JP2013175040A - Authentication authority transfer system, information terminal, token issuing station, service providing device, authentication authority transfer method, and program - Google Patents
Authentication authority transfer system, information terminal, token issuing station, service providing device, authentication authority transfer method, and program Download PDFInfo
- Publication number
- JP2013175040A JP2013175040A JP2012038957A JP2012038957A JP2013175040A JP 2013175040 A JP2013175040 A JP 2013175040A JP 2012038957 A JP2012038957 A JP 2012038957A JP 2012038957 A JP2012038957 A JP 2012038957A JP 2013175040 A JP2013175040 A JP 2013175040A
- Authority
- JP
- Japan
- Prior art keywords
- information terminal
- public key
- key certificate
- response
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、認証サービスの利用に係る認証権限を、ある情報端末から他の情報端末に移譲することを可能とする、認証権限移譲システム、情報端末、トークン発行局、サービス提供装置、認証権限移譲方法、及びプログラムに関するものである。 The present invention relates to an authentication authority transfer system, an information terminal, a token issuing authority, a service providing apparatus, an authentication authority transfer, which enables transfer of authentication authority related to use of an authentication service from one information terminal to another information terminal. The present invention relates to a method and a program.
従来、認証側が生成したチャレンジ(乱数)に被認証側が秘密鍵で署名(署名)したレスポンスを認証側に返送し、認証側はレスポンスを被認証側の公開鍵で復号してレスポンスのハッシュ値と照合して被認証側の正当性を検証する、PKI(Public Key Infrastructure:公開鍵基盤)を用いたクライアント認証方式が知られている(例えば、非特許文献1参照)。 Conventionally, a challenge (random number) generated by the authenticator returns a response signed by the authenticated party with a private key (signed) to the authenticator, and the authenticator decrypts the response with the public key of the authenticated party to obtain a response hash value A client authentication method using PKI (Public Key Infrastructure) that verifies the authenticity of the authenticated side by collation is known (for example, see Non-Patent Document 1).
PKIを用いた通常のクライアント認証では、クライアントであるICカードや携帯端末内部で秘密鍵及び公開鍵の鍵ペアを生成し、公開鍵を認証局(CA:Certificate Authority)の署名付きで公開する。以下に、クライアントをICカードとし、信頼された方法により発行された認証局の署名付き公開鍵証明書、及び秘密鍵が、ICカード内の耐タンパ領域に格納されていることを前提として、ICカードを用いたサーバへの認証動作(サーバがICカードを認証する動作)について説明する。 In normal client authentication using PKI, a key pair of a secret key and a public key is generated inside an IC card as a client or a portable terminal, and the public key is disclosed with a signature of a certificate authority (CA). Below, assuming that the client is an IC card, the public key certificate with a signature of the certificate authority issued by a trusted method and the private key are stored in the tamper-resistant area in the IC card. An authentication operation to the server using the card (operation in which the server authenticates the IC card) will be described.
まず、ICカードはサーバからチャレンジを受け取る。ICカードはチャレンジに対して秘密鍵でレスポンスを生成し、公開鍵証明書及びレスポンスをサーバに返す。サーバは、ICカードから受信した公開鍵証明書に含まれる認証局の署名を、認証局の公開鍵を用いて検証する。サーバは、この署名が正しければ、公開鍵証明書に含まれるICカードの公開鍵を抽出し、ICカードから受信したレスポンスをICカードの公開鍵により復号し、元のチャレンジと照合する。レスポンス処理は通常、ハッシュ化と秘密鍵による暗号化のプロセスを経るため、サーバは元のチャレンジのハッシュ値とレスポンスを復号した値とが一致するか確認し、一致した場合はICカードが正しいものと判断し認証を完了する。ICカードの公開鍵証明書に属性情報としてIDが定義されている場合、当該IDによるサーバへのログインを許可することになる。 First, the IC card receives a challenge from the server. The IC card generates a response with a secret key in response to the challenge, and returns a public key certificate and response to the server. The server verifies the signature of the certificate authority included in the public key certificate received from the IC card, using the public key of the certificate authority. If the signature is correct, the server extracts the public key of the IC card included in the public key certificate, decrypts the response received from the IC card with the public key of the IC card, and compares it with the original challenge. Since response processing usually goes through a process of hashing and encryption with a secret key, the server checks whether the hash value of the original challenge matches the decrypted value of the response, and if they match, the IC card is correct The authentication is completed. When an ID is defined as attribute information in the public key certificate of the IC card, login to the server using the ID is permitted.
しかし、従来のPKIクライアント認証方式では、公開鍵証明書及び秘密鍵が事前に登録された情報端末ではログインや本人情報などの認証が可能であるが、異なる情報端末に同一ユーザにかかる認証権限を移譲して認証動作を行うことができないという問題があった。 However, in the conventional PKI client authentication method, it is possible to authenticate such as login and identity information in an information terminal in which a public key certificate and a private key are registered in advance, but authentication authority for the same user is given to different information terminals. There was a problem that it was not possible to transfer and authenticate.
かかる事情に鑑みてなされた本発明の目的は、ある第1の情報端末に対して発行された認証権限を他の第2の情報端末に安全に移譲し、第2の情報端末によって第1の情報端末と同一の認証権限で同一の認証サービスを受けることが可能な証権限移譲システム、情報端末、トークン発行局、サービス提供装置、認証権限移譲方法、及びプログラムを提供することにある。 An object of the present invention made in view of such circumstances is to safely transfer the authentication authority issued to a certain first information terminal to another second information terminal, and It is an object to provide a certification authority transfer system, an information terminal, a token issuing authority, a service providing apparatus, an authentication authority transfer method, and a program that can receive the same authentication service with the same authentication authority as that of an information terminal.
上記課題を解決するため、本発明に係る認証権限移譲システムは、認証局から第1の公開鍵証明書を取得する第1の情報端末と、認証局から第2の公開鍵証明書を取得する第2の情報端末と、トークン発行局と、サービス提供装置とを備え、前記第1の情報端末から前記第2の情報端末に認証サービスの利用に係る認証権限を移譲する認証権限移譲システムであって、前記第2の情報端末は、前記第1の情報端末から前記第1の公開鍵証明書を受信する公開鍵証明書受信部と、前記公開鍵証明書受信部により受信した第1の公開鍵証明書、及び前記第2の公開鍵証明書を前記トークン発行局に送信する公開鍵証明書送信部とを有し、前記トークン発行局は、前記第2の情報端末から受信した前記第1の公開鍵証明書及び前記第2の公開鍵証明書の正当性を検証する公開鍵証明書検証部と、前記公開鍵証明書検証部により前記第1の公開鍵証明書及び第2の公開鍵証明書の正当性が確認された場合に、チャレンジPを生成し、該チャレンジPを前記第2の情報端末に送信するチャレンジ生成部とを有し、前記第2の情報端末は、前記トークン発行局から受信した前記チャレンジPに対するレスポンスQを生成し、該レスポンスQを前記トークン発行局に返信するとともに、該レスポンスQをチャレンジとして前記第1の情報端末に送信し、前記第1の情報端末からチャレンジQに対するレスポンスRを受信すると、該レスポンスRを前記トークン発行局に返信するレスポンス生成部を有し、前記トークン発行局は、前記第2の情報端末から受信した前記レスポンスQ及びレスポンスRの正当性を検証するレスポンス検証部と、前記レスポンス検証部により、前記レスポンスQ及びレスポンスRの正当性が確認された場合に、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づいて、前記第1の情報端末から認証権限を譲受した第2の情報端末の認証に用いられるトークンを前記第2の情報端末に発行するトークン発行部とを有し、前記第2の情報端末は、前記トークン発行局から前記トークンを受信して格納するトークン受信部を有することを特徴とする。 In order to solve the above-described problem, an authentication authority transfer system according to the present invention acquires a first information terminal that acquires a first public key certificate from a certificate authority, and a second public key certificate from a certificate authority. An authentication authority transfer system comprising a second information terminal, a token issuing authority, and a service providing device, and transferring an authentication authority related to use of an authentication service from the first information terminal to the second information terminal. The second information terminal includes a public key certificate receiving unit that receives the first public key certificate from the first information terminal, and a first public key received by the public key certificate receiving unit. A public key certificate transmitting unit that transmits the key certificate and the second public key certificate to the token issuing authority, wherein the token issuing authority receives the first information received from the second information terminal. Public key certificate and the second public key certificate A public key certificate verifying unit that verifies the validity of the first public key certificate and the public key certificate verifying unit when the validity of the first public key certificate and the second public key certificate is confirmed. And a challenge generator for transmitting the challenge P to the second information terminal, the second information terminal generates a response Q to the challenge P received from the token issuing station, The response Q is sent back to the token issuing station, the response Q is sent to the first information terminal as a challenge, and when the response R to the challenge Q is received from the first information terminal, the response R is sent to the token issuing station. A response generation unit that sends a response to the token issuing authority, and the token issuing authority receives the response Q and response R received from the second information terminal. When the validity of the response Q and the response R is confirmed by the response verification unit that verifies the validity, and the response verification unit, the attribute information included in the first public key certificate, and the second A token issuing unit that issues a token used for authentication of the second information terminal, which has been assigned authentication authority from the first information terminal, to the second information terminal based on the attribute information included in the public key certificate The second information terminal has a token receiving unit that receives and stores the token from the token issuing authority.
また、上記課題を解決するため、本発明に係る情報端末は、情報端末と、トークン発行局と、サービス提供装置とを備えるシステムにて、認証局から第1の公開鍵証明書を取得する他の情報端末から認証サービスの利用に係る認証権限を譲受する、認証局から第2の公開鍵証明書を取得する情報端末であって、前記認証権限を移譲する情報端末から前記第1の公開鍵証明書を受信する公開鍵証明書受信部と、前記公開鍵証明書受信部により受信した第1の公開鍵証明書、及び前記第2の公開鍵証明書を前記トークン発行局に送信する公開鍵証明書送信部と、前記トークン発行局からチャレンジPを受信すると、該チャレンジPに対するレスポンスQを生成し、該レスポンスQを前記トークン発行局に返信するとともに、該レスポンスQをチャレンジとして前記認証権限を移譲する情報端末に送信し、前記認証権限を移譲する情報端末からレスポンスQに対するレスポンスRを受信すると、該レスポンスRを前記トークン発行局に返信し、前記サービス提供装置からチャレンジSを受信すると、該チャレンジSに対するレスポンスTを生成し、該レスポンスTを前記サービス提供装置に返信するレスポンス生成部と、前記トークン発行局から、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づくトークンを受信して格納するトークン受信部と、を有することを特徴とする。 In order to solve the above problem, an information terminal according to the present invention obtains a first public key certificate from a certification authority in a system including an information terminal, a token issuing authority, and a service providing apparatus. An information terminal that obtains a second public key certificate from a certificate authority that receives an authentication authority related to the use of an authentication service from the information terminal, wherein the first public key is transferred from the information terminal that transfers the authentication authority. A public key certificate receiving unit for receiving a certificate, a first public key certificate received by the public key certificate receiving unit, and a public key for transmitting the second public key certificate to the token issuing authority When a challenge P is received from the certificate transmitting unit and the token issuing authority, a response Q to the challenge P is generated, the response Q is returned to the token issuing authority, and the response Q is When the response R to the response Q is received from the information terminal to which the authentication authority is transferred, the response R is returned to the token issuing station, and the challenge is received from the service providing apparatus. When S is received, a response T is generated for the challenge S, the response T is returned to the service providing device, and the attribute information included in the first public key certificate from the token issuing authority And a token receiving unit that receives and stores a token based on attribute information included in the second public key certificate.
また、上記課題を解決するため、本発明に係るトークン発行局は、認証局から第1の公開鍵証明書を取得する第1の情報端末と、認証局から第2の公開鍵証明書を取得する第2の情報端末と、トークン発行局と、サービス提供装置とを備えるシステムにて、第1の情報端末から認証サービスの利用に係る認証権限を譲受する第2の情報端末の認証に用いられるトークンを発行するトークン発行局であって、前記第2の情報端末から受信した前記第1の公開鍵証明書及び前記第2の公開鍵証明書の正当性を検証する公開鍵証明書検証部と、前記公開鍵証明書検証部により前記第1の公開鍵証明書及び第2の公開鍵証明書の正当性が確認された場合に、チャレンジPを生成し、該チャレンジPを前記第2の情報端末に送信するチャレンジ生成部と、前記第2の情報端末から前記チャレンジPに対するレスポンスQ、及びレスポンスQに対するレスポンスRを受信すると、該レスポンスQ及びレスポンスRの正当性を検証するレスポンス検証部と、前記レスポンス検証部により、前記レスポンスQ及びレスポンスRの正当性が確認された場合に、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づいて、前記第1の情報端末から認証権限を譲受した第2の情報端末の認証に用いられるトークンを前記第2の情報端末に発行するトークン発行部と、を有することを特徴とする。 In order to solve the above problem, the token issuing authority according to the present invention acquires the first information terminal that acquires the first public key certificate from the certificate authority, and the second public key certificate from the certificate authority. Used for authentication of the second information terminal that transfers the authentication authority related to the use of the authentication service from the first information terminal in the system including the second information terminal, the token issuing authority, and the service providing apparatus. A token issuing authority that issues a token, and a public key certificate verification unit that verifies the validity of the first public key certificate and the second public key certificate received from the second information terminal; When the validity of the first public key certificate and the second public key certificate is confirmed by the public key certificate verification unit, a challenge P is generated, and the challenge P is used as the second information. A challenge generator to send to the terminal, When receiving the response Q to the challenge P and the response R to the response Q from the second information terminal, the response verification unit that verifies the validity of the response Q and the response R, and the response verification unit And when the validity of the response R is confirmed, the first information is based on the attribute information included in the first public key certificate and the attribute information included in the second public key certificate. And a token issuing unit that issues a token used for authentication of the second information terminal to which the authentication authority has been transferred from the terminal to the second information terminal.
また、上記課題を解決するため、本発明に係るサービス提供装置は、認証局から第1の公開鍵証明書を取得する第1の情報端末と、認証局から第2の公開鍵証明書を取得する第2の情報端末と、トークン発行局と、サービス提供装置とを備えるシステムにて、第1の情報端末から認証サービスの利用に係る認証権限を譲受した第2の情報端末に対してサービスを提供するサービス提供装置であって、前記第2の情報端末から、前記第2の情報端末の公開鍵証明書と、トークン発行局が発行する、前記第1の情報端末から認証サービスの利用に係る認証権限を譲受した第2の情報端末の認証に用いられるトークンとを受信する公開鍵証明書・トークン受信部と、前記公開鍵証明書・トークン受信部により受信した前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性を検証するとともに、前記第2の情報端末の公開鍵証明書に含まれる属性情報と、前記トークンに含まれる第2の情報端末の属性情報とが同一であることを検証する公開鍵証明書・トークン検証部と、前記公開鍵証明書・トークン検証部により前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性が確認された場合に、チャレンジSを生成し、該チャレンジSを前記第2の情報端末に送信するチャレンジ生成部と、前記第2の情報端末から前記チャレンジSに対するレスポンスTを受信し、該レスポンスTの正当性を検証するレスポンス検証部と、前記レスポンス検証部により、前記レスポンスTの正当性が確認された場合に、前記第2の情報端末に対してサービスを提供するサービス提供部と、を有することを特徴とする。 In order to solve the above problem, the service providing apparatus according to the present invention acquires a first information terminal that acquires a first public key certificate from a certificate authority, and a second public key certificate from a certificate authority. In a system comprising a second information terminal, a token issuing authority, and a service providing device, a service is provided to the second information terminal that has transferred the authentication authority related to the use of the authentication service from the first information terminal. A service providing apparatus that provides the public key certificate of the second information terminal and the use of the authentication service from the first information terminal issued by the token issuing authority from the second information terminal. Public key certificate / token receiving unit that receives a token used for authentication of the second information terminal to which the authentication authority has been transferred, and disclosure of the second information terminal received by the public key certificate / token receiving unit Key certificate The attribute information included in the public key certificate of the second information terminal and the attribute information of the second information terminal included in the token are the same. When the validity of the public key certificate and token of the second information terminal is confirmed by the public key certificate / token verifier and the public key certificate / token verifier, the challenge S And a challenge generator that transmits the challenge S to the second information terminal, and a response verification that receives the response T to the challenge S from the second information terminal and verifies the validity of the response T. A service providing unit that provides a service to the second information terminal when the response verification unit confirms the validity of the response T; Characterized in that it has.
また、上記課題を解決するため、本発明に係る認証権限移譲方法は、認証局から第1の公開鍵証明書を取得する第1の情報端末と、認証局から第2の公開鍵証明書を取得する第2の情報端末と、トークン発行局と、サービス提供装置とを備えるシステムにて、前記第1の情報端末から前記第2の情報端末に認証サービスの利用に係る認証権限を移譲する認証権限移譲方法であって、(a)前記第2の情報端末により、前記第1の情報端末から前記第1の公開鍵証明書を受信するステップと、(b)前記第2の情報端末により、前記ステップ(a)により受信した第1の公開鍵証明書、及び前記第2の公開鍵証明書を前記トークン発行局に送信するステップと、(c)前記トークン発行局により、前記第2の情報端末から受信した前記第1の公開鍵証明書及び前記第2の公開鍵証明書の正当性を検証するステップと、(d)前記トークン発行局により、前記ステップ(c)により前記第1の公開鍵証明書及び第2の公開鍵証明書の正当性が確認された場合に、チャレンジPを生成し、該チャレンジPを前記第2の情報端末に送信するステップと、(e)前記第2の情報端末により、前記トークン発行局から受信した前記チャレンジPに対するレスポンスQを生成し、該レスポンスQを前記トークン発行局に送信するとともに、該レスポンスQをチャレンジとして前記第1の情報端末に送信するステップと、(f)前記第2の情報端末により、前記第1の情報端末からチャレンジQに対するレスポンスRを受信すると、該レスポンスRを前記トークン発行局に送信するステップと、(g)前記トークン発行局により、前記第2の情報端末から受信した前記レスポンスQ及びレスポンスRの正当性を検証するステップと、(h)前記トークン発行局により、前記ステップ(g)により前記レスポンスQ及びレスポンスRの正当性が確認された場合に、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づいて、前記第1の情報端末から認証権限を譲受した第2の情報端末の認証に用いられるトークンを前記第2の情報端末に発行するステップと、(i)前記第2の情報端末により、前記トークン発行局から前記トークンを受信して格納するステップと、を含むことを特徴とする。 In order to solve the above-described problem, an authentication authority transfer method according to the present invention includes a first information terminal that acquires a first public key certificate from a certificate authority, and a second public key certificate from a certificate authority. Authentication for transferring an authentication authority related to use of an authentication service from the first information terminal to the second information terminal in a system including a second information terminal to be acquired, a token issuing authority, and a service providing apparatus. (A) receiving the first public key certificate from the first information terminal by the second information terminal; and (b) by the second information terminal. Transmitting the first public key certificate received in step (a) and the second public key certificate to the token issuing authority; and (c) the second information by the token issuing authority. The first public received from the terminal Verifying the validity of the key certificate and the second public key certificate; and (d) the first public key certificate and the second public key by the token issuing authority according to the step (c). If the validity of the certificate is confirmed, generating a challenge P and transmitting the challenge P to the second information terminal; and (e) the token issuing authority by the second information terminal. Generating a response Q to the received challenge P, transmitting the response Q to the token issuing station, and transmitting the response Q as a challenge to the first information terminal; (f) the second When the information terminal receives a response R to the challenge Q from the first information terminal, the response terminal transmits the response R to the token issuing station; (g Verifying the legitimacy of the response Q and the response R received from the second information terminal by the token issuing authority; and (h) the response Q and the response by the token issuing authority in the step (g). When the validity of R is confirmed, based on the attribute information included in the first public key certificate and the attribute information included in the second public key certificate, from the first information terminal Issuing a token used for authentication of the second information terminal to which the authentication authority has been transferred to the second information terminal; and (i) receiving the token from the token issuing station by the second information terminal. And storing.
また、上記課題を解決するため、本発明に係るプログラムは、コンピュータを、上記トークン発行局として機能させることを特徴とする。 In order to solve the above problems, a program according to the present invention causes a computer to function as the token issuing authority.
本発明によれば、ある第1の情報端末に対して発行されたログインや本人情報などの認証権限を他の第2の情報端末に安全に移譲し、第2の情報端末によって第1の情報端末と同一の認証権限で同一の認証サービスを安全に受けることができるようになる。 According to the present invention, authentication authority such as login and identity information issued to a certain first information terminal is safely transferred to another second information terminal, and the first information terminal performs the first information It becomes possible to receive the same authentication service safely with the same authentication authority as the terminal.
例えば、第1の情報端末をICカード、第2の情報端末を携帯端末とした場合において、携帯端末に移譲した属性情報を用いて身分証として提示したり、ICカードのIDの権限を携帯端末に引き継いでICカードに代わり携帯端末でサイトにログインしたりすることが可能となる。 For example, when the first information terminal is an IC card and the second information terminal is a mobile terminal, the attribute information transferred to the mobile terminal is used as an identification card, or the IC card ID authority is stored in the mobile terminal. It becomes possible to log in to the site with a mobile terminal instead of the IC card.
以下、本発明による一実施形態について、図面を参照して詳細に説明する。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.
[認証権限移譲システムの構成]
図1は、一実施形態の認証権限移譲システムの構成例を示すブロック図である。図1に示すように、認証権限移譲システム1は、認証局10(第1の認証局10−1,第2の認証局10−2)と、情報端末20(第1の情報端末20−1,第2の情報端末20−2)と、トークン発行局30と、サービス提供装置40とを備える。
[Configuration of authentication authority transfer system]
FIG. 1 is a block diagram illustrating a configuration example of an authentication authority transfer system according to an embodiment. As shown in FIG. 1, the authentication
第1の情報端末20−1の認証を行う認証局と第2の情報端末20−2の認証を行う認証局は同一であってもよいが、本実施形態では、第1の認証局10−1が第1の情報端末20−1の認証を行い、第2の認証局10−2が第2の情報端末20−2の認証を行うものとする。また、第1の情報端末20−1から第2の情報端末20−2へ認証サービスの利用に係る認証権限を移譲するものとする。 The certificate authority that authenticates the first information terminal 20-1 and the certificate authority that authenticates the second information terminal 20-2 may be the same, but in the present embodiment, the first certificate authority 10- Assume that 1 authenticates the first information terminal 20-1, and the second certificate authority 10-2 authenticates the second information terminal 20-2. Also, it is assumed that the authentication authority relating to the use of the authentication service is transferred from the first information terminal 20-1 to the second information terminal 20-2.
認証局10は、情報端末20から受信した公開鍵を審査し、公開鍵の正当性が確認できると、認証局10の署名付きの公開鍵証明書を情報端末20に発行する。
The certificate authority 10 examines the public key received from the
認証局10が発行する公開鍵証明書には、公開鍵と、属性情報と、認証局10の署名とが含まれる。属性情報とは、情報端末20がICカードである場合には、IDや個人認証データ(氏名、住所、生年月日、性別)などの本人情報であり、情報端末20が携帯電話である場合には、携帯電話の電話番号などの固有番号である。
The public key certificate issued by the certificate authority 10 includes a public key, attribute information, and a signature of the certificate authority 10. The attribute information is personal information such as ID and personal authentication data (name, address, date of birth, gender) when the
図2は、情報端末20の構成例を示すブロック図である。なお、本図は本発明の特徴的な構成のみを示している。図2に示すように、情報端末20は、鍵ペア生成部21と、本人照合部22と、公開鍵証明書受信部23と、公開鍵証明書送信部24と、レスポンス生成部25と、トークン受信部26と、トークン送信部27とを有する。トークン受信部26、及びトークン送信部27は、認証権限を譲受する第2の情報端末20−2として機能する場合に用いられる。
FIG. 2 is a block diagram illustrating a configuration example of the
鍵ペア生成部21、本人照合部22、及びレスポンス生成部25による処理は、耐タンパ性を備えた耐タンパ部28内で行われるのが好適である。耐タンパ部28は、鍵ペア生成部21、本人照合部22、及びレスポンス生成部25による処理を行うほか、秘密鍵、公開鍵証明書、本人照合情報などのセキュア情報を格納(登録)する。本人照合情報とは、PIN(Personal Identification Number)や、指紋データなどの生体情報のことをいう。
The processing by the key
鍵ペア生成部21は、秘密鍵及び公開鍵の鍵ペアを生成する。そして、秘密鍵を耐タンパ部28内に保管するとともに、公開鍵を認証局10に送信する。
The key
本人照合部22は、ユーザから取得したPIN(暗証番号)や生体情報を、予め登録されている本人照合情報と照合することにより、本人照合を行う。
The
公開鍵証明書受信部23は、認証局10から公開鍵証明書を受信する。また、公開鍵証明書情報端末受信部22は、認証権限を譲受する第2の情報端末20−2として機能する場合には、第1の情報端末20−1から第1の情報端末20−1の公開鍵証明書を受信する。
The public key
公開鍵証明書送信部24は、認証権限を移譲する第1の情報端末20−1として機能する場合には、第1の情報端末20−1の公開鍵証明書を第2の情報端末20−2に送信する。また、公開鍵証明書送信部24は、認証権限を譲受する第2の情報端末20−2として機能する場合には、第1の情報端末20−1から受信した第1の情報端末20−1の公開鍵証明書、及び第2の情報端末20−2の公開鍵証明書をトークン発行局30に送信する。
When the public key
レスポンス生成部25は、認証権限を譲受する第2の情報端末20−2として機能する場合には、トークン発行局30からチャレンジ(乱数)P、及びチャレンジPに対するレスポンス要求を受信すると、チャレンジPに対して第2の情報端末20−2の秘密鍵を用いて署名したレスポンス(署名)Qを生成する。そして、レスポンスQをトークン発行局30に返信するとともに、レスポンスQをチャレンジQとして、認証権限を移譲する第1の情報端末20−1に送信する。
When the response generation unit 25 functions as the second information terminal 20-2 to which the authentication authority is transferred, the response generation unit 25 receives the challenge (random number) P and the response request for the challenge P from the
レスポンス生成部25は、認証権限を移譲する第1の情報端末20−1として機能する場合には、第2の情報端末20−2からチャレンジQ、及びチャレンジQに対するレスポンス要求を受信すると、チャレンジQに対して第1の情報端末20−1の秘密鍵を用いて署名したレスポンス(署名)Rを生成し、第2の情報端末20−2のレスポンス生成部25に返信する。すると、第2の情報端末20−2のレスポンス生成部25は、レスポンスRをトークン発行局30に返信する。
When the response generation unit 25 functions as the first information terminal 20-1 to transfer the authentication authority, the response generation unit 25 receives the challenge Q and the response request for the challenge Q from the second information terminal 20-2. In response to this, a response (signature) R signed using the private key of the first information terminal 20-1 is generated and returned to the response generation unit 25 of the second information terminal 20-2. Then, the response generation unit 25 of the second information terminal 20-2 returns a response R to the
また、レスポンス生成部25は、認証権限を譲受する第2の情報端末20−2として機能する場合には、サービス提供装置40からチャレンジ(乱数)Sを受信する。そして、チャレンジSに対して第2の情報端末20−2の秘密鍵を用いて署名したレスポンス(署名)Tを生成し、レスポンスTをサービス提供装置40に返信する。
In addition, the response generation unit 25 receives a challenge (random number) S from the
トークン受信部26は、認証権限を譲受する第2の情報端末20−2として機能する場合に用いられ、トークン発行局30からトークンを受信する。
The
トークン送信部27は、認証権限を譲受する第2の情報端末20−2として機能する場合に用いられ、トークン受信部26により受信したトークンをサービス提供装置40に送信することで、第1の情報端末20−1と同一の認証権限で同一の認証サービスを受ける。
The
図3は、トークン発行局30の構成例を示すブロック図である。なお、本図は本発明の特徴的な構成のみを示している。図3に示すように、トークン発行局30は、公開鍵証明書受信部31と、公開鍵証明書検証部32と、チャレンジ生成部33と、レスポンス検証部34と、トークン発行部35とを有する。
FIG. 3 is a block diagram illustrating a configuration example of the
公開鍵証明書受信部31は、第2の情報端末20−2から、第1の情報端末20−1の公開鍵証明書、及び第2の情報端末20−2の公開鍵証明書を受信する。
The public key
公開鍵証明書検証部32は、公開鍵証明書受信部31により受信した第1の情報端末20−1の公開鍵証明書の正当性を、第1の認証局10−1から取得した第1の認証局10−1の公開鍵を用いて復号することにより検証する。また、公開鍵証明書検証部32は、公開鍵証明書受信部31により受信した第2の情報端末20−2の公開鍵証明書の正当性を、第2の認証局10−2から取得した第2の認証局10−2の公開鍵を用いて復号することにより検証する。
The public key
チャレンジ生成部33は、公開鍵証明書検証部32により公開鍵証明書の正当性が確認された場合に、チャレンジ(乱数)Pを生成し、チャレンジPを第2の情報端末20−2に送信する。
The
レスポンス検証部34は、第2の情報端末20−2からチャレンジPに対するレスポンスQを受信すると、レスポンスQの正当性を、第2の情報端末20−2の公開鍵証明書から抽出した公開鍵を用いて復号することにより検証する。また、レスポンス検証部34は、第2の情報端末20−2からチャレンジPに対するレスポンスRを受信すると、レスポンスRの正当性を、第1の情報端末20−1の公開鍵証明書から抽出した公開鍵を用いて復号することにより検証する。 When the response verification unit 34 receives the response Q to the challenge P from the second information terminal 20-2, the response verification unit 34 determines the validity of the response Q from the public key certificate extracted from the public key certificate of the second information terminal 20-2. And verify by decrypting. When the response verification unit 34 receives the response R to the challenge P from the second information terminal 20-2, the validity of the response R is extracted from the public key certificate of the first information terminal 20-1. Verify by decrypting with the key.
トークン発行部35は、レスポンス検証部34により、レスポンスQ及びレスポンスRの正当性が確認された場合に、第1の情報端末20−1の公開鍵証明書の属性情報と第2の情報端末20−2の公開鍵証明書の属性情報に基づいて、第1の情報端末20−1から認証権限が移譲された第2の情報端末20−2の認証に用いられるトークンを発行する。例えば、トークンは、第1の情報端末20−1の公開鍵証明書に含まれる属性情報の全部又は一部、及び第2の情報端末20−2の公開鍵証明書に含まれる属性情報の全部又は一部に対して、トークン発行局30の秘密鍵を用いて署名したものとする。
When the validity of the response Q and the response R is confirmed by the response verification unit 34, the
また、トークン発行部35は、トークンを有効期限付きで発行するようにしてもよい。その場合、トークン発行部35は、認証局10から情報端末20の公開鍵証明書の失効リストを定期的に取得する。そして、公開鍵証明書の失効リストに新たに追加された公開鍵証明書に対応するトークンを、トークンに関する失効リストに追加し、トークンに関する失効リストを最新の状態に更新する。これにより、トークンの有効性に関する状態は、情報端末10の公開鍵証明書の失効情報と同期が取れるようになる。
The
図4は、サービス提供装置40の構成例を示すブロック図である。なお、本図は本発明の特徴的な構成のみを示している。図4に示すように、サービス提供装置40は、公開鍵証明書・トークン受信部41と、公開鍵証明書・トークン検証部42と、チャレンジ生成部43と、レスポンス検証部44と、サービス提供部45とを有する。
FIG. 4 is a block diagram illustrating a configuration example of the
公開鍵証明書・トークン受信部41は、第2の情報端末20−2から、第2の情報端末20−2の公開鍵証明書、及びトークンを受信する。
The public key certificate /
公開鍵証明書・トークン検証部42は、公開鍵証明書・トークン受信部41により受信した第2の情報端末20−2の公開鍵証明書の正当性を、第2の認証局10−2から取得した第2の認証局10−2の公開鍵を用いて復号することにより検証する。また、公開鍵証明書・トークン検証部42は、公開鍵証明書・トークン受信部41により受信したトークンの正当性を、トークン発行局30から受信した、トークン発行局30の公開鍵を用いて復号することにより検証する。そして、公開鍵証明書・トークン検証部42は、第2の情報端末20−2の公開鍵証明書に含まれる属性情報と、トークンに含まれる第2の情報端末20−2の属性情報とが同一であることを検証する。
The public key certificate /
チャレンジ生成部43は、公開鍵証明書・トークン検証部42により第2の情報端末20−2の公開鍵証明書、及びトークンが正当であることを確認できると、チャレンジ(乱数)Sを生成する。そして、生成したチャレンジSを第2の情報端末20−2に送信する。
When the public key certificate /
レスポンス検証部44は、第2の情報端末20−2からチャレンジSに対するレスポンスTを受信すると、レスポンスTの正当性を、第2の情報端末20−2の公開鍵証明書から抽出した公開鍵を用いて復号することにより検証する。
When the
サービス提供部45は、レスポンス検証部44により、レスポンスTの正当性が確認された場合に、第2の情報端末20−2に対してサービスを提供する。例えば、認証権限を移譲する情報端末20−1がICカードの場合には、認証権限を譲受した情報端末20−2に対してログインを許可し、決済などのサービスを提供する。
The
[認証権限移譲時の動作]
次に、このように構成される認証権限移譲システム1における認証権限移譲時の動作について説明する。以下の説明では、認証権限を移譲する第1の情報端末20−1がICカードであり、認証権限を譲受する第2の情報端末20−2が携帯電話端末(携帯端末)である場合を例に説明するため、第1の情報端末20−1をICカード20−1と表記し、第2の情報端末20−2を携帯端末20−2と表記する。また、携帯端末20−2は耐タンパ部28としてセキュアチップ28を有し、セキュアチップ28にてセキュリティ処理及びセキュア情報の格納を行うものとする。
[Operation when transferring authentication authority]
Next, an operation at the time of transfer of authentication authority in the authentication
まず、認証権限を移譲するにあたり必要となる事前準備について説明する。ICカード20−1を発行する際には、ICカード20−1の属性情報、ICカード20−1の秘密鍵、第1の認証局10−1の署名付きの公開鍵証明書、及びICカード20−1のユーザの本人照合情報を耐タンパ部28に登録する。
First, the preparations required for transferring the authentication authority will be described. When issuing the IC card 20-1, the attribute information of the IC card 20-1, the private key of the IC card 20-1, the public key certificate with the signature of the first certificate authority 10-1, and the IC card The identity verification information of the user 20-1 is registered in the tamper
携帯端末20−2に搭載されるセキュアチップ28を発行する際には、携帯端末20−2の属性情報、携帯端末20−2の秘密鍵、第2の認証局10−2の署名付きの公開鍵証明書、及び第2の情報端末20−2のユーザの本人照合情報をセキュアチップ28に登録する。
When issuing the
図5は、携帯端末20−2に搭載されるセキュアチップ28の発行時の動作例を示すフローチャートである。PC(図示せず)は、セキュアチップ発行時に公開鍵証明書の取得手続きを行うコンピュータである。PCは、携帯端末20−2の属性情報(例えば、電話番号)をPCのオペレータから取得してセキュアチップ28に送信し(ステップS301)、セキュアチップ28は、PCから受信した属性情報を登録する(ステップS302)。
FIG. 5 is a flowchart showing an operation example when issuing the
次に、PCはセキュアチップ28に対して鍵ペアの生成を要求する(ステップS303)。セキュアチップ28は、鍵ペア生成要求に応じて、携帯端末20−2の秘密鍵及び公開鍵の鍵ペアを生成し(ステップS304)。PCは、セキュアチップ28から公開鍵を受信する(ステップS305)。
Next, the PC requests the
次に、PCはセキュアチップ28に対して属性情報の署名の生成を要求する(ステップS306)。セキュアチップ28は、署名の生成要求に応じて、登録された属性情報に対してステップS304にて生成した携帯端末20−2の秘密鍵を用いて署名を生成し、PCに返信する(ステップS307)。
Next, the PC requests the
次に、PCはステップS301にて取得した属性情報、ステップS305にて取得した公開鍵、及びステップS307にて受信した署名を第2の認証局10−2に送信する(ステップS308)。第2の認証局10−2は、PCから受信した属性情報及び公開鍵に第2の認証局10−2の署名を付与した公開鍵証明書をPCに対して発行する(ステップS309)。 Next, the PC transmits the attribute information acquired in step S301, the public key acquired in step S305, and the signature received in step S307 to the second certificate authority 10-2 (step S308). The second certificate authority 10-2 issues a public key certificate in which the signature of the second certificate authority 10-2 is added to the attribute information and public key received from the PC to the PC (step S309).
PCは、第2の認証局10−2から公開鍵証明書を受信すると、セキュアチップ28に送信し(ステップS310)、セキュアチップ28は公開鍵証明書を登録する(ステップS311)。また、PCは携帯端末20−2の本人照合情報をPCのオペレータから取得してセキュアチップ28に送信し(ステップS312)セキュアチップ28は、PCから受信した本人照合情報を登録する(ステップS313)。
When receiving the public key certificate from the second certificate authority 10-2, the PC transmits the public key certificate to the secure chip 28 (step S310), and the
図6は、認証権限移譲システム1における権限移譲時の動作例を示すフローチャートである。ユーザが携帯端末20−2の本人認証用のアプリケーションを立ち上げ、認証権限移譲をリクエストすると(ステップS101)、権限移譲時の動作が開始する。携帯端末20−2は認証権限移譲のリクエストがあると、ICカード20−1のアプリケーションから、本人認証用のアプリケーションを選択する(ステップS102)。例えば、携帯端末20−2にICカード20−1をかざすことで実現する。
FIG. 6 is a flowchart showing an operation example at the time of authority transfer in the authentication
携帯端末20−2は、ユーザから入力される携帯端末20−2の本人照合情報を取得する(ステップS103)。セキュアチップ28は、入力された携帯端末20−2の本人照合情報と予め登録されている本人照合情報とを照合する(ステップS104)。ステップS102にて照合結果がNGである(両者一致しない)場合には、その旨を携帯端末20−2に通知し、処理を終了する。一方、ステップS104にて照合結果がOKである(両者が一致する)場合には、その旨を携帯端末20−2に通知し、処理を継続する。
The portable terminal 20-2 acquires the personal verification information of the portable terminal 20-2 input from the user (step S103). The
ステップS102にて照合結果がOKである場合、携帯端末20−2は、ユーザから入力されるICカード20−1の本人照合情報を取得し、ICカード20−1に送信する(ステップS105)。ICカード20−1は、携帯端末20−2から受信したICカード20−1の本人照合情報と、耐タンパ部28に登録されている本人照合情報とを照合する(ステップS106)。ステップS106にて照合結果がNGである場合には、その旨を携帯端末20−2に通知し、処理を終了する。一方、ステップS106にて照合結果がOKである場合には、その旨を携帯端末20−2に通知し、処理を継続する。 When the collation result is OK in step S102, the portable terminal 20-2 acquires the personal collation information of the IC card 20-1 input from the user and transmits it to the IC card 20-1 (step S105). The IC card 20-1 collates the personal verification information of the IC card 20-1 received from the mobile terminal 20-2 and the personal verification information registered in the tamper resistant unit 28 (step S106). If the collation result is NG in step S106, this is notified to the portable terminal 20-2, and the process is terminated. On the other hand, if the collation result is OK in step S106, that fact is notified to the portable terminal 20-2, and the process is continued.
続いて、携帯端末20−2は、ICカード20−1に公開鍵証明書を要求し(ステップS107)、ICカード20−1から公開鍵証明書を受信する(ステップS108)。携帯端末20−2は、ステップS108にて受信したICカード20−1の公開鍵証明書、及びセキュアチップ28に登録されている携帯端末20−2の公開鍵証明書をトークン発行局30に送信する(ステップS109)。
Subsequently, the portable terminal 20-2 requests the public key certificate from the IC card 20-1 (step S107), and receives the public key certificate from the IC card 20-1 (step S108). The portable terminal 20-2 transmits the public key certificate of the IC card 20-1 received in step S108 and the public key certificate of the portable terminal 20-2 registered in the
トークン発行局30は、ICカード20−1の公開鍵証明書が第1の認証局10−1の発行する失効リストにないこと、及び携帯端末20−2の公開鍵証明書が第2の認証局10−2の発行する失効リストにないことを確認する。そして、トークン発行局30は、ICカード20−1の公開鍵証明書を第1の認証局10−1の公開鍵を用いて検証するとともに、携帯端末20−2の公開鍵証明書を第2の認証局10−2の公開鍵を用いて検証し(ステップS110)、検証結果を判定する(ステップS111)。ステップS111にて検証結果がOKである(公開鍵証明書が正当である)場合には、その旨を通知して処理を終了する。一方、ステップS111にて検証結果がNGである(公開鍵証明書が正当でない)場合には、ICカード20−1の公開鍵証明書からICカード20−1の属性情報を抽出して取得するとともに、携帯端末20−2の公開鍵証明書から携帯端末20−2の属性情報を抽出して取得する(ステップS112)。
The
続いて、トークン発行局30はチャレンジ・レスポンス認証を行うために、チャレンジ(乱数)Pを生成し、携帯端末20−2に送信する(ステップS113)。携帯端末20−2は、チャレンジPを受信すると、セキュアチップ28にチャレンジPに対するレスポンスを要求する(ステップS114)。セキュアチップ28は、チャレンジPに対するレスポンス要求を受信すると、携帯端末20−2の秘密鍵を用いてチャレンジPに対するレスポンスQを生成する(ステップS115)。携帯端末20−2は、セキュアチップ28により生成されたレスポンスQをトークン発行局30に返信する(ステップS116)。
Subsequently, the
また、携帯端末20−2は、レスポンスQをチャレンジQとしてICカード20−1に送信し、ICカード20−1にチャレンジQに対するレスポンスを要求する(ステップS117)。ICカード20−1は、レスポンスQに対するレスポンス要求を受信すると、ICカード20−1の秘密鍵を用いてレスポンスQに対するレスポンスRを生成し、携帯端末20−2に返信する(ステップS118)。携帯端末20−2は、ICカード20−1から受信したレスポンスRをトークン発行局30に返信する(ステップS119)。 In addition, the mobile terminal 20-2 transmits the response Q as a challenge Q to the IC card 20-1, and requests the IC card 20-1 for a response to the challenge Q (step S117). When the IC card 20-1 receives the response request for the response Q, the IC card 20-1 generates a response R for the response Q using the secret key of the IC card 20-1, and sends it back to the portable terminal 20-2 (step S118). The portable terminal 20-2 returns the response R received from the IC card 20-1 to the token issuing station 30 (step S119).
トークン発行局30は、ステップS113にてトークン発行局30のチャレンジPを生成した後、タイマを起動し、レスポンスQ及びレスポンスRを受信するまでの時間を計測するようにしてもよい。一定時間を経過してもレスポンスQ及びレスポンスRを受信できない場合は、タイムアウト処理をする(ステップS120)。
The
ステップS120にてタイムアウトしなかった場合、トークン発行局30は、レスポンスQを携帯端末20−2の公開鍵を用いて検証するとともに、レスポンスRをICカードの公開鍵を用いて検証し(ステップS121)、検証結果を判定する(ステップS122)。レスポンスがチャレンジのハッシュ化後に署名されている場合には、チャレンジPのハッシュ値とレスポンスQ,Rとを照合する。ステップS121にて検証結果がNGである場合には、トークン発行局30は処理を終了する。一方、ステップS121にて検証結果がOKである場合には、トークン発行局30は、ICカードの公開鍵証明書の属性情報、及び携帯端末の属性情報に基づくデータをトークンとして生成し、携帯端末20−2に発行する(ステップS123)。例えば、トークンは、ICカードの公開鍵証明書の属性情報、及び携帯端末の属性情報にトークン発行局30の署名を付与したデータとする。携帯端末20−2は、トークン発行局30からトークンを受信すると、耐タンパ領域であるセキュアチップ28に格納する(ステップS124)。
If the timeout has not occurred in step S120, the
[認証サービス利用時の動作]
次に、上述した認証権限移譲後の認証サービス利用時の動作について説明する。図7は、認証権限移譲システム1における認証サービス利用時の動作例を示すフローチャートである。
[Operation when using authentication service]
Next, an operation when using the authentication service after transferring the above-mentioned authentication authority will be described. FIG. 7 is a flowchart showing an operation example when using the authentication service in the authentication
図7のフローチャートには示していないが、認証サービスを利用するにあたり、サービス提供装置40は、第2の認証局10−2の公開鍵、及びトークン発行局30の公開鍵を耐タンパ領域に登録しているものとする。
Although not shown in the flowchart of FIG. 7, when using the authentication service, the
携帯端末20−2は、ユーザから入力される本人照合情報を取得する(ステップS201)。セキュアチップ28は、入力された本人照合情報と登録された本人照合情報とを照合する(ステップS202)。ステップS202にて照合結果がNGである場合には、その旨を携帯端末20−2に通知し、処理を終了する。一方、ステップS202にて照合結果がOKである場合には、その旨を携帯端末20−2に通知し、処理を継続する。なお、認証権限移譲動作で本人照合情報の照合済みの場合には、ステップS201,202の処理を省略してもよい。
The portable terminal 20-2 acquires the personal verification information input from the user (step S201). The
ステップS202にて照合結果がOKである場合には、携帯端末20−2は、セキュアチップ28に対し、携帯端末の公開鍵証明書、及びトークンの取得要求を行い(ステップS203)、セキュアチップ28から携帯端末の公開鍵証明書、及びトークンを取得する(ステップS204)。そして、携帯端末20−2は、取得した携帯端末の公開鍵証明書、及びトークンをサービス提供装置40に送信する(ステップS205)。
If the collation result is OK in step S202, the portable terminal 20-2 requests the
サービス提供装置40は、携帯端末20−2から携帯端末20−2の公開鍵証明書、及びトークンを取得する(ステップS206)。そして、サービス提供装置40は、携帯端末20−2の公開鍵証明書が第2の認証局10−2の発行する失効リストにないこと、及びトークンが発行局30の発行する失効リストにないことを確認する。そして、サービス提供装置40は、携帯端末20−2の公開鍵証明書を第2の認証局10−2の公開鍵を用いて検証するとともに、トークンの署名をトークン発行局30の公開鍵を用いて検証する(ステップS207)。さらに、サービス提供装置40は、トークンに含まれる属性情報と携帯端末公開鍵証明書に含まれる属性情報が同一であることを検証する(ステップS207)。そして、これらの検証結果を判定する(ステップS208)。ステップS208にて検証結果がNGである場合には処理を終了する。一方、ステップS208にて検証結果がOKである場合には、チャレンジ・レスポンス認証を行うために、チャレンジ(乱数)Sを生成し、携帯端末20−2に送信する(ステップS209)。
The
携帯端末20−2は、チャレンジSを受信すると、セキュアチップ28にチャレンジSに対するレスポンスを要求する(ステップS210)。セキュアチップ28は、チャレンジS対するレスポンス要求を受信すると、携帯端末20−2の秘密鍵を用いてチャレンジSに対するレスポンスTを生成する(ステップS211)。携帯端末20−2は、セキュアチップ28により生成されたレスポンスTをサービス提供装置40に返信する(ステップS212)。
When receiving the challenge S, the portable terminal 20-2 requests a response to the challenge S from the secure chip 28 (step S210). When the
サービス提供装置40は、携帯端末20−2から受信したレスポンスTを携帯端末20−2の公開鍵を用いて検証し(ステップS213)、検証結果を判定する(ステップS214)。レスポンスがチャレンジのハッシュ化後に署名されている場合には、チャレンジSのハッシュ値とレスポンスTとを照合する。ステップS214にて検証結果がNGである場合には、本人情報の認証に失敗と判断して処理を終了する。一方、ステップS214にて検証結果がOKである場合には、本人情報の認証に成功とみなし、携帯端末20−2にサービスを提供する(ステップS215)。
The
上述したように、認証権限移譲システム1によれば、トークン発行局30は、第1の情報端末20−1の第1の公開鍵証明書及び第2の情報端末20−2の第2の公開鍵証明書の正当性が確認できると、チャレンジPを生成する。第2の情報端末20−2は、チャレンジPに対するレスポンスQを生成してトークン発行局30に送信するとともに、レスポンスQをチャレンジとして第1の情報端末20−1に送信する。そして、第2の情報端末20−2は、第1の情報端末20−1からチャレンジQに対するレスポンスRを受信すると、レスポンスRをトークン発行局30に送信する。トークン発行局30は、第2の情報端末20−2から受信したレスポンスQ及びRの正当性が確認できると、第1の公開鍵証明書及び第2の公開鍵証明書に含まれる属性情報に基づいてトークンを発行する。このため、第1の情報端末20−1から第2の情報端末20−2に移譲された認証権限の正当性をトークン発行局30が発行するトークンで証明することができる。かくして、情報端末間で認証権限を安全に移譲し、第2の情報端末20−2によって第1の情報端末20−1と同一の認証権限で同一の認証サービスを安全に受けることができるようになる。
As described above, according to the authentication
また、認証権限を譲受した第2の情報端末20−2がサービス提供装置40からサービスを受ける際には、サービス提供装置40は、第2の情報端末20−2の公開鍵証明書、及びトークンの正当性を検証するとともに、第2の情報端末20−2の公開鍵証明書に含まれる属性情報と、トークンに含まれる第2の情報端末20−2の属性情報とが同一であることを検証した上で、チャレンジSを生成して第2の情報端末20−2に送信する。そして、サービス提供装置40は、第2の情報端末20−2からチャレンジSに対するレスポンスTを受信し、レスポンスTの正当性を検証することにより、サービス提供装置40は、第2の情報端末20−2に移譲された認証権限の正当性を確認することができる。かくして、情報端末間で認証権限を安全に移譲し、第2の情報端末20−2によって第1の情報端末20−1と同一の認証権限で同一の認証サービスを受ける際の安全性をより一層高めることができるようになる。
Further, when the second information terminal 20-2 that has transferred the authentication authority receives a service from the
なお、上述した情報端末20として機能させるためにコンピュータを好適に用いることができ、そのようなコンピュータは、情報端末20の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部に格納しておき、当該コンピュータのCPUによってこのプログラムを読み出して実行させることで実現することができる。
It should be noted that a computer can be suitably used to cause the
また、上述したトークン発行局30として機能させるためにコンピュータを好適に用いることができ、そのようなコンピュータは、トークン発行局30の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部に格納しておき、当該コンピュータのCPUによってこのプログラムを読み出して実行させることで実現することができる。
In addition, a computer can be suitably used to function as the
また、上述したサービス提供装置40として機能させるためにコンピュータを好適に用いることができ、そのようなコンピュータは、サービス提供装置40の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部に格納しておき、当該コンピュータのCPUによってこのプログラムを読み出して実行させることで実現することができる。
In addition, a computer can be suitably used to function as the
上述の実施形態は代表的な例として説明したが、本発明の趣旨及び範囲内で多くの変更及び置換ができることは当業者に明らかである。したがって、本発明は、上述の実施形態によって制限するものと解するべきではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。例えば、上述した実施形態では、認証権限を移譲する第1の情報端末20−1をICカードとし、認証権限を譲受する第2の情報端末20−2を携帯端末として説明したが、本発明はICカードと携帯端末間における認証権限の移譲に限定されるものではなく、あらゆる情報端末間で認証権限を安全に移譲することができる。 Although the above embodiment has been described as a representative example, it will be apparent to those skilled in the art that many changes and substitutions can be made within the spirit and scope of the invention. Therefore, the present invention should not be construed as being limited by the above-described embodiments, and various modifications and changes can be made without departing from the scope of the claims. For example, in the above-described embodiment, the first information terminal 20-1 to which the authentication authority is transferred is described as an IC card, and the second information terminal 20-2 to which the authentication authority is transferred is described as a mobile terminal. It is not limited to the transfer of authentication authority between the IC card and the portable terminal, and the authentication authority can be safely transferred between any information terminals.
1 認証権限移譲システム
10−1 第1の認証局
10−2 第2の認証局
20−1 第1の情報端末
20−2 第2の情報端末
21 鍵ペア生成部
22 本人照合部
23 公開鍵証明書受信部
24 公開鍵証明書送信部
25 レスポンス生成部
26 トークン受信部
27 トークン送信部
28 耐タンパ部(セキュアチップ)
30 トークン発行局
31 公開鍵証明書受信部
32 公開鍵証明書検証部
33 チャレンジ生成部
34 レスポンス検証部
35 トークン発行部
40 サービス提供装置
41 公開鍵証明書・トークン受信部
42 公開鍵証明書・トークン検証部
43 チャレンジ生成部
44 レスポンス検証部
45 サービス提供部
DESCRIPTION OF
30
Claims (8)
前記第2の情報端末は、
前記第1の情報端末から前記第1の公開鍵証明書を受信する公開鍵証明書受信部と、
前記公開鍵証明書受信部により受信した第1の公開鍵証明書、及び前記第2の公開鍵証明書を前記トークン発行局に送信する公開鍵証明書送信部とを有し、
前記トークン発行局は、
前記第2の情報端末から受信した前記第1の公開鍵証明書及び前記第2の公開鍵証明書の正当性を検証する公開鍵証明書検証部と、
前記公開鍵証明書検証部により前記第1の公開鍵証明書及び第2の公開鍵証明書の正当性が確認された場合に、チャレンジPを生成し、該チャレンジPを前記第2の情報端末に送信するチャレンジ生成部とを有し、
前記第2の情報端末は、
前記トークン発行局から受信した前記チャレンジPに対するレスポンスQを生成し、該レスポンスQを前記トークン発行局に送信するとともに、該レスポンスQをチャレンジとして前記第1の情報端末に送信し、前記第1の情報端末からチャレンジQに対するレスポンスRを受信すると、該レスポンスRを前記トークン発行局に送信するレスポンス生成部を有し、
前記トークン発行局は、
前記第2の情報端末から受信した前記レスポンスQ及びレスポンスRの正当性を検証するレスポンス検証部と、
前記レスポンス検証部により、前記レスポンスQ及びレスポンスRの正当性が確認された場合に、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づいて、前記第1の情報端末から認証権限を譲受した第2の情報端末の認証に用いられるトークンを前記第2の情報端末に発行するトークン発行部とを有し、
前記第2の情報端末は、
前記トークン発行局から前記トークンを受信して格納するトークン受信部を有することを特徴とする認証権限移譲システム。 A first information terminal that obtains a first public key certificate from a certificate authority, a second information terminal that obtains a second public key certificate from a certificate authority, a token issuing authority, and a service providing apparatus; An authentication authority transfer system for transferring authentication authority related to use of an authentication service from the first information terminal to the second information terminal,
The second information terminal is
A public key certificate receiving unit for receiving the first public key certificate from the first information terminal;
A first public key certificate received by the public key certificate receiver, and a public key certificate transmitter that transmits the second public key certificate to the token issuing authority,
The token issuing authority is
A public key certificate verification unit that verifies the validity of the first public key certificate and the second public key certificate received from the second information terminal;
When the validity of the first public key certificate and the second public key certificate is confirmed by the public key certificate verification unit, a challenge P is generated, and the challenge P is used as the second information terminal. A challenge generator for sending to
The second information terminal is
A response Q to the challenge P received from the token issuing station is generated, the response Q is transmitted to the token issuing station, the response Q is transmitted to the first information terminal as a challenge, and the first information terminal When receiving a response R to the challenge Q from the information terminal, it has a response generation unit that transmits the response R to the token issuing station,
The token issuing authority is
A response verification unit that verifies the validity of the response Q and the response R received from the second information terminal;
The attribute information included in the first public key certificate and the attribute information included in the second public key certificate when the response verification unit confirms the validity of the response Q and the response R. A token issuing unit for issuing a token used for authentication of the second information terminal to which the authentication authority has been transferred from the first information terminal to the second information terminal,
The second information terminal is
An authentication authority transfer system comprising: a token receiving unit that receives and stores the token from the token issuing authority.
前記第2の情報端末から、前記第2の情報端末の公開鍵証明書、及び前記トークンを受信する公開鍵証明書・トークン受信部と、
前記公開鍵証明書・トークン受信部により受信した前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性を検証するとともに、前記第2の情報端末の公開鍵証明書に含まれる属性情報と、前記トークンに含まれる第2の情報端末の属性情報とが同一であることを検証する公開鍵証明書・トークン検証部と、
前記公開鍵証明書・トークン検証部により前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性が確認された場合に、チャレンジSを生成し、該チャレンジSを前記第2の情報端末に送信するチャレンジ生成部とを有し、
前記第2の情報端末のレスポンス生成部は、更に、前記サービス提供装置から受信したチャレンジSに対するレスポンスTを生成し、該レスポンスTを前記サービス提供装置に返信する手段を有し、
前記サービス提供装置は、更に、
前記第2の情報端末から受信した前記レスポンスTの正当性を検証するレスポンス検証部と、
前記レスポンス検証部により、前記レスポンスTの正当性が確認された場合に、前記第2の情報端末に対してサービスを提供するサービス提供部と、
を有することを特徴とする、請求項1に記載の認証権限移譲システム。 The service providing apparatus further includes:
A public key certificate of the second information terminal and a public key certificate / token receiving unit for receiving the token from the second information terminal;
The public key certificate of the second information terminal received by the public key certificate / token receiving unit, and the attribute included in the public key certificate of the second information terminal while verifying the validity of the token A public key certificate / token verification unit that verifies that the information and the attribute information of the second information terminal included in the token are the same;
When the public key certificate of the second information terminal and the validity of the token are confirmed by the public key certificate / token verification unit, a challenge S is generated, and the challenge S is converted to the second information. A challenge generation unit to be transmitted to the terminal,
The response generation unit of the second information terminal further includes means for generating a response T to the challenge S received from the service providing apparatus and returning the response T to the service providing apparatus;
The service providing apparatus further includes:
A response verification unit that verifies the validity of the response T received from the second information terminal;
A service providing unit that provides a service to the second information terminal when the response verification unit confirms the validity of the response T;
The authentication authority transfer system according to claim 1, further comprising:
前記認証権限を移譲する情報端末から前記第1の公開鍵証明書を受信する公開鍵証明書受信部と、
前記公開鍵証明書受信部により受信した第1の公開鍵証明書、及び前記第2の公開鍵証明書を前記トークン発行局に送信する公開鍵証明書送信部と、
前記トークン発行局からチャレンジPを受信すると、該チャレンジPに対するレスポンスQを生成し、該レスポンスQを前記トークン発行局に送信するとともに、該レスポンスQをチャレンジとして前記認証権限を移譲する情報端末に送信し、前記認証権限を移譲する情報端末からレスポンスQに対するレスポンスRを受信すると、該レスポンスRを前記トークン発行局に送信し、
前記サービス提供装置からチャレンジSを受信すると、該チャレンジSに対するレスポンスTを生成し、該レスポンスTを前記サービス提供装置に返信するレスポンス生成部と、
前記トークン発行局から、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づくトークンを受信して格納するトークン受信部と、
を有することを特徴とする情報端末。 An authentication system that includes an information terminal, a token issuing authority, and a service providing apparatus, and that obtains a first public key certificate from a certificate authority and transfers authentication authority related to the use of the authentication service from another information terminal. An information terminal for obtaining a second public key certificate from a station,
A public key certificate receiving unit that receives the first public key certificate from the information terminal to which the authentication authority is transferred;
A public key certificate transmission unit that transmits the first public key certificate received by the public key certificate reception unit and the second public key certificate to the token issuing authority;
When the challenge P is received from the token issuing authority, a response Q to the challenge P is generated, the response Q is transmitted to the token issuing authority, and the response Q is transmitted as a challenge to the information terminal that transfers the authentication authority. When receiving a response R to the response Q from the information terminal that transfers the authentication authority, the response R is transmitted to the token issuing authority,
Upon receiving the challenge S from the service providing device, a response generation unit that generates a response T to the challenge S and returns the response T to the service providing device;
A token receiving unit for receiving and storing the token based on the attribute information included in the first public key certificate and the attribute information included in the second public key certificate from the token issuing authority;
An information terminal comprising:
前記第2の情報端末から受信した前記第1の公開鍵証明書及び前記第2の公開鍵証明書の正当性を検証する公開鍵証明書検証部と、
前記公開鍵証明書検証部により前記第1の公開鍵証明書及び第2の公開鍵証明書の正当性が確認された場合に、チャレンジPを生成し、該チャレンジPを前記第2の情報端末に送信するチャレンジ生成部と、
前記第2の情報端末から前記チャレンジPに対するレスポンスQ、及びレスポンスQに対するレスポンスRを受信すると、該レスポンスQ及びレスポンスRの正当性を検証するレスポンス検証部と、
前記レスポンス検証部により、前記レスポンスQ及びレスポンスRの正当性が確認された場合に、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づいて、前記第1の情報端末から認証権限を譲受した第2の情報端末の認証に用いられるトークンを前記第2の情報端末に発行するトークン発行部と、
を有することを特徴とするトークン発行局。 A first information terminal that obtains a first public key certificate from a certificate authority, a second information terminal that obtains a second public key certificate from a certificate authority, a token issuing authority, and a service providing apparatus; A token issuing authority that issues a token to be used for authentication of the second information terminal that transfers the authentication authority related to the use of the authentication service from the first information terminal in the system comprising:
A public key certificate verification unit that verifies the validity of the first public key certificate and the second public key certificate received from the second information terminal;
When the validity of the first public key certificate and the second public key certificate is confirmed by the public key certificate verification unit, a challenge P is generated, and the challenge P is used as the second information terminal. A challenge generator to send to
When receiving a response Q to the challenge P and a response R to the response Q from the second information terminal, a response verification unit that verifies the validity of the response Q and the response R;
The attribute information included in the first public key certificate and the attribute information included in the second public key certificate when the response verification unit confirms the validity of the response Q and the response R. A token issuing unit for issuing a token to be used for authentication of the second information terminal to which the second information terminal has been assigned authentication authority from the first information terminal,
A token issuing authority characterized by comprising:
前記第2の情報端末から、前記第2の情報端末の公開鍵証明書と、トークン発行局が発行する、前記第1の情報端末から認証サービスの利用に係る認証権限を譲受した第2の情報端末の認証に用いられるトークンとを受信する公開鍵証明書・トークン受信部と、
前記公開鍵証明書・トークン受信部により受信した前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性を検証するとともに、前記第2の情報端末の公開鍵証明書に含まれる属性情報と、前記トークンに含まれる第2の情報端末の属性情報とが同一であることを検証する公開鍵証明書・トークン検証部と、
前記公開鍵証明書・トークン検証部により前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性が確認された場合に、チャレンジSを生成し、該チャレンジSを前記第2の情報端末に送信するチャレンジ生成部と、
前記第2の情報端末から前記チャレンジSに対するレスポンスTを受信し、該レスポンスTの正当性を検証するレスポンス検証部と、
前記レスポンス検証部により、前記レスポンスTの正当性が確認された場合に、前記第2の情報端末に対してサービスを提供するサービス提供部と、
を有することを特徴とするサービス提供装置。 A first information terminal that obtains a first public key certificate from a certificate authority, a second information terminal that obtains a second public key certificate from a certificate authority, a token issuing authority, and a service providing apparatus; A service providing apparatus that provides a service to a second information terminal that has transferred the authentication authority related to the use of the authentication service from the first information terminal in the system comprising:
Second information obtained from the second information terminal by the public key certificate of the second information terminal and the authentication authority related to the use of the authentication service issued by the token issuing authority from the first information terminal. A public key certificate / token receiving unit for receiving a token used for terminal authentication;
The public key certificate of the second information terminal received by the public key certificate / token receiving unit, and the attribute included in the public key certificate of the second information terminal while verifying the validity of the token A public key certificate / token verification unit that verifies that the information and the attribute information of the second information terminal included in the token are the same;
When the public key certificate of the second information terminal and the validity of the token are confirmed by the public key certificate / token verification unit, a challenge S is generated, and the challenge S is converted to the second information. A challenge generator to send to the terminal;
A response verification unit that receives a response T to the challenge S from the second information terminal and verifies the validity of the response T;
A service providing unit that provides a service to the second information terminal when the response verification unit confirms the validity of the response T;
A service providing apparatus comprising:
(a)前記第2の情報端末により、前記第1の情報端末から前記第1の公開鍵証明書を受信するステップと、
(b)前記第2の情報端末により、前記ステップ(a)により受信した第1の公開鍵証明書、及び前記第2の公開鍵証明書を前記トークン発行局に送信するステップと、
(c)前記トークン発行局により、前記第2の情報端末から受信した前記第1の公開鍵証明書及び前記第2の公開鍵証明書の正当性を検証するステップと、
(d)前記トークン発行局により、前記ステップ(c)により前記第1の公開鍵証明書及び第2の公開鍵証明書の正当性が確認された場合に、チャレンジPを生成し、該チャレンジPを前記第2の情報端末に送信するステップと、
(e)前記第2の情報端末により、前記トークン発行局から受信した前記チャレンジPに対するレスポンスQを生成し、該レスポンスQを前記トークン発行局に送信するとともに、該レスポンスQをチャレンジとして前記第1の情報端末に送信するステップと、
(f)前記第2の情報端末により、前記第1の情報端末からチャレンジQに対するレスポンスRを受信すると、該レスポンスRを前記トークン発行局に送信するステップと、
(g)前記トークン発行局により、前記第2の情報端末から受信した前記レスポンスQ及びレスポンスRの正当性を検証するステップと、
(h)前記トークン発行局により、前記ステップ(g)により前記レスポンスQ及びレスポンスRの正当性が確認された場合に、前記第1の公開鍵証明書に含まれる属性情報、及び前記第2の公開鍵証明書に含まれる属性情報に基づいて、前記第1の情報端末から認証権限を譲受した第2の情報端末の認証に用いられるトークンを前記第2の情報端末に発行するステップと、
(i)前記第2の情報端末により、前記トークン発行局から前記トークンを受信して格納するステップと、
を含むことを特徴とする認証権限移譲方法。 A first information terminal that obtains a first public key certificate from a certificate authority, a second information terminal that obtains a second public key certificate from a certificate authority, a token issuing authority, and a service providing apparatus; An authentication authority transfer method for transferring an authentication authority related to use of an authentication service from the first information terminal to the second information terminal in the system comprising:
(A) receiving the first public key certificate from the first information terminal by the second information terminal;
(B) transmitting, by the second information terminal, the first public key certificate received in step (a) and the second public key certificate to the token issuing authority;
(C) verifying the validity of the first public key certificate and the second public key certificate received from the second information terminal by the token issuing authority;
(D) When the token issuing authority confirms the validity of the first public key certificate and the second public key certificate in step (c), it generates a challenge P, and the challenge P Transmitting to the second information terminal;
(E) The second information terminal generates a response Q to the challenge P received from the token issuing station, transmits the response Q to the token issuing station, and uses the response Q as a challenge. Sending to the information terminal of
(F) When receiving a response R to the challenge Q from the first information terminal by the second information terminal, transmitting the response R to the token issuing station;
(G) verifying the validity of the response Q and the response R received from the second information terminal by the token issuing authority;
(H) When the validity of the response Q and the response R is confirmed by the token issuing authority in the step (g), the attribute information included in the first public key certificate, and the second Issuing a token to be used for authentication of the second information terminal, which has been assigned authentication authority from the first information terminal, to the second information terminal based on the attribute information included in the public key certificate;
(I) receiving and storing the token from the token issuing authority by the second information terminal;
An authentication authority transfer method comprising:
(j)前記サービス提供装置により、前記第2の情報端末の公開鍵証明書、及び前記トークンを受信するステップと、
(k)前記サービス提供装置により、前記ステップ(j)により受信した前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性を検証するとともに、前記第2の情報端末の公開鍵証明書に含まれる属性情報と、前記トークンに含まれる第2の情報端末の属性情報とが同一であることを検証するステップと、
(l)前記サービス提供装置により、前記ステップ(k)により前記第2の情報端末の公開鍵証明書、及び前記トークンの正当性が確認された場合に、チャレンジSを生成し、該チャレンジSを前記第2の情報端末に送信するステップと、
(m)前記第2の情報端末により、前記サービス提供装置から受信したチャレンジSに対するレスポンスTを生成し、該レスポンスTを前記サービス提供装置に返信するステップと、
(n)前記サービス提供装置により、前記第2の情報端末から受信した前記レスポンスTの正当性を検証するステップと、
(o)前記サービス提供装置により、前記ステップ(n)により前記レスポンスTの正当性が確認された場合に、前記第2の情報端末に対してサービスを提供するステップと、
を含むことを特徴とする、請求項6に記載の認証権限移譲方法。 When the second information terminal receives a service from the service providing apparatus,
(J) receiving the public key certificate of the second information terminal and the token by the service providing apparatus;
(K) The service providing apparatus verifies the public key certificate of the second information terminal received in step (j) and the validity of the token, and the public key certificate of the second information terminal. Verifying that the attribute information included in the document is the same as the attribute information of the second information terminal included in the token;
(L) When the service providing apparatus confirms the validity of the public key certificate of the second information terminal and the token in the step (k), a challenge S is generated, and the challenge S is Transmitting to the second information terminal;
(M) generating a response T to the challenge S received from the service providing apparatus by the second information terminal, and returning the response T to the service providing apparatus;
(N) verifying the validity of the response T received from the second information terminal by the service providing device;
(O) providing a service to the second information terminal when the validity of the response T is confirmed by the service providing apparatus in the step (n);
The authentication authority transfer method according to claim 6, further comprising:
The program for functioning a computer as a token issuing authority of Claim 4.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012038957A JP5475035B2 (en) | 2012-02-24 | 2012-02-24 | Authentication authority transfer system, information terminal, token issuing authority, service providing apparatus, authentication authority transfer method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012038957A JP5475035B2 (en) | 2012-02-24 | 2012-02-24 | Authentication authority transfer system, information terminal, token issuing authority, service providing apparatus, authentication authority transfer method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013175040A true JP2013175040A (en) | 2013-09-05 |
JP5475035B2 JP5475035B2 (en) | 2014-04-16 |
Family
ID=49267887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012038957A Active JP5475035B2 (en) | 2012-02-24 | 2012-02-24 | Authentication authority transfer system, information terminal, token issuing authority, service providing apparatus, authentication authority transfer method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5475035B2 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014135557A (en) * | 2013-01-08 | 2014-07-24 | Nippon Telegr & Teleph Corp <Ntt> | Authority issuing system, authority issuing server, and authority issuing method |
JP2014134878A (en) * | 2013-01-08 | 2014-07-24 | Nippon Telegr & Teleph Corp <Ntt> | Authentication system, authentication device and authentication method |
JP2016131311A (en) * | 2015-01-14 | 2016-07-21 | 日本電信電話株式会社 | User terminal, server device, communication system, communication method, and program |
JP2016224604A (en) * | 2015-05-28 | 2016-12-28 | 株式会社リコー | Information processing system, information processing apparatus, electronic certificate management method, and program |
WO2017002499A1 (en) * | 2015-07-01 | 2017-01-05 | e-Janネットワークス株式会社 | Communication system and program |
JP2017108239A (en) * | 2015-12-08 | 2017-06-15 | Kddi株式会社 | Communication system, terminal device, communication device, communication method, and program |
JP2018056928A (en) * | 2016-09-30 | 2018-04-05 | Kddi株式会社 | Authentication server, terminal device, system, authentication method, and program |
JP2019096077A (en) * | 2017-11-22 | 2019-06-20 | キヤノン株式会社 | Information processing device, method in information processing device, and program |
US20210374718A1 (en) * | 2018-09-04 | 2021-12-02 | Sony Corporation | Ic card, processing method, and information processing system |
JP7389235B2 (en) | 2020-07-09 | 2023-11-29 | グーグル エルエルシー | Anonymous event authentication |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014134881A (en) * | 2013-01-08 | 2014-07-24 | Nippon Telegr & Teleph Corp <Ntt> | Authority delegation management system and method thereof |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002245008A (en) * | 2001-02-21 | 2002-08-30 | Nippon Telegr & Teleph Corp <Ntt> | Method and device for verifying right by using certificate, program, and recording medium |
JP2005122567A (en) * | 2003-10-17 | 2005-05-12 | National Institute Of Information & Communication Technology | Information processing method and system delegating authentication information between devices |
JP2005167527A (en) * | 2003-12-02 | 2005-06-23 | Hitachi Ltd | Certificate management system and method thereof |
JP2005311648A (en) * | 2004-04-21 | 2005-11-04 | Nippon Telegr & Teleph Corp <Ntt> | Encryption attribute certificate issuing method, attribute verification method, attribute verification support method, attribute authentication device, attribute verification device, attribute verification support device, encryption attribute certificate issuing program, attribute verification program, and attribute verification support program |
JP2007159009A (en) * | 2005-12-08 | 2007-06-21 | Ricoh Co Ltd | Ticket protection method and client |
JP2009238125A (en) * | 2008-03-28 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | Authentication token, use equipment and authentication system |
-
2012
- 2012-02-24 JP JP2012038957A patent/JP5475035B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002245008A (en) * | 2001-02-21 | 2002-08-30 | Nippon Telegr & Teleph Corp <Ntt> | Method and device for verifying right by using certificate, program, and recording medium |
JP2005122567A (en) * | 2003-10-17 | 2005-05-12 | National Institute Of Information & Communication Technology | Information processing method and system delegating authentication information between devices |
JP2005167527A (en) * | 2003-12-02 | 2005-06-23 | Hitachi Ltd | Certificate management system and method thereof |
JP2005311648A (en) * | 2004-04-21 | 2005-11-04 | Nippon Telegr & Teleph Corp <Ntt> | Encryption attribute certificate issuing method, attribute verification method, attribute verification support method, attribute authentication device, attribute verification device, attribute verification support device, encryption attribute certificate issuing program, attribute verification program, and attribute verification support program |
JP2007159009A (en) * | 2005-12-08 | 2007-06-21 | Ricoh Co Ltd | Ticket protection method and client |
JP2009238125A (en) * | 2008-03-28 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | Authentication token, use equipment and authentication system |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014135557A (en) * | 2013-01-08 | 2014-07-24 | Nippon Telegr & Teleph Corp <Ntt> | Authority issuing system, authority issuing server, and authority issuing method |
JP2014134878A (en) * | 2013-01-08 | 2014-07-24 | Nippon Telegr & Teleph Corp <Ntt> | Authentication system, authentication device and authentication method |
JP2016131311A (en) * | 2015-01-14 | 2016-07-21 | 日本電信電話株式会社 | User terminal, server device, communication system, communication method, and program |
JP2016224604A (en) * | 2015-05-28 | 2016-12-28 | 株式会社リコー | Information processing system, information processing apparatus, electronic certificate management method, and program |
WO2017002499A1 (en) * | 2015-07-01 | 2017-01-05 | e-Janネットワークス株式会社 | Communication system and program |
JP2017017559A (en) * | 2015-07-01 | 2017-01-19 | e−Janネットワークス株式会社 | Communication system and program |
JP2017108239A (en) * | 2015-12-08 | 2017-06-15 | Kddi株式会社 | Communication system, terminal device, communication device, communication method, and program |
JP2018056928A (en) * | 2016-09-30 | 2018-04-05 | Kddi株式会社 | Authentication server, terminal device, system, authentication method, and program |
JP2019096077A (en) * | 2017-11-22 | 2019-06-20 | キヤノン株式会社 | Information processing device, method in information processing device, and program |
JP7091057B2 (en) | 2017-11-22 | 2022-06-27 | キヤノン株式会社 | Information processing equipment, methods in information processing equipment, and programs |
US20210374718A1 (en) * | 2018-09-04 | 2021-12-02 | Sony Corporation | Ic card, processing method, and information processing system |
JP7389235B2 (en) | 2020-07-09 | 2023-11-29 | グーグル エルエルシー | Anonymous event authentication |
Also Published As
Publication number | Publication date |
---|---|
JP5475035B2 (en) | 2014-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5475035B2 (en) | Authentication authority transfer system, information terminal, token issuing authority, service providing apparatus, authentication authority transfer method, and program | |
KR101666374B1 (en) | Method, apparatus and computer program for issuing user certificate and verifying user | |
CN110677240B (en) | Method, apparatus and medium for providing highly available computing services through certificate issuance | |
US8112787B2 (en) | System and method for securing a credential via user and server verification | |
JP7202688B2 (en) | Authentication system, authentication method, application providing device, authentication device, and authentication program | |
KR20180054530A (en) | Identification System Using a Relay Server and Identification Method by the Same | |
JP4470071B2 (en) | Card issuing system, card issuing server, card issuing method and program | |
JP2005102163A (en) | Equipment authentication system, server, method and program, terminal and storage medium | |
US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
CN109716725B (en) | Data security system, method of operating the same, and computer-readable storage medium | |
KR20110083886A (en) | Apparatus and method for other portable terminal authentication in portable terminal | |
JP2015194879A (en) | Authentication system, method, and provision device | |
KR100559958B1 (en) | System and Method for Intermediate of Authentication Tool Between Mobile Communication Terminal | |
JP6240102B2 (en) | Authentication system, authentication key management device, authentication key management method, and authentication key management program | |
JP5485063B2 (en) | Authentication system | |
KR101572598B1 (en) | Secure User Authentication Scheme against Credential Replay Attack | |
JP2020014168A (en) | Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method | |
CN110868415B (en) | Remote identity verification method and device | |
JP2014134881A (en) | Authority delegation management system and method thereof | |
EP2916509B1 (en) | Network authentication method for secure user identity verification | |
WO2017029708A1 (en) | Personal authentication system | |
JP5793593B2 (en) | Network authentication method for securely verifying user identification information | |
TWM552152U (en) | Transaction authorization system and push server | |
JP5553914B1 (en) | Authentication system, authentication device, and authentication method | |
KR101821645B1 (en) | Key management method using self-extended certification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140131 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5475035 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |