、認証局サーバ18や発行局サーバ20を通さずに偽造した署名鍵情報を乙電子商店サーバ12に提供した場合
この場合、乙電子商店サーバ12における署名鍵の検証は通過するかも知れないが、偽造された署名鍵情報に係るネット決済サービスについて甲銀行決済サーバ14は認証局サーバ18から分散鍵情報の要求を受けていないので、その事実をもって偽造を検知できる。すなわち、甲銀行決済サーバ14に利用認証に係る分散鍵情報が分配されている場合、このような署名鍵偽造の場合も検知できる。
(4) When the user forges the signature key information and provides the forged electronic store server 12 with the forged signature key information without passing through the
また、本実施の形態に係る認証システム10では、甲銀行決済サーバ14は第1分散鍵情報を有しており、利用認証の際に認証局サーバ18からの問い合わせに応じて第1分散鍵情報を提供するか否かを通じて利用認証に参加することとなる。したがって、利用認証を丙セキュリティサービス社に委託する甲銀行自体が認証リスクをコントロールすることができる。また、甲銀行は自らが独自に設定できるブラックリストすなわち第1利用可否テーブル32に照らし合わせてユーザへの認証判断を行うことができる。
In the
また、本実施の形態に係る認証システム10では、指定信用情報機関サーバ16は第2分散鍵情報を有しており、利用認証の際に認証局サーバ18からの問い合わせに応じて第2分散鍵情報を提供するか否かを通じて利用認証に参加することとなる。したがって、甲銀行から信用認証を委託された指定信用情報機関は信用情報に照らし合わせてユーザへの認証判断を行うことができる。これにより、甲銀行は委託先を適宜設定することで自己や丙セキュリティサービス社では設定が困難な判断軸に基づいた認証判断を利用認証に組み込むことができる。
Further, in the
また、本実施の形態に係る認証システム10では、発行局サーバ20はユーザからの発行要求の取得にかかわらずに分散鍵情報を問い合わせて取得する。したがって、ユーザからの発行要求の取得を契機として分散鍵情報を問い合わせる場合と比較して、1回の利用認証に必要な通信量を低減できる。また、発行局サーバ20ではユーザからの発行要求の取得に同期して分散鍵情報を問い合わせる必要はないので、例えば夜間等の通信量の比較的少ない期間に分散鍵情報を集めておくことができ効率的である。
In the
また、本実施の形態に係る認証システム10ではユーザに秘密鍵情報に基づくOTPを発行する。これにより、他のより複雑な認証情報を使用する場合と比較してユーザの負担、手間を軽減できる。特にOTPをユーザPC2に打ち込むことは比較的容易であり、ユーザPC2およびユーザ携帯電話4の両方を使用する現実的な認証システムが提供される。利用認証に関わるユーザ側の端末の数を増やすことにより利用認証をよりセキュアにできる。
Further, the
以上、実施の形態に係る認証システム10の構成と動作について説明した。この実施の形態は例示であり、その各構成要素や各処理の組み合わせにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
The configuration and operation of the
実施の形態では、認証システム10は3個の分散鍵情報とその3個の分散鍵情報から結合法則にしたがい生成される秘密鍵情報と、を使用する場合について説明したが、これに限られず、Nを2以上の整数とするとき、N個の分散鍵情報と、そのN個の分散鍵情報から所定の法則にしたがい生成される秘密鍵情報と、を使用する認証システムであればよい。この認証システムは、認証局サーバとN−1台の認証関連サーバとを備え、N個の分散鍵情報はN−1台の認証関連サーバおよび認証局サーバにひとつずつ分配されていてもよい。甲銀行決済サーバはN−1台の認証関連サーバのうちのひとつであってもよい。指定信用情報機関サーバはN−1台の認証関連サーバのうちのひとつであってもよい。乙電子商店サーバはN−1台の認証関連サーバのうちのひとつであってもよい。
In the embodiment, the
実施の形態では、認証局サーバ18と発行局サーバ20とが別体のサーバでありインターネット6を介して互いに通信する場合について説明したが、これに限られず、認証システムは認証局サーバ18、発行局サーバ20の代わりに認証局サーバ18の機能および発行局サーバ20の機能の両方を備える単体のサーバを備えてもよい。
In the embodiment, the case where the
実施の形態では、甲銀行決済サーバ14はインターネット6を介して乙電子商店サーバ12にネット決済機能を提供する場合について説明したが、これに限られない。例えば認証システムは、認証局サーバ18と、発行局サーバ20と、認証局サーバ18におけるOTPの検証の結果を利用するサービスを提供するサービス提供サーバと、サービス提供サーバによって提供されるサービスを利用するサービス利用サーバと、を備えてもよい。
In the embodiment, the case where the bank
実施の形態では、甲銀行は指定信用情報機関に信用認証を委託する場合について説明したが、これに限られず、例えば甲銀行はユーザ認証以外の所定の認証を所定の機関に委託してもよい。この所定の機関は、例えば業界標準団体や公的な管轄機関(例えば、金融庁や警察庁)やインターネットにおける発言ログなどを管理する機関である。この場合、その所定の機関が管理するサーバに分散鍵情報が分配される。 In the embodiment, the case where Bank A entrusts credit authentication to a designated credit information organization has been described. However, the present invention is not limited to this. For example, Bank A may entrust predetermined authentication other than user authentication to a predetermined organization. . The predetermined organization is, for example, an industry standard organization, a public jurisdiction organization (for example, the Financial Services Agency or the National Police Agency), or an organization that manages a speech log on the Internet. In this case, distributed key information is distributed to servers managed by the predetermined organization.
実施の形態では、ユーザPC2およびユーザ携帯電話4を利用して利用認証を行う場合について説明したが、これに限られず、例えばユーザPCのみで利用認証を行ってもよい。この場合、例えばOTP入力画面はOTP生成ボタンを有してもよく、このボタンが押し下げられるとユーザPCは発行局サーバ20にインターネット6を介してアクセスし、OTPの発行を要求する。この要求に対して発行されたOTPは、例えばユーザPCのディスプレイに別画面で表示されてもよい。あるいはまた、ユーザはユーザPCまたはユーザ携帯電話から電子メールを使用してOTPの発行を要求してもよい。
In the embodiment, the case where the use authentication is performed using the
実施の形態では、乙電子商店サーバ12は認証先管理テーブル22を有しユーザPC2リダイレクトの際にはこの認証先管理テーブル22を参照する場合について説明したが、これに限られず、乙電子商店サーバはユーザPC2リダイレクトの際リダイレクト先を甲銀行決済サーバに問い合わせてもよい。
In the embodiment, the description has been given of the case where the electronic store server 12 has the authentication destination management table 22 and the authentication destination management table 22 is referred to when redirecting the
実施の形態では、認証局サーバ18の第2分散鍵取得部122はOTP受信部120によってOTPが受信されると分散鍵情報を取得する場合について説明したが、これに限られず、第2分散鍵取得部は認証情報の検証が要求されると分散鍵情報を取得してもよい。例えば、第2分散鍵取得部はユーザPC2がリダイレクトされてきたことを契機として分散鍵情報を取得してもよい。ユーザPC2のリダイレクトもまたOTPの検証の要求とみなされうるからである。
In the embodiment, the case where the second distributed
実施の形態では、甲銀行決済サーバ14および指定信用情報機関サーバ16において、認証局サーバ18からの分散鍵情報の問い合わせに応じて独自の認証処理が行われる場合について説明したが、これに限られず、例えば発行局サーバ20からの分散鍵情報の問い合わせに応じて独自の認証処理が行われてもよい。
In the embodiment, the case where the original authentication processing is performed in response to the inquiry of the distributed key information from the
実施の形態の図15および図16に示されるチャートでは、ユーザによって通常決済のネット決済サービスが指定され、利用認証に3個の分散鍵情報が使用される場合について説明したが、これに限られない。例えば、ユーザによって簡易決済のネット決済サービスが指定された場合、認証局サーバ18の第2分散鍵取得部122および発行局サーバ20の第1分散鍵取得部106はそれぞれ、図9に示される第1分散鍵取得先テーブル44およびそれと同様な第2分散鍵取得先テーブル52を参照し、甲銀行決済サーバ14および認証局サーバ18からひとつずつ合計2個の分散鍵情報を取得してもよい。
In the charts shown in FIG. 15 and FIG. 16 of the embodiment, the case where the user has designated the normal payment net payment service and three pieces of distributed key information are used for the use authentication has been described. Absent. For example, when the simple payment net payment service is designated by the user, the second distributed
実施の形態では、認証システム10はサービス提供サーバとして甲銀行によって管理される甲銀行決済サーバ14を含み、委託先サーバとして指定信用情報機関によって管理される指定信用情報機関サーバ16を含む場合について説明したが、これに限られず、例えばサービス提供サーバは子会社や日本ブランチやアクワイアラーによって管理されるサーバであってもよく、委託先サーバはそれらに対応する親会社や海外本社やイシュアラーによって管理されるサーバであってもよい。
In the embodiment, the
2 ユーザPC、 4 ユーザ携帯電話、 6 インターネット、 8 移動体通信網、 10 認証システム、 12 乙電子商店サーバ、 14 甲銀行決済サーバ、 16 指定信用情報機関サーバ、 18 認証局サーバ、 20 発行局サーバ。 2 user PC, 4 user mobile phone, 6 internet, 8 mobile communication network, 10 authentication system, 12 OE electronic store server, 14 Bank A settlement server, 16 designated credit information agency server, 18 certificate authority server, 20 issuing authority server .
Claims (11)
N−1個の分散鍵情報がひとつずつ分配されるN−1台の認証関連サーバと、
残りの1個の分散鍵情報を保持する認証部と、
前記N−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と前記認証部から取得された分散鍵情報とから前記法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して発行要求を取得するとその秘密鍵情報に基づく認証情報をユーザにネットワークを介して送信する発行部と、を備え、
前記認証部は、認証情報の検証が要求されると、前記N−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と当該認証部が保持する分散鍵情報とから前記法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して取得された認証情報を当該認証部によって生成された秘密鍵情報に基づき検証することを特徴とする認証システム。 When N is an integer equal to or greater than 2, the authentication system uses N pieces of distributed key information and secret key information generated from the N pieces of distributed key information according to a predetermined rule,
N-1 authentication-related servers to which N-1 distributed key information is distributed one by one;
An authentication unit that holds the remaining one distributed key information;
Generating secret key information in accordance with the above rule from N-1 distributed key information acquired from the N-1 authentication-related servers via the network and distributed key information acquired from the authentication unit, An issuance unit that obtains an issuance request from the network via the network and transmits authentication information based on the secret key information to the user via the network, and
When the authentication unit is requested to verify authentication information, the N-1 distributed key information acquired from the N-1 authentication-related servers via the network and the distributed key information held by the authentication unit And generating the secret key information according to the above-mentioned rule, and verifying the authentication information acquired from the user via the network based on the secret key information generated by the authentication unit.
前記認証部は、認証情報の検証が要求されると、前記N−1台の認証関連サーバにそのユーザを特定するユーザIDをネットワークを介して送信し、
前記N−1台の認証関連サーバのうちの少なくともひとつは、受信されたユーザIDによって特定されるユーザが当該認証関連サーバにおいて認証すべきでない対象として登録されている場合、当該認証関連サーバが保持しているそのユーザIDに対応する分散鍵情報の前記認証部への送信を制限することを特徴とする請求項1から3のいずれかに記載の認証システム。 A combination of N pieces of distributed key information and secret key information generated from the N pieces of distributed key information is set for one user, and a different combination is set for each of a plurality of users. ,
When the authentication unit is requested to verify authentication information, the authentication unit transmits a user ID for identifying the user to the N-1 authentication-related servers via the network.
At least one of the N-1 authentication-related servers is held by the authentication-related server when the user specified by the received user ID is registered as a target that should not be authenticated in the authentication-related server 4. The authentication system according to claim 1, wherein transmission of the distributed key information corresponding to the user ID to the authentication unit is limited. 5.
ユーザからネットワークを介して発行要求を取得すると、N個の分散鍵情報から前記法則にしたがい生成された秘密鍵情報に基づく認証情報をユーザにネットワークを介して送信するステップと、
認証情報の検証が要求されると、前記N−1台の認証関連サーバからネットワークを介してN−1個の分散鍵情報を取得するステップと、
取得されたN−1個の分散鍵情報と残りの1個の分散鍵情報とから前記法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して取得された認証情報を生成された秘密鍵情報に基づき検証するステップと、を含むことを特徴とする認証方法。 An authentication method in an authentication system using N distributed key information and secret key information generated from the N distributed key information according to a predetermined rule when N is an integer of 2 or more. The authentication system includes N-1 authentication-related servers, and N-1 pieces of distributed key information are distributed to the N-1 authentication-related servers one by one.
Obtaining an issuance request from the user via the network, transmitting authentication information based on the secret key information generated according to the above-mentioned rule from the N distributed key information to the user via the network;
When verification of authentication information is requested, obtaining N-1 pieces of distributed key information from the N-1 authentication-related servers via a network;
Secret key information is generated according to the above-mentioned rule from the acquired N-1 distributed key information and the remaining one distributed key information, and the authentication information acquired from the user via the network is generated by the secret key. And a step of verifying based on the information.
ユーザがN個の分散鍵情報から所定の法則にしたがい予め生成された秘密鍵情報に基づく認証情報を受信した場合にその受信に応じてユーザがネットワークを介して送信する認証情報を受信する認証情報受信部と、
前記認証情報受信部によって認証情報が受信されると、前記分散鍵保持部によって保持される分散鍵情報以外のN−1個の分散鍵情報がひとつずつ分配されているN−1台の認証関連サーバからネットワークを介してN−1個の分散鍵情報を取得する分散鍵取得部と、
前記分散鍵取得部によって取得されたN−1個の分散鍵情報と前記分散鍵保持部によって保持される分散鍵情報とから前記法則にしたがい秘密鍵情報を生成する秘密鍵生成部と、
前記認証情報受信部によって受信された認証情報を前記秘密鍵生成部によって生成された秘密鍵情報に基づき検証する検証部と、を備えることを特徴とする認証管理サーバ。 When N is an integer greater than or equal to 2, a distributed key holding unit that holds one of N pieces of distributed key information;
When the user receives authentication information based on secret key information generated in advance from N pieces of distributed key information in accordance with a predetermined rule, authentication information is received by the user via the network in response to the reception. A receiver,
When authentication information is received by the authentication information receiving unit, N-1 pieces of authentication-related information in which N-1 pieces of distributed key information other than the distributed key information held by the distributed key holding unit are distributed one by one. A distributed key acquisition unit that acquires N-1 pieces of distributed key information from a server via a network;
A secret key generation unit that generates secret key information according to the law from N-1 pieces of distributed key information acquired by the distributed key acquisition unit and distributed key information held by the distributed key holding unit;
An authentication management server comprising: a verification unit that verifies the authentication information received by the authentication information receiving unit based on the secret key information generated by the secret key generation unit.
前記分散鍵取得部によって取得されたN個の分散鍵情報から所定の法則にしたがい秘密鍵情報を生成する秘密鍵生成部と、
ユーザからネットワークを介して発行要求を取得する発行要求取得部と、
前記発行要求取得部によって発行要求が取得されると、前記秘密鍵生成部によって生成された秘密鍵情報に基づく認証情報をユーザにネットワークを介して送信する認証情報送信部と、を備え、
ユーザは前記認証情報送信部によって送信された認証情報の受信に応じて認証情報を前記N個の認証関連サーバのうちのひとつにネットワークを介して送信し、その認証関連サーバはユーザからネットワークを介して認証情報を受信すると、他のN−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報とその認証関連サーバに分配された分散鍵情報とから前記法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して取得された認証情報をその認証関連サーバによって生成された秘密鍵情報に基づき検証することを特徴とする認証管理サーバ。 Regardless of acquisition of an issue request from a user, when N is an integer of 2 or more, N pieces of distributed key information are transmitted via N from N authentication-related servers to which N pieces of distributed key information are distributed one by one. A distributed key acquisition unit for acquiring
A secret key generating unit that generates secret key information according to a predetermined rule from the N distributed key information acquired by the distributed key acquiring unit;
An issue request acquisition unit for acquiring an issue request from a user via a network;
When an issue request is acquired by the issue request acquisition unit, an authentication information transmission unit that transmits authentication information based on the secret key information generated by the secret key generation unit to a user via a network, and
In response to receiving the authentication information transmitted by the authentication information transmitting unit, the user transmits authentication information to one of the N authentication related servers via the network, and the authentication related server transmits the authentication information from the user via the network. When the authentication information is received, the N-1 distributed key information acquired from the other N-1 authentication related servers via the network and the distributed key information distributed to the authentication related server are followed by the above rule. Accordingly, an authentication management server that generates secret key information and verifies authentication information acquired from a user via a network based on the secret key information generated by the authentication-related server.
前記認証部によって保持される分散鍵情報以外のN−1個の分散鍵情報がひとつずつ分配されているN−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と前記認証部から取得された分散鍵情報とから所定の法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して発行要求を取得するとその秘密鍵情報に基づく認証情報をユーザにネットワークを介して送信する発行部と、を備え、
前記認証部は、認証情報の検証が要求されると、前記N−1台の認証関連サーバからネットワークを介して取得されたN−1個の分散鍵情報と当該認証部が保持する分散鍵情報とから前記法則にしたがい秘密鍵情報を生成し、ユーザからネットワークを介して取得された認証情報を当該認証部によって生成された秘密鍵情報に基づき検証することを特徴とする認証管理サーバ。 When N is an integer of 2 or more, an authentication unit that holds one of N pieces of distributed key information;
N-1 distributed keys acquired via the network from N-1 authentication related servers in which N-1 distributed key information other than the distributed key information held by the authentication unit is distributed one by one. The private key information is generated from the information and the distributed key information acquired from the authentication unit according to a predetermined rule, and when an issuance request is acquired from the user via the network, the authentication information based on the secret key information is transmitted to the user. And an issuing unit for transmitting via
When the authentication unit is requested to verify authentication information, the N-1 distributed key information acquired from the N-1 authentication-related servers via the network and the distributed key information held by the authentication unit An authentication management server characterized in that secret key information is generated in accordance with the above-mentioned rule and the authentication information acquired from the user via the network is verified based on the secret key information generated by the authentication unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011074157A JP2012209782A (en) | 2011-03-30 | 2011-03-30 | Authentication system, authentication method and authentication management server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011074157A JP2012209782A (en) | 2011-03-30 | 2011-03-30 | Authentication system, authentication method and authentication management server |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012209782A true JP2012209782A (en) | 2012-10-25 |
Family
ID=47189175
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011074157A Withdrawn JP2012209782A (en) | 2011-03-30 | 2011-03-30 | Authentication system, authentication method and authentication management server |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2012209782A (en) |
-
2011
- 2011-03-30 JP JP2011074157A patent/JP2012209782A/en not_active Withdrawn
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210266166A1 (en) | Blockchain systems and methods for user authentication | |
KR101661933B1 (en) | Ccertificate authentication system and method based on block chain | |
CA3015695C (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
US11496312B2 (en) | Collecting surveys with secure identities via a blockchain | |
US11870769B2 (en) | System and method for identifying a browser instance in a browser session with a server | |
US9730065B1 (en) | Credential management | |
CN105608577B (en) | Method for realizing non-repudiation, payment management server and user terminal thereof | |
US20220360446A1 (en) | Dynamic implementation and management of hash-based consent and permissioning protocols | |
US20090292642A1 (en) | Method and system for automatically issuing digital merchant based online payment card | |
CN105577612B (en) | Identity authentication method, third-party server, merchant server and user terminal | |
US20110055547A1 (en) | Personal information management and delivery mechanism | |
KR20130107188A (en) | Server and method for authentication using sound code | |
JP2003337802A (en) | Storage device for distributed information, and authentication and authorization system | |
KR20170056536A (en) | Providing customer information obtained from a carrier system to a client device | |
KR20170063559A (en) | Multi-dimensional framework for defining criteria that indicate when authentication should be revoked | |
US20210258324A1 (en) | System and method for message recipient verification | |
US20150310441A1 (en) | Transaction system method, electronic signature tool, and network bank server authentication | |
JP6293245B1 (en) | Transaction mutual monitoring system with enhanced security | |
JP4794939B2 (en) | Ticket type member authentication apparatus and method | |
JP5919497B2 (en) | User authentication system | |
JP2012209782A (en) | Authentication system, authentication method and authentication management server | |
JP2019161302A (en) | Signature system | |
CN112016926A (en) | User identity verification method for secure transaction environment | |
TWM583082U (en) | User identity verification system for safety transaction environment | |
KR101405832B1 (en) | Login system and method through an authentication of user's mobile telecommunication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140603 |