JP2016115162A - Authentication system, authentication terminal device, registration terminal device, authentication method, and program - Google Patents
Authentication system, authentication terminal device, registration terminal device, authentication method, and program Download PDFInfo
- Publication number
- JP2016115162A JP2016115162A JP2014253656A JP2014253656A JP2016115162A JP 2016115162 A JP2016115162 A JP 2016115162A JP 2014253656 A JP2014253656 A JP 2014253656A JP 2014253656 A JP2014253656 A JP 2014253656A JP 2016115162 A JP2016115162 A JP 2016115162A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- authenticated
- information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、認証システム、認証端末装置、登録端末装置、認証方法、及びプログラムに関する。 The present invention relates to an authentication system, an authentication terminal device, a registration terminal device, an authentication method, and a program.
システムやアプリケーションを利用する際のユーザー認証の一方式として、二要素認証が用いられている。二要素認証のうち一つの要素は、ユーザーが利用する端末のMACアドレス(Media Access Control address)や端末ID(Identification)等の端末固有情報である。 Two-factor authentication is used as one method of user authentication when using a system or application. One element of the two-factor authentication is terminal-specific information such as a MAC address (Media Access Control address) and a terminal ID (Identification) of a terminal used by the user.
特許文献1には、「第1の文字列と固有に与えられた機体識別番号とから所定の計算方法によって第1の不可逆な値を算出する算出部と、第1の暗証番号及び前記第1の不可逆な値を含む認証要求を送信する送信部と、を含むクライアント端末と、前記クライアント端末の第2の暗証番号と、前記機体識別番号と前記第1の文字列とから算出された第2の不可逆な値とを記憶する記憶部と、前記認証要求を前記クライアント端末から受信した際に、前記認証要求に含まれる前記第1の暗証番号と前記第1の不可逆な値とが、それぞれ、前記記憶部に記憶される前記クライアント端末の前記第2の暗証番号と前記第2の不可逆な値とに合致する場合に前記クライアント端末を認証する認証部と、を含むサーバと、を備える認証システム」に関する技術が開示されている。 Japanese Patent Application Laid-Open No. 2003-133867 discloses that “a calculation unit that calculates a first irreversible value from a first character string and a machine identification number uniquely assigned by a predetermined calculation method, a first password, and the first password A client unit including an authentication request including an irreversible value, a second personal identification number of the client terminal, a second identification number calculated from the machine identification number and the first character string. A storage unit that stores an irreversible value of the first secret number and the first irreversible value included in the authentication request when the authentication request is received from the client terminal, An authentication system comprising: an authentication unit that authenticates the client terminal when the second personal identification number and the second irreversible value of the client terminal stored in the storage unit match. Concerning Techniques have been disclosed.
端末を認証サーバーで認証する場合、予め認証サーバーに端末固有情報を登録し、認証を要求する度に端末固有情報を認証サーバーに送信する必要がある。認証サーバー等の1つの主体に対し、端末固有情報等の情報の管理や、権限の正当性を保証するための設定処理を行わせることは、管理者のスキルを要することでもあり、非効率的である。 When the terminal is authenticated by the authentication server, it is necessary to register the terminal specific information in advance in the authentication server and transmit the terminal specific information to the authentication server every time authentication is requested. It is inefficient to have one subject, such as an authentication server, manage information such as device-specific information and perform setting processing to guarantee the validity of authority. It is.
特許文献1に開示された技術は、サーバーが端末固有情報の管理と権限の正当性を保証する処理とを行うものであり、効率性を向上させるものではない。
In the technique disclosed in
本発明は、上記の点に鑑みてなされたものであって、端末装置に対して効率的に認証を行うことを目的とする。 The present invention has been made in view of the above points, and an object thereof is to efficiently authenticate a terminal device.
そこで上記課題を解決するため、本発明の認証システムは、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムであって、前記登録端末装置は、予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信部を備え、前記被認証端末装置は、前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求部を備え、前記認証端末装置は、予め取得した前記固有情報と前記登録端末装置の前記通信部から送信された認証IDとを関連付けた認証情報を記憶する認証端末側記憶部と、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、を備えることを特徴とする。 In order to solve the above problem, an authentication system of the present invention is an authentication system having a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network, wherein the registration terminal device is A communication unit that transmits an authentication ID acquired in advance to the authentication terminal device and the authenticated terminal device, wherein the authenticated terminal device identifies the authentication ID and unique information of the authenticated terminal device An authentication request unit that makes a request to the authentication terminal device is provided, and the authentication terminal device stores authentication information in which the unique information acquired in advance is associated with the authentication ID transmitted from the communication unit of the registration terminal device When the authentication terminal side storage unit that receives the authentication request from the authenticated terminal device, the authentication ID specified in the authentication request and the unique specified in the authentication request Wherein the combination of the distribution comprises an authentication unit authenticating the prover terminal device based on whether included in the authentication information.
また、上記課題を解決するため、本発明の前記登録端末装置の前記通信部は、暗号化した前記認証IDである暗号化認証IDを前記被認証端末装置に送信し、前記被認証端末装置の前記認証要求部は、前記暗号化認証IDを特定した前記認証要求を行い、前記認証端末装置の前記認証部は、前記認証要求で特定された前記暗号化認証IDが復号化された前記認証IDと前記固有情報との組み合わせが前記認証情報に含まれる場合に前記被認証端末装置を認証することを特徴としてもよい。 In order to solve the above problem, the communication unit of the registration terminal device according to the present invention transmits an encrypted authentication ID, which is the encrypted authentication ID, to the authenticated terminal device. The authentication request unit performs the authentication request specifying the encrypted authentication ID, and the authentication unit of the authentication terminal device is configured to decrypt the encrypted authentication ID specified in the authentication request. And the unique information may be authenticated when the authentication information includes the authentication information.
また、上記課題を解決するため、本発明の前記認証端末装置は、前記登録端末装置の前記通信部により送信された前記認証IDと前記認証要求に含まれる前記認証IDとが対応し、かつ該認証IDについて前記認証情報において前記固有情報が関連付けられていない場合に、前記認証IDと前記認証要求に含まれる前記固有情報とを関連付けて前記認証情報を生成する認証情報生成部を備えることを特徴としてもよい。 In order to solve the above problem, the authentication terminal device according to the present invention is such that the authentication ID transmitted by the communication unit of the registration terminal device corresponds to the authentication ID included in the authentication request, and An authentication information generation unit that generates the authentication information by associating the authentication ID with the unique information included in the authentication request when the unique information is not associated with the authentication ID in the authentication information. It is good.
また、上記課題を解決するため、本発明の前記登録端末装置は、前記ID発行部が発行した前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、前記被認証端末装置は、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDを前記被認証端末装置に送信することを特徴としてもよい。 In order to solve the above-described problem, the registration terminal device of the present invention provides issue ID management information in which an ID of the registration terminal device and a password are associated with each authentication ID issued by the ID issuing unit. A registration terminal side storage unit for storing, and the authenticated terminal device includes an ID issuance request unit that performs an authentication ID issuance request specifying the ID and password of the registration terminal device to the registration terminal device, When the communication unit of the registered terminal device accepts the authentication ID issue request, the communication unit associated with the combination of the ID of the registered terminal device and the password specified in the authentication ID issue request is associated with the issued ID management information. The authentication ID may be transmitted to the authenticated terminal device.
また、上記課題を解決するため、本発明の前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記固有情報を取得する固有情報取得部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信することを特徴としてもよい。 Moreover, in order to solve the said subject, the said to-be-authenticated terminal apparatus of this invention is equipped with the specific information acquisition part which acquires the said specific information using the data acquisition information transmitted from the said registration terminal apparatus, The said registration terminal apparatus When the combination of the ID of the registered terminal device specified by the authentication ID issuance request and the password is included in the issuance ID management information, the communication unit transmits the data acquisition information to the authenticated terminal device. It is good also as transmitting.
また、上記課題を解決するため、本発明の前記登録端末装置は、前記認証IDを秘密鍵で暗号化する暗号化部を備え、前記認証端末装置は、前記秘密鍵に対応する公開鍵で暗号化された前記認証IDを復号する復号化部を備えることを特徴としてもよい。 In order to solve the above-mentioned problem, the registration terminal device of the present invention includes an encryption unit that encrypts the authentication ID with a secret key, and the authentication terminal device encrypts with a public key corresponding to the secret key. A decryption unit that decrypts the converted authentication ID may be provided.
また、上記課題を解決するため、本発明の前記被認証端末装置の前記認証要求部は、ハッシュ化した前記固有情報を特定した前記認証要求を行い、前記認証端末装置の前記認証部は、ハッシュ化した前記固有情報を用いて前記被認証端末装置を認証することを特徴としてもよい。 In order to solve the above problem, the authentication request unit of the authenticated terminal device of the present invention makes the authentication request specifying the hashed unique information, and the authentication unit of the authentication terminal device has a hash The authenticated terminal device may be authenticated using the converted unique information.
また、上記課題を解決するため、本発明の認証システムは、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムであって、前記登録端末装置は、予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信部を備え、前記被認証端末装置は、当該被認証端末装置の前記固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求部を備え、前記認証端末装置は、前記登録端末装置の前記通信部から送信された前記認証IDを認証情報として記憶する認証端末側記憶部と、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証部と、を備えることを特徴とする。 In order to solve the above problems, an authentication system of the present invention is an authentication system including a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network, and the registration terminal device A communication unit that transmits an authentication ID acquired in advance to the authentication terminal device, and transmits the first unique information that is unique information received from the authenticated terminal device and the authentication ID to the authenticated terminal device. And the authenticated terminal device identifies the second unique information, which is the unique information of the authenticated terminal device, and the first unique information and the authentication ID transmitted by the communication unit An authentication request unit that makes a request to the authentication terminal device, and the authentication terminal device stores the authentication ID transmitted from the communication unit of the registration terminal device as authentication information When the memory unit and the authentication request are received from the authenticated terminal device, the authentication ID specified in the authentication request exists in the authentication information, and the first unique information specified in the authentication request is An authentication unit that authenticates the authenticated terminal device when corresponding to the second unique information.
また、上記課題を解決するため、本発明の前記認証端末装置は、暗号化された前記第1の固有情報と暗号化された前記認証IDとを復号する復号化部を備え、前記登録端末装置の前記通信部は、暗号化された前記第1の固有情報と、暗号化した前記認証IDとを前記被認証端末装置に送信し、前記被認証端末装置の認証要求部は、暗号化された前記第1の固有情報及び暗号化された前記認証IDを特定した前記認証要求を行い、前記認証端末装置の前記認証部は、前記復号化部により復号された前記認証IDが前記認証情報に存在し、かつ前記復号化部により復号された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証することを特徴としてもよい。 In order to solve the above-mentioned problem, the authentication terminal device of the present invention includes a decryption unit that decrypts the encrypted first unique information and the encrypted authentication ID, and the registration terminal device The communication unit transmits the encrypted first unique information and the encrypted authentication ID to the authenticated terminal device, and the authentication request unit of the authenticated terminal device is encrypted The authentication request specifying the first unique information and the encrypted authentication ID is performed, and the authentication unit of the authentication terminal device includes the authentication ID decrypted by the decryption unit in the authentication information In addition, if the first unique information decrypted by the decryption unit corresponds to the second unique information, the authenticated terminal device may be authenticated.
また、上記課題を解決するため、本発明の前記登録端末装置は、前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、前記被認証端末装置は、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDと、前記被認証端末装置から受け付けた固有情報とを前記被認証端末装置に送信することを特徴としてもよい。 In order to solve the above-mentioned problem, the registration terminal device according to the present invention stores, for each authentication ID, an issuance ID management information in which an ID of the registration terminal device and a password are associated with each other. The authenticated terminal device includes an ID issue request unit that issues an authentication ID issue request specifying the ID and password of the registered terminal device to the registered terminal device, and the communication unit of the registered terminal device When the authentication ID issuance request is accepted, the authentication ID associated with the issuance ID management information for the combination of the ID of the registered terminal device and the password specified in the authentication ID issuance request, The unique information received from the authentication terminal device may be transmitted to the authenticated terminal device.
また、上記課題を解決するため、本発明の前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記第2の固有情報を取得する固有情報取得部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信し、前記固有情報取得部により取得された前記第2の固有情報を受け付けることを特徴としてもよい。 In order to solve the above problem, the authenticated terminal device of the present invention includes a unique information acquisition unit that acquires the second unique information using data acquisition information transmitted from the registered terminal device, The communication unit of the registered terminal device, when the combination of the ID of the registered terminal device specified by the authentication ID issue request and the password is included in the issued ID management information, the data acquisition information The second unique information transmitted to the terminal device and acquired by the unique information acquisition unit may be received.
また、上記課題を解決するため、本発明の前記登録端末装置は、前記認証IDと前記第1の固有情報とを秘密鍵で暗号化する暗号化部を備え、
前記認証端末装置の前記認証部は、前記秘密鍵と対応する公開鍵を用いて復号された、暗号化された前記認証IDと前記第1の固有情報とを用いて前記被認証端末装置を認証することを特徴としてもよい。
In order to solve the above problem, the registration terminal device of the present invention includes an encryption unit that encrypts the authentication ID and the first unique information with a secret key,
The authentication unit of the authentication terminal device authenticates the authenticated terminal device using the encrypted authentication ID and the first unique information decrypted using the public key corresponding to the secret key. It may be characterized by.
また、上記課題を解決するため、本発明の認証端末装置は、予め取得した該被認証端末装置の第1の固有情報と、ネットワークを介して接続された登録端末装置から取得した認証IDとを関連付けた認証情報を記憶する認証端末側記憶部と、ネットワークを介して接続された被認証端末装置の第2の固有情報と前記認証IDとを特定した認証要求を前記被認証端末装置から受け付けると、受け付けた前記第2の固有情報と前記認証IDとの組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、を備えることを特徴とする。 In order to solve the above problem, the authentication terminal device of the present invention includes the first unique information of the authenticated terminal device acquired in advance and the authentication ID acquired from the registered terminal device connected via the network. When receiving from the authenticated terminal device an authentication request specifying the authentication terminal side storage unit for storing the associated authentication information, the second unique information of the authenticated terminal device connected via the network, and the authentication ID An authentication unit that authenticates the authenticated terminal device based on whether or not the combination of the received second unique information and the authentication ID is included in the authentication information.
また、上記課題を解決するため、本発明の登録端末装置は、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部と、ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信部と、前記通信部が前記認証ID発行要求を受け付けると、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化部と、を備え、前記通信部は、前記暗号化部により暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。 In order to solve the above-mentioned problem, the registration terminal device of the present invention stores registration ID management information in which an ID of the registration terminal device and a password are associated with an authentication ID acquired in advance. A communication unit that receives an authentication ID issuance request that specifies the ID and password of the registered terminal device from an authentication target terminal device connected via a network, and the communication unit receives the authentication ID issuance request An encryption unit that encrypts the authentication ID associated with the combination of the ID of the registered terminal device and the password specified in the authentication ID issuance request, and the communication unit is configured by the encryption unit. An encrypted encrypted authentication ID and data acquisition information used by the authenticated terminal device to acquire unique information are transmitted to the authenticated terminal device; And transmits the authentication ID to the authentication terminal device connected via a network.
また、上記課題を解決するため、本発明の登録端末装置は、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部と、ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付け、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信部と、前記認証ID発行要求で特定された前記登録端末装置のIDとパスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化部と、を備え、前記通信部は、前記暗号化部により暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。 In order to solve the above-mentioned problem, the registration terminal device of the present invention stores registration ID management information in which an ID of the registration terminal device and a password are associated with an authentication ID acquired in advance. And an authentication ID issuance request that specifies the ID and password of the registered terminal device from the authenticated terminal device connected via the network, and the ID of the registered terminal device specified in the authentication ID issue request When the combination of the password and the password is in the issued ID management information, the communication unit transmits data acquisition information used by the authenticated terminal device to acquire unique information to the authenticated terminal device, The combination of the ID and password of the registered terminal device specified in the authentication ID issue request and the authentication I related in the issue ID management information And an encryption unit that encrypts the unique information of the authenticated terminal device acquired using the data acquisition information, and the communication unit is a cipher encrypted by the encryption unit. The authentication authentication ID and encrypted unique information are transmitted to the authenticated terminal device, and the authentication ID is transmitted to the authentication terminal device connected via the network.
また、上記課題を解決するため、本発明の認証方法は、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムで用いられる認証方法であって、前記登録端末装置は、予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信手順を有し、前記認証端末装置は、前記通信手順において前記登録端末装置から送信された前記認証IDと予め取得した前記固有情報とを関連付けた認証情報を記憶部に記憶させる認証情報記憶手順を有し、前記被認証端末装置は、前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求手順を有し、前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証手順を有することを特徴とする。 In order to solve the above problem, an authentication method of the present invention is an authentication method used in an authentication system having a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network. The registration terminal device has a communication procedure for transmitting an authentication ID acquired in advance to the authentication terminal device and the authenticated terminal device, and the authentication terminal device is transmitted from the registration terminal device in the communication procedure. An authentication information storage procedure for storing in the storage unit authentication information in which the authentication ID is associated with the previously acquired unique information, and the authenticated terminal device includes the authentication ID and the unique information of the authenticated terminal device. And an authentication request procedure for making an authentication request specifying the authentication terminal device, and the authentication terminal device receives the authentication request from the authenticated terminal device, An authentication procedure for authenticating the authenticated terminal device based on whether the authentication information includes a combination of the authentication ID specified in the authentication request and the specific information specified in the authentication request. Features.
また、上記課題を解決するため、本発明の認証方法は、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムで用いられる認証方法であって、前記登録端末装置は、予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信手順を有し、前記認証端末装置は、前記登録端末装置の前記通信部から送信された前記認証IDを認証情報として記憶部に記憶させる認証情報記憶手順を有し、前記被認証端末装置は、当該被認証端末装置の前記固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求手順を有し、前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証手順を有することを特徴とする。 In order to solve the above problem, an authentication method of the present invention is an authentication method used in an authentication system having a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network. The registration terminal device transmits an authentication ID acquired in advance to the authentication terminal device, and the first unique information, which is unique information received from the authenticated terminal device, and the authentication ID are transmitted to the authenticated terminal device. A communication procedure for transmitting, wherein the authentication terminal device has an authentication information storage procedure for storing the authentication ID transmitted from the communication unit of the registration terminal device in a storage unit as authentication information, and the authenticated terminal The apparatus sends an authentication request specifying the second unique information, which is the unique information of the authenticated terminal device, and the first unique information and the authentication ID transmitted by the communication unit, An authentication request procedure for the authentication terminal device, and when the authentication terminal device receives the authentication request from the authenticated terminal device, the authentication ID specified in the authentication request exists in the authentication information. And an authentication procedure for authenticating the authenticated terminal device when the first specific information specified in the authentication request corresponds to the second specific information.
また、上記課題を解決するため、本発明のプログラムは、コンピュータを登録端末装置として機能させるプログラムであって、ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信手順と、前記通信手順において前記認証ID発行要求を受け付けると、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化手順と、をコンピュータに実行させ、前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。 In order to solve the above problems, a program according to the present invention is a program for causing a computer to function as a registration terminal device, from an authenticated terminal device connected via a network, an ID and a password of the registration terminal device. A communication procedure that accepts an authentication ID issuance request that identifies the authentication ID, and an issuance ID that associates the ID of the registered terminal device and the password with the authentication ID acquired in advance when the authentication ID issuance request is accepted in the communication procedure An encryption procedure for encrypting the authentication ID related to the combination of the ID of the registered terminal device and the password specified in the authentication ID issuance request with reference to management information; In the procedure, the encrypted authentication ID encrypted in the encryption procedure and the authenticated terminal device have unique information Transmits a data acquisition information used to obtain the relative said prover terminal device, and transmits the authentication ID to the connected authentication terminal apparatus via the network.
また、上記課題を解決するため、本発明のプログラムは、コンピュータを登録端末装置として機能させるプログラムであって、ネットワークを介して接続された被認証端末装置から、当該登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付けると、予め取得した認証IDに対し、前記登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信手順と、前記認証ID発行要求で特定された前記登録端末装置のIDとパスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化手順と、をコンピュータに実行させ、前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。 In order to solve the above problems, a program according to the present invention is a program for causing a computer to function as a registration terminal device, from an authenticated terminal device connected via a network, an ID and a password of the registration terminal device. When the authentication ID issuance request is received, the issuance ID management information in which the ID of the registered terminal device and the password are associated with the previously acquired authentication ID is referred to, and the authentication ID issuance request is identified. When the combination of the ID of the registered terminal device and the password is in the issued ID management information, the data acquisition information used by the terminal device to be authenticated to acquire unique information is transmitted to the terminal device to be authenticated. A communication procedure to be performed, and a combination of the ID and password of the registered terminal device specified in the authentication ID issuance request An encryption procedure for encrypting the authentication ID related in the issued ID management information and the unique information of the authenticated terminal device acquired using the data acquisition information, and In the communication procedure, the encrypted authentication ID and the encrypted unique information encrypted in the encryption procedure are transmitted to the authenticated terminal device, and the authentication terminal device connected via the network An authentication ID is transmitted.
本発明によれば、端末装置に対して効率的に認証を行うことができる。 ADVANTAGE OF THE INVENTION According to this invention, it can authenticate with respect to a terminal device efficiently.
(第1の実施形態) (First embodiment)
以下、図面に基づいて本発明の実施の形態を説明する。図1は、第1の実施形態における認証システムの機能構成の一例を示すブロック図である。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram illustrating an example of a functional configuration of the authentication system according to the first embodiment.
本発明に係る認証システム1では、登録端末装置10と、被認証端末装置20と、認証端末装置30とがネットワーク40を介して接続されている。認証端末装置30は、登録端末装置10に対して複数接続されていてもよく、被認証端末装置20は1つの認証端末装置30に対して複数接続されていてもよい。
In the
登録端末装置10は、例えばPC(Personal Computer)等であって、被認証端末装置20の正当性を保証する機能を有する。具体的には、登録端末装置10は、正当な被認証端末装置20に対し、認証IDを発行する。以下、認証IDをエージェントIDとして説明する。エージェントIDに基づいて、被認証端末装置20の認証が行われる。登録端末装置10は、認証端末装置30が被認証端末装置20の認証を行うことができるよう、必要な情報を被認証端末装置20及び認証端末装置30に対して送信する。
The registered
被認証端末装置20は、例えばPCやスマートフォン等の電子機器であって、認証を要する操作を行う利用者により操作される。 The authenticated terminal device 20 is an electronic device such as a PC or a smartphone, and is operated by a user who performs an operation requiring authentication.
認証端末装置30は、例えばPCやスマートフォン等の電子機器であって、1又は複数の被認証端末装置20の認証を行う。認証端末装置30は、例えば登録端末装置10と別の運用主体が運用する。なお、認証端末装置30は、被認証端末装置20と同じ運用主体によって運用されてもよいし、別の運用主体によって運用されてもよいが、同じ運用主体によって運用されることにより、オンプレミスで認証に関する機能を享受することができる。
The authentication terminal device 30 is an electronic device such as a PC or a smartphone, for example, and authenticates one or more authenticated terminal devices 20. The authentication terminal device 30 is operated by an operating entity different from the
登録端末装置10は、制御部110と、記憶部120とを備える。制御部110は、被認証端末装置20に対する権限の付与に関する制御を行う。記憶部120は、制御部110による制御に用いられる情報を記憶する。
The registered
制御部110は、ID(IDentifier)発行部111と、通信部112と、暗号化部113とを備える。ID発行部111は、被認証端末装置20に対して付与する権限を識別する識別子として、エージェントIDを発行する。エージェントIDは、後述する入力装置14を介する入力に基づいて、被認証端末装置20毎に予め生成されている。ID発行部111は、被認証端末装置20からの発行要求に基づいてエージェントIDを発行する。
The
通信部112は、被認証端末装置20からエージェントID発行要求を受信し、エージェントID発行要求に応じて暗号化エージェントIDを送信する。また、通信部112は、認証端末装置30に対してもエージェントIDを送信する。送信するエージェントIDは、該認証端末装置30が認証を行う対象である被認証端末装置20に対して発行されたエージェントIDである。また、通信部112は、被認証端末装置20に対して、固有情報を取得するためのデータ取得情報であるエージェントソフトを送信するが、詳細は後述する。なお、通信部112は、エージェントソフトに暗号化したエージェントIDを内包させて被認証端末装置20に送信してもよい。暗号化部113は、秘密鍵を用いてエージェントIDを暗号化し、暗号化エージェントIDを生成する。
The
記憶部120は、発行ID管理情報121を記憶する。発行ID管理情報121は、生成されたエージェントIDについて、被認証端末装置20に対する発行の有無等の管理情報を記録した情報である。
The
被認証端末装置20は、制御部210と、記憶部220とを備える。制御部210は、登録端末装置10に対する権限の発行要求や、認証端末装置30に対する認証要求等の制御を行う。記憶部220は、制御部210による制御に用いられる情報を記憶する。
The authenticated terminal device 20 includes a
制御部210は、ID発行要求部211と、認証要求部212と、固有情報取得部213とを備える。ID発行要求部211は、事前に取得した登録端末装置10のIDとパスワードとを特定したエージェントID発行要求を登録端末装置10に対して行う。認証要求部212は、登録端末装置10から受け付けた暗号化されたエージェントIDと該被認証端末装置20の固有情報とを特定した認証要求を、認証端末装置30に対して行う。
The
固有情報取得部213は、登録端末装置10から送信されたデータ取得情報を用いて、該被認証端末装置20の固有情報を取得する。固有情報は、例えばMACアドレスである。
The unique
記憶部220は、データ取得情報221を記憶する。データ取得情報221は、登録端末装置10から受信したエージェントソフトとしてのプログラムである。エージェントソフトは、被認証端末装置20の固有情報を取得する機能を有する。エージェントソフトを起動することにより、認証要求部212及び固有情報取得部213が構築される。
The
認証端末装置30は、制御部310と、記憶部320とを備える。制御部310は、被認証端末装置20の認証に関する制御を行う。記憶部320は、制御部310の制御に用いられる情報を記憶する。
The authentication terminal device 30 includes a
制御部310は、認証部311と、認証情報生成部312と、復号化部313とを備える。認証部311は、被認証端末装置20から受け付けた認証要求に対する認証を行う。具体的には、認証要求に含まれるエージェントIDと固有情報との組み合わせが、記憶部320に記憶されている認証情報に含まれる場合に、被認証端末装置20を認証する。
The
認証情報生成部312は、登録端末装置10から受け付けたエージェントIDと、被認証端末装置20から受け付けた固有情報とを用いて、認証情報を生成する。復号化部313は、暗号化部113により秘密鍵を用いて暗号化された情報を復号化する公開鍵を有しており、被認証端末装置20から送信される暗号化エージェントIDを復号する。公開鍵は、例えば登録端末装置10の通信部113から予め送信される。
The authentication information generation unit 312 generates authentication information using the agent ID received from the registered
記憶部320は、認証情報321を記憶する。認証情報321は、エージェントIDと、被認証端末装置20の固有情報とを関連付けた情報であって、該認証情報321に基づいて被認証端末装置20の認証が行われる。
The
本実施形態では、登録端末装置10が被認証端末装置20に対して付与する権限を識別するエージェントIDを発行する。また、認証端末装置30が被認証端末装置20の固有情報をエージェントIDと関連付けて管理し、該情報に基づいて被認証端末装置20の認証を行うことにより、被認証端末装置20の正当性が保証される。これにより、権限を付与する主体と、認証を行う認証主体とを用いて、適切に情報の管理や認証を行うことができる。
In the present embodiment, an agent ID that identifies the authority that the registered
次に、各記憶部に記憶される情報について説明する。 Next, information stored in each storage unit will be described.
図2は、第1の実施形態における発行ID管理情報121の一例を示す図である。発行ID管理情報121は、エージェントID121aと、登録局ID121bと、登録局パスワード121cと、発行済みフラグ121dとを関連付けた情報である。
FIG. 2 is a diagram illustrating an example of the issue
エージェントID121aは、登録端末装置10が被認証端末装置20に対して付与した権限を識別する識別子である。登録局ID121bは、エージェントID121aが登録されている登録端末装置10を識別する識別子である。登録局パスワードは、被認証端末装置20が登録端末装置10に対してエージェントIDの付与を要求する際に必要とされるパスワードである。発行済みフラグ121dは、エージェントIDが被認証端末装置20に対して発行されたか否かを示す情報である。
The
登録局ID121bと登録局パスワード121cとの組み合わせは、エージェントID121aに対して一意である。被認証端末装置20から送信されるエージェントID発行要求には、登録局ID121b及び登録局パスワード121cが特定されており、エージェントID発行要求に対応するエージェントID121aが一意に決定される。
The combination of the
図2に示す発行ID管理情報121では、エージェントID121aが「AAA0001」に対して発行済みフラグ121dが「未発行」であるため、「AAA0001」であるエージェントID121aに係る権限が未だ被認証端末装置20に対して発行されていないことを示している。
In the issued
図3は、第1の実施形態における認証情報321の一例を示す図である。認証情報321は、エージェントID321aと、固有情報321bとを関連付けた情報である。
FIG. 3 is a diagram illustrating an example of the
エージェントID321aは、被認証端末装置20に対して付与する権限を識別する識別子であって、発行ID管理情報121のエージェントID121aと対応している。固有情報321bは、被認証端末装置20に固有の情報であって、被認証端末装置20を識別することが可能な情報である。
The agent ID 321a is an identifier for identifying the authority to be given to the authenticated terminal device 20, and corresponds to the
図4は、第1の実施形態における登録端末装置10のハードウェア構成例を示す図である。登録端末装置10は、演算装置11と、メモリ12と、外部記憶装置13と、入力装置14と、出力装置15と、通信装置16と、記憶媒体駆動装置17とを備え、各構成要素はバスにより接続されている。
FIG. 4 is a diagram illustrating a hardware configuration example of the
演算装置11はCPU(Central Processing Unit)等の中央演算装置であり、メモリ12又は外部記憶装置13に記録されたプログラムに従って処理を実行する。登録端末装置10では、メモリ12又は外部記憶装置13上に読み出されたプログラムに従って動作する演算装置11により処理が行われる。制御部110を構成する各処理部は、演算装置11がプログラムを実行することにより各々の機能を実現する。
The
メモリ12は、RAM(Random Access Memory)又はフラッシュメモリ等の記憶装置であり、プログラムやデータが一時的に読み出される記憶エリアとして機能する。外部記憶装置13は、例えばHDD(Hard Disk Drive)や、CD-R(Compact Disc- Recordable)、DVD-RAM(Digital Versatile Disk-Random Access Memory)等の書き込み及び読み出し可能な記憶メディア及び記憶メディア駆動装置等である。記憶部120は、メモリ12又は外部記憶装置13によりその機能が実現される。なお、記憶部120は、通信装置16を介して接続される記憶装置によってその機能が実現されてもよい。
The
入力装置14は、ユーザーからの入力操作を受け付ける装置であり、例えばタッチパネル、キーボード、マウス、マイク等である。出力装置15は、登録端末装置10に格納されたデータの出力処理を行う装置であって、例えばLCD(Liquid Crystal Display)等の表示装置、又はプリンタ等である。
The
通信装置16は、登録端末装置10をネットワーク40に接続するための装置であって、例えばLAN(Local Area Network)カード等の通信デバイスである。記憶媒体駆動装置17は、CD(Compact Disk)やDVD(Digital Versatile Disk)等の可搬性のメディア38から情報を入出力する装置である。
The
なお、登録端末装置10の各構成要素の処理は、1つのハードウェアで実行されてもよいし、複数のハードウェアで実行されてもよい。また、登録端末装置10の各構成要素の処理は、1つのプログラムで実現されてもよいし、複数のプログラムで実現されてもよい。
In addition, the process of each component of the
被認証端末装置20、及び認証端末装置30は、登録端末装置10と同様のハードウェア構成を備えるため、被認証端末装置20及び認証端末装置30のハードウェア構成については、説明を省略する。
Since the authenticated terminal device 20 and the authentication terminal device 30 have the same hardware configuration as that of the
以下、本実施形態における処理の流れを、シーケンス図を用いて説明する。 Hereinafter, the flow of processing in the present embodiment will be described using a sequence diagram.
図5は、第1の実施形態におけるエージェントID発行準備処理の一例を示すシーケンス図である。本処理は、例えば登録端末装置10が、入力装置14を介して、新たに発行を予定するエージェントIDの個数(例えば3000)の入力を受け付けると、開始される。
FIG. 5 is a sequence diagram illustrating an example of an agent ID issuance preparation process according to the first embodiment. This process is started when, for example, the
まず、ID発行部111は、発行ID管理情報121を生成する(ステップS11)。登録端末装置10の制御部110は、新たに発行を予定する個数分のエージェントIDを生成して、エージェントID121aとして発行ID管理情報121に記録する。上述の例を用いれば、エージェントIDが3000個生成され、エージェントID121aとして発行ID管理情報121に格納される。ID発行部111は、各エージェントID121aに対して、登録局ID121bと登録局パスワード121cとを生成し、発行ID管理情報121に格納する。また、ID発行部111は、生成したエージェントID121aに対して、発行済みフラグ121dとして「未発行」を示す情報を関連付ける。
First, the
なお、登録端末装置10の記憶部120の図示しない領域には、エージェントIDを発行する被認証端末装置20の連絡先と、各々の被認証端末装置20を認証する認証端末装置30を特定する情報及び連絡先とが記憶されている。連絡先は、例えばメールアドレスである。
It should be noted that in an area (not shown) of the
次に、通信部112は、登録局IDと登録局パスワードとを被認証端末装置20に対して送信する(ステップS12)。通信部112は、上述の領域を参照し、エージェントIDを発行する各々の被認証端末装置20の連絡先に対し、該被認証端末装置20に対して発行予定のエージェントID121aに(発行ID管理情報121において)関連する登録局ID121bと登録局パスワード121cとを送信する。上述の例では、3000台の被認証端末装置20の各々に対して、登録局ID121bと登録局パスワード121cとが送信される。
Next, the
次に、通信部112は、認証端末装置30に対してエージェントIDを送信する(ステップS13)。通信部112は、記憶部120を参照し、ステップS12で登録局ID121b及び登録局パスワード121cを送信した被認証端末装置20を認証する認証端末装置30を特定する。通信部112は、特定した認証端末装置30に対して、ステップS11で生成したエージェントID121aを送信する。
Next, the
次に、認証端末装置30の認証情報生成部312は、認証情報321を生成する(ステップS14)。認証情報生成部312は、ステップS13で送信されたエージェントIDをエージェントID321aのレコードとして有する認証情報321を生成する。ステップS13で登録端末装置10から送信されたエージェントIDが3000個であれば、認証情報生成部312は認証情報321において3000のレコードを生成し、受信したエージェントIDをエージェントID321aとして格納する。その後、認証情報生成部312は本シーケンスの処理を終了する。
Next, the authentication information generation unit 312 of the authentication terminal device 30 generates authentication information 321 (step S14). The authentication information generation unit 312 generates
図6は、第1の実施形態におけるエージェントID発行処理の一例を示すシーケンス図である。本処理は、例えば被認証端末装置20が登録局IDと登録局パスワードとの入力を受け付けるステップS21の処理を契機として開始される。本処理の開始前に、図5に示すエージェントID発行準備処理が既に行われているものとする。 FIG. 6 is a sequence diagram illustrating an example of an agent ID issuance process according to the first embodiment. This process is started, for example, in response to the process of step S21 in which the authenticated terminal device 20 receives an input of a registration authority ID and a registration authority password. It is assumed that the agent ID issuance preparation process shown in FIG. 5 has already been performed before the start of this process.
まず、被認証端末装置20のID発行要求部211は、登録局IDと登録局パスワードとの入力を受け付ける(ステップS21)。図5に示すステップS13において、登録局ID121bと登録局パスワード121cとが登録端末装置10から被認証端末装置20に対して送信されている。被認証端末装置20のID発行要求部211は、被認証端末装置20の入力装置を介して、登録局ID121bと登録局パスワード121cとの入力を受け付ける。
First, the ID
次に、ID発行要求部211は、エージェントID発行要求を登録端末装置10に対して送信する(ステップS22)。ID発行要求部211は、ステップS21で入力を受け付けた登録局ID121bと登録局パスワード121cとを特定したエージェントID発行要求を生成し、登録端末装置10に対して送信する。
Next, the ID
次に、登録端末装置10のID発行部111は、登録局ID及び登録局パスワードに対応するエージェントIDを特定し、発行済みフラグを変更する(ステップS23)。具体的には、ID発行部111は、エージェントID発行要求において特定されている登録局ID121bと登録局パスワード121cとを用いて、記憶部120に記憶されている発行ID管理情報121を参照する。ID発行部111は、登録局ID121bと登録局パスワード121cとの組み合わせと対応するレコードを特定し、該レコードの発行済みフラグ121dについて、「未発行」を示す情報から「発行済み」を示す情報へと変更する。
Next, the
次に、登録端末装置10の暗号化部113は、エージェントIDを秘密鍵で暗号化する(ステップS24)。暗号化部113は、ステップS23で特定した発行ID管理情報121のレコード内のエージェントID121aを特定し、秘密鍵で暗号化する。
Next, the
次に、ID発行部111は、暗号化したエージェントIDをエージェントソフトに内包する(ステップS25)。エージェントソフトは、被認証端末装置20の固有情報を取得するためのプログラムである。ID発行部111は、暗号化エージェントIDをエージェントソフトに組み込む。
Next, the
なお、エージェントソフトに対して暗号化エージェントIDを内包するには、例えばエージェントソフトのインストーラに対してテキストファイルとして同梱するものであってもよいし、エージェントソフトのインストーラに対して、ダイナミックリンクライブラリを用いた文字列リソースとして同梱するものであってもよい。また例えば、インストーラに対して直接文字列を書き込み、コンパイルしたものであってもよい。 In order to include the encrypted agent ID in the agent software, for example, the agent software installer may be included as a text file, or the agent software installer may include a dynamic link library. It may be bundled as a character string resource using. Further, for example, a character string directly written into the installer may be compiled.
次に、通信部112は、ステップS25において暗号化エージェントIDを内包させたエージェントソフトを被認証端末装置20に対して送信する(ステップS26)。
Next, the
次に、被認証端末装置20のID発行要求部211は、登録端末装置10から送信されたエージェントソフトをインストールする(ステップS27)。ID発行要求部211は、その後本シーケンスの処理を終了する。
Next, the ID
次に、認証端末装置30において被認証端末装置20に対して行われる認証処理の一例を説明する。 Next, an example of an authentication process performed on the authenticated terminal device 20 in the authentication terminal device 30 will be described.
図7は、第1の実施形態における認証処理の一例を示すシーケンス図(その1)である。本処理は、被認証端末装置20が第1回目の認証要求を行う際に実行される処理である。第2回目以降の認証要求において行われる認証処理は、図8を用いて説明する。本処理は、例えば被認証端末装置20においてエージェントソフトを起動するための入力を受け付けると開始される。なお、本処理開始前に、図6に示すエージェントID発行処理が既に実行されているものとする。 FIG. 7 is a sequence diagram (part 1) illustrating an example of the authentication process according to the first embodiment. This process is a process executed when the terminal apparatus 20 to be authenticated makes a first authentication request. The authentication process performed in the second and subsequent authentication requests will be described with reference to FIG. This process is started when an input for starting the agent software is received in the authenticated terminal device 20, for example. It is assumed that the agent ID issuing process shown in FIG. 6 has already been executed before the start of this process.
まず、被認証端末装置20の制御部210は、エージェントソフトを起動する(ステップS31)。起動したエージェントソフトには、先述のステップS25のID発行部111の処理により、暗号化エージェントIDが内包されている。エージェントソフトの起動に伴い、認証要求部212と固有情報取得部213とが構築される。
First, the
次に、固有情報取得部213は、固有情報を取得する(ステップS32)。固有情報取得部213は、当該被認証端末装置20の固有情報を取得する。
Next, the unique
次に、被認証端末装置20の認証要求部212は、固有情報と暗号化エージェントIDとを特定した認証要求を認証端末装置30に送信する(ステップS33)。認証要求部212は、ステップS32において得た固有情報と、エージェントソフトに内包された暗号化エージェントIDとを特定した認証要求を生成し、認証端末装置30に対して送信する。
Next, the
次に、認証端末装置30の復号化部313は、暗号化エージェントIDを公開鍵で復号する(ステップS34)。復号化部313は、認証要求に含まれる暗号化エージェントIDを特定し、予め有している公開鍵を用いて暗号化エージェントIDを復号し、エージェントIDを得る。 Next, the decryption unit 313 of the authentication terminal device 30 decrypts the encrypted agent ID with the public key (step S34). The decryption unit 313 identifies the encrypted agent ID included in the authentication request, decrypts the encrypted agent ID using a public key that is held in advance, and obtains the agent ID.
次に、認証部311は、エージェントIDが認証情報321にあるか否かを判定する(ステップS35)。認証部311は、ステップS34で得たエージェントIDが認証情報321にあるか否かを判定する。ここでは、認証情報321には、ステップS11で生成されたエージェントIDが、ステップS14でエージェントID321aとして記録されているため、エージェントIDが認証情報321にあると判定する。
Next, the authentication unit 311 determines whether the agent ID is in the authentication information 321 (step S35). The authentication unit 311 determines whether or not the agent ID obtained in step S34 is in the
なお、ステップS34において、受け付けたエージェントIDが認証情報321にあると認証部311が判定しない場合、認証部311は本シーケンスの処理を終了する。
In step S34, when the authentication unit 311 does not determine that the received agent ID is in the
次に、認証部311は、エージェントIDと関連する固有情報があるか否かを判定する(ステップS36)。具体的には、認証部311は、認証情報321において、ステップS34で得たエージェントID321aと関連する固有情報321bがあるか否かを判定する。ここでは、エージェントIDは登録端末装置10において生成されているものの、認証情報321の生成は完了していないため、認証部311はエージェントIDと関連する固有情報がないと判定する。なお、固有情報がないと判定された場合、認証要求が第1回目であるものとして取り扱われる。認証要求が2回目以降である場合には、ステップS36以降の処理の代わりにステップS46以降の処理が実行されるが、詳しくは後述する。
Next, the authentication unit 311 determines whether there is unique information related to the agent ID (step S36). Specifically, the authentication unit 311 determines whether there is unique information 321b associated with the agent ID 321a obtained in step S34 in the
次に、認証情報生成部312は、認証情報321のエージェントID321aに固有情報321bを関連付ける(ステップS37)。認証情報生成部312は、ステップS34で得たエージェントID321aに対し、ステップS33で被認証端末装置20から送信された認証要求において特定されている固有情報を固有情報321bとして関連付けた認証情報321を生成する。
Next, the authentication information generation unit 312 associates the unique information 321b with the agent ID 321a of the authentication information 321 (step S37). The authentication information generation unit 312 generates
次に、認証部311は、被認証端末装置20に対し、該被認証端末装置20を認証したことを示す情報を送信する(ステップS38)。その後、認証情報生成部312は、本フローチャートの処理を終了する。 Next, the authenticating unit 311 transmits information indicating that the authenticated terminal device 20 has been authenticated to the authenticated terminal device 20 (step S38). Thereafter, the authentication information generation unit 312 ends the process of this flowchart.
なお、ステップS38において認証端末装置30より送信された、被認証端末装置20を認証したことを示す情報は、例えば被認証端末装置20の記憶部220の図示しない領域に記憶される。被認証端末装置20において、認証された被認証端末装置20に対して許可された機能を用いる場合に、該領域が参照される。
Note that the information indicating that the authenticated terminal device 20 has been authenticated, transmitted from the authentication terminal device 30 in step S38, is stored, for example, in an area (not shown) of the
また、ステップS37において行われる認証情報321の生成後、再度被認証端末装置20から認証端末装置30に対して認証要求を行うよう構成してもよい。その場合、認証情報を生成したことを示す情報をステップS37の後に認証端末装置30から被認証端末装置20に対して送信すると、再度被認証端末装置20の認証要求部212から認証端末装置30に対して認証要求が送信される。
Further, after the generation of the
図8は、第1の実施形態における認証処理の一例を示すシーケンス図(その2)である。本処理は、被認証端末装置20が第2回目以降の認証要求を行う際に実行される処理である。換言すれば、本図に示す処理は、図7に示す認証処理が行われた後、さらに被認証端末装置20がエージェントソフトを起動させるための入力を受け付けた場合に実行される。ステップS41からステップS45において行われる処理は、ステップS31からステップS35において行われる処理と同様であるため、説明を省略する。 FIG. 8 is a sequence diagram (part 2) illustrating an example of the authentication process according to the first embodiment. This process is a process executed when the terminal apparatus 20 to be authenticated makes a second and subsequent authentication requests. In other words, the process shown in this figure is executed when the authenticated terminal apparatus 20 further receives an input for starting the agent software after the authentication process shown in FIG. 7 is performed. The processing performed from step S41 to step S45 is the same as the processing performed from step S31 to step S35, and thus the description thereof is omitted.
次に、認証端末装置30の認証部311は、エージェントIDと関連する固有情報があるか否かを判定する(ステップS46)。認証部311は、ステップS43で被認証端末装置20から送信された認証要求に含まれ、ステップS44で復号されたエージェントIDを用いて認証情報321を参照し、該エージェントID321aと関連付けられた固有情報321bがあるか否かを判定する。ここでは、ステップS43において認証要求を送信した被認証端末装置20において、図7のステップS37における処理が既に行われており、認証情報321にはエージェントID321aに対して既に固有情報321bが関連付けられている。そのため、認証部311はエージェントIDと関連する固有情報があると判定する。
Next, the authentication unit 311 of the authentication terminal device 30 determines whether there is unique information related to the agent ID (step S46). The authentication unit 311 refers to the
次に、認証部311は、エージェントIDと関連する固有情報が、認証要求で特定された固有情報と一致するか否かを判定する(ステップS47)。認証部311は、認証情報321において認証要求で特定されたエージェントID321aと関連する固有情報321bが、認証要求において特定された固有情報と一致するか否かを判定する。ここでは、認証部311が、エージェントIDと関連する固有情報が認証要求に係る固有情報と一致すると判定したものとして説明する。
Next, the authentication unit 311 determines whether or not the unique information associated with the agent ID matches the unique information specified in the authentication request (step S47). The authentication unit 311 determines whether or not the unique information 321b associated with the agent ID 321a specified in the authentication request in the
なお、認証情報321の固有情報321bと、認証要求で特定された固有情報とが一致しない場合、認証要求を送信した被認証端末装置20は、図7に示す処理において認証情報321として登録された被認証端末装置20とは異なるため、認証部311は被認証端末装置20を認証せず、本シーケンスに示す処理を終了する。
If the unique information 321b of the
次に、認証部311は、被認証端末装置20に対して認証したことを示す情報を送信する(ステップS48)。その後、認証部311は、本シーケンス図の処理を終了する。 Next, the authentication unit 311 transmits information indicating that authentication has been performed to the authenticated terminal device 20 (step S48). Thereafter, the authentication unit 311 ends the process of this sequence diagram.
認証処理終了後は、被認証端末装置20は正当な権限を有すると判定されたため、権限を有する被認証端末装置20に対して許可された機能を利用することが可能となる。例えば、認証端末装置30が認証された被認証端末装置20に対して許可するブラウザを被認証端末装置20において利用することができる等、正当な権限を有する端末において保障される機能を被認証端末装置20に利用させることができる。 After the authentication process is completed, it is determined that the authenticated terminal device 20 has a legitimate authority, and thus it is possible to use a function permitted for the authenticated terminal device 20 having the authority. For example, a function that is guaranteed in a terminal having a legitimate authority, such as a browser that allows the authenticated terminal apparatus 30 to be permitted to the authenticated terminal apparatus 20 can be used in the authenticated terminal apparatus 20. The apparatus 20 can be used.
なお、エージェントソフトは、被認証端末装置20において起動されると、ウイルスワクチンソフトやファイアウォールソフト、またはP2P(Peer to Peer)ソフトの稼動状況を取得するものであってもよい。この場合、被認証端末装置20から認証端末装置30に対して送信される認証要求に、該稼動状況を示す情報を含める。認証端末装置30において被認証端末装置20の認証情報321の有無を判定する前に、稼働状況が所定の状況である場合に、被認証端末装置20に対して警告を示す情報を送信したり、認証を行わないことを示す情報を送信し、認証処理を中止するものであってもよい。
Note that the agent software may acquire the operating status of virus vaccine software, firewall software, or P2P (Peer to Peer) software when activated in the authenticated terminal device 20. In this case, information indicating the operation status is included in the authentication request transmitted from the authenticated terminal device 20 to the authentication terminal device 30. Before the authentication terminal device 30 determines whether or not the
また、上述の実施形態において、被認証端末装置20から送信される認証要求には該被認証端末装置20の固有情報が特定されている。しかしながら、固有情報の代わりに、予め被認証端末装置20に設定されたハッシュ関数を用いて、固有情報をキーとして生成されたハッシュ値が認証要求に含まれるものであってもよい。その場合、認証端末装置30の記憶部320に記憶される認証情報321には、エージェントID321aに対して固有情報のハッシュ値が関連付けられる。第2回目以降に認証端末装置30が認証要求を受け付けると、認証要求に含まれるハッシュ値と、認証情報321内のハッシュ値とを比較することにより、被認証端末装置20の認証が行われるものであってもよい。
In the above-described embodiment, the unique information of the authenticated terminal device 20 is specified in the authentication request transmitted from the authenticated terminal device 20. However, a hash value generated using the unique information as a key using a hash function set in advance in the authenticated terminal device 20 instead of the unique information may be included in the authentication request. In this case, the
本実施形態では、被認証端末装置20の認証や固有情報の管理は、被認証端末装置20の正当性を保証する登録端末装置10とは別の主体である認証端末装置30が行う。正当性を保証する登録端末装置10がエージェントIDを認証端末装置30と被認証端末装置20に対して送信することで、登録端末装置10では固有情報の管理を行う必要がない。また、認証端末装置30に対する固有情報の登録は、エージェントソフトを用いることにより簡便に行うことができ、管理者に高いスキルが要求されることもない。これにより、効率的に認証を行うことができる。
In the present embodiment, authentication of the authenticated terminal device 20 and management of the unique information are performed by an authentication terminal device 30 that is a subject different from the registered
また、登録端末装置10をクラウドコンピューティングにおける外部サーバーとして機能させ、認証端末装置30を被認証端末装置20と共通の内部グループに設置することにより、秘匿性の高い情報である固有情報を外部に送信する必要がなく、セキュリティ面においても有用である。
In addition, by making the registered
(第2の実施形態) (Second Embodiment)
次に、第2の実施形態について説明する。第1の実施形態では、認証端末装置30が認証情報321として被認証端末装置20の固有情報を管理するが、第2の実施形態では認証端末装置30が否認書端末装置の固有情報を管理しない。以下、上述の実施形態と異なる点について説明し、重複する点については説明を省略する。
Next, a second embodiment will be described. In the first embodiment, the authentication terminal device 30 manages the unique information of the authenticated terminal device 20 as the
図9は、第2の実施形態における認証情報321の一例を示す図である。認証情報321は、エージェントIDを有する。なお、第1の実施形態と異なり、認証情報321には被認証端末装置20の固有情報が含まれない。上述したエージェントID発行準備処理において登録端末装置10から送信されたエージェントIDを用いて、認証端末装置30の認証情報生成部312が認証情報321を生成する。
FIG. 9 is a diagram illustrating an example of the
図10は、第2の実施形態におけるエージェントID発行処理の一例を示すシーケンス図である。なお、本処理に先立って図5を用いて説明したエージェントID発行準備処理が行われている点は、第1の実施形態と同様である。 FIG. 10 is a sequence diagram illustrating an example of an agent ID issuance process according to the second embodiment. Note that the agent ID issuance preparation process described with reference to FIG. 5 is performed prior to this process, similar to the first embodiment.
被認証端末装置20のID発行要求部211は、登録局IDと登録局パスワードとの入力を受け付ける(ステップS51)。ステップS51からステップS53において行われる処理は、ステップS21からステップS23において行われる処理と同様であるため、説明を省略する。
The ID
次に、登録端末装置10の通信部112は、被認証端末装置20に対してエージェントソフトを送信する(ステップS54)。エージェントソフトは、被認証端末装置20の固有情報を取得する機能を有するが、暗号化エージェントIDが内包されない点において第1の実施形態と異なる。
Next, the
次に、被認証端末装置20の制御部210は、登録端末装置10から送信されたエージェントソフトをインストールする(ステップS55)。本処理は、図6に示すステップS27において行われる処理と同様である。エージェントソフトが起動されると、認証要求部212と、固有情報取得部213とが構築される。
Next, the
次に、固有情報取得部213は、固有情報を取得する(ステップS56)。本処理は、図7に示すステップS32において行われる処理と同様である。
Next, the unique
次に、固有情報取得部213は、ステップS55で取得した固有情報を登録端末装置10に対して送信する(ステップS57)。なお、固有情報は必要に応じて暗号化される。
Next, the unique
次に、登録端末装置10の暗号化部113は、固有情報と、特定したエージェントIDとを秘密鍵で暗号化する(ステップS58)。暗号化部113は、ステップS57で被認証端末装置20から送信された固有情報と、ステップS53において特定した発行ID管理情報121のレコードに含まれるエージェントID121aとを、秘密鍵を用いて暗号化する。
Next, the
次に、通信部112は、ステップS58で暗号化した暗号化エージェントIDと、暗号化固有情報とを、被認証端末装置20に対して送信する(ステップS59)。
Next, the
次に、被認証端末装置20のID発行要求部211は、暗号化エージェントIDと暗号化固有情報とを記憶させる(ステップS60)。具体的には、ID発行要求部211は、ステップS59で登録端末装置10から送信された暗号化エージェントIDと、暗号化固有情報とを、記憶部220の図示しない領域に記憶させる。ID発行要求部211は、その後本シーケンス図の処理を終了する。
Next, the ID
図11は、第2の実施形態における認証処理の一例を示すシーケンス図である。本処理が開始される前に、図10に示すエージェントID発行処理が既に実行されている。本処理は、例えば被認証端末装置20においてエージェントソフトを起動するための入力を受け付けると開始される。 FIG. 11 is a sequence diagram illustrating an example of an authentication process according to the second embodiment. Before this process is started, the agent ID issuing process shown in FIG. 10 has already been executed. This process is started when an input for starting the agent software is received in the authenticated terminal device 20, for example.
被認証端末装置20の制御部210は、エージェントソフトを起動する(ステップS61)。ステップS61からステップS62において行われる処理は、ステップS31からステップS32において行われる処理と同様であるため、説明を省略する。
The
次に、認証要求部212は、取得した固有情報と、暗号化エージェントIDと、暗号化固有情報とを特定した認証要求を認証端末装置30に対して送信する(ステップS63)。具体的には、認証要求部212は、ステップS62で取得した固有情報と、ステップS60において記憶部220に記憶させた暗号化エージェントID及び暗号化固有情報と、を特定した認証要求を生成し、認証端末装置30に対して送信する。
Next, the
次に、認証端末装置30の復号化部313は、暗号化エージェントIDと暗号化固有情報とを公開鍵で復号する(ステップS64)。復号化部313は、図10に示すステップS58でエージェントIDを暗号化する際に用いた秘密鍵と対応する公開鍵を予め有している。復号化部313は、該公開鍵を用いて暗号化エージェントIDと暗号化固有情報とを復号する。 Next, the decryption unit 313 of the authentication terminal device 30 decrypts the encrypted agent ID and the encrypted unique information with the public key (step S64). The decryption unit 313 has a public key corresponding to the secret key used when encrypting the agent ID in step S58 shown in FIG. The decryption unit 313 decrypts the encryption agent ID and the encryption unique information using the public key.
次に、認証部311は、エージェントIDが認証情報321にあるか否かを判定する(ステップS65)。認証部311は、ステップS64で復号した暗号化エージェントIDを用いて認証情報321を参照し、復号した暗号化エージェントIDが認証情報321に含まれているか否かを判定する。ここでは、認証部311はエージェントIDが認証情報321に含まれると判定したものとして説明する。なお、復号化した暗号化エージェントIDが認証情報321に含まれていない場合、認証部311は本シーケンス図の処理を終了する。
Next, the authentication unit 311 determines whether or not the agent ID is in the authentication information 321 (step S65). The authentication unit 311 refers to the
次に、認証部311は、取得した固有情報と、復号した暗号化固有情報とが一致するか否かを判定する(ステップS66)。具体的には、認証部311は、ステップS62において固有情報取得部213により取得され、認証情報321において特定された固有情報と、ステップS64において復号された暗号化固有情報とが一致するか否かを判定する。ここでは、認証情報321において特定された固有情報と、暗号化固有情報とが一致すると判定されたものとする。なお、認証部311が、取得された固有情報と、復号された暗号化固有情報とが一致すると判定しない場合、図10に示すエージェントID発行処理においてエージェントIDが発行された被認証端末装置20からの認証要求ではないものであるため、本シーケンス図の処理を終了する。
Next, the authentication unit 311 determines whether or not the acquired unique information matches the decrypted encrypted unique information (step S66). Specifically, the authentication unit 311 determines whether or not the unique information acquired by the unique
次に、認証部311は、被認証端末装置20に対し、該被認証端末装置20を認証したことを示す情報を送信する(ステップS67)。本ステップにおいて行われる処理は、図7に示すステップS38において行われる処理と同様である。認証部311は、その後本シーケンス図の処理を終了する。 Next, the authenticating unit 311 transmits information indicating that the authenticated terminal device 20 has been authenticated to the authenticated terminal device 20 (step S67). The process performed in this step is the same as the process performed in step S38 shown in FIG. The authentication unit 311 then ends the process of this sequence diagram.
本実施形態では、登録端末装置10及び認証端末装置30は被認証端末装置20の固有情報を管理しない。登録端末装置10が暗号化した暗号化固有情報を、暗号化エージェントIDと共に被認証端末装置20に対して発行する。被認証端末装置20が認証端末装置30に対して認証要求を行う際に、エージェントソフトによって取得した固有情報と、暗号化固有情報及び暗号化エージェントIDとを特定した認証要求を行う。これにより、エージェントIDを発行した対象である被認証端末装置20と、認証要求を行った被認証端末装置20が一致するか否かを判定することができる。換言すれば、登録端末装置10及び認証端末装置30のいずれも被認証端末装置20の固有情報の管理を行うことなく、端末の正当性を保証する登録端末装置10と、認証を行う認証端末装置30とを用いて、効率的に認証処理を行うことができる。
In the present embodiment, the
以上、本発明に係る各実施形態及び変形例の説明を行ってきたが、本発明は、上記した実施形態の一例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態の一例は、本発明を分かり易くするために詳細に説明したものであり、本発明は、ここで説明した全ての構成を備えるものに限定されない。また、ある実施形態の一例の構成の一部を他の一例の構成に置き換えることが可能である。また、ある実施形態の一例の構成に他の一例の構成を加えることも可能である。また、各実施形態の一例の構成の一部について、他の構成の追加・削除・置換をすることもできる。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、図中の制御線や情報線は、説明上必要と考えられるものを示しており、全てを示しているとは限らない。ほとんど全ての構成が相互に接続されていると考えてもよい。 As mentioned above, although each embodiment and modification which concern on this invention have been demonstrated, this invention is not limited to an example of above-described embodiment, Various modifications are included. For example, the above-described exemplary embodiment has been described in detail for easy understanding of the present invention, and the present invention is not limited to the one having all the configurations described here. A part of the configuration of an example of an embodiment can be replaced with the configuration of another example. Moreover, it is also possible to add the structure of another example to the structure of an example of a certain embodiment. In addition, for a part of the configuration of an example of each embodiment, another configuration can be added, deleted, or replaced. Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. In addition, the control lines and information lines in the figure indicate what is considered necessary for the description, and do not necessarily indicate all of them. It can be considered that almost all configurations are connected to each other.
1:認証システム、10:登録端末装置、11:演算装置、12:メモリ、13:外部記憶装置、14:入力装置、15:出力装置、16:通信装置、17:記憶媒体駆動装置、18:メディア、20:被認証端末装置、30:認証端末装置、40:ネットワーク、110:制御部、111:ID発行部、112:通信部、113:暗号化部、120:記憶部、121:発行ID管理情報、210:制御部、211:ID発行要求部、212:認証要求部、213:固有情報取得部、220:記憶部、221:データ取得情報、310:制御部、311:認証部、312:認証情報生成部、313:復号化部、320:記憶部、321:認証情報 1: authentication system, 10: registration terminal device, 11: arithmetic device, 12: memory, 13: external storage device, 14: input device, 15: output device, 16: communication device, 17: storage medium drive device, 18: Media: 20: terminal device to be authenticated, 30: authentication terminal device, 40: network, 110: control unit, 111: ID issuing unit, 112: communication unit, 113: encryption unit, 120: storage unit, 121: issue ID Management information 210: Control unit 211: ID issue request unit 212: Authentication request unit 213: Unique information acquisition unit 220: Storage unit 221: Data acquisition information 310: Control unit 311: Authentication unit 312 : Authentication information generation unit, 313: decryption unit, 320: storage unit, 321: authentication information
Claims (19)
前記登録端末装置は、
予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信部を備え、
前記被認証端末装置は、
前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求部を備え、
前記認証端末装置は、
予め取得した前記固有情報と前記登録端末装置の前記通信部から送信された認証IDとを関連付けた認証情報を記憶する認証端末側記憶部と、
前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、
を備えることを特徴とする認証システム。
An authentication system having a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network,
The registration terminal device
A communication unit that transmits an authentication ID acquired in advance to the authentication terminal device and the authenticated terminal device;
The authenticated terminal device is:
An authentication request unit that performs an authentication request specifying the authentication ID and unique information of the authenticated terminal device to the authentication terminal device;
The authentication terminal device
An authentication terminal-side storage unit that stores authentication information in which the unique information acquired in advance and the authentication ID transmitted from the communication unit of the registered terminal device are associated;
When the authentication request is received from the authenticated terminal device, based on whether the authentication information includes a combination of the authentication ID specified in the authentication request and the unique information specified in the authentication request. An authenticating unit for authenticating the authenticated terminal device;
An authentication system comprising:
前記登録端末装置の前記通信部は、暗号化した前記認証IDである暗号化認証IDを前記被認証端末装置に送信し、
前記被認証端末装置の前記認証要求部は、前記暗号化認証IDを特定した前記認証要求を行い、
前記認証端末装置の前記認証部は、前記認証要求で特定された前記暗号化認証IDが復号化された前記認証IDと前記固有情報との組み合わせが前記認証情報に含まれる場合に前記被認証端末装置を認証することを特徴とする認証システム。
The authentication system according to claim 1,
The communication unit of the registered terminal device transmits an encrypted authentication ID that is the encrypted authentication ID to the authenticated terminal device,
The authentication request unit of the authenticated terminal device performs the authentication request specifying the encrypted authentication ID,
When the authentication information includes a combination of the authentication ID obtained by decrypting the encrypted authentication ID specified in the authentication request and the unique information, the authenticated terminal includes: An authentication system characterized by authenticating a device.
前記認証端末装置は、
前記登録端末装置の前記通信部により送信された前記認証IDと前記認証要求に含まれる前記認証IDとが対応し、かつ該認証IDについて前記認証情報において前記固有情報が関連付けられていない場合に、前記認証IDと前記認証要求に含まれる前記固有情報とを関連付けて前記認証情報を生成する認証情報生成部を備えることを特徴とする認証システム。
The authentication system according to claim 1 or 2,
The authentication terminal device
When the authentication ID transmitted by the communication unit of the registered terminal device corresponds to the authentication ID included in the authentication request, and the unique information is not associated with the authentication ID in the authentication information, An authentication system comprising: an authentication information generation unit that generates the authentication information by associating the authentication ID with the unique information included in the authentication request.
前記登録端末装置は、
前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、
前記被認証端末装置は、
前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、
前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDを前記被認証端末装置に送信することを特徴とする認証システム。
The authentication system according to any one of claims 1 to 3,
The registration terminal device
For each authentication ID, a registration terminal-side storage unit that stores issuance ID management information that associates the ID of the registration terminal device with a password,
The authenticated terminal device is:
An ID issuance request unit that performs an authentication ID issuance request that specifies the ID and password of the registration terminal device to the registration terminal device;
When the communication unit of the registered terminal device accepts the authentication ID issue request, the communication unit is associated in the issued ID management information with the combination of the ID of the registered terminal device and the password specified in the authentication ID issue request. And transmitting the authentication ID to the authenticated terminal device.
前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記固有情報を取得する固有情報取得部を備え、
前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信することを特徴とする認証システム。
The authentication system according to claim 4,
The authenticated terminal device includes a unique information acquisition unit that acquires the unique information using data acquisition information transmitted from the registered terminal device,
The communication unit of the registered terminal device receives the data acquisition information when the issued ID management information includes a combination of the ID of the registered terminal device specified by the authentication ID issue request and the password. An authentication system that transmits to an authentication terminal device.
前記登録端末装置は、前記認証IDを秘密鍵で暗号化する暗号化部を備え、
前記認証端末装置は、前記秘密鍵に対応する公開鍵で暗号化された前記認証IDを復号する復号化部を備えることを特徴とする認証システム。
An authentication system according to any one of claims 1 to 5,
The registered terminal device includes an encryption unit that encrypts the authentication ID with a secret key,
The authentication terminal device includes a decryption unit that decrypts the authentication ID encrypted with a public key corresponding to the secret key.
前記被認証端末装置の前記認証要求部は、ハッシュ化した前記固有情報を特定した前記認証要求を行い、
前記認証端末装置の前記認証部は、ハッシュ化した前記固有情報を用いて前記被認証端末装置を認証することを特徴とする認証システム。
The authentication system according to any one of claims 1 to 6,
The authentication request unit of the authenticated terminal device performs the authentication request specifying the hashed unique information,
The authentication system of the authentication terminal device authenticates the authenticated terminal device using the hashed unique information.
前記登録端末装置は、
予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信部を備え、
前記被認証端末装置は、
当該被認証端末装置の固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求部を備え、
前記認証端末装置は、
前記登録端末装置の前記通信部から送信された前記認証IDを認証情報として記憶する認証端末側記憶部と、
前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証部と、
を備えることを特徴とする認証システム。
An authentication system having a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network,
The registration terminal device
A communication unit that transmits an authentication ID acquired in advance to the authentication terminal device, and transmits the first unique information that is unique information received from the authenticated terminal device and the authentication ID to the authenticated terminal device;
The authenticated terminal device is:
An authentication request specifying the second unique information, which is unique information of the authenticated terminal device, and the first unique information and the authentication ID transmitted by the communication unit, is made to the authentication terminal device. With an authentication request
The authentication terminal device
An authentication terminal-side storage unit that stores the authentication ID transmitted from the communication unit of the registered terminal device as authentication information;
When the authentication request is received from the authenticated terminal device, the authentication ID specified in the authentication request is present in the authentication information, and the first specific information specified in the authentication request is the second specific information. An authentication unit that authenticates the authenticated terminal device when corresponding to the information;
An authentication system comprising:
前記認証端末装置は、暗号化された前記第1の固有情報と暗号化された前記認証IDとを復号する復号化部を備え、
前記登録端末装置の前記通信部は、暗号化された前記第1の固有情報と、暗号化された前記認証IDとを前記被認証端末装置に送信し、
前記被認証端末装置の認証要求部は、暗号化された前記第1の固有情報及び暗号化された前記認証IDを特定した前記認証要求を行い、
前記認証端末装置の前記認証部は、前記復号化部により復号された前記認証IDが前記認証情報に存在し、かつ前記復号化部により復号された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証することを特徴とする認証システム。
The authentication system according to claim 8,
The authentication terminal device includes a decryption unit that decrypts the encrypted first unique information and the encrypted authentication ID,
The communication unit of the registered terminal device transmits the encrypted first unique information and the encrypted authentication ID to the authenticated terminal device,
The authentication request unit of the authenticated terminal device performs the authentication request specifying the encrypted first unique information and the encrypted authentication ID,
The authentication unit of the authentication terminal device includes the authentication ID decrypted by the decryption unit in the authentication information, and the first unique information decrypted by the decryption unit is the second unique An authentication system for authenticating the authenticated terminal device when corresponding to information.
前記登録端末装置は、
前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、
前記被認証端末装置は、
前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、
前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDと、前記被認証端末装置から受け付けた前記第1の固有情報とを前記被認証端末装置に送信することを特徴とする認証システム。
The authentication system according to claim 8 or 9, wherein
The registration terminal device
For each authentication ID, a registration terminal-side storage unit that stores issuance ID management information that associates the ID of the registration terminal device with a password,
The authenticated terminal device is:
An ID issuance request unit that performs an authentication ID issuance request that specifies the ID and password of the registration terminal device to the registration terminal device;
When the communication unit of the registered terminal device accepts the authentication ID issue request, the communication unit is associated in the issued ID management information with the combination of the ID of the registered terminal device and the password specified in the authentication ID issue request. And transmitting the authentication ID and the first unique information received from the terminal device to be authenticated to the terminal device to be authenticated.
前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記第2の固有情報を取得する固有情報取得部を備え、
前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信し、前記固有情報取得部により取得された前記第2の固有情報を受け付けることを特徴とする認証システム。
The authentication system according to claim 10,
The authenticated terminal device includes a unique information acquisition unit that acquires the second unique information using data acquisition information transmitted from the registered terminal device,
The communication unit of the registered terminal device receives the data acquisition information when the issued ID management information includes a combination of the ID of the registered terminal device specified by the authentication ID issue request and the password. An authentication system characterized by receiving the second specific information transmitted to the authentication terminal device and acquired by the specific information acquisition unit.
前記登録端末装置は、前記認証IDと前記第1の固有情報とを秘密鍵で暗号化する暗号化部を備え、
前記認証端末装置の前記認証部は、前記秘密鍵と対応する公開鍵を用いて復号された、暗号化された前記認証IDと前記第1の固有情報とを用いて前記被認証端末装置を認証することを特徴とする認証システム。
The authentication system according to any one of claims 8 to 11,
The registered terminal device includes an encryption unit that encrypts the authentication ID and the first unique information with a secret key,
The authentication unit of the authentication terminal device authenticates the authenticated terminal device using the encrypted authentication ID and the first unique information decrypted using the public key corresponding to the secret key. An authentication system characterized by:
ネットワークを介して接続された被認証端末装置の第2の固有情報と前記認証IDとを特定した認証要求を前記被認証端末装置から受け付けると、受け付けた前記第2の固有情報と前記認証IDとの組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、
を備えることを特徴とする認証端末装置。
An authentication terminal storage unit that stores authentication information in which the first unique information of the authenticated terminal device acquired in advance and the authentication ID acquired from the registration terminal device connected via the network are stored;
When an authentication request specifying the second unique information of the authenticated terminal device and the authentication ID connected via the network is received from the authenticated terminal device, the received second unique information and the authentication ID Authenticating the terminal device to be authenticated based on whether the authentication information includes a combination of:
An authentication terminal device comprising:
ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信部と、
前記通信部が前記認証ID発行要求を受け付けると、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化部と、を備え、
前記通信部は、前記暗号化部により暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする登録端末装置。
A registration terminal-side storage unit that stores issued ID management information in which an ID of the registration terminal device and a password are associated with the authentication ID acquired in advance;
A communication unit that accepts an authentication ID issue request specifying the ID and password of the registered terminal device from an authenticated terminal device connected via a network;
When the communication unit accepts the authentication ID issuance request, an encryption unit encrypts the authentication ID associated with the combination of the ID of the registered terminal device and the password specified in the authentication ID issuance request. Prepared,
The communication unit transmits an encrypted authentication ID encrypted by the encryption unit and data acquisition information used by the authenticated terminal device to acquire unique information to the authenticated terminal device. A registration terminal apparatus, wherein the authentication ID is transmitted to an authentication terminal apparatus connected via the network.
ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付け、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信部と、
前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化部と、を備え、
前記通信部は、前記暗号化部により暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする登録端末装置。
A registration terminal-side storage unit that stores issued ID management information in which an ID of the registration terminal device and a password are associated with the authentication ID acquired in advance;
An authentication ID issue request specifying the ID and password of the registered terminal device is received from an authenticated terminal device connected via a network, and the ID and password of the registered terminal device specified in the authentication ID issue request A communication unit that transmits to the authenticated terminal device data acquisition information that is used by the authenticated terminal device to acquire unique information,
The combination of the ID of the registered terminal device and the password specified in the authentication ID issue request, the authentication ID related in the issue ID management information, and the authenticated terminal device acquired using the data acquisition information An encryption unit for encrypting the unique information, and
The communication unit transmits the encrypted authentication ID and the encrypted unique information encrypted by the encryption unit to the authenticated terminal device, and to the authentication terminal device connected via the network A registration terminal device that transmits the authentication ID.
前記登録端末装置は、予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信手順を有し、
前記認証端末装置は、前記通信手順において前記登録端末装置から送信された前記認証IDと、予め取得した前記被認証端末装置の固有情報とを関連付けた認証情報を記憶部に記憶させる認証情報記憶手順を有し、
前記被認証端末装置は、前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求手順を有し、
前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証手順を有することを特徴とする認証方法。
An authentication method used in an authentication system having a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network,
The registration terminal device has a communication procedure for transmitting an authentication ID acquired in advance to the authentication terminal device and the authenticated terminal device,
The authentication terminal apparatus stores an authentication information in which a storage unit stores authentication information in which the authentication ID transmitted from the registration terminal apparatus in the communication procedure is associated with the acquired unique information of the authenticated terminal apparatus. Have
The authenticated terminal device has an authentication request procedure for making an authentication request specifying the authentication ID and unique information of the authenticated terminal device to the authenticated terminal device,
When the authentication terminal apparatus receives the authentication request from the authenticated terminal apparatus, the authentication information includes a combination of the authentication ID specified in the authentication request and the unique information specified in the authentication request. An authentication method comprising: an authentication procedure for authenticating the terminal device to be authenticated based on whether or not
前記登録端末装置は、予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信手順を有し、
前記認証端末装置は、前記登録端末装置の前記通信手順において送信された前記認証IDを認証情報として記憶部に記憶させる認証情報記憶手順を有し、
前記被認証端末装置は、当該被認証端末装置の前記固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求手順を有し、
前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証手順を有することを特徴とする認証方法。
An authentication method used in an authentication system having a registration terminal device, an authentication terminal device, and an authenticated terminal device connected via a network,
The registration terminal device transmits an authentication ID acquired in advance to the authentication terminal device, and transmits first unique information, which is unique information received from the authenticated terminal device, and the authentication ID to the authenticated terminal device. Has a communication procedure
The authentication terminal device has an authentication information storage procedure for storing the authentication ID transmitted in the communication procedure of the registration terminal device in a storage unit as authentication information,
The authenticated terminal device sends an authentication request specifying the second unique information, which is the unique information of the authenticated terminal device, and the first unique information and the authentication ID transmitted by the communication unit. Having an authentication request procedure for the authentication terminal device;
When the authentication terminal apparatus receives the authentication request from the authenticated terminal apparatus, the authentication ID specified in the authentication request is present in the authentication information, and the first unique information specified in the authentication request An authentication method comprising: an authentication procedure for authenticating the terminal device to be authenticated when the device corresponds to the second specific information.
ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信手順と、
前記通信手順において前記認証ID発行要求を受け付けると、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化手順と、をコンピュータに実行させ、
前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とするプログラム。
A program for causing a computer to function as a registered terminal device,
A communication procedure for receiving an authentication ID issue request specifying the ID and password of the registered terminal device from an authenticated terminal device connected via a network;
When the authentication ID issuance request is accepted in the communication procedure, with reference to the issuance ID management information in which the ID of the registered terminal device and the password are associated with the previously obtained authentication ID, the authentication ID issuance request An encryption procedure for encrypting the authentication ID associated with the combination of the ID of the registered terminal device and the password, and
In the communication procedure, an encrypted authentication ID encrypted in the encryption procedure and data acquisition information used by the authenticated terminal device to acquire unique information are transmitted to the authenticated terminal device. A program for transmitting the authentication ID to an authentication terminal device connected via the network.
ネットワークを介して接続された被認証端末装置から、当該登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付けると、予め取得した認証IDに対し、前記登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信手順と、
前記認証ID発行要求で特定された前記登録端末装置のIDとパスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化手順と、をコンピュータに実行させ、
前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とするプログラム。 A program for causing a computer to function as a registered terminal device,
When an authentication ID issuance request specifying the ID and password of the registered terminal device is received from the authenticated terminal device connected via the network, the ID and password of the registered terminal device are acquired with respect to the previously acquired authentication ID. And the issuance ID management information, and the issued ID management information includes a combination of the ID of the registered terminal device and the password specified in the authentication ID issuance request. A communication procedure for transmitting data acquisition information used for acquiring unique information to the authenticated terminal device;
The combination of the ID and password of the registered terminal device specified in the authentication ID issue request, the authentication ID related in the issue ID management information, and the authenticated terminal device acquired using the data acquisition information An encryption procedure for encrypting the unique information;
In the communication procedure, the encrypted authentication ID and the encrypted unique information encrypted in the encryption procedure are transmitted to the authenticated terminal device, and the authenticated terminal device connected via the network A program for transmitting the authentication ID.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014253656A JP2016115162A (en) | 2014-12-16 | 2014-12-16 | Authentication system, authentication terminal device, registration terminal device, authentication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014253656A JP2016115162A (en) | 2014-12-16 | 2014-12-16 | Authentication system, authentication terminal device, registration terminal device, authentication method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016115162A true JP2016115162A (en) | 2016-06-23 |
Family
ID=56141917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014253656A Pending JP2016115162A (en) | 2014-12-16 | 2014-12-16 | Authentication system, authentication terminal device, registration terminal device, authentication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016115162A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534269A (en) * | 2016-10-20 | 2017-03-22 | 广东美的暖通设备有限公司 | Method and apparatus of unlocking air-conditioning unit, and server |
JP2018205838A (en) * | 2017-05-30 | 2018-12-27 | キヤノン株式会社 | Information processing apparatus, management system, control method, and program |
-
2014
- 2014-12-16 JP JP2014253656A patent/JP2016115162A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534269A (en) * | 2016-10-20 | 2017-03-22 | 广东美的暖通设备有限公司 | Method and apparatus of unlocking air-conditioning unit, and server |
WO2018072492A1 (en) * | 2016-10-20 | 2018-04-26 | 广东美的暖通设备有限公司 | Method, device, and server for unlocking air conditioning unit |
JP2019501544A (en) * | 2016-10-20 | 2019-01-17 | 広東美的暖通設備有限公司Gd Midea Heating & Ventilating Equipment Co.,Ltd. | Method, device and server for unlocking air conditioning unit |
RU2684017C2 (en) * | 2016-10-20 | 2019-04-03 | ДжиДи МИДЕА ХИТИНГ ЭНД ВЕНТИЛЕЙТИНГ ЭКВИПМЕНТ КО., ЛТД. | Method and device for unlating air conditioning unit and server |
US10614642B2 (en) | 2016-10-20 | 2020-04-07 | Gd Midea Heating & Ventilating Equipment Co., Ltd. | Method and device for unlocking air conditioning unit and server |
JP2018205838A (en) * | 2017-05-30 | 2018-12-27 | キヤノン株式会社 | Information processing apparatus, management system, control method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11606352B2 (en) | Time-based one time password (TOTP) for network authentication | |
US11647007B2 (en) | Systems and methods for smartkey information management | |
US20230155821A1 (en) | Secure shared key establishment for peer to peer communications | |
US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
EP2954448B1 (en) | Provisioning sensitive data into third party network-enabled devices | |
US8839357B2 (en) | Method, system, and computer-readable storage medium for authenticating a computing device | |
US20140181514A1 (en) | Encryption key management program, data management system | |
US20150172260A1 (en) | Cloud-based key management | |
JP2018528691A (en) | Method and apparatus for multi-user cluster identity authentication | |
JP2015171153A (en) | Revocation of root certificates | |
JP6609788B1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
KR20130056199A (en) | Secure key generation | |
US9754100B1 (en) | Credential synchronization management | |
JP2012521155A (en) | Method for manufacturing a product including a certificate and a key | |
EP2608477A1 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
JP2014174560A (en) | Information processing device, server and control method therefor, and program and storage medium | |
KR101580514B1 (en) | Method and apparatus for managing a password by using the seed key and computer readable recording medium applying the same | |
JP6240102B2 (en) | Authentication system, authentication key management device, authentication key management method, and authentication key management program | |
JP2016115162A (en) | Authentication system, authentication terminal device, registration terminal device, authentication method, and program | |
CN115242471A (en) | Information transmission method and device, electronic equipment and computer readable storage medium | |
TWI698113B (en) | Identification method and systerm of electronic device | |
Corella et al. | An example of a derived credentials architecture | |
JP2016163198A (en) | File management device, file management system, file management method, and file management program |