JP2022190213A - Method and device for multi-factor authentication - Google Patents

Method and device for multi-factor authentication Download PDF

Info

Publication number
JP2022190213A
JP2022190213A JP2021098428A JP2021098428A JP2022190213A JP 2022190213 A JP2022190213 A JP 2022190213A JP 2021098428 A JP2021098428 A JP 2021098428A JP 2021098428 A JP2021098428 A JP 2021098428A JP 2022190213 A JP2022190213 A JP 2022190213A
Authority
JP
Japan
Prior art keywords
user
authentication server
user terminal
encryption key
common encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021098428A
Other languages
Japanese (ja)
Other versions
JP7124174B1 (en
Inventor
純 柿島
Jun Kakishima
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
INTER NET INISHIATEIBU KK
Original Assignee
INTER NET INISHIATEIBU KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by INTER NET INISHIATEIBU KK filed Critical INTER NET INISHIATEIBU KK
Priority to JP2021098428A priority Critical patent/JP7124174B1/en
Application granted granted Critical
Publication of JP7124174B1 publication Critical patent/JP7124174B1/en
Publication of JP2022190213A publication Critical patent/JP2022190213A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

To enhance safety of user authentication in multi-factor authentication.SOLUTION: A method to be executed by a user terminal is provided. The method includes the steps of: acquiring a user ID and user factor information for performing a single sign-on to a plurality of cloud services to transmit them to a first authentication server; transmitting a first common encryption key of a user terminal allocated uniquely to the user terminal to the first authentication server together with a subscriber ID of the user in the case that the first authentication server determines that a combination of the user ID and the user factor information is correct, and starting communication with a plurality of cloud services in the case of receiving a notification that the first common encryption key of the user terminal matches a second common encryption key of a second authentication server authenticating the user terminal and being the second encryption key associated with the subscriber ID from the first authentication server.SELECTED DRAWING: Figure 5

Description

本開示は、多要素認証のための方法および装置に関する。より詳細には、本開示は、クラウド型のID管理サービスにおける多要素認証のための方法および装置に関する。 The present disclosure relates to methods and apparatus for multi-factor authentication. More particularly, the present disclosure relates to methods and apparatus for multi-factor authentication in cloud-based identity management services.

様々なアプリケーションソフトを利用できるスマートデバイスの普及に伴い、クラウドサービスを利用する企業や個人が増えている。このため、企業内や個人のデータの一部をローカルで管理する一方、他のデータの一部をクラウドに移行するなど、データが分散管理され、データの一元管理が困難となっている。しかも、クラウドサービスごとにID・パスワード認証を実施すると、クラウドサービスごとにエンドユーザはIDとパスワードの組み合わせを記憶しなければならず、ユーザフレンドリーではなかった。 With the spread of smart devices that can use various application software, the number of companies and individuals using cloud services is increasing. For this reason, data is managed in a distributed manner, such as by locally managing part of company and personal data, while part of other data is migrated to the cloud, making it difficult to centrally manage data. Moreover, if ID/password authentication is performed for each cloud service, the end user must memorize the combination of ID and password for each cloud service, which is not user-friendly.

近年は、クラウド型のID管理サービス(IDaaS:Identity as a Service)が登場している。IDaaSは、異なるクラウドサービスの各IDとパスワード認証を一元管理できる仕組みである。IDaaSはシングルサインオン(統一されたひとつのIDとパスワードで認証)を実現できる。 In recent years, a cloud-type ID management service (IDaaS: Identity as a Service) has appeared. IDaaS is a mechanism that can centrally manage each ID and password authentication of different cloud services. IDaaS can realize single sign-on (authentication with one unified ID and password).

しかしながら、パスワードに頼る認証では、一旦パスワードが流出すると、流出したパスワードと同じパスワードを設定した他のサービスまで不正利用されたりするなどの課題があった。さらにパスワードに頼る認証は、セキュリティ意識が低い利用者は単純な文字列を設定しがちであるため、セキュリティの強度を利用者に任せている点も問題である。このパスワードによるセキュリティ上の脆弱性を克服するために、IDaaSは多要素認証方式を採用している。多要素認証方式は、知識情報/所持情報/生体情報の3要素を組み合わせた認証である。「知識情報」による認証はユーザしか知り得ない情報であるパスワードなどによる認証、「所持情報」による認証には、MACアドレスなどによる認証,「生体情報」による認証は指紋などによる認証がある。 However, in authentication that relies on passwords, once the password is leaked, there is a problem that other services that set the same password as the leaked password can be illegally used. Furthermore, password-based authentication has the problem that users with low security awareness tend to set simple character strings, leaving the strength of security up to the user. To overcome this password security vulnerability, IDaaS employs a multi-factor authentication scheme. The multi-factor authentication method is authentication that combines three factors of knowledge information/possession information/biometric information. Authentication based on "knowledge information" includes authentication based on information that only the user can know, such as a password. Authentication based on "possession information" includes authentication based on MAC addresses, etc., and authentication based on "biometric information" includes authentication based on fingerprints.

本発明の目的の一つは、多要素認証において、ユーザ認証の安全性および信頼性を高めることにある。 One of the objects of the present invention is to improve safety and reliability of user authentication in multi-factor authentication.

また、本発明の他の目的の一つは、多要素認証において、ユーザによる認証のための処理を簡便にすることにある。 Another object of the present invention is to facilitate user authentication processing in multi-factor authentication.

上記目的を達成するための方法の特徴構成は、ユーザ端末において実行される方法であって、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバへ送信するステップと、前記第1の認証サーバで前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定された場合に、前記ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に前記第1の認証サーバへ送信するステップであって、前記ユーザ端末の第1の共通暗号鍵と、前記ユーザ端末を認証している第2の認証サーバの第2の共通暗号鍵であって、前記加入者IDに関連付けられている第2の共通暗号鍵とが一致する通知を前記第1の認証サーバから受信すると、前記複数のクラウドサービスとの通信を開始するステップと、を含む、点にある。 A characteristic configuration of a method for achieving the above object is a method executed in a user terminal, acquiring a user ID and user element information for single sign-on to a plurality of cloud services, performing first authentication a step of transmitting to a server; and if the first authentication server determines that the combination of the user ID and the user element information is correct, the first authentication information of the user terminal uniquely assigned to the user terminal; sending a common cryptographic key together with a subscriber ID of a user to the first authentication server, wherein the first common cryptographic key of the user terminal and a second authentication server authenticating the user terminal; and the second common encryption key associated with the subscriber ID is received from the first authentication server, communication with the plurality of cloud services at a point, including the step of initiating

上記目的を達成するための特徴構成は、装置において実行される方法であって、ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定すると、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの前記第1の共通暗号鍵と、前記ユーザ端末からの前記第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを備える、点にある。 A feature configuration for achieving the above object is a method executed in a device, comprising a step of acquiring a user ID and user element information for single sign-on to a plurality of cloud services from a user terminal; a step of obtaining a first common encryption key from an authentication server based on a subscriber ID associated with the user ID, when determining that the combination of the user ID and the user element information is correct, the authentication server comprising: is authenticating the user terminal; obtaining from the user terminal a second common encryption key associated with the subscriber ID; and the authentication server and the step of notifying the user terminal that the first common encryption key from the user terminal matches the second common encryption key from the user terminal.

上記目的を達成するための装置の特徴構成は、装置であって、少なくとも1つのプロセッサと、命令を記憶したメモリであって、前記少なくとも1つのプロセッサに実行されたときに、前記装置にユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しい場合に、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの第1の共通暗号鍵と、前記ユーザ端末からの第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを実行させる命令を記憶したメモリと備える、点にある。 A feature of an apparatus for carrying out the above objects is an apparatus comprising: at least one processor; and a memory storing instructions which, when executed by the at least one processor, cause the apparatus to generate instructions for a user terminal. obtaining a user ID and user element information for single sign-on to a plurality of cloud services from a subscription associated with the user ID if the combination of the user ID and the user element information is correct; obtaining a first common encryption key from an authentication server based on a user ID, wherein the authentication server authenticates the user terminal; obtaining the first common encryption key; obtaining from a terminal a second common encryption key associated with the subscriber ID; and matching the first common encryption key from the authentication server with the second common encryption key from the user terminal. and a memory storing a command for executing a step of notifying the user terminal of a match between the two.

本発明は、多要素認証において、ユーザ認証の安全性および信頼性を高める装置および方法を提供するものである。 The present invention provides an apparatus and method for increasing the security and reliability of user authentication in multi-factor authentication.

本開示の一実施形態に係るクラウド型の多要素認証管理サービスを提供するシステムを示す。1 illustrates a system for providing a cloud-based multi-factor authentication management service according to an embodiment of the present disclosure; 本開示の一実施形態に係るユーザ端末のハードウェア構成図を示す。1 shows a hardware configuration diagram of a user terminal according to an embodiment of the present disclosure; FIG. 本開示の一実施形態に係る多要素認証サーバのハードウェア構成図を示す。1 shows a hardware configuration diagram of a multi-factor authentication server according to an embodiment of the present disclosure; FIG. 図1のユーザ端末と、多要素認証サーバと、認証サーバとの機能的構成の例を示すブロック図である。2 is a block diagram showing an example of functional configurations of a user terminal, a multi-factor authentication server, and an authentication server shown in FIG. 1; FIG. 本開示の第一実施形態に係るシステムにおいて実行される処理の例を示す。4 shows an example of processing executed in the system according to the first embodiment of the present disclosure; 本開示の第二実施形態に係るシステムにおいて実行される処理の例を示す。4 shows an example of processing executed in a system according to a second embodiment of the present disclosure; 本開示の一実施形態に係る加入者ファイルのデータ構造の例である。4 is an example data structure of a subscriber file according to an embodiment of the present disclosure; 本開示の一実施形態に係るユーザ管理ファイルのデータ構造の例である。4 is an example data structure of a user management file according to an embodiment of the present disclosure; 本開示の一実施形態に係る共通暗号鍵ファイルのデータ構造の例である。4 is an example data structure of a common encryption key file according to an embodiment of the present disclosure;

[本発明の実施形態の説明]
最初に、本発明の実施形態の内容を列記して説明する。本発明の一実施形態は、以下のような構成を備える。 [Description of the embodiment of the present invention]
First, the contents of the embodiments of the present invention will be listed and explained. One embodiment of the present invention has the following configuration.

〔構成1〕 本発明に係る方法の特徴構成は、ユーザ端末において実行される方法であって、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバ(多要素認証サーバ200)へ送信するステップと、前記第1の認証サーバで前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定された場合に、前記ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に前記第1の認証サーバへ送信するステップであって、前記ユーザ端末の第1の共通暗号鍵と、前記ユーザ端末を認証している第2の認証サーバ(認証サーバ300)の第2の共通暗号鍵であって、前記加入者IDに関連付けられている第2の共通暗号鍵とが一致する通知を前記第1の認証サーバから受信すると、前記複数のクラウドサービスとの通信を開始するステップと、を含む、点にある。 [Configuration 1] A characteristic configuration of a method according to the present invention is a method executed in a user terminal, in which a user ID and user element information for single sign-on to a plurality of cloud services are acquired, and a first a step of transmitting to an authentication server (multi-factor authentication server 200); transmitting a first common encryption key of the user terminal to the first authentication server together with a subscriber ID of the user, wherein the first common encryption key of the user terminal and the user terminal are authenticated a second common encryption key of a second authentication server (authentication server 300), which is the second authentication server (authentication server 300), and a second common encryption key associated with the subscriber ID; upon receiving from a server, initiating communication with said plurality of cloud services.

〔構成2〕 本発明に係る方法の別の特徴構成は、前記ユーザIDと前記ユーザ要素情報とを前記第1の認証サーバへ送信するステップの前に、前記ユーザ端末は、前記第2の認証サーバとの間でAKA認証を行い、前記ユーザ端末と前記第2の認証サーバとの間で共通暗号鍵を共有するステップと、をさらに含む点にある。 [Arrangement 2] Another characteristic arrangement of the method according to the present invention is that, prior to the step of sending the user ID and the user element information to the first authentication server, the user terminal performs the second authentication performing AKA authentication with a server, and sharing a common encryption key between the user terminal and the second authentication server.

〔構成3〕 本発明に係る方法の別の特徴構成は、前記第1の共通暗号鍵は前記ユーザ端末のSIMに保持されている、点にある。 [Configuration 3] Another characteristic configuration of the method according to the present invention is that the first common encryption key is held in the SIM of the user terminal.

〔構成4〕 本発明に係る方法の別の特徴構成は、前記第1の共通暗号鍵と前記第2の共通暗号鍵とはAKA認証により生成されるCK(CipherKey)、およびIK(IntegrityKey)である、点にある。 [Configuration 4] Another characteristic configuration of the method according to the present invention is that the first common encryption key and the second common encryption key are CK (CipherKey) and IK (IntegrityKey) generated by AKA authentication. There is, at the point.

〔構成5〕 本発明に係る方法の別の特徴構成は、前記第1の共通暗号鍵は、暗号化して前記第1の認証サーバへ送信される、点にある。 [Configuration 5] Another characteristic configuration of the method according to the present invention is that the first common encryption key is encrypted and transmitted to the first authentication server.

〔構成6〕 本発明に係る方法の別の特徴構成は、前記ユーザ要素情報は、前記ユーザの知識情報と、前記ユーザの生体情報とのうち少なくとも一方を含む、点にある。 [Configuration 6] Another characteristic configuration of the method according to the present invention is that the user element information includes at least one of the user's knowledge information and the user's biometric information.

〔構成7〕 本発明に係る方法の別の特徴構成は、前記第2の認証サーバは通信キャリア事業者によって提供されるサーバである、点にある。 [Structure 7] Another characteristic structure of the method according to the present invention is that the second authentication server is a server provided by a communication carrier.

〔構成8〕 本発明に係る方法の別の特徴構成は、前記第1の認証サーバと前記ユーザ端末とは互いにインターネットを介して接続されており、前記第1の認証サーバと前記第2の認証サーバとは互いに通信キャリア網を介して接続されている、点にある。 [Configuration 8] Another characteristic configuration of the method according to the present invention is that the first authentication server and the user terminal are connected to each other via the Internet, and the first authentication server and the second authentication The server is connected to each other via a communication carrier network.

〔構成9〕本発明に係る方法の特徴構成は、装置において実行される方法であって、ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定すると、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの前記第1の共通暗号鍵と、前記ユーザ端末からの前記第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを備える、点にある。 [Configuration 9] A characteristic configuration of the method according to the present invention is a method executed in a device, which is a step of acquiring a user ID and user element information for single sign-on to a plurality of cloud services from a user terminal. and, if it is determined that the combination of the user ID and the user element information is correct, a step of acquiring a first common encryption key from an authentication server based on the subscriber ID associated with the user ID, obtaining a first common cryptographic key, wherein the authentication server authenticates the user terminal; obtaining a second common cryptographic key associated with the subscriber ID from the user terminal; and, when the first common encryption key from the authentication server and the second common encryption key from the user terminal match, notifying the user terminal of the match between the two. be.

〔構成10〕 本発明に係る方法の別の特徴構成は、前記ユーザIDに関連付けられた前記加入者IDを取得するステップをさらに備える、点にある。 [Arrangement 10] Another characteristic arrangement of the method according to the present invention is that it further comprises the step of obtaining the subscriber ID associated with the user ID.

〔構成11〕 本発明に係る方法の別の特徴構成は、前記第2の共通暗号鍵は、前記ユーザ端末に格納された共通暗号鍵の取得を行うためのアプリケーションプログラムの実行によって取得されたものである、点にある。 [Configuration 11] Another characteristic configuration of the method according to the present invention is that the second common encryption key is obtained by executing an application program for obtaining the common encryption key stored in the user terminal. is, at the point.

〔構成12〕 本発明に係る装置の特徴構成は、装置であって、少なくとも1つのプロセッサと、命令を記憶したメモリであって、前記少なくとも1つのプロセッサに実行されたときに、前記装置にユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しい場合に、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの第1の共通暗号鍵と、前記ユーザ端末からの第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを実行させる命令を記憶したメモリと備える、点にある。 [Arrangement 12] A feature arrangement of an apparatus according to the present invention is an apparatus comprising: at least one processor; and a memory storing instructions which, when executed by the at least one processor, provide a acquiring a user ID and user element information for single sign-on to a plurality of cloud services from a terminal; obtaining a first common encryption key from an authentication server based on a subscriber ID, said authentication server authenticating said user terminal; obtaining a second common encryption key associated with the subscriber ID from the user terminal; obtaining the first common encryption key from the authentication server; and the second common encryption key from the user terminal. and a memory storing a command for executing a step of notifying the user terminal of the match when the two match.

[本発明の実施形態の詳細]
以下、本発明の実施形態について図面を参照して説明する。なお、本開示はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が本開示に含まれることが意図される。以下の説明では、図面の説明において同一の要素には同一の符号を付し、重複する説明を繰り返さないものとする。 [Details of the embodiment of the present invention]
BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described with reference to the drawings. It should be noted that the present disclosure is not limited to these examples, but is indicated by the scope of the claims, and is intended to include all modifications within the meaning and scope of equivalents to the scope of the claims. be. In the following description, the same reference numerals are given to the same elements in the description of the drawings, and redundant description will not be repeated.

図1は本開示の一実施形態によるクラウド型の多要素認証サービスを提供するシステム10を示す。システム10は、ユーザ端末(UE)100と、多要素認証サービスを提供する装置としての多要素認証サーバ200と、認証サーバ300とを備える。システム10は、ユーザにより入力される知識情報等の要素情報に加えて、ユーザ端末100の保持する所持情報としてのユーザ端末100固有の情報を組み合わせて、ユーザを認証するシステムである。本開示においてユーザにより入力される要素情報は、ユーザの知識情報と、ユーザの生体情報とのうち少なくとも一方を含む。本開示によると、ユーザ端末100を操作するユーザは、一旦多要素認証サーバ200で認証をパスすれば、各種クラウドサービス4への認証は不要となり、様々なクラウドサービス4にシングルサインオンできる。ユーザの知識情報は、ユーザしか知り得ない情報であり、パスワード、秘密の質問、PINコード等である。ユーザの生体情報は、ユーザの指紋、虹彩、静脈、声紋、顔の情報等である。 FIG. 1 illustrates a system 10 for providing cloud-based multi-factor authentication services according to one embodiment of the present disclosure. The system 10 includes a user terminal (UE) 100, a multi-factor authentication server 200 as a device that provides multi-factor authentication services, and an authentication server 300. FIG. The system 10 is a system that authenticates a user by combining element information such as knowledge information input by the user and information specific to the user terminal 100 as possession information held by the user terminal 100 . Element information input by a user in the present disclosure includes at least one of user's knowledge information and user's biometric information. According to the present disclosure, once the user operating the user terminal 100 passes authentication with the multi-factor authentication server 200 , authentication to various cloud services 4 is not required, and single sign-on to various cloud services 4 is possible. The user's knowledge information is information that only the user can know, such as a password, a secret question, a PIN code, and the like. The user's biometric information includes the user's fingerprint, iris, veins, voiceprint, facial information, and the like.

図1の例では、ユーザ端末100は、ネットワーク6(1)を介して多要素認証サーバ200と通信可能に接続され、多要素認証サーバ200は、ネットワーク6(2)を介して認証サーバ300と通信可能に接続されている。また、ユーザ端末100と、多要素認証サーバ200とは、それぞれ不図示のネットワークを介して、クラウドサービス4に通信可能に接続することができる。ユーザ端末100は複数台であってもよいが、図1では1台のユーザ端末を示す。 In the example of FIG. 1, user terminal 100 is communicatively connected to multi-factor authentication server 200 via network 6(1), and multi-factor authentication server 200 communicates with authentication server 300 via network 6(2). Connected for communication. Also, the user terminal 100 and the multi-factor authentication server 200 can be communicably connected to the cloud service 4 via a network (not shown). Although there may be a plurality of user terminals 100, only one user terminal is shown in FIG.

ネットワーク6(1)は、インターネットおよび図示しない無線基地局によって構築される各種無線通信システム等で構成される。この無線通信システムとしては、例えば、所謂3G、4G、5G移動体通信網、LTE(Long Term Evolution)、および所定のアクセスポイントによってインターネットに接続可能な無線ネットワーク(例えばWi-Fi(登録商標))等が挙げられる。 The network 6(1) includes the Internet and various wireless communication systems constructed by wireless base stations (not shown). Examples of this wireless communication system include so-called 3G, 4G, 5G mobile communication networks, LTE (Long Term Evolution), and wireless networks (e.g., Wi-Fi (registered trademark)) that can be connected to the Internet through predetermined access points. etc.

ネットワーク6(2)は、通信事業者が管理する通信キャリア網である。認証サーバ300は通信キャリア網側のサーバであり、外部から侵入できないよう構成される。なお、通信キャリア網であるネットワーク6(2)は1つに限定されるものではなく、2つ以上であってもよい。通信キャリア網が2つ以上なら、多要素認証サーバ200に接続するキャリア網と、認証サーバ300とは複数あってもよい。 Network 6(2) is a telecommunications carrier network managed by a telecommunications carrier. Authentication server 300 is a server on the communication carrier network side, and is configured to prevent intrusion from the outside. Note that the network 6(2), which is a communication carrier network, is not limited to one, and may be two or more. If there are two or more communication carrier networks, there may be a plurality of carrier networks connected to multi-factor authentication server 200 and authentication server 300 .

(ユーザ端末100)
ユーザ端末100は、本開示のクラウドサービス4へのシングルサインオンサービスを利用するユーザからの要素情報の入力を受け付ける端末である。ユーザ端末100は、例えばブラウザを用いて多要素認証サーバ200にアクセス可能に構成される。本実施形態では、一例として、ユーザ端末100がスマートフォンとして実現される例を説明するが、ユーザ端末100はスマートフォンに限定されない。ユーザ端末100はSIMを備えていればよく、例えば、PDA(Personal Digital Assistant)、タブレット型コンピュータ、ラップトップ型コンピュータ(いわゆる、ノートパソコン)などとして実現されてもよい。 (User terminal 100)
The user terminal 100 is a terminal that receives input of elemental information from a user who uses the single sign-on service to the cloud service 4 of the present disclosure. The user terminal 100 is configured to be able to access the multi-factor authentication server 200 using a browser, for example. In this embodiment, as an example, an example in which the user terminal 100 is implemented as a smart phone will be described, but the user terminal 100 is not limited to a smart phone. The user terminal 100 only needs to have a SIM, and may be implemented as, for example, a PDA (Personal Digital Assistant), a tablet computer, a laptop computer (so-called notebook computer), or the like.

ユーザ端末100は多要素認証サーバ200により認証されると、複数のクラウドサービス4にアクセスすることができる。クラウドサービス4は、例えば、Webブラウザ上で動作する電子メールサービス、スケジュール管理サービスを含む。 The user terminal 100 can access multiple cloud services 4 when authenticated by the multi-factor authentication server 200 . The cloud service 4 includes, for example, an e-mail service and a schedule management service that operate on a web browser.

また、ユーザ端末100は、ユーザ端末100を認証する際に利用可能な各種情報を格納するSIMカードを保持する。本開示において、この各種情報は、ユーザ端末100に固有の所持情報である共通暗号鍵を含む。共通暗号鍵は、認証が許可されたユーザ端末100と、認証サーバ300との間で共有される暗号鍵である。一ユーザが複数の契約を結べば契約毎に異なる共有暗号鍵が認証サーバ300との間で共有される。また、ユーザ端末100が複数の場合は、ユーザ端末100毎に異なる共通暗号鍵が認証サーバ300との間で共有される。 The user terminal 100 also holds a SIM card that stores various information that can be used when authenticating the user terminal 100 . In the present disclosure, this various information includes a common encryption key that is possessed information unique to the user terminal 100 . The common encryption key is an encryption key shared between the user terminal 100 permitted to be authenticated and the authentication server 300 . If one user concludes multiple contracts, a different shared encryption key is shared with the authentication server 300 for each contract. Also, when there are a plurality of user terminals 100 , a common encryption key different for each user terminal 100 is shared with the authentication server 300 .

共通暗号鍵は、一例では、ユーザ端末100のSIMカードと、通信キャリア網(認証サーバ300)との間で取り交わされるAKA認証(Authentication and Key Agreement)によって算出されるCK(Cipher Key)とIK(Integrity Key)である。この共通暗号鍵は、ユーザ端末100の製造・出荷時には、ユーザ端末100に割り当てられておらず、またユーザによるユーザ端末100の操作で変更・更新することはできない。CKは暗号解読キーを、IKは完全性キーを表わす。AKA認証による認証が行われると、認証が許可されたユーザ端末100が認証サーバ300に登録される。共通暗号鍵は、AKA’認証によって算出されるCKとIKであってもよい。 For example, the common encryption key is a CK (Cipher Key) and an IK calculated by AKA authentication (Authentication and Key Agreement) exchanged between the SIM card of the user terminal 100 and the communication carrier network (authentication server 300). (Integrity Key). This common encryption key is not assigned to the user terminal 100 when the user terminal 100 is manufactured and shipped, and cannot be changed or updated by the user's operation of the user terminal 100 . CK stands for decryption key and IK for integrity key. When authentication by AKA authentication is performed, the user terminal 100 for which authentication is permitted is registered in the authentication server 300 . The common encryption key may be CK and IK calculated by AKA' authentication.

(多要素認証サーバ200)
多要素認証サーバ200は、クラウド型のサーバ装置として動作し、いわゆるIDaaSサービス提供者に運営される装置である。多要素認証サーバ200は、ユーザ端末100から受け付けた要求に基づいて、シングルサインオンを実現する。IDaaSサービス提供者は、通信キャリア事業者等を含む。 (Multi-factor authentication server 200)
The multi-factor authentication server 200 operates as a cloud-type server device and is a device operated by a so-called IDaaS service provider. The multi-factor authentication server 200 implements single sign-on based on the request received from the user terminal 100. FIG. IDaaS service providers include telecommunications carriers and the like.

多要素認証サーバ200は、クラウドサービス4へのシングルサインオンサービスを利用するユーザを識別するためのユーザIDと、ユーザIDに対応するパスワードなどの、そのユーザIDのユーザしか有さない要素情報の組み合わせを登録している。多要素認証サーバ200は、ユーザ端末100からユーザIDと要素情報とを取得すると、取得したユーザIDと、要素情報との組み合わせが正しいか判定する。さらに多要素認証サーバ200は、認証サーバ300が保持する共通暗号鍵(暗号鍵1)と、ユーザ端末100が保持する所持情報としての共通暗号鍵(暗号鍵2)とを使用して、ユーザ端末100を認証する。 The multi-factor authentication server 200 stores a user ID for identifying a user who uses the single sign-on service to the cloud service 4 and element information possessed only by the user with that user ID, such as a password corresponding to the user ID. Registered combination. After acquiring the user ID and element information from the user terminal 100, the multi-factor authentication server 200 determines whether the combination of the acquired user ID and element information is correct. Furthermore, the multi-factor authentication server 200 uses the common encryption key (encryption key 1) held by the authentication server 300 and the common encryption key (encryption key 2) as possession information held by the user terminal 100 to authenticate the user terminal. Authenticate 100.

共通暗号鍵が、AKA認証によって算出されたCKと、IKの場合、多要素認証サーバ200は、ユーザの所持情報としてのCK/IKと、パスワードなどの要素情報を合わせてユーザの認証を行う。 When the common encryption key is CK calculated by AKA authentication and IK, the multi-factor authentication server 200 authenticates the user by combining CK/IK as user's possession information and element information such as a password.

(認証サーバ300)
認証サーバ300は、通信キャリア事業者によって運営されており、ユーザ端末100との間で共通暗号鍵を共有する。例えば、認証サーバ300は、ユーザ端末100との間でAKA認証を行い、認証が許可されたユーザ端末100を登録するとともに、ユーザ端末100と共通暗号鍵を共有する。認証サーバ300は、RADIUS(Remote Authentication Dial In User Service)サーバとして機能してもよい。 (Authentication server 300)
The authentication server 300 is operated by a telecommunications carrier and shares a common encryption key with the user terminal 100 . For example, the authentication server 300 performs AKA authentication with the user terminal 100 , registers the user terminal 100 for which authentication is permitted, and shares a common encryption key with the user terminal 100 . The authentication server 300 may function as a RADIUS (Remote Authentication Dial In User Service) server.

図2は、本開示の一実施形態に係るユーザ端末100のハードウェア構成図、図3は本開示の一実施形態に係る多要素認証サーバ200のハードウェア構成図である。 FIG. 2 is a hardware configuration diagram of the user terminal 100 according to one embodiment of the present disclosure, and FIG. 3 is a hardware configuration diagram of the multi-factor authentication server 200 according to one embodiment of the present disclosure.

(ユーザ端末100)
ユーザ端末100は図2に示すように、プロセッサ102と、メモリ104と、ストレージ106と、通信インターフェイス(IF)108と、入出力インターフェイス(IF)110と、SIM112とを備えるコンピュータ装置として実現することができる。ユーザ端末100が備えるこれらの構成は、バス114によって互いに電気的に接続される。ユーザ端末100は、不図示のディスプレイを備えてもよい。ユーザ端末100のハードウェア構成は、図に示した各装置を1つまたは複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。 (User terminal 100)
User terminal 100, as shown in FIG. can be done. These components of user terminal 100 are electrically connected to each other by bus 114 . User terminal 100 may include a display (not shown). The hardware configuration of the user terminal 100 may be configured to include one or more of each device shown in the figure, or may be configured without some of the devices.

SIM(subscriber identity module)112は、上述したようにユーザ端末100を認証する際に利用可能な各種情報を記録するチップである。なお、SIM112は、通信サービスの変更のために差し替えの必要なカード(いわゆるSIMカード)であってもよいし、オンラインで通信サービスを変更できるeSIM(embedded SIM)でもよい。 The SIM (subscriber identity module) 112 is a chip that records various information that can be used when authenticating the user terminal 100 as described above. The SIM 112 may be a card (so-called SIM card) that needs to be replaced in order to change the communication service, or an eSIM (embedded SIM) that can change the communication service online.

(多要素認証サーバ200)
多要素認証サーバ200は図3に示すように、プロセッサ202と、メモリ204と、ストレージ206と、通信インターフェイス(IF)208とを備えるコンピュータ装置として実現することができる。多要素認証サーバ200が備えるこれらの構成は、バス214によって互いに電気的に接続される。多要素認証サーバ200のハードウェア構成は、図に示した各装置を1つまたは複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。 (Multi-factor authentication server 200)
Multi-factor authentication server 200 can be implemented as a computer device comprising processor 202, memory 204, storage 206, and communication interface (IF) 208, as shown in FIG. These components of multi-factor authentication server 200 are electrically connected to each other by bus 214 . The hardware configuration of the multi-factor authentication server 200 may be configured to include one or more of each device shown in the figure, or may be configured without some of the devices.

(認証サーバ300)
図1に示す認証サーバ300は、多要素認証サーバ200と同様に構成され、ここでは認証サーバ300のハードウェア構成の図示は割愛する。認証サーバ300は、プロセッサ302と、メモリ304と、ストレージ306と、通信インターフェイス(IF)308とを備えるコンピュータ装置として実現することができる。認証サーバ300が備えるこれらの構成は、バス314によって互いに電気的に接続される。 (Authentication server 300)
The authentication server 300 shown in FIG. 1 is configured in the same manner as the multi-factor authentication server 200, and illustration of the hardware configuration of the authentication server 300 is omitted here. Authentication server 300 may be implemented as a computing device comprising processor 302 , memory 304 , storage 306 and communication interface (IF) 308 . These components of authentication server 300 are electrically connected to each other by bus 314 .

次に、ユーザ端末100と、多要素認証サーバ200と、認証サーバ300に共通するハードウェア構成を説明する。 Next, a hardware configuration common to the user terminal 100, the multi-factor authentication server 200, and the authentication server 300 will be described.

プロセッサ102、202、302は、それぞれ、ユーザ端末100と、多要素認証サーバ200と、認証サーバ300との全体の動作を制御する。プロセッサ102、202、302は、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、およびGPU(Graphics Processing Unit)を含むことができる。プロセッサ102、202、302は、それぞれ、後述するストレージ106、206、306からプログラムを読み出す。そして、プロセッサ102、202、302は、それぞれ、読み出したプログラムを、後述するメモリ104、204、304に展開する。プロセッサ102、202、302は、展開したプログラムを実行する。一例として、プロセッサ102は、ユーザ端末100に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、メモリ104に展開したプログラムに含まれる一連の命令を実行する。プロセッサ202、302もプロセッサ102と同様に、メモリに展開したプログラムに含まれる一連の命令を実行する。 Processors 102, 202, 302 control the overall operation of user terminal 100, multi-factor authentication server 200, and authentication server 300, respectively. The processors 102, 202, 302 may include CPUs (Central Processing Units), MPUs (Micro Processing Units), and GPUs (Graphics Processing Units). The processors 102, 202, 302 respectively read programs from storages 106, 206, 306, which will be described later. The processors 102, 202, and 302 develop the read programs in memories 104, 204, and 304, respectively, which will be described later. Processors 102, 202, 302 execute the expanded program. As an example, processor 102 executes a series of instructions contained in a program developed in memory 104 based on a signal given to user terminal 100 or based on the establishment of a predetermined condition. Like the processor 102, the processors 202 and 302 also execute a series of instructions included in the program developed in memory.

メモリ104、204、304は主記憶装置である。メモリ104、204、304は、ROM(Read Only Memory)およびRAM(Random Access Memory)等の記憶装置で構成される。一例として、メモリ104は、プロセッサ102が後述するストレージ106から読み出したプログラムおよび各種データを一時的に記憶することにより、プロセッサ102に作業領域を提供する。メモリ204、304もメモリ104と同様に、ストレージ206、306から読み出したプログラムおよび各種データを一時的に記憶することにより、プロセッサに作業領域を提供する。メモリ104、204、304には、少なくともオペレーティングシステムが格納されている。オペレーティングシステムは、ユーザ端末100、多要素認証サーバ200、認証サーバ300の全体的な動作を制御するためのコンピュータプログラムである。 Memories 104, 204, 304 are main storage devices. The memories 104, 204, and 304 are composed of storage devices such as ROM (Read Only Memory) and RAM (Random Access Memory). As an example, the memory 104 provides a work area for the processor 102 by temporarily storing programs and various data read by the processor 102 from a storage 106 described later. Similar to the memory 104, the memories 204 and 304 also temporarily store programs and various data read from the storages 206 and 306, thereby providing work areas to the processors. Memory 104, 204, 304 stores at least an operating system. The operating system is a computer program for controlling the overall operations of the user terminal 100, the multi-factor authentication server 200, and the authentication server 300.

ストレージ106、206、306は補助記憶装置である。ストレージ106、206、306は、プログラムおよびデータを永続的に保持する。ストレージ106、206、306は、例えば、不揮発性半導体メモリ、ハードディスク装置、フラッシュメモリ等の不揮発性記憶装置として実現される。ストレージ106、206、306には、例えば、他のコンピュータや端末との通信を実現するためのプログラム等が格納される。 Storages 106, 206, 306 are auxiliary storage devices. Storage 106, 206, 306 persistently holds programs and data. The storages 106, 206, and 306 are implemented as nonvolatile storage devices such as nonvolatile semiconductor memories, hard disk devices, and flash memories, for example. The storages 106, 206, and 306 store, for example, programs for realizing communication with other computers and terminals.

通信IF108、208、308は、それぞれ、ユーザ端末100、多要素認証サーバ200、および認証サーバ300における各種データの送受信を制御する。通信IF108、208は、無線LAN、無線WAN、携帯電話回線網を介したインターネット通信等を用いた無線通信を制御する。また、通信IF108は多要素認証サーバ200との間で例えば、LAN(Local Area Network)、WANなどのIP(Internet Protocol)を介する通信等を制御してもよい。通信IF308は、通信キャリア網を介した通信を制御する。通信IF308は、所定の通信プロトコルに従って多要素認証サーバ200と認証サーバ300との間でデータを送受信するように構成される。 Communication IFs 108, 208, and 308 control transmission and reception of various data in user terminal 100, multi-factor authentication server 200, and authentication server 300, respectively. Communication IFs 108 and 208 control wireless communication using Internet communication via a wireless LAN, wireless WAN, and mobile phone network. Further, the communication IF 108 may control communication with the multi-factor authentication server 200 via IP (Internet Protocol) such as LAN (Local Area Network) and WAN. Communication IF 308 controls communication via a communication carrier network. Communication IF 308 is configured to transmit and receive data between multi-factor authentication server 200 and authentication server 300 according to a predetermined communication protocol.

入出力インターフェイス(IF)110は、ユーザ端末100がデータの入力を受け付けるため、また、データを出力するためのインターフェイスである。入出力IF110は、USB(Universal Serial Bus)等を介してデータの入出力を行ってもよい。入出力IF110と接続される入力装置は、物理ボタン、カメラ、マイク、マウス、キーボード、スティック、レバー、タッチパネル、指紋読み取りセンサ、静脈センサなどを含み得る。入出力IF110と接続される出力装置は、ディスプレイ、スピーカなどを含み得る。 An input/output interface (IF) 110 is an interface for the user terminal 100 to receive input of data and output data. The input/output IF 110 may input/output data via a USB (Universal Serial Bus) or the like. Input devices connected to the input/output IF 110 may include physical buttons, cameras, microphones, mice, keyboards, sticks, levers, touch panels, fingerprint reading sensors, vein sensors, and the like. Output devices connected to the input/output IF 110 may include displays, speakers, and the like.

図4は、図1のシステム10に含まれるユーザ端末100と、多要素認証サーバ200と、認証サーバ300との機能的構成の例を示すブロック図である。 FIG. 4 is a block diagram showing an example of functional configurations of the user terminal 100, the multi-factor authentication server 200, and the authentication server 300 included in the system 10 of FIG.

(ユーザ端末100)
ユーザ端末100は、ユーザによる要素情報の入力を受け付ける機能と、共通暗号鍵を取得する機能と、各種サーバとの間で情報を送受する機能とを備える。ユーザ端末100は、主たる構成要素として、制御部130と、記憶部150とを備える。制御部130は、ユーザ端末100に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、記憶部150に格納されているプログラム(不図示)に含まれる一連の命令を実行する。ユーザ端末100は、プロセッサ102、メモリ104、ストレージ106、通信IF108(図2)等の協働によって、制御部130および記憶部150として機能する。 (User terminal 100)
The user terminal 100 has a function of receiving input of element information by a user, a function of acquiring a common encryption key, and a function of transmitting and receiving information to and from various servers. The user terminal 100 includes a control unit 130 and a storage unit 150 as main components. The control unit 130 executes a series of commands included in a program (not shown) stored in the storage unit 150 based on a signal given to the user terminal 100 or based on the establishment of a predetermined condition. to run. User terminal 100 functions as control unit 130 and storage unit 150 through cooperation of processor 102, memory 104, storage 106, communication IF 108 (FIG. 2), and the like.

制御部130は、プログラムの記述に応じて、操作受付部131、取得/送信部132、進行部133として機能する。制御部130は、実行されるアプリケーションの性質に応じて、図示しないその他の機能ブロックとしても機能することができる。 The control unit 130 functions as an operation reception unit 131, an acquisition/transmission unit 132, and a progression unit 133 according to the description of the program. Control unit 130 can also function as other functional blocks (not shown) according to the nature of the application to be executed.

操作受付部131は、ディスプレイ(不図示)に表示された各種アプリケーション画面に応じて入力される、ユーザの操作入力を受け付けする。操作受付部131は、ユーザによるシングルサインオンのためのユーザIDと、要素情報の入力を受け付ける。要素情報は、パスワードの場合、ユーザ端末100の物理ボタン、キーボード、あるいはタッチパネルなどにより入力される。要素情報は、指紋情報の場合、ユーザ端末100の指紋読み取りセンサにより入力され、声紋情報の場合、ユーザ端末100のマイクにより入力され、顔情報の場合、ユーザ端末100のカメラにより入力される。 The operation accepting unit 131 accepts a user's operation input according to various application screens displayed on a display (not shown). The operation reception unit 131 receives input of a user ID and element information for single sign-on by the user. In the case of a password, the elemental information is input using physical buttons, a keyboard, a touch panel, or the like of the user terminal 100 . The element information is input by the fingerprint reading sensor of the user terminal 100 in the case of fingerprint information, input by the microphone of the user terminal 100 in the case of voiceprint information, and input by the camera of the user terminal 100 in the case of face information.

取得/送信部132は、多要素認証サーバ200から受信した各種データ(例えば、加入者ID)に基づいて、ユーザ端末100側の共通暗号鍵を取得し、多要素認証サーバ200へ送信する。 Acquisition/transmission unit 132 acquires a common encryption key on user terminal 100 side based on various data (eg, subscriber ID) received from multi-factor authentication server 200 and transmits it to multi-factor authentication server 200 .

加入者IDは、加入者に固有のIDであり、通信キャリア事業者のネットワークに接続するために利用される。加入者IDは、例えば、IMSI(International Mobile Subscriber Identity)である。IMSIは通信キャリア事業者のネットワークに接続するための認証に使われる。IMSIの最初の3桁が国番号(MCC)で日本は「440」、続く2~3桁が事業者番号(MNC)、残りの最大10桁が加入者識別コード(MSIN)となる。加入者IDは、MSISDN(Mobile Subscriber Integrated Service Digital Network Number)やICCID(Integrated Circuit Card ID)であってもよい。1つのユーザIDには少なくとも1つの加入者IDが関連付けられる。 A subscriber ID is an ID unique to a subscriber, and is used to connect to the network of a telecommunications carrier. The subscriber ID is, for example, IMSI (International Mobile Subscriber Identity). The IMSI is used for authentication to connect to the telecommunications carrier's network. The first three digits of the IMSI are the country code (MCC), "440" for Japan, the next two to three digits are the carrier number (MNC), and the remaining 10 digits are the subscriber identification code (MSIN). The subscriber ID may be MSISDN (Mobile Subscriber Integrated Service Digital Network Number) or ICCID (Integrated Circuit Card ID). At least one subscriber ID is associated with one user ID.

進行部133は、ユーザ端末100の動作の全体を制御する。進行部133は、ユーザ端末100が認証サーバ300により認証(例えばAKA認証)されると、認証サーバ300と共通する共通暗号鍵を記憶部150にあらかじめ格納しておく。また、進行部133は、多要素認証サーバ200によりクラウドサービス4(図1)へのシングルサインオンの認証が許可されると、各種クラウドサービス4との通信を可能にする。 The progress unit 133 controls the overall operation of the user terminal 100 . When the user terminal 100 is authenticated by the authentication server 300 (for example, AKA authentication), the progress unit 133 stores a common encryption key shared with the authentication server 300 in the storage unit 150 in advance. Further, when the multi-factor authentication server 200 permits single sign-on authentication to the cloud service 4 ( FIG. 1 ), the progress unit 133 enables communication with various cloud services 4 .

(多要素認証サーバ200)
多要素認証サーバ200は、ユーザ端末100から受信した要素情報と、ユーザのシングルサインオンのためのユーザIDとの組み合わせが正しいかを判定する機能と、ユーザ端末100から受信した共通暗号鍵と、認証サーバ300から受信した共通暗号鍵とを照合する機能とを備える。ユーザ端末100から受信する要素情報は、パスワードなどの知識情報、ユーザの指紋、静脈情報、声紋、顔などの生体情報のうち少なくとも一つを含む。 (Multi-factor authentication server 200)
The multi-factor authentication server 200 has a function of determining whether the combination of the element information received from the user terminal 100 and the user ID for single sign-on of the user is correct, the common encryption key received from the user terminal 100, It also has a function of collating with the common encryption key received from the authentication server 300 . Element information received from the user terminal 100 includes at least one of knowledge information such as a password, biometric information such as a user's fingerprint, vein information, voiceprint, and face.

多要素認証サーバ200は、主たる構成要素として、制御部230と、記憶部250とを備える。制御部230は、多要素認証サーバ200に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、記憶部250に格納されているプログラム(不図示)に含まれる一連の命令を実行する。多要素認証サーバ200は、プロセッサ202、メモリ204、ストレージ206、通信IF208、および入出力IF210等の協働によって、制御部230および記憶部250として機能する。 The multi-factor authentication server 200 includes a control unit 230 and a storage unit 250 as main components. Control unit 230 executes a series of steps included in a program (not shown) stored in storage unit 250 based on a signal given to multi-factor authentication server 200 or based on the establishment of a predetermined condition. execute the instructions of Multi-factor authentication server 200 functions as control unit 230 and storage unit 250 through cooperation of processor 202, memory 204, storage 206, communication IF 208, input/output IF 210, and the like.

制御部230は、プログラムの記述に応じて、判定部231と、要求部232と、紐付部233と、照合部235として機能する。制御部430は、実行されるアプリケーションの性質に応じて、図示しないその他の機能ブロックとしても機能することができる。 The control unit 230 functions as a determining unit 231, a requesting unit 232, a linking unit 233, and a matching unit 235 according to program descriptions. Control unit 430 can also function as other functional blocks (not shown) according to the nature of the application to be executed.

判定部231は、ユーザ端末100より取得した要素情報と、ユーザIDとの組み合わせが正しいか判定する。また、判定部231は、ユーザ端末100より取得したユーザIDに対応する加入者IDを、ユーザ管理ファイル251から抽出する。ユーザ管理ファイル251の詳細は後述する。 The determination unit 231 determines whether the combination of the element information acquired from the user terminal 100 and the user ID is correct. Also, the determination unit 231 extracts from the user management file 251 the subscriber ID corresponding to the user ID obtained from the user terminal 100 . Details of the user management file 251 will be described later.

要求部232は、抽出した加入者IDに基づいて、ユーザ端末100あるいは、認証サーバ300へ共通暗号鍵の要求を行う。また、要求部232は、ユーザ端末100、あるいは認証サーバ300から取得した共通暗号鍵などの各種情報を取得し、記憶部250に格納する。 The request unit 232 requests the common encryption key from the user terminal 100 or the authentication server 300 based on the extracted subscriber ID. The request unit 232 also acquires various types of information such as the common encryption key acquired from the user terminal 100 or the authentication server 300 and stores the information in the storage unit 250 .

紐付部233は、認証サーバ300の保持する共通暗号鍵を取得し、加入者IDと関連付ける。あるいは、紐付部233は、ユーザ端末100の保持する共通暗号鍵を取得し、加入者IDと関連付ける。 The linking unit 233 acquires the common encryption key held by the authentication server 300 and associates it with the subscriber ID. Alternatively, the linking unit 233 acquires the common encryption key held by the user terminal 100 and associates it with the subscriber ID.

照合部234は、ユーザ端末100の保持する共通暗号鍵と、認証サーバ300の保持する共通暗号鍵とを照合し、両者が同じであれば、ユーザ端末100へ認証済みであることの通知をユーザ端末100へ送信する。 The collation unit 234 collates the common encryption key held by the user terminal 100 and the common encryption key held by the authentication server 300, and if the two are the same, notifies the user terminal 100 that authentication has been completed. Send to terminal 100 .

(認証サーバ300)
認証サーバ300は、多要素認証サーバ200からの要求に応じて、認証サーバ300の保持する共通暗号鍵を多要素認証サーバ200へ送信する機能を備える。認証サーバ300は、あらかじめ、AKA認証などで認証したユーザ端末100とのあいだで共通暗号鍵を共有しておく。 (Authentication server 300)
Authentication server 300 has a function of transmitting a common encryption key held by authentication server 300 to multi-factor authentication server 200 in response to a request from multi-factor authentication server 200 . The authentication server 300 shares a common encryption key in advance with the user terminal 100 authenticated by AKA authentication or the like.

認証サーバ300は、主たる構成要素として、制御部330と、記憶部350とを備える。制御部330は、認証サーバ300に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、記憶部350に格納されているプログラム(不図示)に含まれる一連の命令を実行する。認証サーバ300は、プロセッサ302、メモリ304、ストレージ306、および通信IF308等の協働によって、制御部330および記憶部350として機能する。 The authentication server 300 includes a control unit 330 and a storage unit 350 as main components. Control unit 330 executes a series of commands contained in a program (not shown) stored in storage unit 350 based on a signal given to authentication server 300 or based on the establishment of a predetermined condition. to run. Authentication server 300 functions as control unit 330 and storage unit 350 through cooperation of processor 302, memory 304, storage 306, communication IF 308, and the like.

制御部330は、プログラムの記述に応じて、取得/送信部331として機能する。制御部330は、実行されるアプリケーションの性質に応じて、図示しないその他の機能ブロックとしても機能することができる。 The control unit 330 functions as an acquisition/transmission unit 331 according to the description of the program. Control unit 330 can also function as other functional blocks (not shown) according to the nature of the application to be executed.

取得/送信部331は、多要素認証サーバ200からの共通暗号鍵の要求に応じて、認証サーバ300の記憶部350に格納される共通暗号鍵ファイル351から、加入者IDに対応する認証サーバ300の共通暗号鍵を抽出し、多要素認証サーバ200へ送信する。共通暗号鍵ファイル351の詳細は後述する。 In response to a request for a common encryption key from the multi-factor authentication server 200, the obtaining/sending unit 331 retrieves the authentication server 300 corresponding to the subscriber ID from the common encryption key file 351 stored in the storage unit 350 of the authentication server 300. , and transmits it to the multi-factor authentication server 200 . Details of the common encryption key file 351 will be described later.

(各装置の記憶部が格納するデータ)
また、図4は、ユーザ端末100と、多要素認証サーバ200と、認証サーバ300との記憶部に格納されるデータファイルの例を示す。 (Data stored in the storage unit of each device)
4 shows an example of data files stored in the storage units of the user terminal 100, the multi-factor authentication server 200, and the authentication server 300. As shown in FIG.

(記憶部150)
記憶部150は、共通暗号鍵を取得するための暗号鍵取得アプリケーションプログラム151(以下、「暗号鍵取得アプリ」という)と、ユーザ端末のSIM112に格納されている加入者ファイル152とを格納する。図7は加入者ファイル152のデータ構造の一例である。加入者ファイル152は、シングルサインオンのアカウント識別のためのユーザIDと、これに関連付けられるユーザ情報を含む。ユーザ情報は、少なくとも、加入者IDと、共通暗号鍵とを含む。ユーザ情報は、ユーザ管理情報(ユーザの名前、住所、電話番号など)を含んでもよい。加入者ファイル152は、AKA認証などの認証アルゴリズムを格納してもよい。加入者ファイル152は、暗号鍵取得アプリ151が共通暗号鍵を取得した後は、認証サーバ300と共有する共通暗号鍵を含む。 (storage unit 150)
The storage unit 150 stores an encryption key acquisition application program 151 (hereinafter referred to as "encryption key acquisition application") for acquiring a common encryption key, and a subscriber file 152 stored in the SIM 112 of the user terminal. FIG. 7 is an example of the data structure of the subscriber file 152. As shown in FIG. Subscriber file 152 includes user IDs for single sign-on account identification and associated user information. User information includes at least a subscriber ID and a common encryption key. User information may include user management information (user name, address, phone number, etc.). Subscriber file 152 may store authentication algorithms such as AKA authentication. The subscriber file 152 includes the common encryption key shared with the authentication server 300 after the encryption key acquisition application 151 acquires the common encryption key.

ユーザIDは、多要素認証サーバ200によるユーザ毎のシングルサインオンのアカウントを識別するIDである。ユーザIDは、シングルサインオンを提供するサービス提供者によって付与される。 A user ID is an ID that identifies a single sign-on account for each user by the multi-factor authentication server 200 . A user ID is assigned by a service provider that provides single sign-on.

加入者IDは、加入者(SIMカード)ごとに固有のIDであり、通信キャリア事業者のネットワークに接続するために利用される。一のユーザが複数の契約を結ぶと、契約毎に個別の加入者IDが通信キャリア事業者によって付与される。 A subscriber ID is a unique ID for each subscriber (SIM card) and is used to connect to the network of a communication carrier. When one user concludes a plurality of contracts, a separate subscriber ID is assigned to each contract by the communication carrier.

暗号鍵取得アプリ151は、多要素認証サーバ200からのプッシュ通知、あるいはユーザによるユーザIDの入力に応じて起動する。暗号鍵取得アプリ151は、ユーザからの直接の入力を受け付けるインターフェイスを提供しないよう構成することができる。 The encryption key acquisition application 151 is activated in response to a push notification from the multi-factor authentication server 200 or input of a user ID by the user. The encryption key acquisition application 151 can be configured not to provide an interface for accepting direct input from the user.

(記憶部250)
記憶部250は、ユーザ管理ファイル251を格納する。図8はユーザ管理ファイル251のデータ構造の一例である。ユーザ管理ファイル251は、IDaaSサービス提供者によって管理されており、シングルサインオンのためのユーザIDと、これに関連付けられたユーザのパスワードなどの要素情報と、加入者IDとを格納する。図示するように、要素情報は、パスワードに限られず、ユーザの声紋情報、指紋情報などであってもよい。多要素認証サーバ200は、ユーザ管理ファイル251により、ユーザが利用するシングルサインオンのアカウントを識別するユーザIDと、加入者IDとを連携する。図8の例では、1つのユーザIDに1つの要素情報が関連付けられているが、複数の要素情報が関連付けられていてもよい。 (storage unit 250)
The storage unit 250 stores a user management file 251. FIG. FIG. 8 is an example of the data structure of the user management file 251. As shown in FIG. The user management file 251 is managed by the IDaaS service provider, and stores user IDs for single sign-on, element information such as associated user passwords, and subscriber IDs. As illustrated, the element information is not limited to the password, and may be the user's voiceprint information, fingerprint information, or the like. The multi-factor authentication server 200 uses the user management file 251 to link the user ID that identifies the single sign-on account used by the user and the subscriber ID. In the example of FIG. 8, one piece of element information is associated with one user ID, but a plurality of pieces of element information may be associated.

(記憶部350)
記憶部350は、共通暗号鍵ファイル351を格納する。図9は共通暗号鍵ファイル351のデータ構造の一例である。共通暗号鍵ファイル351は、通信キャリア事業者によって管理され、認証が許可されたユーザ端末の加入者IDと、加入者IDに対応する固有の共通暗号鍵を格納する。 (storage unit 350)
Storage unit 350 stores common encryption key file 351 . FIG. 9 shows an example of the data structure of the common encryption key file 351. As shown in FIG. The common cryptographic key file 351 is managed by the communication carrier and stores subscriber IDs of user terminals whose authentication is permitted and unique common cryptographic keys corresponding to the subscriber IDs.

(第一実施形態)
図5は、本開示の一実施形態に従うシステム10において実行される処理の例を示す。処理に先立ち、ユーザ端末100と、認証サーバ300との間で、ユーザ端末100が認証サーバ300で認証(例えばAKA認証)されており、ユーザ端末100は認証サーバ300に登録されているものとする。また、ユーザ端末100と認証サーバ300との間で共通暗号鍵(例えばCK/IK)を共有しているものとする。 (First embodiment)
FIG. 5 illustrates an example of processing performed in system 10 according to one embodiment of the present disclosure. Prior to the process, it is assumed that the user terminal 100 has been authenticated by the authentication server 300 (for example, AKA authentication) between the user terminal 100 and the authentication server 300, and the user terminal 100 has been registered with the authentication server 300. . It is also assumed that the user terminal 100 and the authentication server 300 share a common encryption key (for example, CK/IK).

ステップS502において、ユーザ端末100(操作受付部131)は、ユーザのIDと、ユーザの要素情報の入力を受け付ける。ユーザの要素情報は、パスワードや、ユーザの生体認証情報を含む。ユーザ端末100(操作受付部131)は、入力されたユーザのIDと、ユーザ要素情報とを、多要素認証サーバ200に送信する。ユーザ要素情報は、パスワードに限られず、ユーザの指紋や、顔、声紋などの生体情報であってもよい。 In step S502, the user terminal 100 (operation reception unit 131) receives input of the user's ID and the user's element information. Elemental information of the user includes a password and biometric authentication information of the user. The user terminal 100 (operation reception unit 131 ) transmits the input user ID and user element information to the multi-factor authentication server 200 . User element information is not limited to a password, and may be biometric information such as a user's fingerprint, face, or voiceprint.

ステップS504において、多要素認証サーバ200(判定部231)は要素情報とユーザIDを取得し、記憶部250にあらかじめ登録されているユーザ管理ファイル251を参照して、これらの組み合わせが正しいか否か判定する。組み合わせが正しい場合に、ユーザ管理ファイル251を参照し、取得したユーザIDに対応する加入者IDを取得する。 In step S504, the multi-factor authentication server 200 (determination unit 231) acquires the element information and the user ID, refers to the user management file 251 registered in advance in the storage unit 250, and determines whether the combination of these is correct. judge. If the combination is correct, refer to the user management file 251 and acquire the subscriber ID corresponding to the acquired user ID.

ステップS506において、多要素認証サーバ200(要求部232)は、認証サーバ300へ、ステップS504にて取得した加入者IDに基づいて、認証サーバ300へ共通暗号鍵の問い合わせを行う。 In step S506, the multi-factor authentication server 200 (request unit 232) inquires of the authentication server 300 about the common encryption key based on the subscriber ID acquired in step S504.

次に、ステップS508において、認証サーバ300(取得/送信部331)は、取得した加入者IDに対応する共通暗号鍵(暗号鍵1)を、記憶部350に格納されている共通暗号鍵ファイル351から読み出し、多要素認証サーバ200へ送信する。なお、認証サーバ300は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。 Next, in step S508, authentication server 300 (acquisition/sending unit 331) obtains the common encryption key (encryption key 1) corresponding to the acquired subscriber ID from common encryption key file 351 stored in storage unit 350. , and transmits it to the multi-factor authentication server 200 . Note that the authentication server 300 may encrypt the common encryption key using the HASH function or the like and transmit it to the multi-factor authentication server 200 .

次に、ステップS510において、多要素認証サーバ200(紐付部233)は、ステップS504にて取得した加入者IDと、認証サーバ300から取得した共通暗号鍵(暗号鍵1)とを関連付け、記憶部250に格納する。共通暗号鍵が暗号化されている場合は、多要素認証サーバ200(紐付部233)は、共通暗号鍵を復号化した後に、加入者IDと共通暗号鍵とを関連付ける。また、多要素認証サーバ200(紐付部233)は、認証サーバ300の共通暗号鍵を関連付けた加入者IDに対応するユーザ端末100へ、プッシュで共通暗号鍵を要求する通知を送信する。 Next, in step S510, the multi-factor authentication server 200 (associating unit 233) associates the subscriber ID obtained in step S504 with the common encryption key (encryption key 1) obtained from the authentication server 300, 250. When the common encryption key is encrypted, the multi-factor authentication server 200 (associating unit 233) associates the subscriber ID and the common encryption key after decrypting the common encryption key. In addition, the multi-factor authentication server 200 (associating unit 233) sends a push notification requesting the common encryption key to the user terminal 100 corresponding to the subscriber ID associated with the common encryption key of the authentication server 300. FIG.

次に、ステップS512において、ユーザ端末100(取得/送信部132)は、多要素認証サーバ200からプッシュ通知を受信すると、記憶部150に格納されている暗号鍵取得アプリ151を起動する。暗号鍵取得アプリ151は実行されると、ユーザ端末100の記憶部150の加入者ファイル152にあらかじめ格納されている共通暗号鍵(暗号鍵2)を取得し、加入者IDと共に多要素認証サーバ200へ送信する。なお、ユーザ端末100は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。 Next, in step S<b>512 , upon receiving the push notification from the multi-factor authentication server 200 , the user terminal 100 (acquisition/transmission unit 132 ) activates the encryption key acquisition application 151 stored in the storage unit 150 . When the encryption key acquisition application 151 is executed, it acquires the common encryption key (encryption key 2) stored in advance in the subscriber file 152 of the storage unit 150 of the user terminal 100, and sends it to the multi-factor authentication server 200 together with the subscriber ID. Send to Note that the user terminal 100 may encrypt the common encryption key using the HASH function or the like and transmit it to the multi-factor authentication server 200 .

本開示において、多要素認証サーバ200からのプッシュ通知は、ユーザ端末100のディスプレイに表示されなくてよい。ユーザ端末100に対するユーザによる共通暗号鍵取得のための操作がなくとも、ユーザ端末100(暗号鍵取得アプリ151)は、ユーザ端末100の共通暗号鍵を取得し、取得した共通暗号鍵(暗号鍵2)を、多要素認証サーバ200へ送信する。ユーザ端末100が、自動で共通暗号鍵の送信を行うため、ユーザは、暗号鍵の要求を受けていることや、暗号鍵取得アプリ151を起動することや、共通暗号鍵を送信することを意識しなくてもよい。 In the present disclosure, push notifications from the multi-factor authentication server 200 may not be displayed on the display of the user terminal 100. Even if the user does not operate the user terminal 100 to acquire the common encryption key, the user terminal 100 (encryption key acquisition application 151) acquires the common encryption key of the user terminal 100, and acquires the acquired common encryption key (encryption key 2). ) to the multi-factor authentication server 200 . Since the user terminal 100 automatically transmits the common encryption key, the user is conscious of receiving a request for the encryption key, activating the encryption key acquisition application 151, and transmitting the common encryption key. You don't have to.

次に、ステップS514において、多要素認証サーバ200(照合部234)は、ユーザ端末から受信した共通暗号鍵(暗号鍵2)と、認証サーバ300から受信した共通暗号鍵(暗号鍵1)とを照合する。ユーザ端末100からの共通暗号鍵(暗号鍵2)が暗号化されている場合は、多要素認証サーバ200(紐付部233)は、この共通暗号鍵(暗号鍵2)を復号化した後に、認証サーバ300からの共通暗号鍵(暗号鍵1)と照合する。両者が一致する場合に、接続してきたユーザ端末100が正しいと判定し、多要素認証サーバ200は、両者が一致する通知をユーザ端末100へ送信する。 Next, in step S514, multi-factor authentication server 200 (verification unit 234) converts the common encryption key (encryption key 2) received from the user terminal and the common encryption key (encryption key 1) received from authentication server 300 to match. When the common encryption key (encryption key 2) from the user terminal 100 is encrypted, the multi-factor authentication server 200 (linking unit 233) decrypts this common encryption key (encryption key 2), and then performs authentication. It is collated with the common encryption key (encryption key 1) from the server 300 . If both match, it is determined that the connected user terminal 100 is correct, and the multi-factor authentication server 200 sends a notification that both match to the user terminal 100 .

本開示によると、ユーザの要素情報だけではなく、この認証につかった端末自体も所持情報により認証している。つまり、ユーザ端末100の所持情報である共通暗号鍵による認証とその他の要素情報による認証とを同時に実施する。これにより単体の要素情報の認証よりも、ユーザ認証の安全性を高めることができる。 According to the present disclosure, not only the user's elemental information but also the terminal itself used for this authentication is authenticated by possession information. In other words, authentication using the common encryption key, which is information possessed by the user terminal 100, and authentication using other element information are performed at the same time. This makes it possible to improve the safety of user authentication as compared to authentication of single element information.

また、本開示によると、所持情報としての共通暗号鍵(例えばCK/IK)は、ユーザ端末100および認証サーバ300から、ユーザによる操作なくともそれぞれ自動で取得され、多要素認証サーバ200において両者が一致するか照合する。このため、ユーザは1つの要素情報(知識情報、生体情報)を入力するだけで、入力された要素情報に加えて所持情報を含めた2要素認証をすることができる。その結果、ユーザにとって認証のための処理を簡便にすることができる。ユーザは、共通暗号鍵の管理、更新を意識しなくてもよい。 Further, according to the present disclosure, a common encryption key (for example, CK/IK) as possessed information is automatically acquired from user terminal 100 and authentication server 300 without user operation, and multi-factor authentication server 200 Match or match. Therefore, by inputting only one piece of element information (knowledge information, biometric information), the user can perform two-factor authentication including possession information in addition to the input element information. As a result, the process for authentication can be simplified for the user. The user does not need to be aware of managing and updating the common encryption key.

また、本開示によると、ユーザ端末100の認証にAKA認証により得られるCK/IKを用いることができる。このCK/IKは秘匿性が高く、ユーザ端末側で変更することはできないため、ユーザ認証にCK/IKを利用することで強固なセキュリティを確立することができる。 Also, according to the present disclosure, CK/IK obtained by AKA authentication can be used for authentication of the user terminal 100 . Since this CK/IK is highly confidential and cannot be changed on the user terminal side, strong security can be established by using CK/IK for user authentication.

次に、ステップS516において、ユーザ端末100(進行部133)は共通暗号鍵が一致する通知を多要素認証サーバ200から受信する。ユーザ端末100は通知を受信すると、多要素認証サーバ200により認証済みのユーザ端末100として、各種クラウドサービス4にアクセスすることができる。 Next, in step S516, the user terminal 100 (progression unit 133) receives from the multi-factor authentication server 200 a notification that the common encryption key matches. Upon receiving the notification, the user terminal 100 can access various cloud services 4 as the user terminal 100 that has been authenticated by the multi-factor authentication server 200 .

具体的には、ユーザ端末100がクラウドサービス4にアクセスしたことの通知を受信すると、多要素認証サーバ200は、ユーザ端末100が認証済みである旨をクラウドサービス4に通知する。これによりユーザはクラウドサービス毎に異なるIDやパスワードを入力することなく、クラウドサービス4を利用することができる。 Specifically, upon receiving a notification that the user terminal 100 has accessed the cloud service 4, the multi-factor authentication server 200 notifies the cloud service 4 that the user terminal 100 has been authenticated. As a result, the user can use the cloud service 4 without entering a different ID and password for each cloud service.

あるいは、ユーザ端末100がクラウドサービス4にアクセスしたことの通知を受信すると、多要素認証サーバ200は、ユーザ端末100の代わりに、ユーザIDに対応するクラウドサービス4のIDと、クラウドサービス4のパスワードを参照し、これらをクラウドサービス4に入力してもよい。この場合、多要素認証サーバ200は、あらかじめユーザが利用する各種クラウドサービス4のID・パスワードと、ユーザの利用するシングルサインオンのユーザIDとを連携して管理しておく。 Alternatively, upon receiving a notification that the user terminal 100 has accessed the cloud service 4, the multi-factor authentication server 200 sends the ID of the cloud service 4 corresponding to the user ID and the password of the cloud service 4 instead of the user terminal 100. , and these may be input to the cloud service 4. In this case, the multi-factor authentication server 200 manages IDs and passwords of various cloud services 4 used by users in advance in cooperation with single sign-on user IDs used by users.

なお、図5に示す処理は例示的なものにすぎず、その順序が変更されてもよく、処理が追加されてもよい。 Note that the processing shown in FIG. 5 is merely exemplary, and the order thereof may be changed, and processing may be added.

(第二実施形態)
図6は本開示の第二実施形態に係るシステムにおいて実行される処理の例を示す。図6による処理では、図5と異なり、認証サーバ300による共通暗号鍵を取得する前に、ユーザ端末100からの共通暗号鍵を取得する。以下、図6を用いて、本開示の第二の実施形態に係るシステム10における処理の流れについて説明する。処理に先立ち、ユーザ端末100と、認証サーバ300との間で認証(例えばAKA認証)が行われており、両者の間で共通暗号鍵が共有されているものとする。認証サーバ300により認証が許可されたユーザ端末100は認証サーバ300に登録されている。 (Second embodiment)
FIG. 6 shows an example of processing performed in the system according to the second embodiment of the present disclosure. 6 differs from FIG. 5 in that the common encryption key is obtained from the user terminal 100 before the authentication server 300 obtains the common encryption key. Hereinafter, the flow of processing in the system 10 according to the second embodiment of the present disclosure will be described using FIG. It is assumed that, prior to processing, authentication (for example, AKA authentication) has been performed between the user terminal 100 and the authentication server 300, and a common encryption key is shared between them. User terminals 100 whose authentication is permitted by the authentication server 300 are registered in the authentication server 300 .

ステップS602は、上述のステップS502と同様の処理であり、重複する説明は割愛する。さらに、ステップS602において、ユーザ端末100(操作受付部131)は、ユーザによるユーザIDと、要素情報の入力を受け付けると、記憶部150に格納されている暗号鍵取得アプリ151を起動する。 Step S602 is the same processing as the above-mentioned step S502, and duplicate explanation is omitted. Further, in step S<b>602 , the user terminal 100 (operation accepting unit 131 ) activates the encryption key acquisition application 151 stored in the storage unit 150 upon accepting the user's input of the user ID and element information.

ステップS604において、多要素認証サーバ200(判定部231)は、要素情報とユーザIDを取得し、記憶部250にあらかじめ登録されているユーザ管理ファイル251を参照し、要素情報とユーザIDの組み合わせが正しいと判定した場合に、ユーザ端末100へ判定結果を送信する。 In step S604, the multi-factor authentication server 200 (determining unit 231) acquires the element information and the user ID, refers to the user management file 251 registered in advance in the storage unit 250, and confirms that the combination of the element information and the user ID is If it is determined to be correct, it transmits the determination result to the user terminal 100 .

ステップS606において、要素情報とユーザIDの組み合わせが正しいとの判定結果を受信すると、暗号鍵取得アプリ151は、ユーザ端末100の記憶部150の加入者ファイル152にあらかじめ格納されている共通暗号鍵(暗号鍵2)を取得する。ユーザ端末100(取得/送信部132)は、加入者ファイル152からユーザIDに対応する加入者IDを取得し、暗号鍵取得アプリ151が取得した共通暗号鍵(暗号鍵2)を、加入者IDと共に多要素認証サーバ200へ送信する。なお、ユーザ端末100は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。 In step S606, upon receiving the determination result that the combination of the element information and the user ID is correct, the encryption key acquisition application 151 obtains the common encryption key ( Obtain the encryption key 2). The user terminal 100 (acquisition/sending unit 132) acquires the subscriber ID corresponding to the user ID from the subscriber file 152, and sends the common encryption key (encryption key 2) acquired by the encryption key acquisition application 151 to the subscriber ID. to the multi-factor authentication server 200. Note that the user terminal 100 may encrypt the common encryption key using the HASH function or the like and transmit it to the multi-factor authentication server 200 .

次にステップS608において、多要素認証サーバ200(紐付部233)は、ステップS602にてユーザ端末100から取得した加入者IDと、ユーザ端末100から取得した共通暗号鍵(暗号鍵2)とを関連付け、記憶部250に格納する。 Next, in step S608, the multi-factor authentication server 200 (linking unit 233) associates the subscriber ID obtained from the user terminal 100 in step S602 with the common encryption key (encryption key 2) obtained from the user terminal 100. , is stored in the storage unit 250 .

次に、ステップS610において、多要素認証サーバ200(要求部232)は、認証サーバ300へ、ステップS608にて取得した加入者IDに基づいて、認証サーバ300へ共通暗号鍵の問い合わせを行う。 Next, in step S610, the multi-factor authentication server 200 (request unit 232) inquires of the authentication server 300 about the common encryption key based on the subscriber ID acquired in step S608.

次に、ステップS612において、認証サーバ300(取得/送信部331)は、取得した加入者IDに対応する共通暗号鍵(暗号鍵1)を、記憶部350に格納されている共通暗号鍵ファイル351から読み出し、多要素認証サーバ200へ送信する。なお、認証サーバ300は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。 Next, in step S612, authentication server 300 (acquisition/sending unit 331) obtains the common encryption key (encryption key 1) corresponding to the acquired subscriber ID from common encryption key file 351 stored in storage unit 350. , and transmits it to the multi-factor authentication server 200 . Note that the authentication server 300 may encrypt the common encryption key using the HASH function or the like and transmit it to the multi-factor authentication server 200 .

次に、ステップS614において、多要素認証サーバ200(照合部234)は、ユーザ端末から受信した共通暗号鍵(暗号鍵2)と、認証サーバ300から受信した共通暗号鍵(暗号鍵1)とを照合する。両者が一致する場合に、接続してきたユーザ端末100が正しいと判定し、多要素認証サーバ200は、両者が一致する通知をユーザ端末100へ送信する。 Next, in step S614, multi-factor authentication server 200 (verification unit 234) converts the common encryption key (encryption key 2) received from the user terminal and the common encryption key (encryption key 1) received from authentication server 300 to match. If both match, it is determined that the connected user terminal 100 is correct, and the multi-factor authentication server 200 sends a notification that both match to the user terminal 100 .

次に、ステップS616において、ユーザ端末100(進行部133)は共通暗号鍵が一致する通知を多要素認証サーバ200から受信すると、多要素認証サーバ200により認証済みのユーザ端末100として、各種クラウドサービス4にアクセスすることができる。 Next, in step S616, when the user terminal 100 (progression unit 133) receives the notification that the common encryption key matches from the multi-factor authentication server 200, the user terminal 100 is authenticated by the multi-factor authentication server 200, and various cloud services are performed. 4 can be accessed.

また、本開示の別の実施形態では、シングルサインオンのためのサービスにログインする際に、多要素認証サーバ200側ではなく、ユーザ端末100側でユーザIDと、指紋などの要素情報の組み合わせが正しいかを判定してもよい。あらかじめ、ユーザ端末100は、ユーザIDと、指紋などの要素情報の正しい組み合わせとを、加入者ファイル152に格納しておく。ユーザ端末100(操作受付部131)は、ユーザIDと要素情報の入力を受け付けし、ユーザIDと要素情報の組み合わせが正しいかを判定し、組み合わせが正しいと判定したユーザIDを、多要素認証サーバ200へ送信する。次に、多要素認証サーバ200は、記憶部250にあらかじめ登録されているユーザ管理ファイル251から、ユーザIDに対応する加入者IDを取得する。多要素認証サーバ200側で、要素情報とユーザIDの組み合わせが正しいか否か判定することはない。その後のステップは、図5のステップS506に続くステップS516までと同じである。 Further, in another embodiment of the present disclosure, when logging into a service for single sign-on, a combination of a user ID and element information such as a fingerprint is generated on the user terminal 100 side, not on the multi-factor authentication server 200 side. You can judge whether it is correct. The user terminal 100 stores in advance in the subscriber file 152 a user ID and a correct combination of elemental information such as a fingerprint. The user terminal 100 (operation reception unit 131) receives input of a user ID and element information, determines whether the combination of the user ID and the element information is correct, and sends the user ID determined as the correct combination to the multi-factor authentication server. 200. Next, the multi-factor authentication server 200 acquires the subscriber ID corresponding to the user ID from the user management file 251 registered in the storage unit 250 in advance. The multi-factor authentication server 200 side does not judge whether or not the combination of the element information and the user ID is correct. The subsequent steps are the same as those up to step S516 following step S506 in FIG.

本開示の実施形態を説明したが、これらが例示にすぎず、本開示の範囲を限定するものではないことは理解されるべきである。本開示の趣旨および範囲から逸脱することなく、実施形態の変更、追加、改良等を適宜行うことができることが理解されるべきである。本開示の範囲は、上述した実施形態のいずれによっても限定されるべきではなく、特許請求の範囲およびその均等物によってのみ規定されるべきである。 While embodiments of the disclosure have been described, it should be understood that they are exemplary only and do not limit the scope of the disclosure. It should be understood that modifications, additions, improvements, etc., can be made to the embodiments from time to time without departing from the spirit and scope of this disclosure. The scope of the present disclosure should not be limited by any of the above-described embodiments, but should be defined only by the claims and their equivalents.

4…クラウドサービス
6…ネットワーク
10…システム
100…ユーザ端末
200…多要素認証サーバ
300…認証サーバ
4... Cloud service 6... Network 10... System 100... User terminal 200... Multi-factor authentication server 300... Authentication server

Claims (12)

ユーザ端末において実行される方法であって、
複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバへ送信するステップと、
前記第1の認証サーバで前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定された場合に、前記ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に前記第1の認証サーバへ送信するステップであって、
前記ユーザ端末の第1の共通暗号鍵と、前記ユーザ端末を認証している第2の認証サーバの第2の共通暗号鍵であって、前記加入者IDに関連付けられている第2の共通暗号鍵とが一致する通知を前記第1の認証サーバから受信すると、前記複数のクラウドサービスとの通信を開始するステップと、
を含む、方法。 A method executed at a user terminal, comprising:
obtaining a user ID and user element information for single sign-on to a plurality of cloud services, and sending the information to a first authentication server;
When the first authentication server determines that the combination of the user ID and the user element information is correct, the first common encryption key of the user terminal uniquely assigned to the user terminal is sending to the first authentication server together with a subscriber ID,
A first common encryption key of the user terminal and a second common encryption key of a second authentication server that authenticates the user terminal, the second common encryption being associated with the subscriber ID initiating communication with the plurality of cloud services upon receipt of a key match notification from the first authentication server;
A method, including 前記ユーザIDと前記ユーザ要素情報とを前記第1の認証サーバへ送信するステップの前に、前記ユーザ端末は、前記第2の認証サーバとの間でAKA認証を行い、前記ユーザ端末と前記第2の認証サーバとの間で共通暗号鍵を共有するステップと、をさらに含む請求項1に記載の方法。 Before the step of transmitting the user ID and the user element information to the first authentication server, the user terminal performs AKA authentication with the second authentication server, and the user terminal and the first authentication server perform AKA authentication. and sharing a common encryption key with two authentication servers. 前記第1の共通暗号鍵は前記ユーザ端末のSIMに保持されている、請求項1または2に記載の方法。 3. A method according to claim 1 or 2, wherein said first common cryptographic key is held in the SIM of said user terminal. 前記第1の共通暗号鍵と前記第2の共通暗号鍵とはAKA認証により生成されるCK(Cipher Key)、およびIK(Integrity Key)である、請求項1から3のいずれか1項に記載の方法。 The first common encryption key and the second common encryption key according to any one of claims 1 to 3, wherein the CK (Cipher Key) and the IK (Integrity Key) generated by AKA authentication. the method of. 前記第1の共通暗号鍵は、暗号化して前記第1の認証サーバへ送信される、請求項1から4のいずれか1項に記載の方法。 5. The method according to any one of claims 1 to 4, wherein said first common encryption key is encrypted and sent to said first authentication server. 前記ユーザ要素情報は、前記ユーザの知識情報と、前記ユーザの生体情報とのうち少なくとも一方を含む、請求項1から5のいずれか1項に記載の方法。 6. A method according to any preceding claim, wherein said user element information comprises at least one of said user's knowledge information and said user's biometric information. 前記第2の認証サーバは通信キャリア事業者によって提供されるサーバである、請求項1から6のいずれか1項に記載の方法。 7. The method according to any one of claims 1 to 6, wherein said second authentication server is a server provided by a telecommunications carrier operator. 前記第1の認証サーバと前記ユーザ端末とは互いにインターネットを介して接続されており、前記第1の認証サーバと前記第2の認証サーバとは互いに通信キャリア網を介して接続されている、請求項1から7のいずれか1項に記載の方法。 wherein said first authentication server and said user terminal are connected to each other via the Internet, and said first authentication server and said second authentication server are connected to each other via a communication carrier network; Item 8. The method according to any one of Items 1 to 7. 装置において実行される方法であって、
ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、
前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定すると、
前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、
前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、
前記認証サーバからの前記第1の共通暗号鍵と、前記ユーザ端末からの前記第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップと
を備える、方法。 A method performed in an apparatus comprising:
obtaining a user ID and user element information for single sign-on to a plurality of cloud services from a user terminal;
When determining that the combination of the user ID and the user element information is correct,
obtaining a first common cryptographic key from an authentication server based on a subscriber ID associated with said user ID, said authentication server authenticating said user terminal; and obtaining
obtaining from the user terminal a second common encryption key associated with the subscriber ID;
and, if the first common encryption key from the authentication server and the second common encryption key from the user terminal match, notifying the user terminal of the match. 前記ユーザIDに関連付けられた前記加入者IDを取得するステップをさらに備える、請求項9に記載の方法。 10. The method of claim 9, further comprising obtaining the subscriber ID associated with the user ID. 前記第2の共通暗号鍵は、前記ユーザ端末に格納された共通暗号鍵の取得を行うためのアプリケーションプログラムの実行によって取得されたものである、請求項9に記載の方法。 10. The method according to claim 9, wherein said second common encryption key is obtained by executing an application program for obtaining a common encryption key stored in said user terminal. 装置であって、
少なくとも1つのプロセッサと、
命令を記憶したメモリであって、前記少なくとも1つのプロセッサに実行されたときに、前記装置に
ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、
前記ユーザIDと前記ユーザ要素情報との組み合わせが正しい場合に、
前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、
前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、
前記認証サーバからの第1の共通暗号鍵と、前記ユーザ端末からの第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップと
を実行させる命令を記憶したメモリと
備える、装置。
a device,
at least one processor;
obtaining a user ID and user element information for single sign-on to multiple cloud services from a user terminal. When,
When the combination of the user ID and the user element information is correct,
obtaining a first common cryptographic key from an authentication server based on a subscriber ID associated with said user ID, said authentication server authenticating said user terminal; and obtaining
obtaining from the user terminal a second common encryption key associated with the subscriber ID;
a step of notifying the user terminal of the match when the first common encryption key from the authentication server and the second common encryption key from the user terminal match; A device comprising a memory.
JP2021098428A 2021-06-14 2021-06-14 Method and apparatus for multi-factor authentication Active JP7124174B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021098428A JP7124174B1 (en) 2021-06-14 2021-06-14 Method and apparatus for multi-factor authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021098428A JP7124174B1 (en) 2021-06-14 2021-06-14 Method and apparatus for multi-factor authentication

Publications (2)

Publication Number Publication Date
JP7124174B1 JP7124174B1 (en) 2022-08-23
JP2022190213A true JP2022190213A (en) 2022-12-26

Family

ID=82942188

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021098428A Active JP7124174B1 (en) 2021-06-14 2021-06-14 Method and apparatus for multi-factor authentication

Country Status (1)

Country Link
JP (1) JP7124174B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012203781A (en) * 2011-03-28 2012-10-22 Nippon Telegraph & Telephone West Corp Authentication system, authentication linkage device, and authentication method
JP2015090620A (en) * 2013-11-06 2015-05-11 株式会社東芝 Authentication system, method and program
US20170170973A1 (en) * 2015-11-25 2017-06-15 Akamai Technologies, Inc. Uniquely identifying and securely communicating with an appliance in an uncontrolled network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012203781A (en) * 2011-03-28 2012-10-22 Nippon Telegraph & Telephone West Corp Authentication system, authentication linkage device, and authentication method
JP2015090620A (en) * 2013-11-06 2015-05-11 株式会社東芝 Authentication system, method and program
US20170170973A1 (en) * 2015-11-25 2017-06-15 Akamai Technologies, Inc. Uniquely identifying and securely communicating with an appliance in an uncontrolled network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
小倉 俊弘 ほか: "クラウドサービスの認証連携における課題と解決方法", UNISYS TECHNOLOGY REVIEW, vol. 40, no. 3, JPN6022032849, 30 November 2020 (2020-11-30), JP, pages 65 - 80, ISSN: 0004843353 *

Also Published As

Publication number Publication date
JP7124174B1 (en) 2022-08-23

Similar Documents

Publication Publication Date Title
US10205711B2 (en) Multi-user strong authentication token
US20220191016A1 (en) Methods, apparatuses, and computer program products for frictionless electronic signature management
CN110334503B (en) Method for unlocking one device by using the other device
TWI612792B (en) Account login method and device
US9118662B2 (en) Method and system for distributed off-line logon using one-time passwords
US10205723B2 (en) Distributed storage of authentication data
US9727715B2 (en) Authentication method and system using password as the authentication key
US20170085561A1 (en) Key storage device and method for using same
KR20180117715A (en) Method and system for user authentication with improved security
US11271922B2 (en) Method for authenticating a user and corresponding device, first and second servers and system
US20200196143A1 (en) Public key-based service authentication method and system
JP7151928B2 (en) AUTHENTICATION SERVER, AUTHENTICATION SERVER CONTROL METHOD AND PROGRAM
US11496299B2 (en) Method and chip for authenticating to a device and corresponding authentication device and system
JP7124988B2 (en) AUTHENTICATION SERVER, AUTHENTICATION SYSTEM, AUTHENTICATION SERVER CONTROL METHOD AND PROGRAM
US11303630B2 (en) Method for opening a secure session on a computer terminal
JP6714551B2 (en) Authentication key sharing system and inter-terminal key copying method
JP7124174B1 (en) Method and apparatus for multi-factor authentication
KR101900060B1 (en) Security element operating with wireless router, the wireless router, and method of forming internet network using the security element
CN117795515A (en) Data recovery for computing devices
US11665162B2 (en) Method for authenticating a user with an authentication server
US11716331B2 (en) Authentication method, an authentication device and a system comprising the authentication device
JP6005232B1 (en) Recovery system, server device, terminal device, recovery method, and recovery program
JP7248184B2 (en) Server, system, method and program
US20240056821A1 (en) A cloud computing environment and a method for providing remote secure element services
EP4254232A1 (en) Information access handover

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220804

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220810

R150 Certificate of patent or registration of utility model

Ref document number: 7124174

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150